黑龙江工程学院网络与信息安全应急响应常态化工作方案

一、 适用范围

本工作方案适用于半岛平台官方网站(中国)科技有限公司官网应对和处置机房、服务器、网络和应用系统应急响应预案。

二、 编制目的

为了提高半岛平台官方网站(中国)科技有限公司官网处置机房、服务器、网络和应用系统应急预案的能力，最大限度的预防和减少信息安全事件及其造成的损害和影响，保障半岛平台官方网站(中国)科技有限公司官网机房、服务器、网络和应用系统等安全稳定运行，维护正常的生产秩序，在半岛平台官方网站(中国)科技有限公司官网总体应急预案的指导下，制定本方案。

三、 工作原则

安全第一、预防为主、统一领导、分级负责、处置优先、快速反应、科学化、规范化。

四、 组织机构

由半岛平台官方网站(中国)科技有限公司官网现代教育技术中心和各单位的系统管理员组成工作小组，负责推进应急响应常态化工作，成员及职责如下：

成  员：半岛平台官方网站(中国)科技有限公司官网网络信息部信息部以及直属各单位系统管理员

职  责：

1) 负责制定专项工作方案；

2) 负责具体落实应急响应常态化各项工作；

3) 定期召开例会，协调、解决工作推进过程中的有关问题；

4) 对工作开展情况进行监督、检查。

五、 工作要求

(一) 注重组织协调

及时召开专项工作组会议，协调解决工作推进中的有关问题。

(二) 信息告知

当启动应急响应时，现代教育技术中心网络信息部应及时通知各相关业务部门与半岛平台官方网站(中国)科技有限公司官网主管领导。

(三) 预处理

当启动应急响应时，相关工作人员做好先期应急处理工作，采取措施控制事态，必要时采用断网、关闭服务器等方式防止事态进一步扩大。根据事件发展事态，网络信息部应组织设备厂商、系统开发商及安全服务商等应急支援力量，保存证据，做好应急处理工作。

(四) 工作依据

根据应急响应事件情况，以机房、服务器、网络和应用系统等相关应急响应工作专项方案为依据，开展应急响应常态化工作。

(五) 加强工作执行情况的检查

为确保各项工作按时保质完成，各单位落实各项工作责任，做好各项工作的跟踪，及时向半岛平台官方网站(中国)科技有限公司官网网络信息部反馈相关工作执行单，由网络信息部汇总后反馈至半岛平台官方网站(中国)科技有限公司官网现代教育技术中心。

(六) 严格控制工作风险

严把风险关，控制好应急响应工作实施风险，以防二次事故。

六、 工作内容

（一） 机房应急处理

1. 电力故障处理

（1） 应定期检查机房供电设备的运行状况和电路线缆器材情况。

（2） 当机房发生市电供电突然停电或是电源异常时。首先应和供电局联系确认正常停电以及获取停电时长。检查不间断电源的电池可供电时间，确保设备正常运行，如遇到突然断电，应及时将空调等不在UPS电源供电范围内的设备及时断电，预防突然来电时瞬间电流过大导致设备损坏等现象。

（3） 当确定停电时间超出机房UPS承载范围后，首先确定停电的范围以及受影响的设备范围。并及时通知各部门做好停电应急准备。然后通知机房电源维护人和设备的负责人到达现场，做好各设备的电源停电准备。在UPS供电电量仅剩10%之后，严格按操作手册停掉各服务器的电源，最后停核心交换机和路由器，等待电力恢复。

（4） 当确定停电原因是在本身供电系统范围内，立即汇报给负责领导，并及时联系相关维护人员达到现场检修。

（5） 恢复供电后，严格按照操作程序逐步恢复开启机房设备和UPS的供电，以防瞬间电流过大造成设备损坏。

2. 消防故障处理

（1） 一旦机房发生火灾，应遵照下列原则：首先确保人员安全；其次保护关键设备、数据安全；三是保护一般设备安全。

（2） 人员疏散的程序是：机房工作人员立即按响火警警报，并通过119电话向公安消防请求支援，所有人员戴上防毒面具，所有不参与灭火的人员按照预先确定的线路，迅速从机房中撤出。

