安全生产_信息安全应急响应预案

深圳市深圳市 XXXXXX 信息安全应急响应预案信息安全应急响应预案 深圳市深圳市XXX XX 年 XX 月 目目录录 1.1. 总则总则3 1.11.1 目的目的3 1.21.2 现状及其成因现状及其成因.3 2.2. 组织机构及职责组织机构及职责.3 2.12.1 应急指挥机构应急指挥机构 3 3.3. 预警和预防机制预警和预防机制.3 3.13.1 信息监测及报告信息监测及报告 3 3.23.2 预警预警 3 3.33.3 预警支持系统预警支持系统 3 3.43.4 预防机制预防机制 3 4.4. 应急处理程序应急处理程序.3 4.14.1 级别的确定级别的确定 3 4.24.2 预案启动预案启动 3 4.34.3 现场应急处理现场应急处理 3 4.44.4 报告和总结报告和总结 3 4.54.5 应急行动结束应急行动结束 3 5.5. 保障措施保障措施 3 5.15.1 技术支撑保障技术支撑保障 3 5.25.2 应急队伍保障应急队伍保障 3 5.35.3 物质条件保障物质条件保障 3 5.45.4 技术储备保障技术储备保障 3 6.6. 培训和演习培训和演习.3 6.16.1 人员培训人员培训 3 6.26.2 应急演习应急演习 3 7.7. 监督检查与奖惩监督检查与奖惩.3 7.1预案执行监督 .3 7.2奖惩与责任 .3 8.8. 各种突发事件应急预案各种突发事件应急预案3 8.18.1 通信网络故障应急预案通信网络故障应急预案.3 8.1.18.1.1 通信网络日常管理通信网络日常管理.3 8.1.28.1.2 通信网络故障应急预案清单通信网络故障应急预案清单 .3 8.28.2 业务数据故障应急预案业务数据故障应急预案.3 8.2.1 业务业务数据日常管理数据日常管理.3 8.2.2 业务业务数据故障数据故障预预案清案清单单.3 8.38.3 服务器软件故障预案服务器软件故障预案.3 8.48.4 服服务务器硬件故障器硬件故障应应急急预预案案.3 8.4.1 服服务务器硬件日常管理器硬件日常管理.3 8.4.2 服务器硬件故障预案清单.3 8.58.5 网络攻击事件预案网络攻击事件预案.3 8.68.6 病毒爆发应急预案病毒爆发应急预案.3 8.6.1 病毒防病毒防护护日常管理日常管理.3 8.6.2 病毒爆发应急预案清单病毒爆发应急预案清单.3 8.78.7 业务软件故障应急预案业务软件故障应急预案.3 8.7.1 业务软业务软件日常管理件日常管理.3 8.7.2 业务软业务软件故障件故障预预案清案清单单.3 8.88.8 应急演练应急演练 3 8.98.9 通用表格通用表格 3 8.9.1 信息信息安全事安全事件件报报告表告表.3 8.9.2 信息安全事件信息安全事件应应急急处处理理结结果果报报告表告表 3 8.108.10 深圳市深圳市 XXXXXX 信息突发事件处理组织机构信息突发事件处理组织机构.3 深圳市深圳市 XXXXXX 信息系统突发事件应急预案信息系统突发事件应急预案 本预案内容包括总则、组织指挥体系及职责、预警和预 防机制、应急处理程序、保障措施、各种突发事件应急预案 等。明确规定了深圳市 XXX 在发生网络与信息安全重大突 发事件情况下各部门的相关职能和工作方法，具有一定的宏 观指导性和可操作性，对减少网络与信息安全突发事件，保 障业务系统正常开展起着重要作用。 1.1. 总则 1.11.1 目的目的 为科学应对网络与信息安全(以下简称“信息安全”)突发 事件建立健全信息安全应急响应机制，有效预防、及时控制 和最大限度地消除信息安全各类突发事件的危害和影响。 1.21.2 现状及其成因现状及其成因 近年来，深圳市 XXX 信息安全工作得到加强。但信息 安全保障基础工作和技术保障措施比较薄弱，与信息化快速 发展的要求和日趋严峻的信息安全形势不协调。 信息安全突发事件成因可分为两个方面：一是网络与信 息系统自身的脆弱性，主要表现在：安全漏洞的普遍性，攻击 和恶意代码的流行性，入侵检测能力的局限性，网络和系统 管理的复杂性。二是网络与信息系统外部体制性的不安全性， 主要表现在：信息安全法制不健全，全社会的信息安全意识 淡薄，深圳市 XXX 信息安全自主可控能力不强，技术防御 整体水平不高，信息安全专业人才缺乏，专业队伍建设严重 滞后。 2.2. 组织机构及职责 2.12.1 应急指挥机构应急指挥机构 2.1.1 深圳市深圳市 XXX 信息系信息系统统突突发发事件事件应应急急领导领导小小组组 在深圳市 XXX 党组的统一领导下，设立深圳市 XXX 信息系统突发事件应急领导小组(以下简称“信息突发事件应 急领导小组”)，为深圳市 XXX 处理信息安全突发事件应急 工作的综合性议事、协调机构。 