1 总则
1.1 编制目的
为了维护系统的稳定运行,全面贯 彻落实“安全第一、预防为主”的方针,为了健全系统的安全管理机制,规范应急管理流程,提高突发事件的应急救援反应速度和协调水平,增强综合处置突发事件的能力,保障用户的财产安全,最大限度地减少 交易用户损失和减轻影响,根据《信息安全事件分类分级指南》、《信息技术、安全技术、信息安全事件管理指南》、《国家突发公共事件总体应急预案》及有关法律、法规的规定,结合实际,制定本应急预案。
1.2 适用范围
本文内容针对系统的使用者与管理者因服务器设备故障、网络设施故障、计算机软件故障、业务数据丢失等各类原因引起的系统无法正常使用的应急情况。
2 事件分类分级
2.1 事件分类
系统突发事件分为网络攻击事件、信息破坏事件、信息内容安全事件、网络故障事件、软件系统故障事件、灾难性事情、其他事件等八类事件。
(一)网络攻击事件:通过网络或其他技术手段,利用信息系统的配臵缺陷、协议缺陷、程序缺陷或使用暴力攻击 对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的事件。
(二)信息破坏事件:通过网络或其他技术手段,造成信息系统中的数据被篡改、假冒、泄漏等而导致的事件。
(三)信息内容安全事件:利用信息网络发布、传播危害国家安全、社会稳定和公共利益的不良信息内容的事件。
(四)网络故障事件:因电信、网络设备等原因造成大部分网络线路中断,用户无法登录信息系统的事件。
(五)服务器故障事件:因系统服务器故障而导致的信息系统无法运行的事件。
(六)软件故障事件:因系统软件或应用软件故障而导 致的信息系统无法运行的事件。
(七)灾害性事件:因不可抗力对信息系统造成物理破 坏而导致的事件。
(八)其他突发事件:不能归为以上七个基本分类,并可能造成信息系统异常或对信息系统当前运行造成潜在危害的事件。
2.2 事件分级
按照造成系统的中断运行时间,将系统突发时间级别划 分为一般(IV 级)、较大(III 级)、重大(II 级)、特别重 大(I 级)四个级别。
(一)一般(IV 级):系统发生可能中断运行2小 时以内的故障;
(二)较大(III 级):系统发生可能中断运行 2 小 时以上、12 小时以内的故障;
(三)重大(II 级):系统发生可能中断运行 12 小 时以上、24 小时以内的故障;
(四)特别重大(I 级):系统发生可能中断运行 24 小时以上的故障;
3 组织机构和工作职责
3.1 组织机构
(一)应急指导与监督管理小组
由XXXXXXXXXXXXXX、XXXXXXXXXXXXXX、XXXXXXXXXXXXXX,对平台应急情形予以指导。
(二)应急领导小组
由XXXXXXXXXXXXXX担任组长,XXXXXXXXXXXXXX成员,组成应急领导小组。
(三)应急工作小组
由XXXXXXXXXXXXXX业务、技术等各业务模块关键用户岗位担任成员,组成应急工作小组。
领导小组及组成员联系方式:
| 单位 | 姓名 | 手机 |
|---|---|---|
| -- | -- | -- |
| -- | -- | -- |
| -- | -- | -- |
| -- | -- | -- |
| -- | -- | -- |
| -- | -- | -- |
| -- | -- | -- |
| -- | -- | -- |
| -- | -- | -- |
| -- | -- | -- |
| -- | -- | -- |
| -- | -- | -- |
| -- | -- | -- |
| -- | -- | -- |
| -- | -- | -- |
| -- | -- | -- |
| -- | -- | -- |
| -- | -- | -- |
| -- | -- | -- |
3.2 工作职责
应急领导小组决定系统应急处理工作的重大事项,组织实施、业务协调和发布系统应急指令,发布系统应急故障级别、决策处理方案。
应急工作小组负责根据领导小组的应急指令、处理方案等指示实施应急处理工作。
4 预防与预警机制
针对各种可能发生的系统突发事件,建立和完善预测预警机制。预警信息分为外部预警信息和内部预警信息两类。 外部预警信息指系统外突发的可能需要通信保障、安全防范, 或可能对系统产生重大影响的事件警报。内部预警信息指系统网内的事故征兆或局部系统突发事故可能对其他或整个网络造成重大影响的事件警报。
为了防止系统突发事件的发生,应急工作小组要加强对信息系统的日常监测工作。系统自投入试运行之日起,技术运维人员每周对服务器进行巡检,巡检的内容如下:
(一)服务器性能、数据库性能等运行状态,以及备份存贮系统或硬盘容量状态等;
(二)服务器操作系统日志、软件系统状态;
(三)计算机漏洞公告、网络漏洞扫描报告;
(四)病毒公告、防病毒系统报告;
同时,服务器运维人员定期做以下监测:
(一)局域网通讯性能与流量;
(二)网络设备和安全设备的操作记录、网络访问记录;
(三)其他可能影响信息系统的预警内容。
应急工作小组获得外部重大预警信息或通过监测获得内部预警信息后,应对预警信息加以分析,按照早发现、早报告、早处置的原则,对可能演变为严重事件的情况,部署相应的应对措施,通知相关部门做好预防和保障应急工作的各项准备工作,并及时报告应急领导小组。
5 应急响应程序
