【正文】 2．已知病毒的處理和恢復使用最新版本殺毒軟件對染毒計算機進行全面殺毒，并對染毒計算機系統(tǒng)進行漏洞修補。3．網(wǎng)絡線路故障排除如發(fā)現(xiàn)屬外部線路的問題，應與線路服務提供商聯(lián)系，敦促對方盡快恢復故障線路。（三）協(xié)作配合、確?；謴停翰块T間要協(xié)同配合，確保在最短的時間內(nèi)完成系統(tǒng)的恢復。（2）一旦發(fā)生系統(tǒng)安全事件，關鍵人員不在崗且聯(lián)系不上或 1小時內(nèi)不能到達機房的情況，首先應向領導小組匯報情況。（3）及時恢復重建被攻擊或被破壞的系統(tǒng)（4）記錄事件，及時上報，若事態(tài)嚴重，應及時向信息化主管部門和公安部門報警。計算機病毒爆發(fā)（1）關閉計算機病毒爆發(fā)網(wǎng)段上聯(lián)端口。（3）若是路由器、交換機等設備故障，應立即從指定位置將備用設備取出接上，并調(diào)試暢通。通過相關設備實時監(jiān)控網(wǎng)絡工作與信息安全狀況。為此，動態(tài)口令認證、CA第三方認證等被認為是先進的認證方式。網(wǎng)絡操作系統(tǒng)的安全風險網(wǎng)絡操作系統(tǒng)，不論是 IOS，Android，還是 Windows，都存在安全漏洞；一些重要的網(wǎng)絡設備，如路由器、交換機、網(wǎng)關，防火墻等，由于操作系統(tǒng)存在安全漏洞，導致網(wǎng)絡設備的不安全；有些網(wǎng)絡設備存在“后門”（back door）。應急小組日常工作由公司技術部承擔，其他各相關部門積極配合。2．若是已知病毒，使用最新版本殺毒軟件對染毒計算機進行全面殺毒，并對染毒計算機系統(tǒng)進行漏洞修補。（四）網(wǎng)站檢測與自動恢復系統(tǒng)應急處理流程1．發(fā)現(xiàn)網(wǎng)站不能正常打開或網(wǎng)站內(nèi)容被惡意篡改時，任何人員都有義務向網(wǎng)絡中心報告。3．網(wǎng)絡運行負責人應根據(jù)停電時間和UPS電池的供電能力，在保證重點網(wǎng)絡關鍵設備用電的前提下，提出機房設備部分關機或全部關機方案，報信息安全工作領導小組。 主機、存儲設備及數(shù)據(jù)庫為保證生產(chǎn)系統(tǒng)穩(wěn)定運行，主機與存儲系統(tǒng)保持7X24小時的可用。在既能保證公司系統(tǒng)平穩(wěn)運行，又能保證關鍵或重要設備安全的前提下，根據(jù)目前配備的UPS電源的實際情況，將電源事件分為三個層次：一般性電源事件：停電時間在1小時以內(nèi)的（包括1小時）； 需關注電源事件：停電時間在2小時以內(nèi)的（包括2小時）； 密切關注電源事件：停電時間在2小時以上的。在網(wǎng)絡上運行著以下系統(tǒng)：（一）視頻會議系統(tǒng)各分公司之間、分公司與總公司之間、各辦事處與公司之間進行的網(wǎng)絡視頻會議。（2）一旦發(fā)生系統(tǒng)安全事件，關鍵人員不在崗且聯(lián)系不上或 1小時內(nèi)不能到達機房的情況，首先應向領導小組匯報情況。（3）及時恢復重建被攻擊或被破壞的系統(tǒng)（4）記錄事件，及時上報，若事態(tài)嚴重，應及時向信息化主管部門和公安部門報警。計算機病毒爆發(fā)（1）關閉計算機病毒爆發(fā)網(wǎng)段上聯(lián)端口。（3）若是路由器、交換機等設備故障，應立即從指定位置將備用設備取出接上，并調(diào)試暢通。通過相關設備實時監(jiān)控網(wǎng)絡工作與信息安全狀況。