信息安全應(yīng)急響應(yīng)預(yù)案(doc 58頁(yè))

1、深圳市深圳市 XXXXXX信息安全應(yīng)急響應(yīng)預(yù)案信息安全應(yīng)急響應(yīng)預(yù)案深圳市深圳市XXXXXXXX 年 XX 月目錄目錄1.1. 總則總則.31.11.1 目的目的.31.21.2 現(xiàn)狀及其成因現(xiàn)狀及其成因.32.2. 組織機(jī)構(gòu)及職責(zé)組織機(jī)構(gòu)及職責(zé).32.12.1 應(yīng)急指揮機(jī)構(gòu)應(yīng)急指揮機(jī)構(gòu) .33.3. 預(yù)警和預(yù)防機(jī)制預(yù)警和預(yù)防機(jī)制.33.13.1 信息監(jiān)測(cè)及報(bào)告信息監(jiān)測(cè)及報(bào)告 .33.23.2 預(yù)警預(yù)警 .33.33.3 預(yù)警支持系統(tǒng)預(yù)警支持系統(tǒng) .33.43.4 預(yù)防機(jī)制預(yù)防機(jī)制 .34.4. 應(yīng)急處理程序應(yīng)急處理程序.34.14.1 級(jí)別的確定級(jí)別的確定 .34.24.2 預(yù)案啟動(dòng)預(yù)案啟動(dòng)

2、.34.34.3 現(xiàn)場(chǎng)應(yīng)急處理現(xiàn)場(chǎng)應(yīng)急處理 .34.44.4 報(bào)告和總結(jié)報(bào)告和總結(jié) .34.54.5 應(yīng)急行動(dòng)結(jié)束應(yīng)急行動(dòng)結(jié)束 .35.5. 保障措施保障措施 .35.15.1 技術(shù)支撐保障技術(shù)支撐保障 .35.25.2 應(yīng)急隊(duì)伍保障應(yīng)急隊(duì)伍保障 .35.35.3 物質(zhì)條件保障物質(zhì)條件保障 .35.45.4 技術(shù)儲(chǔ)備保障技術(shù)儲(chǔ)備保障 .36.6. 培訓(xùn)和演習(xí)培訓(xùn)和演習(xí).36.16.1 人員培訓(xùn)人員培訓(xùn) .36.26.2 應(yīng)急演習(xí)應(yīng)急演習(xí) .37.7. 監(jiān)督檢查與獎(jiǎng)懲監(jiān)督檢查與獎(jiǎng)懲.37.1預(yù)案執(zhí)行監(jiān)督 .37.2獎(jiǎng)懲與責(zé)任 .38.8. 各種突發(fā)事件應(yīng)急預(yù)案各種突發(fā)事件應(yīng)急預(yù)案.38.18.1

3、 通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案.38.1.18.1.1 通信網(wǎng)絡(luò)日常管理通信網(wǎng)絡(luò)日常管理.38.1.28.1.2 通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案清單通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案清單 .38.28.2 業(yè)務(wù)數(shù)據(jù)故障應(yīng)急預(yù)案業(yè)務(wù)數(shù)據(jù)故障應(yīng)急預(yù)案.38.2.18.2.1 業(yè)務(wù)數(shù)據(jù)日常管理業(yè)務(wù)數(shù)據(jù)日常管理.38.2.28.2.2 業(yè)務(wù)數(shù)據(jù)故障預(yù)案清單業(yè)務(wù)數(shù)據(jù)故障預(yù)案清單.38.38.3 服務(wù)器軟件故障預(yù)案服務(wù)器軟件故障預(yù)案.38.48.4 服務(wù)器硬件故障應(yīng)急預(yù)案服務(wù)器硬件故障應(yīng)急預(yù)案.38.4.18.4.1 服務(wù)器硬件日常管理服務(wù)器硬件日常管理.38.4.2 服務(wù)器硬件故障預(yù)案清單.38.58.5 網(wǎng)絡(luò)攻擊

4、事件預(yù)案網(wǎng)絡(luò)攻擊事件預(yù)案.38.68.6 病毒爆發(fā)應(yīng)急預(yù)案病毒爆發(fā)應(yīng)急預(yù)案.38.6.18.6.1 病毒防護(hù)日常管理病毒防護(hù)日常管理.38.6.2 病毒爆發(fā)應(yīng)急預(yù)案清單病毒爆發(fā)應(yīng)急預(yù)案清單.38.78.7 業(yè)務(wù)軟件故障應(yīng)急預(yù)案業(yè)務(wù)軟件故障應(yīng)急預(yù)案.38.7.18.7.1 業(yè)務(wù)軟件日常管理業(yè)務(wù)軟件日常管理.38.7.28.7.2 業(yè)務(wù)軟件故障預(yù)案清單業(yè)務(wù)軟件故障預(yù)案清單.38.88.8 應(yīng)急演練應(yīng)急演練 .38.98.9 通用表格通用表格 .38.9.18.9.1 信息信息安全事安全事件件報(bào)告表報(bào)告表.38.9.28.9.2 信息安全事件應(yīng)急處理結(jié)果報(bào)告表信息安全事件應(yīng)急處理結(jié)果報(bào)告表 .38.

5、108.10 深圳市深圳市 XXXXXX 信息突發(fā)事件處理組織機(jī)構(gòu)信息突發(fā)事件處理組織機(jī)構(gòu).3第 1 頁(yè)深圳市深圳市 XXXXXX 信息系統(tǒng)突發(fā)事件應(yīng)急預(yù)案信息系統(tǒng)突發(fā)事件應(yīng)急預(yù)案本預(yù)案內(nèi)容包括總則、組織指揮體系及職責(zé)、預(yù)警和預(yù)防機(jī)制、應(yīng)急處理程序、保障措施、各種突發(fā)事件應(yīng)急預(yù)案等。明確規(guī)定了深圳市 XXX 在發(fā)生網(wǎng)絡(luò)與信息安全重大突發(fā)事件情況下各部門的相關(guān)職能和工作方法，具有一定的宏觀指導(dǎo)性和可操作性，對(duì)減少網(wǎng)絡(luò)與信息安全突發(fā)事件，保障業(yè)務(wù)系統(tǒng)正常開展起著重要作用。1.1. 總則1.11.1 目的目的為科學(xué)應(yīng)對(duì)網(wǎng)絡(luò)與信息安全(以下簡(jiǎn)稱“信息安全”)突發(fā)事件建立健全信息安全應(yīng)急響應(yīng)機(jī)制，有效預(yù)

6、防、及時(shí)控制和最大限度地消除信息安全各類突發(fā)事件的危害和影響。1.21.2 現(xiàn)狀及其成因現(xiàn)狀及其成因近年來，深圳市 XXX 信息安全工作得到加強(qiáng)。但信息安全保障基礎(chǔ)工作和技術(shù)保障措施比較薄弱，與信息化快速發(fā)展的要求和日趨嚴(yán)峻的信息安全形勢(shì)不協(xié)調(diào)。信息安全突發(fā)事件成因可分為兩個(gè)方面：一是網(wǎng)絡(luò)與信息系統(tǒng)自身的脆弱性，主要表現(xiàn)在：安全漏洞的普遍性，攻擊和惡意代碼的流行性，入侵檢測(cè)能力的局限性，網(wǎng)絡(luò)第 2 頁(yè)和系統(tǒng)管理的復(fù)雜性。二是網(wǎng)絡(luò)與信息系統(tǒng)外部體制性的不安全性，主要表現(xiàn)在：信息安全法制不健全，全社會(huì)的信息安全意識(shí)淡薄，深圳市 XXX 信息安全自主可控能力不強(qiáng)，技術(shù)防御整體水平不高，信息安全專業(yè)人

7、才缺乏，專業(yè)隊(duì)伍建設(shè)嚴(yán)重滯后。2.2. 組織機(jī)構(gòu)及職責(zé)2.12.1 應(yīng)急指揮機(jī)構(gòu)應(yīng)急指揮機(jī)構(gòu)2.1.12.1.1 深圳市深圳市 XXXXXX 信息系統(tǒng)突發(fā)事件應(yīng)急信息系統(tǒng)突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)小組在深圳市 XXX 黨組的統(tǒng)一領(lǐng)導(dǎo)下，設(shè)立深圳市 XXX 信息系統(tǒng)突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組(以下簡(jiǎn)稱“信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組”)，為深圳市 XXX 處理信息安全突發(fā)事件應(yīng)急工作的綜合性議事、協(xié)調(diào)機(jī)構(gòu)。主要職責(zé)是：按照國(guó)家、廣東省、深圳市政府信息安全應(yīng)急機(jī)構(gòu)的要求開展預(yù)防和處置工作；研究決定深圳市XXX 信息安全應(yīng)急工作的有關(guān)重大問題；決定 III 級(jí)和 IV級(jí)信息安全突發(fā)事件應(yīng)急預(yù)案的啟動(dòng)，組織力量對(duì)

