信息應(yīng)急預(yù)案管理

一、信息系統(tǒng)應(yīng)急預(yù)案組織機構(gòu)

1.領(lǐng)導(dǎo)小組工作職責(zé)

（1）負(fù)責(zé)中學(xué)信息系統(tǒng)安全應(yīng)急工作，確定并直接領(lǐng)導(dǎo)信息系統(tǒng)安全應(yīng)急處置工作組。審定中學(xué)信息系統(tǒng)安全應(yīng)急預(yù)案并組織實施，研究解決中學(xué)有關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全的重大問題。領(lǐng)導(dǎo)小組下設(shè)處置工作組，其工作職責(zé)由信息中心承擔(dān)。

（2）領(lǐng)導(dǎo)小組的組成及成員電話

姓名

職務(wù)

聯(lián)系電話

組長

副組長

成員

（3）信息系統(tǒng)安全應(yīng)急處置工作小組工作職責(zé)

a)組長職責(zé)

負(fù)責(zé)網(wǎng)絡(luò)應(yīng)急預(yù)案的啟動，對網(wǎng)絡(luò)設(shè)備故障全權(quán)組織進(jìn)行應(yīng)急處置。

b)副組長職責(zé)

協(xié)助組長對網(wǎng)絡(luò)設(shè)備故障進(jìn)行應(yīng)急處置。負(fù)責(zé)確定合理的技術(shù)處理方案、制定應(yīng)急處置方案。組長不在現(xiàn)場或不便履行職責(zé)時，行駛組長職責(zé)。

c)應(yīng)急領(lǐng)導(dǎo)小組其他成員職責(zé)

配合組長和副組長，實施應(yīng)急處置工作。

2.各供應(yīng)商應(yīng)急聯(lián)系人

姓名

職務(wù)

聯(lián)系電話

二、信息系統(tǒng)安全應(yīng)急處置實施細(xì)則

1、信息系統(tǒng)故障等級劃分

按照《信息安全技術(shù)-信息系統(tǒng)安全等級保護(hù)基本要求》，具體劃分為四個等級，一級和二級故障為重大故障；三級和四級故障為一般性故障。

（1）一級故障

信息系統(tǒng)發(fā)生故障，預(yù)計將或已經(jīng)嚴(yán)重影響核心系統(tǒng)業(yè)務(wù)，導(dǎo)致相關(guān)業(yè)務(wù)中斷1小時以上，并預(yù)計24小時內(nèi)無法恢復(fù)的，具備以下一個或幾個特征，即定義為一級故障。

a)學(xué)校專網(wǎng)核心出現(xiàn)故障，造成局域網(wǎng)用戶不能訪問核心服務(wù)器或不能訪問廣域網(wǎng)。

b)信息中心web門戶網(wǎng)站等關(guān)鍵服務(wù)器宕機或由其他原因?qū)е戮芙^提供服務(wù)的。

c)學(xué)校中心機房供電系統(tǒng)、集中空調(diào)系統(tǒng)等外圍保障設(shè)施出現(xiàn)嚴(yán)重故障。

d)病毒攻擊造成中學(xué)局域網(wǎng)內(nèi)感染大量客戶端設(shè)備50臺以上，導(dǎo)致關(guān)鍵業(yè)務(wù)系統(tǒng)和辦公系統(tǒng)不能正常提供服務(wù)。

e)利用技術(shù)手段，造成業(yè)務(wù)數(shù)據(jù)被修改、假冒、泄露、竊取的信息系統(tǒng)安全事件。

（2）二級故障

信息系統(tǒng)發(fā)生故障，預(yù)計將或已經(jīng)嚴(yán)重影響中學(xué)系統(tǒng)業(yè)務(wù)，導(dǎo)致相關(guān)業(yè)務(wù)中斷1小時以上，并預(yù)計24小時內(nèi)可以恢復(fù)的，具備以下一個或幾個特征，即定義為二級故障。

