信息系统安全应急预案

第一篇：信息系统安全应急预案

信息系统安全应急预案

xxx信息系统安全应急预案v1.0 1 目的

随着大量信息技术的采用，公司信息化建设发展迅速，并日益成为提高公司竞争力的重要因素。公司建立了支持全公司业务经营的核心业务处理系统、财务处理系统、OA系统和邮件系统，实现了数据的集中管理。但伴随着公司信息化建设的发展，IT系统的安全性也越发重要，需要全面加强信息安全性的建设，确保系统不受到来自内部和外部的攻击，实现对非法入侵的安全审计与跟踪，保证业务应用和数据的安全性。同时还必须建立起一套完善、可行的应急处理规章制度，在出现重大情况后能及时响应，尽最大可能减少损失。

1. 2 公司系统架构和现状

2.1 IT应用系统架构

公司的IT系统以总公司为中心，各分支机构通过租用专用线路同总公司连通，在各分支机构内部也建立较完善的多级综合网络，包括中心支公司、支公司、出单点等等。在网络上运行着以下系统：

(一)生产系统

包括核心业务处理系统、财务处理系统、再保险处理系统等，贯穿公司的各个层面，包括总公司、分公司、支公司、出单点等，是公司整个IT系统的核心部件，也是最需要投入资源的部分。

(二)办公自动化系统

辅助公司日常办公的系统，实现公司上下级之间的公文与协同工作信息传递。

(三)邮件系统 为公司内、外部信息交流提供方便、快捷的通道。

(四)公司网站

发布公司信息，在宣传公司，提升公司形象上发挥重要作用。

2.2 系统安全隐患

由于公司的系统是多应用、多连接的平台，本身就可能存在着难于觉察的安全隐患，同时又面临来自各方面的安全威胁，这些威胁既可能是恶意的攻击，又可能是某些员工无心的过失。下面从网络系统、操作系统与数据库、数据以及管理等方面进行描述：

(一)网络

与公司各级网络进行互联的外部网络用户及Internet黑客对各级单位网络的非法入侵和攻击;公司内部各级单位网络相互之间的安全威胁，例如某个分支单位网络中的人员对网络中关键服务器的非法入侵和破坏;在各级单位网络中，对于关键的生产业务应用和办公应用系统而言，可能会受到局域网上一些无关用户的非法访问。

(二)操作系统与数据库

操作系统与数据库都存在一定的安全缺陷或者后门，很容易被攻击者用来进行非法的操作;系统管理员经验不足或者工作疏忽造成的安全漏洞，也很容易被攻击者利用;系统合法用户特别是拥有完全操作权限的特权用户的误操作可能导致系统瘫痪、数据丢失等情况。

(三)网络应用

网络上多数应用系统采用客户/服务器体系或衍生的方式运行，对应用系统访问者的控制手段是否严密将直接影响到应用自身的安全性;由于实现了Internet接入，各级单位的计算机系统遭受病毒感染的机会也更大，且很容易通过文件共享、电子邮件等网络应用迅速蔓延到整个公司网络中;网络用户自行指定IP地址而产生IP地址冲突，将导致业务系统的UNIX小型机服务器自动宕机。

(四)数据

数据存储和传输所依赖的软、硬件环境遭到破坏，或者操作系统用户的误操

作，以及数据库用户在处理数据时的误操作，都会使严重威胁数据的安全。

(五)管理

如果缺乏严格的企业安全管理，信息系统所受到的安全威胁即使是各种安全技术手段也无法抵抗。

在充分认识到确保核心业务和应用有效运转的前提下，公司已经采取了一定的措施，如利用操作系统和应用系统自身的功能进行用户访问控制，建立容错和备份机制，采用数据加密等。但是这些措施所能提供的安全功能和安全保护范围都非常有限，为了在不断发展变化着的网络计算环境中保护公司信息系统的安全，特制定了IT系统重大事件应急方案。

2. 3 IT系统重大事件的界定

IT系统的脆弱性体现在很多方面，小到短暂的电力不足或磁盘错误，大到设备的毁坏或火灾等等。很多系统弱点可以在组织风险管理控制过程中通过技术的、管理的或操作的方法消除，但理论上是不可能完全消除所有的风险。为了能更好的制定针对IT系统重大事件的应急方案，必须先对所有可能发生的重大事件进行详细的描述和定义。下面将从IT系统相关联的电源、网络、主机及存储设备、数据库、病毒、信息中心机房等多个方面进行说明。

3.1 电源

电源是IT系统最基础的部分，也是最容易受到外界干扰的部分之一。在既能保证公司系统平稳运行，又能保证关键或重要设备安全的前提下，根据目前配备的UPS电源的实际情况，将电源事件分为三个层次：

一般性电源事件：停电时间在1小时以内的(包括1小时); 需关注电源事件：停电时间在2小时以内的(包括2小时); 密切关注电源事件：停电时间在2小时以上的。

3.2 网络

网络是IT系统及网络客户进行通讯的通道，也是最容易受到外界干扰或攻击的部分之一。目前总公司主要对各地分公司到总公司的网络线路进行管控，而公司又是采用数据集中的运营模式，鉴于这种情况，将网络事件分为三个层次：

一般性网络事件：楼层交换机出现异常，或局域网络中断时间在5分钟以内的(包括5分钟);

需关注网络事件：主交换机、防火墙、上网设备出现异常，或局域网络中断时间在30分钟以内的(包括30分钟)，广域网络中断时间在5分钟以内的(包括5分钟);

密切关注网络事件：主干交换机、核心路由器、VPN设备出现异常，或广域网络中断时间在30分钟以上的。

3.3 主机及存储设备

主机及存储设备是IT系统运行的关键和核心，也是相对脆弱的部分，对工作环境的要求是相当高的，任何外部的变化都可能导致这些设备出现异常。根据出现的异常情况，将主机及存储设备事件分成三个层次：

一般性事件：非系统关键进程或文件系统出现异常，不影响生产系统运行的; 需关注事件：根文件系统或生产系统所在的文件系统的磁盘空间将满/已满或系统关键进程异常，即将影响或已经影响生产系统运行的;主机或存储设备的磁盘异常并发出警告的;

密切关注事件：主机宕机;存储设备不能正常工作的;主机与存储设备中断连接的;主机性能严重降低，影响终端用户运行的;系统用户误操作导致重要文件丢失的。 3.4 数据库

