第第PAGE\MERGEFORMAT1頁共NUMPAGES\MERGEFORMAT1頁分布式拒絕服務攻擊事件應急預案一、總則

1適用范圍

本預案適用于本單位運營的各類信息系統(tǒng)及網(wǎng)絡基礎設施遭受分布式拒絕服務攻擊（DDoS）事件。適用范圍涵蓋但不限于核心業(yè)務系統(tǒng)、官方網(wǎng)站、客戶服務渠道及數(shù)據(jù)存儲平臺。DDoS攻擊可能導致服務中斷、網(wǎng)絡擁堵、數(shù)據(jù)泄露或系統(tǒng)癱瘓，影響正常生產(chǎn)經(jīng)營活動及企業(yè)聲譽。以某金融機構(gòu)為例，2019年某次DDoS攻擊導致其核心交易系統(tǒng)響應時間延遲超過300秒，交易量下降約60%，經(jīng)濟損失超過500萬元。此類事件一旦發(fā)生，必須立即啟動應急響應機制。

2響應分級

根據(jù)事故危害程度、影響范圍及企業(yè)控制事態(tài)的能力，將DDoS攻擊應急響應分為三級。

1級（重大）響應：攻擊導致核心業(yè)務系統(tǒng)完全中斷，網(wǎng)絡帶寬消耗超過70%，或攻擊流量峰值超過1Gbps，且預計恢復時間超過4小時。此時需立即啟動跨部門應急小組，聯(lián)動上游運營商及安全廠商實施全網(wǎng)流量清洗。參考某電商企業(yè)遭遇的攻擊事件，其單日峰值流量達10Gbps，導致全國站點服務不可用，直接經(jīng)濟損失超2000萬元。

2級（較大）響應：攻擊造成部分業(yè)務系統(tǒng)響應緩慢，帶寬消耗超過30%，或攻擊流量峰值介于500Mbps至1Gbps之間，預計恢復時間2小時至4小時。此時需啟動部門級應急小組，重點保障關(guān)鍵業(yè)務鏈路。某在線教育平臺曾遇此類攻擊，導致直播課程卡頓率超過50%，用戶投訴量激增。

3級（一般）響應：攻擊僅影響非核心系統(tǒng)或單點區(qū)域，帶寬消耗低于30%，或攻擊流量低于500Mbps，預計恢復時間2小時內(nèi)。此時由IT部門自行處置，無需跨部門協(xié)調(diào)。某零售企業(yè)官網(wǎng)曾遇此類攻擊，通過臨時提升帶寬緩解了服務壓力。

分級響應原則以攻擊影響的關(guān)鍵業(yè)務指標為基準，兼顧資源投入與恢復效率，確保在最小化損失的前提下快速遏制事態(tài)。

二、應急組織機構(gòu)及職責

1應急組織形式及構(gòu)成單位

成立DDoS攻擊應急指揮部，由總經(jīng)理擔任總指揮，分管信息、運營的副總經(jīng)理擔任副總指揮。指揮部下設四個工作小組，分別為技術(shù)處置組、業(yè)務保障組、外部協(xié)調(diào)組及后勤保障組。各小組構(gòu)成及職責如下：

2應急指揮部

2.1總指揮：負責應急響應工作的統(tǒng)一領(lǐng)導和決策，批準應急預案的啟動與終止，協(xié)調(diào)重大資源需求。

2.2副總指揮：協(xié)助總指揮開展工作，負責應急狀態(tài)下生產(chǎn)調(diào)度和人員調(diào)配。

3技術(shù)處置組

3.1構(gòu)成單位：網(wǎng)絡運維部、信息安全部、系統(tǒng)開發(fā)部。

3.2職責分工：負責攻擊監(jiān)測、流量分析、黑產(chǎn)識別、防御策略制定與實施，包括但不限于啟用清洗設備、調(diào)整防火墻規(guī)則、隔離受損節(jié)點。行動任務包括每小時輸出攻擊態(tài)勢報告，每30分鐘評估系統(tǒng)可用性，優(yōu)先保障金融交易、客戶服務等核心業(yè)務鏈路。需掌握BGP策略調(diào)整、DNS重定向等高級防御技術(shù)。

