深圳市XXX信息安全应急响应体系建设

1、-. z.*市*信息平安应急响应预案*市*年*月目录 TOC o 1-3 h z u HYPERLINK l _Toc320712601HYPERLINK l _Toc3207126021. 总则 PAGEREF _Toc320712602 h 3HYPERLINK l _Toc3207126031.1 目的 PAGEREF _Toc320712603 h 3HYPERLINK l _Toc3207126041.2 现状及其成因 PAGEREF _Toc320712604 h 3HYPERLINK l _Toc3207126052. 组织机构及职责 PAGEREF _Toc320712605

2、h 3HYPERLINK l _Toc3207126062.1 应急指挥机构 PAGEREF _Toc320712606 h 3HYPERLINK l _Toc3207126073. 预警和预防机制 PAGEREF _Toc320712607 h 3HYPERLINK l _Toc3207126083.1 信息监测及报告 PAGEREF _Toc320712608 h 3HYPERLINK l _Toc3207126093.2 预警 PAGEREF _Toc320712609 h 3HYPERLINK l _Toc3207126103.3 预警支持系统 PAGEREF _Toc32071261

3、0 h 3HYPERLINK l _Toc3207126113.4 预防机制 PAGEREF _Toc320712611 h 3HYPERLINK l _Toc3207126124. 应急处理程序 PAGEREF _Toc320712612 h 3HYPERLINK l _Toc3207126134.1 级别确实定 PAGEREF _Toc320712613 h 3HYPERLINK l _Toc3207126144.2 预案启动 PAGEREF _Toc320712614 h 3HYPERLINK l _Toc3207126154.3 现场应急处理 PAGEREF _Toc320712615

4、 h 3HYPERLINK l _Toc3207126164.4 报告和总结 PAGEREF _Toc320712616 h 3HYPERLINK l _Toc3207126174.5 应急行动完毕 PAGEREF _Toc320712617 h 3HYPERLINK l _Toc3207126185. 保障措施 PAGEREF _Toc320712618 h 3HYPERLINK l _Toc3207126195.1 技术支撑保障 PAGEREF _Toc320712619 h 3HYPERLINK l _Toc3207126205.2 应急队伍保障 PAGEREF _Toc32071262

5、0 h 3HYPERLINK l _Toc3207126215.3 物质条件保障 PAGEREF _Toc320712621 h 3HYPERLINK l _Toc3207126225.4 技术储藏保障 PAGEREF _Toc320712622 h 3HYPERLINK l _Toc3207126236. 培训和演习 PAGEREF _Toc320712623 h 3HYPERLINK l _Toc3207126246.1 人员培训 PAGEREF _Toc320712624 h 3HYPERLINK l _Toc3207126256.2 应急演习 PAGEREF _Toc320712625

6、 h 3HYPERLINK l _Toc3207126267. 监视检查与奖惩 PAGEREF _Toc320712626 h 3HYPERLINK l _Toc3207126277.1预案执行监视 PAGEREF _Toc320712627 h 3HYPERLINK l _Toc3207126287.2奖惩与责任 PAGEREF _Toc320712628 h 3HYPERLINK l _Toc3207126298. 各种突发事件应急预案 PAGEREF _Toc320712629 h 3HYPERLINK l _Toc3207126308.1 通信网络故障应急预案 PAGEREF _Toc

7、320712630 h 3HYPERLINK l _Toc320712631通信网络日常管理 PAGEREF _Toc320712631 h 3HYPERLINK l _Toc320712632通信网络故障应急预案清单 PAGEREF _Toc320712632 h 3HYPERLINK l _Toc3207126338.2 业务数据故障应急预案 PAGEREF _Toc320712633 h 3HYPERLINK l _Toc320712634业务数据日常管理 PAGEREF _Toc320712634 h 3HYPERLINK l _Toc320712635业务数据故障预案清单 PAGER

8、EF _Toc320712635 h 3HYPERLINK l _Toc3207126368.3 效劳器软件故障预案 PAGEREF _Toc320712636 h 3HYPERLINK l _Toc3207126378.4 效劳器硬件故障应急预案 PAGEREF _Toc320712637 h 3HYPERLINK l _Toc320712638效劳器硬件日常管理 PAGEREF _Toc320712638 h 3HYPERLINK l _Toc320712639效劳器硬件故障预案清单 PAGEREF _Toc320712639 h 3HYPERLINK l _Toc3207126408.5