為此，動態(tài)口令認證、CA第三方認證等被認為是先進的認證方式。網(wǎng)絡操作系統(tǒng)的安全風險網(wǎng)絡操作系統(tǒng)，不論是 IOS，Android，還是 Windows，都存在安全漏洞；一些重要的網(wǎng)絡設備，如路由器、交換機、網(wǎng)關，防火墻等，由于操作系統(tǒng)存在安全漏洞，導致網(wǎng)絡設備的不安全；有些網(wǎng)絡設備存在“后門”（back door）。（一）領導小組成員： 組長：劉全 成員：信息科應急小組日常工作由信息科承擔，其他各相關部門積極配合。（三）落實措施、確保安全要對機房、網(wǎng)絡設備、服務器等設施定期開展安全檢查，對發(fā)現(xiàn)安全漏洞和隱患的進行及時整改。建立在其上的各種應用系統(tǒng)軟件在數(shù)據(jù)的安全管理設計上也不可避免地存在或多或少的安全缺陷，需要對數(shù)據(jù)庫和應用的安全性能進行綜合的檢測和評估。管理層安全風險分析安全的網(wǎng)絡設備要靠人來實施，管理是整個網(wǎng)絡安全中昀為重要的一環(huán)，認真地分析管理所帶來的安全風險，并采取相應的安全措施。在處置過程中，應及時報告處置工作進展情況，直至處置工作結束。（3）如是電信部門管轄范圍，應立即與電信維護部門聯(lián)系修復。（6）通過專用工具對網(wǎng)絡進行清查。人員疏散與機房滅火預案（1）當班人員發(fā)現(xiàn)機房內(nèi)有起火、冒煙現(xiàn)象或聞到燒焦氣味時，應立即查明原因和地點，及時上報并針對不同情況，采取關閉電源總開關、隔離火源附近易燃物、用消防栓、滅火器等器材滅火等措施，組織本單位、部門在場的人員有序地投入撲救工作，將火撲滅或控制火勢蔓延。（三）后續(xù)處理安全事件進行昀初的應急處置以后，應及時采取行動，抑制其影響的進一步擴大，限制潛在的損失與破壞，同時要確保應急處置措施對涉及的相關業(yè)務影響昀小。（二）操作系統(tǒng)與數(shù)據(jù)庫操作系統(tǒng)與數(shù)據(jù)庫都存在一定的安全缺陷或者后門，很容易被攻擊者用來進行非法的操作；系統(tǒng)管理員經(jīng)驗不足或者工作疏忽造成的安全漏洞，也很容易被攻擊者利用；系統(tǒng)合法用戶特別是擁有完全操作權限的特權用戶的誤操作可能導致系統(tǒng)癱瘓、數(shù)據(jù)丟失等情況。 數(shù)據(jù)庫數(shù)據(jù)庫是存儲公司經(jīng)營信息的關鍵部分，由于數(shù)據(jù)庫是建立在主機及存儲設備上的應用，任何主機及存儲設備的變化都會對數(shù)據(jù)庫產(chǎn)生或大或小的影響，同時數(shù)據(jù)庫也是公司各個層面用戶的使用對象，用戶對數(shù)據(jù)的操作可能導致不可預料的影響。具體措施如下：（一）配置企業(yè)級網(wǎng)絡版殺毒軟件，在公司總部、分公司、營業(yè)部所有聯(lián)網(wǎng)的PC機、PC服務器上安裝病毒/郵件防火墻，部署統(tǒng)一的公司網(wǎng)絡防毒系統(tǒng)，實現(xiàn)反毒分級防范和集中安全管理；（二）在公司總部和分公司配置防毒網(wǎng)關服務器，檢查所有進出郵件、所訪問的網(wǎng)頁和FTP文件，防止病毒通過外部網(wǎng)絡進入公司內(nèi)網(wǎng)進行傳播；（三）建立定時自動更新防病毒軟件和病毒庫的機制，確保殺毒軟件的有效性；（四）建立集中的網(wǎng)絡入侵檢測和漏洞掃描系統(tǒng)，防范黑客入侵和攻擊，及時給系統(tǒng)打補??