计算机应用系统应急预案【模版】

XXXX工程应急预案2/82/8名目一.概述 33\l“_TOC_250007“编写目的 33\l“_TOC_250006“适用范围 33二.应急预案 33\l“_TOC_250005“启动条件 33\l“_TOC_250004“安全大事定义 33\l“_TOC_250003“应急抑制 44\l“_TOC_250002“应急铲除 55\l“_TOC_250001“应急恢复 77\l“_TOC_250000“事后分析 77概述一.编写目的为了加强公司业务应用系统的网络设备、主机操作系统、数据库系统和应用系统等硬件和软件的故障或安全、应急大事的治理，特制定本制度。为了乐观应对可能发生的各类重大事故，预先掌握潜在事故或紧急状况，做好应急预备和响应，组织有序的事故抢救和救灾工作，最大限度削减人员伤亡和财产损失，维护正常的施工生产秩序，促进本企业的经济建设，依据《国务院关于特大安全事故行政责任追究的规定》和《建设工程安全生产治理条例》的要求，结合本工程部的实际，制定本应急处置预案〔以下简称《预案》〕。适用范围本制度适用于公司各个业务应用系统的安全治理员、维护人员等负责系统运维安全的人员和公司信息安全治理小组。二.应急预案启动条件本应急预案在如下条件启动：本文档内定义的严峻安全大事和重大安全大事发生时。信息安全协调小组和相关部门领导确认，需要启动应急打算时。安全大事定义重大安全大事：由于信息安全问题对关键业务造成直接影响，并导致全网瘫痪、业务中断数小时以上的大事，称为重大安全大事；严峻安全大事：由于信息安全问题对重要业务造成直接影响，并导致网络与业务中断，称为严峻安全大事。3/84/8一般安全大事：由于信息安全问题对重要业务造成间接影响，一般业务造成直接影响，并导致网络与业务患病影响的大事，称为一般安全大事。应急抑制应急抑制的目的是限制安全大事对受保护信息系统造成影响的范围和程度。应急抑制是信息安全应急响应工作中的重要环节，在信息安全大事发生的第一时间内对故障系统或区域实施有效的隔离和处理，或者依据所拥有的资源状况和大事的等级，承受临时切换到备份系统等措施降低大事损失、避开安全大事的集中〔例如蠕虫的大规模传播〕和安全大事对受害系统的持续性破坏，有利于应急响应工作人员对安全大事做出快速、准确的推断并实行正确的应对策略。应急抑制过程中，重要的是确保业务连续性，应尽量保证在备份系统中完全运行原来的业务。假设消灭资源紧急，应尽可能保证重要资产优先运行，维持最根本的业务力量。应急抑制分为物理抑制、网络抑制、主机抑制和应用抑制4生信息安全大事时，应依据对大事定级的结果，综合利用多个层次的抑制措施，保证抑制工作的准时、有效。物理抑制关闭主机：避开主机患病外界的安全大事影响，或避开主机对外部环境产生影响。切断网络连接：关闭网络设备或切断线路，避开安全大事在网络之间的集中。提高物理安全级别：实施更为严格的人员身份认证和物理访问掌握机制。环境安全抑制：主要针对环境安全的威逼因素，例如发生火灾时关闭防火门、启用消防设备和防火通道、启动排烟装置、切断电源，发生水灾时启用排水设备、关闭密封门，发生电力故障时启用UPS网络抑制网络边界过滤：对路由器等网络边界设备的过滤规章进展动态配置，过滤包含恶意代码、攻击行为或有害信息的数据流，切断安全大事在网络之间的传播途径。网关过滤：对防火墙等网关设备的过滤规章进展动态配置，阻断包含恶意代码、攻击行为或有害信息的数据流进入网关设备保护的网络区域，有效实施针对信息安全大事的网络隔离。网络延迟：承受蠕虫延迟和识别技术，限制恶意代码在单位时间内的网络连接，有效降低蠕虫等恶意代码在网内和网间的传播速度，削减蠕虫大事对受保护网络系统的影响范围。网络监控：提高网络入侵检测系统、专网安全监控系统的敏感程度和监控范围，收集更为细致的网络监控数据。主机抑制系统账号维护：禁用或删除主机中被攻破的系统账号和攻击者生成的系统账号，避开攻击者利用这些账号登录主机系统，进展后续的破坏行为。提高主机安全级别：实施更为严格的身份认证和访问掌握机制，启用主机防火墙或提高防火墙的安全级别，过滤可疑的访问恳求。提高主机监控级别：提高主机入侵检测系统、主机监控系统的敏感程度和监控范围，收集更为细致的主机监控数据。应用抑制应用账号维护：禁用或删除被攻破的应用账号和攻击者生成的应用账号，避开攻击者利用这些账号登录应用效劳，进展后续的破坏行为。提高应用安全级别：针对应用效劳，实施更为严格的身份认证和访问掌握机制，提高攻击者攻击应用效劳的难度。