#計算機系統應急預案應急預案指面對突發事件如停電、系統設備故障、服務器死機等，能夠快速采取相應的應對措施。為防止事態進一步擴大。它一般應建立在綜合防災上。其幾大重要子系統為:完善的應急組織管理指揮系統；強有力的應急保障體系；綜合協調、應對自如的相互支持系統。一、目的為了加強公司業務應用系統的網絡設備、主機操作系統、數據庫系統和應用系統等硬件和軟件的故障或安全、應急事件的管理，特制定本制度。為了積極應對可能發生的各類重大事故，預先控制潛在事故或緊急情況，做好應急準備和響應，組織有序的事故搶救和救災工作，最大限度減少財產損失，維護系統的正常運行，促進本企業的經濟建設，按照《國務院關于特大安全事故行政責任追究的規定》的要求，結合本項目部的實際，制定本計算機系統應急預案（以下簡稱《預案》）。二、范圍本制度適用于公司各個業務應用系統的安全管理員、維護人員等負責系統運維安全的人員和公司信息安全管理小組。三、應急預案小組根據基本要求設置安全管理機構的組織形式和運作方式，明確崗位職責，設置系統管理員、網絡管理員、安全管理員等崗位。根據要求成立指導和管理信息安全工作的委員會或領導小組，其最高領導由單位主管領導委任或授權根據要求制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求；建立授權與審批制度和內外部溝通合作渠道；定期進行全面安全檢查，特別是系統日常運行、系統漏洞和數據備份等。四、啟動條件1、本文檔內定義的嚴重安全事件和重大安全事件發生時2、信息安全協調小組和相關部門領導確認，需要啟動應急計劃時。五、安全事件定義1、重大安全事件：由于信息安全問題對關鍵業務造成直接影響，并導致全網癱瘓、業務中斷數小時以上的事件，稱為重大安全事件。2、嚴重安全事件：由于信息安全問題對重要業務造成直接影響，并導致網絡與業務中斷，稱為嚴重安全事件。3、一般安全事件：由于信息安全問題對重要業務造成間接影響，一般業務造成直接影響，并導致網絡與業務遭受影響的事件，稱為一般安全事件。六、系統監測、預警和先期處理1、為了提高平臺的穩定性、安全性和高可用性，提高云計算資源利用率，總體部署架構應實現硬件資源提供的動態化和基礎設施來源的多樣化。引入了智能容器云引擎。硬件設施資源由容器云引擎統一管理，提供按需彈性伸縮的資源池，在應用過程中根據實際需要動態調整。讓整個系統具備高可靠性和擴展性，無單點失效風險。當某一組件發生故障時，在單一進程的傳統架構下，故障很有可能在進程內擴散，形成應用全局性的不可用。在微服務架構下，故障會被隔離在單個服務中。若設計良好，其他服務可通過重試、平穩退化等機制實現應用層面的容錯。2、建立健全重要數據及時備份和災難性數據恢復機制。嚴格按照計算機信息網絡安全管理規定要求，認真做好日常數據備份工作，以防發生數據災難時對信息系統進行恢復重建。3、要進一步完善信息網絡安全突發事件監測、預測、預警制度。按照“早發現、早報告、早處置”的原則，加強對各類信息網絡安全突發事件和可能引發信息網絡安全突發事件的有關信息的收集、分析判斷和持續監測。當發生信息網絡安全突發事件時，向相關負責人匯報，匯報內容主要包括信息來源、影響范圍、事件性質、事件發展趨勢和采取的措施等。4、定期總結網絡安全自查情況5、當發生信息網絡安全突發事情時，及時做好先期應急處置工作并立即采取措施控制事態，必要是采用關閉服務器等方式防止事件進一步擴大，同時向信息網絡安全領導小組通報。6、應急預案領導小組接到突發事件發生或者可能發生的信息后，針對實際情況判斷等級啟動預案。七、應急抑制應急抑制的目的是限制安全事件對受保護信息系統造成影響的范圍和程度。