深圳市信息安全應(yīng)急響應(yīng)體系建設(shè)

1、隨心編輯,值得下載擁有!YOUR COMPA NY NAME IS HERE 專業(yè)I專注I精心I卓越【安全生產(chǎn)管理】深圳市信 息安全應(yīng)急響應(yīng)體系建設(shè)深圳市 XXX信息安全應(yīng)急響應(yīng)預案深圳市 XXXXX 年 XX 月目錄1. 總則 31.1 目的 31.2現(xiàn)狀及其成因 32. 組織機構(gòu)及職責 32.1應(yīng)急指揮機構(gòu)33. 預警和預防機制 33.1 信息監(jiān)測及方案 33.2預警33.3預警支持系統(tǒng) 33.4預防機制34. 應(yīng)急處理程序 34.1級別的確定34.2 預案啟動 34.3現(xiàn)場應(yīng)急處理 34.4方案和總結(jié)34.5應(yīng)急行動結(jié)束 35. 保障措施 35.1技術(shù)支撐保障 35.2應(yīng)急隊伍保障 35

2、.3物質(zhì)條件保障35.4技術(shù)儲備保障36. 培訓和演習 36.1人員培訓36.2應(yīng)急演習37. 監(jiān)督檢查和獎懲 37.1 預案執(zhí)行監(jiān)督 37.2 獎懲和責任38. 各種突發(fā)事件應(yīng)急預案 38.1通信網(wǎng)絡(luò)故障應(yīng)急預案 38.1.1通信網(wǎng)絡(luò)日常管理 38.1.2通信網(wǎng)絡(luò)故障應(yīng)急預案清單 38.2業(yè)務(wù)數(shù)據(jù)故障應(yīng)急預案 38.2.1業(yè)務(wù)數(shù)據(jù)日常管理 38.2.2 業(yè)務(wù)數(shù)據(jù)故障預案清單 38.3服務(wù)器軟件故障預案 38.4服務(wù)器硬件故障應(yīng)急預案 3841服務(wù)器硬件日常管理 3842服務(wù)器硬件故障預案清單38.5網(wǎng)絡(luò)攻擊事件預案 38.6病毒爆發(fā)應(yīng)急預案 3861病毒防護日常管理 3862病毒爆發(fā)應(yīng)急預案

3、清單38.7業(yè)務(wù)軟件故障應(yīng)急預案 38.7.1業(yè)務(wù)軟件日常管理 38.7.2 業(yè)務(wù)軟件故障預案清單 38.8應(yīng)急演練38.9通用表格38.9.1信息安全事件方案表 38.9.2信息安全事件應(yīng)急處理結(jié)果方案表 38.10 深圳市 XXX 信息突發(fā)事件處理組織機構(gòu) 3深圳市XXX信息系統(tǒng)突發(fā)事件應(yīng)急預案本預案內(nèi)容包括總則、組織指揮體系及職責、預警和預 防機制、應(yīng)急處理程序、保障措施、各種突發(fā)事件應(yīng)急預案 等。明確規(guī)定了深圳市 XXX在發(fā)生網(wǎng)絡(luò)和信息安全重大突發(fā) 事件情況下各部門的相關(guān)職能和工作方法，具有一定的宏觀 指導性和可操作性，對減少網(wǎng)絡(luò)和信息安全突發(fā)事件，保障 業(yè)務(wù)系統(tǒng)正常開展起著重要作用。

4、1.總則1.1目的為科學應(yīng)對網(wǎng)絡(luò)和信息安全（以下簡稱“信息安全”）突 發(fā)事件建立健全信息安全應(yīng)急響應(yīng)機制，有效預防、及時控 制和最大限度地消除信息安全各類突發(fā)事件的危害和影響。1.2現(xiàn)狀及其成因近年來，深圳市XXX信息安全工作得到加強。 但信息安 全保障基礎(chǔ)工作和技術(shù)保障措施比較薄弱，和信息化快速發(fā) 展的要求和日趨嚴峻的信息安全形勢不協(xié)調(diào)。信息安全突發(fā)事件成因可分為倆個方面：一是網(wǎng)絡(luò)和信 息系統(tǒng)自身的脆弱性，主要表當下：安全漏洞的普遍性，攻 擊和惡意代碼的流行性，入侵檢測能力的局限性，網(wǎng)絡(luò)和系 統(tǒng)管理的復雜性。二是網(wǎng)絡(luò)和信息系統(tǒng)外部體制性的不安全性，主要表當下：信息安全法制不健全，全社會的信息

5、安全 意識淡薄，深圳市XXX信息安全自主可控能力不強，技術(shù)防御整體水平不高，信息安全專業(yè)人才缺乏，專業(yè)隊伍建設(shè)嚴 重滯后。2. 組織機構(gòu)及職責2.1應(yīng)急指揮機構(gòu)2.1.1深圳市XXX信息系統(tǒng)突發(fā)事件應(yīng)急領(lǐng)導小組在深圳市XXX黨組的統(tǒng)一領(lǐng)導下，設(shè)立深圳市XXX信息系統(tǒng)突發(fā)事件應(yīng)急領(lǐng)導小組（以下簡稱“信息突發(fā)事件應(yīng)急 領(lǐng)導小組”），為深圳市XXX處理信息安全突發(fā)事件應(yīng)急工 作的綜合性議事、協(xié)調(diào)機構(gòu)。主要職責是：按照國家、廣東省、深圳市政府信息安全 應(yīng)急機構(gòu)的要求開展預防和處置工作；研究決定深圳市XXX信息安全應(yīng)急工作的有關(guān)重大問題；決定III級和IV級信息安全突發(fā)事件應(yīng)急預案的啟動，組織力量對II

6、I級和IV級突發(fā)事件進行處置；接受深圳市政府信息安全應(yīng)急機構(gòu)的統(tǒng)一 領(lǐng)導，組織指揮II級和I級突發(fā)事件的應(yīng)急處置工作；指導 監(jiān)督信息安全應(yīng)急小組的工作；法律、法規(guī)、規(guī)章規(guī)定的其 他職責。信息突發(fā)事件應(yīng)急領(lǐng)導小組，由（最高領(lǐng)導人）作為主 任，（分管信息化工作的領(lǐng)導）作為副主任，成員由深圳市 XXX各部門部長組成。信息突發(fā)事件應(yīng)急領(lǐng)導小組下設(shè)應(yīng)急小組，由信息部部 長任組長，信息部副部長任副組長， 信息部其它成員任組員。 承擔深圳市XXX信息安全專項應(yīng)急領(lǐng)導小組的日常工作，負責深圳市XXX信息安全突發(fā)事件日常監(jiān)測和預警，其主要職責是：督促落實上級部門和深圳市 XXX信息突發(fā)事件應(yīng)急領(lǐng) 導小組做出的決

