第一篇：醫院信息系統安全保障與應急預案

醫院信息系統安全保障與應急預案

隨著醫院信息化的日益深入，醫院的日常業務對計算機網絡及信息系統的依賴也將日益增加。醫院信息系統利用計算機的高新技術，使醫院日常管理合理化，大大提高了醫療服務質量，提高了醫院的管理水平。鑒于任何系統都可能因設備故障、系統缺陷、病毒破壞、黑客攻擊、人為錯誤或意外災害等原因導致速度下降甚至系統崩潰，嚴重影響醫院醫療活動的正常開展。因此，盡快建立并完善計算機網絡系統安全及其應急預案就具有十分重要的意義。

我院是一所二級?？漆t院。我院的計算機網絡從2010年開始建設，此后多次進行了改建、擴建，形成了一定的規模，隨著醫院信息化建設的逐步深入，網上業務由單一到多元化，任何網絡系統的設計與建設都不可能達到絕對的安全可靠，因此只有通過細致的日常維護與及時的故障處理應急預案，才能最大限度提高網絡系統的可靠性；只有建立合理可靠的事故處理機制，才可能在計算機網絡或醫院信息系統出現故障時最快、最安全、最有效地恢復醫院正常業務。因此我們作出如下安全部署：

一、網絡安全

（一）內外網訪問控制

我院的計算機網絡為主干1000M的千兆以太網，采用二層架構。主要完成醫療、管理、財務等醫院內部重要業務的網絡應用管理、資源內部共享和數據傳遞。通過網管軟件、防火墻策略，控制用戶的網絡訪問權限，做到內外網訪問控制。

（二）網絡管理

保證院內、外網系統的正常運行，保持網絡系統的正常穩定工作，嚴格監控網絡運行狀態，調整必要的網絡設備參數，建立數據自我檢測機制，設置數據庫管理系統的數據管理選項，對每天的數據進行自我檢測，對大批量的數據更新進行記錄，并以消息方式提交系統管理員。

（每日）查詢并導出關鍵設備的日志；

（及時）記錄網絡設備的配置及相關信息的變更；（及時）排除用戶終端的通信故障并記錄相關信息；（及時）記錄新入網設備進行配置并作相關的記錄；（每周）提交網絡系統運行狀況分析報告。二 應用安全

（一）醫院信息系統建設

醫院信息系統數據每天作異地全備份到備份服務器。

（二）建立防御體系

整個網絡采用USB口禁用方法，將網絡流量控制在預測的波動范圍內，大幅度提高網絡穩定性，業務系統的運行效率因此大大提高，系統死機、癱瘓事故也大幅度減少，網絡維護和管理的壓力有效地得以降低。同時提供入侵監測保障內網安全，強化了安全策略、限制暴露用戶點。

三 物理安全

（一）網絡設備備件

網絡設備的故障是網絡出現問題的主要原因之一。通過適量的備件冗余，當部分備件出現故障時，維護部門可以用更換部件的方案迅速解決問題，快速恢復網絡的正常運轉。在最短的時間內解決問題，最大限度地降低系統停機時間；然后將有故障的模塊或器材送回廠家修理。為了及時滿足我院網絡系統應急事件處理過程中對部分硬件設備的需求，采取提供全部網絡設備綜合備機服務，且全部備機保證在功能上與原有設備相同。

（二）電源備份

不間斷電源（UPS）作為計算機系統外設之一，特別是醫院網絡中的保護設備，它主要起到三個作用：一是提供后備電源，防止突然斷電造成的損害，一些重要數據的丟失；二是消除“污染”，改善電源質量，對電源系統中的浪涌、噪聲、電壓下降等現象起到改進作用，使計算機中的電子部件免受摧毀性損壞；三是對整個數據通道進行保護，提高網絡的可用性，使我院的計算機系統和網絡運行更加穩定安全。目前，我院在機房及交換機布置了UPS防護，作到電源冗余，安全支持了系統關鍵業務的不間斷運行。能在外界電力出現問題的情況下，有效保存關鍵應用的關鍵數據，并保持主要網絡干路的通暢約四個小時。這在很大程度提高整體信息系統的安全性。

四 制度安全

為保證及時處理醫院信息系統的各種故障，保障門診、病房HIS系統正常工作，信息中心設立24小時手機值班制。不但在技術和設備上達到網絡安全、應用安全和物理安全，而且還建立了一整套相關的信息安全管理體制。嚴格執行考勤制度，明確工作職責，貫徹值班制度。遇到網絡故障、系統故障或用戶反映的問題時能很快組織有關人員找到原因并排除故障。我院網絡系統根據不同情況對計算機系統進行不同處理，爭取在最短的時間內恢復計算機系統的正常運行。

（一）處理步驟

我們針對可能出現的應急情況綜合分析，如醫院全面斷電、機房斷電、HIS系統核心服務器、數據庫、網絡交換機（核心交換機、二層交換機）出現故障，導致所有一線業務計算機無法正常登陸HIS系統，不能進行正常的掛號、收費、劃價、取藥等情況。制定了各種應急預案：信息中心停電應急預案、網絡故障緊急預案、信息系統應急預案、門診收費應急預案。

1.計算機因不間斷電源（UPS）供電不正常時，技術人員以及相關負責人在五分鐘內到達故障現場，解決問題并最快速度恢復設備的正常供電。

2.當計算機服務器數據出現崩潰，主服務器發生故障，十分鐘內啟動后備服務器，并通知門診辦公室做好相關的處理工作。

3.數據庫崩潰，不能正常運行或數據庫實在無法恢復，立即啟用數據庫備份與恢復方案，來恢復數據庫。

4.計算機故障發生在主干網的連接線，立即啟用備用鏈路，更換交換機，改變主干網布線結構。

5.HIS軟件系統故障，HIS系統程序或數據庫出現故障時，首先由信息中心人員進行初步排查，同時通知軟件開發商的維護人員趕往醫院，在10分鐘內無法解決時，啟用備份服務器。

