信息安全應急響應預案

1、 .DOC資料. 深圳市XXX信息安全應急響應預案深圳市XXXXX年XX月目錄 TOC o 1-3 h z u HYPERLINK l _Toc320712601 HYPERLINK l _Toc320712602 1. 總則 PAGEREF _Toc320712602 h 3 HYPERLINK l _Toc320712603 1.1 目的 PAGEREF _Toc320712603 h 3 HYPERLINK l _Toc320712604 1.2 現(xiàn)狀及其成因 PAGEREF _Toc320712604 h 3 HYPERLINK l _Toc320712605 2. 組織機構(gòu)及職責 P

2、AGEREF _Toc320712605 h 3 HYPERLINK l _Toc320712606 2.1 應急指揮機構(gòu) PAGEREF _Toc320712606 h 3 HYPERLINK l _Toc320712607 3. 預警和預防機制 PAGEREF _Toc320712607 h 3 HYPERLINK l _Toc320712608 3.1 信息監(jiān)測及報告 PAGEREF _Toc320712608 h 3 HYPERLINK l _Toc320712609 3.2 預警 PAGEREF _Toc320712609 h 3 HYPERLINK l _Toc320712610

3、3.3 預警支持系統(tǒng) PAGEREF _Toc320712610 h 3 HYPERLINK l _Toc320712611 3.4 預防機制 PAGEREF _Toc320712611 h 3 HYPERLINK l _Toc320712612 4. 應急處理程序 PAGEREF _Toc320712612 h 3 HYPERLINK l _Toc320712613 4.1 級別的確定 PAGEREF _Toc320712613 h 3 HYPERLINK l _Toc320712614 4.2 預案啟動 PAGEREF _Toc320712614 h 3 HYPERLINK l _Toc3

4、20712615 4.3 現(xiàn)場應急處理 PAGEREF _Toc320712615 h 3 HYPERLINK l _Toc320712616 4.4 報告和總結(jié) PAGEREF _Toc320712616 h 3 HYPERLINK l _Toc320712617 4.5 應急行動結(jié)束 PAGEREF _Toc320712617 h 3 HYPERLINK l _Toc320712618 5. 保障措施 PAGEREF _Toc320712618 h 3 HYPERLINK l _Toc320712619 5.1 技術(shù)支撐保障 PAGEREF _Toc320712619 h 3 HYPERL

5、INK l _Toc320712620 5.2 應急隊伍保障 PAGEREF _Toc320712620 h 3 HYPERLINK l _Toc320712621 5.3 物質(zhì)條件保障 PAGEREF _Toc320712621 h 3 HYPERLINK l _Toc320712622 5.4 技術(shù)儲備保障 PAGEREF _Toc320712622 h 3 HYPERLINK l _Toc320712623 6. 培訓和演習 PAGEREF _Toc320712623 h 3 HYPERLINK l _Toc320712624 6.1 人員培訓 PAGEREF _Toc320712624

6、 h 3 HYPERLINK l _Toc320712625 6.2 應急演習 PAGEREF _Toc320712625 h 3 HYPERLINK l _Toc320712626 7. 監(jiān)督檢查與獎懲 PAGEREF _Toc320712626 h 3 HYPERLINK l _Toc320712627 7.1預案執(zhí)行監(jiān)督 PAGEREF _Toc320712627 h 3 HYPERLINK l _Toc320712628 7.2獎懲與責任 PAGEREF _Toc320712628 h 3 HYPERLINK l _Toc320712629 8. 各種突發(fā)事件應急預案 PAGEREF

7、_Toc320712629 h 3 HYPERLINK l _Toc320712630 8.1 通信網(wǎng)絡故障應急預案 PAGEREF _Toc320712630 h 3 HYPERLINK l _Toc320712631 8.1.1通信網(wǎng)絡日常管理 PAGEREF _Toc320712631 h 3 HYPERLINK l _Toc320712632 8.1.2通信網(wǎng)絡故障應急預案清單 PAGEREF _Toc320712632 h 3 HYPERLINK l _Toc320712633 8.2 業(yè)務數(shù)據(jù)故障應急預案 PAGEREF _Toc320712633 h 3 HYPERLINK l

8、_Toc320712634 8.2.1業(yè)務數(shù)據(jù)日常管理 PAGEREF _Toc320712634 h 3 HYPERLINK l _Toc320712635 8.2.2業(yè)務數(shù)據(jù)故障預案清單 PAGEREF _Toc320712635 h 3 HYPERLINK l _Toc320712636 8.3 服務器軟件故障預案 PAGEREF _Toc320712636 h 3 HYPERLINK l _Toc320712637 8.4 服務器硬件故障應急預案 PAGEREF _Toc320712637 h 3 HYPERLINK l _Toc320712638 8.4.1服務器硬件日常管理 PAG

9、EREF _Toc320712638 h 3 HYPERLINK l _Toc320712639 8.4.2服務器硬件故障預案清單 PAGEREF _Toc320712639 h 3 HYPERLINK l _Toc320712640 8.5 網(wǎng)絡攻擊事件預案 PAGEREF _Toc320712640 h 3 HYPERLINK l _Toc320712641 8.6 病毒爆發(fā)應急預案 PAGEREF _Toc320712641 h 3 HYPERLINK l _Toc320712642 8.6.1病毒防護日常管理 PAGEREF _Toc320712642 h 3 HYPERLINK l

10、_Toc320712643 8.6.2病毒爆發(fā)應急預案清單 PAGEREF _Toc320712643 h 3 HYPERLINK l _Toc320712644 8.7 業(yè)務軟件故障應急預案 PAGEREF _Toc320712644 h 3 HYPERLINK l _Toc320712645 8.7.1業(yè)務軟件日常管理 PAGEREF _Toc320712645 h 3 HYPERLINK l _Toc320712646 8.7.2業(yè)務軟件故障預案清單 PAGEREF _Toc320712646 h 3 HYPERLINK l _Toc320712647 8.8 應急演練 PAGEREF