a)學(xué)校分機房供電系統(tǒng)，精密空調(diào)、UPS等外圍保障設(shè)施出現(xiàn)嚴(yán)重故障。

b)病毒攻擊造成網(wǎng)絡(luò)感染大量客戶端設(shè)備50臺以內(nèi)，導(dǎo)致關(guān)鍵業(yè)務(wù)系統(tǒng)和辦公系統(tǒng)不能正常提供服務(wù)。

c)12小時以內(nèi)無法解決的三級故障。

（3）三級故障

滿足下列條件之一，即定義為三級故障。

a)故障發(fā)生后，影響系統(tǒng)的運行效率，但不影響業(yè)務(wù)系統(tǒng)訪問

b)故障預(yù)計在12小時內(nèi)修復(fù)

c)24小時內(nèi)無法解決的四級故障

（4）四級故障

a)故障發(fā)生后，可應(yīng)急處理，不會影響系統(tǒng)運行，但是是一種隱患

b)網(wǎng)絡(luò)核心設(shè)備由于病毒等原因，造成偶爾掉包，但不影響系統(tǒng)正常訪問和運行

四、應(yīng)急響應(yīng)特定文檔及工具

1、應(yīng)急文檔的備存

（1）各類網(wǎng)絡(luò)設(shè)備和服務(wù)器、計算機及其附屬設(shè)備的型號、序列號等

（2）硬件設(shè)備供應(yīng)商、生產(chǎn)廠商的地淡化、聯(lián)系人、網(wǎng)址

（3）操作系統(tǒng)、關(guān)鍵業(yè)務(wù)應(yīng)用軟件開發(fā)商或供應(yīng)商電話、聯(lián)系人。

（4）網(wǎng)絡(luò)拓?fù)鋱D

（5）路由器、防火墻、入侵檢測設(shè)備的配置文檔、服務(wù)器登陸用戶及原始密碼文檔、（6）各類軟件的技術(shù)文檔及其他需要保存的文檔

2、應(yīng)急設(shè)備及軟件備存

（1）正版操作系統(tǒng)啟動盤、安裝盤

（2）正版防病毒軟件

（3）相關(guān)設(shè)備驅(qū)動程序（含主板、顯卡、網(wǎng)卡等）及更新到最新的服務(wù)器注冊表文件

（4）備用網(wǎng)線，測網(wǎng)儀、螺絲刀等必要工具

（5）其它必備應(yīng)急工具

五、應(yīng)急處理預(yù)案

1、電力故障的應(yīng)急處理

（1）外電中斷后，應(yīng)立即檢查中心機房UPS電源是否正常供電，并查明中斷原因，及時向信息中心負(fù)責(zé)人報告。

（2）如因樓內(nèi)線路故障，及時聯(lián)系總務(wù)處盡快排查，迅速恢復(fù)供電。

（3）如因供電部門因素導(dǎo)致供電中斷，立即和供電部門聯(lián)系，請求供電部門迅速恢復(fù)供電。

（4）如告知需長時間停電，應(yīng)作如下安排：

i：停電1小時以內(nèi)，用UPS供電

ii：停電1小時以上2小時以內(nèi)，關(guān)掉非關(guān)鍵設(shè)備，確保各主機，路由器，交換機供電。

iii：預(yù)計停電超過1小時，在設(shè)備運行1小時的時候關(guān)掉所有機器設(shè)備。

（5）電力系統(tǒng)恢復(fù)供電后，按規(guī)定流程開啟相關(guān)設(shè)備。

2、消防系統(tǒng)應(yīng)急處理

出現(xiàn)火情，火災(zāi)，發(fā)現(xiàn)人員在最短時間內(nèi)通知信息中心領(lǐng)導(dǎo)，總務(wù)。火情嚴(yán)重時，迅速撥打119報警，并盡可能采取一些簡單可行的方法做初步處理，如：使用滅火器材或其它滅火措施，手段。及時疏散災(zāi)情范圍內(nèi)的工作人員。進(jìn)展情況及時向信息中心領(lǐng)導(dǎo)匯報。

