3-信息系統(tǒng)安全應急預案

信息系統(tǒng)安全應急預案為全面加強公司信息系統(tǒng)安全管理，應對信息安全突發(fā)事件的發(fā)生，提高對安全事件的應急處置能力，保證網(wǎng)絡與信息安全指揮協(xié)調工作迅速、高效、有序地進行，滿足突發(fā)情況下信息系統(tǒng)安全穩(wěn)定、持續(xù)運行，根據(jù)國家和省有關規(guī)定，制定本預案。.電力系統(tǒng)故障的應急處理報告，任何單位和人員發(fā)現(xiàn)本單位電力系統(tǒng)出現(xiàn)異常情況時，都應及時向信息系統(tǒng)部報告。聯(lián)系，信息系統(tǒng)部IT負責人或值班人員及時聯(lián)系物業(yè)，并聯(lián)系相關系統(tǒng)管理員確定緊急停機方案和計劃。監(jiān)控，信息系統(tǒng)部IT負責人或值班人員實時監(jiān)控UPS電量消耗情況，并按計劃當電量低于預定閾值時通知相關系統(tǒng)管理員進行停機操作。恢復，當電力供應恢復后，通知相關信息負責人，按規(guī)定的開發(fā)流程恢復停機系統(tǒng)。.消防系統(tǒng)應急處理報告和簡單處理當出現(xiàn)火情、火災時，發(fā)現(xiàn)人員應在最短時間內報告。若火情嚴重時，應迅速撥打119電話報警，并盡可能采取一些簡單可行的方法作初步處理，如：使用周圍的滅火器、水源（在允許用水滅火的場合）或采用其他滅火措施、手段。進展情況隨時向有關領導報告。滅火計算中心機房出現(xiàn)火情并且無法進行局部處理時，機房管理人員在緊急報告有關領導的同時,應立即疏散場地以內的工作人員。在自動滅火系統(tǒng)未啟動時，按下緊急啟動按鈕。.網(wǎng)絡信息系統(tǒng)故障的應急處理報告和簡單處理網(wǎng)絡設備、網(wǎng)絡應用系統(tǒng)故障應由發(fā)現(xiàn)人及時通知信息系統(tǒng)部，信息系統(tǒng)部在收到發(fā)現(xiàn)人通知或系統(tǒng)自動通知后應立即檢查故障，進行初步故障定位。如果網(wǎng)絡、應用系統(tǒng)出現(xiàn)比較嚴重的問題，對網(wǎng)絡業(yè)務的正常運行造成較大的影響，需立即向有關領導報告。故障判斷與排除對簡單故障，運維人員應迅速排除故障，解決問題并記錄。如果需要更換設備，應上報有關領導,經(jīng)批準后馬上更換故障設備，盡快恢復網(wǎng)絡、應用系統(tǒng)運行。運維人員判斷無法及時修理時，應立即通知相關的系統(tǒng)運行服務提供商，在最短的時間內安排修理或更換系統(tǒng)。33.網(wǎng)絡線路故障排除如發(fā)現(xiàn)屬外部線路的問題，應與線路服務提供商聯(lián)系，敦促對方盡快恢復故障線路。啟用備份線路、設備、系統(tǒng)（如果存在的話），迅速恢復相關的應用。.網(wǎng)站與應用系統(tǒng)應急處理報告和簡單處理發(fā)現(xiàn)對外網(wǎng)站不能正常打開或網(wǎng)站內容被惡意篡改時，任何人員都有義務向信息系統(tǒng)部報告。信息系統(tǒng)部在收到報告后應立即組織應急響應，聯(lián)合相關部門進行故障排查。處理先由IT運維部門查看網(wǎng)絡連接情況，若不是網(wǎng)絡故障，則繼續(xù)檢查其它硬件或系統(tǒng)軟件故障，必要時立即聯(lián)系應用軟件供應商或研發(fā)部門會診。恢復使用待故障處理完成并經(jīng)過測試后，恢復系統(tǒng)的正常運行。.黑客入侵的應急處理報告和簡單處理發(fā)現(xiàn)網(wǎng)絡上有黑客攻擊行為，笆可人員都有義務向信息系統(tǒng)部報告。信息系統(tǒng)部在收到報告或檢測到攻擊行為后應立即啟動應急響應切斷受攻擊計算機與網(wǎng)絡的連接，停止一切操作、保護現(xiàn)場，并上報有關領導。處理對于黑客攻擊，由信息系統(tǒng)部組織應急響應專家小組查找入侵蹤跡，分析入侵方式和原因。由安全管理員根據(jù)對入侵事件的分析，組織相關人員對內部網(wǎng)計算機整改，防止黑客用同樣的手段再次入侵其他系統(tǒng)。緊急情況下專家小組有權在未經(jīng)領導審批進行應急處理，但應做好記錄，保護現(xiàn)場，進行日志收集等工作?；謴蛯＜倚〗M檢查確定無安全隱患后，才可將受攻擊計算機重新連接網(wǎng)絡，或啟用備份計算機或服務器來恢復應用。如果能追查到攻擊者的相關信息，可以對其發(fā)出警告，必要時可以采取進一步的行動，乃至采取法律手段。根據(jù)破壞程度，經(jīng)有關領導同意后，上報公安部門。若系統(tǒng)已被黑客破壞，無法恢復，應將受黑客攻擊的計算機上的重要數(shù)據(jù)備份到其他存儲介質，確保計算機內重要的數(shù)據(jù)不丟失。如果數(shù)據(jù)無法恢復，經(jīng)有關領導同意后，可與國家指定的部門聯(lián)系，由他們來協(xié)助恢復。.大規(guī)模病毒（含惡意軟件）攻擊的應急處理報告和簡單處理發(fā)現(xiàn)網(wǎng)絡上有大規(guī)模病毒攻擊的行為，件可人員都有義務向信息系統(tǒng)部報告。由信息系統(tǒng)部組織應急響應，切斷受攻擊計算機與網(wǎng)絡的連接，停止一切操作、保護現(xiàn)場，立即上報有關領導。已知病毒的處理和恢復使用最新版本殺毒軟件對染毒計算機進行全面殺毒，并對染毒計算機系統(tǒng)進行漏洞修補。IT或系統(tǒng)管理員確定沒有病毒和安全漏洞后，再連接網(wǎng)絡恢復使用。未知病毒的處理和恢復觀察防火墻、交換機及網(wǎng)管軟件根據(jù)監(jiān)視窗口的鏈路狀態(tài)，由此判斷感染病毒或惡意程序的客戶端、服務器所連接的交換機。打開該交換機的端口流量分析窗口，根據(jù)流量判斷感染病毒或惡意程序的客戶端所科交換機端口。關閉該交換機端口，隔離該工作站、服務器，阻斷與局域網(wǎng)的連接。根據(jù)端口狀態(tài)功能，查看感染病毒或惡意程序的終端或服務器的IP地址。根據(jù)IP地址信息找到該工作站的具體位置，對該工作站進行病毒或惡意程序清除工作。根據(jù)對于未知病毒，應首先嘗試手工殺毒處理，若系統(tǒng)已被病毒破壞，無法恢復，應將感染病毒的計算機上的硬盤加掛到其他機器上處理，將重要數(shù)據(jù)備份到其他存儲介質,盡最大努力保護、保留感染計算機內重要的數(shù)據(jù)同時防止病毒感染其他計算機。如果數(shù)據(jù)無法恢復，經(jīng)有關領導同意后，可與反病毒廠商聯(lián)系，由他們來協(xié)助恢復。附件一：信息系統(tǒng)安全應急處理單

