第一篇:信息应急预案2014 (修复的)
《宜春新建医院信息系统及网络故障应急预案》
为了提高处理突发性网络异常事件的处理能力, 确保医院业务系统的正常运作, 在目前的网络现状下我们制定出一套操作性强, 目的明确的应急处理预案。该预案目的旨在技术人员在突发事件发现时, 迅速作出响应, 快速处理, 积极恢复医院业务系统的正常秩序。
一、信息系统及网络故障的定义:
本预案所指的信息系统故障是指各终端完全不能访问数据库,不能处理任何医疗工作的故障现象。网络故障是指由于各种原因导致整个或局部网络不能运行的故障现象。
二、成立信息故障应急领导小组(以下简称领导小组)组 长:谭光瑛
副组长: 张凤玲 李忠鑫 王春秀 李欣
组 员:刘和梅、周梅兰、王斌、张绍红、陈清、黄丽、黄云兰、熊静萍、王芳艳、刘娜、宁湘爱、袁颖、鲍永红、刘公波、罗科云 职责:
1、组 长:医院院长决定批准预案的实施与撤消及向上级相关部门的报告
2、副组长:分管院长负责院内协调、组织等管理工作,负责预案实施过程的技术性等
3、成员:各职能科室负责人相关部门的应急工作
三、医院信息系统出现故障报告程序
1、当各工作站发现终端访问数据库速度迟缓、不能进入相应程序、不能保存数据、不能访问网络、应用程序非连续性工作时要立即向信息科汇报。
2、信息科工作人员对科室提出的上述问题必须重视并核实后给科室反馈信息。同时召集相关人员进行讨论,如果故障原因明确,可以立刻恢复工作的,应尽快采取措施恢复系统工作;如故障原因不明确、情况严重不能在短期内排除的,应立即向领导小组汇报,以利于在网络不能运转的情况下由领导小组协调协调全院各部门工作,以保障全院医疗工作的正常运转。
四、针对医院信息网络故障的分析, 我们把故障分为四级 一级故障:中心机房遇到不可预料灾难性事件, 如火灾, 地震, 水灾等, 造成医院整个业务系统的瘫痪。
二级故障:由于核心服务器不能正常工作、光纤损坏;核心交换机故障;局部网络不通;备份盘损坏;主服务器数据丢失;备价表目录被人删除或删改;基础数据被删改;重点终端故障等造成的医院整个业务系统的瘫痪。
三级故障:楼层汇聚、接入交换机或单个支路交换设备故障等单一终端软、硬故障;单一病人信息丢失;偶然性的数据处理错误;某些科室违反工作流程要求。
四级故障:各终端由于不熟练或使用不当造成的错误。
五、故障分类等级的处理原则:
1、一、二级故障——由信息科科长上报领导小组,由领导小组组织协调恢复工作。
2、三级故障——由网络管理员上报信息科科长,由信息科集中解决,并做好相关记录。
3、四类故障——由网络管理员单独解决,并详细登记维护情况。
六、发生网络整体故障时的应急协调:
1、当信息科一旦确定故障为一、二级故障,首先是立刻报告领导小组(节假日应报告总值班)。同时积极组织恢复工作,并充分考虑到特殊情况如节假日、重大会议、人员外出及医院的重大活动对故障恢复带来的时间影响,由协调小组根据故障排除的可能性进行工作协调,并由组长启动应急预案。各部门根据故障恢复时间的程度将转入手工操作,具体时限明确如下: A、B、30分钟内不能恢复——门诊挂号、收费、门诊医生、药房转入手工。6小时内不能恢复——原则上将医生工作站、护士工作站、入院、急诊检查、手术室、医技检查转入手工(具体实行时间及步骤由医务科、护理部通知)。
C、24小时以上不能恢复——全院各种业务转入手工操作。
2、各部门的具体协调安排:
(1)所有手工操作的统一启动时间,须由信息科工作人员判断需修复时间,报告领导小组同意后通知各相关部门,各科室应严格按照通知的时间协调各项工作,在未接到新的通知前不准私自操作计算机。
七、各重点部门重点系统应急预案:
(一)、门急诊应急预案:
1、门急诊挂号、收费应急方案:
“信息系统应急预案”启动时,门诊挂号、收费协调工作由收费处负责人负责协调处理,并与信息网络中心保持联系,及时反馈沟通最新消息。门急诊挂号:
当信息系统中断后,挂号处改为手工挂号,按照患者的就诊类型收费(但正常分配ID号),同时将患者姓名、通讯方式、挂号类型记下。门急诊收费:
1)收费处向财务部门领取手工发票‘三联单’两人一组,一人划价,一人收费。门诊划价启动各单机上备用的收费项目目录, 收费员可以查询并批价;2)信息系统恢复后,及时将中断期间的患者ID信息输入到系统中,并补录收费信息,补打机打发票;
3)当系统恢复正常时,由收费处负责人负责对系统运行稳定性进行监测,如不稳定,及时向信息科反映。
4)在以后的工作中如发现某位患者的ID号系统内没有记录,应详细询问患者以前是否是在系统故障时就过诊。
2、门急诊医生工作站应急方案:
“信息系统应急预案”时,门急诊科室由门急诊科主任负责协调工作,医生根据挂号处手写的病人ID进行手工开具处方、检查单、检验单、治疗单。并由收费处手工划价。
3、门急诊药房应急方案:
“信息系统应急预案”时,药房工作由药剂科科长协调处理。
药房工作人员根据病人的处方和临时发票发药,并在处方背面做特殊标记,待系统恢复后再全部核发。数据补录工作结束后应查看信息系统内库存与实际库存相符情况
4、医技科室PACS(放射科、功能科、内镜室、阴道镜室、病理科)LIS(检验科)“信息系统应急预案”时,各科室根据手写申请单进行检查,并且手工书写报告单,待系统恢复正常后,再核算申请单信息,有无漏收费用。
(二)、住院应急方案
1、入院、出院工作协调。
“信息系统应急预案”时,入院、交费、出院工作由出入院管理科长负责总体协调。系统停运期间,新入院病人采取手工入院,手工开具预交金单。
当系统停止运行超过24小时,如有病人出院,告知病人或家属先行出院。待系统恢复时,入院处电话告知病家,由家属来院办理结帐手续,对急诊出院的患者应根据病历和临床护士工作记录,进行手工核算,出具手写发票。
2、住院药房应急措施:
“信息系统应急预案”时,药房工作由药剂科科长协调处理。
1、药房窗口不再通过计算机的医嘱系统进行摆药出库。
2、网络故障时药房根据临床科室提供的药品请领单发药(包括姓名、ID号、费别、药品名称及用量)。
3、网络恢复时对临床科室补录的摆药医嘱进行发药补确认,同时与发药时药品请领单内容详细核对,如发现内容不符,必须详细追查;
4、网络恢复后对出院带药处方请临床医生及时进行录入;
3、住院护士站应急预案
“信息系统应急预案”启动时,由护理部主任负责总体联络协调。
1)网络故障期间医护人员应转入手工操作模式,详细记录患者的所有医嘱、护理记录、和费用执行情况;详细填写每位患者的治疗单、输液单、药品请领单(包括姓名、ID号、费别、药品名称及用量),一式2份,一份用于科室补录医嘱,另一份用于到药房领药凭证。2)并做好住院患者和预出院患者的解释工作。
3)所有住院病人的医嘱用药,凭领药单直接到住院药房领药。4)待系统恢复正常后,再补充输入全部的医嘱,核对费用。
4、住院医生站应急预案
“信息系统应急预案”启动时,临床工作由医务科主任负责联络协调,具体如下:
1)住院科室医生启用手工开具医嘱,手工书写各种医疗文书,详细记录治疗执行情况、病情进展情况待系统恢复正常后,再补充输入全部的医嘱及电子病历文书。
2)出院一律不办理;如需紧急出院,由经治医生手工开具出院小结,出院带药由经治医生负责掌握经费情况,由护士带患者到出院处进行手工结算工作,开具手工发票,如有报销,需留下患者电话另行通知来院报销时间,带到待系统恢复后再办理补出院手续。
5、医技科室PACS(放射科、功能科、内镜室、阴道镜室、病理科)LIS(检验科)“信息系统应急预案”时,各科室根据病区手写申请单进行检查,并且手工书写报告单,待系统恢复正常后,再补发报告单。核对报告单,并且补划价。(LIS/PACS应急预案详见后面)
(三)检验信息系统(LIS)应急方案
1、故障分类
我院的医院信息化系统是以HIS为核心,支撑EMR/LIS/PACS等系统运行的综合信息化系统,根据故障对LIS的波及程度,可以分为以下三类:
一类:各种原因导致的全院或检验科网络瘫痪 二类:网络故障仅影响到LIS以外的其他系统 三类:系统网络故障只影响到了LIS本系统
2、处理预案
一类故障应急预案 1)当全局性和局部性故障非常严重,计算机工作站也遭受破坏时,可恢复传统实验室状态和原始的检验科报告方式,出具临时报告单。
2)门诊处应张贴告示,对病人进行解释和疏导的同时,各检验操作立即转入手工。3)正常班期间,如预计在15分钟内能排除故障,则由门诊主管负责;如果预计超过30分钟,需报告信息网络中心,值班主任。晚班和夜班期间,当班人员需报告总值班,门诊主任。
4)预计网络中断时间小于6小时,对于门急诊和有危急值的病人及时出具临时报告单,并且电话通知相关医生,病房和门诊平诊,且无危急值的病人,与相关人员协商后延后6个小时后在出具检验报告单。
5)预计网络中断时间大于6小时,所有病人均出具临时报告单。
6)检验科绝大多数仪器配有单机版简易报告单软件;手工检测项目等无单机版软件均备有检验结果空白的简易报告单,其内容包括日常检测项目,一旦LIS瘫痪发生后,由当班人员切换到单机版简易报告单软件,或者‘‘空白简易报告单’上手工填写各检测值,所有临时报告单均由各专业主管负责审核数据的完整性和正确性,并签字审核,待网络恢复正常后补充收费及补发正式报告单。
7)如病人需要既往结果,应对其进行合理解释,在劝说其在LIS恢复正常后,在查询检验报告单。
二类故障应急预案
1)住院部门信息故障:医生工作站无法将电子医嘱生成检验单,检验科不能进行计费申请等,对策:医生手写检验申请单;护士在样本上贴上检验申请单二连编号,手工在申请单上标注采样时间等关键信息,并电话通知检验科后,送检验科检查,故障解除后,医生站
