2024年信息系统应急预案

2024年信息系统应急预案

信息系统应急预案1

本预案是信息技术部根据公司有关法规和政策，结合公司信息系统建设和运行情况，重点针

对公司可能发生的重大突发事件编制的，包括总则、组织指挥体系及职责、预警和预防机制、应

急处理程序、保障措施等，其中明确规定了在发生信息系统突发事件情况下，信息系统管理人员

的相关职能和工作方法，具有一定的指导性和可操作性。

一、总则

（一）目的

为科学应对信息系统突发事件，建立健全信息系统的应急响应机制，有效预防、及时控制和

最大限度地消除各类突发事件的危害和影响，制订本应急预案。

（二）工作原则

1.统一领导

遇到重大信息系统异常情况，应及时向有关领导报告，以便于统一调度、减少损失。

2.综合协调

明确综合协调的职能机构和人员，做到职能间的相互衔接。

3.重点突出

应急处理的重点放在运行着重要业务系统或可能导致严重事故后果的关键信息系统上。

4.及时反应，积极应对

出现信息系统故障时，信息系统维护人员应及时发现、及时报告、及时抢修、及时控制，积

极对信息系统突发事件进行防范、监测、预警、报告、响应。

5.快速恢复

信息系统管理人员在坚持快速恢复系统的原则下，根据职责分工，加强团结协作，必要情况

下与设备供应商以及系统集成商共同谋求问题的快速解决。

6.防范为主，加强监控

经常性地做好应对信息系统突发事件的思想准备、预案准备、机制准备和工作准备，提高基

础设备和重要信息系统的综合保障水平。加强对信息系统应用的日常监视，及时发现信息系统突

发性事件并采取有效措施，迅速控制事件影响范围，力争将损失降到最低程度。

二、应急工作小组机构及职责

在信息系统事件的处理中，一个组织良好、职责明确、科学管理的应急队伍是成功的关键。

组织机构的成立对于事件的响应、决策、恢复，防止类似事件的发生者滇有重要意义。

结合公司信息系统的实际情况，将有关应急人员的角色和职责进行了明确的划分。

1.应急处理领导小组

及时掌握信息系统故障事件的发展动态，向上级部门报告事件动态；对有关事项做出重大决

策；启动应急预案；组织和调度必要的人、财、物等资源。（应急领导小组成员参见《重大突发

事件预案处理和报告制度》）O

2.应急处理工作小组

负责定期了解外部支持人员的变动情况，及时更新其技术人员及联系方式等信息；快速响应

信息系统发现的故障事件、业务部门对信息系统故障的申告；执行信息系统故障的诊断、排查和

恢复操作；定期通过设备监控软件、系统运行报告等工具对信息系统的使用情况进行分析，尽早

发现信息系统的异常状况，排除信息系统的隐患.