9、 网络攻击事件预案 PAGEREF _Toc320712640 h 3HYPERLINK l _Toc3207126418.6 病毒爆发应急预案 PAGEREF _Toc320712641 h 3HYPERLINK l _Toc320712642病毒防护日常管理 PAGEREF _Toc320712642 h 3HYPERLINK l _Toc320712643病毒爆发应急预案清单 PAGEREF _Toc320712643 h 3HYPERLINK l _Toc3207126448.7 业务软件故障应急预案 PAGEREF _Toc320712644 h 3HYPERLINK l _Toc3

10、20712645业务软件日常管理 PAGEREF _Toc320712645 h 3HYPERLINK l _Toc320712646业务软件故障预案清单 PAGEREF _Toc320712646 h 3HYPERLINK l _Toc3207126478.8 应急演练 PAGEREF _Toc320712647 h 3HYPERLINK l _Toc3207126488.9 通用表格 PAGEREF _Toc320712648 h 3HYPERLINK l _Toc320712649信息平安事件报告表 PAGEREF _Toc320712649 h 3HYPERLINK l _Toc320

11、712650信息平安事件应急处理结果报告表 PAGEREF _Toc320712650 h 3HYPERLINK l _Toc3207126518.10 *市*信息突发事件处理组织机构 PAGEREF _Toc320712651 h 3-. z.*市*信息系统突发事件应急预案本预案内容包括总则、组织指挥体系及职责、预警和预防机制、应急处理程序、保障措施、各种突发事件应急预案等。明确规定了*市*在发生网络与信息平安重大突发事件情况下各部门的相关职能和工作方法，具有一定的宏观指导性和可操作性，对减少网络与信息平安突发事件，保障业务系统正常开展起着重要作用。总则目的为科学应对网络与信息平安(以下简称

12、“信息平安)突发事件建立健全信息平安应急响应机制，有效预防、及时控制和最大限度地消除信息平安各类突发事件的危害和影响。现状及其成因近年来，*市*信息平安工作得到加强。但信息平安保障根底工作和技术保障措施比拟薄弱，与信息化快速开展的要求和日趋严峻的信息平安形势不协调。信息平安突发事件成因可分为两个方面：一是网络与信息系统自身的脆弱性，主要表现在：平安漏洞的普遍性，攻击和恶意代码的流行性，入侵检测能力的局限性，网络和系统管理的复杂性。二是网络与信息系统外部体制性的不平安性，主要表现在：信息平安法制不健全，全社会的信息平安意识淡薄，*市*信息平安自主可控能力不强，技术防御整体水平不高，信息平安专业人

13、才缺乏，专业队伍建立严重滞后。组织机构及职责应急指挥机构*市*信息系统突发事件应急领导小组在*市*党组的统一领导下，设立*市*信息系统突发事件应急领导小组(以下简称“信息突发事件应急领导小组)，为*市*处理信息平安突发事件应急工作的综合性议事、协调机构。主要职责是：按照国家、*省、*市政府信息平安应急机构的要求开展预防和处置工作；研究决定*市*信息平安应急工作的有关重大问题；决定III级和IV级信息平安突发事件应急预案的启动，组织力量对III级和IV级突发事件进展处置；承受*市政府信息平安应急机构的统一领导，组织指挥II级和I级突发事件的应急处置工作；指导监视信息平安应急小组的工作；法律、法规

14、、规章规定的其他职责。信息突发事件应急领导小组，由最高领导人作为主任，分管信息化工作的领导作为副主任，成员由*市*各部门部长组成。信息突发事件应急领导小组下设应急小组，由信息部部长任组长，信息部副部长任副组长，信息部其它成员任组员。承当*市*信息平安专项应急领导小组的日常工作，负责*市*信息平安突发事件日常监测与预警，其主要职责是：催促落实上级部门和*市*信息突发事件应急领导小组做出的决定和措施；拟订或者组织拟订*市*信息部应对信息平安突发事件的工作规划和应急预案，报*市*领导小组批准后组织实施；催促检查信息平安专项应急预案的制订、修订和执行情况；汇总有关信息平安突发事件的各种重要信息，进展综

15、合分析，并提出建议；监视检查、协调信息平安突发事件预防、应急准备、应急处置和事后恢复与重建工作；组织制订信息平安常识、应急知识的宣传培训方案和应急救援队伍的业务培训、演练方案，报信息突发事件应急领导小组批准后催促落实；组织专家组判定突发事件级别，根据情况提出加强或撤销控制措施的建议和意见；组织召开部门协调会议，协调各部门共同做好突发事件处置工作；检查督导突发事件应急措施的落实情况；及时收集、上报和通报突发事件有关情况，负责向信息突发事件应急领导小组报告有关工作情况；信息突发事件应急领导小组各成员部门的职责信息部：统筹规划建立应急处理技术平台，会同其他有关部门组织制定单位突发事件应急处理政策文件