4業(yè)務保障組

4.1構(gòu)成單位：運營部、客服部、市場部。

4.2職責分工：監(jiān)控受影響業(yè)務指標，及時調(diào)整業(yè)務運行模式，如切換至備用系統(tǒng)、啟用短信等輔助渠道。負責收集用戶反饋，制定臨時溝通口徑，維護客戶關(guān)系。行動任務包括每2小時匯報業(yè)務恢復進度，協(xié)調(diào)開發(fā)團隊緊急修復漏洞。需熟悉業(yè)務SLA標準及災備切換流程。

5外部協(xié)調(diào)組

5.1構(gòu)成單位：法務部、采購部、公關(guān)部。

5.2職責分工：負責與上游運營商、安全廠商、監(jiān)管機構(gòu)溝通，爭取外部資源支持。行動任務包括每日輸出攻擊溯源報告，配合公安機關(guān)進行日志取證，發(fā)布官方聲明。需具備跨組織協(xié)調(diào)經(jīng)驗，熟悉《網(wǎng)絡安全法》相關(guān)條款。

6后勤保障組

6.1構(gòu)成單位：行政部、財務部、人力資源部。

6.2職責分工：保障應急物資供應，如備用帶寬、設備備件；調(diào)配應急人員，協(xié)調(diào)第三方服務商；做好費用管控與記錄。行動任務包括每半天盤點應急物資庫存，為現(xiàn)場處置人員提供交通、住宿支持。需建立供應商管理臺賬，確保服務合同有效性。

三、信息接報

1應急值守電話

設立24小時應急值守熱線（號碼保密），由總值班室負責值守，確保DDoS攻擊事件發(fā)生時第一時間響應。同時，信息技術(shù)部、網(wǎng)絡安全中心配備專用聯(lián)系電話，實行分級接報。

2事故信息接收與內(nèi)部通報

2.1接收程序：

信息技術(shù)部負責通過監(jiān)控系統(tǒng)、安全設備告警、用戶投訴等渠道實時監(jiān)測攻擊事件，由值班工程師初步核實事件性質(zhì)與影響。

2.2通報方式：

初步確認重大（1級）攻擊后，值班工程師立即通過企業(yè)內(nèi)部即時通訊工具（如企業(yè)微信、釘釘）向技術(shù)處置組、業(yè)務保障組核心成員推送預警信息，同時生成包含攻擊類型、流量峰值、受影響系統(tǒng)等要素的簡報，通過OA系統(tǒng)發(fā)送至指揮部成員郵箱。

2.3責任人：

信息技術(shù)部值班工程師為首次接報責任人，負責信息核驗與初步上報；總值班室負責人負責匯總通報內(nèi)容，確保信息傳遞鏈完整。

3向上級主管部門、上級單位報告

3.1報告流程：

1級攻擊事件發(fā)生2小時內(nèi)，應急指揮部通過加密電話或政務專網(wǎng)向主管部門報送《DDoS攻擊應急報告》，內(nèi)容包含攻擊時間、峰值流量、影響范圍、已采取措施及預計恢復時間。

3.2報告內(nèi)容：

報告需附帶攻擊流量曲線圖、受影響業(yè)務中斷詳情、系統(tǒng)日志快照等附件，符合《網(wǎng)絡安全應急響應工作指南》格式要求。

3.3時限與責任人：

應急指揮部總指揮為報告責任人，確保信息報送時效性。2級攻擊事件根據(jù)主管部門要求另行報送，3級攻擊僅向技術(shù)監(jiān)管部門備案。

4向單位以外的有關(guān)部門或單位通報

4.1通報方法：

重大攻擊事件發(fā)生后，由外部協(xié)調(diào)組通過政務服務平臺或加密渠道向網(wǎng)信辦、公安網(wǎng)安部門通報，同步發(fā)送《網(wǎng)絡安全事件報告》。涉及跨行業(yè)合作時，通過行業(yè)協(xié)會應急聯(lián)絡機制通報相關(guān)企業(yè)。

