蒋小波南宁学院信息安全综合应急预案.docx

《蒋小波南宁学院信息安全综合应急预案.docx》由会员分享，可在线阅读，更多相关《蒋小波南宁学院信息安全综合应急预案.docx（10页珍藏版）》请在第一文库网上搜索。

1、管理员蒋小潴类别6级别对外公开南宁学院信息安全综合应急预案第一章总则第一条 为确保南宁学院信息系统的安全与稳定，以保证正常运行为宗旨， 按照“预防为主，积极处置”的原则，本着建立一个有效处置突发 事件，建立统一指挥、职责明确、运转有序、反应迅速处置有力的 应急处置体系，特制定本预案。第二条 本预案内容主要包括应急处理人员组织机构、应急处理流程、服务 器及存储设备故障应急处理措施（含软、硬件故障处置办法）、网 络设备故障应急处理措施（含软、硬件故障处置办法）、网络攻击 事件紧急处置措施、有害程序事件紧急处置措施、广域网线路中断 紧急处置措施、局域网中断紧急处置措施、电源系统应急处置措施、 消防和

2、防雷应急处置措施、自然灾害应急处置措施。第二章应急处理人员组织机构第三条组织机构与职责名单:机构/岗位职责名单联系方式南宁市网络 安全保卫支 队学院信息安全事件应急处理最高指挥 机构，负责对学院上报的自身无法处 理的信息安全事件进行指导及处理，提供相应技术资源、物力资源等网络安全与信息化领导小组负责对学院发生的重大信息安全事件 进行审定处理，上报钦州市公安局请 求援助-内部程序应急小组组 长信息安全主管，信息安全事件应急处 理总指挥，负责全面紧急行动，及时 协调应急行动所涉及的岗位人员，必 要时及时上报上机领导并请求援助， 提供应急响应的设备沈艺敏应急小组副 组长在总指挥的领导下展开具体工作，

3、在 总指挥不在时履行总指挥职责；根据 获得的应急信息下达命令江春应急联络员负责各信息安全事件的接收、通知， 收集相关信息及时汇报事件情况，协同处理徐家丽应急小组组 员负责现场临时设备抢救和对事态的控 制，听从上级指挥人员的安排蒋小波应急小组组 员负责现场临时设备抢救和对事态的控 制，听从上级指挥人员的安排林仪应急小组组 员负责现场临时设备抢救和对事态的控 制，听从上级指挥人员的安排庞富宁第三方技术支持南宁市迈越软件有限责 任公司根据签订的运维合同及相关协议，在 学院发生各种事件时，随时提供技术 支持等覃莉恒第三章应急处理流程第四条 当事件发现者发现事件发生时，应立即采取相应措施阻止事件的进 一

4、步扩大并报相关管理员、应急联络员，根据应急预案采取相应的 处置办法进行处理，若解决了的填写安全事件报告报信息安全 主管，无法解决的报信息安全主管进行处理，若还是无法解决则立 即上报领导小组和市网安支队，事件解决后统一填写安全事件报 告并总结经验教训，事件具体处理流程图如下图：第四章 服务器及存储设备故障应急处理措施第五条 排错流程如下图：下面流程图是管理人员所应采取的排错模型，当发生服务器及存储 设备故障时应按照此流程快速进行定位、排除故障。第六条应急处置具体措施（一）服务器设备损坏应急处置措施(1) 关键应用系统所在服务器设备损坏后，管理员应立即查明原因，使 用备份服务器替换损坏设备，并立即

5、恢复应用系统正常使用；(2) 立即与设备提供商联系，请求派维修人员前来维修。(二)服务器软件损坏紧急处置措施(1) 迅速查找原因，尝试重启系统。使用备份进行恢复。必要时联系开 发商；(2) 当发现服务器感染有病毒后，应立即将该机从网络上隔离出来。并 启用杀病毒软件对该机进行杀毒处理，同时使用病毒检测软件对其 他机器进行病毒扫描和清除工作。经技术人员确认确实无法查杀该 病毒后，应作好相关记录，并迅速联系有关产品商研究解决；(3) 当因空调，电力等问题需要关闭所有服务器时，应遵循如下步骤： 先关闭所有应用服务器和数据库服务器，再关闭存储设备。启动所 有服务器时，应先打开存储设备，再打开数据库服务器

6、，最后打开 应用服务器。第五章网络设备故障应急处理措施第七条 网络设备排错流程：下面流程图是网络维护人员所应采取的排错模型，当发生网络故障 时应按照此流程快速进行定位、排除故障。第八条应急处置具体措施(H) 网络设备损坏应急处置措施(1) 发现设备故隙或损坏后，管理员应立即查明原因，判断故障影响范 围采取相应措施，如关闭相关服务，使用备用设备替换损坏设备， 并立即恢复网络服务正常使用；(2) 立即与技术人员或设备提供商联系，请求派维修人员前来维修。(四) 网络设备软件损坏紧急处置措施(1) 迅速查找原因，尝试重启系统。使用备份进行恢复。必要时联系开 发商；(2) 当发现系统感染有病毒后，应立即

7、将该机从网络上隔离出来。并启 用杀病毒软件对该机进行杀毒处理，同时使用病毒检测软件对其他 机器进行病毒扫描和清除工作。经技术人员确认确实无法查杀该病 毒后，应作好相关记录，并迅速联系有关产品商研究解决；(3) 当因空调，电力等问题需要关闭或重启网络设备时，应遵循如下步 骤：先检查网络设备当前状态参数，备份重要数据，通过备份恢复 测试后方可关闭或重启。第六章网络攻击事件紧急处置措施第九条 网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事 件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击 事件。第十条 当发现系统日志异常、网页内容被篡改、Internet接入路由器有未 知用户登