8、III 級(jí)和 IV 級(jí)突發(fā)事件進(jìn)行處置；接受深圳市政府信息安全應(yīng)急機(jī)構(gòu)的統(tǒng)一領(lǐng)導(dǎo)，組織指揮 II 級(jí)和 I 級(jí)突發(fā)事件的應(yīng)急處置工作；指導(dǎo)監(jiān)督信息安全應(yīng)急小組的工作；法律、法規(guī)、規(guī)章規(guī)定的其他職責(zé)。第 3 頁(yè)信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組，由（最高領(lǐng)導(dǎo)人）作為主任，（分管信息化工作的領(lǐng)導(dǎo)）作為副主任，成員由深圳市 XXX 各部門部長(zhǎng)組成。信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組下設(shè)應(yīng)急小組，由信息部部長(zhǎng)任組長(zhǎng)，信息部副部長(zhǎng)任副組長(zhǎng)，信息部其它成員任組員。承擔(dān)深圳市 XXX 信息安全專項(xiàng)應(yīng)急領(lǐng)導(dǎo)小組的日常工作，負(fù)責(zé)深圳市 XXX 信息安全突發(fā)事件日常監(jiān)測(cè)與預(yù)警，其主要職責(zé)是：督促落實(shí)上級(jí)部門和深圳市 XXX 信息突發(fā)

9、事件應(yīng)急領(lǐng)導(dǎo)小組做出的決定和措施；擬訂或者組織擬訂深圳市 XXX 信息部應(yīng)對(duì)信息安全突發(fā)事件的工作規(guī)劃和應(yīng)急預(yù)案，報(bào)深圳市 XXX 領(lǐng)導(dǎo)小組批準(zhǔn)后組織實(shí)施；督促檢查信息安全專項(xiàng)應(yīng)急預(yù)案的制訂、修訂和執(zhí)行情況；匯總有關(guān)信息安全突發(fā)事件的各種重要信息，進(jìn)行綜合分析，并提出建議；監(jiān)督檢查、協(xié)調(diào)信息安全突發(fā)事件預(yù)防、應(yīng)急準(zhǔn)備、應(yīng)急處置和事后恢復(fù)與重建工作；組織制訂信息安全常識(shí)、應(yīng)急知識(shí)的宣傳培訓(xùn)計(jì)劃和應(yīng)急救援隊(duì)伍的業(yè)務(wù)培訓(xùn)、演練計(jì)劃，報(bào)信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組批準(zhǔn)后督促落實(shí)；第 4 頁(yè)組織專家組判定突發(fā)事件級(jí)別，根據(jù)情況提出加強(qiáng)或撤銷控制措施的建議和意見；組織召開部門協(xié)調(diào)會(huì)議，協(xié)調(diào)各部門共同做好突發(fā)事

10、件處置工作；檢查督導(dǎo)突發(fā)事件應(yīng)急措施的落實(shí)情況；及時(shí)收集、上報(bào)和通報(bào)突發(fā)事件有關(guān)情況，負(fù)責(zé)向信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組報(bào)告有關(guān)工作情況；2.1.2 信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組各成員部門的職責(zé)信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組各成員部門的職責(zé)信息部：統(tǒng)籌規(guī)劃建設(shè)應(yīng)急處理技術(shù)平臺(tái)，會(huì)同其他有關(guān)部門組織制定單位突發(fā)事件應(yīng)急處理政策文件及技術(shù)方案，負(fù)責(zé)安全事件處理的培訓(xùn)，及時(shí)收集、上報(bào)和通報(bào)突發(fā)事件情況，負(fù)責(zé)向信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組或中心領(lǐng)導(dǎo)報(bào)告有關(guān)工作情況。相關(guān)部門：配合信息部組織制定信息系統(tǒng)突發(fā)事件應(yīng)急處理政策文件及技術(shù)方案及其他各項(xiàng)工作。3.3. 預(yù)警和預(yù)防機(jī)制預(yù)警和預(yù)防機(jī)制3.13.1 信息監(jiān)測(cè)及報(bào)告信息

11、監(jiān)測(cè)及報(bào)告信息部應(yīng)加強(qiáng)信息安全監(jiān)測(cè)、分析和預(yù)警工作，進(jìn)一步提高信息安全監(jiān)察能力。建立信息安全事故報(bào)告制度。在突發(fā)事件發(fā)生后，發(fā)現(xiàn)人應(yīng)當(dāng)立即向深圳市 XXX 信息突發(fā)事件應(yīng)急小組報(bào)告。第 5 頁(yè)發(fā)現(xiàn)人應(yīng)當(dāng)立即對(duì)發(fā)現(xiàn)的事件進(jìn)行調(diào)查核實(shí)、保存相關(guān)證據(jù)，并在事件被發(fā)現(xiàn)時(shí)將證據(jù)報(bào)至信息突發(fā)事件應(yīng)急小組。3.23.2 預(yù)警預(yù)警信息突發(fā)事件應(yīng)急小組接到信息安全突發(fā)事件報(bào)告后，應(yīng)當(dāng)經(jīng)初步核實(shí)后，將有關(guān)情況及時(shí)向組長(zhǎng)報(bào)告，進(jìn)一步進(jìn)行情況綜合，研究分析可能造成損害的程度，提出初步行動(dòng)對(duì)策，并及時(shí)報(bào)深圳市 XXX 應(yīng)急領(lǐng)導(dǎo)小組。領(lǐng)導(dǎo)小組主任視情況召集協(xié)調(diào)會(huì)，決策行動(dòng)方案，發(fā)布指示和命令。3.33.3 預(yù)警支持系統(tǒng)預(yù)

12、警支持系統(tǒng)深圳市 XXX 信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組應(yīng)建立和完善信息監(jiān)測(cè)、傳遞網(wǎng)絡(luò)和指揮決策支持系統(tǒng)，要保證資源共享、運(yùn)轉(zhuǎn)正常、指揮有力。3.43.4 預(yù)防機(jī)制預(yù)防機(jī)制積極推行信息安全等級(jí)保護(hù)，逐步實(shí)行信息安全風(fēng)險(xiǎn)評(píng)估。各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)建設(shè)要充分考慮抗毀性與災(zāi)難恢復(fù)，制定并不斷完善信息安全應(yīng)急處理預(yù)案。針對(duì)基礎(chǔ)信息網(wǎng)絡(luò)的突發(fā)性、大規(guī)模安全事件，各相關(guān)部門建立制度化、程序化的處理流程。第 6 頁(yè)4.4. 應(yīng)急處理程序應(yīng)急處理程序4.14.1 級(jí)別的確定級(jí)別的確定信息安全事件分級(jí)的參考要素包括信息密級(jí)、公眾影響、業(yè)務(wù)影響和資產(chǎn)損失等四項(xiàng)。各參考要素分別說明如下：(1)信息密級(jí)是衡量因信息

13、失竊或泄密所造成的信息安全事件中所涉及信息的重要程度的要素；(2)公眾影響是衡量信息安全事件所造成的負(fù)面影響范圍和程度的要素；(3)業(yè)務(wù)影響是衡量信息安全事件對(duì)事發(fā)單位正常業(yè)務(wù)開展所造成的負(fù)面影響程度的要素；(4)資產(chǎn)損失是衡量恢復(fù)系統(tǒng)正常運(yùn)行和消除信息安全事件負(fù)面影響所需付出資金代價(jià)的要素。信息安全突發(fā)事件級(jí)別分為四級(jí)：一般(IV 級(jí))、較大(III 級(jí))、重大(II 級(jí))和特別重大(I 級(jí))，對(duì)應(yīng)顏色依次為藍(lán)色、黃色、橙色和紅色。一般-IV 級(jí)：深圳市 XXX 較小范圍出現(xiàn)并可能造成較大損害的信息安全事件。較大-級(jí)：深圳市 XXX 部分網(wǎng)絡(luò)與信息系統(tǒng)、網(wǎng)站受到大面積、嚴(yán)重沖擊。第 7 頁(yè)重

14、大-II 級(jí)：深圳市 XXX 大部分網(wǎng)絡(luò)、信息系統(tǒng)、網(wǎng)站基本癱瘓，導(dǎo)致業(yè)務(wù)中斷，但縱向或橫向延伸可能造成嚴(yán)重社會(huì)影響或較大經(jīng)濟(jì)損失。特別重大-I 級(jí)：深圳市 XXX 所有基礎(chǔ)網(wǎng)絡(luò)（包括縱向或橫向延伸）、信息系統(tǒng)、網(wǎng)站嚴(yán)重癱瘓，導(dǎo)致業(yè)務(wù)中斷，造成或可能造成嚴(yán)重法律糾紛或?qū)φ卮笮蜗蠊こ淘斐删薮筘?fù)面影響的信息安全事件。4.24.2 預(yù)案啟動(dòng)預(yù)案啟動(dòng)4.2.1 啟動(dòng)預(yù)案的權(quán)限。發(fā)生 IV 級(jí)網(wǎng)絡(luò)信息安全事件后，信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組負(fù)責(zé)啟動(dòng)相應(yīng)預(yù)案，信息突發(fā)事件應(yīng)急小組負(fù)責(zé)應(yīng)急處理工作；發(fā)生 III 級(jí)網(wǎng)絡(luò)信息安全事件后，信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組負(fù)責(zé)啟動(dòng)相應(yīng)預(yù)案，并負(fù)責(zé)應(yīng)急處理工作；發(fā)生 I、I