数据库是存储公司经营信息的关键部分，由于数据库是建立在主机及存储设备上的应用，任何主机及存储设备的变化都会对数据库产生或大或小的影响，同时数据库也是公司各个层面用户的使用对象，用户对数据的操作可能导致不可预料的影响。根据数据库对外界操作的反映，将数据库事件分为两个层次：

一般事件：不影响大量用户或应用系统正常运行的警告或错误报告; 重要事件：数据库的系统表空间将满/已满的;业务系统表空间将满/已满的;数据库网络监视进程终止运行的;数据库内部数据组织出现异常的;数据库用户误操作导致数据丢失的;数据库关键进程异常;数据库性能严重降低，影响终端用户运行;数据库宕机。

3.5 电脑病毒

由于Internet接入，员工从Internet上进行下载或者接收邮件，都有感染病毒的可能性。某些病毒带有极大的危害性和极快的传播速度，从而可能导致在公司内部的病毒大范围传播。针对病毒在公司内部的传播范围或危害程度，分为三个层次：

一般性事件：独立的病毒感染，并没有传播和造成损失的;

密切关注事件：病毒小范围传播，并造成一定损失，但不是重大损失的; 严重关注事件：病毒大范围传播，并造成重大损失的;

3.6 其他事件

信息中心机房其他影响IT系统运行的因素可能会产生一些突然事件，主要有以下一些方面：

(一)空调工作异常，导致机房温度过高;

(二)空调防水保护出现异常导致渗水;

(三)发生火灾;

(四)粉尘导致主机或存储设备异常的。

3. 4 信息系统重大事件的应急方案

根据上节对IT系统重大事件的界定，公司已经建立了一套完整的应急方案，在硬件方面采用双机热备机制，同时加强日常的系统监控，保持完整的数据备份，及时进行灾难恢复，和储备必要的系统备件等多种技术和方法。下面按照IT系统相关联的电源、网络、主机及存储设备、数据库、电脑病毒等多个方面进行说明。

4.1 电源

采用UPS为主要设备进行供电，为了应对重大突发事件，采用以下了手段：

(一)加强UPS的维护，保证UPS的正常工作;

(二)在必要情况下，交流输入供电系统采用双路市电供电和发电机联合供电，保证市电使长期停电, UPS仍能正常供电;

(三)直流输入方面，采用公用一组电池组的设计，配置长达4小时的后备电池, 并提供交流输入瞬变或市电与发电机供电切换时的短时供电;

(四)根据停电时间的长短，依次发布一般性通知、较紧急通知和紧急通知给相关部门和机构;

(五)停电发生后，及时联系供电部门和物业管理部门。

4.2 网络

(一)核心路由器做双以太口绑定，如一端口发生故障，自动切换到VPN备份线路接入主机系统，直到修复使用正常，同时由网络集成商提供技术和备件支持，一旦出现紧急故障，1小时赶到现场处理故障;

(二)到分支机构专线采用2M数字线路，如2M数字线路发生故障断开则自动切换到VPN备份线路接入主机系统，直到专线修复则使用正常2M线路通信;

(三)对于网络核心设备出现重大故障，尽快了解情况，分析问题和提出应急解决方案，做好现场应急处理，立即通知网络集成服务商到现场处理，主干交换机由网络集成商提供技术和备件支持，一旦出现紧急故障，1小时内赶到现场处理故障;

(四)为防止核心路由器或主干交换机发生故障后无法解决问题，在必要情况下，配备一台备用路由器和主干交换机，配置接口与核心路由器和主干交换机相同，一旦出现故障，能在十分种内进行更换;

(五)采用CISCO PIX FIREWALL在网络入口处检查网络通讯，根据设定的安全规则，在保护内部网络安全的前提下，保障内外网络通讯，实现了内部网络与外部网络有效的隔离，所有来自外部网络的访问请求都要通过防火墙的检查，内部网络的安全将会得到保证。具体有：

1、设置源地址过滤，拒绝外部非法IP地址，有效避免了外部网络上与业务无关的主机的越权访问;

2、防火墙只保留有用的WEB服务和邮件服务，将其它不需要的服务关闭(含即时通信QQ或其它，MSN控制在一定范围使用)，将系统受攻击的可能性降低到最小限度，使黑客无机可乘;

3、防火墙制定访问策略，只有被授权的外部主机可以访问内部网络的有限IP地址，保证外部网络只能访问内部网络中的必要资源，与业务无关的操作将被拒绝;

4、全面监视外部网络对内部网络的访问活动，并进行详细的记录，及时分析得出可疑的攻击行为;

5、网络的安全策略由防火墙集中管理，使黑客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的;

6、设置地址转换功能，使外部网络用户不能看到内部网络的结构，使黑客攻击失去目标。 4.3 主机、存储设备及数据库

为保证生产系统稳定运行，主机与存储系统保持7X24小时的可用。为应对可能发生的重大事件或突发事件，采取以下措施：

(一)在接到紧急停电通知后30-40分钟内按照先数据库、次主机、最后存储设备的顺序停止所有系统运行，在必要的情况下，须拔掉所有电源插头;

(二)采用双机热备技术，在其中一台主机出现异常时，及时进行切换;

(三)采用硬盘、磁带库等设备作好日常数据备份;

(四)如果发生误删除操作系统文件，立即进行文件系统恢复(必须有备份);

(五)如果发生误删除数据，立即进行数据库恢复(必须有备份);

(六)如果文件系统空间不够，导致系统不能正常运行，立即进行文件系统扩展。

(七)如果数据库表空间不足，立即进行表空间扩展，同时可能还进行文件系统扩展;

(八)在必要情况下，建立异地数据备份中心，以保持数据安全性。

(九)出现重大故障，尽快了解情况，分析问题和提出应急解决方案，做好现场应急处理，立即通知系统服务商到现场处理，并由系统服务商提供备件支援。

4.4 电脑病毒

为防止电脑病毒在公司内部的传播，反毒和信息安全应按照“整体防御，整体解决”的原则实施，采用多种手段和产品来切断电脑病毒的传播“通道”。具体措施如下：

(一)配置企业级网络版杀毒软件，在公司总部、分公司、营业部所有联网的PC机、PC服务器上安装病毒/邮件防火墙，部署统一的公司网络防毒系统，实现反毒分级防范和集中安全管理;

(二)在公司总部和分公司配置防毒网关服务器，检查所有进出邮件、所访问的网页和FTP文件，防止病毒通过外部网络进入公司内网进行传播;

(三)建立定时自动更新防病毒软件和病毒库的机制，确保杀毒软件的有效性;

