第第PAGE\MERGEFORMAT1頁共NUMPAGES\MERGEFORMAT1頁工控系統(tǒng)物理訪問控制應(yīng)急預(yù)案一、總則

1.1適用范圍

本預(yù)案適用于本單位所有涉及工業(yè)控制系統(tǒng)（ICS）物理訪問控制的突發(fā)事件。涵蓋未經(jīng)授權(quán)的物理接觸、非法入侵、設(shè)備破壞、關(guān)鍵區(qū)域未授權(quán)闖入等事件。以某化工廠2019年發(fā)生的工控系統(tǒng)服務(wù)器被非法物理接觸導致參數(shù)篡改事件為例，該事件造成生產(chǎn)計劃中斷72小時，直接經(jīng)濟損失超200萬元，凸顯了物理訪問控制的極端重要性。適用范圍包括但不限于生產(chǎn)車間、數(shù)據(jù)中心、控制室等核心區(qū)域，以及涉及工控系統(tǒng)的設(shè)備間、網(wǎng)絡(luò)機柜等敏感場所。所有部門在日常運營中必須嚴格執(zhí)行物理隔離、訪問授權(quán)、監(jiān)控審計等安全措施，確保工控系統(tǒng)免受物理威脅。

1.2響應(yīng)分級

根據(jù)事件危害程度、影響范圍及控制能力，將應(yīng)急響應(yīng)分為三級。

一級響應(yīng)適用于重大事件，指物理訪問控制被完全突破，導致工控系統(tǒng)癱瘓或核心數(shù)據(jù)被竊取。例如某能源企業(yè)2018年遭受黑客物理入侵事件，攻擊者通過破壞防火墻設(shè)備導致整個控制系統(tǒng)停擺，影響超過10座工廠，此類事件需立即啟動一級響應(yīng)，由應(yīng)急指揮中心統(tǒng)一調(diào)度安全、生產(chǎn)、IT等部門，72小時內(nèi)完成系統(tǒng)隔離與修復。

二級響應(yīng)適用于較大事件，如未經(jīng)授權(quán)人員進入控制室但未直接接觸核心設(shè)備，或設(shè)備輕微損壞但未影響系統(tǒng)運行。某制造業(yè)公司2020年發(fā)生的監(jiān)控攝像頭被篡改事件，雖未觸及工控設(shè)備，但暴露了物理防護漏洞，需啟動二級響應(yīng)，24小時內(nèi)完成漏洞排查與加固。

三級響應(yīng)適用于一般事件，如門禁系統(tǒng)誤報警或短暫的非故意闖入。例如員工因操作失誤誤開控制室門，需立即上報并恢復門禁狀態(tài)，并在4小時內(nèi)完成內(nèi)部通報與整改。

分級原則基于事件對生產(chǎn)連續(xù)性、數(shù)據(jù)安全及公眾影響的量化評估，優(yōu)先保障核心系統(tǒng)安全，按可控性動態(tài)調(diào)整響應(yīng)級別。

二、應(yīng)急組織機構(gòu)及職責

2.1應(yīng)急組織形式及構(gòu)成單位

成立工控系統(tǒng)物理訪問控制應(yīng)急指揮部，下設(shè)辦公室及四個專業(yè)工作組，構(gòu)成單位包括安保部、信息中心、生產(chǎn)運行部、后勤保障部。指揮部由主管生產(chǎn)的安全副總監(jiān)擔任總指揮，信息中心主任擔任副總指揮。

2.2應(yīng)急指揮部職責

負責制定并批準應(yīng)急預(yù)案，統(tǒng)一指揮突發(fā)事件處置，協(xié)調(diào)跨部門資源，評估事件等級并決定響應(yīng)級別，審核應(yīng)急結(jié)束條件。

2.3專業(yè)工作組及職責分工

2.3.1物理防護組

構(gòu)成單位：安保部、后勤保障部。

職責：負責核心區(qū)域門禁系統(tǒng)、監(jiān)控網(wǎng)絡(luò)、圍欄等物理屏障的實時監(jiān)控與緊急處置，實施封鎖隔離，對入侵者進行攔截與控制。行動任務(wù)包括30分鐘內(nèi)到達現(xiàn)場建立臨時管控區(qū)，利用防爆照明、警示標識等設(shè)備進行威懾，配合執(zhí)法部門開展取證。

