数据中心应急方案

XXX有限企业

XXX-2023-DCV2.0

XX应急方案

XXX数据中心

发放编号：受控状态，■受控口非受捽

XXX有限企业发布

版本记录

版本状态作者开始日期完毕日期备注

3.2.4.故障的升级上报.............................

3.2.5.汇报内容...................................

3.2.6.应急处置....................................

3.2.7.故障处理后的测试验收......................

3.2.8.故障书面汇报...............................

3.2.9.故障汇报填写及汇报........................

第4章信息系统安全应急处理流程.......

4.1.信息系统安全应急处理流程图...................

4.2.故障升级分类及升级时限........................

4.3.越级汇报......................................

第5章应急响应特点文档及工具.........

5.1.应急文档的备存................................

5.2.应急设备及软件备存...........................

第6章应急处理预案...................

6.1.网络中断应急处理..............................

6.2.黑客袭击的应急处理............................

6.2.1.应急处理..............................

6.2.2.修复处理..............................

6.3.大规模病毒（含恶意软件）袭击的应急处理...........

6.4.数据库系统故障的应急处理..........................

6.5.设备硬件故障时应急处理............................

6.6.XX有关故障应急处理...............................

6.7.对重大故障的应急处理..............................

6.8.祈求外部协劭支持..................................

第7章后期处理........................

7.1.善后处理.....................................

7.2.调查和评估...................................

7.3.应急方案更新.................................

附件：应急响应有关表单..................