主要职责是：按照国家、广东省、深圳市政府信息安全应 急机构的要求开展预防和处置工作；研究决定深圳市 XXX 信息安全应急工作的有关重大问题；决定 III 级和 IV 级信息 安全突发事件应急预案的启动，组织力量对 III 级和 IV 级突 发事件进行处置；接受深圳市政府信息安全应急机构的统一 领导，组织指挥 II 级和 I 级突发事件的应急处置工作；指导 监督信息安全应急小组的工作；法律、法规、规章规定的其他 职责。 信息突发事件应急领导小组，由（最高领导人）作为主任， （分管信息化工作的领导）作为副主任，成员由深圳市 XXX 各部门部长组成。 信息突发事件应急领导小组下设应急小组，由信息部部 长任组长，信息部副部长任副组长，信息部其它成员任组员。 承担深圳市 XXX 信息安全专项应急领导小组的日常工作， 负责深圳市 XXX 信息安全突发事件日常监测与预警，其主 要职责是： 督促落实上级部门和深圳市 XXX 信息突发事件应急领 导小组做出的决定和措施； 拟订或者组织拟订深圳市 XXX 信息部应对信息安全突 发事件的工作规划和应急预案，报深圳市 XXX 领导小组批 准后组织实施； 督促检查信息安全专项应急预案的制订、修订和执行情 况； 汇总有关信息安全突发事件的各种重要信息，进行综合 分析，并提出建议； 监督检查、协调信息安全突发事件预防、应急准备、应 急处置和事后恢复与重建工作； 组织制订信息安全常识、应急知识的宣传培训计划和应 急救援队伍的业务培训、演练计划，报信息突发事件应急领 导小组批准后督促落实； 组织专家组判定突发事件级别，根据情况提出加强或撤 销控制措施的建议和意见；组织召开部门协调会议，协调各 部门共同做好突发事件处置工作；检查督导突发事件应急措 施的落实情况；及时收集、上报和通报突发事件有关情况，负 责向信息突发事件应急领导小组报告有关工作情况； 2.1.2 信息突信息突发发事件事件应应急急领导领导小小组组各成各成员员部部门门的的职责职责 信息部：统筹规划建设应急处理技术平台，会同其他有 关部门组织制定单位突发事件应急处理政策文件及技术方 案，负责安全事件处理的培训，及时收集、上报和通报突发 事件情况，负责向信息突发事件应急领导小组或中心领导报 告有关工作情况。 相关部门：配合信息部组织制定信息系统突发事件应急 处理政策文件及技术方案及其他各项工作。 3.3. 预警和预防机制预警和预防机制 3.13.1 信息监测及报告信息监测及报告 信息部应加强信息安全监测、分析和预警工作，进一步 提高信息安全监察能力。建立信息安全事故报告制度。 在突发事件发生后，发现人应当立即向深圳市 XXX 信 息突发事件应急小组报告。 发现人应当立即对发现的事件进行调查核实、保存相关 证据，并在事件被发现时将证据报至信息突发事件应急小组。 3.23.2 预警预警 信息突发事件应急小组接到信息安全突发事件报告后， 应当经初步核实后，将有关情况及时向组长报告，进一步进 行情况综合，研究分析可能造成损害的程度，提出初步行动 对策，并及时报深圳市 XXX 应急领导小组。领导小组主任 视情况召集协调会，决策行动方案，发布指示和命令。 3.33.3 预警支持系统预警支持系统 深圳市 XXX 信息突发事件应急领导小组应建立和完善 信息监测、传递网络和指挥决策支持系统，要保证资源共享、 运转正常、指挥有力。 3.43.4 预防机制预防机制 积极推行信息安全等级保护，逐步实行信息安全风险评 估。各基础信息网络和重要信息系统建设要充分考虑抗毁性 与灾难恢复，制定并不断完善信息安全应急处理预案。针对 基础信息网络的突发性、大规模安全事件，各相关部门建立 制度化、程序化的处理流程。 4.4. 应急处理程序应急处理程序 4.14.1 级别的确定级别的确定 信息安全事件分级的参考要素包括信息密级、公众影响、 业务影响和资产损失等四项。各参考要素分别说明如下： (1)信息密级是衡量因信息失窃或泄密所造成的信息安 全事件中所涉及信息的重要程度的要素； (2)公众影响是衡量信息安全事件所造成的负面影响范 围和程度的要素； (3)业务影响是衡量信息安全事件对事发单位正常业务 开展所造成的负面影响程度的要素； (4)资产损失是衡量恢复系统正常运行和消除信息安全 事件负面影响所需付出资金代价的要素。 信息安全突发事件级别分为四级：一般(IV 级)、较大(III 级)、重大(II 级)和特别重大(I 级)，对应颜色依次为蓝色、黄 色、橙色和红色。 一般-IV 级：深圳市 XXX 较小范围出现并可能造成较大 损害的信息安全事件。 较大-级：深圳市 XXX 部分网络与信息系统、网站受 到大面积、严重冲击。 重大-II 级：深圳市 XXX 大部分网络、信息系统、网站基 本瘫痪，导致业务中断，但纵向或横向延伸可能造成严重社 会影响或较大经济损失。 