【文章內(nèi)容簡介】 病毒帶有極大的危害性和極快的傳播速度，從而可能導(dǎo)致在公司內(nèi)部的病毒大范圍傳播。針對病毒在公司內(nèi)部的傳播范圍或危害程度，分為三個層次：一般性事件：獨(dú)立的病毒感染，并沒有傳播和造成損失的；密切關(guān)注事件：病毒小范圍傳播，并造成一定損失，但不是重大損失的； 嚴(yán)重關(guān)注事件：病毒大范圍傳播，并造成重大損失的； 其他事件信息中心機(jī)房其他影響IT系統(tǒng)運(yùn)行的因素可能會產(chǎn)生一些突然事件，主要有以下一些方面：（一）空調(diào)工作異常，導(dǎo)致機(jī)房溫度過高；（二）空調(diào)防水保護(hù)出現(xiàn)異常導(dǎo)致滲水；（三）發(fā)生火災(zāi)；（四）粉塵導(dǎo)致主機(jī)或存儲設(shè)備異常的。 信息系統(tǒng)重大事件的應(yīng)急方案根據(jù)上節(jié)對IT系統(tǒng)重大事件的界定，公司已經(jīng)建立了一套完整的應(yīng)急方案，在硬件方面采用雙機(jī)熱備機(jī)制，同時加強(qiáng)日常的系統(tǒng)監(jiān)控，保持完整的數(shù)據(jù)備份，及時進(jìn)行災(zāi)難恢復(fù)，和儲備必要的系統(tǒng)備件等多種技術(shù)和方法。下面按照IT系統(tǒng)相關(guān)聯(lián)的電源、網(wǎng)絡(luò)、主機(jī)及存儲設(shè)備、數(shù)據(jù)庫、電腦病毒等多個方面進(jìn)行說明。 電源機(jī)房采用UPS為主要設(shè)備進(jìn)行供電，為了應(yīng)對重大突發(fā)事件，采用以下了手段：（一）加強(qiáng)UPS的維護(hù)，保證UPS的正常工作。（二）在必要情況下，交流輸入供電系統(tǒng)采用雙路市電供電和發(fā)電機(jī)聯(lián)合供電，保證市電使長期停電, UPS仍能正常供電；（三）直流輸入方面，采用公用一組電池組的設(shè)計(jì)，配置長達(dá)48小時的后備電池, 并提供交流輸入瞬變或市電與發(fā)電機(jī)供電切換時的短時供電；（四）根據(jù)停電時間的長短，依次發(fā)布一般性通知、較緊急通知和緊急通知給相關(guān)部門和機(jī)構(gòu)；（五）停電發(fā)生后，及時聯(lián)系設(shè)備部門和供電部門。 網(wǎng)絡(luò)（一）核心路由器做雙以太口綁定，如一端口發(fā)生故障，自動切換到VPN備份線路接入主機(jī)系統(tǒng)，直到修復(fù)使用正常，同時由網(wǎng)絡(luò)集成商提供技術(shù)和備件支持，一旦出現(xiàn)緊急故障，1小時趕到現(xiàn)場處理故障；（二）到分支機(jī)構(gòu)專線采用2M數(shù)字線路，如2M數(shù)字線路發(fā)生故障斷開則自動切換到VPN備份線路接入主機(jī)系統(tǒng)，直到專線修復(fù)則使用正常2M線路通信；（三）對于網(wǎng)絡(luò)核心設(shè)備出現(xiàn)重大故障，盡快了解情況，分析問題和提出應(yīng)急解決方案，做好現(xiàn)場應(yīng)急處理，立即通知網(wǎng)絡(luò)集成服務(wù)商到現(xiàn)場處理，主干交換機(jī)由網(wǎng)絡(luò)集成商提供技術(shù)和備件支持，一旦出現(xiàn)緊急故障，1小時內(nèi)趕到現(xiàn)場處理故障；（四）為防止核心路由器或主干交換機(jī)發(fā)生故障后無法解決問題，在必要情況下，配備一臺備用路由器和主干交換機(jī)，配置接口與核心路由器和主干交換機(jī)相同，一旦出現(xiàn)故障，能在十分種內(nèi)進(jìn)行更換；（五）在網(wǎng)絡(luò)入口處檢查網(wǎng)絡(luò)通訊，根據(jù)設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，保障內(nèi)外網(wǎng)絡(luò)通訊，實(shí)現(xiàn)了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)有效的隔離，所有來自外部網(wǎng)絡(luò)的訪問請求都要通過防火墻的檢查，內(nèi)部網(wǎng)絡(luò)的安全將會得到保證。