第一篇：信息系統(tǒng)安全應(yīng)急預(yù)案

信息系統(tǒng)安全應(yīng)急預(yù)案

為全面加強信息系統(tǒng)安全管理，應(yīng)對信息安全突發(fā)事件的發(fā)生，提高對安全事件的應(yīng)急處置能力，保證網(wǎng)絡(luò)與信息安全指揮協(xié)調(diào)工作迅速、高效、有序地進行，滿足突發(fā)情況下信息系統(tǒng)安全穩(wěn)定、持續(xù)運行，根據(jù)國家和省有關(guān)規(guī)定，制定本預(yù)案。

一、組織機構(gòu)

信息系統(tǒng)安全應(yīng)急工作，由信息安全工作領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)。負(fù)責(zé)信息安全日常事務(wù)處理、應(yīng)急處理及安全通報等事務(wù)。

二、工作原則

（一）明確責(zé)任、分級負(fù)責(zé)：按照“誰主管誰負(fù)責(zé)，誰運行誰負(fù)責(zé)”的要求，逐級建立并落實統(tǒng)計信息系統(tǒng)責(zé)任制和應(yīng)急機制。

（二）加強領(lǐng)導(dǎo)、分工合作：各單位應(yīng)按照規(guī)定的職責(zé)和流程，實施統(tǒng)計信息系統(tǒng)的應(yīng)急處理工作。

（三）積極預(yù)防、及時預(yù)警：各單位應(yīng)及早發(fā)現(xiàn)安全事件，及時進行預(yù)警和信息通報；積極做好應(yīng)急處理準(zhǔn)備，提高對安全事件的預(yù)防和應(yīng)急處理能力。

（四）協(xié)作配合、確?；謴?fù)：各單位要協(xié)同配合，確保在最短的時間內(nèi)完成系統(tǒng)的恢復(fù)。

三、應(yīng)急措施(一)電力系統(tǒng)故障的應(yīng)急處理流程

1．任何單位和人員發(fā)現(xiàn)本單位電力系統(tǒng)出現(xiàn)異常情況時，都應(yīng)及時向辦公室報告。

2．辦公室是電力系統(tǒng)故障應(yīng)急處理的第一責(zé)任單位。辦公室應(yīng)盡快查清故障原因，提出解決辦法，確定故障排除可能需要的時間，報信息安全工作領(lǐng)導(dǎo)小組。

3．網(wǎng)絡(luò)運行負(fù)責(zé)人應(yīng)根據(jù)停電時間和UPS電池的供電能力，在保證重點網(wǎng)絡(luò)關(guān)鍵設(shè)備用電的前提下，提出機房設(shè)備部分關(guān)機或全部關(guān)機方案，報信息安全工作領(lǐng)導(dǎo)小組。經(jīng)認(rèn)可后，安排相關(guān)人員按照規(guī)定的流程操作實施。

4．電力系統(tǒng)恢復(fù)供電后，辦公室應(yīng)在第一時間通知網(wǎng)絡(luò)中心，以便以最快的速度恢復(fù)關(guān)閉的網(wǎng)絡(luò)應(yīng)用。

計算中心網(wǎng)絡(luò)和系統(tǒng)管理人員在接到通知后，按照規(guī)定的流程開啟關(guān)閉相關(guān)設(shè)備。

（二）消防系統(tǒng)應(yīng)急處理流程

1．當(dāng)出現(xiàn)火情、火災(zāi)時，發(fā)現(xiàn)人員應(yīng)在最短時間內(nèi)報告辦公室。若火情嚴(yán)重時，應(yīng)迅速撥打119電話報警，并盡可能采取一些簡單可行的方法作初步處理，如：使用周圍的滅火器、水源（在允許用水滅火的場合）或采用其他滅火措施、手段。進展情況隨時向有關(guān)領(lǐng)導(dǎo)報告。

2．計算中心機房出現(xiàn)火情并且無法進行局部處理時，機房管理人員在緊急報告有關(guān)領(lǐng)導(dǎo)的同時，應(yīng)立即疏散物理場地樓層以內(nèi)的工作人員。并迅速撥打119電話報警。

（三）網(wǎng)絡(luò)信息系統(tǒng)故障的應(yīng)急處理流程

1．網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)應(yīng)用系統(tǒng)故障應(yīng)由發(fā)現(xiàn)人通知計算中心，計算中心立即檢查故障，進行初步故障定位。如果網(wǎng)絡(luò)、應(yīng)用系統(tǒng)出現(xiàn)比較嚴(yán)重的問題，對網(wǎng)絡(luò)業(yè)務(wù)的正常運行造成較大的影響，需立即向有關(guān)領(lǐng)導(dǎo)報告。

2．對簡單故障，運維人員應(yīng)迅速排除故障，解決問題并記錄。如果需要更換設(shè)備，應(yīng)上報有關(guān)領(lǐng)導(dǎo)經(jīng)批準(zhǔn)后馬上更換故障設(shè)備，盡快恢復(fù)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)運行。

運維部門判斷無法及時修理時，應(yīng)立即通知相關(guān)的系統(tǒng)運行服務(wù)提供商，在最短的時間內(nèi)安排修理或更換系統(tǒng)。

3．如發(fā)現(xiàn)屬外部線路的問題，應(yīng)與線路服務(wù)提供商聯(lián)系，敦促對方盡快恢復(fù)故障線路。

4．啟用備份線路、設(shè)備、系統(tǒng)（如果存在的話），迅速恢復(fù)相關(guān)的應(yīng)用。

（四）網(wǎng)站檢測與自動恢復(fù)系統(tǒng)應(yīng)急處理流程

1．發(fā)現(xiàn)網(wǎng)站不能正常打開或網(wǎng)站內(nèi)容被惡意篡改時，任何人員都有義務(wù)向網(wǎng)絡(luò)中心報告。由網(wǎng)絡(luò)應(yīng)急小組組織應(yīng)急響應(yīng)，聯(lián)合相關(guān)部門進行故障排查。

2．先由運維小組查看網(wǎng)絡(luò)連接情況，若不是網(wǎng)絡(luò)故障，則排查軟、硬件故障。待故障處理完成并經(jīng)過測試后，恢復(fù)系統(tǒng)的正常運行和內(nèi)容的正常應(yīng)用。

（五）黑客入侵的應(yīng)急處理

1．發(fā)現(xiàn)網(wǎng)絡(luò)上有黑客攻擊行為，任何人員都有義務(wù)向網(wǎng)絡(luò)中心報告。計算中心立即啟動應(yīng)急響應(yīng)，切斷受攻擊計算機與網(wǎng)絡(luò)的連接，停止一切操作、保護現(xiàn)場，并上報有關(guān)領(lǐng)導(dǎo)。

2．對于黑客攻擊，由網(wǎng)絡(luò)中心組織應(yīng)急響應(yīng)小組查找入侵蹤跡，分析入侵方式和原因。由安全管理員根據(jù)對入侵事件的分析，組織相關(guān)人員對內(nèi)部網(wǎng)計算機整改，防止黑客用同樣的手段再次入侵其他系統(tǒng)。安全管理員檢查確定無安全隱患后，才可將受攻擊計算機重新連接網(wǎng)絡(luò)，或啟用備份計算機來恢復(fù)應(yīng)用。

3．安全管理員應(yīng)做好記錄，保護現(xiàn)場，進行日志收集等工作。如果能追查到攻擊者的相關(guān)信息，可以對其發(fā)出警告，必要時可以采取進一步的行動，乃至采取法律手段。根據(jù)破壞程度，經(jīng)有關(guān)領(lǐng)導(dǎo)同意后，上報公安部門。

若系統(tǒng)已被黑客破壞，無法恢復(fù)，應(yīng)將受黑客攻擊的計算機上的重要數(shù)據(jù)備份到其他存儲介質(zhì)，確保計算機內(nèi)重要的數(shù)據(jù)不丟失。如果數(shù)據(jù)無法恢復(fù)，經(jīng)有關(guān)領(lǐng)導(dǎo)同意后，可與國家指定的部門聯(lián)系，由他們來協(xié)助恢復(fù)，為保證數(shù)據(jù)信息安全，需在安全管理部門作記錄。

（六）大規(guī)模病毒（含惡意軟件）攻擊的應(yīng)急處理

1．發(fā)現(xiàn)網(wǎng)絡(luò)上有大規(guī)模病毒攻擊的行為，任何人員都有義務(wù)向網(wǎng)絡(luò)中心報告。由網(wǎng)絡(luò)中心組織應(yīng)急響應(yīng)，切斷受攻擊計算機與網(wǎng)絡(luò)的連接，停止一切操作、保護現(xiàn)場，立即上報有關(guān)領(lǐng)導(dǎo)。2．若是已知病毒，使用最新版本殺毒軟件對染毒計算機進行全面殺毒，并對染毒計算機系統(tǒng)進行漏洞修補。安全管理員確定沒有病毒和安全漏洞后，再連接網(wǎng)絡(luò)恢復(fù)使用。

3．若是未知病毒，觀察網(wǎng)管軟件根據(jù)監(jiān)視窗口的鏈路狀態(tài)，由此判斷感染病毒或惡意程序的客戶端、服務(wù)器所科的樓層交換機。打開該交換機的端口流量分析窗口，根據(jù)流量判斷感染病毒或惡意程序的客戶端所在的交換機端口。關(guān)閉該交換機端口，隔離該工作站、服務(wù)器，阻斷與局域網(wǎng)的連接。根據(jù)端口狀態(tài)功能，查看該感染病毒或惡意程序的工作站的IP地址。根據(jù)IP地址信息找到該工作站的具體位置，對該工作站進行病毒或惡意程序清除工作。

根據(jù)對于未知病毒，應(yīng)首先嘗試手工殺毒處理，若系統(tǒng)已被病毒破壞，無法恢復(fù)，應(yīng)將感染病毒的計算機上的硬盤加掛到其他機器上處理，將重要數(shù)據(jù)備份到其他存儲介質(zhì)，盡最大努力保護、保留感染計算機內(nèi)重要的數(shù)據(jù)，同時防止病毒感染其他計算機。如果數(shù)據(jù)無法恢復(fù)，經(jīng)有關(guān)領(lǐng)導(dǎo)同意后，可與國家指定的反病毒部門聯(lián)系，由他們來協(xié)助恢復(fù)，為保證數(shù)據(jù)信息安全，需在安全管理部門作記錄。如為涉及國家秘密的數(shù)據(jù)，不允許由其他機構(gòu)來恢復(fù)數(shù)據(jù)。

第二篇：信息系統(tǒng)安全應(yīng)急預(yù)案

深圳市前海好彩金融服務(wù)有限公司

信息系統(tǒng)安全應(yīng)急預(yù)案

一、總則

（一）編制目的

公司網(wǎng)絡(luò)和信息安全涉及以設(shè)備為中心的信息安全，技術(shù)涵蓋網(wǎng)絡(luò)系統(tǒng)、計算機操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用軟件系統(tǒng)；涉及計算機病毒的防范、入侵的監(jiān)控；涉及以用戶（包括內(nèi)部員工和外部相關(guān)機構(gòu)人員）為中心的安全管理，包括用戶的身份管理、身份認(rèn)證、授權(quán)、審計等；涉及信息傳輸?shù)臋C密性、完整性、不可抵賴性等等。為切實加強我司網(wǎng)絡(luò)運行安全與信息安全的防范，做好應(yīng)對網(wǎng)絡(luò)與信息安全突發(fā)公共事件的應(yīng)急處理工作，進一步提高預(yù)防和控制網(wǎng)絡(luò)和信息安全突發(fā)事件的能力和水平，昀大限度地減輕或消除網(wǎng)絡(luò)與信息安全突發(fā)事件的危害和影響，確保網(wǎng)絡(luò)運行安全與信息安全，結(jié)合公司工作實際，特制定本應(yīng)急預(yù)案。

