深圳市XXX信息安全应急响应体系建设.docx

《深圳市XXX信息安全应急响应体系建设.docx》由会员分享，可在线阅读，更多相关《深圳市XXX信息安全应急响应体系建设.docx（59页珍藏版）》请在三一办公上搜索。

1、深圳市XXX信息安全应急响应预案深圳市XXXXX年XX月目录1. 总则31.1 目的31.2 现状及其成因32. 组织机构及职责32.1 应急指挥机构33. 预警和预防机制33.1 信息监测及报告33.2 预警33.3 预警支持系统33.4 预防机制34. 应急处理程序34.1 级别的确定34.2 预案启动34.3 现场应急处理34.4 报告和总结34.5 应急行动结束35. 保障措施35.1 技术支撑保障35.2 应急队伍保障35.3 物质条件保障35.4 技术储备保障36. 培训和演习36.1 人员培训36.2 应急演习37. 监督检查与奖惩37.1预案执行监督37.2奖惩与责任38. 各

2、种突发事件应急预案38.1 通信网络故障应急预案38.1.1通信网络日常管理38.1.2通信网络故障应急预案清单38.2 业务数据故障应急预案38.2.1业务数据日常管理38.2.2业务数据故障预案清单38.3 服务器软件故障预案38.4 服务器硬件故障应急预案38.4.1服务器硬件日常管理38.4.2服务器硬件故障预案清单38.5 网络攻击事件预案38.6 病毒爆发应急预案38.6.1病毒防护日常管理38.6.2病毒爆发应急预案清单38.7 业务软件故障应急预案38.7.1业务软件日常管理38.7.2业务软件故障预案清单38.8 应急演练38.9 通用表格38.9.1信息安全事件报告表38.

3、9.2信息安全事件应急处理结果报告表38.10 深圳市XXX信息突发事件处理组织机构3深圳市XXX信息系统突发事件应急预案本预案内容包括总则、组织指挥体系及职责、预警和预防机制、应急处理程序、保障措施、各种突发事件应急预案等。明确规定了深圳市XXX在发生网络与信息安全重大突发事件情况下各部门的相关职能和工作方法，具有一定的宏观指导性和可操作性，对减少网络与信息安全突发事件，保障业务系统正常开展起着重要作用。1. 总则1.1 目的为科学应对网络与信息安全(以下简称“信息安全”)突发事件建立健全信息安全应急响应机制，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响。1.2 现状及

4、其成因近年来，深圳市XXX信息安全工作得到加强。但信息安全保障基础工作和技术保障措施比较薄弱，与信息化快速发展的要求和日趋严峻的信息安全形势不协调。信息安全突发事件成因可分为两个方面：一是网络与信息系统自身的脆弱性，主要表现在：安全漏洞的普遍性，攻击和恶意代码的流行性，入侵检测能力的局限性，网络和系统管理的复杂性。二是网络与信息系统外部体制性的不安全性，主要表现在：信息安全法制不健全，全社会的信息安全意识淡薄，深圳市XXX信息安全自主可控能力不强，技术防御整体水平不高，信息安全专业人才缺乏，专业队伍建设严重滞后。2. 组织机构及职责2.1 应急指挥机构2.1.1深圳市XXX信息系统突发事件应急

5、领导小组在深圳市XXX党组的统一领导下，设立深圳市XXX信息系统突发事件应急领导小组(以下简称“信息突发事件应急领导小组”)，为深圳市XXX处理信息安全突发事件应急工作的综合性议事、协调机构。主要职责是：按照国家、广东省、深圳市政府信息安全应急机构的要求开展预防和处置工作；研究决定深圳市XXX信息安全应急工作的有关重大问题；决定III级和IV级信息安全突发事件应急预案的启动，组织力量对III级和IV级突发事件进行处置；接受深圳市政府信息安全应急机构的统一领导，组织指挥II级和I级突发事件的应急处置工作；指导监督信息安全应急小组的工作；法律、法规、规章规定的其他职责。信息突发事件应急领导小组，由

