【正文】 明故障原因。（5）匯報有關(guān)領(lǐng)導，做好事件記錄。（4）根據(jù)病毒特征使用專用工具進行查殺。（4）對主機系統(tǒng)進行維修并做數(shù)據(jù)恢復。（3）如果數(shù)據(jù)庫崩潰，信息安全人員應立即啟用備用系統(tǒng)，并向信息安全負責人報告；在備用系統(tǒng)運行期間，信息安全人員應對主機系統(tǒng)進行維修并作數(shù)據(jù)恢復。雷暴天氣結(jié)束后，及時開通服務(wù)器，恢復內(nèi)部計算機網(wǎng)絡(luò)工作。（5）關(guān)鍵人員到崗后，按照相關(guān)規(guī)定進行密碼設(shè)定和封存。（二）數(shù)據(jù)保障重要信息系統(tǒng)均應建立容災備份系統(tǒng)和相關(guān)工作機制，保證重要數(shù)據(jù)在遭到破壞后，可緊急恢復。（二）辦公自動化系統(tǒng)輔助公司日常辦公的系統(tǒng)，實現(xiàn)公司上下級之間的公文與協(xié)同工作信息傳遞。（五）管理如果缺乏嚴格的企業(yè)安全管理，信息系統(tǒng)所受到的安全威脅即使是各種安全技術(shù)手段也無法抵抗。在既能保證公司系統(tǒng)平穩(wěn)運行，又能保證關(guān)鍵或重要設(shè)備安全的前提下，根據(jù)目前配備的UPS電源的實際情況，將電源事件分為三個層次：一般性電源事件：停電時間在1小時以內(nèi)的（包括1小時）； 需關(guān)注電源事件：停電時間在2小時以內(nèi)的（包括2小時）； 密切關(guān)注電源事件：停電時間在2小時以上的。某些病毒帶有極大的危害性和極快的傳播速度，從而可能導致在公司內(nèi)部的病毒大范圍傳播。 主機、存儲設(shè)備及數(shù)據(jù)庫為保證生產(chǎn)系統(tǒng)穩(wěn)定運行，主機與存儲系統(tǒng)保持7X24小時的可用。一是隨著業(yè)務(wù)的發(fā)展，逐步與外部相關(guān)部門實現(xiàn)了聯(lián)網(wǎng)與信息交接，從而使市系統(tǒng)網(wǎng)絡(luò)由過去完全封閉的內(nèi)部網(wǎng)，轉(zhuǎn)變成與外部網(wǎng)、因特網(wǎng)邏輯隔離的網(wǎng)絡(luò)。領(lǐng)導小組下設(shè)辦公室，洪曉明同志兼任辦公室主任，屠征宇同志兼任辦公室副主任，辦公機構(gòu)設(shè)在監(jiān)察室。（5）對接市政府和市級各部門網(wǎng)絡(luò)與信息安全突發(fā)事件應急處置工作。對需要發(fā)布預警的，由領(lǐng)導小組授權(quán)應急辦公室發(fā)布。領(lǐng)導小組根據(jù)事態(tài)的發(fā)展和處置工作需要，及時增派專家，調(diào)動必需的物資、設(shè)備，支援應急工作。調(diào)查評估在應急處置工作結(jié)束后，各級信息辦應對事件發(fā)生及其處置過程進行全面的調(diào)查，查清事件發(fā)生的原因及財產(chǎn)損失情況，總結(jié)經(jīng)驗教訓，寫出調(diào)查評估報告，報應急辦公室。應急演練建立應急預案定期演練制度。實施時間本預案自印發(fā)之日起實施。追查黑客攻擊來源。四、軟件系統(tǒng)異常應急處置規(guī)程對發(fā)現(xiàn)系統(tǒng)軟件和應用軟件響應異常的，應立即向信息辦報告。使用備份數(shù)據(jù)恢復數(shù)據(jù)后重新啟動服務(wù)，并立即追查原因。如屬通信部門管轄范圍，立即與通信維護部門聯(lián)系，請求及時修復。八、設(shè)備故障應急處置規(guī)程發(fā)現(xiàn)服務(wù)器等關(guān)鍵設(shè)備損壞后，應立即向信息辦領(lǐng)導報告。滅火程序：規(guī)范化的機房啟動氣體滅火系統(tǒng)，沒有氣體滅火系統(tǒng)的機房，首先切斷所有電源，取出泡沫滅火器進行滅火。涉及業(yè)務(wù)中斷的，通知相關(guān)業(yè)務(wù)部門。