【正文】 備份核心交換機日志。（2）啟用備用核心交換機，檢查接管情況。（3）備份核心交換機配置信息。（4）將服務(wù)器接入備用核心交換機，檢查服務(wù)器運行情況，將樓層交換機、接入交換機接入備用核心交換機，檢查各交換機運行情況。（5）匯報有關(guān)領(lǐng)導，做好事件記錄。（6）聯(lián)系維修核心交換機。光纜線路故障（1）立即聯(lián)系光纖熔接人員攜帶尾纖等輔助材料，及時熔接連通。（2）檢查并做好備用光纜或備用芯的跳線工作，隨時切換到備用網(wǎng)絡(luò)。（3）做好事件記錄，及時上報。計算機病毒爆發(fā)（1）關(guān)閉計算機病毒爆發(fā)網(wǎng)段上聯(lián)端口。（2）隔離中病毒計算機。（3）關(guān)閉中病毒計算機上聯(lián)端口。（4）根據(jù)病毒特征使用專用工具進行查殺。（5）系統(tǒng)損壞計算機在備份其數(shù)據(jù)后，進行重裝。（6）通過專用工具對網(wǎng)絡(luò)進行清查。（7）做好事件記錄，及時上報。服務(wù)器設(shè)備故障（1）主要服務(wù)器應(yīng)做多個數(shù)據(jù)備份。（2）如能自行恢復，則立即用備件替換受損部件，如：電源損壞更換備用電源，硬盤損壞更換備用硬盤，網(wǎng)卡、主板損壞啟用備用服務(wù)器。（3）若數(shù)據(jù)庫崩潰應(yīng)立即啟用備用系統(tǒng)。并檢查備用服務(wù)器啟用情況。（4）對主機系統(tǒng)進行維修并做數(shù)據(jù)恢復。（5）如不能恢復，立即聯(lián)系設(shè)備供應(yīng)商，要求派維護人員前來維修。（6）匯報有關(guān)領(lǐng)導，做好事件記錄。黑客攻擊事件（1）若通過入侵監(jiān)測系統(tǒng)發(fā)現(xiàn)有黑客進行攻擊，立即通知相關(guān)人員處理。（2）將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來。（3）及時恢復重建被攻擊或被破壞的系統(tǒng)（4）記錄事件，及時上報，若事態(tài)嚴重，應(yīng)及時向信息化主管部門和公安部門報警。數(shù)據(jù)庫安全事件（1）平時應(yīng)對數(shù)據(jù)庫系統(tǒng)做多個備份。（2）發(fā)生數(shù)據(jù)庫數(shù)據(jù)丟失、受損、篡改、泄露等安全事件時，信息安全人員應(yīng)查明原因，按照情況采取相應(yīng)措施：如更改數(shù)據(jù)庫密碼，修復錯誤受損數(shù)據(jù)。（3）如果數(shù)據(jù)庫崩潰，信息安全人員應(yīng)立即啟用備用系統(tǒng)，并向信息安全負責人報告；在備用系統(tǒng)運行期間，信息安全人員應(yīng)對主機系統(tǒng)進行維修并作數(shù)據(jù)恢復。（4）做好事件記錄，及時上報。人員疏散與機房滅火預(yù)案（1）當班人員發(fā)現(xiàn)機房內(nèi)有起火、冒煙現(xiàn)象或聞到燒焦氣味時，應(yīng)立即查明原因和地點，及時上報并針對不同情況，采取關(guān)閉電源總開關(guān)、隔離火源附近易燃物、用消防栓、滅火器等器材滅火等措施，組織本單位、部門在場的人員有序地投入撲救工作，將火撲滅或控制火勢蔓延。（2）當火勢已無法控制時，一是指定專人立即撥打“119”火警電話報警和向上級保衛(wèi)部門報告，并打破報警器示警。二是組織周圍人員迅速撤離。（3）在保障人員安全的情況下，立即組織人員疏散和轉(zhuǎn)移重要物品，特別是易燃、易爆物品和重要的機器、數(shù)據(jù)要及時轉(zhuǎn)移到安全地點，并派人員守護，確保安全。（4）火情結(jié)束之后，組織相關(guān)人員及時進行網(wǎng)絡(luò)系統(tǒng)恢復，及時向上級有關(guān)部門和領(lǐng)導匯報，并做好現(xiàn)場保護工作和防止起火點復燃。1發(fā)生自然災(zāi)害后的緊急措施（1）遇到重大雷暴天氣，可能對機房設(shè)備造成損害時，應(yīng)關(guān)閉所有服務(wù)器，切斷電源，暫停內(nèi)部計算機網(wǎng)絡(luò)工作。