特别重大-I 级：深圳市 XXX 所有基础网络（包括纵向或 横向延伸）、信息系统、网站严重瘫痪，导致业务中断，造成 或可能造成严重法律纠纷或对政府重大形象工程造成巨大 负面影响的信息安全事件。 4.24.2 预案启动预案启动 4.2.1 启动预案的权限。发生 IV 级网络信息安全事件后， 信息突发事件应急领导小组负责启动相应预案，信息突发事 件应急小组负责应急处理工作；发生 III 级网络信息安全事 件后，信息突发事件应急领导小组负责启动相应预案，并负 责应急处理工作；发生 I、II 级的信息安全突发事件后，上报 市人民政府及上级主管部门启动相应预案，并由市信息安全 应急指挥部负责应急处理工作。 4.2.2 启动预案的流程。深圳市 XXX 信息安全应急小组 接到报告后，应当立即上报深圳市 XXX 信息突发事件应急 领导小组有关负责人，并会同相关成员尽快组织专家组对突 发事件性质、级别及启动预案的时机进行评估，向信息突发 事件应急领导小组提出启动预案的建议，报信息突发事件应 急领导小组批准。 4.2.3 启动预案后的应急处理。在信息突发事件应急领导 小组作出启动预案决定后，信息突发事件应急小组立即启动 应急处理工作。 4.34.3 现场应急处理现场应急处理 现场应急处理工作组应尽最大可能收集事件相关信息， 明确事件类别，确定事件来源，保护证据，以便缩短应急响 应时间。 检查威胁造成的结果，评估事件带来的影响和损害：如 检查系统、服务、数据的完整性、保密性或可用性，检查攻击 者是否侵入了系统，以后是否能再次随意进入，损失的程度， 确定暴露出的主要危险等。 抑制事件的影响进一步扩大，限制潜在的损失与破坏。 根除恶意代码造成的不良影响。在事件被抑制之后，通 过对有关恶意代码或行为的分析结果，找出事件根源，明确 相应的补救措施并彻底清除。与此同时，执法部门和其他相 关机构将对攻击源进行定位并采取合适的措施将其中断。 清理系统、恢复数据、程序、服务。把所有被攻破的系统 和网络设备彻底还原到它们正常的任务状态。恢复工作应该 十分小心，避免出现误操作导致数据的丢失。另外，恢复工 作中如果涉及到机密数据，需要额外遵照机密系统的恢复要 求。 4.44.4 报告和总结报告和总结 回顾并整理发生事件的各种相关信息，尽可能地把所有 情况记录到文档中。发生重大信息安全事件的单位应当在事 件处理完毕后 5 个工作日内将处理结果报市经贸信委备案。 4.54.5 应急行动结束应急行动结束 根据信息安全事件的处置进展情况和现场应急处理工 作组意见，信息突发事件应急小组应组织相关部门及专家组 对信息安全事件的处置情况进行综合评估，并向信息突发事 件应急领导小组提出应急行动结束建议，并报信息突发事件 应急领导小组批准。应急行动是否结束，由组织决定。 5.5. 保障措施保障措施 5.15.1 技术支撑保障技术支撑保障 信息突发事件应急小组应建立预警与应急处理的技术 平台，进一步提高安全事件的发现和分析能力：从技术上逐 步实现发现、预警、处置、通报等多个环节和不同的网络、系 统之间应急处理的联动机制。 5.25.2 应急队伍保障应急队伍保障 加强信息安全人才培养，建设一支高素质、高技术的信 息安全核心人才和管理队伍，提高单位信息安全防御意识。 5.35.3 物质条件保障物质条件保障 在深圳市 XXX 信息化专项资金中安排一定的资金用于 预防或应对信息安全突发事件，提供必要的交通运输保障， 提前采购信息安全应急处理工作需要的检测、维修工具和设 备配件。 5.45.4 技术储备保障技术储备保障 深圳市 XXX 信息突发事件应急小组组织有关专家和科 研力量，开展应急运作机制、应急处理技术、预警和控制等 研究，推广和普及新的应急技术。 6.6. 培训和演习培训和演习 6.16.1 人员培训人员培训 为确保信息安全应急预案有效运行，信息突发事件应急 小组应定期或不定期地举办不同层次、不同类型的培训班或 研讨会，应利用已有的资源，采用案例教学、情景模拟、交流 研讨、案例分析、应急演练、对策研究等方式，开展形式多样 的培训工作，以便不同岗位的应急人员都能全面熟悉并掌握 信息安全应急处理的知识和技能。 6.26.2 应急演习应急演习 为提高信息安全突发事件应急响应水平，信息突发事件 应急小组应定期或不定期组织预案演练；检验应急预案各环 节之间的通信、协调、指挥等是否符合快速、高效的要求。通 过演习，进一步明确应急响应各岗位责任，对预案中存在的 问题和不足及时补充、完善。 7.7. 监督检查与奖惩监督检查与奖惩 7 7. .1 1预预案案执执行行监监督督 信息突发事件应急领导小组负责对预案实施的全过程 进行监督检查，督促成员部门按本预案指定的职责采取应急 措施，确保及时、到位。 