（1）上班時間發(fā)生火警，聽到消防警報后及時撤離，立即撥打119?并說明盡量用氣體滅火器滅火，減少電子設(shè)備損壞。

（2）非工作時間或節(jié)假日休息時間發(fā)生火警，應(yīng)立刻向領(lǐng)導(dǎo)匯報與學(xué)校值班人員聯(lián)系，確認(rèn)火情。及時撥打119報警，并使用氣體滅火器滅火，減少電子設(shè)備損失。

（3）發(fā)生火警后，中心機房相關(guān)人員應(yīng)馬上趕赴現(xiàn)場，并向有關(guān)領(lǐng)導(dǎo)匯報。同時立即聯(lián)系各設(shè)備供應(yīng)商等相關(guān)公司，及時評估事故損失情況，研討恢復(fù)網(wǎng)絡(luò)系統(tǒng)正常運行的最佳解決方案。

3、網(wǎng)絡(luò)中斷應(yīng)急處理

（1）故障排查：網(wǎng)絡(luò)中斷后，技術(shù)人員要迅速判斷故障節(jié)點，查明故障原因；

（2）故障排除：

a：如屬線路故障，應(yīng)重新安排線路

b:??如屬路由器，交換機等網(wǎng)絡(luò)設(shè)備故障，技術(shù)人員應(yīng)檢修并調(diào)試通暢。如路由器、交換機配置文件損壞，應(yīng)迅速重新配置。必要時，請有關(guān)供貨單位，設(shè)備廠商協(xié)助調(diào)試通暢。

c：如需更換設(shè)備，應(yīng)上報領(lǐng)導(dǎo)，批準(zhǔn)后馬上更換故障設(shè)備，盡快恢復(fù)系統(tǒng)運行。

d:?技術(shù)部無法修理時，應(yīng)立即通知相關(guān)供應(yīng)商及維護(hù)人員。

（3）特殊情況，如故障判斷、網(wǎng)絡(luò)恢復(fù)需要1小時以上，技術(shù)人員應(yīng)及時將相關(guān)情況匯報學(xué)校信息中心領(lǐng)導(dǎo)，并在領(lǐng)導(dǎo)同意情況下，采用緊急措施，繞過故障設(shè)備，先行恢復(fù)網(wǎng)絡(luò)連通性，并及時聯(lián)系供應(yīng)商修復(fù)故障設(shè)備。

（4）故障處理完畢，恢復(fù)正常后，應(yīng)立即進(jìn)行故障現(xiàn)象回歸測試，測試結(jié)果確認(rèn)無問題后，再進(jìn)行總結(jié)評估，并將處理過程形成處理文檔的知識庫。

4、黑客攻擊應(yīng)急處理

（1）應(yīng)急處理

a：當(dāng)發(fā)現(xiàn)有黑客攻擊行為時，應(yīng)立即向?qū)W校信息中心領(lǐng)導(dǎo)匯報，并向長寧區(qū)信息中心通報情況。

b:?運維人員應(yīng)立即趕到現(xiàn)場，將被攻擊的服務(wù)器或其它設(shè)備從網(wǎng)絡(luò)中隔離出來，必要時可以采取照片，截圖等方式留存記錄，保護(hù)現(xiàn)場。

c:?如事態(tài)較為嚴(yán)重，經(jīng)向領(lǐng)導(dǎo)請示后，立即向公安部門報警，配合公安部門展開調(diào)查。

d:?技術(shù)人員做好被攻擊或破壞后系統(tǒng)的恢復(fù)與重建工作。

e:?將實施事件處理的過程和結(jié)果備案存檔，必要時向?qū)W校領(lǐng)導(dǎo)匯報。

（2）修復(fù)處理

a:?記錄系統(tǒng)狀況

b:?立即復(fù)制系統(tǒng)登陸文件，歷史文件，日志文件等重要文件

c:?修改防火墻、路由器等網(wǎng)絡(luò)安全設(shè)備的過濾規(guī)則

d:?斷開被攻擊主機，關(guān)閉不必要的服務(wù)

e:?處理可疑的文件和程序

f:?修改不安全的系統(tǒng)賬號及其口令

g:?恢復(fù)被修改的軟件和數(shù)據(jù)

