【正文】 設備，把原先存儲與備用設備的數(shù)據(jù)遷移回原設備；若故障仍然存在，根據(jù)安全守則和實際需要，立即聯(lián)系相關廠商，認真填寫設備故障報告單備查。36 / 58預案流程檢查故障信息故障匯報撥打廠商支持電話工程師現(xiàn)場處理啟動應用 37 / 58 網(wǎng)絡攻擊事件預案預案名稱 網(wǎng)絡攻擊事件預案預案編號預案目的 網(wǎng)絡攻擊事件發(fā)生后，應用本預案處理故障預案啟動條件 發(fā)生網(wǎng)絡攻擊事件預案執(zhí)行實施日期年 月 日組織機構及職責組成 姓名 聯(lián)系方式 職責負責人 安全主管現(xiàn)場指揮 安全主管網(wǎng)絡管理員成員信息安全管理員廠家聯(lián)絡方式廠家名稱 姓名 聯(lián)系方式軟件介質名稱 介質編號 存放地點 備注備品備件名稱 設備編號 存放地點 備注儀器名稱 儀器編號 存放地點 備注38 / 58預案執(zhí)行步驟及通告一、故障通告1. 將故障情況向信息部部長匯報，信息部通知受影響的用戶，并視情況的嚴重程度通知應急領導小組。、預案執(zhí)行步驟：如果服務器被攻擊，可以通過以下手段來確定攻擊源：在服務器上運行 stat an 可以看到大量的連接，找出發(fā)起大量連接的源 IP 地址。也可以在通 過捕獲交換機上連接服務器的端口的報文，進行分析，找到攻擊源 IP。如果是安全網(wǎng)關被攻擊，則只能分別在其所有網(wǎng)絡連接端口來進行抓包分析。：臨時規(guī)避主要是針對外網(wǎng)發(fā)起的攻擊，最保險的方法是采取臨時斷網(wǎng)措施；如果不能斷網(wǎng)則可以通過以下措施臨時規(guī)避：如果公網(wǎng)地址足夠，可以通過更改對外發(fā)布服務的公網(wǎng)地址（服務器，同進還需更改 DNS 解析）或者更改本身的外網(wǎng)地址(出口網(wǎng)關) 。39 / 58如為網(wǎng)絡設備，則備份配置文件，如為服務器則備份操作系統(tǒng)，有條件的話，建議備份整個硬盤。：內(nèi)網(wǎng)發(fā)起的攻擊：通過找出源 IP，結合用戶 IP 登記資料，定位到用戶，直接將用戶斷網(wǎng)處理。外網(wǎng)發(fā)起的攻擊：與運營商聯(lián)系，同時上報網(wǎng)監(jiān)部門，根據(jù)對方要求提供相關資料，由運營商和網(wǎng)監(jiān)部門處理。:在定位攻擊源的時候，同時對服務器或出口網(wǎng)關進行加固，主要方法如下：安全網(wǎng)關主要是對其本身的登陸管理進行設置，包括對其本身 IP 的連 接數(shù)，用 戶登陸次數(shù)等進行限制，備份攻擊發(fā)生時的設備配置，以便后期分析。服務器在攻擊發(fā)生時第一時間斷開網(wǎng)絡，備份操作系統(tǒng)（有條件的話建議備份整個硬盤）；分析服務器在安全方面存在的隱患，更改相關安全設置。在安全設備上，如防火墻,IPS；對該服務器與外網(wǎng)地址的連接數(shù)進行限制，在同一時刻只允許一定數(shù)量的地址與服務器建立連接。如果還有攻擊，則需等待運營商處理完畢后，再接入網(wǎng)絡。40 / 58，則恢復被攻擊目標設備的數(shù)據(jù)。預案流程網(wǎng)絡入侵突發(fā)事件應急處理 （ 值班人員或中心人員 ）報告應急小組相關負責人通過監(jiān)控設備找出入侵服務 ，并斷開相關對外服務檢查服務器等相關數(shù)據(jù)是否損壞或被盜恢復受損數(shù)據(jù) ， 啟動反黑客追蹤 ， 加強安全策略寫評估總結報告41 / 58 病毒爆發(fā)應急預案 病毒防護日常管理為了保證深圳市 XXX 電子政務內(nèi)網(wǎng)的安全，系統(tǒng)管理員必須安裝殺毒軟件和升級系統(tǒng)補丁，建立完整的防病毒系統(tǒng)管理及維護日志。 