票务系统大面积感染病毒应急预案

1、票务系统大面积感染病毒应急预案1 总则 1.1 目的 为预防、控制票务系统（包含ACC系统和各线路AFC系统）病毒大规模感染、爆发和消除因病毒爆发而产生的影响，规范应急处置程序，最大程度地减少对运营秩序产生的影响，特编制本预案。1.2 编制依据 1) 城市轨道交通运营管理办法2) 国家处置城市地铁事故灾难应急预案3) 南京市突发公共事件总体应急预案1.3 适用范围 本预案适用于南京地铁发生票务系统病毒大规模爆发的应急处理。2 组织体系及职责2.1 指挥机构及职责2.1.1 指挥机构总指挥：运营分公司分管副总经理副总指挥：票卡清分部部长成员：安保部部长、票卡清分部副部长、客运部部长、物资设施部部

2、长、票务中心主任（副主任）、站务中心主任（副主任）、控制中心（OCC）主任、办公室。2.1.2 职责1) 负责指挥、协调应急处理工作，督促各方在第一时间内积极响应；2) 负责向总公司报告事故的发展和应急处置情况，统一对外宣传；3) 做好善后处理工作。2.2 现场处置机构及职责指挥机构下设若干现场处置职能组，各组组成及职责如下：2.2.1 综合组：负责协调各部门按照各自职责开展应急工作，完成指挥机构交办的工作。该组职责由票卡清分部承担，并担任现场处置机构指挥。2.2.2 抢修组：负责系统故障诊断、排查和处理工作，尽快使系统恢复正常运行。该组职责由票卡清分部承担ACC系统，票务中心承担AFC系统。

3、2.2.3 疏导组：负责车站现场管理工作，做好纸票售卖、人工回收单程票、安排乘客从边门进出车站、做好车站广播及乘客解释、疏导工作，解决现场纠纷。该组职责由站务中心承担，安保部配合。2.2.4 保障组：负责抢修物资及时到达，通讯、电力供应正常。该组职责由物资设施部承担。2.2.5 宣传组：负责对外新闻报道地扎口管理工作，加强舆论引导。该组职责由办公室承担。3 应急处置3.1 事故类别根据发生故障的严重程度可分为：3.11 重大故障（I级）以下故障发生1种或以上，则定为重大故障（I级）：1、 病毒从ACC系统传播到单条及以上线路的AFC系统。2、 病毒从线路传播到ACC系统3、 病毒造成ACC系统

4、重要设备瘫痪。造成重要功能中的2种功能不能使用。或80%及以上工作站不能使用。（注：重要功能有通讯功能、密钥系统功能、报表功能、EOD参数下载、黑名单下载和模式下载等）4、 单条线路内，2个车站或以上各有70%AFC设备瘫痪。3.12 较大故障（级）以下故障发生1种或以上，则定为较大故障（级）1、病毒造成ACC系统1种重要功能不能使用，或70%及以下工作站不能使用。2、单条线路内，2个车站或以下各有80%AFC设备瘫痪。3.2 信息报告3.2.1 ACC系统发现病毒信息报告流程票卡清分部发现ACC系统病毒大规模爆发报警，并造成故障时，立即通知票务中心对AFC系统进行检查。并报告控制中心（OCC

5、）值班主任、票卡清分部部长和票务中心主任,说明故障概况（包括故障现象、时间、地点、影响范围、原因等），控制中心（OCC）值班主任接报后立即报运营分公司分管领导、票务中心主任、站务中心主任、票卡清分部部长、票卡清分部副部长、客运部部长、安保部部长、物资设施部部长、办公室主任，并以电话方式通报地铁公安分局指挥室。票卡清分部监控维护工班按票卡清分部内部流程执行，票务中心AFC数据中心按票务中心内部流程执行。对于重大故障（I级）控制中心（OCC）立即向总公司运营法务处和运营分公司总经理报告；续报在查清基本情况后随时上报；处理结果报告在处理完毕后立即上报。票卡清分部信息报告流程图见附录A。3.2.2 线