具體有：設(shè)置源地址過濾，拒絕外部非法IP地址，有效避免了外部網(wǎng)絡(luò)上與業(yè)務(wù)無關(guān)的主機(jī)的越權(quán)訪問；防火墻只保留有用的WEB服務(wù)和郵件服務(wù)，將其它不需要的服務(wù)關(guān)閉，將系統(tǒng)受攻擊的可能性降低到最小限度，使黑客無機(jī)可乘；防火墻制定訪問策略，只有被授權(quán)的外部主機(jī)可以訪問內(nèi)部網(wǎng)絡(luò)的有限IP地址，保證外部網(wǎng)絡(luò)只能訪問內(nèi)部網(wǎng)絡(luò)中的必要資源，與業(yè)務(wù)無關(guān)的操作將被拒絕；全面監(jiān)視外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問活動，并進(jìn)行詳細(xì)的記錄，及時分析得出可疑的攻擊行為；網(wǎng)絡(luò)的安全策略由防火墻集中管理，使黑客無法通過更改某一臺主機(jī)的安全策略來達(dá)到控制其他資源訪問權(quán)限的目的；設(shè)置地址轉(zhuǎn)換功能，使外部網(wǎng)絡(luò)用戶不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，使黑客攻擊失去目標(biāo)。 主機(jī)、存儲設(shè)備及數(shù)據(jù)庫為保證生產(chǎn)系統(tǒng)穩(wěn)定運(yùn)行，主機(jī)與存儲系統(tǒng)保持7X24小時的可用。為應(yīng)對可能發(fā)生的重大事件或突發(fā)事件，采取以下措施：（一）在接到緊急停電通知后3040分鐘內(nèi)按照先數(shù)據(jù)庫、次主機(jī)、最后存儲設(shè)備的順序停止所有系統(tǒng)運(yùn)行，在必要的情況下，須拔掉所有電源插頭；（二）采用雙機(jī)熱備技術(shù)，在其中一臺主機(jī)出現(xiàn)異常時，及時進(jìn)行切換；（三）采用硬盤、磁帶庫等設(shè)備作好日常數(shù)據(jù)備份；（四）如果發(fā)生誤刪除操作系統(tǒng)文件，立即進(jìn)行文件系統(tǒng)恢復(fù)（必須有備份）；（五）如果發(fā)生誤刪除數(shù)據(jù)，立即進(jìn)行數(shù)據(jù)庫恢復(fù)（必須有備份）；（六）如果文件系統(tǒng)空間不夠，導(dǎo)致系統(tǒng)不能正常運(yùn)行，立即進(jìn)行文件系統(tǒng)擴(kuò)展。（七）如果數(shù)據(jù)庫表空間不足，立即進(jìn)行表空間擴(kuò)展，同時可能還進(jìn)行文件系統(tǒng)擴(kuò)展；（八）在必要情況下，建立異地數(shù)據(jù)備份中心，以保持?jǐn)?shù)據(jù)安全性。（九）出現(xiàn)重大故障，盡快了解情況，分析問題和提出應(yīng)急解決方案，做好現(xiàn)場應(yīng)急處理，立即通知系統(tǒng)服務(wù)商到現(xiàn)場處理，并由系統(tǒng)服務(wù)商提供備件支援。 電腦病毒為防止電腦病毒在公司內(nèi)部的傳播，反毒和信息安全應(yīng)按照“整體防御，整體解決”的原則實(shí)施，采用多種手段和產(chǎn)品來切斷電腦病毒的傳播“通道”。