2.3.2系統(tǒng)恢復組

構(gòu)成單位：信息中心、生產(chǎn)運行部。

職責：負責受影響工控系統(tǒng)的診斷、數(shù)據(jù)備份恢復、功能驗證與安全加固。行動任務(wù)包括2小時內(nèi)完成系統(tǒng)日志分析，隔離受損設(shè)備進行修復，應(yīng)用零信任策略重新授權(quán)訪問權(quán)限，確保系統(tǒng)符合安全基線要求。

2.3.3應(yīng)急通信組

構(gòu)成單位：信息中心、安保部。

職責：負責建立和維護應(yīng)急期間通信鏈路，保障指揮部指令傳達與信息報送。行動任務(wù)包括利用衛(wèi)星電話、對講機等設(shè)備建立備用通信網(wǎng)絡(luò)，每小時向指揮部報告現(xiàn)場進展，確保信息傳遞準確及時。

2.3.4后勤保障組

構(gòu)成單位：后勤保障部、生產(chǎn)運行部。

職責：負責應(yīng)急物資調(diào)配、人員疏散與醫(yī)療救助。行動任務(wù)包括24小時內(nèi)提供防護服、滅火器、臨時電源等物資，協(xié)調(diào)疏散無關(guān)人員至安全區(qū)域，配合醫(yī)療機構(gòu)處理傷情。

2.4支持單位

2.4.1技術(shù)支持：第三方工控安全服務(wù)商，提供技術(shù)分析與工具支持。

2.4.2法律顧問：負責處理事件相關(guān)的法律事務(wù)與證據(jù)保全。

三、信息接報

3.1應(yīng)急值守電話

設(shè)立24小時應(yīng)急值守熱線（代碼：958），由安保部值班人員負責接聽，確保全年無休暢通。同時配置短信接收模塊，用于接收匿名或遠程報警信息。

3.2事故信息接收與內(nèi)部通報

3.2.1接收程序

任何部門發(fā)現(xiàn)物理訪問異常事件，需立即通過應(yīng)急熱線或內(nèi)部安全平臺上報至安保部，安保部經(jīng)初步核實后10分鐘內(nèi)通報指揮部辦公室。

3.2.2通報方式

重大事件通過加密電話、專用網(wǎng)絡(luò)通道向生產(chǎn)、IT等部門同步通報，同時啟動企業(yè)內(nèi)部廣播系統(tǒng)循環(huán)播報警示信息。一般事件采用安全平臺即時消息功能通知相關(guān)責任人。

3.2.3責任人

信息報告第一責任人：事件發(fā)現(xiàn)部門負責人；信息核實責任人：安保部值班經(jīng)理；信息通報責任人：指揮部辦公室秘書。

3.3向上級報告事故信息

3.3.1報告流程

一級響應(yīng)事件在1小時內(nèi)向主管行業(yè)部門報送初步報告，包括事件類型、發(fā)生時間、地點、初步影響等要素；二級響應(yīng)在4小時內(nèi)完成報告。報告通過政府安全監(jiān)管平臺或指定郵箱提交，涉及工控系統(tǒng)癱瘓需附帶系統(tǒng)拓撲圖及異常日志。

