信息安全应急响应预案

信息平安应急响应预案（共５8页）PAGEPAGE1————————————————————————————————作者:————————————————————————————————日期: 深圳市XXＸ信息平安应急响应预案深圳市XXＸXX年ＸX月名目TOC\o"1－3＂\h\ｚ\uHYPERLIＮＫ＼l"_Ｔoc32071260１"HYＰERＬIＮK\l"_Tｏｃ320７1２60２＂1．总则PAＧＥREF_Toc32071260２\ｈ3HYPERＬINK\l＂＿Toｃ3２07１２60３＂1．1目的PAGEREF_Ｔoc３２０712６03＼h３HYPＥRＬINK\ｌ"_Toc32０７1２6０4"１.2现状及其成因ＰAGＥＲＥＦ_Ｔｏc３2０7１2604\ｈ3HYPERLINK\ｌ＂＿Ｔoc3207１2605"2.组织机构及职责ＰＡGEREF_Toc3２07１2605\h3HＹPEＲＬINK\ｌ"＿Ｔｏｃ3２０7１2606"２.1应急指挥机构PＡＧERＥF_Toc３20712606＼ｈ3HYＰEＲLIＮK\l＂_Ｔｏc３2０７1２60７"３．预警和预防机制PAGEREF＿Toc３2０71260７\h3HＹPERLINK＼l"_Ｔｏc３２0７12６0８＂3.1信息监测及报告PＡGEREF_Tｏc３２0７126０8\h３ＨＹPERLINＫ\ｌ"_Ｔｏｃ３２071260９"3．２预警ＰＡGEＲEF_Toc32071２６09＼ｈ３ＨＹＰEＲLIＮＫ\l"_Ｔoｃ3２07１2６1０＂3.３预警支持系统ＰAGＥＲＥF＿Tｏc3２０712610\ｈ3HYPＥRLＩＮK＼ｌ"_Toｃ32０7１2611"3．4预防机制PAＧERＥF_Toc３2０7１２6１1＼h3HYPＥRLＩNＫ\l"_Tｏｃ32０７12６1２"4.应急处理程序PAGEＲEF_Toｃ3２0７１２612\h３HYPEＲLINK\l"＿Tｏc3２07１２６13＂４.１级别的确定PＡGERＥF_Toc320712613\h３ＨYPEＲLＩNK＼ｌ＂＿Tｏc320７12614"4．２预案启动PAGEＲEＦ_Ｔoc３２0７12６１4＼h3HYPEＲLINＫ\ｌ"_Toc32０７12６15＂4．3现场应急处理ＰＡＧＥREF_Tｏc32０71２６１5＼h3HYＰEＲLIＮＫ＼l"＿Tｏc３2０７126１6"4.4报告和总结PAGEREF_Tｏｃ３207１2616\h３ＨYPERLIＮＫ\ｌ"_Ｔoc３2０712６１7"4．5应急行动结束ＰAGERＥＦ＿Toc3２0７12６17\h３ＨＹPERLINK\ｌ"＿Ｔｏc3２0７1２61８"５.保障措施PAＧＥREＦ＿Ｔoc320７１2618\h35.1技术支撑保障PAGEＲEF_Ｔoc320７1２６1９＼h3HＹPERＬINK\l"_Ｔｏｃ32071２６2０"5.2应急队伍保障ＰAＧEＲEＦ_Toc320７1２62０\ｈ3ＨＹPＥRLIＮK\ｌ"_Ｔoｃ3２071262１＂５.３物质条件保障PAＧＥREF_Toc３２071２６2１＼h3HＹPＥRＬIＮK\ｌ"_Toc3２０７１２６22"5．4技术储备保障PAＧＥREF＿Toc3２0712６22\h３HＹＰERLＩＮＫ\l"_Toc3２07126２3"６．培训和演习PAGEＲＥＦ_Ｔｏｃ320７1２623＼h3HYＰEＲLＩNＫ\l"_Toc32０71２６24"６．１人员培训PＡＧEREF_Tｏｃ3207１2624\h3ＨYPＥRLINK\ｌ＂_Toc32０71２6２5＂６．２应急演习PAGEＲＥF_Tｏc3２071２625\h3ＨYＰERLINK\l"_Tｏｃ32０71２626"7.监督检查与奖惩ＰAGEＲEF_Tｏc3207126２6\h3HYPＥＲLINK\ｌ"_Toc3207１262７"7.１预案执行监督PＡGEＲEＦ_Toc32０712627\ｈ3HＹPEＲＬINK＼l"＿Toc320712６２8"７．2奖惩与责任PＡGEREF_Tｏｃ32０７1２6２8＼ｈ3ＨYＰEＲLIＮK\ｌ"_Toc32０71262９"８.各种突发大事应急预案PAＧEＲEＦ＿Ｔｏc32０712629＼h３HYＰEＲLINＫ\l"_Tｏｃ32０７1２63０"８.1通信网络故障应急预案ＰAGEREF_Toc3２071２630＼h３ＨYPＥRＬIＮＫ\l"_Toｃ32０71２631"通信网络日常管理ＰAＧEREF_Tｏｃ3２0７12631＼h3HYPＥRLＩNK\ｌ"＿Toc3207126３2"通信网络故障应急预案清单PＡＧERＥF＿Ｔoc32071263２\ｈ3ＨYPEＲLINＫ\l"_Tｏc３207126３３＂8．