信息安全應(yīng)急響應(yīng)預(yù)案.doc

1 59 深圳市深圳市 XXXXXX 信息安全應(yīng)急響應(yīng)預(yù)案信息安全應(yīng)急響應(yīng)預(yù)案 深圳市深圳市XXXXXX XX 年 XX 月 2 59 目錄目錄 1 1 總則總則 3 1 11 1 目的目的 3 1 21 2 現(xiàn)狀及其成因現(xiàn)狀及其成因 3 2 2 組織機(jī)構(gòu)及職責(zé)組織機(jī)構(gòu)及職責(zé) 3 2 12 1 應(yīng)急指揮機(jī)構(gòu)應(yīng)急指揮機(jī)構(gòu) 3 3 3 預(yù)警和預(yù)防機(jī)制預(yù)警和預(yù)防機(jī)制 3 3 13 1 信息監(jiān)測及報(bào)告信息監(jiān)測及報(bào)告 3 3 23 2 預(yù)警預(yù)警 3 3 33 3 預(yù)警支持系統(tǒng)預(yù)警支持系統(tǒng) 3 3 43 4 預(yù)防機(jī)制預(yù)防機(jī)制 3 4 4 應(yīng)急處理程序應(yīng)急處理程序 3 4 14 1 級(jí)別的確定級(jí)別的確定 3 4 24 2 預(yù)案啟動(dòng)預(yù)案啟動(dòng) 3 4 34 3 現(xiàn)場應(yīng)急處理現(xiàn)場應(yīng)急處理 3 4 44 4 報(bào)告和總結(jié)報(bào)告和總結(jié) 3 4 54 5 應(yīng)急行動(dòng)結(jié)束應(yīng)急行動(dòng)結(jié)束 3 5 5 保障措施保障措施 3 5 15 1 技術(shù)支撐保障技術(shù)支撐保障 3 5 25 2 應(yīng)急隊(duì)伍保障應(yīng)急隊(duì)伍保障 3 5 35 3 物質(zhì)條件保障物質(zhì)條件保障 3 5 45 4 技術(shù)儲(chǔ)備保障技術(shù)儲(chǔ)備保障 3 6 6 培訓(xùn)和演習(xí)培訓(xùn)和演習(xí) 3 6 16 1 人員培訓(xùn)人員培訓(xùn) 3 6 26 2 應(yīng)急演習(xí)應(yīng)急演習(xí) 3 7 7 監(jiān)督檢查與獎(jiǎng)懲監(jiān)督檢查與獎(jiǎng)懲 3 7 1預(yù)案執(zhí)行監(jiān)督 3 7 2獎(jiǎng)懲與責(zé)任 3 8 8 各種突發(fā)事件應(yīng)急預(yù)案各種突發(fā)事件應(yīng)急預(yù)案 3 8 18 1 通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案 3 8 1 18 1 1 通信網(wǎng)絡(luò)日常管理通信網(wǎng)絡(luò)日常管理 3 8 1 28 1 2 通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案清單通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案清單 3 8 28 2 業(yè)務(wù)數(shù)據(jù)故障應(yīng)急預(yù)案業(yè)務(wù)數(shù)據(jù)故障應(yīng)急預(yù)案 3 8 2 18 2 1 業(yè)務(wù)數(shù)據(jù)日常管理業(yè)務(wù)數(shù)據(jù)日常管理 3 8 2 28 2 2 業(yè)務(wù)數(shù)據(jù)故障預(yù)案清單業(yè)務(wù)數(shù)據(jù)故障預(yù)案清單 3 3 59 8 38 3 服務(wù)器軟件故障預(yù)案服務(wù)器軟件故障預(yù)案 3 8 48 4 服務(wù)器硬件故障應(yīng)急預(yù)案服務(wù)器硬件故障應(yīng)急預(yù)案 3 8 4 18 4 1 服務(wù)器硬件日常管理服務(wù)器硬件日常管理 3 8 4 2 服務(wù)器硬件故障預(yù)案清單 3 8 58 5 網(wǎng)絡(luò)攻擊事件預(yù)案網(wǎng)絡(luò)攻擊事件預(yù)案 3 8 68 6 病毒爆發(fā)應(yīng)急預(yù)案病毒爆發(fā)應(yīng)急預(yù)案 3 8 6 18 6 1 病毒防護(hù)日常管理病毒防護(hù)日常管理 3 8 6 2 病毒爆發(fā)應(yīng)急預(yù)案清單病毒爆發(fā)應(yīng)急預(yù)案清單 3 8 78 7 業(yè)務(wù)軟件故障應(yīng)急預(yù)案業(yè)務(wù)軟件故障應(yīng)急預(yù)案 3 8 7 18 7 1 業(yè)務(wù)軟件日常管理業(yè)務(wù)軟件日常管理 3 8 7 28 7 2 業(yè)務(wù)軟件故障預(yù)案清單業(yè)務(wù)軟件故障預(yù)案清單 3 8 88 8 應(yīng)急演練應(yīng)急演練 3 8 98 9 通用表格通用表格 3 8 9 18 9 1 信息信息安全事安全事件件報(bào)告表報(bào)告表 3 8 9 28 9 2 信息安全事件應(yīng)急處理結(jié)果報(bào)告表信息安全事件應(yīng)急處理結(jié)果報(bào)告表 3 8 108 10 深圳市深圳市 XXXXXX 信息突發(fā)事件處理組織機(jī)構(gòu)信息突發(fā)事件處理組織機(jī)構(gòu) 3 1 59 深圳市深圳市 XXXXXX 信息系統(tǒng)突發(fā)事件應(yīng)急預(yù)案信息系統(tǒng)突發(fā)事件應(yīng)急預(yù)案 本預(yù)案內(nèi)容包括總則 組織指揮體系及職責(zé) 預(yù)警和 預(yù)防機(jī)制 應(yīng)急處理程序 保障措施 各種突發(fā)事件應(yīng)急 預(yù)案等 明確規(guī)定了深圳市 XXX 在發(fā)生網(wǎng)絡(luò)與信息安全重 大突發(fā)事件情況下各部門的相關(guān)職能和工作方法 具有一 定的宏觀指導(dǎo)性和可操作性 對減少網(wǎng)絡(luò)與信息安全突發(fā) 事件 保障業(yè)務(wù)系統(tǒng)正常開展起著重要作用 1 1 總則 1 11 1 目的目的 為科學(xué)應(yīng)對網(wǎng)絡(luò)與信息安全 以下簡稱 信息安全 突發(fā)事件建立健全信息安全應(yīng)急響應(yīng)機(jī)制 有效預(yù)防 及 時(shí)控制和最大限度地消除信息安全各類突發(fā)事件的危害和 影響 1 21 2 現(xiàn)狀及其成因現(xiàn)狀及其成因 近年來 深圳市 XXX 信息安全工作得到加強(qiáng) 但信息 安全保障基礎(chǔ)工作和技術(shù)保障措施比較薄弱 與信息化快 速發(fā)展的要求和日趨嚴(yán)峻的信息安全形勢不協(xié)調(diào) 信息安全突發(fā)事件成因可分為兩個(gè)方面 一是網(wǎng)絡(luò)與 信息系統(tǒng)自身的脆弱性 主要表現(xiàn)在 安全漏洞的普遍性 攻擊和惡意代碼的流行性 入侵檢測能力的局限性 網(wǎng)絡(luò) 2 59 和系統(tǒng)管理的復(fù)雜性 二是網(wǎng)絡(luò)與信息系統(tǒng)外部體制性的 不安全性 主要表現(xiàn)在 信息安全法制不健全 全社會(huì)的 信息安全意識(shí)淡薄 深圳市 XXX 信息安全自主可控能力不 強(qiáng) 技術(shù)防御整體水平不高 信息安全專業(yè)人才缺乏 專 業(yè)隊(duì)伍建設(shè)嚴(yán)重滯后 2 2 組織機(jī)構(gòu)及職責(zé) 2 12 1 應(yīng)急指揮機(jī)構(gòu)應(yīng)急指揮機(jī)構(gòu) 2 1 12 1 1 深圳市深圳市 XXXXXX 信息系統(tǒng)突發(fā)事件應(yīng)急信息系統(tǒng)突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)小組 在深圳市 XXX 黨組的統(tǒng)一領(lǐng)導(dǎo)下 設(shè)立深圳市 XXX 信 息系統(tǒng)突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組 以下簡稱 信息突發(fā)事件應(yīng) 急領(lǐng)導(dǎo)小組 為深圳市 XXX 處理信息安全突發(fā)事件應(yīng)急 工作的綜合性議事 