篇一:IT系统安全应急预案
江苏IT系统安全应急预案 1 目的
伴随着公司信息化建设的发展,IT系统的安全性也越发重要,需要全面加强信息安全性的建设,确保系统不受到来自内部和外部的攻击,实现对非法入侵的安全审计与跟踪,保证业务应用和数据的安全性。同时还必须建立起一套完善、可行的应急处理规章制度,在出现重大情况后能及时响应,尽最大可能减少损失。
1. 2 公司系统架构和现状
2.1 IT应用系统架构
公司的IT系统以总公司为中心,各分支机构通过租用专用线路或VPN同总公司连通,在各分支机构内部也建立较完善的多级综合网络,包括中心支公司、支公司、出单点等等。在网络上运行着以下系统:
(一) 视频会议系统
各分公司之间、分公司与总公司之间、各办事处与公司之间进行的网络视频会议。
(二)办公自动化系统
辅助公司日常办公的系统,如OA\ERP,实现公司上下级之间的公文与协同工作信息传递。
(三)邮件系统
公司的内部及外部邮箱系统,为公司内、外部信息交流提供方便、快捷的通道。
2.2 系统安全隐患
由于公司的系统是多应用、多连接的平台,本身就可能存在着难于觉察的安全隐患,同时又面临来自各方面的安全威胁,这些威胁既可能是恶意的攻击,又可能是某些员工无心的过失。下面从网络系统、操作系统与数据库、数据以及管理等方面进行描述:
(一)网络
与公司各级网络进行互联的外部网络用户及Internet黑客对各级单位网络的非法入侵和攻击;公司内部各级单位网络相互之间的安全威胁,例如某个分支单位网络中的人员对网络中关键服务器的非法入侵和破坏;在各级单位网络中,对于关键的生产业务应用和办公应用系统而言,可能会受到局域网上一些无关用户的非法访问。
(二)操作系统与数据库
操作系统与数据库都存在一定的安全缺陷或者后门,很容易被攻击者用来进行非法的操作;系统管理员经验不足或者工作疏忽造成的安全漏洞,也很容易被攻击者利用;系统合法用户特别是拥有完全操作权限的特权用户的误操作可能导致系统瘫痪、数据丢失等情况。
(三)网络应用
网络上多数应用系统采用客户/服务器体系或衍生的方式运行,对应用系统访问者的控制手段是否严密将直接影响到应用自身的安全性;由于实现了Internet接入,各级单位的计算机系统遭受病毒感染的机会也更大,且很容易通过文件共享、电子邮件等网络应用迅速蔓延到整个公司网络中;网络用户自行指定IP地址而产生IP地址冲突,将导致业务系统的UNIX小型机服务器自动宕机。
(四)数据
数据存储和传输所依赖的软、硬件环境遭到破坏,或者操作系统用户的误操作,以及数据库用户在处理数据时的误操作,都会使严重威胁数据的安全。
(五)管理
如果缺乏严格的企业安全管理,信息系统所受到的安全威胁即使是各种安全技术手段也无法抵抗。
在充分认识到确保核心业务和应用有效运转的前提下,公司已经采取了一定的措施,如利用操作系统和应用系统自身的功能进行用户访问控制,建立容错和备份机制,采用数据加密等。但是这些措施所能提供的安全功能和安全保护范围都非常有限,为了在不断发展变化着的网络计算环境中保护公司信息系统的安全,特制定了IT系统重大事件应急方案。
2. 3 IT系统重大事件的界定
IT系统的脆弱性体现在很多方面,小到短暂的电力不足或磁盘错误,大到设备的毁坏或火灾等等。很多系统弱点可以在组织风险管理控制过程中通过技术的、管理的或操作的方法消除,但理论上是不可能完全消除所有的风险。为了能更好的制定针对IT系统重大事件的应急方案,必须先对所有可能发生的重大事件进行详细的描述和定义。下面将从IT系统相关联的电源、网络、主机及存储设备、数据库、病毒、信息中心机房等多个方面进行说明。
