信息化系统安全事件突发事件重大事件应急预案应急保障机制事件处理流程工作台流程.docx

1、信息化系统安全事件突发事件重大事件应急预案应急保障机制事件处理流程工作台流程ITSS运维事件应急预案1大事件、安全事件及应急预案为提高应对信息系统在运行过程中出现的各种突发事件的应急处置能力，有效预防和最大程度地降低信息系统各类突发事件的危害和影响，保障信息系统安全、稳定运行，根据国家信息安全事件分类分级指南、信息技术、安全技术、信息安全事件管理指南、国家突发公共事件总体应急预案及有关法律、法规的规定，结合道路运输事务中心实际，制定本处理预案。本处理预案所称的信息系统，由计算机设备、网络设施、计算机软件、数据中心等组成。应急保障内容信息系统突发事件分为网络攻击事件、信息破坏事件、信息内容安全事

2、件、网络故障事件、软件系统故障事件、灾难性事情、其他事件等八类事件。（1）网络攻击事件：通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的事件。（2）信息破坏事件：通过网络或其他技术手段，造成信息系统中的数据被篡改、假冒、泄漏等而导致的事件。（3）信息内容安全事件：利用信息网络发布、传播危害国家安全、社会稳定和公共利益的不良信息内容的事件。（4）网络故障事件：因电信、网络设备等原因造成大部分网络线路中断，用户无法登录信息系统的事件。（5）服务器故障事件：因系统服务器故障而导致的信息系统无法运行

3、的事件。（6）软件故障事件：因系统软件或应用软件故障而导致的信息系统无法运行的事件。（7）灾害性事件：因不可抗力对信息系统造成物理破坏而导致的事件。（8）其他突发事件：不能归为以上七个基本分类，并可能造成信息系统异常或对信息系统当前运行造成潜在危害的事件。按照造成信息系统的中断运行时间，将信息系统突发事件级别划分为一般（IV级）、较大（III级）、重大（II级）、特别重大（I级）。（1）特别重大突发事件（I级）：30分钟响应，24小时-30小时解决故障；（2）重大突发事件（II级）：30分钟内响应，12-24小时解决故障；（3）较大突发事件（III级）：30分钟响应，6-12小时解决故障；（4

4、）一般故障（IV级）：30分钟内响应，6小时内解决故障。应急保障方式预测预警机制建立应急小组针对各种可能发生的信息系统突发事件，建立和完善预测预警机制。预警信息分为外部预警信息和内部预警信息两类。外部预警信息指信息系统外突发的可能需要通信保障、安全防范，或可能对信息系统产生重大影响的事件警报。内部预警信息指信息系统网内的事故征兆或局部信息系统突发事故可能对其他或整个网络造成重大影响的事件警报。应急小组须加强对信息系统的日常监测工作。监测的内容主要包括： （1）局域网通讯性能与流量；（2）网络设备和安全设备的操作记录、网络访问记录；（3）服务器性能、数据库性能、应用系统性能等运行状态，以及备份存

5、贮系统状态等；（4）服务器操作系统、数据库安全审计记录、业务系统安全审计记录；（5）计算机漏洞公告、网络漏洞扫描报告；（6）病毒公告、防病毒系统报告；（7）其他可能影响信息系统的预警内容。 应急小组获得外部重大预警信息或通过监测获得内部预警信息后，应对预警信息加以分析，按照早发现、早报告、早处置的原则，对可能演变为严重事件的情况，部署相应的应对措施，通知相关部门做好预防和保障应急工作的各项准备工作，并及时报告领导。常规应急保障方式排查与诊断故障排查与诊断的流程包含以下内容：（1）现场负责人调度处置人员进行现场故障排查；（2）现场处置人员进行故障排查和诊断，必要时可寻求组织其他人员以现场或远程方