15、I 級(jí)的信息安全突發(fā)事件后，上報(bào)市人民政府及上級(jí)主管部門啟動(dòng)相應(yīng)預(yù)案，并由市信息安全應(yīng)急指揮部負(fù)責(zé)應(yīng)急處理工作。4.2.2 啟動(dòng)預(yù)案的流程。深圳市 XXX 信息安全應(yīng)急小組接到報(bào)告后，應(yīng)當(dāng)立即上報(bào)深圳市 XXX 信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組有關(guān)負(fù)責(zé)人，并會(huì)同相關(guān)成員盡快組織專家組對(duì)突發(fā)事件性質(zhì)、級(jí)別及啟動(dòng)預(yù)案的時(shí)機(jī)進(jìn)行評(píng)估，向信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組提出啟動(dòng)預(yù)案的建議，報(bào)信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組批準(zhǔn)。第 8 頁(yè)4.2.3 啟動(dòng)預(yù)案后的應(yīng)急處理。在信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組作出啟動(dòng)預(yù)案決定后，信息突發(fā)事件應(yīng)急小組立即啟動(dòng)應(yīng)急處理工作。4.34.3 現(xiàn)場(chǎng)應(yīng)急處理現(xiàn)場(chǎng)應(yīng)急處理現(xiàn)場(chǎng)應(yīng)急處理工作組應(yīng)盡最大可能

16、收集事件相關(guān)信息，明確事件類別，確定事件來源，保護(hù)證據(jù)，以便縮短應(yīng)急響應(yīng)時(shí)間。檢查威脅造成的結(jié)果，評(píng)估事件帶來的影響和損害：如檢查系統(tǒng)、服務(wù)、數(shù)據(jù)的完整性、保密性或可用性，檢查攻擊者是否侵入了系統(tǒng)，以后是否能再次隨意進(jìn)入，損失的程度，確定暴露出的主要危險(xiǎn)等。抑制事件的影響進(jìn)一步擴(kuò)大，限制潛在的損失與破壞。根除惡意代碼造成的不良影響。在事件被抑制之后，通過對(duì)有關(guān)惡意代碼或行為的分析結(jié)果，找出事件根源，明確相應(yīng)的補(bǔ)救措施并徹底清除。與此同時(shí)，執(zhí)法部門和其他相關(guān)機(jī)構(gòu)將對(duì)攻擊源進(jìn)行定位并采取合適的措施將其中斷。清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)。把所有被攻破的系統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底還原到它們正常的任務(wù)狀態(tài)?；?/p>

17、復(fù)工作應(yīng)該十分小心，避免出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)的丟失。另外，第 9 頁(yè)恢復(fù)工作中如果涉及到機(jī)密數(shù)據(jù)，需要額外遵照機(jī)密系統(tǒng)的恢復(fù)要求。4.44.4 報(bào)告和總結(jié)報(bào)告和總結(jié)回顧并整理發(fā)生事件的各種相關(guān)信息，盡可能地把所有情況記錄到文檔中。發(fā)生重大信息安全事件的單位應(yīng)當(dāng)在事件處理完畢后 5 個(gè)工作日內(nèi)將處理結(jié)果報(bào)市經(jīng)貿(mào)信委備案。4.54.5 應(yīng)急行動(dòng)結(jié)束應(yīng)急行動(dòng)結(jié)束根據(jù)信息安全事件的處置進(jìn)展情況和現(xiàn)場(chǎng)應(yīng)急處理工作組意見，信息突發(fā)事件應(yīng)急小組應(yīng)組織相關(guān)部門及專家組對(duì)信息安全事件的處置情況進(jìn)行綜合評(píng)估，并向信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組提出應(yīng)急行動(dòng)結(jié)束建議，并報(bào)信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組批準(zhǔn)。應(yīng)急行動(dòng)是否結(jié)束，由組織

18、決定。5.5. 保障措施保障措施5.15.1 技術(shù)支撐保障技術(shù)支撐保障信息突發(fā)事件應(yīng)急小組應(yīng)建立預(yù)警與應(yīng)急處理的技術(shù)平臺(tái)，進(jìn)一步提高安全事件的發(fā)現(xiàn)和分析能力：從技術(shù)上逐步實(shí)現(xiàn)發(fā)現(xiàn)、預(yù)警、處置、通報(bào)等多個(gè)環(huán)節(jié)和不同的網(wǎng)絡(luò)、系統(tǒng)之間應(yīng)急處理的聯(lián)動(dòng)機(jī)制。第 10 頁(yè)5.25.2 應(yīng)急隊(duì)伍保障應(yīng)急隊(duì)伍保障加強(qiáng)信息安全人才培養(yǎng)，建設(shè)一支高素質(zhì)、高技術(shù)的信息安全核心人才和管理隊(duì)伍，提高單位信息安全防御意識(shí)。5.35.3 物質(zhì)條件保障物質(zhì)條件保障在深圳市 XXX 信息化專項(xiàng)資金中安排一定的資金用于預(yù)防或應(yīng)對(duì)信息安全突發(fā)事件，提供必要的交通運(yùn)輸保障，提前采購(gòu)信息安全應(yīng)急處理工作需要的檢測(cè)、維修工具和設(shè)備配件。

19、5.45.4 技術(shù)儲(chǔ)備保障技術(shù)儲(chǔ)備保障深圳市 XXX 信息突發(fā)事件應(yīng)急小組組織有關(guān)專家和科研力量，開展應(yīng)急運(yùn)作機(jī)制、應(yīng)急處理技術(shù)、預(yù)警和控制等研究，推廣和普及新的應(yīng)急技術(shù)。6.6. 培訓(xùn)和演習(xí)培訓(xùn)和演習(xí)6.16.1 人員培訓(xùn)人員培訓(xùn)為確保信息安全應(yīng)急預(yù)案有效運(yùn)行，信息突發(fā)事件應(yīng)急小組應(yīng)定期或不定期地舉辦不同層次、不同類型的培訓(xùn)班或研討會(huì)，應(yīng)利用已有的資源，采用案例教學(xué)、情景模擬、交流研討、案例分析、應(yīng)急演練、對(duì)策研究等方式，第 11 頁(yè)開展形式多樣的培訓(xùn)工作，以便不同崗位的應(yīng)急人員都能全面熟悉并掌握信息安全應(yīng)急處理的知識(shí)和技能。6.26.2 應(yīng)急演習(xí)應(yīng)急演習(xí)為提高信息安全突發(fā)事件應(yīng)急響應(yīng)水平，

20、信息突發(fā)事件應(yīng)急小組應(yīng)定期或不定期組織預(yù)案演練；檢驗(yàn)應(yīng)急預(yù)案各環(huán)節(jié)之間的通信、協(xié)調(diào)、指揮等是否符合快速、高效的要求。通過演習(xí)，進(jìn)一步明確應(yīng)急響應(yīng)各崗位責(zé)任，對(duì)預(yù)案中存在的問題和不足及時(shí)補(bǔ)充、完善。7.7. 監(jiān)督檢查與獎(jiǎng)懲監(jiān)督檢查與獎(jiǎng)懲7 7. .1 1預(yù)預(yù)案案執(zhí)執(zhí)行行監(jiān)監(jiān)督督信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組負(fù)責(zé)對(duì)預(yù)案實(shí)施的全過程進(jìn)行監(jiān)督檢查，督促成員部門按本預(yù)案指定的職責(zé)采取應(yīng)急措施，確保及時(shí)、到位。發(fā)生重大信息安全事件的單位應(yīng)當(dāng)按照規(guī)定及時(shí)如實(shí)地報(bào)告事件的有關(guān)信息，不得瞞報(bào)、緩報(bào)或者授意他人瞞報(bào)、緩報(bào)。任何單位或個(gè)人發(fā)現(xiàn)有瞞報(bào)、緩報(bào)、謊報(bào)重大信息安全事件情況時(shí)，有權(quán)直接向信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組舉報(bào)

