信息應(yīng)急預(yù)案管理
一、信息系統(tǒng)應(yīng)急預(yù)案組織機構(gòu)
1.領(lǐng)導(dǎo)小組工作職責(zé)
(1)負(fù)責(zé)中學(xué)信息系統(tǒng)安全應(yīng)急工作,確定并直接領(lǐng)導(dǎo)信息系統(tǒng)安全應(yīng)急處置工作組。審定中學(xué)信息系統(tǒng)安全應(yīng)急預(yù)案并組織實施,研究解決中學(xué)有關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全的重大問題。領(lǐng)導(dǎo)小組下設(shè)處置工作組,其工作職責(zé)由信息中心承擔(dān)。
(2)領(lǐng)導(dǎo)小組的組成及成員電話
姓名
職務(wù)
聯(lián)系電話
組長
副組長
成員
(3)信息系統(tǒng)安全應(yīng)急處置工作小組工作職責(zé)
a)組長職責(zé)
負(fù)責(zé)網(wǎng)絡(luò)應(yīng)急預(yù)案的啟動,對網(wǎng)絡(luò)設(shè)備故障全權(quán)組織進(jìn)行應(yīng)急處置。
b)副組長職責(zé)
協(xié)助組長對網(wǎng)絡(luò)設(shè)備故障進(jìn)行應(yīng)急處置。負(fù)責(zé)確定合理的技術(shù)處理方案、制定應(yīng)急處置方案。組長不在現(xiàn)場或不便履行職責(zé)時,行駛組長職責(zé)。
c)應(yīng)急領(lǐng)導(dǎo)小組其他成員職責(zé)
配合組長和副組長,實施應(yīng)急處置工作。
2.各供應(yīng)商應(yīng)急聯(lián)系人
姓名
職務(wù)
聯(lián)系電話
二、信息系統(tǒng)安全應(yīng)急處置實施細(xì)則
1、信息系統(tǒng)故障等級劃分
按照《信息安全技術(shù)-信息系統(tǒng)安全等級保護(hù)基本要求》,具體劃分為四個等級,一級和二級故障為重大故障;三級和四級故障為一般性故障。
(1)一級故障
信息系統(tǒng)發(fā)生故障,預(yù)計將或已經(jīng)嚴(yán)重影響核心系統(tǒng)業(yè)務(wù),導(dǎo)致相關(guān)業(yè)務(wù)中斷1小時以上,并預(yù)計24小時內(nèi)無法恢復(fù)的,具備以下一個或幾個特征,即定義為一級故障。
a)學(xué)校專網(wǎng)核心出現(xiàn)故障,造成局域網(wǎng)用戶不能訪問核心服務(wù)器或不能訪問廣域網(wǎng)。
b)信息中心web門戶網(wǎng)站等關(guān)鍵服務(wù)器宕機或由其他原因?qū)е戮芙^提供服務(wù)的。
c)學(xué)校中心機房供電系統(tǒng)、集中空調(diào)系統(tǒng)等外圍保障設(shè)施出現(xiàn)嚴(yán)重故障。
d)病毒攻擊造成中學(xué)局域網(wǎng)內(nèi)感染大量客戶端設(shè)備50臺以上,導(dǎo)致關(guān)鍵業(yè)務(wù)系統(tǒng)和辦公系統(tǒng)不能正常提供服務(wù)。
e)利用技術(shù)手段,造成業(yè)務(wù)數(shù)據(jù)被修改、假冒、泄露、竊取的信息系統(tǒng)安全事件。
(2)二級故障
信息系統(tǒng)發(fā)生故障,預(yù)計將或已經(jīng)嚴(yán)重影響中學(xué)系統(tǒng)業(yè)務(wù),導(dǎo)致相關(guān)業(yè)務(wù)中斷1小時以上,并預(yù)計24小時內(nèi)可以恢復(fù)的,具備以下一個或幾個特征,即定義為二級故障。
