【正文】 統(tǒng)的磁盤空間將滿/已滿或系統(tǒng)關(guān)鍵進(jìn)程異常，即將影響或已經(jīng)影響生產(chǎn)系統(tǒng)運行的；主機(jī)或存儲設(shè)備的磁盤異常并發(fā)出警告的；密切關(guān)注事件：主機(jī)宕機(jī)；存儲設(shè)備不能正常工作的；主機(jī)與存儲設(shè)備中斷連接的；主機(jī)性能嚴(yán)重降低，影響終端用戶運行的；系統(tǒng)用戶誤操作導(dǎo)致重要文件丟失的。很多系統(tǒng)弱點可以在組織風(fēng)險管理控制過程中通過技術(shù)的、管理的或操作的方法消除，但理論上是不可能完全消除所有的風(fēng)險。下面從網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)與數(shù)據(jù)庫、數(shù)據(jù)以及管理等方面進(jìn)行描述：（一）網(wǎng)絡(luò)與公司各級網(wǎng)絡(luò)進(jìn)行互聯(lián)的外部網(wǎng)絡(luò)用戶及Internet黑客對各級單位網(wǎng)絡(luò)的非法入侵和攻擊；公司內(nèi)部各級單位網(wǎng)絡(luò)相互之間的安全威脅，例如某個分支單位網(wǎng)絡(luò)中的人員對網(wǎng)絡(luò)中關(guān)鍵服務(wù)器的非法入侵和破壞；在各級單位網(wǎng)絡(luò)中，對于關(guān)鍵的生產(chǎn)業(yè)務(wù)應(yīng)用和辦公應(yīng)用系統(tǒng)而言，可能會受到局域網(wǎng)上一些無關(guān)用戶的非法訪問。但伴隨著公司信息化建設(shè)的發(fā)展，IT系統(tǒng)的安全性也越發(fā)重要，需要全面加強(qiáng)信息安全性的建設(shè)，確保系統(tǒng)不受到來自內(nèi)部和外部的攻擊，實現(xiàn)對非法入侵的安全審計與跟蹤，保證業(yè)務(wù)應(yīng)用和數(shù)據(jù)的安全性。在確保安全事件解決后，要及時清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)，恢復(fù)工作應(yīng)避免出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)丟失。對于關(guān)鍵賬戶和密碼進(jìn)行密封保存。二是組織周圍人員迅速撤離。（2）將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來。服務(wù)器設(shè)備故障深圳市前海好彩金融服務(wù)有限公司（1）主要服務(wù)器應(yīng)做多個數(shù)據(jù)備份。（3）做好事件記錄，及時上報。核心交換機(jī)故障（1）檢查、備份核心交換機(jī)日志。（2）若是線路故障，重新安裝線路。（二）應(yīng)急處理電源斷電（1）查明故障原因。（二）設(shè)定信息安全等級保護(hù)，實行信息安全風(fēng)險評估。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實時的檢測、監(jiān)控、報告與預(yù)警。（四）應(yīng)用安全風(fēng)險身份認(rèn)證與授權(quán)控制的安全風(fēng)險依靠用戶 ID和口令的認(rèn)證很不安全，容易被猜測或盜取，會帶來很大的安全風(fēng)險。例如當(dāng)口令或通信密碼丟失、泄漏，系統(tǒng)管理權(quán)限丟失、泄漏時，輕者假冒合法身份用戶進(jìn)行非法操作。例如未經(jīng)授權(quán)非法訪問內(nèi)部網(wǎng)絡(luò)和應(yīng)用系統(tǒng)；對其進(jìn)行監(jiān)聽，竊取用戶的口令密碼和通信密碼；對網(wǎng)絡(luò)的安全漏洞進(jìn)行探測掃描；對通信線路和網(wǎng)絡(luò)設(shè)備實施拒絕服務(wù)攻擊，造成線路擁塞和系統(tǒng)癱瘓。