信息系统安全应急预案

1、信息系统平安应急预案为全面加强公司信息系统平安管理，应对信息平安突发大事的发生，提高对平安大事的应急处置力气，保证网络与信息平安指挥协调工作快速、高效、有序地进行，满足突发状况下信息系统平平稳定、持续运行，依据国家和省有关规定，制定本预案。1. 电力系统故障的应急处理(1).   报告，任何单位和人员发觉本单位电力系统出现特殊状况时，都应准时向技术部报告。(2).   联系，技术部负责人或值班人员准时联系物业，并联系相关系统管理员确定紧急停机方案和方案。(3).   监控，技术部负责人或值班人员实时监控UPS电量消耗状况，并按方案当电

2、量低于预定阈值时通知相关系统管理员进行停机操作。(4).   恢复，当电力供应恢复后，通知相关信息负责人，按规定的开发流程恢复停机系统。2.  消防系统应急处理(1).   报告和简洁处理当出现火情、火灾时，发觉人员应在最短时间内报告。若火情严峻时，应快速拨打119电话报警，并尽可能实行一些简洁可行的方法作初步处理，如：使用四周的灭火器、水源（在允许用水灭火的场合）或接受其他灭火措施、手段。进展状况随时向有关领导报告。(2).   灭火计算中心机房出现火情并且无法进行局部处理时，机房管理人员在紧急报告有关领导的同时，应马上疏

3、散场地以内的工作人员。在自动灭火系统未启动时，按下紧急启动按钮。3. 网络信息系统故障的应急处理(1).   报告和简洁处理网络设备、网络应用系统故障应由发觉人准时通知技术部，技术部在收到发觉人通知或系统自动通知后应马上检查故障，进行初步故障定位。假如网络、应用系统出现比较严峻的问题，对网络业务的正常运行造成较大的影响，需马上向有关领导报告。(2).   故障推断与排解对简洁故障，运维人员应快速排解故障，解决问题并记录。假如需要更换设备，应上报有关领导,经批准后马上更换故障设备，尽快恢复网络、应用系统运行。运维人员推断无法准时修理时，应马上通知相关的系统

4、运行服务供应商，在最短的时间内支配修理或更换系统。(3).   网络线路故障排解如发觉属外部线路的问题，应与线路服务供应商联系，敦促对方尽快恢复故障线路。(4).   启用备份线路、设备、系统（假如存在的话），快速恢复相关的应用。4.  网站与应用系统应急处理(1).   报告和简洁处理发觉对外网站不能正常打开或网站内容被恶意篡改时，任何人员都有义务向技术部报告。技术部在收到报告后应马上组织应急响应，联合相关部门进行故障排查。(2).   处理先由技术部查看网络连接状况，若不是网络故障，则连续检查其它硬件

5、或系统软件故障，必要时马上联系应用软件供应商或研发部门会诊。(3).   恢复使用待故障处理完成并经过测试后，恢复系统的正常运行。5.  黑客入侵的应急处理(1).   报告和简洁处理发觉网络上有黑客攻击行为，任何人员都有义务向技术部报告。技术部在收到报告或检测到攻击行为后应马上启动应急响应，切断受攻击计算机与网络的连接，停止一切操作、疼惜现场，并上报有关领导。(2).   处理对于黑客攻击，由技术部组织应急响应专家小组查找入侵踪迹，分析入侵方式和缘由。由平安管理员依据对入侵大事的分析，组织相关人员对内部网计算机整改，防止黑

6、客用同样的手段再次入侵其他系统。紧急状况下专家小组有权在未经领导审批进行应急处理，但应做好记录，疼惜现场，进行日志收集等工作。(3).   恢复专家小组检查确定无平安隐患后，才可将受攻击计算机重新连接网络，或启用备份计算机或服务器来恢复应用。假如能追查到攻击者的相关信息，可以对其发出警告，必要时可以实行进一步的行动，乃至实行法律手段。依据破坏程度，经有关领导同意后，上报公安部门。若系统已被黑客破坏，无法恢复，应将受黑客攻击的计算机上的重要数据备份到其他存储介质，确保计算机内重要的数据不丢失。假如数据无法恢复，经有关领导同意后，可与国家指定的部门联系，由他们来挂念恢复。6.

7、大规模病毒（含恶意软件）攻击的应急处理(1).   报告和简洁处理发觉网络上有大规模病毒攻击的行为，任何人员都有义务向综合部报告。由技术部组织应急响应，切断受攻击计算机与网络的连接，停止一切操作、疼惜现场，马上上报有关领导。(2).   已知病毒的处理和恢复使用最新版本杀毒软件对染毒计算机进行全面杀毒，并对染毒计算机系统进行漏洞修补。技术部或系统管理员确定没有病毒和平安漏洞后，再连接网络恢复使用。(3).   未知病毒的处理和恢复观看防火墙、交换机及网管软件依据监视窗口的链路状态，由此推断感染病毒或恶意程序的客户端、服务器所连接的交换机。打开该交换机的端口流量分析窗口，依据流量推断感染病毒或恶意程序的客户端所科交换机端口。关闭该交换机端口，隔离该工作站、服务器，阻断与局域网的连接。依据端口状态功能，查看感染病毒或恶意程序的终端或服务器的IP地址。依据IP地址信息找到该工作站的具体位置，对该工作站进行病毒或恶意程序清除工作。依据对于未知病毒，应首先尝试手工杀毒处理，若系统已被病毒破坏，