【正文】 。（五）管理如果缺乏嚴(yán)格的企業(yè)安全管理，信息系統(tǒng)所受到的安全威脅即使是各種安全技術(shù)手段也無法抵抗。在充分認(rèn)識(shí)到確保核心業(yè)務(wù)和應(yīng)用有效運(yùn)轉(zhuǎn)的前提下，公司已經(jīng)采取了一定的措施，如利用操作系統(tǒng)和應(yīng)用系統(tǒng)自身的功能進(jìn)行用戶訪問控制，建立容錯(cuò)和備份機(jī)制，采用數(shù)據(jù)加密等。但是這些措施所能提供的安全功能和安全保護(hù)范圍都非常有限，為了在不斷發(fā)展變化著的網(wǎng)絡(luò)計(jì)算環(huán)境中保護(hù)公司信息系統(tǒng)的安全，特制定了IT系統(tǒng)重大事件應(yīng)急方案。 IT系統(tǒng)重大事件的界定IT系統(tǒng)的脆弱性體現(xiàn)在很多方面，小到短暫的電力不足或磁盤錯(cuò)誤，大到設(shè)備的毀壞或火災(zāi)等等。很多系統(tǒng)弱點(diǎn)可以在組織風(fēng)險(xiǎn)管理控制過程中通過技術(shù)的、管理的或操作的方法消除，但理論上是不可能完全消除所有的風(fēng)險(xiǎn)。為了能更好的制定針對(duì)IT系統(tǒng)重大事件的應(yīng)急方案，必須先對(duì)所有可能發(fā)生的重大事件進(jìn)行詳細(xì)的描述和定義。下面將從IT系統(tǒng)相關(guān)聯(lián)的電源、網(wǎng)絡(luò)、主機(jī)及存儲(chǔ)設(shè)備、數(shù)據(jù)庫、病毒、信息中心機(jī)房等多個(gè)方面進(jìn)行說明。 電源電源是IT系統(tǒng)最基礎(chǔ)的部分，也是最容易受到外界干擾的部分之一。在既能保證公司系統(tǒng)平穩(wěn)運(yùn)行，又能保證關(guān)鍵或重要設(shè)備安全的前提下，根據(jù)目前配備的UPS電源的實(shí)際情況，將電源事件分為三個(gè)層次：一般性電源事件：停電時(shí)間在1小時(shí)以內(nèi)的（包括1小時(shí)）； 需關(guān)注電源事件：停電時(shí)間在2小時(shí)以內(nèi)的（包括2小時(shí)）； 密切關(guān)注電源事件：停電時(shí)間在2小時(shí)以上的。 網(wǎng)絡(luò)網(wǎng)絡(luò)是IT系統(tǒng)及網(wǎng)絡(luò)客戶進(jìn)行通訊的通道，也是最容易受到外界干擾或攻擊的部分之一。目前總公司主要對(duì)各地分公司到總公司的網(wǎng)絡(luò)線路進(jìn)行管控，而公司又是采用數(shù)據(jù)集中的運(yùn)營模式，鑒于這種情況，將網(wǎng)絡(luò)事件分為三個(gè)層次：一般性網(wǎng)絡(luò)事件：樓層交換機(jī)出現(xiàn)異常，或局域網(wǎng)絡(luò)中斷時(shí)間在5分鐘以內(nèi)的（包括5分鐘）；需關(guān)注網(wǎng)絡(luò)事件：主交換機(jī)、防火墻、上網(wǎng)設(shè)備出現(xiàn)異常，或局域網(wǎng)絡(luò)中斷時(shí)間在30分鐘以內(nèi)的（包括30分鐘），廣域網(wǎng)絡(luò)中斷時(shí)間在5分鐘以內(nèi)的（包括5分鐘）；密切關(guān)注網(wǎng)絡(luò)事件：主干交換機(jī)、核心路由器、VPN設(shè)備出現(xiàn)異常，或廣域網(wǎng)絡(luò)中斷時(shí)間在30分鐘以上的。 主機(jī)及存儲(chǔ)設(shè)備主機(jī)及存儲(chǔ)設(shè)備是IT系統(tǒng)運(yùn)行的關(guān)鍵和核心，也是相對(duì)脆弱的部分，對(duì)工作環(huán)境的要求是相當(dāng)高的，任何外部的變化都可能導(dǎo)致這些設(shè)備出現(xiàn)異常。