21、。應(yīng)急行動(dòng)結(jié)束后，信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組對(duì)相關(guān)成員單位采取的應(yīng)急行動(dòng)的及時(shí)性、有效性進(jìn)行評(píng)估。第 12 頁(yè)7 7. .2 2獎(jiǎng)獎(jiǎng)懲懲與與責(zé)責(zé)任任對(duì)下列情況可以經(jīng)信息突發(fā)事件應(yīng)急小組評(píng)估審核，報(bào)信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組批準(zhǔn)后予以獎(jiǎng)勵(lì)：在應(yīng)急行動(dòng)中做出特殊貢獻(xiàn)的先進(jìn)單位和集體；在應(yīng)急行動(dòng)中提出重要建議方案，節(jié)約大量應(yīng)急資源或避免重大損失的人員；在應(yīng)急行動(dòng)第一線做出重大成績(jī)的現(xiàn)場(chǎng)作業(yè)人員；在發(fā)生重大信息安全事件后，有關(guān)責(zé)任單位、責(zé)任人有瞞報(bào)、緩報(bào)、漏報(bào)和其它失職、瀆職行為的，信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組將予以通報(bào)批評(píng)；對(duì)造成嚴(yán)重不良后果的，將視情節(jié)由有關(guān)主管部門追究責(zé)任領(lǐng)導(dǎo)和責(zé)任人的行政責(zé)任；構(gòu)成犯罪

22、的，由有關(guān)部門依法追究其法律責(zé)任。對(duì)未及時(shí)落實(shí)市信息安全專項(xiàng)應(yīng)急領(lǐng)導(dǎo)小組指令，影響應(yīng)急行動(dòng)的效果的，按國(guó)務(wù)院關(guān)于特大安全事故行政責(zé)任追究的規(guī)定、廣東省重大事故責(zé)任追究制度追究相關(guān)人員的責(zé)任。8.8. 各種突發(fā)事件應(yīng)急預(yù)案各種突發(fā)事件應(yīng)急預(yù)案本預(yù)案所稱突發(fā)性事件，是指自然因素或者人為活動(dòng)引發(fā)的危害機(jī)房或人身安全等有關(guān)的事件。主要有以下幾個(gè)類型：第 13 頁(yè)1、地震、火災(zāi)、雷電、水災(zāi)等自然災(zāi)害造成的破壞性突發(fā)事件；2、信息處理設(shè)備被盜、機(jī)房存在重大安全隱患而造成的損失等嚴(yán)重突發(fā)事件；3、信息系統(tǒng)存在嚴(yán)重 BUG 造成業(yè)務(wù)操作失誤，數(shù)據(jù)錯(cuò)誤；4、網(wǎng)絡(luò)中斷或網(wǎng)絡(luò)大規(guī)模癱瘓；5、病毒和黑客入侵或其他原因

23、造成數(shù)據(jù)丟失、刪改；6、服務(wù)器、網(wǎng)絡(luò)設(shè)備嚴(yán)重故障；7、因大面積停電、外部網(wǎng)絡(luò)中斷等因素導(dǎo)致無法使用等突發(fā)事件。本預(yù)案通過演習(xí)、實(shí)踐檢驗(yàn)，以及根據(jù)應(yīng)急力量變更、新技術(shù)、新資源的應(yīng)用和應(yīng)急事件發(fā)展趨勢(shì)，及時(shí)進(jìn)行修訂和完善；本預(yù)案所附的成員、通信地址等發(fā)生變化時(shí)也應(yīng)隨時(shí)修訂；本預(yù)案由深圳市 XXX 信息部負(fù)責(zé)修訂，報(bào)深圳市 XXX領(lǐng)導(dǎo)批準(zhǔn)后實(shí)施，授權(quán)深圳市 XXX 信息突發(fā)事件應(yīng)急小組負(fù)責(zé)對(duì)本預(yù)案附件及附錄的修改、審批和實(shí)施。本預(yù)案修訂采取改版或換頁(yè)的方式進(jìn)行。本預(yù)案由深圳市 XXX 信息部制定，由信息突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組負(fù)責(zé)解釋。第 14 頁(yè)本預(yù)案日常工作由深圳市 XXX 信息部負(fù)責(zé)。聯(lián)系電話：（

24、83948121）。聯(lián)系部門：深圳市 XXX 信息部。聯(lián)系人清單：聯(lián)絡(luò)信息角色姓名職責(zé)工作電話手機(jī)應(yīng)急小組組長(zhǎng)應(yīng)急小組副組長(zhǎng)協(xié)調(diào)人局域網(wǎng)組機(jī)房維護(hù)組機(jī)房維護(hù)組第 15 頁(yè)機(jī)房維護(hù)組本預(yù)案自發(fā)布之日起實(shí)施。深圳市 XXX二XX 年 月 日第 16 頁(yè) 8.18.1 通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案8.1.18.1.1 通信網(wǎng)絡(luò)日常管理通信網(wǎng)絡(luò)日常管理為了保證深圳市 XXX 通信網(wǎng)絡(luò)的正常工作，信息部工作人員必須做好機(jī)房網(wǎng)絡(luò)設(shè)施的日常維護(hù)。8.1.28.1.2 通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案清單通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案清單預(yù)案名稱預(yù)案名稱網(wǎng)絡(luò)通信系統(tǒng)故障預(yù)案預(yù)案編號(hào)預(yù)案編號(hào)預(yù)案目的預(yù)案目的網(wǎng)絡(luò)通信系統(tǒng)發(fā)

25、生故障后，應(yīng)用本預(yù)案處理故障預(yù)案啟動(dòng)條件預(yù)案啟動(dòng)條件網(wǎng)絡(luò)通信系統(tǒng)發(fā)生故障預(yù)案執(zhí)行實(shí)施預(yù)案執(zhí)行實(shí)施日期日期組織機(jī)構(gòu)及職責(zé)組織機(jī)構(gòu)及職責(zé)組成姓名聯(lián)系方式職責(zé)負(fù)責(zé)人安全主管現(xiàn)場(chǎng)指揮安全主管網(wǎng)絡(luò)管理員機(jī)房管理員成員機(jī)房管理員第 17 頁(yè)廠家聯(lián)絡(luò)方式廠家聯(lián)絡(luò)方式廠家名稱姓名聯(lián)系方式軟件介質(zhì)名稱介質(zhì)編號(hào)存放地點(diǎn)備注備品備件名稱設(shè)備編號(hào)存放地點(diǎn)備注交換機(jī)和路由器供應(yīng)商倉(cāng)庫(kù)圖紙名稱圖紙編號(hào)存放地點(diǎn)備注網(wǎng)絡(luò)拓?fù)鋱D信息部預(yù)案執(zhí)行步驟及通告預(yù)案執(zhí)行步驟及通告一、故障通告一、故障通告1. 將故障情況向信息部部長(zhǎng)匯報(bào)。信息部通知受影響的用戶，并視情況的嚴(yán)重程度通知應(yīng)急領(lǐng)導(dǎo)小組。二、預(yù)案執(zhí)行步驟二、預(yù)案執(zhí)行步驟1、信息部

26、接到報(bào)障后，應(yīng)立即安排維護(hù)工程師到現(xiàn)場(chǎng)查看；PING 各關(guān)鍵設(shè)備的 IP 地址，來初步定位故障點(diǎn)（某設(shè)備，某端口）。通過鏈路檢查命令確定是網(wǎng)絡(luò)通信故障，則啟用一下預(yù)案。如是服務(wù)器或其他設(shè)備，則啟用相關(guān)預(yù)案。確定故障類型及影響范圍：確定故障類型及影響范圍：（1）鏈路故障第 18 頁(yè)（2）核心、匯聚層設(shè)備硬件故障（3）接入層設(shè)備硬件故障（4）出口區(qū)域設(shè)備硬件故障（5）非硬件故障故障處理流程：故障處理流程：（1）鏈路故障處理流程：先將故障匯報(bào)至信息部，通報(bào)給受影響的用戶檢查線路及鏈路轉(zhuǎn)換設(shè)備是否工作正常（如：光電轉(zhuǎn)換器），物理鏈路包括雙絞線、以太網(wǎng)光纖、廣域網(wǎng)線路。A雙絞線故障可以采用替換的方式解決

27、；B.以太網(wǎng)光纖故障，則聯(lián)系局域網(wǎng)線路維護(hù)方進(jìn)行重新熔接；C.廣域網(wǎng)線路故障，則聯(lián)系運(yùn)營(yíng)商進(jìn)行處理。轉(zhuǎn)換設(shè)備故障：光電轉(zhuǎn)換器、協(xié)議轉(zhuǎn)換器、光纖模塊等，根據(jù)設(shè)備的運(yùn)維方分別聯(lián)系對(duì)應(yīng)的運(yùn)維方進(jìn)行處理。所有鏈路故障能夠臨時(shí)替換解決的，先臨時(shí)替換規(guī)避故障使網(wǎng)絡(luò)恢復(fù)正常不能替換的匯報(bào)信息部，協(xié)商解決方案(2)核心、匯聚層設(shè)備硬件故障： 核心、匯聚層設(shè)備相對(duì)比較高端，故障涉及引擎、業(yè)務(wù)板卡、電源模塊等引擎故障： A. 針對(duì)外網(wǎng)核心為雙引擎配置，單個(gè)引擎損壞不影響設(shè)備正常工作。向信息部匯報(bào)故障同時(shí)通知設(shè)備維護(hù)商上門檢修； 第 19 頁(yè) B. 針對(duì)內(nèi)網(wǎng)核心，無引擎冗余設(shè)置，但有設(shè)備冗余，單個(gè)故障不會(huì)影響接入層