11、_Toc320712647 h 3 HYPERLINK l _Toc320712648 8.9 通用表格 PAGEREF _Toc320712648 h 3 HYPERLINK l _Toc320712649 8.9.1信息安全事件報告表 PAGEREF _Toc320712649 h 3 HYPERLINK l _Toc320712650 8.9.2信息安全事件應急處理結(jié)果報告表 PAGEREF _Toc320712650 h 3 HYPERLINK l _Toc320712651 8.10 深圳市XXX信息突發(fā)事件處理組織機構(gòu) PAGEREF _Toc320712651 h 3深圳市XXX

12、信息系統(tǒng)突發(fā)事件應急預案本預案內(nèi)容包括總則、組織指揮體系及職責、預警和預防機制、應急處理程序、保障措施、各種突發(fā)事件應急預案等。明確規(guī)定了深圳市XXX在發(fā)生網(wǎng)絡與信息安全重大突發(fā)事件情況下各部門的相關(guān)職能和工作方法，具有一定的宏觀指導性和可操作性，對減少網(wǎng)絡與信息安全突發(fā)事件，保障業(yè)務系統(tǒng)正常開展起著重要作用?？倓t目的為科學應對網(wǎng)絡與信息安全(以下簡稱“信息安全”)突發(fā)事件建立健全信息安全應急響應機制，有效預防、及時控制和最大限度地消除信息安全各類突發(fā)事件的危害和影響?，F(xiàn)狀及其成因近年來，深圳市XXX信息安全工作得到加強。但信息安全保障基礎(chǔ)工作和技術(shù)保障措施比較薄弱，與信息化快速發(fā)展的要求和日

13、趨嚴峻的信息安全形勢不協(xié)調(diào)。信息安全突發(fā)事件成因可分為兩個方面：一是網(wǎng)絡與信息系統(tǒng)自身的脆弱性，主要表現(xiàn)在：安全漏洞的普遍性，攻擊和惡意代碼的流行性，入侵檢測能力的局限性，網(wǎng)絡和系統(tǒng)管理的復雜性。二是網(wǎng)絡與信息系統(tǒng)外部體制性的不安全性，主要表現(xiàn)在：信息安全法制不健全，全社會的信息安全意識淡薄，深圳市XXX信息安全自主可控能力不強，技術(shù)防御整體水平不高，信息安全專業(yè)人才缺乏，專業(yè)隊伍建設(shè)嚴重滯后。組織機構(gòu)及職責應急指揮機構(gòu)2.1.1深圳市XXX信息系統(tǒng)突發(fā)事件應急領(lǐng)導小組在深圳市XXX黨組的統(tǒng)一領(lǐng)導下，設(shè)立深圳市XXX信息系統(tǒng)突發(fā)事件應急領(lǐng)導小組(以下簡稱“信息突發(fā)事件應急領(lǐng)導小組”)，為深圳市

14、XXX處理信息安全突發(fā)事件應急工作的綜合性議事、協(xié)調(diào)機構(gòu)。主要職責是：按照國家、廣東省、深圳市政府信息安全應急機構(gòu)的要求開展預防和處置工作；研究決定深圳市XXX信息安全應急工作的有關(guān)重大問題；決定III級和IV級信息安全突發(fā)事件應急預案的啟動，組織力量對III級和IV級突發(fā)事件進行處置；接受深圳市政府信息安全應急機構(gòu)的統(tǒng)一領(lǐng)導，組織指揮II級和I級突發(fā)事件的應急處置工作；指導監(jiān)督信息安全應急小組的工作；法律、法規(guī)、規(guī)章規(guī)定的其他職責。信息突發(fā)事件應急領(lǐng)導小組，由（最高領(lǐng)導人）作為主任，（分管信息化工作的領(lǐng)導）作為副主任，成員由深圳市XXX各部門部長組成。信息突發(fā)事件應急領(lǐng)導小組下設(shè)應急小組，由

15、信息部部長任組長，信息部副部長任副組長，信息部其它成員任組員。承擔深圳市XXX信息安全專項應急領(lǐng)導小組的日常工作，負責深圳市XXX信息安全突發(fā)事件日常監(jiān)測與預警，其主要職責是：督促落實上級部門和深圳市XXX信息突發(fā)事件應急領(lǐng)導小組做出的決定和措施；擬訂或者組織擬訂深圳市XXX信息部應對信息安全突發(fā)事件的工作規(guī)劃和應急預案，報深圳市XXX領(lǐng)導小組批準后組織實施；督促檢查信息安全專項應急預案的制訂、修訂和執(zhí)行情況；匯總有關(guān)信息安全突發(fā)事件的各種重要信息，進行綜合分析，并提出建議；監(jiān)督檢查、協(xié)調(diào)信息安全突發(fā)事件預防、應急準備、應急處置和事后恢復與重建工作；組織制訂信息安全常識、應急知識的宣傳培訓計劃

16、和應急救援隊伍的業(yè)務培訓、演練計劃，報信息突發(fā)事件應急領(lǐng)導小組批準后督促落實；組織專家組判定突發(fā)事件級別，根據(jù)情況提出加強或撤銷控制措施的建議和意見；組織召開部門協(xié)調(diào)會議，協(xié)調(diào)各部門共同做好突發(fā)事件處置工作；檢查督導突發(fā)事件應急措施的落實情況；及時收集、上報和通報突發(fā)事件有關(guān)情況，負責向信息突發(fā)事件應急領(lǐng)導小組報告有關(guān)工作情況；2.1.2信息突發(fā)事件應急領(lǐng)導小組各成員部門的職責信息部：統(tǒng)籌規(guī)劃建設(shè)應急處理技術(shù)平臺，會同其他有關(guān)部門組織制定單位突發(fā)事件應急處理政策文件及技術(shù)方案，負責安全事件處理的培訓，及時收集、上報和通報突發(fā)事件情況，負責向信息突發(fā)事件應急領(lǐng)導小組或中心領(lǐng)導報告有關(guān)工作情況。相