a)學(xué)校分機房供電系統(tǒng),精密空調(diào)、UPS等外圍保障設(shè)施出現(xiàn)嚴(yán)重故障。
b)病毒攻擊造成網(wǎng)絡(luò)感染大量客戶端設(shè)備50臺以內(nèi),導(dǎo)致關(guān)鍵業(yè)務(wù)系統(tǒng)和辦公系統(tǒng)不能正常提供服務(wù)。
c)12小時以內(nèi)無法解決的三級故障。
(3)三級故障
滿足下列條件之一,即定義為三級故障。
a)故障發(fā)生后,影響系統(tǒng)的運行效率,但不影響業(yè)務(wù)系統(tǒng)訪問
b)故障預(yù)計在12小時內(nèi)修復(fù)
c)24小時內(nèi)無法解決的四級故障
(4)四級故障
a)故障發(fā)生后,可應(yīng)急處理,不會影響系統(tǒng)運行,但是是一種隱患
b)網(wǎng)絡(luò)核心設(shè)備由于病毒等原因,造成偶爾掉包,但不影響系統(tǒng)正常訪問和運行
四、應(yīng)急響應(yīng)特定文檔及工具
1、應(yīng)急文檔的備存
(1)各類網(wǎng)絡(luò)設(shè)備和服務(wù)器、計算機及其附屬設(shè)備的型號、序列號等
(2)硬件設(shè)備供應(yīng)商、生產(chǎn)廠商的地淡化、聯(lián)系人、網(wǎng)址
(3)操作系統(tǒng)、關(guān)鍵業(yè)務(wù)應(yīng)用軟件開發(fā)商或供應(yīng)商電話、聯(lián)系人。
(4)網(wǎng)絡(luò)拓?fù)鋱D
(5)路由器、防火墻、入侵檢測設(shè)備的配置文檔、服務(wù)器登陸用戶及原始密碼文檔、(6)各類軟件的技術(shù)文檔及其他需要保存的文檔
2、應(yīng)急設(shè)備及軟件備存
(1)正版操作系統(tǒng)啟動盤、安裝盤
(2)正版防病毒軟件
(3)相關(guān)設(shè)備驅(qū)動程序(含主板、顯卡、網(wǎng)卡等)及更新到最新的服務(wù)器注冊表文件
(4)備用網(wǎng)線,測網(wǎng)儀、螺絲刀等必要工具
(5)其它必備應(yīng)急工具
五、應(yīng)急處理預(yù)案
1、電力故障的應(yīng)急處理
(1)外電中斷后,應(yīng)立即檢查中心機房UPS電源是否正常供電,并查明中斷原因,及時向信息中心負(fù)責(zé)人報告。
(2)如因樓內(nèi)線路故障,及時聯(lián)系總務(wù)處盡快排查,迅速恢復(fù)供電。
(3)如因供電部門因素導(dǎo)致供電中斷,立即和供電部門聯(lián)系,請求供電部門迅速恢復(fù)供電。
(4)如告知需長時間停電,應(yīng)作如下安排:
i:停電1小時以內(nèi),用UPS供電
ii:停電1小時以上2小時以內(nèi),關(guān)掉非關(guān)鍵設(shè)備,確保各主機,路由器,交換機供電。
iii:預(yù)計停電超過1小時,在設(shè)備運行1小時的時候關(guān)掉所有機器設(shè)備。
(5)電力系統(tǒng)恢復(fù)供電后,按規(guī)定流程開啟相關(guān)設(shè)備。
2、消防系統(tǒng)應(yīng)急處理
出現(xiàn)火情,火災(zāi),發(fā)現(xiàn)人員在最短時間內(nèi)通知信息中心領(lǐng)導(dǎo),總務(wù)。火情嚴(yán)重時,迅速撥打119報警,并盡可能采取一些簡單可行的方法做初步處理,如:使用滅火器材或其它滅火措施,手段。及時疏散災(zāi)情范圍內(nèi)的工作人員。進(jìn)展情況及時向信息中心領(lǐng)導(dǎo)匯報。
(1)上班時間發(fā)生火警,聽到消防警報后及時撤離,立即撥打119?并說明盡量用氣體滅火器滅火,減少電子設(shè)備損壞。
