信息安全應急響應預案.doc

1 59 深圳市深圳市 XXXXXX 信息安全應急響應預案信息安全應急響應預案 深圳市深圳市XXXXXX XX 年 XX 月 2 59 目錄目錄 1 1 總則總則 3 1 11 1 目的目的 3 1 21 2 現(xiàn)狀及其成因現(xiàn)狀及其成因 3 2 2 組織機構及職責組織機構及職責 3 2 12 1 應急指揮機構應急指揮機構 3 3 3 預警和預防機制預警和預防機制 3 3 13 1 信息監(jiān)測及報告信息監(jiān)測及報告 3 3 23 2 預警預警 3 3 33 3 預警支持系統(tǒng)預警支持系統(tǒng) 3 3 43 4 預防機制預防機制 3 4 4 應急處理程序應急處理程序 3 4 14 1 級別的確定級別的確定 3 4 24 2 預案啟動預案啟動 3 4 34 3 現(xiàn)場應急處理現(xiàn)場應急處理 3 4 44 4 報告和總結報告和總結 3 4 54 5 應急行動結束應急行動結束 3 5 5 保障措施保障措施 3 5 15 1 技術支撐保障技術支撐保障 3 5 25 2 應急隊伍保障應急隊伍保障 3 5 35 3 物質條件保障物質條件保障 3 5 45 4 技術儲備保障技術儲備保障 3 6 6 培訓和演習培訓和演習 3 6 16 1 人員培訓人員培訓 3 6 26 2 應急演習應急演習 3 7 7 監(jiān)督檢查與獎懲監(jiān)督檢查與獎懲 3 7 1預案執(zhí)行監(jiān)督 3 7 2獎懲與責任 3 8 8 各種突發(fā)事件應急預案各種突發(fā)事件應急預案 3 8 18 1 通信網絡故障應急預案通信網絡故障應急預案 3 8 1 18 1 1 通信網絡日常管理通信網絡日常管理 3 8 1 28 1 2 通信網絡故障應急預案清單通信網絡故障應急預案清單 3 8 28 2 業(yè)務數據故障應急預案業(yè)務數據故障應急預案 3 8 2 18 2 1 業(yè)務數據日常管理業(yè)務數據日常管理 3 8 2 28 2 2 業(yè)務數據故障預案清單業(yè)務數據故障預案清單 3 3 59 8 38 3 服務器軟件故障預案服務器軟件故障預案 3 8 48 4 服務器硬件故障應急預案服務器硬件故障應急預案 3 8 4 18 4 1 服務器硬件日常管理服務器硬件日常管理 3 8 4 2 服務器硬件故障預案清單 3 8 58 5 網絡攻擊事件預案網絡攻擊事件預案 3 8 68 6 病毒爆發(fā)應急預案病毒爆發(fā)應急預案 3 8 6 18 6 1 病毒防護日常管理病毒防護日常管理 3 8 6 2 病毒爆發(fā)應急預案清單病毒爆發(fā)應急預案清單 3 8 78 7 業(yè)務軟件故障應急預案業(yè)務軟件故障應急預案 3 8 7 18 7 1 業(yè)務軟件日常管理業(yè)務軟件日常管理 3 8 7 28 7 2 業(yè)務軟件故障預案清單業(yè)務軟件故障預案清單 3 8 88 8 應急演練應急演練 3 8 98 9 通用表格通用表格 3 8 9 18 9 1 信息信息安全事安全事件件報告表報告表 3 8 9 28 9 2 信息安全事件應急處理結果報告表信息安全事件應急處理結果報告表 3 8 108 10 深圳市深圳市 XXXXXX 信息突發(fā)事件處理組織機構信息突發(fā)事件處理組織機構 3 1 59 深圳市深圳市 XXXXXX 信息系統(tǒng)突發(fā)事件應急預案信息系統(tǒng)突發(fā)事件應急預案 本預案內容包括總則 組織指揮體系及職責 預警和 預防機制 應急處理程序 保障措施 各種突發(fā)事件應急 預案等 明確規(guī)定了深圳市 XXX 在發(fā)生網絡與信息安全重 大突發(fā)事件情況下各部門的相關職能和工作方法 具有一 定的宏觀指導性和可操作性 對減少網絡與信息安全突發(fā) 事件 保障業(yè)務系統(tǒng)正常開展起著重要作用 1 1 總則 1 11 1 目的目的 為科學應對網絡與信息安全 以下簡稱 信息安全 突發(fā)事件建立健全信息安全應急響應機制 有效預防 及 時控制和最大限度地消除信息安全各類突發(fā)事件的危害和 影響 1 21 2 現(xiàn)狀及其成因現(xiàn)狀及其成因 近年來 深圳市 XXX 信息安全工作得到加強 但信息 安全保障基礎工作和技術保障措施比較薄弱 與信息化快 速發(fā)展的要求和日趨嚴峻的信息安全形勢不協(xié)調 信息安全突發(fā)事件成因可分為兩個方面 一是網絡與 信息系統(tǒng)自身的脆弱性 主要表現(xiàn)在 安全漏洞的普遍性 攻擊和惡意代碼的流行性 入侵檢測能力的局限性 網絡 2 59 和系統(tǒng)管理的復雜性 二是網絡與信息系統(tǒng)外部體制性的 不安全性 主要表現(xiàn)在 信息安全法制不健全 全社會的 信息安全意識淡薄 深圳市 XXX 信息安全自主可控能力不 強 技術防御整體水平不高 信息安全專業(yè)人才缺乏 專 業(yè)隊伍建設嚴重滯后 2 2 組織機構及職責 2 12 1 應急指揮機構應急指揮機構 2 1 12 1 1 深圳市深圳市 XXXXXX 信息系統(tǒng)突發(fā)事件應急信息系統(tǒng)突發(fā)事件應急領導小組領導小組 在深圳市 XXX 黨組的統(tǒng)一領導下 設立深圳市 XXX 信 息系統(tǒng)突發(fā)事件應急領導小組 