如供電局告知需長時間停電，應做好如下工作：（1）預計停電半小時以內(nèi)，由UPS供電。九、機房著火應急處置規(guī)程一旦機房發(fā)生火災，應遵照下列原則：首先保證人員安全；其次保證關(guān)鍵設(shè)備和數(shù)據(jù)安全；三是保證一般設(shè)備安全。如遇無法解決的技術(shù)問題，立即報告領(lǐng)導小組，請求廠方專家支援。如屬內(nèi)部管轄范圍，由系統(tǒng)管理員立即予以恢復。領(lǐng)導小組決定是否啟動應急預案。領(lǐng)導小組根據(jù)報告，確定具體的處置方式，保證網(wǎng)絡(luò)暢通和計算機安全。信息辦首先應將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來，保護現(xiàn)場，同時向網(wǎng)絡(luò)和信息安全應急領(lǐng)導小組報告。九、附則附件網(wǎng)絡(luò)和信息安全突發(fā)事件應急處置規(guī)程。八、監(jiān)督管理宣傳教育各科室、所、分局要加強網(wǎng)絡(luò)與信息安全突發(fā)事件應急和處置有關(guān)知識的宣傳，提高防范意識。應急結(jié)束網(wǎng)絡(luò)與信息安全突發(fā)事件經(jīng)應急處置后，得到有效控制，事態(tài)下降到一定程度或基本得以解決，由應急辦公室向領(lǐng)導小組提出應急結(jié)束的建議，經(jīng)批準后實施。現(xiàn)場指揮部在領(lǐng)導小組的領(lǐng)導下全權(quán)負責現(xiàn)場的應急處置工作。預警處理與發(fā)布對于可能發(fā)生或已經(jīng)發(fā)生的網(wǎng)絡(luò)與信息安全突發(fā)事件，信息辦應立即采取措施控制事態(tài)，在2小時內(nèi)進行風險評估，判定事件等級，并立即向應急辦公室報告。（3）負責網(wǎng)絡(luò)與信息安全應急預案的管理，檢查落實預案執(zhí)行情況?？傮w目標：建立科學、有效、反應迅速的網(wǎng)絡(luò)與信息安全應急工作機制，提高應對突發(fā)事件的組織指揮能力和應急處置能力，最大限度地減輕網(wǎng)絡(luò)與信息安全突發(fā)事件的危害，確保計算機信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全。第五篇：行政部門信息系統(tǒng)安全應急預案市行政管理局信息系統(tǒng)安全應急預案（試行）為保證市系統(tǒng)網(wǎng)絡(luò)與信息安全，防范出現(xiàn)大規(guī)模的網(wǎng)絡(luò)與信息安全事件，根據(jù)市系統(tǒng)網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)及應用的現(xiàn)狀，針對存在的問題與風險，特制定本安全應急預案。 網(wǎng)絡(luò)（一）核心路由器做雙以太口綁定，如一端口發(fā)生故障，自動切換到VPN備份線路接入主機系統(tǒng)，直到修復使用正常，同時由網(wǎng)絡(luò)集成商提供技術(shù)和備件支持，一旦出現(xiàn)緊急故障，1小時趕到現(xiàn)場處理故障；（二）到分支機構(gòu)專線采用2M數(shù)字線路，如2M數(shù)字線路發(fā)生故障斷開則自動切換到VPN備份線路接入主機系統(tǒng)，直到專線修復則使用正常2M線路通信；（三）對于網(wǎng)絡(luò)核心設(shè)備出現(xiàn)重大故障，盡快了解情況，分析問題和提出應急解決方案，做好現(xiàn)場應急處理，立即通知網(wǎng)絡(luò)集成服務(wù)商到現(xiàn)場處理，主干交換機由網(wǎng)絡(luò)集成商提供技術(shù)和備件支持，一旦出現(xiàn)緊急故障，1小時內(nèi)趕到現(xiàn)場處理故障；（四）為防止核心路由器或主干交換機發(fā)生故障后無法解決問題，在必要情況下，配備一臺備用路由器和主干交換機，配置接口與核心路由器和主干交換機相同，一旦出現(xiàn)故障，能在十分種內(nèi)進行更換；（五）采用CISCO