1、信息應急預案管理應急預案信息報告信息應急預案管理應急預案信息報告信息應急預案管理一、信息系統應急預案組織機構 1. 領導小組工作職責（1）負責中學信息系統安全應急工作，確定并直接領導信息系統安全應急處置工作組。審定中學信息系統安全應急預案并組織實施，研究解決中學有關網絡與信息系統安全的重大問題。領導小組下設處置工作組，其工作職責由信息中心承擔。（2）領導小組的組成及成員電話姓名職務聯系電話組長副組長成員（3）信息系統安全應急處置工作小組工作職責a) 組長職責負責網絡應急預案的啟動，對網絡設備故障全權組織進行應急處置。b) 副組長職責協助組長對網絡設備故障進行應急處置。負責確定合理的技術處理方案

2、、制定應急處置方案。組長不在現場或不便履行職責時，行駛組長職責。c) 應急領導小組其他成員職責配合組長和副組長，實施應急處置工作。 2. 各供應商應急聯系人姓名職務聯系電 話二、信息系統安全應急處置實施細則1、信息系統故障等級劃分按照信息安全技術-信息系統安全等級保護基本要求，具體劃分為四個等級，一級和二級故障為重大故障；三級和四級故障為一般性故障。（1）一級故障信息系統發生故障，預計將或已經嚴重影響核心系統業務，導致相關業務中斷1小時以上，并預計24小時內無法恢復的，具備以下一個或幾個特征，即定義為一級故障。a) 學校專網核心出現故障，造成局域網用戶不能訪問核心服務器或不能訪問廣域網。b)

3、信息中心web門戶網站等關鍵服務器宕機或由其他原因導致拒絕提供服務的。c) 學校中心機房供電系統、集中空調系統等外圍保障設施出現嚴重故障。d) 病毒攻擊造成中學局域網內感染大量客戶端設備50臺以上，導致關鍵業務系統和辦公系統不能正常提供服務。e) 利用技術手段，造成業務數據被修改、假冒、泄露、竊取的信息系統安全事。 （2）二級故障信息系統發生故障，預計將或已經嚴重影響中學系統業務，導致相關業務中斷1小時以上，并預計24小時內可以恢復的，具備以下一個或幾個特征，即定義為二級故障。 a) 學校分機房供電系統，精密空調、ups等外圍保障設施出現嚴重故障。b) 病毒攻擊造成網絡感染大量客戶端設備50臺

4、以內，導致關鍵業務系統和辦公系統不能正常提供服務。c) 12小時以內無法解決的三級故障。（3）三級故障滿足下列條之一，即定義為三級故障。a) 故障發生后，影響系統的運行效率，但不影響業務系統訪問 b) 故障預計在12小時內修復 c) 24小時內無法解決的四級故障（4）四級故障 a) 故障發生后，可應急處理，不會影響系統運行，但是是一種隱患 b) 網絡核心設備由于病毒等原因，造成偶爾掉包，但不影響系統正常訪問和運行四、應急響應特定文檔及工具1、應急文檔的備存（1）各類網絡設備和服務器、計算機及其附屬設備的型號、序列號等 （2）硬設備供應商、生產廠商的地淡化、聯系人、網址 （3）操作系統、關鍵業務

5、應用軟開發商或供應商電話、聯系人。（4）網絡拓撲圖（5）路由器、防火墻、入侵檢測設備的配置文檔、服務器登陸用戶及原始密碼文檔、（6）各類軟的技術文檔及其他需要保存的文檔 2、應急設備及軟備存（1）正版操作系統啟動盤、安裝盤（2）正版防病毒軟（3）相關設備驅動程序（含主板、顯卡、網卡等）及更新到最新的服務器注冊表文（4）備用網線，測網儀、螺絲刀等必要工具（5）其它必備應急工具五、應急處理預案1、電力故障的應急處理（1）外電中斷后，應立即檢查中心機房ups電源是否正常供電，并查明中斷原因，及時向信息中心負責人報告。（2）如因樓內線路故障，及時聯系總務處盡快排查，迅速恢復供電。（3） 如因供電部門因

