绍兴文理学院信息系统突发事件应急预案
绍兴文理学院信息系统突发事件应急预案
一、总则
为提高绍兴文理学院信息系统突发事件(以下简称“突发事件”)预防和应急处理能力,特制定本预案。
绍兴文理学院网络管理办公室是本预案归口管理部门,负责本预案的修订、解释和说明并监督本预案的实施,负责协调外部应急资源,发布和解除应急状态,以及突发事件处理报告的归档工作;负责日常信息系统运行状态的检查,受理、判断、汇报信息系统突发事件信息,组织技术人员进行应急处理,总结、汇报处理结果。
信息系统突发事件指包括信息安全等级保护定级为二级的系统(如审判信息系统、执行管理系统等)相关的软硬件及物理环境安全突发事件。
二、安全事件分级
根据信息系统突发事件对学校业务系统的影响范围、可能产生的后果和损失等因素,将突发事件分为重大(Ⅰ级)、较大(Ⅱ级)和一般(Ⅲ级)三个等级。
1、Ⅰ级信息系统突发事件:出现大面积的有害信息传播,涉及范围大,性质恶劣,影响内部系统用户数量超过本单位服务总用户数量90%,造成特别重大影响。
2、Ⅱ级信息系统突发事件:出现大面积的有害信息传播,涉及范围相对较大,性质相对较严重,影响内部系统用户数量占本单位服务总用户数量的比例超过50%,且低于90%,造成较大影响。
3、Ⅲ级信息系统突发事件:出现大面积的有害信息传播,涉及范围较小,性质一般,影响内部系统用户数量占本单位服务总用户数量的比例超过30%,且低于50%,造成一般影响。
三、应急状态启动
当发生应急事件时,系统管理员接到报告后如无法处理应立即上报网络管理办公室负责人,由分管领导进行判断是否启动本应急预案,并立即开展相关应急处理工作。
四、应急预案分类和报告
本应急预案处理流程共分为四个部分,分别为机房基础环境应急预案、网络应急预案、服务器应急预案以及系统应急预案。
在事件处理结束后,网络管理办公室总结《信息安全事件报告》(见附件一)并备案。
五、应急处理流程
应急预案处理流程共分为四个阶段,分别为启动应急预案时的“启动阶段”、采取相应措施的“处理阶段”、尝试恢复信息系统的“恢复阶段”以及对本次事故应急进行总结的“总结阶段”。
1、机房基础环境应急预案。
机房基础环境部分,泛指机房空调(温湿度)、市电供电、UPS供电、漏水、消防等方面,主要是规范机房发生物理环境突发事件而采取的应急措施,确保整体信息系统网络的正常运行,并确保当应急事件发生时,将损失降到最低,提高系统可用性。
1.1机房空调故障应急预案文字说明
系统管理员对应急事件做初步处置,如故障无法解决,则第一时间上报网络管理办公室和物业中心,由网络管理办公室和物业中心宣布启用机房空调应急预案。
网络管理办公室和物业中心领导判断是否需要第三方组织支持,厂商根据售后合同内容提供相应技术支持。
如果在厂商还没解决问题之前机房温度上升,工作人员对机房采取相应的温控措施,如开启备用空调,放置冰块/干冰降温、风扇排风等。
当机房温度不断升高得不到合理控制后,由网络管理办公室工作人员判断是否需要关闭相应设备来降低温度。其中要注意的是工作人员要根据设备重要程度,来决定关闭设备的先后顺序,并通知相关的业务部门。
经过网络管理办公室和物业中心或者厂商技术人员设备抢修,设备故障最终得以排除。
网络管理办公室工作人员应逐步开启相应设备并通知有关业务部门,同时对相应设备做后续检查并最终确认恢复正常。
网络管理办公室和物业中心工作人员对本次应急做事故总结分析。
1.2应急要点
当精密空调出现故障后,系统管理员在无法及时排除故障时,应立即上报网络管理办公室和物业中心;
网络管理办公室和物业中心仍无法对精密空调故障进行排除时,应立即宣布启动应急预案,如机房温度持续上升,应立即采取有效的温控措施,如开启备用空调、采购冰块/干冰、以及风扇排风等方式;
在采取了相应的温控措施后,如精密空调仍无法修复,同时机房温度仍旧持续上升,则根据设备重要程度对其采取关闭措施,并通知相关业务部门。
