XX數(shù)據(jù)中心應急方案

XX數(shù)據(jù)中心應急方案XX數(shù)據(jù)中心應急方案XX數(shù)據(jù)中心應急方案xxx公司XX數(shù)據(jù)中心應急方案文件編號：文件日期：修訂次數(shù)：第1.0次更改批準審核制定方案設計，管理制度XXX有限公司XXX–2017–DCxx應急方案XXX數(shù)據(jù)中心發(fā)放編號：受控狀態(tài)：■受控□非受控XXX有限公司發(fā)布版本記錄版本狀態(tài)作者開始日期完成日期備注

目錄TOC\o"1-3"\h\u目錄 3第1章 總則 5第2章 數(shù)據(jù)中心應急方案組織體系 5 網(wǎng)絡與信息安全應急協(xié)調領導小組職責 5 領導小組辦公室組成及成員電話 5 工作職責 6 各設備應急聯(lián)系人 6第3章 信息系統(tǒng)安全應急處置實施細則 7. 信息系統(tǒng)故障等級劃分 7 一級故障 7 二級故障 8 三級故障 9. 網(wǎng)絡信息故障處理程序 9 故障的發(fā)現(xiàn) 9 故障的處理 9 故障的記錄 10 故障的升級上報 10 報告內容 12 應急處置 12 故障處理后的測試驗收 13 故障書面報告 13 故障報告填寫及報告 14第4章 信息系統(tǒng)安全應急處理流程 15. 信息系統(tǒng)安全應急處理流程圖 15. 故障升級分類及升級時限 16. 越級報告 16第5章 應急響應特點文檔及工具 16. 應急文檔的備存 16. 應急設備及軟件備存 17第6章 應急處理預案 17. 網(wǎng)絡中斷應急處理 17. 黑客攻擊的應急處理 18 應急處理 18 修復處理 19. 大規(guī)模病毒（含惡意軟件）攻擊的應急處理 19. 數(shù)據(jù)庫系統(tǒng)故障的應急處理 20. 設備硬件故障的應急處理 20. XX相關故障應急處理 21. 對重大故障的應急處理 21. 請求外部協(xié)助支持 22第7章 后期處理 22. 善后處理 22. 調查和評估 22. 應急方案更新 23附件：應急響應相關表單 23

總則為保證公司數(shù)據(jù)中心信息系統(tǒng)安全，防范蓄意攻擊、破壞網(wǎng)絡系統(tǒng)及數(shù)據(jù)安全等緊急突發(fā)事件的發(fā)生，根據(jù)公司《XXX數(shù)據(jù)中心應急預案》，結合公司數(shù)據(jù)中心信息化的特點，特制定本應急方案。數(shù)據(jù)中心應急方案組織體系網(wǎng)絡與信息安全應急協(xié)調領導小組職責負責領導XXX數(shù)據(jù)中心網(wǎng)絡與信息安全應急工作，確定并直接領導信息系統(tǒng)安全應急處置工作組。審定XXX數(shù)據(jù)中心信息系統(tǒng)安全應急預案并組織實施，研究解決數(shù)據(jù)中心有關網(wǎng)絡與信息系統(tǒng)安全的重大問題。領導小組下設處置工作組，其工作職責由數(shù)據(jù)中心承擔。領導小組辦公室組成及成員電話姓名職務聯(lián)系電話組長副組長成員工作職責（1）組長職責負責XXX數(shù)據(jù)中心網(wǎng)絡與信息安全應急方案的啟動，對XXX數(shù)據(jù)中心網(wǎng)絡與信息安全故障全權組織進行應急處置。（2）副組長職責協(xié)助組長對數(shù)據(jù)中心網(wǎng)絡與信息安全故障進行應急處置，負責確定合理的技術處理方案、制定應急處置方案。組長不在現(xiàn)場或不便履行職責時，行使組長職責。（3）應急領導小組其它成員職責配合組長和副組長，實施應急處置工作。各設備應急聯(lián)系人單位姓名職務聯(lián)系電話備注信息系統(tǒng)安全應急處置實施細則信息系統(tǒng)故障等級劃分XXX數(shù)據(jù)中心信息系統(tǒng)故障等級，按照《信息安全技術-信息系統(tǒng)安全等級保護基本要求》第二級的要求，具體劃分為三個等級，一級故障為重大故障；二級和三級故障為一般性故障。