（二）門診應急預案

門急診是醫院的窗口，是患者來院進行診斷、治療、預防保健的第一服務場所，門急診服務直接影響到醫院的形象和聲譽。門急診系統安全尤為重要，因此，為門診系統工作站專門備有門診應急服務器，主要針對門急診窗口病人，一旦主從服務器同時宕機、核心交換機出現故障，將前臺切換到門診應急服務器確保門診工作正常進行?；謴驼：髷祿貍鞯街鞣掌?。為保障網絡高可靠性、高可用性，除了采取上述措施外，在門診及機房備有一套應急交換機，一旦網絡出現問題，可以保證收費、藥房、檢驗等重要部門切換到備用交換機上使用。保證醫院業務不間斷。整個應急預案做到人人心中有數。

（三）網絡故障緊急預案

任何網絡系統的設計與建設都不可能達到絕對的安全可靠，因此只有通過細致的日常維護與及時的故障處理才能最大限度提高網絡系統的可靠性。當網絡系統發生應急事件需要處理時，當有用戶報告網絡故障時作如下處理：

五 總結

醫院網絡信息安全是一個整體的問題，需要從管理與技術相結合的高度，制定與時俱進的整體管理策略，并切實認真地實施這些策略，才能達到提高網絡信息系統安全性的目的。根據醫院網絡建設的不斷完善以及軟件的不斷升級，將不定期的舉行應急預案的演練，信息中心軟、硬件組人員，每人熟知應急預案中的流程和分工，對數據庫備份服務器每天檢查數據備份情況，提高醫院信息中心管理人員的技術水平，更好的保障醫院信息系統穩定、安全的運行，通過在在技術、設備、人員上達到網絡安全、應用安全、物理安全和制度安全，使整個信息系統在突發事件面前處事不驚，它既能方便患者就醫，同時也提高服務質量和醫院的形象和聲譽。把因重大故障給醫療工作帶來的影響減到最低線。

第二篇：醫院信息系統安全應急預案

xxx信息系統安全應急預案

為防止因醫院信息系統安全故障而影響全院正常醫療秩序，確保全院各系統、終端能夠安全高效的運行，特制定本預案。

一、組織機構

我院信息系統安全應急工作，由信息系統故障應急小組統一領導。成立網絡與信息安全應急處理小組，負責信息安全日常事務處理、應急處理及安全通報等事務。組 長：X X（1380XXXXXXX）副組長：XXX（1380XXXXXXX）

成 員：XXXX（1872XXXXXX）X X（1387XXXXXX）X X（152XXXXXXX）XXXX（158XXXXXX）

XXX（135XXXXXXX）XX X(15XXXXXXX)

二、工作原則

（一）明確責任、分級負責：按照“誰主管誰負責，誰運行誰負責”的要求，逐級建立并落實統計信息系統責任制和應急機制。

（二）加強領導、分工合作：各單位應按照規定的職責和流程，實施統計信息系統的應急處理工作。

（三）積極預防、及時預警：各單位應及早發現安全事件，及時進行預警和信息通報；積極做好應急處理準備，提高對安全事件的預防和應急處理能力。

（四）協作配合、確?；謴停焊鲉挝灰獏f同配合，確保在最短的時間內完成系統的恢復。

三、應急措施

（一）網絡信息系統故障的應急處理流程 1．報告和簡單處理

網絡設備、網絡應用系統故障應由發現人通知信息科，網絡管理員立即檢查故障，進行初步故障定位。如果網絡、應用系統出現比較嚴重的問題，對網絡業務的正常運行造成較大的影響，需立即向有關領導報告。2．故障判斷與排除

對簡單故障，網絡管理人員應迅速排除故障，解決問題并記錄。如果需要更換設備，應上報科室負責人，經批準后馬上更換故障設備，盡快恢復網絡、應用系統運行。信息科判斷無法及時修理時，應立即通知相關的系統運行服務提供商，在最短的時間內安排修理或更換系統。

3．網絡線路故障排除

如發現屬外部線路的問題，應與線路服務提供商聯系，敦促對方盡快恢復故障線路。

4．啟用備份線路、設備、系統（如果存在的話），迅速恢復相關的應用。

（二）黑客入侵的應急處理 1.報告和簡單處理 發現網絡上有黑客攻擊行為，任何人員都有義務向信息科報告。信息科立即啟動應急響應，切斷受攻擊計算機與網絡的連接，停止一切操作、保護現場，并上報有關領導。2．處理和恢復使用

對于黑客攻擊，由網絡與信息安全應急處理小組負責查找入侵蹤跡，分析入侵方式和原因。由網絡管理員根據對入侵事件的分析，組織相關人員對內部網計算機整改，防止黑客用同樣的手段再次入侵其他系統。網絡管理員檢查確定無安全隱患后，才可將受攻擊計算機重新連接網絡，或啟用備份計算機來恢復應用。3．應急響應

網絡管理員應做好記錄，保護現場，進行日志收集等工作。如果能追查到攻擊者的相關信息，可以對其發出警告，必要時可以采取進一步的行動，乃至采取法律手段。根據破壞程度，經有關領導同意后，上報公安部門。若系統已被黑客破壞，無法恢復，應將受黑客攻擊的計算機上的重要數據備份到其他存儲介質，確保計算機內重要的數據不丟失。如果數據無法恢復，經有關領導同意后，可與國家指定的部門聯系，由他們來協助恢復，為保證數據信息安全，需在安全管理部門作記錄。