(2)非工作時間或節(jié)假日休息時間發(fā)生火警,應(yīng)立刻向領(lǐng)導(dǎo)匯報與學(xué)校值班人員聯(lián)系,確認(rèn)火情。及時撥打119報警,并使用氣體滅火器滅火,減少電子設(shè)備損失。
(3)發(fā)生火警后,中心機房相關(guān)人員應(yīng)馬上趕赴現(xiàn)場,并向有關(guān)領(lǐng)導(dǎo)匯報。同時立即聯(lián)系各設(shè)備供應(yīng)商等相關(guān)公司,及時評估事故損失情況,研討恢復(fù)網(wǎng)絡(luò)系統(tǒng)正常運行的最佳解決方案。
3、網(wǎng)絡(luò)中斷應(yīng)急處理
(1)故障排查:網(wǎng)絡(luò)中斷后,技術(shù)人員要迅速判斷故障節(jié)點,查明故障原因;
(2)故障排除:
a:如屬線路故障,應(yīng)重新安排線路
b:??如屬路由器,交換機等網(wǎng)絡(luò)設(shè)備故障,技術(shù)人員應(yīng)檢修并調(diào)試通暢。如路由器、交換機配置文件損壞,應(yīng)迅速重新配置。必要時,請有關(guān)供貨單位,設(shè)備廠商協(xié)助調(diào)試通暢。
c:如需更換設(shè)備,應(yīng)上報領(lǐng)導(dǎo),批準(zhǔn)后馬上更換故障設(shè)備,盡快恢復(fù)系統(tǒng)運行。
d:?技術(shù)部無法修理時,應(yīng)立即通知相關(guān)供應(yīng)商及維護(hù)人員。
(3)特殊情況,如故障判斷、網(wǎng)絡(luò)恢復(fù)需要1小時以上,技術(shù)人員應(yīng)及時將相關(guān)情況匯報學(xué)校信息中心領(lǐng)導(dǎo),并在領(lǐng)導(dǎo)同意情況下,采用緊急措施,繞過故障設(shè)備,先行恢復(fù)網(wǎng)絡(luò)連通性,并及時聯(lián)系供應(yīng)商修復(fù)故障設(shè)備。
(4)故障處理完畢,恢復(fù)正常后,應(yīng)立即進(jìn)行故障現(xiàn)象回歸測試,測試結(jié)果確認(rèn)無問題后,再進(jìn)行總結(jié)評估,并將處理過程形成處理文檔的知識庫。
4、黑客攻擊應(yīng)急處理
(1)應(yīng)急處理
a:當(dāng)發(fā)現(xiàn)有黑客攻擊行為時,應(yīng)立即向?qū)W校信息中心領(lǐng)導(dǎo)匯報,并向長寧區(qū)信息中心通報情況。
b:?運維人員應(yīng)立即趕到現(xiàn)場,將被攻擊的服務(wù)器或其它設(shè)備從網(wǎng)絡(luò)中隔離出來,必要時可以采取照片,截圖等方式留存記錄,保護(hù)現(xiàn)場。
c:?如事態(tài)較為嚴(yán)重,經(jīng)向領(lǐng)導(dǎo)請示后,立即向公安部門報警,配合公安部門展開調(diào)查。
d:?技術(shù)人員做好被攻擊或破壞后系統(tǒng)的恢復(fù)與重建工作。
e:?將實施事件處理的過程和結(jié)果備案存檔,必要時向?qū)W校領(lǐng)導(dǎo)匯報。
(2)修復(fù)處理
a:?記錄系統(tǒng)狀況
b:?立即復(fù)制系統(tǒng)登陸文件,歷史文件,日志文件等重要文件
c:?修改防火墻、路由器等網(wǎng)絡(luò)安全設(shè)備的過濾規(guī)則
d:?斷開被攻擊主機,關(guān)閉不必要的服務(wù)
e:?處理可疑的文件和程序
f:?修改不安全的系統(tǒng)賬號及其口令
g:?恢復(fù)被修改的軟件和數(shù)據(jù)