h:?安裝相應(yīng)的補丁程序，填補安全漏洞

i:??編寫報告，詳述事件過程及處理步驟

5、大規(guī)模病毒（含惡意軟件）攻擊的應(yīng)急處理

（1）:?當(dāng)發(fā)現(xiàn)局域網(wǎng)中有大量計算機被感染上病毒后，計算機使用人員應(yīng)立即上報學(xué)校信息中心

（2）:?信息中心技術(shù)人員應(yīng)立即將該機從網(wǎng)絡(luò)上隔離開來

c:?對該設(shè)備的硬盤進(jìn)行數(shù)據(jù)備份，并將防病毒軟件的病毒特征庫更新至最新版本

d:?用反病毒軟件對該機進(jìn)行殺毒處理，并對相關(guān)機器進(jìn)行病毒掃描和清除工作。

e:?如發(fā)現(xiàn)反病毒軟件無法清除該病毒，應(yīng)向?qū)W校信息中心領(lǐng)導(dǎo)匯報，研究解決，通過分析病毒的特征行為，尋找病毒專殺工具進(jìn)行查殺。

f:?情況較為嚴(yán)重的，已影響到信息系統(tǒng)的數(shù)據(jù)傳輸、應(yīng)用系統(tǒng)訪問不正常等情況，應(yīng)及時向有關(guān)分管領(lǐng)導(dǎo)報告，按照信息系統(tǒng)故障等級劃分，確定其故障等級，并啟動相應(yīng)的應(yīng)急處理程序進(jìn)行排除。

6、軟件系統(tǒng)故障的應(yīng)急處理

a:?軟件系統(tǒng)平時必須存有備份，與軟件系統(tǒng)相對應(yīng)的數(shù)據(jù)必須有多日的備份，并將它們保存于安全處

b:?軟件系統(tǒng)發(fā)生故障后，技術(shù)人員應(yīng)立即向?qū)W校信息中心領(lǐng)導(dǎo)匯報，經(jīng)確認(rèn)后停止該系統(tǒng)的運行并切換至備份系統(tǒng)，保證業(yè)務(wù)正常運行。

c:?通知軟件系統(tǒng)主要應(yīng)用部門做好軟件系統(tǒng)和有關(guān)數(shù)據(jù)的恢復(fù)工作

e:?檢查日志等資料，確定故障原因

f:?將實施處理的過程和結(jié)果備案存檔，并向有關(guān)領(lǐng)導(dǎo)匯報。

7、數(shù)據(jù)庫系統(tǒng)故障的應(yīng)急處理

a:?數(shù)據(jù)庫系統(tǒng)每日必須存有備份，與軟件系統(tǒng)相對應(yīng)的數(shù)據(jù)必須有多日的備份，并將它們保存與安全處

b:?數(shù)據(jù)庫系統(tǒng)發(fā)生故障以后，技術(shù)人員立即向信息中心負(fù)責(zé)人匯報請示，經(jīng)同意后采用重啟或其它手段盡快恢復(fù)數(shù)據(jù)庫運行，保持業(yè)務(wù)不中斷。

c:?做好數(shù)據(jù)系統(tǒng)切換和有關(guān)數(shù)據(jù)的恢復(fù)工作。

d:?檢查日志等資料，確定故障原因

e:?將實施處理的過程和結(jié)果進(jìn)行備案存檔，并向有關(guān)領(lǐng)導(dǎo)匯報

8、設(shè)備硬件故障的應(yīng)急處理

a：小型機，服務(wù)器等關(guān)鍵設(shè)備損壞后，技術(shù)人員應(yīng)立即向?qū)W校信息中心負(fù)責(zé)人聯(lián)系。

b:?查明原因，聯(lián)系維保單位更換受損部件

c:?如一時不能修復(fù)，應(yīng)向部門領(lǐng)導(dǎo)匯報，并告知應(yīng)用部門暫緩上傳數(shù)據(jù)

9、其他網(wǎng)絡(luò)故障應(yīng)急處理

（1）故障的發(fā)現(xiàn)