雷暴天氣結(jié)束后，及時開通服務(wù)器，恢復內(nèi)部計算機網(wǎng)絡(luò)工作。（2）確認災(zāi)害不會造成人身傷害后，盡快將網(wǎng)絡(luò)恢復正常，若有設(shè)備、數(shù)據(jù)損壞，及時使用備份設(shè)備或備用數(shù)據(jù)。（3）及時核實、報損，并將詳細情況向部門領(lǐng)導匯報。1關(guān)鍵人員不在崗的緊急處置措施（1）對于關(guān)鍵崗位平時應(yīng)做好人員儲備，確保一項工作有兩人能夠操作。對于關(guān)鍵賬戶和密碼進行密封保存。（2）一旦發(fā)生系統(tǒng)安全事件，關(guān)鍵人員不在崗且聯(lián)系不上或 1小時內(nèi)不能到達機房的情況，首先應(yīng)向領(lǐng)導小組匯報情況。（3）經(jīng)領(lǐng)導小組批準后，啟用醫(yī)院備份管理員密碼，由備用人員上崗操作。（4）如果備用人員無法上崗，請求軟件公司技術(shù)支援。（5）關(guān)鍵人員到崗后，按照相關(guān)規(guī)定進行密碼設(shè)定和封存。（6）做好事件記錄。（三）后續(xù)處理安全事件進行昀初的應(yīng)急處置以后，應(yīng)及時采取行動，抑制其影響的進一步擴大，限制潛在的損失與破壞，同時要確保應(yīng)急處置措施對涉及的相關(guān)業(yè)務(wù)影響昀小。安全事件被抑制之后，通過對有關(guān)事件或行為的分析結(jié)果，找出其根源，明確相應(yīng)的補救措施并徹底清除。在確保安全事件解決后，要及時清理系統(tǒng)、恢復數(shù)據(jù)、程序、服務(wù)，恢復工作應(yīng)避免出現(xiàn)誤操作導致數(shù)據(jù)丟失。（四）記錄上報網(wǎng)絡(luò)與信息安全事件發(fā)生時，應(yīng)及時向網(wǎng)絡(luò)與信息安全應(yīng)急處置工作組匯報，并在事件處置工作中作好完整的過程記錄，及時報告處置工作進展情況，保存各相關(guān)系統(tǒng)日志，直至處置工作結(jié)束。七、保障措施（一）應(yīng)急設(shè)備保障對于重要網(wǎng)絡(luò)與信息系統(tǒng)，在建設(shè)系統(tǒng)時應(yīng)事先預(yù)留一定的應(yīng)急設(shè)備，建立信息網(wǎng)絡(luò)硬件、軟件、應(yīng)急救援設(shè)備等應(yīng)急物資庫。在網(wǎng)絡(luò)與信息安全突發(fā)公共事件發(fā)生時，報領(lǐng)導同意后，由應(yīng)急工作組負責統(tǒng)一調(diào)用。（二）數(shù)據(jù)保障重要信息系統(tǒng)均應(yīng)建立容災(zāi)備份系統(tǒng)和相關(guān)工作機制，保證重要數(shù)據(jù)在遭到破壞后，可緊急恢復。各容災(zāi)備份系統(tǒng)應(yīng)具有一定的兼容性，在特殊情況下各系統(tǒng)間可互為備份。第二篇：IT系統(tǒng)安全應(yīng)急預(yù)案江蘇IT系統(tǒng)安全應(yīng)急預(yù)案 目的伴隨著公司信息化建設(shè)的發(fā)展，IT系統(tǒng)的安全性也越發(fā)重要，需要全面加強信息安全性的建設(shè)，確保系統(tǒng)不受到來自內(nèi)部和外部的攻擊，實現(xiàn)對非法入侵的安全審計與跟蹤，保證業(yè)務(wù)應(yīng)用和數(shù)據(jù)的安全性。同時還必須建立起一套完善、可行的應(yīng)急處理規(guī)章制度，在出現(xiàn)重大情況后能及時響應(yīng)，盡最大可能減少損失。 公司系統(tǒng)架構(gòu)和現(xiàn)狀 IT應(yīng)用系統(tǒng)架構(gòu)公司的IT系統(tǒng)以總公司為中心，各分支機構(gòu)通過租用專用線路或VPN同總公司連通，在各分支機構(gòu)內(nèi)部也建立較完善的多級綜合網(wǎng)絡(luò)，包括中心支公司、支公司、出單點等等。在網(wǎng)絡(luò)上運行著以下系統(tǒng)：（一）視頻會議系統(tǒng)各分公司之間、分公司與總公司之間、各辦事處與公司之間進行的網(wǎng)絡(luò)視頻會議。