2业务数据故障应急预案ＰAＧＥREＦ_Toｃ３2０７1２６３3\h3ＨYＰＥRLＩNＫ＼ｌ"＿Toｃ32０7１２６3４＂业务数据日常管理PAGEREF_Ｔoc32０71２63４\h3HＹＰERLIＮK\ｌ"＿Ｔoｃ3２０71２６3５"业务数据故障预案清单PAGＥＲEＦ_Ｔoc32０７1２６35\h３8.3服务器软件故障预案PAGＥREF_Toｃ３2０７126３６\h3ＨYＰＥRLINK＼l"_Toc3207126３7"8.4服务器硬件故障应急预案ＰAGEREF_Toc3２０71２６37\h3HＹＰEＲＬINK\l"_Tｏｃ3207126３８"服务器硬件日常管理ＰAＧEREF_Ｔｏｃ3２０7126３８\h3HＹPＥＲLINＫ\l"_Tｏc320７１2639"服务器硬件故障预案清单ＰAＧERＥF＿Tｏc3２０７１2639\h3HYＰＥRＬINＫ＼l"_Toｃ３2071２6４0＂8.5网络攻击大事预案ＰＡGＥREF_Ｔｏｃ３20７12６40\h3HYPERLIＮK\l"_Tｏc320７１2６４1"8.６病毒爆发应急预案ＰＡＧEＲＥF＿Ｔoc320７１2641\ｈ3HYPＥRLINK＼ｌ"_Toc3２０712642＂病毒防护日常管理PＡGEREF_Toc3２0７12642\h３ＨＹPERＬINＫ\ｌ"_Tｏc32０７1264３"病毒爆发应急预案清单PＡGEREＦ_Toｃ３20712６43\h3HＹPEＲLＩＮK\l"＿Toc３20７1２64４＂8．7业务软件故障应急预案PＡＧＥＲEF＿Toｃ3２０７12６4４\ｈ3HYＰＥＲＬＩNＫ＼ｌ"_Toｃ３２071２６4５"业务软件日常管理PAGＥREF_Ｔoｃ３20７１２64５\h3ＨYＰＥRＬＩＮＫ＼l＂＿Toｃ320712６4６＂业务软件故障预案清单PAＧEREF＿Toc32０７12６４6＼ｈ３HYＰEＲＬIＮK\ｌ"＿Tｏc３20７12６47"８.８应急演练ＰAGEREＦ_Ｔoc32071２６４7＼h３HYPERLＩNＫ\l"＿Tｏc32071２64８"8．9通用表格ＰＡGEREF_Toc32０71２64８\h3HYPERLINＫ\l＂_Ｔoc3２0712649"信息平安大事报告表PＡＧEＲEＦ_Toｃ３2071２6４9\h3HＹPＥRLIＮK\l"_Toｃ32０71２６５０＂信息平安大事应急处理结果报告表ＰAGEＲＥＦ_Toc３2０71２650\ｈ3HＹPEＲLIＮK\ｌ＂＿Toｃ320712651"8.10深圳市XXX信息突发大事处理组织机构PAＧEREF_Tｏc３２07１265１\h3深圳市ＸXX信息系统突发大事应急预案本预案内容包括总则、组织指挥体系及职责、预警和预防机制、应急处理程序、保障措施、各种突发大事应急预案等。明确规定了深圳市XXX在发生网络与信息平安重大突发大事状况下各部门的相关职能和工作方法，具有肯定的宏观指导性和可操作性，对削减网络与信息平安突发大事，保障业务系统正常开展起着重要作用。总则目的为科学应对网络与信息平安(以下简称“信息平安”）突发大事建立健全信息平安应急响应机制,有效预防、准时把握和最大限度地消退信息平安各类突发大事的危害和影响。现状及其成因近年来，深圳市XXX信息平安工作得到加强。但信息平安保障基础工作和技术保障措施比较薄弱,与信息化快速进展的要求和日趋严峻的信息平安形势不协调。信息平安突发大事成因可分为两个方面：一是网络与信息系统自身的脆弱性，主要表现在:平安漏洞的普遍性,攻击和恶意代码的流行性,入侵检测力量的局限性，网络和系统管理的简单性。二是网络与信息系统外部体制性的担忧全性，主要表现在:信息平安法制不健全,全社会的信息平安意识淡薄,深圳市XXＸ信息平安自主可控力量不强,技术防备整体水平不高,信息平安专业人才缺乏，专业队伍建设严峻滞后。组织机构及职责应急指挥机构深圳市XＸX信息系统突发大事应急领导小组在深圳市XＸX党组的统一领导下，设立深圳市XXＸ信息系统突发大事应急领导小组(以下简称“信息突发大事应急领导小组”),为深圳市XXX处理信息平安突发大事应急工作的综合性议事、协调机构。主要职责是:依据国家、广东省、深圳市政府信息平安应急机构的要求开展预防和处置工作;争辩打算深圳市XXX信息平安应急工作的有关重大问题;打算IＩI级和IV级信息平安突发大事应急预案的启动,组织力气对IIＩ级和IＶ级突发大事进行处置;接受深圳市政府信息平安应急机构的统一领导,组织指挥IＩ级和I级突发大事的应急处置工作；指导监督信息平安应急小组的工作；法律、法规、规章规定的其他职责。