為全面加強公司信息系統(tǒng)安全管理,應(yīng)對信息安全突發(fā)事件的發(fā)生,提高對安全事件的應(yīng)急處置能力,保證網(wǎng)絡(luò)與信息安全指揮協(xié)調(diào)工作迅速、高效、有序地進(jìn)行,滿足突發(fā)情況下信息系統(tǒng)安全穩(wěn)定、持續(xù)運行,根據(jù)國家和省有關(guān)規(guī)定,制定本預(yù)案。
1. 電力系統(tǒng)故障的應(yīng)急處理
(1).?? 報告,任何單位和人員發(fā)現(xiàn)本單位電力系統(tǒng)出現(xiàn)異常情況時,都應(yīng)及時向技術(shù)部報告。
(2).?? 聯(lián)系,技術(shù)部負(fù)責(zé)人或值班人員及時聯(lián)系物業(yè),并聯(lián)系相關(guān)系統(tǒng)管理員確定緊急停機方案和計劃。
(3).?? 監(jiān)控,技術(shù)部負(fù)責(zé)人或值班人員實時監(jiān)控UPS電量消耗情況,并按計劃當(dāng)電量低于預(yù)定閾值時通知相關(guān)系統(tǒng)管理員進(jìn)行停機操作。
(4).?? 恢復(fù),當(dāng)電力供應(yīng)恢復(fù)后,通知相關(guān)信息負(fù)責(zé)人,按規(guī)定的開發(fā)流程恢復(fù)停機系統(tǒng)。
2. ?消防系統(tǒng)應(yīng)急處理
(1).?? 報告和簡單處理
當(dāng)出現(xiàn)火情、火災(zāi)時,發(fā)現(xiàn)人員應(yīng)在最短時間內(nèi)報告。若火情嚴(yán)重時,應(yīng)迅速撥打119電話報警,并盡可能采取一些簡單可行的方法作初步處理,如:使用周圍的滅火器、水源(在允許用水滅火的場合)或采用其他滅火措施、手段。進(jìn)展情況隨時向有關(guān)領(lǐng)導(dǎo)報告。
(2).?? 滅火
計算中心機房出現(xiàn)火情并且無法進(jìn)行局部處理時,機房管理人員在緊急報告有關(guān)領(lǐng)導(dǎo)的同時,應(yīng)立即疏散場地以內(nèi)的工作人員。在自動滅火系統(tǒng)未啟動時,按下緊急啟動按鈕。
3. 網(wǎng)絡(luò)信息系統(tǒng)故障的應(yīng)急處理
(1).?? 報告和簡單處理
網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)應(yīng)用系統(tǒng)故障應(yīng)由發(fā)現(xiàn)人及時通知技術(shù)部,技術(shù)部在收到發(fā)現(xiàn)人通知或系統(tǒng)自動通知后應(yīng)立即檢查故障,進(jìn)行初步故障定位。如果網(wǎng)絡(luò)、應(yīng)用系統(tǒng)出現(xiàn)比較嚴(yán)重的問題,對網(wǎng)絡(luò)業(yè)務(wù)的正常運行造成較大的影響,需立即向有關(guān)領(lǐng)導(dǎo)報告。
(2).?? 故障判斷與排除
對簡單故障,運維人員應(yīng)迅速排除故障,解決問題并記錄。如果需要更換設(shè)備,應(yīng)上報有關(guān)領(lǐng)導(dǎo),經(jīng)批準(zhǔn)后馬上更換故障設(shè)備,盡快恢復(fù)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)運行。運維人員判斷無法及時修理時,應(yīng)立即通知相關(guān)的系統(tǒng)運行服務(wù)提供商,在最短的時間內(nèi)安排修理或更換系統(tǒng)。
(3).?? 網(wǎng)絡(luò)線路故障排除
如發(fā)現(xiàn)屬外部線路的問題,應(yīng)與線路服務(wù)提供商聯(lián)系,敦促對方盡快恢復(fù)故障線路。
(4).?? 啟用備份線路、設(shè)備、系統(tǒng)(如果存在的話),迅速恢復(fù)相關(guān)的應(yīng)用。
4. ?網(wǎng)站與應(yīng)用系統(tǒng)應(yīng)急處理
(1).?? 報告和簡單處理
發(fā)現(xiàn)對外網(wǎng)站不能正常打開或網(wǎng)站內(nèi)容被惡意篡改時,任何人員都有義務(wù)向技術(shù)部報告。技術(shù)部在收到報告后應(yīng)立即組織應(yīng)急響應(yīng),聯(lián)合相關(guān)部門進(jìn)行故障排查。