協(xié)調(diào)機(jī)構(gòu) 主要職責(zé)是 按照國家 廣東省 深圳市政府信息安 全應(yīng)急機(jī)構(gòu)的要求開展預(yù)防和處置工作 研究決定深圳市 XXX 信息安全應(yīng)急工作的有關(guān)重大問題 決定 III 級(jí)和 IV 級(jí)信息安全突發(fā)事件應(yīng)急預(yù)案的啟動(dòng) 組織力量對 III 級(jí) 和 IV 級(jí)突發(fā)事件進(jìn)行處置 接受深圳市政府信息安全應(yīng)急 機(jī)構(gòu)的統(tǒng)一領(lǐng)導(dǎo) 組織指揮 II 級(jí)和 I 級(jí)突發(fā)事件的應(yīng)急處 置工作 指導(dǎo)監(jiān)督信息安全應(yīng)急小組的工作 法律 法規(guī) 規(guī)章規(guī)定的其他職責(zé) 3 59 信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組 由 最高領(lǐng)導(dǎo)人 作為 主任 分管信息化工作的領(lǐng)導(dǎo) 作為副主任 成員由深 圳市 XXX 各部門部長組成 信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組下設(shè)應(yīng)急小組 由信息部 部長任組長 信息部副部長任副組長 信息部其它成員任 組員 承擔(dān)深圳市 XXX 信息安全專項(xiàng)應(yīng)急領(lǐng)導(dǎo)小組的日常 工作 負(fù)責(zé)深圳市 XXX 信息安全突發(fā)事件日常監(jiān)測與預(yù)警 其主要職責(zé)是 督促落實(shí)上級(jí)部門和深圳市 XXX 信息突發(fā)事件應(yīng)急領(lǐng) 導(dǎo)小組做出的決定和措施 擬訂或者組織擬訂深圳市 XXX 信息部應(yīng)對信息安全突 發(fā)事件的工作規(guī)劃和應(yīng)急預(yù)案 報(bào)深圳市 XXX 領(lǐng)導(dǎo)小組批 準(zhǔn)后組織實(shí)施 督促檢查信息安全專項(xiàng)應(yīng)急預(yù)案的制訂 修訂和執(zhí)行 情況 匯總有關(guān)信息安全突發(fā)事件的各種重要信息 進(jìn)行綜 合分析 并提出建議 監(jiān)督檢查 協(xié)調(diào)信息安全突發(fā)事件預(yù)防 應(yīng)急準(zhǔn)備 應(yīng)急處置和事后恢復(fù)與重建工作 組織制訂信息安全常識(shí) 應(yīng)急知識(shí)的宣傳培訓(xùn)計(jì)劃和 應(yīng)急救援隊(duì)伍的業(yè)務(wù)培訓(xùn) 演練計(jì)劃 報(bào)信息突發(fā)事件應(yīng) 急領(lǐng)導(dǎo)小組批準(zhǔn)后督促落實(shí) 4 59 組織專家組判定突發(fā)事件級(jí)別 根據(jù)情況提出加強(qiáng)或 撤銷控制措施的建議和意見 組織召開部門協(xié)調(diào)會(huì)議 協(xié) 調(diào)各部門共同做好突發(fā)事件處置工作 檢查督導(dǎo)突發(fā)事件 應(yīng)急措施的落實(shí)情況 及時(shí)收集 上報(bào)和通報(bào)突發(fā)事件有 關(guān)情況 負(fù)責(zé)向信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組報(bào)告有關(guān)工作 情況 2 1 2 信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組各成員部門的職責(zé)信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組各成員部門的職責(zé) 信息部 統(tǒng)籌規(guī)劃建設(shè)應(yīng)急處理技術(shù)平臺(tái) 會(huì)同其他 有關(guān)部門組織制定單位突發(fā)事件應(yīng)急處理政策文件及技術(shù) 方案 負(fù)責(zé)安全事件處理的培訓(xùn) 及時(shí)收集 上報(bào)和通報(bào) 突發(fā)事件情況 負(fù)責(zé)向信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組或中心 領(lǐng)導(dǎo)報(bào)告有關(guān)工作情況 相關(guān)部門 配合信息部組織制定信息系統(tǒng)突發(fā)事件應(yīng) 急處理政策文件及技術(shù)方案及其他各項(xiàng)工作 3 3 預(yù)警和預(yù)防機(jī)制預(yù)警和預(yù)防機(jī)制 3 13 1 信息監(jiān)測及報(bào)告信息監(jiān)測及報(bào)告 信息部應(yīng)加強(qiáng)信息安全監(jiān)測 分析和預(yù)警工作 進(jìn)一 步提高信息安全監(jiān)察能力 建立信息安全事故報(bào)告制度 在突發(fā)事件發(fā)生后 發(fā)現(xiàn)人應(yīng)當(dāng)立即向深圳市 XXX 信 息突發(fā)事件應(yīng)急小組報(bào)告 5 59 發(fā)現(xiàn)人應(yīng)當(dāng)立即對發(fā)現(xiàn)的事件進(jìn)行調(diào)查核實(shí) 保存相 關(guān)證據(jù) 并在事件被發(fā)現(xiàn)時(shí)將證據(jù)報(bào)至信息突發(fā)事件應(yīng)急 小組 3 23 2 預(yù)警預(yù)警 信息突發(fā)事件應(yīng)急小組接到信息安全突發(fā)事件報(bào)告后 應(yīng)當(dāng)經(jīng)初步核實(shí)后 將有關(guān)情況及時(shí)向組長報(bào)告 進(jìn)一步 進(jìn)行情況綜合 研究分析可能造成損害的程度 提出初步 行動(dòng)對策 并及時(shí)報(bào)深圳市 XXX 應(yīng)急領(lǐng)導(dǎo)小組 領(lǐng)導(dǎo)小組 主任視情況召集協(xié)調(diào)會(huì) 決策行動(dòng)方案 發(fā)布指示和命令 3 33 3 預(yù)警支持系統(tǒng)預(yù)警支持系統(tǒng) 深圳市 XXX 信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組應(yīng)建立和完善 信息監(jiān)測 傳遞網(wǎng)絡(luò)和指揮決策支持系統(tǒng) 要保證資源共 享 運(yùn)轉(zhuǎn)正常 指揮有力 3 43 4 預(yù)防機(jī)制預(yù)防機(jī)制 積極推行信息安全等級(jí)保護(hù) 逐步實(shí)行信息安全風(fēng)險(xiǎn) 評估 各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)建設(shè)要充分考慮抗 毀性與災(zāi)難恢復(fù) 制定并不斷完善信息安全應(yīng)急處理預(yù)案 針對基礎(chǔ)信息網(wǎng)絡(luò)的突發(fā)性 大規(guī)模安全事件 各相關(guān)部 門建立制度化 程序化的處理流程 6 59 4 4 應(yīng)急處理程序應(yīng)急處理程序 4 14 1 級(jí)別的確定級(jí)別的確定 信息安全事件分級(jí)的參考要素包括信息密級(jí) 公眾影 響 業(yè)務(wù)影響和資產(chǎn)損失等四項(xiàng) 各參考要素分別說明如 下 1 信息密級(jí)是衡量因信息失竊或泄密所造成的信息安 全事件中所涉及信息的重要程度的要素 2 公眾影響是衡量信息安全事件所造成的負(fù)面影響范 圍和程度的要素 3 業(yè)務(wù)影響是衡量信息安全事件對事發(fā)單位正常業(yè)務(wù) 開展所造成的負(fù)面影響程度的要素 4 資產(chǎn)損失是衡量恢復(fù)系統(tǒng)正常運(yùn)行和消除信息安全 事件負(fù)面影響所需付出資金代價(jià)的要素 信息安全突發(fā)事件級(jí)別分為四級(jí) 一般 IV 級(jí) 較大 III 級(jí) 重大 II 級(jí) 和特別重大 I 級(jí) 對應(yīng)顏色依次為 藍(lán)色 黃色 橙色和紅色 一般 IV 級(jí) 深圳市 XXX 較小范圍出現(xiàn)并可能造成較大 損害的信息安全事件 較大 級(jí) 深圳市 XXX 部分網(wǎng)絡(luò)與信息系統(tǒng) 網(wǎng)站受 到大面積 嚴(yán)重沖擊 7 59 重大 II 級(jí) 深圳市 XXX 大部分網(wǎng)絡(luò) 信息系統(tǒng) 網(wǎng)站 基本癱瘓 導(dǎo)致業(yè)務(wù)中斷 但縱向或橫向延伸可能造成嚴(yán) 重社會(huì)影響或較大經(jīng)濟(jì)損失 特別重大 I 級(jí) 深圳市 XXX 所有基礎(chǔ)網(wǎng)絡(luò) 包括縱向 或橫向延伸 信息系統(tǒng) 網(wǎng)站嚴(yán)重癱瘓 導(dǎo)致業(yè)務(wù)中斷 造成或可能造成嚴(yán)重法律糾紛或?qū)φ卮笮蜗蠊こ淘斐?