四、事件分類和風(fēng)險程度分析（一）物理層的安全風(fēng)險分析系統(tǒng)環(huán)境安全風(fēng)險（1）水災(zāi)、火災(zāi)、雷電等災(zāi)害性故障引發(fā)的網(wǎng)絡(luò)中斷、系統(tǒng)癱瘓、數(shù)據(jù)被毀等；（2）因接地不良、機(jī)房屏蔽性能差引起的靜電干擾或外界的電磁干擾使系統(tǒng)不能正常工作；（3）機(jī)房電力設(shè)備和其它配套設(shè)備本身缺陷誘發(fā)信息系統(tǒng)故障；（4）機(jī)房安全設(shè)施自動化水平低，不能有效監(jiān)控環(huán)境和信息系統(tǒng)工作；（5）其它環(huán)境安全風(fēng)險。（一）領(lǐng)導(dǎo)小組成員： 組長：技術(shù)主管 副組長：運維經(jīng)理成員:。根據(jù)對于未知病毒，應(yīng)首先嘗試手工殺毒處理，若系統(tǒng)已被病毒破壞，無法恢復(fù)，應(yīng)將感染病毒的計算機(jī)上的硬盤加掛到其他機(jī)器上處理，將重要數(shù)據(jù)備份到其他存儲介質(zhì)，盡最大努力保護(hù)、保留感染計算機(jī)內(nèi)重要的數(shù)據(jù)，同時防止病毒感染其他計算機(jī)。由網(wǎng)絡(luò)中心組織應(yīng)急響應(yīng)，切斷受攻擊計算機(jī)與網(wǎng)絡(luò)的連接，停止一切操作、保護(hù)現(xiàn)場，立即上報有關(guān)領(lǐng)導(dǎo)。由安全管理員根據(jù)對入侵事件的分析，組織相關(guān)人員對內(nèi)部網(wǎng)計算機(jī)整改，防止黑客用同樣的手段再次入侵其他系統(tǒng)。4．啟用備份線路、設(shè)備、系統(tǒng)（如果存在的話），迅速恢復(fù)相關(guān)的應(yīng)用。2．計算中心機(jī)房出現(xiàn)火情并且無法進(jìn)行局部處理時，機(jī)房管理人員在緊急報告有關(guān)領(lǐng)導(dǎo)的同時，應(yīng)立即疏散物理場地樓層以內(nèi)的工作人員。辦公室應(yīng)盡快查清故障原因，提出解決辦法，確定故障排除可能需要的時間，報信息安全工作領(lǐng)導(dǎo)小組。一、組織機(jī)構(gòu)信息系統(tǒng)安全應(yīng)急工作，由信息安全工作領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)。機(jī)房管理員確定沒有病毒和安全漏洞后，再連接網(wǎng)絡(luò)恢復(fù)使用。檢查確定無安全隱患后，才可將受攻擊計算機(jī)重新連接網(wǎng)絡(luò)，或啟用備份計算機(jī)來恢復(fù)應(yīng)用。4．啟用備份線路、設(shè)備、系統(tǒng)（如果存在的話），迅速恢復(fù)相關(guān)的應(yīng)用。進(jìn)展情況隨時向有關(guān)領(lǐng)導(dǎo)報告。二、應(yīng)急措施電力系統(tǒng)故障的應(yīng)急處理流程1．任何部門和人員發(fā)現(xiàn)本單位電力系統(tǒng)出現(xiàn)異常情況時，都應(yīng)及時向公司辦公室報告。（三）協(xié)作配合、確?；謴?fù)：部門間要協(xié)同配合，確保在最短的時間內(nèi)完成系統(tǒng)的恢復(fù)。若火情嚴(yán)重時，應(yīng)迅速撥打119電話報警，并盡可能采取一些簡單可行的方法作初步處理，如：使用周圍的滅火器、水源（在允許用水滅火的場合）或采用其他滅火措施、手段。3．網(wǎng)絡(luò)線路故障排除如發(fā)現(xiàn)屬外部線路的問題，應(yīng)與線路服務(wù)提供商聯(lián)系，敦促對方盡快恢復(fù)故障線路。2．處理和恢復(fù)使用對于黑客攻擊，由技術(shù)部門與機(jī)房管理人員協(xié)同查找入侵蹤跡，分析入侵方式和原因，分析入侵事件并內(nèi)部網(wǎng)計算機(jī)進(jìn)行整改，防止黑客用同樣的手段再次入侵其他系統(tǒng)。2．已知病毒的處理和恢復(fù)使用最新版本殺毒軟件對染毒計算機(jī)進(jìn)行全面殺毒，并對染毒計算機(jī)系統(tǒng)進(jìn)行漏洞修補。七、預(yù)案的發(fā)布與生效本預(yù)案自發(fā)布之日起生效第二篇：信息系統(tǒng)安全應(yīng)急預(yù)案信息系統(tǒng)安全應(yīng)急預(yù)案為全面加強(qiáng)信息系統(tǒng)安全管理，應(yīng)對信息安全突發(fā)事件的發(fā)生，提高對安全事件的應(yīng)急處置能力，保證網(wǎng)絡(luò)與信息安全指揮協(xié)調(diào)工作迅速、高效、有序地進(jìn)行，滿足突發(fā)情況下信息系統(tǒng)安全穩(wěn)定、持續(xù)運行，根據(jù)國家和省有關(guān)規(guī)定，制定本預(yù)案。