信息應急預案管理
一、信息系統應急預案組織機構
1.領導小組工作職責
(1)負責中學信息系統安全應急工作,確定并直接領導信息系統安全應急處置工作組。審定中學信息系統安全應急預案并組織實施,研究解決中學有關網絡與信息系統安全的重大問題。領導小組下設處置工作組,其工作職責由信息中心承擔。
(2)領導小組的組成及成員電話
姓名
職務
聯系電話
組長
副組長
成員
(3)信息系統安全應急處置工作小組工作職責
a)組長職責
負責網絡應急預案的啟動,對網絡設備故障全權組織進行應急處置。
b)副組長職責
協助組長對網絡設備故障進行應急處置。負責確定合理的技術處理方案、制定應急處置方案。組長不在現場或不便履行職責時,行駛組長職責。
c)應急領導小組其他成員職責
配合組長和副組長,實施應急處置工作。
2.各供應商應急聯系人
姓名
職務
聯系電話
二、信息系統安全應急處置實施細則
1、信息系統故障等級劃分
按照《信息安全技術-信息系統安全等級保護基本要求》,具體劃分為四個等級,一級和二級故障為重大故障;三級和四級故障為一般性故障。
(1)一級故障
信息系統發生故障,預計將或已經嚴重影響核心系統業務,導致相關業務中斷1小時以上,并預計24小時內無法恢復的,具備以下一個或幾個特征,即定義為一級故障。
a)學校專網核心出現故障,造成局域網用戶不能訪問核心服務器或不能訪問廣域網。
b)信息中心web門戶網站等關鍵服務器宕機或由其他原因導致拒絕提供服務的。
c)學校中心機房供電系統、集中空調系統等外圍保障設施出現嚴重故障。
d)病毒攻擊造成中學局域網內感染大量客戶端設備50臺以上,導致關鍵業務系統和辦公系統不能正常提供服務。
e)利用技術手段,造成業務數據被修改、假冒、泄露、竊取的信息系統安全事件。
(2)二級故障
信息系統發生故障,預計將或已經嚴重影響中學系統業務,導致相關業務中斷1小時以上,并預計24小時內可以恢復的,具備以下一個或幾個特征,即定義為二級故障。
a)學校分機房供電系統,精密空調、UPS等外圍保障設施出現嚴重故障。
b)病毒攻擊造成網絡感染大量客戶端設備50臺以內,導致關鍵業務系統和辦公系統不能正常提供服務。
c)12小時以內無法解決的三級故障。
(3)三級故障
滿足下列條件之一,即定義為三級故障。
a)故障發生后,影響系統的運行效率,但不影響業務系統訪問
b)故障預計在12小時內修復
c)24小時內無法解決的四級故障
(4)四級故障
a)故障發生后,可應急處理,不會影響系統運行,但是是一種隱患
b)網絡核心設備由于病毒等原因,造成偶爾掉包,但不影響系統正常訪問和運行
四、應急響應特定文檔及工具
1、應急文檔的備存
(1)各類網絡設備和服務器、計算機及其附屬設備的型號、序列號等
(2)硬件設備供應商、生產廠商的地淡化、聯系人、網址
(3)操作系統、關鍵業務應用軟件開發商或供應商電話、聯系人。
(4)網絡拓撲圖
(5)路由器、防火墻、入侵檢測設備的配置文檔、服務器登陸用戶及原始密碼文檔、(6)各類軟件的技術文檔及其他需要保存的文檔
2、應急設備及軟件備存
(1)正版操作系統啟動盤、安裝盤
(2)正版防病毒軟件
(3)相關設備驅動程序(含主板、顯卡、網卡等)及更新到最新的服務器注冊表文件
(4)備用網線,測網儀、螺絲刀等必要工具
(5)其它必備應急工具
五、應急處理預案
1、電力故障的應急處理
(1)外電中斷后,應立即檢查中心機房UPS電源是否正常供電,并查明中斷原因,及時向信息中心負責人報告。
(2)如因樓內線路故障,及時聯系總務處盡快排查,迅速恢復供電。
(3)如因供電部門因素導致供電中斷,立即和供電部門聯系,請求供電部門迅速恢復供電。
(4)如告知需長時間停電,應作如下安排:
i:停電1小時以內,用UPS供電
ii:停電1小時以上2小時以內,關掉非關鍵設備,確保各主機,路由器,交換機供電。
iii:預計停電超過1小時,在設備運行1小時的時候關掉所有機器設備。
(5)電力系統恢復供電后,按規定流程開啟相關設備。
2、消防系統應急處理
出現火情,火災,發現人員在最短時間內通知信息中心領導,總務。火情嚴重時,迅速撥打119報警,并盡可能采取一些簡單可行的方法做初步處理,如:使用滅火器材或其它滅火措施,手段。及時疏散災情范圍內的工作人員。進展情況及時向信息中心領導匯報。
(1)上班時間發生火警,聽到消防警報后及時撤離,立即撥打119?并說明盡量用氣體滅火器滅火,減少電子設備損壞。
