首页 > 实用范文 > 应急预案
信息应急预案管理
编辑:青灯古佛 识别码:125-430717 应急预案 发布时间: 2023-04-25 13:05:22 来源:网络

信息应急预案管理

一、信息系统应急预案组织机构

1.领导小组工作职责

(1)负责中学信息系统安全应急工作,确定并直接领导信息系统安全应急处置工作组。审定中学信息系统安全应急预案并组织实施,研究解决中学有关网络与信息系统安全的重大问题。领导小组下设处置工作组,其工作职责由信息中心承担。

(2)领导小组的组成及成员电话

姓名

职务

联系电话

组长

副组长

成员

(3)信息系统安全应急处置工作小组工作职责

a)组长职责

负责网络应急预案的启动,对网络设备故障全权组织进行应急处置。

b)副组长职责

协助组长对网络设备故障进行应急处置。负责确定合理的技术处理方案、制定应急处置方案。组长不在现场或不便履行职责时,行驶组长职责。

c)应急领导小组其他成员职责

配合组长和副组长,实施应急处置工作。

2.各供应商应急联系人

姓名

职务

联系电话

二、信息系统安全应急处置实施细则

1、信息系统故障等级划分

按照《信息安全技术-信息系统安全等级保护基本要求》,具体划分为四个等级,一级和二级故障为重大故障;三级和四级故障为一般性故障。

(1)一级故障

信息系统发生故障,预计将或已经严重影响核心系统业务,导致相关业务中断1小时以上,并预计24小时内无法恢复的,具备以下一个或几个特征,即定义为一级故障。

a)学校专网核心出现故障,造成局域网用户不能访问核心服务器或不能访问广域网。

b)信息中心web门户网站等关键服务器宕机或由其他原因导致拒绝提供服务的。

c)学校中心机房供电系统、集中空调系统等外围保障设施出现严重故障。

d)病毒攻击造成中学局域网内感染大量客户端设备50台以上,导致关键业务系统和办公系统不能正常提供服务。

e)利用技术手段,造成业务数据被修改、假冒、泄露、窃取的信息系统安全事件。

(2)二级故障

信息系统发生故障,预计将或已经严重影响中学系统业务,导致相关业务中断1小时以上,并预计24小时内可以恢复的,具备以下一个或几个特征,即定义为二级故障。

a)学校分机房供电系统,精密空调、UPS等外围保障设施出现严重故障。

b)病毒攻击造成网络感染大量客户端设备50台以内,导致关键业务系统和办公系统不能正常提供服务。

c)12小时以内无法解决的三级故障。

(3)三级故障

满足下列条件之一,即定义为三级故障。

a)故障发生后,影响系统的运行效率,但不影响业务系统访问

b)故障预计在12小时内修复

c)24小时内无法解决的四级故障

(4)四级故障

a)故障发生后,可应急处理,不会影响系统运行,但是是一种隐患

b)网络核心设备由于病毒等原因,造成偶尔掉包,但不影响系统正常访问和运行

四、应急响应特定文档及工具

1、应急文档的备存

(1)各类网络设备和服务器、计算机及其附属设备的型号、序列号等

(2)硬件设备供应商、生产厂商的地淡化、联系人、网址

(3)操作系统、关键业务应用软件开发商或供应商电话、联系人。

(4)网络拓扑图

(5)路由器、防火墙、入侵检测设备的配置文档、服务器登陆用户及原始密码文档、(6)各类软件的技术文档及其他需要保存的文档

2、应急设备及软件备存

(1)正版操作系统启动盘、安装盘

(2)正版防病毒软件

(3)相关设备驱动程序(含主板、显卡、网卡等)及更新到最新的服务器注册表文件

(4)备用网线,测网仪、螺丝刀等必要工具

(5)其它必备应急工具

五、应急处理预案

1、电力故障的应急处理

(1)外电中断后,应立即检查中心机房UPS电源是否正常供电,并查明中断原因,及时向信息中心负责人报告。

(2)如因楼内线路故障,及时联系总务处尽快排查,迅速恢复供电。

(3)如因供电部门因素导致供电中断,立即和供电部门联系,请求供电部门迅速恢复供电。

(4)如告知需长时间停电,应作如下安排:

i:停电1小时以内,用UPS供电

ii:停电1小时以上2小时以内,关掉非关键设备,确保各主机,路由器,交换机供电。

iii:预计停电超过1小时,在设备运行1小时的时候关掉所有机器设备。

(5)电力系统恢复供电后,按规定流程开启相关设备。

2、消防系统应急处理

出现火情,火灾,发现人员在最短时间内通知信息中心领导,总务。火情严重时,迅速拨打119报警,并尽可能采取一些简单可行的方法做初步处理,如:使用灭火器材或其它灭火措施,手段。及时疏散灾情范围内的工作人员。进展情况及时向信息中心领导汇报。