以下簡稱 信息突發(fā)事件應 急領導小組 為深圳市 XXX 處理信息安全突發(fā)事件應急 工作的綜合性議事 協(xié)調機構 主要職責是 按照國家 廣東省 深圳市政府信息安 全應急機構的要求開展預防和處置工作 研究決定深圳市 XXX 信息安全應急工作的有關重大問題 決定 III 級和 IV 級信息安全突發(fā)事件應急預案的啟動 組織力量對 III 級 和 IV 級突發(fā)事件進行處置 接受深圳市政府信息安全應急 機構的統(tǒng)一領導 組織指揮 II 級和 I 級突發(fā)事件的應急處 置工作 指導監(jiān)督信息安全應急小組的工作 法律 法規(guī) 規(guī)章規(guī)定的其他職責 3 59 信息突發(fā)事件應急領導小組 由 最高領導人 作為 主任 分管信息化工作的領導 作為副主任 成員由深 圳市 XXX 各部門部長組成 信息突發(fā)事件應急領導小組下設應急小組 由信息部 部長任組長 信息部副部長任副組長 信息部其它成員任 組員 承擔深圳市 XXX 信息安全專項應急領導小組的日常 工作 負責深圳市 XXX 信息安全突發(fā)事件日常監(jiān)測與預警 其主要職責是 督促落實上級部門和深圳市 XXX 信息突發(fā)事件應急領 導小組做出的決定和措施 擬訂或者組織擬訂深圳市 XXX 信息部應對信息安全突 發(fā)事件的工作規(guī)劃和應急預案 報深圳市 XXX 領導小組批 準后組織實施 督促檢查信息安全專項應急預案的制訂 修訂和執(zhí)行 情況 匯總有關信息安全突發(fā)事件的各種重要信息 進行綜 合分析 并提出建議 監(jiān)督檢查 協(xié)調信息安全突發(fā)事件預防 應急準備 應急處置和事后恢復與重建工作 組織制訂信息安全常識 應急知識的宣傳培訓計劃和 應急救援隊伍的業(yè)務培訓 演練計劃 報信息突發(fā)事件應 急領導小組批準后督促落實 4 59 組織專家組判定突發(fā)事件級別 根據情況提出加強或 撤銷控制措施的建議和意見 組織召開部門協(xié)調會議 協(xié) 調各部門共同做好突發(fā)事件處置工作 檢查督導突發(fā)事件 應急措施的落實情況 及時收集 上報和通報突發(fā)事件有 關情況 負責向信息突發(fā)事件應急領導小組報告有關工作 情況 2 1 2 信息突發(fā)事件應急領導小組各成員部門的職責信息突發(fā)事件應急領導小組各成員部門的職責 信息部 統(tǒng)籌規(guī)劃建設應急處理技術平臺 會同其他 有關部門組織制定單位突發(fā)事件應急處理政策文件及技術 方案 負責安全事件處理的培訓 及時收集 上報和通報 突發(fā)事件情況 負責向信息突發(fā)事件應急領導小組或中心 領導報告有關工作情況 相關部門 配合信息部組織制定信息系統(tǒng)突發(fā)事件應 急處理政策文件及技術方案及其他各項工作 3 3 預警和預防機制預警和預防機制 3 13 1 信息監(jiān)測及報告信息監(jiān)測及報告 信息部應加強信息安全監(jiān)測 分析和預警工作 進一 步提高信息安全監(jiān)察能力 建立信息安全事故報告制度 在突發(fā)事件發(fā)生后 發(fā)現(xiàn)人應當立即向深圳市 XXX 信 息突發(fā)事件應急小組報告 5 59 發(fā)現(xiàn)人應當立即對發(fā)現(xiàn)的事件進行調查核實 保存相 關證據 并在事件被發(fā)現(xiàn)時將證據報至信息突發(fā)事件應急 小組 3 23 2 預警預警 信息突發(fā)事件應急小組接到信息安全突發(fā)事件報告后 應當經初步核實后 將有關情況及時向組長報告 進一步 進行情況綜合 研究分析可能造成損害的程度 提出初步 行動對策 并及時報深圳市 XXX 應急領導小組 領導小組 主任視情況召集協(xié)調會 決策行動方案 發(fā)布指示和命令 3 33 3 預警支持系統(tǒng)預警支持系統(tǒng) 深圳市 XXX 信息突發(fā)事件應急領導小組應建立和完善 信息監(jiān)測 傳遞網絡和指揮決策支持系統(tǒng) 要保證資源共 享 運轉正常 指揮有力 3 43 4 預防機制預防機制 積極推行信息安全等級保護 逐步實行信息安全風險 評估 各基礎信息網絡和重要信息系統(tǒng)建設要充分考慮抗 毀性與災難恢復 制定并不斷完善信息安全應急處理預案 針對基礎信息網絡的突發(fā)性 大規(guī)模安全事件 各相關部 門建立制度化 程序化的處理流程 6 59 4 4 應急處理程序應急處理程序 4 14 1 級別的確定級別的確定 信息安全事件分級的參考要素包括信息密級 公眾影 響 業(yè)務影響和資產損失等四項 各參考要素分別說明如 下 1 信息密級是衡量因信息失竊或泄密所造成的信息安 全事件中所涉及信息的重要程度的要素 2 公眾影響是衡量信息安全事件所造成的負面影響范 圍和程度的要素 3 業(yè)務影響是衡量信息安全事件對事發(fā)單位正常業(yè)務 開展所造成的負面影響程度的要素 4 資產損失是衡量恢復系統(tǒng)正常運行和消除信息安全 事件負面影響所需付出資金代價的要素 信息安全突發(fā)事件級別分為四級 一般 IV 級 較大 III 級 重大 II 級 和特別重大 I 級 對應顏色依次為 藍色 黃色 橙色和紅色 一般 IV 級 深圳市 XXX 較小范圍出現(xiàn)并可能造成較大 損害的信息安全事件 較大 