1、实用标准文案XXX 有限公司XXX 2017 DCV2.0xx 应急方案XXX 数据中心文档发放编号:受控状态: 受控非受控XXX 有限公司发布版 本 记 录版本状态作者开始日期完成日期备注文档目 录目 录3第 1 章总则5第 2 章数据中心应急方案组织体系52.1 网络与信息安全应急协调领导小组职责52.2 领导小组办公室组成及成员电话52.3 工作职责62.4 各设备应急联系人6第 3 章信息系统安全应急处置实施细则73.1. 信息系统故障等级划分73.1.1. 一级故障73.1.2. 二级故障83.1.3. 三级故障93.2. 网络信息故障处理程序93.2.1. 故障的发现93.2.2.
2、 故障的处理93.2.3. 故障的记录103.2.4. 故障的升级上报103.2.5. 报告内容123.2.6. 应急处置123.2.7. 故障处理后的测试验收133.2.8. 故障书面报告133.2.9. 故障报告填写及报告14第 4 章信息系统安全应急处理流程154.1. 信息系统安全应急处理流程图154.2. 故障升级分类及升级时限164.3. 越级报告16第 5 章应急响应特点文档及工具165.1. 应急文档的备存165.2. 应急设备及软件备存17第 6 章应急处理预案176.1. 网络中断应急处理176.2. 黑客攻击的应急处理186.2.1. 应急处理186.2.2. 修复处理1
3、96.3. 大规模病毒(含恶意软件)攻击的应急处理196.4. 数据库系统故障的应急处理206.5. 设备硬件故障的应急处理206.6. XX 相关故障应急处理216.7. 对重大故障的应急处理216.8. 请求外部协助支持22第 7 章后期处理227.1. 善后处理227.2. 调查和评估227.3. 应急方案更新23附件:应急响应相关表单23第 1 章 总 则为保证公司数据中心信息系统安全,防范蓄意攻击、破坏网络 系统及数据安全等紧急突发事件的发生,根据公司XXX 数据中心应急预案,结合公司数据中心信息化的特点,特制定本应急方案。第 2 章 数据中心应急方案组织体系2.1 网络与信息安全应
4、急协调领导小组职责负责领导 XXX 数据中心网络与信息安全应急工作,确定并直接领导信息系统安全应急处置工作组。审定 XXX 数据中心信息系统安全应急预案并组织实施,研究解决数据中心有关网络与信息系统安全的重大问题。领导小组下设处置工作组,其工作职责由数据中心承担。2.2 领导小组办公室组成及成员电话姓名职务联 系 电 话组长副组长成员2.3 工作职责(1)组长职责负责 XXX 数据中心网络与信息安全应急方案的启动,对 XXX 数据中心网络与信息安全故障全权组织进行应急处置。(2)副组长职责协助组长对数据中心网络与信息安全故障进行应急处置,负责确定合理的技术处理方案、制定应急处置方案。组长不在现
5、场或不便履行职责时,行使组长职责。(3)应急领导小组其它成员职责配合组长和副组长,实施应急处置工作。2.4 各设备应急联系人单位姓名职务联 系 电 话备注第 3 章 信息系统安全应急处置实施细则3.1. 信息系统故障等级划分XXX 数据中心信息系统故障等级,按照信息安全技术-信息系统安全等级保护基本要求第二级的要求,具体划分为三个等级, 一级故障为重大故障;二级和三级故障为一般性故障。3.1.1. 一级故障信息系统发生故障,预计将或已经严重影响公司核心系统业务, 导致相关业务中断 1 小时以上,并预计 24 小时以内无法恢复的,具备以下一个或几个特征,即定义为一级故障。1. 公司核心业务系统