具體措施如下：（一）配置企業(yè)級網(wǎng)絡(luò)版殺毒軟件，在公司總部、分公司、營業(yè)部所有聯(lián)網(wǎng)的PC機(jī)、PC服務(wù)器上安裝病毒/郵件防火墻，部署統(tǒng)一的公司網(wǎng)絡(luò)防毒系統(tǒng)，實(shí)現(xiàn)反毒分級防范和集中安全管理；（二）在公司總部和分公司配置防毒網(wǎng)關(guān)服務(wù)器，檢查所有進(jìn)出郵件、所訪問的網(wǎng)頁和FTP文件，防止病毒通過外部網(wǎng)絡(luò)進(jìn)入公司內(nèi)網(wǎng)進(jìn)行傳播；（三）建立定時自動更新防病毒軟件和病毒庫的機(jī)制，確保殺毒軟件的有效性；（四）建立集中的網(wǎng)絡(luò)入侵檢測和漏洞掃描系統(tǒng)，防范黑客入侵和攻擊，及時給系統(tǒng)打補(bǔ)?。唬ㄎ澹┘訌?qiáng)對用戶的教育，不從不明網(wǎng)站下載，不查看來源不明的郵件，不運(yùn)行可能含有病毒的程序等；（六）如果用戶機(jī)器發(fā)現(xiàn)病毒，應(yīng)立即終止網(wǎng)絡(luò)連接并通知信息部門進(jìn)行相關(guān)處理；（七）如果因病毒發(fā)作而導(dǎo)致數(shù)據(jù)丟失，應(yīng)立即與信息部門聯(lián)系，不要自行處理。第三篇：信息系統(tǒng)安全應(yīng)急預(yù)案信息系統(tǒng)安全應(yīng)急預(yù)案為全面加強(qiáng)信息系統(tǒng)安全管理，應(yīng)對信息安全突發(fā)事件的發(fā)生，提高對安全事件的應(yīng)急處置能力，保證網(wǎng)絡(luò)與信息安全指揮協(xié)調(diào)工作迅速、高效、有序地進(jìn)行，滿足突發(fā)情況下信息系統(tǒng)安全穩(wěn)定、持續(xù)運(yùn)行，根據(jù)國家和省有關(guān)規(guī)定，制定本預(yù)案。一、組織機(jī)構(gòu)信息系統(tǒng)安全應(yīng)急工作，由信息安全工作領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)。負(fù)責(zé)信息安全日常事務(wù)處理、應(yīng)急處理及安全通報等事務(wù)。二、工作原則（一）明確責(zé)任、分級負(fù)責(zé)：按照“誰主管誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)”的要求，逐級建立并落實(shí)統(tǒng)計(jì)信息系統(tǒng)責(zé)任制和應(yīng)急機(jī)制。（二）加強(qiáng)領(lǐng)導(dǎo)、分工合作：各單位應(yīng)按照規(guī)定的職責(zé)和流程，實(shí)施統(tǒng)計(jì)信息系統(tǒng)的應(yīng)急處理工作。（三）積極預(yù)防、及時預(yù)警：各單位應(yīng)及早發(fā)現(xiàn)安全事件，及時進(jìn)行預(yù)警和信息通報；積極做好應(yīng)急處理準(zhǔn)備，提高對安全事件的預(yù)防和應(yīng)急處理能力。（四）協(xié)作配合、確?；謴?fù)：各單位要協(xié)同配合，確保在最短的時間內(nèi)完成系統(tǒng)的恢復(fù)。三、應(yīng)急措施(一)電力系統(tǒng)故障的應(yīng)急處理流程1．任何單位和人員發(fā)現(xiàn)本單位電力系統(tǒng)出現(xiàn)異常情況時，都應(yīng)及時向辦公室報告。2．辦公室是電力系統(tǒng)故障應(yīng)急處理的第一責(zé)任單位。辦公室應(yīng)盡快查清故障原因，提出解決辦法，確定故障排除可能需要的時間，報信息安全工作領(lǐng)導(dǎo)小組。