巨大負(fù)面影響的信息安全事件 4 24 2 預(yù)案啟動(dòng)預(yù)案啟動(dòng) 4 2 1 啟動(dòng)預(yù)案的權(quán)限 發(fā)生 IV 級(jí)網(wǎng)絡(luò)信息安全事件 后 信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組負(fù)責(zé)啟動(dòng)相應(yīng)預(yù)案 信息 突發(fā)事件應(yīng)急小組負(fù)責(zé)應(yīng)急處理工作 發(fā)生 III 級(jí)網(wǎng)絡(luò)信 息安全事件后 信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組負(fù)責(zé)啟動(dòng)相應(yīng) 預(yù)案 并負(fù)責(zé)應(yīng)急處理工作 發(fā)生 I II 級(jí)的信息安全突 發(fā)事件后 上報(bào)市人民政府及上級(jí)主管部門啟動(dòng)相應(yīng)預(yù)案 并由市信息安全應(yīng)急指揮部負(fù)責(zé)應(yīng)急處理工作 4 2 2 啟動(dòng)預(yù)案的流程 深圳市 XXX 信息安全應(yīng)急小組 接到報(bào)告后 應(yīng)當(dāng)立即上報(bào)深圳市 XXX 信息突發(fā)事件應(yīng)急 領(lǐng)導(dǎo)小組有關(guān)負(fù)責(zé)人 并會(huì)同相關(guān)成員盡快組織專家組對 突發(fā)事件性質(zhì) 級(jí)別及啟動(dòng)預(yù)案的時(shí)機(jī)進(jìn)行評估 向信息 突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組提出啟動(dòng)預(yù)案的建議 報(bào)信息突發(fā) 事件應(yīng)急領(lǐng)導(dǎo)小組批準(zhǔn) 8 59 4 2 3 啟動(dòng)預(yù)案后的應(yīng)急處理 在信息突發(fā)事件應(yīng)急領(lǐng) 導(dǎo)小組作出啟動(dòng)預(yù)案決定后 信息突發(fā)事件應(yīng)急小組立即 啟動(dòng)應(yīng)急處理工作 4 34 3 現(xiàn)場應(yīng)急處理現(xiàn)場應(yīng)急處理 現(xiàn)場應(yīng)急處理工作組應(yīng)盡最大可能收集事件相關(guān)信息 明確事件類別 確定事件來源 保護(hù)證據(jù) 以便縮短應(yīng)急 響應(yīng)時(shí)間 檢查威脅造成的結(jié)果 評估事件帶來的影響和損害 如檢查系統(tǒng) 服務(wù) 數(shù)據(jù)的完整性 保密性或可用性 檢 查攻擊者是否侵入了系統(tǒng) 以后是否能再次隨意進(jìn)入 損 失的程度 確定暴露出的主要危險(xiǎn)等 抑制事件的影響進(jìn)一步擴(kuò)大 限制潛在的損失與破壞 根除惡意代碼造成的不良影響 在事件被抑制之后 通過對有關(guān)惡意代碼或行為的分析結(jié)果 找出事件根源 明確相應(yīng)的補(bǔ)救措施并徹底清除 與此同時(shí) 執(zhí)法部門和 其他相關(guān)機(jī)構(gòu)將對攻擊源進(jìn)行定位并采取合適的措施將其 中斷 清理系統(tǒng) 恢復(fù)數(shù)據(jù) 程序 服務(wù) 把所有被攻破的 系統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底還原到它們正常的任務(wù)狀態(tài) 恢復(fù)工 作應(yīng)該十分小心 避免出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)的丟失 另外 9 59 恢復(fù)工作中如果涉及到機(jī)密數(shù)據(jù) 需要額外遵照機(jī)密系統(tǒng) 的恢復(fù)要求 4 44 4 報(bào)告和總結(jié)報(bào)告和總結(jié) 回顧并整理發(fā)生事件的各種相關(guān)信息 盡可能地把所 有情況記錄到文檔中 發(fā)生重大信息安全事件的單位應(yīng)當(dāng) 在事件處理完畢后 5 個(gè)工作日內(nèi)將處理結(jié)果報(bào)市經(jīng)貿(mào)信委 備案 4 54 5 應(yīng)急行動(dòng)結(jié)束應(yīng)急行動(dòng)結(jié)束 根據(jù)信息安全事件的處置進(jìn)展情況和現(xiàn)場應(yīng)急處理工 作組意見 信息突發(fā)事件應(yīng)急小組應(yīng)組織相關(guān)部門及專家 組對信息安全事件的處置情況進(jìn)行綜合評估 并向信息突 發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組提出應(yīng)急行動(dòng)結(jié)束建議 并報(bào)信息突 發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組批準(zhǔn) 應(yīng)急行動(dòng)是否結(jié)束 由組織決 定 5 5 保障措施保障措施 5 15 1 技術(shù)支撐保障技術(shù)支撐保障 信息突發(fā)事件應(yīng)急小組應(yīng)建立預(yù)警與應(yīng)急處理的技術(shù) 平臺(tái) 進(jìn)一步提高安全事件的發(fā)現(xiàn)和分析能力 從技術(shù)上 逐步實(shí)現(xiàn)發(fā)現(xiàn) 預(yù)警 處置 通報(bào)等多個(gè)環(huán)節(jié)和不同的網(wǎng) 絡(luò) 系統(tǒng)之間應(yīng)急處理的聯(lián)動(dòng)機(jī)制 10 59 5 25 2 應(yīng)急隊(duì)伍保障應(yīng)急隊(duì)伍保障 加強(qiáng)信息安全人才培養(yǎng) 建設(shè)一支高素質(zhì) 高技術(shù)的 信息安全核心人才和管理隊(duì)伍 提高單位信息安全防御意 識(shí) 5 35 3 物質(zhì)條件保障物質(zhì)條件保障 在深圳市 XXX 信息化專項(xiàng)資金中安排一定的資金用于 預(yù)防或應(yīng)對信息安全突發(fā)事件 提供必要的交通運(yùn)輸保障 提前采購信息安全應(yīng)急處理工作需要的檢測 維修工具和 設(shè)備配件 5 45 4 技術(shù)儲(chǔ)備保障技術(shù)儲(chǔ)備保障 深圳市 XXX 信息突發(fā)事件應(yīng)急小組組織有關(guān)專家和科 研力量 開展應(yīng)急運(yùn)作機(jī)制 應(yīng)急處理技術(shù) 預(yù)警和控制 等研究 推廣和普及新的應(yīng)急技術(shù) 6 6 培訓(xùn)和演習(xí)培訓(xùn)和演習(xí) 6 16 1 人員培訓(xùn)人員培訓(xùn) 為確保信息安全應(yīng)急預(yù)案有效運(yùn)行 信息突發(fā)事件應(yīng) 急小組應(yīng)定期或不定期地舉辦不同層次 不同類型的培訓(xùn) 班或研討會(huì) 應(yīng)利用已有的資源 采用案例教學(xué) 情景模 擬 交流研討 案例分析 應(yīng)急演練 對策研究等方式 11 59 開展形式多樣的培訓(xùn)工作 以便不同崗位的應(yīng)急人員都能 全面熟悉并掌握信息安全應(yīng)急處理的知識(shí)和技能 6 26 2 應(yīng)急演習(xí)應(yīng)急演習(xí) 為提高信息安全突發(fā)事件應(yīng)急響應(yīng)水平 信息突發(fā)事 