（二）編制依據(jù)

根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《信息安全3級評級方法》、GB/T20269-2006《信息安全技術(shù)信息系統(tǒng)安全管理要求》、GB/T20270-2006《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》、GB/T20281-2006《信息安全技術(shù)防火墻技術(shù)要求和測試評價方法》、GB/T19716-2005《信息技術(shù)信息安全管理使用規(guī)則》等有關(guān)法規(guī)、規(guī)定，制定本預(yù)案。

（三）本預(yù)案適用于深圳市前海好彩金融服務(wù)有限公司網(wǎng)絡(luò)與信息安全應(yīng)急處理工作。

二、應(yīng)急組織機構(gòu)及職責(zé)

成立信息系統(tǒng)應(yīng)急處理領(lǐng)導(dǎo)小組，負(fù)責(zé)領(lǐng)導(dǎo)、組織和協(xié)調(diào)全公司信息系統(tǒng)突發(fā)事件的應(yīng)急保障工作。

（一）領(lǐng)導(dǎo)小組成員： 組長：技術(shù)主管 副組長：運維經(jīng)理

成員:開發(fā)部.運維部.測試部.等部門負(fù)責(zé)人組成。

應(yīng)急小組日常工作由公司技術(shù)部承擔(dān)，其他各相關(guān)部門積極配合。

（二）領(lǐng)導(dǎo)小組職責(zé)：制訂專項應(yīng)急預(yù)案，負(fù)責(zé)定期組織演練，監(jiān)督檢查各部門在本預(yù)案中履行職責(zé)情況。對發(fā)生事件啟動應(yīng)急救援預(yù)案進行決策，全面指揮應(yīng)急救援工作。

三、工作原則

（一）積極防御、綜合防范

立足安全防護，加強預(yù)警，重點保護重要信息網(wǎng)絡(luò)和關(guān)系社會穩(wěn)定的重要信息系統(tǒng)；從預(yù)防、監(jiān)控、應(yīng)急處理、應(yīng)急保障和打擊不法行為等環(huán)節(jié)，在管理、技術(shù)、宣傳等方面，采取多種措施，充分發(fā)揮各方面的作用，構(gòu)筑網(wǎng)絡(luò)與信息安全保障體系

（二）明確責(zé)任、分級負(fù)責(zé)

按照“誰主管誰負(fù)責(zé)”的原則，分級分類建立和完善安全責(zé)任制度、協(xié)調(diào)管理機制和聯(lián)動工作機制。加強計算機信息網(wǎng)絡(luò)安全的宣傳和教育，進一步提高工作人員的信息安全意識。

（三）落實措施、確保安全

深圳市前海好彩金融服務(wù)有限公司

要對機房、網(wǎng)絡(luò)設(shè)備、服務(wù)器等設(shè)施定期開展安全檢查，對發(fā)現(xiàn)安全漏洞和隱患的進行及時整改。

（四）科學(xué)決策，快速反應(yīng)

加強技術(shù)儲備，規(guī)范應(yīng)急處置措施和操作流程，網(wǎng)絡(luò)與信息安全突發(fā)公共事件發(fā)生時，要快速反應(yīng)，及時獲取準(zhǔn)確信息，跟蹤研判，及時報告，果斷決策，迅速處理，昀大限度地減少危害和影響。

四、事件分類和風(fēng)險程度分析

（一）物理層的安全風(fēng)險分析

1、系統(tǒng)環(huán)境安全風(fēng)險

（1）水災(zāi)、火災(zāi)、雷電等災(zāi)害性故障引發(fā)的網(wǎng)絡(luò)中斷、系統(tǒng)癱瘓、數(shù)據(jù)被毀等；

（2）因接地不良、機房屏蔽性能差引起的靜電干擾或外界的電磁干擾使系統(tǒng)不能正常工作；（3）機房電力設(shè)備和其它配套設(shè)備本身缺陷誘發(fā)信息系統(tǒng)故障；（4）機房安全設(shè)施自動化水平低，不能有效監(jiān)控環(huán)境和信息系統(tǒng)工作；（5）其它環(huán)境安全風(fēng)險。

2、物理設(shè)備的安全風(fēng)險由于信息系統(tǒng)中大量地使用了網(wǎng)絡(luò)設(shè)備如交換機、路由器等，服務(wù)器，移動設(shè)備，使得這些設(shè)備的自身安全性也會直接關(guān)系信息系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏，交換機和路由器設(shè)備配置風(fēng)險等。

（二）網(wǎng)絡(luò)安全風(fēng)險

1、網(wǎng)絡(luò)體系結(jié)構(gòu)的安全風(fēng)險

網(wǎng)絡(luò)平臺是一切應(yīng)用系統(tǒng)建設(shè)的基礎(chǔ)平臺，網(wǎng)絡(luò)體系結(jié)構(gòu)是否按照安全體系結(jié)構(gòu)和安全機制進行設(shè)計，直接關(guān)系到網(wǎng)絡(luò)平臺的安全保障能力。公司的網(wǎng)絡(luò)是由多個局域網(wǎng)和廣域網(wǎng)組成，網(wǎng)絡(luò)體系結(jié)構(gòu)比較復(fù)雜。內(nèi)部應(yīng)用信息網(wǎng)、Internet網(wǎng)之間是否進行隔離及如何進行隔離，網(wǎng)段劃分是否合理，路由是否正確，網(wǎng)絡(luò)的容量、帶寬是否考慮客戶上網(wǎng)的峰值，網(wǎng)絡(luò)設(shè)備有無冗余設(shè)計等都與安全風(fēng)險密切相關(guān)。

2、網(wǎng)絡(luò)通信協(xié)議的安全風(fēng)險。

網(wǎng)絡(luò)通信協(xié)議存在安全漏洞，網(wǎng)絡(luò)黑客就能利用網(wǎng)絡(luò)設(shè)備和協(xié)議的安全漏洞進行網(wǎng)絡(luò)攻擊和信息竊取。例如未經(jīng)授權(quán)非法訪問內(nèi)部網(wǎng)絡(luò)和應(yīng)用系統(tǒng)；對其進行監(jiān)聽，竊取用戶的口令密碼和通信密碼；對網(wǎng)絡(luò)的安全漏洞進行探測掃描；對通信線路和網(wǎng)絡(luò)設(shè)備實施拒絕服務(wù)攻擊，造成線路擁塞和系統(tǒng)癱瘓。

3、網(wǎng)絡(luò)操作系統(tǒng)的安全風(fēng)險

網(wǎng)絡(luò)操作系統(tǒng)，不論是 IOS，Android，還是 Windows，都存在安全漏洞；一些重要的網(wǎng)絡(luò)設(shè)備，如路由器、交換機、網(wǎng)關(guān)，防火墻等，由于操作系統(tǒng)存在安全漏洞，導(dǎo)致網(wǎng)絡(luò)設(shè)備的不安全；有些網(wǎng)絡(luò)設(shè)備存在“后門”（back door）。

（三）系統(tǒng)安全風(fēng)險

1、操作系統(tǒng)安全風(fēng)險

操作系統(tǒng)的安全性是系統(tǒng)安全管理的基礎(chǔ)。數(shù)據(jù)庫服務(wù)器、中間層服務(wù)器，以及各類業(yè)務(wù)和辦公客戶機等設(shè)備所使用的操作系統(tǒng)，不論是Win2008/XP/7，還是 Unix都存在信息安全漏洞，由操作系統(tǒng)信息安全漏洞帶來的安全風(fēng)險是昀普遍的安全風(fēng)險。

2、數(shù)據(jù)庫安全風(fēng)險

深圳市前海好彩金融服務(wù)有限公司

所有的業(yè)務(wù)應(yīng)用、決策支持、行政辦公的信息管理核心都是數(shù)據(jù)庫，而涉及公司運行的數(shù)據(jù)都是昀需要安全保護的信息資產(chǎn)，不僅需要統(tǒng)一的數(shù)據(jù)備份和恢復(fù)以及高可用性的保障機制，還需要對數(shù)據(jù)庫的安全管理，包括訪問控制，敏感數(shù)據(jù)的安全標(biāo)簽，日志審計等多方面提升安全管理級別，規(guī)避風(fēng)險。雖然，目前公司的數(shù)據(jù)庫管理系統(tǒng)可以達(dá)到較高的安全級別，但仍存在安全漏洞。建立在其上的各種應(yīng)用系統(tǒng)軟件在數(shù)據(jù)的安全管理設(shè)計上也不可避免地存在或多或少的安全缺陷，需要對數(shù)據(jù)庫和應(yīng)用的安全性能進行綜合的檢測和評估。

3、應(yīng)用系統(tǒng)的安全風(fēng)險

為優(yōu)化整個應(yīng)用系統(tǒng)的性能，無論是采用C／S應(yīng)用模式或是B／S應(yīng)用模式，應(yīng)用系統(tǒng)都是其系統(tǒng)的重要組成部分，不僅是用戶訪問系統(tǒng)資源的入口，也是系統(tǒng)管理員和系統(tǒng)安全管理員管理系統(tǒng)資源的入口，桌面應(yīng)用系統(tǒng)的管理和使用不當(dāng)，會帶來嚴(yán)重的安全風(fēng)險。例如當(dāng)口令或通信密碼丟失、泄漏，系統(tǒng)管理權(quán)限丟失、泄漏時，輕者假冒合法身份用戶進行非法操作。重者，“黑客”對系統(tǒng)實施攻擊，造成系統(tǒng)崩潰。

4、病毒危害風(fēng)險

計算機病毒的傳播會破壞數(shù)據(jù)信息，占用系統(tǒng)資源，影響計算機運行速度，引起網(wǎng)絡(luò)堵塞甚至癱瘓。盡管防病毒軟件安裝率已大幅度提升，但如果沒有好的防毒概念，從不進行病毒代碼升級，而新病毒層出不窮，因此威脅性愈來愈大。

5、黑客入侵風(fēng)險

一方面風(fēng)險來自于內(nèi)部，入侵者利用 Sniffer等嗅探程序通過網(wǎng)絡(luò)探測、掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò) IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些 TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并采用相應(yīng)的攻擊程序?qū)?nèi)網(wǎng)進行攻擊。入侵者通過拒絕服務(wù)攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。

另一方面風(fēng)險來自外部，入侵者通過網(wǎng)絡(luò)監(jiān)聽、用戶滲透、系統(tǒng)滲透、拒絕服務(wù)、木馬等綜合手段獲得合法用戶的用戶名、口令等信息，進而假冒內(nèi)部合法身份進行非法登錄，竊取內(nèi)部網(wǎng)重要信息，或使系統(tǒng)終止服務(wù)。所以，必須要對外部和內(nèi)部網(wǎng)絡(luò)進行必要的隔離，避免信息外泄；同時還要對外網(wǎng)的服務(wù)請求加以過濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機，其它的請求服務(wù)在到達(dá)主機之前就應(yīng)該遭到拒絕。