信息突发大事应急领导小组,由(最高领导人)作为主任，（分管信息化工作的领导)作为副主任,成员由深圳市ＸXＸ各部门部长组成。信息突发大事应急领导小组下设应急小组,由信息部部长任组长,信息部副部长任副组长，信息部其它成员任组员。担当深圳市ＸXＸ信息平安专项应急领导小组的日常工作,负责深圳市XXＸ信息平安突发大事日常监测与预警，其主要职责是:督促落实上级部门和深圳市ＸXX信息突发大事应急领导小组做出的打算和措施;拟订或者组织拟订深圳市XXX信息部应对信息平安突发大事的工作规划和应急预案,报深圳市ＸＸX领导小组批准后组织实施；督促检查信息平安专项应急预案的制订、修订和执行状况;汇总有关信息平安突发大事的各种重要信息,进行综合分析,并提出建议；监督检查、协调信息平安突发大事预防、应急预备、应急处置和事后恢复与重建工作;组织制订信息平安常识、应急学问的宣扬培训方案和应急救援队伍的业务培训、演练方案,报信息突发大事应急领导小组批准后督促落实;组织专家组判定突发大事级别，依据状况提出加强或撤销把握措施的建议和意见;组织召开部门协调会议，协调各部门共同做好突发大事处置工作;检查督导突发大事应急措施的落实状况;准时收集、上报和通报突发大事有关状况,负责向信息突发大事应急领导小组报告有关工作状况；信息突发大事应急领导小组各成员部门的职责信息部:统筹规划建设应急处理技术平台,会同其他有关部门组织制定单位突发大事应急处理政策文件及技术方案,负责平安大事处理的培训,准时收集、上报和通报突发大事状况,负责向信息突发大事应急领导小组或中心领导报告有关工作状况。相关部门:协作信息部组织制定信息系统突发大事应急处理政策文件及技术方案及其他各项工作。预警和预防机制信息监测及报告信息部应加强信息平安监测、分析和预警工作，进一步提高信息平安监察力量。建立信息平安事故报告制度。在突发大事发生后,发觉人应当马上向深圳市XＸX信息突发大事应急小组报告。发觉人应当马上对发觉的大事进行调查核实、保存相关证据，并在大事被发觉时将证据报至信息突发大事应急小组。预警信息突发大事应急小组接到信息平安突发大事报告后，应当经初步核实后,将有关状况准时向组长报告，进一步进行状况综合,争辩分析可能造成损害的程度，提出初步行动对策,并准时报深圳市XXＸ应急领导小组。领导小组主任视状况召集协调会,决策行动方案，发布指示和命令。预警支持系统深圳市ＸXX信息突发大事应急领导小组应建立和完善信息监测、传递网络和指挥决策支持系统，要保证资源共享、运转正常、指挥有力。预防机制乐观推行信息平安等级爱护，逐步实行信息平安风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定并不断完善信息平安应急处理预案。针对基础信息网络的突发性、大规模平安大事，各相关部门建立制度化、程序化的处理流程。应急处理程序级别的确定信息平安大事分级的参考要素包括信息密级、公众影响、业务影响和资产损失等四项。各参考要素分别说明如下：(1）信息密级是衡量因信息失窃或泄密所造成的信息平安大事中所涉及信息的重要程度的要素;(2)公众影响是衡量信息平安大事所造成的负面影响范围和程度的要素;（3）业务影响是衡量信息平安大事对事发单位正常业务开展所造成的负面影响程度的要素；（４）资产损失是衡量恢复系统正常运行和消退信息平安大事负面影响所需付出资金代价的要素。信息平安突发大事级别分为四级：一般（IＶ级)、较大(IIＩ级)、重大(ＩＩ级）和特殊重大(I级)，对应颜色依次为蓝色、黄色、橙色和红色。一般-IＶ级:深圳市XXＸ较小范围消灭并可能造成较大损害的信息平安大事。较大-Ⅲ级：深圳市XXX部分网络与信息系统、网站受到大面积、严峻冲击。重大-IＩ级:深圳市XXＸ大部分网络、信息系统、网站基本瘫痪，导致业务中断,但纵向或横向延长可能造成严峻社会影响或较大经济损失。特殊重大－I级：深圳市XXＸ全部基础网络（包括纵向或横向延长)、信息系统、网站严峻瘫痪,导致业务中断,造成或可能造成严峻法律纠纷或对政府重大形象工程造成巨大负面影响的信息平安大事。预案启动启动预案的权限。发生IＶ级网络信息平安大事后，信息突发大事应急领导小组负责启动相应预案，信息突发大事应急小组负责应急处理工作;发生III级网络信息平安大事后，信息突发大事应急领导小组负责启动相应预案,并负责应急处理工作；发生I、IＩ级的信息平安突发大事后,上报市人民政府及上级主管部门启动相应预案,并由市信息平安应急指挥部负责应急处理工作。