件應(yīng)急小組應(yīng)定期或不定期組織預(yù)案演練 檢驗(yàn)應(yīng)急預(yù)案 各環(huán)節(jié)之間的通信 協(xié)調(diào) 指揮等是否符合快速 高效的 要求 通過演習(xí) 進(jìn)一步明確應(yīng)急響應(yīng)各崗位責(zé)任 對預(yù) 案中存在的問題和不足及時(shí)補(bǔ)充 完善 7 7 監(jiān)督檢查與獎(jiǎng)懲監(jiān)督檢查與獎(jiǎng)懲 7 7 1 1預(yù)預(yù)案案執(zhí)執(zhí)行行監(jiān)監(jiān)督督 信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組負(fù)責(zé)對預(yù)案實(shí)施的全過程 進(jìn)行監(jiān)督檢查 督促成員部門按本預(yù)案指定的職責(zé)采取應(yīng) 急措施 確保及時(shí) 到位 發(fā)生重大信息安全事件的單位應(yīng)當(dāng)按照規(guī)定及時(shí)如實(shí) 地報(bào)告事件的有關(guān)信息 不得瞞報(bào) 緩報(bào)或者授意他人瞞 報(bào) 緩報(bào) 任何單位或個(gè)人發(fā)現(xiàn)有瞞報(bào) 緩報(bào) 謊報(bào)重大 信息安全事件情況時(shí) 有權(quán)直接向信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo) 小組舉報(bào) 應(yīng)急行動(dòng)結(jié)束后 信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組對相關(guān) 成員單位采取的應(yīng)急行動(dòng)的及時(shí)性 有效性進(jìn)行評估 12 59 7 7 2 2獎(jiǎng)獎(jiǎng)懲懲與與責(zé)責(zé)任任 對下列情況可以經(jīng)信息突發(fā)事件應(yīng)急小組評估審核 報(bào)信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組批準(zhǔn)后予以獎(jiǎng)勵(lì) 在應(yīng)急行動(dòng)中做出特殊貢獻(xiàn)的先進(jìn)單位和集體 在應(yīng)急行動(dòng)中提出重要建議方案 節(jié)約大量應(yīng)急資源 或避免重大損失的人員 在應(yīng)急行動(dòng)第一線做出重大成績的現(xiàn)場作業(yè)人員 在發(fā)生重大信息安全事件后 有關(guān)責(zé)任單位 責(zé)任人 有瞞報(bào) 緩報(bào) 漏報(bào)和其它失職 瀆職行為的 信息突發(fā) 事件應(yīng)急領(lǐng)導(dǎo)小組將予以通報(bào)批評 對造成嚴(yán)重不良后果 的 將視情節(jié)由有關(guān)主管部門追究責(zé)任領(lǐng)導(dǎo)和責(zé)任人的行 政責(zé)任 構(gòu)成犯罪的 由有關(guān)部門依法追究其法律責(zé)任 對未及時(shí)落實(shí)市信息安全專項(xiàng)應(yīng)急領(lǐng)導(dǎo)小組指令 影 響應(yīng)急行動(dòng)的效果的 按 國務(wù)院關(guān)于特大安全事故行政 責(zé)任追究的規(guī)定 廣東省重大事故責(zé)任追究制度 追 究相關(guān)人員的責(zé)任 8 8 各種突發(fā)事件應(yīng)急預(yù)案各種突發(fā)事件應(yīng)急預(yù)案 本預(yù)案所稱突發(fā)性事件 是指自然因素或者人為活動(dòng) 引發(fā)的危害機(jī)房或人身安全等有關(guān)的事件 主要有以下幾 個(gè)類型 13 59 1 地震 火災(zāi) 雷電 水災(zāi)等自然災(zāi)害造成的破壞性 突發(fā)事件 2 信息處理設(shè)備被盜 機(jī)房存在重大安全隱患而造成 的損失等嚴(yán)重突發(fā)事件 3 信息系統(tǒng)存在嚴(yán)重 BUG 造成業(yè)務(wù)操作失誤 數(shù)據(jù)錯(cuò) 誤 4 網(wǎng)絡(luò)中斷或網(wǎng)絡(luò)大規(guī)模癱瘓 5 病毒和黑客入侵或其他原因造成數(shù)據(jù)丟失 刪改 6 服務(wù)器 網(wǎng)絡(luò)設(shè)備嚴(yán)重故障 7 因大面積停電 外部網(wǎng)絡(luò)中斷等因素導(dǎo)致無法使用 等突發(fā)事件 本預(yù)案通過演習(xí) 實(shí)踐檢驗(yàn) 以及根據(jù)應(yīng)急力量變更 新技術(shù) 新資源的應(yīng)用和應(yīng)急事件發(fā)展趨勢 及時(shí)進(jìn)行修 訂和完善 本預(yù)案所附的成員 通信地址等發(fā)生變化時(shí)也應(yīng)隨時(shí) 修訂 本預(yù)案由深圳市 XXX 信息部負(fù)責(zé)修訂 報(bào)深圳市 XXX 領(lǐng)導(dǎo)批準(zhǔn)后實(shí)施 授權(quán)深圳市 XXX 信息突發(fā)事件應(yīng)急小組 負(fù)責(zé)對本預(yù)案附件及附錄的修改 審批和實(shí)施 本預(yù)案修訂采取改版或換頁的方式進(jìn)行 本預(yù)案由深圳市 XXX 信息部制定 由信息突發(fā)事件應(yīng) 急領(lǐng)導(dǎo)小組負(fù)責(zé)解釋 14 59 本預(yù)案日常工作由深圳市 XXX 信息部負(fù)責(zé) 聯(lián)系電話 83948121 聯(lián)系部門 深圳市 XXX 信息部 聯(lián)系人清單 聯(lián)絡(luò)信息 角色姓名職責(zé) 工作電話手機(jī) 應(yīng)急小 組組長 應(yīng)急小 組副組 長 協(xié)調(diào)人 局域網(wǎng) 組 機(jī)房維 護(hù)組 機(jī)房維 護(hù)組 15 59 機(jī)房維 護(hù)組 本預(yù)案自發(fā)布之日起實(shí)施 深圳市 XXX 二 XX 年 月 日 16 59 8 18 1 通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案 8 1 18 1 1 通信網(wǎng)絡(luò)日常管理通信網(wǎng)絡(luò)日常管理 為了保證深圳市 XXX 通信網(wǎng)絡(luò)的正常工作 信息部工 作人員必須做好機(jī)房網(wǎng)絡(luò)設(shè)施的日常維護(hù) 8 1 28 1 2 通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案清單通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案清單 預(yù)案名稱預(yù)案名稱網(wǎng)絡(luò)通信系統(tǒng)故障預(yù) 案 預(yù)案編號(hào)預(yù)案編號(hào) 預(yù)案目的預(yù)案目的網(wǎng)絡(luò)通信系統(tǒng)發(fā)生故障后 應(yīng)用本預(yù)案處理故 障 預(yù)案啟動(dòng)條件預(yù)案啟動(dòng)條件網(wǎng)絡(luò)通信系統(tǒng)發(fā)生故障 預(yù)案執(zhí)行實(shí)施預(yù)案執(zhí)行實(shí)施 日期日期 組織機(jī)構(gòu)及職責(zé)組織機(jī)構(gòu)及職責(zé) 組成姓名聯(lián)系方式職責(zé) 負(fù)責(zé)人安全主管 現(xiàn)場指揮安全主管 網(wǎng)絡(luò)管理員 機(jī)房管理員成員 機(jī)房管理員 17 59 廠家聯(lián)絡(luò)方式廠家聯(lián)絡(luò)方式 廠家名稱姓名聯(lián)系方式 軟件介質(zhì)名稱介質(zhì)編號(hào)存放地點(diǎn)備注 備品備件名稱設(shè)備編號(hào)存放地點(diǎn)備注 交換機(jī)和路由器供應(yīng)商倉庫 圖紙名稱圖紙編號(hào)存放地點(diǎn)備注 網(wǎng)絡(luò)拓?fù)鋱D信息部 預(yù)案執(zhí)行步驟及通告預(yù)案執(zhí)行步驟及通告 一 故障通告一 故障通告 1 將故障情況向信息部部長匯報(bào) 信息部通知受影響的用戶 并視情況的嚴(yán)重程度通知應(yīng)急領(lǐng)導(dǎo)小組 