PIX FIREWALL在網(wǎng)絡(luò)入口處檢查網(wǎng)絡(luò)通訊，根據(jù)設(shè)定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，保障內(nèi)外網(wǎng)絡(luò)通訊，實現(xiàn)了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)有效的隔離，所有來自外部網(wǎng)絡(luò)的訪問請求都要通過防火墻的檢查，內(nèi)部網(wǎng)絡(luò)的安全將會得到保證。根據(jù)數(shù)據(jù)庫對外界操作的反映，將數(shù)據(jù)庫事件分為兩個層次：一般事件：不影響大量用戶或應用系統(tǒng)正常運行的警告或錯誤報告； 重要事件：數(shù)據(jù)庫的系統(tǒng)表空間將滿/已滿的；業(yè)務(wù)系統(tǒng)表空間將滿/已滿的；數(shù)據(jù)庫網(wǎng)絡(luò)監(jiān)視進程終止運行的；數(shù)據(jù)庫內(nèi)部數(shù)據(jù)組織出現(xiàn)異常的；數(shù)據(jù)庫用戶誤操作導致數(shù)據(jù)丟失的；數(shù)據(jù)庫關(guān)鍵進程異常；數(shù)據(jù)庫性能嚴重降低，影響終端用戶運行；數(shù)據(jù)庫宕機。下面將從IT系統(tǒng)相關(guān)聯(lián)的電源、網(wǎng)絡(luò)、主機及存儲設(shè)備、數(shù)據(jù)庫、病毒、信息中心機房等多個方面進行說明。（三）網(wǎng)絡(luò)應用網(wǎng)絡(luò)上多數(shù)應用系統(tǒng)采用客戶/服務(wù)器體系或衍生的方式運行，對應用系統(tǒng)訪問者的控制手段是否嚴密將直接影響到應用自身的安全性；由于實現(xiàn)了Internet接入，各級單位的計算機系統(tǒng)遭受病毒感染的機會也更大，且很容易通過文件共享、電子郵件等網(wǎng)絡(luò)應用迅速蔓延到整個公司網(wǎng)絡(luò)中；網(wǎng)絡(luò)用戶自行指定IP地址而產(chǎn)生IP地址沖突，將導致業(yè)務(wù)系統(tǒng)的UNIX小型機服務(wù)器自動宕機。 公司系統(tǒng)架構(gòu)和現(xiàn)狀 IT應用系統(tǒng)架構(gòu)公司的IT系統(tǒng)以總公司為中心，各分支機構(gòu)通過租用專用線路同總公司連通，在各分支機構(gòu)內(nèi)部也建立較完善的多級綜合網(wǎng)絡(luò)，包括中心支公司、支公司、出單點等等。七、保障措施（一）應急設(shè)備保障對于重要網(wǎng)絡(luò)與信息系統(tǒng)，在建設(shè)系統(tǒng)時應事先預留一定的應急設(shè)備，建立信息網(wǎng)絡(luò)硬件、軟件、應急救援設(shè)備等應急物資庫。（3）經(jīng)領(lǐng)導小組批準后，啟用公司備份管理員密碼，由備用人員上崗操作。（4）火情結(jié)束之后，組織相關(guān)人員及時進行網(wǎng)絡(luò)系統(tǒng)恢復，及時向上級有關(guān)部門和領(lǐng)導匯報，并做好現(xiàn)場保護工作和防止起火點復燃。數(shù)據(jù)庫安全事件（1）平時應對數(shù)據(jù)庫系統(tǒng)做多個備份。（3）若數(shù)據(jù)庫崩潰應立即啟用備用系統(tǒng)。（2）隔離中病毒計算機。（3）備份核心交換機配置信息。（4）若是路由器、交換機等配置文件損壞，應迅速按照要求重新配置，并調(diào)試暢通。（3）匯報相關(guān)領(lǐng)導，確認市電恢復時間，評估 UPS供電能力。