(2)非工作時間或節假日休息時間發生火警,應立刻向領導匯報與學校值班人員聯系,確認火情。及時撥打119報警,并使用氣體滅火器滅火,減少電子設備損失。
(3)發生火警后,中心機房相關人員應馬上趕赴現場,并向有關領導匯報。同時立即聯系各設備供應商等相關公司,及時評估事故損失情況,研討恢復網絡系統正常運行的最佳解決方案。
3、網絡中斷應急處理
(1)故障排查:網絡中斷后,技術人員要迅速判斷故障節點,查明故障原因;
(2)故障排除:
a:如屬線路故障,應重新安排線路
b:??如屬路由器,交換機等網絡設備故障,技術人員應檢修并調試通暢。如路由器、交換機配置文件損壞,應迅速重新配置。必要時,請有關供貨單位,設備廠商協助調試通暢。
c:如需更換設備,應上報領導,批準后馬上更換故障設備,盡快恢復系統運行。
d:?技術部無法修理時,應立即通知相關供應商及維護人員。
(3)特殊情況,如故障判斷、網絡恢復需要1小時以上,技術人員應及時將相關情況匯報學校信息中心領導,并在領導同意情況下,采用緊急措施,繞過故障設備,先行恢復網絡連通性,并及時聯系供應商修復故障設備。
(4)故障處理完畢,恢復正常后,應立即進行故障現象回歸測試,測試結果確認無問題后,再進行總結評估,并將處理過程形成處理文檔的知識庫。
4、黑客攻擊應急處理
(1)應急處理
a:當發現有黑客攻擊行為時,應立即向學校信息中心領導匯報,并向長寧區信息中心通報情況。
b:?運維人員應立即趕到現場,將被攻擊的服務器或其它設備從網絡中隔離出來,必要時可以采取照片,截圖等方式留存記錄,保護現場。
c:?如事態較為嚴重,經向領導請示后,立即向公安部門報警,配合公安部門展開調查。
d:?技術人員做好被攻擊或破壞后系統的恢復與重建工作。
e:?將實施事件處理的過程和結果備案存檔,必要時向學校領導匯報。
(2)修復處理
a:?記錄系統狀況
b:?立即復制系統登陸文件,歷史文件,日志文件等重要文件
c:?修改防火墻、路由器等網絡安全設備的過濾規則
d:?斷開被攻擊主機,關閉不必要的服務
e:?處理可疑的文件和程序
f:?修改不安全的系統賬號及其口令
g:?恢復被修改的軟件和數據
h:?安裝相應的補丁程序,填補安全漏洞
i:??編寫報告,詳述事件過程及處理步驟
5、大規模病毒(含惡意軟件)攻擊的應急處理
(1):?當發現局域網中有大量計算機被感染上病毒后,計算機使用人員應立即上報學校信息中心
(2):?信息中心技術人員應立即將該機從網絡上隔離開來
c:?對該設備的硬盤進行數據備份,并將防病毒軟件的病毒特征庫更新至最新版本
d:?用反病毒軟件對該機進行殺毒處理,并對相關機器進行病毒掃描和清除工作。
e:?如發現反病毒軟件無法清除該病毒,應向學校信息中心領導匯報,研究解決,通過分析病毒的特征行為,尋找病毒專殺工具進行查殺。
f:?情況較為嚴重的,已影響到信息系統的數據傳輸、應用系統訪問不正常等情況,應及時向有關分管領導報告,按照信息系統故障等級劃分,確定其故障等級,并啟動相應的應急處理程序進行排除。
6、軟件系統故障的應急處理
a:?軟件系統平時必須存有備份,與軟件系統相對應的數據必須有多日的備份,并將它們保存于安全處
b:?軟件系統發生故障后,技術人員應立即向學校信息中心領導匯報,經確認后停止該系統的運行并切換至備份系統,保證業務正常運行。
c:?通知軟件系統主要應用部門做好軟件系統和有關數據的恢復工作
e:?檢查日志等資料,確定故障原因
f:?將實施處理的過程和結果備案存檔,并向有關領導匯報。
7、數據庫系統故障的應急處理
a:?數據庫系統每日必須存有備份,與軟件系統相對應的數據必須有多日的備份,并將它們保存與安全處
b:?數據庫系統發生故障以后,技術人員立即向信息中心負責人匯報請示,經同意后采用重啟或其它手段盡快恢復數據庫運行,保持業務不中斷。
c:?做好數據系統切換和有關數據的恢復工作。
d:?檢查日志等資料,確定故障原因
e:?將實施處理的過程和結果進行備案存檔,并向有關領導匯報
8、設備硬件故障的應急處理
a:小型機,服務器等關鍵設備損壞后,技術人員應立即向學校信息中心負責人聯系。
b:?查明原因,聯系維保單位更換受損部件
c:?如一時不能修復,應向部門領導匯報,并告知應用部門暫緩上傳數據
9、其他網絡故障應急處理
(1)故障的發現
學校信息中心人員在接到故障或接到故障報告后,記錄故障發生的時間,發現部門,對故障進行等級的初步判定,報告相關人員處理。