发生重大信息安全事件的单位应当按照规定及时如实 地报告事件的有关信息，不得瞒报、缓报或者授意他人瞒报、 缓报。任何单位或个人发现有瞒报、缓报、谎报重大信息安 全事件情况时，有权直接向信息突发事件应急领导小组举报。 应急行动结束后，信息突发事件应急领导小组对相关成 员单位采取的应急行动的及时性、有效性进行评估。 7 7. .2 2奖奖惩惩与与责责任任 对下列情况可以经信息突发事件应急小组评估审核，报 信息突发事件应急领导小组批准后予以奖励： 在应急行动中做出特殊贡献的先进单位和集体； 在应急行动中提出重要建议方案，节约大量应急资源或 避免重大损失的人员； 在应急行动第一线做出重大成绩的现场作业人员； 在发生重大信息安全事件后，有关责任单位、责任人有 瞒报、缓报、漏报和其它失职、渎职行为的，信息突发事件应 急领导小组将予以通报批评；对造成严重不良后果的，将视 情节由有关主管部门追究责任领导和责任人的行政责任；构 成犯罪的，由有关部门依法追究其法律责任。 对未及时落实市信息安全专项应急领导小组指令，影响 应急行动的效果的，按国务院关于特大安全事故行政责任 追究的规定、广东省重大事故责任追究制度追究相关人 员的责任。 8.8. 各种突发事件应急预案各种突发事件应急预案 本预案所称突发性事件，是指自然因素或者人为活动引 发的危害机房或人身安全等有关的事件。主要有以下几个类 型： 1、地震、火灾、雷电、水灾等自然灾害造成的破坏性突 发事件； 2、信息处理设备被盗、机房存在重大安全隐患而造成的 损失等严重突发事件； 3、信息系统存在严重 BUG 造成业务操作失误，数据错 误； 4、网络中断或网络大规模瘫痪； 5、病毒和黑客入侵或其他原因造成数据丢失、删改； 6、服务器、网络设备严重故障； 7、因大面积停电、外部网络中断等因素导致无法使用等 突发事件。 本预案通过演习、实践检验，以及根据应急力量变更、 新技术、新资源的应用和应急事件发展趋势，及时进行修订 和完善； 本预案所附的成员、通信地址等发生变化时也应随时修 订； 本预案由深圳市 XXX 信息部负责修订，报深圳市 XXX 领导批准后实施，授权深圳市 XXX 信息突发事件应急小组 负责对本预案附件及附录的修改、审批和实施。 本预案修订采取改版或换页的方式进行。 本预案由深圳市 XXX 信息部制定，由信息突发事件应 急领导小组负责解释。 本预案日常工作由深圳市 XXX 信息部负责。 联系电话：（）。 联系部门：深圳市 XXX 信息部。 联系人清单： 联络信息 角色姓名 职责 工作电话手机 应急小 组组长 应急小 组副组 长 协调人 局域网 组 机房维 护组 机房维 护组 机房维 护组 本预案自发布之日起实施。 深圳市 XXX 二XX 年 月 日 8.18.1 通信网络故障应急预案通信网络故障应急预案 8.1.18.1.1 通信网络日常管理通信网络日常管理 为了保证深圳市 XXX 通信网络的正常工作，信息部工 作人员必须做好机房网络设施的日常维护。 8.1.28.1.2 通信网络故障应急预案清单通信网络故障应急预案清单 预预案名称案名称网络通信系统故障预 案 预预案案编编号号 预预案目的案目的网络通信系统发生故障后，应用本预案处理故障 预预案启案启动动条件条件网络通信系统发生故障 预预案案执执行行实实施施 日期日期 组织组织机构及机构及职责职责 组成姓名联系方式职责 负责人安全主管 现场指挥安全主管 网络管理员 机房管理员成员 机房管理员 厂家厂家联络联络方式方式 厂家名称姓名联系方式 软件介质名称介质编号存放地点备注 备品备件名称设备编号存放地点备注 交换机和路由器供应商仓库 图纸名称图纸编号存放地点备注 网络拓扑图信息部 预预案案执执行步行步骤骤及通告及通告 一、故障通告一、故障通告 1. 将故障情况向信息部部长汇报。信息部通知受影响的用户， 并视情况的严重程度通知应急领导小组。 二、二、预预案案执执行步行步骤骤 1、信息部接到报障后，应立即安排维护工程师到现场查看； PING 各关键设备的 IP 地址，来初步定位故障点（某设备，某端 口）。通过链路检查命令确定是网络通信故障，则启用一下预案。 如是服务器或其他设备，则启用相关预案。 确定故障确定故障类类型及影响范型及影响范围围： ： （1）链路故障 （2）核心、汇聚层设备硬件故障 （3）接入层设备硬件故障 （4）出口区域设备硬件故障 （5）非硬件故障 故障故障处处理流程：理流程： （1）链路故障处理流程： 先将故障汇报至信息部，通报给受影响的用户检查线路及 链路转换设备是否工作正常（如：光电转换器），物理链路包括双 绞线、以太网光纤、广域网线路。 A双绞线故障可以采用替换的方式解决； B.以太网光纤故障，则联系局域网线路维护方进行重新熔接； C.