6、（最高领导人）作为主任，（分管信息化工作的领导）作为副主任，成员由深圳市XXX各部门部长组成。信息突发事件应急领导小组下设应急小组，由信息部部长任组长，信息部副部长任副组长，信息部其它成员任组员。承担深圳市XXX信息安全专项应急领导小组的日常工作，负责深圳市XXX信息安全突发事件日常监测与预警，其主要职责是：督促落实上级部门和深圳市XXX信息突发事件应急领导小组做出的决定和措施；拟订或者组织拟订深圳市XXX信息部应对信息安全突发事件的工作规划和应急预案，报深圳市XXX领导小组批准后组织实施；督促检查信息安全专项应急预案的制订、修订和执行情况；汇总有关信息安全突发事件的各种重要信息，进行综合分析

7、，并提出建议；监督检查、协调信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作；组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划，报信息突发事件应急领导小组批准后督促落实；组织专家组判定突发事件级别，根据情况提出加强或撤销控制措施的建议和意见；组织召开部门协调会议，协调各部门共同做好突发事件处置工作；检查督导突发事件应急措施的落实情况；及时收集、上报和通报突发事件有关情况，负责向信息突发事件应急领导小组报告有关工作情况；2.1.2信息突发事件应急领导小组各成员部门的职责信息部：统筹规划建设应急处理技术平台，会同其他有关部门组织制定单位突发事件应急处理政策

8、文件及技术方案，负责安全事件处理的培训，及时收集、上报和通报突发事件情况，负责向信息突发事件应急领导小组或中心领导报告有关工作情况。相关部门：配合信息部组织制定信息系统突发事件应急处理政策文件及技术方案及其他各项工作。3. 预警和预防机制3.1 信息监测及报告信息部应加强信息安全监测、分析和预警工作，进一步提高信息安全监察能力。建立信息安全事故报告制度。在突发事件发生后，发现人应当立即向深圳市XXX信息突发事件应急小组报告。发现人应当立即对发现的事件进行调查核实、保存相关证据，并在事件被发现时将证据报至信息突发事件应急小组。3.2 预警信息突发事件应急小组接到信息安全突发事件报告后，应当经初步

9、核实后，将有关情况及时向组长报告，进一步进行情况综合，研究分析可能造成损害的程度，提出初步行动对策，并及时报深圳市XXX应急领导小组。领导小组主任视情况召集协调会，决策行动方案，发布指示和命令。3.3 预警支持系统深圳市XXX信息突发事件应急领导小组应建立和完善信息监测、传递网络和指挥决策支持系统，要保证资源共享、运转正常、指挥有力。3.4 预防机制积极推行信息安全等级保护，逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定并不断完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件，各相关部门建立制度化、程序化的处理流程。4. 应急处理程序

10、4.1 级别的确定信息安全事件分级的参考要素包括信息密级、公众影响、业务影响和资产损失等四项。各参考要素分别说明如下：(1)信息密级是衡量因信息失窃或泄密所造成的信息安全事件中所涉及信息的重要程度的要素；(2)公众影响是衡量信息安全事件所造成的负面影响范围和程度的要素；(3)业务影响是衡量信息安全事件对事发单位正常业务开展所造成的负面影响程度的要素；(4)资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。信息安全突发事件级别分为四级：一般(IV级)、较大(III级)、重大(II级)和特别重大(I级)，对应颜色依次为蓝色、黄色、橙色和红色。一般-IV级：深圳市XXX

11、较小范围出现并可能造成较大损害的信息安全事件。较大-级：深圳市XXX部分网络与信息系统、网站受到大面积、严重冲击。重大-II级：深圳市XXX大部分网络、信息系统、网站基本瘫痪，导致业务中断，但纵向或横向延伸可能造成严重社会影响或较大经济损失。特别重大-I级：深圳市XXX所有基础网络（包括纵向或横向延伸）、信息系统、网站严重瘫痪，导致业务中断，造成或可能造成严重法律纠纷或对政府重大形象工程造成巨大负面影响的信息安全事件。4.2 预案启动4.2.1启动预案的权限。发生IV级网络信息安全事件后，信息突发事件应急领导小组负责启动相应预案，信息突发事件应急小组负责应急处理工作；发生III级网络信息安全事

