数据中心应急专项方案

XXXXXX––DCV2.0xx应急方案XXX数据中心发放编号：受控状态：■受控□非受控XXX发布版本记录版本状态作者开始日期完成日期备注

目录TOC\o"1-3"\h\u目录 3第1章 总则 5第2章 数据中心应急方案组织体系 52.1 网络和信息安全应急协调领导小组职责 52.2 领导小组办公室组成及组员电话 52.3 工作职责 62.4 各设备应急联络人 6第3章 信息系统安全应急处理实施细则 73.1. 信息系统故障等级划分 73.1.1. 一级故障 73.1.2. 二级故障 83.1.3. 三级故障 93.2. 网络信息故障处理程序 93.2.1. 故障发觉 93.2.2. 故障处理 93.2.3. 故障统计 103.2.4. 故障升级上报 103.2.5. 汇报内容 123.2.6. 应急处理 123.2.7. 故障处理后测试验收 133.2.8. 故障书面汇报 133.2.9. 故障汇报填写及汇报 14第4章 信息系统安全应急处理步骤 154.1. 信息系统安全应急处理步骤图 154.2. 故障升级分类及升级时限 164.3. 越级汇报 16第5章 应急响应特点文档及工具 165.1. 应急文档备存 165.2. 应急设备及软件备存 17第6章 应急处理预案 176.1. 网络中止应急处理 176.2. 黑客攻击应急处理 186.2.1. 应急处理 186.2.2. 修复处理 196.3. 大规模病毒（含恶意软件）攻击应急处理 196.4. 数据库系统故障应急处理 206.5. 设备硬件故障应急处理 206.6. XX相关故障应急处理 216.7. 对重大故障应急处理 216.8. 请求外部帮助支持 22第7章 后期处理 227.1. 善后处理 227.2. 调查和评定 227.3. 应急方案更新 23附件：应急响应相关表单 23

总则为确保企业数据中心信息系统安全，防范蓄意攻击、破坏网络系统及数据安全等紧急突发事件发生，依据企业《XXX数据中心应急预案》，结合企业数据中心信息化特点，特制订本应急方案。数据中心应急方案组织体系网络和信息安全应急协调领导小组职责负责领导XXX数据中心网络和信息安全应急工作，确定并直接领导信息系统安全应急处理工作组。审定XXX数据中心信息系统安全应急预案并组织实施，研究处理数据中心相关网络和信息系统安全重大问题。领导小组下设处理工作组，其工作职责由数据中心负担。领导小组办公室组成及组员电话姓名职务联系电话组长副组长成员工作职责（1）组长职责负责XXX数据中心网络和信息安全应急方案开启，对XXX数据中心网络和信息安全故障全权组织进行应急处理。（2）副组长职责帮助组长对数据中心网络和信息安全故障进行应急处理，负责确定合理技术处理方案、制订应急处理方案。组长不在现场或不便推行职责时，行使组长职责。（3）应急领导小组其它组员职责配合组长和副组长，实施应急处理工作。各设备应急联络人单位姓名职务联系电话备注信息系统安全应急处理实施细则信息系统故障等级划分XXX数据中心信息系统故障等级，根据《信息安全技术-信息系统安全等级保护基础要求》第二级要求，具体划分为三个等级，一级故障为重大故障；二级和三级故障为通常性故障。一级故障信息系统发生故障，估计将或已经严重影响企业关键系统业务，造成相关业务中止1小时以上，并估计二十四小时以内无法恢复，含有以下一个或多个特征，即定义为一级故障。1.企业关键业务系统XXX，XXX和部分XXX业务广域网和专网出现线路和设备故障，且中止时间为一个小时以上；2.企业数据中心关键网络出现故障，造成外网用户不能访问企业服务器；3．企业数据中心关键业务服务器出现故障，无法立即恢复，造成业务中止一个小时以上。4.企业数据中心存放出现故障，造成业务中止一个小时以上且数据无法恢复。5.xx关键业务系统出现故障，造成企业业务中止一个小时以上。6.利用技术手段，造成业务数据被修改、假冒、泄漏、窃取信息系统安全事件。