6、路发现病毒信息报告流程票务中心发现AFC系统病毒大规模爆发报警，并造成故障时，立即通知票卡清分部对ACC系统进行检查。票卡清分部报告控制中心（OCC）值班主任和票卡清分部部长和票务中心主任,说明故障概况（包括故障现象、时间、地点、影响范围、原因等），控制中心（OCC）值班主任接报后立即报运营分公司分管领导、票务中心主任、站务中心主任、票卡清分部部长、票卡清分部副部长、客运部部长、安保部部长、物资设施部部长、办公室主任，并以电话方式通报地铁公安分局指挥室。清分系统维护工班按票卡清分部内部流程执行。票务中心AFC数据中心按票务中心内部流程执行。对于重大故障（I级）控制中心（OCC）立即向总公司运营

7、法务处和运营分公司总经理报告；续报在查清基本情况后随时上报；处理结果报告在处理完毕后立即上报。票务中心信息报告流程图见附录B。3.3 应急响应3.3.1 先期处置发现病毒后，票务系统人员迅速实施先期处置，确定病毒会通过网络传播时，立即关闭线路与ACC系统的接口交换机，和病毒地区内的各交换机。并对中毒的设备进行单机杀毒，查找清除病毒方法等。票务中心检查AFC系统，票卡清分部检查ACC系统。如果达到较大故障（级）或以上时，立即启动票务系统病毒大规模爆发应急预案控制中心（OCC）通报ACC系统故障信息至各相关应急救援部门和中心，同时关注票务系统信息。3.3.2 指挥机构响应指挥机构成员在接报后启动本

8、预案，立刻赶赴控制中心（OCC），迅速了解、掌握故障发生时间、原因、影响范围、已采取的措施等，迅速制定故障处理方案并组织指挥实施，及时向上级部门报告故障处理的最新进展情况。3.3.3 救援队伍响应现场处置机构各小组成员接到故障抢修指令后，立刻赶赴现场，按各自职能分工做好应急处置工作。3.3.4 各级响应时间所有人员在接到抢修指令后10分钟内出动赶赴现场，投入应急抢修处理工作。3.4 指挥与协调3.4.1 指挥和协调机制指挥机构指令有关部门及应急救援队伍赶赴事发现场，在指挥机构统一指挥下，按照各自的处置规程，相互协同，密切配合，共同实施应急处置行动。分公司相关负责人到达现场后，由到达现场的相关专

9、业归口管理部门职位最高的领导担任现场应急处理负责人（必要时由应急指挥机构指定），充分了解事发现场情况，被接替者主动汇报事态发展情况，并接受现场指挥的领导。3.4.2 指挥协调主要内容票务系统应急指挥机构指挥协调的主要内容包括：1) 提出现场应急行动原则要求；2) 协调各级、各专业应急救援力量实施应急救援行动；3) 协调车站现场管理（包括地铁公安增派警力、增加车站支援人手）；4) 及时向上级部门报告应急行动的进展情况。3.5 安全防护3.5.1 先期处置防护措施票卡清分部及时做好人员调配，并与票务中心分别对ACC系统和AFC系统进行全面查杀病毒和故障修复工作。站务中心对故障车站及时做好人员调配，

10、放好引导牌，打开边门并做好车站广播工作。3.5.2 应急人员的安全防护应急救援人员按照“安全第一、先通后复、先主后次、先现场后中央”的原则，配备相应的专业防护装备，采取安全防护措施，按照安全操作规程进行应急处置，确保人身和设备安全。3.6 现场救援3.6.1 处置程序票务系统应急处置小组迅速找出合理有效的杀毒工具查杀病毒。同时对重要设备或有条件恢复的设备进行修复，如涉及通信、供电专业，报告指挥机构请求相关专业支援，直至确定故障具体原因并进行处理，排除故障、恢复系统。现场处置流程图见附录C。3.6.2 ACC系统救援措施3.6.2.1 ACC系统重大故障（I级）处理步骤： （1）ACC系统因感染

11、病毒发生I级重大故障时，基本可以判断该病毒是高危害的，并且会通过网络快速传播。应立即关闭接口交换机（cisco 3750）、两台核心交换机（cisco4506）、光纤交换机（SAN交换机）、R2821路由器和其它交换机（cisco 2960、cisco 2960G）电源，断开ACC与LC，ACC与远程备份中心，各服务器、工作站之间的物理连接。（2）通知票务中心立即检查AFC系统，如果发现病毒，票务中心立即启动票务系统病毒大规模爆发应急预案。（3）报告控制中心（OCC）。（4）负责人确认病毒有效查杀方案后，立即对应急救援人员进行讲解，教其正确的病毒查杀毒方法,并把整个方案完整的告知每个应急救援人

