第一篇：系統(tǒng)安全應急預案（推薦）

北疆房產網系統(tǒng)安全應急預案

一、總則

（一）編制目的

網絡和信息安全涉及以設備為中心的信息安全，技術涵蓋網絡系統(tǒng)、計算機操作系統(tǒng)、數據庫管理系統(tǒng)和應用軟件系統(tǒng)；涉及計算機病毒的防范、入侵的監(jiān)控；涉及以用戶（包括內部員工和外部相關機構人員）為中心的安全管理，包括用戶的身份管理、身份認證、授權、審計等；涉及信息傳輸的機密性、完整性、不可抵賴性等等。為切實加強我院網絡運行安全與信息安全的防范，做好應對網絡與信息安全突發(fā)公共事件的應急處理工作，進一步提高預防和控制網絡和信息安全突發(fā)事件的能力和水平，昀大限度地減輕或消除網絡與信息安全突發(fā)事件的危害和影響，確保網絡運行安全與信息安全，結合本院工作實際，特制定本應急預案。

（二）編制依據

根據《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《政府信息系統(tǒng)安全檢查指南》、GB/T20269-2006《信息安全技術信息系統(tǒng)安全管理要求》、GB/T20270-2006《信息安全技術網絡基礎安全技術要求》、GB/T20281-2006《信息安全技術防火墻技術要求和測試評價方法》、GB/T19716-2005《信息技術信息安全管理使用規(guī)則》等有關法規(guī)、規(guī)定，制定本預案。

（三）本預案適用于北疆房產網網絡與信息安全應急處理工作。

二、應急組織機構及職責

成立信息系統(tǒng)應急處理領導小組，負責領導、組織和協(xié)調全院信息系統(tǒng)突發(fā)事件的應急保障工作。

（一）領導小組成員： 組長：劉全 成員：信息科

應急小組日常工作由信息科承擔，其他各相關部門積極配合。

（二）領導小組職責：制訂專項應急預案，負責定期組織演練，監(jiān)督檢查各部門在本預案中履行職責情況。對發(fā)生事件啟動應急救援預案進行決策，全面指揮應急救援工作。

三、工作原則

（一）積極防御、綜合防范

立足安全防護，加強預警，重點保護重要信息網絡和關系社會穩(wěn)定的重要信息系統(tǒng)；從預防、監(jiān)控、應急處理、應急保障和打擊不法行為等環(huán)節(jié)，在管理、技術、宣傳等方面，采取多種措施，充分發(fā)揮各方面的作用，構筑網絡與信息安全保障體系

（二）明確責任、分級負責

按照“誰主管誰負責”的原則，分級分類建立和完善安全責任制度、協(xié)調管理機制和聯動工作機制。加強計算機信息網絡安全的宣傳和教育，進一步提高工作人員的信息安全意識。

（三）落實措施、確保安全

要對機房、網絡設備、服務器等設施定期開展安全檢查，對發(fā)現安全漏洞和隱患的進行及時整改。

（四）科學決策，快速反應

加強技術儲備，規(guī)范應急處置措施和操作流程，網絡與信息安全突發(fā)公共事件發(fā)生時，要快速反應，及時獲取準確信息，跟蹤研判，及時報告，果斷決策，迅速處理，昀大限度地減少危害和影響。

四、事件分類和風險程度分析

（一）物理層的安全風險分析

1、系統(tǒng)環(huán)境安全風險

（1）水災、火災、雷電等災害性故障引發(fā)的網絡中斷、系統(tǒng)癱瘓、數據被毀等；

（2）因接地不良、機房屏蔽性能差引起的靜電干擾或外界的電磁干擾使系統(tǒng)不能正常工作；（3）機房電力設備和其它配套設備本身缺陷誘發(fā)信息系統(tǒng)故障；（4）機房安全設施自動化水平低，不能有效監(jiān)控環(huán)境和信息系統(tǒng)工作；（5）其它環(huán)境安全風險。

2、物理設備的安全風險由于信息系統(tǒng)中大量地使用了網絡設備如交換機、路由器等，服務器，移動設備，使得這些設備的自身安全性也會直接關系信息系統(tǒng)和各種網絡應用的正常運轉。例如，路由設備存在路由信息泄漏，交換機和路由器設備配置風險等。

（二）網絡安全風險

1、網絡體系結構的安全風險

網絡平臺是一切應用系統(tǒng)建設的基礎平臺，網絡體系結構是否按照安全體系結構和安全機制進行設計，直接關系到網絡平臺的安全保障能力。醫(yī)院的網絡是由多個局域網和廣域網組成，網絡體系結構比較復雜。內部應用信息網、Internet網之間是否進行隔離及如何進行隔離，網段劃分是否合理，路由是否正確，網絡的容量、帶寬是否考慮客戶上網的峰值，網絡設備有無冗余設計等都與安全風險密切相關。

2、網絡通信協(xié)議的安全風險。

網絡通信協(xié)議存在安全漏洞，網絡黑客就能利用網絡設備和協(xié)議的安全漏洞進行網絡攻擊和信息竊取。例如未經授權非法訪問內部網絡和應用系統(tǒng)；對其進行監(jiān)聽，竊取用戶的口令密碼和通信密碼；對網絡的安全漏洞進行探測掃描；對通信線路和網絡設備實施拒絕服務攻擊，造成線路擁塞和系統(tǒng)癱瘓。

3、網絡操作系統(tǒng)的安全風險

網絡操作系統(tǒng)，不論是 IOS，Android，還是 Windows，都存在安全漏洞；一些重要的網絡設備，如路由器、交換機、網關，防火墻等，由于操作系統(tǒng)存在安全漏洞，導致網絡設備的不安全；有些網絡設備存在“后門”（back door）。

（三）系統(tǒng)安全風險

1、操作系統(tǒng)安全風險

操作系統(tǒng)的安全性是系統(tǒng)安全管理的基礎。數據庫服務器、中間層服務器，以及各類業(yè)務和辦公客戶機等設備所使用的操作系統(tǒng)，不論是Win2008/XP/7，還是 Unix都存在信息安全漏洞，由操作系統(tǒng)信息安全漏洞帶來的安全風險是昀普遍的安全風險。

2、數據庫安全風險 所有的業(yè)務應用、決策支持、行政辦公的信息管理核心都是數據庫，而涉及醫(yī)院運行的數據都是昀需要安全保護的信息資產，不僅需要統(tǒng)一的數據備份和恢復以及高可用性的保障機制，還需要對數據庫的安全管理，包括訪問控制，敏感數據的安全標簽，日志審計等多方面提升安全管理級別，規(guī)避風險。雖然，目前醫(yī)院的數據庫管理系統(tǒng)可以達到較高的安全級別，但仍存在安全漏洞。建立在其上的各種應用系統(tǒng)軟件在數據的安全管理設計上也不可避免地存在或多或少的安全缺陷，需要對數據庫和應用的安全性能進行綜合的檢測和評估。

3、應用系統(tǒng)的安全風險

為優(yōu)化整個應用系統(tǒng)的性能，無論是采用C／S應用模式或是B／S應用模式，應用系統(tǒng)都是其系統(tǒng)的重要組成部分，不僅是用戶訪問系統(tǒng)資源的入口，也是系統(tǒng)管理員和系統(tǒng)安全管理員管理系統(tǒng)資源的入口，桌面應用系統(tǒng)的管理和使用不當，會帶來嚴重的安全風險。例如當口令或通信密碼丟失、泄漏，系統(tǒng)管理權限丟失、泄漏時，輕者假冒合法身份用戶進行非法操作。重者，“黑客”對系統(tǒng)實施攻擊，造成系統(tǒng)崩潰。

4、病毒危害風險

計算機病毒的傳播會破壞數據信息，占用系統(tǒng)資源，影響計算機運行速度，引起網絡堵塞甚至癱瘓。盡管防病毒軟件安裝率已大幅度提升，但如果沒有好的防毒概念，從不進行病毒代碼升級，而新病毒層出不窮，因此威脅性愈來愈大。

5、黑客入侵風險

一方面風險來自于內部，入侵者利用 Sniffer等嗅探程序通過網絡探測、掃描網絡及操作系統(tǒng)存在的安全漏洞，如網絡 IP地址、應用操作系統(tǒng)的類型、開放哪些 TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關鍵文件等，并采用相應的攻擊程序對內網進行攻擊。入侵者通過拒絕服務攻擊，使得服務器超負荷工作以至拒絕服務甚至系統(tǒng)癱瘓。