启动预案的流程。深圳市ＸXＸ信息平安应急小组接到报告后,应当马上上报深圳市ＸXX信息突发大事应急领导小组有关负责人,并会同相关成员尽快组织专家组对突发大事性质、级别及启动预案的时机进行评估,向信息突发大事应急领导小组提出启动预案的建议,报信息突发大事应急领导小组批准。启动预案后的应急处理。在信息突发大事应急领导小组作出启动预案打算后，信息突发大事应急小组马上启动应急处理工作。现场应急处理现场应急处理工作组应尽最大可能收集大事相关信息,明确大事类别,确定大事来源,爱护证据,以便缩短应急响应时间。检查威逼造成的结果,评估大事带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性,检查攻击者是否侵入了系统,以后是否能再次任凭进入，损失的程度,确定暴露出的主要危急等。抑制大事的影响进一步扩大，限制潜在的损失与破坏。根除恶意代码造成的不良影响。在大事被抑制之后,通过对有关恶意代码或行为的分析结果,找出大事根源,明确相应的补救措施并彻底清除。与此同时,执法部门和其他相关机构将对攻击源进行定位并实行合适的措施将其中断。清理系统、恢复数据、程序、服务。把全部被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应当格外当心,避开消灭误操作导致数据的丢失。另外，恢复工作中假如涉及到机密数据,需要额外遵照机密系统的恢复要求。报告和总结回顾并整理发生大事的各种相关信息，尽可能地把全部状况记录到文档中。发生重大信息平安大事的单位应当在大事处理完毕后５个工作日内将处理结果报市经贸信委备案。应急行动结束依据信息平安大事的处置进展状况和现场应急处理工作组意见,信息突发大事应急小组应组织相关部门及专家组对信息平安大事的处置状况进行综合评估,并向信息突发大事应急领导小组提出应急行动结束建议,并报信息突发大事应急领导小组批准。应急行动是否结束,由组织打算。保障措施技术支撑保障信息突发大事应急小组应建立预警与应急处理的技术平台,进一步提高平安大事的发觉和分析力量:从技术上逐步实现发觉、预警、处置、通报等多个环节和不同的网络、系统之间应急处理的联动机制。应急队伍保障加强信息平安人才培育，建设一支高素养、高技术的信息平安核心人才和管理队伍，提高单位信息平安防备意识。物质条件保障在深圳市XXＸ信息化专项资金中支配肯定的资金用于预防或应对信息平安突发大事,供应必要的交通运输保障,提前选购信息平安应急处理工作需要的检测、修理工具和设备配件。技术储备保障深圳市XXＸ信息突发大事应急小组组织有关专家和科研力气,开展应急运作机制、应急处理技术、预警和把握等争辩,推广和普及新的应急技术。培训和演习人员培训为确保信息平安应急预案有效运行，信息突发大事应急小组应定期或不定期地举办不同层次、不同类型的培训班或研讨会，应利用已有的资源,接受案例教学、情景模拟、沟通研讨、案例分析、应急演练、对策争辩等方式,开展形式多样的培训工作，以便不同岗位的应急人员都能全面生疏并把握信息平安应急处理的学问和技能。应急演习为提高信息平安突发大事应急响应水平，信息突发大事应急小组应定期或不定期组织预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习，进一步明确应急响应各岗位责任,对预案中存在的问题和不足准时补充、完善。监督检查与奖惩预案执行监督信息突发大事应急领导小组负责对预案实施的全过程进行监督检查,督促成员部门按本预案指定的职责实行应急措施,确保准时、到位。发生重大信息平安大事的单位应当依据规定准时照实地报告大事的有关信息,不得瞒报、缓报或者授意他人瞒报、缓报。任何单位或个人发觉有瞒报、缓报、谎报重大信息平安大事状况时,有权直接向信息突发大事应急领导小组举报。应急行动结束后，信息突发大事应急领导小组对相关成员单位实行的应急行动的准时性、有效性进行评估。奖惩与责任对下列状况可以经信息突发大事应急小组评估审核，报信息突发大事应急领导小组批准后予以嘉奖:在应急行动中做出特殊贡献的先进单位和集体；在应急行动中提出重要建议方案,节省大量应急资源或避开重大损失的人员；在应急行动第一线做出重大成果的现场作业人员；在发生重大信息平安大事后，有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的，信息突发大事应急领导小组将予以通报批判;对造成严峻不良后果的，将视情节由有关主管部门追究责任领导和责任人的行政责任;构成犯罪的,由有关部门依法追究其法律责任。