16、及技术方案，负责平安事件处理的培训，及时收集、上报和通报突发事件情况，负责向信息突发事件应急领导小组或中心领导报告有关工作情况。相关部门：配合信息部组织制定信息系统突发事件应急处理政策文件及技术方案及其他各项工作。预警和预防机制信息监测及报告信息部应加强信息平安监测、分析和预警工作，进一步提高信息平安监察能力。建立信息平安事故报告制度。在突发事件发生后，发现人应当立即向*市*信息突发事件应急小组报告。发现人应当立即对发现的事件进展调查核实、保存相关证据，并在事件被发现时将证据报至信息突发事件应急小组。预警信息突发事件应急小组接到信息平安突发事件报告后，应当经初步核实后，将有关情况及时向组长报告

17、，进一步进展情况综合，研究分析可能造成损害的程度，提出初步行动对策，并及时报*市*应急领导小组。领导小组主任视情况召集协调会，决策行动方案，发布指示和命令。预警支持系统*市*信息突发事件应急领导小组应建立和完善信息监测、传递网络和指挥决策支持系统，要保证资源共享、运转正常、指挥有力。预防机制积极推行信息平安等级保护，逐步实行信息平安风险评估。各根底信息网络和重要信息系统建立要充分考虑抗毁性与灾难恢复，制定并不断完善信息平安应急处理预案。针对根底信息网络的突发性、大规模平安事件，各相关部门建立制度化、程序化的处理流程。应急处理程序级别确实定信息平安事件分级的参考要素包括信息、公众影响、业务影响和

18、资产损失等四项。各参考要素分别说明如下：(1)信息是衡量因信息失窃或泄密所造成的信息平安事件中所涉及信息的重要程度的要素；(2)公众影响是衡量信息平安事件所造成的负面影响*围和程度的要素；(3)业务影响是衡量信息平安事件对事发单位正常业务开展所造成的负面影响程度的要素；(4)资产损失是衡量恢复系统正常运行和消除信息平安事件负面影响所需付出资金代价的要素。信息平安突发事件级别分为四级：一般(IV级)、较大(III级)、重大(II级)和特别重大(I级)，对应颜色依次为蓝色、黄色、橙色和红色。一般-IV级：*市*较小*围出现并可能造成较大损害的信息平安事件。较大-级：*市*局部网络与信息系统、受到大

19、面积、严重冲击。重大-II级：*市*大局部网络、信息系统、根本瘫痪，导致业务中断，但纵向或横向延伸可能造成严重社会影响或较大经济损失。特别重大-I级：*市*所有根底网络包括纵向或横向延伸、信息系统、严重瘫痪，导致业务中断，造成或可能造成严重法律纠纷或对政府重大形象工程造成巨大负面影响的信息平安事件。预案启动4.2.1启动预案的权限。发生IV级网络信息平安事件后，信息突发事件应急领导小组负责启动相应预案，信息突发事件应急小组负责应急处理工作；发生III级网络信息平安事件后，信息突发事件应急领导小组负责启动相应预案，并负责应急处理工作；发生I、II级的信息平安突发事件后，上报市人民政府及上级主管部

20、门启动相应预案，并由市信息平安应急指挥部负责应急处理工作。4.2.2启动预案的流程。*市*信息平安应急小组接到报告后，应当立即上报*市*信息突发事件应急领导小组有关负责人，并会同相关成员尽快组织专家组对突发事件性质、级别及启动预案的时机进展评估，向信息突发事件应急领导小组提出启动预案的建议，报信息突发事件应急领导小组批准。4.2.3启动预案后的应急处理。在信息突发事件应急领导小组作出启动预案决定后，信息突发事件应急小组立即启动应急处理工作。现场应急处理现场应急处理工作组应尽最大可能收集事件相关信息，明确事件类别，确定事件来源，保护证据，以便缩短应急响应时间。检查威胁造成的结果，评估事件带来的影

21、响和损害：如检查系统、效劳、数据的完整性、*性或可用性，检查攻击者是否侵入了系统，以后是否能再次随意进入，损失的程度，确定暴露出的主要危险等。抑制事件的影响进一步扩大，限制潜在的损失与破坏。铲除恶意代码造成的不良影响。在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底去除。与此同时，执法部门和其他相关机构将对攻击源进展定位并采取适宜的措施将其中断。清理系统、恢复数据、程序、效劳。把所有被攻破的系统和网络设备彻底复原到它们正常的任务状态。恢复工作应该十分小心，防止出现误操作导致数据的丧失。另外，恢复工作中如果涉及到*数据，需要额外遵照*系统的恢复要求。报

