計算機(jī)系統(tǒng)應(yīng)急預(yù)案

#計算機(jī)系統(tǒng)應(yīng)急預(yù)案應(yīng)急預(yù)案指面對突發(fā)事件如停電、系統(tǒng)設(shè)備故障、服務(wù)器死機(jī)等，能夠快速采取相應(yīng)的應(yīng)對措施。為防止事態(tài)進(jìn)一步擴(kuò)大。它一般應(yīng)建立在綜合防災(zāi)上。其幾大重要子系統(tǒng)為:完善的應(yīng)急組織管理指揮系統(tǒng)；強(qiáng)有力的應(yīng)急保障體系；綜合協(xié)調(diào)、應(yīng)對自如的相互支持系統(tǒng)。一、目的為了加強(qiáng)公司業(yè)務(wù)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)等硬件和軟件的故障或安全、應(yīng)急事件的管理，特制定本制度。為了積極應(yīng)對可能發(fā)生的各類重大事故，預(yù)先控制潛在事故或緊急情況，做好應(yīng)急準(zhǔn)備和響應(yīng)，組織有序的事故搶救和救災(zāi)工作，最大限度減少財產(chǎn)損失，維護(hù)系統(tǒng)的正常運行，促進(jìn)本企業(yè)的經(jīng)濟(jì)建設(shè)，按照《國務(wù)院關(guān)于特大安全事故行政責(zé)任追究的規(guī)定》的要求，結(jié)合本項目部的實際，制定本計算機(jī)系統(tǒng)應(yīng)急預(yù)案（以下簡稱《預(yù)案》）。二、范圍本制度適用于公司各個業(yè)務(wù)應(yīng)用系統(tǒng)的安全管理員、維護(hù)人員等負(fù)責(zé)系統(tǒng)運維安全的人員和公司信息安全管理小組。三、應(yīng)急預(yù)案小組根據(jù)基本要求設(shè)置安全管理機(jī)構(gòu)的組織形式和運作方式，明確崗位職責(zé)，設(shè)置系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位。根據(jù)要求成立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)根據(jù)要求制定文件明確安全管理機(jī)構(gòu)各個部門和崗位的職責(zé)、分工和技能要求；建立授權(quán)與審批制度和內(nèi)外部溝通合作渠道；定期進(jìn)行全面安全檢查，特別是系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等。四、啟動條件1、本文檔內(nèi)定義的嚴(yán)重安全事件和重大安全事件發(fā)生時2、信息安全協(xié)調(diào)小組和相關(guān)部門領(lǐng)導(dǎo)確認(rèn)，需要啟動應(yīng)急計劃時。五、安全事件定義1、重大安全事件：由于信息安全問題對關(guān)鍵業(yè)務(wù)造成直接影響，并導(dǎo)致全網(wǎng)癱瘓、業(yè)務(wù)中斷數(shù)小時以上的事件，稱為重大安全事件。2、嚴(yán)重安全事件：由于信息安全問題對重要業(yè)務(wù)造成直接影響，并導(dǎo)致網(wǎng)絡(luò)與業(yè)務(wù)中斷，稱為嚴(yán)重安全事件。3、一般安全事件：由于信息安全問題對重要業(yè)務(wù)造成間接影響，一般業(yè)務(wù)造成直接影響，并導(dǎo)致網(wǎng)絡(luò)與業(yè)務(wù)遭受影響的事件，稱為一般安全事件。六、系統(tǒng)監(jiān)測、預(yù)警和先期處理1、為了提高平臺的穩(wěn)定性、安全性和高可用性，提高云計算資源利用率，總體部署架構(gòu)應(yīng)實現(xiàn)硬件資源提供的動態(tài)化和基礎(chǔ)設(shè)施來源的多樣化。引入了智能容器云引擎。硬件設(shè)施資源由容器云引擎統(tǒng)一管理，提供按需彈性伸縮的資源池，在應(yīng)用過程中根據(jù)實際需要動態(tài)調(diào)整。讓整個系統(tǒng)具備高可靠性和擴(kuò)展性，無單點失效風(fēng)險。當(dāng)某一組件發(fā)生故障時，在單一進(jìn)程的傳統(tǒng)架構(gòu)下，故障很有可能在進(jìn)程內(nèi)擴(kuò)散，形成應(yīng)用全局性的不可用。在微服務(wù)架構(gòu)下，故障會被隔離在單個服務(wù)中。若設(shè)計良好，其他服務(wù)可通過重試、平穩(wěn)退化等機(jī)制實現(xiàn)應(yīng)用層面的容錯。