7、定和措施；擬訂或者組織擬訂深圳市 XXX信息部應(yīng)對信息安全突 發(fā)事件的工作規(guī)劃和應(yīng)急預案，報深圳市XXX領(lǐng)導小組批準 后組織實施；督促檢查信息安全專項應(yīng)急預案的制訂、修訂和執(zhí)行情況；匯總有關(guān)信息安全突發(fā)事件的各種重要信息，進行綜合 分析，且提出建議；監(jiān)督檢查、協(xié)調(diào)信息安全突發(fā)事件預防、應(yīng)急準備、應(yīng) 急處置和事后恢復和重建工作；組織制訂信息安全常識、應(yīng)急知識的宣傳培訓計劃和應(yīng) 急救援隊伍的業(yè)務(wù)培訓、演練計劃，報信息突發(fā)事件應(yīng)急領(lǐng) 導小組批準后督促落實；組織專家組判定突發(fā)事件級別，根據(jù)情況提出加強或撤 銷控制措施的建議和意見；組織召開部門協(xié)調(diào)會議，協(xié)調(diào)各 部門共同做好突發(fā)事件處置工作；檢查督導突發(fā)

8、事件應(yīng)急措 施的落實情況；及時收集、上報和通報突發(fā)事件有關(guān)情況， 負責向信息突發(fā)事件應(yīng)急領(lǐng)導小組方案有關(guān)工作情況； 2.1.2信息突發(fā)事件應(yīng)急領(lǐng)導小組各成員部門的職責信息部：統(tǒng)籌規(guī)劃建設(shè)應(yīng)急處理技術(shù)平臺，會同其他有 關(guān)部門組織制定單位突發(fā)事件應(yīng)急處理政策文件及技術(shù)方 案，負責安全事件處理的培訓，及時收集、上報和通報突發(fā) 事件情況，負責向信息突發(fā)事件應(yīng)急領(lǐng)導小組或中心領(lǐng)導方 案有關(guān)工作情況。相關(guān)部門：配合信息部組織制定信息系統(tǒng)突發(fā)事件應(yīng)急 處理政策文件及技術(shù)方案及其他各項工作。3. 預警和預防機制3.1信息監(jiān)測及方案信息部應(yīng)加強信息安全監(jiān)測、分析和預警工作，進一步 提高信息安全監(jiān)察能力。建立信息

9、安全事故方案制度。在突發(fā)事件發(fā)生后，發(fā)現(xiàn)人應(yīng)當立即向深圳市 XXX信息 突發(fā)事件應(yīng)急小組方案。發(fā)現(xiàn)人應(yīng)當立即對發(fā)現(xiàn)的事件進行調(diào)查核實、保存相關(guān) 證據(jù)，且在事件被發(fā)現(xiàn)時將證據(jù)報至信息突發(fā)事件應(yīng)急小 組。3.2預警信息突發(fā)事件應(yīng)急小組接到信息安全突發(fā)事件方案后，應(yīng)當經(jīng)初步核實后，將有關(guān)情況及時向組長方案，進一步進 行情況綜合，研究分析可能造成損害的程度，提出初步行動 對策，且及時報深圳市XXX應(yīng)急領(lǐng)導小組。領(lǐng)導小組主任視 情況召集協(xié)調(diào)會，決策行動方案，發(fā)布指示和命令。3.3預警支持系統(tǒng)深圳市XXX信息突發(fā)事件應(yīng)急領(lǐng)導小組應(yīng)建立和完善信息監(jiān)測、傳遞網(wǎng)絡(luò)和指揮決策支持系統(tǒng)，要保證資源共享、運轉(zhuǎn)正常、指

10、揮有力。3.4預防機制積極推行信息安全等級保護，逐步實行信息安全風險評估。各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)建設(shè)要充分考慮抗毀性 和災難恢復，制定且不斷完善信息安全應(yīng)急處理預案。針對 基礎(chǔ)信息網(wǎng)絡(luò)的突發(fā)性、大規(guī)模安全事件，各相關(guān)部門建立 制度化、程序化的處理流程。4. 應(yīng)急處理程序4.1級別的確定信息安全事件分級的參考要素包括信息密級、公眾影 響、業(yè)務(wù)影響和資產(chǎn)損失等四項。各參考要素分別說明如下：(1) 信息密級是衡量因信息失竊或泄密所造成的信息安 全事件中所涉及信息的重要程度的要素；(2) 公眾影響是衡量信息安全事件所造成的負面影響范 圍和程度的要素；(3) 業(yè)務(wù)影響是衡量信息安全事件對事發(fā)單位正

11、常業(yè)務(wù) 開展所造成的負面影響程度的要素；(4) 資產(chǎn)損失是衡量恢復系統(tǒng)正常運行和消除信息安全 事件負面影響所需付出資金代價的要素。信息安全突發(fā)事件級別分為四級：一般(IV級)、較大(III級)、重大(II級)和特別重大(I級)，對應(yīng)顏色依次為藍色、黃 色、橙色和紅色。一般-IV級：|深圳市XXX較小范圍出現(xiàn)且可能造成較大 損害的信息安全事件。較大-川級：深圳市XXX部分網(wǎng)絡(luò)和信息系統(tǒng)、網(wǎng)站受 到大面積、嚴重沖擊。重大-II級：深圳市XXX大部分網(wǎng)絡(luò)、信息系統(tǒng)、網(wǎng)站 基本癱瘓，導致業(yè)務(wù)中斷，但縱向或橫向延伸可能造成嚴重 社會影響或較大經(jīng)濟損失。特別重大-|級:深圳市XXX所有基礎(chǔ)網(wǎng)絡(luò)（包括縱向或