3.1 电源
电源是IT系统最基础的部分,也是最容易受到外界干扰的部分之一。在既能保证公司系统平稳运行,又能保证关键或重要设备安全的前提下,根据目前配备的UPS电源的实际情况,将电源事件分为三个层次:
一般性电源事件:停电时间在1小时以内的(包括1小时);
需关注电源事件:停电时间在2小时以内的(包括2小时);
密切关注电源事件:停电时间在2小时以上的。
3.2 网络
网络是IT系统及网络客户进行通讯的通道,也是最容易受到外界干扰或攻
击的部分之一。目前总公司主要对各地分公司到总公司的网络线路进行管控,而公司又是采用数据集中的运营模式,鉴于这种情况,将网络事件分为三个层次:
一般性网络事件:楼层交换机出现异常,或局域网络中断时间在5分钟以内的(包括5分钟);
需关注网络事件:主交换机、防火墙、上网设备出现异常,或局域网络中断时间在30分钟以内的(包括30分钟),广域网络中断时间在5分钟以内的(包括5分钟);
密切关注网络事件:主干交换机、核心路由器、VPN设备出现异常,或广域网络中断时间在30分钟以上的。
3.3 主机及存储设备
主机及存储设备是IT系统运行的关键和核心,也是相对脆弱的部分,对工作环境的要求是相当高的,任何外部的变化都可能导致这些设备出现异常。根据出现的异常情况,将主机及存储设备事件分成三个层次:
一般性事件:非系统关键进程或文件系统出现异常,不影响生产系统运行的; 需关注事件:根文件系统或生产系统所在的文件系统的磁盘空间将满/已满或系统关键进程异常,即将影响或已经影响生产系统运行的;主机或存储设备的磁盘异常并发出警告的;
密切关注事件:主机宕机;存储设备不能正常工作的;主机与存储设备中断连接的;主机性能严重降低,影响终端用户运行的;系统用户误操作导致重要文件丢失的。
3.4 数据库
数据库是存储公司经营信息的关键部分,由于数据库是建立在主机及存储设备上的应用,任何主机及存储设备的变化都会对数据库产生或大或小的影响,同时数据库也是公司各个层面用户的使用对象,用户对数据的操作可能导致不可预料的影响。根据数据库对外界操作的反映,将数据库事件分为两个层次:
一般事件:不影响大量用户或应用系统正常运行的警告或错误报告;
重要事件:数据库的系统表空间将满/已满的;业务系统表空间将满/已满的;数据库网络监视进程终止运行的;数据库内部数据组织出现异常的;数据库用户误操作导致数据丢失的;数据库关键进程异常;数据库性能严重降低,影响终端用户运行;数据库宕机。
3.5 电脑病毒
由于Internet接入,员工从Internet上进行下载或者接收邮件,都有感染病毒的可能性。某些病毒带有极大的危害性和极快的传播速度,从而可能导致在公司内部的病毒大范围传播。针对病毒在公司内部的传播范围或危害程度,分为三个层次:
一般性事件:独立的病毒感染,并没有传播和造成损失的;
密切关注事件:病毒小范围传播,并造成一定损失,但不是重大损失的; 严重关注事件:病毒大范围传播,并造成重大损失的;
3.6 其他事件
信息中心机房其他影响IT系统运行的因素可能会产生一些突然事件,主要有以下一些方面:
(一)空调工作异常,导致机房温度过高;
(二)空调防水保护出现异常导致渗水;
(三)发生火灾;
(四)粉尘导致主机或存储设备异常的。
3. 4 信息系统重大事件的应急方案