2、建立健全重要數(shù)據(jù)及時備份和災(zāi)難性數(shù)據(jù)恢復(fù)機(jī)制。嚴(yán)格按照計算機(jī)信息網(wǎng)絡(luò)安全管理規(guī)定要求，認(rèn)真做好日常數(shù)據(jù)備份工作，以防發(fā)生數(shù)據(jù)災(zāi)難時對信息系統(tǒng)進(jìn)行恢復(fù)重建。3、要進(jìn)一步完善信息網(wǎng)絡(luò)安全突發(fā)事件監(jiān)測、預(yù)測、預(yù)警制度。按照“早發(fā)現(xiàn)、早報告、早處置”的原則，加強(qiáng)對各類信息網(wǎng)絡(luò)安全突發(fā)事件和可能引發(fā)信息網(wǎng)絡(luò)安全突發(fā)事件的有關(guān)信息的收集、分析判斷和持續(xù)監(jiān)測。當(dāng)發(fā)生信息網(wǎng)絡(luò)安全突發(fā)事件時，向相關(guān)負(fù)責(zé)人匯報，匯報內(nèi)容主要包括信息來源、影響范圍、事件性質(zhì)、事件發(fā)展趨勢和采取的措施等。4、定期總結(jié)網(wǎng)絡(luò)安全自查情況5、當(dāng)發(fā)生信息網(wǎng)絡(luò)安全突發(fā)事情時，及時做好先期應(yīng)急處置工作并立即采取措施控制事態(tài)，必要是采用關(guān)閉服務(wù)器等方式防止事件進(jìn)一步擴(kuò)大，同時向信息網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組通報。6、應(yīng)急預(yù)案領(lǐng)導(dǎo)小組接到突發(fā)事件發(fā)生或者可能發(fā)生的信息后，針對實際情況判斷等級啟動預(yù)案。七、應(yīng)急抑制應(yīng)急抑制的目的是限制安全事件對受保護(hù)信息系統(tǒng)造成影響的范圍和程度。應(yīng)急抑制是信息安全應(yīng)急響應(yīng)工作中的重要環(huán)節(jié)，在信息安全事件發(fā)生的第一時間內(nèi)對故障系統(tǒng)或區(qū)域?qū)嵤┯行У母綦x和處理，或者根據(jù)所擁有的資源狀況和事件的等級，采用臨時切換到備份系統(tǒng)等措施降低事件損失、避免安全事件的擴(kuò)散（例如蠕蟲的大規(guī)模傳播）和安全事件對受害系統(tǒng)的持續(xù)性破壞，有利于應(yīng)急響應(yīng)工作人員對安全事件做出迅速、準(zhǔn)確的判斷并采取正確的應(yīng)對策略。應(yīng)急抑制過程中，重要的是確保業(yè)務(wù)連續(xù)性，應(yīng)盡量保證在備份系統(tǒng)中完全運行原來的業(yè)務(wù)。如果出現(xiàn)資源緊張，應(yīng)盡可能保證重要資產(chǎn)優(yōu)先運行，維持最基本的業(yè)務(wù)能力。八、應(yīng)急處理1、采取多層次有害信息、惡意攻擊防范與處理措施。預(yù)案小組成員為第一層防線，發(fā)現(xiàn)有害信息保留原始數(shù)據(jù)后及時刪除；預(yù)案小組組長為第二層防線，負(fù)責(zé)對所有信息進(jìn)行監(jiān)視及信息審核，對有害信息及時處理。2、非法言論緊急處理：信息安全技術(shù)人員密切監(jiān)視信息內(nèi)容，發(fā)現(xiàn)非法信息時，應(yīng)立即向組長匯報，情況緊急時，在保留原始信息后，應(yīng)先采取刪除等措施，再按程序報告。在接到報告后及時清理非法信息，妥善保存有關(guān)記錄及日志，將網(wǎng)站重新投入使用。如果事態(tài)嚴(yán)重，應(yīng)立即向領(lǐng)導(dǎo)小組匯報，并向政府信息化主管部門和公安部門報警3、黑客攻擊事件處理：當(dāng)信息安全技術(shù)人員發(fā)現(xiàn)網(wǎng)頁內(nèi)容被篡改，或通過入侵檢測系統(tǒng)發(fā)現(xiàn)有黑客正在進(jìn)行攻擊時，應(yīng)首先將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來，保護(hù)現(xiàn)場，并立即向領(lǐng)導(dǎo)小組負(fù)責(zé)人報告情況信息安全技術(shù)人員對現(xiàn)場進(jìn)行分析，并寫出分析報告存檔，必要時上報政府信息化主管部門和公安網(wǎng)絡(luò)監(jiān)管部門。恢復(fù)與重建被攻擊或破壞的計算機(jī)信息系統(tǒng)。