6、XXX,XXX 和部分 XXX 业务的广域网和专网出现线路和设备故障,且中断时间为一个小时以上;2. 公司数据中心核心网络出现故障,造成外网用户不能访问公司服务 器 ; 3公司数据中心核心业务服务器出现故障,无法及时恢复,导致业务中断一个小时以上。4. 公司数据中心存储出现故障,导致业务中断一个小时以上且数据无法恢复。5. xx 核心业务系统出现故障,导致公司业务中断一个小时以上。6. 利用技术手段,造成业务数据被修改、假冒、泄漏、窃取的信息系统安全事件。3.1.2. 二级故障信息系统发生故障,预计将或已经严重影响公司核心系统业务, 导致相关业务中断 1 小时以上,并预计 6 小时以内可以恢复
7、的,具备以下一个或几个特征,即定义为二级故障。1. 公司部分核心业务系统出现线路故障,导致部分客户无法访问;2. 公司数据中心核心业务服务器宕机,无法及时恢复,导致业务中断一个小时以上。3. 公司部分部署在 xx 机房的核心业务系统出现故障,导致公司业务中断一个小时以上。4. 病毒或网络攻击造成公司数据中心广域网连接中断或传输效率明显下降,关键业务系统不能正常提供服务;5. 人为误操作导致公司备份数据丢失。6. 利用技术手段,造成业务数据被修改、假冒、泄漏、窃取的信息系统安全事件。712 小时以内无法解决的三级故障。3.1.3. 三级故障满足以下条件之一,即定义为三级故障。1. 非核心业务出现
8、故障,导致无法访问。2. 故障发生后,影响到信息系统的运行效率,速度变慢,但不影响业务系统访问; 3故障发生后,可随时应急处理,不会影响的系统全面运行,但是一种隐患;3.2. 网络信息故障处理程序3.2.1. 故障的发现数据中心中心工作人员在发现故障或接到故障报告后,首先要判断故障发生的原因,对故障的等级进行初步的判断;其次联系并协调相关人员解决此次故障;待故障解决后,对此次故障进行详细的记录。3.2.2. 故障的处理1. 发生故障的业务系统主管部门数据中心为故障处理部门,故障处理部门领导负责通知和落实相应岗位人员到达现场,故障处理部门应首先指定现场指挥人员,指挥人员应先询问了解设备和配置近期
9、的变更情况,查清故障的影响范围,从而确定故障的等级和发生故障的可能位置;2. 对于一般性故障按照 3.2.4 的故障升级上报要求进行上报, 并在处理过程中及时向主管领导通报故障处理情况。3. 对于重大故障按照 3.2.4 的故障升级上报要求进行上报, 并在处理过程中及时向主管领导通报故障处理情况。3.2.3. 故障的记录在故障处理中,应对其过程进行详细记录,其中包括故障处理的负责人,检查的内容及结果,对故障的判断及处理办法,以及故障处理过程中各步骤及执行人员。3.2.4. 故障的升级上报升级时限一级故障二级故障三级故障立即数据中心经理相应岗位人员相应岗位人员半小时数据中心部门主管领导数据中心经
10、理1 小时公司主管高层数据中心部门主管数据中心经理根据故障等级和发生的时限,要对故障的情况进行及时的上报, 并对报告人,告知人及时间及内容进行记录。重大故障由部门主管 领导负责上报,一般性故障由故障处理人员负责上报。故障升级上 报时限如下表所示:领导4 小时公司主管高层数据中心部门主管领导8 小时24 小时故障上报升级时限XXX 数据中心是负责受理和处理网络和信息安全突发事件的具体职责部门,在接到突发事件报告后,要按下列工作程序处置: 1一级故障的报告程序(1) 发现故障岗位人员根据故障初级判断结果,立即向数据中心经理汇报;(2) 数据中心经理根据故障初级判断结果,迅速将有关情况报告 XXX
11、数据中心网络与信息安全应急领导小组或数据中心部门主管领导,报告时限不能超过 30 分钟;(3) 经排查故障无法在 1 个小时内排除,将该突发事件形成书面汇报材料呈报给公司主管领导,同时向数据中心部门主管领导上报情况。2. 二级故障的报告程序(1) 发现故障岗位人员根据故障初级判断结果,将故障有关情况向数据中心经理汇报,报告时限不能超过 30 分钟;(2) 数据中心经理根据故障初级判断结果,迅速将有关情况报告 XXX 数据中心中心网络与信息安全应急领导小组或数据中心部门主管领导,报告时限不能超过 60 分钟;(3) 经排查故障无法在 4 个小时内排除,将该突发事件形成书面汇报材料呈报给公司主管领
