【正文】 ：信息系統(tǒng)安全應(yīng)急預(yù)案深圳市前海好彩金融服務(wù)有限公司信息系統(tǒng)安全應(yīng)急預(yù)案一、總則（一）編制目的公司網(wǎng)絡(luò)和信息安全涉及以設(shè)備為中心的信息安全，技術(shù)涵蓋網(wǎng)絡(luò)系統(tǒng)、計算機操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用軟件系統(tǒng)；涉及計算機病毒的防范、入侵的監(jiān)控；涉及以用戶（包括內(nèi)部員工和外部相關(guān)機構(gòu)人員）為中心的安全管理，包括用戶的身份管理、身份認證、授權(quán)、審計等；涉及信息傳輸?shù)臋C密性、完整性、不可抵賴性等等。（二）編制依據(jù)根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《信息安全3級評級方法》、GB/T202692006《信息安全技術(shù)信息系統(tǒng)安全管理要求》、GB/T202702006《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》、GB/T202812006《信息安全技術(shù)防火墻技術(shù)要求和測試評價方法》、GB/T197162005《信息技術(shù)信息安全管理使用規(guī)則》等有關(guān)法規(guī)、規(guī)定，制定本預(yù)案。二、應(yīng)急組織機構(gòu)及職責成立信息系統(tǒng)應(yīng)急處理領(lǐng)導(dǎo)小組，負責領(lǐng)導(dǎo)、組織和協(xié)調(diào)全公司信息系統(tǒng)突發(fā)事件的應(yīng)急保障工作。應(yīng)急小組日常工作由公司技術(shù)部承擔，其他各相關(guān)部門積極配合。對發(fā)生事件啟動應(yīng)急救援預(yù)案進行決策，全面指揮應(yīng)急救援工作。加強計算機信息網(wǎng)絡(luò)安全的宣傳和教育，進一步提高工作人員的信息安全意識。（四）科學決策，快速反應(yīng)加強技術(shù)儲備，規(guī)范應(yīng)急處置措施和操作流程，網(wǎng)絡(luò)與信息安全突發(fā)公共事件發(fā)生時，要快速反應(yīng)，及時獲取準確信息，跟蹤研判，及時報告，果斷決策，迅速處理，昀大限度地減少危害和影響。物理設(shè)備的安全風險由于信息系統(tǒng)中大量地使用了網(wǎng)絡(luò)設(shè)備如交換機、路由器等，服務(wù)器，移動設(shè)備，使得這些設(shè)備的自身安全性也會直接關(guān)系信息系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運轉(zhuǎn)。（二）網(wǎng)絡(luò)安全風險網(wǎng)絡(luò)體系結(jié)構(gòu)的安全風險網(wǎng)絡(luò)平臺是一切應(yīng)用系統(tǒng)建設(shè)的基礎(chǔ)平臺，網(wǎng)絡(luò)體系結(jié)構(gòu)是否按照安全體系結(jié)構(gòu)和安全機制進行設(shè)計，直接關(guān)系到網(wǎng)絡(luò)平臺的安全保障能力。內(nèi)部應(yīng)用信息網(wǎng)、Internet網(wǎng)之間是否進行隔離及如何進行隔離，網(wǎng)段劃分是否合理，路由是否正確，網(wǎng)絡(luò)的容量、帶寬是否考慮客戶上網(wǎng)的峰值，網(wǎng)絡(luò)設(shè)備有無冗余設(shè)計等都與安全風險密切相關(guān)。網(wǎng)絡(luò)通信協(xié)議存在安全漏洞，網(wǎng)絡(luò)黑客就能利用網(wǎng)絡(luò)設(shè)備和協(xié)議的安全漏洞進行網(wǎng)絡(luò)攻擊和信息竊取。網(wǎng)絡(luò)操作系統(tǒng)的安全風險網(wǎng)絡(luò)操作系統(tǒng)，不論是 IOS，Android，還是 Windows，都存在安全漏洞；一些重要的網(wǎng)絡(luò)設(shè)備，如路由器、交換機、網(wǎng)關(guān)，防火墻等，由于操作系統(tǒng)存在安全漏洞，導(dǎo)致網(wǎng)絡(luò)設(shè)備的不安全；有些網(wǎng)絡(luò)設(shè)備存在“后門”（back door）。