一級故障信息系統(tǒng)發(fā)生故障，預計將或已經(jīng)嚴重影響公司核心系統(tǒng)業(yè)務，導致相關業(yè)務中斷1小時以上，并預計24小時以內無法恢復的，具備以下一個或幾個特征，即定義為一級故障。1.公司核心業(yè)務系統(tǒng)XXX，XXX和部分XXX業(yè)務的廣域網(wǎng)和專網(wǎng)出現(xiàn)線路和設備故障，且中斷時間為一個小時以上；2.公司數(shù)據(jù)中心核心網(wǎng)絡出現(xiàn)故障，造成外網(wǎng)用戶不能訪問公司服務器；3．公司數(shù)據(jù)中心核心業(yè)務服務器出現(xiàn)故障，無法及時恢復，導致業(yè)務中斷一個小時以上。4.公司數(shù)據(jù)中心存儲出現(xiàn)故障，導致業(yè)務中斷一個小時以上且數(shù)據(jù)無法恢復。5.xx核心業(yè)務系統(tǒng)出現(xiàn)故障，導致公司業(yè)務中斷一個小時以上。6.利用技術手段，造成業(yè)務數(shù)據(jù)被修改、假冒、泄漏、竊取的信息系統(tǒng)安全事件。二級故障信息系統(tǒng)發(fā)生故障，預計將或已經(jīng)嚴重影響公司核心系統(tǒng)業(yè)務，導致相關業(yè)務中斷1小時以上，并預計6小時以內可以恢復的，具備以下一個或幾個特征，即定義為二級故障。1.公司部分核心業(yè)務系統(tǒng)出現(xiàn)線路故障，導致部分客戶無法訪問；2.公司數(shù)據(jù)中心核心業(yè)務服務器宕機，無法及時恢復，導致業(yè)務中斷一個小時以上。3.公司部分部署在xx機房的核心業(yè)務系統(tǒng)出現(xiàn)故障，導致公司業(yè)務中斷一個小時以上。4.病毒或網(wǎng)絡攻擊造成公司數(shù)據(jù)中心廣域網(wǎng)連接中斷或傳輸效率明顯下降，關鍵業(yè)務系統(tǒng)不能正常提供服務；5.人為誤操作導致公司備份數(shù)據(jù)丟失。6．利用技術手段，造成業(yè)務數(shù)據(jù)被修改、假冒、泄漏、竊取的信息系統(tǒng)安全事件。7．12小時以內無法解決的三級故障。三級故障滿足以下條件之一，即定義為三級故障。1．非核心業(yè)務出現(xiàn)故障，導致無法訪問。2．故障發(fā)生后，影響到信息系統(tǒng)的運行效率，速度變慢，但不影響業(yè)務系統(tǒng)訪問；3．故障發(fā)生后，可隨時應急處理，不會影響的系統(tǒng)全面運行，但是一種隱患；網(wǎng)絡信息故障處理程序故障的發(fā)現(xiàn)數(shù)據(jù)中心中心工作人員在發(fā)現(xiàn)故障或接到故障報告后，首先要判斷故障發(fā)生的原因，對故障的等級進行初步的判斷；其次聯(lián)系并協(xié)調相關人員解決此次故障；待故障解決后，對此次故障進行詳細的記錄。故障的處理1.發(fā)生故障的業(yè)務系統(tǒng)主管部門數(shù)據(jù)中心為故障處理部門，故障處理部門領導負責通知和落實相應崗位人員到達現(xiàn)場，故障處理部門應首先指定現(xiàn)場指揮人員，指揮人員應先詢問了解設備和配置近期的變更情況，查清故障的影響范圍，從而確定故障的等級和發(fā)生故障的可能位置；2.對于一般性故障按照的故障升級上報要求進行上報，并在處理過程中及時向主管領導通報故障處理情況。3.對于重大故障按照的故障升級上報要求進行上報，并在處理過程中及時向主管領導通報故障處理情況。故障的記錄在故障處理中，應對其過程進行詳細記錄，其中包括故障處理的負責人，檢查的內容及結果，對故障的判斷及處理辦法，以及故障處理過程中各步驟及執(zhí)行人員。故障的升級上報根據(jù)故障等級和發(fā)生的時限，要對故障的情況進行及時的上報，并對報告人，告知人及時間及內容進行記錄。重大故障由部門主管領導負責上報，一般性故障由故障處理人員負責上報。故障升級上報時限如下表所示：升級時限一級故障二級故障三級故障立即數(shù)據(jù)中心經(jīng)理相應崗位人員相應崗位人員半小時數(shù)據(jù)中心部門主管領導數(shù)據(jù)中心經(jīng)理1小時公司主管高層數(shù)據(jù)中心部門主管領導數(shù)據(jù)中心經(jīng)理4小時公司主管高層數(shù)據(jù)中心部門主管領導8小時24小時故障上報升級時限XXX數(shù)據(jù)中心是負責受理和處理網(wǎng)絡和信息安全突發(fā)事件的具體職責部門，在接到突發(fā)事件報告后，要按下列工作程序處置：1．