級 深圳市 XXX 部分網絡與信息系統(tǒng) 網站受 到大面積 嚴重沖擊 7 59 重大 II 級 深圳市 XXX 大部分網絡 信息系統(tǒng) 網站 基本癱瘓 導致業(yè)務中斷 但縱向或橫向延伸可能造成嚴 重社會影響或較大經濟損失 特別重大 I 級 深圳市 XXX 所有基礎網絡 包括縱向 或橫向延伸 信息系統(tǒng) 網站嚴重癱瘓 導致業(yè)務中斷 造成或可能造成嚴重法律糾紛或對政府重大形象工程造成 巨大負面影響的信息安全事件 4 24 2 預案啟動預案啟動 4 2 1 啟動預案的權限 發(fā)生 IV 級網絡信息安全事件 后 信息突發(fā)事件應急領導小組負責啟動相應預案 信息 突發(fā)事件應急小組負責應急處理工作 發(fā)生 III 級網絡信 息安全事件后 信息突發(fā)事件應急領導小組負責啟動相應 預案 并負責應急處理工作 發(fā)生 I II 級的信息安全突 發(fā)事件后 上報市人民政府及上級主管部門啟動相應預案 并由市信息安全應急指揮部負責應急處理工作 4 2 2 啟動預案的流程 深圳市 XXX 信息安全應急小組 接到報告后 應當立即上報深圳市 XXX 信息突發(fā)事件應急 領導小組有關負責人 并會同相關成員盡快組織專家組對 突發(fā)事件性質 級別及啟動預案的時機進行評估 向信息 突發(fā)事件應急領導小組提出啟動預案的建議 報信息突發(fā) 事件應急領導小組批準 8 59 4 2 3 啟動預案后的應急處理 在信息突發(fā)事件應急領 導小組作出啟動預案決定后 信息突發(fā)事件應急小組立即 啟動應急處理工作 4 34 3 現(xiàn)場應急處理現(xiàn)場應急處理 現(xiàn)場應急處理工作組應盡最大可能收集事件相關信息 明確事件類別 確定事件來源 保護證據 以便縮短應急 響應時間 檢查威脅造成的結果 評估事件帶來的影響和損害 如檢查系統(tǒng) 服務 數據的完整性 保密性或可用性 檢 查攻擊者是否侵入了系統(tǒng) 以后是否能再次隨意進入 損 失的程度 確定暴露出的主要危險等 抑制事件的影響進一步擴大 限制潛在的損失與破壞 根除惡意代碼造成的不良影響 在事件被抑制之后 通過對有關惡意代碼或行為的分析結果 找出事件根源 明確相應的補救措施并徹底清除 與此同時 執(zhí)法部門和 其他相關機構將對攻擊源進行定位并采取合適的措施將其 中斷 清理系統(tǒng) 恢復數據 程序 服務 把所有被攻破的 系統(tǒng)和網絡設備徹底還原到它們正常的任務狀態(tài) 恢復工 作應該十分小心 避免出現(xiàn)誤操作導致數據的丟失 另外 9 59 恢復工作中如果涉及到機密數據 需要額外遵照機密系統(tǒng) 的恢復要求 4 44 4 報告和總結報告和總結 回顧并整理發(fā)生事件的各種相關信息 盡可能地把所 有情況記錄到文檔中 發(fā)生重大信息安全事件的單位應當 在事件處理完畢后 5 個工作日內將處理結果報市經貿信委 備案 4 54 5 應急行動結束應急行動結束 根據信息安全事件的處置進展情況和現(xiàn)場應急處理工 作組意見 信息突發(fā)事件應急小組應組織相關部門及專家 組對信息安全事件的處置情況進行綜合評估 并向信息突 發(fā)事件應急領導小組提出應急行動結束建議 并報信息突 發(fā)事件應急領導小組批準 應急行動是否結束 由組織決 定 5 5 保障措施保障措施 5 15 1 技術支撐保障技術支撐保障 信息突發(fā)事件應急小組應建立預警與應急處理的技術 平臺 進一步提高安全事件的發(fā)現(xiàn)和分析能力 從技術上 逐步實現(xiàn)發(fā)現(xiàn) 預警 處置 通報等多個環(huán)節(jié)和不同的網 絡 系統(tǒng)之間應急處理的聯(lián)動機制 10 59 5 25 2 應急隊伍保障應急隊伍保障 加強信息安全人才培養(yǎng) 建設一支高素質 高技術的 信息安全核心人才和管理隊伍 提高單位信息安全防御意 識 5 35 3 物質條件保障物質條件保障 在深圳市 XXX 信息化專項資金中安排一定的資金用于 預防或應對信息安全突發(fā)事件 提供必要的交通運輸保障 提前采購信息安全應急處理工作需要的檢測 維修工具和 設備配件 5 45 4 技術儲備保障技術儲備保障 深圳市 XXX 信息突發(fā)事件應急小組組織有關專家和科 研力量 開展應急運作機制 應急處理技術 預警和控制 等研究 推廣和普及新的應急技術 6 6 培訓和演習培訓和演習 6 16 1 人員培訓人員培訓 為確保信息安全應急預案有效運行 信息突發(fā)事件應 急小組應定期或不定期地舉辦不同層次 不同類型的培訓 班或研討會 應利用已有的資源 采用案例教學 情景模 擬 交流研討 案例分析 應急演練 對策研究等方式 11 59 開展形式多樣的培訓工作 以便不同崗位的應急人員都能 全面熟悉并掌握信息安全應急處理的知識和技能 6 26 2 應急演習應急演習 為提高信息安全突發(fā)事件應急響應水平 信息突發(fā)事 件應急小組應定期或不定期組織預案演練 檢驗應急預案 各環(huán)節(jié)之間的通信 協(xié)調 指揮等是否符合快速 高效的 要求 通過演習 進一步明確應急響應各崗位責任 對預 案中存在的問題和不足及時補充 完善 7 7 監(jiān)督檢查與獎懲監(jiān)督檢查與獎懲 7 7 1 1預預案案執(zhí)執(zhí)行行監(jiān)監(jiān)督督 