（三）大規模病毒（含惡意軟件）攻擊的應急處理 1．報告和簡單處理

發現網絡上有大規模病毒攻擊的行為，任何人員都有義務向信息科報告。由信息科組織應急響應，切斷受攻擊計算機與網絡的連接，停止一切操作、保護現場，立即上報有關領導。2．已知病毒的處理和恢復

使用最新版本殺毒軟件對染毒計算機進行全面殺毒，并對染毒計算機系統進行漏洞修補。網絡管理員確定沒有病毒和安全漏洞后，再連接網絡恢復使用。3．未知病毒的處理和恢復

觀察網管軟件根據監視窗口的鏈路狀態，由此判斷感染病毒或惡意程序的客戶端、服務器所科的樓層交換機。打開該交換機的端口流量分析窗口，根據流量判斷感染病毒或惡意程序的客戶端所科交換機端口。關閉該交換機端口，隔離該工作站、服務器，阻斷與局域網的連接。根據端口狀態功能，查看該感染病毒或惡意程序的工作站的IP地址。根據IP地址信息找到該工作站的具體位置，對該工作站進行病毒或惡意程序清除工作。根據對于未知病毒，應首先嘗試手工殺毒處理，若系統已被病毒破壞，無法恢復，應將感染病毒的計算機上的硬盤加掛到其他機器上處理，將重要數據備份到其他存儲介質，盡最大努力保護、保留感染計算機內重要的數據，同時防止病毒感染其他計算機。如果數據無法恢復，經有關領導同意后，可與國家指定的反病毒部門聯系，由他們來協助恢復，為保證數據信息安全，需在安全管理部門作記錄。如為涉及國家秘密的數據，不允許由其他機構來恢復數據

第三篇：信息系統安全應急預案

信息系統安全應急預案

為全面加強信息系統安全管理，應對信息安全突發事件的發生，提高對安全事件的應急處置能力，保證網絡與信息安全指揮協調工作迅速、高效、有序地進行，滿足突發情況下信息系統安全穩定、持續運行，根據國家和省有關規定，制定本預案。

一、組織機構

信息系統安全應急工作，由信息安全工作領導小組統一領導。負責信息安全日常事務處理、應急處理及安全通報等事務。

二、工作原則

（一）明確責任、分級負責：按照“誰主管誰負責，誰運行誰負責”的要求，逐級建立并落實統計信息系統責任制和應急機制。

（二）加強領導、分工合作：各單位應按照規定的職責和流程，實施統計信息系統的應急處理工作。

（三）積極預防、及時預警：各單位應及早發現安全事件，及時進行預警和信息通報；積極做好應急處理準備，提高對安全事件的預防和應急處理能力。

（四）協作配合、確保恢復：各單位要協同配合，確保在最短的時間內完成系統的恢復。

三、應急措施(一)電力系統故障的應急處理流程

1．任何單位和人員發現本單位電力系統出現異常情況時，都應及時向辦公室報告。

2．辦公室是電力系統故障應急處理的第一責任單位。辦公室應盡快查清故障原因，提出解決辦法，確定故障排除可能需要的時間，報信息安全工作領導小組。

3．網絡運行負責人應根據停電時間和UPS電池的供電能力，在保證重點網絡關鍵設備用電的前提下，提出機房設備部分關機或全部關機方案，報信息安全工作領導小組。經認可后，安排相關人員按照規定的流程操作實施。

4．電力系統恢復供電后，辦公室應在第一時間通知網絡中心，以便以最快的速度恢復關閉的網絡應用。

計算中心網絡和系統管理人員在接到通知后，按照規定的流程開啟關閉相關設備。

（二）消防系統應急處理流程

1．當出現火情、火災時，發現人員應在最短時間內報告辦公室。若火情嚴重時，應迅速撥打119電話報警，并盡可能采取一些簡單可行的方法作初步處理，如：使用周圍的滅火器、水源（在允許用水滅火的場合）或采用其他滅火措施、手段。進展情況隨時向有關領導報告。

2．計算中心機房出現火情并且無法進行局部處理時，機房管理人員在緊急報告有關領導的同時，應立即疏散物理場地樓層以內的工作人員。并迅速撥打119電話報警。

（三）網絡信息系統故障的應急處理流程

1．網絡設備、網絡應用系統故障應由發現人通知計算中心，計算中心立即檢查故障，進行初步故障定位。如果網絡、應用系統出現比較嚴重的問題，對網絡業務的正常運行造成較大的影響，需立即向有關領導報告。

2．對簡單故障，運維人員應迅速排除故障，解決問題并記錄。如果需要更換設備，應上報有關領導經批準后馬上更換故障設備，盡快恢復網絡、應用系統運行。

運維部門判斷無法及時修理時，應立即通知相關的系統運行服務提供商，在最短的時間內安排修理或更換系統。

3．如發現屬外部線路的問題，應與線路服務提供商聯系，敦促對方盡快恢復故障線路。

4．啟用備份線路、設備、系統（如果存在的話），迅速恢復相關的應用。

（四）網站檢測與自動恢復系統應急處理流程

1．發現網站不能正常打開或網站內容被惡意篡改時，任何人員都有義務向網絡中心報告。由網絡應急小組組織應急響應，聯合相關部門進行故障排查。

2．先由運維小組查看網絡連接情況，若不是網絡故障，則排查軟、硬件故障。待故障處理完成并經過測試后，恢復系統的正常運行和內容的正常應用。

（五）黑客入侵的應急處理

1．發現網絡上有黑客攻擊行為，任何人員都有義務向網絡中心報告。計算中心立即啟動應急響應，切斷受攻擊計算機與網絡的連接，停止一切操作、保護現場，并上報有關領導。

2．對于黑客攻擊，由網絡中心組織應急響應小組查找入侵蹤跡，分析入侵方式和原因。由安全管理員根據對入侵事件的分析，組織相關人員對內部網計算機整改，防止黑客用同樣的手段再次入侵其他系統。安全管理員檢查確定無安全隱患后，才可將受攻擊計算機重新連接網絡，或啟用備份計算機來恢復應用。