h:?安裝相應(yīng)的補丁程序,填補安全漏洞
i:??編寫報告,詳述事件過程及處理步驟
5、大規(guī)模病毒(含惡意軟件)攻擊的應(yīng)急處理
(1):?當(dāng)發(fā)現(xiàn)局域網(wǎng)中有大量計算機被感染上病毒后,計算機使用人員應(yīng)立即上報學(xué)校信息中心
(2):?信息中心技術(shù)人員應(yīng)立即將該機從網(wǎng)絡(luò)上隔離開來
c:?對該設(shè)備的硬盤進(jìn)行數(shù)據(jù)備份,并將防病毒軟件的病毒特征庫更新至最新版本
d:?用反病毒軟件對該機進(jìn)行殺毒處理,并對相關(guān)機器進(jìn)行病毒掃描和清除工作。
e:?如發(fā)現(xiàn)反病毒軟件無法清除該病毒,應(yīng)向?qū)W校信息中心領(lǐng)導(dǎo)匯報,研究解決,通過分析病毒的特征行為,尋找病毒專殺工具進(jìn)行查殺。
f:?情況較為嚴(yán)重的,已影響到信息系統(tǒng)的數(shù)據(jù)傳輸、應(yīng)用系統(tǒng)訪問不正常等情況,應(yīng)及時向有關(guān)分管領(lǐng)導(dǎo)報告,按照信息系統(tǒng)故障等級劃分,確定其故障等級,并啟動相應(yīng)的應(yīng)急處理程序進(jìn)行排除。
6、軟件系統(tǒng)故障的應(yīng)急處理
a:?軟件系統(tǒng)平時必須存有備份,與軟件系統(tǒng)相對應(yīng)的數(shù)據(jù)必須有多日的備份,并將它們保存于安全處
b:?軟件系統(tǒng)發(fā)生故障后,技術(shù)人員應(yīng)立即向?qū)W校信息中心領(lǐng)導(dǎo)匯報,經(jīng)確認(rèn)后停止該系統(tǒng)的運行并切換至備份系統(tǒng),保證業(yè)務(wù)正常運行。
c:?通知軟件系統(tǒng)主要應(yīng)用部門做好軟件系統(tǒng)和有關(guān)數(shù)據(jù)的恢復(fù)工作
e:?檢查日志等資料,確定故障原因
f:?將實施處理的過程和結(jié)果備案存檔,并向有關(guān)領(lǐng)導(dǎo)匯報。
7、數(shù)據(jù)庫系統(tǒng)故障的應(yīng)急處理
a:?數(shù)據(jù)庫系統(tǒng)每日必須存有備份,與軟件系統(tǒng)相對應(yīng)的數(shù)據(jù)必須有多日的備份,并將它們保存與安全處
b:?數(shù)據(jù)庫系統(tǒng)發(fā)生故障以后,技術(shù)人員立即向信息中心負(fù)責(zé)人匯報請示,經(jīng)同意后采用重啟或其它手段盡快恢復(fù)數(shù)據(jù)庫運行,保持業(yè)務(wù)不中斷。
c:?做好數(shù)據(jù)系統(tǒng)切換和有關(guān)數(shù)據(jù)的恢復(fù)工作。
d:?檢查日志等資料,確定故障原因
e:?將實施處理的過程和結(jié)果進(jìn)行備案存檔,并向有關(guān)領(lǐng)導(dǎo)匯報
8、設(shè)備硬件故障的應(yīng)急處理
a:小型機,服務(wù)器等關(guān)鍵設(shè)備損壞后,技術(shù)人員應(yīng)立即向?qū)W校信息中心負(fù)責(zé)人聯(lián)系。
b:?查明原因,聯(lián)系維保單位更換受損部件
c:?如一時不能修復(fù),應(yīng)向部門領(lǐng)導(dǎo)匯報,并告知應(yīng)用部門暫緩上傳數(shù)據(jù)
9、其他網(wǎng)絡(luò)故障應(yīng)急處理
(1)故障的發(fā)現(xiàn)