(四)建立集中的网络入侵检测和漏洞扫描系统，防范黑客入侵和攻击，及时给系统打补丁;

(五)加强对用户的教育，不从不明网站下载，不查看来源不明的邮件，不运行可能含有病毒的程序等;

(六)如果用户机器发现病毒，应立即终止网络连接并通知信息部门进行相关处理;

(七)如果因病毒发作而导致数据丢失，应立即与信息部门联系，不要自行处理。

第二篇：信息系统安全应急预案

深圳市前海好彩金融服务有限公司

信息系统安全应急预案

一、总则

(一)编制目的

公司网络和信息安全涉及以设备为中心的信息安全，技术涵盖网络系统、计算机操作系统、数据库管理系统和应用软件系统;涉及计算机病毒的防范、入侵的监控;涉及以用户(包括内部员工和外部相关机构人员)为中心的安全管理，包括用户的身份管理、身份认证、授权、审计等;涉及信息传输的机密性、完整性、不可抵赖性等等。为切实加强我司网络运行安全与信息安全的防范，做好应对网络与信息安全突发公共事件的应急处理工作，进一步提高预防和控制网络和信息安全突发事件的能力和水平，昀大限度地减轻或消除网络与信息安全突发事件的危害和影响，确保网络运行安全与信息安全，结合公司工作实际，特制定本应急预案。

(二)编制依据

根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全3级评级方法》、GB/T20269-2006《信息安全技术信息系统安全管理要求》、GB/T20270-2006《信息安全技术网络基础安全技术要求》、 GB/T20281-2006《信息安全技术防火墙技术要求和测试评价方法》、GB/T19716-2005《信息技术信息安全管理使用规则》等有关法规、规定，制定本预案。

(三)本预案适用于深圳市前海好彩金融服务有限公司网络与信息安全应急处理工作。

二、应急组织机构及职责

成立信息系统应急处理领导小组，负责领导、组织和协调全公司信息系统突发事件的应急保障工作。

(一)领导小组成员： 组长：技术主管 副组长：运维经理

成员:开发部. 运维部. 测试部.等部门负责人组成。

应急小组日常工作由公司技术部承担，其他各相关部门积极配合。

(二)领导小组职责：制订专项应急预案，负责定期组织演练，监督检查各部门在本预案中履行职责情况。对发生事件启动应急救援预案进行决策，全面指挥应急救援工作。

三、工作原则

(一)积极防御、综合防范

立足安全防护，加强预警，重点保护重要信息网络和关系社会稳定的重要信息系统;从预防、监控、应急处理、应急保障和打击不法行为等环节，在管理、技术、宣传等方面，采取多种措施，充分发挥各方面的作用，构筑网络与信息安全保障体系

(二)明确责任、分级负责

按照“谁主管谁负责”的原则，分级分类建立和完善安全责任制度、协调管理机制和联动工作机制。加强计算机信息网络安全的宣传和教育，进一步提高工作人员的信息安全意识。

(三)落实措施、确保安全

深圳市前海好彩金融服务有限公司

要对机房、网络设备、服务器等设施定期开展安全检查，对发现安全漏洞和隐患的进行及时整改。

(四)科学决策，快速反应

加强技术储备，规范应急处置措施和操作流程，网络与信息安全突发公共事件发生时，要快速反应，及时获取准确信息，跟踪研判，及时报告，果断决策，迅速处理，昀大限度地减少危害和影响。

四、事件分类和风险程度分析

(一)物理层的安全风险分析

1、系统环境安全风险

(1)水灾、火灾、雷电等灾害性故障引发的网络中断、系统瘫痪、数据被毁等;

(2)因接地不良、机房屏蔽性能差引起的静电干扰或外界的电磁干扰使系统不能正常工作; (3)机房电力设备和其它配套设备本身缺陷诱发信息系统故障; (4)机房安全设施自动化水平低，不能有效监控环境和信息系统工作; (5)其它环境安全风险。

2、物理设备的安全风险由于信息系统中大量地使用了网络设备如交换机、路由器等，服务器，移动设备，使得这些设备的自身安全性也会直接关系信息系统和各种网络应用的正常运转。例如，路由设备存在路由信息泄漏，交换机和路由器设备配置风险等。

(二)网络安全风险

1、网络体系结构的安全风险

网络平台是一切应用系统建设的基础平台，网络体系结构是否按照安全体系结构和安全机制进行设计，直接关系到网络平台的安全保障能力。公司的网络是由多个局域网和广域网组成，网络体系结构比较复杂。内部应用信息网、Internet网之间是否进行隔离及如何进行隔离，网段划分是否合理，路由是否正确，网络的容量、带宽是否考虑客户上网的峰值，网络设备有无冗余设计等都与安全风险密切相关。

2、网络通信协议的安全风险。

网络通信协议存在安全漏洞，网络黑客就能利用网络设备和协议的安全漏洞进行网络攻击和信息窃取。例如未经授权非法访问内部网络和应用系统;对其进行监听，窃取用户的口令密码和通信密码;对网络的安全漏洞进行探测扫描;对通信线路和网络设备实施拒绝服务攻击，造成线路拥塞和系统瘫痪。

3、网络操作系统的安全风险

网络操作系统，不论是 IOS，Android，还是 Windows，都存在安全漏洞;一些重要的网络设备，如路由器、交换机、网关，防火墙等，由于操作系统存在安全漏洞，导致网络设备的不安全;有些网络设备存在“后门”(back door)。

(三)系统安全风险

1、操作系统安全风险

操作系统的安全性是系统安全管理的基础。数据库服务器、中间层服务器，以及各类业务和办公客户机等设备所使用的操作系统，不论是Win2008/XP/7，还是 Unix都存在信息安全漏洞，由操作系统信息安全漏洞带来的安全风险是昀普遍的安全风险。

2、数据库安全风险

深圳市前海好彩金融服务有限公司

所有的业务应用、决策支持、行政办公的信息管理核心都是数据库，而涉及公司运行的数据都是昀需要安全保护的信息资产，不仅需要统一的数据备份和恢复以及高可用性的保障机制，还需要对数据库的安全管理，包括访问控制，敏感数据的安全标签，日志审计等多方面提升安全管理级别，规避风险。虽然，目前公司的数据库管理系统可以达到较高的安全级别，但仍存在安全漏洞。建立在其上的各种应用系统软件在数据的安全管理设计上也不可避免地存在或多或少的安全缺陷，需要对数据库和应用的安全性能进行综合的检测和评估。

