网络与应用系统突发事件应急预案

1网络与应用系统突发事件应急预案

1.1 事故类型和危害程度分析

根据网络与信息安全突发事件的发生过程、性质和机理，网络与信息安全突发公共事件主要分为以下三类：

1.1.1自然灾害：指地震、台风、雷电、火灾、洪水等引起的计算机、网络设备硬件的损坏，导致业务中断、网络瘫痪等情况。

1.1.2事故灾难：指电力中断、网络损坏或是软件、硬件设备故障等引起的网络与信息系统的损坏，导致业务中断、网络瘫痪等情况。

1.1.3人为破坏：指人为破坏光缆网络线路、通信设施，黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统的损坏，导致业务中断、网络瘫痪等情况。

1.2 应急处置基本原则

1.2.1预防为主：立足安全防护，加强预警，加强技术储备，规范应急处置措施与操作流程，定期进行各应用系统数据的备份，确保应用系统的正常使用，实现网络与应用系统突发公共事件应急处置的科学化、程序化与规范化。

1.2.2快速反应：在网络与应用系统安全突发事件发生时，按照快速反应机制，及时获取充分而准确的信息，跟踪判断，果断决策，迅速处置，最大程度地减少危害和影响。

1.2.3以人为本：把保障公共利益以及公民合法权益的安全作为首要任务，及时采取措施，最大限度地避免财产遭受损失。

1.2.4分级负责：按照“谁主管谁负责”的原则，建立和完善安

全责任制及联动工作机制。根据部门职能，各司其职，加强部门间的协调与配合，形成合力，共同履行应急处置工作的管理职责。。

1.3 组织机构及职责

成立网络及应用系统故障应急领导小组

组长：郝强

副组长：韩浩杰、田宇、董新燕

成员：张宇、刘军、温江敏各部门负责人

办公室设在信息技术部，联系电话：0912-*******或8224163 信息技术部负责中心网络及应用系统的畅通与正常使用，接到事故汇报要认真做好记录并汇报组长。

1.3.1 应急组织体系

1.3.2 指挥机构及职责

网络类型：各部门信息管理员对网络故障初步判断处理，无法处理的联系信息技术部网络维护组，维护组根据网络故障类型及时处理，如核心设备、主光缆故障及时联系信息中心网络维护部处理。

应用系统类型：各部门使用人员将应用系统出现问题信息反馈信息技术部系统维护人员，系统维护人员根据反馈信息及时处理，如信息中心维护的应用系统应及时反馈。

1.4 预防与预警

灾害发生时，中心网络与应用系统安全管理负责人报请领导小组批准后可根据灾害的危害程度适当地发布预警，特别是一些在其它地方已经出现，或在安全相关网站发布了预警而中心信息网络还没有出现相应的灾害，除了在技术上进行防范以外，还应当向网络信息用户发布预警，直至灾害警报解除。

1.4.1加强中心各部门计算机、网络设备、网站服务器的检查、数据备份、管理等工作。

1.4.2不要随便浏览陌生和来历不明的网站、电子邮件附件，避免计算机中病毒或木马，影响到其他人计算机及中心网络。

1.4.3安装最新的杀毒软件，能在一定的范围内处理常见的恶意网页代码，还要记得及时对杀毒软件升级, 以保证计算机受到持续地保护；

1.4.4 安装防火墙,阻止来自网络的病毒、木马、黑客攻击以及间谍软件攻击。

1.4.5及时更新系统漏洞补丁，修复操作系统存在的安全与漏洞。

1.5 信息报告程序

1.5.1物供中心网络与信息突发事件应急预案流程图

1.5.2故障报告的内容、通讯方式：

⑴发生网络或应用系统故障的单位及发生的时间、地点、发生故障的类型。

⑵汇报部门：信息技术部联系电话：0912-*******或8224163

1.6 应急处置

一旦灾害发生，网络与信息安全应急处置工作组报请中心突发事件应急领导小组批准后，立即启动应急预案，进入应急预案的处置

程序。

1.6.1 响应分级

中心级范围：单位或各库站网络核心设备到使用者客户端的；应用服务器在中心安置由信息技术部统一维护管理的。

公司级范围：信息中心主干线路到各单位或各库站网络核心设备的；应用服务器统一由信息中心维护管理的。

1.6.2 响应程序

中心级响应程序：发生网络或应用系统故障后以电话或信使方式通知信息技术部相关人员，接到信息反馈后及时解决。

公司级响应程序：发生网络或应用系统故障后电话通知信息技术部，信息技术部电话联系信息中心相关部门。

1.6.3 处置措施

按照灾害发生的性质分别采用以下处置方案：

a)病毒传播：针对这种现象，立即切断感染病毒计算机与网络的联接，判断病毒的性质、采用的端口，然后联系信息中心关闭该设备连接的相应端口，启用防病毒软件对该计算机进行杀毒处理，同时通过防病毒软件对其他计算机进行病毒扫描和清除工作，并在网上公布病毒攻击信息以及防御处理方法。

b)黑客入侵：对于网络入侵，首先要判断入侵的来源，区分外网与内网。入侵来自外网的，定位入侵的IP地址，及时关闭入侵的端口，限制入侵该IP地址的访问，在无法制止的情况下可以采用断开网络连接的方法，如无法自行解决可请求信息中心网络技术人员的技