各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)建設(shè)要充分考慮抗毀性和災難恢復，制定并不斷完善信息安全應急處理預案。這就要求人們必須對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。但是，如果使用和管理不當，同樣會帶來安全風險。病毒危害風險計算機病毒的傳播會破壞數(shù)據(jù)信息，占用系統(tǒng)資源，影響計算機運行速度，引起網(wǎng)絡(luò)堵塞甚至癱瘓。（三）系統(tǒng)安全風險操作系統(tǒng)安全風險操作系統(tǒng)的安全性是系統(tǒng)安全管理的基礎(chǔ)。例如，路由設(shè)備存在路由信息泄漏，交換機和路由器設(shè)備配置風險等。（二）領(lǐng)導小組職責：制訂專項應急預案，負責定期組織演練，監(jiān)督檢查各部門在本預案中履行職責情況。如為涉及國家秘密的數(shù)據(jù)，不允許由其他機構(gòu)來恢復數(shù)據(jù)。安全管理員確定沒有病毒和安全漏洞后，再連接網(wǎng)絡(luò)恢復使用。3．安全管理員應做好記錄，保護現(xiàn)場，進行日志收集等工作。由網(wǎng)絡(luò)應急小組組織應急響應，聯(lián)合相關(guān)部門進行故障排查。（三）網(wǎng)絡(luò)信息系統(tǒng)故障的應急處理流程1．網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)應用系統(tǒng)故障應由發(fā)現(xiàn)人通知計算中心，計算中心立即檢查故障，進行初步故障定位。經(jīng)認可后，安排相關(guān)人員按照規(guī)定的流程操作實施。二、工作原則（一）明確責任、分級負責：按照“誰主管誰負責，誰運行誰負責”的要求，逐級建立并落實統(tǒng)計信息系統(tǒng)責任制和應急機制。打開該交換機的端口流量分析窗口，根據(jù)流量判斷感染病毒或惡意程序的客戶端所科交換機端口。如果能追查到攻擊者的相關(guān)信息，可以對其發(fā)出警告，必要時可以采取進一步的行動，乃至采取法律手段。由技術(shù)部們組織應急響應并進行故障排查。三、網(wǎng)絡(luò)信息系統(tǒng)故障的應急處理流程網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)應用系統(tǒng)故障應由發(fā)現(xiàn)人通知機房管理人員，技術(shù)部門立即檢查故障，進行初步故障定位。公司辦公室應立即啟動電力系統(tǒng)故障應急處理流程，盡快查清故障原因，提出解決辦法，確定故障排除可能需要的時間并通知網(wǎng)絡(luò)機房管理部門。一、工作原則（一）明確責任：按照“誰主管誰負責，誰運行誰負責”的要求，建立并落實統(tǒng)計信息系統(tǒng)責任制和應急機制。系統(tǒng)管理人員在接到通知后，按照規(guī)定的流程開啟關(guān)閉相關(guān)設(shè)備。如果需要更換設(shè)備，應上報有關(guān)領(lǐng)導,經(jīng)批準后馬上更換故障設(shè)備，盡快恢復網(wǎng)絡(luò)、應用系統(tǒng)運行。五、黑客入侵的應急處理1．報告和簡單處理發(fā)現(xiàn)網(wǎng)絡(luò)上有黑客攻擊行為，任何人員都有義務(wù)向技術(shù)部門報告。六、大規(guī)模病毒（含惡意軟件）攻擊的應急處理1．報告和簡單處理發(fā)現(xiàn)網(wǎng)絡(luò)上有大規(guī)模病毒攻擊的行為，任何人員都有義務(wù)向技術(shù)部門報告。根據(jù)IP地址信息找到該工作站的具體位置，對該工作站進行病毒或惡意程序清除工作。（四）協(xié)作配合、確?；謴停焊鲉挝灰獏f(xié)同配合，確保在最短的時間內(nèi)完成系統(tǒng)的恢復。（二）消防系統(tǒng)應急處理流程1．當出現(xiàn)火情、火災時，發(fā)現(xiàn)人