3．安全管理員應做好記錄，保護現場，進行日志收集等工作。如果能追查到攻擊者的相關信息，可以對其發出警告，必要時可以采取進一步的行動，乃至采取法律手段。根據破壞程度，經有關領導同意后，上報公安部門。

若系統已被黑客破壞，無法恢復，應將受黑客攻擊的計算機上的重要數據備份到其他存儲介質，確保計算機內重要的數據不丟失。如果數據無法恢復，經有關領導同意后，可與國家指定的部門聯系，由他們來協助恢復，為保證數據信息安全，需在安全管理部門作記錄。

（六）大規模病毒（含惡意軟件）攻擊的應急處理

1．發現網絡上有大規模病毒攻擊的行為，任何人員都有義務向網絡中心報告。由網絡中心組織應急響應，切斷受攻擊計算機與網絡的連接，停止一切操作、保護現場，立即上報有關領導。2．若是已知病毒，使用最新版本殺毒軟件對染毒計算機進行全面殺毒，并對染毒計算機系統進行漏洞修補。安全管理員確定沒有病毒和安全漏洞后，再連接網絡恢復使用。

3．若是未知病毒，觀察網管軟件根據監視窗口的鏈路狀態，由此判斷感染病毒或惡意程序的客戶端、服務器所科的樓層交換機。打開該交換機的端口流量分析窗口，根據流量判斷感染病毒或惡意程序的客戶端所在的交換機端口。關閉該交換機端口，隔離該工作站、服務器，阻斷與局域網的連接。根據端口狀態功能，查看該感染病毒或惡意程序的工作站的IP地址。根據IP地址信息找到該工作站的具體位置，對該工作站進行病毒或惡意程序清除工作。

根據對于未知病毒，應首先嘗試手工殺毒處理，若系統已被病毒破壞，無法恢復，應將感染病毒的計算機上的硬盤加掛到其他機器上處理，將重要數據備份到其他存儲介質，盡最大努力保護、保留感染計算機內重要的數據，同時防止病毒感染其他計算機。如果數據無法恢復，經有關領導同意后，可與國家指定的反病毒部門聯系，由他們來協助恢復，為保證數據信息安全，需在安全管理部門作記錄。如為涉及國家秘密的數據，不允許由其他機構來恢復數據。

第四篇：信息系統安全應急預案

深圳市前海好彩金融服務有限公司

信息系統安全應急預案

一、總則

（一）編制目的

公司網絡和信息安全涉及以設備為中心的信息安全，技術涵蓋網絡系統、計算機操作系統、數據庫管理系統和應用軟件系統；涉及計算機病毒的防范、入侵的監控；涉及以用戶（包括內部員工和外部相關機構人員）為中心的安全管理，包括用戶的身份管理、身份認證、授權、審計等；涉及信息傳輸的機密性、完整性、不可抵賴性等等。為切實加強我司網絡運行安全與信息安全的防范，做好應對網絡與信息安全突發公共事件的應急處理工作，進一步提高預防和控制網絡和信息安全突發事件的能力和水平，昀大限度地減輕或消除網絡與信息安全突發事件的危害和影響，確保網絡運行安全與信息安全，結合公司工作實際，特制定本應急預案。

（二）編制依據

根據《中華人民共和國計算機信息系統安全保護條例》、《信息安全3級評級方法》、GB/T20269-2006《信息安全技術信息系統安全管理要求》、GB/T20270-2006《信息安全技術網絡基礎安全技術要求》、GB/T20281-2006《信息安全技術防火墻技術要求和測試評價方法》、GB/T19716-2005《信息技術信息安全管理使用規則》等有關法規、規定，制定本預案。

（三）本預案適用于深圳市前海好彩金融服務有限公司網絡與信息安全應急處理工作。

二、應急組織機構及職責

成立信息系統應急處理領導小組，負責領導、組織和協調全公司信息系統突發事件的應急保障工作。

（一）領導小組成員： 組長：技術主管 副組長：運維經理

成員:開發部.運維部.測試部.等部門負責人組成。

應急小組日常工作由公司技術部承擔，其他各相關部門積極配合。

（二）領導小組職責：制訂專項應急預案，負責定期組織演練，監督檢查各部門在本預案中履行職責情況。對發生事件啟動應急救援預案進行決策，全面指揮應急救援工作。

三、工作原則

（一）積極防御、綜合防范

立足安全防護，加強預警，重點保護重要信息網絡和關系社會穩定的重要信息系統；從預防、監控、應急處理、應急保障和打擊不法行為等環節，在管理、技術、宣傳等方面，采取多種措施，充分發揮各方面的作用，構筑網絡與信息安全保障體系