由領(lǐng)導(dǎo)小組負(fù)責(zé)人召開會議，如認(rèn)為事態(tài)嚴(yán)重，則立即向領(lǐng)導(dǎo)小組報告，并向政府信息化主管部門報告和公安網(wǎng)絡(luò)監(jiān)管部門報警。4、病毒事件處理：當(dāng)信息安全技術(shù)人員發(fā)現(xiàn)有計算機(jī)被感染上病毒后，應(yīng)立即將該機(jī)與網(wǎng)絡(luò)隔離。信息安全技術(shù)人員對該計算機(jī)進(jìn)行數(shù)據(jù)備份。啟用反病毒軟件對該機(jī)進(jìn)行殺毒處理，同時通過病毒檢測軟件對其他該網(wǎng)絡(luò)中的計算機(jī)進(jìn)行病毒掃描和清除工作。如果現(xiàn)行反病毒軟件無法清除該病毒，應(yīng)立即向領(lǐng)導(dǎo)小組負(fù)責(zé)人報告，并迅速聯(lián)系有解決能力的軟件廠商研究解決。由領(lǐng)導(dǎo)小組負(fù)責(zé)人召開會議，如認(rèn)為事態(tài)嚴(yán)重，則立即向領(lǐng)導(dǎo)小組報告，視情況向政府信息化主管部門報備或向公安部門報警。如果感染病毒的設(shè)備是主服務(wù)器，經(jīng)領(lǐng)導(dǎo)小組負(fù)責(zé)人報領(lǐng)導(dǎo)小組同意，應(yīng)立即告知領(lǐng)導(dǎo)做好相應(yīng)的清查工作。病毒清除，通過專業(yè)檢測后，隔離的設(shè)備可重新投入使用。5、軟件破壞性攻擊處理：重要的軟件系統(tǒng)日常維護(hù)時必須指定專人負(fù)責(zé)，將它們備份并保存于安全處一旦軟件遭到破壞性攻擊，信息安全技術(shù)人員應(yīng)立即向領(lǐng)導(dǎo)小組負(fù)責(zé)人報告并將該系統(tǒng)停止運行信息安全技術(shù)人員檢查信息系統(tǒng)的日志等資料，確定攻擊來源，并將有關(guān)情況向領(lǐng)導(dǎo)小組負(fù)責(zé)人匯報，再恢復(fù)軟件系統(tǒng)和數(shù)據(jù)。由領(lǐng)導(dǎo)小組負(fù)責(zé)人召開會議，如認(rèn)為事態(tài)嚴(yán)重，則立即向領(lǐng)導(dǎo)小組報告，視情況向政府信息化主管部門報告或向公安部門報警。6、數(shù)據(jù)安全處理：主要數(shù)據(jù)庫系統(tǒng)應(yīng)按要求做好數(shù)據(jù)庫備份。一旦數(shù)據(jù)庫崩潰，信息安全技術(shù)人員應(yīng)立即啟動備用系統(tǒng)，并向領(lǐng)導(dǎo)小組負(fù)責(zé)人報告。在備用系統(tǒng)運行期間，信息安全工作人員應(yīng)對主機(jī)系統(tǒng)進(jìn)行維修并作數(shù)據(jù)恢復(fù)。如果系統(tǒng)崩潰而無法恢復(fù)，技術(shù)員應(yīng)立即向領(lǐng)導(dǎo)小組負(fù)責(zé)人匯報，并請技術(shù)部派員解決或聯(lián)系有解決能力的廠商請求緊急支援。由領(lǐng)導(dǎo)小組負(fù)責(zé)人召開會議，如認(rèn)為事態(tài)嚴(yán)重，則立即領(lǐng)導(dǎo)報告。7、網(wǎng)絡(luò)中斷處理：信息安全技術(shù)人員接到報告后，應(yīng)迅速判斷故障節(jié)點，查明故障原因。如屬技術(shù)部門管轄范圍，由信息安全技術(shù)人員立即予以恢復(fù)。如屬服務(wù)商管轄范圍，立即與相關(guān)服務(wù)商進(jìn)行聯(lián)系，要求修復(fù)。線路中斷，信息安全技術(shù)人員應(yīng)在判斷故障節(jié)點，查明故障原因后，盡快研究恢復(fù)措施，并立即向領(lǐng)導(dǎo)小組負(fù)責(zé)人匯報，同時做好故障記錄。8、節(jié)假日、舉行重大活動和發(fā)生重大事件時，信息安全技術(shù)人員應(yīng)對整個網(wǎng)絡(luò)的運行進(jìn)行監(jiān)控并及時刪除各類非法信息。九、應(yīng)急結(jié)束1、當(dāng)突發(fā)危害和故障結(jié)束，或相關(guān)危險因素已基本得到控制或消除，即可結(jié)束應(yīng)急響應(yīng)。2、領(lǐng)導(dǎo)小組要認(rèn)真總結(jié)應(yīng)急響應(yīng)工作，對實施預(yù)案中發(fā)生的問題進(jìn)行研究改進(jìn)進(jìn)一步完善預(yù)案