二级故障信息系统发生故障，估计将或已经严重影响企业关键系统业务，造成相关业务中止1小时以上，并估计6小时以内能够恢复，含有以下一个或多个特征，即定义为二级故障。1.企业部分关键业务系统出现线路故障，造成部分用户无法访问；2.企业数据中心关键业务服务器宕机，无法立即恢复，造成业务中止一个小时以上。3.企业部分布署在xx机房关键业务系统出现故障，造成企业业务中止一个小时以上。4.病毒或网络攻击造成企业数据中心广域网连接中止或传输效率显著下降，关键业务系统不能正常提供服务；5.人为误操作造成企业备份数据丢失。6．利用技术手段，造成业务数据被修改、假冒、泄漏、窃取信息系统安全事件。7．12小时以内无法处理三级故障。三级故障满足以下条件之一，即定义为三级故障。1．非关键业务出现故障，造成无法访问。2．故障发生后，影响到信息系统运行效率，速度变慢，但不影响业务系统访问；3．故障发生后，可随时应急处理，不会影响系统全方面运行，不过一个隐患；网络信息故障处理程序故障发觉数据中心中心工作人员在发觉故障或接到故障汇报后，首先要判定故障发生原因，对故障等级进行初步判定；其次联络并协调相关人员处理此次故障；待故障处理后，对此次故障进行具体统计。故障处理1.发生故障业务系统主管部门数据中心为故障处理部门，故障处理部门领导负责通知和落实对应岗位人员抵达现场，故障处理部门应首先指定现场指挥人员，指挥人员应先问询了解设备和配置近期变更情况，查清故障影响范围，从而确定故障等级和发生故障可能位置；2.对于通常性故障根据3.2.4故障升级上报要求进行上报，并在处理过程中立即向主管领导通报故障处理情况。3.对于重大故障根据3.2.4故障升级上报要求进行上报，并在处理过程中立即向主管领导通报故障处理情况。故障统计在故障处理中，应对其过程进行具体统计，其中包含故障处理责任人，检验内容及结果，对故障判定及处理措施，和故障处理过程中各步骤及实施人员。故障升级上报依据故障等级和发生时限，要对故障情况进行立即上报，并对汇报人，通知人立即间及内容进行统计。重大故障由部门主管领导负责上报，通常性故障由故障处理人员负责上报。故障升级上报时限以下表所表示：升级时限一级故障二级故障三级故障立即数据中心经理对应岗位人员对应岗位人员半小时数据中心部门主管领导数据中心经理1小时企业主管高层数据中心部门主管领导数据中心经理4小时企业主管高层数据中心部门主管领导8小时二十四小时故障上报升级时限XXX数据中心是负责受理和处理网络和信息安全突发事件具体职责部门，在接到突发事件汇报后，要按下列工作程序处理：1．一级故障汇报程序（1）发觉故障岗位人员依据故障初级判定结果，立即向数据中心经理汇报；（2）数据中心经理依据故障初级判定结果，快速将相关情况汇报XXX数据中心网络和信息安全应急领导小组或数据中心部门主管领导，汇报时限不能超出30分钟；（3）经排查故障无法在1个小时内排除，将该突发事件形成书面汇报材料呈报给企业主管领导，同时向数据中心部门主管领导上报情况。2．二级故障汇报程序（1）发觉故障岗位人员依据故障初级判定结果，将故障相关情况向数据中心经理汇报，汇报时限不能超出30分钟；（2）数据中心经理依据故障初级判定结果，快速将相关情况汇报XXX数据中心中心网络和信息安全应急领导小组或数据中心部门主管领导，汇报时限不能超出60分钟；（3）经排查故障无法在4个小时内排除，将该突发事件形成书面汇报材料呈报给企业主管领导。3.三级故障汇报程序（1）发觉故障岗位人员依据故障初级判定结果，将故障相关情况向数据中心经理汇报，汇报时限不能超出1小时；（2）数据中心经理依据故障初级判定结果，快速将相关情况汇报XXX数据中心网络和信息安全应急领导小组或数据中心部门主管领导，汇报时限不能超出4小时；（3）经排查故障无法在8个小时内排除，将该突发事件形成书面汇报材料呈报给数据中心部门主管领导，做故障升级处理。汇报内容汇报内容包含突发事件发生时间、地点、过程、情况、原因及影响等。应急处理1．