（二）明確責任、分級負責

按照“誰主管誰負責”的原則，分級分類建立和完善安全責任制度、協調管理機制和聯動工作機制。加強計算機信息網絡安全的宣傳和教育，進一步提高工作人員的信息安全意識。

（三）落實措施、確保安全

深圳市前海好彩金融服務有限公司

要對機房、網絡設備、服務器等設施定期開展安全檢查，對發現安全漏洞和隱患的進行及時整改。

（四）科學決策，快速反應

加強技術儲備，規范應急處置措施和操作流程，網絡與信息安全突發公共事件發生時，要快速反應，及時獲取準確信息，跟蹤研判，及時報告，果斷決策，迅速處理，昀大限度地減少危害和影響。

四、事件分類和風險程度分析

（一）物理層的安全風險分析

1、系統環境安全風險

（1）水災、火災、雷電等災害性故障引發的網絡中斷、系統癱瘓、數據被毀等；

（2）因接地不良、機房屏蔽性能差引起的靜電干擾或外界的電磁干擾使系統不能正常工作；（3）機房電力設備和其它配套設備本身缺陷誘發信息系統故障；（4）機房安全設施自動化水平低，不能有效監控環境和信息系統工作；（5）其它環境安全風險。

2、物理設備的安全風險由于信息系統中大量地使用了網絡設備如交換機、路由器等，服務器，移動設備，使得這些設備的自身安全性也會直接關系信息系統和各種網絡應用的正常運轉。例如，路由設備存在路由信息泄漏，交換機和路由器設備配置風險等。

（二）網絡安全風險

1、網絡體系結構的安全風險

網絡平臺是一切應用系統建設的基礎平臺，網絡體系結構是否按照安全體系結構和安全機制進行設計，直接關系到網絡平臺的安全保障能力。公司的網絡是由多個局域網和廣域網組成，網絡體系結構比較復雜。內部應用信息網、Internet網之間是否進行隔離及如何進行隔離，網段劃分是否合理，路由是否正確，網絡的容量、帶寬是否考慮客戶上網的峰值，網絡設備有無冗余設計等都與安全風險密切相關。

2、網絡通信協議的安全風險。

網絡通信協議存在安全漏洞，網絡黑客就能利用網絡設備和協議的安全漏洞進行網絡攻擊和信息竊取。例如未經授權非法訪問內部網絡和應用系統；對其進行監聽，竊取用戶的口令密碼和通信密碼；對網絡的安全漏洞進行探測掃描；對通信線路和網絡設備實施拒絕服務攻擊，造成線路擁塞和系統癱瘓。

3、網絡操作系統的安全風險

網絡操作系統，不論是 IOS，Android，還是 Windows，都存在安全漏洞；一些重要的網絡設備，如路由器、交換機、網關，防火墻等，由于操作系統存在安全漏洞，導致網絡設備的不安全；有些網絡設備存在“后門”（back door）。

（三）系統安全風險

1、操作系統安全風險

操作系統的安全性是系統安全管理的基礎。數據庫服務器、中間層服務器，以及各類業務和辦公客戶機等設備所使用的操作系統，不論是Win2008/XP/7，還是 Unix都存在信息安全漏洞，由操作系統信息安全漏洞帶來的安全風險是昀普遍的安全風險。

2、數據庫安全風險

深圳市前海好彩金融服務有限公司

所有的業務應用、決策支持、行政辦公的信息管理核心都是數據庫，而涉及公司運行的數據都是昀需要安全保護的信息資產，不僅需要統一的數據備份和恢復以及高可用性的保障機制，還需要對數據庫的安全管理，包括訪問控制，敏感數據的安全標簽，日志審計等多方面提升安全管理級別，規避風險。雖然，目前公司的數據庫管理系統可以達到較高的安全級別，但仍存在安全漏洞。建立在其上的各種應用系統軟件在數據的安全管理設計上也不可避免地存在或多或少的安全缺陷，需要對數據庫和應用的安全性能進行綜合的檢測和評估。

3、應用系統的安全風險

為優化整個應用系統的性能，無論是采用C／S應用模式或是B／S應用模式，應用系統都是其系統的重要組成部分，不僅是用戶訪問系統資源的入口，也是系統管理員和系統安全管理員管理系統資源的入口，桌面應用系統的管理和使用不當，會帶來嚴重的安全風險。例如當口令或通信密碼丟失、泄漏，系統管理權限丟失、泄漏時，輕者假冒合法身份用戶進行非法操作。重者，“黑客”對系統實施攻擊，造成系統崩潰。

4、病毒危害風險

計算機病毒的傳播會破壞數據信息，占用系統資源，影響計算機運行速度，引起網絡堵塞甚至癱瘓。盡管防病毒軟件安裝率已大幅度提升，但如果沒有好的防毒概念，從不進行病毒代碼升級，而新病毒層出不窮，因此威脅性愈來愈大。

5、黑客入侵風險

一方面風險來自于內部，入侵者利用 Sniffer等嗅探程序通過網絡探測、掃描網絡及操作系統存在的安全漏洞，如網絡 IP地址、應用操作系統的類型、開放哪些 TCP端口號、系統保存用戶名和口令等安全信息的關鍵文件等，并采用相應的攻擊程序對內網進行攻擊。入侵者通過拒絕服務攻擊，使得服務器超負荷工作以至拒絕服務甚至系統癱瘓。

另一方面風險來自外部，入侵者通過網絡監聽、用戶滲透、系統滲透、拒絕服務、木馬等綜合手段獲得合法用戶的用戶名、口令等信息，進而假冒內部合法身份進行非法登錄，竊取內部網重要信息，或使系統終止服務。所以，必須要對外部和內部網絡進行必要的隔離，避免信息外泄；同時還要對外網的服務請求加以過濾，只允許正常通信的數據包到達相應主機，其它的請求服務在到達主機之前就應該遭到拒絕。