17、關(guān)部門：配合信息部組織制定信息系統(tǒng)突發(fā)事件應急處理政策文件及技術(shù)方案及其他各項工作。預警和預防機制信息監(jiān)測及報告信息部應加強信息安全監(jiān)測、分析和預警工作，進一步提高信息安全監(jiān)察能力。建立信息安全事故報告制度。在突發(fā)事件發(fā)生后，發(fā)現(xiàn)人應當立即向深圳市XXX信息突發(fā)事件應急小組報告。發(fā)現(xiàn)人應當立即對發(fā)現(xiàn)的事件進行調(diào)查核實、保存相關(guān)證據(jù)，并在事件被發(fā)現(xiàn)時將證據(jù)報至信息突發(fā)事件應急小組。預警信息突發(fā)事件應急小組接到信息安全突發(fā)事件報告后，應當經(jīng)初步核實后，將有關(guān)情況及時向組長報告，進一步進行情況綜合，研究分析可能造成損害的程度，提出初步行動對策，并及時報深圳市XXX應急領(lǐng)導小組。領(lǐng)導小組主任視情況召集

18、協(xié)調(diào)會，決策行動方案，發(fā)布指示和命令。預警支持系統(tǒng)深圳市XXX信息突發(fā)事件應急領(lǐng)導小組應建立和完善信息監(jiān)測、傳遞網(wǎng)絡和指揮決策支持系統(tǒng)，要保證資源共享、運轉(zhuǎn)正常、指揮有力。預防機制積極推行信息安全等級保護，逐步實行信息安全風險評估。各基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)建設(shè)要充分考慮抗毀性與災難恢復，制定并不斷完善信息安全應急處理預案。針對基礎(chǔ)信息網(wǎng)絡的突發(fā)性、大規(guī)模安全事件，各相關(guān)部門建立制度化、程序化的處理流程。應急處理程序級別的確定信息安全事件分級的參考要素包括信息密級、公眾影響、業(yè)務影響和資產(chǎn)損失等四項。各參考要素分別說明如下：(1)信息密級是衡量因信息失竊或泄密所造成的信息安全事件中所涉及信息

19、的重要程度的要素；(2)公眾影響是衡量信息安全事件所造成的負面影響范圍和程度的要素；(3)業(yè)務影響是衡量信息安全事件對事發(fā)單位正常業(yè)務開展所造成的負面影響程度的要素；(4)資產(chǎn)損失是衡量恢復系統(tǒng)正常運行和消除信息安全事件負面影響所需付出資金代價的要素。信息安全突發(fā)事件級別分為四級：一般(IV級)、較大(III級)、重大(II級)和特別重大(I級)，對應顏色依次為藍色、黃色、橙色和紅色。一般-IV級：深圳市XXX較小范圍出現(xiàn)并可能造成較大損害的信息安全事件。較大-級：深圳市XXX部分網(wǎng)絡與信息系統(tǒng)、網(wǎng)站受到大面積、嚴重沖擊。重大-II級：深圳市XXX大部分網(wǎng)絡、信息系統(tǒng)、網(wǎng)站基本癱瘓，導致業(yè)務中

20、斷，但縱向或橫向延伸可能造成嚴重社會影響或較大經(jīng)濟損失。特別重大-I級：深圳市XXX所有基礎(chǔ)網(wǎng)絡（包括縱向或橫向延伸）、信息系統(tǒng)、網(wǎng)站嚴重癱瘓，導致業(yè)務中斷，造成或可能造成嚴重法律糾紛或?qū)φ卮笮蜗蠊こ淘斐删薮筘撁嬗绊懙男畔踩录?。預案啟動4.2.1啟動預案的權(quán)限。發(fā)生IV級網(wǎng)絡信息安全事件后，信息突發(fā)事件應急領(lǐng)導小組負責啟動相應預案，信息突發(fā)事件應急小組負責應急處理工作；發(fā)生III級網(wǎng)絡信息安全事件后，信息突發(fā)事件應急領(lǐng)導小組負責啟動相應預案，并負責應急處理工作；發(fā)生I、II級的信息安全突發(fā)事件后，上報市人民政府及上級主管部門啟動相應預案，并由市信息安全應急指揮部負責應急處理工作。4.2

21、.2啟動預案的流程。深圳市XXX信息安全應急小組接到報告后，應當立即上報深圳市XXX信息突發(fā)事件應急領(lǐng)導小組有關(guān)負責人，并會同相關(guān)成員盡快組織專家組對突發(fā)事件性質(zhì)、級別及啟動預案的時機進行評估，向信息突發(fā)事件應急領(lǐng)導小組提出啟動預案的建議，報信息突發(fā)事件應急領(lǐng)導小組批準。4.2.3啟動預案后的應急處理。在信息突發(fā)事件應急領(lǐng)導小組作出啟動預案決定后，信息突發(fā)事件應急小組立即啟動應急處理工作?，F(xiàn)場應急處理現(xiàn)場應急處理工作組應盡最大可能收集事件相關(guān)信息，明確事件類別，確定事件來源，保護證據(jù)，以便縮短應急響應時間。檢查威脅造成的結(jié)果，評估事件帶來的影響和損害：如檢查系統(tǒng)、服務、數(shù)據(jù)的完整性、保密性或可

22、用性，檢查攻擊者是否侵入了系統(tǒng)，以后是否能再次隨意進入，損失的程度，確定暴露出的主要危險等。抑制事件的影響進一步擴大，限制潛在的損失與破壞。根除惡意代碼造成的不良影響。在事件被抑制之后，通過對有關(guān)惡意代碼或行為的分析結(jié)果，找出事件根源，明確相應的補救措施并徹底清除。與此同時，執(zhí)法部門和其他相關(guān)機構(gòu)將對攻擊源進行定位并采取合適的措施將其中斷。清理系統(tǒng)、恢復數(shù)據(jù)、程序、服務。把所有被攻破的系統(tǒng)和網(wǎng)絡設(shè)備徹底還原到它們正常的任務狀態(tài)?；謴凸ぷ鲬撌中⌒?，避免出現(xiàn)誤操作導致數(shù)據(jù)的丟失。另外，恢復工作中如果涉及到機密數(shù)據(jù)，需要額外遵照機密系統(tǒng)的恢復要求。報告和總結(jié)回顧并整理發(fā)生事件的各種相關(guān)信息，盡可