广域网线路故障，则联系运营商进行处理。 转换设备故障：光电转换器、协议转换器、光纤模块等，根 据设备的运维方分别联系对应的运维方进行处理。所有链路故 障能够临时替换解决的，先临时替换规避故障使网络恢复正常 不能替换的汇报信息部，协商解决方案 (2)核心、汇聚层设备硬件故障： 核心、汇聚层设备相对比较高端，故障涉及引擎、业务板卡、 电源模块等 引擎故障： A. 针对外网核心为双引擎配置，单个引擎损坏不影响设备正 常工作。向信息部汇报故障同时通知设备维护商上门检修； B. 针对内网核心，无引擎冗余设置，但有设备冗余，单个故障 不会影响接入层的通迅，首先将故障机上的服务器、链路切换到 另一台核心交换机上，调整相应的配置。然后上报信息部并通知 设备维护商上门检修； C. 汇聚层设备引擎损坏对网络不会造成网络中断，上报信息 部，并通知设备维护商上门检修。 (3)业务板卡故障 A. 如果设备其它业务板上未使用端口较多，则将故障板卡上的 线路切到其它板卡未使用的端口，并将做好相关配置 B. 如果设备其它板卡上未使用端口较少，则可以采取非故障业 务板下挂交换机的方法来增加端口数量，将故障板卡上的线路 切到新增交换机上。临时规避处理后，然后上报信息部并通知设 备维护商上门检修； (4)电源模块、机箱、风扇等基础硬件故障。 A. 双电源设计设备，单个电源损坏不会对设备造成影响，向信 息部汇报并通知设备维护商上门检修； B. 单电源、机箱、风扇等故障，临时规避措施与内网核心引擎故 障处理方法一致。 (5)接入层设备硬件故障： A. 接入层设备故障影响一般为单个楼层，如有备件，则现场更 换备件，做好相关配置，并汇报信息部及通知设备维护商上门检 修； B. 如果没有备件且下接为同一网段用户时，可临时采用傻瓜交 换机对故障设备进行替换，并调整相应的汇聚交换机配置。汇报 信息部同时通知设备维护商上门检修； C. 如果没有备件且下接为不同网段用户时，只能保证关键网段 的通迅，或者调整用户 IP 地址。规避方法与同一网段用户相同。 D. 如果备件或傻瓜交换机无光纤端口，则可采用增加光电转换 器的方法，替换光纤模块，用双绞线接入交换机。 (6) 出口区域故障： 出口区域包括防火墙、路由器、安全网关、网闸等,针对工作 为透明模式的设备，直接将设备撤下，汇报信息部同时通知设备 维护商上门检修； A. 非透明模式工作的设备，如有备件则调试好备件，将故障设 备替换，并汇报信息部同时通知设备维护商上门检修；无备件的 情况则上报信息部同时通知设备维护商上门检修；所有故障设备 返修完毕后，正式上线前，需汇报信息部，确定上线时间，才能 停机安装调试。 非硬件故障非硬件故障 进行设备各项信息收集: 接入 CONSOLE 线，能否进行设备操作界面： (1)如能进行操作界面，则收集设备信息； (2)如不能进入操作界面则判断为设备本身故障，升级设备软件 看能否解决，如不能则为设备硬件故障，如有备件，则替换上备 件，如无备件，向信息部负责人汇报故障处理情况，同时通知设 备维护商上门检修； 查看 CPU 信息：show cpu 结合以往经验，判断该设备 CPU 利用率是否在正常范围内 (3)如果 CPU 利用率比正常情况下高很多，则可能是攻击，如大 量的主机扫描；或环路导致。可以通过抓包分析来确定攻击源或 环路端口。如为攻击则断开攻击源，如为环路，则解除环路，并 向信息部负责人汇报处理过程。 其它厂商设备，如深信服网关、天融信防火墙等，通过 WEB 方 式可以查看 CPU 利用率 查看设备运行信息：show running-config 与最近备份配置对比，看是否存在改动，如存在改动，则进行还 原配置操作，是否能解决故障，如能解决，则先还原配置，分析 改动配置存在的问题。并将处理情况向信息部负责人汇报；如果 还原配置后，故障依旧，则进行下一步操作。 如果配置未进行改动，则进行下一步操作。 查看 MAC 地址表：show mac-address-table 查看故障设备是否学到对方的 MAC 地址，如没有学到或学到的 信息不正确，则检查链路状态，或者是否存在 MAC 地址攻击等。 (4)如果 MAC 地址表正常，则进行下一步操作 查看 ARP 表：show arp 查看故障设备是否学习到对方 ARP 信息或信息是否正确，如果 没有学到，则分析是否病毒，如 ARP 病毒，或其它原因导致 如果能学到对方 ARP 信息，则进行下一步操作。 查看路由表：show ip router 检查到对方的路由是否正常，如果路由不正常，则分析路由不正 常的原因 如果路由表正常，则进行下一步操作。 