系统使用单位或人员发现信息系统突发事件后,应及时报告应急工作小组。应急工作小组及时组织相关人员查找故障原因,在短时间内(一般要在半小时以内)依据故障情形和修复时间进行初步判别,确定故障分类级别,较大(III 级) 及其以上的突发事件应报告应急领导小组,经过应急领导小组向应急指导与监督管理小组上报。
系统突发事件发生后,根据突发事件严重程度,经应急指导与监督管理小组决策后,由应急领导小组指定特定小组或人员及时向系统使用单位发布相关信息,所指定的小组或人员应严格按照应急领导小组规定及要求对外发布信息,其他部门或个人不得擅自对外发布自己的看法和意见。
发生较大(III 级)及其以上信息系统突发事件时,应急工作小组除向应急领导小组报告外,应立即通知各业务岗工作人员。各业务岗工作人员应在各业务办理处张贴告示,同时做好服务对象的解释和疏导工作,并尽可能通过电话、网络、短信等方式通知相关单位经办人员,同时将事件以书面形式向应急指导与监督管理小组报备。
根据不同的事件以及事件的级别,采取相应措施进行应急处理。突发事件处理过程中,可以根据需要调整故障级别。
5.1 网络攻击事件应急预案
(一)当发现网络被非法入侵、网页内容被篡改,应用服务器的数据被非法拷贝、修改、删除,或有黑客正在进行攻击等现象时,使用者或管理者应断开网络,并立即拨打电话报告应急工作小组。
(二)应急工作小组立即组织关闭相关服务器,封锁或删除被攻破的登陆帐号,阻断可疑用户进入网络的通道,并及时清理系统、恢复数据和程序。
(三)应急领导小组应同时上报应急指导与监督管理小组,在应急指导与监督管理小组的指导下尽快将系统和网络恢复正常。
5.2 信息破坏事件应急预案
(一)当发现信息被篡改、假冒、泄漏等事件时,系统使用单位或个人立即拨打电话通知应急工作小组。
(二)应急工作小组通过跟踪应用程序、查看数据库记录和业务系统记录查找信息被破坏的原因和相关责任人。
(三)应急工作小组提出修正错误方案和措施,上报应急指导与监督管理小组,在指导与监督管理小组的指导下,将信息破坏事件处理方案通知各业务岗工作人员进行处理。
5.3 信息内容安全事件应急预案
(一)当发现不良信息或网络病毒时,系统使用人员立即断开网线,终止不良信息或网络病毒传播,并立即拨打电话报告应急工作小组。
(二)应急工作小组根据情况通告局域网内所有计算机用户,隔离网络,指导各计算机操作人员进行杀毒处理、清除不良信息。
(三)应急领导小组上报应急指导与监督管理小组,在指导与监督管理小组的指导下处理信息内容安全事件,直至网络处于安全状态。
5.4 网络故障事件应急预案
(一)发生网络故障事件后,系统使用人员应及时拨打电话报告应急工作小组。
(二)应急工作小组及时查清网络故障位 置和原因,并予以解决。
(三)不能确定故障的解决时间或解决故障的期限并属 较大(III 级)及其以上的,应急工作小组应报告应急领导小组,由领导小组决策后上报上报应急指导与监督管理小组。
5.5 服务器故障事件应急预案
(一)服务器故障后,应急工作小组确定故障设备及故障原因,并通知相关厂商、运营商。
(二)根据服务器修复和恢复系统所需时间,由应急领导小组决定是否启用备份设备。如启用备份设备,在服务器故障排除后,应急工作小组在确保不影响正常业务工作的前提下,利用网络空闲时期替换备用设备。如不启用备份设备,应急工作小组应积极配合相关厂商解决服务器故障事件。
(三)应急领导小组应将此类事件报备应急指导与监督管理小组。
5.6 软件故障事件应急预案
(一)发生软件系统故障后,系统使用人员应立即保存数据,停止该计算机的业务操作,并拨打电话将情况报告应急工作小组,不得擅自进行处理。
(二)应急工作小组以及开发技术团队应立刻派出技术人员进行处理,必要情况下,通知各业务岗工作人员停止业务操作和对系统数据进行备份。
(三)应急工作小组组织有关人员在保持原始数据安全的情况下,对系统进行修复;修复系统成功后,利用数据库日志或备份数据恢复丢失的数据。
(四)应急领导小组应将应急指导与监督管理小组,确保上传数据无误。
5.7 灾害性事件应急预案
(一)一旦发生灾害性事件,应急工作小组在第一时间进入机房抢救服务器及存储设备。
(二)应急工作小组对服务器及存储设备的损坏程序进行评估。如服务器损坏或存储设备损坏无法使用,立即联系相关厂商,进入维保服务程序。
(三)根据服务器或存储设备修复和恢复系统所需时间,由应急领导小组决定是否启用备份设备。
5.8 其他突发事件应急预案
应急工作小组立刻派出技术人员进入现场,制定相应措 施,根据实际情况灵活处理,并按要求报告应急领导小组,经应急领导小组上报应急指导与监督管理小组,共同协同处理突发事件。
6 后期处置
(一)故障排除后,应急工作小组向各业务岗人员发出故障解除、系统恢复正常运行通知。
(二)系统恢复运行后,相关操作人员尽快通知相关单位,并对故障发生前所进行过的业务操作进行检查,核对业务数据是否正确或有无丢失,不正确或有丢失的应马上更正或补录,确保数据的正确和完整。对在故障期间采用手工受理的事项,应及时在系统中补充完善。
(三)应急领导小组组织有关人员及有关技术专家组成事件调查组,对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估,总结经验教训,完善系统应急处理预案,整改信息系统存在的隐患。
7 应急保障
服务器运维人员技术人员应做好系统数据的备份工作,保证重要数据在受到破坏后可紧急恢复。预留一定数量的网络硬件设备和服务器,用于预防或应对系统突发事件。系统服务器以及存储设备要与专业厂商签定维保协议,明确备用设备的供应时间。