根据上节对IT系统重大事件的界定,公司已经建立了一套完整的应急方案,
篇二:IT系统应急预案
起效日期 07.03.10 版本 1.0
分类
总务规定 安全管理
1.修订履历
修订 符号
修订 日期
修订 内容·理由
修订 页数
批准
审议
作成
2.相关规定
类别
客户 其他
公司规定
NSSC
指导书
相关规定
原版管理
质量体系中心
分发部门 批准
审查
审查
拟定
起效日期 07.03.10 版本 1.0
分类
总务规定 安全管理
1. 目的
减轻IT系统中断对公司业务的影响,并对中断的IT系统进行恢复和重建。
2.术语
IT系统:本文档中IT系统具体指以下内容
■桌面系统:手提电脑、台式电脑、打印复印机、传真机等 ■局域网(LAN):连接桌面系统的网络
■广域网(WAN):DDN专线、电信网络
■服务器:文件服务器、Glovia服务器、财务服务器、人事服务器
■电话系统:电话交换机
4. 原则
统一指挥,分级负责。公司设立灾害应急小组,内设指挥部,下设职能小组,分别负责 各项对应工作,实行“谁主管,谁负责”。
5. 适用范围
适用于东莞恩斯克转向器有限公司所有IT系统中断的应急处理工作
6. 灾害应急组织机构及职责
起效日期 07.03.10 版本 1.0
分类
总务规定 安全管理
5. 对策流程 5.1应急启动5.1.1。5.1.2。 5.2应急对策
5.2.1桌面系统中断,首先使用备件更换,其次使用整机,最后联络供应商提供备用系统。
5.2.2 局域网中断时,参照网络配置图,采用备件更换
5.2.3 广域网中断时,参照网络配置图,联络供应商解决(日本电信和中国网通) 5.2.4 服务器中断时,联络供应商,使用备份文件,恢复系统;5.3 IT系统时中断对应
5.3.1 联络大家使用新的应急系统
起效日期 07.03.10 版本 1.0
分类
总务规定 安全管理
5.3.2
5.4灾害后的对应
5.4.1 对系统中断损失进行评估
7. 灾害应急组织架构
组长:梁 勇 组员:卢桂环 组长:梁 勇 组员:卢桂环 组长:梁 勇 组员:卢桂环
注:此架构图每三个月更新一次。
附 供应商联络图
大同电脑(笔记本电脑)
金源办公设备(打印机复印机传真机)
日本电信上海办事处 中国网通东莞分公司 中国电信
NEC(电话交换机)
篇三: 
计算机信息系统事故处理应急预案
1 目的
为妥善应对和处置XXXX股份有限公司计算机信息系统突发事件,保障XXXX股份有限公司业务的的正常运行,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》等有关法规文件精神,结合公司实际情况,特制定本应急预案。
目的在于维护XXXX股份有限公司信息系统正常运行,进一步完善信息系统管理机制,提高突发事件的应急处置能力。
2 适用范围
适用对象:XXXX技术部
业务范围:适用于预防及处置计算机信息系统突发事件。
3 职责及权限
4 应急措施与工作程序
4.1 应急措施
一、公司网站、网页出现非法言论事件紧急处置措施
1. 公司行政人员负责查看公司网页信息,发现在网页上出现非法信息时,应立即向领导小组办公室负责人报告;情况紧急的,在保留原始信息后,应先采取删除等处理措施,再按程序报告。
2. 信息安全技术人员应在接到报告后首先做好必要记录,清理非法信息,妥善保存有关记录及日志,强化安全防范措施,并将网站网页重新投入使用。
3.