设备关闭顺序按照一般、重要以及非常重要三个等级进行关闭,第一批首先关闭一般重要性(绿色)的系统,第二批关闭重要性的(黄色)服务器,最后一批关闭非常重要性的(红色)服务器,如某台服务器中运行多个应用系统,则以重要性最高的应用为准,具体列表如下:
系统
| 重要性
|
机房内普通交换机
| 一般
|
机房内部服务器
| 重要
|
核心交换机
| 非常重要
|
核心防火墙
| 非常重要
|
2、网络应急预案
网络部分,是指网络出口链路、网络核心设备等方面,主要是规范核心网络发生突发事件而采取的应急措施,确保整体信息系统网络的正常运行,并确保当应急事件发生时,将损失降到最低,提高系统可用性。
2.1网络链路应急预案文字说明
1) 网络管理办公室网络管理员对网络链路故障做初步判断,并尝试恢复,如无法恢复,应立即上报网络管理办公室负责人。
2) 网络管理办公室负责人联系技术人员会同相关人员对网络链路故障进行再次判断,如为设备故障,则转入网络设备应急预案。
3) 技术人员判断是链路故障,则第一时间联系网络链路服务提供商。
4) 网络链路服务提供商对该链路故障的恢复时间进行评估,判断链路恢复时间是否在半小时以上还是半小时以内,并根据不同的恢复时间采取相应措施,如恢复时间在半小时以上,通知相关业务部门,并提供临时访问措施,直至故障排除。
5) 经过技术人员和网络链路服务提供商链路抢修,链路得以恢复。
6) 技术人员对临时访问措施进行恢复操作,然后对对链路联通情况及网络设置进行后续检查并最终确认,最后通知之前造成影响的相关业务部门,恢复原先访问流程。
网络管理办公室对本次应急做事故总结分析。
2.2应急要点
(1)网络管理员对链路故障初步修复时,如无法修复应立即上报;
(2)对于链路恢复时间在半小时内的情况,采用被动告知措施;
(3)对于链路恢复时间在半小时以上的情况,网络管理办公室应制定相应的临时访问措施,并通知相关业务单位。
2.2核心交换机应急预案文字说明
(1)网络管理员通过监控工具或主动巡检发现核心交换机故障而导致网络不通,立刻上报网络管理办公室。
(2)网络管理员在接到核心交换机故障报警时,立即启动应急预案,并对核心交换机进行初步判断,是硬件类故障还是软件类故障。
(3)网络管理员判断问题所在,如果是硬件故障,则通知厂商对硬件进行检查,维修或者更换;如果是软件类故障,进一步判定是否为配置问题;如果是配置问题,导入备份好的最新配置。
(4)网络管理员判断问题所在,如果不是配置问题,立刻切换至备用交换机;对备用交换机导入备份好的最新配置。
(5)网络管理员和第三方厂商对主核心交换机进行故障排查(如IOS版本检查、配置是否合理,是否遭受入侵等),通过第三方厂商,以及安全运维人员的排查,故障基本解决,等待测试。
(6)网络管理员和第三方厂商将备份配置重新导入主交换机,对恢复配置的主交换机进行上电测试,确定主交换机恢复正常,用主交换机重新替代回备用交换机,网络恢复正常。
(7)网络管理员和网络管理办公室宣布报警解除,转入常态管理,同时对本次应急做事故总结分析。
2.3防火墙应急预案文字说明
(1)网络管理员通过监控工具或主动巡检发现防火墙故障导致网络不通,立刻上报网络管理办公室。
(2)网络管理办公室在接到防火墙故障报警时,立即启动应急预案。
(3)网络管理员对防火墙进行初步判断,是硬件类故障还是软件类故障。
(4)网络管理员判断问题所在:如果是硬件故障,则通知厂商对硬件进行检查,维修或者更换;如果是软件类故障,进一步判定是否为配置问题;如果是配置问题,导入备份好的最新配置。
(5)网络管理员判断问题所在:如果不是配置问题,立刻切换至另一防火墙,使用一条出口链路,修改路由器的NAT配置。
(6)网络管理员对防火墙进行故障排查(如IOS版本检查,配置是否合理,是否遭受入侵等)。
(7)通过第三方厂商,以及安全运维人员的排查,故障基本解决,等待测试。
(8)网络管理员将备份配置重新导入防火墙,然后对恢复配置的防火墙进行上电测试,确定防火墙恢复正常。最后防火墙重新上架,连线使用,所有网络设备配置恢复之前配置,网络恢复正常。