信息系統(tǒng)安全應急處理單發(fā)現(xiàn)人時間現(xiàn)象及簡單處理處理人：審核人：處理與恢復處理人：審核人：附件二：供應商緊急聯(lián)絡人列表

姓名職位供應商名稱聯(lián)系電話提供服務王海逸客服經(jīng)理中國電信電信寬帶接入報修客服體大機房光纖電路號：B1604378158504000報修政企客戶報修96388報修客服總部機房光纖電路號：B1604764158504829報修96388報修客服IDC機房光纖電路號：B3101668058504829報修96388/58271006/1072王坤工程師電信工程師張純客服經(jīng)理中國聯(lián)通聯(lián)通寬帶接入馬明銷售代表華普信息技術有限公司4007060023AYAVA電話交換機李累銷售代表華普信息技術有限公司4007060023AYAVA電話交換機劉艷青物業(yè)經(jīng)理硅谷亮城82797777硅谷亮城物業(yè)王雙偉銷售經(jīng)理北京科鼎隆科技發(fā)展有限公司UPS張魁銷售經(jīng)理北京一天宏基科技發(fā)展有限公司門禁、考勤褚向征工程師U8單位電話:51651325U8財務軟件HPHP服務器保修電話8008102058HP服務器王茂軍技術總控恒昌武艷鵬銷售代表商會通電話會議商會通電話會議鄧容華新為軟件北