信息突發(fā)事件應急領導小組負責對預案實施的全過程 進行監(jiān)督檢查 督促成員部門按本預案指定的職責采取應 急措施 確保及時 到位 發(fā)生重大信息安全事件的單位應當按照規(guī)定及時如實 地報告事件的有關信息 不得瞞報 緩報或者授意他人瞞 報 緩報 任何單位或個人發(fā)現(xiàn)有瞞報 緩報 謊報重大 信息安全事件情況時 有權直接向信息突發(fā)事件應急領導 小組舉報 應急行動結束后 信息突發(fā)事件應急領導小組對相關 成員單位采取的應急行動的及時性 有效性進行評估 12 59 7 7 2 2獎獎懲懲與與責責任任 對下列情況可以經信息突發(fā)事件應急小組評估審核 報信息突發(fā)事件應急領導小組批準后予以獎勵 在應急行動中做出特殊貢獻的先進單位和集體 在應急行動中提出重要建議方案 節(jié)約大量應急資源 或避免重大損失的人員 在應急行動第一線做出重大成績的現(xiàn)場作業(yè)人員 在發(fā)生重大信息安全事件后 有關責任單位 責任人 有瞞報 緩報 漏報和其它失職 瀆職行為的 信息突發(fā) 事件應急領導小組將予以通報批評 對造成嚴重不良后果 的 將視情節(jié)由有關主管部門追究責任領導和責任人的行 政責任 構成犯罪的 由有關部門依法追究其法律責任 對未及時落實市信息安全專項應急領導小組指令 影 響應急行動的效果的 按 國務院關于特大安全事故行政 責任追究的規(guī)定 廣東省重大事故責任追究制度 追 究相關人員的責任 8 8 各種突發(fā)事件應急預案各種突發(fā)事件應急預案 本預案所稱突發(fā)性事件 是指自然因素或者人為活動 引發(fā)的危害機房或人身安全等有關的事件 主要有以下幾 個類型 13 59 1 地震 火災 雷電 水災等自然災害造成的破壞性 突發(fā)事件 2 信息處理設備被盜 機房存在重大安全隱患而造成 的損失等嚴重突發(fā)事件 3 信息系統(tǒng)存在嚴重 BUG 造成業(yè)務操作失誤 數據錯 誤 4 網絡中斷或網絡大規(guī)模癱瘓 5 病毒和黑客入侵或其他原因造成數據丟失 刪改 6 服務器 網絡設備嚴重故障 7 因大面積停電 外部網絡中斷等因素導致無法使用 等突發(fā)事件 本預案通過演習 實踐檢驗 以及根據應急力量變更 新技術 新資源的應用和應急事件發(fā)展趨勢 及時進行修 訂和完善 本預案所附的成員 通信地址等發(fā)生變化時也應隨時 修訂 本預案由深圳市 XXX 信息部負責修訂 報深圳市 XXX 領導批準后實施 授權深圳市 XXX 信息突發(fā)事件應急小組 負責對本預案附件及附錄的修改 審批和實施 本預案修訂采取改版或換頁的方式進行 本預案由深圳市 XXX 信息部制定 由信息突發(fā)事件應 急領導小組負責解釋 14 59 本預案日常工作由深圳市 XXX 信息部負責 聯(lián)系電話 83948121 聯(lián)系部門 深圳市 XXX 信息部 聯(lián)系人清單 聯(lián)絡信息 角色姓名職責 工作電話手機 應急小 組組長 應急小 組副組 長 協(xié)調人 局域網 組 機房維 護組 機房維 護組 15 59 機房維 護組 本預案自發(fā)布之日起實施 深圳市 XXX 二 XX 年 月 日 16 59 8 18 1 通信網絡故障應急預案通信網絡故障應急預案 8 1 18 1 1 通信網絡日常管理通信網絡日常管理 為了保證深圳市 XXX 通信網絡的正常工作 信息部工 作人員必須做好機房網絡設施的日常維護 8 1 28 1 2 通信網絡故障應急預案清單通信網絡故障應急預案清單 預案名稱預案名稱網絡通信系統(tǒng)故障預 案 預案編號預案編號 預案目的預案目的網絡通信系統(tǒng)發(fā)生故障后 應用本預案處理故 障 預案啟動條件預案啟動條件網絡通信系統(tǒng)發(fā)生故障 預案執(zhí)行實施預案執(zhí)行實施 日期日期 組織機構及職責組織機構及職責 組成姓名聯(lián)系方式職責 負責人安全主管 現(xiàn)場指揮安全主管 網絡管理員 機房管理員成員 機房管理員 17 59 廠家聯(lián)絡方式廠家聯(lián)絡方式 廠家名稱姓名聯(lián)系方式 軟件介質名稱介質編號存放地點備注 備品備件名稱設備編號存放地點備注 交換機和路由器供應商倉庫 圖紙名稱圖紙編號存放地點備注 網絡拓撲圖信息部 預案執(zhí)行步驟及通告預案執(zhí)行步驟及通告 一 故障通告一 故障通告 1 將故障情況向信息部部長匯報 信息部通知受影響的用戶 并視情況的嚴重程度通知應急領導小組 二 預案執(zhí)行步驟二 預案執(zhí)行步驟 1 信息部接到報障后 應立即安排維護工程師到現(xiàn)場查看 PING 各關鍵設備的 IP 地址 來初步定位故障點 某設備 某 端口 通過鏈路檢查命令確定是網絡通信故障 則啟用一下 預案 如是服務器或其他設備 則啟用相關預案 確定故障類型及影響范圍 確定故障類型及影響范圍 1 鏈路故障 18 59 2 核心 匯聚層設備硬件故障 3 接入層設備硬件故障 4 出口區(qū)域設備硬件故障 5 非硬件故障 故障處理流程 故障處理流程 1 鏈路故障處理流程 先將故障匯報至信息部 通報給受影響的用戶檢查線路及 鏈路轉換設備是否工作正常 如 光電轉換器 物理鏈路包 括雙絞線 以太網光纖 廣域網線路 A 雙絞線故障可以采用替換的方式解決 B 以太網光纖故障 