另一方面風險來自外部，入侵者通過網絡監(jiān)聽、用戶滲透、系統(tǒng)滲透、拒絕服務、木馬等綜合手段獲得合法用戶的用戶名、口令等信息，進而假冒內部合法身份進行非法登錄，竊取內部網重要信息，或使系統(tǒng)終止服務。所以，必須要對外部和內部網絡進行必要的隔離，避免信息外泄；同時還要對外網的服務請求加以過濾，只允許正常通信的數據包到達相應主機，其它的請求服務在到達主機之前就應該遭到拒絕。

（四）應用安全風險

1、身份認證與授權控制的安全風險

依靠用戶 ID和口令的認證很不安全，容易被猜測或盜取，會帶來很大的安全風險。為此，動態(tài)口令認證、CA第三方認證等被認為是先進的認證方式。但是，如果使用和管理不當，同樣會帶來安全風險。要基于應用服務和外部信息系統(tǒng)建立基于統(tǒng)一策略的用戶身份認證與授權控制機制，以區(qū)別不同的用戶和信息訪問者，并授予他們不同的信息訪問和事務處理權限。

2、信息傳輸的機密性和不可抵賴性風險

實時信息是應用系統(tǒng)的重要事務處理信息，必須保證實時信息傳輸的機密性和網上活動的不可抵賴性，能否做到這一點，關鍵在于采用什么樣的加密方式、密碼算法和密鑰管理方式。采用國內經過國家密碼管理委員會和公安部批準的加密方式、密碼算法和密鑰管理技術來強化這一環(huán)節(jié)的安全保障。

3、管理層安全風險分析

安全的網絡設備要靠人來實施，管理是整個網絡安全中昀為重要的一環(huán)，認真地分析管理所帶來的安全風險，并采取相應的安全措施。責權不明、管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。

當網絡出現攻擊行為或網絡受到其它一些安全威脅時（如內部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預警。同時，當故障發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網絡的可控性與可審查性。這就要求人們必須對站點的訪問活動進行多層次的記錄，及時發(fā)現非法入侵行為。

五、預防預警

（一）完善網絡與信息安全突發(fā)公共事件監(jiān)測、預測和預警制度。

加強對各類網絡與信息安全突發(fā)事件和可能引起突發(fā)網絡與信息安全突發(fā)公共事件的有關信息的收集、分析、判斷和持續(xù)監(jiān)測。當檢查到有網絡與信息安全突發(fā)事件發(fā)生或可能發(fā)生時，應及時對發(fā)生事件或可能發(fā)生事件進行調查核實、保存相關證據，并立即向應急領導小組報告。報告內容主要包括信息來源、影響范圍、事件性質、事件發(fā)展趨勢和采取的措施建議等。

若發(fā)現下列情況應及時向應急領導小組報告：利用網絡從事違法犯罪活動；網絡或信息系統(tǒng)通信和資源使用異常；網絡或信息系統(tǒng)癱瘓，應用服務中斷或數據篡改、丟失；網絡恐怖活動的嫌疑和預警信息；其他影響網絡與信息安全的信息。

（二）設定信息安全等級保護，實行信息安全風險評估。

通過相關設備實時監(jiān)控網絡工作與信息安全狀況。各基礎信息網絡和重要信息系統(tǒng)建設要充分考慮抗毀性和災難恢復，制定并不斷完善信息安全應急處理預案。針對信息網絡的突發(fā)性、大規(guī)模安全事件，建立制度優(yōu)化、程序化的處理流程。

（三）做好服務器及數據中心的數據備份及登記工作，建立災難性數據恢復機制。

一旦發(fā)生網絡與信息安全事件，立即啟動應急預案，采取應急處置措施，判定事件危害程度，并立即將情況向有關領導報告。在處置過程中，應及時報告處置工作進展情況，直至處置工作結束。

六、處置流程

（一）預案啟動

在發(fā)生網絡與信息安全事件后，信息中心應盡昀大可能迅速收集事件相關信息，鑒別事件性質，確定事件來源，弄清事件范圍和評估事件帶來的影響和損害，一旦確認為網絡與信息安全事件后，立即將事件上報工作組并著手處置。

（二）應急處理

1、電源斷電（1）查明故障原因。

（2）檢查 UPS是否正常供電。

（3）匯報相關領導，確認市電恢復時間，評估 UPS供電能力。（4）備份服務器數據、交換機配置。（5）通知進行電源維修。做好事件記錄。

（6）必要時請示負責人，主動關閉服務器、交換機、存儲等設備，以免設備損壞或數據損失。

2、局域網中斷緊急處理措施

（1）信息安全負責人員立即判斷故障節(jié)點，查明故障原因，及時匯報。（2）若是線路故障，重新安裝線路。

（3）若是路由器、交換機等設備故障，應立即從指定位置將備用設備取出接上，并調試暢通。（4）若是路由器、交換機等配置文件損壞，應迅速按照要求重新配置，并調試暢通。（5）匯報相關領導，做好事件記錄。

3、廣域網線路中斷

（1）信息安全負責人員應立即判斷故障節(jié)點，查明故障原因。（2）如是我方管轄范圍，由信息安全負責人員立即維修恢復。（3）如是電信部門管轄范圍，應立即與電信維護部門聯系修復。（4）做好事件記錄。

4、核心交換機故障

（1）檢查、備份核心交換機日志。（2）啟用備用核心交換機，檢查接管情況。（3）備份核心交換機配置信息。

（4）將服務器接入備用核心交換機，檢查服務器運行情況，將樓層交換機、接入交換機接入備用核心交換機，檢查各交換機運行情況。

（5）匯報有關領導，做好事件記錄。（6）聯系維修核心交換機。

5、光纜線路故障

（1）立即聯系光纖熔接人員攜帶尾纖等輔助材料，及時熔接連通。（2）檢查并做好備用光纜或備用芯的跳線工作，隨時切換到備用網絡。（3）做好事件記錄，及時上報。

6、計算機病毒爆發(fā)

（1）關閉計算機病毒爆發(fā)網段上聯端口。（2）隔離中病毒計算機。（3）關閉中病毒計算機上聯端口。（4）根據病毒特征使用專用工具進行查殺。（5）系統(tǒng)損壞計算機在備份其數據后，進行重裝。（6）通過專用工具對網絡進行清查。（7）做好事件記錄，及時上報。

7、服務器設備故障

（1）主要服務器應做多個數據備份。（2）如能自行恢復，則立即用備件替換受損部件，如：電源損壞更換備用電源，硬盤損壞更換備用硬盤，網卡、主板損壞啟用備用服務器。

（3）若數據庫崩潰應立即啟用備用系統(tǒng)。并檢查備用服務器啟用情況。（4）對主機系統(tǒng)進行維修并做數據恢復。

（5）如不能恢復，立即聯系設備供應商，要求派維護人員前來維修。（6）匯報有關領導，做好事件記錄。

8、黑客攻擊事件

（1）若通過入侵監(jiān)測系統(tǒng)發(fā)現有黑客進行攻擊，立即通知相關人員處理。（2）將被攻擊的服務器等設備從網絡中隔離出來。（3）及時恢復重建被攻擊或被破壞的系統(tǒng)

（4）記錄事件，及時上報，若事態(tài)嚴重，應及時向信息化主管部門和公安部門報警。

9、數據庫安全事件

（1）平時應對數據庫系統(tǒng)做多個備份。

（2）發(fā)生數據庫數據丟失、受損、篡改、泄露等安全事件時，信息安全人員應查明原因，按照情況采取相應措施：如更改數據庫密碼，修復錯誤受損數據。

（3）如果數據庫崩潰，信息安全人員應立即啟用備用系統(tǒng)，并向信息安全負責人報告；在備用系統(tǒng)運行期間，信息安全人員應對主機系統(tǒng)進行維修并作數據恢復。

（4）做好事件記錄，及時上報。

10、人員疏散與機房滅火預案

（1）當班人員發(fā)現機房內有起火、冒煙現象或聞到燒焦氣味時，應立即查明原因和地點，及時上報并針對不同情況，采取關閉電源總開關、隔離火源附近易燃物、用消防栓、滅火器等器材滅火等措施，組織本單位、部門在場的人員有序地投入撲救工作，將火撲滅或控制火勢蔓延。

