信息技术安全生产事件应急预案模板.doc

信息技术安全生产事件应急预案模板1. 总则1.1. 编制目的 为规范公司应急响应工作内容和工作流程，建立健全突发事件应急机制，提高应对信息技术安全生产突发事件的能力，保证事件处理的迅速、有序、高效，特制定本应急预案。1.2. 适用范围本预案适用于公司信息技术安全生产事件的应急响应工作。2. 组织结构及分工由各单位信息安全领导小组承担应急响应工作中的领导职责，由各单位信息安全工作小组承担应急响应工作中的操作职责。信息安全领导小组在应急响应工作中的主要职责：1）负责审核和批准信息安全应急响应总体规划、应急预案；2）组织应急响应相关预案并定期演练；3）对重大信息技术安全生产事件的应急响应工作进行宏观决策和应急指挥；4）负责组织协调整合应急资源，负责跨部门应急协调与沟通；5）组织对本系统发生的信息安全事件的调查、通报工作；6）必要时接受专家顾问组的咨询服务。信息安全工作小组在应急响应工作中的主要职责：1）参与应急响应处理决策过程，从技术方面考虑，为处理提供建议；2）根据应急响应工作的需要，依据相应的专项预案，施行技术作业；3）负责向信息安全领导小组汇报事件处理进展情况；4）对于涉及到业务的调整、中断和恢复的技术作业，负责技术层面的沟通；5）在应急响应工作完成后，填写应急处理记录报告；6）根据应急事件处理过程与总结，负责对应急处理预案提出修改意见。3. 应急预案基本流程3.1. 设备设施故障类事件处理流程3.1.1. 检查诊断1. 故障现象可能的故障现象描述。2. 联通性检查如用PING检查连通性，检测路由跳数等命令。3. 性能检查通过丢包数检测性能状况，包返回时间确定性能。4. 查看日志5. 确定故障点及原因3.1.2. 设备硬件故障处理流程1. 双机热备2. 冷备情况3. 无备份情况3.1.3. 设备连接故障处理流程1. 光纤连接故障2. 双绞线连接故障3.1.4. 设备配置故障处理流程1. 有配置备份2. 无配置备份3.1.5. 设备性能降低处理流程1. CPU异常情况2. 内存异常情况3.2. 程序缺陷故障类事件处理流程3.2.1. 应用系统基本信息1. 物理位置2. 机器型号，CPU，内存3. 操作系统版本及补丁4. 网络配置情况（包括IP地址、开放端口）5. 备份机制情况6. 数据库型号及版本7. 其他说明3.2.2. 检查诊断1. 系统资源检查以XX帐号登录：1) 检查系统进程的CPU、内存利用率2) 检查文件系统状态2. 通讯链接以XX帐号登录：1） 检查应用系统对内链接的情况2） 检查应用系统对外提供服务端口的打开情况3. 应用程序状态1） 检查应用系统进程的CPU、内存利用率情况2） 检查数据库状态4. 应用日志检查应用日志记录情况3.2.3. 系统的启动及停止1. 系统启动1) 系统启动的登录帐号:2) 系统启动的命令:3) 系统启动后的检查命令：2. 系统停止1) 系统停止的登录帐号：2) 系统停止的命令：3) 系统停止后的检查命令：3. 双机切换1) 双机切换的登录帐号：2) 双机切换的命令：3) 双机切换后的检查命令：3.3. 网络攻击及病毒类事件处理流程3.3.1. 事件处理的准备1. 关键系统的备用设备（基本情况）2. 系统及数据日常备份包括备份内容、周期、备份介质存放位置、备份介质编号等。3. 系统日志定期保存应包括如下内容：网络设备日志保存位置、周期主机设备日志保存位置、周期安全设备日志保存位置、周期应用系统日志保存位置、周期4. 系统资料、软件归档应包括如下内容：网络设备日常操作规范文档、操作手册主机设备日常操作规范文档、操作手册安全设备日志保存位置、周期应用系统维护操作规范、手册系统变更记录情况表软件介质存放物理位置3.3.2. 事件分析1. 分析IDS日志步骤2. 分析防火墙日志步骤3. 分析查看网络设备步骤：（示例如下）1） 发现异常情况，则对核心交换机、上联路由器、外联路由器等设备性能指标和端口状态进行检查，使用XXX命令完成。2） 记录指标异常的设备和端口，详细查看日志，分析数据流向和大小，利用试错法查找事件源。3） 检查外联设备和上联设备的外联端口，分析是否存在异常。若均无异常，表明事件范围仅涉及该区域。若有异常，表明事件源可能存在区域外部，根据相关端口数据流向，扩大范围进行查找。4） 分析网络设备CPU利用率异常的原因，使用XXX命令完成。5） 端口数据流量的异常以及数据流向的对比，通过查看网管系统等完成。6） 分析异常所涉及的范围4. 分析查看主机系统步骤：1） 应用系统环境分析步骤（示例）确认整个应用能否继续运行与业务人员沟通，分析确认应用数据的完整性分析确认关键应用数据是否被非法访问与软件开发商配合确认应用程序是否被非法修改2） 数据库环境分析步骤3） 主机系统环境分析步骤3.3.3. 事件处理操作步骤1. 安全设备的操作：如防火墙操作：封堵、断网、关机等。2. 网络设备的操作：1） 找到事件源以后，必须切断事件源的传播途径（具体到操作界面截图或命令）。2） 逐个节点进行恢复，每个节点修复完毕后，将立即恢复网络运行，并观察确认其运行情况。3） 综合分析诊断报告，找出事件的原因和特征（如协议、端口、字节等），制定相应的安全策略。4） 调整相关配置，完善网络安全机制。针对本次事件的发生情况，对虚网之间路由、访问控制列表、业务系统数据流向、防火墙规则等进行更加精细的控制。3. 主机系统的操作：参照网络设备的操作步骤，具体到命令。4. 保障措施应急