第1章总则

为保证企'业数据中心信息系统安全，防备蓄意袭击、破坏网络

系统及数据安全等紧急突发事件时发生，根据企业《XXX数据中心应

急预案》，结合企业数据中心信息化的特点，特制定本应急方案。

第2章数据中心应急方案组织体系

2.1网络与信息安全应急协调领导小组职责

负责领导XXX数据中心网络与信息安全应急工作，确定并直接

领导信息系统安全应急处置工作组。审定XXX数据中心信息系统安

全应急预案并组织实行，研究处理数据中心有关网络与信息系统安

全的重大问题。领导小组下设处置工作组，其工作职责由数据中心

承担。

2.2领导小组办公室构成及组员

姓名职务联系电话

组长

副组长

成员

2.3工作职责

(1)组长职责

负责XXX数据中心网络与信息安全应急方案的启动，对XXX数据

中心网络与信息安全故障全权组织进行应急处置。

(2)副组长职责

协助组长对数据中心网络与信息安全故障进行应急处置，负责

确定合理的技术处理方案、制定应急处置方案。

组长不在现场或不便履行职责时，行使组长职责。

(3)应急领导小组其他组员职责

配合组长和副组长，实行应急处置工作。

2.4各设备应急联络人

单位姓名职务联系电话备注

第3章信息系统安全应急处置实行细则

3.1.信息系统故障等级划分

XXX数据中心信息系统故障等级，按照《信息安全技术-信息系

统安全等级保护基本规定》第二级的规定，详细划分为三个等级,

一级故障为重大故障；二级和三级故障为一般性故障。

3.1.1.一级故障

信息系统发生故障，估计将或已经严重影响企业关键系统业务,

导致有关业务中断1小时以上，并估计24小时以内无法恢复的，具

有如下一种或几种特性，即定义为一级故障。

1.企业关键业务系统XXX,XXX和部分XXX业务的广域网和专网出

现线路和设备故障，且中断时间为一种小时以上；

2.企业数据中心关键网络出现故障，导致外网顾客不能访问企业服

务器；

3.企业数据中心关键业务服务器出现故障，无法及时恢复，导致'也

务中断一种小时以上。

4.企业数据中心存储出现故障，导致'业务中断一种小时以上且数据

无法恢复。

5.xx关键业务系统出现故障，导致企业业务中断一种小时以上,

6.运用技术手段，导致业务数据被修改、假冒、泄漏、窃取日勺信息

系统安全事件。

3.1.2.二级故障

信息系统发生故障，估计将或已经严重影响企业关键系统业务,

导致有关业务中断1小时以上，并估计6小时以内可以恢复日勺，具

有如下一种或几种特性，即定义为二级故障。

1.企业部分关键业务系统出现线路故障，导致部分客户无法访问；

2.企业数据中心关键业务服务器宕机，无法及时恢复，导致业务中

断一种小时以上。

3.企业部分布署在xx机房H勺关键业务系统出现故障，导致企业业

务中断一种小时以上。

4.病毒或网络袭击导致企业数据中心广域网连接中断或传播效率

明显下降，关键业务系统不能正常提供服务；

5.人为误操作导致企业备份数据丢失。

6.运用技术手段，导致业务数据被修改、假冒、泄漏、窃取的信息

系统安全事件。

7.12小时以内无法处理的三级故障。

3.1.3.三级故障

满足如下条件之一，即定义为三级故障。

1.非关键业务出现故障，导致无法访问。

2.故障发生后，影响到信息系统口勺运行效率，速度变慢，但不影响

业务系统访问；

3.故障发生后，可随时应急处理，不会影响日勺系统全面运行，不过

一种隐患；

3.2.网络信息故障处理程序

3.2.1.故障的发现

数据中心中心工作人员在发现故障或接到故障汇报后，首先要

判断故障发生H勺原因，对故障W、J等级进行初步W、J判断；另一方面联

络并协调有关人员处理本次故障；待故障处理后，对本次故障进行

详细H勺记录。

3.2.2.故障时处理

1.发生故障的业务系统主管部门数据中心为故障处理部门，故

障处理部门领导负责告知和贯彻对应岗位人员抵达现场，故障处理

部门应首先指定现场指挥人员，指挥人员应先问询理解设备和配置

近期日勺变更状况，查清故障的影响范围，从而确定故障的等级和发

生故障的也许位置;