3.3.2報告內(nèi)容

報告包含事件要素、應(yīng)急處置措施、已造成損失、預(yù)計影響范圍、下一步措施等模塊，必要時附專家會商意見。

3.3.3時限與責任人

報告編制責任人：信息中心技術(shù)主管；首次報告時限責任人：總指揮；后續(xù)續(xù)報責任人：現(xiàn)場指揮部聯(lián)絡(luò)員。

3.4向外部單位通報信息

3.4.1通報方法

涉及公共安全的事件通過應(yīng)急廣播系統(tǒng)發(fā)布警示，影響下游企業(yè)時通過行業(yè)安全聯(lián)盟平臺共享預(yù)警信息。

3.4.2通報程序

安保部根據(jù)指揮部指令，確定通報對象層級，逐級發(fā)送安全通報函，明確風險等級、防范措施及聯(lián)系方式。

3.4.3責任人

通報審核責任人：法律事務(wù)部；執(zhí)行責任人：對外聯(lián)絡(luò)專員。

四、信息處置與研判

4.1響應(yīng)啟動程序與方式

4.1.1手動啟動

應(yīng)急指揮部辦公室接報后30分鐘內(nèi)完成事件初步研判，形成《響應(yīng)啟動建議報告》提交應(yīng)急領(lǐng)導小組。領(lǐng)導小組根據(jù)事件要素清單（含入侵性質(zhì)、影響工控系統(tǒng)數(shù)量、數(shù)據(jù)篡改風險等級等指標）表決決定響應(yīng)級別，由總指揮簽發(fā)啟動令并通過加密渠道下達各工作組。

4.1.2自動啟動

預(yù)設(shè)事件觸發(fā)條件：核心區(qū)域門禁系統(tǒng)連續(xù)3次誤報警且無法復位，或監(jiān)控錄像顯示未授權(quán)人員攜帶工具進入控制室等情形。條件滿足后系統(tǒng)自動觸發(fā)二級響應(yīng)，同步向指揮部及行業(yè)監(jiān)管平臺推送預(yù)警信息。

4.1.3預(yù)警啟動

事件未達響應(yīng)條件但存在擴散風險時，由應(yīng)急領(lǐng)導小組啟動預(yù)警狀態(tài)，發(fā)布《物理訪問安全風險通報》，要求相關(guān)區(qū)域進入加強態(tài)勢，例如增加巡檢頻次、臨時升級網(wǎng)絡(luò)隔離等級。預(yù)警期間每日召開短會研判，條件惡化則升級為正式響應(yīng)。

4.2響應(yīng)級別調(diào)整機制

4.2.1跟蹤研判

響應(yīng)啟動后每2小時組織專題分析會，研判指標包括：受影響工控系統(tǒng)數(shù)量變化、惡意代碼傳播速率、外部攻擊團伙活動特征等。采用貝葉斯模型動態(tài)評估事件發(fā)展概率。

4.2.2級別調(diào)整條件

升級條件：檢測到攻擊者橫向移動至核心系統(tǒng)，或數(shù)據(jù)備份系統(tǒng)被破壞；降級條件：入侵路徑被完全封堵，且72小時內(nèi)未發(fā)現(xiàn)新增攻擊行為。

4.2.3調(diào)整程序

調(diào)整建議由現(xiàn)場指揮部提交《級別變更報告》，經(jīng)指揮部辦公室審核后報總指揮批準，24小時內(nèi)完成命令傳達與資源配置優(yōu)化。例如某事件中，因攻擊者利用漏洞擴散至3個工廠的系統(tǒng)，二級響應(yīng)在36小時后升級為一級響應(yīng)，增調(diào)了網(wǎng)絡(luò)取證專家組。

4.2.4避免誤判

對疑似事件采用“三重驗證”原則，即技術(shù)檢測+人工核查+環(huán)境確認，防止因設(shè)備誤報導致過度響應(yīng)，造成生產(chǎn)秩序波動。

五、預(yù)警

5.1預(yù)警啟動

5.1.1發(fā)布渠道

通過企業(yè)內(nèi)部安全廣播、移動APP推送、專用郵件組、應(yīng)急指揮大屏等渠道發(fā)布。涉及工控系統(tǒng)關(guān)鍵設(shè)備時，同步向維護人員發(fā)送帶有設(shè)備拓撲圖的風險預(yù)警。

5.1.2發(fā)布方式

采用分級變色標識，黃色預(yù)警表示潛在威脅，如監(jiān)控設(shè)備異常；橙色預(yù)警表示風險確認，如檢測到未授權(quán)訪問嘗試；紅色預(yù)警表示攻擊初步成功，如工控參數(shù)被異常修改。

5.1.3發(fā)布內(nèi)容

包含事件要素（時間、地點、威脅類型）、影響范圍（受威脅設(shè)備列表、業(yè)務(wù)中斷可能性）、防范建議（臨時隔離措施、補丁更新要求）及響應(yīng)聯(lián)系人信息。