23、能地把所有情況記錄到文檔中。發(fā)生重大信息安全事件的單位應當在事件處理完畢后5個工作日內(nèi)將處理結(jié)果報市經(jīng)貿(mào)信委備案。應急行動結(jié)束根據(jù)信息安全事件的處置進展情況和現(xiàn)場應急處理工作組意見，信息突發(fā)事件應急小組應組織相關(guān)部門及專家組對信息安全事件的處置情況進行綜合評估，并向信息突發(fā)事件應急領(lǐng)導小組提出應急行動結(jié)束建議，并報信息突發(fā)事件應急領(lǐng)導小組批準。應急行動是否結(jié)束，由組織決定。保障措施技術(shù)支撐保障信息突發(fā)事件應急小組應建立預警與應急處理的技術(shù)平臺，進一步提高安全事件的發(fā)現(xiàn)和分析能力：從技術(shù)上逐步實現(xiàn)發(fā)現(xiàn)、預警、處置、通報等多個環(huán)節(jié)和不同的網(wǎng)絡、系統(tǒng)之間應急處理的聯(lián)動機制。應急隊伍保障加強信息安全人

24、才培養(yǎng)，建設(shè)一支高素質(zhì)、高技術(shù)的信息安全核心人才和管理隊伍，提高單位信息安全防御意識。物質(zhì)條件保障在深圳市XXX信息化專項資金中安排一定的資金用于預防或應對信息安全突發(fā)事件，提供必要的交通運輸保障，提前采購信息安全應急處理工作需要的檢測、維修工具和設(shè)備配件。技術(shù)儲備保障深圳市XXX信息突發(fā)事件應急小組組織有關(guān)專家和科研力量，開展應急運作機制、應急處理技術(shù)、預警和控制等研究，推廣和普及新的應急技術(shù)。培訓和演習人員培訓為確保信息安全應急預案有效運行，信息突發(fā)事件應急小組應定期或不定期地舉辦不同層次、不同類型的培訓班或研討會，應利用已有的資源，采用案例教學、情景模擬、交流研討、案例分析、應急演練、對

25、策研究等方式，開展形式多樣的培訓工作，以便不同崗位的應急人員都能全面熟悉并掌握信息安全應急處理的知識和技能。應急演習為提高信息安全突發(fā)事件應急響應水平，信息突發(fā)事件應急小組應定期或不定期組織預案演練；檢驗應急預案各環(huán)節(jié)之間的通信、協(xié)調(diào)、指揮等是否符合快速、高效的要求。通過演習，進一步明確應急響應各崗位責任，對預案中存在的問題和不足及時補充、完善。監(jiān)督檢查與獎懲預案執(zhí)行監(jiān)督信息突發(fā)事件應急領(lǐng)導小組負責對預案實施的全過程進行監(jiān)督檢查，督促成員部門按本預案指定的職責采取應急措施，確保及時、到位。發(fā)生重大信息安全事件的單位應當按照規(guī)定及時如實地報告事件的有關(guān)信息，不得瞞報、緩報或者授意他人瞞報、緩報。

26、任何單位或個人發(fā)現(xiàn)有瞞報、緩報、謊報重大信息安全事件情況時，有權(quán)直接向信息突發(fā)事件應急領(lǐng)導小組舉報。應急行動結(jié)束后，信息突發(fā)事件應急領(lǐng)導小組對相關(guān)成員單位采取的應急行動的及時性、有效性進行評估。獎懲與責任對下列情況可以經(jīng)信息突發(fā)事件應急小組評估審核，報信息突發(fā)事件應急領(lǐng)導小組批準后予以獎勵：在應急行動中做出特殊貢獻的先進單位和集體；在應急行動中提出重要建議方案，節(jié)約大量應急資源或避免重大損失的人員；在應急行動第一線做出重大成績的現(xiàn)場作業(yè)人員；在發(fā)生重大信息安全事件后，有關(guān)責任單位、責任人有瞞報、緩報、漏報和其它失職、瀆職行為的，信息突發(fā)事件應急領(lǐng)導小組將予以通報批評；對造成嚴重不良后果的，將視

27、情節(jié)由有關(guān)主管部門追究責任領(lǐng)導和責任人的行政責任；構(gòu)成犯罪的，由有關(guān)部門依法追究其法律責任。對未及時落實市信息安全專項應急領(lǐng)導小組指令，影響應急行動的效果的，按國務院關(guān)于特大安全事故行政責任追究的規(guī)定、廣東省重大事故責任追究制度追究相關(guān)人員的責任。各種突發(fā)事件應急預案本預案所稱突發(fā)性事件，是指自然因素或者人為活動引發(fā)的危害機房或人身安全等有關(guān)的事件。主要有以下幾個類型：1、地震、火災、雷電、水災等自然災害造成的破壞性突發(fā)事件；2、信息處理設(shè)備被盜、機房存在重大安全隱患而造成的損失等嚴重突發(fā)事件；3、信息系統(tǒng)存在嚴重BUG造成業(yè)務操作失誤，數(shù)據(jù)錯誤；4、網(wǎng)絡中斷或網(wǎng)絡大規(guī)模癱瘓；5、病毒和黑客入

28、侵或其他原因造成數(shù)據(jù)丟失、刪改；6、服務器、網(wǎng)絡設(shè)備嚴重故障；7、因大面積停電、外部網(wǎng)絡中斷等因素導致無法使用等突發(fā)事件。本預案通過演習、實踐檢驗，以及根據(jù)應急力量變更、新技術(shù)、新資源的應用和應急事件發(fā)展趨勢，及時進行修訂和完善；本預案所附的成員、通信地址等發(fā)生變化時也應隨時修訂；本預案由深圳市XXX信息部負責修訂，報深圳市XXX領(lǐng)導批準后實施，授權(quán)深圳市XXX信息突發(fā)事件應急小組負責對本預案附件及附錄的修改、審批和實施。本預案修訂采取改版或換頁的方式進行。本預案由深圳市XXX信息部制定，由信息突發(fā)事件應急領(lǐng)導小組負責解釋。本預案日常工作由深圳市XXX信息部負責。聯(lián)系電話：（83948121）