12、 橫向延伸）、信息系統(tǒng)、網(wǎng)站嚴重癱瘓，導致業(yè)務(wù)中斷，造 成或可能造成嚴重法律糾紛或?qū)φ卮笮蜗蠊こ淘斐删?大負面影響的信息安全事件。4.2預案啟動421啟動預案的權(quán)限。發(fā)生IV級網(wǎng)絡(luò)信息安全事件后， 信息突發(fā)事件應(yīng)急領(lǐng)導小組負責啟動相應(yīng)預案，信息突發(fā)事 件應(yīng)急小組負責應(yīng)急處理工作；發(fā)生III級網(wǎng)絡(luò)信息安全事件后，信息突發(fā)事件應(yīng)急領(lǐng)導小組負責啟動相應(yīng)預案，且負責 應(yīng)急處理工作；發(fā)生I、II級的信息安全突發(fā)事件后，上報市人民政府及上級主管部門啟動相應(yīng)預案，且由市信息安全應(yīng) 急指揮部負責應(yīng)急處理工作。4.2.2啟動預案的流程。深圳市 XXX信息安全應(yīng)急小組 接到方案后，應(yīng)當立即上報深圳市 XXX信

13、息突發(fā)事件應(yīng)急領(lǐng) 導小組有關(guān)負責人，且會同相關(guān)成員盡快組織專家組對突發(fā) 事件性質(zhì)、級別及啟動預案的時機進行評估，向信息突發(fā)事 件應(yīng)急領(lǐng)導小組提出啟動預案的建議，報信息突發(fā)事件應(yīng)急 領(lǐng)導小組批準。4.2.3啟動預案后的應(yīng)急處理。在信息突發(fā)事件應(yīng)急領(lǐng) 導小組作出啟動預案決定后，信息突發(fā)事件應(yīng)急小組立即啟 動應(yīng)急處理工作。4.3現(xiàn)場應(yīng)急處理現(xiàn)場應(yīng)急處理工作組應(yīng)盡最大可能收集事件相關(guān)信息， 明確事件類別，確定事件來源，保護證據(jù)，以便縮短應(yīng)急響 應(yīng)時間。檢查威脅造成的結(jié)果，評估事件帶來的影響和損害：如 檢查系統(tǒng)、服務(wù)、數(shù)據(jù)的完整性、保密性或可用性，檢查攻 擊者是否侵入了系統(tǒng)，以后是否能再次隨意進入，損失

14、的程 度，確定暴露出的主要危險等。抑制事件的影響進一步擴大，限制潛在的損失和破壞。根除惡意代碼造成的不良影響。在事件被抑制之后，通 過對有關(guān)惡意代碼或行為的分析結(jié)果，找出事件根源，明確 相應(yīng)的補救措施且徹底清除。和此同時，執(zhí)法部門和其他相 關(guān)機構(gòu)將對攻擊源進行定位且采取合適的措施將其中斷。清理系統(tǒng)、恢復數(shù)據(jù)、程序、服務(wù)。把所有被攻破的系 統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底仍原到它們正常的任務(wù)狀態(tài)?；謴凸ぷ鲬?yīng) 該十分小心，避免出現(xiàn)誤操作導致數(shù)據(jù)的丟失。另外，恢復 工作中如果涉及到機密數(shù)據(jù)，需要額外遵照機密系統(tǒng)的恢復 要求。4.4方案和總結(jié)回顧且整理發(fā)生事件的各種相關(guān)信息，盡可能地把所有 情況記錄到文檔中。發(fā)生重大

15、信息安全事件的單位應(yīng)當在事 件處理完畢后5個工作日內(nèi)將處理結(jié)果報市經(jīng)貿(mào)信委備案。4.5應(yīng)急行動結(jié)束根據(jù)信息安全事件的處置進展情況和現(xiàn)場應(yīng)急處理工 作組意見，信息突發(fā)事件應(yīng)急小組應(yīng)組織相關(guān)部門及專家組 對信息安全事件的處置情況進行綜合評估，且向信息突發(fā)事 件應(yīng)急領(lǐng)導小組提出應(yīng)急行動結(jié)束建議，且報信息突發(fā)事件 應(yīng)急領(lǐng)導小組批準。應(yīng)急行動是否結(jié)束，由組織決定。5. 保障措施5.1技術(shù)支撐保障信息突發(fā)事件應(yīng)急小組應(yīng)建立預警和應(yīng)急處理的技術(shù) 平臺，進一步提高安全事件的發(fā)現(xiàn)和分析能力：從技術(shù)上逐 步實現(xiàn)發(fā)現(xiàn)、預警、處置、通報等多個環(huán)節(jié)和不同的網(wǎng)絡(luò)、 系統(tǒng)之間應(yīng)急處理的聯(lián)動機制。5.2應(yīng)急隊伍保障加強信息安

16、全人才培養(yǎng)，建設(shè)一支高素質(zhì)、高技術(shù)的信 息安全核心人才和管理隊伍，提高單位信息安全防御意識。5.3物質(zhì)條件保障在深圳市XXX信息化專項資金中安排一定的資金用于 預防或應(yīng)對信息安全突發(fā)事件，提供必要的交通運輸保障， 提前采購信息安全應(yīng)急處理工作需要的檢測、維修工具和設(shè) 備配件。5.4技術(shù)儲備保障深圳市XXX信息突發(fā)事件應(yīng)急小組組織有關(guān)專家和科 研力量，開展應(yīng)急運作機制、應(yīng)急處理技術(shù)、預警和控制等 研究，推廣和普及新的應(yīng)急技術(shù)。6. 培訓和演習6.1人員培訓為確保信息安全應(yīng)急預案有效運行，信息突發(fā)事件應(yīng)急 小組應(yīng)定期或不定期地舉辦不同層次、不同類型的培訓班或 研討會，應(yīng)利用已有的資源，采用案例教學

17、、情景模擬、交 流研討、案例分析、應(yīng)急演練、對策研究等方式，開展形式 多樣的培訓工作，以便不同崗位的應(yīng)急人員都能全面熟悉且 掌握信息安全應(yīng)急處理的知識和技能。6.2應(yīng)急演習為提高信息安全突發(fā)事件應(yīng)急響應(yīng)水平，信息突發(fā)事件 應(yīng)急小組應(yīng)定期或不定期組織預案演練；檢驗應(yīng)急預案各環(huán) 節(jié)之間的通信、協(xié)調(diào)、指揮等是否符合快速、高效的要求。通過演習，進一步明確應(yīng)急響應(yīng)各崗位責任，對預案中存在 的問題和不足及時補充、完善。7. 監(jiān)督檢查和獎懲7.1預案執(zhí)行監(jiān)督信息突發(fā)事件應(yīng)急領(lǐng)導小組負責對預案實施的全過程 進行監(jiān)督檢查，督促成員部門按本預案指定的職責采取應(yīng)急 措施，確保及時、到位。發(fā)生重大信息安全事件的單位應(yīng)