12、导。3. 三级故障的报告程序(1) 发现故障岗位人员根据故障初级判断结果,将故障有关情况向数据中心经理汇报,报告时限不能超过 1 小时;(2) 数据中心经理根据故障初级判断结果,迅速将有关情况报告 XXX 数据中心网络与信息安全应急领导小组或数据中心部门主管领导,报告时限不能超过 4 小时;(3) 经排查故障无法在 8 个小时内排除,将该突发事件形成书面汇报材料呈报给数据中心部门主管领导,做故障升级处理。3.2.5. 报告内容报告内容包括突发事件发生的时间、地点、过程、状况、原因及影响等。3.2.6. 应急处置1. 数据中心根据故障情况立即进行应急处理,防止事件进一步扩大,同时分析该故障的起因
13、,判断需要的处理时间,并根据判断结果按故障升级上报程序,逐级上报;2. 根据突发事件的性质、级别,决定启动相关系统技术应急预案;3. 根据事件级别以及对业务影响程度的评估结果,向网络与信息安全应急协调领导小组报告,应急领导小组决定是否启动业务应预案,数据中心配合业务部门开展应急处置工作;4. 应急领导小组授权办公室或责任人通过内外网站、传真等媒介通报突发事件有关信息;5. 根据故障可能产生的原因尽早联系其它相关部门、线路运营商、设备供应商请求技术支持,并将联系外协支持的情况记录在案。3.2.7. 故障处理后的测试验收故障处理后,故障处理部门要进行自测,然后提交用户进行确认,当用户对处理结果认同
14、后,故障最终确认解决。3.2.8. 故障书面报告对于重大故障和拖延时间较长的一般性故障,在处理过后,应对故障及处理的全过程进行总结,以文字形式进行报告。对于影响较小的一般故障处理,在维护日志中做完整的说明和记录。3.2.9. 故障报告填写及报告故障报告应包括以下几方面的内容:故障处理过程的原始记录,故障情况描述及故障处理情况说明,报告中要明确说明故障处理是否准确和及时,有无明显的失误,有无违反规定行为。语言应简明扼要,对情况描述要清楚、有条理。故障处理部门负责人将对故障报告进行全面审核,无误后签字并报数据中心部门主管领导,重大故障报告需报公司主管领导。第 4 章 信息系统安全应急处理流程4.1
15、. 信息系统安全应急处理流程图现场检查、判断是否突发事件否处理完毕是三级故障故障等级一级故障二级故障是故障是否升级处理延时故障升级否资料存档形成知识库结束事故总结及评估事故总结及评估事故总结及评估故障回归测试故障回归测试处 理 完 毕 故障回归测试抢 险 结 束 恢复正常情况抢 险 结 束 恢复正常情况故障处理采取应急救援措施采取应急救援措施通知应急响应人员、设备供应商到场通知应急响应人员、设备供应商到场启动应急响应预案根据故障影响判断启动应急响应预案向应急响应领导小组或本处领导汇报向应急响应领导小组或本处领导汇报向信息中心技术部部长汇报按照正常程序处理通知相关人员前去处理收到故障处理请求信息
16、4.2. 故障升级分类及升级时限1、故障分类详见第 3.1 章节。2、二级故障发生后,在 4 小时内没有解决,升为一级故障。三级故障发生后,在 8 小时内没有解决,升为二级故障。4.3. 越级报告故障上报应遵循逐级上报原则,但在与上级联系不上时,可越级报告。第 5 章 应急响应特点文档及工具5.1. 应急文档的备存(1) 各类网络设备和服务器、计算机及其附属设备的型号、序列号等;(2) 硬件设备供应商、生产厂商的电话、联系人、技术支持网址;(3) 操作系统、关键业务应用软件开发商或供应商的电话、联系人;(4) 数据中心网络拓朴图;(5) 路由器、防火墙、入侵检测设备的配置文档,服务器登陆用户及
