计算机应用系统应急预案【模版】(共12页).docx

《计算机应用系统应急预案【模版】(共12页).docx》由会员分享，可在线阅读，更多相关《计算机应用系统应急预案【模版】(共12页).docx（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上XXXX项目应急预案目录一. 概述1.1 编写目的为了加强公司业务应用系统的网络设备、主机操作系统、数据库系统和应用系统等硬件和软件的故障或安全、应急事件的管理，特制定本制度。为了积极应对可能发生的各类重大事故，预先控制潜在事故或紧急情况，做好应急准备和响应，组织有序的事故抢救和救灾工作，最大限度减少人员伤亡和财产损失，维护正常的施工生产秩序，促进本企业的经济建设，按照国务院关于特大安全事故行政责任追究的规定和建设工程安全生产管理条例的要求，结合本项目部的实际，制定本应急处置预案（以下简称预案）。1.2 适用范围本制度适用于公司各个业务应用系统的安全管理员、维护人员等

2、负责系统运维安全的人员和公司信息安全管理小组。二. 应急预案2.1 启动条件本应急预案在如下条件启动：1. 本文档内定义的严重安全事件和重大安全事件发生时。2. 信息安全协调小组和相关部门领导确认，需要启动应急计划时。2.2 安全事件定义1. 重大安全事件：由于信息安全问题对关键业务造成直接影响，并导致全网瘫痪、业务中断数小时以上的事件，称为重大安全事件；2. 严重安全事件：由于信息安全问题对重要业务造成直接影响，并导致网络与业务中断，称为严重安全事件。3. 一般安全事件：由于信息安全问题对重要业务造成间接影响，一般业务造成直接影响，并导致网络与业务遭受影响的事件，称为一般安全事件。2.3 应

3、急抑制应急抑制的目的是限制安全事件对受保护信息系统造成影响的范围和程度。应急抑制是信息安全应急响应工作中的重要环节，在信息安全事件发生的第一时间内对故障系统或区域实施有效的隔离和处理，或者根据所拥有的资源状况和事件的等级，采用临时切换到备份系统等措施降低事件损失、避免安全事件的扩散（例如蠕虫的大规模传播）和安全事件对受害系统的持续性破坏，有利于应急响应工作人员对安全事件做出迅速、准确的判断并采取正确的应对策略。应急抑制过程中，重要的是确保业务连续性，应尽量保证在备份系统中完全运行原来的业务。如果出现资源紧张，应尽可能保证重要资产优先运行，维持最基本的业务能力。应急抑制分为物理抑制、网络抑制、主

4、机抑制和应用抑制4个层次的工作内容，在发生信息安全事件时，应根据对事件定级的结果，综合利用多个层次的抑制措施，保证抑制工作的及时、有效。1. 物理抑制a) 关闭主机：避免主机遭受外界的安全事件影响，或避免主机对外部环境产生影响。b) 切断网络连接：关闭网络设备或切断线路，避免安全事件在网络之间的扩散。c) 提高物理安全级别：实施更为严格的人员身份认证和物理访问控制机制。d) 环境安全抑制：主要针对环境安全的威胁因素，例如发生火灾时关闭防火门、启用消防设备和防火通道、启动排烟装置、切断电源，发生水灾时启用排水设备、关闭密封门，发生电力故障时启用UPS和备用发动机等。2. 网络抑制a) 网络边界过

5、滤：对路由器等网络边界设备的过滤规则进行动态配置，过滤包含恶意代码、攻击行为或有害信息的数据流，切断安全事件在网络之间的传播途径。b) 网关过滤：对防火墙等网关设备的过滤规则进行动态配置，阻断包含恶意代码、攻击行为或有害信息的数据流进入网关设备保护的网络区域，有效实施针对信息安全事件的网络隔离。c) 网络延迟：采用蠕虫延迟和识别技术，限制恶意代码在单位时间内的网络连接，有效降低蠕虫等恶意代码在网内和网间的传播速度，减少蠕虫事件对受保护网络系统的影响范围。d) 网络监控：提高网络入侵检测系统、专网安全监控系统的敏感程度和监控范围，收集更为细致的网络监控数据。3. 主机抑制a) 系统账号维护：禁用

6、或删除主机中被攻破的系统账号和攻击者生成的系统账号，避免攻击者利用这些账号登录主机系统，进行后续的破坏行为。b) 提高主机安全级别：实施更为严格的身份认证和访问控制机制，启用主机防火墙或提高防火墙的安全级别，过滤可疑的访问请求。c) 提高主机监控级别：提高主机入侵检测系统、主机监控系统的敏感程度和监控范围，收集更为细致的主机监控数据。4. 应用抑制a) 应用账号维护：禁用或删除被攻破的应用账号和攻击者生成的应用账号，避免攻击者利用这些账号登录应用服务，进行后续的破坏行为。b) 提高应用安全级别：针对应用服务，实施更为严格的身份认证和访问控制机制，提高攻击者攻击应用服务的难度。c) 提高应用监控