數(shù)據(jù)庫服務(wù)器、中間層服務(wù)器，以及各類業(yè)務(wù)和辦公客戶機等設(shè)備所使用的操作系統(tǒng)，不論是Win2008/XP/7，還是 Unix都存在信息安全漏洞，由操作系統(tǒng)信息安全漏洞帶來的安全風險是昀普遍的安全風險。雖然，目前公司的數(shù)據(jù)庫管理系統(tǒng)可以達到較高的安全級別，但仍存在安全漏洞。應(yīng)用系統(tǒng)的安全風險為優(yōu)化整個應(yīng)用系統(tǒng)的性能，無論是采用C／S應(yīng)用模式或是B／S應(yīng)用模式，應(yīng)用系統(tǒng)都是其系統(tǒng)的重要組成部分，不僅是用戶訪問系統(tǒng)資源的入口，也是系統(tǒng)管理員和系統(tǒng)安全管理員管理系統(tǒng)資源的入口，桌面應(yīng)用系統(tǒng)的管理和使用不當，會帶來嚴重的安全風險。重者，“黑客”對系統(tǒng)實施攻擊，造成系統(tǒng)崩潰。盡管防病毒軟件安裝率已大幅度提升，但如果沒有好的防毒概念，從不進行病毒代碼升級，而新病毒層出不窮，因此威脅性愈來愈大。入侵者通過拒絕服務(wù)攻擊，使得服務(wù)器超負荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。所以，必須要對外部和內(nèi)部網(wǎng)絡(luò)進行必要的隔離，避免信息外泄；同時還要對外網(wǎng)的服務(wù)請求加以過濾，只允許正常通信的數(shù)據(jù)包到達相應(yīng)主機，其它的請求服務(wù)在到達主機之前就應(yīng)該遭到拒絕。為此，動態(tài)口令認證、CA第三方認證等被認為是先進的認證方式。要基于應(yīng)用服務(wù)和外部信息系統(tǒng)建立基于統(tǒng)一策略的用戶身份認證與授權(quán)控制機制，以區(qū)別不同的用戶和信息訪問者，并授予他們不同的信息訪問和事務(wù)處理權(quán)限。采用國內(nèi)經(jīng)過國家密碼管理委員會和公安部批準的加密方式、密碼算法和密鑰管理技術(shù)來強化這一環(huán)節(jié)的安全保障。責權(quán)不明、管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。同時，當故障發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。五、預(yù)防預(yù)警（一）完善網(wǎng)絡(luò)與信息安全突發(fā)公共事件監(jiān)測、預(yù)測和預(yù)警制度。當檢查到有網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)生或可能發(fā)生時，應(yīng)及時對發(fā)生事件或可能發(fā)生事件進行調(diào)查核實、保存相關(guān)證據(jù)，并立即向應(yīng)急領(lǐng)導(dǎo)小組報告。若發(fā)現(xiàn)下列情況應(yīng)及時向應(yīng)急領(lǐng)導(dǎo)小組報告：利用網(wǎng)絡(luò)從事違法犯罪活動；網(wǎng)絡(luò)或信息系統(tǒng)通信和資源使用異常；網(wǎng)絡(luò)或信息系統(tǒng)癱瘓，應(yīng)用服務(wù)中斷或數(shù)據(jù)篡改、丟失；網(wǎng)絡(luò)恐怖活動的嫌疑和預(yù)警信息；其他影響網(wǎng)絡(luò)與信息安全的信息。通過相關(guān)設(shè)備實時監(jiān)控網(wǎng)絡(luò)工作與信息安全狀況。針對信息網(wǎng)絡(luò)的突發(fā)性、大規(guī)模安全事件，建立制度優(yōu)化、程序化的處理流程。一旦發(fā)生網(wǎng)絡(luò)與信息安全事件，立即啟動應(yīng)急預(yù)案，采取應(yīng)急處置措施，判定事件危害程度，并立即將情況向有關(guān)領(lǐng)導(dǎo)報告。六、處置流程（一）預(yù)案啟動在發(fā)生網(wǎng)絡(luò)與信息安全事件后，信息中心應(yīng)盡昀大可能迅速收集事件相關(guān)信息，鑒別事件性質(zhì)，確定事件來源，弄清事件范圍和評估事件帶來的影響和損害，一旦確認為網(wǎng)絡(luò)與信息安全事件后，立即將事件上報工作組并著手處置。