28、的通迅，首先將故障機(jī)上的服務(wù)器、鏈路切換到另一臺(tái)核心交換機(jī)上，調(diào)整相應(yīng)的配置。然后上報(bào)信息部并通知設(shè)備維護(hù)商上門檢修； C. 匯聚層設(shè)備引擎損壞對(duì)網(wǎng)絡(luò)不會(huì)造成網(wǎng)絡(luò)中斷，上報(bào)信息部，并通知設(shè)備維護(hù)商上門檢修。(3)業(yè)務(wù)板卡故障A. 如果設(shè)備其它業(yè)務(wù)板上未使用端口較多，則將故障板卡上的線路切到其它板卡未使用的端口，并將做好相關(guān)配置B. 如果設(shè)備其它板卡上未使用端口較少，則可以采取非故障業(yè)務(wù)板下掛交換機(jī)的方法來增加端口數(shù)量，將故障板卡上的線路切到新增交換機(jī)上。臨時(shí)規(guī)避處理后，然后上報(bào)信息部并通知設(shè)備維護(hù)商上門檢修；(4)電源模塊、機(jī)箱、風(fēng)扇等基礎(chǔ)硬件故障。A. 雙電源設(shè)計(jì)設(shè)備，單個(gè)電源損壞不會(huì)對(duì)設(shè)備

29、造成影響，向信息部匯報(bào)并通知設(shè)備維護(hù)商上門檢修；B. 單電源、機(jī)箱、風(fēng)扇等故障，臨時(shí)規(guī)避措施與內(nèi)網(wǎng)核心引擎故障處理方法一致。(5)接入層設(shè)備硬件故障：A. 接入層設(shè)備故障影響一般為單個(gè)樓層，如有備件，則現(xiàn)場(chǎng)更換備件，做好相關(guān)配置，并匯報(bào)信息部及通知設(shè)備維護(hù)商上門檢修；第 20 頁(yè)B. 如果沒有備件且下接為同一網(wǎng)段用戶時(shí)，可臨時(shí)采用傻瓜交換機(jī)對(duì)故障設(shè)備進(jìn)行替換，并調(diào)整相應(yīng)的匯聚交換機(jī)配置。匯報(bào)信息部同時(shí)通知設(shè)備維護(hù)商上門檢修；C. 如果沒有備件且下接為不同網(wǎng)段用戶時(shí)，只能保證關(guān)鍵網(wǎng)段的通迅，或者調(diào)整用戶 IP 地址。規(guī)避方法與同一網(wǎng)段用戶相同。D. 如果備件或傻瓜交換機(jī)無光纖端口，則可采用增加光

30、電轉(zhuǎn)換器的方法，替換光纖模塊，用雙絞線接入交換機(jī)。(6) 出口區(qū)域故障：出口區(qū)域包括防火墻、路由器、安全網(wǎng)關(guān)、網(wǎng)閘等,針對(duì)工作為透明模式的設(shè)備，直接將設(shè)備撤下，匯報(bào)信息部同時(shí)通知設(shè)備維護(hù)商上門檢修；A. 非透明模式工作的設(shè)備，如有備件則調(diào)試好備件，將故障設(shè)備替換，并匯報(bào)信息部同時(shí)通知設(shè)備維護(hù)商上門檢修；無備件的情況則上報(bào)信息部同時(shí)通知設(shè)備維護(hù)商上門檢修；所有故障設(shè)備返修完畢后，正式上線前，需匯報(bào)信息部，確定上線時(shí)間，才能停機(jī)安裝調(diào)試。非硬件故障非硬件故障進(jìn)行設(shè)備各項(xiàng)信息收集:接入 CONSOLE 線，能否進(jìn)行設(shè)備操作界面：(1)如能進(jìn)行操作界面，則收集設(shè)備信息；(2)如不能進(jìn)入操作界面則判斷為

31、設(shè)備本身故障，升級(jí)設(shè)備軟件第 21 頁(yè)看能否解決，如不能則為設(shè)備硬件故障，如有備件，則替換上備件，如無備件，向信息部負(fù)責(zé)人匯報(bào)故障處理情況，同時(shí)通知設(shè)備維護(hù)商上門檢修； 查看 CPU 信息：show cpu結(jié)合以往經(jīng)驗(yàn)，判斷該設(shè)備 CPU 利用率是否在正常范圍內(nèi)(3)如果 CPU 利用率比正常情況下高很多，則可能是攻擊，如大量的主機(jī)掃描；或環(huán)路導(dǎo)致?？梢酝ㄟ^抓包分析來確定攻擊源或環(huán)路端口。如為攻擊則斷開攻擊源，如為環(huán)路，則解除環(huán)路，并向信息部負(fù)責(zé)人匯報(bào)處理過程。其它廠商設(shè)備，如深信服網(wǎng)關(guān)、天融信防火墻等，通過 WEB 方式可以查看 CPU 利用率查看設(shè)備運(yùn)行信息：show running-co

32、nfig與最近備份配置對(duì)比，看是否存在改動(dòng)，如存在改動(dòng)，則進(jìn)行還原配置操作，是否能解決故障，如能解決，則先還原配置，分析改動(dòng)配置存在的問題。并將處理情況向信息部負(fù)責(zé)人匯報(bào)；如果還原配置后，故障依舊，則進(jìn)行下一步操作。如果配置未進(jìn)行改動(dòng)，則進(jìn)行下一步操作。查看 MAC 地址表：show mac-address-table查看故障設(shè)備是否學(xué)到對(duì)方的 MAC 地址，如沒有學(xué)到或?qū)W到的信息不正確，則檢查鏈路狀態(tài)，或者是否存在 MAC 地址攻擊等。(4)如果 MAC 地址表正常，則進(jìn)行下一步操作第 22 頁(yè)查看 ARP 表：show arp查看故障設(shè)備是否學(xué)習(xí)到對(duì)方 ARP 信息或信息是否正確，如果沒有

33、學(xué)到，則分析是否病毒，如 ARP 病毒，或其它原因?qū)е氯绻軐W(xué)到對(duì)方 ARP 信息，則進(jìn)行下一步操作。查看路由表：show ip router檢查到對(duì)方的路由是否正常，如果路由不正常，則分析路由不正常的原因如果路由表正常，則進(jìn)行下一步操作。查看是否由于安全設(shè)備原因安全設(shè)備是否限制了正常的通迅安全設(shè)備是否將正常報(bào)文誤斷為攻擊8、經(jīng)過以上操作仍無法定位原因解決故障，則聯(lián)系第三方技術(shù)支持9、確定故障原因后：如為病毒導(dǎo)致，則按病毒處理預(yù)案進(jìn)行如為設(shè)備本身故障，則上報(bào)信息部，有備件的話，先用備件替換故障設(shè)備，無備件，則與信息部負(fù)責(zé)人協(xié)商解決方案如果故障是因設(shè)備配置問題導(dǎo)致，則對(duì)原配置備份后，再調(diào)整相應(yīng)的

34、配置10、故障解決后，進(jìn)行經(jīng)驗(yàn)總結(jié)，并提交至信息部負(fù)責(zé)人第 23 頁(yè)預(yù)案流程預(yù)案流程報(bào)告相關(guān)負(fù)責(zé)人（應(yīng)急小組負(fù)責(zé)人）是否為硬件問題采用相關(guān)技術(shù)確定故障類型是否為鏈路問題采用相關(guān)技術(shù)處理鏈路故障編寫事故處理報(bào)告應(yīng)急結(jié)束（應(yīng)急管理部門或市政府應(yīng)急指揮部批準(zhǔn)）聯(lián)系線路提供公司搶修否是是否s第 24 頁(yè)8.28.2 業(yè)務(wù)數(shù)據(jù)故障應(yīng)急預(yù)案業(yè)務(wù)數(shù)據(jù)故障應(yīng)急預(yù)案8.8.2 2.1.1 業(yè)務(wù)數(shù)據(jù)日常管理業(yè)務(wù)數(shù)據(jù)日常管理為了加強(qiáng)深圳市 XXX 業(yè)務(wù)數(shù)據(jù)安全的管理，應(yīng)對(duì)具有高可用性要求的業(yè)務(wù)數(shù)據(jù)進(jìn)行備份，形成業(yè)務(wù)數(shù)據(jù)備份機(jī)制。8.8.2 2.2.2 業(yè)務(wù)數(shù)據(jù)故障預(yù)案業(yè)務(wù)數(shù)據(jù)故障預(yù)案清單清單預(yù)案名稱預(yù)案名稱業(yè)務(wù)數(shù)據(jù)