6、式进行支持，在此过程中可借助各类排查诊断分析工具，如应用软件、电子分析工具、故障排查知识库等；（3） 现场处置人员将随时向现场负责人汇报故障排查情况、诊断信息、故障定位结果等；（4） 将排查与诊断的过程与结果信息进行整理与归档。问题沟通与确认处置过程中，现场负责人将及时与相关利益方进行沟通，沟通的内容主要包括系统故障点、造成故障的原因、排查诊断状况等。现场负责人将组织相关利益方对问题进行确认。问题确认过程不应延误处理与恢复工作的开展。处理与恢复基于应急响应预案、配置管理数据库、知识库等进行故障处理和系统恢复，处理与恢复的原则包括：（1）在满足事件级别处置时间要求的前提下，尽快恢复服务；（2）采

7、用的方法、手段不会造成次生、衍生事件的发生。必要时可启用备品备件、灾备系统等。同时对过程及结果信息进行记录，并及时告知相关利益方。现场负责人将组织对处理与恢复的结果进行初步确认。事件升级组织建立、审议应急事件升级的策略和程序，以控制应急事件升级的授权和实施。当实际处置时间超过事件级别处置时间要求时，将作为事件升级的参考要素。组织将对事件升级可能造成的影响进行评估，并在相关利益方之间达成一致。升级内容包含预案调整、人员调整、资金调整以及设备调整。事件升级的实施授权由现场负责人启动。同时对事件升级的过程和结果信息进行整理与归档。现场负责人将向相关利益方通报事件升级信息，内容应包括：（1） 事件升级

8、的原因；（2） 事件升级后的级别；（3）事件升级后与之对应的预案；（4）对升级事件处置过程及结果的报告要求，如：报告程序、报告对象、报告内容、报告频率等；（5）信息通报的范围和涉及的接受者。信息通报将选择适当的方式，如电话、邮件、传真、书面文件等形式。事件升级信息应作为处理与恢复的参考要素。持续服务完成处理与恢复后，将组织运行维护人员提供持续性服务。组织将对持续性服务的效果进行评价。持续服务的评价结果，其作为应急事件关闭的输入。事件关闭（1）申请：组织将建立、审议事件关闭的策略和程序，以控制事件关闭的授权和实施。将对应急事件处置的过程文档进行整理。事件关闭申请由相关的分组负责人提出，并提交相关

9、文档资料。事件关闭申请和文档资料，其作为事件关闭核实的参考要素。（2）核实：现场负责人接到事件关闭申请后，将逐项核实报告内容，以判别应急事件处置过程和结果信息是否属实。（3）调查和取证：当应急事件涉及到责任认定、赔偿或诉讼时，将收集、保留和呈递证据。证据可能用于：1）内部问题分析；2）用作合同违约或其他纠纷的法律取证；3）与相关方谈判赔偿事宜。（4）关闭通报：组织建立、审议应急事件关闭通报制度。现场负责人将向相关利益方通报事件关闭信息，内容应包括：1） 事件发生的原因、事件级别及影响范围；2） 事件对应的预案；3） 事件的处置过程和方法；4） 事件的调整升级情况；5） 持续性服务情况；6） 事

10、件处置评价；7） 事件关闭申请的处理意见；8） 关闭通报的范围和涉及接受者。应急事件发生的原因、处置过程和方法记入知识库。紧急应急保障方式（1）病毒入侵应急处置1）发现不良信息或网络病毒时，信息系统管理员应立即断开网线，终止不良信息或网络病毒传播，并报告指挥调度中心运维服务小组。2）运维服务小组应根据系统突发故障应急领导小组指令，采取隔离网络等措施，及时杀毒或清除不良信息，并追查不良信息来源。3）事态或后果严重的，及时向业主和相关领导汇报。4）处置结束后,运维服务小组应将事发经过、造成影响、处置结果在调查工作结束后一日内书面报告系统突发故障用户。（2）恶意攻击应急处置1）当发现网络被非法入侵、

11、网页内容被篡改，应用服务器上的数据被非法拷贝、修改、删除，或通过入侵检测系统发现有黑客正在进行攻击时，使用者或管理者应断开网络，并立即报告系统突发故障应急领导小组。2）接报告后，系统突发故障应急领导小组应立即指令运维服务小组核实情况，关闭服务器或系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登陆帐号，阻断可疑用户进入网络的通道。3）运维服务小组应及时清理系统，恢复数据、程序，恢复系统和网络正常；情况严重的，应向广州市萝岗区城市视频监控系统应急指挥办公室和相关领导汇报，并请求支援。4）处置结束后，运维服务小组应将事发经过、处置结果等在调查工作结束后一日内报告系统突发故障应急领导小组。（3