病毒爆發(fā)應急預案清單預案名稱 病毒爆發(fā)事故預案預案編號預案目的 發(fā)生病毒爆發(fā)或感染事故后，應用本預案處理故障預案啟動條件 發(fā)生病毒爆發(fā)或感染事故預案執(zhí)行實施日期年 月 日組織機構及職責組成 姓名 聯(lián)系方式 職責負責人 安全主管現(xiàn)場指揮 安全主管網(wǎng)絡管理員成員機房管理員42 / 58廠家聯(lián)絡方式廠家名稱 姓名 聯(lián)系方式軟件介質名稱 介質編號 存放地點 備注備品備件名稱 設備編號 存放地點 備注儀器名稱 儀器編號 存放地點 備注43 / 58預案執(zhí)行步驟及通告一、故障通告，信息部通知受影響的用戶，并視情況的嚴重程度通知應急領導小組。對用戶的病毒通知，采用發(fā)文或短信方式。二、預案執(zhí)行步驟終端網(wǎng)絡型病毒可依靠網(wǎng)絡進行大面積快速傳播，如：灰鴿子、熊貓燒香、沖擊波等。小面積病毒爆發(fā)：，工程師到現(xiàn)場處理，確定是否中毒，如確認中毒則將中毒主機斷網(wǎng)隔離。，如能查殺則現(xiàn)場處理。，殺毒軟件不能查殺的，則將用戶數(shù)據(jù)備份后，再重裝系統(tǒng)，同時將病毒樣本上報殺毒軟件廠商。，再查殺中毒電腦。大面積病毒爆發(fā)：，上報上級主管部門，如果可以查殺則發(fā)通知用戶進行查殺,殺毒軟件無法查殺的情況下，對爆發(fā)區(qū)域進44 / 58行斷網(wǎng)處理，并發(fā)布病毒通知。，上報上級主管部門終端單機型病毒病毒傳播速度較慢，網(wǎng)絡不是其傳播主要手段。如：文件型病毒、U 盤病毒等。，工程師到現(xiàn)場處理，確定是否中毒，如確認中毒則將中毒主機斷網(wǎng)隔離。，如能查殺則現(xiàn)場處理。，則將用戶數(shù)據(jù)備份后，再重裝系統(tǒng)。，再手工升級。，可能的情況下對移動介質掃描處理。，如 U 盤病毒，則通過 OA 等方式，發(fā)布通知，提醒用戶注意病毒防護。服務器病毒防護上報上級主管部門，并通過 OA 或短信發(fā)布服務器維護通知。，并手工備份相關數(shù)據(jù)，并進行單獨存儲； 360 安全衛(wèi)士進行查殺，如能查殺則現(xiàn)場處理。45 / 58 ，殺毒軟件不能查殺的，則將用戶數(shù)據(jù)備份后，再重裝系統(tǒng)，同時將病毒樣本上報殺毒軟件廠商 ，再查殺中毒電腦預案流程病毒爆發(fā)突發(fā)事件應急處理（ 值班人員或中心人員 ）報告 應急小組 相關負責人 、確定病毒類型通過 找到被感染機器 ， 并斷開網(wǎng)線檢查服務器和桌面電腦是否中毒清除被感染機器的病毒編寫評估總結報告 業(yè)務軟件故障應急預案 業(yè)務軟件日常管理46 / 58為了加強深圳市 XXX 業(yè)務軟件的管理，應對具有高可用性要求的業(yè)務軟件和補丁進行備份，形成業(yè)務軟件和補丁備份機制。 業(yè)務軟件故障預案清單預案名稱 業(yè)務軟件故障預案預案編號預案目的 因各類原因導致業(yè)務軟件功能異常的處理方案預案啟動條件 因各類原因，導致業(yè)務功能異常預案執(zhí)行實施日期 年 月 日組織機構及職責組成 姓名 聯(lián)系方式 職責負責人 安全主管現(xiàn)場指揮 安全主管網(wǎng)絡管理員應用軟件管理員成員需通知的其他部門部門名稱 聯(lián)系人 電話 注意事項47 / 58廠家聯(lián)絡方式廠家名稱 姓名 聯(lián)系方式軟件介質名稱 介質編號 存放地點 備注備品備件名稱 設備編號 存放地點 備注儀器名稱 儀器編號 存放地點 備注圖紙名稱 圖紙編號 存放地點 備注48 / 58預案執(zhí)行步驟及通告一、故障通告1. 