29、。聯(lián)系部門：深圳市XXX信息部。聯(lián)系人清單：角色姓名職責聯(lián)絡信息工作電話手機應急小組組長應急小組副組長協(xié)調(diào)人局域網(wǎng)組機房維護組機房維護組機房維護組本預案自發(fā)布之日起實施。深圳市XXX二XX年 月 日 通信網(wǎng)絡故障應急預案8.1.1通信網(wǎng)絡日常管理為了保證深圳市XXX通信網(wǎng)絡的正常工作，信息部工作人員必須做好機房網(wǎng)絡設(shè)施的日常維護。8.1.2通信網(wǎng)絡故障應急預案清單預案名稱網(wǎng)絡通信系統(tǒng)故障預案預案編號預案目的網(wǎng)絡通信系統(tǒng)發(fā)生故障后，應用本預案處理故障預案啟動條件網(wǎng)絡通信系統(tǒng)發(fā)生故障預案執(zhí)行實施日期組織機構(gòu)及職責組成姓名聯(lián)系方式職責負責人安全主管現(xiàn)場指揮安全主管成員網(wǎng)絡管理員機房管理員機房管理員廠

30、家聯(lián)絡方式廠家名稱姓名聯(lián)系方式軟件介質(zhì)名稱介質(zhì)編號存放地點備注備品備件名稱設(shè)備編號存放地點備注交換機和路由器供應商倉庫圖紙名稱圖紙編號存放地點備注網(wǎng)絡拓撲圖信息部預案執(zhí)行步驟及通告一、故障通告1. 將故障情況向信息部部長匯報。信息部通知受影響的用戶，并視情況的嚴重程度通知應急領(lǐng)導小組。二、預案執(zhí)行步驟1、信息部接到報障后，應立即安排維護工程師到現(xiàn)場查看；PING各關(guān)鍵設(shè)備的IP地址，來初步定位故障點（某設(shè)備，某端口）。通過鏈路檢查命令確定是網(wǎng)絡通信故障，則啟用一下預案。如是服務器或其他設(shè)備，則啟用相關(guān)預案。確定故障類型及影響范圍：（1）鏈路故障（2）核心、匯聚層設(shè)備硬件故障（3）接入層設(shè)備硬件

31、故障（4）出口區(qū)域設(shè)備硬件故障（5）非硬件故障故障處理流程：（1）鏈路故障處理流程：先將故障匯報至信息部，通報給受影響的用戶檢查線路及鏈路轉(zhuǎn)換設(shè)備是否工作正常（如：光電轉(zhuǎn)換器），物理鏈路包括雙絞線、以太網(wǎng)光纖、廣域網(wǎng)線路。A雙絞線故障可以采用替換的方式解決；B.以太網(wǎng)光纖故障，則聯(lián)系局域網(wǎng)線路維護方進行重新熔接；C.廣域網(wǎng)線路故障，則聯(lián)系運營商進行處理。轉(zhuǎn)換設(shè)備故障：光電轉(zhuǎn)換器、協(xié)議轉(zhuǎn)換器、光纖模塊等，根據(jù)設(shè)備的運維方分別聯(lián)系對應的運維方進行處理。所有鏈路故障能夠臨時替換解決的，先臨時替換規(guī)避故障使網(wǎng)絡恢復正常不能替換的匯報信息部，協(xié)商解決方案(2)核心、匯聚層設(shè)備硬件故障： 核心、匯聚層設(shè)備

32、相對比較高端，故障涉及引擎、業(yè)務板卡、電源模塊等引擎故障： A. 針對外網(wǎng)核心為雙引擎配置，單個引擎損壞不影響設(shè)備正常工作。向信息部匯報故障同時通知設(shè)備維護商上門檢修； B. 針對內(nèi)網(wǎng)核心，無引擎冗余設(shè)置，但有設(shè)備冗余，單個故障不會影響接入層的通迅，首先將故障機上的服務器、鏈路切換到另一臺核心交換機上，調(diào)整相應的配置。然后上報信息部并通知設(shè)備維護商上門檢修； C. 匯聚層設(shè)備引擎損壞對網(wǎng)絡不會造成網(wǎng)絡中斷，上報信息部，并通知設(shè)備維護商上門檢修。(3)業(yè)務板卡故障A. 如果設(shè)備其它業(yè)務板上未使用端口較多，則將故障板卡上的線路切到其它板卡未使用的端口，并將做好相關(guān)配置B. 如果設(shè)備其它板卡上未使用

33、端口較少，則可以采取非故障業(yè)務板下掛交換機的方法來增加端口數(shù)量，將故障板卡上的線路切到新增交換機上。臨時規(guī)避處理后，然后上報信息部并通知設(shè)備維護商上門檢修；(4)電源模塊、機箱、風扇等基礎(chǔ)硬件故障。A. 雙電源設(shè)計設(shè)備，單個電源損壞不會對設(shè)備造成影響，向信息部匯報并通知設(shè)備維護商上門檢修；B. 單電源、機箱、風扇等故障，臨時規(guī)避措施與內(nèi)網(wǎng)核心引擎故障處理方法一致。(5)接入層設(shè)備硬件故障：A. 接入層設(shè)備故障影響一般為單個樓層，如有備件，則現(xiàn)場更換備件，做好相關(guān)配置，并匯報信息部及通知設(shè)備維護商上門檢修；B. 如果沒有備件且下接為同一網(wǎng)段用戶時，可臨時采用傻瓜交換機對故障設(shè)備進行替換，并調(diào)整相

34、應的匯聚交換機配置。匯報信息部同時通知設(shè)備維護商上門檢修；C. 如果沒有備件且下接為不同網(wǎng)段用戶時，只能保證關(guān)鍵網(wǎng)段的通迅，或者調(diào)整用戶IP地址。規(guī)避方法與同一網(wǎng)段用戶相同。D. 如果備件或傻瓜交換機無光纖端口，則可采用增加光電轉(zhuǎn)換器的方法，替換光纖模塊，用雙絞線接入交換機。(6) 出口區(qū)域故障：出口區(qū)域包括防火墻、路由器、安全網(wǎng)關(guān)、網(wǎng)閘等,針對工作為透明模式的設(shè)備，直接將設(shè)備撤下，匯報信息部同時通知設(shè)備維護商上門檢修；A. 非透明模式工作的設(shè)備，如有備件則調(diào)試好備件，將故障設(shè)備替換，并匯報信息部同時通知設(shè)備維護商上門檢修；無備件的情況則上報信息部同時通知設(shè)備維護商上門檢修；所有故障設(shè)備返修完