(2)、医技检查工作协调。
1)在系统停运期间应详细留取、整理检查申请单底联; 2)在系统恢复后根据检查单底联登记,补录患者费用; 3)及时与临床科室沟通病人情况。
(四)PACS系统应急方案(放射科、功能科、内镜室、阴道镜室、病理科)现代化、信息化医院的发展越来越离不开医院信息系统(HIS)及图像存储及传输系统(PACS)的正常运行。为了确保HIS及PACS的连续稳定运行,保证医院正常就医秩序,最大限度地降低信息管理系统故障、系统瘫痪给医院工作和就医患者所造成的影响,特制定PACS系统应急预案”。
一、PACS系统故障分级
根据PACS系统故障的影响范围及持续时间,将故障分为三级: I级故障:PACS系统全面瘫痪并且预计持续故障时间超出4小时。II级故障:PACS系统全面瘫痪但预计持续故障时间不超出4小时。
III级故障:PACS系统局部故障,影响少数部门业务,预计故障持续时间超出1小时。
二、“放射信息管理系统应急预案”启动条件:
若系统故障预计超过30分钟PACS系统全面瘫痪后,各级工作人员应相互配合,立即启动如下应急预案:
三、应急预案具体实施
1、登记应急措施:应急预案启动时,启动手工登记,采用累加模式为患者分配应急登记号,并在登记号前添加检查类型代码作为前缀,例如数字化X线摄影(DR)的检查患者在应急登记号前加“DR”字样后,产生的登记号DR12345,将其记录在应急流程登记本上,其他检查项目以此类推。这样做的目的是防止产生的登记号重复,不会因此产生图像或报告匹配错误。嘱咐患者到相应检查室进行摄片检查。
2、技师摄片应急措施:技师接到患者申请单时,已无法使用worklist功能,此时在电 脑主机工作站上使用单机版PACS系统手工进行单独登记,登记录入内容应包括患者 的拼音名、性别、年龄、影像编号(PID)。登记结束后,按申请单上要求进行摄片检 查。摄片后将胶片打印。
3、巡回医务人员应急措施:等待患者检查摄片结束及技师打印胶片后,巡回医务人员将 申请单与所打印胶片胶片整理后送至诊断室。诊断报告出具后,连同报告及胶片让患 者及家属签字后带走。
4、医师诊断应急措施:故障发生后,报告模式由网络模式切换至单机模式。每台报告工作站的D盘上都备有规范的WORD报告模板,报告医生通过报告模板填写患者报告信息,打印的报告一式两份,一份发给患者,另一份与申请单一起存档。待系统恢复后按报告内容重新录入PACS系统。
四、应急预案的撤销
信息科确认医院信息系统(HIS)及图像存储与传输系统(PACS)恢复正常,各检查工作站能正常登陆并使用时,应急处理程序结束。
五、应急预案撤销后的工作
登记人员:进入检查系统登记界面,补录在手工操作时产生的各种登记信息。摄片技师:将图像传送至PACS系统,并将PACS系统内的图像关联到相应病人。诊断医师:进入PACS系统报告界面,将存档的纸质报告单上的内容按病人顺序录入系统。记账人员:进入检查系统进行补录住院病人费用信息。
(五)农合、医保(刷卡)实时结算故障应急预案
一、指导思想
本预案制订目的是为了应对由于硬件损坏等原因造成的网络崩溃、进而无法顺利完成常规农合报销、医保刷卡结算工作时的临时应急性工作方案,以快速恢复医疗工作制定的应急工作方案。具体如下
二、应急领导小组与职责
院信息化领导小组同时是农合、医保刷卡结算应急工作指导小组,在应急事件发生后,行使相关应急指挥职能。紧急事件发生后是否需要启动预案的判定,由信息科负责,应急状态的进入、运转与退出,由信息科根据实际需要向主管领导提出相应的申请、主管领导批准后正式执行。
三、故障级别
针对刷卡结算工作的实际情况,根据《宜春新建医院信息系统及网络故障应急预案》的总体原则,医保刷卡结算相关工作的应急级别定义为第3级
四、系统及网络故障判断与处理办法
故障的判断标志是,该事件发生后足以影响到农合、医保门诊刷卡、住院结算实时结算正常运转,具体包括:
1、因各种原因造成院HIS网络相关门急诊与收费业务、出院办理无法正常运转时。处理方法:按《宜春新建医院信息系统及网络故障应急预案》规定启动应急 工挂号与收费处理程序。门诊以现金收费方式完成患者正常就诊,带系统恢 复运行后在划卡重新结算,出院结算暂停,并且及时做好解释工作。
2、HIS业务正常但因农合、医保网络中断造成无法刷卡实时结算且无法短时内解决的。
处理方法:门诊现金收费方式完成患者正常就诊,带系统恢复运行后在划卡重新结算,出院结算以现金方式结算,待系统恢复运行后再次划卡医保结算,对急需报销的患者予手工报销,并且详细记录患者信息及并且及时做好解释工作。
五、应急状态下的工作安排:
紧急事件发生后,信息科判定、申请进入应急状态并经主管院长正式批准后,正式进入应急状态,1、信息科科长负责应急状态下信息系统的总体工作安排,并且及时联系电信公司及医保中心,查找故障发生的原因,及解决办法,判断故障恢复需要的时间,及时与医保办及收费处取的联系。