4.2程序與責任人：

法務部與信息技術(shù)部聯(lián)合審核通報內(nèi)容，確保不泄露商業(yè)秘密；外部協(xié)調(diào)組負責人最終簽發(fā)通報文件，并記錄存檔。對于可能引發(fā)公共關(guān)注的攻擊事件，由公關(guān)部配合發(fā)布官方通報，統(tǒng)一口徑。

四、信息處置與研判

1響應啟動程序與方式

1.1手動啟動：當接報信息達到2級響應條件時，信息技術(shù)部立即向應急指揮部報告，指揮部在30分鐘內(nèi)召開緊急會議，研判后決定是否啟動應急響應。會議需形成書面決議，由總指揮簽發(fā)后發(fā)布至各小組。

1.2自動啟動：當攻擊事件確認達到1級響應條件時（如核心業(yè)務系統(tǒng)可用性低于20%且?guī)捪某?0%），信息技術(shù)部通過預設腳本自動觸發(fā)應急響應流程，同時通知指揮部啟動備用預案。

1.3預警啟動：對于接近2級響應標準的攻擊事件（如攻擊流量持續(xù)超過200Mbps且影響非核心業(yè)務），指揮部可決定啟動預警狀態(tài)，各小組進入待命模式，每15分鐘輸出一次分析報告。預警狀態(tài)持續(xù)超過1小時且攻擊加劇，自動升級為正式響應。

2事態(tài)發(fā)展與級別調(diào)整

2.1跟蹤機制：技術(shù)處置組建立攻擊事件知識圖譜，實時關(guān)聯(lián)攻擊源IP、攻擊手法、防御策略與效果，采用貝葉斯模型評估事態(tài)發(fā)展趨勢。

2.2級別調(diào)整：響應啟動后，指揮部每2小時組織研判會議，根據(jù)以下標準調(diào)整響應級別：

-改善：攻擊流量下降50%且核心業(yè)務恢復至90%以上，可降級至2級；

-惡化：新增攻擊向量（如CC攻擊加入UDPflood）、影響范圍擴大至第三方系統(tǒng)，需升級至1級；

-自動降級：預警狀態(tài)持續(xù)4小時未升級為正式響應，自動解除預警。

2.3調(diào)整權(quán)限：級別調(diào)整由副總指揮決策，重大調(diào)整需報總指揮批準。調(diào)整決定需同步更新至監(jiān)控系統(tǒng)告警閾值，確保處置措施匹配事態(tài)嚴重性。

3分析處置需求

3.1需求分析：業(yè)務保障組提供受影響系統(tǒng)恢復優(yōu)先級清單（按SLA等級排序），技術(shù)處置組結(jié)合攻擊特征制定針對性處置方案，包括但不限于調(diào)整BGP權(quán)重、優(yōu)化DNS緩存策略、應用蜜罐誘捕攻擊流。

3.2動態(tài)優(yōu)化：外部協(xié)調(diào)組實時監(jiān)測上游運營商清洗效果，根據(jù)丟包率、延遲等指標反饋處置效果，必要時更換清洗服務商。需建立處置效果評估矩陣，量化各項措施貢獻度。

五、預警

1預警啟動

1.1發(fā)布渠道：通過企業(yè)內(nèi)部應急廣播、即時通訊群組、郵件系統(tǒng)發(fā)布預警信息。核心技術(shù)人員手機號加入短信預警白名單。

1.2發(fā)布方式：采用分級推送機制，信息技術(shù)部初步判定為預警級別后，生成包含攻擊類型（如SYNflood）、預估峰值流量、影響范圍（如官網(wǎng)、APP）的簡報，由總值班室統(tǒng)一發(fā)布。

1.3發(fā)布內(nèi)容：預警級別、攻擊特征描述、受影響資產(chǎn)清單、建議采取的臨時加固措施（如限制來源IP段）、預警發(fā)布時間、責任部門。