12、员。（5）应急救援人员首先拔掉所有服务器、工作站主机上的网线，再对ACC系统各服务器、工作站进行杀毒修复作业。密钥系统必须先行修复。服务器和数据库的杀毒修复工作，尽量在承包商指导下完成。（6）如果因现场人员不足或交通不方便等原因，不能及时到达马群的远程备份中心，应该拔掉ACC机房SAN交换机上连接远程备份中心的光纤线缆，待应急救援人员对其修复后，才可把光纤线缆接入SAN交换机。（7）单机全部杀完病毒后，开启除接口交换机（cisco 3750）外的其它交换机。并按规定顺序将各设备逐台接入网络（顺序为：小型机、磁带库、磁盘阵列PC服务器、工作站）。同时派人在防病毒软件上观察情况。（8）ACC系统各

13、服务器、工作站全部接入网络后，应急救援人员再次对每台计算机进行杀毒。（9）第二次查杀病毒后，如果发现病毒，应立即跳至步骤（1）。如果确定ACC系统内病毒已经全部清除，应急救援人员等待票务中心修复通知，同时继续在防病毒软件上观察情况。（10）接到票务中心AFC系统已全面清除病毒，并修复系统的通知后，打开接口交换机（cisco 3750）和R2821路由器。 （11）相关人员对ACC系统功能、数据、设备状态进行检查和验证工作。3.6.2.2 ACC系统较大故障（II级）处理步骤：（1）ACC系统因感染病毒发生II级较大故障时，应立即关闭接口交换机（cisco 3750）、两台核心交换机（cisco

14、4506）、光纤交换机（SAN交换机）、R2821路由器和其它交换机（cisco 2960、cisco 2960G）电源，断开ACC与LC，ACC与远程备份中心，各服务器、工作站之间的物理连接。（2）报告控制中心（OCC）。（3）负责人确认病毒有效查杀方案后，立即对应急救援人员进行讲解，教其正确的病毒查杀毒方法,并把整个方案完整的告知每个应急救援人员。（4）应急救援人员首先拔掉服务器、工作站主机上的网线，再对ACC系统各服务器、工作站进行杀毒修复作业。密钥系统必须先行修复。服务器和数据库的杀毒修复工作，尽量在承包商指导下完成。（5）如果因现场人员不足或交通不方便等原因，不能及时到达马群的远程备

15、份中心，应该拔掉ACC机房SAN交换机上连接远程备份中心的光纤线缆，待应急救援人员对其修复后，才可把光纤线缆接入SAN交换机。（6）密钥系统修复后，负责人根据现场情况，考虑是否先将密钥系统接入网络。接入步骤为：把核心交换机（cisco 4506）从千兆防火墙上拔掉，再把密钥系统接到备用交换机，备用交换机接到千兆防火墙上后，打开接口交换机（cisco 3750）。 （7）单机全部杀完病毒后，开启核心交换机（cisco 4506）及其以下的所有交换机。并按规定顺序将各设备逐台接入网络（顺序为：小型机、磁带库、磁盘阵列PC服务器、工作站）。同时派人在防病毒软件上观察情况。（8）ACC系统各服务器、工

16、作站全部接入网络后，应急救援人员再次对每台设备进行杀毒。（9）第二次查杀病毒后，如果发现病毒爆发，应立即跳至步骤（1）。如果确定ACC系统内病毒已经全部清除，应急救援人员打开接口交换机（cisco 3750）和R2821路由器。如果之前采用密钥系统先行接入方式，应拔掉备用交换机，把密钥系统接入核心交换机（cisco 4506）后，再把核心交换机（cisco 4506）接入千兆防火墙。（10）相关人员对ACC系统功能、数据、设备状态进行检查和验证工作。3.6.3 AFC系统救援措施3.6.3.1 运营时间AFC重大故障（I级）处理步骤： （1）AFC系统因感染病毒发生I级重大故障，基本可以判断该

17、病毒是高危害的，并且会通过网络快速传播。应立即断开中央与ACC系统，中央与各车站的物理网络连接。并通知各相关部门、应急救援小组、承包商等。 （2）负责人确认病毒有效查杀方案后，立即对应急救援人员进行讲解，教其正确的病毒查杀毒方法,并把整个方案完整的告知每个人。（3）按车站的重要程度合理分配相关应急救援人员，并带上必需工具，全速赶往各车站，做到每个车站至少1-2名应急救援人员。 （4）应急救援人员到车站后，先断开车站服务器、工作站和所有终端设备物理网络连接。并与站务人员确认该时刻的客流分布情况。按设备使用率的高低，开始进行杀毒修复工作。（5）查、杀、修复系统，应进入操作系统安全模式后，再用杀毒工

