【正文】 解決后，要及時(shí)清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)，恢復(fù)工作應(yīng)避免出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)丟失。七、保障措施（一）應(yīng)急設(shè)備保障對(duì)于重要網(wǎng)絡(luò)與信息系統(tǒng)，在建設(shè)系統(tǒng)時(shí)應(yīng)事先預(yù)留一定的應(yīng)急設(shè)備，建立信息網(wǎng)絡(luò)硬件、軟件、應(yīng)急救援設(shè)備等應(yīng)急物資庫。（二）數(shù)據(jù)保障重要信息系統(tǒng)均應(yīng)建立容災(zāi)備份系統(tǒng)和相關(guān)工作機(jī)制，保證重要數(shù)據(jù)在遭到破壞后，可緊急恢復(fù)。日期：20150612審批人：第四篇：信息系統(tǒng)安全應(yīng)急預(yù)案信息系統(tǒng)安全應(yīng)急預(yù)案為全面加強(qiáng)公司信息系統(tǒng)安全管理，應(yīng)對(duì)信息安全突發(fā)事件的發(fā)生，提高對(duì)安全事件的應(yīng)急處置能力，保證網(wǎng)絡(luò)與信息安全協(xié)調(diào)工作迅速、高效、有序地進(jìn)行，滿足突發(fā)情況下信息系統(tǒng)安全穩(wěn)定、持續(xù)運(yùn)行，根據(jù)總公司有關(guān)規(guī)定，制定本預(yù)案。（二）積極預(yù)防、及時(shí)預(yù)警：各部門應(yīng)及早發(fā)現(xiàn)安全事件，及時(shí)進(jìn)行預(yù)警和信息通報(bào)；積極做好應(yīng)急處理準(zhǔn)備，提高對(duì)安全事件的預(yù)防和應(yīng)急處理能力。二、應(yīng)急措施電力系統(tǒng)故障的應(yīng)急處理流程1．任何部門和人員發(fā)現(xiàn)本單位電力系統(tǒng)出現(xiàn)異常情況時(shí)，都應(yīng)及時(shí)向公司辦公室報(bào)告。公司辦公室應(yīng)立即啟動(dòng)電力系統(tǒng)故障應(yīng)急處理流程，盡快查清故障原因，提出解決辦法，確定故障排除可能需要的時(shí)間并通知網(wǎng)絡(luò)機(jī)房管理部門。4． 電力系統(tǒng)恢復(fù)供電后的處理流程電力系統(tǒng)恢復(fù)供電后，公司辦公室應(yīng)在第一時(shí)間通知技術(shù)部門，以便以最快的速度恢復(fù)關(guān)閉的網(wǎng)絡(luò)應(yīng)用。（二）消防系統(tǒng)應(yīng)急處理流程1．報(bào)告和簡單處理當(dāng)出現(xiàn)火情、火災(zāi)時(shí)，發(fā)現(xiàn)人員應(yīng)在最短時(shí)間內(nèi)報(bào)告公司辦公室及機(jī)房管理部門。進(jìn)展情況隨時(shí)向有關(guān)領(lǐng)導(dǎo)報(bào)告。三、網(wǎng)絡(luò)信息系統(tǒng)故障的應(yīng)急處理流程網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)應(yīng)用系統(tǒng)故障應(yīng)由發(fā)現(xiàn)人通知機(jī)房管理人員，技術(shù)部門立即檢查故障，進(jìn)行初步故障定位。2．故障判斷與排除對(duì)簡單故障，運(yùn)維人員應(yīng)迅速排除故障，解決問題并記錄。運(yùn)維人員判斷無法及時(shí)修理時(shí)，應(yīng)立即通知相關(guān)的系統(tǒng)運(yùn)行服務(wù)提供商，在最短的時(shí)間內(nèi)安排修理或更換系統(tǒng)。4．啟用備份線路、設(shè)備、系統(tǒng)（如果存在的話），迅速恢復(fù)相關(guān)的應(yīng)用。由技術(shù)部們組織應(yīng)急響應(yīng)并進(jìn)行故障排查。