二 預(yù)案執(zhí)行步驟二 預(yù)案執(zhí)行步驟 1 信息部接到報(bào)障后 應(yīng)立即安排維護(hù)工程師到現(xiàn)場查看 PING 各關(guān)鍵設(shè)備的 IP 地址 來初步定位故障點(diǎn) 某設(shè)備 某 端口 通過鏈路檢查命令確定是網(wǎng)絡(luò)通信故障 則啟用一下 預(yù)案 如是服務(wù)器或其他設(shè)備 則啟用相關(guān)預(yù)案 確定故障類型及影響范圍 確定故障類型及影響范圍 1 鏈路故障 18 59 2 核心 匯聚層設(shè)備硬件故障 3 接入層設(shè)備硬件故障 4 出口區(qū)域設(shè)備硬件故障 5 非硬件故障 故障處理流程 故障處理流程 1 鏈路故障處理流程 先將故障匯報(bào)至信息部 通報(bào)給受影響的用戶檢查線路及 鏈路轉(zhuǎn)換設(shè)備是否工作正常 如 光電轉(zhuǎn)換器 物理鏈路包 括雙絞線 以太網(wǎng)光纖 廣域網(wǎng)線路 A 雙絞線故障可以采用替換的方式解決 B 以太網(wǎng)光纖故障 則聯(lián)系局域網(wǎng)線路維護(hù)方進(jìn)行重新熔接 C 廣域網(wǎng)線路故障 則聯(lián)系運(yùn)營商進(jìn)行處理 轉(zhuǎn)換設(shè)備故障 光電轉(zhuǎn)換器 協(xié)議轉(zhuǎn)換器 光纖模塊等 根據(jù)設(shè)備的運(yùn)維方分別聯(lián)系對應(yīng)的運(yùn)維方進(jìn)行處理 所有鏈路 故障能夠臨時(shí)替換解決的 先臨時(shí)替換規(guī)避故障使網(wǎng)絡(luò)恢復(fù)正 常不能替換的匯報(bào)信息部 協(xié)商解決方案 2 核心 匯聚層設(shè)備硬件故障 核心 匯聚層設(shè)備相對比較高端 故障涉及引擎 業(yè)務(wù)板 卡 電源模塊等 引擎故障 A 針對外網(wǎng)核心為雙引擎配置 單個(gè)引擎損壞不影響設(shè)備正 常工作 向信息部匯報(bào)故障同時(shí)通知設(shè)備維護(hù)商上門檢修 19 59 B 針對內(nèi)網(wǎng)核心 無引擎冗余設(shè)置 但有設(shè)備冗余 單個(gè)故 障不會(huì)影響接入層的通迅 首先將故障機(jī)上的服務(wù)器 鏈路切 換到另一臺(tái)核心交換機(jī)上 調(diào)整相應(yīng)的配置 然后上報(bào)信息部 并通知設(shè)備維護(hù)商上門檢修 C 匯聚層設(shè)備引擎損壞對網(wǎng)絡(luò)不會(huì)造成網(wǎng)絡(luò)中斷 上報(bào)信息 部 并通知設(shè)備維護(hù)商上門檢修 3 業(yè)務(wù)板卡故障 A 如果設(shè)備其它業(yè)務(wù)板上未使用端口較多 則將故障板卡上的 線路切到其它板卡未使用的端口 并將做好相關(guān)配置 B 如果設(shè)備其它板卡上未使用端口較少 則可以采取非故障業(yè) 務(wù)板下掛交換機(jī)的方法來增加端口數(shù)量 將故障板卡上的線路 切到新增交換機(jī)上 臨時(shí)規(guī)避處理后 然后上報(bào)信息部并通知 設(shè)備維護(hù)商上門檢修 4 電源模塊 機(jī)箱 風(fēng)扇等基礎(chǔ)硬件故障 A 雙電源設(shè)計(jì)設(shè)備 單個(gè)電源損壞不會(huì)對設(shè)備造成影響 向信 息部匯報(bào)并通知設(shè)備維護(hù)商上門檢修 B 單電源 機(jī)箱 風(fēng)扇等故障 臨時(shí)規(guī)避措施與內(nèi)網(wǎng)核心引擎 故障處理方法一致 5 接入層設(shè)備硬件故障 A 接入層設(shè)備故障影響一般為單個(gè)樓層 如有備件 則現(xiàn)場更 換備件 做好相關(guān)配置 并匯報(bào)信息部及通知設(shè)備維護(hù)商上門 檢修 20 59 B 如果沒有備件且下接為同一網(wǎng)段用戶時(shí) 可臨時(shí)采用傻瓜交 換機(jī)對故障設(shè)備進(jìn)行替換 并調(diào)整相應(yīng)的匯聚交換機(jī)配置 匯 報(bào)信息部同時(shí)通知設(shè)備維護(hù)商上門檢修 C 如果沒有備件且下接為不同網(wǎng)段用戶時(shí) 只能保證關(guān)鍵網(wǎng)段 的通迅 或者調(diào)整用戶 IP 地址 規(guī)避方法與同一網(wǎng)段用戶相同 D 如果備件或傻瓜交換機(jī)無光纖端口 則可采用增加光電轉(zhuǎn)換 器的方法 替換光纖模塊 用雙絞線接入交換機(jī) 6 出口區(qū)域故障 出口區(qū)域包括防火墻 路由器 安全網(wǎng)關(guān) 網(wǎng)閘等 針對工 作為透明模式的設(shè)備 直接將設(shè)備撤下 匯報(bào)信息部同時(shí)通知 設(shè)備維護(hù)商上門檢修 A 非透明模式工作的設(shè)備 如有備件則調(diào)試好備件 將故障設(shè) 備替換 并匯報(bào)信息部同時(shí)通知設(shè)備維護(hù)商上門檢修 無備件 的情況則上報(bào)信息部同時(shí)通知設(shè)備維護(hù)商上門檢修 所有故障 設(shè)備返修完畢后 正式上線前 需匯報(bào)信息部 確定上線時(shí)間 才能停機(jī)安裝調(diào)試 非硬件故障非硬件故障 進(jìn)行設(shè)備各項(xiàng)信息收集 接入 CONSOLE 線 能否進(jìn)行設(shè)備操作界面 1 如能進(jìn)行操作界面 則收集設(shè)備信息 2 如不能進(jìn)入操作界面則判斷為設(shè)備本身故障 升級(jí)設(shè)備軟件 21 59 看能否解決 如不能則為設(shè)備硬件故障 如有備件 則替換上 備件 如無備件 向信息部負(fù)責(zé)人匯報(bào)故障處理情況 同時(shí)通 知設(shè)備維護(hù)商上門檢修 查看 CPU 信息 show cpu 結(jié)合以往經(jīng)驗(yàn) 判斷該設(shè)備 CPU 利用率是否在正常范圍內(nèi) 3 如果 CPU 利用率比正常情況下高很多 則可能是攻擊 如大 量的主機(jī)掃描 或環(huán)路導(dǎo)致 可以通過抓包分析來確定攻擊源 或環(huán)路端口 如為攻擊則斷開攻擊源 如為環(huán)路 則解除環(huán)路 并向信息部負(fù)責(zé)人匯報(bào)處理過程 其它廠商設(shè)備 如深信服網(wǎng)關(guān) 天融信防火墻等 通過 WEB 方 式可以查看 CPU 利用率 查看設(shè)備運(yùn)行信息 show running config 與最近備份配置對比 看是否存在改動(dòng) 如存在改動(dòng) 則進(jìn)行 還原配置操作 是否能解決故障 如能解決 則先還原配置 分析改動(dòng)配置存在的問題 并將處理情況向信息部負(fù)責(zé)人匯報(bào) 如果還原配置后 故障依舊 則進(jìn)行下一步操作 如果配置未進(jìn)行改動(dòng) 則進(jìn)行下一步操作 查看 MAC 地址表 show mac address table 查看故障設(shè)備是否學(xué)到對方的 MAC 地址 如沒有學(xué)到或?qū)W到的 信息不正確 則檢查鏈路狀態(tài) 或者是否存在 MAC 地址攻擊等 4 如果 MAC 地址表正常 則進(jìn)行下一步操作 22 59 查看 ARP 表 show arp 查看故障設(shè)備是否學(xué)習(xí)到對方 ARP 信息或信息是否正確 如果 沒有學(xué)到 則分析是否病毒 如 ARP 病毒 或其它原因?qū)е?