（四）應用安全風險

1、身份認證與授權控制的安全風險

依靠用戶 ID和口令的認證很不安全，容易被猜測或盜取，會帶來很大的安全風險。為此，動態口令認證、CA第三方認證等被認為是先進的認證方式。但是，如果使用和管理不當，同樣會帶來安全風險。要基于應用服務和外部信息系統建立基于統一策略的用戶身份認證與授權控制機制，以區別不同的用戶和信息訪問者，并授予他們不同的信息訪問和事務處理權限。

2、信息傳輸的機密性和不可抵賴性風險

實時信息是應用系統的重要事務處理信息，必須保證實時信息傳輸的機密性和網上活動的不可抵賴性，能否做到這一點，關鍵在于采用什么樣的加密方式、密碼算法和密鑰管理方式。采用國內經過國家密碼管理委員會和公安部批準的加密方式、密碼算法和密鑰管理技術來強化這一環節的安全保障。

深圳市前海好彩金融服務有限公司

3、管理層安全風險分析

安全的網絡設備要靠人來實施，管理是整個網絡安全中昀為重要的一環，認真地分析管理所帶來的安全風險，并采取相應的安全措施。責權不明、管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。

當網絡出現攻擊行為或網絡受到其它一些安全威脅時（如內部人員的違規操作等），無法進行實時的檢測、監控、報告與預警。同時，當故障發生后，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網絡的可控性與可審查性。這就要求人們必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。

五、預防預警

（一）完善網絡與信息安全突發公共事件監測、預測和預警制度。

加強對各類網絡與信息安全突發事件和可能引起突發網絡與信息安全突發公共事件的有關信息的收集、分析、判斷和持續監測。當檢查到有網絡與信息安全突發事件發生或可能發生時，應及時對發生事件或可能發生事件進行調查核實、保存相關證據，并立即向應急領導小組報告。報告內容主要包括信息來源、影響范圍、事件性質、事件發展趨勢和采取的措施建議等。

若發現下列情況應及時向應急領導小組報告：利用網絡從事違法犯罪活動；網絡或信息系統通信和資源使用異常；網絡或信息系統癱瘓，應用服務中斷或數據篡改、丟失；網絡恐怖活動的嫌疑和預警信息；其他影響網絡與信息安全的信息。

（二）設定信息安全等級保護，實行信息安全風險評估。

通過相關設備實時監控網絡工作與信息安全狀況。各基礎信息網絡和重要信息系統建設要充分考慮抗毀性和災難恢復，制定并不斷完善信息安全應急處理預案。針對信息網絡的突發性、大規模安全事件，建立制度優化、程序化的處理流程。

（三）做好服務器及數據中心的數據備份及登記工作，建立災難性數據恢復機制。

一旦發生網絡與信息安全事件，立即啟動應急預案，采取應急處置措施，判定事件危害程度，并立即將情況向有關領導報告。在處置過程中，應及時報告處置工作進展情況，直至處置工作結束。

六、處置流程

（一）預案啟動

在發生網絡與信息安全事件后，信息中心應盡昀大可能迅速收集事件相關信息，鑒別事件性質，確定事件來源，弄清事件范圍和評估事件帶來的影響和損害，一旦確認為網絡與信息安全事件后，立即將事件上報工作組并著手處置。

（二）應急處理

1、電源斷電（1）查明故障原因。

（2）檢查 UPS是否正常供電。

（3）匯報相關領導，確認市電恢復時間，評估 UPS供電能力。（4）備份服務器數據、交換機配置。

深圳市前海好彩金融服務有限公司

（5）通知機房進行電源維修。做好事件記錄。

（6）必要時請示公司負責人及公司領導，主動關閉服務器、交換機、存儲等設備，以免設備損壞或數據損失。

2、局域網中斷緊急處理措施

（1）信息安全負責人員立即判斷故障節點，查明故障原因，及時匯報。（2）若是線路故障，重新安裝線路。

（3）若是路由器、交換機等設備故障，應立即從指定位置將備用設備取出接上，并調試暢通。（4）若是路由器、交換機等配置文件損壞，應迅速按照要求重新配置，并調試暢通。（5）匯報相關領導，做好事件記錄。

3、廣域網線路中斷

（1）信息安全負責人員應立即判斷故障節點，查明故障原因。（2）如是我方管轄范圍，由信息安全負責人員立即維修恢復。（3）如是電信部門管轄范圍，應立即與電信維護部門聯系修復。（4）做好事件記錄。

4、核心交換機故障

（1）檢查、備份核心交換機日志。（2）啟用備用核心交換機，檢查接管情況。（3）備份核心交換機配置信息。

（4）將服務器接入備用核心交換機，檢查服務器運行情況，將樓層交換機、接入交換機接入備用核心交換機，檢查各交換機運行情況。

（5）匯報有關領導，做好事件記錄。（6）聯系維修核心交換機。

5、光纜線路故障

（1）立即聯系光纖熔接人員攜帶尾纖等輔助材料，及時熔接連通。（2）檢查并做好備用光纜或備用芯的跳線工作，隨時切換到備用網絡。（3）做好事件記錄，及時上報。

6、計算機病毒爆發

（1）關閉計算機病毒爆發網段上聯端口。（2）隔離中病毒計算機。（3）關閉中病毒計算機上聯端口。（4）根據病毒特征使用專用工具進行查殺。（5）系統損壞計算機在備份其數據后，進行重裝。（6）通過專用工具對網絡進行清查。（7）做好事件記錄，及時上報。

