為全面加強(qiáng)公司信息系統(tǒng)安全管理,應(yīng)對(duì)信息安全突發(fā)事件的發(fā)生,提高對(duì)安全事件的應(yīng)急處置能力,保證網(wǎng)絡(luò)與信息安全指揮協(xié)調(diào)工作迅速、高效、有序地進(jìn)行,滿足突發(fā)情況下信息系統(tǒng)安全穩(wěn)定、持續(xù)運(yùn)行,根據(jù)國(guó)家和省有關(guān)規(guī)定,制定本預(yù)案。
1. 電力系統(tǒng)故障的應(yīng)急處理
(1).?? 報(bào)告,任何單位和人員發(fā)現(xiàn)本單位電力系統(tǒng)出現(xiàn)異常情況時(shí),都應(yīng)及時(shí)向技術(shù)部報(bào)告。
(2).?? 聯(lián)系,技術(shù)部負(fù)責(zé)人或值班人員及時(shí)聯(lián)系物業(yè),并聯(lián)系相關(guān)系統(tǒng)管理員確定緊急停機(jī)方案和計(jì)劃。
(3).?? 監(jiān)控,技術(shù)部負(fù)責(zé)人或值班人員實(shí)時(shí)監(jiān)控UPS電量消耗情況,并按計(jì)劃當(dāng)電量低于預(yù)定閾值時(shí)通知相關(guān)系統(tǒng)管理員進(jìn)行停機(jī)操作。
(4).?? 恢復(fù),當(dāng)電力供應(yīng)恢復(fù)后,通知相關(guān)信息負(fù)責(zé)人,按規(guī)定的開發(fā)流程恢復(fù)停機(jī)系統(tǒng)。
2. ?消防系統(tǒng)應(yīng)急處理
(1).?? 報(bào)告和簡(jiǎn)單處理
當(dāng)出現(xiàn)火情、火災(zāi)時(shí),發(fā)現(xiàn)人員應(yīng)在最短時(shí)間內(nèi)報(bào)告。若火情嚴(yán)重時(shí),應(yīng)迅速撥打119電話報(bào)警,并盡可能采取一些簡(jiǎn)單可行的方法作初步處理,如:使用周圍的滅火器、水源(在允許用水滅火的場(chǎng)合)或采用其他滅火措施、手段。進(jìn)展情況隨時(shí)向有關(guān)領(lǐng)導(dǎo)報(bào)告。
(2).?? 滅火
計(jì)算中心機(jī)房出現(xiàn)火情并且無(wú)法進(jìn)行局部處理時(shí),機(jī)房管理人員在緊急報(bào)告有關(guān)領(lǐng)導(dǎo)的同時(shí),應(yīng)立即疏散場(chǎng)地以內(nèi)的工作人員。在自動(dòng)滅火系統(tǒng)未啟動(dòng)時(shí),按下緊急啟動(dòng)按鈕。
3. 網(wǎng)絡(luò)信息系統(tǒng)故障的應(yīng)急處理
(1).?? 報(bào)告和簡(jiǎn)單處理
網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)應(yīng)用系統(tǒng)故障應(yīng)由發(fā)現(xiàn)人及時(shí)通知技術(shù)部,技術(shù)部在收到發(fā)現(xiàn)人通知或系統(tǒng)自動(dòng)通知后應(yīng)立即檢查故障,進(jìn)行初步故障定位。如果網(wǎng)絡(luò)、應(yīng)用系統(tǒng)出現(xiàn)比較嚴(yán)重的問(wèn)題,對(duì)網(wǎng)絡(luò)業(yè)務(wù)的正常運(yùn)行造成較大的影響,需立即向有關(guān)領(lǐng)導(dǎo)報(bào)告。
(2).?? 故障判斷與排除
對(duì)簡(jiǎn)單故障,運(yùn)維人員應(yīng)迅速排除故障,解決問(wèn)題并記錄。如果需要更換設(shè)備,應(yīng)上報(bào)有關(guān)領(lǐng)導(dǎo),經(jīng)批準(zhǔn)后馬上更換故障設(shè)備,盡快恢復(fù)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)運(yùn)行。運(yùn)維人員判斷無(wú)法及時(shí)修理時(shí),應(yīng)立即通知相關(guān)的系統(tǒng)運(yùn)行服務(wù)提供商,在最短的時(shí)間內(nèi)安排修理或更換系統(tǒng)。
(3).?? 網(wǎng)絡(luò)線路故障排除
如發(fā)現(xiàn)屬外部線路的問(wèn)題,應(yīng)與線路服務(wù)提供商聯(lián)系,敦促對(duì)方盡快恢復(fù)故障線路。
(4).?? 啟用備份線路、設(shè)備、系統(tǒng)(如果存在的話),迅速恢復(fù)相關(guān)的應(yīng)用。
4. ?網(wǎng)站與應(yīng)用系統(tǒng)應(yīng)急處理
(1).?? 報(bào)告和簡(jiǎn)單處理
發(fā)現(xiàn)對(duì)外網(wǎng)站不能正常打開或網(wǎng)站內(nèi)容被惡意篡改時(shí),任何人員都有義務(wù)向技術(shù)部報(bào)告。技術(shù)部在收到報(bào)告后應(yīng)立即組織應(yīng)急響應(yīng),聯(lián)合相關(guān)部門進(jìn)行故障排查。