2．辦公室是電力系統(tǒng)故障應(yīng)急處理的第一責(zé)任單位。進(jìn)展情況隨時向有關(guān)領(lǐng)導(dǎo)報告。3．如發(fā)現(xiàn)屬外部線路的問題，應(yīng)與線路服務(wù)提供商聯(lián)系，敦促對方盡快恢復(fù)故障線路。2．對于黑客攻擊，由網(wǎng)絡(luò)中心組織應(yīng)急響應(yīng)小組查找入侵蹤跡，分析入侵方式和原因。（六）大規(guī)模病毒（含惡意軟件）攻擊的應(yīng)急處理1．發(fā)現(xiàn)網(wǎng)絡(luò)上有大規(guī)模病毒攻擊的行為，任何人員都有義務(wù)向網(wǎng)絡(luò)中心報告。根據(jù)IP地址信息找到該工作站的具體位置，對該工作站進(jìn)行病毒或惡意程序清除工作。二、應(yīng)急組織機(jī)構(gòu)及職責(zé)成立信息系統(tǒng)應(yīng)急處理領(lǐng)導(dǎo)小組，負(fù)責(zé)領(lǐng)導(dǎo)、組織和協(xié)調(diào)全公司信息系統(tǒng)突發(fā)事件的應(yīng)急保障工作。（四）科學(xué)決策，快速反應(yīng)加強(qiáng)技術(shù)儲備，規(guī)范應(yīng)急處置措施和操作流程，網(wǎng)絡(luò)與信息安全突發(fā)公共事件發(fā)生時，要快速反應(yīng)，及時獲取準(zhǔn)確信息，跟蹤研判，及時報告，果斷決策，迅速處理，昀大限度地減少危害和影響。網(wǎng)絡(luò)通信協(xié)議存在安全漏洞，網(wǎng)絡(luò)黑客就能利用網(wǎng)絡(luò)設(shè)備和協(xié)議的安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊和信息竊取。應(yīng)用系統(tǒng)的安全風(fēng)險為優(yōu)化整個應(yīng)用系統(tǒng)的性能，無論是采用C／S應(yīng)用模式或是B／S應(yīng)用模式，應(yīng)用系統(tǒng)都是其系統(tǒng)的重要組成部分，不僅是用戶訪問系統(tǒng)資源的入口，也是系統(tǒng)管理員和系統(tǒng)安全管理員管理系統(tǒng)資源的入口，桌面應(yīng)用系統(tǒng)的管理和使用不當(dāng)，會帶來嚴(yán)重的安全風(fēng)險。所以，必須要對外部和內(nèi)部網(wǎng)絡(luò)進(jìn)行必要的隔離，避免信息外泄；同時還要對外網(wǎng)的服務(wù)請求加以過濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其它的請求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。責(zé)權(quán)不明、管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。若發(fā)現(xiàn)下列情況應(yīng)及時向應(yīng)急領(lǐng)導(dǎo)小組報告：利用網(wǎng)絡(luò)從事違法犯罪活動；網(wǎng)絡(luò)或信息系統(tǒng)通信和資源使用異常；網(wǎng)絡(luò)或信息系統(tǒng)癱瘓，應(yīng)用服務(wù)中斷或數(shù)據(jù)篡改、丟失；網(wǎng)絡(luò)恐怖活動的嫌疑和預(yù)警信息；其他影響網(wǎng)絡(luò)與信息安全的信息。六、處置流程（一）預(yù)案啟動在發(fā)生網(wǎng)絡(luò)與信息安全事件后，信息中心應(yīng)盡昀大可能迅速收集事件相關(guān)信息，鑒別事件性質(zhì)，確定事件來源，弄清事件范圍和評估事件帶來的影響和損害，一旦確認(rèn)為網(wǎng)絡(luò)與信息安全事件后，立即將事件上報工作組并著手處置。局域網(wǎng)中斷緊急處理措施（1）信息安全負(fù)責(zé)人員立即判斷故障節(jié)點，查明故障原因，及時匯報。（4）做好事件記錄。（2）檢查并做好備用光纜或備用芯的跳線工作，隨時切換到備用網(wǎng)絡(luò)。（7）做好事件記錄，及時上報。