18、當按照規(guī)定及時如實 地方案事件的有關(guān)信息， 不得瞞報、緩報或者授意他人瞞報、 緩報。任何單位或個人發(fā)現(xiàn)有瞞報、緩報、謊報重大信息安 全事件情況時，有權(quán)直接向信息突發(fā)事件應(yīng)急領(lǐng)導小組舉 報。應(yīng)急行動結(jié)束后，信息突發(fā)事件應(yīng)急領(lǐng)導小組對相關(guān)成 員單位采取的應(yīng)急行動的及時性、有效性進行評估。7.2獎懲和責任對下列情況能夠經(jīng)信息突發(fā)事件應(yīng)急小組評估審核，報 信息突發(fā)事件應(yīng)急領(lǐng)導小組批準后予以獎勵：在應(yīng)急行動中做出特殊貢獻的先進單位和集體；在應(yīng)急行動中提出重要建議方案，節(jié)約大量應(yīng)急資源或 避免重大損失的人員；在應(yīng)急行動第一線做出重大成績的現(xiàn)場作業(yè)人員；在發(fā)生重大信息安全事件后，有關(guān)責任單位、責任人有 瞞報

19、、緩報、漏報和其它失職、瀆職行為的，信息突發(fā)事件 應(yīng)急領(lǐng)導小組將予以通報批評；對造成嚴重不良后果的，將 視情節(jié)由有關(guān)主管部門追究責任領(lǐng)導和責任人的行政責任； 構(gòu)成犯罪的，由有關(guān)部門依法追究其法律責任。對未及時落實市信息安全專項應(yīng)急領(lǐng)導小組指令，影響 應(yīng)急行動的效果的，按國務(wù)院關(guān)于特大安全事故行政責任 追究的規(guī)定、廣東省重大事故責任追究制度追究相關(guān) 人員的責任。8. 各種突發(fā)事件應(yīng)急預案本預案所稱突發(fā)性事件，是指自然因素或者人為活動引 發(fā)的危害機房或人身安全等有關(guān)的事件。主要有以下幾個類 型：1、地震、火災、雷電、水災等自然災害造成的破壞性 突發(fā)事件；2、信息處理設(shè)備被盜、機房存在重大安全隱患而

20、造成的損失等嚴重突發(fā)事件；3、信息系統(tǒng)存在嚴重 BUG造成業(yè)務(wù)操作失誤， 數(shù)據(jù)錯 誤；4、網(wǎng)絡(luò)中斷或網(wǎng)絡(luò)大規(guī)模癱瘓；5、病毒和黑客入侵或其他原因造成數(shù)據(jù)丟失、刪改；6、服務(wù)器、網(wǎng)絡(luò)設(shè)備嚴重故障；7、因大面積停電、外部網(wǎng)絡(luò)中斷等因素導致無法使用 等突發(fā)事件。本預案通過演習、實踐檢驗，以及根據(jù)應(yīng)急力量變更、 新技術(shù)、新資源的應(yīng)用和應(yīng)急事件發(fā)展趨勢，及時進行修訂 和完善；本預案所附的成員、通信地址等發(fā)生變化時也應(yīng)隨時修 訂；本預案由深圳市 XXX信息部負責修訂，報深圳市 XXX 領(lǐng)導批準后實施，授權(quán)深圳市XXX信息突發(fā)事件應(yīng)急小組負 責對本預案附件及附錄的修改、審批和實施。本預案修訂采取改版或換頁的

21、方式進行。本預案由深圳市 XXX信息部制定，由信息突發(fā)事件應(yīng)急 領(lǐng)導小組負責解釋。本預案日常工作由深圳市 XXX信息部負責。聯(lián)系電話：(83948121 )。聯(lián)系部門：深圳市 XXX信息部。聯(lián)系人清單:角色姓名職責聯(lián)絡(luò)信息工作電話手機應(yīng)急小組組長應(yīng)急小組副組長協(xié)調(diào)人局域網(wǎng)組機房維護組機房維護組機房維護組本預案自發(fā)布之日起實施。深圳市XXX二 O XX年 月 日8.1通信網(wǎng)絡(luò)故障應(yīng)急預案8.1.1通信網(wǎng)絡(luò)日常管理為了保證深圳市 XXX通信網(wǎng)絡(luò)的正常工作，信息部工 作人員必須做好機房網(wǎng)絡(luò)設(shè)施的日常維護。8.1.2通信網(wǎng)絡(luò)故障應(yīng)急預案清單預案名稱網(wǎng)絡(luò)通信系統(tǒng)故障預案預案編號預案目的網(wǎng)絡(luò)通信系統(tǒng)發(fā)生故

22、障后， 應(yīng)用本預案處理故障預案啟動條件網(wǎng)絡(luò)通信系統(tǒng)發(fā)生故障預案執(zhí)行頭施日期組織機構(gòu)及職責組成姓名聯(lián)系方式職責負責人安全主管現(xiàn)場指揮安全主管成員網(wǎng)絡(luò)管理員機房管理員機房管理員廠家聯(lián)絡(luò)方式廠家名稱姓名聯(lián)系方式軟件介質(zhì)名稱介質(zhì)編號存放地點備注備品備件名稱設(shè)備編號存放地點備注交換機和路由器供應(yīng)商倉庫圖紙名稱圖紙編號存放地點備注網(wǎng)絡(luò)拓撲圖信息部預案執(zhí)行步驟及通告一、故障通告1.將故障情況向信息部部長匯報。信息部通知受影響的用戶，且視情況的嚴重程度通知應(yīng)急領(lǐng)導小組。二、預案執(zhí)行步驟1、信息部接到報障后，應(yīng)立即安排維護工程師到現(xiàn)場查見；PING各關(guān)鍵設(shè)備的IP地址，來初步定位故障點（某設(shè)備，某端口）。 通過