（四）應(yīng)用安全風(fēng)險

1、身份認(rèn)證與授權(quán)控制的安全風(fēng)險

依靠用戶 ID和口令的認(rèn)證很不安全，容易被猜測或盜取，會帶來很大的安全風(fēng)險。為此，動態(tài)口令認(rèn)證、CA第三方認(rèn)證等被認(rèn)為是先進的認(rèn)證方式。但是，如果使用和管理不當(dāng)，同樣會帶來安全風(fēng)險。要基于應(yīng)用服務(wù)和外部信息系統(tǒng)建立基于統(tǒng)一策略的用戶身份認(rèn)證與授權(quán)控制機制，以區(qū)別不同的用戶和信息訪問者，并授予他們不同的信息訪問和事務(wù)處理權(quán)限。

2、信息傳輸?shù)臋C密性和不可抵賴性風(fēng)險

實時信息是應(yīng)用系統(tǒng)的重要事務(wù)處理信息，必須保證實時信息傳輸?shù)臋C密性和網(wǎng)上活動的不可抵賴性，能否做到這一點，關(guān)鍵在于采用什么樣的加密方式、密碼算法和密鑰管理方式。采用國內(nèi)經(jīng)過國家密碼管理委員會和公安部批準(zhǔn)的加密方式、密碼算法和密鑰管理技術(shù)來強化這一環(huán)節(jié)的安全保障。

深圳市前海好彩金融服務(wù)有限公司

3、管理層安全風(fēng)險分析

安全的網(wǎng)絡(luò)設(shè)備要靠人來實施，管理是整個網(wǎng)絡(luò)安全中昀為重要的一環(huán)，認(rèn)真地分析管理所帶來的安全風(fēng)險，并采取相應(yīng)的安全措施。責(zé)權(quán)不明、管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。

當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預(yù)警。同時，當(dāng)故障發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求人們必須對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。

五、預(yù)防預(yù)警

（一）完善網(wǎng)絡(luò)與信息安全突發(fā)公共事件監(jiān)測、預(yù)測和預(yù)警制度。

加強對各類網(wǎng)絡(luò)與信息安全突發(fā)事件和可能引起突發(fā)網(wǎng)絡(luò)與信息安全突發(fā)公共事件的有關(guān)信息的收集、分析、判斷和持續(xù)監(jiān)測。當(dāng)檢查到有網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)生或可能發(fā)生時，應(yīng)及時對發(fā)生事件或可能發(fā)生事件進行調(diào)查核實、保存相關(guān)證據(jù)，并立即向應(yīng)急領(lǐng)導(dǎo)小組報告。報告內(nèi)容主要包括信息來源、影響范圍、事件性質(zhì)、事件發(fā)展趨勢和采取的措施建議等。

若發(fā)現(xiàn)下列情況應(yīng)及時向應(yīng)急領(lǐng)導(dǎo)小組報告：利用網(wǎng)絡(luò)從事違法犯罪活動；網(wǎng)絡(luò)或信息系統(tǒng)通信和資源使用異常；網(wǎng)絡(luò)或信息系統(tǒng)癱瘓，應(yīng)用服務(wù)中斷或數(shù)據(jù)篡改、丟失；網(wǎng)絡(luò)恐怖活動的嫌疑和預(yù)警信息；其他影響網(wǎng)絡(luò)與信息安全的信息。

（二）設(shè)定信息安全等級保護，實行信息安全風(fēng)險評估。

通過相關(guān)設(shè)備實時監(jiān)控網(wǎng)絡(luò)工作與信息安全狀況。各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)建設(shè)要充分考慮抗毀性和災(zāi)難恢復(fù)，制定并不斷完善信息安全應(yīng)急處理預(yù)案。針對信息網(wǎng)絡(luò)的突發(fā)性、大規(guī)模安全事件，建立制度優(yōu)化、程序化的處理流程。

（三）做好服務(wù)器及數(shù)據(jù)中心的數(shù)據(jù)備份及登記工作，建立災(zāi)難性數(shù)據(jù)恢復(fù)機制。

一旦發(fā)生網(wǎng)絡(luò)與信息安全事件，立即啟動應(yīng)急預(yù)案，采取應(yīng)急處置措施，判定事件危害程度，并立即將情況向有關(guān)領(lǐng)導(dǎo)報告。在處置過程中，應(yīng)及時報告處置工作進展情況，直至處置工作結(jié)束。

六、處置流程

（一）預(yù)案啟動

在發(fā)生網(wǎng)絡(luò)與信息安全事件后，信息中心應(yīng)盡昀大可能迅速收集事件相關(guān)信息，鑒別事件性質(zhì)，確定事件來源，弄清事件范圍和評估事件帶來的影響和損害，一旦確認(rèn)為網(wǎng)絡(luò)與信息安全事件后，立即將事件上報工作組并著手處置。

（二）應(yīng)急處理

1、電源斷電（1）查明故障原因。

（2）檢查 UPS是否正常供電。

（3）匯報相關(guān)領(lǐng)導(dǎo)，確認(rèn)市電恢復(fù)時間，評估 UPS供電能力。（4）備份服務(wù)器數(shù)據(jù)、交換機配置。

深圳市前海好彩金融服務(wù)有限公司

（5）通知機房進行電源維修。做好事件記錄。

（6）必要時請示公司負(fù)責(zé)人及公司領(lǐng)導(dǎo)，主動關(guān)閉服務(wù)器、交換機、存儲等設(shè)備，以免設(shè)備損壞或數(shù)據(jù)損失。

2、局域網(wǎng)中斷緊急處理措施

（1）信息安全負(fù)責(zé)人員立即判斷故障節(jié)點，查明故障原因，及時匯報。（2）若是線路故障，重新安裝線路。

（3）若是路由器、交換機等設(shè)備故障，應(yīng)立即從指定位置將備用設(shè)備取出接上，并調(diào)試暢通。（4）若是路由器、交換機等配置文件損壞，應(yīng)迅速按照要求重新配置，并調(diào)試暢通。（5）匯報相關(guān)領(lǐng)導(dǎo)，做好事件記錄。

3、廣域網(wǎng)線路中斷

（1）信息安全負(fù)責(zé)人員應(yīng)立即判斷故障節(jié)點，查明故障原因。（2）如是我方管轄范圍，由信息安全負(fù)責(zé)人員立即維修恢復(fù)。（3）如是電信部門管轄范圍，應(yīng)立即與電信維護部門聯(lián)系修復(fù)。（4）做好事件記錄。

4、核心交換機故障

（1）檢查、備份核心交換機日志。（2）啟用備用核心交換機，檢查接管情況。（3）備份核心交換機配置信息。

（4）將服務(wù)器接入備用核心交換機，檢查服務(wù)器運行情況，將樓層交換機、接入交換機接入備用核心交換機，檢查各交換機運行情況。

（5）匯報有關(guān)領(lǐng)導(dǎo)，做好事件記錄。（6）聯(lián)系維修核心交換機。

5、光纜線路故障

（1）立即聯(lián)系光纖熔接人員攜帶尾纖等輔助材料，及時熔接連通。（2）檢查并做好備用光纜或備用芯的跳線工作，隨時切換到備用網(wǎng)絡(luò)。（3）做好事件記錄，及時上報。

6、計算機病毒爆發(fā)

（1）關(guān)閉計算機病毒爆發(fā)網(wǎng)段上聯(lián)端口。（2）隔離中病毒計算機。（3）關(guān)閉中病毒計算機上聯(lián)端口。（4）根據(jù)病毒特征使用專用工具進行查殺。（5）系統(tǒng)損壞計算機在備份其數(shù)據(jù)后，進行重裝。（6）通過專用工具對網(wǎng)絡(luò)進行清查。（7）做好事件記錄，及時上報。

7、服務(wù)器設(shè)備故障

深圳市前海好彩金融服務(wù)有限公司

（1）主要服務(wù)器應(yīng)做多個數(shù)據(jù)備份。

（2）如能自行恢復(fù)，則立即用備件替換受損部件，如：電源損壞更換備用電源，硬盤損壞更換備用硬盤，網(wǎng)卡、主板損壞啟用備用服務(wù)器。

（3）若數(shù)據(jù)庫崩潰應(yīng)立即啟用備用系統(tǒng)。并檢查備用服務(wù)器啟用情況。（4）對主機系統(tǒng)進行維修并做數(shù)據(jù)恢復(fù)。

（5）如不能恢復(fù)，立即聯(lián)系設(shè)備供應(yīng)商，要求派維護人員前來維修。（6）匯報有關(guān)領(lǐng)導(dǎo)，做好事件記錄。

8、黑客攻擊事件

（1）若通過入侵監(jiān)測系統(tǒng)發(fā)現(xiàn)有黑客進行攻擊，立即通知相關(guān)人員處理。（2）將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來。（3）及時恢復(fù)重建被攻擊或被破壞的系統(tǒng)

（4）記錄事件，及時上報，若事態(tài)嚴(yán)重，應(yīng)及時向信息化主管部門和公安部門報警。

9、數(shù)據(jù)庫安全事件

（1）平時應(yīng)對數(shù)據(jù)庫系統(tǒng)做多個備份。

（2）發(fā)生數(shù)據(jù)庫數(shù)據(jù)丟失、受損、篡改、泄露等安全事件時，信息安全人員應(yīng)查明原因，按照情況采取相應(yīng)措施：如更改數(shù)據(jù)庫密碼，修復(fù)錯誤受損數(shù)據(jù)。

（3）如果數(shù)據(jù)庫崩潰，信息安全人員應(yīng)立即啟用備用系統(tǒng)，并向信息安全負(fù)責(zé)人報告；在備用系統(tǒng)運行期間，信息安全人員應(yīng)對主機系統(tǒng)進行維修并作數(shù)據(jù)恢復(fù)。

（4）做好事件記錄，及時上報。

10、人員疏散與機房滅火預(yù)案

（1）當(dāng)班人員發(fā)現(xiàn)機房內(nèi)有起火、冒煙現(xiàn)象或聞到燒焦氣味時，應(yīng)立即查明原因和地點，及時上報并針對不同情況，采取關(guān)閉電源總開關(guān)、隔離火源附近易燃物、用消防栓、滅火器等器材滅火等措施，組織本單位、部門在場的人員有序地投入撲救工作，將火撲滅或控制火勢蔓延。

（2）當(dāng)火勢已無法控制時，一是指定專人立即撥打“119”火警電話報警和向上級保衛(wèi)部門報告，并打破報警器示警。二是組織周圍人員迅速撤離。

（3）在保障人員安全的情況下，立即組織人員疏散和轉(zhuǎn)移重要物品，特別是易燃、易爆物品和重要的機器、數(shù)據(jù)要及時轉(zhuǎn)移到安全地點，并派人員守護，確保安全。

（4）火情結(jié)束之后，組織相關(guān)人員及時進行網(wǎng)絡(luò)系統(tǒng)恢復(fù)，及時向上級有關(guān)部門和領(lǐng)導(dǎo)匯報，并做好現(xiàn)場保護工作和防止起火點復(fù)燃。