5.2響應(yīng)準備

5.2.1隊伍準備

啟動人員編組預(yù)置方案，物理防護組立即集結(jié)，系統(tǒng)恢復組攜帶檢測工具趕赴現(xiàn)場，應(yīng)急通信組檢查備用鏈路狀態(tài)。

5.2.2物資準備

啟動應(yīng)急物資清單，調(diào)配防爆工具、煙霧彈、身份識別設(shè)備、臨時網(wǎng)絡(luò)設(shè)備等。對關(guān)鍵區(qū)域增加備用電源和隔離設(shè)備。

5.2.3裝備準備

檢查監(jiān)控錄像回放功能、入侵檢測系統(tǒng)日志抓取工具、工控系統(tǒng)備份介質(zhì)等裝備狀態(tài)，確保隨時可用。

5.2.4后勤準備

評估可能的人員疏散需求，準備應(yīng)急照明、急救包、臨時住所等。

5.2.5通信準備

檢查應(yīng)急頻段對講機、衛(wèi)星電話、外部協(xié)作單位聯(lián)絡(luò)渠道是否暢通，建立加密溝通群組。

5.3預(yù)警解除

5.3.1解除條件

風險源消除（如入侵者被抓獲、漏洞被修復）、監(jiān)測系統(tǒng)連續(xù)24小時未檢測到異常行為、受影響系統(tǒng)恢復運行且未發(fā)現(xiàn)后門。

5.3.2解除要求

由信息中心出具《風險消除評估報告》，報應(yīng)急領(lǐng)導小組審批后通過原發(fā)布渠道發(fā)布解除公告，并記錄預(yù)警期間處置情況。

5.3.3責任人

預(yù)警解除審批責任人：總指揮；評估報告編制責任人：信息中心安全工程師。

六、應(yīng)急響應(yīng)

6.1響應(yīng)啟動

6.1.1響應(yīng)級別確定

根據(jù)事件要素清單（含入侵持續(xù)時間、工控系統(tǒng)受影響程度、數(shù)據(jù)破壞規(guī)模等指標）及《響應(yīng)分級》規(guī)定，由應(yīng)急指揮部辦公室研判后提出級別建議，報應(yīng)急領(lǐng)導小組在1小時內(nèi)批復。

6.1.2程序性工作

6.1.2.1應(yīng)急會議

啟動后4小時內(nèi)召開指揮部第一次全體會議，確定處置方案；重大事件每日召開研判會。

6.1.2.2信息上報

按照規(guī)定時限向主管部門報送事件報告，初期報告包含核心要素，后續(xù)報告補充處置進展。

6.1.2.3資源協(xié)調(diào)