(2)對重大故障的處理
當網絡管理人員發現如廣域鏈路突然中斷,核心路由(交換機)宕機。非法入侵及病毒入侵是網絡傳輸性能下降,系統關鍵服務器性能下降,嚴重影響正常業務運行時,網管人員應及時記錄故障發生的時間,地點等,并立即上報主管領導。同時查清故障的影響范圍,從而確定故障的等級和發生故障的可能部位。和區運維及外包人員一起迅速解決問題。
(3)對一般故障的處理
一般故障應及時記錄,確定故障等級及影響范圍,判定故障可能的部位。盡快解決故障。
(4)故障的記錄
在故障處理中,應對其過程進行詳細記錄,包括處理負責人,檢查的內容和結果,對故障的判斷及處理辦法,以及故障處理過程中各步驟及執行人員。
(5)請求外協支持
對于1小時以內不能查清原因的重大故障,應盡早聯系原廠商請求技術支持。
對于4小時內無法解決的一般性故障,也應聯系原廠商請求技術支持,并要將聯系外協支持的情況記錄在案。
(6)故障處理后的測試驗收
故障處理后,故障處理部門要進行自測,如有可能請用戶進行確認。
(7)故障書面報告
對于重大故障和拖延時間較長的故障,在處理過后,應對故障及處理的全過程以文字形式進行報告。
對于一般故障處理,在維護日志中做完整的說明和記錄
故障報告應包括以下幾方面的內容:故障處理是否準確和及時,有無明顯的失誤,有無違反規定的行為。學校信息中心領導對報告進行審核
10、中心機房停電的應急處理
(1)中心機房長時間停電
a:?登陸設備,備份數據
b:?記錄當前設備端口狀態
c:?數據統一保存
e:?定時查看設備狀態,記錄設備溫度
(2)
UPS?供電能力不足
征求學校信息中心領導同意后,關閉機房一些非關鍵應用、功耗大的設備,?以滿足核心設備的正常運轉。
(3)設備應溫度過高而重啟
如因溫度原因,導致設備不斷重啟,報告信息中心領導,然后手動關閉設備,并用應急降溫設備對設備進行局部降溫。當設備附近溫度低于30度,再手動開啟設備。并進行數據檢查。對比當前數據和備份數據是否一致。對比設備當前端口狀態和停電前是否一致。對比當前配置信息和備份前是否一致。如不一致,報告學校信息中心領導,按設備故障處理。
11、機房漏水應急處理
(1)發生漏水時,第一發現者應及時通知學校信息中心。
(2)若空調系統出現滲漏水,應及時通知總務處進行處理,及時清除機房積水。
(3)若墻體或窗戶滲水,應采取有效措施確保機房安全,同時通知總務,及時清除積水。
12、設備發生被盜或認為損害事件應急處理
(1)發生設備被盜或人為損壞設備情況時,使用者或管理者應及時報告學校信息中心領導并保護好現場
(2)
信息中心領導通知總務,安保,一起審核現場情況,清點被盜物資或盤查人為損害情況,做好必要的影像記錄和文字記錄。
(3)發現人應積極配合相關部門進行調查,并將有關情況向學校信息中心領導匯報。
(4)信息中心人員及時恢復設備正常運行,并對事件進行調查,必要時上報上一級部門
13、雷擊事故應急處理
(1)遇強雷暴天氣或接上級部門強雷暴天氣預警,應關閉所有服務器,切斷電源,暫停內部計算機網絡工作。
(2)強雷暴天氣結束后,及時開通服務器,恢復計算機網絡工作。
(3)因雷擊造成的損失,應及時進行核實,報損。
(4)如設備因雷暴,雷擊影響,燒毀部件,應及時聯系維保單位,進行備件更換,并將詳細情況向部門領導匯報。
六、后期處理
1、善后處理
應急處置工作結束后,根據事故發生的原因以及應急處置中暴露出的管理,協調和技術問題,改進和完善預案,總結經驗教訓,整改存在的隱患。將故障處理文檔整理,形成知識庫進行統一歸檔管理。
2、應急預案更新
根據信息化快速發展和經濟社會發展狀況,配合相關法律法規的制定,結合應急處置中暴露出的問題,修改和完善本預案。
七、應急培訓和演練
1、宣傳教育與培訓
將信息網絡突發事件的應急管理,工作流程等列為培訓內容,增強應急處置能力。加強對信息網絡突發事件的技術準備培訓,提高技術人員的防范意識及技能。應對系統相關人員進行培訓使他們知道如何及何時使用應急計劃中的控制手段及恢復策略。對應急計劃的培訓建議每年一次,擁有計劃規定職責的新雇員應該在被雇傭后接受短期培訓。和應急計劃相關的人員所接受的培訓最終應使得他們能夠無需實際文檔的協助就能執行相應的恢復規程。應急計劃培訓主要包括以下內容:計劃的目的,團隊之間的協調與溝通,匯報規程,個人職責。
2、預案定期演練
為保證應急相應能力,學校積極配合區信息中心進行應急預案演練。
點擊咨詢