23、鏈路檢查命令確定是網(wǎng)絡(luò)通信故障，則啟用一下預案。如是服務(wù)器或其他設(shè)備，則啟用相關(guān)預案。確定故障類型及影響范圍：（1 ）鏈路故障（2）核心、匯聚層設(shè)備硬件故障(3) 接入層設(shè)備硬件故障(4 )出口區(qū)域設(shè)備硬件故障(5)非硬件故障故障處理流程：(1 )鏈路故障處理流程：先將故障匯報至信息部，通報給受影響的用戶檢查線路及鏈 路轉(zhuǎn)換設(shè)備是否工作正常(如：光電轉(zhuǎn)換器)，物理鏈路包括雙 絞線、以太網(wǎng)光纖、廣域網(wǎng)線路。A .雙絞線故障能夠采用替換的方式解決；B. 以太網(wǎng)光纖故障，則聯(lián)系局域網(wǎng)線路維護方進行重新熔接；C. 廣域網(wǎng)線路故障，則聯(lián)系運營商進行處理。轉(zhuǎn)換設(shè)備故障：光電轉(zhuǎn)換器、協(xié)議轉(zhuǎn)換器、光纖模塊等，

24、根據(jù)設(shè)備的運維方分別聯(lián)系對應(yīng)的運維方進行處理。所有鏈路故障能夠臨時替換解決的，先臨時替換規(guī)避故障使網(wǎng)絡(luò)恢復正常不 能替換的匯報信息部，協(xié)商解決方案(2)核心、匯聚層設(shè)備硬件故障：核心、匯聚層設(shè)備相對比較高端， 故障涉及引擎、業(yè)務(wù)板卡、 電源模塊等 引擎故障：A. 針對外網(wǎng)核心為雙引擎配置， 單個引擎損壞不影響設(shè)備正常 工作。向信息部匯報故障同時通知設(shè)備維護商上門檢修；B. 針對內(nèi)網(wǎng)核心，無引擎冗余設(shè)置，但有設(shè)備冗余，單個故障不會影響接入層的通迅， 首先將故障機上的服務(wù)器、鏈路切換到另一臺核心交換機上， 調(diào)整相應(yīng)的配置。然后上報信息部且通知 設(shè)備維護商上門檢修；C. 匯聚層設(shè)備引擎損壞對網(wǎng)絡(luò)不會

25、造成網(wǎng)絡(luò)中斷，上報信息部，且通知設(shè)備維護商上門檢修。(3) 業(yè)務(wù)板卡故障A. 如果設(shè)備其它業(yè)務(wù)板上未使用端口較多，則將故障板卡上的 線路切到其它板卡未使用的端口，且將做好相關(guān)配置B. 如果設(shè)備其它板卡上未使用端口較少，則能夠采取非故障業(yè)務(wù)板下掛交換機的方法來增加端口數(shù)量，將故障板卡上的線路切到新增交換機上。臨時規(guī)避處理后，然后上報信息部且通知設(shè)備 維護商上門檢修；(4) 電源模塊、機箱、風扇等基礎(chǔ)硬件故障。A. 雙電源設(shè)計設(shè)備，單個電源損壞不會對設(shè)備造成影響，向信 息部匯報且通知設(shè)備維護商上門檢修；B. 單電源、機箱、風扇等故障，臨時規(guī)避措施和內(nèi)網(wǎng)核心引擎 故障處理方法一致。(5) 接入層設(shè)備

26、硬件故障：A. 接入層設(shè)備故障影響一般為單個樓層，如有備件，則現(xiàn)場更 換備件，做好相關(guān)配置，且匯報信息部及通知設(shè)備維護商上門檢 修；B. 如果沒有備件且下接為同一網(wǎng)段用戶時，可臨時采用傻瓜交換機對故障設(shè)備進行替換，且調(diào)整相應(yīng)的匯聚交換機配置。匯報 信息部同時通知設(shè)備維護商上門檢修；C. 如果沒有備件且下接為不同網(wǎng)段用戶時，只能保證關(guān)鍵網(wǎng)段的通迅，或者調(diào)整用戶IP地址。規(guī)避方法和同一網(wǎng)段用戶相同。D. 如果備件或傻瓜交換機無光纖端口，則可采用增加光電轉(zhuǎn)換 器的方法，替換光纖模塊，用雙絞線接入交換機。(6) 出口區(qū)域故障：出口區(qū)域包括防火墻、路由器、安全網(wǎng)關(guān)、網(wǎng)閘等 ，針對工 作為透明模式的設(shè)備，

27、直接將設(shè)備撤下，匯報信息部同時通知設(shè) 備維護商上門檢修；A.非透明模式工作的設(shè)備，如有備件則調(diào)試好備件，將故障設(shè) 備替換，且匯報信息部同時通知設(shè)備維護商上門檢修；無備件的情況則上報信息部同時通知設(shè)備維護商上門檢修；所有故障設(shè)備返修完畢后，正式上線前，需匯報信息部，確定上線時間，才能 停機安裝調(diào)試。非硬件故障進行設(shè)備各項信息收集：接入CONSOLE線，能否進行設(shè)備操作界面：(1) 如能進行操作界面，則收集設(shè)備信息；(2) 如不能進入操作界面則判斷為設(shè)備本身故障，升級設(shè)備軟件見能否解決，如不能則為設(shè)備硬件故障，如有備件，則替換上備件，如無備件，向信息部負責人匯報故障處理情況，同時通知設(shè)備維護商上門

28、檢修；查見CPU信息：show cpu結(jié)合以往經(jīng)驗，判斷該設(shè)備CPU利用率是否在正常范圍內(nèi)如果CPU利用率比正常情況下高很多，則可能是攻擊，如大 量的主機掃描；或環(huán)路導致。能夠通過抓包分析來確定攻擊源或 環(huán)路端口。如為攻擊則斷開攻擊源，如為環(huán)路，則解除環(huán)路，且 向信息部負責人匯報處理過程。其它廠商設(shè)備，如深信服網(wǎng)關(guān)、天融信防火墻等，通過WEB方式能夠查見CPU利用率查見設(shè)備運行信息： show running-config和最近備份配置對比，見是否存在改動，如存在改動，則進行仍原配置操作，是否能解決故障，如能解決，則先仍原配置，分析 改動配置存在的問題。 且將處理情況向信息部負責人匯報；如果仍