2、医保办科长负责应急状态下医保系统的总体工作安排:抽调不少于2名工作人员进入收费处提供现场服务;及时耐心解答患者有关疑问;与市、区医保中心沟通以便快速解决问题。
3、收费处负责人负责应急状态下门诊收费工作的总体安排:根据需要抽调专人开放应急备用窗口;做好应急状态下患者的接待与解释性工作,为应急医保患者做好登记以便应急结束后可以为其做好后续服务;配合财务科等部门做好相关财务、药剂、医保与信息化工作。
4、药剂科科长负责应急状态下药剂工作的总体安排:门诊药房工作人员做好医保 患者的应急接待工作;应急状态结束后与财务科、信息科协作做好相关数据的恢复性工作。
5、其他科室领导,包括门诊办、急诊科、医技科室等相关科室的主任应在进入应急状态下配合医院应急工作,协助做好相关门诊医保患者的解释与接待工作。
六、“信息系统应急预案”的撤消
1、信息科确认医保、农合系统网络恢复正常。
2、医保办、收费处确认结算恢复正常。
3、信息系统正常运行10分钟以上,信息科上报院部,由主管领导批准撤消“信息系统应急预案”。
4、在“信息系统应急预案” 撤消后24小时内,信息科整理有关故障经过。
(六)终端设备应急预案
1、硬件系统故障:如发现鼠标、键盘、显示器或不能启动计算机,请于信息科联系,经网管员检测不能立即修复的,网管员应立即启用备用设备对其进行更换,同时信息科应做好备用计算机的工作。
2、打印机系统故障:如打印机在工作中出现异常(打印头温度过高、打印头发出异响、进纸器卡纸),操作员应立即关闭打印机电源与信息科联系,网管经检测不能恢复,可采用备用打印机替换,计算机操作员不能带电拆解打印机与计算机外部器件。
(七)信息系统修复后的数据处理:
1、出入院管理科组织核校患者费用情况。
2、各门诊单位补录工作量。
3、药房校查库存。
4、临床科室补录患者医嘱。
5、病案室整理补录病历,统计室补充统计信息的生成。
(八)“信息系统应急预案”的撤消
1、信息科确认医院信息系统恢复正常。
2、门办确认医院秩序恢复正常。
3、信息系统正常运行10分钟以上,信息科上报院部,由主管领导批准撤消“信息系统应急预案”。
4、在“信息系统应急预案” 撤消后24小时内,信息科整理有关故障经过。
(九)应急准备与演练
为了在紧急事件发生后有序展开应急工作,须做好各种准备性工作,具体包括:
1、环境与人力资源准备,财务科应对收费处、挂号室应根据实际需要增设必要的备用窗口(不少于1个)与工作人员(不少于1名)。
2、信息科日常工作中应加强对网络以及软硬件的检查与维护,以减少意外发生的可能。
3、信息科应根据本院实际工作以及意外的需要,配置必要的软硬件等资源,需要外购的提前按医院规定做好相关物资的采购和储备,以防在意外发生时因缺少必要的支撑而使应急失败。
4、信息科应根据医院实际业务情况的变化,及时对医院网络、软件、硬件、管理、培训等方面进行适应性的修正,以便降低意外发生可能、提高应急处理能力。
5、信息科应在不对正常医疗业务造成过大影响的前提下,对应急预案相关的软件、硬件与网络等不定期进行测试,有必要进行应急演练的,报经主管领导批准后开展相关演练工作。
(十)结束语
以上是我院医保门诊刷卡结算应急预案的具体内容,各相关科室要仔细学习认真体会,尤其是信息科工作人员更需要严格掌握预案内容以及相关的技术与管理制度,以确保在灾害发生的时候可以按照预案要求迅速顺利的开展工作。
如发生本预案中未列出的情形,应参考院信息化系统一般灾难与重大灾难应急预案有关内容执行,无法参考执行的或存在疑义的,及时请示院信息化工作领导小组。
第二篇:信息系统安全应急预案
信息系统安全应急预案
为全面加强信息系统安全管理,应对信息安全突发事件的发生,提高对安全事件的应急处置能力,保证网络与信息安全指挥协调工作迅速、高效、有序地进行,满足突发情况下信息系统安全稳定、持续运行,根据国家和省有关规定,制定本预案。
一、组织机构
信息系统安全应急工作,由信息安全工作领导小组统一领导。负责信息安全日常事务处理、应急处理及安全通报等事务。
二、工作原则
(一)明确责任、分级负责:按照“谁主管谁负责,谁运行谁负责”的要求,逐级建立并落实统计信息系统责任制和应急机制。
(二)加强领导、分工合作:各单位应按照规定的职责和流程,实施统计信息系统的应急处理工作。
(三)积极预防、及时预警:各单位应及早发现安全事件,及时进行预警和信息通报;积极做好应急处理准备,提高对安全事件的预防和应急处理能力。
(四)协作配合、确保恢复:各单位要协同配合,确保在最短的时间内完成系统的恢复。
三、应急措施(一)电力系统故障的应急处理流程
1.任何单位和人员发现本单位电力系统出现异常情况时,都应及时向办公室报告。