（二）辦公自動化系統(tǒng)輔助公司日常辦公的系統(tǒng)，如OAERP，實現(xiàn)公司上下級之間的公文與協(xié)同工作信息傳遞。（三）郵件系統(tǒng)公司的內(nèi)部及外部郵箱系統(tǒng)，為公司內(nèi)、外部信息交流提供方便、快捷的通道。 系統(tǒng)安全隱患由于公司的系統(tǒng)是多應(yīng)用、多連接的平臺，本身就可能存在著難于覺察的安全隱患，同時又面臨來自各方面的安全威脅，這些威脅既可能是惡意的攻擊，又可能是某些員工無心的過失。下面從網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)與數(shù)據(jù)庫、數(shù)據(jù)以及管理等方面進行描述：（一）網(wǎng)絡(luò)與公司各級網(wǎng)絡(luò)進行互聯(lián)的外部網(wǎng)絡(luò)用戶及Internet黑客對各級單位網(wǎng)絡(luò)的非法入侵和攻擊；公司內(nèi)部各級單位網(wǎng)絡(luò)相互之間的安全威脅，例如某個分支單位網(wǎng)絡(luò)中的人員對網(wǎng)絡(luò)中關(guān)鍵服務(wù)器的非法入侵和破壞；在各級單位網(wǎng)絡(luò)中，對于關(guān)鍵的生產(chǎn)業(yè)務(wù)應(yīng)用和辦公應(yīng)用系統(tǒng)而言，可能會受到局域網(wǎng)上一些無關(guān)用戶的非法訪問。（二）操作系統(tǒng)與數(shù)據(jù)庫操作系統(tǒng)與數(shù)據(jù)庫都存在一定的安全缺陷或者后門，很容易被攻擊者用來進行非法的操作；系統(tǒng)管理員經(jīng)驗不足或者工作疏忽造成的安全漏洞，也很容易被攻擊者利用；系統(tǒng)合法用戶特別是擁有完全操作權(quán)限的特權(quán)用戶的誤操作可能導致系統(tǒng)癱瘓、數(shù)據(jù)丟失等情況。（三）網(wǎng)絡(luò)應(yīng)用網(wǎng)絡(luò)上多數(shù)應(yīng)用系統(tǒng)采用客戶/服務(wù)器體系或衍生的方式運行，對應(yīng)用系統(tǒng)訪問者的控制手段是否嚴密將直接影響到應(yīng)用自身的安全性；由于實現(xiàn)了Internet接入，各級單位的計算機系統(tǒng)遭受病毒感染的機會也更大，且很容易通過文件共享、電子郵件等網(wǎng)絡(luò)應(yīng)用迅速蔓延到整個公司網(wǎng)絡(luò)中；網(wǎng)絡(luò)用戶自行指定IP地址而產(chǎn)生IP地址沖突，將導致業(yè)務(wù)系統(tǒng)的UNIX小型機服務(wù)器自動宕機。（四）數(shù)據(jù)數(shù)據(jù)存儲和傳輸所依賴的軟、硬件環(huán)境遭到破壞，或者操作系統(tǒng)用戶的誤操作，以及數(shù)據(jù)庫用戶在處理數(shù)據(jù)時的誤操作，都會使嚴重威脅數(shù)據(jù)的安全。（五）管理 如果缺乏嚴格的企業(yè)安全管理，信息系統(tǒng)所受到的安全威脅即使是各種安全技術(shù)手段也無法抵抗。在充分認識到確保核心業(yè)務(wù)和應(yīng)用有效運轉(zhuǎn)的前提下，公司已經(jīng)采取了一定的措施，如利用操作系統(tǒng)和應(yīng)用系統(tǒng)自身的功能進行用戶訪問控制，建立容錯和備份機制，采用數(shù)據(jù)加密等。但是這些措施所能提供的安全功能和安全保護范圍都非常有限，為了在不斷發(fā)展變化著的網(wǎng)絡(luò)計算環(huán)境中保護公司信息系統(tǒng)的安全，特制定了IT系統(tǒng)重大事件應(yīng)急方案。 IT系統(tǒng)重大事件的界定IT系統(tǒng)的脆弱性體現(xiàn)在很多方面，小到短暫的電力不足或磁盤錯誤，大到設(shè)備的毀壞或火災(zāi)等等。很多系統(tǒng)弱點可以在組織風險管理控制過程中通過技術(shù)的、管理的或操作的方法消除，但理論上是不可能完全消除所有的風險。為了能更好的制定針對IT系統(tǒng)重大事件的應(yīng)急方案，必須先對所有可能發(fā)生的重大事件進行詳細的描述和定義。