工作小组组长：信息技术部负责人

工作小组成员：信息技术部技术支持室全体成员、信息技术部各室主任

3.外部支持人员

包括电信运营商、设备供应商以及系统集成商。负责事先向某某信息技术部提供紧急情况下

的应急技术方案和应急技术支援体系；积极配合信息中心应急人员进行故障处理。

名单：设备供应商、系统集成商、电信运营商等

三、预警和预防机制

（-）信息系统监测及报告

1信息系统的日常管理和维护

信息系统的日常管理和维护应加强信息系统应用的监测、分析和预警工作。

2.建立信息系统故障事故报告制度

发生信息系统故障时，值班人员应当立即向应急处理小组领导报告，并及时进行故障处理、

调查核实、保存相关证据等。

（二）预警

在接到突发事件报告后，应当经初步核实之后，将有关情况及时向应急处理小组领导报告,

进一步进行情况综合，研究分析可能造成损害的程度，提出初步行动对策。由上级领导视情况紧

急程度召集协调会，决策行动方案，发布指示和实施命令等。

（三）预警支持系统

应建立和完善信息监测、消息传递和指挥决策支持系统，保证突发事件处理过程中的资源共

享、运转正常、指挥有力。

（四）预防机制

各业务信息系统和重要信息系统建设要充分考虑抗毁性与灾难恢复制定并不断完善应急处

理预案。针对基础信息信息系统的突发性、大规模异常事件,各相关部门建立制度化、程序化的

处理流程。

四、应急处理程序

（-）信息系统突发事件分类分级的说明

根据以上定义的故障分级，当信息系统事件的要素满足启动应急预案要求时，进入相应的应

急启动流程。

(1)应急处理工作小组从业务人员或值班人员的故障申告、信息系统监控报告的故障告警

中得知信息系统异常事件后，应在第一时间赶赴信息系统故障现场。

(2)应急处理工作小组针对信息系统事件做出初步的分析判断。若是电源接触不好、物理

连线松动或者能在最短时间内自行解决的信息系统问题，及时按照有关操作规程进行故障处理,

并报领导小组备案；

否则，应急处理工作小组将故障大致定性为设备故障、线路故障、软件故障等故障之一，及

时告知领导小组和受影响的相关部门，并采取措施避免事件影响范围的扩大。

(3)应急处理工作小组向领导小组报告，在领导小组的授权后启动相应的应急预案。针对

灾难事件和影响重要业务运行的重大事件，还要及时向上级机关进行报告。

(4)应急处理工作小组根据故障类型及时与外部支持人员取得联系。其中，设备故障的，

可与设备供应商和集成商联系；

软件故障的，可与系统集成商联系，由系统集成商进行现场或远程技术支持；线路故障的，

可与电信运营商联系，三方密切协作力求通信线路在短时间内恢复正常。

(5)应急处理工作小组在上级机构或外部支持人员的配合下，充分利用应急预案的资源准

备，采取有力措施进行故障处理，及时恢复信息系统的正营工作状态。

(6)应急处理工作小组通知业务部门信息系统恢复正常，并向领导小组报告故障处理的基

本情况。重大事件形成文字资料，以书面形式向上级报告。

(7)总结整个处理过程中出现的问题，并及时改进应急预案。

(三)现场应急处理

(1)如遇到预知外界因素(如定时、定点停电)影口触务信息系统系统的正常运行，将根

据有关部门的通知，提前安排技术人员到实地关闭信息系统设备并进行现场维护，直至外界因素

消除。

（2）如遇到不可抗力因素（如火灾）造成的信息系统系统故障时，接到通知的值班人员要

快速到达现场，果断切断相关设备配电柜的电源，积极参与消除不可抗力因素，并及时将情况上

报应急处理工作小组领导。

（3）如遇到T殳故障、严重故障和重大故障，影响信息系统的正常运行，值班人员要迅速、

及时地赶到现场，进行相应突发事件的应急处理。

五、保障措施

（一）应急演练

为提高信息系统突发事件应急响应水平，信息技术部木阱目关部门应定期或不定期组织应急预

案演练；检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习，

进一步明确应急响应各岗位责任，对预案中存在的问题和不足及时补充、完善。

（二）人员培训

为确保本应急预案有效运行，应定期或不定期地举办不同层次、不同类型的技术讲座或研讨

会，以便不同岗位的应急人员能全面熟悉并熟练掌握突发导件的‘应急处理知识和技能。

（三）硬件资源保障

为了在信息系统设备发生故障时能够尽量降低业务系统的受影响程度，须为相应的核心业务

信息系统提供必要的备份设备与线缆等硬件资源，并且配备与现有设备兼容的设备，确保相似或

兼容的设备可以在应急情况下调配使用。这些备份设备需预先采购用呆存在专门位置。

（四）文档资料准备

包括信息系统工程文档、维护手册、操作手册、设备配置参数、拓扑图以及IP地址规范及

分布情况等。

（五）技术支持保障

建立预警与应急处理的技术平台，进一步提高信息系统突发事件的发现和分析能力，从技术

上逐步实现发现、预警、处理、通报等多个环节和不同的业务信息系统、系统以及相关部门之间

应急处理的联动机制。

（六）公众信息交流

在应急预案修订、演练的前后，应利用各种信息渠道进行宣传，并不定期的利用各种活动，

宣传信息系统等突发事件的应急处理规程及其预防措施等应急常识。

六、分类突发事件应急处理措施

（-）黑客攻击时的紧急处置措施

1、当有关值班人员发现业务系统或网站内容被篡改，或通过入侵监测系统发现有黑客正在

进行攻击时，应立即向信息系统管理技术人员通报情况。

2、信息系统管理技术人员应在三十分钟内响应，并首先应将被攻击的服务器等设备从信息

系统中隔离出来，保护现场，并同时向应急处理工作小组领导通报情况。

3、信息系统管理技术人员负责被攻击或破坏系统的恢复与重建工作。

4、信息系统管理技术人员会同相关支持人员追查非法］言息来源。

5、信息系统管理技术人员组织相关支持人员会商后，向应急处理工作小组组长汇报有关情

况。

6、应急处理工作小组组长如认为情况严重,应立即向应急处理领导小组组长汇报.

7、应急处理领导小组组长组织应急处理领导小组召开会议，如认为事态严重，则立即向公

安部门或上级机关报警。

（二）病毒安全紧急处置措施

1、当发现有计算机被感染上病毒后，应立即向信息系统管理技术人员报告，将该机从信息

系统上隔离开来。

2、信息系统管理技术人员在接到通知后，应在三十分钟内响应。

3、对该设备的硬盘进行数据备份。用反病毒软件对该机进行杀毒处理，同时通过病毒检测

软件对其他机器进行病毒扫描和清除工作。

4、如果现行反病毒软件无法清除该病毒，应立即向应急处理工作小组组长报告，并迅速联

系有关产品商研究解决。

5、应急处理工作小组经会商，认为情况严重的，应立即向应急处理领导小组组长汇报。

6、应急处理领导小组经会商后，认为情况极为严重的，应立即向公安部门或上级机关报告。

7、如果感染病毒的设备是中心服务器系统，经领导小组同意，应立即告知各相关部门做好

相应的清查工作。

（三）软件系统遭破坏性攻击的紧急处置措施

重要的业务系统必须存有备份，与业务系统相对应的数据必须有多日的备份，并将他们保存

在安全处。

1、一旦信息系统遭到破坏性攻击，应立即向信息系统管理技术人员、业务系统技术人员报

告，并将该系统停止运行。

2、信息系统管理技术人员检查日志等资料，确定攻击来源。

4、由业务系统技术人员向应急处理工作小组组长汇报。

5、应急处理工作小组组长认为情况严重的,应立即向应急处理领导小组汇报.