术支持。入侵来自内网的，查清入侵来源，如IP地址、账号等信息，同时断开对应的交换机端口，然后针对系统漏洞安装相应补丁或软件。

c)网页信息及数据被篡改：

该情况一经发现马上断开相应设备的上网物理链接，并尽快进行数据恢复，查找信息被篡改漏洞并安装相应补丁或软件。

d)网络故障：发现光缆中断或交换机故障导致网络中断，及时联系信息中心网络维护部修复中断光缆或更换受损设备，交换机以下到客户端网络故障可根据相应的网络故障排除流程尽快给予解决。

e)机房火灾：

①、一旦机房发生火灾，应遵照下列原则：首先保人员安全；其次保关键设备、数据安全；三是保一般设备安全；

②、人员疏散程序：值班人员立即拨打119或8272119消防电话，并迅速从机房撤出。

③、人员灭火程序：首先切断所有电源，取出泡沫灭火器进行灭火。

F）其它没有列出的不确定因素造成的灾害，可根据总的安全原则，结合具体的情况，做出相应的处理。处理不了的咨询相关专业人员迅速解决。

1.7 应急物资与装备保障

灾害应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作，是有组织的科学与社会行为，而不是随着每次灾害的发生而开始和结束的活动。因此，必须做好应急保障工作。

1.7.1人员保障

重视网络信息管理队伍的建设与保障，确保在灾害发生前的人员值班，灾害处置过程和灾后重建中的人员在岗与战斗力。

1.7.2技术保障

重视网络信息技术的建设和升级换代，在灾害发生前确保网络及应用系统的强劲与安全，灾害处置过程中和灾后重建中的相关技术支撑。

1.7.3物资设备保障

网络与应用系统安全应急处置工作组，报请中心领导小组批准后，根据中心的实际需要，适当购入一些网络与信息安全保障设备。

1.7.4培训与学习

加强全中心网络信息用户的知识的培训与学习，有针对性地开展培训工作，增强用户的安全防范意识和数据自救互救能力。

2网络及应用系统现场处置方案

2.1 事故特征

a）网络及应用系统无确定性、突发性、传播速度快的特点。

b）导致中心系统不能正常使用，办理业务延迟。

2.2 应急组织与职责

内容同预案

2.3 应急处置

a）事故应急处置程序

在灾害发生时，首先应区分灾害发生是否为自然灾害与人为破坏两种情况，根据这两种情况把应急处置方法分为两个流程。

①流程一：当发生的灾害为自然灾害时，应根据当时的实际情况，在保障人身安全的前提下，首先保障数据的安全，然后是设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。

②流程二：当人为或病毒破坏的灾害发生时，具体按以下顺序进行：判断破坏的来源与性质，断开影响安全与稳定的信息网络设备，断开与破坏来源的网络物理连接，跟踪并锁定破坏来源的IP或其它网络用户信息，及时更换备用设备或修复被破坏的数据信息，迅速恢复信息系统正常使用。

b）现场应急处置措施

灾害发生前:网络与信息安全管理人员要预先对灾害预警预报体系进行建设，开展灾害调查，编制灾害防治规划，建设专业监测平台，及时处理灾害信息。

加强灾害险情巡查：信息技术部要充分发挥专业监测的作用，进行定期和不定期的检查，加强对重点部位的监测和防范，发现有不良险情时，要及时处理并向中心突发事件应急领导小组办公室报告。建立健全灾情速报制度，保障突发性灾害紧急信息报送渠道畅通。

灾害发生后:应报请中心突发事件应急领导小组批准，立即启动应急预案，采取应急处置程序，及时向中心突发事件应急领导小组报告处置工作进展情况，直至处置工作结束。

c）情况报告

灾害发生时，中心网络与应用系统安全应急处置工作组一方面按照应急处置方法进行处置，同时需要判定灾害的级别，首先向中心突发事件应急领导小组汇报。中心突发事件应急领导小组再根据灾害情况确定是否向公司总调或公安部门汇报。情况报告内容包括：灾害发生的时间、地点，灾害的级别，灾害造成的后果，应急处置的过程、结果，灾害结束的时间，以后如何防范类似灾害发生的建议与方案等。

2.4 注意事项

a）将所有计算机的网络名称设置为使用者的姓名。

b）将计算机系统安装的杀毒软件升级到最新版本，并全盘杀毒，修复计算机操作系统的漏洞

c）避免U盘复制文件导致病毒或木马的传播。

d）避免闲杂人进入网络或服务器机房，造成设备丢失。