4. 追查非法信息来源,并将有关情况向领导小组负责人汇报。 领导小组办公室负责人按照事态严重程度,决定是否并向政府信息化主管部门报告和公安部门报警。
二、黑客攻击事件紧急处置措施
1. 恢复还没有得到或破坏机密数据的被入侵系统
(1)、先对系统当前状态做一个备份,用来做事后分析和证据,然后使用IP追捕软件来反向追踪攻击者,再断开与他的网络连接,通过添加防火墙规则来阻止。
(2)、修改数据库管理员帐号名称和登录密码,重新为操作数据的用户建立新的帐户和密码,并且修改数据库的访问规则。
2. 恢复已经得到或删除了机密数据的被入侵系统
发现系统已经被入侵时,攻击者已经得到或删除了系统中全部或部分的机密数据,应尽快断开与攻击源的网络连接。
断开与攻击源的连接后,应当立即分析数据损失的范围和严重程度,了解哪些数据还没有被影响到,并立即将这些没有影响到的数据进行备份或隔离保护。
3. 领导小组办公室负责人按照事态严重程度,决定是否并向政府信息化主管部门报告和公安部门报警。
三、病毒事件紧急处置措施
1. 当信息安全技术人员发现有计算机被感染上病毒后,应立即将该机与网络隔离。如果短时间内无法处理完成,需要启动备用设备。
2. 信息安全技术人员对该计算机进行数据备份。
3. 启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他该网络中的计算机进行病毒扫描和清除工作。
4. 如果现行反病毒软件无法清除该病毒,应立即向领导小组负责人报告,并迅速联系有解决能力的软件厂商研究解决。
5. 病毒清除,通过专业检测后,隔离的设备可重新投入使用。
四、软件系统遭破坏性攻击的紧急处置措施
1. 重要的软件系统日常维护时必须指定专人负责,将它们备份并保存于安全处。
2. 一旦软件遭到破坏性攻击,信息安全技术人员应立即向领导小组办公室负责人报告,并将该系统停止运行。
3. 信息安全技术人员检查信息系统的日志等资料,确定攻击来源,并将有关情况向领导小组办公室负责人汇报,再恢复软件系统和数据。
五、数据库安全紧急处置措施
1. 主要数据库系统应按要求做好数据库备份。
2.
报告。
3. 在备用系统运行期间,信息安全工作人员应对主机系统进行维修并作数据恢复。
4. 如果系统崩溃而无法恢复,技术员应立即向领导小组办公室负责人汇报,并联系有一旦数据库崩溃,信息安全技术人员应立即启动备用系统,并向领导小组负责责人解决能力的厂商请求紧急支援。
六、广域网外部线路中断紧急处置措施
1. 信息安全技术人员接到报告后,应迅速判断故障节点,查明故障原因。
2.
3. 如属公司内部网络原因导致,应立即解决。 如由于网络接入商导致,应立即联系网络供应商并令其尽快解决。
七、局域网中断紧急处置措施
1. 信息化管理机构应指定人员负责对网络设备的日常管理工作。
2. 局域网中断后,信息安全技术人员应立即判断故障节点,查明故障原因,并向领导小组办公室负责人汇报,同时做好故障记录。
3. 如属路由器、交换机等网络设备故障,信息安全技术人员应立即更换故障设备,并调试通畅。
4. 如属路由器、交换机配置文件破坏,信息安全技术人员应迅速按照要求重新配置,
并调测通畅。
八、设备安全紧急处置措施
1. 服务器等关键设备损坏后,信息安全技术人员立即查明原因。
2. 如果短时间内无法解决,应该立即启用备用设备,保证业务连续性。
3. 如果能够自行修复,应立即用备件替换受损部件。
4. 如属不能自行修复的,立即与设备提供商联系,要求派维护人员立即前来维修。
4.2 工作程序
。
5 验证
根据应急问题的发现的途径不同,分别由部门总经理、内审员、分管副总对纠正和预防措施的实施进行确认,并对措施的实施情况进行监控和验证,直至措施项关闭。监控、验证内容主要包括以下几个方面:
1. 各项措施是否全部落实;
2. 是否达到预期效果;
3. 有关记录是否保留;
4. 涉及客户的,是否最终使客户满意。
5. 每年由ISO9000标准和ISO27001标准外部审核人员对应急处理情况进行检查。