6、应急处理领导小组认为情况极为严重的，应立即向公安部门或上级机关报告。

（四）数据库安全紧急处置措施

1、主要数据库应按双机热备设置，并至少要准备两个以上数据库备份，平时一个备份放在

机房，另一个备份放在另一个安全的场所。

2、一旦数据库崩溃，应立即启动备用系统，并向应急处理工作小组组长报告。

3、在备用系统运行期,司，业务系统技术人员应对主机系统进行维修。

4、如果两套系统均崩溃,业务系统技术人员应立即向应急处理工作小组组长报告,应急处

理工作小组如认为情况严重，应立即向应急处理领导小组组长汇报。同时通知相关科室部门暂缓

使用业务系统和上传上报数据。

5、系统修复启动后，将第一个数据库备份取出，按照要求将其恢复到主机系统中。

6、如因第一个备份损坏，导致数据库无法恢复，则应取出第二套数据库加已恢复。

7、如果两个备份均无法恢复，应立即向应急处理工作小组组长汇报，并向有关厂商请求紧

急支援。

（五）广域网外部线路中断紧急处置措施

1、广域网主、备用线路中断一条后，网络管理员应立即启动备用线路接续工作，同时向应

急处理工作小组组长报告。

2、网络管理员应尽快判断故障节点，查明故障原因。

3、如属我方管辖范围，由网络管理员立即予以修复。

4、如属运营商管辖范瑞，立即与运营商维护部门联系，要求恢复。

5、如果主、备用线路司时中断，网络管理员应在判断故障节点，查明故障原因后，尽快研

究恢复措施，并立即向应急处理工作小组组长汇报。

6、经应急处理领导小组同意后，应通知相关部门相关原因，并暂缓使用业务系统和上传上

报数据。

（六）局域网中断紧急处置措施

1、局域网中断后,网珞管理员应立即判断故障节点，查明故障原因，并向应急处理工作小

组组长汇报。

2、如属线路故障，应重新安装线路。

3、如属路由器、交换机等信息系统设备故障，应立即通知供应商进行保修。

5、如属路由器、交换机配置文彳牛破坏,应迅速按照要求重新配置，并调试通畅。

6、如有必要，应向应急处理领导小组汇报。

（七）设备安全紧急处置措施

服务器、存储设备等关键设备损坏后，值班人员应立即向信息系统管理技术人员报告。

1、信息系统管理技术人员立即查明原因。

2、如果能够自行恢复，应立即用备件替换受损部件。

3、如属不能自行恢复的，立即与设备提供商联系,请求派维护人员前来维修。

4、如果设备一时不能修复，应向处理工作小组组长汇报，并告之相关部门，暂缓使用受影

响的业务系统。

（A）人员疏散与机房灭火预案

1、一旦机房发生火灾，应遵循下列原则：首先保人员安全；其次保关键设备、数据安全；

三是保一般设备安全。

2、人员疏散的程序是：机房值班人员立即按响火警警报，并通过119电话向公安消防请求

支援所有人员戴上防毒面具所有不参与灭火的人员按照预定的路线迅速从机房中有序撤出。

3、人员灭火的程序是：首先切断所有电源，启动自动气体灭火装置，灭火值班人员戴好防

毒面具，从指定位置取出气体灭火器进行灭火.

（九）供电中断后的设备运行预案

1、外电中断后，机房值班人员应立即检查是否启用了备用电源。

2、机房值班人员应立即查明原因，并向信应急处理工作小组组长报告。

3、如因内部线路故障，请办公室联系相关单位迅速恢复。

4、如果是供电局的原因，应立即与供电局联系，请供电局迅速恢复供电。

5、如果供电局告知需长时间停电，应作如下安排。

(1)停电30分钟以内，由UPS供电;

(2)停电30分钟一1小时，关掉非关键设备，确保关键服务器、核心信息系统设备供电；

(3)停电1小时以上，关闭所有设备

(十)关键人员不在岗的紧急处置措施

1、对于关键岗位平时应做好人员储备，确保一项工作由两人能够操作。

2、一旦发生关键人员不在岗的情况，首先应向应急处理工作小组组长汇报情况。

3、经处理工作小组组长批准后，由备用人员上岗操作。

4、如果备用人员无法上岗，请求上级单位或外部支持技术人员支援。

七、附则

(1)本预案所称信息系统突发事件，是指由于自然灾害、设备软硬件故障、内部人为失误

或破坏等原因，信息系统的正常运行受到严重影响，出现业务中断、系统破坏、数据破坏等现象,

造成不良影响以及造成一定程度直接或间接经济损失的事件。

(2)本预案通过演习、实践检验，以及根据应急力量变更、新技术、新资源的应用和应急

事件发展趋势，及时进行修订和完善；

所附的成员、联系方式等发生变化时也随时修订。

(3)本预案自发布之曰起实施.

信息系统应急预案2

信息系统应急处酬案

第一章总则

第一条为提高应对信息系统在运行过程中出现的各种突发事件的应急处谿能力，有效预防和

最大程度地降低信息系统各类突发事件的危害和影响，保障信息系统安全、稳定运行，根据国家

《信息安全事件分类分级指南》、《信息技术、安全技术、信息安全事件管理指南》、《国家突

发公共事件总体应急预案》及有关法律、法规的规定，结合实际，制定本处理预案。

第二条本处理预案所称的信息系统，由计算机设备、网络设施、计算机软件、社会保险数据

等组成。

第三条信息系统突发事件分为网络攻击事件、信息破故事件、信息内容安全事件、网络故障

事件、软件系统故障事件、灾难性事情、其他事件等八类寻件。

（一）网络攻击事件：通过网络或其他技术手段，利用信息系统的配貉缺陷、协议缺陷、程

序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜

在危害的事件。

（二）信息破坏事件：通过网络或其他技术手段，造成信息系统中的数据被篡改、假冒、泄

漏等而导致的事件。

（三）信息内容安全事件：利用信息网络发布、传播危害国家安全、社会稳定和公共利益的

不良信息内容的事件。

（四）网络故障事件：因电信、网络设备等原因造成大部分网络线路中断，用户无法登录信

息系统的事件。

（五）服务器故障事件：因系统服务器故障而导致的信息系统无法运行的事件。

（六）软件故障事件：因系统软件或应用软件故障而导致的信息系统无法运行的事件.