(9)网络管理员宣布报警解除,转入常态管理。
(10)网络管理员和网络管理办公室对本次应急做事故总结分析。
3、服务器应急预案
3.1服务器应急预案文字说明
(1)系统管理员对服务器故障进行初步判断,并尝试修复,如无法修复,应立即上报。
(2)系统管理员对服务器故障类型进行判断,如为应用系统故障,转入应用系统应急预案。
(3)如为服务器硬件故障,系统管理员联系相应的服务器维保厂商,由该厂商根据售后合同内容提供相应技术支持。
(4)无论服务器硬件故障还是软件故障,系统管理员在对服务器故障修复的同时应对相关业务单位做好告知工作。
(5)经过服务器维保厂商故障抢修,服务器故障最终得以修复。
(6)系统管理员对相应设备及设置进行检查并最终确认,同时通知相关业务部门,业务系统已恢复正常使用。
(7)系统管理员对本次应急做事故总结分析。
3.2应急要点
(1)当发生服务器硬件故障时,如该服务器未采用双机热备方式,应首先通知相关业务部门,然后联系相关厂商对其进行硬件维修;
(2)当发生服务器软件故障时,如需对该服务器的系统进行重装或数据恢复时,应首先通知相关业务部门,然后进行相应修复操作。
六、应急保障
应急物资装备主要包括车辆、备品备件、常用工具软件和应急会议室。
1、技术保障。
(1)各信息系统应具备详细的基础资料:项目文档、设备清单、运维记录、职责分工等。
(2)网络管理办公室专业技术人员应熟悉信息网络、主机系统、应用系统的运行状况,从已发生的各种系统故障中总结处理经验
(3)网络管理办公室要安排人员加强对信息系统运行情况的监视,做好异常情况的预控,对异常情况正确判断,记录完整,及时进行故障排除。
(4)应保障应急培训、演练、添置应急装备物资等所需经费。加强信息系统突发事件应急技术支持队伍的建设,提高人员的业务素质、技术水平和应急处置能力。利用国家相关科研单位的技术专家资源和厂商的技术专家资源,逐步建立应对各种信息系统突发事件的应急专家组,充分发挥应急专家组的作用。
七、后期处置
信息系统突发事件应急处理结束后,影响到公众利益和国家安全的事件,按照国家相关部门的要求配合进行事件调查。网络管理办公室应组织研究事件发生的原因和特点、分析事件发展过程,总结应急处理过程中的经验和教训,进一步补充、完善和修订相关应急预案。
网络管理办公室应加强应急工作的宣传和教育,提高各级人员对应急预案重要性的认识,加强各部门、单位之间的协调与配合。
八、应急演练
应急预案在制定、修订后,网络管理办公室每年至少应组织一次应急演练。要通过演练验证应急预案的合理性,及时修订和完善。在做应急演练前要做好相关准备工作,合理安排、精细组织,确保演练工作的安全。要明确演练目的和要求,记录演练过程,对演练结果进行评估和总结。
九、附则
本预案自发布之日起执行。
附件一:
绍兴文理学院信息安全事件报告
编号: 时间: 年 月 日
事发部门
|
|
联 系 人
|
| 联系电话
|
| 发现时间
|
|
事件内容
|
|
事件来源
| □ 热线电话 □ 日常监控 □ 现场请求 □ 电子邮件
|
服务类别
| □ 后台处理 □ 上门服务 □ 电话支持 □ 远程协助 □ 协调配合 □ 其他服务
|
事件类别
| 网络
| □ 网络硬件 □ 网络配置 □ 链路 □ 综合布线
|
服务器端
| □ 服务器 □ 存储 □ 操作系统 □ 数据库 □ 应用软件
|
终端
| □ 终端硬件 □ 终端系统软件 □ 终端应用软件
|
安全
| □ 安全系统硬件 □ 防火墙配置 □ 防病毒软件 □ 入侵检测/防御 □ 日志审计
|
其他
| □ 电源 □ 防火 □ 防盗 □ 温湿度 □ 防雷 □ 其它
|
事件级别
| □ 重大事件(Ⅰ级) □ 较大事件较大(Ⅱ级) □ 一般事件(Ⅲ级)
|
影响范围
| □ 全网用户 □ 部分单位 □ 一个单位
|
事件原因
|
|
处理过程
|
|
处理结果
|
|
处理时间
| 时 分(开始)_时分(结束)
|
意见建议
|
|
相关资料
|
|
涉及变更
|
|
| | | | | | |