啟動資源調(diào)配清單，由后勤保障組協(xié)調(diào)人員、物資、裝備，信息中心協(xié)調(diào)技術(shù)支持。

6.1.2.4信息公開

根據(jù)事件性質(zhì)，由公關(guān)部門制定發(fā)布口徑，通過官方渠道發(fā)布簡要信息。

6.1.2.5后勤及財力保障

財務(wù)部準備應(yīng)急資金，保障處置費用；后勤部保障人員食宿、交通。

6.2應(yīng)急處置

6.2.1事故現(xiàn)場處置

6.2.1.1警戒疏散

設(shè)立警戒區(qū)，疏散無關(guān)人員，設(shè)置警示標識，禁止無關(guān)車輛進入。

6.2.1.2人員搜救

如發(fā)生人員被困，由安保部聯(lián)合外部救援力量實施搜救，優(yōu)先保障生命安全。

6.2.1.3醫(yī)療救治

評估傷情風險，由應(yīng)急通信組聯(lián)系醫(yī)療單位，必要時啟動廠內(nèi)急救站。

6.2.1.4現(xiàn)場監(jiān)測

利用入侵檢測系統(tǒng)、網(wǎng)絡(luò)流量分析工具持續(xù)監(jiān)測異常行為，記錄原始日志。

6.2.1.5技術(shù)支持

技術(shù)支持組穿戴防靜電服、佩戴工控系統(tǒng)安全檢測設(shè)備，開展漏洞分析。

6.2.1.6工程搶險

修復受損設(shè)備需先進行安全評估，采用零接觸部署技術(shù)恢復系統(tǒng)。

6.2.1.7環(huán)境保護

如涉及有害物質(zhì)泄漏，由環(huán)保組穿戴防護裝備進行處置，防止污染擴散。

6.2.2人員防護

進入現(xiàn)場人員必須佩戴符合ISO15698標準的防護裝置，嚴格執(zhí)行清潔區(qū)-緩沖區(qū)-污染區(qū)流程。

6.3應(yīng)急支援

6.3.1外部支援請求

當事態(tài)超出處置能力時，由總指揮簽署《外部支援申請函》，通過應(yīng)急平臺發(fā)送至行業(yè)主管部門協(xié)調(diào)。

6.3.2聯(lián)動程序

提前與外部救援力量溝通處置方案，明確指揮關(guān)系和協(xié)作內(nèi)容。

6.3.3外部力量指揮

接收支援后成立聯(lián)合指揮組，由我方總指揮擔任組長，外部負責人擔任副組長，統(tǒng)一調(diào)度。

6.4響應(yīng)終止

6.4.1終止條件

事件危害消除、受影響系統(tǒng)恢復運行72小時且穩(wěn)定、無次生風險。

6.4.2終止要求

由現(xiàn)場指揮部出具《應(yīng)急終止評估報告》，報應(yīng)急領(lǐng)導小組批準后宣布終止，并開展后期處置工作。

6.4.3責任人

評估報告責任人：信息中心；終止審批責任人：總指揮。

七、后期處置

7.1污染物處理

7.1.1清理措施

對入侵現(xiàn)場實施多輪清掃，包括表面消毒、介質(zhì)銷毀（如檢測到惡意代碼污染的U盤）、環(huán)境采樣檢測等，確保物理媒介安全。

7.1.2廢物處置

將受污染的防護用品、臨時設(shè)備等作為危險廢物，交由具備資質(zhì)的單位進行無害化處理。

7.2生產(chǎn)秩序恢復

7.2.1系統(tǒng)驗證

采用紅藍對抗測試方法驗證工控系統(tǒng)功能，確認無后門程序后方可恢復運行。

7.2.2生產(chǎn)調(diào)試

按照先核心后非核心的原則逐步恢復生產(chǎn)，對受影響的工段增加巡檢頻次，穩(wěn)定運行48小時后解除臨時管控措施。

7.3人員安置

7.3.1心理疏導

對參與應(yīng)急處置的人員開展心理評估，必要時安排專業(yè)機構(gòu)提供輔導。

7.3.2善后服務(wù)

評估事件對員工造成的影響，協(xié)調(diào)相關(guān)部門提供必要的幫助。

八、應(yīng)急保障

8.1通信與信息保障

8.1.1通信聯(lián)系方式

建立應(yīng)急通信錄，包含指揮部成員、各工作組負責人、支持單位聯(lián)系人，通過加密電話、專用對講機組、衛(wèi)星電話等設(shè)備保障聯(lián)絡(luò)。

8.1.2通信方法

采用分級通信機制，一級響應(yīng)啟用北斗短報文、量子加密電話等高保密性手段，二級響應(yīng)通過VPN傳輸數(shù)據(jù)，三級響應(yīng)利用企業(yè)內(nèi)部網(wǎng)絡(luò)。

8.1.3備用方案

預(yù)存應(yīng)急頻段無線電許可，配置便攜式基站用于網(wǎng)絡(luò)中斷時建立臨時通信網(wǎng)絡(luò)。

8.1.4保障責任人

通信保障組負責人：信息中心網(wǎng)絡(luò)主管；設(shè)備維護責任人：安保部通信工程師。

8.2應(yīng)急隊伍保障

8.2.1人力資源構(gòu)成

8.2.1.1專家?guī)?/p>

聘請工控安全領(lǐng)域院士、權(quán)威機構(gòu)研究員等組成專家委員會，提供技術(shù)指導。

8.2.1.2專兼職隊伍

成立30人的物理防護隊（安保部人員為主），配備防爆工具箱、光學取證設(shè)備；組建20人的IT應(yīng)急隊（信息中心骨干）。

8.2.1.3協(xié)議隊伍

與具備工控系統(tǒng)安全資質(zhì)的第三方公司簽訂合作協(xié)議，明確響應(yīng)等級與費用標準。

8.2.2責任人

隊伍管理責任人：應(yīng)急指揮部辦公室主任。

8.3物資裝備保障

8.3.1物資清單

類型：防護類（防靜電服、護目鏡、呼吸器）、檢測類（網(wǎng)絡(luò)掃描儀、內(nèi)存取證工具）、隔離類（工業(yè)級防火墻、單向玻璃門）、備份類（便攜式服務(wù)器、移動硬盤）。