學(xué)校信息中心人員在接到故障或接到故障報告后,記錄故障發(fā)生的時間,發(fā)現(xiàn)部門,對故障進(jìn)行等級的初步判定,報告相關(guān)人員處理。
(2)對重大故障的處理
當(dāng)網(wǎng)絡(luò)管理人員發(fā)現(xiàn)如廣域鏈路突然中斷,核心路由(交換機)宕機。非法入侵及病毒入侵是網(wǎng)絡(luò)傳輸性能下降,系統(tǒng)關(guān)鍵服務(wù)器性能下降,嚴(yán)重影響正常業(yè)務(wù)運行時,網(wǎng)管人員應(yīng)及時記錄故障發(fā)生的時間,地點等,并立即上報主管領(lǐng)導(dǎo)。同時查清故障的影響范圍,從而確定故障的等級和發(fā)生故障的可能部位。和區(qū)運維及外包人員一起迅速解決問題。
(3)對一般故障的處理
一般故障應(yīng)及時記錄,確定故障等級及影響范圍,判定故障可能的部位。盡快解決故障。
(4)故障的記錄
在故障處理中,應(yīng)對其過程進(jìn)行詳細(xì)記錄,包括處理負(fù)責(zé)人,檢查的內(nèi)容和結(jié)果,對故障的判斷及處理辦法,以及故障處理過程中各步驟及執(zhí)行人員。
(5)請求外協(xié)支持
對于1小時以內(nèi)不能查清原因的重大故障,應(yīng)盡早聯(lián)系原廠商請求技術(shù)支持。
對于4小時內(nèi)無法解決的一般性故障,也應(yīng)聯(lián)系原廠商請求技術(shù)支持,并要將聯(lián)系外協(xié)支持的情況記錄在案。
(6)故障處理后的測試驗收
故障處理后,故障處理部門要進(jìn)行自測,如有可能請用戶進(jìn)行確認(rèn)。
(7)故障書面報告
對于重大故障和拖延時間較長的故障,在處理過后,應(yīng)對故障及處理的全過程以文字形式進(jìn)行報告。
對于一般故障處理,在維護(hù)日志中做完整的說明和記錄
故障報告應(yīng)包括以下幾方面的內(nèi)容:故障處理是否準(zhǔn)確和及時,有無明顯的失誤,有無違反規(guī)定的行為。學(xué)校信息中心領(lǐng)導(dǎo)對報告進(jìn)行審核
10、中心機房停電的應(yīng)急處理
(1)中心機房長時間停電
a:?登陸設(shè)備,備份數(shù)據(jù)
b:?記錄當(dāng)前設(shè)備端口狀態(tài)
c:?數(shù)據(jù)統(tǒng)一保存
e:?定時查看設(shè)備狀態(tài),記錄設(shè)備溫度
(2)
UPS?供電能力不足
征求學(xué)校信息中心領(lǐng)導(dǎo)同意后,關(guān)閉機房一些非關(guān)鍵應(yīng)用、功耗大的設(shè)備,?以滿足核心設(shè)備的正常運轉(zhuǎn)。
(3)設(shè)備應(yīng)溫度過高而重啟
如因溫度原因,導(dǎo)致設(shè)備不斷重啟,報告信息中心領(lǐng)導(dǎo),然后手動關(guān)閉設(shè)備,并用應(yīng)急降溫設(shè)備對設(shè)備進(jìn)行局部降溫。當(dāng)設(shè)備附近溫度低于30度,再手動開啟設(shè)備。并進(jìn)行數(shù)據(jù)檢查。對比當(dāng)前數(shù)據(jù)和備份數(shù)據(jù)是否一致。對比設(shè)備當(dāng)前端口狀態(tài)和停電前是否一致。對比當(dāng)前配置信息和備份前是否一致。如不一致,報告學(xué)校信息中心領(lǐng)導(dǎo),按設(shè)備故障處理。
11、機房漏水應(yīng)急處理
(1)發(fā)生漏水時,第一發(fā)現(xiàn)者應(yīng)及時通知學(xué)校信息中心。
(2)若空調(diào)系統(tǒng)出現(xiàn)滲漏水,應(yīng)及時通知總務(wù)處進(jìn)行處理,及時清除機房積水。
