计算机系统应急预案

#计算机系统应急预案应急预案指面对突发事件如停电、系统设备故障、服务器死机等，能够快速采取相应的应对措施。为防止事态进一步扩大。它一般应建立在综合防灾上。其几大重要子系统为:完善的应急组织管理指挥系统；强有力的应急保障体系；综合协调、应对自如的相互支持系统。一、目的为了加强公司业务应用系统的网络设备、主机操作系统、数据库系统和应用系统等硬件和软件的故障或安全、应急事件的管理，特制定本制度。为了积极应对可能发生的各类重大事故，预先控制潜在事故或紧急情况，做好应急准备和响应，组织有序的事故抢救和救灾工作，最大限度减少财产损失，维护系统的正常运行，促进本企业的经济建设，按照《国务院关于特大安全事故行政责任追究的规定》的要求，结合本项目部的实际，制定本计算机系统应急预案（以下简称《预案》）。二、范围本制度适用于公司各个业务应用系统的安全管理员、维护人员等负责系统运维安全的人员和公司信息安全管理小组。三、应急预案小组根据基本要求设置安全管理机构的组织形式和运作方式，明确岗位职责，设置系统管理员、网络管理员、安全管理员等岗位。根据要求成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权根据要求制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求；建立授权与审批制度和内外部沟通合作渠道；定期进行全面安全检查，特别是系统日常运行、系统漏洞和数据备份等。四、启动条件1、本文档内定义的严重安全事件和重大安全事件发生时2、信息安全协调小组和相关部门领导确认，需要启动应急计划时。五、安全事件定义1、重大安全事件：由于信息安全问题对关键业务造成直接影响，并导致全网瘫痪、业务中断数小时以上的事件，称为重大安全事件。2、严重安全事件：由于信息安全问题对重要业务造成直接影响，并导致网络与业务中断，称为严重安全事件。3、一般安全事件：由于信息安全问题对重要业务造成间接影响，一般业务造成直接影响，并导致网络与业务遭受影响的事件，称为一般安全事件。六、系统监测、预警和先期处理1、为了提高平台的稳定性、安全性和高可用性，提高云计算资源利用率，总体部署架构应实现硬件资源提供的动态化和基础设施来源的多样化。引入了智能容器云引擎。硬件设施资源由容器云引擎统一管理，提供按需弹性伸缩的资源池，在应用过程中根据实际需要动态调整。让整个系统具备高可靠性和扩展性，无单点失效风险。当某一组件发生故障时，在单一进程的传统架构下，故障很有可能在进程内扩散，形成应用全局性的不可用。在微服务架构下，故障会被隔离在单个服务中。若设计良好，其他服务可通过重试、平稳退化等机制实现应用层面的容错。2、建立健全重要数据及时备份和灾难性数据恢复机制。严格按照计算机信息网络安全管理规定要求，认真做好日常数据备份工作，以防发生数据灾难时对信息系统进行恢复重建。3、要进一步完善信息网络安全突发事件监测、预测、预警制度。按照“早发现、早报告、早处置”的原则，加强对各类信息网络安全突发事件和可能引发信息网络安全突发事件的有关信息的收集、分析判断和持续监测。当发生信息网络安全突发事件时，向相关负责人汇报，汇报内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。4、定期总结网络安全自查情况5、当发生信息网络安全突发事情时，及时做好先期应急处置工作并立即采取措施控制事态，必要是采用关闭服务器等方式防止事件进一步扩大，同时向信息网络安全领导小组通报。6、应急预案领导小组接到突发事件发生或者可能发生的信息后，针对实际情况判断等级启动预案。七、应急抑制应急抑制的目的是限制安全事件对受保护信息系统造成影响的范围和程度。