35、故障預(yù)案預(yù)案編預(yù)案編號(hào)號(hào)預(yù)案目的預(yù)案目的因各類原因?qū)е聵I(yè)務(wù)數(shù)據(jù)丟失的處理方案預(yù)案啟動(dòng)條件預(yù)案啟動(dòng)條件因各類原因，導(dǎo)致業(yè)務(wù)數(shù)據(jù)丟失預(yù)案執(zhí)行實(shí)施日期預(yù)案執(zhí)行實(shí)施日期年 月 日組織機(jī)構(gòu)及職責(zé)組織機(jī)構(gòu)及職責(zé)組成姓名聯(lián)系方式職責(zé)負(fù)責(zé)人安全主管現(xiàn)場(chǎng)指揮安全主管網(wǎng)絡(luò)管理員機(jī)房管理員成員需通知的其他部門需通知的其他部門第 25 頁(yè)部門名稱聯(lián)系人電話注意事項(xiàng)廠家聯(lián)絡(luò)方式廠家聯(lián)絡(luò)方式廠家名稱姓名聯(lián)系方式軟件介質(zhì)名稱介質(zhì)編號(hào)存放地點(diǎn)備注第 26 頁(yè)預(yù)案執(zhí)行步驟及通告預(yù)案執(zhí)行步驟及通告一、故障通告一、故障通告1. 將故障情況向信息部部長(zhǎng)匯報(bào)。信息部通知受影響的用戶，并視情況的嚴(yán)重程度通知應(yīng)急領(lǐng)導(dǎo)小組。二、預(yù)案執(zhí)行步驟

36、二、預(yù)案執(zhí)行步驟發(fā)生業(yè)務(wù)數(shù)據(jù)故障（因硬件/軟件故障或誤操作導(dǎo)致）后，現(xiàn)場(chǎng)值班人員應(yīng)及時(shí)聯(lián)系數(shù)據(jù)庫(kù)管理員，檢查和備份業(yè)務(wù)系統(tǒng)當(dāng)前數(shù)據(jù)；由數(shù)據(jù)庫(kù)管理員確定能用于恢復(fù)的數(shù)據(jù)備份及其介質(zhì)（磁盤/磁帶，本地/異地） ；如果數(shù)據(jù)庫(kù)管理員不能在短時(shí)間內(nèi)修復(fù)數(shù)據(jù)，則需及時(shí)上報(bào)應(yīng)急領(lǐng)導(dǎo)小組，由其通知業(yè)務(wù)部門以手工開展業(yè)務(wù)；利用備份恢復(fù)業(yè)務(wù)數(shù)據(jù)后，需要協(xié)同業(yè)務(wù)部門的人員檢查數(shù)據(jù)的有效性（歷史數(shù)據(jù)和當(dāng)前數(shù)據(jù)的差別） ，并根據(jù)需要，聯(lián)合應(yīng)用系統(tǒng)開發(fā)商，輔助相關(guān)的業(yè)務(wù)人員補(bǔ)錄入數(shù)據(jù)；完成修復(fù)后，立即備份當(dāng)前數(shù)據(jù)；編寫故障分析報(bào)告，向應(yīng)急領(lǐng)導(dǎo)小組匯報(bào)。第 27 頁(yè)預(yù)案處理流程業(yè)務(wù)數(shù)據(jù)損壞應(yīng)急事件領(lǐng)導(dǎo)使用備份數(shù)據(jù)恢復(fù)業(yè)務(wù)系

37、統(tǒng)數(shù)據(jù)檢查業(yè)務(wù)系統(tǒng)當(dāng)前數(shù)據(jù)報(bào)告應(yīng)急小組負(fù)責(zé)人和信息中心領(lǐng)導(dǎo)備份服務(wù)器內(nèi)備份數(shù)據(jù)是否正常？使用歷史備份數(shù)據(jù)恢復(fù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)調(diào)用同城異地備份數(shù)據(jù)檢查歷史數(shù)據(jù)與當(dāng)前 數(shù)據(jù)差別，并補(bǔ)錄數(shù)據(jù)分析故障原因，寫分析報(bào)告磁帶機(jī)內(nèi)歷史備份數(shù)據(jù)是否正常？否是是否第 28 頁(yè)8.38.3 服務(wù)器軟件故障預(yù)案服務(wù)器軟件故障預(yù)案預(yù)案名稱預(yù)案名稱服務(wù)器軟件故障預(yù)案預(yù)案編號(hào)預(yù)案編號(hào)預(yù)案目的預(yù)案目的服務(wù)器發(fā)生軟件故障后，應(yīng)用本預(yù)案處理故障預(yù)案啟動(dòng)條件預(yù)案啟動(dòng)條件服務(wù)器發(fā)生軟件故障（除應(yīng)用軟件系統(tǒng)外）預(yù)案執(zhí)行實(shí)施預(yù)案執(zhí)行實(shí)施日期日期年 月 日組織機(jī)構(gòu)及職責(zé)組織機(jī)構(gòu)及職責(zé)組成姓名聯(lián)系方式職責(zé)負(fù)責(zé)人安全主管現(xiàn)場(chǎng)指揮安全主管網(wǎng)絡(luò)管理

38、員機(jī)房管理員成員廠家聯(lián)絡(luò)方式廠家聯(lián)絡(luò)方式廠家名稱姓名聯(lián)系方式備注軟件介質(zhì)名稱介質(zhì)編號(hào)存放地點(diǎn)備注第 29 頁(yè)備品備件名稱設(shè)備編號(hào)存放地點(diǎn)備注儀器名稱儀器編號(hào)存放地點(diǎn)備注第 30 頁(yè)預(yù)案執(zhí)行步驟及通告預(yù)案執(zhí)行步驟及通告一、故障通告一、故障通告1.將故障情況向信息部部長(zhǎng)匯報(bào)。信息部通知受影響的用戶，并視情況的嚴(yán)重程度通知應(yīng)急領(lǐng)導(dǎo)小組。二、預(yù)案執(zhí)行步驟二、預(yù)案執(zhí)行步驟1.發(fā)生服務(wù)器軟件系統(tǒng)故障后，現(xiàn)場(chǎng)值班人員應(yīng)立即組織查找、確定故障軟件；1） 收集軟件所在服務(wù)器的基本信息，包括設(shè)備型號(hào)、系統(tǒng)平臺(tái)、軟件版本、使用情況等信息；2） 檢查系統(tǒng)中各類日志（系統(tǒng)日志/應(yīng)用程序日志/數(shù)據(jù)庫(kù)日志等），分析故障發(fā)生

39、的位置；2.根據(jù)先期收集的信息、判斷故障事態(tài)的嚴(yán)重程度，及時(shí)報(bào)告應(yīng)急指揮專責(zé)小組，啟動(dòng)后續(xù)處理流程：1） 業(yè)務(wù)軟件故障：聯(lián)系軟件開發(fā)商維護(hù)人員，讓其安排技術(shù)人員在指定時(shí)間段內(nèi)趕到現(xiàn)場(chǎng)，對(duì)業(yè)務(wù)軟件進(jìn)行深入分析，繼而解決故障或重新部署軟件；2） 數(shù)據(jù)庫(kù)軟件和備份軟件：由數(shù)據(jù)庫(kù)管理員確認(rèn)故障原因，繼而修復(fù)數(shù)據(jù)庫(kù)軟件，若軟件不能（及時(shí)）修復(fù)，則在原設(shè)備或調(diào)度的備用設(shè)備上重新部署軟件，并利用已有的備份內(nèi)容，恢復(fù)數(shù)據(jù)；3） 操作系統(tǒng)：由系統(tǒng)管理員確認(rèn)故障原因，繼而修復(fù)操第 31 頁(yè)作系統(tǒng)，若系統(tǒng)不能（及時(shí)）修復(fù)，則重新部署系統(tǒng)和各類業(yè)務(wù)軟件及支持軟件，或啟動(dòng)備份服務(wù)器系統(tǒng)，由備份服務(wù)器接管業(yè)務(wù)應(yīng)用，并及時(shí)

40、報(bào)告軟件維護(hù)人員，安排將故障服務(wù)器脫離網(wǎng)絡(luò)，保存系統(tǒng)狀態(tài)不變，取出系統(tǒng)鏡像備份磁盤，保持原始數(shù)據(jù)；4） 若使用備用系統(tǒng)，則在原服務(wù)器上修復(fù)系統(tǒng)后，需將備用系統(tǒng)中的數(shù)據(jù)遷移回原系統(tǒng)中；5） 如果問題嚴(yán)重，原有技術(shù)人員不能解決，則立即聯(lián)系應(yīng)急指揮專責(zé)小組和維護(hù)廠商，請(qǐng)求技術(shù)支援，做好技術(shù)處理，保證數(shù)據(jù)完整；6） 處置結(jié)束后，將事發(fā)經(jīng)過、處理方法和結(jié)果編寫成報(bào)告，提交給應(yīng)急指揮專責(zé)小組。第 32 頁(yè)預(yù)案流程檢查故障信息故障匯報(bào)撥打廠商支持電話工程師現(xiàn)場(chǎng)處理啟動(dòng)應(yīng)用第 33 頁(yè)8.48.4 服務(wù)器硬件故障應(yīng)急預(yù)案服務(wù)器硬件故障應(yīng)急預(yù)案8.8.4 4.1.1 服務(wù)器服務(wù)器硬件日常管理硬件日常管理為了加強(qiáng)