35、畢后，正式上線前，需匯報信息部，確定上線時間，才能停機安裝調(diào)試。非硬件故障進行設(shè)備各項信息收集:接入CONSOLE線，能否進行設(shè)備操作界面：(1)如能進行操作界面，則收集設(shè)備信息；(2)如不能進入操作界面則判斷為設(shè)備本身故障，升級設(shè)備軟件看能否解決，如不能則為設(shè)備硬件故障，如有備件，則替換上備件，如無備件，向信息部負責人匯報故障處理情況，同時通知設(shè)備維護商上門檢修； 查看CPU信息：show cpu結(jié)合以往經(jīng)驗，判斷該設(shè)備CPU利用率是否在正常范圍內(nèi)(3)如果CPU利用率比正常情況下高很多，則可能是攻擊，如大量的主機掃描；或環(huán)路導致?？梢酝ㄟ^抓包分析來確定攻擊源或環(huán)路端口。如為攻擊則斷開攻擊源

36、，如為環(huán)路，則解除環(huán)路，并向信息部負責人匯報處理過程。其它廠商設(shè)備，如深信服網(wǎng)關(guān)、天融信防火墻等，通過WEB方式可以查看CPU利用率查看設(shè)備運行信息：show running-config與最近備份配置對比，看是否存在改動，如存在改動，則進行還原配置操作，是否能解決故障，如能解決，則先還原配置，分析改動配置存在的問題。并將處理情況向信息部負責人匯報；如果還原配置后，故障依舊，則進行下一步操作。如果配置未進行改動，則進行下一步操作。查看MAC地址表：show mac-address-table查看故障設(shè)備是否學到對方的MAC地址，如沒有學到或?qū)W到的信息不正確，則檢查鏈路狀態(tài)，或者是否存在MAC地

37、址攻擊等。(4)如果MAC地址表正常，則進行下一步操作查看ARP表：show arp查看故障設(shè)備是否學習到對方ARP信息或信息是否正確，如果沒有學到，則分析是否病毒，如ARP病毒，或其它原因?qū)е氯绻軐W到對方ARP信息，則進行下一步操作。查看路由表：show ip router檢查到對方的路由是否正常，如果路由不正常，則分析路由不正常的原因如果路由表正常，則進行下一步操作。查看是否由于安全設(shè)備原因安全設(shè)備是否限制了正常的通迅安全設(shè)備是否將正常報文誤斷為攻擊8、經(jīng)過以上操作仍無法定位原因解決故障，則聯(lián)系第三方技術(shù)支持9、確定故障原因后：如為病毒導致，則按病毒處理預案進行如為設(shè)備本身故障，則上報信

38、息部，有備件的話，先用備件替換故障設(shè)備，無備件，則與信息部負責人協(xié)商解決方案如果故障是因設(shè)備配置問題導致，則對原配置備份后，再調(diào)整相應的配置10、故障解決后，進行經(jīng)驗總結(jié)，并提交至信息部負責人預案流程業(yè)務數(shù)據(jù)故障應急預案8.2.1業(yè)務數(shù)據(jù)日常管理為了加強深圳市XXX業(yè)務數(shù)據(jù)安全的管理，應對具有高可用性要求的業(yè)務數(shù)據(jù)進行備份，形成業(yè)務數(shù)據(jù)備份機制。8.2.2業(yè)務數(shù)據(jù)故障預案清單預案名稱業(yè)務數(shù)據(jù)故障預案預案編號預案目的因各類原因?qū)е聵I(yè)務數(shù)據(jù)丟失的處理方案預案啟動條件因各類原因，導致業(yè)務數(shù)據(jù)丟失預案執(zhí)行實施日期年 月 日組織機構(gòu)及職責組成姓名聯(lián)系方式職責負責人安全主管現(xiàn)場指揮安全主管成員網(wǎng)絡管理員機

39、房管理員需通知的其他部門部門名稱聯(lián)系人電話注意事項廠家聯(lián)絡方式廠家名稱姓名聯(lián)系方式軟件介質(zhì)名稱介質(zhì)編號存放地點備注預案執(zhí)行步驟及通告一、故障通告1. 將故障情況向信息部部長匯報。信息部通知受影響的用戶，并視情況的嚴重程度通知應急領(lǐng)導小組。二、預案執(zhí)行步驟發(fā)生業(yè)務數(shù)據(jù)故障（因硬件/軟件故障或誤操作導致）后，現(xiàn)場值班人員應及時聯(lián)系數(shù)據(jù)庫管理員，檢查和備份業(yè)務系統(tǒng)當前數(shù)據(jù)；由數(shù)據(jù)庫管理員確定能用于恢復的數(shù)據(jù)備份及其介質(zhì)（磁盤/磁帶，本地/異地）；如果數(shù)據(jù)庫管理員不能在短時間內(nèi)修復數(shù)據(jù)，則需及時上報應急領(lǐng)導小組，由其通知業(yè)務部門以手工開展業(yè)務；利用備份恢復業(yè)務數(shù)據(jù)后，需要協(xié)同業(yè)務部門的人員檢查數(shù)據(jù)的有

40、效性（歷史數(shù)據(jù)和當前數(shù)據(jù)的差別），并根據(jù)需要，聯(lián)合應用系統(tǒng)開發(fā)商，輔助相關(guān)的業(yè)務人員補錄入數(shù)據(jù)；完成修復后，立即備份當前數(shù)據(jù)；編寫故障分析報告，向應急領(lǐng)導小組匯報。預案處理流程服務器軟件故障預案預案名稱服務器軟件故障預案預案編號預案目的服務器發(fā)生軟件故障后，應用本預案處理故障預案啟動條件服務器發(fā)生軟件故障（除應用軟件系統(tǒng)外）預案執(zhí)行實施日期年 月 日組織機構(gòu)及職責組成姓名聯(lián)系方式職責負責人安全主管現(xiàn)場指揮安全主管成員網(wǎng)絡管理員機房管理員廠家聯(lián)絡方式廠家名稱姓名聯(lián)系方式備注軟件介質(zhì)名稱介質(zhì)編號存放地點備注備品備件名稱設(shè)備編號存放地點備注儀器名稱儀器編號存放地點備注預案執(zhí)行步驟及通告一、故障通告1