12、）网页篡改应急处置1）当发现信息被篡改、假冒、泄漏等事件时，信息系统使用单位或个人应立即通知应急小组。2）如被篡改或被假冒的数据正在征缴或发放过程中，应急小组应立即通知代收代发机构中止征缴或发放工作。3）通过跟踪应用程序、查看数据库安全审计记录和业务系统安全审计记录查找信息被破坏的原因和相关责任人。4）提出修正错误方案和措施，通知各业务部室进行处理5）当发现不良信息或网络病毒时，系统使用人员立即断开网线，终止不良信息或网络病毒传播，并报告应急小组。6）根据情况通告局域网内所有计算机用户，隔离网络，指导各计算机操作人员进行杀毒处理、清除不良信息，直至网络处于安全状态软件紧急保障方式软件系统及数据

13、遭破坏性攻击常见故障事件列举如下：（1）系统应用不能正常运行（2）应用进程异常（3）系统应用无法启动（4）系统应用响应缓慢或无响应（5）业务访问异常报错（6）业务访问流量异常下降（7）业务访问成功率异常下降（8）用户无法登陆应用界面（9）用户连接应用异常报错（10）应用服务队列堵塞（11）应用出现大量繁忙，交易时间延长（12）应用共享空间异常（13）应用处理性能下降（14）部分分行应用堵塞，无法连接总行（15）某类特定交易成功率异常（16）某类特定交易流量异常下降解决方法：（1）发生应用软件系统故障后，系统使用人员应立即保存数据，停止该计算机的业务操作，并将情况报告应急小组，不得擅自进行处理。

14、（2）将立刻派出技术人员进行处理，必要情况下，通知各业务部门停止业务操作和对系统数据进行备份。（3）组织有关人员在保持原始数据安全的情况下，对应用软件系统进行修复；修复系统成功后，利用备份数据恢复丢失的数据。外网中断紧急保障外网中断常见故障事件列举如下：（1）外联节点网络异常中断（2）网络外联服务不可用（3）AP与DB间网络异常或不可用（4）WEB与AP间网络异常或不可用（5）网络端口流量异常升高/下降（6）防火墙连接数异常（7）IP地址异常或出现冲突（8）数据传输中出现异常丢包（9）病毒爆发，堵塞网络（10）网络被攻击，不可用（11）F5服务异常或报错解决办法：（1）发生网络故障时，首先检查

15、机房设备情况，确定网络故障的原因。（2）确认原因后，首先启动备用线路和设备，保证网络的正常运行。然后联系网络维护人员，及时处理和排除故障。（3）当确认原因为短时间无法恢复，应该及时向负责领导汇报，并向业主相关部门汇报。然后再联系维护人员，及时处理故障。（4）当人为或病毒破坏的故障发生时，具体按以下顺序进行：判断破坏的来源及性质，断开影响安全与稳定的信息网络设备，断开与破坏来源的物理网络连接，跟踪并锁定破坏的来源和其他网络用户信息，修复被破坏的信息，恢复系统。（5）在确认安全的情况下，重新启动故障服务系统：若重启系统成功，则检查数据丢失情况利用备份数据恢复；若重启失败，立即联系公司相关部门，请求

16、技术支持，做好技术处理。处置结束后，技术人员应将处理过程记录下来，以方便日后对此问题的处理。内网中断紧急保障局域网中断原因分析及处置措施如下：（1）有故障时先查网卡在局域网中，网络不通的现象是常有发生，一旦遇到类似这样的问题时，我们首先应该认真检查各连入网络的机器中，网卡设置是否正常。检查时，我们可以用鼠标依次打开“控制面板/系统/设备管理/网络适配器”设置窗口，在该窗口中检查一下有无中断号及I/O地址冲突（最好将各台机器的中断设为相同，以便于对比），直到网络适配器的属性中出现“该设备运转正常”，并且在“网上邻居”中至少能找到自己，说明网卡的配置没有问题。（2）确认网线和网络设备工作正常当我们