（七）灾害性事件：因不可抗力对信息系统造成物理破坏而导致的事件。

（八）其他突发事件：不能归为以上七个基本分类，并可能造成信息系统异常或对信息系统

当前运彳亍造成潜在危害的事件。

第四条按照造成信息系统的中断运行时间，将信息系统突发事件级别划分为T殳（IV级）、

较大（in级）、重大（n级）、特别重大（I级）。

（一）一般（IV级）：信息系统发生可能中断运行2小时以内的故障；

（二）较大（ni级）：信息系统发生可能中断运行2小时以上、12小时以内的故障；

（三）重大（II级）：信息系统发生可能中断运行12小时以上、24小时以内的故障；

（四）特别重大（I级）：信息系统发生可能中断运行24小时以上的故障。

第二章组织机构和工作职责

2第五条预防和处理信息系统突发事件工作协调小组（以下简称“应急小组"）负责信息系

统应急处理工作，决定信息系统应急处理工作的重大事项，组织实施、业务协调和发布信息系统

应急指令，发布信息系统应急故障级别、决策处理方案。应急小组组长由分管信息技术工作的领

导担任，成员为信息技术科全体人员。

第三章预防与预警机制

第七条应急小组针对各种可能发生的信息系统突发事件，建立和完善预测预警机制。

第八条预警信息分为外部预警信息和内部预警信息两美。外部预警信息指信息系统外突发的

可能需要通信保障、安全防范，或可能对信息系统产生重大影响的'事件警报。内部预警信息指

信息系统网内的事故征兆或局部信息系统突发事故可能对其他或整个网络造成重大影响的事件

警报。

第九条应急小组要加强对信息系统的日常监测工作。监测的内容主要包括：

（-）局域网通讯性能与流量；

（二）网络设备和安全设备的操作记录、网络访问记录；

（三）服务器性能、数据库性能、应用系统性能等运行状态，以及备份存贮系统状态等；

（四）服务器操作系统、数据库安全审计记录、业务系统安全审计记录；

（五）计算机漏洞公告、网络漏洞扫描报告；

（六）病毒公告、防病毒系统报告；

（七）其他可能影响信息系统的预警内容。

第十条应急小组获得外部重大预警信息或通过监测获得内部预警信息后，应对预警信息加以

分析，按照早发现、早报告、早处谿的原则，对可能演变为严重事件的情况，部署相应的应对措

施，通知相关部门做好预防和保障应急工作的各项准备工作，并及时报告所领导。

第四章应急响应程序

第十一条信息系统使用单位或人员发现信息系统突发寻件后，应及时报告应急小组。应急小

组及时组织相关人员查找故障原因，在短时间内（一般要在半小时以内）依据故障情形和修复时

间进行初步判别，确定故障分类级别，较大（III级）及其以上的突发事件应报告所领导。

第十二条信息系统突发事件发生后，根据突发事件严重程度，由所领导决定并指定特定小组

或人员及时向新闻媒体发布相关信息，所指定的小组或人员应严格按照所领导规定及要求对外发

布信息，其他部门或个人不得擅自接受新闻媒体采访或对外发布自己的看法和意见。

第十三条发生较大（II【级）及其以上信息系统突发事件时，应急小组除向所领导报告外，

应立即通知各业务部室。各业务部室应在各业务大厅张贴告示牌，同时做好服务对象的解释和疏

导工作，并尽可能通过电话、网络、短信等方式通知参保凿位经办人员。

第十四条根据不同的事件以及事件的级别，采取相应措施进

4行应急处理。突发事件处理过程中，可以根据需要调整故障级别。

（-）网络攻击事件应急预案：

1.当发现网络被非法入侵、网页内容被篡改，应用服务器的数据被非法拷贝、修改、删除,

或有黑客正在进行攻击等现象时，使用者或管理者应断开网络，并立即报告应急小组。

2.应急小组立即关闭相关服务器，封锁或删除被攻破的登陆帐号，阻断可疑用户进入网络的

通道，并及时清理系统、恢复数据和程序，尽快将系统和网络恢复正常。

（二）信息破坏事件应急预案：

1.当发现信息被篡改、假冒、泄漏等事件时，信息系统使用单位或个人应立即通知应急小组。

2.如被篡改或被假冒的数据正在征缴或发放过程中，应急小组应立即通知代收代发机构中止

征缴或发放工作。

3.应急小组通过跟踪应用程序、查看数据库安全审计记录和业务系统安全审计记录查找信息

被破坏的原因和相关责任人。

4.应急小组提出修正错误方案和措施，通知各业务部室进行处理。

（三）信息内容安全事件应急预案：

1.当发现不良信息或忸络病毒时，系统使用人员立即断开网线,终止不良信息或网络病毒传

播，并报告应急小组。

2.应急小组根据情况通告局域网内所有计算机用户，隔离网络，指导各计算机操作人员进行

杀毒处理、清除不良信息，直至网络处于安全状态。

（四）网络故障事件应急预案：

1.发生网络故障事件后，系统使用人员应及时报告应急小组。2.应急小组及时查清网络故

障位貉和原因，并予以解决。3.不能确定故障的解决时间或解决故障的期限并属较大（III级）

及其以上的，应急小组应报告所领导。

（五）服务器故障应急预案：

1.服务器故障后，应急小组确定故障设备及故障原因，并通知相关厂商.