（2）當火勢已無法控制時，一是指定專人立即撥打“119”火警電話報警和向上級保衛(wèi)部門報告，并打破報警器示警。二是組織周圍人員迅速撤離。

（3）在保障人員安全的情況下，立即組織人員疏散和轉移重要物品，特別是易燃、易爆物品和重要的機器、數據要及時轉移到安全地點，并派人員守護，確保安全。

（4）火情結束之后，組織相關人員及時進行網絡系統(tǒng)恢復，及時向上級有關部門和領導匯報，并做好現場保護工作和防止起火點復燃。

11、發(fā)生自然災害后的緊急措施

（1）遇到重大雷暴天氣，可能對機房設備造成損害時，應關閉所有服務器，切斷電源，暫停內部計算機網絡工作。雷暴天氣結束后，及時開通服務器，恢復內部計算機網絡工作。

（2）確認災害不會造成人身傷害后，盡快將網絡恢復正常，若有設備、數據損壞，及時使用備份設備或備用數據。

（3）及時核實、報損，并將詳細情況向部門領導匯報。

12、關鍵人員不在崗的緊急處置措施（1）對于關鍵崗位平時應做好人員儲備，確保一項工作有兩人能夠操作。對于關鍵賬戶和密碼進行密封保存。

（2）一旦發(fā)生系統(tǒng)安全事件，關鍵人員不在崗且聯系不上或 1小時內不能到達機房的情況，首先應向領導小組匯報情況。

（3）經領導小組批準后，啟用醫(yī)院備份管理員密碼，由備用人員上崗操作。（4）如果備用人員無法上崗，請求軟件公司技術支援。（5）關鍵人員到崗后，按照相關規(guī)定進行密碼設定和封存。（6）做好事件記錄。

（三）后續(xù)處理

安全事件進行昀初的應急處置以后，應及時采取行動，抑制其影響的進一步擴大，限制潛在的損失與破壞，同時要確保應急處置措施對涉及的相關業(yè)務影響昀小。安全事件被抑制之后，通過對有關事件或行為的分析結果，找出其根源，明確相應的補救措施并徹底清除。在確保安全事件解決后，要及時清理系統(tǒng)、恢復數據、程序、服務，恢復工作應避免出現誤操作導致數據丟失。

（四）記錄上報

網絡與信息安全事件發(fā)生時，應及時向網絡與信息安全應急處置工作組匯報，并在事件處置工作中作好完整的過程記錄，及時報告處置工作進展情況，保存各相關系統(tǒng)日志，直至處置工作結束。

七、保障措施

（一）應急設備保障

對于重要網絡與信息系統(tǒng)，在建設系統(tǒng)時應事先預留一定的應急設備，建立信息網絡硬件、軟件、應急救援設備等應急物資庫。在網絡與信息安全突發(fā)公共事件發(fā)生時，報領導同意后，由應急工作組負責統(tǒng)一調用。

（二）數據保障

重要信息系統(tǒng)均應建立容災備份系統(tǒng)和相關工作機制，保證重要數據在遭到破壞后，可緊急恢復。各容災備份系統(tǒng)應具有一定的兼容性，在特殊情況下各系統(tǒng)間可互為備份。

第二篇：IT系統(tǒng)安全應急預案

江蘇IT系統(tǒng)安全應急預案 目的

伴隨著公司信息化建設的發(fā)展，IT系統(tǒng)的安全性也越發(fā)重要，需要全面加強信息安全性的建設，確保系統(tǒng)不受到來自內部和外部的攻擊，實現對非法入侵的安全審計與跟蹤，保證業(yè)務應用和數據的安全性。同時還必須建立起一套完善、可行的應急處理規(guī)章制度，在出現重大情況后能及時響應，盡最大可能減少損失。

1.2 公司系統(tǒng)架構和現狀

2.1 IT應用系統(tǒng)架構

公司的IT系統(tǒng)以總公司為中心，各分支機構通過租用專用線路或VPN同總公司連通，在各分支機構內部也建立較完善的多級綜合網絡，包括中心支公司、支公司、出單點等等。在網絡上運行著以下系統(tǒng)：

（一）視頻會議系統(tǒng)

各分公司之間、分公司與總公司之間、各辦事處與公司之間進行的網絡視頻會議。

（二）辦公自動化系統(tǒng)

輔助公司日常辦公的系統(tǒng)，如OAERP，實現公司上下級之間的公文與協(xié)同工作信息傳遞。

（三）郵件系統(tǒng)

公司的內部及外部郵箱系統(tǒng)，為公司內、外部信息交流提供方便、快捷的通道。2.2 系統(tǒng)安全隱患

由于公司的系統(tǒng)是多應用、多連接的平臺，本身就可能存在著難于覺察的安全隱患，同時又面臨來自各方面的安全威脅，這些威脅既可能是惡意的攻擊，又可能是某些員工無心的過失。下面從網絡系統(tǒng)、操作系統(tǒng)與數據庫、數據以及管理等方面進行描述：

（一）網絡

與公司各級網絡進行互聯的外部網絡用戶及Internet黑客對各級單位網絡的非法入侵和攻擊；公司內部各級單位網絡相互之間的安全威脅，例如某個分支單位網絡中的人員對網絡中關鍵服務器的非法入侵和破壞；在各級單位網絡中，對于關鍵的生產業(yè)務應用和辦公應用系統(tǒng)而言，可能會受到局域網上一些無關用戶的非法訪問。

（二）操作系統(tǒng)與數據庫

操作系統(tǒng)與數據庫都存在一定的安全缺陷或者后門，很容易被攻擊者用來進行非法的操作；系統(tǒng)管理員經驗不足或者工作疏忽造成的安全漏洞，也很容易被攻擊者利用；系統(tǒng)合法用戶特別是擁有完全操作權限的特權用戶的誤操作可能導致系統(tǒng)癱瘓、數據丟失等情況。

（三）網絡應用

網絡上多數應用系統(tǒng)采用客戶/服務器體系或衍生的方式運行，對應用系統(tǒng)訪問者的控制手段是否嚴密將直接影響到應用自身的安全性；由于實現了Internet接入，各級單位的計算機系統(tǒng)遭受病毒感染的機會也更大，且很容易通過文件共享、電子郵件等網絡應用迅速蔓延到整個公司網絡中；網絡用戶自行指定IP地址而產生IP地址沖突，將導致業(yè)務系統(tǒng)的UNIX小型機服務器自動宕機。

（四）數據

數據存儲和傳輸所依賴的軟、硬件環(huán)境遭到破壞，或者操作系統(tǒng)用戶的誤操作，以及數據庫用戶在處理數據時的誤操作，都會使嚴重威脅數據的安全。

（五）管理 如果缺乏嚴格的企業(yè)安全管理，信息系統(tǒng)所受到的安全威脅即使是各種安全技術手段也無法抵抗。

在充分認識到確保核心業(yè)務和應用有效運轉的前提下，公司已經采取了一定的措施，如利用操作系統(tǒng)和應用系統(tǒng)自身的功能進行用戶訪問控制，建立容錯和備份機制，采用數據加密等。但是這些措施所能提供的安全功能和安全保護范圍都非常有限，為了在不斷發(fā)展變化著的網絡計算環(huán)境中保護公司信息系統(tǒng)的安全，特制定了IT系統(tǒng)重大事件應急方案。

2.3 IT系統(tǒng)重大事件的界定

IT系統(tǒng)的脆弱性體現在很多方面，小到短暫的電力不足或磁盤錯誤，大到設備的毀壞或火災等等。很多系統(tǒng)弱點可以在組織風險管理控制過程中通過技術的、管理的或操作的方法消除，但理論上是不可能完全消除所有的風險。為了能更好的制定針對IT系統(tǒng)重大事件的應急方案，必須先對所有可能發(fā)生的重大事件進行詳細的描述和定義。下面將從IT系統(tǒng)相關聯的電源、網絡、主機及存儲設備、數據庫、病毒、信息中心機房等多個方面進行說明。

3.1 電源

電源是IT系統(tǒng)最基礎的部分，也是最容易受到外界干擾的部分之一。在既能保證公司系統(tǒng)平穩(wěn)運行，又能保證關鍵或重要設備安全的前提下，根據目前配備的UPS電源的實際情況，將電源事件分為三個層次：

一般性電源事件：停電時間在1小時以內的（包括1小時）； 需關注電源事件：停電時間在2小時以內的（包括2小時）； 密切關注電源事件：停電時間在2小時以上的。

3.2 網絡

網絡是IT系統(tǒng)及網絡客戶進行通訊的通道，也是最容易受到外界干擾或攻擊的部分之一。目前總公司主要對各地分公司到總公司的網絡線路進行管控，而公司又是采用數據集中的運營模式，鑒于這種情況，將網絡事件分為三個層次：

一般性網絡事件：樓層交換機出現異常，或局域網絡中斷時間在5分鐘以內的（包括5分鐘）；

需關注網絡事件：主交換機、防火墻、上網設備出現異常，或局域網絡中斷時間在30分鐘以內的（包括30分鐘），廣域網絡中斷時間在5分鐘以內的（包括5分鐘）；

密切關注網絡事件：主干交換機、核心路由器、VPN設備出現異常，或廣域網絡中斷時間在30分鐘以上的。

3.3 主機及存儲設備

主機及存儲設備是IT系統(tǒng)運行的關鍵和核心，也是相對脆弱的部分，對工作環(huán)境的要求是相當高的，任何外部的變化都可能導致這些設備出現異常。根據出現的異常情況，將主機及存儲設備事件分成三個層次：