則聯(lián)系局域網線路維護方進行重新熔接 C 廣域網線路故障 則聯(lián)系運營商進行處理 轉換設備故障 光電轉換器 協(xié)議轉換器 光纖模塊等 根據設備的運維方分別聯(lián)系對應的運維方進行處理 所有鏈路 故障能夠臨時替換解決的 先臨時替換規(guī)避故障使網絡恢復正 常不能替換的匯報信息部 協(xié)商解決方案 2 核心 匯聚層設備硬件故障 核心 匯聚層設備相對比較高端 故障涉及引擎 業(yè)務板 卡 電源模塊等 引擎故障 A 針對外網核心為雙引擎配置 單個引擎損壞不影響設備正 常工作 向信息部匯報故障同時通知設備維護商上門檢修 19 59 B 針對內網核心 無引擎冗余設置 但有設備冗余 單個故 障不會影響接入層的通迅 首先將故障機上的服務器 鏈路切 換到另一臺核心交換機上 調整相應的配置 然后上報信息部 并通知設備維護商上門檢修 C 匯聚層設備引擎損壞對網絡不會造成網絡中斷 上報信息 部 并通知設備維護商上門檢修 3 業(yè)務板卡故障 A 如果設備其它業(yè)務板上未使用端口較多 則將故障板卡上的 線路切到其它板卡未使用的端口 并將做好相關配置 B 如果設備其它板卡上未使用端口較少 則可以采取非故障業(yè) 務板下掛交換機的方法來增加端口數量 將故障板卡上的線路 切到新增交換機上 臨時規(guī)避處理后 然后上報信息部并通知 設備維護商上門檢修 4 電源模塊 機箱 風扇等基礎硬件故障 A 雙電源設計設備 單個電源損壞不會對設備造成影響 向信 息部匯報并通知設備維護商上門檢修 B 單電源 機箱 風扇等故障 臨時規(guī)避措施與內網核心引擎 故障處理方法一致 5 接入層設備硬件故障 A 接入層設備故障影響一般為單個樓層 如有備件 則現(xiàn)場更 換備件 做好相關配置 并匯報信息部及通知設備維護商上門 檢修 20 59 B 如果沒有備件且下接為同一網段用戶時 可臨時采用傻瓜交 換機對故障設備進行替換 并調整相應的匯聚交換機配置 匯 報信息部同時通知設備維護商上門檢修 C 如果沒有備件且下接為不同網段用戶時 只能保證關鍵網段 的通迅 或者調整用戶 IP 地址 規(guī)避方法與同一網段用戶相同 D 如果備件或傻瓜交換機無光纖端口 則可采用增加光電轉換 器的方法 替換光纖模塊 用雙絞線接入交換機 6 出口區(qū)域故障 出口區(qū)域包括防火墻 路由器 安全網關 網閘等 針對工 作為透明模式的設備 直接將設備撤下 匯報信息部同時通知 設備維護商上門檢修 A 非透明模式工作的設備 如有備件則調試好備件 將故障設 備替換 并匯報信息部同時通知設備維護商上門檢修 無備件 的情況則上報信息部同時通知設備維護商上門檢修 所有故障 設備返修完畢后 正式上線前 需匯報信息部 確定上線時間 才能停機安裝調試 非硬件故障非硬件故障 進行設備各項信息收集 接入 CONSOLE 線 能否進行設備操作界面 1 如能進行操作界面 則收集設備信息 2 如不能進入操作界面則判斷為設備本身故障 升級設備軟件 21 59 看能否解決 如不能則為設備硬件故障 如有備件 則替換上 備件 如無備件 向信息部負責人匯報故障處理情況 同時通 知設備維護商上門檢修 查看 CPU 信息 show cpu 結合以往經驗 判斷該設備 CPU 利用率是否在正常范圍內 3 如果 CPU 利用率比正常情況下高很多 則可能是攻擊 如大 量的主機掃描 或環(huán)路導致 可以通過抓包分析來確定攻擊源 或環(huán)路端口 如為攻擊則斷開攻擊源 如為環(huán)路 則解除環(huán)路 并向信息部負責人匯報處理過程 其它廠商設備 如深信服網關 天融信防火墻等 通過 WEB 方 式可以查看 CPU 利用率 查看設備運行信息 show running config 與最近備份配置對比 看是否存在改動 如存在改動 則進行 還原配置操作 是否能解決故障 如能解決 則先還原配置 分析改動配置存在的問題 并將處理情況向信息部負責人匯報 如果還原配置后 故障依舊 則進行下一步操作 如果配置未進行改動 則進行下一步操作 查看 MAC 地址表 show mac address table 查看故障設備是否學到對方的 MAC 地址 如沒有學到或學到的 信息不正確 則檢查鏈路狀態(tài) 或者是否存在 MAC 地址攻擊等 4 如果 MAC 地址表正常 則進行下一步操作 22 59 查看 ARP 表 show arp 查看故障設備是否學習到對方 ARP 信息或信息是否正確 如果 沒有學到 則分析是否病毒 如 ARP 病毒 或其它原因導致 如果能學到對方 ARP 信息 則進行下一步操作 查看路由表 show ip router 檢查到對方的路由是否正常 如果路由不正常 則分析路由不 正常的原因 如果路由表正常 則進行下一步操作 查看是否由于安全設備原因 安全設備是否限制了正常的通迅 安全設備是否將正常報文誤斷為攻擊 8 經過以上操作仍無法定位原因解決故障 則聯(lián)系第三方技術 支持 9 確定故障原因后 如為病毒導致 則按病毒處理預案進行 如為設備本身故障 則上報信息部 有備件的話 先用備件替 換故障設備 無備件 則與信息部負責人協(xié)商解決方案 如果故障是因設備配置問題導致 則對原配置備份后 再調整 相應的配置 10 故障解決后 進行經驗總結 并提交至信息部負責人 23 59 預案流程預案流程 報告相關負責人 應急小組負責人 是否為硬件問題 采用相關技術確定故障類型 是否為鏈路問題 