3、应用系统的安全风险

为优化整个应用系统的性能，无论是采用C/S应用模式或是B/S应用模式，应用系统都是其系统的重要组成部分，不仅是用户访问系统资源的入口，也是系统管理员和系统安全管理员管理系统资源的入口，桌面应用系统的管理和使用不当，会带来严重的安全风险。例如当口令或通信密码丢失、泄漏，系统管理权限丢失、泄漏时，轻者假冒合法身份用户进行非法操作。重者，“黑客”对系统实施攻击，造成系统崩溃。

4、病毒危害风险

计算机病毒的传播会破坏数据信息，占用系统资源，影响计算机运行速度，引起网络堵塞甚至瘫痪。尽管防病毒软件安装率已大幅度提升，但如果没有好的防毒概念，从不进行病毒代码升级，而新病毒层出不穷，因此威胁性愈来愈大。

5、黑客入侵风险

一方面风险来自于内部，入侵者利用 Sniffer等嗅探程序通过网络探测、扫描网络及操作系统存在的安全漏洞，如网络 IP地址、应用操作系统的类型、开放哪些 TCP端口号、系统保存用户名和口令等安全信息的关键文件等，并采用相应的攻击程序对内网进行攻击。入侵者通过拒绝服务攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。

另一方面风险来自外部，入侵者通过网络监听、用户渗透、系统渗透、拒绝服务、木马等综合手段获得合法用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息，或使系统终止服务。所以，必须要对外部和内部网络进行必要的隔离，避免信息外泄;同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝。

(四)应用安全风险

1、身份认证与授权控制的安全风险

依靠用户 ID和口令的认证很不安全，容易被猜测或盗取，会带来很大的安全风险。为此，动态口令认证、CA第三方认证等被认为是先进的认证方式。但是，如果使用和管理不当，同样会带来安全风险。要基于应用服务和外部信息系统建立基于统一策略的用户身份认证与授权控制机制，以区别不同的用户和信息访问者，并授予他们不同的信息访问和事务处理权限。

2、信息传输的机密性和不可抵赖性风险

实时信息是应用系统的重要事务处理信息，必须保证实时信息传输的机密性和网上活动的不可抵赖性，能否做到这一点，关键在于采用什么样的加密方式、密码算法和密钥管理方式。采用国内经过国家密码管理委员会和公安部批准的加密方式、密码算法和密钥管理技术来强化这一环节的安全保障。

深圳市前海好彩金融服务有限公司

3、管理层安全风险分析

安全的网络设备要靠人来实施，管理是整个网络安全中昀为重要的一环，认真地分析管理所带来的安全风险，并采取相应的安全措施。责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。

当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等)，无法进行实时的检测、监控、报告与预警。同时，当故障发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求人们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。

五、预防预警

(一)完善网络与信息安全突发公共事件监测、预测和预警制度。

加强对各类网络与信息安全突发事件和可能引起突发网络与信息安全突发公共事件的有关信息的收集、分析、判断和持续监测。当检查到有网络与信息安全突发事件发生或可能发生时，应及时对发生事件或可能发生事件进行调查核实、保存相关证据，并立即向应急领导小组报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施建议等。

若发现下列情况应及时向应急领导小组报告：利用网络从事违法犯罪活动;网络或信息系统通信和资源使用异常;网络或信息系统瘫痪，应用服务中断或数据篡改、丢失;网络恐怖活动的嫌疑和预警信息;其他影响网络与信息安全的信息。

(二)设定信息安全等级保护，实行信息安全风险评估。

通过相关设备实时监控网络工作与信息安全状况。各基础信息网络和重要信息系统建设要充分考虑抗毁性和灾难恢复，制定并不断完善信息安全应急处理预案。针对信息网络的突发性、大规模安全事件，建立制度优化、程序化的处理流程。

(三)做好服务器及数据中心的数据备份及登记工作，建立灾难性数据恢复机制。

一旦发生网络与信息安全事件，立即启动应急预案，采取应急处置措施，判定事件危害程度，并立即将情况向有关领导报告。在处置过程中，应及时报告处置工作进展情况，直至处置工作结束。

六、处置流程

(一)预案启动

在发生网络与信息安全事件后，信息中心应尽昀大可能迅速收集事件相关信息，鉴别事件性质，确定事件来源，弄清事件范围和评估事件带来的影响和损害，一旦确认为网络与信息安全事件后，立即将事件上报工作组并着手处置。

(二)应急处理

1、电源断电 (1)查明故障原因。

(2)检查 UPS是否正常供电。

(3)汇报相关领导，确认市电恢复时间，评估 UPS供电能力。 (4)备份服务器数据、交换机配置。

深圳市前海好彩金融服务有限公司

(5)通知机房进行电源维修。做好事件记录。

(6)必要时请示公司负责人及公司领导，主动关闭服务器、交换机、存储等设备，以免设备损坏或数据损失。

2、局域网中断紧急处理措施

(1)信息安全负责人员立即判断故障节点，查明故障原因，及时汇报。 (2)若是线路故障，重新安装线路。

(3)若是路由器、交换机等设备故障，应立即从指定位置将备用设备取出接上，并调试畅通。 (4)若是路由器、交换机等配置文件损坏，应迅速按照要求重新配置，并调试畅通。 (5)汇报相关领导，做好事件记录。

3、广域网线路中断

(1)信息安全负责人员应立即判断故障节点，查明故障原因。 (2)如是我方管辖范围，由信息安全负责人员立即维修恢复。 (3)如是电信部门管辖范围，应立即与电信维护部门联系修复。 (4)做好事件记录。

4、核心交换机故障

(1)检查、备份核心交换机日志。 (2)启用备用核心交换机，检查接管情况。 (3)备份核心交换机配置信息。

(4)将服务器接入备用核心交换机，检查服务器运行情况，将楼层交换机、接入交换机接入备用核心交换机，检查各交换机运行情况。

(5)汇报有关领导，做好事件记录。 (6)联系维修核心交换机。

5、光缆线路故障

(1)立即联系光纤熔接人员携带尾纤等辅助材料，及时熔接连通。 (2)检查并做好备用光缆或备用芯的跳线工作，随时切换到备用网络。 (3)做好事件记录，及时上报。

6、计算机病毒爆发

(1)关闭计算机病毒爆发网段上联端口。 (2)隔离中病毒计算机。 (3)关闭中病毒计算机上联端口。 (4)根据病毒特征使用专用工具进行查杀。 (5)系统损坏计算机在备份其数据后，进行重装。 (6)通过专用工具对网络进行清查。 (7)做好事件记录，及时上报。