根據(jù)出現(xiàn)的異常情況，將主機(jī)及存儲(chǔ)設(shè)備事件分成三個(gè)層次：一般性事件：非系統(tǒng)關(guān)鍵進(jìn)程或文件系統(tǒng)出現(xiàn)異常，不影響生產(chǎn)系統(tǒng)運(yùn)行的； 需關(guān)注事件：根文件系統(tǒng)或生產(chǎn)系統(tǒng)所在的文件系統(tǒng)的磁盤空間將滿/已滿或系統(tǒng)關(guān)鍵進(jìn)程異常，即將影響或已經(jīng)影響生產(chǎn)系統(tǒng)運(yùn)行的；主機(jī)或存儲(chǔ)設(shè)備的磁盤異常并發(fā)出警告的；密切關(guān)注事件：主機(jī)宕機(jī)；存儲(chǔ)設(shè)備不能正常工作的；主機(jī)與存儲(chǔ)設(shè)備中斷連接的；主機(jī)性能嚴(yán)重降低，影響終端用戶運(yùn)行的；系統(tǒng)用戶誤操作導(dǎo)致重要文件丟失的。 數(shù)據(jù)庫數(shù)據(jù)庫是存儲(chǔ)公司經(jīng)營信息的關(guān)鍵部分，由于數(shù)據(jù)庫是建立在主機(jī)及存儲(chǔ)設(shè)備上的應(yīng)用，任何主機(jī)及存儲(chǔ)設(shè)備的變化都會(huì)對(duì)數(shù)據(jù)庫產(chǎn)生或大或小的影響，同時(shí)數(shù)據(jù)庫也是公司各個(gè)層面用戶的使用對(duì)象，用戶對(duì)數(shù)據(jù)的操作可能導(dǎo)致不可預(yù)料的影響。根據(jù)數(shù)據(jù)庫對(duì)外界操作的反映，將數(shù)據(jù)庫事件分為兩個(gè)層次：一般事件：不影響大量用戶或應(yīng)用系統(tǒng)正常運(yùn)行的警告或錯(cuò)誤報(bào)告； 重要事件：數(shù)據(jù)庫的系統(tǒng)表空間將滿/已滿的；業(yè)務(wù)系統(tǒng)表空間將滿/已滿的；數(shù)據(jù)庫網(wǎng)絡(luò)監(jiān)視進(jìn)程終止運(yùn)行的；數(shù)據(jù)庫內(nèi)部數(shù)據(jù)組織出現(xiàn)異常的；數(shù)據(jù)庫用戶誤操作導(dǎo)致數(shù)據(jù)丟失的；數(shù)據(jù)庫關(guān)鍵進(jìn)程異常；數(shù)據(jù)庫性能嚴(yán)重降低，影響終端用戶運(yùn)行；數(shù)據(jù)庫宕機(jī)。 電腦病毒由于Internet接入，員工從Internet上進(jìn)行下載或者接收郵件，都有感染病毒的可能性。某些病毒帶有極大的危害性和極快的傳播速度，從而可能導(dǎo)致在公司內(nèi)部的病毒大范圍傳播。針對(duì)病毒在公司內(nèi)部的傳播范圍或危害程度，分為三個(gè)層次：一般性事件：獨(dú)立的病毒感染，并沒有傳播和造成損失的；密切關(guān)注事件：病毒小范圍傳播，并造成一定損失，但不是重大損失的； 嚴(yán)重關(guān)注事件：病毒大范圍傳播，并造成重大損失的； 其他事件信息中心機(jī)房其他影響IT系統(tǒng)運(yùn)行的因素可能會(huì)產(chǎn)生一些突然事件，主要有以下一些方面：（一）空調(diào)工作異常，導(dǎo)致機(jī)房溫度過高；（二）空調(diào)防水保護(hù)出現(xiàn)異常導(dǎo)致滲水；（三）發(fā)生火災(zāi)；（四）粉塵導(dǎo)致主機(jī)或存儲(chǔ)設(shè)備異常的。 信息系統(tǒng)重大事件的應(yīng)急方案根據(jù)上節(jié)對(duì)IT系統(tǒng)重大事件的界定，公司已經(jīng)建立了一套完整的應(yīng)急方案，在硬件方面采用雙機(jī)熱備機(jī)制，同時(shí)加強(qiáng)日常的系統(tǒng)監(jiān)控，保持完整的數(shù)據(jù)備份，及時(shí)進(jìn)行災(zāi)難恢復(fù)，和儲(chǔ)備必要的系統(tǒng)備件等多種技術(shù)和方法。