8、录或通过其他方式发现网络正在被攻击时，应立即采取相 应措施，控制事态发展，并根据事件处理上报流程向部门领导通报 情况；第十一条 在相关人员授权下，立即备份当时的log日志并采用端口限制方式 阻断外部的入侵，观察被攻击的服务器等设备状态，同时向部门领 导汇报情况；第十二条协调相关应用部门，与部门有关技术人员一同负责被破坏系统的恢 复与重建工作；第十三条 协助部门技术人员协同有关部门共同追查非法信息来源；第十四条 情况严重的，根据突发事件级别应及时向有关上级部门汇报。第七章有害程序事件紧急处置措施第十五条 有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马、僵尸 网络事件、混合程序攻击事件、网页

9、内嵌恶意代码事件和其他有害 程序事件等。第十六条当发现计算机感染有害程序后，应立即将该机从网络上隔离出来； 或从网络设备状态发现病毒爆发应采取 show mac-address sh arp定位或IP查询等措施将感染机器所在 的网络设备端口 shutdown；第十七条通知维护人员对该设备的硬盘进行数据备份；第十八条 启用查杀软件对该机进行查杀处理，同时进行恶意程序、恶意代码、 病毒检测软件对其他机器进行恶意程序、恶意代码、病毒扫描和清 除工作；第十九条如发现查杀软件无法清除该有害程序，应立即通知用户并及时向部 门领导报告，经部门技术人员确认无法查杀该有害程序并同意格式 化硬盘后，作好相关记录，

10、并格式化硬盘；第二十条 机器恢复后重新开启网络设备的相应端口；第二十一条认为情况极为严重，根据突发事件级别应及时向有关上级部门汇 报。第八章广域网线路中断紧急处置措施第二十二条链路出现问题后，网络管理人员应立即部门领导报告，沟通地方 节点技术人员共同迅速判断故障，查明故障原因；第二十三条如属我方管辖范围，由双方技术人员立即配合予以恢复。如遇无 法恢复情况，立即进行备件更换或向有关厂商请求支援；第二十四条 如属运营商管辖范围，立即与运营商维护部门申报故障，请求修 复；第二十五条根据突发事件级别应及时向有关上级部门汇报。第九章局域网中断紧急处置措施第二十六条 局域网中断后，网络管理人员应立即判断故

11、障节点，查明故障原 因，采取处理措施并向部门领导汇报；第二十七条 如属线路故障，更换新线路或重新安装线路；或从最近飞线至故 障设备；第二十八条 如属路由器、交换机等网络设备（光模块）故障，应立即查找是 否有相关备件可以替换，或与设备提供商联系更换设备，并调试畅 通；第二十九条 如属路由器、交换机配置文件破坏，应迅速按照备份配置文件重 新配置，并调试畅通；如遇无法解决的技术问题，立即向有关厂商 请求支援；第三十条 情况严重的，根据突发事件级别应及时向有关上级部门汇报。第十章 电源系统应急处置措施第三十一条定期检查机房供电设备的运行状况和电路线缆器材情况；第三十二条 当机房发生市电供电突然停电或是

12、电源异常时。首先应和供电局 联系确认正常停电以及预计停电时间。检查不间断电源的电池可供 电时间，确保设备正常运行，如遇到突然断电，应及时将不在UPS 电源供电范围内的设备及时断电，预防突然来电时瞬间电流过大导 致设备损坏等现象；第三十三条 当确定停电时间超出机房UPS承载范围后，首先确定停电的范围 以及受影响的设备范围。并及时通知各部门做好停电应急准备。然 后通知机房电源维护人和设备的负责人到达现场，做好各设备的电 源停电准备。在UPS供电电量仅剩10%之后，严格按操作手册停掉各 服务器的电源，最后停核心交换机和路由器，等待电力恢复；第三十四条当确定停电原因是在本身供电系统范围内，立即汇报给负

13、责领导, 并及时联系相关维护人员达到现场检修。对于恢复时间无法预计的， 要通知各个部门做好准备工作；第三十五条 恢复供电后，严格按照操作程序逐步恢复机房设备和UPS的供电, 以防瞬间电流过大造成设备损坏。第十一章消防和防雷应急处置措施第三十六条 上班工作时间发生火警，还在机房工作的人员应及时紧急撤离， 并立刻拨打119报警。在确保自身安全的情况下，应尽量使用灭火 器进行灭火，减少电子设备的损坏。同时采取关闭电源总闸等措施， 尽量减少可能造成的损失和破坏；第三十七条 非工作时间或节假日休息时间值班人员发现火情后，要立刻拨打 119报警，并立刻通知相关部门和领导，做好火灾的处置工作；第三十八条 火

14、情结束之后，机房相关人员应全体赶赴现场，并向公司相关部 门汇报。同时立即联系相关网络公司和设备相关厂家，及时评估事 故损失情况，研讨恢复网络系统正常运行的最佳解决方案；第三十九条遇雷暴天气或接上级部门雷暴气象预警，应关闭所有服务器，切 断电源，暂停内部计算机网络工作。雷暴天气结束后，及时开通服 务器，恢复内部计算机网络工作。因雷击造成的损失，应及时进行 核实、报损，并将详细情况向部门领导汇报。第十二章自然灾害应急处置措施第四十条 发生自然灾害后，首先应该组织人员撤离现场。当确认灾害不会造 成人生伤害后，在回到机房检查设备，立刻向上级领导汇报，并联 系相关网络和设备厂家，积极做好灾后恢复工作，确保在最短时间 内恢复机房正常运行。第十三章第四十一条此应急预案由网络信息中心负责解释。第四十二条 本标准自颁布之日起实行。