一般性事件：非系統(tǒng)關鍵進程或文件系統(tǒng)出現異常，不影響生產系統(tǒng)運行的； 需關注事件：根文件系統(tǒng)或生產系統(tǒng)所在的文件系統(tǒng)的磁盤空間將滿/已滿或系統(tǒng)關鍵進程異常，即將影響或已經影響生產系統(tǒng)運行的；主機或存儲設備的磁盤異常并發(fā)出警告的；

密切關注事件：主機宕機；存儲設備不能正常工作的；主機與存儲設備中斷連接的；主機性能嚴重降低，影響終端用戶運行的；系統(tǒng)用戶誤操作導致重要文件丟失的。

3.4 數據庫

數據庫是存儲公司經營信息的關鍵部分，由于數據庫是建立在主機及存儲設備上的應用，任何主機及存儲設備的變化都會對數據庫產生或大或小的影響，同時數據庫也是公司各個層面用戶的使用對象，用戶對數據的操作可能導致不可預料的影響。根據數據庫對外界操作的反映，將數據庫事件分為兩個層次： 一般事件：不影響大量用戶或應用系統(tǒng)正常運行的警告或錯誤報告； 重要事件：數據庫的系統(tǒng)表空間將滿/已滿的；業(yè)務系統(tǒng)表空間將滿/已滿的；數據庫網絡監(jiān)視進程終止運行的；數據庫內部數據組織出現異常的；數據庫用戶誤操作導致數據丟失的；數據庫關鍵進程異常；數據庫性能嚴重降低，影響終端用戶運行；數據庫宕機。

3.5 電腦病毒

由于Internet接入，員工從Internet上進行下載或者接收郵件，都有感染病毒的可能性。某些病毒帶有極大的危害性和極快的傳播速度，從而可能導致在公司內部的病毒大范圍傳播。針對病毒在公司內部的傳播范圍或危害程度，分為三個層次：

一般性事件：獨立的病毒感染，并沒有傳播和造成損失的；

密切關注事件：病毒小范圍傳播，并造成一定損失，但不是重大損失的； 嚴重關注事件：病毒大范圍傳播，并造成重大損失的；

3.6 其他事件

信息中心機房其他影響IT系統(tǒng)運行的因素可能會產生一些突然事件，主要有以下一些方面：

（一）空調工作異常，導致機房溫度過高；

（二）空調防水保護出現異常導致滲水；

（三）發(fā)生火災；

（四）粉塵導致主機或存儲設備異常的。

3.4 信息系統(tǒng)重大事件的應急方案

根據上節(jié)對IT系統(tǒng)重大事件的界定，公司已經建立了一套完整的應急方案，在硬件方面采用雙機熱備機制，同時加強日常的系統(tǒng)監(jiān)控，保持完整的數據備份，及時進行災難恢復，和儲備必要的系統(tǒng)備件等多種技術和方法。下面按照IT系統(tǒng)相關聯的電源、網絡、主機及存儲設備、數據庫、電腦病毒等多個方面進行說明。

4.1 電源

機房采用UPS為主要設備進行供電，為了應對重大突發(fā)事件，采用以下了手段：

（一）加強UPS的維護，保證UPS的正常工作;

（二）在必要情況下，交流輸入供電系統(tǒng)采用雙路市電供電和發(fā)電機聯合供電，保證市電使長期停電, UPS仍能正常供電；

（三）直流輸入方面，采用公用一組電池組的設計，配置長達48小時的后備電池, 并提供交流輸入瞬變或市電與發(fā)電機供電切換時的短時供電；

（四）根據停電時間的長短，依次發(fā)布一般性通知、較緊急通知和緊急通知給相關部門和機構；

（五）停電發(fā)生后，及時聯系設備部門和供電部門。

4.2 網絡

（一）核心路由器做雙以太口綁定，如一端口發(fā)生故障，自動切換到VPN備份線路接入主機系統(tǒng)，直到修復使用正常，同時由網絡集成商提供技術和備件支持，一旦出現緊急故障，1小時趕到現場處理故障；

（二）到分支機構專線采用2M數字線路，如2M數字線路發(fā)生故障斷開則自動切換到VPN備份線路接入主機系統(tǒng)，直到專線修復則使用正常2M線路通信；

（三）對于網絡核心設備出現重大故障，盡快了解情況，分析問題和提出應急解決方案，做好現場應急處理，立即通知網絡集成服務商到現場處理，主干交換機由網絡集成商提供技術和備件支持，一旦出現緊急故障，1小時內趕到現場處理故障；

（四）為防止核心路由器或主干交換機發(fā)生故障后無法解決問題，在必要情況下，配備一臺備用路由器和主干交換機，配置接口與核心路由器和主干交換機相同，一旦出現故障，能在十分種內進行更換；

（五）在網絡入口處檢查網絡通訊，根據設定的安全規(guī)則，在保護內部網絡安全的前提下，保障內外網絡通訊，實現了內部網絡與外部網絡有效的隔離，所有來自外部網絡的訪問請求都要通過防火墻的檢查，內部網絡的安全將會得到保證。具體有：

1、設置源地址過濾，拒絕外部非法IP地址，有效避免了外部網絡上與業(yè)務無關的主機的越權訪問；

2、防火墻只保留有用的WEB服務和郵件服務，將其它不需要的服務關閉，將系統(tǒng)受攻擊的可能性降低到最小限度，使黑客無機可乘；

3、防火墻制定訪問策略，只有被授權的外部主機可以訪問內部網絡的有限IP地址，保證外部網絡只能訪問內部網絡中的必要資源，與業(yè)務無關的操作將被拒絕；

4、全面監(jiān)視外部網絡對內部網絡的訪問活動，并進行詳細的記錄，及時分析得出可疑的攻擊行為；

5、網絡的安全策略由防火墻集中管理，使黑客無法通過更改某一臺主機的安全策略來達到控制其他資源訪問權限的目的；

6、設置地址轉換功能，使外部網絡用戶不能看到內部網絡的結構，使黑客攻擊失去目標。

4.3 主機、存儲設備及數據庫

為保證生產系統(tǒng)穩(wěn)定運行，主機與存儲系統(tǒng)保持7X24小時的可用。為應對可能發(fā)生的重大事件或突發(fā)事件，采取以下措施：

（一）在接到緊急停電通知后30-40分鐘內按照先數據庫、次主機、最后存儲設備的順序停止所有系統(tǒng)運行，在必要的情況下，須拔掉所有電源插頭；

（二）采用雙機熱備技術，在其中一臺主機出現異常時，及時進行切換；

（三）采用硬盤、磁帶庫等設備作好日常數據備份；

（四）如果發(fā)生誤刪除操作系統(tǒng)文件，立即進行文件系統(tǒng)恢復（必須有備份）；

（五）如果發(fā)生誤刪除數據，立即進行數據庫恢復（必須有備份）；

（六）如果文件系統(tǒng)空間不夠，導致系統(tǒng)不能正常運行，立即進行文件系統(tǒng)擴展。

（七）如果數據庫表空間不足，立即進行表空間擴展，同時可能還進行文件系統(tǒng)擴展；

（八）在必要情況下，建立異地數據備份中心，以保持數據安全性。

（九）出現重大故障，盡快了解情況，分析問題和提出應急解決方案，做好現場應急處理，立即通知系統(tǒng)服務商到現場處理，并由系統(tǒng)服務商提供備件支援。

4.4 電腦病毒

為防止電腦病毒在公司內部的傳播，反毒和信息安全應按照“整體防御，整體解決”的原則實施，采用多種手段和產品來切斷電腦病毒的傳播“通道”。具體措施如下：

（一）配置企業(yè)級網絡版殺毒軟件，在公司總部、分公司、營業(yè)部所有聯網的PC機、PC服務器上安裝病毒/郵件防火墻，部署統(tǒng)一的公司網絡防毒系統(tǒng)，實現反毒分級防范和集中安全管理；