2.办公室是电力系统故障应急处理的第一责任单位。办公室应尽快查清故障原因,提出解决办法,确定故障排除可能需要的时间,报信息安全工作领导小组。
3.网络运行负责人应根据停电时间和UPS电池的供电能力,在保证重点网络关键设备用电的前提下,提出机房设备部分关机或全部关机方案,报信息安全工作领导小组。经认可后,安排相关人员按照规定的流程操作实施。
4.电力系统恢复供电后,办公室应在第一时间通知网络中心,以便以最快的速度恢复关闭的网络应用。
计算中心网络和系统管理人员在接到通知后,按照规定的流程开启关闭相关设备。
(二)消防系统应急处理流程
1.当出现火情、火灾时,发现人员应在最短时间内报告办公室。若火情严重时,应迅速拨打119电话报警,并尽可能采取一些简单可行的方法作初步处理,如:使用周围的灭火器、水源(在允许用水灭火的场合)或采用其他灭火措施、手段。进展情况随时向有关领导报告。
2.计算中心机房出现火情并且无法进行局部处理时,机房管理人员在紧急报告有关领导的同时,应立即疏散物理场地楼层以内的工作人员。并迅速拨打119电话报警。
(三)网络信息系统故障的应急处理流程
1.网络设备、网络应用系统故障应由发现人通知计算中心,计算中心立即检查故障,进行初步故障定位。如果网络、应用系统出现比较严重的问题,对网络业务的正常运行造成较大的影响,需立即向有关领导报告。
2.对简单故障,运维人员应迅速排除故障,解决问题并记录。如果需要更换设备,应上报有关领导经批准后马上更换故障设备,尽快恢复网络、应用系统运行。
运维部门判断无法及时修理时,应立即通知相关的系统运行服务提供商,在最短的时间内安排修理或更换系统。
3.如发现属外部线路的问题,应与线路服务提供商联系,敦促对方尽快恢复故障线路。
4.启用备份线路、设备、系统(如果存在的话),迅速恢复相关的应用。
(四)网站检测与自动恢复系统应急处理流程
1.发现网站不能正常打开或网站内容被恶意篡改时,任何人员都有义务向网络中心报告。由网络应急小组组织应急响应,联合相关部门进行故障排查。
2.先由运维小组查看网络连接情况,若不是网络故障,则排查软、硬件故障。待故障处理完成并经过测试后,恢复系统的正常运行和内容的正常应用。
(五)黑客入侵的应急处理
1.发现网络上有黑客攻击行为,任何人员都有义务向网络中心报告。计算中心立即启动应急响应,切断受攻击计算机与网络的连接,停止一切操作、保护现场,并上报有关领导。
2.对于黑客攻击,由网络中心组织应急响应小组查找入侵踪迹,分析入侵方式和原因。由安全管理员根据对入侵事件的分析,组织相关人员对内部网计算机整改,防止黑客用同样的手段再次入侵其他系统。安全管理员检查确定无安全隐患后,才可将受攻击计算机重新连接网络,或启用备份计算机来恢复应用。
3.安全管理员应做好记录,保护现场,进行日志收集等工作。如果能追查到攻击者的相关信息,可以对其发出警告,必要时可以采取进一步的行动,乃至采取法律手段。根据破坏程度,经有关领导同意后,上报公安部门。
若系统已被黑客破坏,无法恢复,应将受黑客攻击的计算机上的重要数据备份到其他存储介质,确保计算机内重要的数据不丢失。如果数据无法恢复,经有关领导同意后,可与国家指定的部门联系,由他们来协助恢复,为保证数据信息安全,需在安全管理部门作记录。
(六)大规模病毒(含恶意软件)攻击的应急处理
1.发现网络上有大规模病毒攻击的行为,任何人员都有义务向网络中心报告。由网络中心组织应急响应,切断受攻击计算机与网络的连接,停止一切操作、保护现场,立即上报有关领导。2.若是已知病毒,使用最新版本杀毒软件对染毒计算机进行全面杀毒,并对染毒计算机系统进行漏洞修补。安全管理员确定没有病毒和安全漏洞后,再连接网络恢复使用。
3.若是未知病毒,观察网管软件根据监视窗口的链路状态,由此判断感染病毒或恶意程序的客户端、服务器所科的楼层交换机。打开该交换机的端口流量分析窗口,根据流量判断感染病毒或恶意程序的客户端所在的交换机端口。关闭该交换机端口,隔离该工作站、服务器,阻断与局域网的连接。根据端口状态功能,查看该感染病毒或恶意程序的工作站的IP地址。根据IP地址信息找到该工作站的具体位置,对该工作站进行病毒或恶意程序清除工作。
根据对于未知病毒,应首先尝试手工杀毒处理,若系统已被病毒破坏,无法恢复,应将感染病毒的计算机上的硬盘加挂到其他机器上处理,将重要数据备份到其他存储介质,尽最大努力保护、保留感染计算机内重要的数据,同时防止病毒感染其他计算机。如果数据无法恢复,经有关领导同意后,可与国家指定的反病毒部门联系,由他们来协助恢复,为保证数据信息安全,需在安全管理部门作记录。如为涉及国家秘密的数据,不允许由其他机构来恢复数据。
第三篇:信息网络安全应急预案
应急预案
第一条 信息系统安全突发事件级别分为四级:一般(IV级)、较大(III级)、重大(II级)和特别重大(I级)。