12、件后，信息突发事件应急领导小组负责启动相应预案，并负责应急处理工作；发生I、II级的信息安全突发事件后，上报市人民政府及上级主管部门启动相应预案，并由市信息安全应急指挥部负责应急处理工作。4.2.2启动预案的流程。深圳市XXX信息安全应急小组接到报告后，应当立即上报深圳市XXX信息突发事件应急领导小组有关负责人，并会同相关成员尽快组织专家组对突发事件性质、级别及启动预案的时机进行评估，向信息突发事件应急领导小组提出启动预案的建议，报信息突发事件应急领导小组批准。4.2.3启动预案后的应急处理。在信息突发事件应急领导小组作出启动预案决定后，信息突发事件应急小组立即启动应急处理工作。4.3 现场应

13、急处理现场应急处理工作组应尽最大可能收集事件相关信息，明确事件类别，确定事件来源，保护证据，以便缩短应急响应时间。检查威胁造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性，检查攻击者是否侵入了系统，以后是否能再次随意进入，损失的程度，确定暴露出的主要危险等。抑制事件的影响进一步扩大，限制潜在的损失与破坏。根除恶意代码造成的不良影响。在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。与此同时，执法部门和其他相关机构将对攻击源进行定位并采取合适的措施将其中断。清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络

14、设备彻底还原到它们正常的任务状态。恢复工作应该十分小心，避免出现误操作导致数据的丢失。另外，恢复工作中如果涉及到机密数据，需要额外遵照机密系统的恢复要求。4.4 报告和总结回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。发生重大信息安全事件的单位应当在事件处理完毕后5个工作日内将处理结果报市经贸信委备案。4.5 应急行动结束根据信息安全事件的处置进展情况和现场应急处理工作组意见，信息突发事件应急小组应组织相关部门及专家组对信息安全事件的处置情况进行综合评估，并向信息突发事件应急领导小组提出应急行动结束建议，并报信息突发事件应急领导小组批准。应急行动是否结束，由组织决定。5.

15、保障措施5.1 技术支撑保障信息突发事件应急小组应建立预警与应急处理的技术平台，进一步提高安全事件的发现和分析能力：从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统之间应急处理的联动机制。5.2 应急队伍保障加强信息安全人才培养，建设一支高素质、高技术的信息安全核心人才和管理队伍，提高单位信息安全防御意识。5.3 物质条件保障在深圳市XXX信息化专项资金中安排一定的资金用于预防或应对信息安全突发事件，提供必要的交通运输保障，提前采购信息安全应急处理工作需要的检测、维修工具和设备配件。5.4 技术储备保障深圳市XXX信息突发事件应急小组组织有关专家和科研力量，开展应急运作机制、

16、应急处理技术、预警和控制等研究，推广和普及新的应急技术。6. 培训和演习6.1 人员培训为确保信息安全应急预案有效运行，信息突发事件应急小组应定期或不定期地举办不同层次、不同类型的培训班或研讨会，应利用已有的资源，采用案例教学、情景模拟、交流研讨、案例分析、应急演练、对策研究等方式，开展形式多样的培训工作，以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。6.2 应急演习为提高信息安全突发事件应急响应水平，信息突发事件应急小组应定期或不定期组织预案演练；检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习，进一步明确应急响应各岗位责任，对预案中存在的

17、问题和不足及时补充、完善。7. 监督检查与奖惩7.1 预案执行监督信息突发事件应急领导小组负责对预案实施的全过程进行监督检查，督促成员部门按本预案指定的职责采取应急措施，确保及时、到位。发生重大信息安全事件的单位应当按照规定及时如实地报告事件的有关信息，不得瞒报、缓报或者授意他人瞒报、缓报。任何单位或个人发现有瞒报、缓报、谎报重大信息安全事件情况时，有权直接向信息突发事件应急领导小组举报。应急行动结束后，信息突发事件应急领导小组对相关成员单位采取的应急行动的及时性、有效性进行评估。7.2 奖惩与责任对下列情况可以经信息突发事件应急小组评估审核，报信息突发事件应急领导小组批准后予以奖励：在应急行