22、告和总结回忆并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。发生重大信息平安事件的单位应当在事件处理完毕后5个工作日内将处理结果报市经贸信委备案。应急行动完毕根据信息平安事件的处置进展情况和现场应急处理工作组意见，信息突发事件应急小组应组织相关部门及专家组对信息平安事件的处置情况进展综合评估，并向信息突发事件应急领导小组提出应急行动完毕建议，并报信息突发事件应急领导小组批准。应急行动是否完毕，由组织决定。保障措施技术支撑保障信息突发事件应急小组应建立预警与应急处理的技术平台，进一步提高平安事件的发现和分析能力：从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统之间

23、应急处理的联动机制。应急队伍保障加强信息平安人才培养，建立一支高素质、高技术的信息平安核心人才和管理队伍，提高单位信息平安防御意识。物质条件保障在*市*信息化专项资金中安排一定的资金用于预防或应对信息平安突发事件，提供必要的交通运输保障，提前采购信息平安应急处理工作需要的检测、维修工具和设备配件。技术储藏保障*市*信息突发事件应急小组组织有关专家和科研力量，开展应急运作机制、应急处理技术、预警和控制等研究，推广和普及新的应急技术。培训和演习人员培训为确保信息平安应急预案有效运行，信息突发事件应急小组应定期或不定期地举办不同层次、不同类型的培训班或研讨会，应利用已有的资源，采用案例教学、情景模拟

24、、交流研讨、案例分析、应急演练、对策研究等方式，开展形式多样的培训工作，以便不同岗位的应急人员都能全面熟悉并掌握信息平安应急处理的知识和技能。应急演习为提高信息平安突发事件应急响应水平，信息突发事件应急小组应定期或不定期组织预案演练；检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习，进一步明确应急响应各岗位责任，对预案中存在的问题和缺乏及时补充、完善。监视检查与奖惩预案执行监视信息突发事件应急领导小组负责对预案实施的全过程进展监视检查，催促成员部门按本预案指定的职责采取应急措施，确保及时、到位。发生重大信息平安事件的单位应当按照规定及时如实地报告事件的有关信息，不得

25、瞒报、缓报或者授意他人瞒报、缓报。任何单位或个人发现有瞒报、缓报、谎报重大信息平安事件情况时，有权直接向信息突发事件应急领导小组举报。应急行动完毕后，信息突发事件应急领导小组对相关成员单位采取的应急行动的及时性、有效性进展评估。奖惩与责任对以下情况可以经信息突发事件应急小组评估审核，报信息突发事件应急领导小组批准后予以奖励：在应急行动中做出特殊奉献的先进单位和集体；在应急行动中提出重要建议方案，节约大量应急资源或防止重大损失的人员；在应急行动第一线做出重大成绩的现场作业人员；在发生重大信息平安事件后，有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的，信息突发事件应急领导小组将予以通

26、报批评；对造成严重不良后果的，将视情节由有关主管部门追究责任领导和责任人的行政责任；构成犯罪的，由有关部门依法追究其法律责任。对未及时落实市信息平安专项应急领导小组指令，影响应急行动的效果的，按国务院关于特大平安事故行政责任追究的规定、*省重大事故责任追究制度追究相关人员的责任。各种突发事件应急预案本预案所称突发性事件，是指自然因素或者人为活动引发的危害机房或人身平安等有关的事件。主要有以下几个类型：1、地震、火灾、雷电、水灾等自然灾害造成的破坏性突发事件；2、信息处理设备被盗、机房存在重大平安隐患而造成的损失等严重突发事件；3、信息系统存在严重BUG造成业务操作失误，数据错误；4、网络中断或

27、网络大规模瘫痪；5、病毒和黑客入侵或其他原因造成数据丧失、删改；6、效劳器、网络设备严重故障；7、因大面积停电、外部网络中断等因素导致无法使用等突发事件。本预案通过演习、实践检验，以及根据应急力量变更、新技术、新资源的应用和应急事件开展趋势，及时进展修订和完善；本预案所附的成员、通信地址等发生变化时也应随时修订；本预案由*市*信息部负责修订，报*市*领导批准后实施，授权*市*信息突发事件应急小组负责对本预案附件及附录的修改、审批和实施。本预案修订采取改版或换页的方式进展。本预案由*市*信息部制定，由信息突发事件应急领导小组负责解释。本预案日常工作由*市*信息部负责。联系：83948121。联系