（二）在公司總部和分公司配置防毒網關服務器，檢查所有進出郵件、所訪問的網頁和FTP文件，防止病毒通過外部網絡進入公司內網進行傳播；

（三）建立定時自動更新防病毒軟件和病毒庫的機制，確保殺毒軟件的有效性；

（四）建立集中的網絡入侵檢測和漏洞掃描系統(tǒng)，防范黑客入侵和攻擊，及時給系統(tǒng)打補丁；

（五）加強對用戶的教育，不從不明網站下載，不查看來源不明的郵件，不運行可能含有病毒的程序等；

（六）如果用戶機器發(fā)現病毒，應立即終止網絡連接并通知信息部門進行相關處理；

（七）如果因病毒發(fā)作而導致數據丟失，應立即與信息部門聯系，不要自行處理。

第三篇：信息系統(tǒng)安全應急預案

信息系統(tǒng)安全應急預案

為全面加強信息系統(tǒng)安全管理，應對信息安全突發(fā)事件的發(fā)生，提高對安全事件的應急處置能力，保證網絡與信息安全指揮協(xié)調工作迅速、高效、有序地進行，滿足突發(fā)情況下信息系統(tǒng)安全穩(wěn)定、持續(xù)運行，根據國家和省有關規(guī)定，制定本預案。

一、組織機構

信息系統(tǒng)安全應急工作，由信息安全工作領導小組統(tǒng)一領導。負責信息安全日常事務處理、應急處理及安全通報等事務。

二、工作原則

（一）明確責任、分級負責：按照“誰主管誰負責，誰運行誰負責”的要求，逐級建立并落實統(tǒng)計信息系統(tǒng)責任制和應急機制。

（二）加強領導、分工合作：各單位應按照規(guī)定的職責和流程，實施統(tǒng)計信息系統(tǒng)的應急處理工作。

（三）積極預防、及時預警：各單位應及早發(fā)現安全事件，及時進行預警和信息通報；積極做好應急處理準備，提高對安全事件的預防和應急處理能力。

（四）協(xié)作配合、確?；謴停焊鲉挝灰獏f(xié)同配合，確保在最短的時間內完成系統(tǒng)的恢復。

三、應急措施(一)電力系統(tǒng)故障的應急處理流程

1．任何單位和人員發(fā)現本單位電力系統(tǒng)出現異常情況時，都應及時向辦公室報告。

2．辦公室是電力系統(tǒng)故障應急處理的第一責任單位。辦公室應盡快查清故障原因，提出解決辦法，確定故障排除可能需要的時間，報信息安全工作領導小組。

3．網絡運行負責人應根據停電時間和UPS電池的供電能力，在保證重點網絡關鍵設備用電的前提下，提出機房設備部分關機或全部關機方案，報信息安全工作領導小組。經認可后，安排相關人員按照規(guī)定的流程操作實施。

4．電力系統(tǒng)恢復供電后，辦公室應在第一時間通知網絡中心，以便以最快的速度恢復關閉的網絡應用。

計算中心網絡和系統(tǒng)管理人員在接到通知后，按照規(guī)定的流程開啟關閉相關設備。

（二）消防系統(tǒng)應急處理流程

1．當出現火情、火災時，發(fā)現人員應在最短時間內報告辦公室。若火情嚴重時，應迅速撥打119電話報警，并盡可能采取一些簡單可行的方法作初步處理，如：使用周圍的滅火器、水源（在允許用水滅火的場合）或采用其他滅火措施、手段。進展情況隨時向有關領導報告。

2．計算中心機房出現火情并且無法進行局部處理時，機房管理人員在緊急報告有關領導的同時，應立即疏散物理場地樓層以內的工作人員。并迅速撥打119電話報警。

（三）網絡信息系統(tǒng)故障的應急處理流程

1．網絡設備、網絡應用系統(tǒng)故障應由發(fā)現人通知計算中心，計算中心立即檢查故障，進行初步故障定位。如果網絡、應用系統(tǒng)出現比較嚴重的問題，對網絡業(yè)務的正常運行造成較大的影響，需立即向有關領導報告。

2．對簡單故障，運維人員應迅速排除故障，解決問題并記錄。如果需要更換設備，應上報有關領導經批準后馬上更換故障設備，盡快恢復網絡、應用系統(tǒng)運行。

運維部門判斷無法及時修理時，應立即通知相關的系統(tǒng)運行服務提供商，在最短的時間內安排修理或更換系統(tǒng)。

3．如發(fā)現屬外部線路的問題，應與線路服務提供商聯系，敦促對方盡快恢復故障線路。

4．啟用備份線路、設備、系統(tǒng)（如果存在的話），迅速恢復相關的應用。

（四）網站檢測與自動恢復系統(tǒng)應急處理流程

1．發(fā)現網站不能正常打開或網站內容被惡意篡改時，任何人員都有義務向網絡中心報告。由網絡應急小組組織應急響應，聯合相關部門進行故障排查。

2．先由運維小組查看網絡連接情況，若不是網絡故障，則排查軟、硬件故障。待故障處理完成并經過測試后，恢復系統(tǒng)的正常運行和內容的正常應用。

（五）黑客入侵的應急處理

1．發(fā)現網絡上有黑客攻擊行為，任何人員都有義務向網絡中心報告。計算中心立即啟動應急響應，切斷受攻擊計算機與網絡的連接，停止一切操作、保護現場，并上報有關領導。

2．對于黑客攻擊，由網絡中心組織應急響應小組查找入侵蹤跡，分析入侵方式和原因。由安全管理員根據對入侵事件的分析，組織相關人員對內部網計算機整改，防止黑客用同樣的手段再次入侵其他系統(tǒng)。安全管理員檢查確定無安全隱患后，才可將受攻擊計算機重新連接網絡，或啟用備份計算機來恢復應用。

3．安全管理員應做好記錄，保護現場，進行日志收集等工作。如果能追查到攻擊者的相關信息，可以對其發(fā)出警告，必要時可以采取進一步的行動，乃至采取法律手段。根據破壞程度，經有關領導同意后，上報公安部門。

若系統(tǒng)已被黑客破壞，無法恢復，應將受黑客攻擊的計算機上的重要數據備份到其他存儲介質，確保計算機內重要的數據不丟失。如果數據無法恢復，經有關領導同意后，可與國家指定的部門聯系，由他們來協(xié)助恢復，為保證數據信息安全，需在安全管理部門作記錄。

（六）大規(guī)模病毒（含惡意軟件）攻擊的應急處理

1．發(fā)現網絡上有大規(guī)模病毒攻擊的行為，任何人員都有義務向網絡中心報告。由網絡中心組織應急響應，切斷受攻擊計算機與網絡的連接，停止一切操作、保護現場，立即上報有關領導。2．若是已知病毒，使用最新版本殺毒軟件對染毒計算機進行全面殺毒，并對染毒計算機系統(tǒng)進行漏洞修補。安全管理員確定沒有病毒和安全漏洞后，再連接網絡恢復使用。

3．若是未知病毒，觀察網管軟件根據監(jiān)視窗口的鏈路狀態(tài)，由此判斷感染病毒或惡意程序的客戶端、服務器所科的樓層交換機。打開該交換機的端口流量分析窗口，根據流量判斷感染病毒或惡意程序的客戶端所在的交換機端口。關閉該交換機端口，隔離該工作站、服務器，阻斷與局域網的連接。根據端口狀態(tài)功能，查看該感染病毒或惡意程序的工作站的IP地址。根據IP地址信息找到該工作站的具體位置，對該工作站進行病毒或惡意程序清除工作。

根據對于未知病毒，應首先嘗試手工殺毒處理，若系統(tǒng)已被病毒破壞，無法恢復，應將感染病毒的計算機上的硬盤加掛到其他機器上處理，將重要數據備份到其他存儲介質，盡最大努力保護、保留感染計算機內重要的數據，同時防止病毒感染其他計算機。如果數據無法恢復，經有關領導同意后，可與國家指定的反病毒部門聯系，由他們來協(xié)助恢復，為保證數據信息安全，需在安全管理部門作記錄。如為涉及國家秘密的數據，不允許由其他機構來恢復數據。

第四篇：信息系統(tǒng)安全應急預案

深圳市前海好彩金融服務有限公司

信息系統(tǒng)安全應急預案

一、總則

（一）編制目的

公司網絡和信息安全涉及以設備為中心的信息安全，技術涵蓋網絡系統(tǒng)、計算機操作系統(tǒng)、數據庫管理系統(tǒng)和應用軟件系統(tǒng)；涉及計算機病毒的防范、入侵的監(jiān)控；涉及以用戶（包括內部員工和外部相關機構人員）為中心的安全管理，包括用戶的身份管理、身份認證、授權、審計等；涉及信息傳輸的機密性、完整性、不可抵賴性等等。為切實加強我司網絡運行安全與信息安全的防范，做好應對網絡與信息安全突發(fā)公共事件的應急處理工作，進一步提高預防和控制網絡和信息安全突發(fā)事件的能力和水平，昀大限度地減輕或消除網絡與信息安全突發(fā)事件的危害和影響，確保網絡運行安全與信息安全，結合公司工作實際，特制定本應急預案。