如果能學(xué)到對方 ARP 信息 則進(jìn)行下一步操作 查看路由表 show ip router 檢查到對方的路由是否正常 如果路由不正常 則分析路由不 正常的原因 如果路由表正常 則進(jìn)行下一步操作 查看是否由于安全設(shè)備原因 安全設(shè)備是否限制了正常的通迅 安全設(shè)備是否將正常報(bào)文誤斷為攻擊 8 經(jīng)過以上操作仍無法定位原因解決故障 則聯(lián)系第三方技術(shù) 支持 9 確定故障原因后 如為病毒導(dǎo)致 則按病毒處理預(yù)案進(jìn)行 如為設(shè)備本身故障 則上報(bào)信息部 有備件的話 先用備件替 換故障設(shè)備 無備件 則與信息部負(fù)責(zé)人協(xié)商解決方案 如果故障是因設(shè)備配置問題導(dǎo)致 則對原配置備份后 再調(diào)整 相應(yīng)的配置 10 故障解決后 進(jìn)行經(jīng)驗(yàn)總結(jié) 并提交至信息部負(fù)責(zé)人 23 59 預(yù)案流程預(yù)案流程 報(bào)告相關(guān)負(fù)責(zé)人 應(yīng)急小組負(fù)責(zé)人 是否為硬件問題 采用相關(guān)技術(shù)確定故障類型 是否為鏈路問題 采用相關(guān)技術(shù)處理鏈路故障 編寫事故處理報(bào)告 應(yīng)急結(jié)束 應(yīng)急管理部門或市 政府應(yīng)急指揮部批準(zhǔn) 聯(lián)系線路提供公司搶修 否 是 是 否 s 24 59 8 28 2 業(yè)務(wù)數(shù)據(jù)故障應(yīng)急預(yù)案業(yè)務(wù)數(shù)據(jù)故障應(yīng)急預(yù)案 8 8 2 2 1 1 業(yè)務(wù)數(shù)據(jù)日常管理業(yè)務(wù)數(shù)據(jù)日常管理 為了加強(qiáng)深圳市 XXX 業(yè)務(wù)數(shù)據(jù)安全的管理 應(yīng)對具有 高可用性要求的業(yè)務(wù)數(shù)據(jù)進(jìn)行備份 形成業(yè)務(wù)數(shù)據(jù)備份機(jī) 制 8 8 2 2 2 2 業(yè)務(wù)數(shù)據(jù)故障預(yù)案業(yè)務(wù)數(shù)據(jù)故障預(yù)案清單清單 預(yù)案名稱預(yù)案名稱業(yè)務(wù)數(shù)據(jù)故 障預(yù)案 預(yù)案編預(yù)案編 號(hào)號(hào) 預(yù)案目的預(yù)案目的因各類原因?qū)е聵I(yè)務(wù)數(shù)據(jù)丟失的 處理方案 預(yù)案啟動(dòng)條件預(yù)案啟動(dòng)條件因各類原因 導(dǎo)致業(yè)務(wù)數(shù)據(jù)丟失 預(yù)案執(zhí)行實(shí)施日期預(yù)案執(zhí)行實(shí)施日期年 月 日 組織機(jī)構(gòu)及職責(zé)組織機(jī)構(gòu)及職責(zé) 組成姓名聯(lián)系方式職責(zé) 負(fù)責(zé)人安全主管 現(xiàn)場指揮安全主管 網(wǎng)絡(luò)管理員 機(jī)房管理員成員 需通知的其他部門需通知的其他部門 25 59 部門名稱聯(lián)系人電話注意事項(xiàng) 廠家聯(lián)絡(luò)方式廠家聯(lián)絡(luò)方式 廠家名稱姓名聯(lián)系方式 軟件介質(zhì)名稱介質(zhì)編號(hào)存放地點(diǎn)備注 26 59 預(yù)案執(zhí)行步驟及通告預(yù)案執(zhí)行步驟及通告 一 故障通告一 故障通告 1 將故障情況向信息部部長匯報(bào) 信息部通知受影響 的用戶 并視情況的嚴(yán)重程度通知應(yīng)急領(lǐng)導(dǎo)小組 二 預(yù)案執(zhí)行步驟二 預(yù)案執(zhí)行步驟 發(fā)生業(yè)務(wù)數(shù)據(jù)故障 因硬件 軟件故障或誤操作導(dǎo)致 后 現(xiàn)場值班人員應(yīng)及時(shí)聯(lián)系數(shù)據(jù)庫管理員 檢查和備份 業(yè)務(wù)系統(tǒng)當(dāng)前數(shù)據(jù) 由數(shù)據(jù)庫管理員確定能用于恢復(fù)的數(shù)據(jù)備份及其介質(zhì) 磁盤 磁帶 本地 異地 如果數(shù)據(jù)庫管理員不能在短時(shí)間內(nèi)修復(fù)數(shù)據(jù) 則需及 時(shí)上報(bào)應(yīng)急領(lǐng)導(dǎo)小組 由其通知業(yè)務(wù)部門以手工開展業(yè)務(wù) 利用備份恢復(fù)業(yè)務(wù)數(shù)據(jù)后 需要協(xié)同業(yè)務(wù)部門的人員 檢查數(shù)據(jù)的有效性 歷史數(shù)據(jù)和當(dāng)前數(shù)據(jù)的差別 并根據(jù) 需要 聯(lián)合應(yīng)用系統(tǒng)開發(fā)商 輔助相關(guān)的業(yè)務(wù)人員補(bǔ)錄入 數(shù)據(jù) 完成修復(fù)后 立即備份當(dāng)前數(shù)據(jù) 編寫故障分析報(bào)告 向應(yīng)急領(lǐng)導(dǎo)小組匯報(bào) 27 59 預(yù)案處理流程 業(yè)務(wù)數(shù)據(jù)損壞應(yīng)急事件領(lǐng)導(dǎo) 使用備份數(shù)據(jù)恢復(fù)業(yè) 務(wù)系統(tǒng)數(shù)據(jù) 檢查業(yè)務(wù)系統(tǒng)當(dāng)前數(shù)據(jù) 報(bào)告應(yīng)急小組負(fù)責(zé)人和 信息中心領(lǐng)導(dǎo) 備份服務(wù)器內(nèi)備份 數(shù)據(jù)是否正常 使用歷史備份數(shù)據(jù) 恢復(fù)業(yè)務(wù)系統(tǒng)數(shù)據(jù) 調(diào)用同城異地備份數(shù)據(jù) 檢查歷史數(shù)據(jù)與當(dāng)前 數(shù)據(jù)差別 并補(bǔ)錄數(shù)據(jù) 分析故障原因 寫分析報(bào)告 磁帶機(jī)內(nèi)歷史備份 數(shù)據(jù)是否正常 否 是 是 否 28 59 8 38 3 服務(wù)器軟件故障預(yù)案服務(wù)器軟件故障預(yù)案 預(yù)案名稱預(yù)案名稱服務(wù)器軟件故障 預(yù)案 預(yù)案編號(hào)預(yù)案編號(hào) 預(yù)案目的預(yù)案目的服務(wù)器發(fā)生軟件故障后 應(yīng)用本預(yù)案處理 故障 預(yù)案啟動(dòng)條件預(yù)案啟動(dòng)條件服務(wù)器發(fā)生軟件故障 除應(yīng)用軟件系統(tǒng)外 預(yù)案執(zhí)行實(shí)施預(yù)案執(zhí)行實(shí)施 日期日期 年 月 日 組織機(jī)構(gòu)及職責(zé)組織機(jī)構(gòu)及職責(zé) 組成姓名聯(lián)系方式職責(zé) 負(fù)責(zé)人安全主管 現(xiàn)場指揮安全主管 網(wǎng)絡(luò)管理員 機(jī)房管理員成員 廠家聯(lián)絡(luò)方式廠家聯(lián)絡(luò)方式 廠家名稱姓名聯(lián)系方式備注 軟件介質(zhì)名稱介質(zhì)編號(hào)存放地點(diǎn)備注 29 59 備品備件名稱設(shè)備編號(hào)存放地點(diǎn)備注 儀器名稱儀器編號(hào)存放地點(diǎn)備注 30 59 預(yù)案執(zhí)行步驟及通告預(yù)案執(zhí)行步驟及通告 一 故障通告一 故障通告 1 將故障情況向信息部部長匯報(bào) 信息部通知受影響的用 戶 并視情況的嚴(yán)重程度通知應(yīng)急領(lǐng)導(dǎo)小組 二 預(yù)案執(zhí)行步驟二 預(yù)案執(zhí)行步驟 1 發(fā)生服務(wù)器軟件系統(tǒng)故障后 現(xiàn)場值班人員應(yīng)立即組織 查找 確定故障軟件 1 收集軟件所在服務(wù)器的基本信息 包括設(shè)備型號(hào) 系 統(tǒng)平臺(tái) 軟件版本 使用情況等信息 2 檢查系統(tǒng)中各類日志 系統(tǒng)日志 應(yīng)用程序日志 數(shù)據(jù) 庫日志等 分析故障發(fā)生的位置 2 根據(jù)先期收集的信息 判斷故障事態(tài)的嚴(yán)重程度 及時(shí) 報(bào)告應(yīng)急指揮專責(zé)小組 啟動(dòng)后續(xù)處理流程 1 業(yè)務(wù)軟件故障 聯(lián)系軟件開發(fā)商維護(hù)人員 讓其安排 技術(shù)人員在指定時(shí)間段內(nèi)趕到現(xiàn)場 對業(yè)務(wù)軟件進(jìn)行深 入分析 繼而解決故障或重新部署軟件 2 數(shù)據(jù)庫軟件和備份軟件 由數(shù)據(jù)庫管理員確認(rèn)故障原 因 繼而修復(fù)數(shù)據(jù)庫軟件 若軟件不能 及時(shí) 修復(fù) 則在原設(shè)備或調(diào)度的備用設(shè)備上重新部署軟件 并利用 已有的備份內(nèi)容 恢復(fù)數(shù)據(jù) 