IV级:
1.安全事件的发生不影响日常工作,不影响业务系统和网络的正常运行。
2.个别内网用户因安全事件的发生影响了日常工作。III级:
1.市人社业务专网骨干网络全部或部分出现性能严重下降60分钟以上。
2.市人社业务专网20%以上的内网用户因同一类型安全事件的发生影响了日常的工作。
3.非关键性业务系统及网络出现问题造成中断。4.对外部用户提供业务的网站及信息系统受到篡改、病毒、攻击影响60分钟以上。
II级:
1.市人社业务专网较大面积(30%以上区域)中断或性能严重下降30分钟以上。
2.市人社业务专网30%以上的内网用户无法访问网络或进行正常办公。
3.关键性业务系统及网络出现问题影响业务运行。4.对外部用户提供业务的网站及信息系统受到篡改、病毒、攻击影响无法正常访问。
I级:
1.市人社业务专网网络大面积(50%以上区域)中断或性能严重下降30分钟以上。
2.市人社业务专网40%以上的内网用户无法访问网络或进行正常办公。
3.关键性业务系统及网络发生中断。
4.对外部用户提供业务的网站及信息系统受到篡改、病毒、攻击影响导致无法访问。
第二条 市人社业务专网用户发现业务专网工作不正常后,应立即报告本级信息化工作管理部门。信息化工作管理部门接到报告后,应立即组织力量对此次业务专网信息安全事件的危害程度和影响范围进行初步评估认定,并根据初步判断的事件紧急程度,进行信息上报/通报。
(一)紧急事件信息的上报。对于初步认定为三级以上内网信息安全事件,应当立即将有关情况向市人力资源和社会保障信息中心信息安全管理员报告。
(二)非紧急(一般)事件信息的报送/通报。各县市区人社部门、局属各单位对不符合上述条件的人社业务专网信息安全事件,应在对事件进行自行处置后,将事件发生情况、处置情况、相关建议信息等按月汇总后报送市人力资源和社会保障信息中心信息安全管理员。
(三)对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。
第三条 所有市人社系统干部职工都必须尽快向本级安全部门汇报已知或受怀疑的可能的安全事件,如系统漏洞、缺陷或误用,以便最大限度地减少安全事件和故障所造成的破坏;
第四条 安全事件处理人员应在不延长业务中断时间的前提下,尽量收集并记录事件数据,特别是采取处理措施后无法再获得的数据。例如:内存数据、进程状态、连接等。
第四篇:信息系统安全应急预案
深圳市前海好彩金融服务有限公司
信息系统安全应急预案
一、总则
(一)编制目的
公司网络和信息安全涉及以设备为中心的信息安全,技术涵盖网络系统、计算机操作系统、数据库管理系统和应用软件系统;涉及计算机病毒的防范、入侵的监控;涉及以用户(包括内部员工和外部相关机构人员)为中心的安全管理,包括用户的身份管理、身份认证、授权、审计等;涉及信息传输的机密性、完整性、不可抵赖性等等。为切实加强我司网络运行安全与信息安全的防范,做好应对网络与信息安全突发公共事件的应急处理工作,进一步提高预防和控制网络和信息安全突发事件的能力和水平,昀大限度地减轻或消除网络与信息安全突发事件的危害和影响,确保网络运行安全与信息安全,结合公司工作实际,特制定本应急预案。
(二)编制依据
根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全3级评级方法》、GB/T20269-2006《信息安全技术信息系统安全管理要求》、GB/T20270-2006《信息安全技术网络基础安全技术要求》、GB/T20281-2006《信息安全技术防火墙技术要求和测试评价方法》、GB/T19716-2005《信息技术信息安全管理使用规则》等有关法规、规定,制定本预案。
(三)本预案适用于深圳市前海好彩金融服务有限公司网络与信息安全应急处理工作。
二、应急组织机构及职责
成立信息系统应急处理领导小组,负责领导、组织和协调全公司信息系统突发事件的应急保障工作。
(一)领导小组成员: 组长:技术主管 副组长:运维经理
成员:开发部.运维部.测试部.等部门负责人组成。
应急小组日常工作由公司技术部承担,其他各相关部门积极配合。
(二)领导小组职责:制订专项应急预案,负责定期组织演练,监督检查各部门在本预案中履行职责情况。对发生事件启动应急救援预案进行决策,全面指挥应急救援工作。
三、工作原则
(一)积极防御、综合防范
立足安全防护,加强预警,重点保护重要信息网络和关系社会稳定的重要信息系统;从预防、监控、应急处理、应急保障和打击不法行为等环节,在管理、技术、宣传等方面,采取多种措施,充分发挥各方面的作用,构筑网络与信息安全保障体系
(二)明确责任、分级负责
按照“谁主管谁负责”的原则,分级分类建立和完善安全责任制度、协调管理机制和联动工作机制。加强计算机信息网络安全的宣传和教育,进一步提高工作人员的信息安全意识。