28、部门：*市*信息部。联系人清单：角色职责联络信息工作手机应急小组组长应急小组副组长协调人局域网组机房维护组机房维护组机房维护组本预案自发布之日起实施。*市*二*年月日通信网络故障应急预案通信网络日常管理为了保证*市*通信网络的正常工作，信息部工作人员必须做好机房网络设施的日常维护。8.1.2通信网络故障应急预案清单预案名称网络通信系统故障预案预案编号预案目的网络通信系统发生故障后，应用本预案处理故障预案启动条件网络通信系统发生故障预案执行实施日期组织机构及职责组成联系方式职责负责人平安主管现场指挥平安主管成员网络管理员机房管理员机房管理员厂家联络方式厂家名称联系方式软件介质名称介质编号存放地点

29、备注备品备件名称设备编号存放地点备注交换机和路由器供给商仓库图纸名称图纸编号存放地点备注网络拓扑图信息部预案执行步骤及通告一、故障通告1. 将故障情况向信息部部长汇报。信息部通知受影响的用户，并视情况的严重程度通知应急领导小组。二、预案执行步骤1、信息部接到报障后，应立即安排维护工程师到现场查看；PING各关键设备的IP地址，来初步定位故障点*设备，*端口。通过链路检查命令确定是网络通信故障，则启用一下预案。如是效劳器或其他设备，则启用相关预案。确定故障类型及影响*围：1链路故障2核心、会聚层设备硬件故障3接入层设备硬件故障4出口区域设备硬件故障5非硬件故障故障处理流程：1链路故障处理流程：先

30、将故障汇报至信息部，通报给受影响的用户检查线路及链路转换设备是否工作正常如：光电转换器，物理链路包括双绞线、以太网光纤、广域网线路。A双绞线故障可以采用替换的方式解决；B.以太网光纤故障，则联系局域网线路维护方进展重新熔接；C.广域网线路故障，则联系运营商进展处理。转换设备故障：光电转换器、协议转换器、光纤模块等，根据设备的运维方分别联系对应的运维方进展处理。所有链路故障能够临时替换解决的，先临时替换躲避故障使网络恢复正常不能替换的汇报信息部，协商解决方案(2)核心、会聚层设备硬件故障： 核心、会聚层设备相比照拟高端，故障涉及引擎、业务板卡、电源模块等引擎故障： A. 针对外网核心为双引擎配置

31、，单个引擎损坏不影响设备正常工作。向信息部汇报故障同时通知设备维护商上门检修； B. 针对内网核心，无引擎冗余设置，但有设备冗余，单个故障不会影响接入层的通迅，首先将故障机上的效劳器、链路切换到另一台核心交换机上，调整相应的配置。然后上报信息部并通知设备维护商上门检修； C. 会聚层设备引擎损坏对网络不会造成网络中断，上报信息部，并通知设备维护商上门检修。(3)业务板卡故障A. 如果设备其它业务板上未使用端口较多，则将故障板卡上的线路切到其它板卡未使用的端口，并将做好相关配置B. 如果设备其它板卡上未使用端口较少，则可以采取非故障业务板下挂交换机的方法来增加端口数量，将故障板卡上的线路切到新增

32、交换机上。临时躲避处理后，然后上报信息部并通知设备维护商上门检修；(4)电源模块、机箱、风扇等根底硬件故障。A. 双电源设计设备，单个电源损坏不会对设备造成影响，向信息部汇报并通知设备维护商上门检修；B. 单电源、机箱、风扇等故障，临时躲避措施与内网核心引擎故障处理方法一致。(5)接入层设备硬件故障：A. 接入层设备故障影响一般为单个楼层，如有备件，则现场更换备件，做好相关配置，并汇报信息部及通知设备维护商上门检修；B. 如果没有备件且下接为同一网段用户时，可临时采用傻瓜交换机对故障设备进展替换，并调整相应的会聚交换机配置。汇报信息部同时通知设备维护商上门检修；C. 如果没有备件且下接为不同网