29、原配置后，故障依舊，則進行下一步操作。如果配置未進行改動，則進行下一步操作。查見 MAC 地址表：show mac-address-table查見故障設(shè)備是否學到對方的 MAC地址，如沒有學到或?qū)W到的 信息不正確，則檢查鏈路狀態(tài)，或者是否存在 MAC地址攻擊等。(4)如果MAC地址表正常，則進行下一步操作查見 ARP 表：show arp查見故障設(shè)備是否學習到對方ARP信息或信息是否正確，如果沒有學到，則分析是否病毒，如ARP病毒，或其它原因?qū)е氯绻軐W到對方 ARP信息，則進行下一步操作。查見路由表： show ip router檢查到對方的路由是否正常，如果路由不正常，則分析路由不正常的原

30、因如果路由表正常，則進行下一步操作。查見是否由于安全設(shè)備原因安全設(shè)備是否限制了正常的通迅安全設(shè)備是否將正常報文誤斷為攻擊8、經(jīng)過之上操作仍無法定位原因解決故障，則聯(lián)系第三方技術(shù) 支持9、確定故障原因后：如為病毒導致，則按病毒處理預案進行如為設(shè)備本身故障，則上報信息部，有備件的話，先用備件替換 故障設(shè)備，無備件，則和信息部負責人協(xié)商解決方案如果故障是因設(shè)備配置問題導致，則對原配置備份后，再調(diào)整相應(yīng)的配置10、故障解決后，進行經(jīng)驗總結(jié)，且提交至信息部負責人預案流程8.2業(yè)務(wù)數(shù)據(jù)故障應(yīng)急預案821業(yè)務(wù)數(shù)據(jù)日常管理為了加強深圳市 XXX業(yè)務(wù)數(shù)據(jù)安全的管理，應(yīng)對具有高可用性要求的業(yè)務(wù)數(shù)據(jù)進行備份，形成業(yè)

31、務(wù)數(shù)據(jù)備份機制。8.2.2業(yè)務(wù)數(shù)據(jù)故障預案清單預案名稱業(yè)務(wù)數(shù)據(jù)故障預案預案編號預案目的因各類原因?qū)е聵I(yè)務(wù)數(shù)據(jù)丟失的 處理方案預案啟動條件因各類原因，導致業(yè)務(wù)數(shù)據(jù)丟失預案執(zhí)行實施日期年 月曰組織機構(gòu)及職責組成姓名聯(lián)系方式職責負責人安全主管現(xiàn)場指揮安全主管成員網(wǎng)絡(luò)管理員機房管理員需通知的其他部門部門名稱聯(lián)系人電話注意事項廠家聯(lián)絡(luò)方式廠家名稱姓名聯(lián)系方式軟件介質(zhì)名稱介質(zhì)編號存放地點備注預案執(zhí)行步驟及通告一、故障通告1. 將故障情況向信息部部長匯報。信息部通知受影響的 用戶，且視情況的嚴重程度通知應(yīng)急領(lǐng)導小組。二、預案執(zhí)行步驟發(fā)生業(yè)務(wù)數(shù)據(jù)故障（因硬件/軟件故障或誤操作導致）后， 現(xiàn)場值班人員應(yīng)及時聯(lián)系

32、數(shù)據(jù)庫管理員，檢查和備份業(yè)務(wù)系 統(tǒng)當前數(shù)據(jù)；由數(shù)據(jù)庫管理員確定能用于恢復的數(shù)據(jù)備份及其介質(zhì) （磁盤/磁帶，本地/異地）；如果數(shù)據(jù)庫管理員不能在短時間內(nèi)修復數(shù)據(jù)，則需及時 上報應(yīng)急領(lǐng)導小組，由其通知業(yè)務(wù)部門以手工開展業(yè)務(wù)；利用備份恢復業(yè)務(wù)數(shù)據(jù)后，需要協(xié)同業(yè)務(wù)部門的人員檢 查數(shù)據(jù)的有效性（歷史數(shù)據(jù)和當前數(shù)據(jù)的差別），且根據(jù)需要，聯(lián)合應(yīng)用系統(tǒng)開發(fā)商，輔助相關(guān)的業(yè)務(wù)人員補錄入數(shù)據(jù)；完成修復后，立即備份當前數(shù)據(jù)；編寫故障分析方案，向應(yīng)急領(lǐng)導小組匯報。預案處理流程8.3服務(wù)器軟件故障預案預案名稱服務(wù)器軟件故障預案預案編號預案目的服務(wù)器發(fā)生軟件故障后，應(yīng)用本預案處理故 障預案啟動條件服務(wù)器發(fā)生軟件故障（除應(yīng)

33、用軟件系統(tǒng)外）預案執(zhí)仃頭施日期年 月曰組織機構(gòu)及職責組成姓名聯(lián)系方式職責負責人安全主管現(xiàn)場指揮安全主管成員網(wǎng)絡(luò)管理員機房管理員廠家聯(lián)絡(luò)方式廠家名稱姓名聯(lián)系方式備注軟件介質(zhì)名稱介質(zhì)編號存放地點備注備品備件名稱設(shè)備編號存放地點備注儀器名稱儀器編號存放地點備注預案執(zhí)行步驟及通告一、故障通告1.將故障情況向信息部部長匯報。 信息部通知受影響的用戶， 且視情況的嚴重程度通知應(yīng)急領(lǐng)導小組。二、預案執(zhí)行步驟1. 發(fā)生服務(wù)器軟件系統(tǒng)故障后，現(xiàn)場值班人員應(yīng)立即組織查找、確定故障軟件；1）收集軟件所在服務(wù)器的基本信息，包括設(shè)備型號、系 統(tǒng)平臺、軟件版本、使用情況等信息；2） 檢查系統(tǒng)中各類日志（系統(tǒng)日志/應(yīng)用程序

34、日志/數(shù)據(jù) 庫日志等），分析故障發(fā)生的位置；2. 根據(jù)先期收集的信息、判斷故障事態(tài)的嚴重程度，及時方 案應(yīng)急指揮專責小組，啟動后續(xù)處理流程：1）業(yè)務(wù)軟件故障：聯(lián)系軟件開發(fā)商維護人員，讓其安排 技術(shù)人員在指定時間段內(nèi)趕到現(xiàn)場，對業(yè)務(wù)軟件進行深 入分析，繼而解決故障或重新部署軟件；2）數(shù)據(jù)庫軟件和備份軟件：由數(shù)據(jù)庫管理員確認故障原 因，繼而修復數(shù)據(jù)庫軟件，若軟件不能（及時）修復， 則在原設(shè)備或調(diào)度的備用設(shè)備上重新部署軟件，且利用 已有的備份內(nèi)容，恢復數(shù)據(jù)；3）操作系統(tǒng)：由系統(tǒng)管理員確認故障原因，繼而修復操作系統(tǒng)，若系統(tǒng)不能（及時）修復，則重新部署系統(tǒng)和 各類業(yè)務(wù)軟件及支持軟件，或啟動備份服務(wù)器系統(tǒng)