7、服務器設備故障

深圳市前海好彩金融服務有限公司

（1）主要服務器應做多個數據備份。

（2）如能自行恢復，則立即用備件替換受損部件，如：電源損壞更換備用電源，硬盤損壞更換備用硬盤，網卡、主板損壞啟用備用服務器。

（3）若數據庫崩潰應立即啟用備用系統。并檢查備用服務器啟用情況。（4）對主機系統進行維修并做數據恢復。

（5）如不能恢復，立即聯系設備供應商，要求派維護人員前來維修。（6）匯報有關領導，做好事件記錄。

8、黑客攻擊事件

（1）若通過入侵監測系統發現有黑客進行攻擊，立即通知相關人員處理。（2）將被攻擊的服務器等設備從網絡中隔離出來。（3）及時恢復重建被攻擊或被破壞的系統

（4）記錄事件，及時上報，若事態嚴重，應及時向信息化主管部門和公安部門報警。

9、數據庫安全事件

（1）平時應對數據庫系統做多個備份。

（2）發生數據庫數據丟失、受損、篡改、泄露等安全事件時，信息安全人員應查明原因，按照情況采取相應措施：如更改數據庫密碼，修復錯誤受損數據。

（3）如果數據庫崩潰，信息安全人員應立即啟用備用系統，并向信息安全負責人報告；在備用系統運行期間，信息安全人員應對主機系統進行維修并作數據恢復。

（4）做好事件記錄，及時上報。

10、人員疏散與機房滅火預案

（1）當班人員發現機房內有起火、冒煙現象或聞到燒焦氣味時，應立即查明原因和地點，及時上報并針對不同情況，采取關閉電源總開關、隔離火源附近易燃物、用消防栓、滅火器等器材滅火等措施，組織本單位、部門在場的人員有序地投入撲救工作，將火撲滅或控制火勢蔓延。

（2）當火勢已無法控制時，一是指定專人立即撥打“119”火警電話報警和向上級保衛部門報告，并打破報警器示警。二是組織周圍人員迅速撤離。

（3）在保障人員安全的情況下，立即組織人員疏散和轉移重要物品，特別是易燃、易爆物品和重要的機器、數據要及時轉移到安全地點，并派人員守護，確保安全。

（4）火情結束之后，組織相關人員及時進行網絡系統恢復，及時向上級有關部門和領導匯報，并做好現場保護工作和防止起火點復燃。

11、發生自然災害后的緊急措施

（1）遇到重大雷暴天氣，可能對機房設備造成損害時，應關閉所有服務器，切斷電源，暫停內部計算機網絡工作。雷暴天氣結束后，及時開通服務器，恢復內部計算機網絡工作。

（2）確認災害不會造成人身傷害后，盡快將網絡恢復正常，若有設備、數據損壞，及時使用備份設備或備用數據。

（3）及時核實、報損，并將詳細情況向部門領導匯報。

深圳市前海好彩金融服務有限公司

12、關鍵人員不在崗的緊急處置措施

（1）對于關鍵崗位平時應做好人員儲備，確保一項工作有兩人能夠操作。對于關鍵賬戶和密碼進行密封保存。

（2）一旦發生系統安全事件，關鍵人員不在崗且聯系不上或 1小時內不能到達機房的情況，首先應向領導小組匯報情況。

（3）經領導小組批準后，啟用公司備份管理員密碼，由備用人員上崗操作。（4）如果備用人員無法上崗，請求軟件公司技術支援。（5）關鍵人員到崗后，按照相關規定進行密碼設定和封存。（6）做好事件記錄。

（三）后續處理

安全事件進行昀初的應急處置以后，應及時采取行動，抑制其影響的進一步擴大，限制潛在的損失與破壞，同時要確保應急處置措施對涉及的相關業務影響昀小。安全事件被抑制之后，通過對有關事件或行為的分析結果，找出其根源，明確相應的補救措施并徹底清除。在確保安全事件解決后，要及時清理系統、恢復數據、程序、服務，恢復工作應避免出現誤操作導致數據丟失。

（四）記錄上報

網絡與信息安全事件發生時，應及時向網絡與信息安全應急處置工作組匯報，并在事件處置工作中作好完整的過程記錄，及時報告處置工作進展情況，保存各相關系統日志，直至處置工作結束。

七、保障措施

（一）應急設備保障

對于重要網絡與信息系統，在建設系統時應事先預留一定的應急設備，建立信息網絡硬件、軟件、應急救援設備等應急物資庫。在網絡與信息安全突發公共事件發生時，報領導同意后，由應急工作組負責統一調用。

（二）數據保障

重要信息系統均應建立容災備份系統和相關工作機制，保證重要數據在遭到破壞后，可緊急恢復。各容災備份系統應具有一定的兼容性，在特殊情況下各系統間可互為備份。

日期：2015-06-12

審批人：

第五篇：信息系統安全應急預案

信息系統安全應急預案

為全面加強公司信息系統安全管理，應對信息安全突發事件的發生，提高對安全事件的應急處置能力，保證網絡與信息安全協調工作迅速、高效、有序地進行，滿足突發情況下信息系統安全穩定、持續運行，根據總公司有關規定，制定本預案。