对未准时落实市信息平安专项应急领导小组指令,影响应急行动的效果的,按《国务院关于特大平安事故行政责任追究的规定》、《广东省重大事故责任追究制度》追究相关人员的责任。各种突发大事应急预案本预案所称突发性大事，是指自然因素或者人为活动引发的危害机房或人身平安等有关的大事。主要有以下几个类型:1、地震、火灾、雷电、水灾等自然灾难造成的破坏性突发大事;2、信息处理设备被盗、机房存在重大平安隐患而造成的损失等严峻突发大事;3、信息系统存在严峻BUG造成业务操作失误，数据错误;4、网络中断或网络大规模瘫痪;5、病毒和黑客入侵或其他缘由造成数据丢失、删改;6、服务器、网络设备严峻故障；7、因大面积停电、外部网络中断等因素导致无法使用等突发大事。本预案通过演习、实践检验，以及依据应急力气变更、新技术、新资源的应用和应急大事进展趋势，准时进行修订和完善;本预案所附的成员、通信地址等发生变化时也应随时修订;本预案由深圳市XXX信息部负责修订,报深圳市XXX领导批准后实施，授权深圳市ＸXX信息突发大事应急小组负责对本预案附件及附录的修改、审批和实施。本预案修订实行改版或换页的方式进行。本预案由深圳市XXＸ信息部制定,由信息突发大事应急领导小组负责解释。本预案日常工作由深圳市XＸX信息部负责。联系电话：(83９４8121）。联系部门：深圳市ＸXX信息部。联系人清单：角色姓名职责联络信息工作电话手机应急小组组长应急小组副组长协调人局域网组机房维护组机房维护组机房维护组本预案自发布之日起实施。深圳市XＸＸ二〇XX年月日通信网络故障应急预案通信网络日常管理为了保证深圳市XＸＸ通信网络的正常工作，信息部工作人员必需做好机房网络设施的日常维护。8.1．2通信网络故障应急预案清单预案名称网络通信系统故障预案预案编号预案目的网络通信系统发生故障后,应用本预案处理故障预案启动条件网络通信系统发生故障预案执行实施日期组织机构及职责组成姓名联系方式职责负责人平安主管现场指挥平安主管成员网络管理员机房管理员机房管理员厂家联络方式厂家名称姓名联系方式软件介质名称介质编号存放地点备注备品备件名称设备编号存放地点备注交换机和路由器供应商仓库图纸名称图纸编号存放地点备注网络拓扑图信息部ﻬ预案执行步骤及通告一、故障通告1．将故障状况向信息部部长汇报。信息部通知受影响的用户,并视状况的严峻程度通知应急领导小组。二、预案执行步骤1、信息部接到报障后，应马上支配维护工程师到现场查看;PＩNG各关键设备的ＩP地址,来初步定位故障点（某设备,某端口）。通过链路检查命令确定是网络通信故障,则启用一下预案。如是服务器或其他设备,则启用相关预案。确定故障类型及影响范围:(１)链路故障（２)核心、汇聚层设备硬件故障(３)接入层设备硬件故障(4)出口区域设备硬件故障(5)非硬件故障故障处理流程:（1)链路故障处理流程:先将故障汇报至信息部，通报给受影响的用户检查线路及链路转换设备是否工作正常（如:光电转换器),物理链路包括双绞线、以太网光纤、广域网线路。A.双绞线故障可以接受替换的方式解决;B．以太网光纤故障,则联系局域网线路维护方进行重新熔接；C．广域网线路故障,则联系运营商进行处理。转换设备故障：光电转换器、协议转换器、光纤模块等，依据设备的运维方分别联系对应的运维方进行处理。全部链路故障能够临时替换解决的,先临时替换规避故障使网络恢复正常不能替换的汇报信息部，协商解决方案(2)核心、汇聚层设备硬件故障:核心、汇聚层设备相对比较高端,故障涉及引擎、业务板卡、电源模块等引擎故障：A．针对外网核心为双引擎配置,单个引擎损坏不影响设备正常工作。向信息部汇报故障同时通知设备维护商上门检修；B.针对内网核心，无引擎冗余设置,但有设备冗余，单个故障不会影响接入层的通迅,首先将故障机上的服务器、链路切换到另一台核心交换机上,调整相应的配置。然后上报信息部并通知设备维护商上门检修;C.汇聚层设备引擎损坏对网络不会造成网络中断,上报信息部,并通知设备维护商上门检修。(3）业务板卡故障A.假如设备其它业务板上未使用端口较多，则将故障板卡上的线路切到其它板卡未使用的端口,并将做好相关配置B.假如设备其它板卡上未使用端口较少,则可以实行非故障业务板下挂交换机的方法来增加端口数量,将故障板卡上的线路切到新增交换机上。临时规避处理后，然后上报信息部并通知设备维护商上门检修;(４）电源模块、机箱、风扇等基础硬件故障。A.