11、發(fā)生自然災(zāi)害后的緊急措施

（1）遇到重大雷暴天氣，可能對機房設(shè)備造成損害時，應(yīng)關(guān)閉所有服務(wù)器，切斷電源，暫停內(nèi)部計算機網(wǎng)絡(luò)工作。雷暴天氣結(jié)束后，及時開通服務(wù)器，恢復(fù)內(nèi)部計算機網(wǎng)絡(luò)工作。

（2）確認(rèn)災(zāi)害不會造成人身傷害后，盡快將網(wǎng)絡(luò)恢復(fù)正常，若有設(shè)備、數(shù)據(jù)損壞，及時使用備份設(shè)備或備用數(shù)據(jù)。

（3）及時核實、報損，并將詳細(xì)情況向部門領(lǐng)導(dǎo)匯報。

深圳市前海好彩金融服務(wù)有限公司

12、關(guān)鍵人員不在崗的緊急處置措施

（1）對于關(guān)鍵崗位平時應(yīng)做好人員儲備，確保一項工作有兩人能夠操作。對于關(guān)鍵賬戶和密碼進行密封保存。

（2）一旦發(fā)生系統(tǒng)安全事件，關(guān)鍵人員不在崗且聯(lián)系不上或 1小時內(nèi)不能到達(dá)機房的情況，首先應(yīng)向領(lǐng)導(dǎo)小組匯報情況。

（3）經(jīng)領(lǐng)導(dǎo)小組批準(zhǔn)后，啟用公司備份管理員密碼，由備用人員上崗操作。（4）如果備用人員無法上崗，請求軟件公司技術(shù)支援。（5）關(guān)鍵人員到崗后，按照相關(guān)規(guī)定進行密碼設(shè)定和封存。（6）做好事件記錄。

（三）后續(xù)處理

安全事件進行昀初的應(yīng)急處置以后，應(yīng)及時采取行動，抑制其影響的進一步擴大，限制潛在的損失與破壞，同時要確保應(yīng)急處置措施對涉及的相關(guān)業(yè)務(wù)影響昀小。安全事件被抑制之后，通過對有關(guān)事件或行為的分析結(jié)果，找出其根源，明確相應(yīng)的補救措施并徹底清除。在確保安全事件解決后，要及時清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)，恢復(fù)工作應(yīng)避免出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)丟失。

（四）記錄上報

網(wǎng)絡(luò)與信息安全事件發(fā)生時，應(yīng)及時向網(wǎng)絡(luò)與信息安全應(yīng)急處置工作組匯報，并在事件處置工作中作好完整的過程記錄，及時報告處置工作進展情況，保存各相關(guān)系統(tǒng)日志，直至處置工作結(jié)束。

七、保障措施

（一）應(yīng)急設(shè)備保障

對于重要網(wǎng)絡(luò)與信息系統(tǒng)，在建設(shè)系統(tǒng)時應(yīng)事先預(yù)留一定的應(yīng)急設(shè)備，建立信息網(wǎng)絡(luò)硬件、軟件、應(yīng)急救援設(shè)備等應(yīng)急物資庫。在網(wǎng)絡(luò)與信息安全突發(fā)公共事件發(fā)生時，報領(lǐng)導(dǎo)同意后，由應(yīng)急工作組負(fù)責(zé)統(tǒng)一調(diào)用。

（二）數(shù)據(jù)保障

重要信息系統(tǒng)均應(yīng)建立容災(zāi)備份系統(tǒng)和相關(guān)工作機制，保證重要數(shù)據(jù)在遭到破壞后，可緊急恢復(fù)。各容災(zāi)備份系統(tǒng)應(yīng)具有一定的兼容性，在特殊情況下各系統(tǒng)間可互為備份。

日期：2015-06-12

審批人：

第三篇：信息系統(tǒng)安全應(yīng)急預(yù)案

信息系統(tǒng)安全應(yīng)急預(yù)案

為全面加強公司信息系統(tǒng)安全管理，應(yīng)對信息安全突發(fā)事件的發(fā)生，提高對安全事件的應(yīng)急處置能力，保證網(wǎng)絡(luò)與信息安全協(xié)調(diào)工作迅速、高效、有序地進行，滿足突發(fā)情況下信息系統(tǒng)安全穩(wěn)定、持續(xù)運行，根據(jù)總公司有關(guān)規(guī)定，制定本預(yù)案。

一、工作原則

（一）明確責(zé)任：按照“誰主管誰負(fù)責(zé)，誰運行誰負(fù)責(zé)”的要求，建立并落實統(tǒng)計信息系統(tǒng)責(zé)任制和應(yīng)急機制。

（二）積極預(yù)防、及時預(yù)警：各部門應(yīng)及早發(fā)現(xiàn)安全事件，及時進行預(yù)警和信息通報；積極做好應(yīng)急處理準(zhǔn)備，提高對安全事件的預(yù)防和應(yīng)急處理能力。

（三）協(xié)作配合、確?；謴?fù)：部門間要協(xié)同配合，確保在最短的時間內(nèi)完成系統(tǒng)的恢復(fù)。

二、應(yīng)急措施

電力系統(tǒng)故障的應(yīng)急處理流程

1．任何部門和人員發(fā)現(xiàn)本單位電力系統(tǒng)出現(xiàn)異常情況時，都應(yīng)及時向公司辦公室報告。

2．公司辦公室是電力系統(tǒng)故障應(yīng)急處理的第一責(zé)任單位。公司辦公室應(yīng)立即啟動電力系統(tǒng)故障應(yīng)急處理流程，盡快查清故障原因，提出解決辦法，確定故障排除可能需要的時間并通知網(wǎng)絡(luò)機房管理部門。

3．計算中心機房停電的處理

網(wǎng)絡(luò)運行負(fù)責(zé)人應(yīng)根據(jù)停電時間和UPS電池的供電能力，在保證重點網(wǎng)絡(luò)關(guān)鍵設(shè)備用電的前提下，提出機房設(shè)備部分關(guān)機或全部關(guān)機方案，經(jīng)認(rèn)可后按照規(guī)定的流程操作實施。

4． 電力系統(tǒng)恢復(fù)供電后的處理流程

電力系統(tǒng)恢復(fù)供電后，公司辦公室應(yīng)在第一時間通知技術(shù)部門，以便以最快的速度恢復(fù)關(guān)閉的網(wǎng)絡(luò)應(yīng)用。系統(tǒng)管理人員在接到通知后，按照規(guī)定的流程開啟關(guān)閉相關(guān)設(shè)備。

（二）消防系統(tǒng)應(yīng)急處理流程

1．報告和簡單處理

當(dāng)出現(xiàn)火情、火災(zāi)時，發(fā)現(xiàn)人員應(yīng)在最短時間內(nèi)報告公司辦公室及機房管理部門。若火情嚴(yán)重時，應(yīng)迅速撥打119電話報警，并盡可能采取一些簡單可行的方法作初步處理，如：使用周圍的滅火器、水源（在允許用水滅火的場合）或采用其他滅火措施、手段。進展情況隨時向有關(guān)領(lǐng)導(dǎo)報告。

2．滅火

計算中心機房出現(xiàn)火情并且無法進行局部處理時，機房管理人員在緊急報告有關(guān)領(lǐng)導(dǎo)的同時，應(yīng)立即疏散物理場地樓層以內(nèi)的工作人員。

三、網(wǎng)絡(luò)信息系統(tǒng)故障的應(yīng)急處理流程

1.報告和簡單處理

網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)應(yīng)用系統(tǒng)故障應(yīng)由發(fā)現(xiàn)人通知機房管理人員，技術(shù)部門立即檢查故障，進行初步故障定位。如果網(wǎng)絡(luò)、應(yīng)用系統(tǒng)出現(xiàn)比較嚴(yán)重的問題，對網(wǎng)絡(luò)業(yè)務(wù)的正常運行造成較大的影響，需立即向有關(guān)領(lǐng)導(dǎo)報告。2．故障判斷與排除

對簡單故障，運維人員應(yīng)迅速排除故障，解決問題并記錄。如果需要更換設(shè)備，應(yīng)上報有關(guān)領(lǐng)導(dǎo),經(jīng)批準(zhǔn)后馬上更換故障設(shè)備，盡快恢復(fù)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)運行。運維人員判斷無法及時修理時，應(yīng)立即通知相關(guān)的系統(tǒng)運行服務(wù)提供商，在最短的時間內(nèi)安排修理或更換系統(tǒng)。

3．網(wǎng)絡(luò)線路故障排除

如發(fā)現(xiàn)屬外部線路的問題，應(yīng)與線路服務(wù)提供商聯(lián)系，敦促對方盡快恢復(fù)故障線路。

4．啟用備份線路、設(shè)備、系統(tǒng)（如果存在的話），迅速恢復(fù)相關(guān)的應(yīng)用。

四、網(wǎng)站檢測與自動恢復(fù)系統(tǒng)應(yīng)急處理流程

1．報告和簡單處理

發(fā)現(xiàn)公司服務(wù)網(wǎng)站等對外不能正常打開或網(wǎng)站內(nèi)容被惡意篡改時，任何公司人員都有義務(wù)向技術(shù)部門報告。由技術(shù)部們組織應(yīng)急響應(yīng)并進行故障排查。2．處理和恢復(fù)使用

先查看網(wǎng)絡(luò)連接情況，若不是網(wǎng)絡(luò)故障，再排查軟、硬件故障。待故障處理完成并經(jīng)過測試后，恢復(fù)系統(tǒng)的正常運行和內(nèi)容的正常應(yīng)用。

五、黑客入侵的應(yīng)急處理

1．報告和簡單處理

發(fā)現(xiàn)網(wǎng)絡(luò)上有黑客攻擊行為，任何人員都有義務(wù)向技術(shù)部門報告。技術(shù)部門立即啟動應(yīng)急響應(yīng)，切斷受攻擊計算機與網(wǎng)絡(luò)的連接，停止一切操作、保護現(xiàn)場，并上報有關(guān)領(lǐng)導(dǎo)。2．處理和恢復(fù)使用

對于黑客攻擊，由技術(shù)部門與機房管理人員協(xié)同查找入侵蹤跡，分析入侵方式和原因，分析入侵事件并內(nèi)部網(wǎng)計算機進行整改，防止黑客用同樣的手段再次入侵其他系統(tǒng)。檢查確定無安全隱患后，才可將受攻擊計算機重新連接網(wǎng)絡(luò)，或啟用備份計算機來恢復(fù)應(yīng)用。3．應(yīng)急響應(yīng)

機房管理人員應(yīng)做好記錄，保護現(xiàn)場，進行日志收集等工作。如果能追查到攻擊者的相關(guān)信息，可以對其發(fā)出警告，必要時可以采取進一步的行動，乃至采取法律手段。根據(jù)破壞程度，經(jīng)有關(guān)領(lǐng)導(dǎo)同意后，上報公安部門。若系統(tǒng)已被黑客破壞，無法恢復(fù)，應(yīng)將受黑客攻擊的服務(wù)器上的重要數(shù)據(jù)備份到其他存儲介質(zhì)，并做好數(shù)據(jù)異地備份工作，確保服務(wù)器內(nèi)重要的數(shù)據(jù)不丟失。

六、大規(guī)模病毒（含惡意軟件）攻擊的應(yīng)急處理

1．報告和簡單處理

發(fā)現(xiàn)網(wǎng)絡(luò)上有大規(guī)模病毒攻擊的行為，任何人員都有義務(wù)向技術(shù)部門報告。由機房管理員組織應(yīng)急響應(yīng)，切斷受攻擊計算機與網(wǎng)絡(luò)的連接，停止一切操作、保護現(xiàn)場，立即上報有關(guān)領(lǐng)導(dǎo)。2．已知病毒的處理和恢復(fù)