17、检查网卡没有问题时，此时我们可以通过网上邻居来看看网络中的其他计算机，如果还不能看到网络中的其他机器，这种情况说明可能是由于网络连线中断的问题。网络连线故障通常包括网络线内部断裂，双绞线、RJ-45水晶头接触不良，或者是网络连接设备本身质量有问题，或是连接有问题。这时，我们可以使用测线仪来检测一下线路是否断裂，然后用替代的方法来测试一下网络设备的质量是否有问题。在网线和网卡本身都没有问题的情况下，我们再看一看是不是软件设置方面的原因，例如如果中断号不正确也有可能导致故障出现。（3）检查驱动程序是否完好对硬件进行了检查和确认后，再检查驱动程序本身是否损坏，如果没有损坏，看看安装是否正确。如果这些

18、可以判断正常，设备也没有冲突，就是不能连入网络，这时候可以将网络适配器在系统配置中删除，然后重新启动计算机，系统就会检测到新硬件的存在，然后自动寻找驱动程序再进行安装。（4）正确对网卡进行设置在确定网络介质没有问题，但还是不能接通的情况下，再返回网卡设置中。看看是否有设备资源冲突，有许多时候冲突也不是都有提示的。可能发生的设备资源冲突有:NE2000兼容网卡和COM2有冲突，都使用IRQ3，(Realtek RT8029)PCI Ethernet 网卡和显示卡都“喜欢”IRQ10。为了解决这种设备的冲突，我们可以按照如下操作步骤来进行设置:首先在设置窗口中将COM2屏蔽，并强行将网卡中断设为3

19、;如果遇到PCI接口的网卡和显卡发生冲突时，我们可以采用不分配IRQ给显示卡的办法来解决，就是将CMOS中的 Assign IRQ for VGA 一项设置为“Disable”。（5）禁用网卡的PnP功能有的网卡虽然支持PnP功能，但安装好后发现并不能好好地工作，甚至不能工作。为此，我们可以采用屏蔽网卡的PnP功能的方法来解决这一故障。要想禁用网卡的PnP功能，就必须运行网卡的设置程序(一般在驱动程序包中)。在启动设置程序后，进入设置菜单。禁用网卡的PnP功能，并将可以设置的IRQ一项修改为一个固定的值。保存该设置并退出设置程序，这样如果没有其他的设备占用该IRQ，可以保证不会出现IRQ冲突。

20、另外，如果要安装Windows 操作系统，必须保证操作系统不会将对应的中断类型作为具有PnP功能的IRQ进行处理，所以要在“CMOS”中将该中断的类型由“PCI/ISA PnP”修改为“Legacy ISA”。使用该方法可以解决大多数PnP网卡的设备冲突，但不一定对所有的PCI网卡都有效，因为有些网卡的设置程序根本就不提供禁用PnP功能选项。 （6）合理设置服务器的硬盘使用局域网办公的用户，经常会使用网络来打印材料和访问文件。由于某种原因，网络访问的速度可能会不正常，这时我们往往会错误地认为导致网速降低的原因可能是网络中的某些设备发生了瓶颈，例如网卡、交换机、集线器等，其实对网速影响最大的还是

21、服务器硬盘的速度。因此正确地配置好局域网中服务器的硬盘，将对整个局域网中的网络性能有很大的改善。通常，我们在设置硬盘时需要考虑以下几个因素:服务器中的硬盘应尽量选择转速快，容量大的那种，因为硬盘转速快，通过网络访问服务器上的数据的速度也越快;服务器中的硬盘接口最好是SCSI型号的，因为该接口比IDE或EIDE接口传输数据时速度要快，它采用并行传输数据的模式来发送和接受数据的;如果条件允许的话，我们可以给网络服务器安装硬盘阵列卡，因为硬盘阵列卡能较大幅度地提升硬盘的读写性能和安全性;当然在这里大家还要注意的是，在同一SCSI通道，不要将低速SCSI设备（如CD）与硬盘共用，否则硬盘的SCSI接口