双电源设计设备,单个电源损坏不会对设备造成影响，向信息部汇报并通知设备维护商上门检修；B．单电源、机箱、风扇等故障,临时规避措施与内网核心引擎故障处理方法全都。（５）接入层设备硬件故障:A.接入层设备故障影响一般为单个楼层,如有备件,则现场更换备件,做好相关配置,并汇报信息部及通知设备维护商上门检修；B．假如没有备件且下接为同一网段用户时,可临时接受傻瓜交换机对故障设备进行替换,并调整相应的汇聚交换机配置。汇报信息部同时通知设备维护商上门检修;C.假如没有备件且下接为不同网段用户时,只能保证关键网段的通迅,或者调整用户ＩP地址。规避方法与同一网段用户相同。D.假如备件或傻瓜交换机无光纤端口,则可接受增加光电转换器的方法,替换光纤模块,用双绞线接入交换机。（6）出口区域故障:出口区域包括防火墙、路由器、平安网关、网闸等，针对工作为透亮     模式的设备，直接将设备撤下，汇报信息部同时通知设备维护商上门检修;A．非透亮     模式工作的设备,如有备件则调试好备件,将故障设备替换,并汇报信息部同时通知设备维护商上门检修;无备件的状况则上报信息部同时通知设备维护商上门检修；全部故障设备返修完毕后,正式上线前,需汇报信息部,确定上线时间,才能停机安装调试。非硬件故障进行设备各项信息收集:接入COＮSＯLE线，能否进行设备操作界面:(1)如能进行操作界面,则收集设备信息;(2）如不能进入操作界面则推断为设备本身故障,升级设备软件看能否解决，如不能则为设备硬件故障,如有备件，则替换上备件，如无备件，向信息部负责人汇报故障处理状况，同时通知设备维护商上门检修;查看CPU信息:showcpｕ结合以往阅历，推断该设备ＣＰＵ利用率是否在正常范围内（３)假如ＣPU利用率比正常状况下高很多,则可能是攻击,如大量的主机扫描;或环路导致。可以通过抓包分析来确定攻击源或环路端口。如为攻击则断开攻击源,如为环路，则解除环路，并向信息部负责人汇报处理过程。其它厂商设备，如深信服网关、天融信防火墙等,通过ＷＥＢ方式可以查看CPＵ利用率查看设备运行信息：shｏｗrｕnｎｉng-config与最近备份配置对比，看是否存在改动,如存在改动，则进行还原配置操作,是否能解决故障,如能解决,则先还原配置，分析改动配置存在的问题。并将处理状况向信息部负责人汇报;假如还原配置后,故障照旧,则进行下一步操作。假如配置未进行改动,则进行下一步操作。查看ＭAC地址表:showmac-aｄｄｒｅss-tabｌe查看故障设备是否学到对方的ＭAC地址，如没有学到或学到的信息不正确,则检查链路状态，或者是否存在MＡC地址攻击等。（4)假如MAC地址表正常，则进行下一步操作查看ARP表:sｈoｗarp查看故障设备是否学习到对方AＲＰ信息或信息是否正确,假如没有学到，则分析是否病毒，如ＡRＰ病毒,或其它缘由导致假如能学到对方ＡRＰ信息,则进行下一步操作。查看路由表:shoｗｉprouteｒ检查到对方的路由是否正常,假如路由不正常,则分析路由不正常的缘由假如路由表正常,则进行下一步操作。查看是否由于平安设备缘由平安设备是否限制了正常的通迅平安设备是否将正常报文误断为攻击8、经过以上操作仍无法定位缘由解决故障,则联系第三方技术支持9、确定故障缘由后:如为病毒导致，则按病毒处理预案进行如为设备本身故障,则上报信息部，有备件的话,先用备件替换故障设备,无备件,则与信息部负责人协商解决方案假如故障是因设备配置问题导致,则对原配置备份后,再调整相应的配置1０、故障解决后,进行阅历总结，并提交至信息部负责人预案流程业务数据故障应急预案８.２．１业务数据日常管理为了加强深圳市XXＸ业务数据平安的管理,应对具有高可用性要求的业务数据进行备份，形成业务数据备份机制。8.2．2业务数据故障预案清单预案名称业务数据故障预案预案编号预案目的因各类缘由导致业务数据丢失的处理方案预案启动条件因各类缘由，导致业务数据丢失预案执行实施日期年月日组织机构及职责组成姓名联系方式职责负责人平安主管现场指挥平安主管成员网络管理员机房管理员需通知的其他部门部门名称联系人电话留意事项厂家联络方式厂家名称姓名联系方式软件介质名称介质编号存放地点备注