下面按照IT系統(tǒng)相關(guān)聯(lián)的電源、網(wǎng)絡(luò)、主機(jī)及存儲(chǔ)設(shè)備、數(shù)據(jù)庫、電腦病毒等多個(gè)方面進(jìn)行說明。 電源采用UPS為主要設(shè)備進(jìn)行供電，為了應(yīng)對(duì)重大突發(fā)事件，采用以下了手段：（一）加強(qiáng)UPS的維護(hù)，保證UPS的正常工作。（二）在必要情況下，交流輸入供電系統(tǒng)采用雙路市電供電和發(fā)電機(jī)聯(lián)合供電，保證市電使長期停電, UPS仍能正常供電；（三）直流輸入方面，采用公用一組電池組的設(shè)計(jì)，配置長達(dá)4小時(shí)的后備電池, 并提供交流輸入瞬變或市電與發(fā)電機(jī)供電切換時(shí)的短時(shí)供電；（四）根據(jù)停電時(shí)間的長短，依次發(fā)布一般性通知、較緊急通知和緊急通知給相關(guān)部門和機(jī)構(gòu)；（五）停電發(fā)生后，及時(shí)聯(lián)系供電部門和物業(yè)管理部門。 網(wǎng)絡(luò)（一）核心路由器做雙以太口綁定，如一端口發(fā)生故障，自動(dòng)切換到VPN備份線路接入主機(jī)系統(tǒng)，直到修復(fù)使用正常，同時(shí)由網(wǎng)絡(luò)集成商提供技術(shù)和備件支持，一旦出現(xiàn)緊急故障，1小時(shí)趕到現(xiàn)場處理故障；（二）到分支機(jī)構(gòu)專線采用2M數(shù)字線路，如2M數(shù)字線路發(fā)生故障斷開則自動(dòng)切換到VPN備份線路接入主機(jī)系統(tǒng)，直到專線修復(fù)則使用正常2M線路通信；（三）對(duì)于網(wǎng)絡(luò)核心設(shè)備出現(xiàn)重大故障，盡快了解情況，分析問題和提出應(yīng)急解決方案，做好現(xiàn)場應(yīng)急處理，立即通知網(wǎng)絡(luò)集成服務(wù)商到現(xiàn)場處理，主干交換機(jī)由網(wǎng)絡(luò)集成商提供技術(shù)和備件支持，一旦出現(xiàn)緊急故障，1小時(shí)內(nèi)趕到現(xiàn)場處理故障；（四）為防止核心路由器或主干交換機(jī)發(fā)生故障后無法解決問題，在必要情況下，配備一臺(tái)備用路由器和主干交換機(jī)，配置接口與核心路由器和主干交換機(jī)相同，一旦出現(xiàn)故障，能在十分種內(nèi)進(jìn)行更換；（五）采用CISCO PIX FIREWALL在網(wǎng)絡(luò)入口處檢查網(wǎng)絡(luò)通訊，根據(jù)設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，保障內(nèi)外網(wǎng)絡(luò)通訊，實(shí)現(xiàn)了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)有效的隔離，所有來自外部網(wǎng)絡(luò)的訪問請(qǐng)求都要通過防火墻的檢查，內(nèi)部網(wǎng)絡(luò)的安全將會(huì)得到保證。具體有：設(shè)置源地址過濾，拒絕外部非法IP地址，有效避免了外部網(wǎng)絡(luò)上與業(yè)務(wù)無關(guān)的主機(jī)的越權(quán)訪問；防火墻只保留有用的WEB服務(wù)和郵件服務(wù)，將其它不需要的服務(wù)關(guān)閉（含即時(shí)通信或其它，MSN控制在一定范圍使用），將系統(tǒng)受攻擊的可能性降低到最小限度，使黑客無機(jī)可乘；防火墻制定訪問策略，只有被授權(quán)的外部主機(jī)可以訪問內(nèi)部網(wǎng)絡(luò)的有限IP地址，保證外部網(wǎng)絡(luò)只能訪問內(nèi)部網(wǎng)絡(luò)中的必要資源，與業(yè)務(wù)無關(guān)的操作將被拒絕；全面監(jiān)視外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問活動(dòng)，并進(jìn)行詳細(xì)的記錄，及時(shí)分析得出可疑的攻擊行為；網(wǎng)絡(luò)的安全策略由防火墻集中管理，使黑客無法通過更改某一臺(tái)主機(jī)的安全策略來達(dá)到控制其他資源訪問權(quán)限的目的；設(shè)置地址轉(zhuǎn)換功能，使外部網(wǎng)絡(luò)用戶不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，使黑客攻擊失去目標(biāo)。 