一、工作原則

（一）明確責任：按照“誰主管誰負責，誰運行誰負責”的要求，建立并落實統計信息系統責任制和應急機制。

（二）積極預防、及時預警：各部門應及早發現安全事件，及時進行預警和信息通報；積極做好應急處理準備，提高對安全事件的預防和應急處理能力。

（三）協作配合、確保恢復：部門間要協同配合，確保在最短的時間內完成系統的恢復。

二、應急措施

電力系統故障的應急處理流程

1．任何部門和人員發現本單位電力系統出現異常情況時，都應及時向公司辦公室報告。

2．公司辦公室是電力系統故障應急處理的第一責任單位。公司辦公室應立即啟動電力系統故障應急處理流程，盡快查清故障原因，提出解決辦法，確定故障排除可能需要的時間并通知網絡機房管理部門。

3．計算中心機房停電的處理

網絡運行負責人應根據停電時間和UPS電池的供電能力，在保證重點網絡關鍵設備用電的前提下，提出機房設備部分關機或全部關機方案，經認可后按照規定的流程操作實施。

4． 電力系統恢復供電后的處理流程

電力系統恢復供電后，公司辦公室應在第一時間通知技術部門，以便以最快的速度恢復關閉的網絡應用。系統管理人員在接到通知后，按照規定的流程開啟關閉相關設備。

（二）消防系統應急處理流程

1．報告和簡單處理

當出現火情、火災時，發現人員應在最短時間內報告公司辦公室及機房管理部門。若火情嚴重時，應迅速撥打119電話報警，并盡可能采取一些簡單可行的方法作初步處理，如：使用周圍的滅火器、水源（在允許用水滅火的場合）或采用其他滅火措施、手段。進展情況隨時向有關領導報告。

2．滅火

計算中心機房出現火情并且無法進行局部處理時，機房管理人員在緊急報告有關領導的同時，應立即疏散物理場地樓層以內的工作人員。

三、網絡信息系統故障的應急處理流程

1.報告和簡單處理

網絡設備、網絡應用系統故障應由發現人通知機房管理人員，技術部門立即檢查故障，進行初步故障定位。如果網絡、應用系統出現比較嚴重的問題，對網絡業務的正常運行造成較大的影響，需立即向有關領導報告。2．故障判斷與排除

對簡單故障，運維人員應迅速排除故障，解決問題并記錄。如果需要更換設備，應上報有關領導,經批準后馬上更換故障設備，盡快恢復網絡、應用系統運行。運維人員判斷無法及時修理時，應立即通知相關的系統運行服務提供商，在最短的時間內安排修理或更換系統。

3．網絡線路故障排除

如發現屬外部線路的問題，應與線路服務提供商聯系，敦促對方盡快恢復故障線路。

4．啟用備份線路、設備、系統（如果存在的話），迅速恢復相關的應用。

四、網站檢測與自動恢復系統應急處理流程

1．報告和簡單處理

發現公司服務網站等對外不能正常打開或網站內容被惡意篡改時，任何公司人員都有義務向技術部門報告。由技術部們組織應急響應并進行故障排查。2．處理和恢復使用

先查看網絡連接情況，若不是網絡故障，再排查軟、硬件故障。待故障處理完成并經過測試后，恢復系統的正常運行和內容的正常應用。

五、黑客入侵的應急處理

1．報告和簡單處理

發現網絡上有黑客攻擊行為，任何人員都有義務向技術部門報告。技術部門立即啟動應急響應，切斷受攻擊計算機與網絡的連接，停止一切操作、保護現場，并上報有關領導。2．處理和恢復使用

對于黑客攻擊，由技術部門與機房管理人員協同查找入侵蹤跡，分析入侵方式和原因，分析入侵事件并內部網計算機進行整改，防止黑客用同樣的手段再次入侵其他系統。檢查確定無安全隱患后，才可將受攻擊計算機重新連接網絡，或啟用備份計算機來恢復應用。3．應急響應

機房管理人員應做好記錄，保護現場，進行日志收集等工作。如果能追查到攻擊者的相關信息，可以對其發出警告，必要時可以采取進一步的行動，乃至采取法律手段。根據破壞程度，經有關領導同意后，上報公安部門。若系統已被黑客破壞，無法恢復，應將受黑客攻擊的服務器上的重要數據備份到其他存儲介質，并做好數據異地備份工作，確保服務器內重要的數據不丟失。

六、大規模病毒（含惡意軟件）攻擊的應急處理

1．報告和簡單處理

發現網絡上有大規模病毒攻擊的行為，任何人員都有義務向技術部門報告。由機房管理員組織應急響應，切斷受攻擊計算機與網絡的連接，停止一切操作、保護現場，立即上報有關領導。2．已知病毒的處理和恢復

使用最新版本殺毒軟件對染毒計算機進行全面殺毒，并對染毒計算機系統進行漏洞修補。機房管理員確定沒有病毒和安全漏洞后，再連接網絡恢復使用。3．未知病毒的處理和恢復

觀察網管軟件根據監視窗口的鏈路狀態，由此判斷感染病毒或惡意程序的客戶端、服務器所屬的樓層交換機。打開該交換機的端口流量分析窗口，根據流量判斷感染病毒或惡意程序的客戶端所科交換機端口。關閉該交換機端口，隔離該工作站、服務器，阻斷與局域網的連接。根據端口狀態功能，查看該感染病毒或惡意程序的工作站的IP地址。根據IP地址信息找到該工作站的具體位置，對該工作站進行病毒或惡意程序清除工作。根據對于未知病毒，應首先嘗試手工殺毒處理，若系統已被病毒破壞，無法恢復，應將感染病毒的計算機上的硬盤加掛到其他機器上處理，將重要數據備份到其他存儲介質，盡最大努力保護、保留感染計算機內重要的數據，同時防止病毒感染其他計算機。

七、預案的發布與生效

本預案自發布之日起生效