2.对于一般性故障按照3.2.4的故障升级上报规定进行上报,

并在处理过程中及时向主管领导通报故障处理状况。

3.对于重大故障按照3.2.4的故障升级上报规定进行上报，

并在处理过程中及时向主管领导通报故障处理状况。

3.2.3.故障的记录

在故障处理中，应对其过程进行详细记录，其中包括故障处理

的负责人，检查日勺内容及成果，对故障的判断及处理措施，以及故

障处理过程中各环节及执行人员。

3.2.4.故障的升级上报

根据故障等级和发生日勺时限，要对故障日勺状况进行及时的上报,

并对汇报人，告知人及时间及内容进行记录。重大故障由部门主管

领导负责上报，一股性故障由故障处理人员负责上报。故障升级上

报时限如下表所示：

升级时限一级故障二级故障三级故障

立即数据中心经理对应岗位人员对应岗位人员

数据中心部门主管

半小时数据中心经理

领导

数据中心部门主管

1小时企业主管高层数据中心经理

领导

数据中心部门主

4小时企业主管高层

管领导

8小时

24小时

故障上报升级时限

XXX数据中心是负责受理和处理网络和信息安全突发事件的详

细职责部门，在接到突发事件汇报后，要按下列工作程序处置：

1.一级故障的汇报程序

(1)发现故障岗位人员根据故障初级判断成果，立即向数据中

心经理汇报；

(2)数据中心经理根据故障初级判断成果，迅速将有关状况汇

报XXX数据中心网络与信息安全应急领导小组或数据中心部门主

管领导，汇报时限不能超过30分钟；

(3)经排查故障无法在1个小时内排除，将该突发事件形成书

面汇报材料呈报给企业主管领导，同步向数据中心部门主管领导

上报状况。

2.二级故障的汇报程序

(1)发现故障岗位人员根据故障初级判断成果，将故障有关状

况向数据中心经理汇报，汇报时限不能超过30分钟；

(2)数据中心经理根据故障初级判断成果，迅速将有关状况汇

报XXX数据中心中心网络与信息安全应急领导小组或数据中心部

门主管领导，汇报时限不能超过60分钟；

(3)经排查故障无法在4个小时内排除，将该突发事件形成书

面汇报材料呈报给企业主管领导。

3.三级故障的汇报程序

(1)发现故障岗位人员根据故障初级判断成果，将故障有关状

况向数据中心经理汇报，汇报时限不能超过1小时；

(2)数据中心经理根据故障初级判断成果，迅速将有关状况汇

报XXX数据中心网络与信息安全应急领导小组或数据中心部门主

管领导，汇报时限不能超过4小时；

(3)经排查故障无法在8个小时内排除，将该突发事件形成书

面汇报材料呈报给数据中心部门主管领导，做故障升级处理。

3.2.5.汇报内容

汇报内容包括突发事件发生日勺时间、地点、过程、状况、原因

及影响等。

3.2.6.应急处置

1.数据中心根据故障状况立即进行应急处理，防止事件深入扩

大，同步分析该故障的起因，判断需要的处理时间，并根据判断成

果按故障升级上报程序，逐层上报；

2.根据突发事件口勺性质、级别，决定启动有关系统技术应急预

案；

3.根据事件级别以及对业务影响程度的评估成果，向网络与信

息安全应急协调领导小组汇报，应急领导小组决定与否启动业务应

预案，数据中心配合.业务部门开展应急处置工作；

4.应急领导小组授权办公室或负责人通过内外网站、等媒

介通报突发事件有关信息；

5.根据故障也许产生的原因尽早联络其他有关部门、线路运行

商、设备供应商祈求技术支持，并将联络外协支持的状况记录在案。

3.2.7.故障处理后的测试验收

故障处理后，故障处理部门要进行自测，然后提交顾客进行确

认，当顾客对处理成果认同后，故障最终确认处理。

3.2.8.故障书面汇报

对于重大故障却迟延时间较长H勺一般性故障，在处理过后，应

对故障及处理日勺全过程进行总结，以文字形式进行汇报。

对于影响较小的一般故障处理，在维护日志中做完整的阐明和

记录。

3.2.9.故障汇报填写及汇报

故障汇报应包括如下几方面W、J内容：故障处理过程日勺原始记录,

故障状况描述及故障处理状况阐明，汇报中要明确阐明故障处理与

否精确和及时.，有无明显W、J失误，有无违反规定行为。语言应简要

扼要，对状况描述要清晰、有条理。

故障处理部门负责人将对故障汇报进行全面审核，无误后签字

并报数据中心部门主管领导，重大故障汇报需报企业主管领导。

第4章信息系统安全应急处理流程

4.L信息系统安全应急处理流程图

收到故障处

理请求信息

通知相关人

员前去处理

又

按照正常

是否突发一件处理完毕）

“程序处3a

是

故障等级一级故障

二级故障向应急,应领导小

俎或本处领导汇报

向应忿响应领导小

组或本处领导汇报启动应急陋成预案

启动应每响应预案通知应急响应人员、

设普供应商到场

处理延时

现知应急响应人员、故障升级

令设备供应商到场

香采取应急救援措施

采取应恁救援措施

故障处理抢险结束

恢复正常情况

抢险结束

处理完毕恢复正常情况故障回归测试

故障回归测试

故障回归漏试・故总结及评估

•故总结及评估

♦故总结及评估

资料存档

形成知识库

结束

4.2.故障升级分类及升级时限

1、故障分类详见第3.1章节。

2、二级故障发生后，在4小时内没有处理，升为一级故障c

三级故障发生后，在8小时内没有处理，升为二级故障c

4.3.越级汇报

故障上报应遵照逐层上报原则，但在与上级联络不上时，可越

级汇报。

第5章应急响应特点文档及工具

5.1.应急文档的J备存

(1)各类网络设备和服务器、计算机及其附属设备的型号、序

列号等；

(2)硬件设备供应商、生产厂商的、联络人、技术支持网址;