2響應準備

2.1隊伍準備：技術(shù)處置組進入24小時值班狀態(tài)，關(guān)鍵崗位人員保持通訊暢通；業(yè)務保障組梳理非核心業(yè)務切換方案；外部協(xié)調(diào)組聯(lián)系備用帶寬供應商。

2.2物資與裝備：檢查流量清洗設備余量，補充應急帶寬套餐；啟動備用機房供電系統(tǒng)；確保沙箱環(huán)境、蜜罐系統(tǒng)可用。

2.3后勤保障：行政部協(xié)調(diào)應急響應期間的交通、住宿安排；財務部準備應急采購授權(quán)；人力資源部做好人員調(diào)配預案。

2.4通信保障：測試備用通訊線路（衛(wèi)星電話、對講機）信號強度；建立與運營商、安全廠商的即時溝通群組。

3預警解除

3.1解除條件：攻擊流量下降至正常水平（如低于50Mbps），核心業(yè)務系統(tǒng)可用性恢復至95%以上，持續(xù)監(jiān)測30分鐘無復發(fā)。

3.2解除要求：由技術(shù)處置組提交解除預警申請，經(jīng)指揮部審核通過后，通過原發(fā)布渠道發(fā)布解除通知，并記錄預警持續(xù)時間及處置效果。

3.3責任人：技術(shù)處置組負責人為預警解除申請人，總指揮為最終審批人。

六、應急響應

1響應啟動

1.1響應級別確定：根據(jù)《DDoS攻擊應急響應分級表》自動或經(jīng)指揮部研判確定響應級別。例如，攻擊導致金融交易系統(tǒng)可用性低于30%且?guī)捪某?0%，自動啟動1級響應。

1.2程序性工作：

1.2.1應急會議：指揮部30分鐘內(nèi)召開首次響應會議，確定處置方案，每4小時召開進度協(xié)調(diào)會。

1.2.2信息上報：1級響應2小時內(nèi)向主管部門報送初報，每日更新處置進展。

1.2.3資源協(xié)調(diào)：技術(shù)處置組申請啟動應急資源池（如云清洗服務），外部協(xié)調(diào)組聯(lián)系運營商開通專用清洗通道。

1.2.4信息公開：公關(guān)部根據(jù)指揮部要求，通過官網(wǎng)公告、社交媒體發(fā)布臨時通知，說明服務異常情況。

1.2.5后勤及財力保障：后勤保障組協(xié)調(diào)應急場所，財務部審批應急費用。

2應急處置

2.1應急現(xiàn)場處置：

2.1.1警戒疏散：信息技術(shù)部封鎖攻擊監(jiān)測室，無關(guān)人員禁止入內(nèi)。

2.1.2人員搜救：不適用，改為系統(tǒng)賬號恢復。

2.1.3醫(yī)療救治：不適用，改為安撫受影響員工情緒。

2.1.4現(xiàn)場監(jiān)測：技術(shù)處置組每10分鐘輸出攻擊流量、資源消耗報告，使用Wireshark分析攻擊包特征。

2.1.5技術(shù)支持：安全廠商專家遠程接入監(jiān)控系統(tǒng)，提供流量清洗策略建議。

2.1.6工程搶險：網(wǎng)絡運維部調(diào)整路由策略，隔離受損網(wǎng)段；系統(tǒng)開發(fā)部緊急修復系統(tǒng)漏洞。

2.1.7環(huán)境保護：不適用，改為確保機房溫濕度正常。

2.2人員防護：所有現(xiàn)場處置人員需佩戴防靜電手環(huán)，使用專用電腦終端，處置結(jié)束后進行病毒掃描。

3應急支援

3.1請求支援程序及要求：

當內(nèi)部處置效果不佳（如清洗設備飽和度持續(xù)超90%）時，外部協(xié)調(diào)組通過應急聯(lián)動平臺向網(wǎng)信辦、公安網(wǎng)安部門發(fā)送支援請求，附攻擊溯源報告、資源需求清單。