（二）編制依據

根據《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《信息安全3級評級方法》、GB/T20269-2006《信息安全技術信息系統(tǒng)安全管理要求》、GB/T20270-2006《信息安全技術網絡基礎安全技術要求》、GB/T20281-2006《信息安全技術防火墻技術要求和測試評價方法》、GB/T19716-2005《信息技術信息安全管理使用規(guī)則》等有關法規(guī)、規(guī)定，制定本預案。

（三）本預案適用于深圳市前海好彩金融服務有限公司網絡與信息安全應急處理工作。

二、應急組織機構及職責

成立信息系統(tǒng)應急處理領導小組，負責領導、組織和協(xié)調全公司信息系統(tǒng)突發(fā)事件的應急保障工作。

（一）領導小組成員： 組長：技術主管 副組長：運維經理

成員:開發(fā)部.運維部.測試部.等部門負責人組成。

應急小組日常工作由公司技術部承擔，其他各相關部門積極配合。

（二）領導小組職責：制訂專項應急預案，負責定期組織演練，監(jiān)督檢查各部門在本預案中履行職責情況。對發(fā)生事件啟動應急救援預案進行決策，全面指揮應急救援工作。

三、工作原則

（一）積極防御、綜合防范

立足安全防護，加強預警，重點保護重要信息網絡和關系社會穩(wěn)定的重要信息系統(tǒng)；從預防、監(jiān)控、應急處理、應急保障和打擊不法行為等環(huán)節(jié)，在管理、技術、宣傳等方面，采取多種措施，充分發(fā)揮各方面的作用，構筑網絡與信息安全保障體系

（二）明確責任、分級負責

按照“誰主管誰負責”的原則，分級分類建立和完善安全責任制度、協(xié)調管理機制和聯動工作機制。加強計算機信息網絡安全的宣傳和教育，進一步提高工作人員的信息安全意識。

（三）落實措施、確保安全

深圳市前海好彩金融服務有限公司

要對機房、網絡設備、服務器等設施定期開展安全檢查，對發(fā)現安全漏洞和隱患的進行及時整改。

（四）科學決策，快速反應

加強技術儲備，規(guī)范應急處置措施和操作流程，網絡與信息安全突發(fā)公共事件發(fā)生時，要快速反應，及時獲取準確信息，跟蹤研判，及時報告，果斷決策，迅速處理，昀大限度地減少危害和影響。

四、事件分類和風險程度分析

（一）物理層的安全風險分析

1、系統(tǒng)環(huán)境安全風險

（1）水災、火災、雷電等災害性故障引發(fā)的網絡中斷、系統(tǒng)癱瘓、數據被毀等；

（2）因接地不良、機房屏蔽性能差引起的靜電干擾或外界的電磁干擾使系統(tǒng)不能正常工作；（3）機房電力設備和其它配套設備本身缺陷誘發(fā)信息系統(tǒng)故障；（4）機房安全設施自動化水平低，不能有效監(jiān)控環(huán)境和信息系統(tǒng)工作；（5）其它環(huán)境安全風險。

2、物理設備的安全風險由于信息系統(tǒng)中大量地使用了網絡設備如交換機、路由器等，服務器，移動設備，使得這些設備的自身安全性也會直接關系信息系統(tǒng)和各種網絡應用的正常運轉。例如，路由設備存在路由信息泄漏，交換機和路由器設備配置風險等。

（二）網絡安全風險

1、網絡體系結構的安全風險

網絡平臺是一切應用系統(tǒng)建設的基礎平臺，網絡體系結構是否按照安全體系結構和安全機制進行設計，直接關系到網絡平臺的安全保障能力。公司的網絡是由多個局域網和廣域網組成，網絡體系結構比較復雜。內部應用信息網、Internet網之間是否進行隔離及如何進行隔離，網段劃分是否合理，路由是否正確，網絡的容量、帶寬是否考慮客戶上網的峰值，網絡設備有無冗余設計等都與安全風險密切相關。

2、網絡通信協(xié)議的安全風險。

網絡通信協(xié)議存在安全漏洞，網絡黑客就能利用網絡設備和協(xié)議的安全漏洞進行網絡攻擊和信息竊取。例如未經授權非法訪問內部網絡和應用系統(tǒng)；對其進行監(jiān)聽，竊取用戶的口令密碼和通信密碼；對網絡的安全漏洞進行探測掃描；對通信線路和網絡設備實施拒絕服務攻擊，造成線路擁塞和系統(tǒng)癱瘓。

3、網絡操作系統(tǒng)的安全風險

網絡操作系統(tǒng)，不論是 IOS，Android，還是 Windows，都存在安全漏洞；一些重要的網絡設備，如路由器、交換機、網關，防火墻等，由于操作系統(tǒng)存在安全漏洞，導致網絡設備的不安全；有些網絡設備存在“后門”（back door）。

（三）系統(tǒng)安全風險

1、操作系統(tǒng)安全風險

操作系統(tǒng)的安全性是系統(tǒng)安全管理的基礎。數據庫服務器、中間層服務器，以及各類業(yè)務和辦公客戶機等設備所使用的操作系統(tǒng)，不論是Win2008/XP/7，還是 Unix都存在信息安全漏洞，由操作系統(tǒng)信息安全漏洞帶來的安全風險是昀普遍的安全風險。

2、數據庫安全風險

深圳市前海好彩金融服務有限公司

所有的業(yè)務應用、決策支持、行政辦公的信息管理核心都是數據庫，而涉及公司運行的數據都是昀需要安全保護的信息資產，不僅需要統(tǒng)一的數據備份和恢復以及高可用性的保障機制，還需要對數據庫的安全管理，包括訪問控制，敏感數據的安全標簽，日志審計等多方面提升安全管理級別，規(guī)避風險。雖然，目前公司的數據庫管理系統(tǒng)可以達到較高的安全級別，但仍存在安全漏洞。建立在其上的各種應用系統(tǒng)軟件在數據的安全管理設計上也不可避免地存在或多或少的安全缺陷，需要對數據庫和應用的安全性能進行綜合的檢測和評估。

3、應用系統(tǒng)的安全風險

為優(yōu)化整個應用系統(tǒng)的性能，無論是采用C／S應用模式或是B／S應用模式，應用系統(tǒng)都是其系統(tǒng)的重要組成部分，不僅是用戶訪問系統(tǒng)資源的入口，也是系統(tǒng)管理員和系統(tǒng)安全管理員管理系統(tǒng)資源的入口，桌面應用系統(tǒng)的管理和使用不當，會帶來嚴重的安全風險。例如當口令或通信密碼丟失、泄漏，系統(tǒng)管理權限丟失、泄漏時，輕者假冒合法身份用戶進行非法操作。重者，“黑客”對系統(tǒng)實施攻擊，造成系統(tǒng)崩潰。

4、病毒危害風險

計算機病毒的傳播會破壞數據信息，占用系統(tǒng)資源，影響計算機運行速度，引起網絡堵塞甚至癱瘓。盡管防病毒軟件安裝率已大幅度提升，但如果沒有好的防毒概念，從不進行病毒代碼升級，而新病毒層出不窮，因此威脅性愈來愈大。

5、黑客入侵風險

一方面風險來自于內部，入侵者利用 Sniffer等嗅探程序通過網絡探測、掃描網絡及操作系統(tǒng)存在的安全漏洞，如網絡 IP地址、應用操作系統(tǒng)的類型、開放哪些 TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關鍵文件等，并采用相應的攻擊程序對內網進行攻擊。入侵者通過拒絕服務攻擊，使得服務器超負荷工作以至拒絕服務甚至系統(tǒng)癱瘓。

另一方面風險來自外部，入侵者通過網絡監(jiān)聽、用戶滲透、系統(tǒng)滲透、拒絕服務、木馬等綜合手段獲得合法用戶的用戶名、口令等信息，進而假冒內部合法身份進行非法登錄，竊取內部網重要信息，或使系統(tǒng)終止服務。所以，必須要對外部和內部網絡進行必要的隔離，避免信息外泄；同時還要對外網的服務請求加以過濾，只允許正常通信的數據包到達相應主機，其它的請求服務在到達主機之前就應該遭到拒絕。

（四）應用安全風險

1、身份認證與授權控制的安全風險

依靠用戶 ID和口令的認證很不安全，容易被猜測或盜取，會帶來很大的安全風險。為此，動態(tài)口令認證、CA第三方認證等被認為是先進的認證方式。但是，如果使用和管理不當，同樣會帶來安全風險。要基于應用服務和外部信息系統(tǒng)建立基于統(tǒng)一策略的用戶身份認證與授權控制機制，以區(qū)別不同的用戶和信息訪問者，并授予他們不同的信息訪問和事務處理權限。