18、动中做出特殊贡献的先进单位和集体；在应急行动中提出重要建议方案，节约大量应急资源或避免重大损失的人员；在应急行动第一线做出重大成绩的现场作业人员；在发生重大信息安全事件后，有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的，信息突发事件应急领导小组将予以通报批评；对造成严重不良后果的，将视情节由有关主管部门追究责任领导和责任人的行政责任；构成犯罪的，由有关部门依法追究其法律责任。对未及时落实市信息安全专项应急领导小组指令，影响应急行动的效果的，按国务院关于特大安全事故行政责任追究的规定、广东省重大事故责任追究制度追究相关人员的责任。8. 各种突发事件应急预案本预案所称突发性事件，是指

19、自然因素或者人为活动引发的危害机房或人身安全等有关的事件。主要有以下几个类型：1、地震、火灾、雷电、水灾等自然灾害造成的破坏性突发事件；2、信息处理设备被盗、机房存在重大安全隐患而造成的损失等严重突发事件；3、信息系统存在严重BUG造成业务操作失误，数据错误；4、网络中断或网络大规模瘫痪；5、病毒和黑客入侵或其他原因造成数据丢失、删改；6、服务器、网络设备严重故障；7、因大面积停电、外部网络中断等因素导致无法使用等突发事件。本预案通过演习、实践检验，以及根据应急力量变更、新技术、新资源的应用和应急事件发展趋势，及时进行修订和完善；本预案所附的成员、通信地址等发生变化时也应随时修订；本预案由深圳

20、市XXX信息部负责修订，报深圳市XXX领导批准后实施，授权深圳市XXX信息突发事件应急小组负责对本预案附件及附录的修改、审批和实施。本预案修订采取改版或换页的方式进行。本预案由深圳市XXX信息部制定，由信息突发事件应急领导小组负责解释。本预案日常工作由深圳市XXX信息部负责。联系电话：（83948121）。联系部门：深圳市XXX信息部。联系人清单：角色姓名职责联络信息工作电话手机应急小组组长应急小组副组长协调人局域网组机房维护组机房维护组机房维护组本预案自发布之日起实施。深圳市XXX二XX年 月 日 8.1 通信网络故障应急预案8.1.1通信网络日常管理为了保证深圳市XXX通信网络的正常工作，

21、信息部工作人员必须做好机房网络设施的日常维护。8.1.2通信网络故障应急预案清单预案名称网络通信系统故障预案预案编号预案目的网络通信系统发生故障后，应用本预案处理故障预案启动条件网络通信系统发生故障预案执行实施日期组织机构及职责组成姓名联系方式职责负责人安全主管现场指挥安全主管成员网络管理员机房管理员机房管理员厂家联络方式厂家名称姓名联系方式软件介质名称介质编号存放地点备注备品备件名称设备编号存放地点备注交换机和路由器供应商仓库图纸名称图纸编号存放地点备注网络拓扑图信息部预案执行步骤及通告一、故障通告1. 将故障情况向信息部部长汇报。信息部通知受影响的用户，并视情况的严重程度通知应急领导小组。

22、二、预案执行步骤1、信息部接到报障后，应立即安排维护工程师到现场查看；PING各关键设备的IP地址，来初步定位故障点（某设备，某端口）。通过链路检查命令确定是网络通信故障，则启用一下预案。如是服务器或其他设备，则启用相关预案。确定故障类型及影响范围：（1）链路故障（2）核心、汇聚层设备硬件故障（3）接入层设备硬件故障（4）出口区域设备硬件故障（5）非硬件故障故障处理流程：（1）链路故障处理流程：先将故障汇报至信息部，通报给受影响的用户检查线路及链路转换设备是否工作正常（如：光电转换器），物理链路包括双绞线、以太网光纤、广域网线路。A双绞线故障可以采用替换的方式解决；B.以太网光纤故障，则联系局

23、域网线路维护方进行重新熔接；C.广域网线路故障，则联系运营商进行处理。转换设备故障：光电转换器、协议转换器、光纤模块等，根据设备的运维方分别联系对应的运维方进行处理。所有链路故障能够临时替换解决的，先临时替换规避故障使网络恢复正常不能替换的汇报信息部，协商解决方案(2)核心、汇聚层设备硬件故障： 核心、汇聚层设备相对比较高端，故障涉及引擎、业务板卡、电源模块等引擎故障： A. 针对外网核心为双引擎配置，单个引擎损坏不影响设备正常工作。向信息部汇报故障同时通知设备维护商上门检修； B. 针对内网核心，无引擎冗余设置，但有设备冗余，单个故障不会影响接入层的通迅，首先将故障机上的服务器、链路切换到另