采用相關技術處理鏈路故障 編寫事故處理報告 應急結束 應急管理部門或市 政府應急指揮部批準 聯(lián)系線路提供公司搶修 否 是 是 否 s 24 59 8 28 2 業(yè)務數據故障應急預案業(yè)務數據故障應急預案 8 8 2 2 1 1 業(yè)務數據日常管理業(yè)務數據日常管理 為了加強深圳市 XXX 業(yè)務數據安全的管理 應對具有 高可用性要求的業(yè)務數據進行備份 形成業(yè)務數據備份機 制 8 8 2 2 2 2 業(yè)務數據故障預案業(yè)務數據故障預案清單清單 預案名稱預案名稱業(yè)務數據故 障預案 預案編預案編 號號 預案目的預案目的因各類原因導致業(yè)務數據丟失的 處理方案 預案啟動條件預案啟動條件因各類原因 導致業(yè)務數據丟失 預案執(zhí)行實施日期預案執(zhí)行實施日期年 月 日 組織機構及職責組織機構及職責 組成姓名聯(lián)系方式職責 負責人安全主管 現(xiàn)場指揮安全主管 網絡管理員 機房管理員成員 需通知的其他部門需通知的其他部門 25 59 部門名稱聯(lián)系人電話注意事項 廠家聯(lián)絡方式廠家聯(lián)絡方式 廠家名稱姓名聯(lián)系方式 軟件介質名稱介質編號存放地點備注 26 59 預案執(zhí)行步驟及通告預案執(zhí)行步驟及通告 一 故障通告一 故障通告 1 將故障情況向信息部部長匯報 信息部通知受影響 的用戶 并視情況的嚴重程度通知應急領導小組 二 預案執(zhí)行步驟二 預案執(zhí)行步驟 發(fā)生業(yè)務數據故障 因硬件 軟件故障或誤操作導致 后 現(xiàn)場值班人員應及時聯(lián)系數據庫管理員 檢查和備份 業(yè)務系統(tǒng)當前數據 由數據庫管理員確定能用于恢復的數據備份及其介質 磁盤 磁帶 本地 異地 如果數據庫管理員不能在短時間內修復數據 則需及 時上報應急領導小組 由其通知業(yè)務部門以手工開展業(yè)務 利用備份恢復業(yè)務數據后 需要協(xié)同業(yè)務部門的人員 檢查數據的有效性 歷史數據和當前數據的差別 并根據 需要 聯(lián)合應用系統(tǒng)開發(fā)商 輔助相關的業(yè)務人員補錄入 數據 完成修復后 立即備份當前數據 編寫故障分析報告 向應急領導小組匯報 27 59 預案處理流程 業(yè)務數據損壞應急事件領導 使用備份數據恢復業(yè) 務系統(tǒng)數據 檢查業(yè)務系統(tǒng)當前數據 報告應急小組負責人和 信息中心領導 備份服務器內備份 數據是否正常 使用歷史備份數據 恢復業(yè)務系統(tǒng)數據 調用同城異地備份數據 檢查歷史數據與當前 數據差別 并補錄數據 分析故障原因 寫分析報告 磁帶機內歷史備份 數據是否正常 否 是 是 否 28 59 8 38 3 服務器軟件故障預案服務器軟件故障預案 預案名稱預案名稱服務器軟件故障 預案 預案編號預案編號 預案目的預案目的服務器發(fā)生軟件故障后 應用本預案處理 故障 預案啟動條件預案啟動條件服務器發(fā)生軟件故障 除應用軟件系統(tǒng)外 預案執(zhí)行實施預案執(zhí)行實施 日期日期 年 月 日 組織機構及職責組織機構及職責 組成姓名聯(lián)系方式職責 負責人安全主管 現(xiàn)場指揮安全主管 網絡管理員 機房管理員成員 廠家聯(lián)絡方式廠家聯(lián)絡方式 廠家名稱姓名聯(lián)系方式備注 軟件介質名稱介質編號存放地點備注 29 59 備品備件名稱設備編號存放地點備注 儀器名稱儀器編號存放地點備注 30 59 預案執(zhí)行步驟及通告預案執(zhí)行步驟及通告 一 故障通告一 故障通告 1 將故障情況向信息部部長匯報 信息部通知受影響的用 戶 并視情況的嚴重程度通知應急領導小組 二 預案執(zhí)行步驟二 預案執(zhí)行步驟 1 發(fā)生服務器軟件系統(tǒng)故障后 現(xiàn)場值班人員應立即組織 查找 確定故障軟件 1 收集軟件所在服務器的基本信息 包括設備型號 系 統(tǒng)平臺 軟件版本 使用情況等信息 2 檢查系統(tǒng)中各類日志 系統(tǒng)日志 應用程序日志 數據 庫日志等 分析故障發(fā)生的位置 2 根據先期收集的信息 判斷故障事態(tài)的嚴重程度 及時 報告應急指揮專責小組 啟動后續(xù)處理流程 1 業(yè)務軟件故障 聯(lián)系軟件開發(fā)商維護人員 讓其安排 技術人員在指定時間段內趕到現(xiàn)場 對業(yè)務軟件進行深 入分析 繼而解決故障或重新部署軟件 2 數據庫軟件和備份軟件 由數據庫管理員確認故障原 因 繼而修復數據庫軟件 若軟件不能 及時 修復 則在原設備或調度的備用設備上重新部署軟件 并利用 已有的備份內容 恢復數據 3 操作系統(tǒng) 由系統(tǒng)管理員確認故障原因 繼而修復操 31 59 作系統(tǒng) 若系統(tǒng)不能 及時 修復 則重新部署系統(tǒng)和 各類業(yè)務軟件及支持軟件 或啟動備份服務器系統(tǒng) 由 備份服務器接管業(yè)務應用 并及時報告軟件維護人員 安排將故障服務器脫離網絡 保存系統(tǒng)狀態(tài)不變 取出 系統(tǒng)鏡像備份磁盤 保持原始數據 4 若使用備用系統(tǒng) 則在原服務器上修復系統(tǒng)后 需將 