下面將從IT系統(tǒng)相關(guān)聯(lián)的電源、網(wǎng)絡(luò)、主機及存儲設(shè)備、數(shù)據(jù)庫、病毒、信息中心機房等多個方面進行說明。 電源電源是IT系統(tǒng)最基礎(chǔ)的部分，也是最容易受到外界干擾的部分之一。在既能保證公司系統(tǒng)平穩(wěn)運行，又能保證關(guān)鍵或重要設(shè)備安全的前提下，根據(jù)目前配備的UPS電源的實際情況，將電源事件分為三個層次：一般性電源事件：停電時間在1小時以內(nèi)的（包括1小時）； 需關(guān)注電源事件：停電時間在2小時以內(nèi)的（包括2小時）； 密切關(guān)注電源事件：停電時間在2小時以上的。 網(wǎng)絡(luò)網(wǎng)絡(luò)是IT系統(tǒng)及網(wǎng)絡(luò)客戶進行通訊的通道，也是最容易受到外界干擾或攻擊的部分之一。目前總公司主要對各地分公司到總公司的網(wǎng)絡(luò)線路進行管控，而公司又是采用數(shù)據(jù)集中的運營模式，鑒于這種情況，將網(wǎng)絡(luò)事件分為三個層次：一般性網(wǎng)絡(luò)事件：樓層交換機出現(xiàn)異常，或局域網(wǎng)絡(luò)中斷時間在5分鐘以內(nèi)的（包括5分鐘）；需關(guān)注網(wǎng)絡(luò)事件：主交換機、防火墻、上網(wǎng)設(shè)備出現(xiàn)異常，或局域網(wǎng)絡(luò)中斷時間在30分鐘以內(nèi)的（包括30分鐘），廣域網(wǎng)絡(luò)中斷時間在5分鐘以內(nèi)的（包括5分鐘）；密切關(guān)注網(wǎng)絡(luò)事件：主干交換機、核心路由器、VPN設(shè)備出現(xiàn)異常，或廣域網(wǎng)絡(luò)中斷時間在30分鐘以上的。 主機及存儲設(shè)備主機及存儲設(shè)備是IT系統(tǒng)運行的關(guān)鍵和核心，也是相對脆弱的部分，對工作環(huán)境的要求是相當高的，任何外部的變化都可能導致這些設(shè)備出現(xiàn)異常。根據(jù)出現(xiàn)的異常情況，將主機及存儲設(shè)備事件分成三個層次：一般性事件：非系統(tǒng)關(guān)鍵進程或文件系統(tǒng)出現(xiàn)異常，不影響生產(chǎn)系統(tǒng)運行的； 需關(guān)注事件：根文件系統(tǒng)或生產(chǎn)系統(tǒng)所在的文件系統(tǒng)的磁盤空間將滿/已滿或系統(tǒng)關(guān)鍵進程異常，即將影響或已經(jīng)影響生產(chǎn)系統(tǒng)運行的；主機或存儲設(shè)備的磁盤異常并發(fā)出警告的；密切關(guān)注事件：主機宕機；存儲設(shè)備不能正常工作的；主機與存儲設(shè)備中斷連接的；主機性能嚴重降低，影響終端用戶運行的；系統(tǒng)用戶誤操作導致重要文件丟失的。 數(shù)據(jù)庫數(shù)據(jù)庫是存儲公司經(jīng)營信息的關(guān)鍵部分，由于數(shù)據(jù)庫是建立在主機及存儲設(shè)備上的應(yīng)用，任何主機及存儲設(shè)備的變化都會對數(shù)據(jù)庫產(chǎn)生或大或小的影響，同時數(shù)據(jù)庫也是公司各個層面用戶的使用對象，用戶對數(shù)據(jù)的操作可能導致不可預(yù)料的影響。根據(jù)數(shù)據(jù)庫對外界操作的反映，將數(shù)據(jù)庫事件分為兩個層次： 一般事件：不影響大量用戶或應(yīng)用系統(tǒng)正常運行的警告或錯誤報告； 重要事件：數(shù)據(jù)庫的系統(tǒng)表空間將滿/已滿的；業(yè)務(wù)系統(tǒng)表空間將滿/已滿的；數(shù)據(jù)庫網(wǎng)絡(luò)監(jiān)視進程終止運行的；數(shù)據(jù)庫內(nèi)部數(shù)據(jù)組織出現(xiàn)異常的；數(shù)據(jù)庫用戶誤操作導致數(shù)據(jù)丟失的；數(shù)據(jù)庫關(guān)鍵進程異常；數(shù)據(jù)庫性能嚴重降低，影響終端用戶運行；數(shù)據(jù)庫宕機。 電腦病毒由于Internet接入，員工從Internet上進行下載或者接收郵件，都有感染病毒的可能性。某些