學(xué)校信息中心人員在接到故障或接到故障報告后，記錄故障發(fā)生的時間，發(fā)現(xiàn)部門，對故障進(jìn)行等級的初步判定，報告相關(guān)人員處理。

（2）對重大故障的處理

當(dāng)網(wǎng)絡(luò)管理人員發(fā)現(xiàn)如廣域鏈路突然中斷，核心路由（交換機）宕機。非法入侵及病毒入侵是網(wǎng)絡(luò)傳輸性能下降，系統(tǒng)關(guān)鍵服務(wù)器性能下降，嚴(yán)重影響正常業(yè)務(wù)運行時，網(wǎng)管人員應(yīng)及時記錄故障發(fā)生的時間，地點等，并立即上報主管領(lǐng)導(dǎo)。同時查清故障的影響范圍，從而確定故障的等級和發(fā)生故障的可能部位。和區(qū)運維及外包人員一起迅速解決問題。

（3）對一般故障的處理

一般故障應(yīng)及時記錄，確定故障等級及影響范圍，判定故障可能的部位。盡快解決故障。

（4）故障的記錄

在故障處理中，應(yīng)對其過程進(jìn)行詳細(xì)記錄，包括處理負(fù)責(zé)人，檢查的內(nèi)容和結(jié)果，對故障的判斷及處理辦法，以及故障處理過程中各步驟及執(zhí)行人員。

（5）請求外協(xié)支持

對于1小時以內(nèi)不能查清原因的重大故障，應(yīng)盡早聯(lián)系原廠商請求技術(shù)支持。

對于4小時內(nèi)無法解決的一般性故障，也應(yīng)聯(lián)系原廠商請求技術(shù)支持，并要將聯(lián)系外協(xié)支持的情況記錄在案。

（6）故障處理后的測試驗收

故障處理后，故障處理部門要進(jìn)行自測，如有可能請用戶進(jìn)行確認(rèn)。

（7）故障書面報告

對于重大故障和拖延時間較長的故障，在處理過后，應(yīng)對故障及處理的全過程以文字形式進(jìn)行報告。

對于一般故障處理，在維護(hù)日志中做完整的說明和記錄

故障報告應(yīng)包括以下幾方面的內(nèi)容：故障處理是否準(zhǔn)確和及時，有無明顯的失誤，有無違反規(guī)定的行為。學(xué)校信息中心領(lǐng)導(dǎo)對報告進(jìn)行審核

10、中心機房停電的應(yīng)急處理

（1）中心機房長時間停電

a:?登陸設(shè)備，備份數(shù)據(jù)

b:?記錄當(dāng)前設(shè)備端口狀態(tài)

c:?數(shù)據(jù)統(tǒng)一保存

e:?定時查看設(shè)備狀態(tài)，記錄設(shè)備溫度

(2)

UPS?供電能力不足

征求學(xué)校信息中心領(lǐng)導(dǎo)同意后，關(guān)閉機房一些非關(guān)鍵應(yīng)用、功耗大的設(shè)備,?以滿足核心設(shè)備的正常運轉(zhuǎn)。

（3）設(shè)備應(yīng)溫度過高而重啟

如因溫度原因，導(dǎo)致設(shè)備不斷重啟，報告信息中心領(lǐng)導(dǎo)，然后手動關(guān)閉設(shè)備，并用應(yīng)急降溫設(shè)備對設(shè)備進(jìn)行局部降溫。當(dāng)設(shè)備附近溫度低于30度，再手動開啟設(shè)備。并進(jìn)行數(shù)據(jù)檢查。對比當(dāng)前數(shù)據(jù)和備份數(shù)據(jù)是否一致。對比設(shè)備當(dāng)前端口狀態(tài)和停電前是否一致。對比當(dāng)前配置信息和備份前是否一致。如不一致，報告學(xué)校信息中心領(lǐng)導(dǎo)，按設(shè)備故障處理。