查看是否由于安全设备原因 安全设备是否限制了正常的通迅 安全设备是否将正常报文误断为攻击 8、经过以上操作仍无法定位原因解决故障，则联系第三方技术 支持 9、确定故障原因后： 如为病毒导致，则按病毒处理预案进行 如为设备本身故障，则上报信息部，有备件的话，先用备件替换 故障设备，无备件，则与信息部负责人协商解决方案 如果故障是因设备配置问题导致，则对原配置备份后，再调整相 应的配置 10、故障解决后，进行经验总结，并提交至信息部负责人 预预案流程案流程 报告相关负责人 （应急小组负责人） 是否为硬件问题 采用相关技术确定故障类型 是否为链路问题 采用相关技术处理链路故障 编写事故处理报告 应急结束（应急管理部门或市 政府应急指挥部批准） 联系线路提供公司抢修 否 是 是 否 s 8.28.2 业务数据故障应急预案业务数据故障应急预案 8.2.1 业务业务数据日常管理数据日常管理 为了加强深圳市 XXX 业务数据安全的管理，应对具有 高可用性要求的业务数据进行备份，形成业务数据备份机制。 8.2.2 业务业务数据故障数据故障预预案案清清单单 预预案名称案名称业务数据故 障预案 预预案案编编 号号 预预案目的案目的因各类原因导致业务数据丢失的 处理方案 预预案启案启动动条件条件因各类原因，导致业务数据丢失 预预案案执执行行实实施日期施日期年 月 日 组织组织机构及机构及职责职责 组成姓名联系方式职责 负责人安全主管 现场指挥安全主管 网络管理员 机房管理员成员 需通知的其他部需通知的其他部门门 部门名称联系人电话注意事项 厂家厂家联络联络方式方式 厂家名称姓名联系方式 软件介质名称介质编号存放地点备注 预预案案执执行步行步骤骤及通告及通告 一、故障通告一、故障通告 1. 将故障情况向信息部部长汇报。信息部通知受影响的 用户，并视情况的严重程度通知应急领导小组。 二、二、预预案案执执行步行步骤骤 发生业务数据故障（因硬件/软件故障或误操作导致）后， 现场值班人员应及时联系数据库管理员，检查和备份业务系 统当前数据； 由数据库管理员确定能用于恢复的数据备份及其介质 （磁盘/磁带，本地/异地）； 如果数据库管理员不能在短时间内修复数据，则需及时 上报应急领导小组，由其通知业务部门以手工开展业务； 利用备份恢复业务数据后，需要协同业务部门的人员检 查数据的有效性（历史数据和当前数据的差别），并根据需要， 联合应用系统开发商，辅助相关的业务人员补录入数据； 完成修复后，立即备份当前数据； 编写故障分析报告，向应急领导小组汇报。 预案处理流程 业务数据损坏应急事件领导 使用备份数据恢复业 务系统数据 检查业务系统当前数据 报告应急小组负责人和 信息中心领导 备份服务器内备份 数据是否正常？ 使用历史备份数据 恢复业务系统数据 调用同城异地备份数据 检查历史数据与当前 数据差别，并补录数据 分析故障原因，写分析报告 磁带机内历史备份 数据是否正常？ 否 是 是 否 8.38.3 服务器软件故障预案服务器软件故障预案 预预案名称案名称服务器软件故障 预案 预预案案编编号号 预预案目的案目的服务器发生软件故障后，应用本预案处理故 障 预预案启案启动动条件条件服务器发生软件故障（除应用软件系统外） 预预案案执执行行实实施施 日期日期 年 月 日 组织组织机构及机构及职责职责 组成姓名联系方式职责 负责人安全主管 现场指挥安全主管 网络管理员 机房管理员成员 厂家厂家联络联络方式方式 厂家名称姓名联系方式备注 软件介质名称介质编号存放地点备注 备品备件名称设备编号存放地点备注 仪器名称仪器编号存放地点备注 预预案案执执行步行步骤骤及通告及通告 一、故障通告一、故障通告 1.将故障情况向信息部部长汇报。信息部通知受影响的用户， 并视情况的严重程度通知应急领导小组。 二、二、预预案案执执行步行步骤骤 1.发生服务器软件系统故障后，现场值班人员应立即组织查 找、确定故障软件； 1、 收集软件所在服务器的基本信息，包括设备型号、系统 平台、软件版本、使用情况等信息； 2、 检查系统中各类日志（系统日志/应用程序日志/数据库 日志等），分析故障发生的位置； 2.根据先期收集的信息、判断故障事态的严重程度，及时报 告应急指挥专责小组，启动后续处理流程： 1、 业务软件故障：联系软件开发商维护人员，让其安排技 术人员在指定时间段内赶到现场，对业务软件进行深入 分析，继而解决故障或重新部署软件； 2、 数据库软件和备份软件：由数据库管理员确认故障原 因，继而修复数据库软件，若软件不能（及时）修复，则在 原设备或调度的备用设备上重新部署软件，并利用已有 的备份内容，恢复数据； 3、 操作系统：由系统管理员确认故障原因，继而修复操作 系统，若系统不能（及时）修复，则重新部署系统和各类 业务软件及支持软件，或启动备份服务器系统，由备份 服务器接管业务应用，并及时报告软件维护人员，安排 将故障服务器脱离网络，保存系统状态不变，取出系统 镜像备份磁盘，保持原始数据； 4、 若使用备用系统，则在原服务器上修复系统后，需将备 用系统中的数据迁移回原系统中； 5、 如果问题严重，原有技术人员不能解决，则立即联系应 急指挥专责小组和维护厂商，请求技术支援，做好技术 处理，保证数据完整； 6、 处置结束后，将事发经过、处理方法和结果编写成报 告，提交给应急指挥专责小组。 