待故障處理完成并經(jīng)過測(cè)試后，恢復(fù)系統(tǒng)的正常運(yùn)行和內(nèi)容的正常應(yīng)用。技術(shù)部門立即啟動(dòng)應(yīng)急響應(yīng)，切斷受攻擊計(jì)算機(jī)與網(wǎng)絡(luò)的連接，停止一切操作、保護(hù)現(xiàn)場(chǎng)，并上報(bào)有關(guān)領(lǐng)導(dǎo)。檢查確定無安全隱患后，才可將受攻擊計(jì)算機(jī)重新連接網(wǎng)絡(luò)，或啟用備份計(jì)算機(jī)來恢復(fù)應(yīng)用。如果能追查到攻擊者的相關(guān)信息，可以對(duì)其發(fā)出警告，必要時(shí)可以采取進(jìn)一步的行動(dòng)，乃至采取法律手段。若系統(tǒng)已被黑客破壞，無法恢復(fù)，應(yīng)將受黑客攻擊的服務(wù)器上的重要數(shù)據(jù)備份到其他存儲(chǔ)介質(zhì)，并做好數(shù)據(jù)異地備份工作，確保服務(wù)器內(nèi)重要的數(shù)據(jù)不丟失。由機(jī)房管理員組織應(yīng)急響應(yīng)，切斷受攻擊計(jì)算機(jī)與網(wǎng)絡(luò)的連接，停止一切操作、保護(hù)現(xiàn)場(chǎng)，立即上報(bào)有關(guān)領(lǐng)導(dǎo)。機(jī)房管理員確定沒有病毒和安全漏洞后，再連接網(wǎng)絡(luò)恢復(fù)使用。打開該交換機(jī)的端口流量分析窗口，根據(jù)流量判斷感染病毒或惡意程序的客戶端所科交換機(jī)端口。根據(jù)端口狀態(tài)功能，查看該感染病毒或惡意程序的工作站的IP地址。根據(jù)對(duì)于未知病毒，應(yīng)首先嘗試手工殺毒處理，若系統(tǒng)已被病毒破壞，無法恢復(fù)，應(yīng)將感染病毒的計(jì)算機(jī)上的硬盤加掛到其他機(jī)器上處理，將重要數(shù)據(jù)備份到其他存儲(chǔ)介質(zhì)，盡最大努力保護(hù)、保留感染計(jì)算機(jī)內(nèi)重要的數(shù)據(jù)，同時(shí)防止病毒感染其他計(jì)算機(jī)。公司建立了支持全公司業(yè)務(wù)經(jīng)營的核心業(yè)務(wù)處理系統(tǒng)、財(cái)務(wù)處理系統(tǒng)、OA系統(tǒng)和郵件系統(tǒng)，實(shí)現(xiàn)了數(shù)據(jù)的集中管理。同時(shí)還必須建立起一套完善、可行的應(yīng)急處理規(guī)章制度，在出現(xiàn)重大情況后能及時(shí)響應(yīng)，盡最大可能減少損失。在網(wǎng)絡(luò)上運(yùn)行著以下系統(tǒng)：（一）生產(chǎn)系統(tǒng)包括核心業(yè)務(wù)處理系統(tǒng)、財(cái)務(wù)處理系統(tǒng)、再保險(xiǎn)處理系統(tǒng)等，貫穿公司的各個(gè)層面，包括總公司、分公司、支公司、出單點(diǎn)等，是公司整個(gè)IT系統(tǒng)的核心部件，也是最需要投入資源的部分。（三）郵件系統(tǒng) 為公司內(nèi)、外部信息交流提供方便、快捷的通道。 系統(tǒng)安全隱患由于公司的系統(tǒng)是多應(yīng)用、多連接的平臺(tái)，本身就可能存在著難于覺察的安全隱患，同時(shí)又面臨來自各方面的安全威脅，這些威脅既可能是惡意的攻擊，又可能是某些員工無心的過失。（二）操作系統(tǒng)與數(shù)據(jù)庫操作系統(tǒng)與數(shù)據(jù)庫都存在一定的安全缺陷或者后門，很容易被攻擊者用來進(jìn)行非法的操作；系統(tǒng)管理員經(jīng)驗(yàn)不足或者工作疏忽造成的安全漏洞，也很容易被攻擊者利用；系統(tǒng)合法用戶特別是擁有完全操作權(quán)限的特權(quán)用戶的誤操作可能導(dǎo)致系統(tǒng)癱瘓、數(shù)據(jù)丟失等情況。