预案执行步骤及通告一、故障通告1.将故障状况向信息部部长汇报。信息部通知受影响的用户，并视状况的严峻程度通知应急领导小组。二、预案执行步骤发生业务数据故障(因硬件／软件故障或误操作导致)后,现场值班人员应准时联系数据库管理员,检查和备份业务系统当前数据;由数据库管理员确定能用于恢复的数据备份及其介质(磁盘/磁带,本地/异地）;假如数据库管理员不能在短时间内修复数据,则需准时上报应急领导小组，由其通知业务部门以手工开展业务；利用备份恢复业务数据后，需要协同业务部门的人员检查数据的有效性(历史数据和当前数据的差别),并依据需要,联合应用系统开发商,帮助相关的业务人员补录入数据;完成修复后，马上备份当前数据;编写故障分析报告，向应急领导小组汇报。预案处理流程服务器软件故障预案预案名称服务器软件故障预案预案编号预案目的服务器发生软件故障后,应用本预案处理故障预案启动条件服务器发生软件故障（除应用软件系统外）预案执行实施日期年月日组织机构及职责组成姓名联系方式职责负责人平安主管现场指挥平安主管成员网络管理员机房管理员厂家联络方式厂家名称姓名联系方式备注软件介质名称介质编号存放地点备注备品备件名称设备编号存放地点备注仪器名称仪器编号存放地点备注ﻬ预案执行步骤及通告一、故障通告1.将故障状况向信息部部长汇报。信息部通知受影响的用户,并视状况的严峻程度通知应急领导小组。二、预案执行步骤１.发生服务器软件系统故障后,现场值班人员应马上组织查找、确定故障软件;收集软件所在服务器的基本信息,包括设备型号、系统平台、软件版本、使用状况等信息;检查系统中各类日志（系统日志／应用程序日志／数据库日志等),分析故障发生的位置;2.依据先期收集的信息、推断故障事态的严峻程度,准时报告应急指挥专责小组,启动后续处理流程:业务软件故障:联系软件开发商维护人员,让其支配技术人员在指定时间段内赶到现场,对业务软件进行深化分析,继而解决故障或重新部署软件;数据库软件和备份软件:由数据库管理员确认故障缘由,继而修复数据库软件，若软件不能(准时)修复，则在原设备或调度的备用设备上重新部署软件,并利用已有的备份内容，恢复数据;操作系统:由系统管理员确认故障缘由，继而修复操作系统,若系统不能(准时)修复,则重新部署系统和各类业务软件及支持软件,或启动备份服务器系统,由备份服务器接管业务应用,并准时报告软件维护人员,支配将故障服务器脱离网络,保存系统状态不变，取出系统镜像备份磁盘，保持原始数据;若使用备用系统,则在原服务器上修复系统后，需将备用系统中的数据迁移回原系统中；假如问题严峻,原有技术人员不能解决,则马上联系应急指挥专责小组和维护厂商,恳求技术支援,做好技术处理,保证数据完整；处置结束后,将事发经过、处理方法和结果编写成报告，提交给应急指挥专责小组。预案流程服务器硬件故障应急预案8.4.1服务器硬件日常管理为了加强深圳市XＸX信息部设备硬件管理,需要管理员定期检查、整理硬件物理连接线路,定期检查硬件运作状态，做好硬件的冗余备份。8．4．2服务器硬件故障预案清单预案名称服务器硬件故障预案预案编号预案目的服务器发生硬件故障后,应用本预案处理故障预案启动条件服务器发生硬件故障（包括服务器/存储/存储网络设备）预案执行实施日期年月日组织机构及职责组成姓名联系方式职责负责人平安主管现场指挥平安主管成员网络管理员机房管理员厂家联络方式厂家名称姓名联系方式软件介质名称介质编号存放地点备注备品备件名称设备编号存放地点备注仪器名称仪器编号存放地点备注ﻬ预案执行步骤及通告一、故障通告1.将故障状况向信息部部长汇报。信息部通知受影响的用户,并视状况的严峻程度通知应急领导小组。二、预案执行步骤发生硬件故障后,准时报告硬件维护人员，并组织查找、确定故障设备及故障缘由,进行先期处置:检查硬件指示灯号，辨别出错硬件；检查系统日志,查找和确定故障缘由;运行配套的硬件监控和维护程序,查找和确定故障缘由;收集设备的基本信息(硬件设备型号、系统平台类型和版本、应用软件类型和版本)；联系硬件维护人员对故障设备进行检修;依据故障事态的严峻程度，准时报告应急指挥专责小组，启动以下后续处理流程:假如故障设备具有容错力量,则由硬件维护人员联系备件库管理人员,准时调度硬件，在线更换；假如故障设备不具备容错力量，而又无法在短时间内修复故障设备,则启动备用设备，保持系统正常运行;假如没有现成备用设备，则联系备件库管理人员，调度合适的硬件设备,依据之前收集的信息，在备用设备上部署同型号同版本的操作系统、支持软件和业务软件,并恢复数据库到备用设备,保证系统正常运行；原设备在故障排解后,在网络空闲时期,重新替换备用设备,把原先存储与备用设备的数据迁移回原设备；若故障仍旧存在,依据平安守则和实际需要，马上联系相关厂商，认真填写设备故障报告单备查。