2.根据服务器修复和恢复系统所需时间，由所领导决定是否启用备份设备。

3.如启用备份设备，在服务器故障排除后，应急小组在确保不影响正常业务工作的前提下,

利用网络空闲时期替换备用设备。如不启用备份设备，应急小组应积极配合相关厂商解决服务器

故障事件。

（六）软件故障事件应急预案：

1.发生计算机软件系统故障后，系统使用人员应立即保存数据，停止该计算机的业务操作,

并将情况报告应急小组，不得擅自进行处理。

2.应急小组应立刻派出技术人员进行处理，必要情况下，通知各业务部室停止业务操作和对

系统数据进行备份。

3.应急小组组织有关人员在保持原始数据安全的情况下,对计算机系统进行修复；修复系统

成功后，利用备份数据恢复丢失的数据。

（七）灾害性事件应急预案：

1.一旦发生灾害性事件，应急小组每一位成员都应有责任在第一时间进入机房抢救服务器及

存储设备。

2应急小组对服务器及存储设备的损坏程序进行评估。如服务器损坏或存储设备损坏无法使

用，立即联系相关厂商，进入维保服务程序。

3.根据服务器或存储设备修复和恢复系统所需时间，由所领导小组决定是否启用备份设备。

（八）其他突发事件应急预案：应急小组立刻派出技术人员进入现场，制定相应措施，根据

实际情况灵活处理，并按要求报告所领导小组。

第五章后期处置

第十五条故障排除后，应急小组向各部室发出故障解除、系统恢复正常运行通知。

第十六条系统恢复运行后，相关操作人员尽快通知参保单位和个人办理社会保险业务事项，

并对故障发生前所进行过的业务操作进行检查，核对业务数据是否正确或有无丢失，不正确或有

丢失的应马上更正或补录，确保数据的正确和完整。对在故障期间采用手工受理的事项，应及时

在系统中补充完善。

第十七条所领导组织有关人员及有关技术专家组成事件调查组，对事件发生原因、性质、影

响、后果、责任及应急处整能力、恢复重建等问题进行全面调查评估，总结经验教训，完善信息

系统

7应急处理预案，整改信息系统存在的隐患。

第十八条所领导对在信息系统应急事件处谿中做出突巴贡献的集体和个人，提出表彰奖励建

议；对玩忽职守,造成不良影响或严重后果的，按有关规定提出处理意见，并依法依规提出处理

意见建议，并追究其责任。

第六章应急保障

第十九条信息技术科应做好系统数据的备份工作，保证重要数据在受到破坏后可紧急恢复。

预留一定数量的网络硬件设备和服务器，用于预防或应对信息系统突发事件。

第二十条选择熟悉信息系统软硬件的专业公司作为信息系统应急处理的社会应急支援单位,

提供技术支持和服务。信息系统服务器以及存储设备要与专业厂商签定维保协议，明确备用设备

的供应时间。

第二十一条强化信息安全宣传教育，提高信息安全防御意识。每年至少组织开展一次全局范

围内的信息网络安全教育，提高全局职工信息安全防范意识和能力。

第七章附则

第二十三条本预案自公布之日起执行。

信息系统应急预案3

一、总则

（一）编制目的

公司网络和信息安全涉及以设备为中心的信息安全，技术涵盖网络系统、计算机操作系统、

数据库管理系统和应用软件系统；涉及计算机病毒的防范、入侵的监控；涉及以用户（包括内部

员工和外部相关机构人员）为中心的安全管理，包括用户的身份管理、身份认证、授权、审计等；

涉及信息传输的机密性、完整性、不可才氐赖性等等。为切实加强我司网络运行安全与信息安全的

防范，做好应对网络与信息安全突发公共事件的应急处理工作，进一步提高预防和控制网络和信

息安全突发事件的能力和水平，的大限度地减轻或消除网络与信息安全突发事件的危害和影响，

确保网络运行安全与信息安全，结合公司工作实际，特制定本应急预案。

（二）编制依据

根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全3级评级方法》、

GB/T20269-20xx《信息安全技术信息系统安全管理要求》、GB/T20270-20xx《信息安全技术

网络基础安全技术要求》、GB/T20281-20XX《信息安全技术防火墙技术要求和测试评价方法》、

GB/T19716-20xx《信息技术信息安全管理使用规则》等有关法规、规定，制定本预案。

（三）本预案适用于深圳市前海好彩金融B艮务有限公司网络与信息安全应急处理工作。

二、应急组织机构及职责

成立信息系统应急处理领导小组，负责领导、组织和协调全公司信息系统突发事件的应急保

障工作。

（—）领导小组成员：

组长：技术主管

副组长：运维经理

成员:开发部.运维部.测试部•等部门负责人组成。

应急小组曰常工作由公司技术部承担，其他各相关部门积极配合.

（二）领导小组职责：制订专项应急预案，负责定期组织演练，监督检查各部门在本预案中

履行职责情况。对发生事件启动应急救援预案进行决策，全面指挥应急救援工作。

三、工作原则

（-）积极防御、综合防范

立足安全防护加强预警重点保护重要信息网络和关系社会稳定的重要信息系统从预防、

监控、应急处理、应急保障和打击不法行为等环节，在管理、技术、宣传等方面，采取多种措施，

充分发挥各方面的作用，构筑网络与信息安全保障体系

(二)明确责任、分级负责

按照"谁主管谁负责"的原则，分级分类建立和完善安全责任制度、协调管理机制和联动工

作机制。加强计算机信息网络安全的宣传和教育，进一步提高工作人员的信息安全意识。

(三)落实措施、确保安全

要对机房、网络设备、服务器等设施定期开展安全检查，对发现安全漏洞和隐患的进行及时

整改。

(四)科学决策，快速反应

加强技术储备，规范应急处置措施和操作流程,网络与信息安全突发公共事件发生时，要快

速反应，及时获取准确信息，跟踪研判，及时报告，果断决策，迅速处理，的大限度地减少危害

和影响。

四、事件分类和风险程度分析

(-)物理层的安全风险分析

1、系统环境安全风险

(1)水灾、火灾、雷电等灾害性故障引发的网络中断、系统瘫痪、数据被毁等；

(2)因接地不良、机房屏蔽性能差弓I起的静电干扰或外界的电磁干扰使系统不能正常工作：

(3)机房电力设备和其它配套设备本身缺陷诱发信息系统故障；

(4)机房安全设施自动化水平低，不能有效监控环境和信息系统工作；

(5)其它环境安全风险。

2、物理设备的安全风险由于信息系统中大量地使用了网络设备如交换机、路由器等，服务

器，移动设备，使得这些设备的自身安全性也会直接关系信息系统和各种网络应用的正常运转。

例如，路由设备存在路由信息泄漏，交换机和路由器设备配置风险等。

（二）网络安全风险

1、网络体系结构的安全风险

网络平台是一切应用系统建设的基础平台网络体系结构是否按照安全体系结构和安全机制

进行设计，直接关系到网络平台的安全保障能力。公司的网络是由多个局域网和广域网组成，网

络体系结构匕徽复杂。内部应用信息网、Internet网之间是否进行隔离及如何进行隔离，网段

划分是否合理，路由是否正确，网络的容量、带宽是否考虑客户上网的峰值，网络设备有无冗余

设计等都与安全风险密切相关。

2、网络通信协议的安全风险。

网络通信协议存在安全漏洞网络黑客就能利用网络设备和协议的安全漏洞进行网络攻击和

信息窃取。例如未经授权非法访问内部网络和应用系统；定其进行监听，窃取用户的口令密码和

通信密码；对网络的安全漏洞进行探测扫描；对通信线路和网络设备实施拒绝服务攻击，造成线

路拥塞和系统瘫痪。

3、网络操作系统的安全风险

网络操作系统，不论是IOS,Android,还是Windows,者除在安全漏洞；一些重要的网

络设备，如路由器、交换机、网关，防火墙等，由于操作系统存在安全漏洞，导致网络设备的不

安全：有些网络设备存在‘后门"（backdoor）.

（三）系统安全风险

1、操作系统安全风险

操作系统的安全性是系统安全管理的基础。数据库服务器、中间层服务器，以及各类业务和

办公客户机等设备所使用的操作系统不论是Win20xx/XP/7还是Unix都存在信息安全漏洞,

由操作系统信息安全漏洞带来的安全风险是B匀普遍的安全风险。

2、数据库安全风险

所有的业务应用、决策支持、行政办公的信息管理核心都是数据库，而涉及公司运行的数据

都是吩需要安全保护的信息资产，不仅需要统一的数据备份和恢复以及高可用性的保障机制，还

需要对数据库的安全管理，包括访问控制，敏感数据的安全标签，日志审计等多方面提升安全管

理级别，规避风险。虽然，目前公司的数据库管理系统可以达到较高的安全级别，但仍存在安全

漏洞。建立在其上的各种应用系统软件在数据的安全管理设计上也不可避免地存在或多或少的安

全缺陷，需要对数据库和应用的安全性能进行综合的检测和评估。

3、应用系统的安全风3佥

为优化整个应用系统的性能，无论是采用C/S应用模式或是B/S应用模式，应用系统都是

其系统的重要组成部分，不仅是用户访问系统资源的入口，也是系统管理员和系统安全管理员管

理系统资源的入口，桌面应用系统的管理和使用不当，会带来严重的安全风险。例如当口令或通

信密码丢失、泄漏，系统管理权限丢失、泄漏时，轻者假冒合法身份用户进行非法操作。重者，

“黑客”对系统实施攻击，造成系统崩溃。

4、病毒危害风险

计算机病毒的传播会破坏数据信息，占用系统资源，影响计算机运行速度，引起网络堵塞甚

至瘫痪。尽管防病毒软件安装率已大幅度提升，但如果没有好的防毒概念，从不进行病毒代码升

级，而新病毒层出不穷，因此威胁性愈来愈大.