將故障情況向信息部部長匯報。信息部通知受影響的用戶，并視情況的嚴重程度通知應急領導小組。二、預案執(zhí)行步驟發(fā)生業(yè)務軟件故障（因升級誤操作導致）后，現(xiàn)場值班人員應及時聯(lián)系深圳市中采信息技術有限公司的配置管理員，檢查和備份業(yè)務軟件的當前版本；由配置管理員確定能用于恢復的軟件備份及其介質（磁盤，本地/異地）；如果配置管理員不能在短時間內(nèi)修復軟件，則需及時上報應急領導小組，由其通知業(yè)務部門以手工開展業(yè)務；利用備份恢復業(yè)務軟件后，需要協(xié)同業(yè)務部門的人員檢查數(shù)據(jù)的有效性（歷史數(shù)據(jù)和當前數(shù)據(jù)的差別），并根據(jù)需要，聯(lián)合應用系統(tǒng)開發(fā)商，輔助相關的業(yè)務人員補錄入數(shù)據(jù)；完成修復后，立即備份當前數(shù)據(jù)；編寫故障分析報告，向應急領導小組匯報。49 / 58預案處理流程業(yè)務軟件功能異常向信息部部長報告檢查業(yè)務軟件當前版本檢查備份服務器中業(yè)務軟備份是否正常利 用備份恢復業(yè)務軟件檢查配置管理服務器中業(yè)務軟件備份是否正常利 用備份恢復業(yè)務軟件檢查業(yè)務軟件的版本并補錄數(shù)據(jù)是是否否調(diào) 用同城異地備份恢復業(yè)務軟件分析故障原因寫分析報告50 / 58 應急演練應急預案演練計劃序號時間應急預案名稱地點主持人參加單位人員備注1病毒爆發(fā)事故預案演練2外網(wǎng)入侵事故預案演練3服務器硬件故障預案4服務器軟件故障預案5網(wǎng)絡通信系統(tǒng)故障預案6業(yè)務數(shù)據(jù)故障預案7業(yè)務軟件故障預案51 / 58 通用表格 信息安全事件報告表信息安全事件報告表報告時間： （年/月/日/ 時/分）單位名稱：深圳市 XXX(注：單位名稱需加蓋公章)報告人： 聯(lián)系電話： 通訊地址： 傳真： 電子郵件：發(fā)生信息安全事件的信息系統(tǒng)名稱及用途： 負責部門：信息部 負責人： 信息安全事件的簡要描述（如以前出現(xiàn)過類似情況也應加以說明）：初步判定的事故原因：52 / 58當前采取的措施：本次信息安全事件的初步影響狀況：本次信息安全事件的初步影響狀況事件后果：口業(yè)務中斷 口系統(tǒng)破壞 口數(shù)據(jù)丟失 口其他影響范圍：口單臺主機 口多臺主機 口整個信息系統(tǒng) 口整個局域網(wǎng)嚴重程度：口極嚴重 口很嚴重 口嚴重口一般 口不嚴重聯(lián)系方式： 值班電話： 傳真：53 / 58 信息安全事件應急處理結果報告表信息安全事件應急處理結果報告表原事件報告時間： （年/月/ 日/ 時/分）備案編號： 年 月 日 第 號 總第 號單位名稱：深圳市 XXX (注：單位名稱需加蓋公章)聯(lián)系人： 聯(lián)系電話： 通訊地址：信息系統(tǒng)名稱及用途： 已采用的安全措施：信息安全事件的補充描述及最后判定的事故原因： 本次信息安全事件的初步影響狀況：事件結果： 影響范圍： 54 / 58嚴重程度：本次信息安全事件的主要處理過程及結果：針對此類信息安全事件應采取的保障信息系統(tǒng)安全的措施和建議：報告人簽章： 深圳市 XXX 信息突發(fā)事件處理組織機構 深圳市 XXX 信息突發(fā)事件應急領導小組主任： 副主任：成員： 深圳市 XXX 信息突發(fā)事件應急小組組長： 副組長： 成員： 聯(lián)絡員55 / 58深圳市 XXX 信息部技術人員、各部門信息聯(lián)絡員：