2、信息傳輸的機密性和不可抵賴性風險

實時信息是應用系統(tǒng)的重要事務處理信息，必須保證實時信息傳輸的機密性和網上活動的不可抵賴性，能否做到這一點，關鍵在于采用什么樣的加密方式、密碼算法和密鑰管理方式。采用國內經過國家密碼管理委員會和公安部批準的加密方式、密碼算法和密鑰管理技術來強化這一環(huán)節(jié)的安全保障。

深圳市前海好彩金融服務有限公司

3、管理層安全風險分析

安全的網絡設備要靠人來實施，管理是整個網絡安全中昀為重要的一環(huán)，認真地分析管理所帶來的安全風險，并采取相應的安全措施。責權不明、管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。

當網絡出現攻擊行為或網絡受到其它一些安全威脅時（如內部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預警。同時，當故障發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網絡的可控性與可審查性。這就要求人們必須對站點的訪問活動進行多層次的記錄，及時發(fā)現非法入侵行為。

五、預防預警

（一）完善網絡與信息安全突發(fā)公共事件監(jiān)測、預測和預警制度。

加強對各類網絡與信息安全突發(fā)事件和可能引起突發(fā)網絡與信息安全突發(fā)公共事件的有關信息的收集、分析、判斷和持續(xù)監(jiān)測。當檢查到有網絡與信息安全突發(fā)事件發(fā)生或可能發(fā)生時，應及時對發(fā)生事件或可能發(fā)生事件進行調查核實、保存相關證據，并立即向應急領導小組報告。報告內容主要包括信息來源、影響范圍、事件性質、事件發(fā)展趨勢和采取的措施建議等。

若發(fā)現下列情況應及時向應急領導小組報告：利用網絡從事違法犯罪活動；網絡或信息系統(tǒng)通信和資源使用異常；網絡或信息系統(tǒng)癱瘓，應用服務中斷或數據篡改、丟失；網絡恐怖活動的嫌疑和預警信息；其他影響網絡與信息安全的信息。

（二）設定信息安全等級保護，實行信息安全風險評估。

通過相關設備實時監(jiān)控網絡工作與信息安全狀況。各基礎信息網絡和重要信息系統(tǒng)建設要充分考慮抗毀性和災難恢復，制定并不斷完善信息安全應急處理預案。針對信息網絡的突發(fā)性、大規(guī)模安全事件，建立制度優(yōu)化、程序化的處理流程。

（三）做好服務器及數據中心的數據備份及登記工作，建立災難性數據恢復機制。

一旦發(fā)生網絡與信息安全事件，立即啟動應急預案，采取應急處置措施，判定事件危害程度，并立即將情況向有關領導報告。在處置過程中，應及時報告處置工作進展情況，直至處置工作結束。

六、處置流程

（一）預案啟動

在發(fā)生網絡與信息安全事件后，信息中心應盡昀大可能迅速收集事件相關信息，鑒別事件性質，確定事件來源，弄清事件范圍和評估事件帶來的影響和損害，一旦確認為網絡與信息安全事件后，立即將事件上報工作組并著手處置。

（二）應急處理

1、電源斷電（1）查明故障原因。

（2）檢查 UPS是否正常供電。

（3）匯報相關領導，確認市電恢復時間，評估 UPS供電能力。（4）備份服務器數據、交換機配置。

深圳市前海好彩金融服務有限公司

（5）通知機房進行電源維修。做好事件記錄。

（6）必要時請示公司負責人及公司領導，主動關閉服務器、交換機、存儲等設備，以免設備損壞或數據損失。

2、局域網中斷緊急處理措施

（1）信息安全負責人員立即判斷故障節(jié)點，查明故障原因，及時匯報。（2）若是線路故障，重新安裝線路。

（3）若是路由器、交換機等設備故障，應立即從指定位置將備用設備取出接上，并調試暢通。（4）若是路由器、交換機等配置文件損壞，應迅速按照要求重新配置，并調試暢通。（5）匯報相關領導，做好事件記錄。

3、廣域網線路中斷

（1）信息安全負責人員應立即判斷故障節(jié)點，查明故障原因。（2）如是我方管轄范圍，由信息安全負責人員立即維修恢復。（3）如是電信部門管轄范圍，應立即與電信維護部門聯系修復。（4）做好事件記錄。

4、核心交換機故障

（1）檢查、備份核心交換機日志。（2）啟用備用核心交換機，檢查接管情況。（3）備份核心交換機配置信息。

（4）將服務器接入備用核心交換機，檢查服務器運行情況，將樓層交換機、接入交換機接入備用核心交換機，檢查各交換機運行情況。

（5）匯報有關領導，做好事件記錄。（6）聯系維修核心交換機。

5、光纜線路故障

（1）立即聯系光纖熔接人員攜帶尾纖等輔助材料，及時熔接連通。（2）檢查并做好備用光纜或備用芯的跳線工作，隨時切換到備用網絡。（3）做好事件記錄，及時上報。

6、計算機病毒爆發(fā)

（1）關閉計算機病毒爆發(fā)網段上聯端口。（2）隔離中病毒計算機。（3）關閉中病毒計算機上聯端口。（4）根據病毒特征使用專用工具進行查殺。（5）系統(tǒng)損壞計算機在備份其數據后，進行重裝。（6）通過專用工具對網絡進行清查。（7）做好事件記錄，及時上報。

7、服務器設備故障

深圳市前海好彩金融服務有限公司

（1）主要服務器應做多個數據備份。

（2）如能自行恢復，則立即用備件替換受損部件，如：電源損壞更換備用電源，硬盤損壞更換備用硬盤，網卡、主板損壞啟用備用服務器。

（3）若數據庫崩潰應立即啟用備用系統(tǒng)。并檢查備用服務器啟用情況。（4）對主機系統(tǒng)進行維修并做數據恢復。

（5）如不能恢復，立即聯系設備供應商，要求派維護人員前來維修。（6）匯報有關領導，做好事件記錄。

8、黑客攻擊事件

（1）若通過入侵監(jiān)測系統(tǒng)發(fā)現有黑客進行攻擊，立即通知相關人員處理。（2）將被攻擊的服務器等設備從網絡中隔離出來。（3）及時恢復重建被攻擊或被破壞的系統(tǒng)

（4）記錄事件，及時上報，若事態(tài)嚴重，應及時向信息化主管部門和公安部門報警。

9、數據庫安全事件

（1）平時應對數據庫系統(tǒng)做多個備份。

（2）發(fā)生數據庫數據丟失、受損、篡改、泄露等安全事件時，信息安全人員應查明原因，按照情況采取相應措施：如更改數據庫密碼，修復錯誤受損數據。

（3）如果數據庫崩潰，信息安全人員應立即啟用備用系統(tǒng)，并向信息安全負責人報告；在備用系統(tǒng)運行期間，信息安全人員應對主機系統(tǒng)進行維修并作數據恢復。

（4）做好事件記錄，及時上報。

10、人員疏散與機房滅火預案

（1）當班人員發(fā)現機房內有起火、冒煙現象或聞到燒焦氣味時，應立即查明原因和地點，及時上報并針對不同情況，采取關閉電源總開關、隔離火源附近易燃物、用消防栓、滅火器等器材滅火等措施，組織本單位、部門在場的人員有序地投入撲救工作，將火撲滅或控制火勢蔓延。

（2）當火勢已無法控制時，一是指定專人立即撥打“119”火警電話報警和向上級保衛(wèi)部門報告，并打破報警器示警。二是組織周圍人員迅速撤離。

（3）在保障人員安全的情況下，立即組織人員疏散和轉移重要物品，特別是易燃、易爆物品和重要的機器、數據要及時轉移到安全地點，并派人員守護，確保安全。

（4）火情結束之后，組織相關人員及時進行網絡系統(tǒng)恢復，及時向上級有關部門和領導匯報，并做好現場保護工作和防止起火點復燃。

11、發(fā)生自然災害后的緊急措施

（1）遇到重大雷暴天氣，可能對機房設備造成損害時，應關閉所有服務器，切斷電源，暫停內部計算機網絡工作。雷暴天氣結束后，及時開通服務器，恢復內部計算機網絡工作。

（2）確認災害不會造成人身傷害后，盡快將網絡恢復正常，若有設備、數據損壞，及時使用備份設備或備用數據。

（3）及時核實、報損，并將詳細情況向部門領導匯報。

深圳市前海好彩金融服務有限公司

12、關鍵人員不在崗的緊急處置措施

（1）對于關鍵崗位平時應做好人員儲備，確保一項工作有兩人能夠操作。對于關鍵賬戶和密碼進行密封保存。

（2）一旦發(fā)生系統(tǒng)安全事件，關鍵人員不在崗且聯系不上或 1小時內不能到達機房的情況，首先應向領導小組匯報情況。

（3）經領導小組批準后，啟用公司備份管理員密碼，由備用人員上崗操作。（4）如果備用人員無法上崗，請求軟件公司技術支援。（5）關鍵人員到崗后，按照相關規(guī)定進行密碼設定和封存。（6）做好事件記錄。