33、段用户时，只能保证关键网段的通迅，或者调整用户IP地址。躲避方法与同一网段用户一样。D. 如果备件或傻瓜交换机无光纤端口，则可采用增加光电转换器的方法，替换光纤模块，用双绞线接入交换机。(6) 出口区域故障：出口区域包括防火墙、路由器、平安网关、网闸等,针对工作为透明模式的设备，直接将设备撤下，汇报信息部同时通知设备维护商上门检修；A. 非透明模式工作的设备，如有备件则调试好备件，将故障设备替换，并汇报信息部同时通知设备维护商上门检修；无备件的情况则上报信息部同时通知设备维护商上门检修；所有故障设备返修完毕后，正式上线前，需汇报信息部，确定上线时间，才能停机安装调试。非硬件故障进展设备各项信息

34、收集:接入CONSOLE线，能否进展设备操作界面：(1)如能进展操作界面，则收集设备信息；(2)如不能进入操作界面则判断为设备本身故障，升级设备软件看能否解决，如不能则为设备硬件故障，如有备件，则替换上备件，如无备件，向信息部负责人汇报故障处理情况，同时通知设备维护商上门检修； 查看CPU信息：show cpu结合以往经历，判断该设备CPU利用率是否在正常*围内(3)如果CPU利用率比正常情况下高很多，则可能是攻击，如大量的主机扫描；或环路导致。可以通过抓包分析来确定攻击源或环路端口。如为攻击则断开攻击源，如为环路，则解除环路，并向信息部负责人汇报处理过程。其它厂商设备，如深信服网关、天融信防

35、火墙等，通过WEB方式可以查看CPU利用率查看设备运行信息：show running-config与最近备份配置比照，看是否存在改动，如存在改动，则进展复原配置操作，是否能解决故障，如能解决，则先复原配置，分析改动配置存在的问题。并将处理情况向信息部负责人汇报；如果复原配置后，故障依旧，则进展下一步操作。如果配置未进展改动，则进展下一步操作。查看MAC地址表：show mac-address-table查看故障设备是否学到对方的MAC地址，如没有学到或学到的信息不正确，则检查链路状态，或者是否存在MAC地址攻击等。(4)如果MAC地址表正常，则进展下一步操作查看ARP表：show arp查看故

36、障设备是否学习到对方ARP信息或信息是否正确，如果没有学到，则分析是否病毒，如ARP病毒，或其它原因导致如果能学到对方ARP信息，则进展下一步操作。查看路由表：show ip router检查到对方的路由是否正常，如果路由不正常，则分析路由不正常的原因如果路由表正常，则进展下一步操作。查看是否由于平安设备原因平安设备是否限制了正常的通迅平安设备是否将正常报文误断为攻击8、经过以上操作仍无法定位原因解决故障，则联系第三方技术支持9、确定故障原因后：如为病毒导致，则按病毒处理预案进展如为设备本身故障，则上报信息部，有备件的话，先用备件替换故障设备，无备件，则与信息部负责人协商解决方案如果故障是因设

37、备配置问题导致，则对原配置备份后，再调整相应的配置10、故障解决后，进展经历总结，并提交至信息部负责人预案流程业务数据故障应急预案8.2.1业务数据日常管理为了加强*市*业务数据平安的管理，应对具有高可用性要求的业务数据进展备份，形成业务数据备份机制。8.2.2业务数据故障预案清单预案名称业务数据故障预案预案编号预案目的因各类原因导致业务数据丧失的处理方案预案启动条件因各类原因，导致业务数据丧失预案执行实施日期年 月 日组织机构及职责组成联系方式职责负责人平安主管现场指挥平安主管成员网络管理员机房管理员需通知的其他部门部门名称联系人考前须知厂家联络方式厂家名称联系方式软件介质名称介质编号存放地

38、点备注预案执行步骤及通告一、故障通告1. 将故障情况向信息部部长汇报。信息部通知受影响的用户，并视情况的严重程度通知应急领导小组。二、预案执行步骤发生业务数据故障因硬件/软件故障或误操作导致后，现场值班人员应及时联系数据库管理员，检查和备份业务系统当前数据；由数据库管理员确定能用于恢复的数据备份及其介质磁盘/磁带，本地/异地；如果数据库管理员不能在短时间内修复数据，则需及时上报应急领导小组，由其通知业务部门以手工开展业务；利用备份恢复业务数据后，需要协同业务部门的人员检查数据的有效性历史数据和当前数据的差异，并根据需要，联合应用系统开发商，辅助相关的业务人员补录入数据；完成修复后，立即备份当前