提高应用监控级别：提高应用入侵检测和监控系统的敏感程度和监控范围，收集更为细致的应用效劳监控数据。关闭应用效劳：杜绝应用效劳患病来自网络的安全大事影响，或避开应用效劳对外部网络环境产生影响。应急铲除在信息安全大事被抑制之后，进一步分析信息安全大事，找出大事根源并将其彻底去除。对于单机的大事，可以依据各种操作系统平台的具体检查和铲除程序进展操作；针对大规模爆发的带有蠕虫性质的恶意程序，要铲除各个主机上的恶意代码，则是一项困难的任务。应急铲除分为物理铲除、单机铲除和网络铲除3个层次。为了保证彻底从受保护网络系统中去除安全威逼，针对不同类型的安全大事，应综合实行不同层次的铲除措施。物理铲除统一承受严格的物理安全措施：例如针对关键的物理区域，统一实施基于身份认证和物理访问掌握机制，实现对身份的鉴别。环境安全保障：主要针对环境安全的威逼因素，例如使用消防设施扑灭火灾，更换消灭故障的电力设备并恢复正常的电力供给，修复网络通信线路，修复被水浸湿的效劳器等。物理安全保障：加强视频监控、人员排查等措施，最大限度削减对受保护信息系统可能造成威逼的人员和物理因素。单机铲除〔包括效劳器、客户机、网络设备、监控系统及其它计算设备〕去除恶意代码：去除感染计算设备的恶意代码，包括文件型病毒、引导型病毒、网络蠕虫、恶意脚本等，去除恶意代码在感染和发作过程中产生的数据。去除后门：去除攻击者安装的后门，避开攻击者利用该后门登录受害计算设备。安装补丁和升级：安装安全补丁和升级程序，但必需事先进展严格的审查和测试，并统一公布。系统修复：修复由于黑客入侵、网络攻击、恶意代码等信息安全大事对计算设备的文件、数据、配置信息等造成的破坏，例如被非法篡改的系统注册表、信任主机列表、用户账号数据库、应用配置文件等。修复安全机制：修复并重启用计算设备原有的访问掌握、日志、审计等安全机制。网络铲除全部单机铲除：对受保护网络系统中全部的效劳器、客户机、网络设备和其它计算设备进展上述单机铲除工作。评估排查：对受保护网络系统中全部计算设备进展评估排查，测试是否仍旧存在被同种信息安全大事影响的单机。网络安全保障升级：对网络中的安全设备、安全工具进展升级，使其具备对该安全大事的报警、过滤和自动去除功能，例如向防火墙增加的过滤规章，向入侵检测系统增加的检测规章等。应急恢复完成安全大事的铲除工作后，需要完全恢复系统的运行过程，把受影响系统、设备、软件和应用效劳复原到它们正常的工作状态。假设在抑制过程中切换到了备份系统，则需要重切换到已完成恢复工作的原系统。恢复工作应当格外留神，避开消灭误操作导致数据的丧失或损坏。恢复工作共分为五个阶段：系统恢复阶段、网络恢复阶段、用户恢复阶段、抢救阶段和重部署/重入阶段。系统恢复阶段负责恢复关键业务需要的效劳器及应用程序。系统恢复过程完成的标志是数据库已经可用、用户的数据通讯链路已经重建立、系统操作用户也已经开头工作。网络和用户恢复任务与系统恢复是同步进展的。网络恢复阶段负责安装通信设备和网络软件，配置路由及远程访问系统，恢复数据通信，部署设置网络治理软件和网络安全软件等，恢复受灾系统的网络通信力量。用户恢复阶段用户恢复任务与系统恢复任务和网络恢复任务同步进展。当系统和网络就绪之后，使用抢救出来的记录和备份存储的数据和信息，尽快恢复数据库。抢救阶段抢救行动与其它灾难恢复工作同步进展，包括收集和保存证据，评估数据中心和用户操作区环境的恢复可行性和花费，抢救数据、信息和设备并转移到备份区域。重部署/重入阶段依据灾难恢复打算中定义的工作职能，使系统、网络和用户重部署到原有的或的设施中，并把应急状态下的效劳级别逐步切换回正常效劳级别。事后分析信息安全大事的应急响应工作除保证明施准确、高效的应急处理之外，另一重要事项是准时吸取阅历教训，准时整改修正，避开一样或类似安全大事的再次发生。事后分析工作的意义不仅表达在本次信息安全大事的处理上，更重要的是有助于确定安全问题的深层次缘由，总结处理紧急安全问题的阅历和教训，评估和修正现有安全机制的缺乏，为后续可能发生的信息安全大事的响应过程供给参考。事后分析工作的目标是回忆并整理发生信息安全大事的各种相关信息，尽可能将全部状况记录到文档中，争论大事发生的全过程，分析导致大事发生的根本缘由，评估系统患病的损失，并依据分析和评估结果对现有的工作方案作出调整。对累次大事或同期多个大事的事后联合分析更有意义。针对信息安全大事的事后分析工作包括损失评估、审计分析以及对应急预案的评估修正。损失评估评估信息安全大事对受保护信息系统在各方面所造成的损失。审计分析对发生的信息安全大事进展审计