(三)落实措施、确保安全
深圳市前海好彩金融服务有限公司
要对机房、网络设备、服务器等设施定期开展安全检查,对发现安全漏洞和隐患的进行及时整改。
(四)科学决策,快速反应
加强技术储备,规范应急处置措施和操作流程,网络与信息安全突发公共事件发生时,要快速反应,及时获取准确信息,跟踪研判,及时报告,果断决策,迅速处理,昀大限度地减少危害和影响。
四、事件分类和风险程度分析
(一)物理层的安全风险分析
1、系统环境安全风险
(1)水灾、火灾、雷电等灾害性故障引发的网络中断、系统瘫痪、数据被毁等;
(2)因接地不良、机房屏蔽性能差引起的静电干扰或外界的电磁干扰使系统不能正常工作;(3)机房电力设备和其它配套设备本身缺陷诱发信息系统故障;(4)机房安全设施自动化水平低,不能有效监控环境和信息系统工作;(5)其它环境安全风险。
2、物理设备的安全风险由于信息系统中大量地使用了网络设备如交换机、路由器等,服务器,移动设备,使得这些设备的自身安全性也会直接关系信息系统和各种网络应用的正常运转。例如,路由设备存在路由信息泄漏,交换机和路由器设备配置风险等。
(二)网络安全风险
1、网络体系结构的安全风险
网络平台是一切应用系统建设的基础平台,网络体系结构是否按照安全体系结构和安全机制进行设计,直接关系到网络平台的安全保障能力。公司的网络是由多个局域网和广域网组成,网络体系结构比较复杂。内部应用信息网、Internet网之间是否进行隔离及如何进行隔离,网段划分是否合理,路由是否正确,网络的容量、带宽是否考虑客户上网的峰值,网络设备有无冗余设计等都与安全风险密切相关。
2、网络通信协议的安全风险。
网络通信协议存在安全漏洞,网络黑客就能利用网络设备和协议的安全漏洞进行网络攻击和信息窃取。例如未经授权非法访问内部网络和应用系统;对其进行监听,窃取用户的口令密码和通信密码;对网络的安全漏洞进行探测扫描;对通信线路和网络设备实施拒绝服务攻击,造成线路拥塞和系统瘫痪。
3、网络操作系统的安全风险
网络操作系统,不论是 IOS,Android,还是 Windows,都存在安全漏洞;一些重要的网络设备,如路由器、交换机、网关,防火墙等,由于操作系统存在安全漏洞,导致网络设备的不安全;有些网络设备存在“后门”(back door)。
(三)系统安全风险
1、操作系统安全风险
操作系统的安全性是系统安全管理的基础。数据库服务器、中间层服务器,以及各类业务和办公客户机等设备所使用的操作系统,不论是Win2008/XP/7,还是 Unix都存在信息安全漏洞,由操作系统信息安全漏洞带来的安全风险是昀普遍的安全风险。
2、数据库安全风险
深圳市前海好彩金融服务有限公司
所有的业务应用、决策支持、行政办公的信息管理核心都是数据库,而涉及公司运行的数据都是昀需要安全保护的信息资产,不仅需要统一的数据备份和恢复以及高可用性的保障机制,还需要对数据库的安全管理,包括访问控制,敏感数据的安全标签,日志审计等多方面提升安全管理级别,规避风险。虽然,目前公司的数据库管理系统可以达到较高的安全级别,但仍存在安全漏洞。建立在其上的各种应用系统软件在数据的安全管理设计上也不可避免地存在或多或少的安全缺陷,需要对数据库和应用的安全性能进行综合的检测和评估。
3、应用系统的安全风险
为优化整个应用系统的性能,无论是采用C/S应用模式或是B/S应用模式,应用系统都是其系统的重要组成部分,不仅是用户访问系统资源的入口,也是系统管理员和系统安全管理员管理系统资源的入口,桌面应用系统的管理和使用不当,会带来严重的安全风险。例如当口令或通信密码丢失、泄漏,系统管理权限丢失、泄漏时,轻者假冒合法身份用户进行非法操作。重者,“黑客”对系统实施攻击,造成系统崩溃。
4、病毒危害风险
计算机病毒的传播会破坏数据信息,占用系统资源,影响计算机运行速度,引起网络堵塞甚至瘫痪。尽管防病毒软件安装率已大幅度提升,但如果没有好的防毒概念,从不进行病毒代码升级,而新病毒层出不穷,因此威胁性愈来愈大。
5、黑客入侵风险
一方面风险来自于内部,入侵者利用 Sniffer等嗅探程序通过网络探测、扫描网络及操作系统存在的安全漏洞,如网络 IP地址、应用操作系统的类型、开放哪些 TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并采用相应的攻击程序对内网进行攻击。入侵者通过拒绝服务攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
另一方面风险来自外部,入侵者通过网络监听、用户渗透、系统渗透、拒绝服务、木马等综合手段获得合法用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息,或使系统终止服务。所以,必须要对外部和内部网络进行必要的隔离,避免信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。