7、级别：提高应用入侵检测和监控系统的敏感程度和监控范围，收集更为细致的应用服务监控数据。d) 关闭应用服务：杜绝应用服务遭受来自网络的安全事件影响，或避免应用服务对外部网络环境产生影响。2.4 应急根除在信息安全事件被抑制之后，进一步分析信息安全事件，找出事件根源并将其彻底清除。对于单机的事件，可以根据各种操作系统平台的具体检查和根除程序进行操作；针对大规模爆发的带有蠕虫性质的恶意程序，要根除各个主机上的恶意代码，则是一项艰巨的任务。应急根除分为物理根除、单机根除和网络根除3个层次。为了保证彻底从受保护网络系统中清除安全威胁，针对不同类型的安全事件，应综合采取不同层次的根除措施。1. 物理根除a

8、) 统一采用严格的物理安全措施：例如针对关键的物理区域，统一实施基于身份认证和物理访问控制机制，实现对身份的鉴别。b) 环境安全保障：主要针对环境安全的威胁因素，例如使用消防设施扑灭火灾，更换出现故障的电力设备并恢复正常的电力供应，修复网络通信线路，修复被水浸湿的服务器等。c) 物理安全保障：加强视频监控、人员排查等措施，最大限度减少对受保护信息系统可能造成威胁的人员和物理因素。2. 单机根除（包括服务器、客户机、网络设备、监控系统及其它计算设备）a) 清除恶意代码：清除感染计算设备的恶意代码，包括文件型病毒、引导型病毒、网络蠕虫、恶意脚本等，清除恶意代码在感染和发作过程中产生的数据。b) 清

9、除后门：清除攻击者安装的后门，避免攻击者利用该后门登录受害计算设备。c) 安装补丁和升级：安装安全补丁和升级程序，但必须事先进行严格的审查和测试，并统一发布。d) 系统修复：修复由于黑客入侵、网络攻击、恶意代码等信息安全事件对计算设备的文件、数据、配置信息等造成的破坏，例如被非法篡改的系统注册表、信任主机列表、用户账号数据库、应用配置文件等。e) 修复安全机制：修复并重新启用计算设备原有的访问控制、日志、审计等安全机制。3. 网络根除a) 所有单机根除：对受保护网络系统中所有的服务器、客户机、网络设备和其它计算设备进行上述单机根除工作。b) 评估排查：对受保护网络系统中所有计算设备进行评估排查

10、，测试是否仍然存在被同种信息安全事件影响的单机。c) 网络安全保障升级：对网络中的安全设备、安全工具进行升级，使其具备对该安全事件的报警、过滤和自动清除功能，例如向防火墙增加新的过滤规则，向入侵检测系统增加新的检测规则等。2.5 应急恢复完成安全事件的根除工作后，需要完全恢复系统的运行过程，把受影响系统、设备、软件和应用服务还原到它们正常的工作状态。如果在抑制过程中切换到了备份系统，则需要重新切换到已完成恢复工作的原系统。恢复工作应该十分小心，避免出现误操作导致数据的丢失或损坏。恢复工作共分为五个阶段：系统恢复阶段、网络恢复阶段、用户恢复阶段、抢救阶段和重新部署/重入阶段。1. 系统恢复阶段负

11、责恢复关键业务需要的服务器及应用程序。系统恢复过程完成的标志是数据库已经可用、用户的数据通讯链路已经重新建立、系统操作用户也已经开始工作。网络和用户恢复任务与系统恢复是同步进行的。2. 网络恢复阶段负责安装通信设备和网络软件，配置路由及远程访问系统，恢复数据通信，部署设置网络管理软件和网络安全软件等，恢复受灾系统的网络通信能力。3. 用户恢复阶段用户恢复任务与系统恢复任务和网络恢复任务同步进行。当系统和网络就绪之后，使用抢救出来的记录和备份存储的数据和信息，尽快恢复数据库。4. 抢救阶段抢救行动与其它灾难恢复工作同步进行，包括收集和保存证据，评估数据中心和用户操作区环境的恢复可行性和花费，抢救

12、数据、信息和设备并转移到备份区域。5. 重新部署/重入阶段根据灾难恢复计划中定义的工作职能，使系统、网络和用户重新部署到原有的或新的设施中，并把应急状态下的服务级别逐步切换回正常服务级别。2.6 事后分析信息安全事件的应急响应工作除保证实施准确、高效的应急处理之外，另一重要事项是及时吸取经验教训，及时整改修正，避免相同或类似安全事件的再次发生。事后分析工作的意义不仅体现在本次信息安全事件的处理上，更重要的是有助于确定安全问题的深层次原因，总结处理紧急安全问题的经验和教训，评估和修正现有安全机制的不足，为后续可能发生的信息安全事件的响应过程提供参考。事后分析工作的目标是回顾并整理发生信息安全事件