22、高速传输数据的性能将得不到发挥。（7）按规则进行连线连接局域网中的每台计算机都是用双绞线来实现的，但是并不是用双绞线把两台计算机简单地相互连接起来，就能实现通信目的的，我们必须按照一定的连线规则来进行连线。双绞线的连接距离不能超过100米，如果需要连接超过100米的两台计算机时，必须使用转换设备。在连接转换设备和交换机时，我们还必须进行跳线。这是因为以太网中，一般是使用两对双绞线，排列在1、2、3、6的位置，如果使用的不是两对线，而是将原配对使用的线分开使用，就会产生较大的串扰，对网络性能造成较大影响。10M网络环境这种情况不明显，100M的网络环境下如果流量大或者距离长，网络就会无法联通。（

23、8）严格执行接地要求由于在局域网中，传输的都是一些弱信号，如果操作稍有不当或者没有按照网络设备的具体操作要求来办的话，就可能在连网中出现干扰信息，严重的能导致整个网络不通;特别是一些网络转接设备，由于涉及到远程线路，它对接地的要求非常严格，否则该网络设备将达不到规定的连接速率，从而在联网的过程中产生各种莫名其妙的故障现象，给我们的工作带来很大的麻烦。（9）使用质量好、速度快的新式网卡在局域网中，计算机与计算机之间不能通信是很常见的事情，引起的故障原因可能有很多。统计表明，局域网中出现的故障大部分与网卡有关，或者是网卡没有正确安装好，或者是网络线接触不良，也有可能是网卡比较旧，不能被计算机正确识

24、别，另外也有的网卡安装在服务器中，经受不住大容量数据的冲击，最终报废等。应急资源配置应急资源配置主要根据ITSS信息技术服务 运行维护 第三部分：应急响应规范划分的级别等级要求的响应和解决时间配置不同的资源，事件划分等级如下：特别重大突发事件（I级）：30分钟响应，24小时-30小时解决故障；重大突发事件（II级）：30分钟内响应，12-24小时解决故障；较大突发事件（III级）：30分钟响应，6-12小时解决故障；其他故障（IV级）：30分钟内响应，6小时内解决故障。应急资源配置主要是按照各类应急预案资源需求，以及应急处置过程中的资源实际情况进行合理调配使用。为了能够满足应急情况下的资源及时

25、调配，我公司非常重视应急资源的日常管理，主要包括物资管理、机构与队伍管理、专家管理、知识库管理、社会应急物资管理、信息资源管理、调拨管理等功能。图 应急资源管理物资管理（1）应急物资管理应急资源库管理可实现应急资源库信息的添加、修改、删除。物资储备管理物资类别管理：可实现物资分类标准的添加、修改、删除。物资编号管理：可实现物资编号分类规则的添加、修改、删除。物资储备信息管理：可实现各类应急资源库中储备的各类应急物资基本信息的添加、修改、删除、查询。（2）应急装备库管理应急装备库管理应急装备库信息管理：可实现应急装备库信息的添加、修改、删除。装备储备管理可实现各类应急装备库中储备的各类应急物资基

26、本信息的添加、修改、删除、查询。（3）应急队伍管理组织机构管理可实现各类应急队伍所在组织机构信息的添加、修改、删除管理。人员管理可实现各类专业队伍人员信息的添加、修改、删除、查询管理。机构与队伍管理组织机构管理可实现各类应急队伍所在组织机构信息的添加、修改、删除管理。队伍人员管理可实现各类专业队伍人员信息的添加、修改、删除、查询管理。专家管理应急专家管理是日常管理人员对专家信息的维护，包括新增、修改、删除基本操作。可实现应急专家信息的添加、修改、查询管理，生成应急专家通讯录。知识库管理知识库管理主要包含法律法规库以及案例库管理。1. 法律法规库可对协调联动和应急相关的法律法规、政策规定、标准规