17、原始密码文档;(6) 各类软件的技术文档及其他需要保存的文档。5.2. 应急设备及软件备存(1) 正版操作系统启动盘、安装盘;(2) 正版防病毒软件(注明安装及升级序列号);(3) 数据库管理系统软件,数据库备份软件及最近完整的数据备份存储介质;(4) 相关的设备驱动程序(含主板、显卡、网卡等)及更新到最新的服务器注册表文件;(5) 备用网线,万用表、测网仪、螺丝刀等必要工具;(6) 其它必备的应急工具。第 6 章 应急处理预案6.1. 网络中断应急处理1、故障排查:网络中断后,技术人员要迅速判断故障节点,查明故障原因;2、故障排除:如属线路故障,应重新安装线路。如属路由器、交换机等网络设备故
18、障,技术人员立即检修并调试通畅。如路由器、交换机配置文件破坏,技术人员应迅速按照要求重新配置,调试通畅。必要时,请有关供货单位、设备厂商协助调测畅通。如需更换设备,应上报公司主管领导,经批准后马上更换故障设备,尽快恢复系统运行。如发现属于外部线路的问题,应与线路运营商联系,敦促尽快恢复故障线路。数据中心无法及时修理时,应立即通知相关供应商及维护人员, 在最短时间内安排修理。6.2. 黑客攻击的应急处理6.2.1. 应急处理1. 当发现网络上有黑客攻击行为时,应立即向数据中心通报情况, 并由数据中心相关负责人向数据中心主管领导报告;2. 数据中心工作人员应立即赶到现场,将被攻击的服务器或其他设备
19、从网络中隔离出来,必要时可以采取照片、截图等方式留存记录,保护现场;3. 如事态较为严重,经向数据中心主管领导请示后,立即向公安部门报警,配合公安部门展开调查;4. 数据中心相关技术人员做好被攻击或破坏后系统的恢复与重建工作;5. 数据中心负责组织技术力量追查非法信息来源;6. 数据中心相关工作人员将实施事件处理的过程和结果备案存档, 必要时向数据中心主管领导汇报。6.2.2. 修复处理1、记录系统状况;2、立即复制系统登录文件、历史文件、日志文件等重要文件;3、修改防火墙、路由器等网络安全设备的过滤规则;4、断开被攻主机、关闭不需要的服务;5、处理可疑的文件和程序;6、修改不安全的系统帐号及
20、其口令;7、恢复被修改的软件和数据;8、安装相应的补丁程序,填补安全漏洞 ;9、编写报告,详述事件过程及处理步骤。6.3. 大规模病毒(含恶意软件)攻击的应急处理1. 当发现局域网网络中有大量服务器被感染上病毒后,服务器维护人员应立即上报数据中心;2. 数据中心工作人员应立即将该机从网络上隔离开来;3. 数据中心工作人员对该设备的硬盘进行数据备份,并将防病毒软件的病毒特征库更新至最新版本;4. 数据中心工作人员启用反病毒软件对该机进行杀毒处理,并对相关服务器进行病毒扫描和清除工作;5. 情况较为严重的,已影响到公司相关系统的数据传输、应用系统访问不正常等情况,应及时向数据中心主管领导报告,按照
21、3.1信息系统故障等级划分,确定其故障等级,并启动相应的应急处理程序进行排除。6.4. 数据库系统故障的应急处理1. 数据库系统每日必须存有备份,与软件系统相对应的数据必须有多日的备份;并将它们保存与安全处;2. 数据库系统发生故障以后,数据中心工作人员立即向数据库组负责人和数据中心主管领导汇报请示,经同意后采用相关技术手段尽快恢复数据库运行,保证业务不中断;3. 数据中心工作人员及时组织相关数据库工程师,并同时通知主要应用部门等技术力量做好数据库系统切换和有关数据的恢复工作;4. 数据库工程师应检查日志等资料,确定故障原因;5. 数据库部门会同数据中心工作人员将实施处理的过程和结果进行备案存
22、档,并向有关领导汇报。6.5. 设备硬件故障的应急处理1. 数据库服务器等关键设备损坏后,数据中心相关人员应立即向数据中心经理报告;2. 数据中心经理立即组织相关技术人员查明原因,联系维保单位更换受损部件;3. 如果设备一时不能修复,应向数据中心主管领导汇报,并告知各应用部门暂缓上传上报数据或及时切换应用到其它应用服务器上,及时恢复业务系统。6.6. XX 相关故障应急处理1. 数据中心相关工作人员应分析大致故障原因,并立即向数据中心经理报告;2. 数据中心经理立即组织协调相关人员联系 XX 相关负责人查明原因解决此问题;3. 如果 XX 一时无法解决,应向数据中心主管领导汇报,并告知各应用部