5、黑客入侵风险

一方面风险来自于内部,入侵者利用Sniffer等嗅探程序通过网络探测、扫描网络及操作系

统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用

户名和口令等安全信息的关键文件等，并采用相应的攻击程序对内网进行攻击。入侵者通过拒绝

服务攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。

另一方面风险来自外部，入侵者通过网络监听、用户渗透、系统渗透、拒绝服务、木马等综

合手段获得合法用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网

重要信息，或使系统终止服务。所以，必须要对外部和内部网络进行必要的隔离，避免信息外泄；

同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务

在到达主机之前就应该遭到拒绝。

（四）应用安全风险

1、身份认证与授权控制的安全风险

依靠用户ID和口令的认证很不安全，容易被猜测或盗取，会带来很大的安全风险。为此，

动态口令认证、CA第三方认证等被认为是先进的认证方式。但是，如果使用和管理不当，同样

会带来安全风险。要基于应用服务和外部信息系统建立基于统一策略的用户身份认证与授权控制

机制，以区别不同的用户和信息访问者，并授予他们不同的信息访问和事务处理权限。

2、信息传输的机密性和不可抵赖性风险

实时信息是应用系统的重要事务处理信息必须保证实时信息传输的机密性和网上活动的不

可抵赖性，能否做到这一点，关键在于采用什么样的加密方式、密码算法和密钥管理方式。采用

国内经过国家密码管理委员会和公安部批准的加密方式、密码算法和密钥管理技术来强化这一环

节的安全保障。

工管理层安全风险分析

安全的网络设备要靠人来实施，管理是整个网络安全中啊为重要的一环，认真地分析管理所

带来的安全风险，并采取相应的安全措施。责权不明、管理混乱、安全管理制度不健全及缺乏可

操作性等都可能引起管理安全的风险。

当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进

行实时的检测、监控、报告与预警。同时，当故障发生后，也无法提供黑客攻击行为的追踪线索

及破案依据，即缺乏对网络的可控性与可审查性。这就要求人们必须对站点的,访问活动进行多

层次的记录，及时发现^法入侵行为。

五、预防预警

(-)完善网络与信息安全突发公共事件监测、预测和预警制度。

加强对各类网络与信息安全突发事件和可能引起突发网络与信息安全突发公共事件的有关

信息的收集、分析、判断和持续监测。当检查到有网络与信息安全突发事件发生或可能发生时,

应及时对发生事件或可能发生事件进行调查核实、保存相关证据，并立即向应急领导小组报告。

报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施建议等。

若发现下列情况应及时向应急领导小组报告：利用网络从事违法犯罪活动；网络或信息系统

通信和资源使用异常；网络或信息系统瘫痪，应用服务中断或数据篡改、丢失；网络恐怖活动的

嫌疑和预警信息；其他影响网络与信息安全的信息。

(二)设定信息安全等级保护，实行信息安全风险评估。

通过相关设备实时监控网络工作与信息安全状况。各基础信息网络和重要信息系统建设要充

分考虑抗毁性和灾难恢复，制定并不断完善信息安全应急处理预案。针对信息网络的突发性、大

规模安全事件,建立制度优化、程序化的处理流程。

(三)做好服务器及数据中心的数据备份及登记工作，建立灾难性数据恢复机制。

一旦发生网络与信息安全事件立即启动应急预案采取应急处置措施判定事件危害程度，

并立即将情况向有关领导报告。在处置过程中，应及时报告处置工作进展情况，直至处置工作结

束。

六、处置流程

(-)预案启动

在发生网络与信息安全事件后，信息中心应尽的大可能迅速收集事件相关信息，鉴别事件性

质，确定事件来源，弄清事件范围和评估事件带来的影响和损害，一旦确认为网络与信息安全事

件后，立即将事件上报工作组并着手处置。

(二)应急处理

1、电源断电

(1)查明故障原因。

(2)检查UPS是否正常供电。

(3)汇报相关领导，确认市电恢复时间，评估UPS供电能力。

(4)备份服务器数据、交换机配置。

(5)通知机房进行电源维修。做好事件记录。

(6)必要时清示公司负责人及公司领导，主动关闭服务器、交换机、存储等设备，以免设

备损坏或数据损失。

2、局域网中断紧急处理措施

(1)信息安全负责人员立即判断故障节点，查明故障原因，及时汇报。

(2)若是线路故障，重新安装线路。

(3)若是路由器、交:奂机等设备故障，应立即从指定位置将备用设备取出接上，并调试畅

通。

(4)若是路由器、交涣机等配置文件损坏，应迅速按照要求重新配置，并调试畅通.

(5)汇报相关领导，做好事件记录。

3、广域网线路中断

(1)信息安全负责人员应立即判断故障节点，查明故障原因。

(2)如是我方管辖范围，由信息安全负责人员立即维修恢复。

(3)如是电信部门管辖范围，应立即与电信维护部门联系修复。

(4)做好事件记录。

4、核心交换机故障

(1)检查、备份核心交换机日志。

(2)启用备用核心交换机，检查接管情况。

(3)备份核心交换机配置信息。

(4)将服务器接入备用核心交换机，检查服务器运行情况，将楼层交换机、接入交换机接

入备用核心交换机，检查各交换机运行情况。

(5)汇报有关领导，做好事件记录。

(6)联系维修核心交换机。

5、光缆线路故障

(1)立即联系光纤熔接人员携带尾纤等辅助材料，及时熔接连通。

(2)检查并做好备用光缆或备用芯的跳线工作,随时切换到备用网络。

(3)做好事件记录，及时上报。

6、计算机病毒爆发

(1)关闭计算机病毒壤发网段上联端口。

(2)隔离中病毒计算机。

(3)关闭中病毒计算机上联端口.