3．網(wǎng)絡(luò)運(yùn)行負(fù)責(zé)人應(yīng)根據(jù)停電時間和UPS電池的供電能力，在保證重點(diǎn)網(wǎng)絡(luò)關(guān)鍵設(shè)備用電的前提下，提出機(jī)房設(shè)備部分關(guān)機(jī)或全部關(guān)機(jī)方案，報信息安全工作領(lǐng)導(dǎo)小組。經(jīng)認(rèn)可后，安排相關(guān)人員按照規(guī)定的流程操作實(shí)施。4．電力系統(tǒng)恢復(fù)供電后，辦公室應(yīng)在第一時間通知網(wǎng)絡(luò)中心，以便以最快的速度恢復(fù)關(guān)閉的網(wǎng)絡(luò)應(yīng)用。計(jì)算中心網(wǎng)絡(luò)和系統(tǒng)管理人員在接到通知后，按照規(guī)定的流程開啟關(guān)閉相關(guān)設(shè)備。（二）消防系統(tǒng)應(yīng)急處理流程1．當(dāng)出現(xiàn)火情、火災(zāi)時，發(fā)現(xiàn)人員應(yīng)在最短時間內(nèi)報告辦公室。若火情嚴(yán)重時，應(yīng)迅速撥打119電話報警，并盡可能采取一些簡單可行的方法作初步處理，如：使用周圍的滅火器、水源（在允許用水滅火的場合）或采用其他滅火措施、手段。進(jìn)展情況隨時向有關(guān)領(lǐng)導(dǎo)報告。2．計(jì)算中心機(jī)房出現(xiàn)火情并且無法進(jìn)行局部處理時，機(jī)房管理人員在緊急報告有關(guān)領(lǐng)導(dǎo)的同時，應(yīng)立即疏散物理場地樓層以內(nèi)的工作人員。并迅速撥打119電話報警。（三）網(wǎng)絡(luò)信息系統(tǒng)故障的應(yīng)急處理流程1．網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)應(yīng)用系統(tǒng)故障應(yīng)由發(fā)現(xiàn)人通知計(jì)算中心，計(jì)算中心立即檢查故障，進(jìn)行初步故障定位。如果網(wǎng)絡(luò)、應(yīng)用系統(tǒng)出現(xiàn)比較嚴(yán)重的問題，對網(wǎng)絡(luò)業(yè)務(wù)的正常運(yùn)行造成較大的影響，需立即向有關(guān)領(lǐng)導(dǎo)報告。2．對簡單故障，運(yùn)維人員應(yīng)迅速排除故障，解決問題并記錄。如果需要更換設(shè)備，應(yīng)上報有關(guān)領(lǐng)導(dǎo)經(jīng)批準(zhǔn)后馬上更換故障設(shè)備，盡快恢復(fù)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)運(yùn)行。運(yùn)維部門判斷無法及時修理時，應(yīng)立即通知相關(guān)的系統(tǒng)運(yùn)行服務(wù)提供商，在最短的時間內(nèi)安排修理或更換系統(tǒng)。3．如發(fā)現(xiàn)屬外部線路的問題，應(yīng)與線路服務(wù)提供商聯(lián)系，敦促對方盡快恢復(fù)故障線路。4．啟用備份線路、設(shè)備、系統(tǒng)（如果存在的話），迅速恢復(fù)相關(guān)的應(yīng)用。（四）網(wǎng)站檢測與自動恢復(fù)系統(tǒng)應(yīng)急處理流程1．發(fā)現(xiàn)網(wǎng)站不能正常打開或網(wǎng)站內(nèi)容被惡意篡改時，任何人員都有義務(wù)向網(wǎng)絡(luò)中心報告。由網(wǎng)絡(luò)應(yīng)急小組組織應(yīng)急響應(yīng)，聯(lián)合相關(guān)部門進(jìn)行故障排查。2．