某公司网络及信息应急处理文档.doc

秦皇岛市某公司网络及信息应急处理文档编制部门：信息中心日 期：2012年09月1 总 则1.1 编制目的为了保证秦皇岛市某公司网络与信息系统因突发事件的安全、稳定运行，保障网络系统、主营业务系统和数据系统的正常运转，减少因各类网络与信息突发事件造成的损失和影响，建立网络与信息系统紧急情况下有效的应急机制，结合秦皇岛市某公司工作实际制定本预案。1.2适用范围本文档适用于秦皇岛市某公司网络与信息安全应急响应工作，当网络与信息系统发生突发事件时，启动本预案。本文档启动后，与秦皇岛市某公司上级单位信息安全应急预案相冲突的，按上级部门预案执行。当秦皇岛市某公司系统发生网络与信息安全事故需要启动本预案时，由秦皇岛市某公司信息主管领导负责相关事务处理，并指定专门应急信息技术专责。1.3工作原则（1）统一指挥，协调配合。在应急指挥机构的统一指挥、调配下，各应急力量快速就位，快速地开展网络与信息安全事故应急处置行动。督促相关部门遵照“统一领导、分级负责、各司其职、协调配合”的原则协同配合，开展应急工作。（2）快速行动，有序处置。发生网络与信息安全突发事件时，要按照处置优先、快速反应的机制，及时获取充分而准确的信息，跟踪研判，果断决策，充分利用现有网络与信息安全应急设施，整合内、外部的信息安全应急力量，充分依靠系统内外信息安全应急力量，形成信息安全应急工作合力。按照相关应急文档进行迅速处置，最大程度地减少危害和影响。2 风险与资源分析2.1 风险分析秦皇岛市某公司网络与信息系统存在计算机病毒、网络攻击、数据安全以及设备设施故障等风险，由此引起的网络系统、应用系统和数据系统突发事件包括：（1）有害程序类突发事件：指受到有害程序的影响而导致的网络与信息安全突发事件。有害程序类事件包含（但不限于）计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合攻击程序、网页内嵌恶意代码等事件。 （2）网络攻击类突发事件：指通过网络或其它技术手段，利用配置缺陷、协议缺陷、程序缺陷等攻击网络与信息系统，造成网络与信息系统异常或不可用的网络与信息安全突发事件。网络攻击类事件包括（但不限于）拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰等事件。 （3）信息安全破坏类突发事件：指通过网络或其它技术手段，造成网络与信息系统中的信息被篡改、假冒、泄漏、窃取等而导致系统瘫痪、数据毁坏、数据泄漏的突发事件。信息安全破坏类事件包括信息篡改、信息假冒、信息泄漏、信息窃取、信息丢失等事件。（4）系统故障类突发事件：指网络与信息系统因自身或外围设备设施故障、以及人为误操作等导致的信息安全突发事件。系统故障类事件包括软硬件自身故障、外围保障设施故障、人为破坏事故、人为误操作事故和机房电源事故等。（5）灾害破坏类突发事件：指由于不可抗力对网络与信息系统造成物理破坏而导致的网络与信息安全突发事件。灾害类事件包括水灾、台风、冰灾、火灾、雷击、地震、坍塌、恐怖袭击、战争等导致的网络与信息安全突发事件。2.2 资源分析2.2.1 内部应急力量秦皇岛市某公司所属的所有网络与信息系统维护人员、系统管理员、管理人员等人员是本公司网络与信息安全事件应急处理的力量，另外电网系统内网络与信息专业人员均可作为本网络与信息安全事件应急处理的内部应急力量。2.2.2 外部应急力量地方政府相关部门、软硬件制造商、供应商、系统集成商以及技术服务提供商，均可作为外部应急力量。2.2.3 物资和装备资源秦皇岛市某公司所属硬件备件、软件介质、数据备份、专业检测及维修工具、消防工具、通讯器材、交通工具等，均可作为应急的物资装备资源。3 突发事件分级3.1 一级事件凡发生下列情况之一者，评价为一级事件一次。（1） 发生网络攻击或有害程序破坏造成局域网全部瘫痪超过24个小时及以上。（2） 违反网络与信息设备操作规程造成人身伤亡或经济损失价值为10万元及以上.3.2 二级事件凡发生下列情况之一者，评价为二级事件一次。（1） 发生网络攻击或有害程序破坏造成局域网部分瘫痪超过24个小时及以上。（2） 交换机故障全停30分钟。（3） 机房网络与服务器设备供电电源全部中断一次。4故障事件及处理方式4.1外网出口设备发生故障，如设备本身损坏，网络攻击等原因使设备不能正常运行。处理方式如下：起动备用的路由设备（cisco 3700）,网通光猫的外线连接到cisco 3700设备的fe0/0口（直接相联用交叉线，经过分流交换机用直连线），核心交接机cisco 3550的fe0/24口连接到cisco 3700的fe0/1口，可快速恢复网络运行。4.2六楼生产调度室设备发生故障，如设备本身损坏，网络攻击等原因使设备不能正常运行。处理方式如下：起动备用交换机cisco 3560，把网通epon线路连接到备用交换机cisco 3560的fe0/2口，把电信线路连接到备用交换机cisco 3560的fe0/3接口，把移动的线路连接到备用交换机cisco 3560的fe0/4接口，把连接到柜子里交换机的线路连接到备用交换机cisco 3560的fe0/5接口，把一楼监控室的线路由连接到备用交换机cisco 3560的fe0/6接口，把plc设备的线路连接到备用交换机cisco 3560的fe0/7，可快速恢复网络运行。4.3一楼服务器设备发生故障，如设备本身损坏，病毒等原因使设备不能正常运行。处理方式如下：高峰期间的系统数据库为5天一备份，两人执行备份，移动硬盘和办公电脑各一份，文件名是以日期命名，保持两次及以上的备份文件。信息系统由部门公用计算机及移动硬盘备份。服务器一但出现不能立刻修复的故障，起动备用服务器，架设信息系统，恢复数据库文件，恢复信息系统的运行。4.4核心交换设备发生故障，如设备本身损坏，病毒等原因使设备不能正常运行