13、的各种相关信息，尽可能将所有情况记录到文档中，研究事件发生的全过程，分析导致事件发生的根本原因，评估系统遭受的损失，并根据分析和评估结果对现有的工作方案作出调整。对累次事件或同期多个事件的事后联合分析更有意义。针对信息安全事件的事后分析工作包括损失评估、审计分析以及对应急预案的评估修正。1. 损失评估评估信息安全事件对受保护信息系统在各方面所造成的损失。2. 审计分析对发生的信息安全事件进行审计分析，确定受保护信息系统中被安全事件所利用的漏洞，查明事件发生的原因，并提出相应的整改措施，综合利用技术、人员、管理等各方面的手段，避免相同或类似信息安全事件的再次发生。3. 应急预案的评估修正对事先制

14、定的信息安全事件应急预案进行评估，包括预案与实际事件的吻合性，预案的合理性、实用性、可操作性，分析预案在制定和实施过程中存在的问题和缺陷，在此基础上提出相应的整改方案建议，经批准后供应急预案修正使用。严歌苓说，人之间的关系不一定从陌生进展为熟识，从熟识走向陌生，同样是正常进展。人与人之间的缘分，远没有想像中的那么牢固，也许前一秒钟还牵手一起经历风雨，后一秒就说散就散，所以，你要懂得善待和珍惜。人与人相处，讲究个真心，你对我好，我就对你好，你给予真情，我还你真意，人心是相互的。两个人在一起，总会有人主动，但主动久了，就会累，会伤心，心伤了就暖不回来了，凡事多站在对方的角度想一想，多一份忍耐和谦就

15、，就不会有那么多的怨气和误解，也少了一些擦肩而过。做人不要太苛刻，太苛无友，人无完人，每个人都有这样或那样的缺点，重在包容。 包容是一种大度，整天笑呵呵的人并不是他没有脾气和烦恼，而是心胸开阔，两个懂得相互包容的人，才能走得越久。人与人相处，要多一份真诚，俗语说，你真我便真。常算计别人的人，总以为自己有多聪明，孰不知被欺骗过的人，就会选择不再相信，千万别拿人性来试人心，否则你会输得体无完肤。人与人相处不要太较真，生活中我们常常因为一句话而争辩的面红耳赤，你声音大，我比你嗓门还大，古人说，有理不在声高，很多时候，让人臣服的不是靠嘴，而是靠真诚，无论是朋友亲人爱人都不要太较真了，好好说话，也是一种

16、修养。俗语说，良言一句三冬暖， 你对我好，我又岂能不知，你谦让与我，我又怎能再得寸进尺，你欣赏我，我就有可能越变越好，你尊重我，我也会用尊重来回报你，你付出爱，必会得到更多的爱。与人相处，要多一份和善，切忌恶语相向，互相伤害就有可能永远失去彼此，每个人心中都有一座天平，每个人心中都藏一份柔软，表面再强势的人，内心也是渴求温暖的。做人要学会谦虚，虚怀若谷。人人都喜欢和谦虚的人交往，司马懿说：“臣一路走来，没有敌人，看见的都是朋友和师长”.这就是胸怀。有格局的人，心中藏有一片海，必能前路开阔，又何愁无友。人与人相处，开始让人舒服的也许是你的言语和外表，但后来让人信服的一定是你的内在。就如那句，欣赏

17、一个人，始于颜值，敬于才华，合于性格，久于善良，终于人品。人这一生，遇见相同的人不容易，遇见正确的人更不容易，只有选择了合适的相处方式，带上真诚与人相处，才会走得更长，更远更久。人与人相处，要多一份真诚，俗语说，你真我便真。常算计别人的人，总以为自己有多聪明，孰不知被欺骗过的人，就会选择不再相信，千万别拿人性来试人心，否则你会输得体无完肤。人与人相处不要太较真，生活中我们常常因为一句话而争辩的面红耳赤，你声音大，我比你嗓门还大，古人说，有理不在声高，很多时候，让人臣服的不是靠嘴，而是靠真诚，无论是朋友亲人爱人都不要太较真了，好好说话，也是一种修养。俗语说，良言一句三冬暖， 你对我好，我又岂能不

18、知，你谦让与我，我又怎能再得寸进尺，你欣赏我，我就有可能越变越好，你尊重我，我也会用尊重来回报你，你付出爱，必会得到更多的爱。与人相处，要多一份和善，切忌恶语相向，互相伤害就有可能永远失去彼此，每个人心中都有一座天平，每个人心中都藏一份柔软，表面再强势的人，内心也是渴求温暖的。做人要学会谦虚，虚怀若谷。人人都喜欢和谦虚的人交往，司马懿说：“臣一路走来，没有敌人，看见的都是朋友和师长”.这就是胸怀。有格局的人，心中藏有一片海，必能前路开阔，又何愁无友。人与人相处，开始让人舒服的也许是你的言语和外表，但后来让人信服的一定是你的内在。就如那句，欣赏一个人，始于颜值，敬于才华，合于性格，久于善良，终于人品。专心-专注-专业