使用最新版本殺毒軟件對染毒計算機進行全面殺毒，并對染毒計算機系統(tǒng)進行漏洞修補。機房管理員確定沒有病毒和安全漏洞后，再連接網(wǎng)絡(luò)恢復(fù)使用。3．未知病毒的處理和恢復(fù)

觀察網(wǎng)管軟件根據(jù)監(jiān)視窗口的鏈路狀態(tài)，由此判斷感染病毒或惡意程序的客戶端、服務(wù)器所屬的樓層交換機。打開該交換機的端口流量分析窗口，根據(jù)流量判斷感染病毒或惡意程序的客戶端所科交換機端口。關(guān)閉該交換機端口，隔離該工作站、服務(wù)器，阻斷與局域網(wǎng)的連接。根據(jù)端口狀態(tài)功能，查看該感染病毒或惡意程序的工作站的IP地址。根據(jù)IP地址信息找到該工作站的具體位置，對該工作站進行病毒或惡意程序清除工作。根據(jù)對于未知病毒，應(yīng)首先嘗試手工殺毒處理，若系統(tǒng)已被病毒破壞，無法恢復(fù)，應(yīng)將感染病毒的計算機上的硬盤加掛到其他機器上處理，將重要數(shù)據(jù)備份到其他存儲介質(zhì)，盡最大努力保護、保留感染計算機內(nèi)重要的數(shù)據(jù)，同時防止病毒感染其他計算機。

七、預(yù)案的發(fā)布與生效

本預(yù)案自發(fā)布之日起生效

第四篇：信息系統(tǒng)安全應(yīng)急預(yù)案

xxx信息系統(tǒng)安全應(yīng)急預(yù)案v1.0 1 目的

隨著大量信息技術(shù)的采用，公司信息化建設(shè)發(fā)展迅速，并日益成為提高公司競爭力的重要因素。公司建立了支持全公司業(yè)務(wù)經(jīng)營的核心業(yè)務(wù)處理系統(tǒng)、財務(wù)處理系統(tǒng)、OA系統(tǒng)和郵件系統(tǒng)，實現(xiàn)了數(shù)據(jù)的集中管理。但伴隨著公司信息化建設(shè)的發(fā)展，IT系統(tǒng)的安全性也越發(fā)重要，需要全面加強信息安全性的建設(shè)，確保系統(tǒng)不受到來自內(nèi)部和外部的攻擊，實現(xiàn)對非法入侵的安全審計與跟蹤，保證業(yè)務(wù)應(yīng)用和數(shù)據(jù)的安全性。同時還必須建立起一套完善、可行的應(yīng)急處理規(guī)章制度，在出現(xiàn)重大情況后能及時響應(yīng)，盡最大可能減少損失。

1.2 公司系統(tǒng)架構(gòu)和現(xiàn)狀

2.1 IT應(yīng)用系統(tǒng)架構(gòu)

公司的IT系統(tǒng)以總公司為中心，各分支機構(gòu)通過租用專用線路同總公司連通，在各分支機構(gòu)內(nèi)部也建立較完善的多級綜合網(wǎng)絡(luò)，包括中心支公司、支公司、出單點等等。在網(wǎng)絡(luò)上運行著以下系統(tǒng)：

（一）生產(chǎn)系統(tǒng)

包括核心業(yè)務(wù)處理系統(tǒng)、財務(wù)處理系統(tǒng)、再保險處理系統(tǒng)等，貫穿公司的各個層面，包括總公司、分公司、支公司、出單點等，是公司整個IT系統(tǒng)的核心部件，也是最需要投入資源的部分。

（二）辦公自動化系統(tǒng)

輔助公司日常辦公的系統(tǒng)，實現(xiàn)公司上下級之間的公文與協(xié)同工作信息傳遞。

（三）郵件系統(tǒng) 為公司內(nèi)、外部信息交流提供方便、快捷的通道。

（四）公司網(wǎng)站

發(fā)布公司信息，在宣傳公司，提升公司形象上發(fā)揮重要作用。

2.2 系統(tǒng)安全隱患

由于公司的系統(tǒng)是多應(yīng)用、多連接的平臺，本身就可能存在著難于覺察的安全隱患，同時又面臨來自各方面的安全威脅，這些威脅既可能是惡意的攻擊，又可能是某些員工無心的過失。下面從網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)與數(shù)據(jù)庫、數(shù)據(jù)以及管理等方面進行描述：

（一）網(wǎng)絡(luò)

與公司各級網(wǎng)絡(luò)進行互聯(lián)的外部網(wǎng)絡(luò)用戶及Internet黑客對各級單位網(wǎng)絡(luò)的非法入侵和攻擊；公司內(nèi)部各級單位網(wǎng)絡(luò)相互之間的安全威脅，例如某個分支單位網(wǎng)絡(luò)中的人員對網(wǎng)絡(luò)中關(guān)鍵服務(wù)器的非法入侵和破壞；在各級單位網(wǎng)絡(luò)中，對于關(guān)鍵的生產(chǎn)業(yè)務(wù)應(yīng)用和辦公應(yīng)用系統(tǒng)而言，可能會受到局域網(wǎng)上一些無關(guān)用戶的非法訪問。

（二）操作系統(tǒng)與數(shù)據(jù)庫

操作系統(tǒng)與數(shù)據(jù)庫都存在一定的安全缺陷或者后門，很容易被攻擊者用來進行非法的操作；系統(tǒng)管理員經(jīng)驗不足或者工作疏忽造成的安全漏洞，也很容易被攻擊者利用；系統(tǒng)合法用戶特別是擁有完全操作權(quán)限的特權(quán)用戶的誤操作可能導(dǎo)致系統(tǒng)癱瘓、數(shù)據(jù)丟失等情況。

（三）網(wǎng)絡(luò)應(yīng)用

網(wǎng)絡(luò)上多數(shù)應(yīng)用系統(tǒng)采用客戶/服務(wù)器體系或衍生的方式運行，對應(yīng)用系統(tǒng)訪問者的控制手段是否嚴(yán)密將直接影響到應(yīng)用自身的安全性；由于實現(xiàn)了Internet接入，各級單位的計算機系統(tǒng)遭受病毒感染的機會也更大，且很容易通過文件共享、電子郵件等網(wǎng)絡(luò)應(yīng)用迅速蔓延到整個公司網(wǎng)絡(luò)中；網(wǎng)絡(luò)用戶自行指定IP地址而產(chǎn)生IP地址沖突，將導(dǎo)致業(yè)務(wù)系統(tǒng)的UNIX小型機服務(wù)器自動宕機。

（四）數(shù)據(jù)

數(shù)據(jù)存儲和傳輸所依賴的軟、硬件環(huán)境遭到破壞，或者操作系統(tǒng)用戶的誤操

作，以及數(shù)據(jù)庫用戶在處理數(shù)據(jù)時的誤操作，都會使嚴(yán)重威脅數(shù)據(jù)的安全。

（五）管理

如果缺乏嚴(yán)格的企業(yè)安全管理，信息系統(tǒng)所受到的安全威脅即使是各種安全技術(shù)手段也無法抵抗。

在充分認(rèn)識到確保核心業(yè)務(wù)和應(yīng)用有效運轉(zhuǎn)的前提下，公司已經(jīng)采取了一定的措施，如利用操作系統(tǒng)和應(yīng)用系統(tǒng)自身的功能進行用戶訪問控制，建立容錯和備份機制，采用數(shù)據(jù)加密等。但是這些措施所能提供的安全功能和安全保護范圍都非常有限，為了在不斷發(fā)展變化著的網(wǎng)絡(luò)計算環(huán)境中保護公司信息系統(tǒng)的安全，特制定了IT系統(tǒng)重大事件應(yīng)急方案。

2.3 IT系統(tǒng)重大事件的界定

IT系統(tǒng)的脆弱性體現(xiàn)在很多方面，小到短暫的電力不足或磁盤錯誤，大到設(shè)備的毀壞或火災(zāi)等等。很多系統(tǒng)弱點可以在組織風(fēng)險管理控制過程中通過技術(shù)的、管理的或操作的方法消除，但理論上是不可能完全消除所有的風(fēng)險。為了能更好的制定針對IT系統(tǒng)重大事件的應(yīng)急方案，必須先對所有可能發(fā)生的重大事件進行詳細(xì)的描述和定義。下面將從IT系統(tǒng)相關(guān)聯(lián)的電源、網(wǎng)絡(luò)、主機及存儲設(shè)備、數(shù)據(jù)庫、病毒、信息中心機房等多個方面進行說明。

3.1 電源

電源是IT系統(tǒng)最基礎(chǔ)的部分，也是最容易受到外界干擾的部分之一。在既能保證公司系統(tǒng)平穩(wěn)運行，又能保證關(guān)鍵或重要設(shè)備安全的前提下，根據(jù)目前配備的UPS電源的實際情況，將電源事件分為三個層次：

一般性電源事件：停電時間在1小時以內(nèi)的（包括1小時）； 需關(guān)注電源事件：停電時間在2小時以內(nèi)的（包括2小時）； 密切關(guān)注電源事件：停電時間在2小時以上的。

3.2 網(wǎng)絡(luò)

網(wǎng)絡(luò)是IT系統(tǒng)及網(wǎng)絡(luò)客戶進行通訊的通道，也是最容易受到外界干擾或攻擊的部分之一。目前總公司主要對各地分公司到總公司的網(wǎng)絡(luò)線路進行管控，而公司又是采用數(shù)據(jù)集中的運營模式，鑒于這種情況，將網(wǎng)絡(luò)事件分為三個層次：

一般性網(wǎng)絡(luò)事件：樓層交換機出現(xiàn)異常，或局域網(wǎng)絡(luò)中斷時間在5分鐘以內(nèi)的（包括5分鐘）；

需關(guān)注網(wǎng)絡(luò)事件：主交換機、防火墻、上網(wǎng)設(shè)備出現(xiàn)異常，或局域網(wǎng)絡(luò)中斷時間在30分鐘以內(nèi)的（包括30分鐘），廣域網(wǎng)絡(luò)中斷時間在5分鐘以內(nèi)的（包括5分鐘）；

密切關(guān)注網(wǎng)絡(luò)事件：主干交換機、核心路由器、VPN設(shè)備出現(xiàn)異常，或廣域網(wǎng)絡(luò)中斷時間在30分鐘以上的。

3.3 主機及存儲設(shè)備

主機及存儲設(shè)備是IT系統(tǒng)運行的關(guān)鍵和核心，也是相對脆弱的部分，對工作環(huán)境的要求是相當(dāng)高的，任何外部的變化都可能導(dǎo)致這些設(shè)備出現(xiàn)異常。根據(jù)出現(xiàn)的異常情況，將主機及存儲設(shè)備事件分成三個層次：

一般性事件：非系統(tǒng)關(guān)鍵進程或文件系統(tǒng)出現(xiàn)異常，不影響生產(chǎn)系統(tǒng)運行的； 需關(guān)注事件：根文件系統(tǒng)或生產(chǎn)系統(tǒng)所在的文件系統(tǒng)的磁盤空間將滿/已滿或系統(tǒng)關(guān)鍵進程異常，即將影響或已經(jīng)影響生產(chǎn)系統(tǒng)運行的；主機或存儲設(shè)備的磁盤異常并發(fā)出警告的；