（三）后續(xù)處理

安全事件進行昀初的應急處置以后，應及時采取行動，抑制其影響的進一步擴大，限制潛在的損失與破壞，同時要確保應急處置措施對涉及的相關業(yè)務影響昀小。安全事件被抑制之后，通過對有關事件或行為的分析結果，找出其根源，明確相應的補救措施并徹底清除。在確保安全事件解決后，要及時清理系統(tǒng)、恢復數據、程序、服務，恢復工作應避免出現誤操作導致數據丟失。

（四）記錄上報

網絡與信息安全事件發(fā)生時，應及時向網絡與信息安全應急處置工作組匯報，并在事件處置工作中作好完整的過程記錄，及時報告處置工作進展情況，保存各相關系統(tǒng)日志，直至處置工作結束。

七、保障措施

（一）應急設備保障

對于重要網絡與信息系統(tǒng)，在建設系統(tǒng)時應事先預留一定的應急設備，建立信息網絡硬件、軟件、應急救援設備等應急物資庫。在網絡與信息安全突發(fā)公共事件發(fā)生時，報領導同意后，由應急工作組負責統(tǒng)一調用。

（二）數據保障

重要信息系統(tǒng)均應建立容災備份系統(tǒng)和相關工作機制，保證重要數據在遭到破壞后，可緊急恢復。各容災備份系統(tǒng)應具有一定的兼容性，在特殊情況下各系統(tǒng)間可互為備份。

日期：2015-06-12

審批人：

第五篇：信息系統(tǒng)安全應急預案

信息系統(tǒng)安全應急預案

為全面加強公司信息系統(tǒng)安全管理，應對信息安全突發(fā)事件的發(fā)生，提高對安全事件的應急處置能力，保證網絡與信息安全協(xié)調工作迅速、高效、有序地進行，滿足突發(fā)情況下信息系統(tǒng)安全穩(wěn)定、持續(xù)運行，根據總公司有關規(guī)定，制定本預案。

一、工作原則

（一）明確責任：按照“誰主管誰負責，誰運行誰負責”的要求，建立并落實統(tǒng)計信息系統(tǒng)責任制和應急機制。

（二）積極預防、及時預警：各部門應及早發(fā)現安全事件，及時進行預警和信息通報；積極做好應急處理準備，提高對安全事件的預防和應急處理能力。

（三）協(xié)作配合、確保恢復：部門間要協(xié)同配合，確保在最短的時間內完成系統(tǒng)的恢復。

二、應急措施

電力系統(tǒng)故障的應急處理流程

1．任何部門和人員發(fā)現本單位電力系統(tǒng)出現異常情況時，都應及時向公司辦公室報告。

2．公司辦公室是電力系統(tǒng)故障應急處理的第一責任單位。公司辦公室應立即啟動電力系統(tǒng)故障應急處理流程，盡快查清故障原因，提出解決辦法，確定故障排除可能需要的時間并通知網絡機房管理部門。

3．計算中心機房停電的處理

網絡運行負責人應根據停電時間和UPS電池的供電能力，在保證重點網絡關鍵設備用電的前提下，提出機房設備部分關機或全部關機方案，經認可后按照規(guī)定的流程操作實施。

4． 電力系統(tǒng)恢復供電后的處理流程

電力系統(tǒng)恢復供電后，公司辦公室應在第一時間通知技術部門，以便以最快的速度恢復關閉的網絡應用。系統(tǒng)管理人員在接到通知后，按照規(guī)定的流程開啟關閉相關設備。

（二）消防系統(tǒng)應急處理流程

1．報告和簡單處理

當出現火情、火災時，發(fā)現人員應在最短時間內報告公司辦公室及機房管理部門。若火情嚴重時，應迅速撥打119電話報警，并盡可能采取一些簡單可行的方法作初步處理，如：使用周圍的滅火器、水源（在允許用水滅火的場合）或采用其他滅火措施、手段。進展情況隨時向有關領導報告。

2．滅火

計算中心機房出現火情并且無法進行局部處理時，機房管理人員在緊急報告有關領導的同時，應立即疏散物理場地樓層以內的工作人員。

三、網絡信息系統(tǒng)故障的應急處理流程

1.報告和簡單處理

網絡設備、網絡應用系統(tǒng)故障應由發(fā)現人通知機房管理人員，技術部門立即檢查故障，進行初步故障定位。如果網絡、應用系統(tǒng)出現比較嚴重的問題，對網絡業(yè)務的正常運行造成較大的影響，需立即向有關領導報告。2．故障判斷與排除

對簡單故障，運維人員應迅速排除故障，解決問題并記錄。如果需要更換設備，應上報有關領導,經批準后馬上更換故障設備，盡快恢復網絡、應用系統(tǒng)運行。運維人員判斷無法及時修理時，應立即通知相關的系統(tǒng)運行服務提供商，在最短的時間內安排修理或更換系統(tǒng)。

3．網絡線路故障排除

如發(fā)現屬外部線路的問題，應與線路服務提供商聯系，敦促對方盡快恢復故障線路。

4．啟用備份線路、設備、系統(tǒng)（如果存在的話），迅速恢復相關的應用。

四、網站檢測與自動恢復系統(tǒng)應急處理流程

1．報告和簡單處理

發(fā)現公司服務網站等對外不能正常打開或網站內容被惡意篡改時，任何公司人員都有義務向技術部門報告。由技術部們組織應急響應并進行故障排查。2．處理和恢復使用

先查看網絡連接情況，若不是網絡故障，再排查軟、硬件故障。待故障處理完成并經過測試后，恢復系統(tǒng)的正常運行和內容的正常應用。

五、黑客入侵的應急處理

1．報告和簡單處理

發(fā)現網絡上有黑客攻擊行為，任何人員都有義務向技術部門報告。技術部門立即啟動應急響應，切斷受攻擊計算機與網絡的連接，停止一切操作、保護現場，并上報有關領導。2．處理和恢復使用

對于黑客攻擊，由技術部門與機房管理人員協(xié)同查找入侵蹤跡，分析入侵方式和原因，分析入侵事件并內部網計算機進行整改，防止黑客用同樣的手段再次入侵其他系統(tǒng)。檢查確定無安全隱患后，才可將受攻擊計算機重新連接網絡，或啟用備份計算機來恢復應用。3．應急響應

機房管理人員應做好記錄，保護現場，進行日志收集等工作。如果能追查到攻擊者的相關信息，可以對其發(fā)出警告，必要時可以采取進一步的行動，乃至采取法律手段。根據破壞程度，經有關領導同意后，上報公安部門。若系統(tǒng)已被黑客破壞，無法恢復，應將受黑客攻擊的服務器上的重要數據備份到其他存儲介質，并做好數據異地備份工作，確保服務器內重要的數據不丟失。

六、大規(guī)模病毒（含惡意軟件）攻擊的應急處理

1．報告和簡單處理

發(fā)現網絡上有大規(guī)模病毒攻擊的行為，任何人員都有義務向技術部門報告。由機房管理員組織應急響應，切斷受攻擊計算機與網絡的連接，停止一切操作、保護現場，立即上報有關領導。2．已知病毒的處理和恢復

使用最新版本殺毒軟件對染毒計算機進行全面殺毒，并對染毒計算機系統(tǒng)進行漏洞修補。機房管理員確定沒有病毒和安全漏洞后，再連接網絡恢復使用。3．未知病毒的處理和恢復

觀察網管軟件根據監(jiān)視窗口的鏈路狀態(tài)，由此判斷感染病毒或惡意程序的客戶端、服務器所屬的樓層交換機。打開該交換機的端口流量分析窗口，根據流量判斷感染病毒或惡意程序的客戶端所科交換機端口。關閉該交換機端口，隔離該工作站、服務器，阻斷與局域網的連接。根據端口狀態(tài)功能，查看該感染病毒或惡意程序的工作站的IP地址。根據IP地址信息找到該工作站的具體位置，對該工作站進行病毒或惡意程序清除工作。根據對于未知病毒，應首先嘗試手工殺毒處理，若系統(tǒng)已被病毒破壞，無法恢復，應將感染病毒的計算機上的硬盤加掛到其他機器上處理，將重要數據備份到其他存儲介質，盡最大努力保護、保留感染計算機內重要的數據，同時防止病毒感染其他計算機。

七、預案的發(fā)布與生效

本預案自發(fā)布之日起生效