18、具对此病毒进行查杀、打系统补丁等。如果遇到系统无法正常进入的情况，应该立即取出硬盘，送至中央维护工班恢复操作系统和AFC软件。 （6）修复好的每台设备，让其处于“孤岛”模式状态运行。 （7）车站服务器（SC）的杀毒修复工作，尽量在承包商指导下完成。 （8）等至运营结束后，再用杀毒工具检查所有中央和终端设备有无病毒复发和残留现象。确定所有病毒清除干净，系统能正常运行，各小组应急救援人员把中央系统子网络和各车站内的子网络分别连接起来观察。 （9）确定AFC系统内病毒已经全部清除后，各车站子网络再与中央系统相连接。 （10）观察半小时或以上后，再次确认AFC系统内病毒已经全部清除后，通知票卡清分部，

19、并等待与ACC系统连接。 （11）连接完成后相关人员对AFC系统功能、交易文件、数据、设备状态进行检查、上传、验证工作。3.6.3.2 非运营时间AFC重大故障（I级）处理步骤： （1）AFC系统因感染病毒发生I级重大故障，基本可以判断该病毒是高危害的，并且会通过网络快速传播。应立即断开中央与ACC系统，中央与各车站的物理网络连接。并通知各相关部门、应急救援小组、承包商等。 （2）负责人确认病毒有效查杀方案后，立即对应急救援人员进行讲解，教其正确的病毒查杀毒方法。并把整个方案完整的告知每个人。（3）按车站的重要程度合理分配相关应急救援人员，并带上必需工具，全速赶往各车站，做到每个车站至少1-2

20、名应急救援人员。 （4）应急救援小组到车站后，先断开车站服务器、工作站和所有终端设备物理网络连接。进入操作系统安全模式后，再用杀毒工具对此病毒进行查杀、打系统补丁等操作。如果遇到系统无法正常进入的情况，应该立即取出硬盘，送至中央维护工班恢复操作系统和软件。 （5）车站服务器（SC）的杀毒修复工作，尽量在承包商指导下完成。 （6）确定所有病毒清除干净，系统能正常运行，各小组应急救援人员把中央系统子网络和各车站内的子网络分别连接起来观察。 （7）确定AFC系统内病毒已经全部清除后，各车站子网络再与中央系统相连接。（8）观察半小时或以上后，再次确认AFC系统内病毒已经全部清除后，通知票卡清分部，并等

21、待与ACC系统连接。 （9）连接完成后相关人员对AFC系统功能、交易文件、数据、设备状态进行检查、上传、验证工作。3.6.3.3 运营时间AFC较大故障（级）处理步骤： （1）AFC系统因感染病毒发生级较大故障，基本可以判断该病毒是高危害的，但传播速度较慢。应立即断开中央与ACC系统，中央与各车站的物理网络连接。并通知各相关部门、应急救援小组、承包商等。 （2）负责人确认病毒有效查杀方案后，立即对应急救援人员进行讲解，教其正确的病毒查杀毒方法。并把整个方案完整的告知每个人。（3）按已中毒车站的重要程度合理分配相关应急救援人员，并带上必需工具，全速赶往已中毒车站，做到中毒车站应急救援人员至少1-

22、2名。 （4）应急救援人员到车站后，先断开车站服务器、工作站和所有终端设备物理网络连接。并与站务人员确认该时刻的客流分布情况。按设备使用率的高低，开始进行杀毒修复工作。（5）查、杀、修复系统，应进入操作系统安全模式后，再用杀毒工具对此病毒进行查杀、打系统补丁等。如果遇到系统无法正常进入的情况，应该立即取出硬盘，送至中央维护工班恢复操作系统和AFC软件。 （6）修复好的每台设备，让其处于“孤岛”模式状态运行。 （7）车站服务器（SC）的杀毒修复工作，尽量在承包商指导下完成。 （8）确定所有病毒清除干净，系统能正常运行，各小组应急救援人员把中央系统子网络和各车站内的子网络分别连接起来观察。 （9）