41、.將故障情況向信息部部長匯報。信息部通知受影響的用戶，并視情況的嚴重程度通知應急領(lǐng)導小組。二、預案執(zhí)行步驟1.發(fā)生服務器軟件系統(tǒng)故障后，現(xiàn)場值班人員應立即組織查找、確定故障軟件；收集軟件所在服務器的基本信息，包括設(shè)備型號、系統(tǒng)平臺、軟件版本、使用情況等信息；檢查系統(tǒng)中各類日志（系統(tǒng)日志/應用程序日志/數(shù)據(jù)庫日志等），分析故障發(fā)生的位置；2.根據(jù)先期收集的信息、判斷故障事態(tài)的嚴重程度，及時報告應急指揮專責小組，啟動后續(xù)處理流程：業(yè)務軟件故障：聯(lián)系軟件開發(fā)商維護人員，讓其安排技術(shù)人員在指定時間段內(nèi)趕到現(xiàn)場，對業(yè)務軟件進行深入分析，繼而解決故障或重新部署軟件；數(shù)據(jù)庫軟件和備份軟件：由數(shù)據(jù)庫管理員確認

42、故障原因，繼而修復數(shù)據(jù)庫軟件，若軟件不能（及時）修復，則在原設(shè)備或調(diào)度的備用設(shè)備上重新部署軟件，并利用已有的備份內(nèi)容，恢復數(shù)據(jù)；操作系統(tǒng)：由系統(tǒng)管理員確認故障原因，繼而修復操作系統(tǒng)，若系統(tǒng)不能（及時）修復，則重新部署系統(tǒng)和各類業(yè)務軟件及支持軟件，或啟動備份服務器系統(tǒng)，由備份服務器接管業(yè)務應用，并及時報告軟件維護人員，安排將故障服務器脫離網(wǎng)絡，保存系統(tǒng)狀態(tài)不變，取出系統(tǒng)鏡像備份磁盤，保持原始數(shù)據(jù)；若使用備用系統(tǒng)，則在原服務器上修復系統(tǒng)后，需將備用系統(tǒng)中的數(shù)據(jù)遷移回原系統(tǒng)中；如果問題嚴重，原有技術(shù)人員不能解決，則立即聯(lián)系應急指揮專責小組和維護廠商，請求技術(shù)支援，做好技術(shù)處理，保證數(shù)據(jù)完整； 處置結(jié)

43、束后，將事發(fā)經(jīng)過、處理方法和結(jié)果編寫成報告，提交給應急指揮專責小組。預案流程服務器硬件故障應急預案8.4.1服務器硬件日常管理為了加強深圳市XXX信息部設(shè)備硬件管理，需要管理員定期檢查、整理硬件物理連接線路，定期檢查硬件運作狀態(tài)，做好硬件的冗余備份。8.4.2服務器硬件故障預案清單預案名稱服務器硬件故障預案預案編號預案目的服務器發(fā)生硬件故障后，應用本預案處理故障預案啟動條件服務器發(fā)生硬件故障（包括服務器/存儲/存儲網(wǎng)絡設(shè)備）預案執(zhí)行實施日期年 月 日組織機構(gòu)及職責組成姓名聯(lián)系方式職責負責人安全主管現(xiàn)場指揮安全主管成員網(wǎng)絡管理員機房管理員廠家聯(lián)絡方式廠家名稱姓名聯(lián)系方式軟件介質(zhì)名稱介質(zhì)編號存放地

44、點備注備品備件名稱設(shè)備編號存放地點備注儀器名稱儀器編號存放地點備注預案執(zhí)行步驟及通告一、故障通告1. 將故障情況向信息部部長匯報。信息部通知受影響的用戶，并視情況的嚴重程度通知應急領(lǐng)導小組。二、預案執(zhí)行步驟發(fā)生硬件故障后，及時報告硬件維護人員，并組織查找、確定故障設(shè)備及故障原因，進行先期處置：檢查硬件指示燈號，分辨出錯硬件；檢查系統(tǒng)日志，查找和確定故障原因；運行配套的硬件監(jiān)控和維護程序，查找和確定故障原因；收集設(shè)備的基本信息（硬件設(shè)備型號、系統(tǒng)平臺類型和版本、應用軟件類型和版本）；聯(lián)系硬件維護人員對故障設(shè)備進行檢修；根據(jù)故障事態(tài)的嚴重程度，及時報告應急指揮專責小組，啟動以下后續(xù)處理流程：如果故

45、障設(shè)備具有容錯能力，則由硬件維護人員聯(lián)系備件庫管理人員，及時調(diào)度硬件，在線更換；如果故障設(shè)備不具備容錯能力，而又無法在短時間內(nèi)修復故障設(shè)備，則啟動備用設(shè)備，保持系統(tǒng)正常運行；如果沒有現(xiàn)成備用設(shè)備，則聯(lián)系備件庫管理人員，調(diào)度合適的硬件設(shè)備，根據(jù)之前收集的信息，在備用設(shè)備上部署同型號同版本的操作系統(tǒng)、支持軟件和業(yè)務軟件，并恢復數(shù)據(jù)庫到備用設(shè)備，保證系統(tǒng)正常運行；原設(shè)備在故障排除后，在網(wǎng)絡空閑時期，重新替換備用設(shè)備，把原先存儲與備用設(shè)備的數(shù)據(jù)遷移回原設(shè)備；若故障仍然存在，根據(jù)安全守則和實際需要，立即聯(lián)系相關(guān)廠商，認真填寫設(shè)備故障報告單備查。預案流程 網(wǎng)絡攻擊事件預案預案名稱網(wǎng)絡攻擊事件預案預案編號預

46、案目的網(wǎng)絡攻擊事件發(fā)生后，應用本預案處理故障預案啟動條件發(fā)生網(wǎng)絡攻擊事件預案執(zhí)行實施日期年 月 日組織機構(gòu)及職責組成姓名聯(lián)系方式職責負責人安全主管現(xiàn)場指揮安全主管成員網(wǎng)絡管理員信息安全管理員廠家聯(lián)絡方式廠家名稱姓名聯(lián)系方式軟件介質(zhì)名稱介質(zhì)編號存放地點備注備品備件名稱設(shè)備編號存放地點備注儀器名稱儀器編號存放地點備注預案執(zhí)行步驟及通告一、故障通告1. 將故障情況向信息部部長匯報，信息部通知受影響的用戶，并視情況的嚴重程度通知應急領(lǐng)導小組。預案執(zhí)行步驟1.確定源地址：如果服務器被攻擊，可以通過以下手段來確定攻擊源：在服務器上運行netstat -an可以看到大量的連接，找出發(fā)起大量連接的源IP地址。