(3)若墻體或窗戶滲水,應(yīng)采取有效措施確保機房安全,同時通知總務(wù),及時清除積水。
12、設(shè)備發(fā)生被盜或認(rèn)為損害事件應(yīng)急處理
(1)發(fā)生設(shè)備被盜或人為損壞設(shè)備情況時,使用者或管理者應(yīng)及時報告學(xué)校信息中心領(lǐng)導(dǎo)并保護(hù)好現(xiàn)場
(2)
信息中心領(lǐng)導(dǎo)通知總務(wù),安保,一起審核現(xiàn)場情況,清點被盜物資或盤查人為損害情況,做好必要的影像記錄和文字記錄。
(3)發(fā)現(xiàn)人應(yīng)積極配合相關(guān)部門進(jìn)行調(diào)查,并將有關(guān)情況向?qū)W校信息中心領(lǐng)導(dǎo)匯報。
(4)信息中心人員及時恢復(fù)設(shè)備正常運行,并對事件進(jìn)行調(diào)查,必要時上報上一級部門
13、雷擊事故應(yīng)急處理
(1)遇強雷暴天氣或接上級部門強雷暴天氣預(yù)警,應(yīng)關(guān)閉所有服務(wù)器,切斷電源,暫停內(nèi)部計算機網(wǎng)絡(luò)工作。
(2)強雷暴天氣結(jié)束后,及時開通服務(wù)器,恢復(fù)計算機網(wǎng)絡(luò)工作。
(3)因雷擊造成的損失,應(yīng)及時進(jìn)行核實,報損。
(4)如設(shè)備因雷暴,雷擊影響,燒毀部件,應(yīng)及時聯(lián)系維保單位,進(jìn)行備件更換,并將詳細(xì)情況向部門領(lǐng)導(dǎo)匯報。
六、后期處理
1、善后處理
應(yīng)急處置工作結(jié)束后,根據(jù)事故發(fā)生的原因以及應(yīng)急處置中暴露出的管理,協(xié)調(diào)和技術(shù)問題,改進(jìn)和完善預(yù)案,總結(jié)經(jīng)驗教訓(xùn),整改存在的隱患。將故障處理文檔整理,形成知識庫進(jìn)行統(tǒng)一歸檔管理。
2、應(yīng)急預(yù)案更新
根據(jù)信息化快速發(fā)展和經(jīng)濟社會發(fā)展?fàn)顩r,配合相關(guān)法律法規(guī)的制定,結(jié)合應(yīng)急處置中暴露出的問題,修改和完善本預(yù)案。
七、應(yīng)急培訓(xùn)和演練
1、宣傳教育與培訓(xùn)
將信息網(wǎng)絡(luò)突發(fā)事件的應(yīng)急管理,工作流程等列為培訓(xùn)內(nèi)容,增強應(yīng)急處置能力。加強對信息網(wǎng)絡(luò)突發(fā)事件的技術(shù)準(zhǔn)備培訓(xùn),提高技術(shù)人員的防范意識及技能。應(yīng)對系統(tǒng)相關(guān)人員進(jìn)行培訓(xùn)使他們知道如何及何時使用應(yīng)急計劃中的控制手段及恢復(fù)策略。對應(yīng)急計劃的培訓(xùn)建議每年一次,擁有計劃規(guī)定職責(zé)的新雇員應(yīng)該在被雇傭后接受短期培訓(xùn)。和應(yīng)急計劃相關(guān)的人員所接受的培訓(xùn)最終應(yīng)使得他們能夠無需實際文檔的協(xié)助就能執(zhí)行相應(yīng)的恢復(fù)規(guī)程。應(yīng)急計劃培訓(xùn)主要包括以下內(nèi)容:計劃的目的,團(tuán)隊之間的協(xié)調(diào)與溝通,匯報規(guī)程,個人職責(zé)。
2、預(yù)案定期演練
為保證應(yīng)急相應(yīng)能力,學(xué)校積極配合區(qū)信息中心進(jìn)行應(yīng)急預(yù)案演練。