11、機房漏水應(yīng)急處理

（1）發(fā)生漏水時，第一發(fā)現(xiàn)者應(yīng)及時通知學(xué)校信息中心。

（2）若空調(diào)系統(tǒng)出現(xiàn)滲漏水，應(yīng)及時通知總務(wù)處進(jìn)行處理，及時清除機房積水。

（3）若墻體或窗戶滲水，應(yīng)采取有效措施確保機房安全，同時通知總務(wù)，及時清除積水。

12、設(shè)備發(fā)生被盜或認(rèn)為損害事件應(yīng)急處理

（1）發(fā)生設(shè)備被盜或人為損壞設(shè)備情況時，使用者或管理者應(yīng)及時報告學(xué)校信息中心領(lǐng)導(dǎo)并保護(hù)好現(xiàn)場

（2）

信息中心領(lǐng)導(dǎo)通知總務(wù)，安保，一起審核現(xiàn)場情況，清點被盜物資或盤查人為損害情況，做好必要的影像記錄和文字記錄。

（3）發(fā)現(xiàn)人應(yīng)積極配合相關(guān)部門進(jìn)行調(diào)查，并將有關(guān)情況向?qū)W校信息中心領(lǐng)導(dǎo)匯報。

（4）信息中心人員及時恢復(fù)設(shè)備正常運行，并對事件進(jìn)行調(diào)查，必要時上報上一級部門

13、雷擊事故應(yīng)急處理

（1）遇強雷暴天氣或接上級部門強雷暴天氣預(yù)警，應(yīng)關(guān)閉所有服務(wù)器，切斷電源，暫停內(nèi)部計算機網(wǎng)絡(luò)工作。

（2）強雷暴天氣結(jié)束后，及時開通服務(wù)器，恢復(fù)計算機網(wǎng)絡(luò)工作。

（3）因雷擊造成的損失，應(yīng)及時進(jìn)行核實，報損。

（4）如設(shè)備因雷暴，雷擊影響，燒毀部件，應(yīng)及時聯(lián)系維保單位，進(jìn)行備件更換，并將詳細(xì)情況向部門領(lǐng)導(dǎo)匯報。

六、后期處理

1、善后處理

應(yīng)急處置工作結(jié)束后，根據(jù)事故發(fā)生的原因以及應(yīng)急處置中暴露出的管理，協(xié)調(diào)和技術(shù)問題，改進(jìn)和完善預(yù)案，總結(jié)經(jīng)驗教訓(xùn)，整改存在的隱患。將故障處理文檔整理，形成知識庫進(jìn)行統(tǒng)一歸檔管理。

2、應(yīng)急預(yù)案更新

根據(jù)信息化快速發(fā)展和經(jīng)濟社會發(fā)展?fàn)顩r，配合相關(guān)法律法規(guī)的制定，結(jié)合應(yīng)急處置中暴露出的問題，修改和完善本預(yù)案。

七、應(yīng)急培訓(xùn)和演練

1、宣傳教育與培訓(xùn)

將信息網(wǎng)絡(luò)突發(fā)事件的應(yīng)急管理，工作流程等列為培訓(xùn)內(nèi)容，增強應(yīng)急處置能力。加強對信息網(wǎng)絡(luò)突發(fā)事件的技術(shù)準(zhǔn)備培訓(xùn)，提高技術(shù)人員的防范意識及技能。應(yīng)對系統(tǒng)相關(guān)人員進(jìn)行培訓(xùn)使他們知道如何及何時使用應(yīng)急計劃中的控制手段及恢復(fù)策略。對應(yīng)急計劃的培訓(xùn)建議每年一次，擁有計劃規(guī)定職責(zé)的新雇員應(yīng)該在被雇傭后接受短期培訓(xùn)。和應(yīng)急計劃相關(guān)的人員所接受的培訓(xùn)最終應(yīng)使得他們能夠無需實際文檔的協(xié)助就能執(zhí)行相應(yīng)的恢復(fù)規(guī)程。應(yīng)急計劃培訓(xùn)主要包括以下內(nèi)容：計劃的目的，團(tuán)隊之間的協(xié)調(diào)與溝通，匯報規(guī)程，個人職責(zé)。

2、預(yù)案定期演練

為保證應(yīng)急相應(yīng)能力，學(xué)校積極配合區(qū)信息中心進(jìn)行應(yīng)急預(yù)案演練。