应急抑制是信息安全应急响应工作中的重要环节，在信息安全事件发生的第一时间内对故障系统或区域实施有效的隔离和处理，或者根据所拥有的资源状况和事件的等级，采用临时切换到备份系统等措施降低事件损失、避免安全事件的扩散（例如蠕虫的大规模传播）和安全事件对受害系统的持续性破坏，有利于应急响应工作人员对安全事件做出迅速、准确的判断并采取正确的应对策略。应急抑制过程中，重要的是确保业务连续性，应尽量保证在备份系统中完全运行原来的业务。如果出现资源紧张，应尽可能保证重要资产优先运行，维持最基本的业务能力。八、应急处理1、采取多层次有害信息、恶意攻击防范与处理措施。预案小组成员为第一层防线，发现有害信息保留原始数据后及时删除；预案小组组长为第二层防线，负责对所有信息进行监视及信息审核，对有害信息及时处理。2、非法言论紧急处理：信息安全技术人员密切监视信息内容，发现非法信息时，应立即向组长汇报，情况紧急时，在保留原始信息后，应先采取删除等措施，再按程序报告。在接到报告后及时清理非法信息，妥善保存有关记录及日志，将网站重新投入使用。如果事态严重，应立即向领导小组汇报，并向政府信息化主管部门和公安部门报警3、黑客攻击事件处理：当信息安全技术人员发现网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时，应首先将被攻击的服务器等设备从网络中隔离出来，保护现场，并立即向领导小组负责人报告情况信息安全技术人员对现场进行分析，并写出分析报告存档，必要时上报政府信息化主管部门和公安网络监管部门。恢复与重建被攻击或破坏的计算机信息系统。由领导小组负责人召开会议，如认为事态严重，则立即向领导小组报告，并向政府信息化主管部门报告和公安网络监管部门报警。4、病毒事件处理：当信息安全技术人员发现有计算机被感染上病毒后，应立即将该机与网络隔离。信息安全技术人员对该计算机进行数据备份。启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他该网络中的计算机进行病毒扫描和清除工作。如果现行反病毒软件无法清除该病毒，应立即向领导小组负责人报告，并迅速联系有解决能力的软件厂商研究解决。由领导小组负责人召开会议，如认为事态严重，则立即向领导小组报告，视情况向政府信息化主管部门报备或向公安部门报警。如果感染病毒的设备是主服务器，经领导小组负责人报领导小组同意，应立即告知领导做好相应的清查工作。病毒清除，通过专业检测后，隔离的设备可重新投入使用。5、软件破坏性攻击处理：重要的软件系统日常维护时必须指定专人负责，将它们备份并保存于安全处一旦软件遭到破坏性攻击，信息安全技术人员应立即向领导小组负责人报告并将该系统停止运行信息安全技术人员检查信息系统的日志等资料，确定攻击来源，并将有关情况向领导小组负责人汇报，再恢复软件系统和数据。由领导小组负责人召开会议，如认为事态严重，则立即向领导小组报告，视情况向政府信息化主管部门报告或向公安部门报警。6、数据安全处理：主要数据库系统应按要求做好数据库备份。一旦数据库崩溃，信息安全技术人员应立即启动备用系统，并向领导小组负责人报告。在备用系统运行期间，信息安全工作人员应对主机系统进行维修并作数据恢复。如果系统崩溃而无法恢复，技术员应立即向领导小组负责人汇报，并请技术部派员解决或联系有解决能力的厂商请求紧急支援。由领导小组负责人召开会议，如认为事态严重，则立即领导报告。7、网络中断处理：信息安全技术人员接到报告后，应迅速判断故障节点，查明故障原因。如属技术部门管辖范围，由信息安全技术人员立即予以恢复。如属服务商管辖范围，立即与相关服务商进行联系，要求修复。线路中断，信息安全技术人员应在判断故障节点，查明故障原因后，尽快研究恢复措施，并立即向领导小组负责人汇报，同时做好故障记录。8、节假日、举行重大活动和发生重大事件时，信息安全技术人员应对整个网络的运行进行监控并及时删除各类非法信息。九、应急结束1、当突发危害和故障结束，或相关危险因素已基本得到控制或消除，即可结束应急响应。2、领导小组要认真总结应急响应工作，对实施预案中发生的问题进行研究改进进一步完善预案