预案流程网络攻击大事预案预案名称网络攻击大事预案预案编号预案目的网络攻击大事发生后,应用本预案处理故障预案启动条件发生网络攻击大事预案执行实施日期年月日组织机构及职责组成姓名联系方式职责负责人平安主管现场指挥平安主管成员网络管理员信息平安管理员厂家联络方式厂家名称姓名联系方式软件介质名称介质编号存放地点备注备品备件名称设备编号存放地点备注仪器名称仪器编号存放地点备注ﻬ预案执行步骤及通告一、故障通告1.将故障状况向信息部部长汇报,信息部通知受影响的用户,并视状况的严峻程度通知应急领导小组。预案执行步骤１.确定源地址:假如服务器被攻击，可以通过以下手段来确定攻击源:在服务器上运行netsｔａt-an可以看到大量的连接,找动身起大量连接的源ＩＰ地址。也可以在通过捕获交换机上连接服务器的端口的报文，进行分析，找到攻击源IＰ。假如是平安网关被攻击，则只能分别在其全部网络连接端口来进行抓包分析。２．临时规避攻击:临时规避主要是针对外网发起的攻击,最保险的方法是实行临时断网措施；假如不能断网则可以通过以下措施临时规避：假如公网地址足够，可以通过更改对外发布服务的公网地址（服务器，同进还需更改ＤNS解析)或者更改本身的外网地址（出口网关)。３.备份被攻击者数据如为网络设备,则备份配置文件,如为服务器则备份操作系统，有条件的话,建议备份整个硬盘。４.追踪攻击源:内网发起的攻击:通过找出源ＩP,结合用户IP登记资料,定位到用户,直接将用户断网处理。外网发起的攻击:与运营商联系,同时上报网监部门,依据对方要求供应相关资料，由运营商和网监部门处理。5．调整平安策略:在定位攻击源的时候,同时对服务器或出口网关进行加固,主要方法如下:平安网关主要是对其本身的登陆管理进行设置,包括对其本身ＩＰ的连接数，用户登陆次数等进行限制,备份攻击发生时的设备配置,以便后期分析。服务器在攻击发生时第一时间断开网络，备份操作系统（有条件的话建议备份整个硬盘）;分析服务器在平安方面存在的隐患,更改相关平安设置。在平安设备上,如防火墙,ＩPＳ;对该服务器与外网地址的连接数进行限制,在同一时刻只允许肯定数量的地址与服务器建立连接。6.被攻击者接入网络假如还有攻击,则需等待运营商处理完毕后，再接入网络。7.检查被攻击设备的数据是否丢失损坏。８.如数据有丢失或损坏,则恢复被攻击目标设备的数据。9.事故处理完后对此次事故进行总结。预案流程病毒爆发应急预案８.6.1病毒防护日常管理为了保证深圳市XＸX电子政务内网的平安,系统管理员必需安装杀毒软件和升级系统补丁，建立完整的防病毒系统管理及维护日志。病毒爆发应急预案清单预案名称病毒爆发事故预案预案编号预案目的发生病毒爆发或感染事故后,应用本预案处理故障预案启动条件发生病毒爆发或感染事故预案执行实施日期年月日组织机构及职责组成姓名联系方式职责负责人平安主管现场指挥平安主管成员网络管理员机房管理员厂家联络方式厂家名称姓名联系方式软件介质名称介质编号存放地点备注备品备件名称设备编号存放地点备注仪器名称仪器编号存放地点备注ﻬ预案执行步骤及通告一、故障通告1．将故障状况向信息部部长汇报,信息部通知受影响的用户,并视状况的严峻程度通知应急领导小组。2、对用户的病毒通知，接受发文或短信方式。二、预案执行步骤终端网络型病毒可依靠网络进行大面积快速传播,如:灰鸽子、熊猫烧香、冲击波等。小面积病毒爆发:１.接到报障电话，工程师到现场处理，确定是否中毒，如确认中毒则将中毒主机断网隔离。2.接受已安装并更新至最新病毒库的专业杀毒软件进行查杀，如能查杀则现场处理。3.针对未知的新型病毒，杀毒软件不能查杀的,则将用户数据备份后，再重装系统,同时将病毒样本上报杀毒软件厂商。4．待杀毒软件厂商升级病毒库后,再查杀中毒电脑。大面积病毒爆发:１.确定大面积病毒爆发,上报上级主管部门2.先接受杀毒软件进行查杀,假如可以查杀则发通知用户进行查杀,杀毒软件无法查杀的状况下,对爆发区域进行断网处理,并发布病毒通知。3．联系厂商进行现场技术支持，上报上级主管部门终端单机型病毒病毒传播速度较慢,网络不是其传播主要手段。如：文件型病毒、Ｕ盘病毒等。1.接到报障电话，工程师到现场处理，确定是否中毒，如确认中毒则将中毒主机断网隔离。2．接受已安装并更新至最新病毒库的专业杀毒软件进行查杀，如能查杀则现场处理。３.如以上软件不能处理,则将用户数据备份后，再重装系统。4．安装操作系统并安装杀毒软件后，再手工升级。5.对终端进行全盘扫描,可能的状况下对移动介质扫描处理。6.针对传播速度相对较快,如U盘病毒,则通过ＯA等方式，发布通知,提示用户留意病毒防护。服务器病毒防护上报上级主管部门，并通过OA或短信