3 操作系統(tǒng) 由系統(tǒng)管理員確認(rèn)故障原因 繼而修復(fù)操 31 59 作系統(tǒng) 若系統(tǒng)不能 及時(shí) 修復(fù) 則重新部署系統(tǒng)和 各類業(yè)務(wù)軟件及支持軟件 或啟動(dòng)備份服務(wù)器系統(tǒng) 由 備份服務(wù)器接管業(yè)務(wù)應(yīng)用 并及時(shí)報(bào)告軟件維護(hù)人員 安排將故障服務(wù)器脫離網(wǎng)絡(luò) 保存系統(tǒng)狀態(tài)不變 取出 系統(tǒng)鏡像備份磁盤 保持原始數(shù)據(jù) 4 若使用備用系統(tǒng) 則在原服務(wù)器上修復(fù)系統(tǒng)后 需將 備用系統(tǒng)中的數(shù)據(jù)遷移回原系統(tǒng)中 5 如果問題嚴(yán)重 原有技術(shù)人員不能解決 則立即聯(lián)系 應(yīng)急指揮專責(zé)小組和維護(hù)廠商 請求技術(shù)支援 做好技 術(shù)處理 保證數(shù)據(jù)完整 6 處置結(jié)束后 將事發(fā)經(jīng)過 處理方法和結(jié)果編寫成 報(bào)告 提交給應(yīng)急指揮專責(zé)小組 32 59 預(yù)案流程 檢查故障信息 故障匯報(bào) 撥打廠商支持電話 工程師現(xiàn)場處理 啟動(dòng)應(yīng)用 33 59 8 48 4 服務(wù)器硬件故障應(yīng)急預(yù)案服務(wù)器硬件故障應(yīng)急預(yù)案 8 8 4 4 1 1 服務(wù)器服務(wù)器硬件日常管理硬件日常管理 為了加強(qiáng)深圳市 XXX 信息部設(shè)備硬件管理 需要管理 員定期檢查 整理硬件物理連接線路 定期檢查硬件運(yùn)作 狀態(tài) 做好硬件的冗余備份 8 4 28 4 2 服務(wù)器硬件故障預(yù)案服務(wù)器硬件故障預(yù)案清單清單 預(yù)案名稱預(yù)案名稱服務(wù)器硬件故障預(yù) 案 預(yù)案編預(yù)案編 號(hào)號(hào) 預(yù)案目的預(yù)案目的服務(wù)器發(fā)生硬件故障后 應(yīng)用本預(yù)案處理 故障 預(yù)案啟動(dòng)條件預(yù)案啟動(dòng)條件服務(wù)器發(fā)生硬件故障 包括服務(wù)器 存儲(chǔ) 存儲(chǔ)網(wǎng)絡(luò)設(shè)備 預(yù)案執(zhí)行實(shí)施預(yù)案執(zhí)行實(shí)施 日期日期 年 月 日 組織機(jī)構(gòu)及職責(zé)組織機(jī)構(gòu)及職責(zé) 組成姓名聯(lián)系方式職責(zé) 負(fù)責(zé)人安全主管 現(xiàn)場指揮安全主管 網(wǎng)絡(luò)管理員 成員 機(jī)房管理員 34 59 廠家聯(lián)絡(luò)方式廠家聯(lián)絡(luò)方式 廠家名稱姓名聯(lián)系方式 軟件介質(zhì)名稱介質(zhì)編號(hào)存放地點(diǎn)備注 備品備件名稱設(shè)備編號(hào)存放地點(diǎn)備注 儀器名稱儀器編號(hào)存放地點(diǎn)備注 35 59 預(yù)案執(zhí)行步驟及通告預(yù)案執(zhí)行步驟及通告 一 故障通告一 故障通告 1 將故障情況向信息部部長匯報(bào) 信息部通知受影響的用 戶 并視情況的嚴(yán)重程度通知應(yīng)急領(lǐng)導(dǎo)小組 二 預(yù)案執(zhí)行步驟二 預(yù)案執(zhí)行步驟 1 發(fā)生硬件故障后 及時(shí)報(bào)告硬件維護(hù)人員 并組織查找 確定故障設(shè)備及故障原因 進(jìn)行先期處置 1 檢查硬件指示燈號(hào) 分辨出錯(cuò)硬件 2 檢查系統(tǒng)日志 查找和確定故障原因 3 運(yùn)行配套的硬件監(jiān)控和維護(hù)程序 查找和確定故障 原因 4 收集設(shè)備的基本信息 硬件設(shè)備型號(hào) 系統(tǒng)平臺(tái)類 型和版本 應(yīng)用軟件類型和版本 5 聯(lián)系硬件維護(hù)人員對故障設(shè)備進(jìn)行檢修 2 根據(jù)故障事態(tài)的嚴(yán)重程度 及時(shí)報(bào)告應(yīng)急指揮專責(zé)小組 啟動(dòng)以下后續(xù)處理流程 1 如果故障設(shè)備具有容錯(cuò)能力 則由硬件維護(hù)人員聯(lián) 系備件庫管理人員 及時(shí)調(diào)度硬件 在線更換 2 如果故障設(shè)備不具備容錯(cuò)能力 而又無法在短時(shí)間 內(nèi)修復(fù)故障設(shè)備 則啟動(dòng)備用設(shè)備 保持系統(tǒng)正常運(yùn) 行 36 59 3 如果沒有現(xiàn)成備用設(shè)備 則聯(lián)系備件庫管理人員 調(diào)度合適的硬件設(shè)備 根據(jù)之前收集的信息 在備用 設(shè)備上部署同型號(hào)同版本的操作系統(tǒng) 支持軟件和業(yè) 務(wù)軟件 并恢復(fù)數(shù)據(jù)庫到備用設(shè)備 保證系統(tǒng)正常運(yùn) 行 4 原設(shè)備在故障排除后 在網(wǎng)絡(luò)空閑時(shí)期 重新替換 備用設(shè)備 把原先存儲(chǔ)與備用設(shè)備的數(shù)據(jù)遷移回原設(shè) 備 5 若故障仍然存在 根據(jù)安全守則和實(shí)際需要 立即 聯(lián)系相關(guān)廠商 認(rèn)真填寫設(shè)備故障報(bào)告單備查 37 59 預(yù)案流程 檢查故障信息 故障匯報(bào) 撥打廠商支持電話 工程師現(xiàn)場處理 啟動(dòng)應(yīng)用 38 59 8 58 5 網(wǎng)絡(luò)攻擊事件預(yù)案網(wǎng)絡(luò)攻擊事件預(yù)案 預(yù)案名稱預(yù)案名稱網(wǎng)絡(luò)攻擊事件 預(yù)案 預(yù)案編預(yù)案編 號(hào)號(hào) 預(yù)案目的預(yù)案目的網(wǎng)絡(luò)攻擊事件發(fā)生后 應(yīng)用本預(yù)案處理故 障 預(yù)案啟動(dòng)條件預(yù)案啟動(dòng)條件發(fā)生網(wǎng)絡(luò)攻擊事件 預(yù)案執(zhí)行實(shí)施預(yù)案執(zhí)行實(shí)施 日期日期 年 月 日 組織機(jī)構(gòu)及職責(zé)組織機(jī)構(gòu)及職責(zé) 組成姓名聯(lián)系方式職責(zé) 負(fù)責(zé)人安全主管 現(xiàn)場指揮安全主管 網(wǎng)絡(luò)管理員 成員 信息安全管理員 廠家聯(lián)絡(luò)方式廠家聯(lián)絡(luò)方式 廠家名稱姓名聯(lián)系方式 軟件介質(zhì)名稱介質(zhì)編號(hào)存放地點(diǎn)備注 備品備件名稱設(shè)備編號(hào)存放地點(diǎn)備注 39 59 儀器名稱儀器編號(hào)存放地點(diǎn)備注 預(yù)案執(zhí)行步驟及通告 一 故障通告 1 將故障情況向信息部部長匯報(bào) 信息部通知受影響的用 戶 并視情況的嚴(yán)重程度通知應(yīng)急領(lǐng)導(dǎo)小組 二 預(yù)案執(zhí)行步驟 1 確定源地址 如果服務(wù)器被攻擊 可以通過以下手段來確定攻擊源 在服務(wù)器上運(yùn)行 netstat an 可以看到大量的連接 找出 發(fā)起大量連接的源 IP 地址 也可以在通過捕獲交換機(jī)上連 接服務(wù)器的端口的報(bào)文 進(jìn)行分析 找到攻擊源 IP 如果 是安全網(wǎng)關(guān)被攻擊 則只能分別在其所有網(wǎng)絡(luò)連接端口來 進(jìn)行抓包分析 2 臨時(shí)規(guī)避攻擊 臨時(shí)規(guī)避主要是針對外網(wǎng)發(fā)起的攻擊 最保險(xiǎn)的方法是采 取臨時(shí)斷網(wǎng)措施 如果不能斷網(wǎng)則可以通過以下措施臨時(shí)規(guī)避 如果公網(wǎng)地址足夠 可以通過更改對外發(fā)布服務(wù)的公網(wǎng)地 址 服務(wù)器 同進(jìn)還需更改 DNS 解析 或者更改本身的外 網(wǎng)地址 出口網(wǎng)關(guān) 40 59 3 備份被攻擊者數(shù)據(jù) 