（3） 人员灭火的程序是：首先切断所有电源，启动自动喷淋系统或使用灭火器，灭火人员戴好防毒面具，从指定位置取出泡沫灭火器进行灭火。

3. 空调故障处理

若空调损坏，应第一时间通知厂家上门进行维修，并及时报告中心领导请示，获得授权后按机房设备关闭顺序关闭各类设备。

4. 漏水故障处理

（1） 发生机房漏水时，第一目击者应立即通知网络信息部负责人。

（2） 若空调系统出现渗漏水，网络信息部应立即安排停用故障空调，清除机房积水，并及时联系设备供应商处理，同时启动备用空调，必要情况下可临时用电扇对服务器进行降温。

（3） 若为墙体或窗户渗漏水，网络信息部应立即采取有效措施确保机房安全，同时安排通知相关管理部门，及时清除积水，维修墙体或窗户，消除渗漏水隐患。

5. 自然灾害和盗抢处理

（1） 发生自然灾害后，首先应该组织人员撤离现场。当确认灾害不会造成人身伤害后，再前往机房检查设备，立刻向半岛平台官方网站(中国)科技有限公司官网网络安全和信息化领导小组以及省教育厅汇报，并联系相关设备厂家，积极做好灾后恢复工作，确保在最短时间内恢复机房正常运行。

（2） 发生盗抢事件后，要保护好现场然后报警，并向半岛平台官方网站(中国)科技有限公司官网网络安全和信息化领导小组汇报情况。待现场处理完毕后，要组织相关人员估计损毁情况，并联系相关设备厂家，积极做好恢复工作。