密切關(guān)注事件：主機宕機；存儲設(shè)備不能正常工作的；主機與存儲設(shè)備中斷連接的；主機性能嚴(yán)重降低，影響終端用戶運行的；系統(tǒng)用戶誤操作導(dǎo)致重要文件丟失的。3.4 數(shù)據(jù)庫

數(shù)據(jù)庫是存儲公司經(jīng)營信息的關(guān)鍵部分，由于數(shù)據(jù)庫是建立在主機及存儲設(shè)備上的應(yīng)用，任何主機及存儲設(shè)備的變化都會對數(shù)據(jù)庫產(chǎn)生或大或小的影響，同時數(shù)據(jù)庫也是公司各個層面用戶的使用對象，用戶對數(shù)據(jù)的操作可能導(dǎo)致不可預(yù)料的影響。根據(jù)數(shù)據(jù)庫對外界操作的反映，將數(shù)據(jù)庫事件分為兩個層次：

一般事件：不影響大量用戶或應(yīng)用系統(tǒng)正常運行的警告或錯誤報告； 重要事件：數(shù)據(jù)庫的系統(tǒng)表空間將滿/已滿的；業(yè)務(wù)系統(tǒng)表空間將滿/已滿的；數(shù)據(jù)庫網(wǎng)絡(luò)監(jiān)視進程終止運行的；數(shù)據(jù)庫內(nèi)部數(shù)據(jù)組織出現(xiàn)異常的；數(shù)據(jù)庫用戶誤操作導(dǎo)致數(shù)據(jù)丟失的；數(shù)據(jù)庫關(guān)鍵進程異常；數(shù)據(jù)庫性能嚴(yán)重降低，影響終端用戶運行；數(shù)據(jù)庫宕機。

3.5 電腦病毒

由于Internet接入，員工從Internet上進行下載或者接收郵件，都有感染病毒的可能性。某些病毒帶有極大的危害性和極快的傳播速度，從而可能導(dǎo)致在公司內(nèi)部的病毒大范圍傳播。針對病毒在公司內(nèi)部的傳播范圍或危害程度，分為三個層次：

一般性事件：獨立的病毒感染，并沒有傳播和造成損失的；

密切關(guān)注事件：病毒小范圍傳播，并造成一定損失，但不是重大損失的； 嚴(yán)重關(guān)注事件：病毒大范圍傳播，并造成重大損失的；

3.6 其他事件

信息中心機房其他影響IT系統(tǒng)運行的因素可能會產(chǎn)生一些突然事件，主要有以下一些方面：

（一）空調(diào)工作異常，導(dǎo)致機房溫度過高；

（二）空調(diào)防水保護出現(xiàn)異常導(dǎo)致滲水；

（三）發(fā)生火災(zāi)；

（四）粉塵導(dǎo)致主機或存儲設(shè)備異常的。

3.4 信息系統(tǒng)重大事件的應(yīng)急方案

根據(jù)上節(jié)對IT系統(tǒng)重大事件的界定，公司已經(jīng)建立了一套完整的應(yīng)急方案，在硬件方面采用雙機熱備機制，同時加強日常的系統(tǒng)監(jiān)控，保持完整的數(shù)據(jù)備份，及時進行災(zāi)難恢復(fù)，和儲備必要的系統(tǒng)備件等多種技術(shù)和方法。下面按照IT系統(tǒng)相關(guān)聯(lián)的電源、網(wǎng)絡(luò)、主機及存儲設(shè)備、數(shù)據(jù)庫、電腦病毒等多個方面進行說明。

4.1 電源

采用UPS為主要設(shè)備進行供電，為了應(yīng)對重大突發(fā)事件，采用以下了手段：

（一）加強UPS的維護，保證UPS的正常工作;

（二）在必要情況下，交流輸入供電系統(tǒng)采用雙路市電供電和發(fā)電機聯(lián)合供電，保證市電使長期停電, UPS仍能正常供電；

（三）直流輸入方面，采用公用一組電池組的設(shè)計，配置長達(dá)4小時的后備電池, 并提供交流輸入瞬變或市電與發(fā)電機供電切換時的短時供電；

（四）根據(jù)停電時間的長短，依次發(fā)布一般性通知、較緊急通知和緊急通知給相關(guān)部門和機構(gòu)；

（五）停電發(fā)生后，及時聯(lián)系供電部門和物業(yè)管理部門。

4.2 網(wǎng)絡(luò)

（一）核心路由器做雙以太口綁定，如一端口發(fā)生故障，自動切換到VPN備份線路接入主機系統(tǒng)，直到修復(fù)使用正常，同時由網(wǎng)絡(luò)集成商提供技術(shù)和備件支持，一旦出現(xiàn)緊急故障，1小時趕到現(xiàn)場處理故障；

（二）到分支機構(gòu)專線采用2M數(shù)字線路，如2M數(shù)字線路發(fā)生故障斷開則自動切換到VPN備份線路接入主機系統(tǒng)，直到專線修復(fù)則使用正常2M線路通信；

（三）對于網(wǎng)絡(luò)核心設(shè)備出現(xiàn)重大故障，盡快了解情況，分析問題和提出應(yīng)急解決方案，做好現(xiàn)場應(yīng)急處理，立即通知網(wǎng)絡(luò)集成服務(wù)商到現(xiàn)場處理，主干交換機由網(wǎng)絡(luò)集成商提供技術(shù)和備件支持，一旦出現(xiàn)緊急故障，1小時內(nèi)趕到現(xiàn)場處理故障；

（四）為防止核心路由器或主干交換機發(fā)生故障后無法解決問題，在必要情況下，配備一臺備用路由器和主干交換機，配置接口與核心路由器和主干交換機相同，一旦出現(xiàn)故障，能在十分種內(nèi)進行更換；

（五）采用CISCO PIX FIREWALL在網(wǎng)絡(luò)入口處檢查網(wǎng)絡(luò)通訊，根據(jù)設(shè)定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，保障內(nèi)外網(wǎng)絡(luò)通訊，實現(xiàn)了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)有效的隔離，所有來自外部網(wǎng)絡(luò)的訪問請求都要通過防火墻的檢查，內(nèi)部網(wǎng)絡(luò)的安全將會得到保證。具體有：

1、設(shè)置源地址過濾，拒絕外部非法IP地址，有效避免了外部網(wǎng)絡(luò)上與業(yè)務(wù)無關(guān)的主機的越權(quán)訪問；

2、防火墻只保留有用的WEB服務(wù)和郵件服務(wù)，將其它不需要的服務(wù)關(guān)閉（含即時通信QQ或其它，MSN控制在一定范圍使用），將系統(tǒng)受攻擊的可能性降低到最小限度，使黑客無機可乘；

3、防火墻制定訪問策略，只有被授權(quán)的外部主機可以訪問內(nèi)部網(wǎng)絡(luò)的有限IP地址，保證外部網(wǎng)絡(luò)只能訪問內(nèi)部網(wǎng)絡(luò)中的必要資源，與業(yè)務(wù)無關(guān)的操作將被拒絕；

4、全面監(jiān)視外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問活動，并進行詳細(xì)的記錄，及時分析得出可疑的攻擊行為；

5、網(wǎng)絡(luò)的安全策略由防火墻集中管理，使黑客無法通過更改某一臺主機的安全策略來達(dá)到控制其他資源訪問權(quán)限的目的；

6、設(shè)置地址轉(zhuǎn)換功能，使外部網(wǎng)絡(luò)用戶不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，使黑客攻擊失去目標(biāo)。4.3 主機、存儲設(shè)備及數(shù)據(jù)庫

為保證生產(chǎn)系統(tǒng)穩(wěn)定運行，主機與存儲系統(tǒng)保持7X24小時的可用。為應(yīng)對可能發(fā)生的重大事件或突發(fā)事件，采取以下措施：

（一）在接到緊急停電通知后30-40分鐘內(nèi)按照先數(shù)據(jù)庫、次主機、最后存儲設(shè)備的順序停止所有系統(tǒng)運行，在必要的情況下，須拔掉所有電源插頭；

（二）采用雙機熱備技術(shù)，在其中一臺主機出現(xiàn)異常時，及時進行切換；

（三）采用硬盤、磁帶庫等設(shè)備作好日常數(shù)據(jù)備份；

（四）如果發(fā)生誤刪除操作系統(tǒng)文件，立即進行文件系統(tǒng)恢復(fù)（必須有備份）；

（五）如果發(fā)生誤刪除數(shù)據(jù)，立即進行數(shù)據(jù)庫恢復(fù)（必須有備份）；

（六）如果文件系統(tǒng)空間不夠，導(dǎo)致系統(tǒng)不能正常運行，立即進行文件系統(tǒng)擴展。

（七）如果數(shù)據(jù)庫表空間不足，立即進行表空間擴展，同時可能還進行文件系統(tǒng)擴展；

（八）在必要情況下，建立異地數(shù)據(jù)備份中心，以保持?jǐn)?shù)據(jù)安全性。

（九）出現(xiàn)重大故障，盡快了解情況，分析問題和提出應(yīng)急解決方案，做好現(xiàn)場應(yīng)急處理，立即通知系統(tǒng)服務(wù)商到現(xiàn)場處理，并由系統(tǒng)服務(wù)商提供備件支援。

4.4 電腦病毒

為防止電腦病毒在公司內(nèi)部的傳播，反毒和信息安全應(yīng)按照“整體防御，整體解決”的原則實施，采用多種手段和產(chǎn)品來切斷電腦病毒的傳播“通道”。具體措施如下：

（一）配置企業(yè)級網(wǎng)絡(luò)版殺毒軟件，在公司總部、分公司、營業(yè)部所有聯(lián)網(wǎng)的PC機、PC服務(wù)器上安裝病毒/郵件防火墻，部署統(tǒng)一的公司網(wǎng)絡(luò)防毒系統(tǒng)，實現(xiàn)反毒分級防范和集中安全管理；

（二）在公司總部和分公司配置防毒網(wǎng)關(guān)服務(wù)器，檢查所有進出郵件、所訪問的網(wǎng)頁和FTP文件，防止病毒通過外部網(wǎng)絡(luò)進入公司內(nèi)網(wǎng)進行傳播；

（三）建立定時自動更新防病毒軟件和病毒庫的機制，確保殺毒軟件的有效性；

（四）建立集中的網(wǎng)絡(luò)入侵檢測和漏洞掃描系統(tǒng)，防范黑客入侵和攻擊，及時給系統(tǒng)打補?。?/p>

（五）加強對用戶的教育，不從不明網(wǎng)站下載，不查看來源不明的郵件，不運行可能含有病毒的程序等；

（六）如果用戶機器發(fā)現(xiàn)病毒，應(yīng)立即終止網(wǎng)絡(luò)連接并通知信息部門進行相關(guān)處理；

（七）如果因病毒發(fā)作而導(dǎo)致數(shù)據(jù)丟失，應(yīng)立即與信息部門聯(lián)系，不要自行處理。

第五篇：行政部門信息系統(tǒng)安全應(yīng)急預(yù)案

市行政管理局

信息系統(tǒng)安全應(yīng)急預(yù)案

（試行）

為保證市系統(tǒng)網(wǎng)絡(luò)與信息安全，防范出現(xiàn)大規(guī)模的網(wǎng)絡(luò)與信息安全事件，根據(jù)市系統(tǒng)網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)及應(yīng)用的現(xiàn)狀，針對存在的問題與風(fēng)險，特制定本安全應(yīng)急預(yù)案。