(1)上班时间发生火警,听到消防警报后及时撤离,立即拨打119 并说明尽量用气体灭火器灭火,减少电子设备损坏。

(2)非工作时间或节假日休息时间发生火警,应立刻向领导汇报与学校值班人员联系,确认火情。及时拨打119报警,并使用气体灭火器灭火,减少电子设备损失。

(3)发生火警后,中心机房相关人员应马上赶赴现场,并向有关领导汇报。同时立即联系各设备供应商等相关公司,及时评估事故损失情况,研讨恢复网络系统正常运行的最佳解决方案。

3、网络中断应急处理

(1)故障排查:网络中断后,技术人员要迅速判断故障节点,查明故障原因;

(2)故障排除:

a:如属线路故障,应重新安排线路

b:  如属路由器,交换机等网络设备故障,技术人员应检修并调试通畅。如路由器、交换机配置文件损坏,应迅速重新配置。必要时,请有关供货单位,设备厂商协助调试通畅。

c:如需更换设备,应上报领导,批准后马上更换故障设备,尽快恢复系统运行。

d: 技术部无法修理时,应立即通知相关供应商及维护人员。

(3)特殊情况,如故障判断、网络恢复需要1小时以上,技术人员应及时将相关情况汇报学校信息中心领导,并在领导同意情况下,采用紧急措施,绕过故障设备,先行恢复网络连通性,并及时联系供应商修复故障设备。

(4)故障处理完毕,恢复正常后,应立即进行故障现象回归测试,测试结果确认无问题后,再进行总结评估,并将处理过程形成处理文档的知识库。

4、黑客攻击应急处理

(1)应急处理

a:当发现有黑客攻击行为时,应立即向学校信息中心领导汇报,并向长宁区信息中心通报情况。

b: 运维人员应立即赶到现场,将被攻击的服务器或其它设备从网络中隔离出来,必要时可以采取照片,截图等方式留存记录,保护现场。

c: 如事态较为严重,经向领导请示后,立即向公安部门报警,配合公安部门展开调查。

d: 技术人员做好被攻击或破坏后系统的恢复与重建工作。

e: 将实施事件处理的过程和结果备案存档,必要时向学校领导汇报。

(2)修复处理

a: 记录系统状况

b: 立即复制系统登陆文件,历史文件,日志文件等重要文件

c: 修改防火墙、路由器等网络安全设备的过滤规则

d: 断开被攻击主机,关闭不必要的服务

e: 处理可疑的文件和程序

f: 修改不安全的系统账号及其口令

g: 恢复被修改的软件和数据

h: 安装相应的补丁程序,填补安全漏洞

i:  编写报告,详述事件过程及处理步骤

5、大规模病毒(含恶意软件)攻击的应急处理

(1): 当发现局域网中有大量计算机被感染上病毒后,计算机使用人员应立即上报学校信息中心

(2): 信息中心技术人员应立即将该机从网络上隔离开来

c: 对该设备的硬盘进行数据备份,并将防病毒软件的病毒特征库更新至最新版本

d: 用反病毒软件对该机进行杀毒处理,并对相关机器进行病毒扫描和清除工作。

e: 如发现反病毒软件无法清除该病毒,应向学校信息中心领导汇报,研究解决,通过分析病毒的特征行为,寻找病毒专杀工具进行查杀。

f: 情况较为严重的,已影响到信息系统的数据传输、应用系统访问不正常等情况,应及时向有关分管领导报告,按照信息系统故障等级划分,确定其故障等级,并启动相应的应急处理程序进行排除。

6、软件系统故障的应急处理

a: 软件系统平时必须存有备份,与软件系统相对应的数据必须有多日的备份,并将它们保存于安全处

b: 软件系统发生故障后,技术人员应立即向学校信息中心领导汇报,经确认后停止该系统的运行并切换至备份系统,保证业务正常运行。

c: 通知软件系统主要应用部门做好软件系统和有关数据的恢复工作

e: 检查日志等资料,确定故障原因

f: 将实施处理的过程和结果备案存档,并向有关领导汇报。

7、数据库系统故障的应急处理

a: 数据库系统每日必须存有备份,与软件系统相对应的数据必须有多日的备份,并将它们保存与安全处

b: 数据库系统发生故障以后,技术人员立即向信息中心负责人汇报请示,经同意后采用重启或其它手段尽快恢复数据库运行,保持业务不中断。

c: 做好数据系统切换和有关数据的恢复工作。

d: 检查日志等资料,确定故障原因

e: 将实施处理的过程和结果进行备案存档,并向有关领导汇报

8、设备硬件故障的应急处理

a:小型机,服务器等关键设备损坏后,技术人员应立即向学校信息中心负责人联系。

b: 查明原因,联系维保单位更换受损部件

c: 如一时不能修复,应向部门领导汇报,并告知应用部门暂缓上传数据

9、其他网络故障应急处理

(1)故障的发现

学校信息中心人员在接到故障或接到故障报告后,记录故障发生的时间,发现部门,对故障进行等级的初步判定,报告相关人员处理。

(2)对重大故障的处理

当网络管理人员发现如广域链路突然中断,核心路由(交换机)宕机。非法入侵及病毒入侵是网络传输性能下降,系统关键服务器性能下降,严重影响正常业务运行时,网管人员应及时记录故障发生的时间,地点等,并立即上报主管领导。同时查清故障的影响范围,从而确定故障的等级和发生故障的可能部位。和区运维及外包人员一起迅速解决问题。