(2).?? 處理
先由技術(shù)部查看網(wǎng)絡(luò)連接情況,若不是網(wǎng)絡(luò)故障,則繼續(xù)檢查其它硬件或系統(tǒng)軟件故障,必要時(shí)立即聯(lián)系應(yīng)用軟件供應(yīng)商或研發(fā)部門會(huì)診。
(3).?? 恢復(fù)使用
待故障處理完成并經(jīng)過(guò)測(cè)試后,恢復(fù)系統(tǒng)的正常運(yùn)行。
5. ?黑客入侵的應(yīng)急處理
(1).?? 報(bào)告和簡(jiǎn)單處理
發(fā)現(xiàn)網(wǎng)絡(luò)上有黑客攻擊行為,任何人員都有義務(wù)向技術(shù)部報(bào)告。技術(shù)部在收到報(bào)告或檢測(cè)到攻擊行為后應(yīng)立即啟動(dòng)應(yīng)急響應(yīng),切斷受攻擊計(jì)算機(jī)與網(wǎng)絡(luò)的連接,停止一切操作、保護(hù)現(xiàn)場(chǎng),并上報(bào)有關(guān)領(lǐng)導(dǎo)。
(2).?? 處理
對(duì)于黑客攻擊,由技術(shù)部組織應(yīng)急響應(yīng)專家小組查找入侵蹤跡,分析入侵方式和原因。由安全管理員根據(jù)對(duì)入侵事件的分析,組織相關(guān)人員對(duì)內(nèi)部網(wǎng)計(jì)算機(jī)整改,防止黑客用同樣的手段再次入侵其他系統(tǒng)。緊急情況下專家小組有權(quán)在未經(jīng)領(lǐng)導(dǎo)審批進(jìn)行應(yīng)急處理,但應(yīng)做好記錄,保護(hù)現(xiàn)場(chǎng),進(jìn)行日志收集等工作。
(3).?? 恢復(fù)
專家小組檢查確定無(wú)安全隱患后,才可將受攻擊計(jì)算機(jī)重新連接網(wǎng)絡(luò),或啟用備份計(jì)算機(jī)或服務(wù)器來(lái)恢復(fù)應(yīng)用。
如果能追查到攻擊者的相關(guān)信息,可以對(duì)其發(fā)出警告,必要時(shí)可以采取進(jìn)一步的行動(dòng),乃至采取法律手段。根據(jù)破壞程度,經(jīng)有關(guān)領(lǐng)導(dǎo)同意后,上報(bào)公安部門。
若系統(tǒng)已被黑客破壞,無(wú)法恢復(fù),應(yīng)將受黑客攻擊的計(jì)算機(jī)上的重要數(shù)據(jù)備份到其他存儲(chǔ)介質(zhì),確保計(jì)算機(jī)內(nèi)重要的數(shù)據(jù)不丟失。如果數(shù)據(jù)無(wú)法恢復(fù),經(jīng)有關(guān)領(lǐng)導(dǎo)同意后,可與國(guó)家指定的部門聯(lián)系,由他們來(lái)協(xié)助恢復(fù)。
6. 大規(guī)模病毒(含惡意軟件)攻擊的應(yīng)急處理
(1).?? 報(bào)告和簡(jiǎn)單處理
發(fā)現(xiàn)網(wǎng)絡(luò)上有大規(guī)模病毒攻擊的行為,任何人員都有義務(wù)向綜合部報(bào)告。由技術(shù)部組織應(yīng)急響應(yīng),切斷受攻擊計(jì)算機(jī)與網(wǎng)絡(luò)的連接,停止一切操作、保護(hù)現(xiàn)場(chǎng),立即上報(bào)有關(guān)領(lǐng)導(dǎo)。
(2).?? 已知病毒的處理和恢復(fù)
使用最新版本殺毒軟件對(duì)染毒計(jì)算機(jī)進(jìn)行全面殺毒,并對(duì)染毒計(jì)算機(jī)系統(tǒng)進(jìn)行漏洞修補(bǔ)。技術(shù)部或系統(tǒng)管理員確定沒有病毒和安全漏洞后,再連接網(wǎng)絡(luò)恢復(fù)使用。
(3).?? 未知病毒的處理和恢復(fù)
觀察防火墻、交換機(jī)及網(wǎng)管軟件根據(jù)監(jiān)視窗口的鏈路狀態(tài),由此判斷感染病毒或惡意程序的客戶端、服務(wù)器所連接的交換機(jī)。打開該交換機(jī)的端口流量分析窗口,根據(jù)流量判斷感染病毒或惡意程序的客戶端所科交換機(jī)端口。關(guān)閉該交換機(jī)端口,隔離該工作站、服務(wù)器,阻斷與局域網(wǎng)的連接。根據(jù)端口狀態(tài)功能,查看感染病毒或惡意程序的終端或服務(wù)器的IP地址。根據(jù)IP地址信息找到該工作站的具體位置,對(duì)該工作站進(jìn)行病毒或惡意程序清除工作。
根據(jù)對(duì)于未知病毒,應(yīng)首先嘗試手工殺毒處理,若系統(tǒng)已被病毒破壞,無(wú)法恢復(fù),應(yīng)將感染病毒的計(jì)算機(jī)上的硬盤加掛到其他機(jī)器上處理,將重要數(shù)據(jù)備份到其他存儲(chǔ)介質(zhì),盡最大努力保護(hù)、保留感染計(jì)算機(jī)內(nèi)重要的數(shù)據(jù),同時(shí)防止病毒感染其他計(jì)算機(jī)。如果數(shù)據(jù)無(wú)法恢復(fù),經(jīng)有關(guān)領(lǐng)導(dǎo)同意后,可與反病毒廠商聯(lián)系,由他們來(lái)協(xié)助恢復(fù)。