7、服务器设备故障

深圳市前海好彩金融服务有限公司

(1)主要服务器应做多个数据备份。

(2)如能自行恢复，则立即用备件替换受损部件，如：电源损坏更换备用电源，硬盘损坏更换备用硬盘，网卡、主板损坏启用备用服务器。

(3)若数据库崩溃应立即启用备用系统。并检查备用服务器启用情况。 (4)对主机系统进行维修并做数据恢复。

(5)如不能恢复，立即联系设备供应商，要求派维护人员前来维修。 (6)汇报有关领导，做好事件记录。

8、黑客攻击事件

(1)若通过入侵监测系统发现有黑客进行攻击，立即通知相关人员处理。 (2)将被攻击的服务器等设备从网络中隔离出来。 (3)及时恢复重建被攻击或被破坏的系统

(4)记录事件，及时上报，若事态严重，应及时向信息化主管部门和公安部门报警。

9、数据库安全事件

(1)平时应对数据库系统做多个备份。

(2)发生数据库数据丢失、受损、篡改、泄露等安全事件时，信息安全人员应查明原因，按照情况采取相应措施：如更改数据库密码，修复错误受损数据。

(3)如果数据库崩溃，信息安全人员应立即启用备用系统，并向信息安全负责人报告;在备用系统运行期间，信息安全人员应对主机系统进行维修并作数据恢复。

(4)做好事件记录，及时上报。

10、人员疏散与机房灭火预案

(1)当班人员发现机房内有起火、冒烟现象或闻到烧焦气味时，应立即查明原因和地点，及时上报并针对不同情况，采取关闭电源总开关、隔离火源附近易燃物、用消防栓、灭火器等器材灭火等措施，组织本单位、部门在场的人员有序地投入扑救工作，将火扑灭或控制火势蔓延。

(2)当火势已无法控制时，一是指定专人立即拨打“119”火警电话报警和向上级保卫部门报告，并打破报警器示警。二是组织周围人员迅速撤离。

(3)在保障人员安全的情况下，立即组织人员疏散和转移重要物品，特别是易燃、易爆物品和重要的机器、数据要及时转移到安全地点，并派人员守护，确保安全。

(4)火情结束之后，组织相关人员及时进行网络系统恢复，及时向上级有关部门和领导汇报，并做好现场保护工作和防止起火点复燃。

11、发生自然灾害后的紧急措施

(1)遇到重大雷暴天气，可能对机房设备造成损害时，应关闭所有服务器，切断电源，暂停内部计算机网络工作。雷暴天气结束后，及时开通服务器，恢复内部计算机网络工作。

(2)确认灾害不会造成人身伤害后，尽快将网络恢复正常，若有设备、数据损坏，及时使用备份设备或备用数据。

(3)及时核实、报损，并将详细情况向部门领导汇报。

深圳市前海好彩金融服务有限公司

12、关键人员不在岗的紧急处置措施

(1)对于关键岗位平时应做好人员储备，确保一项工作有两人能够操作。对于关键账户和密码进行密封保存。

(2)一旦发生系统安全事件，关键人员不在岗且联系不上或 1小时内不能到达机房的情况，首先应向领导小组汇报情况。

(3)经领导小组批准后，启用公司备份管理员密码，由备用人员上岗操作。 (4)如果备用人员无法上岗，请求软件公司技术支援。 (5)关键人员到岗后，按照相关规定进行密码设定和封存。 (6)做好事件记录。

(三)后续处理

安全事件进行昀初的应急处置以后，应及时采取行动，抑制其影响的进一步扩大，限制潜在的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响昀小。安全事件被抑制之后，通过对有关事件或行为的分析结果，找出其根源，明确相应的补救措施并彻底清除。在确保安全事件解决后，要及时清理系统、恢复数据、程序、服务，恢复工作应避免出现误操作导致数据丢失。

(四)记录上报

网络与信息安全事件发生时，应及时向网络与信息安全应急处置工作组汇报，并在事件处置工作中作好完整的过程记录，及时报告处置工作进展情况，保存各相关系统日志，直至处置工作结束。

七、保障措施

(一)应急设备保障

对于重要网络与信息系统，在建设系统时应事先预留一定的应急设备，建立信息网络硬件、软件、应急救援设备等应急物资库。在网络与信息安全突发公共事件发生时，报领导同意后，由应急工作组负责统一调用。

(二)数据保障

重要信息系统均应建立容灾备份系统和相关工作机制，保证重要数据在遭到破坏后，可紧急恢复。各容灾备份系统应具有一定的兼容性，在特殊情况下各系统间可互为备份。

日期：2015-06-12

审批人：

第三篇：工业控制系统信息安全应急预案

为了切实做好市污水厂网络与信息安全突发事件的防范和应急处理工作，提高污水厂中控系统预防和控制网络与信息安全突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保市污水厂中控系统网络与信息安全，结合工作实际，制定本预案。

一、总则

本预案适用于本预案定义的1级、2级网络与信息安全突发公共事件和可能导致1级、2级网络与信息安全突发公共事件的应对处置工作。

本预案所指网络与信息系统的重要性是根据系统遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及公民、法人和其他组织的合法权益的危害程度来确定的。

(一)分类分级。

本预案所指的网络与信息安全突发公共事件，是指重要网络与信息系统突然遭受不可预知外力的破坏、毁损、故障，发生对国家、社会、公众造成或者可能造成重大危害，危及公共安全的紧急事件。

1、事件分类。

根据网络与信息安全突发公共事件的发生过程、性质和特征，网络与信息安全突发公共事件可划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害，事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有组织的大规模的反动宣传、煽动和渗透等破坏活动。

自然灾害是指地震、台风、雷电、火灾、洪水等。

事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。

人为破坏是指人为破坏网络线路、通信设施、黑客攻击、病毒攻击、恐怖袭击等事件。

2、事件分级。

根据网络与信息安全突发公共事件的可控性、严重程度和影响范围，将网络与信息安全突发公共事件分为四级：1级 (特别重大)、2级 (重大)、3级 (较大)、4级 (一般)。国家有关法律法规有明确规定的，按国家有关规定执行。

1级 (特别重大)：网络与信息系统发生全局性大规模瘫痪，事态发展超出自己的控制能力，对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发公共事件。