预案流程 检查故障信息 故障汇报 拨打厂商支持电话 工程师现场处理 启动应用 8.48.4 服服务务器硬件故障器硬件故障应应急急预预案案 8.4.1 服服务务器器硬件日常管理硬件日常管理 为了加强深圳市 XXX 信息部设备硬件管理，需要管理 员定期检查、整理硬件物理连接线路，定期检查硬件运作状 态，做好硬件的冗余备份。 8.4.2 服服务务器硬件故障器硬件故障预预案案清清单单 预预案名称案名称服务器硬件故障预 案 预预案案编编 号号 预预案目的案目的服务器发生硬件故障后，应用本预案处理 故障 预预案启案启动动条件条件服务器发生硬件故障（包括服务器/存储/存 储网络设备） 预预案案执执行行实实施施 日期日期 年 月 日 组织组织机构及机构及职责职责 组成姓名联系方式职责 负责人安全主管 现场指挥安全主管 网络管理员 成员 机房管理员 厂家厂家联络联络方式方式 厂家名称姓名联系方式 软件介质名称介质编号存放地点备注 备品备件名称设备编号存放地点备注 仪器名称仪器编号存放地点备注 预预案案执执行步行步骤骤及通告及通告 一、故障通告一、故障通告 1. 将故障情况向信息部部长汇报。信息部通知受影响的用户， 并视情况的严重程度通知应急领导小组。 二、二、预预案案执执行步行步骤骤 1. 发生硬件故障后，及时报告硬件维护人员，并组织查找、 确定故障设备及故障原因，进行先期处置： 1、检查硬件指示灯号，分辨出错硬件； 2、检查系统日志，查找和确定故障原因； 3、运行配套的硬件监控和维护程序，查找和确定故障原 因； 4、收集设备的基本信息（硬件设备型号、系统平台类型和 版本、应用软件类型和版本）； 5、联系硬件维护人员对故障设备进行检修； 2. 根据故障事态的严重程度，及时报告应急指挥专责小组， 启动以下后续处理流程： 1、如果故障设备具有容错能力，则由硬件维护人员联系 备件库管理人员，及时调度硬件，在线更换； 2、如果故障设备不具备容错能力，而又无法在短时间内 修复故障设备，则启动备用设备，保持系统正常运行； 3、如果没有现成备用设备，则联系备件库管理人员，调度 合适的硬件设备，根据之前收集的信息，在备用设备上 部署同型号同版本的操作系统、支持软件和业务软件， 并恢复数据库到备用设备，保证系统正常运行； 4、原设备在故障排除后，在网络空闲时期，重新替换备用 设备，把原先存储与备用设备的数据迁移回原设备； 5、若故障仍然存在，根据安全守则和实际需要，立即联系 相关厂商，认真填写设备故障报告单备查。 预案流程 检查故障信息 故障汇报 拨打厂商支持电话 工程师现场处理 启动应用 8.58.5 网络攻击事件预案网络攻击事件预案 预预案名称案名称网络攻击事件 预案 预预案案编编 号号 预预案目的案目的网络攻击事件发生后，应用本预案处理故障 预预案启案启动动条件条件发生网络攻击事件 预预案案执执行行实实施施 日期日期 年 月 日 组织组织机构及机构及职责职责 组成姓名联系方式职责 负责人安全主管 现场指挥安全主管 网络管理员 成员 信息安全管理员 厂家厂家联络联络方式方式 厂家名称姓名联系方式 软件介质名称介质编号存放地点备注 备品备件名称设备编号存放地点备注 仪器名称仪器编号存放地点备注 预案执行步骤及通告 一、故障通告 1. 将故障情况向信息部部长汇报，信息部通知受影响的用户， 并视情况的严重程度通知应急领导小组。 、预案执行步骤 1.确定源地址： 如果服务器被攻击，可以通过以下手段来确定攻击源： 在服务器上运行 netstat -an 可以看到大量的连接，找出发起 大量连接的源 IP 地址。也可以在通过捕获交换机上连接服 务器的端口的报文，进行分析，找到攻击源 IP。如果是安全 网关被攻击，则只能分别在其所有网络连接端口来进行抓包 分析。 2.临时规避攻击： 临时规避主要是针对外网发起的攻击，最保险的方法是采取 临时断网措施； 如果不能断网则可以通过以下措施临时规避： 如果公网地址足够，可以通过更改对外发布服务的公网地址 （服务器，同进还需更改 DNS 解析）或者更改本身的外网地 址(出口网关)。 3.备份被攻击者数据 如为网络设备，则备份配置文件，如为服务器则备份操作系 统，有条件的话，建议备份整个硬盘。 4.追踪攻击源： 内网发起的攻击：通过找出源 IP，结合用户 IP 登记资料，定 位到用户，直接将用户断网处理。 