(4)根据病毒特征使用专用工具进行查杀。

(5)系统损坏计算机在备份其数据后，进行重装。

(6)通过专用工具对网络进行清查。

(7)做好事件记录，及时上报。

7、服务器设备故障

(1)主要服务器应做多个数据备份。

(2)如能自行恢复，则立即用备件替换受损部件，如：电源损坏更换备用电源，硬盘损坏

更换备用硬盘，网卡、主板损坏启用备用服务器。

(3)若数据库崩溃应立即启用备用系统。并检查备用服务器启用情况。

(4)对主机系统进行维修并做数据恢复。

(5)如不能恢复，立即联系设备供应商，要求派维护人员前来维修。

(6)汇报有关领导，做好事件记录。

8、黑客攻击事件

(1)若通过入侵监测系统发现有黑客进行攻击，立即通知相关人员处理。

(2)将被攻击的服务器等设备从网络中隔离出来。

(3)及时恢复重建被攻击或被破坏的系统

(4)记录事件，及时上报，若事态严重，应及时向信息化主管部门和公安部门报警。

9、数据库安全事件

(1)平时应对数据库系统做多个备份。

(2)发生数据库数据丢失、受损、篡改、泄露等安全事件时，信息安全人员应杳明原因，

按照情况采取相应措施：如更改数据库密码，修复错误受损数据。

(3)如果数据库崩溃，信息安全人员应立即启用备用系统，并向信息安全负责人报告；在

备用系统运行期间，信息安全人员应对主机系统进行维修并作数据恢复。

(4)做好事件记录，及时上报。

10、人员疏散与机房灭火预案

(1)当班人员发现机房内有起火、冒烟现象或闻到烧焦气味时，应立即查明原因和地点，

及时上报并针对不同情况，采取关闭电源总开关、隔离火源附近易燃物、用消防栓、灭火器等器

材灭火等措施，组织本单位、部门在场的人员有序地投入扑救工作，将火扑灭或控制火势蔓延。

(2)当火势已无法控制时，一是指定专人立即拨打"119"火警电话报警和向上级保卫部

门报告，并打破报警器示警。二是组织周围人员迅速撤离。

(3)在保障人员安全的情况下，立即组织人员疏散和转移重要物品，特别是易燃、易爆物

品和重要的机器、数据要及时转移到安全地点,并派人员守护，确保安全。

(4)火情结束之后，组织相关人员及时进行网络系统恢复，及时向上级有关部门和领导汇

报，并做好现场保护工作和防止起火点复燃。

11、发生自然灾害后的紧急措施

(1)遇到重大雷暴天气，可能对机房设备造成损害时，应关闭所有服务器，切断电源，暂

停内部计算机网络工作。雷暴天气结束后，及时开通服务器，恢复内部计算机网络工作。

(2)确认灾害不会造成人身伤害后，尽快将网络恢复正常，若有设备、数据损坏，及时使

用备份设备或备用数据。

(3)及时核实、报损,并将详细情况向部门领导汇报。

12、关键人员不在岗的紧急处置措施

(1)对于关键岗位平时应做好人员储备，确保一项工作有两人能够操作。对于关键账户和

密码进行密封保存。

(2)-旦发生系统安全事件，关键人员不在岗且联系不上或1小时内不能到达机房的情况，

首先应向领导小组汇报情况。

(3)经领导小组批准后，启用公司备份管理员密码，由备用人员上岗操作。

(4)如果备用人员无法上岗，请求软件公司技术支援。

(5)关键人员到岗后，按照相关规定进行密码设定和封存。

（6）做好事件记录。

（三）后续处理

安全事件进行的初的应急处置以后，应及时采取行动，抑制其影响的进一步扩大，限制潜在

的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响的小。安全事件被抑制之后，通

过对有关事件或行为的分析结果，找出其根源，明确相应的补救措施并彻底清除。在确保安全事

件解决后，要及时清理系统、恢复数据、程序、服务，恢复工作应避免出现误操作导致数据丢失。

（四）记录上报

网络与信息安全事件发生时，应及时向网络与信息安全应急处置工作组汇报，并在事件处置

工作中作好完整的过程记录,及时报告处置工作进展情况，保存各相关系统日志，直至处置工作

结束。

七、保障措施

（-）应急设备保障

对于重要网络与信息系统，在建设系统时应事先预留一定的应急设备，建立信息网络硬件、

软件、应急救援设备等应急物资库。在网络与信息安全突发公共事件发生时，报领导同意后，由

应急工作组负责统一调用。

（二）数据保障

重要信息系统均应建立容灾备份系统和相关工作机制，保证重要数据在遭到破坏后，巨紧急

恢复.各容灾备份系统应具有一定的兼容性，在特殊情况下各系统间可互为备份.