一、現(xiàn)狀與風(fēng)險

隨著市系統(tǒng)信息化建設(shè)的發(fā)展，信息化已經(jīng)滲透到的每一項工作，信息化給我們的工作帶來效率的同時，也增加了我們對計算機系統(tǒng)的依賴性，網(wǎng)絡(luò)與信息安全的風(fēng)險也逐漸顯露。一是隨著業(yè)務(wù)的發(fā)展，逐步與外部相關(guān)部門實現(xiàn)了聯(lián)網(wǎng)與信息交接，從而使市系統(tǒng)網(wǎng)絡(luò)由過去完全封閉的內(nèi)部網(wǎng)，轉(zhuǎn)變成與外部網(wǎng)、因特網(wǎng)邏輯隔離的網(wǎng)絡(luò)。二是網(wǎng)絡(luò)與信息系統(tǒng)中的關(guān)鍵設(shè)備如主機、路由器、交換機、操作系統(tǒng)等大部分采用國外產(chǎn)品，存在著較大的安全隱患。三是系統(tǒng)內(nèi)計算機應(yīng)用操作人員水平參差不齊，安全意識和安全防護手段不盡如人意。四是敵對勢力以及受利益驅(qū)使的犯罪分子一直蠢蠢欲動，對政府部門構(gòu)成巨大威脅。上述幾個方面構(gòu)成市系統(tǒng)網(wǎng)絡(luò)與信息安全的主要風(fēng)險。

二、指導(dǎo)思想與總體目標(biāo)

指導(dǎo)思想：以“科學(xué)發(fā)展觀”為指導(dǎo)，把做好全市系統(tǒng)網(wǎng)絡(luò)與信息安全工作作為當(dāng)前一項嚴(yán)肅的政治任務(wù)來完成，切實維護國家的政治安全、經(jīng)濟安全和政府部門網(wǎng)絡(luò)信息安全。

總體目標(biāo)：建立科學(xué)、有效、反應(yīng)迅速的網(wǎng)絡(luò)與信息安全應(yīng)急工作機制，提高應(yīng)對突發(fā)事件的組織指揮能力和應(yīng)急處置能力，最大限度地減輕網(wǎng)絡(luò)與信息安全突發(fā)事件的危害，確保計算機信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全。

三、組織體系

為了加強我局信息化建設(shè)與等級保護工作的開展，落實信息安全責(zé)任，健全網(wǎng)絡(luò)與信息安全工作機制，提高應(yīng)對突發(fā)事件的組織指揮能力和應(yīng)急處置能力

經(jīng)研究，決定成立信息化等級保護與信息安全領(lǐng)導(dǎo)小組 現(xiàn)將組成人員通知如下：

組長：王建偉

副組長：蔡小成洪曉明

周慶祥

蔡斌

成員：卓鄭勇、徐建書、屠征宇、陳益飛、管敏益、屠勝達(dá)、陳愛飛、陳雪芬成員：卓鄭勇、徐建書、屠征宇、陳益飛、管敏益、萬曉波、包哲克、鮑魚千、屠勝達(dá)、屠旭東、陳六平、王高平、黃明金、姚正杰、仇展煬、葉傲蕾、徐浩、楊宏遠(yuǎn)、吳小東、陳永正、鄭海斌、周昌林、鄭曉陽、周宏。

領(lǐng)導(dǎo)小組下設(shè)辦公室，洪曉明同志兼任辦公室主任，屠征宇同志兼任辦公室副主任，辦公機構(gòu)設(shè)在監(jiān)察室。

1、領(lǐng)導(dǎo)機構(gòu)

建立市行政管理局網(wǎng)絡(luò)與信息安全應(yīng)急領(lǐng)導(dǎo)小組（以下簡稱領(lǐng)導(dǎo)小組），分管信息化的局領(lǐng)導(dǎo)任組長，辦公室、信息辦負(fù)責(zé)人任副組長，成員由各科室負(fù)責(zé)人組成。領(lǐng)導(dǎo)小組負(fù)責(zé)研究制訂系統(tǒng)網(wǎng)絡(luò)與信息安全應(yīng)急處置工作的規(guī)劃和計劃，協(xié)調(diào)推進網(wǎng)絡(luò)與信息安全應(yīng)急機制和工作體系建設(shè)；發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件后，決定啟動本預(yù)案，領(lǐng)導(dǎo)應(yīng)急處置工作。

2、應(yīng)急辦公室

領(lǐng)導(dǎo)小組下設(shè)應(yīng)急辦公室，辦公室設(shè)在信息辦，辦公室主任由信息辦負(fù)責(zé)人擔(dān)任，成員由信息辦相關(guān)技術(shù)人員組成。應(yīng)急辦公室的職責(zé)：

（1）負(fù)責(zé)處理領(lǐng)導(dǎo)小組的日常工作，檢查督促領(lǐng)導(dǎo)小組決定事項的落實。

（2）研究提出網(wǎng)絡(luò)與信息安全應(yīng)急機制建設(shè)規(guī)劃和工作計劃，檢查、指導(dǎo)和督促全市網(wǎng)絡(luò)與信息安全應(yīng)急機制建設(shè)。

（3）負(fù)責(zé)網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案的管理，檢查落實預(yù)案執(zhí)行情況。

（4）負(fù)責(zé)應(yīng)對網(wǎng)絡(luò)與信息安全突發(fā)事件的預(yù)案演習(xí)和宣傳培訓(xùn)。

（5）對接市政府和市級各部門網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急處置工作。

（6）及時收集分析網(wǎng)絡(luò)與信息安全相關(guān)信息，及時向領(lǐng)導(dǎo)小組提出啟動本預(yù)案的建議。

四、預(yù)防預(yù)警

1、異常報告 系統(tǒng)每位干部和職工均有責(zé)任和義務(wù)維護系統(tǒng)信息化硬件、軟件、網(wǎng)絡(luò)和信息安全，發(fā)現(xiàn)計算機設(shè)備和網(wǎng)絡(luò)發(fā)生異常情況，應(yīng)立即向所在單位信息員報告，信息員應(yīng)及時對異常計算機設(shè)備和網(wǎng)絡(luò)進行檢查并采取必要措施；信息員無法解決問題的，應(yīng)立即向局信息辦報告。信息辦接到報告后，應(yīng)立即采取措施，對異常情況進行分析，防止異常情況擴散。

2、信息監(jiān)測

建立網(wǎng)絡(luò)與信息安全突發(fā)事件監(jiān)測、預(yù)測、預(yù)警制度。各級信息辦要按照“早發(fā)現(xiàn)、早報告、早處置”的原則，加強對各類網(wǎng)絡(luò)與信息安全突發(fā)事件和可能引發(fā)突發(fā)事件的有關(guān)信息的收集、分析判斷和持續(xù)監(jiān)測。

3、預(yù)警處理與發(fā)布

對于可能發(fā)生或已經(jīng)發(fā)生的網(wǎng)絡(luò)與信息安全突發(fā)事件，信息辦應(yīng)立即采取措施控制事態(tài)，在2小時內(nèi)進行風(fēng)險評估，判定事件等級，并立即向應(yīng)急辦公室報告。

應(yīng)急辦公室接到報警信息后，應(yīng)及時對信息進行技術(shù)分析、研判，根據(jù)問題的性質(zhì)、危害程度和發(fā)展態(tài)勢，向領(lǐng)導(dǎo)小組提出預(yù)警的建議。對需要發(fā)布預(yù)警的，由領(lǐng)導(dǎo)小組授權(quán)應(yīng)急辦公室發(fā)布。預(yù)警內(nèi)容應(yīng)包括事件的類別、可能波及的范圍、可能危害程度、可能延續(xù)時間、提醒事宜和應(yīng)采取的措施等。

對發(fā)生和可能發(fā)生重大網(wǎng)絡(luò)與信息安全突發(fā)事件，應(yīng)急辦公室應(yīng)迅速提議召開領(lǐng)導(dǎo)小組會議。由領(lǐng)導(dǎo)小組會議決定啟動本預(yù)案，確定指揮人員。

五、應(yīng)急響應(yīng)

1、應(yīng)急指揮

本預(yù)案啟動后，根據(jù)領(lǐng)導(dǎo)小組會議的統(tǒng)一部署，擔(dān)任指揮的領(lǐng)導(dǎo)和參與指揮的有關(guān)部門領(lǐng)導(dǎo)迅速進入指揮崗位，迅速建立與現(xiàn)場的通信聯(lián)系，分析事件發(fā)展態(tài)勢，研究提出處置方案，并調(diào)集和配置應(yīng)急處置所需的人、財、物等資源，統(tǒng)一指揮應(yīng)急處置工作。

需要成立現(xiàn)場指揮部的，應(yīng)立即在現(xiàn)場開設(shè)指揮部?，F(xiàn)場指揮部在領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下全權(quán)負(fù)責(zé)現(xiàn)場的應(yīng)急處置工作。

2、應(yīng)急支援

本預(yù)案啟動后，根據(jù)情況成立應(yīng)急響應(yīng)先遣小組，趕赴事發(fā)地，督促、指導(dǎo)和協(xié)調(diào)處置工作。領(lǐng)導(dǎo)小組根據(jù)事態(tài)的發(fā)展和處置工作需要，及時增派專家，調(diào)動必需的物資、設(shè)備，支援應(yīng)急工作。

3、信息處理

應(yīng)急辦公室做好信息分析、報告和發(fā)布工作。要組織有關(guān)人員研判各類信息，研究提出對策措施。

5、信息發(fā)布

網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)生后，導(dǎo)致行政管理公共行政業(yè)務(wù)無法正常開展的。應(yīng)急辦公室應(yīng)通知相關(guān)業(yè)務(wù)部門。相關(guān)業(yè)務(wù)部門應(yīng)做好業(yè)務(wù)應(yīng)急準(zhǔn)備，并根據(jù)情況向社會和服務(wù)對象發(fā)布通知。

6、應(yīng)急結(jié)束

網(wǎng)絡(luò)與信息安全突發(fā)事件經(jīng)應(yīng)急處置后，得到有效控制，事態(tài)下降到一定程度或基本得以解決，由應(yīng)急辦公室向領(lǐng)導(dǎo)小組提出應(yīng)急結(jié)束的建議，經(jīng)批準(zhǔn)后實施。

六、后期處置

1、善后處理

應(yīng)急處置工作結(jié)束后，各級信息辦要迅速采取措施，抓緊組織搶修受損的基礎(chǔ)設(shè)施，減少損失，盡快恢復(fù)正常工作。

2、調(diào)查評估

在應(yīng)急處置工作結(jié)束后，各級信息辦應(yīng)對事件發(fā)生及其處置過程進行全面的調(diào)查，查清事件發(fā)生的原因及財產(chǎn)損失情況，總結(jié)經(jīng)驗教訓(xùn)，寫出調(diào)查評估報告，報應(yīng)急辦公室。