27、范进行统一管理，形成应急知识库，在突发事件处置时可自动调取与事件有关的知识库内容作为处置参考。提供知识库文件的录入、编辑、删除、查询等功能。2. 案例库管理处置结束的突发事件在归档后自动进入案例库，可通过事件类型、时间、标题等条件进行案例库查询，可对处置案例内容进行查看，可将有参考价值的处置案例设置为典型案例。社会应急资源管理（1）采购管理采购管理实现供应商管理、询价管理、采购申请、采购审核、采购入库等。（2）社会队伍征用管理社会队伍征用管理包括征用协议管理、征用信息管理、征用补偿管理等。信息资源管理信息资源管理主要实现数字化预案、数字化案例、专家信息管理、联动单位信息管理等。（1）数字化预案

28、可实现预案的数字化管理，包括添加、修改、删除、查询等操作。（2）数字化案例可实现历史典型路段、典型公路抢通处置案例的数字化管理，并可实现历史案例的添加、修改、删除、查询。（3）专家信息管理可实现应急专家信息的添加、修改、查询管理，生成应急专家通讯录。（4）联动单位信息管理可实现应急组织体系内相关单位和个人通信方式的统一管理，包括信息的添加、修改、查询功能，生成联动单位通讯录。调拨管理调拨管理实现调拨申请单管理、调拨审核管理、资源划拨管理等功能。（1）调拨申请单管理调拨申请模板管理包括两种：内部资源调拨申请、外部资源调拨申请。内部资源调拨模板管理：可实现各类应急资源调拨申请模板的添加、修改、删除

29、。外部资源调拨模板管理：可实现各类应急资源调拨申请模板的添加、修改、删除。调拨申请单填写可根据资源申请为内部还是外部，选择调度申请单模板，并根据填写要求，完成调度申请单据的填写。调拨申请单提交在调拨申请单填写完成后，根据各单位资源调拨申请审核制度，以系统内邮件方式，提交相应的人员，等待审核。（2）调拨审核管理审核部门设置可根据资源调拨制度，设定各部门自己的资源调拨申请审核部门和人员。在线审核可实现在线审核，在多个审核部门或人员的情况下，当本级审核通过后，系统可自动通知上一级审核部门或人员，以便及时开展下一步审核工作。可实现各级审核部门和人员审核意见的自动记录。（3）资源划拨管理调拨申请获准后，

30、可实现划拨单的生成，并可根据需要，手动修改划拨的数量等信息。已有资源库的储备资源数量在划拨后自动减少。应急保障计划应急响应程序信息系统使用单位或人员发现信息系统突发事件后，应及时报告应急小组。应急小组及时组织相关人员查找故障原因，在短时间内（一般要在半小时以内）依据故障情形和修复时间进行初步判别，确定故障分类级别，较大（III级）及其以上的突发事件应报告领导。信息系统突发事件发生后，根据突发事件严重程度，由领导决定并指定特定小组或人员及时向新闻媒体发布相关信息，所指定的小组或人员应严格按照领导规定及要求对外发布信息，其他部门或个人不得擅自接受新闻媒体采访或对外发布自己的看法和意见。发生较大（I

31、II级）及其以上信息系统突发事件时，应急小组除向领导报告外，应立即通知各业务处室。各业务处室应在各业务大厅张贴告示牌，同时做好服务对象的解释和疏导工作。根据不同的事件以及事件的级别，采取相应措施进行应急处理。突发事件处理过程中，可以根据需要调整故障级别。（1）网络攻击事件应急预案：当发现网络被非法入侵、网页内容被篡改，应用服务器的数据被非法拷贝、修改、删除，或有黑客正在进行攻击等现象时，使用者或管理者应断开网络，并立即报告应急小组。应急小组立即关闭相关服务器，封锁或删除被攻破的登陆帐号，阻断可疑用户进入网络的通道，并及时清理系统、恢复数据和程序，尽快将系统和网络恢复正常。（2）信息破坏事件应急预案：当发现信息被篡改、假冒、泄漏等事件时，信息系统使用单位或个人应立即通知应急小组。如被篡改或被假冒的数据正在征缴或发放过程中，应急小组应立即通知代收代发机构中止征缴或发放工作。应急小组通过跟踪应用程序、查看数据库安全审计记录和业务系统安全审计记录查找信息被破坏的原因和相关责任人。