3.2聯(lián)動程序及要求：

接到支援請求后，指揮部指定聯(lián)絡人（信息技術(shù)部經(jīng)理）與外部力量對接，提供系統(tǒng)拓撲圖、攻擊特征庫等資料，明確協(xié)作界面。

3.3指揮關(guān)系：外部力量到達后，由應急指揮部總指揮統(tǒng)一指揮，必要時成立聯(lián)合指揮組，原指揮部成員參與決策。

4響應終止

4.1終止條件：攻擊停止，核心業(yè)務系統(tǒng)連續(xù)24小時穩(wěn)定運行，資源消耗回降至正常水平。

4.2終止要求：技術(shù)處置組提交終止申請，經(jīng)指揮部確認后，逐步撤銷應急資源，恢復正常運營模式。

4.3責任人：技術(shù)處置組負責人為申請責任人，總指揮為審批責任人。

七、后期處置

1污染物處理

1.1日志分析：技術(shù)處置組對攻擊期間產(chǎn)生的日志進行脫敏處理，采用ELKStack進行關(guān)聯(lián)分析，識別攻擊源IP與利用的漏洞，形成攻擊報告存檔。

1.2系統(tǒng)消毒：對受攻擊系統(tǒng)執(zhí)行全面漏洞掃描，清除惡意腳本，修復系統(tǒng)漏洞，重新部署安全補丁。

1.3數(shù)據(jù)恢復：數(shù)據(jù)備份中心恢復受影響數(shù)據(jù)，采用數(shù)據(jù)校驗工具（如MD5校驗）確保數(shù)據(jù)完整性，恢復后進行壓力測試。

2生產(chǎn)秩序恢復

2.1業(yè)務切換：按預定切換方案恢復業(yè)務系統(tǒng)，采用灰度發(fā)布策略逐步開放服務，監(jiān)控核心交易指標（如TPS、響應時間）。

2.2服務質(zhì)量監(jiān)控：每2小時輸出業(yè)務性能報告，指標恢復至預警前95%水平后，解除應急狀態(tài)。

2.3安全加固：提升網(wǎng)絡安全設備閾值，增加DDoS攻擊檢測規(guī)則，部署行為分析系統(tǒng)進行實時威脅檢測。

3人員安置

3.1員工安撫：人力資源部對受影響員工進行心理疏導，溝通部發(fā)布事件說明，穩(wěn)定員工情緒。

3.2經(jīng)驗總結(jié)：指揮部組織技術(shù)處置組、業(yè)務保障組召開復盤會，形成《DDoS攻擊處置復盤報告》，明確責任與改進措施。

3.3資金結(jié)算：財務部核算應急期間產(chǎn)生的費用，包括清洗服務費、系統(tǒng)修復費，納入下季度預算。

八、應急保障

1通信與信息保障

1.1保障單位及人員：總值班室負責應急期間總協(xié)調(diào)，信息技術(shù)部、外部協(xié)調(diào)組為關(guān)鍵聯(lián)絡單位，指定每單位2名應急通信聯(lián)絡員。

1.2通信聯(lián)系方式和方法：建立包含內(nèi)外部聯(lián)系方式的應急通訊錄，通過加密即時通訊工具、專用電話線、衛(wèi)星電話保障通信。啟用備用電源（UPS）確保通信設備持續(xù)運行。

1.3備用方案：準備BGP多路徑路由方案，與至少2家運營商簽訂應急帶寬協(xié)議；配置備用短信網(wǎng)關(guān)和郵件服務器。

1.4保障責任人：總值班室主任為通信保障總負責人，各聯(lián)絡員對其分管渠道負責。

2應急隊伍保障

2.1人力資源：

2.1.1專家組：由網(wǎng)絡安全領(lǐng)域資深工程師、高校研究員組成，每月召開1次培訓會，通過視頻會議系統(tǒng)提供遠程技術(shù)支持。

2.1.2專兼職隊伍：信息技術(shù)部員工為專職隊伍，每季度進行攻防演練；外包安全廠商人員作為兼職力量，通過服務協(xié)議提供支持。

2.1.3協(xié)議隊伍：與3家網(wǎng)絡安全公司簽訂應急支援協(xié)議，明確響應時間與服務費用標準。

2.2隊伍管理：人力資源部建立應急人員技能檔案，外部協(xié)調(diào)組負責與協(xié)議隊伍保持聯(lián)絡。

3物資裝備保障

3.1物資清單：

3.1.1類型：流量清洗設備（容量5Gbps）、防火墻（吞吐量20Gbps）、備用帶寬（100Mbps/天）、筆記本電腦（10臺）、打印機（2臺）、應急照明設備（10套）。