35、，由 備份服務(wù)器接管業(yè)務(wù)應(yīng)用，且及時方案軟件維護人員， 安排將故障服務(wù)器脫離網(wǎng)絡(luò)，保存系統(tǒng)狀態(tài)不變，取出 系統(tǒng)鏡像備份磁盤，保持原始數(shù)據(jù)；4）若使用備用系統(tǒng)，則在原服務(wù)器上修復系統(tǒng)后，需將 備用系統(tǒng)中的數(shù)據(jù)遷移回原系統(tǒng)中；5）如果問題嚴重，原有技術(shù)人員不能解決，則立即聯(lián)系 應(yīng)急指揮專責小組和維護廠商，請求技術(shù)支援，做好技 術(shù)處理，保證數(shù)據(jù)完整；6）處置結(jié)束后，將事發(fā)經(jīng)過、處理方法和結(jié)果編寫成 方案，提交給應(yīng)急指揮專責小組。預案流程8.4服務(wù)器硬件故障應(yīng)急預案841服務(wù)器硬件日常管理為了加強深圳市XXX信息部設(shè)備硬件管理，需要管理員 定期檢查、整理硬件物理連接線路， 定期檢查硬件運作狀態(tài)， 做好

36、硬件的冗余備份。8.4.2服務(wù)器硬件故障預案清單預案名稱服務(wù)器硬件故障預案預案編號預案目的服務(wù)器發(fā)生硬件故障后，應(yīng)用本預案處理故 障預案啟動條件服務(wù)器發(fā)生硬件故障（包括服務(wù)器/存儲/存儲網(wǎng)絡(luò)設(shè)備）預案執(zhí)行實施日期年 月曰組織機構(gòu)及職責組成姓名聯(lián)系方式職責負責人安全主管現(xiàn)場指揮安全主管成員網(wǎng)絡(luò)管理員機房管理員廠家聯(lián)絡(luò)方式廠家名稱姓名聯(lián)系方式軟件介質(zhì)名稱介質(zhì)編號存放地點備注備品備件名稱設(shè)備編號存放地點備注儀器名稱儀器編號存放地點備注預案執(zhí)行步驟及通告一、故障通告1. 將故障情況向信息部部長匯報。信息部通知受影響的用 戶，且視情況的嚴重程度通知應(yīng)急領(lǐng)導小組。二、預案執(zhí)行步驟1. 發(fā)生硬件故障后，及時

37、方案硬件維護人員，且組織查找、確定故障設(shè)備及故障原因，進行先期處置：1) 檢查硬件指示燈號，分辨出錯硬件；2) 檢查系統(tǒng)日志，查找和確定故障原因；3) 運行配套的硬件監(jiān)控和維護程序，查找和確定故障 原因；4) 收集設(shè)備的基本信息(硬件設(shè)備型號、系統(tǒng)平臺類型和版本、應(yīng)用軟件類型和版本)；5) 聯(lián)系硬件維護人員對故障設(shè)備進行檢修；2. 根據(jù)故障事態(tài)的嚴重程度，及時方案應(yīng)急指揮專責小組，啟動以下后續(xù)處理流程：1) 如果故障設(shè)備具有容錯能力，則由硬件維護人員聯(lián) 系備件庫管理人員，及時調(diào)度硬件，在線更換；2) 如果故障設(shè)備不具備容錯能力，而又無法在短時間 內(nèi)修復故障設(shè)備，則啟動備用設(shè)備，保持系統(tǒng)正常運行

38、;3) 如果沒有現(xiàn)成備用設(shè)備，則聯(lián)系備件庫管理人員，調(diào)度合適的硬件設(shè)備，根據(jù)之前收集的信息，在備用設(shè) 備上部署同型號同版本的操作系統(tǒng)、 支持軟件和業(yè)務(wù)軟 件，且恢復數(shù)據(jù)庫到備用設(shè)備，保證系統(tǒng)正常運行；4) 原設(shè)備在故障排除后，在網(wǎng)絡(luò)空閑時期，重新替換備用設(shè)備，把原先存儲和備用設(shè)備的數(shù)據(jù)遷移回原設(shè) 備；5) 若故障仍然存在，根據(jù)安全守則和實際需要，立即 聯(lián)系相關(guān)廠商，認真填寫設(shè)備故障方案單備查。預案流程8.5網(wǎng)絡(luò)攻擊事件預案預案名稱網(wǎng)絡(luò)攻擊事件預案預案編號預案目的網(wǎng)絡(luò)攻擊事件發(fā)生后，應(yīng)用本預案處理故障預案啟動條件發(fā)生網(wǎng)絡(luò)攻擊事件預案執(zhí)仃頭施日期年 月曰組織機構(gòu)及職責組成姓名聯(lián)系方式職責負責人安全

39、主管現(xiàn)場指揮安全主管成員網(wǎng)絡(luò)管理員信息安全管理員廠家聯(lián)絡(luò)方式廠家名稱姓名聯(lián)系方式軟件介質(zhì)名稱介質(zhì)編號存放地點備注備品備件名稱設(shè)備編號存放地點備注儀器名稱儀器編號存放地點備注預案執(zhí)行步驟及通告一、故障通告1.將故障情況向信息部部長匯報，信息部通知受影響的用 戶，且視情況的嚴重程度通知應(yīng)急領(lǐng)導小組。二、預案執(zhí)行步驟1. 確定源地址：如果服務(wù)器被攻擊，能夠通過以下手段來確定攻擊源：在服務(wù)器上運行netstat -an能夠見到大量的連接，找出發(fā) 起大量連接的源IP地址。也能夠在通過捕獲交換機上連接服 務(wù)器的端口的報文，進行分析，找到攻擊源IP。如果是安全網(wǎng)關(guān)被攻擊，則只能分別在其所有網(wǎng)絡(luò)連接端口來進行