應急抑制是信息安全應急響應工作中的重要環節，在信息安全事件發生的第一時間內對故障系統或區域實施有效的隔離和處理，或者根據所擁有的資源狀況和事件的等級，采用臨時切換到備份系統等措施降低事件損失、避免安全事件的擴散（例如蠕蟲的大規模傳播）和安全事件對受害系統的持續性破壞，有利于應急響應工作人員對安全事件做出迅速、準確的判斷并采取正確的應對策略。應急抑制過程中，重要的是確保業務連續性，應盡量保證在備份系統中完全運行原來的業務。如果出現資源緊張，應盡可能保證重要資產優先運行，維持最基本的業務能力。八、應急處理1、采取多層次有害信息、惡意攻擊防范與處理措施。預案小組成員為第一層防線，發現有害信息保留原始數據后及時刪除；預案小組組長為第二層防線，負責對所有信息進行監視及信息審核，對有害信息及時處理。2、非法言論緊急處理：信息安全技術人員密切監視信息內容，發現非法信息時，應立即向組長匯報，情況緊急時，在保留原始信息后，應先采取刪除等措施，再按程序報告。在接到報告后及時清理非法信息，妥善保存有關記錄及日志，將網站重新投入使用。如果事態嚴重，應立即向領導小組匯報，并向政府信息化主管部門和公安部門報警3、黑客攻擊事件處理：當信息安全技術人員發現網頁內容被篡改，或通過入侵檢測系統發現有黑客正在進行攻擊時，應首先將被攻擊的服務器等設備從網絡中隔離出來，保護現場，并立即向領導小組負責人報告情況信息安全技術人員對現場進行分析，并寫出分析報告存檔，必要時上報政府信息化主管部門和公安網絡監管部門。恢復與重建被攻擊或破壞的計算機信息系統。由領導小組負責人召開會議，如認為事態嚴重，則立即向領導小組報告，并向政府信息化主管部門報告和公安網絡監管部門報警。4、病毒事件處理：當信息安全技術人員發現有計算機被感染上病毒后，應立即將該機與網絡隔離。信息安全技術人員對該計算機進行數據備份。啟用反病毒軟件對該機進行殺毒處理，同時通過病毒檢測軟件對其他該網絡中的計算機進行病毒掃描和清除工作。如果現行反病毒軟件無法清除該病毒，應立即向領導小組負責人報告，并迅速聯系有解決能力的軟件廠商研究解決。由領導小組負責人召開會議，如認為事態嚴重，則立即向領導小組報告，視情況向政府信息化主管部門報備或向公安部門報警。如果感染病毒的設備是主服務器，經領導小組負責人報領導小組同意，應立即告知領導做好相應的清查工作。病毒清除，通過專業檢測后，隔離的設備可重新投入使用。5、軟件破壞性攻擊處理：重要的軟件系統日常維護時必須指定專人負責，將它們備份并保存于安全處一旦軟件遭到破壞性攻擊，信息安全技術人員應立即向領導小組負責人報告并將該系統停止運行信息安全技術人員檢查信息系統的日志等資料，確定攻擊來源，并將有關情況向領導小組負責人匯報，再恢復軟件系統和數據。由領導小組負責人召開會議，如認為事態嚴重，則立即向領導小組報告，視情況向政府信息化主管部門報告或向公安部門報警。6、數據安全處理：主要數據庫系統應按要求做好數據庫備份。一旦數據庫崩潰，信息安全技術人員應立即啟動備用系統，并向領導小組負責人報告。在備用系統運行期間，信息安全工作人員應對主機系統進行維修并作數據恢復。如果系統崩潰而無法恢復，技術員應立即向領導小組負責人匯報，并請技術部派員解決或聯系有解決能力的廠商請求緊急支援。由領導小組負責人召開會議，如認為事態嚴重，則立即領導報告。7、網絡中斷處理：信息安全技術人員接到報告后，應迅速判斷故障節點，查明故障原因。如屬技術部門管轄范圍，由信息安全技術人員立即予以恢復。如屬服務商管轄范圍，立即與相關服務商進行聯系，要求修復。線路中斷，信息安全技術人員應在判斷故障節點，查明故障原因后，盡快研究恢復措施，并立即向領導小組負責人匯報，同時做好故障記錄。8、節假日、舉行重大活動和發生重大事件時，信息安全技術人員應對整個網絡的運行進行監控并及時刪除各類非法信息。九、應急結束1、當突發危害和故障結束，或相關危險因素已基本得到控制或消除，即可結束應急響應。2、領導小組要認真總結應急響應工作，對實施預案中發生的問題進行研究改進進一步完善預案