先由運(yùn)維小組查看網(wǎng)絡(luò)連接情況，若不是網(wǎng)絡(luò)故障，則排查軟、硬件故障。待故障處理完成并經(jīng)過測試后，恢復(fù)系統(tǒng)的正常運(yùn)行和內(nèi)容的正常應(yīng)用。（五）黑客入侵的應(yīng)急處理1．發(fā)現(xiàn)網(wǎng)絡(luò)上有黑客攻擊行為，任何人員都有義務(wù)向網(wǎng)絡(luò)中心報告。計(jì)算中心立即啟動應(yīng)急響應(yīng)，切斷受攻擊計(jì)算機(jī)與網(wǎng)絡(luò)的連接，停止一切操作、保護(hù)現(xiàn)場，并上報有關(guān)領(lǐng)導(dǎo)。2．對于黑客攻擊，由網(wǎng)絡(luò)中心組織應(yīng)急響應(yīng)小組查找入侵蹤跡，分析入侵方式和原因。由安全管理員根據(jù)對入侵事件的分析，組織相關(guān)人員對內(nèi)部網(wǎng)計(jì)算機(jī)整改，防止黑客用同樣的手段再次入侵其他系統(tǒng)。安全管理員檢查確定無安全隱患后，才可將受攻擊計(jì)算機(jī)重新連接網(wǎng)絡(luò)，或啟用備份計(jì)算機(jī)來恢復(fù)應(yīng)用。3．安全管理員應(yīng)做好記錄，保護(hù)現(xiàn)場，進(jìn)行日志收集等工作。如果能追查到攻擊者的相關(guān)信息，可以對其發(fā)出警告，必要時可以采取進(jìn)一步的行動，乃至采取法律手段。根據(jù)破壞程度，經(jīng)有關(guān)領(lǐng)導(dǎo)同意后，上報公安部門。若系統(tǒng)已被黑客破壞，無法恢復(fù)，應(yīng)將受黑客攻擊的計(jì)算機(jī)上的重要數(shù)據(jù)備份到其他存儲介質(zhì)，確保計(jì)算機(jī)內(nèi)重要的數(shù)據(jù)不丟失。如果數(shù)據(jù)無法恢復(fù)，經(jīng)有關(guān)領(lǐng)導(dǎo)同意后，可與國家指定的部門聯(lián)系，由他們來協(xié)助恢復(fù)，為保證數(shù)據(jù)信息安全，需在安全管理部門作記錄。（六）大規(guī)模病毒（含惡意軟件）攻擊的應(yīng)急處理1．發(fā)現(xiàn)網(wǎng)絡(luò)上有大規(guī)模病毒攻擊的行為，任何人員都有義務(wù)向網(wǎng)絡(luò)中心報告。由網(wǎng)絡(luò)中心組織應(yīng)急響應(yīng)，切斷受攻擊計(jì)算機(jī)與網(wǎng)絡(luò)的連接，停止一切操作、保護(hù)現(xiàn)場，立即上報有關(guān)領(lǐng)導(dǎo)。2．若是已知病毒，使用最新版本殺毒軟件對染毒計(jì)算機(jī)進(jìn)行全面殺毒，并對染毒計(jì)算機(jī)系統(tǒng)進(jìn)行漏洞修補(bǔ)。安全管理員確定沒有病毒和安全漏洞后，再連接網(wǎng)絡(luò)恢復(fù)使用。3．若是未知病毒，觀察網(wǎng)管軟件根據(jù)監(jiān)視窗口的鏈路狀態(tài)，由此判斷感染病毒或惡意程序的客戶端、服務(wù)器所科的樓層交換機(jī)。打開該交換機(jī)的端口流量分析窗口，根據(jù)流量判斷感染病毒或惡意程序的客戶端所在的交換機(jī)端口。關(guān)閉該交換機(jī)端口，隔離該工作站、服務(wù)器，阻斷與局域網(wǎng)的連接。根據(jù)端口狀態(tài)功能，查看該感染病毒或惡意程序的工作站的IP地址。根據(jù)IP地址信息找到該工作站的具體位置，對該工作站進(jìn)行病毒或惡意程序清除工作。根據(jù)對于未知病毒，應(yīng)首先嘗試手工殺毒處理，若系統(tǒng)已被病毒破壞，無法恢復(fù)，應(yīng)將感染病毒的計(jì)算機(jī)上的硬盤加掛到其他機(jī)器上處理，將重要數(shù)據(jù)