(3)操作系统、关键业务应用软件开发商或供应商的、联络

人；

(4)数据中心网络拓朴图；

(5)路由器、防火墙、入侵检测设备的配置文档，服务器登陆

顾客及原始密U马文档；

（6）各类软件的技术文档及其他需要保留的文档。

5.2.应急设备及软件备存

（1）正版操作系统启动盘、安装盘；

（2）正版防病毒软件（注明安装及升级序列号）；

（3）数据库管理系统软件，数据库备份软件及近来完整的数据

备份存储介质；

（4）有关口勺设备驱动程序（含主板、显卡、网卡等）及更新到

最新日勺服务器注册表文献；

（5）备用网线，万用表、测网仪、螺丝刀等必要工具；

（6）其他必备的应急工具。

第6章应急处理预案

6.1.网络中断应急处理

1、故障排查：网络中断后，技术人员要迅速判断故障节点，查明故

障原因；

2、故障排除:

①如属线路故障，应重新安装线路。

②如属路由器、互换机等网络设备故障，技术人员立即检修并调

试畅通。如路由器、互换机配置文献破坏，技术人员应迅速按照

规定重新配置，调试畅通。必要时，请有关供货单位、设备厂商

协助调测畅通。

③如需更换设备，应上报企'业主管领导，经同意后立即更换故障

设备，尽快恢复系统运行。

④如发现属于外部线路的问题，应与线路运行商联络，敦促尽快

恢复故障线路。

⑤数据中心无法及时修理时，应立即告知有关供应商及维拧人

员，在最短时间内安排修理。

6.2.黑客袭击时应急处理

6.2.1.应急处理

1.当发现网络上有黑客袭击行为时，应立即向数据中心通报状

况，并由数据中心有关负责人向数据中心主管领导汇报；

2.数据中心工作人员应立即赶到现场，将被袭击口勺服务器或其他

设备从网络中隔离出来，必要时可以采用照片、截图等方式留存记

录，保护现场；

3.如事态较为严重，经向数据中心主管领导请示后，立即向公安

部门报警，配合公安部门展开调查；

4.数据中心有关技术人员做好被袭击或破坏后系统的恢复与重

建工作；

5.数据中心负责组织技术力量追查非法信息来源；

6.数据中心有关工作人员将实行事件处理日勺过程和成果立案存

档，必要时向数据中心主管领导汇报。

6.2.2.修复处理

1、记录系统状况；

2、立即复制系统登录文献、历史文献、日志文献等重要文献；

3、修改防火墙、路由器等网络安全设备的过滤规则；

4、断开被攻主机、关闭不需要日勺服务；

5、处理可疑日勺文献和程序；

6、修改不安全的系统帐号及其口令；

7、恢复被修改的软件和数据；

8、安装对应的补丁程序，弥补安全漏洞；

9、编写汇报，详述事件过程及处理环节。

6.3.大规模病毒（含恶意软件）袭击的应急处理

1.当发现局域网网络中有大量服务器被感染上病毒后，服务器

维护人员应立即上报数据中心；

2.数据中心工作人员应立即将该机从网络上隔离开来；

3.数据中心工作人员对该设备日勺硬盘进行数据备份，并将防病

毒软件的病毒特性库更新至最新版本；

4.数据中心工作人员启用反病毒软件对该机进行杀毒处理，并

对有关服务器进行病毒扫描和清除工作；

5.状况较为严重H勺，已影响到企业有关系统的数据传播、应用

系统访问不正常等状况，应及时向数据中心主管领导汇报，按照3.1

信息系统故障等级划分，确定其故障等级，并启动对应的应急处理

程序进行排除。

6.4.数据库系统故障的应急处理

1.数据库系统每日必须存有备份，与软件系统相对应的数据必

须有多日的备份；并将它们保留与安全处；

2.数据库系统发生故障后来，数据中心工作人员立即向数据库

组负责人和数据中心主管领导汇报请示，经同意后采用有关技术手