8.3.2規(guī)格參數(shù)

每類物資標注技術(shù)參數(shù)、認證標識（如防爆標志Ex），確保符合工控系統(tǒng)環(huán)境要求。

8.3.3存放位置

設(shè)立專用物資庫，要求溫濕度控制、雙鎖管理，核心設(shè)備放置在地下掩體。

8.3.4運輸使用

危險品需符合交通運輸部規(guī)定，現(xiàn)場使用前進行功能校驗。

8.3.5更新補充

每年對物資進行盤點，根據(jù)技術(shù)更新周期（如每3年更換內(nèi)存取證工具）制定補充計劃。

8.3.6臺賬管理

建立電子臺賬，記錄物資編號、數(shù)量、存放批次、領(lǐng)用時間，指定物資管理員（后勤保障部張工）負責維護。

九、其他保障

9.1能源保障

9.1.1雙路供電

核心區(qū)域采用UPS+柴油發(fā)電機雙路供電，確保應(yīng)急時系統(tǒng)持續(xù)運行。

9.1.2能源調(diào)度

設(shè)立能源管控小組，協(xié)調(diào)生產(chǎn)、后勤部門優(yōu)先保障應(yīng)急照明、通信設(shè)備用電。

9.2經(jīng)費保障

9.2.1預(yù)算編制

年度預(yù)算包含應(yīng)急費用科目，額度滿足72小時全廠停產(chǎn)損失。

9.2.2資金使用

財務(wù)部設(shè)立應(yīng)急資金快速審批通道，重大事件可動用備用信貸額度。

9.3交通運輸保障

9.3.1車輛調(diào)配

配備2輛應(yīng)急指揮車（含衛(wèi)星通信車），確保人員、物資運輸。

9.3.2道路暢通

與市政部門建立聯(lián)動機制，確保應(yīng)急車輛通行優(yōu)先。

9.4治安保障

9.4.1警力聯(lián)動

與屬地公安機關(guān)簽訂協(xié)議，應(yīng)急時派駐警力協(xié)助維持秩序。

9.4.2邊界管控

加強廠區(qū)圍欄、監(jiān)控聯(lián)動，防止無關(guān)人員闖入。

9.5技術(shù)保障

9.5.1技術(shù)平臺

部署態(tài)勢感知平臺，整合工控安全信息，實現(xiàn)威脅可視化。

9.5.2研發(fā)支持

與高校共建聯(lián)合實驗室，開展工控系統(tǒng)物理防護技術(shù)攻關(guān)。

9.6醫(yī)療保障

9.6.1醫(yī)療站

設(shè)置配備急救設(shè)備的廠內(nèi)醫(yī)療站，定期開展急救培訓。

9.6.2綠色通道

與就近醫(yī)院建立綠色通道，應(yīng)急時優(yōu)先救治傷員。

9.7后勤保障

9.7.1人員安置

設(shè)立臨時安置點，儲備食品、飲用水等生活物資。

9.7.2環(huán)境監(jiān)測

啟動環(huán)境監(jiān)測站，對空氣、水體進行檢測，防止污染擴散。

十、應(yīng)急預(yù)案培訓

10.1培訓內(nèi)容

培訓內(nèi)容涵蓋應(yīng)急預(yù)案體系框架、物理訪問控制標準（如ISO27001物理安全要求）、事件分級標準、應(yīng)急響應(yīng)流程（含SOPs）、工控系統(tǒng)脆弱性分析（如SCADA系統(tǒng)通信協(xié)議漏洞）、現(xiàn)場處置技術(shù)（如數(shù)字取證鏈