一級故障的報告程序（1）發(fā)現(xiàn)故障崗位人員根據(jù)故障初級判斷結果，立即向數(shù)據(jù)中心經(jīng)理匯報；（2）數(shù)據(jù)中心經(jīng)理根據(jù)故障初級判斷結果，迅速將有關情況報告XXX數(shù)據(jù)中心網(wǎng)絡與信息安全應急領導小組或數(shù)據(jù)中心部門主管領導，報告時限不能超過30分鐘；（3）經(jīng)排查故障無法在1個小時內排除，將該突發(fā)事件形成書面匯報材料呈報給公司主管領導，同時向數(shù)據(jù)中心部門主管領導上報情況。2．二級故障的報告程序（1）發(fā)現(xiàn)故障崗位人員根據(jù)故障初級判斷結果，將故障有關情況向數(shù)據(jù)中心經(jīng)理匯報，報告時限不能超過30分鐘；（2）數(shù)據(jù)中心經(jīng)理根據(jù)故障初級判斷結果，迅速將有關情況報告XXX數(shù)據(jù)中心中心網(wǎng)絡與信息安全應急領導小組或數(shù)據(jù)中心部門主管領導，報告時限不能超過60分鐘；（3）經(jīng)排查故障無法在4個小時內排除，將該突發(fā)事件形成書面匯報材料呈報給公司主管領導。3.三級故障的報告程序（1）發(fā)現(xiàn)故障崗位人員根據(jù)故障初級判斷結果，將故障有關情況向數(shù)據(jù)中心經(jīng)理匯報，報告時限不能超過1小時；（2）數(shù)據(jù)中心經(jīng)理根據(jù)故障初級判斷結果，迅速將有關情況報告XXX數(shù)據(jù)中心網(wǎng)絡與信息安全應急領導小組或數(shù)據(jù)中心部門主管領導，報告時限不能超過4小時；（3）經(jīng)排查故障無法在8個小時內排除，將該突發(fā)事件形成書面匯報材料呈報給數(shù)據(jù)中心部門主管領導，做故障升級處理。報告內容報告內容包括突發(fā)事件發(fā)生的時間、地點、過程、狀況、原因及影響等。應急處置1．數(shù)據(jù)中心根據(jù)故障情況立即進行應急處理，防止事件進一步擴大，同時分析該故障的起因，判斷需要的處理時間，并根據(jù)判斷結果按故障升級上報程序，逐級上報；2．根據(jù)突發(fā)事件的性質、級別，決定啟動相關系統(tǒng)技術應急預案；3．根據(jù)事件級別以及對業(yè)務影響程度的評估結果，向網(wǎng)絡與信息安全應急協(xié)調領導小組報告，應急領導小組決定是否啟動業(yè)務應預案，數(shù)據(jù)中心配合業(yè)務部門開展應急處置工作；4．應急領導小組授權辦公室或責任人通過內外網(wǎng)站、傳真等媒介通報突發(fā)事件有關信息；5．根據(jù)故障可能產生的原因盡早聯(lián)系其它相關部門、線路運營商、設備供應商請求技術支持，并將聯(lián)系外協(xié)支持的情況記錄在案。故障處理后的測試驗收故障處理后，故障處理部門要進行自測，然后提交用戶進行確認，當用戶對處理結果認同后，故障最終確認解決。故障書面報告對于重大故障和拖延時間較長的一般性故障，在處理過后，應對故障及處理的全過程進行總結，以文字形式進行報告。對于影響較小的一般故障處理，在維護日志中做完整的說明和記錄。故障報告填寫及報告故障報告應包括以下幾方面的內容：故障處理過程的原始記錄，故障情況描述及故障處理情況說明，報告中要明確說明故障處理是否準確和及時，有無明顯的失誤，有無違反規(guī)定行為。語言應簡明扼要，對情況描述要清楚、有條理。故障處理部門負責人將對故障報告進行全面審核，無誤后簽字并報數(shù)據(jù)中心部門主管領導，重大故障報告需報公司主管領導。信息系統(tǒng)安全應急處理流程信息系統(tǒng)安全應急處理流程圖故障升級分類及升級時限1、故障分類詳見第章節(jié)。2、二級故障發(fā)生后，在4小時內沒有解決，升為一級故障。三級故障發(fā)生后，在8小時內沒有解決，升為二級故障。