黑客攻擊事件（1）若通過入侵監(jiān)測系統(tǒng)發(fā)現(xiàn)有黑客進(jìn)行攻擊，立即通知相關(guān)人員處理。（2）當(dāng)火勢已無法控制時，一是指定專人立即撥打“119”火警電話報警和向上級保衛(wèi)部門報告，并打破報警器示警。深圳市前海好彩金融服務(wù)有限公司1關(guān)鍵人員不在崗的緊急處置措施（1）對于關(guān)鍵崗位平時應(yīng)做好人員儲備，確保一項工作有兩人能夠操作。安全事件被抑制之后，通過對有關(guān)事件或行為的分析結(jié)果，找出其根源，明確相應(yīng)的補救措施并徹底清除。公司建立了支持全公司業(yè)務(wù)經(jīng)營的核心業(yè)務(wù)處理系統(tǒng)、財務(wù)處理系統(tǒng)、OA系統(tǒng)和郵件系統(tǒng)，實現(xiàn)了數(shù)據(jù)的集中管理。 系統(tǒng)安全隱患由于公司的系統(tǒng)是多應(yīng)用、多連接的平臺，本身就可能存在著難于覺察的安全隱患，同時又面臨來自各方面的安全威脅，這些威脅既可能是惡意的攻擊，又可能是某些員工無心的過失。 IT系統(tǒng)重大事件的界定IT系統(tǒng)的脆弱性體現(xiàn)在很多方面，小到短暫的電力不足或磁盤錯誤，大到設(shè)備的毀壞或火災(zāi)等等。 主機(jī)及存儲設(shè)備主機(jī)及存儲設(shè)備是IT系統(tǒng)運行的關(guān)鍵和核心，也是相對脆弱的部分，對工作環(huán)境的要求是相當(dāng)高的，任何外部的變化都可能導(dǎo)致這些設(shè)備出現(xiàn)異常。下面按照IT系統(tǒng)相關(guān)聯(lián)的電源、網(wǎng)絡(luò)、主機(jī)及存儲設(shè)備、數(shù)據(jù)庫、電腦病毒等多個方面進(jìn)行說明。（九）出現(xiàn)重大故障，盡快了解情況，分析問題和提出應(yīng)急解決方案，做好現(xiàn)場應(yīng)急處理，立即通知系統(tǒng)服務(wù)商到現(xiàn)場處理，并由系統(tǒng)服務(wù)商提供備件支援。四是敵對勢力以及受利益驅(qū)使的犯罪分子一直蠢蠢欲動，對政府部門構(gòu)成巨大威脅。應(yīng)急辦公室領(lǐng)導(dǎo)小組下設(shè)應(yīng)急辦公室，辦公室設(shè)在信息辦，辦公室主任由信息辦負(fù)責(zé)人擔(dān)任，成員由信息辦相關(guān)技術(shù)人員組成。信息辦接到報告后，應(yīng)立即采取措施，對異常情況進(jìn)行分析，防止異常情況擴(kuò)散。由領(lǐng)導(dǎo)小組會議決定啟動本預(yù)案，確定指揮人員。信息發(fā)布網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)生后，導(dǎo)致行政管理公共行政業(yè)務(wù)無法正常開展的。數(shù)據(jù)保障建立業(yè)務(wù)數(shù)據(jù)備份系統(tǒng)，保證在網(wǎng)絡(luò)和信息安全突發(fā)事件發(fā)生時，可緊急恢復(fù)。檢查與考核建立檢查和考核機(jī)制。信息辦在查清事件發(fā)生原因的基礎(chǔ)上，及時總結(jié)經(jīng)驗教訓(xùn)，提出強(qiáng)化安全防范的措施，寫出調(diào)查報告，報網(wǎng)絡(luò)和信息安全應(yīng)急領(lǐng)導(dǎo)小組。三、病毒防治應(yīng)急處置規(guī)程當(dāng)計算機(jī)使用人員發(fā)現(xiàn)其計算機(jī)被感染上病毒后，若無法清除該病毒，應(yīng)第一時間將計算機(jī)從網(wǎng)絡(luò)上物理斷開。情況嚴(yán)重的，召開網(wǎng)絡(luò)和信息安全應(yīng)急領(lǐng)導(dǎo)小組會議；總結(jié)經(jīng)驗教訓(xùn)，采取有效的防范措施?？偨Y(jié)相關(guān)教訓(xùn)，分析具體原因，加固核心數(shù)據(jù)庫系統(tǒng)安全，并報領(lǐng)導(dǎo)小組。如屬線路故障，應(yīng)立即搶修線路。如果不能自行恢復(fù)的，立即與設(shè)備提供商聯(lián)系，請求派維修人員前來維修。十、電力中斷應(yīng)急處置規(guī)程發(fā)生電力中斷，應(yīng)立即向領(lǐng)導(dǎo)小組報告。