23、确定AFC系统内病毒已经全部清除后，各车站子网络再与中央系统相连接。（10）观察半小时或以上后，再次确认AFC系统内病毒已经全部清除后，通知票卡清分部，并等待与ACC系统连接。 （11）连接完成后相关人员对AFC系统功能、交易文件、数据、设备状态进行检查、上传、验证工作。 3.6.3.4 非运营时间AFC较大故障（级）处理步骤：（1）AFC系统因感染病毒发生级较大故障，基本可以判断该病毒是高危害的，但传播速度较慢。应立即断开中央与ACC系统，中央与各车站的物理网络连接。并通知各相关部门、应急救援小组、承包商等。 （2）负责人确认病毒有效查杀方案后，立即对应急救援人员进行讲解，教其正确的病毒查杀

24、毒方法。并把整个方案完整的告知每个人。（3）按已中毒车站的重要程度合理分配相关应急救援人员，并带上必需工具，全速赶往已中毒车站，做到中毒车站应急救援人员至少1-2名。（4）应急救援小组到车站后，先断开车站服务器、工作站和所有终端设备物理网络连接。进入操作系统安全模式后，再用杀毒工具对此病毒进行查杀、打系统补丁等操作。如果遇到系统无法正常进入的情况，应该立即取出硬盘，送至中央维护工班恢复操作系统和软件。 （5）车站服务器（SC）的杀毒修复工作，尽量在承包商指导下完成。 （6）等至运营结束后，再用杀毒工具检查所有中央和终端设备有无病毒复发和残留现象。确定所有病毒清除干净，系统能正常运行，各小组应急

25、救援人员把中央系统子网络和各车站内的子网络分别连接起来观察。 （7）确定AFC系统内病毒已经全部清除后，各车站子网络再与中央系统相连接。（8）观察半小时或以上后，再次确认AFC系统内病毒已经全部清除后，通知票卡清分部，并等待与ACC系统连接。 （9）连接完成后相关人员对AFC系统功能、交易文件、数据、设备状态进行检查、上传、验证工作。3.7 应急终止3.7.1 应急终止条件ACC系统、AFC系统病毒完全清除，各功能模块和设备可以正常使用，系统恢复正常工作。3.7.2 救援完毕汇报现场应急救援人员在故障得到控制、系统恢复正常后立即向指挥机构汇报，控制中心（OCC）通知全线车站恢复正常。对于I级重

26、大故障控制中心（OCC）向总公司运营法务处和运营分公司总经理报告故障处理完毕，系统恢复正常。3.7.3 应急终止命令发布指挥机构总指挥在接到故障已经修复、系统恢复正常后向所属各专业应急队伍下达应急终止命令，转入正常运营工作。4 应急保障4.1 人力资源保障票卡清分部、票务中心、站务中心要充分利用现有人员，培训一支常备不懈、熟悉ACC系统和AFC系统故障应急知识，充分掌握票务系统病毒大规模爆发处置技能的预备应急力量；客运部、安保部、办公室、物资设施部等积极做好指导、配合、协调工作。4.2 救援设备保障办公室要做好抢修车辆的安排。4.3 救援物资保障物资中心要做好票务系统专业救援物资的及时保障工作

27、。4.4 技术保障4.4.1 专业技术提高票务系统专业工程师要和承包商加强联系和学习，深入掌握ACC系统和AFC系统各功能。针对各种病毒查杀方式进行研究，提高应急处理技能，确保在病毒爆发时能够迅速查明原因并加以处置。4.4.2 救援技能训练应急救援各专业小组成员要加强业务技能的训练，提高应急处置能力。4.5 其它保障供电、通讯专业及时做好电力供应和信号传输的保障工作。5 调查报告票务系统专业工程师在票务系统系统病毒大规模爆发后24小时内，按照事故“四不放过”的原则，及时做好病毒爆发原因分析，并将调查报告上报相关部门。6 培训与演练6.1 培训票卡清分部将本预案内容列入培训计划，并组织票务中心学习。6.2 演练票卡清分部将本预案列入部分内部演练计划，每年牵头组织一次内部演练。6.3 监督与检查安保部、票卡清分部、技术部根据应急预案管理办法对各相关部门、中心的应急预案培训与演练进行监督和检查，检查结果纳入对部门、中心的年度考核。7 附则7.1 预案管理与更新安保部负责应急预案的日常管理工作，票卡清分部根据实施过程中存在问题或出现新的情况，及时修订完善本预案。 7.2 奖励在应急救援工作中有下列表现之一的单位和个人，