24、一台核心交换机上，调整相应的配置。然后上报信息部并通知设备维护商上门检修； C. 汇聚层设备引擎损坏对网络不会造成网络中断，上报信息部，并通知设备维护商上门检修。(3)业务板卡故障A. 如果设备其它业务板上未使用端口较多，则将故障板卡上的线路切到其它板卡未使用的端口，并将做好相关配置B. 如果设备其它板卡上未使用端口较少，则可以采取非故障业务板下挂交换机的方法来增加端口数量，将故障板卡上的线路切到新增交换机上。临时规避处理后，然后上报信息部并通知设备维护商上门检修；(4)电源模块、机箱、风扇等基础硬件故障。A. 双电源设计设备，单个电源损坏不会对设备造成影响，向信息部汇报并通知设备维护商上门检

25、修；B. 单电源、机箱、风扇等故障，临时规避措施与内网核心引擎故障处理方法一致。(5)接入层设备硬件故障：A. 接入层设备故障影响一般为单个楼层，如有备件，则现场更换备件，做好相关配置，并汇报信息部及通知设备维护商上门检修；B. 如果没有备件且下接为同一网段用户时，可临时采用傻瓜交换机对故障设备进行替换，并调整相应的汇聚交换机配置。汇报信息部同时通知设备维护商上门检修；C. 如果没有备件且下接为不同网段用户时，只能保证关键网段的通迅，或者调整用户IP地址。规避方法与同一网段用户相同。D. 如果备件或傻瓜交换机无光纤端口，则可采用增加光电转换器的方法，替换光纤模块，用双绞线接入交换机。(6) 出

26、口区域故障：出口区域包括防火墙、路由器、安全网关、网闸等,针对工作为透明模式的设备，直接将设备撤下，汇报信息部同时通知设备维护商上门检修；A. 非透明模式工作的设备，如有备件则调试好备件，将故障设备替换，并汇报信息部同时通知设备维护商上门检修；无备件的情况则上报信息部同时通知设备维护商上门检修；所有故障设备返修完毕后，正式上线前，需汇报信息部，确定上线时间，才能停机安装调试。非硬件故障进行设备各项信息收集:接入CONSOLE线，能否进行设备操作界面：(1)如能进行操作界面，则收集设备信息；(2)如不能进入操作界面则判断为设备本身故障，升级设备软件看能否解决，如不能则为设备硬件故障，如有备件，则

27、替换上备件，如无备件，向信息部负责人汇报故障处理情况，同时通知设备维护商上门检修； 查看CPU信息：show cpu结合以往经验，判断该设备CPU利用率是否在正常范围内(3)如果CPU利用率比正常情况下高很多，则可能是攻击，如大量的主机扫描；或环路导致。可以通过抓包分析来确定攻击源或环路端口。如为攻击则断开攻击源，如为环路，则解除环路，并向信息部负责人汇报处理过程。其它厂商设备，如深信服网关、天融信防火墙等，通过WEB方式可以查看CPU利用率查看设备运行信息：show running-config与最近备份配置对比，看是否存在改动，如存在改动，则进行还原配置操作，是否能解决故障，如能解决，则先

28、还原配置，分析改动配置存在的问题。并将处理情况向信息部负责人汇报；如果还原配置后，故障依旧，则进行下一步操作。如果配置未进行改动，则进行下一步操作。查看MAC地址表：show mac-address-table查看故障设备是否学到对方的MAC地址，如没有学到或学到的信息不正确，则检查链路状态，或者是否存在MAC地址攻击等。(4)如果MAC地址表正常，则进行下一步操作查看ARP表：show arp查看故障设备是否学习到对方ARP信息或信息是否正确，如果没有学到，则分析是否病毒，如ARP病毒，或其它原因导致如果能学到对方ARP信息，则进行下一步操作。查看路由表：show ip router检查到对