段尽快恢复数据库运行，保证业务不中断；

3.数据中心工作人员及时组织有关数据库工程师，并同步告知

重要应用部门等技术力量做好数据库系统切换和有关数据的恢复工

作；

4.数据库工程师应检查日志等资料.，确定故障原因；

5.数据库部门会同数据中心工作人员将实行处理的过程和成果

进行立案存档，并向有关领导汇报。

6.5.设备硬件故障的应急处理

1.数据库服务器等关键设备损坏后，数据中心有关人员应立即

向数据中心经理汇报；

2.数据中心经理立即组织有关技术人员查明原因，联络维保单

位更换受损部件；

3.假如设备一时不能修复，应向数据中心主管领导汇报，并告

知各应用部门暂缓上传上报数据或及时切换应用到其他应用服务器

上，及时恢复业务系统。

6.6.XX有关故障应急处理

1.数据中心有关工作人员应分析大体故障原因，并立即向数据

中心经理汇报；

2.数据中心经理立即组织协调有关人员联络XX有关负责人查

明原因处理此问题；

3.假如XX一时无法处理，应向数据中心主管领导汇报，并告知

各应用部门暂缓上传上报数据或及时切换应用到其他应用服务器

上，及时恢复业务系统。

6.7.对重大故障的应急处理

当数据中心工作人员通过网络监控到诸如广域链路意外中断、

关键路由（互换机）宕机。非法入侵及病毒入侵使网络传播性能下

降，应用系统网站、关键数据库等系统关键服务器性能下降，严重

影响正常业务运行的状况时。数据中心工作人员应及时记录故障发

生时间、地点等。同步立即报知数据中心主管领导。在此过程中数

据中心工作人员应检查所发生故障设备和配置近期的变更状况，查

清故障KJ影响范围，从而确定故障的等级和发生故障W、J也许部位，

在处理过程中要及时向主管领导通报故障的处理状况。

6.8.祈求外部协助支持

1.对一时不能查清原因日勺重大故障，应尽早联络原厂商祈求技

术支持。

2.对4小时内无法处理的一般性故障，也应联络原厂商祈求技

术支持，并要将联络外协支持的状况记录在案。

第7章后期处理

7.1.善后处理

应急处置工作结束后，现场领导小组组织有关人员和技术专家

构成事件调查组，对事件发生原因、性质、影响、后果、责任及应

急处置能力、恢复重建等问题进行全面调查评估，根据应急处置中

暴露出的管理、协调和技术问题，改善和完善预案，实行针对性演

习，总结经验教训，整改存在隐患，组织恢复正常工作秩序。

7.2.调查和评估

应急处理工作结束后，应急响应领导小组应立即组织有关人员，

专家组.，会同技术中心成立事件调杳小组，对事件发牛及其处理过

程进行全面KJ调查，查清事件发生的原因及财产损失状况并总结经

验教训，写出调查评估汇报，并将故障处理文档整顿，形成知识库

进行统一归档管理。

7.3.应急方案更新

根据信息化迅速发展和经济社会发展状况，配合有关法律法规

的制定、修改和完善，结合应急处置中暴露出的管理、协调和技术

问题，修订和完善本预案。

附件：应急响应有关表单

网络与信息安全事件登记表

日期事件发生原因处理措施处理成果操作人员审核人员

网络与信息安全事件应急预案摘要表

一、应急领导小组组员

姓名职位联络方式应急角色

领导小组组长

领导小组副组长

应急事件业务处理、协调

系统技术支撑、处理和协调

对外信息披露、通报

二、应急支撑力量（包括系统运行、开发、技术支持专家等）

姓名单位联络方式应急角色

通讯保障

业务问题评估、恢复重建

网络保障

运维支撑

系统技术支撑

信息安全员

三、软硬件服务维保方

序号设备维保方联络人联络

1安全服务

2服务器、存储阵列

3关键网络设备