网络安全 -699- 2.4.2 应用系统或软硬件平台安全漏洞修复 后，形成整改报告。 2.5 利用应用系统或软硬件平台安全漏洞篡改 公司网站程序文件 2.5.1 立即禁用该服务器网络连接，将服务器 进行断网处理，启用备用虚拟机，快速完成切换， 恢复正常页面。对原服务器进行安全取证分析，分 析并确定攻击者攻击路径，定位应用系统安全漏洞， 配合网警完成后续的取证工作。通知相关厂商修复 安全漏洞。 2.5.2 提高网站监测频率，确保网页防篡改系 统运行正常；应用系统或软硬件平台安全漏洞修复 后，形成整改报告。 2.6 管理信息区遭到零星攻击，逻辑阻断 2.6.1 攻击者利用 SQL 注入、命令执行等安全 漏洞对管理区应用系统发起网络攻击，信息系统存 在敏感数据泄露的风险。利用Ⅲ-Ⅳ区防火墙进行逻 辑阻断，对来源 IP 地址进行封堵，如发现封堵无效 或无法告警突然爆发性增长，立即进入场景二进行 物理阻断。 2.6.2 立即启动对事件的分析，进行安全取证 分析，对数据库日志及操作系统日志进行分析，评 估敏感数据泄露量。如确定为攻击行为，立即通报， 并立即修复安全漏洞。 修复安全漏洞后， 形成整改报告。 2.7 生产控制大区纵向第一道防线遭受攻击 2.7.1 启用条件：态势感知平台发出告警，第 一道防线遭受入侵。厂站端网络设备可管控。 2.7.2 攻击者利用纵向加密设备安全漏洞向控 制系统服务器上传木马或后门程序，服务器存在被 攻击者远程控制的风险。 2.7.3 阻断组利用【纵向逻辑阻断点 1】的交换 机和路由器进行逻辑阻断，关闭攻击网口和数据网 上联接口。阻断调度控制系统与问题厂站/主站相关 业务通道。 2.7.4 监测通报组进行安全分析，分析确定攻 击者攻击路径，定位安全漏洞，配合后续的取证工 作。如确定为攻击行为，立即通报，并立即修复安 全漏洞。修复安全漏洞后，形成整改报告。 2.8 生产控制大区纵向第二道防线遭受攻击 2.8.1 启用条件：态势感知平台发出告警，第 一道防线无法阻止攻击行为，厂站端网络设备被恶 意控制，无法管控。 2.8.2 攻击者利用纵向加密设备安全漏洞向调 度控制系统服务器上传木马或后门程序，服务器存 在被攻击者远程控制的风险。 2.8.3 阻断利用【纵向逻辑阻断点 2】的路由器 进行逻辑阻断，关闭该厂站和调度数据网的上联的 CPOS 或 POS 接口，阻断调度控制系统与问题厂站/ 主站相关业务通道。 2.8.4 进行安全分析，分析确定攻击者攻击路 径，定位安全漏洞，配合后续的取证工作。如确定 为攻击行为，立即通报，并立即修复安全漏洞。修 复安全漏洞后，形成整改报告。 2.9 通过防火墙设备的漏洞控制或绕过防火墙 直接经过核心交换机进入采集网 2.9.1 立刻关闭采集通信前置机上的通信程 序。检查系统日志，查看系统对外通信流量是否存 在异常，若依旧存在异常通信马上断开通信前置机 与信息主网和采集网的网络通信。密切查看最近与 此通信前置机服务器通信的其他服务器有无异常。 2.9.2 应急处置组进行安全漏洞修复，进行整 改报告编制。 2.10 其他系统接口服务器被控制，可作为跳板 攻击采集系统接口服务器 2.10.1 立刻停止接口程序。检查系统日志，查 看系统对外通信流量是否存在异常，若依旧存在异 常通信流量，马上断开相应接口服务器与信息主网 的网络通信。密切查看最近与此服务器通信的其他 服务器有无异常。 2.10.2 应急处置组进行安全漏洞修复，进行整 改报告编制。 2.11 攻击者使用非法设备接入网络接口，一经 发现此类攻击事件，应立即进行以下处置 2.11.1 在网管上对相应端口进行暂时关闭；