40、抓包 分析。2. 臨時規(guī)避攻擊：臨時規(guī)避主要是針對外網(wǎng)發(fā)起的攻擊，最保險的方法是采取臨時斷網(wǎng)措施；如果不能斷網(wǎng)則能夠通過以下措施臨時規(guī)避：如果公網(wǎng)地址足夠，能夠通過更改對外發(fā)布服務(wù)的公網(wǎng)地址（服務(wù)器，同進仍需更改DNS解析）或者更改本身的外網(wǎng)地址（出口網(wǎng)關(guān)）。3. 備份被攻擊者數(shù)據(jù) 如為網(wǎng)絡(luò)設(shè)備，則備份配置文件，如為服務(wù)器則備份操作系統(tǒng)，有條件的話，建議備份整個硬盤。4. 追蹤攻擊源：內(nèi)網(wǎng)發(fā)起的攻擊：通過找出源IP，結(jié)合用戶IP登記資料，定位到用戶，直接將用戶斷網(wǎng)處理。外網(wǎng)發(fā)起的攻擊：和運營商聯(lián)系，同時上報網(wǎng)監(jiān)部門，根據(jù)對方要求提供相關(guān)資料，由運營商和網(wǎng)監(jiān)部門處理。5. 調(diào)整安全策略：在定位攻

41、擊源的時候，同時對服務(wù)器或出口網(wǎng)關(guān)進行加固，主要方法如下：安全網(wǎng)關(guān)主要是對其本身的登陸管理進行設(shè)置，包括對其本身IP的連接數(shù)，用戶登陸次數(shù)等進行限制，備份攻擊發(fā)生時的設(shè)備配置，以便后期分析。服務(wù)器在攻擊發(fā)生時第一時間斷開網(wǎng)絡(luò)，備份操作系統(tǒng)（有條件的話建議備份整個硬盤）；分析服務(wù)器在安全方面存在的隱患，更改相關(guān)安全設(shè)置。在安全設(shè)備上，如防火墻,IPS;對該服務(wù)器和外網(wǎng)地址的連 接數(shù)進行限制，在同一時刻只允許一定數(shù)量的地址和服務(wù)器 建立連接。6. 被攻擊者接入網(wǎng)絡(luò)如果仍有攻擊，則需等待運營商處理完畢后，再接入網(wǎng)絡(luò)。7. 檢查被攻擊設(shè)備的數(shù)據(jù)是否丟失損壞。8. 如數(shù)據(jù)有丟失或損壞，則恢復被攻擊目標設(shè)

42、備的數(shù)據(jù)9. 事故處理完后對此次事故進行總結(jié)。預案流程8.6病毒爆發(fā)應(yīng)急預案861病毒防護日常管理為了保證深圳市 XXX電子政務(wù)內(nèi)網(wǎng)的安全，系統(tǒng)管理員必須安裝殺毒軟件和升級系統(tǒng)補丁，建立完整的防病毒系統(tǒng)管理及維護日志。8.6.2病毒爆發(fā)應(yīng)急預案清單預案名稱病毒爆發(fā)事故預案預案編號預案目的發(fā)生病毒爆發(fā)或感染事故后，應(yīng)用本預案處理故障預案啟動條件發(fā)生病毒爆發(fā)或感染事故預案執(zhí)仃頭施日期年 月曰組織機構(gòu)及職責組成姓名聯(lián)系方式職責負責人安全主管現(xiàn)場指揮安全主管成員網(wǎng)絡(luò)管理員機房管理員廠家聯(lián)絡(luò)方式廠家名稱姓名聯(lián)系方式軟件介質(zhì)名稱介質(zhì)編號存放地點備注備品備件名稱設(shè)備編號存放地點備注儀器名稱儀器編號存放地點備

43、注預案執(zhí)行步驟及通告一、故障通告1. 將故障情況向信息部部長匯報，信息部通知受影響的用 戶，且視情況的嚴重程度通知應(yīng)急領(lǐng)導小組。2. 對用戶的病毒通知，采用發(fā)文或短信方式。二、預案執(zhí)行步驟終端網(wǎng)絡(luò)型病毒可依靠網(wǎng)絡(luò)進行大面積快速傳播，如：灰鴿子、熊貓燒 香、沖擊波等。小面積病毒爆發(fā)：1. 接到報障電話，工程師到現(xiàn)場處理，確定是否中毒，如確 認中毒則將中毒主機斷網(wǎng)隔離。2采用已安裝且更新至最新病毒庫的專業(yè)殺毒軟件進行查 殺，如能查殺則現(xiàn)場處理。3. 針對未知的新型病毒，殺毒軟件不能查殺的，則將用戶數(shù) 據(jù)備份后，再重裝系統(tǒng)，同時將病毒樣本上報殺毒軟件廠商4. 待殺毒軟件廠商升級病毒庫后，再查殺中毒電

44、腦。 大面積病毒爆發(fā)：1. 確定大面積病毒爆發(fā)，上報上級主管部門2. 先采用殺毒軟件進行查殺，如果能夠查殺則發(fā)通知用戶進 行查殺,殺毒軟件無法查殺的情況下，對爆發(fā)區(qū)域進 行斷網(wǎng)處理，且發(fā)布病毒通知。3. 聯(lián)系廠商進行現(xiàn)場技術(shù)支持，上報上級主管部門 終端單機型病毒病毒傳播速度較慢，網(wǎng)絡(luò)不是其傳播主要手段。如：文件型 病毒、U盤病毒等。1.接到報障電話，工程師到現(xiàn)場處理，確定是否中毒，如確 認中毒則將中毒主機斷網(wǎng)隔離。2采用已安裝且更新至最新病毒庫的專業(yè)殺毒軟件進行查 殺，如能查殺則現(xiàn)場處理。3. 如之上軟件不能處理，則將用戶數(shù)據(jù)備份后，再重裝系統(tǒng)。4. 安裝操作系統(tǒng)且安裝殺毒軟件后，再手工升級。5. 對終端進行全盤掃描，可能的情況下對移動介質(zhì)掃描處 理。6. 針對傳播速度相對較快，如U盤病毒，則通過OA等方式， 發(fā)布通知，提醒用戶注意病毒防護。服務(wù)器病毒防護上報上級主管部門，且通過0A或短信發(fā)布服務(wù)器維護通知。1. 對服務(wù)器進行斷網(wǎng)隔離，且手工備份相關(guān)數(shù)據(jù)，且進行單 獨存儲；2. 采用趨勢殺毒軟件或 360安全衛(wèi)士進行查殺，如能查殺則 現(xiàn)場處理。3. 針對未知的新型病毒，殺毒軟件不能查殺的，則