41、深圳市 XXX 信息部設(shè)備硬件管理，需要管理員定期檢查、整理硬件物理連接線路，定期檢查硬件運(yùn)作狀態(tài)，做好硬件的冗余備份。8.4.28.4.2 服務(wù)器硬件故障預(yù)案服務(wù)器硬件故障預(yù)案清單清單預(yù)案名稱預(yù)案名稱服務(wù)器硬件故障預(yù)案預(yù)案編預(yù)案編號(hào)號(hào)預(yù)案目的預(yù)案目的服務(wù)器發(fā)生硬件故障后，應(yīng)用本預(yù)案處理故障預(yù)案啟動(dòng)條件預(yù)案啟動(dòng)條件服務(wù)器發(fā)生硬件故障（包括服務(wù)器/存儲(chǔ)/存儲(chǔ)網(wǎng)絡(luò)設(shè)備）預(yù)案執(zhí)行實(shí)施預(yù)案執(zhí)行實(shí)施日期日期年 月 日組織機(jī)構(gòu)及職責(zé)組織機(jī)構(gòu)及職責(zé)組成姓名聯(lián)系方式職責(zé)負(fù)責(zé)人安全主管現(xiàn)場(chǎng)指揮安全主管網(wǎng)絡(luò)管理員成員機(jī)房管理員第 34 頁(yè)廠家聯(lián)絡(luò)方式廠家聯(lián)絡(luò)方式廠家名稱姓名聯(lián)系方式軟件介質(zhì)名稱介質(zhì)編號(hào)存放地點(diǎn)備注

42、備品備件名稱設(shè)備編號(hào)存放地點(diǎn)備注儀器名稱儀器編號(hào)存放地點(diǎn)備注第 35 頁(yè)預(yù)案執(zhí)行步驟及通告預(yù)案執(zhí)行步驟及通告一、故障通告一、故障通告1. 將故障情況向信息部部長(zhǎng)匯報(bào)。信息部通知受影響的用戶，并視情況的嚴(yán)重程度通知應(yīng)急領(lǐng)導(dǎo)小組。二、預(yù)案執(zhí)行步驟二、預(yù)案執(zhí)行步驟1.發(fā)生硬件故障后，及時(shí)報(bào)告硬件維護(hù)人員，并組織查找、確定故障設(shè)備及故障原因，進(jìn)行先期處置：1）檢查硬件指示燈號(hào)，分辨出錯(cuò)硬件；2）檢查系統(tǒng)日志，查找和確定故障原因；3）運(yùn)行配套的硬件監(jiān)控和維護(hù)程序，查找和確定故障原因；4）收集設(shè)備的基本信息（硬件設(shè)備型號(hào)、系統(tǒng)平臺(tái)類型和版本、應(yīng)用軟件類型和版本）；5）聯(lián)系硬件維護(hù)人員對(duì)故障設(shè)備進(jìn)行檢修；2

43、.根據(jù)故障事態(tài)的嚴(yán)重程度，及時(shí)報(bào)告應(yīng)急指揮專責(zé)小組，啟動(dòng)以下后續(xù)處理流程：1）如果故障設(shè)備具有容錯(cuò)能力，則由硬件維護(hù)人員聯(lián)系備件庫(kù)管理人員，及時(shí)調(diào)度硬件，在線更換；2）如果故障設(shè)備不具備容錯(cuò)能力，而又無法在短時(shí)間內(nèi)修復(fù)故障設(shè)備，則啟動(dòng)備用設(shè)備，保持系統(tǒng)正常運(yùn)行；第 36 頁(yè)3）如果沒有現(xiàn)成備用設(shè)備，則聯(lián)系備件庫(kù)管理人員，調(diào)度合適的硬件設(shè)備，根據(jù)之前收集的信息，在備用設(shè)備上部署同型號(hào)同版本的操作系統(tǒng)、支持軟件和業(yè)務(wù)軟件，并恢復(fù)數(shù)據(jù)庫(kù)到備用設(shè)備，保證系統(tǒng)正常運(yùn)行；4）原設(shè)備在故障排除后，在網(wǎng)絡(luò)空閑時(shí)期，重新替換備用設(shè)備，把原先存儲(chǔ)與備用設(shè)備的數(shù)據(jù)遷移回原設(shè)備；5）若故障仍然存在，根據(jù)安全守則和實(shí)際

44、需要，立即聯(lián)系相關(guān)廠商，認(rèn)真填寫設(shè)備故障報(bào)告單備查。第 37 頁(yè)預(yù)案流程檢查故障信息故障匯報(bào)撥打廠商支持電話工程師現(xiàn)場(chǎng)處理啟動(dòng)應(yīng)用 第 38 頁(yè)8.58.5 網(wǎng)絡(luò)攻擊事件預(yù)案網(wǎng)絡(luò)攻擊事件預(yù)案預(yù)案名稱預(yù)案名稱網(wǎng)絡(luò)攻擊事件預(yù)案預(yù)案編預(yù)案編號(hào)號(hào)預(yù)案目的預(yù)案目的網(wǎng)絡(luò)攻擊事件發(fā)生后，應(yīng)用本預(yù)案處理故障預(yù)案啟動(dòng)條件預(yù)案啟動(dòng)條件發(fā)生網(wǎng)絡(luò)攻擊事件預(yù)案執(zhí)行實(shí)施預(yù)案執(zhí)行實(shí)施日期日期年 月 日組織機(jī)構(gòu)及職責(zé)組織機(jī)構(gòu)及職責(zé)組成姓名聯(lián)系方式職責(zé)負(fù)責(zé)人安全主管現(xiàn)場(chǎng)指揮安全主管網(wǎng)絡(luò)管理員成員信息安全管理員廠家聯(lián)絡(luò)方式廠家聯(lián)絡(luò)方式廠家名稱姓名聯(lián)系方式軟件介質(zhì)名稱介質(zhì)編號(hào)存放地點(diǎn)備注備品備件名稱設(shè)備編號(hào)存放地點(diǎn)備注第 39 頁(yè)

45、儀器名稱儀器編號(hào)存放地點(diǎn)備注預(yù)案執(zhí)行步驟及通告一、故障通告1. 將故障情況向信息部部長(zhǎng)匯報(bào)，信息部通知受影響的用戶，并視情況的嚴(yán)重程度通知應(yīng)急領(lǐng)導(dǎo)小組。二、 預(yù)案執(zhí)行步驟1.確定源地址：如果服務(wù)器被攻擊，可以通過以下手段來確定攻擊源：在服務(wù)器上運(yùn)行 netstat -an 可以看到大量的連接，找出發(fā)起大量連接的源 IP 地址。也可以在通過捕獲交換機(jī)上連接服務(wù)器的端口的報(bào)文，進(jìn)行分析，找到攻擊源 IP。如果是安全網(wǎng)關(guān)被攻擊，則只能分別在其所有網(wǎng)絡(luò)連接端口來進(jìn)行抓包分析。2.臨時(shí)規(guī)避攻擊：臨時(shí)規(guī)避主要是針對(duì)外網(wǎng)發(fā)起的攻擊，最保險(xiǎn)的方法是采取臨時(shí)斷網(wǎng)措施；如果不能斷網(wǎng)則可以通過以下措施臨時(shí)規(guī)避：如果

46、公網(wǎng)地址足夠，可以通過更改對(duì)外發(fā)布服務(wù)的公網(wǎng)地址（服務(wù)器，同進(jìn)還需更改 DNS 解析）或者更改本身的外網(wǎng)地址(出口網(wǎng)關(guān))。第 40 頁(yè)3.備份被攻擊者數(shù)據(jù)如為網(wǎng)絡(luò)設(shè)備，則備份配置文件，如為服務(wù)器則備份操作系統(tǒng)，有條件的話，建議備份整個(gè)硬盤。4.追蹤攻擊源：內(nèi)網(wǎng)發(fā)起的攻擊：通過找出源 IP，結(jié)合用戶 IP 登記資料，定位到用戶，直接將用戶斷網(wǎng)處理。外網(wǎng)發(fā)起的攻擊：與運(yùn)營(yíng)商聯(lián)系，同時(shí)上報(bào)網(wǎng)監(jiān)部門，根據(jù)對(duì)方要求提供相關(guān)資料，由運(yùn)營(yíng)商和網(wǎng)監(jiān)部門處理。5.調(diào)整安全策略:在定位攻擊源的時(shí)候，同時(shí)對(duì)服務(wù)器或出口網(wǎng)關(guān)進(jìn)行加固，主要方法如下：安全網(wǎng)關(guān)主要是對(duì)其本身的登陸管理進(jìn)行設(shè)置，包括對(duì)其本身 IP 的連接數(shù)