備用系統(tǒng)中的數據遷移回原系統(tǒng)中 5 如果問題嚴重 原有技術人員不能解決 則立即聯(lián)系 應急指揮專責小組和維護廠商 請求技術支援 做好技 術處理 保證數據完整 6 處置結束后 將事發(fā)經過 處理方法和結果編寫成 報告 提交給應急指揮專責小組 32 59 預案流程 檢查故障信息 故障匯報 撥打廠商支持電話 工程師現(xiàn)場處理 啟動應用 33 59 8 48 4 服務器硬件故障應急預案服務器硬件故障應急預案 8 8 4 4 1 1 服務器服務器硬件日常管理硬件日常管理 為了加強深圳市 XXX 信息部設備硬件管理 需要管理 員定期檢查 整理硬件物理連接線路 定期檢查硬件運作 狀態(tài) 做好硬件的冗余備份 8 4 28 4 2 服務器硬件故障預案服務器硬件故障預案清單清單 預案名稱預案名稱服務器硬件故障預 案 預案編預案編 號號 預案目的預案目的服務器發(fā)生硬件故障后 應用本預案處理 故障 預案啟動條件預案啟動條件服務器發(fā)生硬件故障 包括服務器 存儲 存儲網絡設備 預案執(zhí)行實施預案執(zhí)行實施 日期日期 年 月 日 組織機構及職責組織機構及職責 組成姓名聯(lián)系方式職責 負責人安全主管 現(xiàn)場指揮安全主管 網絡管理員 成員 機房管理員 34 59 廠家聯(lián)絡方式廠家聯(lián)絡方式 廠家名稱姓名聯(lián)系方式 軟件介質名稱介質編號存放地點備注 備品備件名稱設備編號存放地點備注 儀器名稱儀器編號存放地點備注 35 59 預案執(zhí)行步驟及通告預案執(zhí)行步驟及通告 一 故障通告一 故障通告 1 將故障情況向信息部部長匯報 信息部通知受影響的用 戶 并視情況的嚴重程度通知應急領導小組 二 預案執(zhí)行步驟二 預案執(zhí)行步驟 1 發(fā)生硬件故障后 及時報告硬件維護人員 并組織查找 確定故障設備及故障原因 進行先期處置 1 檢查硬件指示燈號 分辨出錯硬件 2 檢查系統(tǒng)日志 查找和確定故障原因 3 運行配套的硬件監(jiān)控和維護程序 查找和確定故障 原因 4 收集設備的基本信息 硬件設備型號 系統(tǒng)平臺類 型和版本 應用軟件類型和版本 5 聯(lián)系硬件維護人員對故障設備進行檢修 2 根據故障事態(tài)的嚴重程度 及時報告應急指揮專責小組 啟動以下后續(xù)處理流程 1 如果故障設備具有容錯能力 則由硬件維護人員聯(lián) 系備件庫管理人員 及時調度硬件 在線更換 2 如果故障設備不具備容錯能力 而又無法在短時間 內修復故障設備 則啟動備用設備 保持系統(tǒng)正常運 行 36 59 3 如果沒有現(xiàn)成備用設備 則聯(lián)系備件庫管理人員 調度合適的硬件設備 根據之前收集的信息 在備用 設備上部署同型號同版本的操作系統(tǒng) 支持軟件和業(yè) 務軟件 并恢復數據庫到備用設備 保證系統(tǒng)正常運 行 4 原設備在故障排除后 在網絡空閑時期 重新替換 備用設備 把原先存儲與備用設備的數據遷移回原設 備 5 若故障仍然存在 根據安全守則和實際需要 立即 聯(lián)系相關廠商 認真填寫設備故障報告單備查 37 59 預案流程 檢查故障信息 故障匯報 撥打廠商支持電話 工程師現(xiàn)場處理 啟動應用 38 59 8 58 5 網絡攻擊事件預案網絡攻擊事件預案 預案名稱預案名稱網絡攻擊事件 預案 預案編預案編 號號 預案目的預案目的網絡攻擊事件發(fā)生后 應用本預案處理故 障 預案啟動條件預案啟動條件發(fā)生網絡攻擊事件 預案執(zhí)行實施預案執(zhí)行實施 日期日期 年 月 日 組織機構及職責組織機構及職責 組成姓名聯(lián)系方式職責 負責人安全主管 現(xiàn)場指揮安全主管 網絡管理員 成員 信息安全管理員 廠家聯(lián)絡方式廠家聯(lián)絡方式 廠家名稱姓名聯(lián)系方式 軟件介質名稱介質編號存放地點備注 備品備件名稱設備編號存放地點備注 39 59 儀器名稱儀器編號存放地點備注 預案執(zhí)行步驟及通告 一 故障通告 1 將故障情況向信息部部長匯報 信息部通知受影響的用 戶 并視情況的嚴重程度通知應急領導小組 二 預案執(zhí)行步驟 1 確定源地址 如果服務器被攻擊 可以通過以下手段來確定攻擊源 在服務器上運行 netstat an 可以看到大量的連接 找出 發(fā)起大量連接的源 IP 地址 也可以在通過捕獲交換機上連 接服務器的端口的報文 進行分析 找到攻擊源 IP 如果 是安全網關被攻擊 則只能分別在其所有網絡連接端口來 進行抓包分析 2 臨時規(guī)避攻擊 臨時規(guī)避主要是針對外網發(fā)起的攻擊 最保險的方法是采 取臨時斷網措施 如果不能斷網則可以通過以下措施臨時規(guī)避 如果公網地址足夠 可以通過更改對外發(fā)布服務的公網地 址 服務器 同進還需更改 DNS 解析 或者更改本身的外 網地址 出口網關 40 59 3 備份被攻擊者數據 如為網絡設備 則備份配置文件 如為服務器則備份操作 系統(tǒng) 有條件的話 建議備份整個硬盤 4 追蹤攻擊源 內網發(fā)起的攻擊 通過找出源 IP 結合用戶 IP 登記資料 定位到用戶 直接將用戶斷網處理 外網發(fā)起的攻擊 與運營商聯(lián)系 同時上報網監(jiān)部門 根 據對方要求提供相關資料 由運營商和網監(jiān)部門處理 