；（五）加強對用戶的教育，不從不明網(wǎng)站下載，不查看來源不明的郵件，不運行可能含有病毒的程序等；（六）如果用戶機器發(fā)現(xiàn)病毒，應立即終止網(wǎng)絡連接并通知信息部門進行相關處理；（七）如果因病毒發(fā)作而導致數(shù)據(jù)丟失，應立即與信息部門聯(lián)系，不要自行處理。若火情嚴重時，應迅速撥打119電話報警，并盡可能采取一些簡單可行的方法作初步處理，如：使用周圍的滅火器、水源（在允許用水滅火的場合）或采用其他滅火措施、手段。計算中心立即啟動應急響應，切斷受攻擊計算機與網(wǎng)絡的連接，停止一切操作、保護現(xiàn)場，并上報有關領導。根據(jù)端口狀態(tài)功能，查看該感染病毒或惡意程序的工作站的IP地址。（三）落實措施、確保安全深圳市前海好彩金融服務有限公司要對機房、網(wǎng)絡設備、服務器等設施定期開展安全檢查，對發(fā)現(xiàn)安全漏洞和隱患的進行及時整改。建立在其上的各種應用系統(tǒng)軟件在數(shù)據(jù)的安全管理設計上也不可避免地存在或多或少的安全缺陷，需要對數(shù)據(jù)庫和應用的安全性能進行綜合的檢測和評估。深圳市前海好彩金融服務有限公司管理層安全風險分析安全的網(wǎng)絡設備要靠人來實施，管理是整個網(wǎng)絡安全中昀為重要的一環(huán)，認真地分析管理所帶來的安全風險，并采取相應的安全措施。在處置過程中，應及時報告處置工作進展情況，直至處置工作結束。（3）如是電信部門管轄范圍，應立即與電信維護部門聯(lián)系修復。（6）通過專用工具對網(wǎng)絡進行清查。人員疏散與機房滅火預案（1）當班人員發(fā)現(xiàn)機房內(nèi)有起火、冒煙現(xiàn)象或聞到燒焦氣味時，應立即查明原因和地點，及時上報并針對不同情況，采取關閉電源總開關、隔離火源附近易燃物、用消防栓、滅火器等器材滅火等措施，組織本單位、部門在場的人員有序地投入撲救工作，將火撲滅或控制火勢蔓延。（三）后續(xù)處理安全事件進行昀初的應急處置以后，應及時采取行動，抑制其影響的進一步擴大，限制潛在的損失與破壞，同時要確保應急處置措施對涉及的相關業(yè)務影響昀小。4． 電力系統(tǒng)恢復供電后的處理流程電力系統(tǒng)恢復供電后，公司辦公室應在第一時間通知技術部門，以便以最快的速度恢復關閉的網(wǎng)絡應用。待故障處理完成并經(jīng)過測試后，恢復系統(tǒng)的正常運行和內(nèi)容的正常應用。根據(jù)端口狀態(tài)功能，查看該感染病毒或惡意程序的工作站的IP地址。如果能追查到攻擊者的相關信息，可以對其發(fā)出警告，必要時可以采取進一步的行動，乃至采取法律手段。三、網(wǎng)絡信息系統(tǒng)故障的應急處理流程網(wǎng)絡設備、網(wǎng)絡應用系統(tǒng)故障應由發(fā)現(xiàn)人通知機房管理人員，技術部門立即檢查故障，進行初步故障定位。（二）數(shù)據(jù)保障重要信息系統(tǒng)均應建立容災備份系統(tǒng)和相關工作機制，保證重要數(shù)據(jù)在遭到破壞后，可緊急恢復。雷暴天氣結束后，及時開通服務器，恢復內(nèi)部計算機網(wǎng)絡工作。（4）對主機系統(tǒng)進行維修并做數(shù)據(jù)恢復。（5）匯報有關領導，做好事件記錄。深圳市前海好彩金融服務有限公司（5）通知機房進行電源維修。加強對各類網(wǎng)絡與信息安全突發(fā)事件和可能引起突發(fā)網(wǎng)絡與信息安全突發(fā)公共事件的有關信息的收集、分析、判斷和持續(xù)監(jiān)測。