2级 (重大)：网络与信息系统造成全局性瘫痪，对国家安全、社会秩序、经济建设和公共利益造成严重损害需要跨部门协同处置的突发公共事件。

3级 (较大)：某一部分的网络与信息系统瘫痪，对国家安全、社会秩序、经济建设和公共利益造成一定损害，但不需要跨部门、跨地区协同处置的突发公共事件。

4级 (一般)：网络与信息系统受到一定程度的损坏，对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益的突发公共事件。

(二)工作原则。

1、积极预防，综合防范。立足安全防护，加强预警，抓好预防、监控、应急处理、应急保障和打击犯罪等环节，在法律、管理、技术、人才等方面，采取多种措施，充分发挥各方面的作用，共同构筑网络与信息安全保障体系。

2、明确责任，分级负责。按照“谁主管谁负责，谁运营谁负责”的原则，建立和完善安全责任制，协调管理机制和联动工作机制。

3、以人为本，快速反应。把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务，及时采取措施，最大限度地避免公民财产遭受损失。网络与信息安全突发公共事件发生时，要按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。

4、依靠科学，平战结合。加强技术储备，规范应急处置措施与操作流程，实现网络与信息安全突发公共事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念，有条件则定期进行预案演练，确保应急预案切实可行。

二、预防预警

(一)信息监测与报告。

1、进一步完善网络与信息安全突发公共事件监测、预测、预警制度。要落实责任制，按照“早发现、早报告、早处置”的原则，加强对各类网络与信息安全突发公共事件和可能引发突发公共事件的有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发公共事件时，按规定及时向信息中心负责人、分管领导报告，同时与相关的产品技术支持单位联系，获得必要的技术支持。初次报告最迟不得超过半小时，重大和特别重大的网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。

2、建立网络与信息安全报告制度。

发现下列情况时应及时向信息中心负责人、分管领导报告，必要时向市信息中心及市公安局报告：

(1)利用网络从事违法犯罪活动的情况;

(2)网络或信息系统通信和资源使用异常，网络和信息系统瘫痪，应用服务中断或数据篡改、丢失等情况;

(3)网络恐怖活动的嫌疑情况和预警信息;

(4)其他影响网络与信息安全的信息。

(二)预警处理与发布。

1、对于可能发生或已经发生的网络与信息安全突发公共事件，立即采取措施控制事态，并在 1小时内进行风险评估，判定事件等级。必要时应启动相应的预案，同时向信息中心及分管领导通报情况。

2、信息中心接到报警信息后应及时组织有关专家对信息进行技术分析和研判，根据问题的性质、危害程度，提出安全警报级别，并及时向分管领导报告。

3、分管领导接到报告后，对发生和可能发生1级或2级的网络与信息安全突发公共事件时，应迅速召开应急会议，研究确定网络与信息安全突发公共事件的等级，决定启动本预案，同时确定指挥人员。并向相关部门进行通报。

4、对需要向市公安局通报的要及时通报，并争取支援。

三、应急响应

(一)先期处置。

1、当发生网络与信息安全突发公共事件时，值班人员应做好先期应急处置工作，立即采取措施控制事态，同时向信息中心报告。

2、信息中心在接到网络与信息安全突发公共事件发生或可能发生的信息后，应加强与有关方面的联系，掌握最新发展动态。对3级或4级的突发事件，自行负责应急处置工作，有关情况报分管领导。分管领导在接到发生2级或1级和有可能演变为2级或1级的网络与信息安全突发公共事件时，要组织信息中心对处置工作提出建议方案，并做好启动本预案的各项准备工作。还要根据网络与信息安全突发公共事件发展态势，视情况决定赶赴现场指导，组织派遣应急支援力量。

(二)应急指挥。

1、本预案启动后，信息中心要抓紧收集相关信息，掌握现场处置工作状态，分析事件发展态势，研究提出处置方案，统一指挥网络与信息应急处置工作。

2、需要成立现场指挥部的，应立即在现场开设指挥部，现场指挥部要根据事件性质迅速组建各类应急工作组，开展应急处置工作。

(三)应急支援。

本预案启动后，立即成立由分管领导带队的应急响应先遣小组，督促、指导和协调处置工作。信息中心根据事态的发展和处置工作需要，及时增派专家小组，调动必需的物资、设备，支援应急工作。参加现场处置工作的各有关部门和单位在现场指挥部的统一指挥下，协助开展处置行动。

(四)信息处理。

1、各部门、中心应对事件进行动态监测、评估，及时将事件的性质、危害程度和损失情况及处置工作等情况，及时报信息中心，不得隐瞒、缓报、谎报。

2、信息中心要明确信息采集、编辑、分析、审核、签发的责任人，做好信息分析、报告和发布工作。要及时编发事件动态信息供领导参阅。要组织专家和有关人员研究判断各类信息，提出对策措施，完善应急处置计划方案。

(五)信息发布。

1、当网络与信息安全突发公共事件发生时，应及时做好信息发布工作，通过相关单位发布网络与信息安全突发公共事件预警及应急处置的相关信息，引导舆论和公众行为，增强公众的信心。

2、要密切关注国内外关于网络与信息安全突发公共事件的新闻报道，及时采取措施，对媒体关于事件以及处置工作的不正确信息，进行澄清、纠正影响，接受群众咨询，释疑解惑，稳定人心。

(六)扩大应急。

经应急处置后，事态难以控制或有扩大发展趋势时，应实施扩大应急行动。要迅速召开应急会议或由分管领导根据事态情况，研究采取有利于控制事态的非常措施，并向市公安局请求支援。

(七)应急结束。

网络与信息安全突发公共事件经应急处置后，得到有效控制，事态下降到一定程度或基本得到解决，将各监测统计数据上报局信息中心，由信息中心向分管领导提出应急结束的建议，经批准后实施。

四、后期处置

(一)善后处理。

在应急处置工作结束后，要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，并迅速组织实施。有关部门要提供必要的人员和技术、物资和装备以及资金等支持，并将善后处置的有关情况报分管领导。

(二)调查评估。

在应急处置工作结束后，各相关部门应立即组织有关人员和专家组成事件调查组，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失情况，总结经验教训，写出调查评估报告，报分管领导，并根据问责制的有关规定，对有关责任人员做出处理，必要时采取合理的形式向社会公众通报。

五、保障措施

(一)应急装备保障。

重要网络与信息系统在建设系统时应事先预留一定的应急设备，建立信息网络硬件、软件、应急救援设备等应急物资库。在网络与信息安全突发公共事件发生时，由信息中心负责统一调用。