6、素導致供電中斷，立即和供電部門聯系，請求供電部門迅速恢復供電。 （4）如告知需長時間停電，應作如下安排：i：停電1小時以內，用ups供電 ii：停電1小時以上2小時以內，關掉非關鍵設備，確保各主機，路由器，交換機供電。iii：預計停電超過1小時，在設備運行1小時的時候關掉所有機器設備。（5）電力系統恢復供電后，按規定流程開啟相關設備。2、消防系統應急處理出現火情，火災，發現人員在最短時間內通知信息中心領導，總務?；鹎閲乐貢r，迅速撥打119報警，并盡可能采取一些簡單可行的方法做初步處理，如：使用滅火器材或其它滅火措施，手段。及時疏散災情范圍內的工作人員。進展情況及時向信息中心領導匯報。（1）上班

7、時間發生火警，聽到消防警報后及時撤離，立即撥打119 并說明盡量用氣體滅火器滅火，減少電子設備損壞。（2） 非工作時間或節假日休息時間發生火警，應立刻向領導匯報與學校值班人員聯系，確認火情。及時撥打119報警，并使用氣體滅火器滅火，減少電子設備損失。 （3）發生火警后，中心機房相關人員應馬上趕赴現場，并向有關領導匯報。同時立即聯系各設備供應商等相關公司，及時評估事故損失情況，研討恢復網絡系統正常運行的最佳解決方案。3、網絡中斷應急處理（1）故障排查：網絡中斷后，技術人員要迅速判斷故障節點，查明故障原因；（2）故障排除：a：如屬線路故障，應重新安排線路 b: 如屬路由器，交換機等網絡設備故障，技

8、術人員應檢修并調試通暢。如路由器、交換機配置文損壞，應迅速重新配置。必要時，請有關供貨單位，設備廠商協助調試通暢。c：如需更換設備，應上報領導，批準后馬上更換故障設備，盡快恢復系統運行。d: 技術部無法修理時，應立即通知相關供應商及維護人員。（3） 特殊情況，如故障判斷、網絡恢復需要1小時以上，技術人員應及時將相關情況匯報學校信息中心領導，并在領導同意情況下，采用緊急措施，繞過故障設備，先行恢復網絡連通性，并及時聯系供應商修復故障設備。 （4）故障處理完畢，恢復正常后，應立即進行故障現象回歸測試，測試結果確認無問題后，再進行總結評估，并將處理過程形成處理文檔的知識庫。4、黑客攻擊應急處理（1）

9、應急處理 a：當發現有黑客攻擊行為時，應立即向學校信息中心領導匯報，并向長寧區信息中心通報情況。b: 運維人員應立即趕到現場，將被攻擊的服務器或其它設備從網絡中隔離出來，必要時可以采取照片，截圖等方式留存記錄，保護現場。c: 如事態較為嚴重，經向領導請示后，立即向公安部門報警，配合公安部門展開調查。d: 技術人員做好被攻擊或破壞后系統的恢復與重建工作。e: 將實施事處理的過程和結果備案存檔，必要時向學校領導匯報。（2）修復處理 a: 記錄系統狀況 b: 立即復制系統登陸文，歷史文，日志文等重要文 c: 修改防火墻、路由器等網絡安全設備的過濾規則 d: 斷開被攻擊主機，關閉不必要的服務 e: 處

10、理可疑的文和程序 f: 修改不安全的系統賬號及其口令 g: 恢復被修改的軟和數據 h: 安裝相應的補丁程序，填補安全漏洞 i: 編寫報告，詳述事過程及處理步驟 5、大規模病毒（含惡意軟）攻擊的應急處理（1）: 當發現局域網中有大量計算機被感染上病毒后，計算機使用人員應立即上報學校信息中心（2）: 信息中心技術人員應立即將該機從網絡上隔離開來c: 對該設備的硬盤進行數據備份，并將防病毒軟的病毒特征庫更新至最新版本 d: 用反病毒軟對該機進行殺毒處理，并對相關機器進行病毒掃描和清除工作。e: 如發現反病毒軟無法清除該病毒，應向學校信息中心領導匯報，研究解決，通過分析病毒的特征行為，尋找病毒專殺工具