黑客入侵風險一方面風險來自于內(nèi)部，入侵者利用 Sniffer等嗅探程序通過網(wǎng)絡探測、掃描網(wǎng)絡及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡 IP地址、應用操作系統(tǒng)的類型、開放哪些 TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關鍵文件等，并采用相應的攻擊程序對內(nèi)網(wǎng)進行攻擊。公司的網(wǎng)絡是由多個局域網(wǎng)和廣域網(wǎng)組成，網(wǎng)絡體系結構比較復雜。為切實加強我司網(wǎng)絡運行安全與信息安全的防范，做好應對網(wǎng)絡與信息安全突發(fā)公共事件的應急處理工作，進一步提高預防和控制網(wǎng)絡和信息安全突發(fā)事件的能力和水平，昀大限度地減輕或消除網(wǎng)絡與信息安全突發(fā)事件的危害和影響，確保網(wǎng)絡運行安全與信息安全，結合公司工作實際，特制定本應急預案。根據(jù)破壞程度，經(jīng)有關領導同意后，上報公安部門。2．對簡單故障，運維人員應迅速排除故障，解決問題并記錄。（三）積極預防、及時預警：各單位應及早發(fā)現(xiàn)安全事件，及時進行預警和信息通報；積極做好應急處理準備，提高對安全事件的預防和應急處理能力。下面按照IT系統(tǒng)相關聯(lián)的電源、網(wǎng)絡、主機及存儲設備、數(shù)據(jù)庫、電腦病毒等多個方面進行說明。 IT系統(tǒng)重大事件的界定IT系統(tǒng)的脆弱性體現(xiàn)在很多方面，小到短暫的電力不足或磁盤錯誤，大到設備的毀壞或火災等等。（二）數(shù)據(jù)保障重要信息系統(tǒng)均應建立容災備份系統(tǒng)和相關工作機制，保證重要數(shù)據(jù)在遭到破壞后，可緊急恢復。雷暴天氣結束后，及時開通服務器，恢復內(nèi)部計算機網(wǎng)絡工作。（4）對主機系統(tǒng)進行維修并做數(shù)據(jù)恢復。（5）匯報有關領導，做好事件記錄。（5）通知進行電源維修。加強對各類網(wǎng)絡與信息安全突發(fā)事件和可能引起突發(fā)網(wǎng)絡與信息安全突發(fā)公共事件的有關信息的收集、分析、判斷和持續(xù)監(jiān)測。黑客入侵風險一方面風險來自于內(nèi)部，入侵者利用 Sniffer等嗅探程序通過網(wǎng)絡探測、掃描網(wǎng)絡及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡 IP地址、應用操作系統(tǒng)的類型、開放哪些 TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關鍵文件等，并采用相應的攻擊程序對內(nèi)網(wǎng)進行攻擊。醫(yī)院的網(wǎng)絡是由多個局域網(wǎng)和廣域網(wǎng)組成，網(wǎng)絡體系結構比較復雜。第一篇：系統(tǒng)安全應急預案（推薦）北疆房產(chǎn)網(wǎng)系統(tǒng)安全應急預案一、總則（一）編制目的網(wǎng)絡和信息安全涉及以設備為中心的信息安全，技術涵蓋網(wǎng)絡系統(tǒng)、計算機操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用軟件系統(tǒng)；涉及計算機病毒的防范、入侵的監(jiān)控；涉及以用戶（包括內(nèi)部員工和外部相關機構人員）為中心的安全管理，包括用戶的身份管理、身份認證、授權、審