29、方的路由是否正常，如果路由不正常，则分析路由不正常的原因如果路由表正常，则进行下一步操作。查看是否由于安全设备原因安全设备是否限制了正常的通迅安全设备是否将正常报文误断为攻击8、经过以上操作仍无法定位原因解决故障，则联系第三方技术支持9、确定故障原因后：如为病毒导致，则按病毒处理预案进行如为设备本身故障，则上报信息部，有备件的话，先用备件替换故障设备，无备件，则与信息部负责人协商解决方案如果故障是因设备配置问题导致，则对原配置备份后，再调整相应的配置10、故障解决后，进行经验总结，并提交至信息部负责人预案流程8.2 业务数据故障应急预案8.2.1业务数据日常管理为了加强深圳市XXX业务数据安全

30、的管理，应对具有高可用性要求的业务数据进行备份，形成业务数据备份机制。8.2.2业务数据故障预案清单预案名称业务数据故障预案预案编号预案目的因各类原因导致业务数据丢失的处理方案预案启动条件因各类原因，导致业务数据丢失预案执行实施日期年 月 日组织机构及职责组成姓名联系方式职责负责人安全主管现场指挥安全主管成员网络管理员机房管理员需通知的其他部门部门名称联系人电话注意事项厂家联络方式厂家名称姓名联系方式软件介质名称介质编号存放地点备注预案执行步骤及通告一、故障通告1. 将故障情况向信息部部长汇报。信息部通知受影响的用户，并视情况的严重程度通知应急领导小组。二、预案执行步骤发生业务数据故障（因硬件

31、/软件故障或误操作导致）后，现场值班人员应及时联系数据库管理员，检查和备份业务系统当前数据；由数据库管理员确定能用于恢复的数据备份及其介质（磁盘/磁带，本地/异地）；如果数据库管理员不能在短时间内修复数据，则需及时上报应急领导小组，由其通知业务部门以手工开展业务；利用备份恢复业务数据后，需要协同业务部门的人员检查数据的有效性（历史数据和当前数据的差别），并根据需要，联合应用系统开发商，辅助相关的业务人员补录入数据；完成修复后，立即备份当前数据；编写故障分析报告，向应急领导小组汇报。预案处理流程8.3 服务器软件故障预案预案名称服务器软件故障预案预案编号预案目的服务器发生软件故障后，应用本预案处

32、理故障预案启动条件服务器发生软件故障（除应用软件系统外）预案执行实施日期年 月 日组织机构及职责组成姓名联系方式职责负责人安全主管现场指挥安全主管成员网络管理员机房管理员厂家联络方式厂家名称姓名联系方式备注软件介质名称介质编号存放地点备注备品备件名称设备编号存放地点备注仪器名称仪器编号存放地点备注预案执行步骤及通告一、故障通告1.将故障情况向信息部部长汇报。信息部通知受影响的用户，并视情况的严重程度通知应急领导小组。二、预案执行步骤1.发生服务器软件系统故障后，现场值班人员应立即组织查找、确定故障软件；1） 收集软件所在服务器的基本信息，包括设备型号、系统平台、软件版本、使用情况等信息；2）

33、检查系统中各类日志（系统日志/应用程序日志/数据库日志等），分析故障发生的位置；2.根据先期收集的信息、判断故障事态的严重程度，及时报告应急指挥专责小组，启动后续处理流程：1） 业务软件故障：联系软件开发商维护人员，让其安排技术人员在指定时间段内赶到现场，对业务软件进行深入分析，继而解决故障或重新部署软件；2） 数据库软件和备份软件：由数据库管理员确认故障原因，继而修复数据库软件，若软件不能（及时）修复，则在原设备或调度的备用设备上重新部署软件，并利用已有的备份内容，恢复数据；3） 操作系统：由系统管理员确认故障原因，继而修复操作系统，若系统不能（及时）修复，则重新部署系统和各类业务软件及支持