3.1.2數(shù)量與性能：清洗設備支持HTTP/HTTPS/ICMP協(xié)議清洗，防火墻支持深度包檢測。

3.1.3存放位置：應急物資存放在數(shù)據(jù)中心機房B區(qū)，設備貼有標簽并上鎖。

3.1.4運輸及使用條件：運輸需使用專用工具車，避免震動；使用時由授權(quán)人員操作，遵循廠商手冊。

3.1.5更新補充：每年對清洗設備進行性能檢測，每半年校準防火墻規(guī)則庫，后勤保障組負責按清單補充物資。

3.2臺賬管理：資產(chǎn)管理部建立電子臺賬，記錄物資編號、規(guī)格、數(shù)量、存放位置、責任人，每季度核對一次。

九、其他保障

1能源保障

1.1保障措施：數(shù)據(jù)中心配備2套獨立UPS系統(tǒng)（容量1200KVA），與市政電網(wǎng)實現(xiàn)雙路供電，備用發(fā)電機（2000KVA）每月試運行一次。

1.2責任人：電力保障組負責監(jiān)控電力系統(tǒng)狀態(tài)，行政部協(xié)調(diào)燃料供應。

2經(jīng)費保障

2.1保障措施：財務部設立應急專項資金（100萬元），包含設備采購、服務采購、第三方救援費用，審批權(quán)限放寬至部門級。建立應急費用快速報銷通道。

2.2責任人：財務部經(jīng)理為資金保障負責人。

3交通運輸保障

3.1保障措施：配備2輛應急保障車（含通信設備），確保人員、物資能快速到達現(xiàn)場。與出租車公司簽訂應急運輸協(xié)議。

3.2責任人：行政部負責車輛調(diào)度。

4治安保障

4.1保障措施：與屬地公安建立聯(lián)動機制，應急期間授權(quán)安保部門限制無關(guān)人員進入廠區(qū)，配備防爆設備（對講機、強光手電）。

4.2責任人：安保部經(jīng)理為治安保障負責人。

5技術(shù)保障

5.1保障措施：與安全廠商簽訂724小時技術(shù)支持協(xié)議，建立攻擊樣本庫，部署威脅情報訂閱服務。

5.2責任人：信息技術(shù)部總監(jiān)為技術(shù)保障總負責人。

6醫(yī)療保障

6.1保障措施：與就近醫(yī)院簽訂急救協(xié)議，配備急救箱（含AED設備），組織員工急救培訓。

6.2責任人：人力資源部負責急救物資管理。

7后勤保障

7.1保障措施：準備應急宿舍（20間）、食堂（可容納50人），儲備食品、飲用水、藥品。

7.2責任人：行政部負責后勤物資儲備與調(diào)配。

十、應急預案培訓

1培訓內(nèi)容

1.1培訓科目：DDoS攻擊事件分級標準、應急響應流程（含分級響應原則）、網(wǎng)絡安全設備操作（如清洗設備配置）、日志分析工具（如Wireshark使用）、溝通協(xié)調(diào)技巧、相關(guān)法律法規(guī)（如《網(wǎng)絡安全法》）。結(jié)合某金融機構(gòu)2021年真實攻擊事件，講解攻擊溯源方法與取證要點。

1.2專業(yè)術(shù)語融入：培訓中引入CC攻擊、UDPflood、流量清洗、BGP策略等術(shù)語，輔以實際攻擊流量特征圖進行說明。

2關(guān)鍵培訓人員

2.1識別標準：指揮部成員、各