（四）數(shù)據(jù)數(shù)據(jù)存儲(chǔ)和傳輸所依賴的軟、硬件環(huán)境遭到破壞，或者操作系統(tǒng)用戶的誤操作，以及數(shù)據(jù)庫用戶在處理數(shù)據(jù)時(shí)的誤操作，都會(huì)使嚴(yán)重威脅數(shù)據(jù)的安全。在充分認(rèn)識(shí)到確保核心業(yè)務(wù)和應(yīng)用有效運(yùn)轉(zhuǎn)的前提下，公司已經(jīng)采取了一定的措施，如利用操作系統(tǒng)和應(yīng)用系統(tǒng)自身的功能進(jìn)行用戶訪問控制，建立容錯(cuò)和備份機(jī)制，采用數(shù)據(jù)加密等。 IT系統(tǒng)重大事件的界定IT系統(tǒng)的脆弱性體現(xiàn)在很多方面，小到短暫的電力不足或磁盤錯(cuò)誤，大到設(shè)備的毀壞或火災(zāi)等等。為了能更好的制定針對(duì)IT系統(tǒng)重大事件的應(yīng)急方案，必須先對(duì)所有可能發(fā)生的重大事件進(jìn)行詳細(xì)的描述和定義。 電源電源是IT系統(tǒng)最基礎(chǔ)的部分，也是最容易受到外界干擾的部分之一。 網(wǎng)絡(luò)網(wǎng)絡(luò)是IT系統(tǒng)及網(wǎng)絡(luò)客戶進(jìn)行通訊的通道，也是最容易受到外界干擾或攻擊的部分之一。 主機(jī)及存儲(chǔ)設(shè)備主機(jī)及存儲(chǔ)設(shè)備是IT系統(tǒng)運(yùn)行的關(guān)鍵和核心，也是相對(duì)脆弱的部分，對(duì)工作環(huán)境的要求是相當(dāng)高的，任何外部的變化都可能導(dǎo)致這些設(shè)備出現(xiàn)異常。 數(shù)據(jù)庫數(shù)據(jù)庫是存儲(chǔ)公司經(jīng)營信息的關(guān)鍵部分，由于數(shù)據(jù)庫是建立在主機(jī)及存儲(chǔ)設(shè)備上的應(yīng)用，任何主機(jī)及存儲(chǔ)設(shè)備的變化都會(huì)對(duì)數(shù)據(jù)庫產(chǎn)生或大或小的影響，同時(shí)數(shù)據(jù)庫也是公司各個(gè)層面用戶的使用對(duì)象，用戶對(duì)數(shù)據(jù)的操作可能導(dǎo)致不可預(yù)料的影響。 電腦病毒由于Internet接入，員工從Internet上進(jìn)行下載或者接收郵件，都有感染病毒的可能性。針對(duì)病毒在公司內(nèi)部的傳播范圍或危害程度，分為三個(gè)層次：一般性事件：獨(dú)立的病毒感染，并沒有傳播和造成損失的；密切關(guān)注事件：病毒小范圍傳播，并造成一定損失，但不是重大損失的； 嚴(yán)重關(guān)注事件：病毒大范圍傳播，并造成重大損失的； 其他事件信息中心機(jī)房其他影響IT系統(tǒng)運(yùn)行的因素可能會(huì)產(chǎn)生一些突然事件，主要有以下一些方面：（一）空調(diào)工作異常，導(dǎo)致機(jī)房溫度過高；（二）空調(diào)防水保護(hù)出現(xiàn)異常導(dǎo)致滲水；（三）發(fā)生火災(zāi)；（四）粉塵導(dǎo)致主機(jī)或存儲(chǔ)設(shè)備異常的。下面按照IT系統(tǒng)相關(guān)聯(lián)的電源、網(wǎng)絡(luò)、主機(jī)及存儲(chǔ)設(shè)備、數(shù)據(jù)庫、電腦病毒等多個(gè)方面進(jìn)行說明。（二）在必要情況下，交流輸入供電系統(tǒng)采用雙路市電供電和發(fā)電機(jī)聯(lián)合供電，保證市電使長期停電, UPS仍能正常供電；（三）直流輸入方面，采用公用一組電池組的設(shè)計(jì)，配置長達(dá)4小時(shí)的后備電池, 并提供交流輸入瞬變或市電與發(fā)電機(jī)供電切換時(shí)的短時(shí)供電；（四）根據(jù)停電時(shí)間的長短，依次發(fā)布一般性通知、較緊急通知和緊急通知給相關(guān)部門和機(jī)構(gòu)；（五）停電發(fā)生后，及時(shí)聯(lián)系供電部門和物業(yè)管理部門。