（2）檢查 UPS是否正常供電。（4）備份服務(wù)器數(shù)據(jù)、交換機配置。做好事件記錄。局域網(wǎng)中斷緊急處理措施（1）信息安全負責人員立即判斷故障節(jié)點，查明故障原因，及時匯報。（3）若是路由器、交換機等設(shè)備故障，應(yīng)立即從指定位置將備用設(shè)備取出接上，并調(diào)試暢通。（5）匯報相關(guān)領(lǐng)導(dǎo)，做好事件記錄。（2）如是我方管轄范圍，由信息安全負責人員立即維修恢復(fù)。（4）做好事件記錄。（2）啟用備用核心交換機，檢查接管情況。（4）將服務(wù)器接入備用核心交換機，檢查服務(wù)器運行情況，將樓層交換機、接入交換機接入備用核心交換機，檢查各交換機運行情況。（6）聯(lián)系維修核心交換機。（2）檢查并做好備用光纜或備用芯的跳線工作，隨時切換到備用網(wǎng)絡(luò)。計算機病毒爆發(fā)（1）關(guān)閉計算機病毒爆發(fā)網(wǎng)段上聯(lián)端口。（3）關(guān)閉中病毒計算機上聯(lián)端口。（5）系統(tǒng)損壞計算機在備份其數(shù)據(jù)后，進行重裝。（7）做好事件記錄，及時上報。（2）如能自行恢復(fù)，則立即用備件替換受損部件，如：電源損壞更換備用電源，硬盤損壞更換備用硬盤，網(wǎng)卡、主板損壞啟用備用服務(wù)器。并檢查備用服務(wù)器啟用情況。（5）如不能恢復(fù)，立即聯(lián)系設(shè)備供應(yīng)商，要求派維護人員前來維修。黑客攻擊事件（1）若通過入侵監(jiān)測系統(tǒng)發(fā)現(xiàn)有黑客進行攻擊，立即通知相關(guān)人員處理。（3）及時恢復(fù)重建被攻擊或被破壞的系統(tǒng)（4）記錄事件，及時上報，若事態(tài)嚴重，應(yīng)及時向信息化主管部門和公安部門報警。（2）發(fā)生數(shù)據(jù)庫數(shù)據(jù)丟失、受損、篡改、泄露等安全事件時，信息安全人員應(yīng)查明原因，按照情況采取相應(yīng)措施：如更改數(shù)據(jù)庫密碼，修復(fù)錯誤受損數(shù)據(jù)。（4）做好事件記錄，及時上報。（2）當火勢已無法控制時，一是指定專人立即撥打“119”火警電話報警和向上級保衛(wèi)部門報告，并打破報警器示警。（3）在保障人員安全的情況下，立即組織人員疏散和轉(zhuǎn)移重要物品，特別是易燃、易爆物品和重要的機器、數(shù)據(jù)要及時轉(zhuǎn)移到安全地點，并派人員守護，確保安全。1發(fā)生自然災(zāi)害后的緊急措施（1）遇到重大雷暴天氣，可能對機房設(shè)備造成損害時，應(yīng)關(guān)閉所有服務(wù)器，切斷電源，暫停內(nèi)部計算機網(wǎng)絡(luò)工作。（2）確認災(zāi)害不會造成人身傷害后，盡快將網(wǎng)絡(luò)恢復(fù)正常，若有設(shè)備、數(shù)據(jù)損壞，及時使用備份設(shè)備或備用數(shù)據(jù)。深圳市前海好彩金融服務(wù)有限公司1關(guān)鍵人員不在崗的緊急處置措施（1）對于關(guān)鍵崗位平時應(yīng)做好人員儲備，確保一項工作有兩人能夠操作。（2）一旦發(fā)生系統(tǒng)安全事件，關(guān)鍵人員不在崗且聯(lián)系不上或 1小時內(nèi)不能到達機房的情況，首先應(yīng)向領(lǐng)導(dǎo)小組匯報情況。（4）如果備用人員無法上崗，請求軟件公司技術(shù)支援。（6）做好事件記錄。安全事件被抑制之后，通過對有關(guān)事件或行為的分析結(jié)果，找出其根源，明確相應(yīng)的補救措施并徹底清除。（四）記錄上報網(wǎng)絡(luò)與信息安全事件發(fā)生時，應(yīng)及時向網(wǎng)絡(luò)與信息安全應(yīng)急處置工作組匯報，并在事件處置工作中作好完整的過程記錄，及時報告處置工作進展情況，保存各相關(guān)系統(tǒng)日志，直至處置工作結(jié)束。在網(wǎng)絡(luò)與信息安全突發(fā)公共事件發(fā)生時，報領(lǐng)導(dǎo)同意后，由應(yīng)急工作組負責統(tǒng)一調(diào)用。