数据中心依据故障情况立即进行应急处理，预防事件深入扩大，同时分析该故障起因，判定需要处理时间，并依据判定结果按故障升级上报程序，逐层上报；2．依据突发事件性质、等级，决定开启相关系统技术应急预案；3．依据事件等级和对业务影响程度评定结果，向网络和信息安全应急协调领导小组汇报，应急领导小组决定是否开启业务应预案，数据中心配合业务部门开展应急处理工作；4．应急领导小组授权办公室或责任人经过内外网站、传真等媒介通报突发事件相关信息；5．依据故障可能产生原因尽早联络其它相关部门、线路运行商、设备供给商请求技术支持，并将联络外协支持情况统计在案。故障处理后测试验收故障处理后，故障处理部门要进行自测，然后提交用户进行确定，当用户对处理结果认同后，故障最终确定处理。故障书面汇报对于重大故障和拖延时间较长通常性故障，在处理过后，应对故障及处理全过程进行总结，以文字形式进行汇报。对于影响较小通常故障处理，在维护日志中做完整说明和统计。故障汇报填写及汇报故障汇报应包含以下几方面内容：故障处理过程原始统计，故障情况描述及故障处理情况说明，汇报中要明确说明故障处理是否正确和立即，有没有显著失误，有没有违反要求行为。语言应简明扼要，对情况描述要清楚、有条理。故障处理部门责任人将对故障汇报进行全方面审核，无误后签字并报数据中心部门主管领导，重大故障汇报需报企业主管领导。信息系统安全应急处理步骤信息系统安全应急处理步骤图故障升级分类及升级时限1、故障分类详见第3.1章节。2、二级故障发生后，在4小时内没有处理，升为一级故障。三级故障发生后，在8小时内没有处理，升为二级故障。越级汇报故障上报应遵照逐层上报标准，但在和上级联络不上时，可越级汇报。应急响应特点文档及工具应急文档备存（1）各类网络设备和服务器、计算机及其隶属设备型号、序列号等；（2）硬件设备供给商、生产厂商电话、联络人、技术支持网址；（3）操作系统、关键业务应用软件开发商或供给商电话、联络人；（4）数据中心网络拓朴图；（5）路由器、防火墙、入侵检测设备配置文档，服务器登陆用户及原始密码文档；（6）各类软件技术文档及其它需要保留文档。应急设备及软件备存（1）正版操作系统开启盘、安装盘；（2）正版防病毒软件（注明安装及升级序列号）；（3）数据库管理系统软件，数据库备份软件及最近完整数据备份存放介质；（4）相关设备驱动程序（含主板、显卡、网卡等）及更新到最新服务器注册表文件；（5）备用网线，万用表、测网仪、螺丝刀等必需工具；（6）其它必备应急工具。应急处理预案网络中止应急处理1、故障排查：网络中止后，技术人员要快速判定故障节点，查明故障原因；2、故障排除：①如属线路故障，应重新安装线路。②如属路由器、交换机等网络设备故障，技术人员立即检修并调试通畅。如路由器、交换机配置文件破坏，技术人员应快速根据要求重新配置，调试通畅。必需时，请相关供货单位、设备厂商帮助调测通畅。③如需更换设备，应上报企业主管领导，经同意后立即更换故障设备，立即恢复系统运行。④如发觉属于外部线路问题，应和线路运行商联络，敦促立即恢复故障线路。⑤数据中心无法立即修理时，应立即通知相关供给商及维护人员，在最短时间内安排修理。黑客攻击应急处理应急处理1.当发觉网络上有黑客攻击行为时，应立即向数据中心通报情况，并由数据中心相关责任人向数据中心主管领导汇报；2.数据中心工作人员应立即赶到现场，将被攻击服务器或其它设备从网络中隔离出来，必需时能够采取照片、截图等方法留存统计，保护现场；3.如事态较为严重，经向数据中心主管领导请示后，立即向公安部门报警，配合公安部门展开调查；4.数据中心相关技术人员做好被攻击或破坏后系统恢复和重建工作；5.数据中心负责组织技术力量追查非法信息起源；6.数据中心相关工作人员将实施事件处理过程和结果立案存档，必需时向数据中心主管领导汇报。修复处理1、统计系统情况；2、立即复制系统登录文件、历史文件、日志文件等关键文件；3、修改防火墙、路由器等网络安全设备过滤规则；4、断开被攻主机、关闭不需要服务；5、处理可疑文件和程序；6、修改不安全系统帐号及其口令；7、恢复被修改软件和数据；8、安装对应补丁程序，填补安全漏洞；9、编写汇报，详述事件过程及处理步骤。