(二)数据保障。

重要信息系统均应建立异地容灾备份系统和相关工作机制，保证重要数据在受到破坏后，可紧急恢复。各容灾备份系统应具有一定兼容性，在特殊情况下各系统间可互为备份。

(三)应急队伍保障。

按照一专多能的要求建立网络信息安全应急保障队伍。局信息中心选择若干经国家有关部门资质认可的、管理规范、服务能力较强的部门作为公司网络与信息安全的应急支援单位，提供技术支持与服务。

六、监督管理

(一)宣传教育。

要充分利用各种传播媒介及有效的形式，加强网络与信息安全突发公共事件应急和处置的有关法律法规和政策的宣传，开展预防、预警、自救、互救和减灾等知识的宣讲活动，普及应急救援的基本知识，提高公众防范意识和应急处置能力。

要加强对网络与信息安全等方面的知识培训，提高防范意识及技能，指定专人负责安全技术工作。并将网络与信息安全突发公共事件的应急管理、工作流程等列为培训内容，增强应急处置工作的组织能力。

(二)演练。

建立应急预案定期演练制度。通过演练，发现应急工作体系和工作机制存在的问题，不断完善应急预案，提高应急处置能力。

第四篇：信息系统安全措施应急处理预案（精选）

甘州区妇幼保健院

信息系统安全措施应急处理预案

一、适用范围

本安全措施适用于医院业务网络、互联网、门户网站等信息化网络环境的突发安全事件;窃取医院保密信息事件;医院网络系统遭受重大范围黑客攻击和计算机病毒扩散事件;医院网站主页被恶意篡改;利用医院网络发表反政府、分裂国家和色情内容的信息及损害国家、医院声誉事件;破坏医院网络安全运行的事件等各种破坏网络安全运行的应急处置工作。

二、信息系统安全责任部门及应急分工

医院信息科为信息系统安全具体执行部门，负责信息系统安全建设、维护工作;医务科、住院部、门诊部、药剂科、收费室等为信息系统安全应急组织配合部门。一旦网络出现安全问题，值班人员或发现人应立即向安全负责人报告，迅速采取措施，并检查信息系统的日志等资料，确定问题来源，采取适当措施，保证信息系统安全。若事态严重，应立即向主管领导报告。

三、应急处理措施

(一)设备安全处理措施

关键设备损坏后，如不能自行修复的，立即更换备用设备，并向科室负责人报告，并联系设备提供商进行维修。紧急情况下值班人员经信息科主任授权直接获取，使用者不得随意更改密码。

(二)网络服务器故障应急处理规程

1.发现问题，在及时处理的同时迅速向科室主任报告。故障排除后，在技术讨论会上报告。

2.遇到较大故障，信息科工作人员应迅速集合，集体攻关。具体分为3组：

故障检修组：集中系统管理员继续分析故障、查找原因、修复系统;

技术联络组：迅速与软、硬件供应商取得联系，采取有效手段获得技术支持;

院内协调组：通知全院各科室故障情况，并到关键科室协助数据保存。

3.各系统使用科室制定相应的系统故障数据保护措施，并建立数据抢录小组，发现停机，应保存断点，保护原始数据，断点前后表单分开存放。

(三)应急恢复工作规定

1.网络管理员按数据备份恢复要求进行系统恢复。 2.网络管理员由信息科主任指定专人负责恢复。当人员变动时应有交接手续。

3.对每次的恢复细节应做好详细记录。

4.平时每月对全系统备份数据要进行模拟恢复一次，以检查数据的可用性。

第五篇：网络与信息系统安全防范应急预案

网络与信息安全事件应急预案

为保证我公司信息系统安全，加强和完善网络与信息安全应急管理措施，层层落实责任，有效预防、及时控制和最大限度地消除信息安全突发事件的危害和影响，确保信息系统和网络的通畅运行，结合实际，特制定本应急预案。

一、总则

(一)工作目标

保障信息的合法性、完整性、准确性，保障网络、计算机、相关配套设备设施及系统运行环境的安全，其中重点维护铁路局办公网络信息系统、多元投资集团办公网络信息系统的信息安全。

(二)编制依据

根据《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《计算机网络信息安全保密制度》《涉密存储介质保密管理规定》、计算机网络保密要求“五条禁令，十个不得”等相关法规、规定、文件精神，制定本预案。

(三)基本原则

1、预防为主。根据《计算机信息安全管理规定》的要求，建立、健全计算机信息安全管理制度，有效预防网络与信息安全事故的发生。

2、分级负责。按照“谁主管谁负责，谁运营谁负责”的原则，建立和完善安全责任制。各部门应积极支持和协助应急处置工作。

3、果断处置。一旦发生网络与信息安全事故，应迅速反应，及时启动应急处置预案，尽最大力量减少损失，尽快恢复网络与系统运行。

(四)适用范围

本预案适用于公司所属各单位，公司各部门。

二、组织体系

成立网络与信息安全领导组，为我公司网络与信息安全应急处置的组织协调机构。

1.网络与信息安全应急领导组组长由主管领导担任， 成员由各部门负责人及相关人员组成。负责网络与信息安全应急响应工作的整体规划、组织协调和决策指挥。

2.网络与信息安全应急领导组下设办公室。由部门主任担任检查组长。

职责：

(1)负责和处理应急领导小组的日常工作，检查督促应急领导组决定事项的落实。 (2)负责网络与信息安全应急预案的管理，指导督促重要信息系统应急预案的修订和完善，检查落实预案执行情况。

(3)指导全公司应对网络与信息安全突发公共事件的预案演习、宣传培训、督促应急保障体系建设。

三、预防预警

1. 信息监测与报告。

(1)按照“早发现、早报告、早处置”的原则，加强对公司属各单位、各部门有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发公共事件时，按规定及时向应急领导小组报告，初次报告最迟不得超过1小时，重大和特别重大的网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。

(2)建立网络与信息安全报告制度。 发现下列情况时应及时向应急领导小组报告： 利用网络从事违法犯罪活动的情况;

网络或信息系统通信和资源使用异常，网络和信息系统瘫痪，应用服务中断或数据篡改，丢失等情况;

网络恐怖活动的嫌疑情况和预警信息; 其他影响网络与信息安全的信息。 2. 预警处理与发布。 (1)对于可能发生或已经发生的网络与信息安全突发公共事件，立即采取措施控制事态，并向应急领导小组汇报情况。