5 調整安全策略 在定位攻擊源的時候 同時對服務器或出口網關進行加固 主要方法如下 安全網關主要是對其本身的登陸管理進行設置 包括對其 本身 IP 的連接數 用戶登陸次數等進行限制 備份攻擊發(fā) 生時的設備配置 以便后期分析 服務器在攻擊發(fā)生時第一時間斷開網絡 備份操作系統(tǒng) 有條件的話建議備份整個硬盤 分析服務器在安全方面存在的隱患 更改相關安全設置 在安全設備上 如防火墻 IPS 對該服務器與外網地址的 連接數進行限制 在同一時刻只允許一定數量的地址與服 務器建立連接 6 被攻擊者接入網絡 如果還有攻擊 則需等待運營商處理完畢后 再接入網絡 41 59 7 檢查被攻擊設備的數據是否丟失損壞 8 如數據有丟失或損壞 則恢復被攻擊目標設備的數據 9 事故處理完后對此次事故進行總結 預案流程 網絡入侵突發(fā)事件 應急處理 值班人員或中心人員 報告應急小組相關負責人 通過監(jiān)控設備找出入侵服務 并斷開相關對外服務 檢查服務器等相關數據是否損 壞或被盜 恢復受損數據 啟動反黑客追 蹤 加強安全策略 寫評估總結報告 42 59 8 68 6 病毒爆發(fā)應急預案病毒爆發(fā)應急預案 8 8 6 6 1 1 病毒防護日常管理病毒防護日常管理 為了保證深圳市 XXX 電子政務內網的安全 系統(tǒng)管理 員必須安裝殺毒軟件和升級系統(tǒng)補丁 建立完整的防病毒 系統(tǒng)管理及維護日志 8 6 2 病毒爆發(fā)應急預案清單病毒爆發(fā)應急預案清單 預案名稱預案名稱病毒爆發(fā)事故 預案 預案編號預案編號 預案目的預案目的發(fā)生病毒爆發(fā)或感染事故后 應用本預案處 理故障 預案啟動條件預案啟動條件 發(fā)生病毒爆發(fā)或感染事故 預案執(zhí)行實施預案執(zhí)行實施 日期日期 年 月 日 組織機構及職責組織機構及職責 組成姓名聯(lián)系方式職責 負責人安全主管 現(xiàn)場指揮安全主管 網絡管理員 成員 機房管理員 43 59 廠家聯(lián)絡方式廠家聯(lián)絡方式 廠家名稱姓名聯(lián)系方式 軟件介質名稱介質編號存放地點備注 備品備件名稱設備編號存放地點備注 儀器名稱儀器編號存放地點備注 44 59 預案執(zhí)行步驟及通告 一 故障通告 1 將故障情況向信息部部長匯報 信息部通知受影響的用 戶 并視情況的嚴重程度通知應急領導小組 2 對用戶的病毒通知 采用發(fā)文或短信方式 二 預案執(zhí)行步驟 終端網絡型病毒 可依靠網絡進行大面積快速傳播 如 灰鴿子 熊貓燒 香 沖擊波等 小面積病毒爆發(fā) 1 接到報障電話 工程師到現(xiàn)場處理 確定是否中毒 如 確認中毒則將中毒主機斷網隔離 2 采用已安裝并更新至最新病毒庫的專業(yè)殺毒軟件進行查 殺 如能查殺則現(xiàn)場處理 3 針對未知的新型病毒 殺毒軟件不能查殺的 則將用戶 數據備份后 再重裝系統(tǒng) 同時將病毒樣本上報殺毒軟件 廠商 4 待殺毒軟件廠商升級病毒庫后 再查殺中毒電腦 大面積病毒爆發(fā) 1 確定大面積病毒爆發(fā) 上報上級主管部門 2 先采用殺毒軟件進行查殺 如果可以查殺則發(fā)通知用戶 進行查殺 殺毒軟件無法查殺的情況下 對爆發(fā)區(qū)域進 45 59 行斷網處理 并發(fā)布病毒通知 3 聯(lián)系廠商進行現(xiàn)場技術支持 上報上級主管部門 終端單機型病毒 病毒傳播速度較慢 網絡不是其傳播主要手段 如 文件 型病毒 U 盤病毒等 1 接到報障電話 工程師到現(xiàn)場處理 確定是否中毒 如 確認中毒則將中毒主機斷網隔離 2 采用已安裝并更新至最新病毒庫的專業(yè)殺毒軟件進行查 殺 如能查殺則現(xiàn)場處理 3 如以上軟件不能處理 則將用戶數據備份后 再重裝系 統(tǒng) 4 安裝操作系統(tǒng)并安裝殺毒軟件后 再手工升級 5 對終端進行全盤掃描 可能的情況下對移動介質掃描處 理 6 針對傳播速度相對較快 如 U 盤病毒 則通過 OA 等方式 發(fā)布通知 提醒用戶注意病毒防護 服務器病毒防護 上報上級主管部門 并通過 OA 或短信發(fā)布服務器維護通知 1 對服務器進行斷網隔離 并手工備份相關數據 并進行 單獨存儲 2 采用趨勢殺毒軟件或 360 安全衛(wèi)士進行查殺 如能查殺 46 59 則現(xiàn)場處理 1 3 針對未知的新型病毒 殺毒軟件不能查殺的 則將用戶 數據備份后 再重裝系統(tǒng) 同時將病毒樣本上報殺毒軟件 廠商 2 4 待殺毒軟件廠商升級病毒庫后 再查殺中毒電腦 預案流程 病毒爆發(fā)突發(fā)事件 應急處理 值班人員或中心人員 報告應急小組相關負責人 確定病毒類型 通過 找到被感染機器 并斷 開網線 檢查服務器和桌面電腦是否中 毒 清除被感染機器的病毒 編寫評估總結報告 8 78 7 業(yè)務軟件故障應急預案業(yè)務軟件故障應急預案 47 59 8 8 7 7 1 1 業(yè)務業(yè)務軟件軟件日常管理日常管理 為了加強深圳市 XXX 業(yè)務軟件的管理 應對具有高可 用性要求的業(yè)務軟件和補丁進行備份 形成業(yè)務軟件和補 丁備份機制 8 8 7 7 2 2 業(yè)務業(yè)務軟件軟件故障預案清單故障預案清單 預案名稱預案名稱業(yè)務軟件故 障預案 預案編預案編 號號 預案目的