23、门暂缓上传上报数据或及时切换应用到其它应用服务器上, 及时恢复业务系统。6.7. 对重大故障的应急处理当数据中心工作人员通过网络监控到诸如广域链路意外中断、核心路由(交换机)宕机。非法入侵及病毒入侵使网络传输性能下降,应用系统网站、核心数据库等系统关键服务器性能下降,严重影响正常业务运行的情况时。数据中心工作人员应及时记录故障发生时间、地点等。同时立即报知数据中心主管领导。在此过程中数据中心工作人员应检查所发生故障设备和配置近期的变更情况,查清故障的影响范围,从而确定故障的等级和发生故障的可能部位, 在处理过程中要及时向主管领导通报故障的处理情况。6.8. 请求外部协助支持1. 对一时不能查清
24、原因的重大故障,应尽早联系原厂商请求技术支持。2. 对 4 小时内无法解决的一般性故障,也应联系原厂商请求技术支持,并要将联系外协支持的情况记录在案。第 7 章 后期处理7.1. 善后处理应急处置工作结束后,现场领导小组组织有关人员和技术专家组成事件调查组,对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估,根据应急处置中暴露出的管理、协调和技术问题,改进和完善预案,实施针对性演练,总结经验教训,整改存在隐患,组织恢复正常工作秩序。7.2. 调查和评估应急处理工作结束后,应急响应领导小组应立即组织有关人员, 专家组,会同技术中心成立事件调查小组,对事件发生及其
25、处理过 程进行全面的调查,查清事件发生的原因及财产损失状况并总结经 验教训,写出调查评估报告,并将故障处理文档整理,形成知识库 进行统一归档管理。7.3. 应急方案更新根据信息化快速发展和经济社会发展状况,配合相关法律法规的制定、修改和完善,结合应急处置中暴露出的管理、协调和技术问题,修订和完善本预案。附件:应急响应相关表单网络与信息安全事件记录表日期事件发生原因处理办法处理结果操作人员审核人员网络与信息安全事件应急预案摘要表一、应急领导小组成员姓名职位联系方式应急角色领导小组组长领导小组副组长应急事件业务处理、协调系统技术支撑、处理和协调对外信息披露、通报二、应急支撑力量(包含系统运营、开发
26、、技术支持专家等)姓名单位联系方式应急角色通讯保障业务问题评估、恢复重建网络保障运维支撑系统技术支撑信息安全员三、软硬件服务维保方序号设备维保方联系人联系电话1安全服务2服务器、存储阵列3核心网络设备4防火墙、路由器、交换机各业务服务器硬件维修维护5各业务软件维护6通信网络故障四、事件与先期处理预判可能事件处置手段简述电力系统故障启动后被电力系统,根据 UPS 供电能力,保证关键设备用电。硬件故障联系设备维保单位,提供备件。软件系统故障联系软件系统开发单位,先进性数据备份,排除系统故障。数据库系统故障联系系统实施人员,先进行数据备份,排除系统故障。网络故障联系系统集成商,排除网络故障线路故障联系 ISP 服务提供商,检查线路。网站被篡改联系技术人员,采取技术措施阻断对被篡改页面的访问, 保护日志和相关文件,汇报信息安全主管部门,向公安部门报案。计算机病毒、木马联系技术人员,利用专业工具清除病毒和木马,汇报信息安全主管部门。网络攻击事件联系技术人员,采取技术措施恢复系统,保护日志和相关文件,并加强系统防御措施,汇报信息安全主管部门,向公安部门报案。信息泄露事件联系安全服务部门,采取技术措施防止信息泄露,汇报信息安全主管部门,向公安部门报案。五、业务系统情况信息系统名承载业务业务连续性要求信息物理位置等级保护定义XXX 系统门户网站、年检系统高一级XXX 系统中一级村医系