(3)对一般故障的处理

一般故障应及时记录,确定故障等级及影响范围,判定故障可能的部位。尽快解决故障。

(4)故障的记录

在故障处理中,应对其过程进行详细记录,包括处理负责人,检查的内容和结果,对故障的判断及处理办法,以及故障处理过程中各步骤及执行人员。

(5)请求外协支持

对于1小时以内不能查清原因的重大故障,应尽早联系原厂商请求技术支持。

对于4小时内无法解决的一般性故障,也应联系原厂商请求技术支持,并要将联系外协支持的情况记录在案。

(6)故障处理后的测试验收

故障处理后,故障处理部门要进行自测,如有可能请用户进行确认。

(7)故障书面报告

对于重大故障和拖延时间较长的故障,在处理过后,应对故障及处理的全过程以文字形式进行报告。

对于一般故障处理,在维护日志中做完整的说明和记录

故障报告应包括以下几方面的内容:故障处理是否准确和及时,有无明显的失误,有无违反规定的行为。学校信息中心领导对报告进行审核

10、中心机房停电的应急处理

(1)中心机房长时间停电

a: 登陆设备,备份数据

b: 记录当前设备端口状态

c: 数据统一保存

e: 定时查看设备状态,记录设备温度

(2)

UPS 供电能力不足

征求学校信息中心领导同意后,关闭机房一些非关键应用、功耗大的设备, 以满足核心设备的正常运转。

(3)设备应温度过高而重启

如因温度原因,导致设备不断重启,报告信息中心领导,然后手动关闭设备,并用应急降温设备对设备进行局部降温。当设备附近温度低于30度,再手动开启设备。并进行数据检查。对比当前数据和备份数据是否一致。对比设备当前端口状态和停电前是否一致。对比当前配置信息和备份前是否一致。如不一致,报告学校信息中心领导,按设备故障处理。

11、机房漏水应急处理

(1)发生漏水时,第一发现者应及时通知学校信息中心。

(2)若空调系统出现渗漏水,应及时通知总务处进行处理,及时清除机房积水。

(3)若墙体或窗户渗水,应采取有效措施确保机房安全,同时通知总务,及时清除积水。

12、设备发生被盗或认为损害事件应急处理

(1)发生设备被盗或人为损坏设备情况时,使用者或管理者应及时报告学校信息中心领导并保护好现场

(2)

信息中心领导通知总务,安保,一起审核现场情况,清点被盗物资或盘查人为损害情况,做好必要的影像记录和文字记录。

(3)发现人应积极配合相关部门进行调查,并将有关情况向学校信息中心领导汇报。

(4)信息中心人员及时恢复设备正常运行,并对事件进行调查,必要时上报上一级部门

13、雷击事故应急处理

(1)遇强雷暴天气或接上级部门强雷暴天气预警,应关闭所有服务器,切断电源,暂停内部计算机网络工作。

(2)强雷暴天气结束后,及时开通服务器,恢复计算机网络工作。

(3)因雷击造成的损失,应及时进行核实,报损。

(4)如设备因雷暴,雷击影响,烧毁部件,应及时联系维保单位,进行备件更换,并将详细情况向部门领导汇报。

六、后期处理

1、善后处理

应急处置工作结束后,根据事故发生的原因以及应急处置中暴露出的管理,协调和技术问题,改进和完善预案,总结经验教训,整改存在的隐患。将故障处理文档整理,形成知识库进行统一归档管理。

2、应急预案更新

根据信息化快速发展和经济社会发展状况,配合相关法律法规的制定,结合应急处置中暴露出的问题,修改和完善本预案。

七、应急培训和演练

1、宣传教育与培训

将信息网络突发事件的应急管理,工作流程等列为培训内容,增强应急处置能力。加强对信息网络突发事件的技术准备培训,提高技术人员的防范意识及技能。应对系统相关人员进行培训使他们知道如何及何时使用应急计划中的控制手段及恢复策略。对应急计划的培训建议每年一次,拥有计划规定职责的新雇员应该在被雇佣后接受短期培训。和应急计划相关的人员所接受的培训最终应使得他们能够无需实际文档的协助就能执行相应的恢复规程。应急计划培训主要包括以下内容:计划的目的,团队之间的协调与沟通,汇报规程,个人职责。

2、预案定期演练

为保证应急相应能力,学校积极配合区信息中心进行应急预案演练。

信息应急预案管理
TOP