越級報告故障上報應遵循逐級上報原則，但在與上級聯(lián)系不上時，可越級報告。應急響應特點文檔及工具應急文檔的備存（1）各類網(wǎng)絡設備和服務器、計算機及其附屬設備的型號、序列號等；（2）硬件設備供應商、生產廠商的電話、聯(lián)系人、技術支持網(wǎng)址；（3）操作系統(tǒng)、關鍵業(yè)務應用軟件開發(fā)商或供應商的電話、聯(lián)系人；（4）數(shù)據(jù)中心網(wǎng)絡拓樸圖；（5）路由器、防火墻、入侵檢測設備的配置文檔，服務器登陸用戶及原始密碼文檔；（6）各類軟件的技術文檔及其他需要保存的文檔。應急設備及軟件備存（1）正版操作系統(tǒng)啟動盤、安裝盤；（2）正版防病毒軟件（注明安裝及升級序列號）；（3）數(shù)據(jù)庫管理系統(tǒng)軟件，數(shù)據(jù)庫備份軟件及最近完整的數(shù)據(jù)備份存儲介質；（4）相關的設備驅動程序（含主板、顯卡、網(wǎng)卡等）及更新到最新的服務器注冊表文件；（5）備用網(wǎng)線，萬用表、測網(wǎng)儀、螺絲刀等必要工具；（6）其它必備的應急工具。應急處理預案網(wǎng)絡中斷應急處理1、故障排查：網(wǎng)絡中斷后，技術人員要迅速判斷故障節(jié)點，查明故障原因；2、故障排除：①如屬線路故障，應重新安裝線路。②如屬路由器、交換機等網(wǎng)絡設備故障，技術人員立即檢修并調試通暢。如路由器、交換機配置文件破壞，技術人員應迅速按照要求重新配置，調試通暢。必要時，請有關供貨單位、設備廠商協(xié)助調測暢通。③如需更換設備，應上報公司主管領導，經(jīng)批準后馬上更換故障設備，盡快恢復系統(tǒng)運行。④如發(fā)現(xiàn)屬于外部線路的問題，應與線路運營商聯(lián)系，敦促盡快恢復故障線路。⑤數(shù)據(jù)中心無法及時修理時，應立即通知相關供應商及維護人員，在最短時間內安排修理。黑客攻擊的應急處理應急處理1.當發(fā)現(xiàn)網(wǎng)絡上有黑客攻擊行為時，應立即向數(shù)據(jù)中心通報情況，并由數(shù)據(jù)中心相關負責人向數(shù)據(jù)中心主管領導報告；2.數(shù)據(jù)中心工作人員應立即趕到現(xiàn)場，將被攻擊的服務器或其他設備從網(wǎng)絡中隔離出來，必要時可以采取照片、截圖等方式留存記錄，保護現(xiàn)場；3.如事態(tài)較為嚴重，經(jīng)向數(shù)據(jù)中心主管領導請示后，立即向公安部門報警，配合公安部門展開調查；4.數(shù)據(jù)中心相關技術人員做好被攻擊或破壞后系統(tǒng)的恢復與重建工作；5.數(shù)據(jù)中心負責組織技術力量追查非法信息來源；6.數(shù)據(jù)中心相關工作人員將實施事件處理的過程和結果備案存檔，必要時向數(shù)據(jù)中心主管領導匯報。修復處理1、記錄系統(tǒng)狀況；2、立即復制系統(tǒng)登錄文件、歷史文件、日志文件等重要文件；3、修改防火墻、路由器等網(wǎng)絡安全設備的過濾規(guī)則；4、斷開被攻主機、關閉不需要的服務；5、處理可疑的文件和程序；6、修改不安全的系統(tǒng)帳號及其口令；7、恢復被修改的軟件和數(shù)據(jù)；8、安裝相應的補丁程序，填補安全漏洞；9、編寫報告，詳述事件過程及處理步驟。大規(guī)模病毒（含惡意軟件）攻擊的應急處理1.當發(fā)現(xiàn)局域網(wǎng)網(wǎng)絡中有大量服務器被感染上病毒后，服務器維護人員應立即上報數(shù)據(jù)中心；2.數(shù)據(jù)中心工作人員應立即將該機從網(wǎng)絡上隔離開來；3.數(shù)據(jù)中心工作人員對該設備的硬盤進行數(shù)據(jù)備份，并將防病毒軟件的病毒特征庫更新至最新版本；4.數(shù)據(jù)中心工作人員啟用反病毒軟件對該機進行殺毒處理，并對相關服務器進行病毒掃描和清除工作；5.情況較為嚴重的，已影響到公司相關系統(tǒng)的數(shù)據(jù)傳輸、應用系統(tǒng)訪問不正常等情況，應及時向數(shù)據(jù)中心主管領導報告，按照信息系統(tǒng)故障等級劃分，確定其故障等級，并啟動相應的應急處理程序進行排除。