信息系统应急预案4

信息系统应急处酬案

文档版本：V1.0发布日期：

XXXXXXX公司

第1页共11页

目录

第一章总则.3

第二章组织机构和工作职责...5

第三章预防与预警机制…••…5

第四章应急响应程序6

第五章后期处置..10

第六章应急保障.•10

第七章附则…11

第2页共11页

第一章总则

第一条为提高应对信息系统在运行过程中出现的各种突发事件的应急处置能力，有效预防和

最大程度地降低信息系统各类突发事件的危害和影响，保障信息系统安全、稳定运行，根据国家

《信息安全事件分类分级指南》、《信息技术、安全技术、信息安全事件管理指南》、《国家突

发公共事件总体应急预案》及有关法律、法规的规定，结合实际，制定本处理预案。

第二条本处理预案所称的信息系统，由计算机设备、网络设施、计算机软件、交通运输数据

等组成。

第三条信息系统突发事件分为网络攻击事件、信息破故事件、信息内容安全事件、网络故障

事件、软件系统故障事件、灾难性事情、其他事件等八类事件。

(-)网络攻击事件：通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程

序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜

在危害的事件。

（二）信息破坏事件：通过网络或其他技术手段，造成信息系统中的数据被篡改、假冒、泄

漏等而导致的事件。

（三）信息内容安全事件：利用信息网络发布、传播危害国家安全、社会稳定和公共利益的

不良信息内容的事件。

（四）网络故障事件：因电信、网络设备等原因造成大部分网

第3页共11页络线路中断，用户无法登录信息系统的事件。

（五）服务器故障事件：因系统服务器故障而导致的信息系统无法运行的事件。

（六）软件故障事件：因系统软件或应用软件故障而导致的信息系统无法运行的.事件。

（七）灾害性事件：因不可抗力对信息系统造成物理破坏而导致的事件。

（八）其他突发事件：不能归为以上七个基本分类，并可能造成信息系统异常或对信息系统

当前运行造成潜在危害的事件。

第四条按照造成信息系统的中断运行时间，将信息系统突发事件级别划分为一般（IV级）、

较大（III级）、重大（II级）、特别重大（I级）。

（一）一般（IV级）：信息系统发生可能中断运行2小时以内的故障；

（二）较大（山级）：信息系统发生可能中断运行2小时以上、12小时以内的故障；

（三）重大（II级）：信息系统发生可能中断运行12小时以上、24小时以内的故障；

（四）特别重大（I级）：信息系统发生可能中断运行24小时以上的故障。

第4页共11页

第二章组织机构和工作职责

第五条预防和处理信息系统突发事件工作协调小组（以下简称"应急小组"）负责信息系统

应急处理工作，决定信息系统应急处理工作的重大事项，组织实施、业务协调和发布信息系统应

急指令，发布信息系统应急故障级别、决策处理方案。应急小组组长由分管信息技术工作的领导

担任，成员为研发部技术升发人员、运维部技术维护人员。

第三章预防与预警机制

第七条应急小组针对各种可能发生的信息系统突发事件，建立和完善预测预警机制。

第八条预警信息分为外部预警信息和内部预警信息两类。外部预警信息指信息系统外突发的

可能需要通信保障、安全防范，或可能对信息系统产生重大影响的事件警报。内部预警信息指信

息系统网内的事故征兆或局部信息系统突发事故可能对其池或整个网络造成重大影响的事件警

报。

第九条应急小组要加强对信息系统的日常监测工作。监测的内容主要包括：

（-）局域网通讯性能与流量；

（二）网络设备和安全设备的操作记录、网络访问记录;

第5页共11页（三）服务器性能、数据库性能、应用系统性能等运行状态，以及备份存贮

系统状态等；

（四）服务器操作系统、数据库安全审计记录、业务系统安全审计记录；

（五）计算机漏洞公告、网络漏洞扫描报告；（六）病毒公告、防病毒系统报告；（七）其

他可能影响信息系统的预警内容。

第十条应急小组获得外部重大预警信息或通过监测获得内部预警信息后应对预警信息加以

分析，按照早发现、早报告、早处置的原则，对可能演变为严重事件的情况，部署相应的应对措

施，通知相关部门做好预防和保障应急工作的各项准备工作，并及曲员告领导.

第四章应急响应程序

第十一条信息系统使用单位或人员发现信息系统突发事件后，应及时报告应急小组。应急小

组及时组织相关人员查找故障原因，在短时间内（一般要在半小时以内）依据故障情形和修复时

间进行初步判别，确定故障分类级别，较大（in级）及其以上的突发事件应报告领导。

第十二条信息系统突发事件发生后，根据突发事件严重程度，由领导决定并指定特定小组或

人员及时向新闻媒体发布相关信

第6页共11页息，指定的小组或人员应严格按照领导规定及要求对外发布信息，其他部门

或个人不得擅自接受新闻媒体采访或对外发布自己的看法和意见。

第十三条发生较大（II【级）及其以上信息系统突发事件时，应急小组除向领导报告外，应

立即通知各业务部室。各业务部室应在各业务大厅张贴告示牌，同时做好服务对象的解释和疏导

工作，并尽可能通过电话、网络、短信等方式通知业务相关人员。

第十四条根据不同的事件以及事件的级别，采取相应措施进行应急处理。突发事件处理过程

中，可以根据需要调整故障级别。

（-）网络攻击事件应急预案：

1.当发现网络被非法入侵、网页内容被篡改，应用服务器的数据被非法拷贝、修改、删除,

或有黑客正在进行攻击等现象时，使用者或管理者应断开网络，并立即报告应急小组。

2.应急小组立即关闭相关服务器，封锁或删除被攻破的登陆帐号，阻断可疑用户进入网络的

通道，并及时清理系统、恢复数据和程序，尽快将系统和网络恢复正常。

（二）信息破坏事件应急预案：

1.当发现信息被篡改、假冒、泄漏等事件时，信息系统使用单位或个人应立即通知应急小组。

2.如被篡改或被假冒的数据正在传输过程中，应急小组应立即通知中止传输工作。

3.应急小组通过跟踪应用程序、查看数据库安全审计记录和业务系统安全审计记录查找信息

被破坏的原因和相关责任人。

第7页共11页4.应急小组提出修正错误方案和措施,通知各业务部室进行处理。

（三）信息内容安全事件应急预案：

L当发现不良信，息、或殴络病毒时，系统使用人员立即断开网线，终止不良信息、或网络病毒传

播，并报告应急小组。

2.应急小组根据情况通告局域网内所有计算机用户，隔离网络，指导各计算机操作人员进行

杀毒处理、清除不良信息，直至网络处于安全状态。

（四）网络故障事件应急预案：

L发生网络故障事件后，系统使用人员应及时报告应急小组。2.应急小组及时查清网络故

障位置和原因，并予以解决。3.不能确定故障的解决时间或解决故障的期限并属较大（III级）

及其以上的，应急小组应报告领导。

（五）服务器故障应急预案：

1.服务器故障后，应急小组确定故障设备及故障原因，并通知相关厂商。

2.根据服务器修复和恢复系统所需时间，由领导决定是否启用备份设备。

3.如启用备份设备，在服务器故障排除后，应急小组在确保不影响正常业务工作的前提下,

利用网络空闲时期替换备用设备。如不启用备份设备，应急小组应积极配合相关厂商解决服务器

故障事件。

（六）软件故障事件应急预案：

第8页共11页1.发生计算机软件系统故障后，系统使用人员应立即保存