39、数据；编写故障分析报告，向应急领导小组汇报。预案处理流程效劳器软件故障预案预案名称效劳器软件故障预案预案编号预案目的效劳器发生软件故障后，应用本预案处理故障预案启动条件效劳器发生软件故障除应用软件系统外预案执行实施日期年 月 日组织机构及职责组成联系方式职责负责人平安主管现场指挥平安主管成员网络管理员机房管理员厂家联络方式厂家名称联系方式备注软件介质名称介质编号存放地点备注备品备件名称设备编号存放地点备注仪器名称仪器编号存放地点备注预案执行步骤及通告一、故障通告1.将故障情况向信息部部长汇报。信息部通知受影响的用户，并视情况的严重程度通知应急领导小组。二、预案执行步骤1.发生效劳器软件系统故障

40、后，现场值班人员应立即组织查找、确定故障软件；收集软件所在效劳器的根本信息，包括设备型号、系统平台、软件版本、使用情况等信息；检查系统中各类日志系统日志/应用程序日志/数据库日志等，分析故障发生的位置；2.根据先期收集的信息、判断故障事态的严重程度，及时报告应急指挥专责小组，启动后续处理流程：业务软件故障：联系软件开发商维护人员，让其安排技术人员在指定时间段内赶到现场，对业务软件进展深入分析，继而解决故障或重新部署软件；数据库软件和备份软件：由数据库管理员确认故障原因，继而修复数据库软件，假设软件不能及时修复，则在原设备或调度的备用设备上重新部署软件，并利用已有的备份内容，恢复数据；操作系统：

41、由系统管理员确认故障原因，继而修复操作系统，假设系统不能及时修复，则重新部署系统和各类业务软件及支持软件，或启动备份效劳器系统，由备份效劳器接收业务应用，并及时报告软件维护人员，安排将故障效劳器脱离网络，保存系统状态不变，取出系统镜像备份磁盘，保持原始数据；假设使用备用系统，则在原效劳器上修复系统后，需将备用系统中的数据迁移回原系统中；如果问题严重，原有技术人员不能解决，则立即联系应急指挥专责小组和维护厂商，请求技术支援，做好技术处理，保证数据完整；处置完毕后，将事发经过、处理方法和结果编写成报告，提交给应急指挥专责小组。预案流程效劳器硬件故障应急预案8.4.1效劳器硬件日常管理为了加强*市*

42、信息部设备硬件管理，需要管理员定期检查、整理硬件物理连接线路，定期检查硬件运作状态，做好硬件的冗余备份。效劳器硬件故障预案清单预案名称效劳器硬件故障预案预案编号预案目的效劳器发生硬件故障后，应用本预案处理故障预案启动条件效劳器发生硬件故障包括效劳器/存储/存储网络设备预案执行实施日期年 月 日组织机构及职责组成联系方式职责负责人平安主管现场指挥平安主管成员网络管理员机房管理员厂家联络方式厂家名称联系方式软件介质名称介质编号存放地点备注备品备件名称设备编号存放地点备注仪器名称仪器编号存放地点备注预案执行步骤及通告一、故障通告1. 将故障情况向信息部部长汇报。信息部通知受影响的用户，并视情况的严重

43、程度通知应急领导小组。二、预案执行步骤发生硬件故障后，及时报告硬件维护人员，并组织查找、确定故障设备及故障原因，进展先期处置：检查硬件指示灯号，分辨出错硬件；检查系统日志，查找和确定故障原因；运行配套的硬件监控和维护程序，查找和确定故障原因；收集设备的根本信息硬件设备型号、系统平台类型和版本、应用软件类型和版本；联系硬件维护人员对故障设备进展检修；根据故障事态的严重程度，及时报告应急指挥专责小组，启动以下后续处理流程：如果故障设备具有容错能力，则由硬件维护人员联系备件库管理人员，及时调度硬件，在线更换；如果故障设备不具备容错能力，而又无法在短时间内修复故障设备，则启动备用设备，保持系统正常运行

44、；如果没有现成备用设备，则联系备件库管理人员，调度适宜的硬件设备，根据之前收集的信息，在备用设备上部署同型号同版本的操作系统、支持软件和业务软件，并恢复数据库到备用设备，保证系统正常运行；原设备在故障排除后，在网络空闲时期，重新替换备用设备，把原先存储与备用设备的数据迁移回原设备；假设故障仍然存在，根据平安守则和实际需要，立即联系相关厂商，认真填写设备故障报告单备查。预案流程网络攻击事件预案预案名称网络攻击事件预案预案编号预案目的网络攻击事件发生后，应用本预案处理故障预案启动条件发生网络攻击事件预案执行实施日期年 月日组织机构及职责组成联系方式职责负责人平安主管现场指挥平安主管成员网络管理员信

