《信息应急预案管理》由会员分享,可在线阅读,更多相关《信息应急预案管理(7页珍藏版)》请在金锄头文库上搜索。
1、信息应急预案管理一、 信息系统应急预案组织机构1.领导小组工作职责(1)负责中学信息系统安全应急工作,确定并直接领导信息系统安全应急处置工作组。审定中学信息系统安全应急预案并组织实施,研究解决中学有关网络与信息系统安全的重大问题。领导小组下设处置工作组,其工作职责由信息中心承担。(2)领导小组的组成及成员电话姓名职务联系电话组长副组长成员(3)信息系统安全应急处置工作小组工作职责a)组长职责负责网络应急预案的启动,对网络设备故障全权组织进行应急处置。b)副组长职责协助组长对网络设备故障进行应急处置。负责确定合理的技术处理方案、制定应急处置方案。组长不在现场或不便履行职责时,行驶组长职责。c)应
2、急领导小组其他成员职责配合组长和副组长,实施应急处置工作。2.各供应商应急联系人姓名职务联系电话二、信息系统安全应急处置实施细则1、信息系统故障等级划分按照信息安全技术-信息系统安全等级保护基本要求,具体划分为四个等级,一级和二级故障为重大故障;三级和四级故障为一般性故障。(1)一级故障信息系统发生故障,预计将或已经严重影响核心系统业务,导致相关业务中断1小时以上,并预计24小时内无法恢复的,具备以下一个或几个特征,即定义为一级故障。a)学校专网核心出现故障,造成局域网用户不能访问核心服务器或不能访问广域网。b)信息中心web门户网站等关键服务器宕机或由其他原因导致拒绝提供服务的。c)学校中心
3、机房供电系统、集中空调系统等外围保障设施出现严重故障。d)病毒攻击造成中学局域网内感染大量客户端设备50台以上,导致关键业务系统和办公系统不能正常提供服务。e)利用技术手段,造成业务数据被修改、假冒、泄露、窃取的信息系统安全事件。(2)二级故障信息系统发生故障,预计将或已经严重影响中学系统业务,导致相关业务中断1小时以上,并预计24小时内可以恢复的,具备以下一个或几个特征,即定义为二级故障。a)学校分机房供电系统,精密空调、UPS等外围保障设施出现严重故障。b)病毒攻击造成网络感染大量客户端设备50台以内,导致关键业务系统和办公系统不能正常提供服务。c)12小时以内无法解决的三级故障。(3)三
4、级故障满足下列条件之一,即定义为三级故障。a)故障发生后,影响系统的运行效率,但不影响业务系统访问b)故障预计在12小时内修复c)24小时内无法解决的四级故障(4)四级故障a)故障发生后,可应急处理,不会影响系统运行,但是是一种隐患b)网络核心设备由于病毒等原因,造成偶尔掉包,但不影响系统正常访问和运行四、 应急响应特定文档及工具1、应急文档的备存(1)各类网络设备和服务器、计算机及其附属设备的型号、序列号等(2)硬件设备供应商、生产厂商的地淡化、联系人、网址(3)操作系统、关键业务应用软件开发商或供应商电话、联系人。(4)网络拓扑图(5)路由器、防火墙、入侵检测设备的配置文档、服务器登陆用户
5、及原始密码文档、(6)各类软件的技术文档及其他需要保存的文档2、应急设备及软件备存(1)正版操作系统启动盘、安装盘(2)正版防病毒软件(3)相关设备驱动程序(含主板、显卡、网卡等)及更新到最新的服务器注册表文件(4)备用网线,测网仪、螺丝刀等必要工具(5)其它必备应急工具五、应急处理预案1、电力故障的应急处理(1)外电中断后,应立即检查中心机房UPS电源是否正常供电,并查明中断原因,及时向信息中心负责人报告。(2)如因楼内线路故障,及时联系总务处尽快排查,迅速恢复供电。(3)如因供电部门因素导致供电中断,立即和供电部门联系,请求供电部门迅速恢复供电。(4)如告知需长时间停电,应作如下安排:i:
6、停电1小时以内,用UPS供电ii:停电1小时以上2小时以内,关掉非关键设备,确保各主机,路由器,交换机供电。iii:预计停电超过1小时,在设备运行1小时的时候关掉所有机器设备。(5)电力系统恢复供电后,按规定流程开启相关设备。2、消防系统应急处理出现火情,火灾,发现人员在最短时间内通知信息中心领导,总务。火情严重时,迅速拨打119报警,并尽可能采取一些简单可行的方法做初步处理,如:使用灭火器材或其它灭火措施,手段。及时疏散灾情范围内的工作人员。进展情况及时向信息中心领导汇报。(1)上班时间发生火警,听到消防警报后及时撤离,立即拨打119并说明尽量用气体灭火器灭火,减少电子设备损坏。(2)非工作
7、时间或节假日休息时间发生火警,应立刻向领导汇报与学校值班人员联系,确认火情。及时拨打119报警,并使用气体灭火器灭火,减少电子设备损失。(3)发生火警后,中心机房相关人员应马上赶赴现场,并向有关领导汇报。同时立即联系各设备供应商等相关公司,及时评估事故损失情况,研讨恢复网络系统正常运行的最佳解决方案。3、网络中断应急处理(1)故障排查:网络中断后,技术人员要迅速判断故障节点,查明故障原因;(2)故障排除:a:如属线路故障,应重新安排线路b:如属路由器,交换机等网络设备故障,技术人员应检修并调试通畅。如路由器、交换机配置文件损坏,应迅速重新配置。必要时,请有关供货单位,设备厂商协助调试通畅。c:
8、如需更换设备,应上报领导,批准后马上更换故障设备,尽快恢复系统运行。d:技术部无法修理时,应立即通知相关供应商及维护人员。(3)特殊情况,如故障判断、网络恢复需要1小时以上,技术人员应及时将相关情况汇报学校信息中心领导,并在领导同意情况下,采用紧急措施,绕过故障设备,先行恢复网络连通性,并及时联系供应商修复故障设备。(4)故障处理完毕,恢复正常后,应立即进行故障现象回归测试,测试结果确认无问题后,再进行总结评估,并将处理过程形成处理文档的知识库。4、黑客攻击应急处理(1)应急处理a:当发现有黑客攻击行为时,应立即向学校信息中心领导汇报,并向长宁区信息中心通报情况。b:运维人员应立即赶到现场,将
9、被攻击的服务器或其它设备从网络中隔离出来,必要时可以采取照片,截图等方式留存记录,保护现场。c:如事态较为严重,经向领导请示后,立即向公安部门报警,配合公安部门展开调查。d:技术人员做好被攻击或破坏后系统的恢复与重建工作。e:将实施事件处理的过程和结果备案存档,必要时向学校领导汇报。(2)修复处理a:记录系统状况b:立即复制系统登陆文件,历史文件,日志文件等重要文件c:修改防火墙、路由器等网络安全设备的过滤规则d:断开被攻击主机,关闭不必要的服务e:处理可疑的文件和程序f:修改不安全的系统账号及其口令g:恢复被修改的软件和数据h:安装相应的补丁程序,填补安全漏洞i:编写报告,详述事件过程及处理
10、步骤5、大规模病毒(含恶意软件)攻击的应急处理(1):当发现局域网中有大量计算机被感染上病毒后,计算机使用人员应立即上报学校信息中心(2):信息中心技术人员应立即将该机从网络上隔离开来c:对该设备的硬盘进行数据备份,并将防病毒软件的病毒特征库更新至最新版本d:用反病毒软件对该机进行杀毒处理,并对相关机器进行病毒扫描和清除工作。e:如发现反病毒软件无法清除该病毒,应向学校信息中心领导汇报,研究解决,通过分析病毒的特征行为,寻找病毒专杀工具进行查杀。f:情况较为严重的,已影响到信息系统的数据传输、应用系统访问不正常等情况,应及时向有关分管领导报告,按照信息系统故障等级划分,确定其故障等级,并启动相
11、应的应急处理程序进行排除。6、软件系统故障的应急处理a:软件系统平时必须存有备份,与软件系统相对应的数据必须有多日的备份,并将它们保存于安全处b:软件系统发生故障后,技术人员应立即向学校信息中心领导汇报,经确认后停止该系统的运行并切换至备份系统,保证业务正常运行。c:通知软件系统主要应用部门做好软件系统和有关数据的恢复工作e:检查日志等资料,确定故障原因f:将实施处理的过程和结果备案存档,并向有关领导汇报。7、数据库系统故障的应急处理a:数据库系统每日必须存有备份,与软件系统相对应的数据必须有多日的备份,并将它们保存与安全处b:数据库系统发生故障以后,技术人员立即向信息中心负责人汇报请示,经同
12、意后采用重启或其它手段尽快恢复数据库运行,保持业务不中断。c:做好数据系统切换和有关数据的恢复工作。d:检查日志等资料,确定故障原因e:将实施处理的过程和结果进行备案存档,并向有关领导汇报8、设备硬件故障的应急处理a:小型机,服务器等关键设备损坏后,技术人员应立即向学校信息中心负责人联系。b:查明原因,联系维保单位更换受损部件c:如一时不能修复,应向部门领导汇报,并告知应用部门暂缓上传数据9、其他网络故障应急处理(1)故障的发现学校信息中心人员在接到故障或接到故障报告后,记录故障发生的时间,发现部门,对故障进行等级的初步判定,报告相关人员处理。(2)对重大故障的处理当网络管理人员发现如广域链路
13、突然中断,核心路由(交换机)宕机。非法入侵及病毒入侵是网络传输性能下降,系统关键服务器性能下降,严重影响正常业务运行时,网管人员应及时记录故障发生的时间,地点等,并立即上报主管领导。同时查清故障的影响范围,从而确定故障的等级和发生故障的可能部位。和区运维及外包人员一起迅速解决问题。(3)对一般故障的处理一般故障应及时记录,确定故障等级及影响范围,判定故障可能的部位。尽快解决故障。(4)故障的记录在故障处理中,应对其过程进行详细记录,包括处理负责人,检查的内容和结果,对故障的判断及处理办法,以及故障处理过程中各步骤及执行人员。(5)请求外协支持对于1小时以内不能查清原因的重大故障,应尽早联系原厂
14、商请求技术支持。对于4小时内无法解决的一般性故障,也应联系原厂商请求技术支持,并要将联系外协支持的情况记录在案。(6)故障处理后的测试验收故障处理后,故障处理部门要进行自测,如有可能请用户进行确认。(7)故障书面报告对于重大故障和拖延时间较长的故障,在处理过后,应对故障及处理的全过程以文字形式进行报告。对于一般故障处理,在维护日志中做完整的说明和记录故障报告应包括以下几方面的内容:故障处理是否准确和及时,有无明显的失误,有无违反规定的行为。学校信息中心领导对报告进行审核10、中心机房停电的应急处理(1)中心机房长时间停电a:登陆设备,备份数据b:记录当前设备端口状态c:数据统一保存e:定时查看设备状态,记录设备温度(2) UPS供电能力不足征求学校信息中心领导同意后,关闭机房一些非关键应用、功耗大的设备,以满足核心设备的正常运转。(3)设备应温度过高而重启如因温度原因,导致设备不断重启,报告信息中心领导,然后手动关闭设备,并用