34、软件，或启动备份服务器系统，由备份服务器接管业务应用，并及时报告软件维护人员，安排将故障服务器脱离网络，保存系统状态不变，取出系统镜像备份磁盘，保持原始数据；4） 若使用备用系统，则在原服务器上修复系统后，需将备用系统中的数据迁移回原系统中；5） 如果问题严重，原有技术人员不能解决，则立即联系应急指挥专责小组和维护厂商，请求技术支援，做好技术处理，保证数据完整；6） 处置结束后，将事发经过、处理方法和结果编写成报告，提交给应急指挥专责小组。预案流程8.4 服务器硬件故障应急预案8.4.1服务器硬件日常管理为了加强深圳市XXX信息部设备硬件管理，需要管理员定期检查、整理硬件物理连接线路，定期检查

35、硬件运作状态，做好硬件的冗余备份。8.4.2服务器硬件故障预案清单预案名称服务器硬件故障预案预案编号预案目的服务器发生硬件故障后，应用本预案处理故障预案启动条件服务器发生硬件故障（包括服务器/存储/存储网络设备）预案执行实施日期年 月 日组织机构及职责组成姓名联系方式职责负责人安全主管现场指挥安全主管成员网络管理员机房管理员厂家联络方式厂家名称姓名联系方式软件介质名称介质编号存放地点备注备品备件名称设备编号存放地点备注仪器名称仪器编号存放地点备注预案执行步骤及通告一、故障通告1. 将故障情况向信息部部长汇报。信息部通知受影响的用户，并视情况的严重程度通知应急领导小组。二、预案执行步骤1. 发生

36、硬件故障后，及时报告硬件维护人员，并组织查找、确定故障设备及故障原因，进行先期处置：1） 检查硬件指示灯号，分辨出错硬件；2） 检查系统日志，查找和确定故障原因；3） 运行配套的硬件监控和维护程序，查找和确定故障原因；4） 收集设备的基本信息（硬件设备型号、系统平台类型和版本、应用软件类型和版本）；5） 联系硬件维护人员对故障设备进行检修；2. 根据故障事态的严重程度，及时报告应急指挥专责小组，启动以下后续处理流程：1） 如果故障设备具有容错能力，则由硬件维护人员联系备件库管理人员，及时调度硬件，在线更换；2） 如果故障设备不具备容错能力，而又无法在短时间内修复故障设备，则启动备用设备，保持系

37、统正常运行；3） 如果没有现成备用设备，则联系备件库管理人员，调度合适的硬件设备，根据之前收集的信息，在备用设备上部署同型号同版本的操作系统、支持软件和业务软件，并恢复数据库到备用设备，保证系统正常运行；4） 原设备在故障排除后，在网络空闲时期，重新替换备用设备，把原先存储与备用设备的数据迁移回原设备；5） 若故障仍然存在，根据安全守则和实际需要，立即联系相关厂商，认真填写设备故障报告单备查。预案流程 8.5 网络攻击事件预案预案名称网络攻击事件预案预案编号预案目的网络攻击事件发生后，应用本预案处理故障预案启动条件发生网络攻击事件预案执行实施日期年 月 日组织机构及职责组成姓名联系方式职责负责

38、人安全主管现场指挥安全主管成员网络管理员信息安全管理员厂家联络方式厂家名称姓名联系方式软件介质名称介质编号存放地点备注备品备件名称设备编号存放地点备注仪器名称仪器编号存放地点备注预案执行步骤及通告一、故障通告1. 将故障情况向信息部部长汇报，信息部通知受影响的用户，并视情况的严重程度通知应急领导小组。二、 预案执行步骤1.确定源地址：如果服务器被攻击，可以通过以下手段来确定攻击源：在服务器上运行netstat -an可以看到大量的连接，找出发起大量连接的源IP地址。也可以在通过捕获交换机上连接服务器的端口的报文，进行分析，找到攻击源IP。如果是安全网关被攻击，则只能分别在其所有网络连接端口来进

39、行抓包分析。2.临时规避攻击：临时规避主要是针对外网发起的攻击，最保险的方法是采取临时断网措施；如果不能断网则可以通过以下措施临时规避：如果公网地址足够，可以通过更改对外发布服务的公网地址（服务器，同进还需更改DNS解析）或者更改本身的外网地址(出口网关)。3.备份被攻击者数据如为网络设备，则备份配置文件，如为服务器则备份操作系统，有条件的话，建议备份整个硬盘。4.追踪攻击源：内网发起的攻击：通过找出源IP，结合用户IP登记资料，定位到用户，直接将用户断网处理。外网发起的攻击：与运营商联系，同时上报网监部门，根据对方要求提供相关资料，由运营商和网监部门处理。5.调整安全策略:在定位攻击源的时候