大规模病毒（含恶意软件）攻击应急处理1.当发觉局域网网络中有大量服务器被感染上病毒后，服务器维护人员应立即上报数据中心；2.数据中心工作人员应立即将该机从网络上隔离开来；3.数据中心工作人员对该设备硬盘进行数据备份，并将防病毒软件病毒特征库更新至最新版本；4.数据中心工作人员启用反病毒软件对该机进行杀毒处理，并对相关服务器进行病毒扫描和清除工作；5.情况较为严重，已影响到企业相关系统数据传输、应用系统访问不正常等情况，应立即向数据中心主管领导汇报，根据3.1信息系统故障等级划分，确定其故障等级，并开启对应应急处理程序进行排除。数据库系统故障应急处理1.数据库系统每日必需存有备份，和软件系统相对应数据必需有多日备份；并将它们保留和安全处；2.数据库系统发生故障以后，数据中心工作人员立即向数据库组责任人和数据中心主管领导汇报请示，经同意后采取相关技术手段立即恢复数据库运行，确保业务不中止；3.数据中心工作人员立即组织相关数据库工程师，并同时通知关键应用部门等技术力量做好数据库系统切换和相关数据恢复工作；4.数据库工程师应检验日志等资料，确定故障原因；5.数据库部门会同数据中心工作人员将实施处理过程和结果进行立案存档，并向相关领导汇报。设备硬件故障应急处理1.数据库服务器等关键设备损坏后，数据中心相关人员应立即向数据中心经理汇报；2.数据中心经理立即组织相关技术人员查明原因，联络维保单位更换受损部件；3.假如设备一时不能修复，应向数据中心主管领导汇报，并通知各应用部门暂缓上传上报数据或立即切换应用到其它应用服务器上，立即恢复业务系统。XX相关故障应急处理1.数据中心相关工作人员应分析大致故障原因，并立即向数据中心经理汇报；2.数据中心经理立即组织协调相关人员联络XX相关责任人查明原因处理此问题；3.假如XX一时无法处理，应向数据中心主管领导汇报，并通知各应用部门暂缓上传上报数据或立即切换应用到其它应用服务器上，立即恢复业务系统。对重大故障应急处理当数据中心工作人员经过网络监控到诸如广域链路意外中止、关键路由（交换机）宕机。非法入侵及病毒入侵使网络传输性能下降，应用系统网站、关键数据库等系统关键服务器性能下降，严重影响正常业务运行情况时。数据中心工作人员应立即统计故障发生时间、地点等。同时立即报知数据中心主管领导。在此过程中数据中心工作人员应检验所发生故障设备和配置近期变更情况，查清故障影响范围，从而确定故障等级和发生故障可能部位，在处理过程中要立即向主管领导通报故障处理情况。请求外部帮助支持1.对一时不能查清原因重大故障，应尽早联络原厂商请求技术支持。2.对4小时内无法处理通常性故障，也应联络原厂商请求技术支持，并要将联络外协支持情况统计在案。后期处理善后处理应急处理工作结束后，现场领导小组组织相关人员和技术教授组成事件调查组，对事件发生原因、性质、影响、后果、责任及应急处理能力、恢复重建等问题进行全方面调查评定，依据应急处理中暴露出管理、协调和技术问题，改善和完善预案，实施针对性演练，总结经验教训，整改存在隐患，组织恢复正常工作秩序。调查和评定应急处理工作结束后，应急响应领导小组应立即组织相关人员，教授组，会同技术中心成立事件调查小组，对事件发生及其处理过程进行全方面调查，查清事件发生原因及财产损失情况并总结经验教训，写出调查评定汇报，并将故障处理文档整理，形成知识库进行统一归档管理。应急方案更新依据信息化快速发展和经济社会发展情况，配合相关法律法规制订、修改和完善，结合应急处理中暴露出管理、协调和技术问题，修订和完善本预案。附件：应急响应相关表单网络和信息安全事件统计表日期事件发生原因处理措施处理结果操作人员审核人员网络和信息安全事件应急预案摘要表一、应急领导小组组员姓名职位联络方法应急角色领导小组组长领导小组副组长应急事件业务处理、协调系统技术支撑、处理和协调对外信息披露、通报二、应急支撑力量（包含系统运