七、保障措施

1、應(yīng)急裝備保障

建立信息網(wǎng)絡(luò)硬件、軟件、應(yīng)急救援設(shè)備等應(yīng)急物資庫。應(yīng)急物資庫采用服務(wù)外包的形式，與專業(yè)公司簽訂合同，在網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)生時，由應(yīng)急辦公室出面向公司調(diào)用。

2、數(shù)據(jù)保障

建立業(yè)務(wù)數(shù)據(jù)備份系統(tǒng)，保證在網(wǎng)絡(luò)和信息安全突發(fā)事件發(fā)生時，可緊急恢復(fù)。

3、交通運輸保障

本預(yù)案啟動后，根據(jù)領(lǐng)導(dǎo)小組的決定，局辦公室負(fù)責(zé)確保應(yīng)急交通工具，確保應(yīng)急期間人員、物資和信息傳遞的需要。

4、經(jīng)費保障 網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件應(yīng)急處置資金，應(yīng)列入預(yù)算。

八、監(jiān)督管理

1、宣傳教育

各科室、所、分局要加強網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急和處置有關(guān)知識的宣傳，提高防范意識。并將網(wǎng)絡(luò)與信息安全突發(fā)事件的應(yīng)急管理、工作流程等列入干部的培訓(xùn)內(nèi)容，增強應(yīng)急處置能力。

2、應(yīng)急演練

建立應(yīng)急預(yù)案定期演練制度。通過演練，發(fā)現(xiàn)應(yīng)急工作體系和工作機制存在的問題，不斷完善應(yīng)急預(yù)案。應(yīng)急辦公室每年要組織一次網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急演練。

3、檢查與考核

建立檢查和考核機制。網(wǎng)絡(luò)與信息安全應(yīng)急工作列入工作目標(biāo)考核體系。應(yīng)急辦公室不定期對應(yīng)急制度、計劃、方案和人員等進行檢查，并以應(yīng)急演練的評定結(jié)果作為考核的依據(jù)。

九、附則

1、附件

網(wǎng)絡(luò)和信息安全突發(fā)事件應(yīng)急處置規(guī)程。

2、解釋部門

本預(yù)案由市局信息辦負(fù)責(zé)解釋。

3、實施時間

本預(yù)案自印發(fā)之日起實施。

附件:網(wǎng)絡(luò)和信息安全突發(fā)事件應(yīng)急處置規(guī)程

一、網(wǎng)站出現(xiàn)非法信息的應(yīng)急處置規(guī)程

1、發(fā)現(xiàn)網(wǎng)站出現(xiàn)非法信息時，網(wǎng)站內(nèi)容管理部門應(yīng)按規(guī)定向局領(lǐng)導(dǎo)報告，同時通報信息辦；信息辦應(yīng)立即采取屏蔽、刪除等處理措施，防止信息擴散。

2、信息辦應(yīng)追查非法信息來源，確定相關(guān)責(zé)任人。

3、信息辦在查清事件發(fā)生原因的基礎(chǔ)上，及時總結(jié)經(jīng)驗教訓(xùn)，提出強化安全防范的措施，寫出調(diào)查報告，報網(wǎng)絡(luò)和信息安全應(yīng)急領(lǐng)導(dǎo)小組。

4、領(lǐng)導(dǎo)小組根據(jù)調(diào)查報告，決定是否追究相關(guān)責(zé)任人責(zé)任。

二、黑客攻擊的緊急處置規(guī)程

1、發(fā)現(xiàn)網(wǎng)頁內(nèi)容被篡改，或通過入侵檢測手段等發(fā)現(xiàn)有黑客正在進行攻擊時,應(yīng)立即向信息辦報告。

2、信息辦首先應(yīng)將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來，保護現(xiàn)場，同時向網(wǎng)絡(luò)和信息安全應(yīng)急領(lǐng)導(dǎo)小組報告。

3、恢復(fù)或重建被破壞的系統(tǒng)。

4、追查黑客攻擊來源。

5、情況嚴(yán)重時，召開網(wǎng)絡(luò)和信息安全應(yīng)急領(lǐng)導(dǎo)小組會議；經(jīng)會議批準(zhǔn)，可向公安部門報警。

6、總結(jié)經(jīng)驗教訓(xùn)，采取有效的防范措施。

三、病毒防治應(yīng)急處置規(guī)程

1、當(dāng)計算機使用人員發(fā)現(xiàn)其計算機被感染上病毒后，若無法清除該病毒，應(yīng)第一時間將計算機從網(wǎng)絡(luò)上物理斷開。

2、向信息辦人員報告，確定病毒的性質(zhì)和危害，對病毒進行進一步查殺。

3、若該病毒已經(jīng)在局域網(wǎng)內(nèi)擴散，并嚴(yán)重影響日常辦公及網(wǎng)絡(luò)安全，應(yīng)立即向領(lǐng)導(dǎo)小組報告。

4、領(lǐng)導(dǎo)小組根據(jù)報告，確定具體的處置方式，保證網(wǎng)絡(luò)暢通和計算機安全。

5、總結(jié)經(jīng)驗教訓(xùn)，采取有效的防范措施。

四、軟件系統(tǒng)異常應(yīng)急處置規(guī)程

1、對發(fā)現(xiàn)系統(tǒng)軟件和應(yīng)用軟件響應(yīng)異常的，應(yīng)立即向信息辦報告。

2、信息辦對系統(tǒng)軟件和應(yīng)用軟件進行檢查，視情采取停用、修復(fù)和重新啟用等手段。

3、信息辦通過檢查訪問各類日志記錄等資料，確認(rèn)分析異常原因。

4、情況嚴(yán)重的，召開網(wǎng)絡(luò)和信息安全應(yīng)急領(lǐng)導(dǎo)小組會議；

5、總結(jié)經(jīng)驗教訓(xùn)，采取有效的防范措施。

五、數(shù)據(jù)庫安全應(yīng)急處置規(guī)程 核心數(shù)據(jù)庫數(shù)據(jù)異常應(yīng)遵循如下規(guī)程：

1、發(fā)現(xiàn)核心數(shù)據(jù)庫數(shù)據(jù)大規(guī)模異?；騺G失后，立即向信息辦報告。

2、信息辦接到報告后，應(yīng)指定數(shù)據(jù)庫管理員進行檢查，確屬異常的，應(yīng)立即向領(lǐng)導(dǎo)小組報告。

3、領(lǐng)導(dǎo)小組決定是否啟動應(yīng)急預(yù)案。經(jīng)領(lǐng)導(dǎo)小組批準(zhǔn)啟動應(yīng)急預(yù)案后，暫停相關(guān)業(yè)務(wù)服務(wù)，并通知相關(guān)業(yè)務(wù)部門。

4、使用備份數(shù)據(jù)恢復(fù)數(shù)據(jù)后重新啟動服務(wù)，并立即追查原因。如屬設(shè)備故障的，應(yīng)立即聯(lián)系廠商維修設(shè)備。如屬人為原因的，應(yīng)立即追查相關(guān)人員，必要時請公安機關(guān)介入。

5、總結(jié)相關(guān)教訓(xùn)，分析具體原因，加固核心數(shù)據(jù)庫系統(tǒng)安全，并報領(lǐng)導(dǎo)小組。

六、廣域網(wǎng)外部線路中斷應(yīng)急處置規(guī)程

1、廣域網(wǎng)線路若中斷后，應(yīng)立即向領(lǐng)導(dǎo)小組報告。

2、信息辦應(yīng)迅速判斷故障節(jié)點，查明故障原因。

3、如屬內(nèi)部管轄范圍，由系統(tǒng)管理員立即予以恢復(fù)。如遇無法恢復(fù)情況，立即向有關(guān)廠商請求支援。

4、如屬通信部門管轄范圍，立即與通信維護部門聯(lián)系，請求及時修復(fù)。

5、總結(jié)經(jīng)驗教訓(xùn)，采取有效的防范措施。

七、局域網(wǎng)中斷應(yīng)急處置規(guī)程

1、局域網(wǎng)中斷后，信息辦應(yīng)判斷故障節(jié)點，查明故障原因，并向領(lǐng)導(dǎo)小組匯報。

2、如屬線路故障，應(yīng)立即搶修線路。

3、如屬路由器、交換機等網(wǎng)絡(luò)設(shè)備故障，應(yīng)立即與設(shè)備提供商聯(lián)系更換設(shè)備，并調(diào)試暢通。

4、如屬路由器、交換機配置文件破壞，應(yīng)迅速按照要求重新配置，并調(diào)試暢通。如遇無法解決的技術(shù)問題，立即報告領(lǐng)導(dǎo)小組，請求廠方專家支援。

5、總結(jié)經(jīng)驗教訓(xùn)，采取有效的防范措施。

八、設(shè)備故障應(yīng)急處置規(guī)程

1、發(fā)現(xiàn)服務(wù)器等關(guān)鍵設(shè)備損壞后，應(yīng)立即向信息辦領(lǐng)導(dǎo)報告。

2、信息辦指定系統(tǒng)管理員查明設(shè)備故障原因，并向領(lǐng)導(dǎo)小組匯報情況。

3、如果能夠自行恢復(fù)，應(yīng)立即用備件替換受損部件。

4、如果不能自行恢復(fù)的，立即與設(shè)備提供商聯(lián)系，請求派維修人員前來維修。

5、如果設(shè)備一時不能修復(fù)，應(yīng)向領(lǐng)導(dǎo)小組匯報，視情決定是否啟動應(yīng)急預(yù)案。

6、總結(jié)經(jīng)驗教訓(xùn)，采取有效的防范措施。

九、機房著火應(yīng)急處置規(guī)程

1、一旦機房發(fā)生火災(zāi)，應(yīng)遵照下列原則：首先保證人員安全；其次保證關(guān)鍵設(shè)備和數(shù)據(jù)安全；三是保證一般設(shè)備安全。

2、人員疏散程序：機房值班人員立即按響火警警報，并通過119電話向消防部門請求支援，所有不參與滅火的人員按照預(yù)先確定的線路，迅速從機房中撤出。

3、滅火程序：規(guī)范化的機房啟動氣體滅火系統(tǒng)，沒有氣體滅火系統(tǒng)的機房，首先切斷所有電源，取出泡沫滅火器進行滅火。

4、滅火后，迅速組織搶修受損的基礎(chǔ)設(shè)施，減少損失，盡快恢復(fù)正常工作。

5、總結(jié)經(jīng)驗教訓(xùn)，采取有效的防范措施。

十、電力中斷應(yīng)急處置規(guī)程

1、發(fā)生電力中斷，應(yīng)立即向領(lǐng)導(dǎo)小組報告。

2、屬內(nèi)部電力線路故障的，辦公室應(yīng)迅速組織力量恢復(fù)電力。

3、屬供電局供電故障的，應(yīng)立即與供電局聯(lián)系，請供電局迅速恢復(fù)供電。

4、如供電局告知需長時間停電，應(yīng)做好如下工作：

（1）預(yù)計停電半小時以內(nèi)，由UPS供電。視情關(guān)閉一些服務(wù)器等設(shè)備。涉及業(yè)務(wù)中斷的，通知相關(guān)業(yè)務(wù)部門。

（2）預(yù)計停電半小時以上，關(guān)掉所有關(guān)鍵設(shè)備，暫停一切業(yè)務(wù)。

5、電力恢復(fù)后，信息辦應(yīng)重新啟動設(shè)備，恢復(fù)業(yè)務(wù)運行。