各容災(zāi)備份系統(tǒng)應(yīng)具有一定的兼容性，在特殊情況下各系統(tǒng)間可互為備份。一、工作原則（一）明確責任：按照“誰主管誰負責，誰運行誰負責”的要求，建立并落實統(tǒng)計信息系統(tǒng)責任制和應(yīng)急機制。（三）協(xié)作配合、確保恢復(fù)：部門間要協(xié)同配合，確保在最短的時間內(nèi)完成系統(tǒng)的恢復(fù)。2．公司辦公室是電力系統(tǒng)故障應(yīng)急處理的第一責任單位。3．計算中心機房停電的處理網(wǎng)絡(luò)運行負責人應(yīng)根據(jù)停電時間和UPS電池的供電能力，在保證重點網(wǎng)絡(luò)關(guān)鍵設(shè)備用電的前提下，提出機房設(shè)備部分關(guān)機或全部關(guān)機方案，經(jīng)認可后按照規(guī)定的流程操作實施。系統(tǒng)管理人員在接到通知后，按照規(guī)定的流程開啟關(guān)閉相關(guān)設(shè)備。若火情嚴重時，應(yīng)迅速撥打119電話報警，并盡可能采取一些簡單可行的方法作初步處理，如：使用周圍的滅火器、水源（在允許用水滅火的場合）或采用其他滅火措施、手段。2．滅火計算中心機房出現(xiàn)火情并且無法進行局部處理時，機房管理人員在緊急報告有關(guān)領(lǐng)導(dǎo)的同時，應(yīng)立即疏散物理場地樓層以內(nèi)的工作人員。如果網(wǎng)絡(luò)、應(yīng)用系統(tǒng)出現(xiàn)比較嚴重的問題，對網(wǎng)絡(luò)業(yè)務(wù)的正常運行造成較大的影響，需立即向有關(guān)領(lǐng)導(dǎo)報告。如果需要更換設(shè)備，應(yīng)上報有關(guān)領(lǐng)導(dǎo),經(jīng)批準后馬上更換故障設(shè)備，盡快恢復(fù)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)運行。3．網(wǎng)絡(luò)線路故障排除如發(fā)現(xiàn)屬外部線路的問題，應(yīng)與線路服務(wù)提供商聯(lián)系，敦促對方盡快恢復(fù)故障線路。四、網(wǎng)站檢測與自動恢復(fù)系統(tǒng)應(yīng)急處理流程1．報告和簡單處理發(fā)現(xiàn)公司服務(wù)網(wǎng)站等對外不能正常打開或網(wǎng)站內(nèi)容被惡意篡改時，任何公司人員都有義務(wù)向技術(shù)部門報告。2．處理和恢復(fù)使用先查看網(wǎng)絡(luò)連接情況，若不是網(wǎng)絡(luò)故障，再排查軟、硬件故障。五、黑客入侵的應(yīng)急處理1．報告和簡單處理發(fā)現(xiàn)網(wǎng)絡(luò)上有黑客攻擊行為，任何人員都有義務(wù)向技術(shù)部門報告。2．處理和恢復(fù)使用對于黑客攻擊，由技術(shù)部門與機房管理人員協(xié)同查找入侵蹤跡，分析入侵方式和原因，分析入侵事件并內(nèi)部網(wǎng)計算機進行整改，防止黑客用同樣的手段再次入侵其他系統(tǒng)。3．應(yīng)急響應(yīng)機房管理人員應(yīng)做好記錄，保護現(xiàn)場，進行日志收集等工作。根據(jù)破壞程度，經(jīng)有關(guān)領(lǐng)導(dǎo)同意后，上報公安部門。六、大規(guī)模病毒（含惡意軟件）攻擊的應(yīng)急處理1．報告和簡單處理發(fā)現(xiàn)網(wǎng)絡(luò)上有大規(guī)模病毒攻擊的行為，任何人員都有義務(wù)向技術(shù)部門報告。2．已知病毒的處理和恢復(fù)使用最新版本殺毒軟件對染毒計算機進行全面殺毒，并對染毒計算機系統(tǒng)進行漏洞修補。3．未知病毒的處理和恢復(fù)觀察網(wǎng)管軟件根據(jù)監(jiān)視窗口的鏈路狀態(tài)，由此判斷感染病毒或惡意程序的客戶端、服務(wù)器所屬的樓層交換機。關(guān)閉該交換機端口，隔離該工作站、服務(wù)器，阻斷與局域網(wǎng)的連接。根據(jù)IP地址信息找到該工作站的具體位置，對該工作站進行病毒或惡意程序清除工作。七、預(yù)案的發(fā)布與生效本預(yù)案自發(fā)布之日起生效