(2).?? 處理
先由技術(shù)部查看網(wǎng)絡(luò)連接情況,若不是網(wǎng)絡(luò)故障,則繼續(xù)檢查其它硬件或系統(tǒng)軟件故障,必要時立即聯(lián)系應(yīng)用軟件供應(yīng)商或研發(fā)部門會診。
(3).?? 恢復(fù)使用
待故障處理完成并經(jīng)過測試后,恢復(fù)系統(tǒng)的正常運行。
5. ?黑客入侵的應(yīng)急處理
(1).?? 報告和簡單處理
發(fā)現(xiàn)網(wǎng)絡(luò)上有黑客攻擊行為,任何人員都有義務(wù)向技術(shù)部報告。技術(shù)部在收到報告或檢測到攻擊行為后應(yīng)立即啟動應(yīng)急響應(yīng),切斷受攻擊計算機與網(wǎng)絡(luò)的連接,停止一切操作、保護(hù)現(xiàn)場,并上報有關(guān)領(lǐng)導(dǎo)。
(2).?? 處理
對于黑客攻擊,由技術(shù)部組織應(yīng)急響應(yīng)專家小組查找入侵蹤跡,分析入侵方式和原因。由安全管理員根據(jù)對入侵事件的分析,組織相關(guān)人員對內(nèi)部網(wǎng)計算機整改,防止黑客用同樣的手段再次入侵其他系統(tǒng)。緊急情況下專家小組有權(quán)在未經(jīng)領(lǐng)導(dǎo)審批進(jìn)行應(yīng)急處理,但應(yīng)做好記錄,保護(hù)現(xiàn)場,進(jìn)行日志收集等工作。
(3).?? 恢復(fù)
專家小組檢查確定無安全隱患后,才可將受攻擊計算機重新連接網(wǎng)絡(luò),或啟用備份計算機或服務(wù)器來恢復(fù)應(yīng)用。
如果能追查到攻擊者的相關(guān)信息,可以對其發(fā)出警告,必要時可以采取進(jìn)一步的行動,乃至采取法律手段。根據(jù)破壞程度,經(jīng)有關(guān)領(lǐng)導(dǎo)同意后,上報公安部門。
若系統(tǒng)已被黑客破壞,無法恢復(fù),應(yīng)將受黑客攻擊的計算機上的重要數(shù)據(jù)備份到其他存儲介質(zhì),確保計算機內(nèi)重要的數(shù)據(jù)不丟失。如果數(shù)據(jù)無法恢復(fù),經(jīng)有關(guān)領(lǐng)導(dǎo)同意后,可與國家指定的部門聯(lián)系,由他們來協(xié)助恢復(fù)。
6. 大規(guī)模病毒(含惡意軟件)攻擊的應(yīng)急處理
(1).?? 報告和簡單處理
發(fā)現(xiàn)網(wǎng)絡(luò)上有大規(guī)模病毒攻擊的行為,任何人員都有義務(wù)向綜合部報告。由技術(shù)部組織應(yīng)急響應(yīng),切斷受攻擊計算機與網(wǎng)絡(luò)的連接,停止一切操作、保護(hù)現(xiàn)場,立即上報有關(guān)領(lǐng)導(dǎo)。
(2).?? 已知病毒的處理和恢復(fù)
使用最新版本殺毒軟件對染毒計算機進(jìn)行全面殺毒,并對染毒計算機系統(tǒng)進(jìn)行漏洞修補。技術(shù)部或系統(tǒng)管理員確定沒有病毒和安全漏洞后,再連接網(wǎng)絡(luò)恢復(fù)使用。
(3).?? 未知病毒的處理和恢復(fù)
觀察防火墻、交換機及網(wǎng)管軟件根據(jù)監(jiān)視窗口的鏈路狀態(tài),由此判斷感染病毒或惡意程序的客戶端、服務(wù)器所連接的交換機。打開該交換機的端口流量分析窗口,根據(jù)流量判斷感染病毒或惡意程序的客戶端所科交換機端口。關(guān)閉該交換機端口,隔離該工作站、服務(wù)器,阻斷與局域網(wǎng)的連接。根據(jù)端口狀態(tài)功能,查看感染病毒或惡意程序的終端或服務(wù)器的IP地址。根據(jù)IP地址信息找到該工作站的具體位置,對該工作站進(jìn)行病毒或惡意程序清除工作。
根據(jù)對于未知病毒,應(yīng)首先嘗試手工殺毒處理,若系統(tǒng)已被病毒破壞,無法恢復(fù),應(yīng)將感染病毒的計算機上的硬盤加掛到其他機器上處理,將重要數(shù)據(jù)備份到其他存儲介質(zhì),盡最大努力保護(hù)、保留感染計算機內(nèi)重要的數(shù)據(jù),同時防止病毒感染其他計算機。如果數(shù)據(jù)無法恢復(fù),經(jīng)有關(guān)領(lǐng)導(dǎo)同意后,可與反病毒廠商聯(lián)系,由他們來協(xié)助恢復(fù)。