主機(jī)、存儲(chǔ)設(shè)備及數(shù)據(jù)庫為保證生產(chǎn)系統(tǒng)穩(wěn)定運(yùn)行，主機(jī)與存儲(chǔ)系統(tǒng)保持7X24小時(shí)的可用。為應(yīng)對(duì)可能發(fā)生的重大事件或突發(fā)事件，采取以下措施：（一）在接到緊急停電通知后3040分鐘內(nèi)按照先數(shù)據(jù)庫、次主機(jī)、最后存儲(chǔ)設(shè)備的順序停止所有系統(tǒng)運(yùn)行，在必要的情況下，須拔掉所有電源插頭；（二）采用雙機(jī)熱備技術(shù)，在其中一臺(tái)主機(jī)出現(xiàn)異常時(shí)，及時(shí)進(jìn)行切換；（三）采用硬盤、磁帶庫等設(shè)備作好日常數(shù)據(jù)備份；（四）如果發(fā)生誤刪除操作系統(tǒng)文件，立即進(jìn)行文件系統(tǒng)恢復(fù)（必須有備份）；（五）如果發(fā)生誤刪除數(shù)據(jù)，立即進(jìn)行數(shù)據(jù)庫恢復(fù)（必須有備份）；（六）如果文件系統(tǒng)空間不夠，導(dǎo)致系統(tǒng)不能正常運(yùn)行，立即進(jìn)行文件系統(tǒng)擴(kuò)展。（七）如果數(shù)據(jù)庫表空間不足，立即進(jìn)行表空間擴(kuò)展，同時(shí)可能還進(jìn)行文件系統(tǒng)擴(kuò)展；（八）在必要情況下，建立異地?cái)?shù)據(jù)備份中心，以保持?jǐn)?shù)據(jù)安全性。（九）出現(xiàn)重大故障，盡快了解情況，分析問題和提出應(yīng)急解決方案，做好現(xiàn)場應(yīng)急處理，立即通知系統(tǒng)服務(wù)商到現(xiàn)場處理，并由系統(tǒng)服務(wù)商提供備件支援。 電腦病毒為防止電腦病毒在公司內(nèi)部的傳播，反毒和信息安全應(yīng)按照“整體防御，整體解決”的原則實(shí)施，采用多種手段和產(chǎn)品來切斷電腦病毒的傳播“通道”。具體措施如下：（一）配置企業(yè)級(jí)網(wǎng)絡(luò)版殺毒軟件，在公司總部、分公司、營業(yè)部所有聯(lián)網(wǎng)的PC機(jī)、PC服務(wù)器上安裝病毒/郵件防火墻，部署統(tǒng)一的公司網(wǎng)絡(luò)防毒系統(tǒng)，實(shí)現(xiàn)反毒分級(jí)防范和集中安全管理；（二）在公司總部和分公司配置防毒網(wǎng)關(guān)服務(wù)器，檢查所有進(jìn)出郵件、所訪問的網(wǎng)頁和FTP文件，防止病毒通過外部網(wǎng)絡(luò)進(jìn)入公司內(nèi)網(wǎng)進(jìn)行傳播；（三）建立定時(shí)自動(dòng)更新防病毒軟件和病毒庫的機(jī)制，確保殺毒軟件的有效性；（四）建立集中的網(wǎng)絡(luò)入侵檢測和漏洞掃描系統(tǒng)，防范黑客入侵和攻擊，及時(shí)給系統(tǒng)打補(bǔ)??；（五）加強(qiáng)對(duì)用戶的教育，不從不明網(wǎng)站下載，不查看來源不明的郵件，不運(yùn)行可能含有病毒的程序等；（六）如果用戶機(jī)器發(fā)現(xiàn)病毒，應(yīng)立即終止網(wǎng)絡(luò)連接并通知信息部門進(jìn)行相關(guān)處理；（七）如果因病毒發(fā)作而導(dǎo)致數(shù)據(jù)丟失，應(yīng)立即與信息部門聯(lián)系，不要自行處理。