11、進行查殺。f: 情況較為嚴重的，已影響到信息系統的數據傳輸、應用系統訪問不正常等情況，應及時向有關分管領導報告，按照信息系統故障等級劃分，確定其故障等級，并啟動相應的應急處理程序進行排除。6、軟系統故障的應急處理a: 軟系統平時必須存有備份，與軟系統相對應的數據必須有多日的備份，并將它們保存于安全處 b: 軟系統發生故障后， 技術人員應立即向學校信息中心領導匯報，經確認后停止該系統的運行并切換至備份系統，保證業務正常運行。 c: 通知軟系統主要應用部門做好軟系統和有關數據的恢復工作 e: 檢查日志等資料，確定故障原因 f: 將實施處理的過程和結果備案存檔，并向有關領導匯報。7、數據庫系統故障的

12、應急處理a: 數據庫系統每日必須存有備份，與軟系統相對應的數據必須有多日的備份，并將它們保存與安全處b: 數據庫系統發生故障以后，技術人員立即向信息中心負責人匯報請示，經同意后采用重啟或其它手段盡快恢復數據庫運行，保持業務不中斷。c: 做好數據系統切換和有關數據的恢復工作。d: 檢查日志等資料，確定故障原因 e: 將實施處理的過程和結果進行備案存檔，并向有關領導匯報 8、設備硬故障的應急處理a：小型機，服務器等關鍵設備損壞后，技術人員應立即向學校信息中心負責人聯系。b: 查明原因，聯系維保單位更換受損部 c: 如一時不能修復，應向部門領導匯報，并告知應用部門暫緩上傳數據 9、其他網絡故障應急處

13、理 （1）故障的發現學校信息中心人員在接到故障或接到故障報告后，記錄故障發生的時間，發現部門，對故障進行等級的初步判定，報告相關人員處理。 （2）對重大故障的處理當網絡管理人員發現如廣域鏈路突然中斷，核心路由（交換機）宕機。非法入侵及病毒入侵是網絡傳輸性能下降，系統關鍵服務器性能下降，嚴重影響正常業務運行時，網管人員應及時記錄故障發生的時間，地點等，并立即上報主管領導。同時查清故障的影響范圍，從而確定故障的等級和發生故障的可能部位。和區運維及外包人員一起迅速解決問題。（3）對一般故障的處理一般故障應及時記錄，確定故障等級及影響范圍，判定故障可能的部位。盡快解決故障。（4）故障的記錄在故障處理中

14、，應對其過程進行詳細記錄，包括處理負責人，檢查的內容和結果，對故障的判斷及處理辦法，以及故障處理過程中各步驟及執行人員。（5）請求外協支持對于1小時以內不能查清原因的重大故障，應盡早聯系原廠商請求技術支持。對于4小時內無法解決的一般性故障，也應聯系原廠商請求技術支持，并要將聯系外協支持的情況記錄在案。 （6） 故障處理后的測試驗收故障處理后，故障處理部門要進行自測，如有可能請用戶進行確認。（7）故障書面報告對于重大故障和拖延時間較長的故障，在處理過后，應對故障及處理的全過程以文字形式進行報告。對于一般故障處理，在維護日志中做完整的說明和記錄故障報告應包括以下幾方面的內容：故障處理是否準確和及時，有無明顯的失誤，有無違反規定的行為。學校信息中心領導對報告進行審核 10、中心機房停電的應急處理（1）中心機房長時間停電a: 登陸設備，備份數據b: 記錄當前設備端口狀態c: 數據統