（二） 服务器应急处理

1. 服务器硬件故障处理

（1） 服务器、存储设备损坏后，设备负责人应立即向现代教育技术中心负责人报告。

（2） 立即组织技术人员查明原因，联系维保单位更换受损部件。

（3） 如果设备不能立即修复，应向半岛平台官方网站(中国)科技有限公司官网网络安全和信息化领导小组汇报，并告知各业务部门暂缓业务操作。

2. 软件（包含操作系统、数据库和中间件）故障处理

（1） 软件平时必须存有备份，与软件相对应的数据必须有三日以内的备份；并将它们保存于安全处。

（2） 软件发生故障后，相关责任人应立即向网络信息部负责人汇报，经确认后停止该系统的运行并切换至备份系统，保证业务正常进行。

（3） 如导致数据损坏或丢失，应该及时组织本部门技术人员和外部技术力量做好数据的恢复工作。

（4） 相关组检查日志等资料，确定故障原因。

（5） 网络信息部将实施处理的过程和结果备案存档，并向半岛平台官方网站(中国)科技有限公司官网网络安全和信息化领导小组汇报。

（三） 应用系统应急处理

1. 业务数据损坏故障处理

（1） 发生业务数据损坏时，应及时报告网络信息部负责人，并检查、备份业务系统当前数据。

（2） 网络信息部应及时通知各业务部门，暂停业务流转。

（3） 调用备份服务器备份数据，若备份数据损坏，则调用磁带机中历史备份数据，若磁带机数据仍不可用，则调用异地备份数据。

（4） 应用组应在业务数据系统恢复后，检查历史数据和当前数据的差别，由相关业务操作人补录数据；重新备份数据，并编写故障分析报告。

（5） 网络信息部将实施处理的过程和结果备案存档，并向半岛平台官方网站(中国)科技有限公司官网网络安全和信息化领导小组汇报。

（四） 网络应急处理

1. 网络设备故障处理

（1） 发生网络设备硬件故障后，网络信息部组织查找、确定故障设备及故障原因，进行先期处置。

（2） 若故障设备在短时间内无法修复，应启动备份设备，保持系统正常运行；将故障设备脱离网络，进行故障排除工作。

（3） 故障排除后，在网络空闲时期，替换备用设备；若故障仍然存在，应立即联系相关厂商，要求协助排查解决。

2. 网络中断处理

（1） 故障排查。网络中断后，应迅速判断故障节点，查明故障原因。

（2） 故障排除：

如属线路故障，应重新安装线路；

如属路由器、交换机等网络设备故障，应立即检修并调试通畅；如路由器、交换机配置文件破坏，应迅速按照要求重新配置，调试通畅。必要时，请有关技术单位协助调测畅通；

如需更换设备，应上报分管领导，经批准后马上更换故障设备，尽快恢复系统运行；

如发现属于外部线路的问题，应与线路运营商联系，敦促其尽快恢复故障线路。

3. 黑客攻击处理

（1） 当发现网络被非法入侵、网页内容被篡改，服务器上的数据被非法拷贝、修改、删除，或通过入侵检测系统发现有黑客正在进行攻击时，管理者应断开网络，并立即报告网络信息部负责人。

（2） 接到报告后，网络信息部安全员应立即核实情况，关闭服务器或系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登陆帐号，阻断可疑用户进入网络的通道。

（3） 及时清理系统、恢复数据、程序、恢复系统和网络正常；情况严重的，应向半岛平台官方网站(中国)科技有限公司官网网络安全和信息化领导小组汇报。

（4） 网络信息部将实施事件处理的过程和结果备案存档，必要时向半岛平台官方网站(中国)科技有限公司官网网络安全和信息化领导小组汇报。

4. 大规模病毒攻击处理

（1） 当发现有计算机被感染上病毒后，计算机使用人员应立即使用杀毒软件对计算机杀毒，并通知网络信息部。网络信息部应及时赶到现场将该机从网络上隔离开来。

（2） 网络信息部对该设备的硬盘进行数据备份。

（3） 网络信息部启用反病毒软件对该机进行杀毒处理，并对关联机器进行病毒扫描和清除工作。

（4） 如发现反病毒软件无法清除该病毒，应向网络信息部负责人汇报，由网络信息部组织相关技术人员研究解决。

（5） 情况较为严重的，还应及时向半岛平台官方网站(中国)科技有限公司官网网络安全和信息化领导小组告，并向公安部门报警，配合公安部门展开调查。

七、 后期处理

1. 恢复生产

应急响应处理结束后应安排专人密切关注、监测系统2天，确认无异常现象后，恢复系统正常运行状态。

2. 事故调查

突发事件应急处理结束后，各单位应按照半岛平台官方网站(中国)科技有限公司官网相关调查要求，组成事件调查组对事件进行调查，形成事件调查报告，交由黑龙江工程学院现代教育技术中心按规定上报并抄送半岛平台官方网站(中国)科技有限公司官网半岛平台官方网站(中国)科技有限公司官网网络安全和信息化领导小组备案。调查要准确、及时、公正地查清事件性质、原因和责任，总结经验教训，提出防范措施，并对责任者提出处理意见。除组织内部调查以外，应积极配合上级部门组织的调查。

按照半岛平台官方网站(中国)科技有限公司官网规定由各单位自行组织调查的，各单位应负责查清事故原因，评估事件影响，认定事件责任，提出整改措施，并将事故调查报告报上级部门，并视情向所属各单位通报事故调查、处理情况。

3. 总结与改进

各单位应客观、公正、准确地查清事故原因、发生过程、恢复情况、事故损失等，认定责任，提出整改措施。

现代教育技术中心组织研究突发事件发生的原因和特点，综合分析机房、服务器、网络和应用系统中存在的关键点和薄弱点，及时总结应急响应工作的经验和教训，提出整改措施，制定整改实施方案并予以落实，整改措施和方案应报半岛平台官方网站(中国)科技有限公司官网网络安全和信息化领导小组备案。