具體有：設(shè)置源地址過濾，拒絕外部非法IP地址，有效避免了外部網(wǎng)絡(luò)上與業(yè)務(wù)無關(guān)的主機(jī)的越權(quán)訪問；防火墻只保留有用的WEB服務(wù)和郵件服務(wù)，將其它不需要的服務(wù)關(guān)閉（含即時(shí)通信或其它，MSN控制在一定范圍使用），將系統(tǒng)受攻擊的可能性降低到最小限度，使黑客無機(jī)可乘；防火墻制定訪問策略，只有被授權(quán)的外部主機(jī)可以訪問內(nèi)部網(wǎng)絡(luò)的有限IP地址，保證外部網(wǎng)絡(luò)只能訪問內(nèi)部網(wǎng)絡(luò)中的必要資源，與業(yè)務(wù)無關(guān)的操作將被拒絕；全面監(jiān)視外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問活動(dòng)，并進(jìn)行詳細(xì)的記錄，及時(shí)分析得出可疑的攻擊行為；網(wǎng)絡(luò)的安全策略由防火墻集中管理，使黑客無法通過更改某一臺(tái)主機(jī)的安全策略來達(dá)到控制其他資源訪問權(quán)限的目的；設(shè)置地址轉(zhuǎn)換功能，使外部網(wǎng)絡(luò)用戶不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，使黑客攻擊失去目標(biāo)。為應(yīng)對(duì)可能發(fā)生的重大事件或突發(fā)事件，采取以下措施：（一）在接到緊急停電通知后3040分鐘內(nèi)按照先數(shù)據(jù)庫、次主機(jī)、最后存儲(chǔ)設(shè)備的順序停止所有系統(tǒng)運(yùn)行，在必要的情況下，須拔掉所有電源插頭；（二）采用雙機(jī)熱備技術(shù)，在其中一臺(tái)主機(jī)出現(xiàn)異常時(shí)，及時(shí)進(jìn)行切換；（三）采用硬盤、磁帶庫等設(shè)備作好日常數(shù)據(jù)備份；（四）如果發(fā)生誤刪除操作系統(tǒng)文件，立即進(jìn)行文件系統(tǒng)恢復(fù)（必須有備份）；（五）如果發(fā)生誤刪除數(shù)據(jù)，立即進(jìn)行數(shù)據(jù)庫恢復(fù)（必須有備份）；（六）如果文件系統(tǒng)空間不夠，導(dǎo)致系統(tǒng)不能正常運(yùn)行，立即進(jìn)行文件系統(tǒng)擴(kuò)展。（九）出現(xiàn)重大故障，盡快了解情況，分析問題和提出應(yīng)急解決方案，做好現(xiàn)場(chǎng)應(yīng)急處理，立即通知系統(tǒng)服務(wù)商到現(xiàn)場(chǎng)處理，并由系統(tǒng)服務(wù)商提供備件支援。具體措施如下：（一）配置企業(yè)級(jí)網(wǎng)絡(luò)版殺毒軟件，在公司總部、分公司、營業(yè)部所有聯(lián)網(wǎng)的PC機(jī)、PC服務(wù)器上安裝病毒/郵件防火墻，部署統(tǒng)一的公司網(wǎng)絡(luò)防毒系統(tǒng)，實(shí)現(xiàn)反毒分級(jí)防范和集中安全管理；（二）在公司總部和分公司配置防毒網(wǎng)關(guān)服務(wù)器，檢查所有進(jìn)出郵件、所訪問的網(wǎng)頁和FTP文件，防止病毒通過外部網(wǎng)絡(luò)進(jìn)入公司內(nèi)網(wǎng)進(jìn)行傳播；（三）建立定時(shí)自動(dòng)更新防病毒軟件和病毒庫的機(jī)制，確保殺毒軟件的有效性；（四）建立集中的網(wǎng)絡(luò)入侵檢測(cè)和漏洞掃描系統(tǒng)，防范黑客入侵和攻擊，及時(shí)給系統(tǒng)打補(bǔ)??；（五）加強(qiáng)對(duì)用戶的教育，不從不明網(wǎng)站下載，不查看來源不明的郵件，不運(yùn)行可能含有病毒的程序等；（六）如果用戶機(jī)器發(fā)現(xiàn)病毒，應(yīng)立即終止網(wǎng)絡(luò)連接并通知信息部門進(jìn)行相關(guān)處理；（七）如果因病毒發(fā)作而導(dǎo)致數(shù)據(jù)丟失，應(yīng)立即與信息部門聯(lián)系，不要自行處