40、，同时对服务器或出口网关进行加固，主要方法如下：安全网关主要是对其本身的登陆管理进行设置，包括对其本身IP的连接数，用户登陆次数等进行限制，备份攻击发生时的设备配置，以便后期分析。服务器在攻击发生时第一时间断开网络，备份操作系统（有条件的话建议备份整个硬盘）；分析服务器在安全方面存在的隐患，更改相关安全设置。在安全设备上，如防火墙,IPS；对该服务器与外网地址的连接数进行限制，在同一时刻只允许一定数量的地址与服务器建立连接。6.被攻击者接入网络如果还有攻击，则需等待运营商处理完毕后，再接入网络。7.检查被攻击设备的数据是否丢失损坏。8.如数据有丢失或损坏，则恢复被攻击目标设备的数据。9.事故处

41、理完后对此次事故进行总结。预案流程8.6 病毒爆发应急预案8.6.1病毒防护日常管理为了保证深圳市XXX电子政务内网的安全，系统管理员必须安装杀毒软件和升级系统补丁，建立完整的防病毒系统管理及维护日志。8.6.2病毒爆发应急预案清单预案名称病毒爆发事故预案预案编号预案目的发生病毒爆发或感染事故后，应用本预案处理故障预案启动条件发生病毒爆发或感染事故预案执行实施日期年 月 日组织机构及职责组成姓名联系方式职责负责人安全主管现场指挥安全主管成员网络管理员机房管理员厂家联络方式厂家名称姓名联系方式软件介质名称介质编号存放地点备注备品备件名称设备编号存放地点备注仪器名称仪器编号存放地点备注预案执行步骤

42、及通告一、故障通告1.将故障情况向信息部部长汇报，信息部通知受影响的用户，并视情况的严重程度通知应急领导小组。2、对用户的病毒通知，采用发文或短信方式。二、预案执行步骤终端网络型病毒可依靠网络进行大面积快速传播，如：灰鸽子、熊猫烧香、冲击波等。小面积病毒爆发：1.接到报障电话，工程师到现场处理，确定是否中毒，如确认中毒则将中毒主机断网隔离。2.采用已安装并更新至最新病毒库的专业杀毒软件进行查杀，如能查杀则现场处理。3.针对未知的新型病毒，杀毒软件不能查杀的，则将用户数据备份后，再重装系统，同时将病毒样本上报杀毒软件厂商。4.待杀毒软件厂商升级病毒库后，再查杀中毒电脑。大面积病毒爆发：1.确定大

43、面积病毒爆发，上报上级主管部门2.先采用杀毒软件进行查杀，如果可以查杀则发通知用户进行查杀,杀毒软件无法查杀的情况下，对爆发区域进行断网处理，并发布病毒通知。3.联系厂商进行现场技术支持，上报上级主管部门终端单机型病毒病毒传播速度较慢，网络不是其传播主要手段。如：文件型病毒、U盘病毒等。1.接到报障电话，工程师到现场处理，确定是否中毒，如确认中毒则将中毒主机断网隔离。2.采用已安装并更新至最新病毒库的专业杀毒软件进行查杀，如能查杀则现场处理。3.如以上软件不能处理，则将用户数据备份后，再重装系统。4.安装操作系统并安装杀毒软件后，再手工升级。5.对终端进行全盘扫描，可能的情况下对移动介质扫描处理。6.针对传播速度相对较快，如U盘病毒，则通过OA等方式，发布通知，提醒用户注意病毒防护。服务器病毒防护上报上级主管部门，并通过OA或短信发布服务器维护通知。1.对服务器进行断网隔离，并手工备份相关数据，并进行单独存储；2.采用趋势杀毒软件或360安全卫士进行查杀，如能查杀则现场处理。1、 3.针对未知的新型病毒，杀毒软件不能查杀的，则将用户数据备份后，再重装系统，同时将病毒样本上报杀毒软件厂商2、 4.待杀毒软件厂商升级病毒库后，再查杀中毒电脑预案流