數(shù)據(jù)庫系統(tǒng)故障的應急處理1.數(shù)據(jù)庫系統(tǒng)每日必須存有備份，與軟件系統(tǒng)相對應的數(shù)據(jù)必須有多日的備份；并將它們保存與安全處；2.數(shù)據(jù)庫系統(tǒng)發(fā)生故障以后，數(shù)據(jù)中心工作人員立即向數(shù)據(jù)庫組負責人和數(shù)據(jù)中心主管領導匯報請示，經(jīng)同意后采用相關技術手段盡快恢復數(shù)據(jù)庫運行，保證業(yè)務不中斷；3.數(shù)據(jù)中心工作人員及時組織相關數(shù)據(jù)庫工程師，并同時通知主要應用部門等技術力量做好數(shù)據(jù)庫系統(tǒng)切換和有關數(shù)據(jù)的恢復工作；4.數(shù)據(jù)庫工程師應檢查日志等資料，確定故障原因；5.數(shù)據(jù)庫部門會同數(shù)據(jù)中心工作人員將實施處理的過程和結果進行備案存檔，并向有關領導匯報。設備硬件故障的應急處理1.數(shù)據(jù)庫服務器等關鍵設備損壞后，數(shù)據(jù)中心相關人員應立即向數(shù)據(jù)中心經(jīng)理報告；2.數(shù)據(jù)中心經(jīng)理立即組織相關技術人員查明原因，聯(lián)系維保單位更換受損部件；3.如果設備一時不能修復，應向數(shù)據(jù)中心主管領導匯報，并告知各應用部門暫緩上傳上報數(shù)據(jù)或及時切換應用到其它應用服務器上，及時恢復業(yè)務系統(tǒng)。XX相關故障應急處理1.數(shù)據(jù)中心相關工作人員應分析大致故障原因，并立即向數(shù)據(jù)中心經(jīng)理報告；2.數(shù)據(jù)中心經(jīng)理立即組織協(xié)調相關人員聯(lián)系XX相關負責人查明原因解決此問題；3.如果XX一時無法解決，應向數(shù)據(jù)中心主管領導匯報，并告知各應用部門暫緩上傳上報數(shù)據(jù)或及時切換應用到其它應用服務器上，及時恢復業(yè)務系統(tǒng)。對重大故障的應急處理當數(shù)據(jù)中心工作人員通過網(wǎng)絡監(jiān)控到諸如廣域鏈路意外中斷、核心路由（交換機）宕機。非法入侵及病毒入侵使網(wǎng)絡傳輸性能下降，應用系統(tǒng)網(wǎng)站、核心數(shù)據(jù)庫等系統(tǒng)關鍵服務器性能下降，嚴重影響正常業(yè)務運行的情況時。數(shù)據(jù)中心工作人員應及時記錄故障發(fā)生時間、地點等。同時立即報知數(shù)據(jù)中心主管領導。在此過程中數(shù)據(jù)中心工作人員應檢查所發(fā)生故障設備和配置近期的變更情況，查清故障的影響范圍，從而確定故障的等級和發(fā)生故障的可能部位，在處理過程中要及時向主管領導通報故障的處理情況。請求外部協(xié)助支持1.對一時不能查清原因的重大故障，應盡早聯(lián)系原廠商請求技術支持。2.對4小時內無法解決的一般性故障，也應聯(lián)系原廠商請求技術支持，并要將聯(lián)系外協(xié)支持的情況記錄在案。后期處理善后處理應急處置工作結束后，現(xiàn)場領導小組組織有關人員和技術專家組成事件調查組，對事件發(fā)生原因、性質、影響、后果、責任及應急處置能力、恢復重建等問題進行全面調查評估，根據(jù)應急處置中暴露出的管理、協(xié)調和技術問題，改進和完善預案，實施針對性演練，總結經(jīng)驗教訓，整改存在隱患，組織恢復正常工作秩序。調查和評估應急處理工作結束后，應急響應領導小組應立即組織有關人員，專家組，會同技術中心成立事件調查小組，對事件發(fā)生及其處理過程進行全面的調查，查清事件發(fā)生的原因及財產損失狀況并總結經(jīng)驗教訓，寫出調查評估報告，并將故障處理文檔整理，形成知識庫進行統(tǒng)一歸檔管理。應急方案更新根據(jù)信息化快速發(fā)展和經(jīng)濟社會發(fā)展狀況，配合相關法律法規(guī)的制定、修改和完善，結合應急處置中暴露出的管理、協(xié)調和