如為網(wǎng)絡(luò)設(shè)備 則備份配置文件 如為服務(wù)器則備份操作 系統(tǒng) 有條件的話 建議備份整個(gè)硬盤 4 追蹤攻擊源 內(nèi)網(wǎng)發(fā)起的攻擊 通過找出源 IP 結(jié)合用戶 IP 登記資料 定位到用戶 直接將用戶斷網(wǎng)處理 外網(wǎng)發(fā)起的攻擊 與運(yùn)營商聯(lián)系 同時(shí)上報(bào)網(wǎng)監(jiān)部門 根 據(jù)對方要求提供相關(guān)資料 由運(yùn)營商和網(wǎng)監(jiān)部門處理 5 調(diào)整安全策略 在定位攻擊源的時(shí)候 同時(shí)對服務(wù)器或出口網(wǎng)關(guān)進(jìn)行加固 主要方法如下 安全網(wǎng)關(guān)主要是對其本身的登陸管理進(jìn)行設(shè)置 包括對其 本身 IP 的連接數(shù) 用戶登陸次數(shù)等進(jìn)行限制 備份攻擊發(fā) 生時(shí)的設(shè)備配置 以便后期分析 服務(wù)器在攻擊發(fā)生時(shí)第一時(shí)間斷開網(wǎng)絡(luò) 備份操作系統(tǒng) 有條件的話建議備份整個(gè)硬盤 分析服務(wù)器在安全方面存在的隱患 更改相關(guān)安全設(shè)置 在安全設(shè)備上 如防火墻 IPS 對該服務(wù)器與外網(wǎng)地址的 連接數(shù)進(jìn)行限制 在同一時(shí)刻只允許一定數(shù)量的地址與服 務(wù)器建立連接 6 被攻擊者接入網(wǎng)絡(luò) 如果還有攻擊 則需等待運(yùn)營商處理完畢后 再接入網(wǎng)絡(luò) 41 59 7 檢查被攻擊設(shè)備的數(shù)據(jù)是否丟失損壞 8 如數(shù)據(jù)有丟失或損壞 則恢復(fù)被攻擊目標(biāo)設(shè)備的數(shù)據(jù) 9 事故處理完后對此次事故進(jìn)行總結(jié) 預(yù)案流程 網(wǎng)絡(luò)入侵突發(fā)事件 應(yīng)急處理 值班人員或中心人員 報(bào)告應(yīng)急小組相關(guān)負(fù)責(zé)人 通過監(jiān)控設(shè)備找出入侵服務(wù) 并斷開相關(guān)對外服務(wù) 檢查服務(wù)器等相關(guān)數(shù)據(jù)是否損 壞或被盜 恢復(fù)受損數(shù)據(jù) 啟動(dòng)反黑客追 蹤 加強(qiáng)安全策略 寫評估總結(jié)報(bào)告 42 59 8 68 6 病毒爆發(fā)應(yīng)急預(yù)案病毒爆發(fā)應(yīng)急預(yù)案 8 8 6 6 1 1 病毒防護(hù)日常管理病毒防護(hù)日常管理 為了保證深圳市 XXX 電子政務(wù)內(nèi)網(wǎng)的安全 系統(tǒng)管理 員必須安裝殺毒軟件和升級(jí)系統(tǒng)補(bǔ)丁 建立完整的防病毒 系統(tǒng)管理及維護(hù)日志 8 6 2 病毒爆發(fā)應(yīng)急預(yù)案清單病毒爆發(fā)應(yīng)急預(yù)案清單 預(yù)案名稱預(yù)案名稱病毒爆發(fā)事故 預(yù)案 預(yù)案編號(hào)預(yù)案編號(hào) 預(yù)案目的預(yù)案目的發(fā)生病毒爆發(fā)或感染事故后 應(yīng)用本預(yù)案處 理故障 預(yù)案啟動(dòng)條件預(yù)案啟動(dòng)條件 發(fā)生病毒爆發(fā)或感染事故 預(yù)案執(zhí)行實(shí)施預(yù)案執(zhí)行實(shí)施 日期日期 年 月 日 組織機(jī)構(gòu)及職責(zé)組織機(jī)構(gòu)及職責(zé) 組成姓名聯(lián)系方式職責(zé) 負(fù)責(zé)人安全主管 現(xiàn)場指揮安全主管 網(wǎng)絡(luò)管理員 成員 機(jī)房管理員 43 59 廠家聯(lián)絡(luò)方式廠家聯(lián)絡(luò)方式 廠家名稱姓名聯(lián)系方式 軟件介質(zhì)名稱介質(zhì)編號(hào)存放地點(diǎn)備注 備品備件名稱設(shè)備編號(hào)存放地點(diǎn)備注 儀器名稱儀器編號(hào)存放地點(diǎn)備注 44 59 預(yù)案執(zhí)行步驟及通告 一 故障通告 1 將故障情況向信息部部長匯報(bào) 信息部通知受影響的用 戶 并視情況的嚴(yán)重程度通知應(yīng)急領(lǐng)導(dǎo)小組 2 對用戶的病毒通知 采用發(fā)文或短信方式 二 預(yù)案執(zhí)行步驟 終端網(wǎng)絡(luò)型病毒 可依靠網(wǎng)絡(luò)進(jìn)行大面積快速傳播 如 灰鴿子 熊貓燒 香 沖擊波等 小面積病毒爆發(fā) 1 接到報(bào)障電話 工程師到現(xiàn)場處理 確定是否中毒 如 確認(rèn)中毒則將中毒主機(jī)斷網(wǎng)隔離 2 采用已安裝并更新至最新病毒庫的專業(yè)殺毒軟件進(jìn)行查 殺 如能查殺則現(xiàn)場處理 3 針對未知的新型病毒 殺毒軟件不能查殺的 則將用戶 數(shù)據(jù)備份后 再重裝系統(tǒng) 同時(shí)將病毒樣本上報(bào)殺毒軟件 廠商 4 待殺毒軟件廠商升級(jí)病毒庫后 再查殺中毒電腦 大面積病毒爆發(fā) 1 確定大面積病毒爆發(fā) 上報(bào)上級(jí)主管部門 2 先采用殺毒軟件進(jìn)行查殺 如果可以查殺則發(fā)通知用戶 進(jìn)行查殺 殺毒軟件無法查殺的情況下 對爆發(fā)區(qū)域進(jìn) 45 59 行斷網(wǎng)處理 并發(fā)布病毒通知 3 聯(lián)系廠商進(jìn)行現(xiàn)場技術(shù)支持 上報(bào)上級(jí)主管部門 終端單機(jī)型病毒 病毒傳播速度較慢 網(wǎng)絡(luò)不是其傳播主要手段 如 文件 型病毒 U 盤病毒等 1 接到報(bào)障電話 工程師到現(xiàn)場處理 確定是否中毒 如 確認(rèn)中毒則將中毒主機(jī)斷網(wǎng)隔離 2 采用已安裝并更新至最新病毒庫的專業(yè)殺毒軟件進(jìn)行查 殺 如能查殺則現(xiàn)場處理 3 如以上軟件不能處理 則將用戶數(shù)據(jù)備份后 再重裝系 統(tǒng) 4 安裝操作系統(tǒng)并安裝殺毒軟件后 再手工升級(jí) 5 對終端進(jìn)行全盤掃描 可能的情況下對移動(dòng)介質(zhì)掃描處 理 6 針對傳播速度相對較快 如 U 盤病毒 則通過 OA 等方式 發(fā)布通知 提醒用戶注意病毒防護(hù) 服務(wù)器病毒防護(hù) 上報(bào)上級(jí)主管部門 并通過 OA 或短信發(fā)布服務(wù)器維護(hù)通知 1 對服務(wù)器進(jìn)行斷網(wǎng)隔離 并手工備份相關(guān)數(shù)據(jù) 并進(jìn)行 單獨(dú)存儲(chǔ) 2 采用趨勢殺毒軟件或 360 安全衛(wèi)士進(jìn)行查殺 如能查殺 46 59 則現(xiàn)場處理 1 3 針對未知的新型病毒 殺毒軟件不能查殺的 則將用戶 數(shù)據(jù)備份后 再重裝系統(tǒng) 同時(shí)將病毒樣本上報(bào)殺毒軟件 廠商 2 4 待殺毒軟件廠商升級(jí)病毒庫后 再查殺中毒電腦 預(yù)案流程 病毒爆發(fā)突發(fā)事件 應(yīng)急處理 值班人員或中心人員 報(bào)告應(yīng)急小組相關(guān)負(fù)責(zé)人 確定病毒類型 通過 找到被感染機(jī)器 并斷 開網(wǎng)線 檢查服務(wù)器和桌面電腦是否中 毒 清除被感染機(jī)器的病毒 編寫評估總結(jié)報(bào)告 8 78 7 業(yè)務(wù)軟件故障應(yīng)急預(yù)案業(yè)務(wù)軟件故障應(yīng)急預(yù)案 47 59 8 8 7 7 1 1 業(yè)務(wù)業(yè)務(wù)軟件軟件日常管理日常管理 為了加強(qiáng)深圳市 XXX 業(yè)務(wù)軟件的管理 應(yīng)對具有高可 用性要求的業(yè)務(wù)軟件和補(bǔ)丁進(jìn)行備份 形成業(yè)務(wù)軟件和補(bǔ) 丁備份機(jī)制 8 8 7 7 2 2 業(yè)務(wù)業(yè)務(wù)軟件軟件故障預(yù)案清單故障預(yù)案清單 預(yù)案名稱預(yù)案名稱業(yè)務(wù)軟件故 障預(yù)案 預(yù)案編預(yù)案編 號(hào)號(hào) 預(yù)案目的