47、，用戶登陸次數(shù)等進(jìn)行限制，備份攻擊發(fā)生時(shí)的設(shè)備配置，以便后期分析。服務(wù)器在攻擊發(fā)生時(shí)第一時(shí)間斷開網(wǎng)絡(luò)，備份操作系統(tǒng)（有條件的話建議備份整個(gè)硬盤） ；分析服務(wù)器在安全方面存在的隱患，更改相關(guān)安全設(shè)置。在安全設(shè)備上，如防火墻,IPS；對(duì)該服務(wù)器與外網(wǎng)地址的連接數(shù)進(jìn)行限制，在同一時(shí)刻只允許一定數(shù)量的地址與服務(wù)器建立連接。6.被攻擊者接入網(wǎng)絡(luò)如果還有攻擊，則需等待運(yùn)營(yíng)商處理完畢后，再接入網(wǎng)絡(luò)。第 41 頁(yè)7.檢查被攻擊設(shè)備的數(shù)據(jù)是否丟失損壞。8.如數(shù)據(jù)有丟失或損壞，則恢復(fù)被攻擊目標(biāo)設(shè)備的數(shù)據(jù)。9.事故處理完后對(duì)此次事故進(jìn)行總結(jié)。預(yù)案流程網(wǎng)絡(luò)入侵突發(fā)事件應(yīng)急處理 （值班人員或中心人員）報(bào)告應(yīng)急小組相關(guān)負(fù)

48、責(zé)人通過監(jiān)控設(shè)備找出入侵服務(wù)，并斷開相關(guān)對(duì)外服務(wù)檢查服務(wù)器等相關(guān)數(shù)據(jù)是否損壞或被盜恢復(fù)受損數(shù)據(jù)，啟動(dòng)反黑客追蹤，加強(qiáng)安全策略寫評(píng)估總結(jié)報(bào)告第 42 頁(yè)8.68.6 病毒爆發(fā)應(yīng)急預(yù)案病毒爆發(fā)應(yīng)急預(yù)案8.8.6 6.1.1 病毒防護(hù)日常管理病毒防護(hù)日常管理為了保證深圳市 XXX 電子政務(wù)內(nèi)網(wǎng)的安全，系統(tǒng)管理員必須安裝殺毒軟件和升級(jí)系統(tǒng)補(bǔ)丁，建立完整的防病毒系統(tǒng)管理及維護(hù)日志。8.6.2 病毒爆發(fā)應(yīng)急預(yù)案清單病毒爆發(fā)應(yīng)急預(yù)案清單預(yù)案名稱預(yù)案名稱病毒爆發(fā)事故預(yù)案預(yù)案編號(hào)預(yù)案編號(hào)預(yù)案目的預(yù)案目的發(fā)生病毒爆發(fā)或感染事故后，應(yīng)用本預(yù)案處理故障預(yù)案啟動(dòng)條件預(yù)案啟動(dòng)條件 發(fā)生病毒爆發(fā)或感染事故預(yù)案執(zhí)行實(shí)施預(yù)案執(zhí)

49、行實(shí)施日期日期年 月 日組織機(jī)構(gòu)及職責(zé)組織機(jī)構(gòu)及職責(zé)組成姓名聯(lián)系方式職責(zé)負(fù)責(zé)人安全主管現(xiàn)場(chǎng)指揮安全主管網(wǎng)絡(luò)管理員成員機(jī)房管理員第 43 頁(yè)廠家聯(lián)絡(luò)方式廠家聯(lián)絡(luò)方式廠家名稱姓名聯(lián)系方式軟件介質(zhì)名稱介質(zhì)編號(hào)存放地點(diǎn)備注備品備件名稱設(shè)備編號(hào)存放地點(diǎn)備注儀器名稱儀器編號(hào)存放地點(diǎn)備注第 44 頁(yè)預(yù)案執(zhí)行步驟及通告一、故障通告1.將故障情況向信息部部長(zhǎng)匯報(bào)，信息部通知受影響的用戶，并視情況的嚴(yán)重程度通知應(yīng)急領(lǐng)導(dǎo)小組。2、對(duì)用戶的病毒通知，采用發(fā)文或短信方式。二、預(yù)案執(zhí)行步驟終端網(wǎng)絡(luò)型病毒可依靠網(wǎng)絡(luò)進(jìn)行大面積快速傳播，如：灰鴿子、熊貓燒香、沖擊波等。小面積病毒爆發(fā)：1.接到報(bào)障電話，工程師到現(xiàn)場(chǎng)處理，確定是

50、否中毒，如確認(rèn)中毒則將中毒主機(jī)斷網(wǎng)隔離。2.采用已安裝并更新至最新病毒庫(kù)的專業(yè)殺毒軟件進(jìn)行查殺，如能查殺則現(xiàn)場(chǎng)處理。3.針對(duì)未知的新型病毒，殺毒軟件不能查殺的，則將用戶數(shù)據(jù)備份后，再重裝系統(tǒng)，同時(shí)將病毒樣本上報(bào)殺毒軟件廠商。4.待殺毒軟件廠商升級(jí)病毒庫(kù)后，再查殺中毒電腦。大面積病毒爆發(fā)：1.確定大面積病毒爆發(fā)，上報(bào)上級(jí)主管部門2.先采用殺毒軟件進(jìn)行查殺，如果可以查殺則發(fā)通知用戶進(jìn)行查殺,殺毒軟件無法查殺的情況下，對(duì)爆發(fā)區(qū)域進(jìn)第 45 頁(yè)行斷網(wǎng)處理，并發(fā)布病毒通知。3.聯(lián)系廠商進(jìn)行現(xiàn)場(chǎng)技術(shù)支持，上報(bào)上級(jí)主管部門終端單機(jī)型病毒病毒傳播速度較慢，網(wǎng)絡(luò)不是其傳播主要手段。如：文件型病毒、U 盤病毒等。

51、1.接到報(bào)障電話，工程師到現(xiàn)場(chǎng)處理，確定是否中毒，如確認(rèn)中毒則將中毒主機(jī)斷網(wǎng)隔離。2.采用已安裝并更新至最新病毒庫(kù)的專業(yè)殺毒軟件進(jìn)行查殺，如能查殺則現(xiàn)場(chǎng)處理。3.如以上軟件不能處理，則將用戶數(shù)據(jù)備份后，再重裝系統(tǒng)。4.安裝操作系統(tǒng)并安裝殺毒軟件后，再手工升級(jí)。5.對(duì)終端進(jìn)行全盤掃描，可能的情況下對(duì)移動(dòng)介質(zhì)掃描處理。6.針對(duì)傳播速度相對(duì)較快，如 U 盤病毒，則通過 OA 等方式，發(fā)布通知，提醒用戶注意病毒防護(hù)。服務(wù)器病毒防護(hù)上報(bào)上級(jí)主管部門，并通過 OA 或短信發(fā)布服務(wù)器維護(hù)通知。1.對(duì)服務(wù)器進(jìn)行斷網(wǎng)隔離，并手工備份相關(guān)數(shù)據(jù)，并進(jìn)行單獨(dú)存儲(chǔ)；2.采用趨勢(shì)殺毒軟件或 360 安全衛(wèi)士進(jìn)行查殺，如能

52、查殺第 46 頁(yè)則現(xiàn)場(chǎng)處理。1、 3.針對(duì)未知的新型病毒，殺毒軟件不能查殺的，則將用戶數(shù)據(jù)備份后，再重裝系統(tǒng)，同時(shí)將病毒樣本上報(bào)殺毒軟件廠商2、 4.待殺毒軟件廠商升級(jí)病毒庫(kù)后，再查殺中毒電腦預(yù)案流程病毒爆發(fā)突發(fā)事件應(yīng)急處理（值班人員或中心人員）報(bào)告應(yīng)急小組相關(guān)負(fù)責(zé)人、確定病毒類型通過找到被感染機(jī)器，并斷開網(wǎng)線檢查服務(wù)器和桌面電腦是否中毒清除被感染機(jī)器的病毒編寫評(píng)估總結(jié)報(bào)告8.78.7 業(yè)務(wù)軟件故障應(yīng)急預(yù)案業(yè)務(wù)軟件故障應(yīng)急預(yù)案第 47 頁(yè)8.8.7 7.1.1 業(yè)務(wù)業(yè)務(wù)軟件軟件日常管理日常管理為了加強(qiáng)深圳市 XXX 業(yè)務(wù)軟件的管理，應(yīng)對(duì)具有高可用性要求的業(yè)務(wù)軟件和補(bǔ)丁進(jìn)行備份，形成業(yè)務(wù)軟件和補(bǔ)丁備份機(jī)制。8.8.7 7.2.2 業(yè)務(wù)業(yè)務(wù)軟件軟件故障預(yù)案清單故障預(yù)案清單預(yù)案名稱預(yù)案名稱業(yè)務(wù)軟件故障預(yù)案預(yù)