(2)应急领导小组接到报告后，应迅速召开应急领导小组会议，研究确定网络与信息安全突发公共事件的等级，根据具体情况启动相应的应急预案，并向相关部门进行汇报。

四、应急预案

(一)网站、网页出现非法言论时的应急预案

1、网站、网页由负责网站维护的管理员随时监控信息内容。

2、发现在网上出现非法信息时，网站管理员立即向信息安全领导小组通报情况，并作好记录。清理非法信息，采取必要的安全防范措施，将网站、网页重新投入使用;情况紧急的，应先及时采取删除等处理措施，再按程序报告。

3、网站管理员应妥善保存有关记录、日志或审计记录，将有关情况向安全领导小组汇报，并及时追查非法信息来源。

4、事态严重的，立即向上级领导报告。

(二)黑客攻击或软件系统遭破坏性攻击时的应急预案

1、重要的软件系统平时必须存有备份，与软件系统相对应的数据必须有多日的备份，并将它们保存于安全处。

2、当管理员通过入侵监测系统发现有黑客正在进行攻击时，应立即向局信息安全领导小组日常应急办公室报告。软件遭破坏性攻击(包括严重病毒)时要将系统停止运行。

3、管理员首先要将被攻击(或病毒感染)的服务器等设备从网络中隔离出来，保护现场，并同时向信息安全领导小组报告情况。

4、日常应急办公室负责恢复与重建被攻击或被破坏的系统，恢复系统数据，并及时追查非法信息来源。

5、事态严重的，立即向上级领导报告。

(三)数据库发生故障时的应急预案

1、主要数据库系统应定时进行数据库备份。

2、一旦数据库崩溃，管理员应立即进行数据及系统修复，修复困难的，可向县信息产业中心汇报情况，以取得相应的技术支持。

3、在此情况下无法修复的，应向信息安全领导组报告，在征得许可的情况下，可立即向软硬件提供商请求支援。

4、在取得相应技术支援也无法修复的，应立即向上级领导报告，在征得许可、并可在业务操作弥补的情况下，由信息安全岗人员利用最近备份的数据进行恢复。

(四)设备安全发生故障时的应急预案

1、小型机、服务器等关键设备损坏后，管理员应立即向上级领导报告。

2、安全岗负责人员立即查明原因。

3、如果能够自行恢复，应立即用备件替换受损部件。

4、如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修。

5、如果设备一时不能修复，应向上级领导汇报，并告知各部门，暂缓上传上报数据，直到故障排除设备恢复正常使用。

(五)内部局域网故障中断时的应急预案

1、办公室平时应准备好网络备用设备，存放在指定的位置。

2、局域网中断后，网络安全岗负责人员应立即判断故障节点，查明故障原因，并向日上级领导汇报。

3、如属线路故障，应重新安装线路。

4、如属路由器、交换机等网络设备故障，应立即从指定位置将备用设备取出接上，并调试通畅。

5、如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调测通畅。

6、如有必要，应向上级领导汇报。

(六)广域网外部线路中断时的应急预案

1、广域网线路中断后，管理员应向上级领导报告。

2、管理员应迅速判断故障节点，查明故障原因。

3、如属可即时恢复范围，由网络管理员立即予以恢复。

4、如属电信运营商管辖范围，应立即与电信运营商的维护部门联系，要求尽快修复。

5、如果恢复时间预计超过两小时, 应立即向上级领导汇报。经领导同意后，应通知各部门暂缓上传上报数据。

(七)外部电中断后的应急预案

1、外部电中断后，值班室应立即向管理员汇报情况。

2、如因局内线路故障，由行政部通知维修人员迅速恢复。

3、如果是局外部的原因，由行政部立即与供电局联系，请供电局迅速恢复供电;如果供电局告知需长时间停电，提前做好存档工作。

(八)机房发生火灾时的应急预案

1、一旦机房发生火灾，应遵循下列原则：首先保证人员安全;其次保证关键设备、数据安全;三是保证一般设备安全。

2、人员灭火和疏散的程序是：应首先切断所有电源，同时通过119电话报警。并从最近的位置取出灭火器进行灭火，其他人员按照预先确定的路线，迅速从机房中有序撤出。

五、应急响应

1. 先期处置。

(1)当发生网络与信息安全突发公共事件时，值班人员应做好先期应急处置工作，立即采取措施控制事态，同时向行政部报告。

(2)行政部在接到网络与信息安全突发公共事件发生或可能发生的信息后，加强与有关方面的联系，并做好启动本预案的各项准备工作。

2. 应急指挥。

预案启动后，要抓紧收集相关信息，掌握现场处置工作状态，分析事件发展态势，研究提出处置方案，统一指挥网络与信息应急处置工作。 3. 应急支援。

预案启动后，立即成立应急响应先遣小组，督促、指导和协调处置工作。根据事态的发展和处置工作需要，及时增派专员小组，调动必需的物资、设备，支援应急工作。

4. 信息处理。

(1)应对事件进行动态监测、评估，将事件的性质、危害程度和损失情况及处置工作等情况，及时汇报领导，不得隐瞒、缓报、谎报。

(2)要明确信息采集、编辑、分析、审核、签发的责任人，做好信息分析、报告和发布工作。

5. 应急结束。

网络与信息安全突发公共事件经应急处置后，由事发部门向上级领导提出应急结束的建议，经批准后实施。

五、后期处置 1. 善后处理。

在应急处置工作结束后，要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。

2. 调查评估。

在应急处置工作结束后，行政部应立即组织有关人员和专员组成事件调查组，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失情况，总结经验教训，写出调查评估报告，并根据问责制的有关规定，对有关责任人员作出处理。

六、保障措施 1. 数据保障。

重要信息系统均应建立备份系统和相关工作机制，保证重要数据在受到破坏后，可紧急恢复。

2. 应急队伍保障。

按照一专多能的要求建立网络信息安全应急保障队伍。 3. 经费保障。

落实网络与信息系统突发公共事件应急处置资金。

七、监督管理 1. 宣传教育。

要充分利用各种传播媒介及有效的形式，加强网络与信息安全突发公共事件应急和处置的有关法律法规和政策的宣传，开展预防、预警、自救、互救和减灾等知识的宣讲活动，普及应急救援的基本知识，提高公众防范意识和应急处置能力。

要加强对网络与信息安全等方面的知识培训，提高防范意识及技能，指定专人负责安全技术工作。并将网络与信息安全突发公共事件的应急管理、工作流程等列为培训内容，增强应急处置工作的组织能力。

2.责任与奖惩。 网络与信息系统的管理部门要认真贯彻落实预案的各项要求与任务，建立监督检查和奖惩机制。