47、也可以在通過捕獲交換機上連接服務器的端口的報文，進行分析，找到攻擊源IP。如果是安全網(wǎng)關(guān)被攻擊，則只能分別在其所有網(wǎng)絡連接端口來進行抓包分析。2.臨時規(guī)避攻擊：臨時規(guī)避主要是針對外網(wǎng)發(fā)起的攻擊，最保險的方法是采取臨時斷網(wǎng)措施；如果不能斷網(wǎng)則可以通過以下措施臨時規(guī)避：如果公網(wǎng)地址足夠，可以通過更改對外發(fā)布服務的公網(wǎng)地址（服務器，同進還需更改DNS解析）或者更改本身的外網(wǎng)地址(出口網(wǎng)關(guān))。3.備份被攻擊者數(shù)據(jù)如為網(wǎng)絡設(shè)備，則備份配置文件，如為服務器則備份操作系統(tǒng)，有條件的話，建議備份整個硬盤。4.追蹤攻擊源：內(nèi)網(wǎng)發(fā)起的攻擊：通過找出源IP，結(jié)合用戶IP登記資料，定位到用戶，直接將用戶斷網(wǎng)處理。外網(wǎng)

48、發(fā)起的攻擊：與運營商聯(lián)系，同時上報網(wǎng)監(jiān)部門，根據(jù)對方要求提供相關(guān)資料，由運營商和網(wǎng)監(jiān)部門處理。5.調(diào)整安全策略:在定位攻擊源的時候，同時對服務器或出口網(wǎng)關(guān)進行加固，主要方法如下：安全網(wǎng)關(guān)主要是對其本身的登陸管理進行設(shè)置，包括對其本身IP的連接數(shù)，用戶登陸次數(shù)等進行限制，備份攻擊發(fā)生時的設(shè)備配置，以便后期分析。服務器在攻擊發(fā)生時第一時間斷開網(wǎng)絡，備份操作系統(tǒng)（有條件的話建議備份整個硬盤）；分析服務器在安全方面存在的隱患，更改相關(guān)安全設(shè)置。在安全設(shè)備上，如防火墻,IPS；對該服務器與外網(wǎng)地址的連接數(shù)進行限制，在同一時刻只允許一定數(shù)量的地址與服務器建立連接。6.被攻擊者接入網(wǎng)絡如果還有攻擊，則需等待

49、運營商處理完畢后，再接入網(wǎng)絡。7.檢查被攻擊設(shè)備的數(shù)據(jù)是否丟失損壞。8.如數(shù)據(jù)有丟失或損壞，則恢復被攻擊目標設(shè)備的數(shù)據(jù)。9.事故處理完后對此次事故進行總結(jié)。預案流程病毒爆發(fā)應急預案8.6.1病毒防護日常管理為了保證深圳市XXX電子政務內(nèi)網(wǎng)的安全，系統(tǒng)管理員必須安裝殺毒軟件和升級系統(tǒng)補丁，建立完整的防病毒系統(tǒng)管理及維護日志。8.6.2病毒爆發(fā)應急預案清單預案名稱病毒爆發(fā)事故預案預案編號預案目的發(fā)生病毒爆發(fā)或感染事故后，應用本預案處理故障預案啟動條件發(fā)生病毒爆發(fā)或感染事故預案執(zhí)行實施日期年 月 日組織機構(gòu)及職責組成姓名聯(lián)系方式職責負責人安全主管現(xiàn)場指揮安全主管成員網(wǎng)絡管理員機房管理員廠家聯(lián)絡方式廠

50、家名稱姓名聯(lián)系方式軟件介質(zhì)名稱介質(zhì)編號存放地點備注備品備件名稱設(shè)備編號存放地點備注儀器名稱儀器編號存放地點備注預案執(zhí)行步驟及通告一、故障通告1.將故障情況向信息部部長匯報，信息部通知受影響的用戶，并視情況的嚴重程度通知應急領(lǐng)導小組。2、對用戶的病毒通知，采用發(fā)文或短信方式。二、預案執(zhí)行步驟終端網(wǎng)絡型病毒可依靠網(wǎng)絡進行大面積快速傳播，如：灰鴿子、熊貓燒香、沖擊波等。小面積病毒爆發(fā)：1.接到報障電話，工程師到現(xiàn)場處理，確定是否中毒，如確認中毒則將中毒主機斷網(wǎng)隔離。2.采用已安裝并更新至最新病毒庫的專業(yè)殺毒軟件進行查殺，如能查殺則現(xiàn)場處理。3.針對未知的新型病毒，殺毒軟件不能查殺的，則將用戶數(shù)據(jù)備份

51、后，再重裝系統(tǒng)，同時將病毒樣本上報殺毒軟件廠商。4.待殺毒軟件廠商升級病毒庫后，再查殺中毒電腦。大面積病毒爆發(fā)：1.確定大面積病毒爆發(fā)，上報上級主管部門2.先采用殺毒軟件進行查殺，如果可以查殺則發(fā)通知用戶進行查殺,殺毒軟件無法查殺的情況下，對爆發(fā)區(qū)域進行斷網(wǎng)處理，并發(fā)布病毒通知。3.聯(lián)系廠商進行現(xiàn)場技術(shù)支持，上報上級主管部門終端單機型病毒病毒傳播速度較慢，網(wǎng)絡不是其傳播主要手段。如：文件型病毒、U盤病毒等。1.接到報障電話，工程師到現(xiàn)場處理，確定是否中毒，如確認中毒則將中毒主機斷網(wǎng)隔離。2.采用已安裝并更新至最新病毒庫的專業(yè)殺毒軟件進行查殺，如能查殺則現(xiàn)場處理。3.如以上軟件不能處理，則將用戶數(shù)據(jù)備份