45、息平安管理员厂家联络方式厂家名称联系方式软件介质名称介质编号存放地点备注备品备件名称设备编号存放地点备注仪器名称仪器编号存放地点备注预案执行步骤及通告一、故障通告1. 将故障情况向信息部部长汇报，信息部通知受影响的用户，并视情况的严重程度通知应急领导小组。预案执行步骤1.确定源地址：如果效劳器被攻击，可以通过以下手段来确定攻击源：在效劳器上运行netstat -an可以看到大量的连接，找出发起大量连接的源IP地址。也可以在通过捕获交换机上连接效劳器的端口的报文，进展分析，找到攻击源IP。如果是平安网关被攻击，则只能分别在其所有网络连接端口来进展抓包分析。2.临时躲避攻击：临时躲避主要是针对外网

46、发起的攻击，最保险的方法是采取临时断网措施；如果不能断网则可以通过以下措施临时躲避：如果公网地址足够，可以通过更改对外发布效劳的公网地址效劳器，同进还需更改DNS解析或者更改本身的外网地址(出口网关)。3.备份被攻击者数据如为网络设备，则备份配置文件，如为效劳器则备份操作系统，有条件的话，建议备份整个硬盘。4.追踪攻击源：内网发起的攻击：通过找出源IP，结合用户IP登记资料，定位到用户，直接将用户断网处理。外网发起的攻击：与运营商联系，同时上报网监部门，根据对方要求提供相关资料，由运营商和网监部门处理。5.调整平安策略:在定位攻击源的时候，同时对效劳器或出口网关进展加固，主要方法如下：平安网关

47、主要是对其本身的登陆管理进展设置，包括对其本身IP的连接数，用户登陆次数等进展限制，备份攻击发生时的设备配置，以便后期分析。效劳器在攻击发生时第一时连续开网络，备份操作系统有条件的话建议备份整个硬盘；分析效劳器在平安方面存在的隐患，更改相关平安设置。在平安设备上，如防火墙,IPS；对该效劳器与外网地址的连接数进展限制，在同一时刻只允许一定数量的地址与效劳器建立连接。6.被攻击者接入网络如果还有攻击，则需等待运营商处理完毕后，再接入网络。7.检查被攻击设备的数据是否丧失损坏。8.如数据有丧失或损坏，则恢复被攻击目标设备的数据。9.事故处理完后对此次事故进展总结。预案流程病毒爆发应急预案8.6.1

48、病毒防护日常管理为了保证*市*电子政务内网的平安，系统管理员必须安装杀毒软件和升级系统补丁，建立完整的防病毒系统管理及维护日志。病毒爆发应急预案清单预案名称病毒爆发事故预案预案编号预案目的发生病毒爆发或感染事故后，应用本预案处理故障预案启动条件发生病毒爆发或感染事故预案执行实施日期年 月日组织机构及职责组成联系方式职责负责人平安主管现场指挥平安主管成员网络管理员机房管理员厂家联络方式厂家名称联系方式软件介质名称介质编号存放地点备注备品备件名称设备编号存放地点备注仪器名称仪器编号存放地点备注预案执行步骤及通告一、故障通告1.将故障情况向信息部部长汇报，信息部通知受影响的用户，并视情况的严重程度通

49、知应急领导小组。2、对用户的病毒通知，采用发文或短信方式。二、预案执行步骤终端网络型病毒可依靠网络进展大面积快速传播，如：灰鸽子、熊猫烧香、冲击波等。小面积病毒爆发：1.接到报障，工程师到现场处理，确定是否中毒，如确认中毒则将中毒主机断网隔离。2.采用已安装并更新至最新病毒库的专业杀毒软件进展查杀，如能查杀则现场处理。3.针对未知的新型病毒，杀毒软件不能查杀的，则将用户数据备份后，再重装系统，同时将病毒样本上报杀毒软件厂商。4.待杀毒软件厂商升级病毒库后，再查杀中毒电脑。大面积病毒爆发：1.确定大面积病毒爆发，上报上级主管部门2.先采用杀毒软件进展查杀，如果可以查杀则发通知用户进展查杀,杀毒软件无法查杀的情况下，对爆发区域进行断网处理，并发布病毒通知。3.联系厂商进展现场技术支持，上报上级主管部门终端单机型病毒病毒传播速度较慢，网络不是其传播主要手段。如：文件型病毒、U盘病毒等。1.接到报障，工程师到现场处理，确定是否中毒，如确认中毒则将中毒主机断网隔离。2.采用已安装并更新至最新病毒库的专业杀毒软件进展查杀，如能查杀则现