外网发起的攻击：与运营商联系，同时上报网监部门，根据对 方要求提供相关资料，由运营商和网监部门处理。 5.调整安全策略: 在定位攻击源的时候，同时对服务器或出口网关进行加固， 主要方法如下： 安全网关主要是对其本身的登陆管理进行设置，包括对其本 身 IP 的连接数，用户登陆次数等进行限制，备份攻击发生时 的设备配置，以便后期分析。 服务器在攻击发生时第一时间断开网络，备份操作系统（有 条件的话建议备份整个硬盘）； 分析服务器在安全方面存在的隐患，更改相关安全设置。 在安全设备上，如防火墙,IPS；对该服务器与外网地址的连接 数进行限制，在同一时刻只允许一定数量的地址与服务器建 立连接。 6.被攻击者接入网络 如果还有攻击，则需等待运营商处理完毕后，再接入网络。 7.检查被攻击设备的数据是否丢失损坏。 8.如数据有丢失或损坏，则恢复被攻击目标设备的数据。 9.事故处理完后对此次事故进行总结。 预案流程 网络入侵突发事件 应急处理 （值班人员或中心人员） 报告应急小组相关负责人 通过监控设备找出入侵服务， 并断开相关对外服务 检查服务器等相关数据是否损 坏或被盗 恢复受损数据，启动反黑客追 踪，加强安全策略 写评估总结报告 8.68.6 病毒爆发应急预案病毒爆发应急预案 8.6.1 病毒防病毒防护护日常管理日常管理 为了保证深圳市 XXX 电子政务内网的安全，系统管理 员必须安装杀毒软件和升级系统补丁，建立完整的防病毒系 统管理及维护日志。 8.6.2 病毒爆发应急预案清单病毒爆发应急预案清单 预预案名称案名称病毒爆发事故 预案 预预案案编编号号 预预案目的案目的发生病毒爆发或感染事故后，应用本预案处 理故障 预预案启案启动动条件条件 发生病毒爆发或感染事故 预预案案执执行行实实施施 日期日期 年 月 日 组织组织机构及机构及职责职责 组成姓名联系方式职责 负责人安全主管 现场指挥安全主管 网络管理员 成员 机房管理员 厂家厂家联络联络方式方式 厂家名称姓名联系方式 软件介质名称介质编号存放地点备注 备品备件名称设备编号存放地点备注 仪器名称仪器编号存放地点备注 预案执行步骤及通告 一、故障通告 1.将故障情况向信息部部长汇报，信息部通知受影响的用户， 并视情况的严重程度通知应急领导小组。 2、对用户的病毒通知，采用发文或短信方式。 二、预案执行步骤 终端网络型病毒 可依靠网络进行大面积快速传播，如：灰鸽子、熊猫烧香、 冲击波等。 小面积病毒爆发： 1.接到报障电话，工程师到现场处理，确定是否中毒，如确认 中毒则将中毒主机断网隔离。 2.采用已安装并更新至最新病毒库的专业杀毒软件进行查杀， 如能查杀则现场处理。 3.针对未知的新型病毒，杀毒软件不能查杀的，则将用户数 据备份后，再重装系统，同时将病毒样本上报杀毒软件厂商。 4.待杀毒软件厂商升级病毒库后，再查杀中毒电脑。 大面积病毒爆发： 1.确定大面积病毒爆发，上报上级主管部门 2.先采用杀毒软件进行查杀，如果可以查杀则发通知用户进 行查杀,杀毒软件无法查杀的情况下，对爆发区域进 行断网处理，并发布病毒通知。 3.联系厂商进行现场技术支持，上报上级主管部门 终端单机型病毒 病毒传播速度较慢，网络不是其传播主要手段。如：文件型 病毒、U 盘病毒等。 1.接到报障电话，工程师到现场处理，确定是否中毒，如确认 中毒则将中毒主机断网隔离。 2.采用已安装并更新至最新病毒库的专业杀毒软件进行查杀， 如能查杀则现场处理。 3.如以上软件不能处理，则将用户数据备份后，再重装系统。 4.安装操作系统并安装杀毒软件后，再手工升级。 5.对终端进行全盘扫描，可能的情况下对移动介质扫描处理。 6.针对传播速度相对较快，如 U 盘病毒，则通过 OA 等方式， 发布通知，提醒用户注意病毒防护。 服务器病毒防护 上报上级主管部门，并通过 OA 或短信发布服务器维护通知。 1.对服务器进行断网隔离，并手工备份相关数据，并进行单 独存储； 2.采用趋势杀毒软件或 360 安全卫士进行查杀，如能查杀则 现场处理。 1、3.针对未知的新型病毒，杀毒软件不能查杀的，则将用户数 据备份后，再重装系统，同时将病毒样本上报杀毒软件厂商 2、4.待杀毒软件厂商升级病毒库后，再查杀中毒电脑 预案流程 病毒爆发突发事件 应急处理 （值班人员或中心人员） 报告应急小组相关负责人、 确定病毒类型 通过找到被感染机器，并断 开网线 检查服务器和桌面电脑是否中 毒 清除被感染机器的病毒 编写评估总结报告 8.78.7 业务软件故障应急预案业务软件故障应急预案 8.7.1 业务业务软软件件日常管理日常管理 为了加强深圳市 XXX 业务软件的管理，应对具有高可 用性要求的业务软件和补丁进行备份，形成业务软件和补丁 备份机制。 8.7.2 业务业务软软件件故障故障预预案清案清单单 预预案名称案名称业