(四)应用安全风险
1、身份认证与授权控制的安全风险
依靠用户 ID和口令的认证很不安全,容易被猜测或盗取,会带来很大的安全风险。为此,动态口令认证、CA第三方认证等被认为是先进的认证方式。但是,如果使用和管理不当,同样会带来安全风险。要基于应用服务和外部信息系统建立基于统一策略的用户身份认证与授权控制机制,以区别不同的用户和信息访问者,并授予他们不同的信息访问和事务处理权限。
2、信息传输的机密性和不可抵赖性风险
实时信息是应用系统的重要事务处理信息,必须保证实时信息传输的机密性和网上活动的不可抵赖性,能否做到这一点,关键在于采用什么样的加密方式、密码算法和密钥管理方式。采用国内经过国家密码管理委员会和公安部批准的加密方式、密码算法和密钥管理技术来强化这一环节的安全保障。
深圳市前海好彩金融服务有限公司
3、管理层安全风险分析
安全的网络设备要靠人来实施,管理是整个网络安全中昀为重要的一环,认真地分析管理所带来的安全风险,并采取相应的安全措施。责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当故障发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求人们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
五、预防预警
(一)完善网络与信息安全突发公共事件监测、预测和预警制度。
加强对各类网络与信息安全突发事件和可能引起突发网络与信息安全突发公共事件的有关信息的收集、分析、判断和持续监测。当检查到有网络与信息安全突发事件发生或可能发生时,应及时对发生事件或可能发生事件进行调查核实、保存相关证据,并立即向应急领导小组报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施建议等。
若发现下列情况应及时向应急领导小组报告:利用网络从事违法犯罪活动;网络或信息系统通信和资源使用异常;网络或信息系统瘫痪,应用服务中断或数据篡改、丢失;网络恐怖活动的嫌疑和预警信息;其他影响网络与信息安全的信息。
(二)设定信息安全等级保护,实行信息安全风险评估。
通过相关设备实时监控网络工作与信息安全状况。各基础信息网络和重要信息系统建设要充分考虑抗毁性和灾难恢复,制定并不断完善信息安全应急处理预案。针对信息网络的突发性、大规模安全事件,建立制度优化、程序化的处理流程。
(三)做好服务器及数据中心的数据备份及登记工作,建立灾难性数据恢复机制。
一旦发生网络与信息安全事件,立即启动应急预案,采取应急处置措施,判定事件危害程度,并立即将情况向有关领导报告。在处置过程中,应及时报告处置工作进展情况,直至处置工作结束。
六、处置流程
(一)预案启动
在发生网络与信息安全事件后,信息中心应尽昀大可能迅速收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围和评估事件带来的影响和损害,一旦确认为网络与信息安全事件后,立即将事件上报工作组并着手处置。
(二)应急处理
1、电源断电(1)查明故障原因。
(2)检查 UPS是否正常供电。
(3)汇报相关领导,确认市电恢复时间,评估 UPS供电能力。(4)备份服务器数据、交换机配置。
深圳市前海好彩金融服务有限公司
(5)通知机房进行电源维修。做好事件记录。
(6)必要时请示公司负责人及公司领导,主动关闭服务器、交换机、存储等设备,以免设备损坏或数据损失。
2、局域网中断紧急处理措施
(1)信息安全负责人员立即判断故障节点,查明故障原因,及时汇报。(2)若是线路故障,重新安装线路。
(3)若是路由器、交换机等设备故障,应立即从指定位置将备用设备取出接上,并调试畅通。(4)若是路由器、交换机等配置文件损坏,应迅速按照要求重新配置,并调试畅通。(5)汇报相关领导,做好事件记录。
3、广域网线路中断
(1)信息安全负责人员应立即判断故障节点,查明故障原因。(2)如是我方管辖范围,由信息安全负责人员立即维修恢复。(3)如是电信部门管辖范围,应立即与电信维护部门联系修复。(4)做好事件记录。
4、核心交换机故障
(1)检查、备份核心交换机日志。(2)启用备用核心交换机,检查接管情况。(3)备份核心交换机配置信息。
(4)将服务器接入备用核心交换机,检查服务器运行情况,将楼层交换机、接入交换机接入备用核心交换机,检查各交换机运行情况。
(5)汇报有关领导,做好事件记录。(6)联系维修核心交换机。
5、光缆线路故障
(1)立即联系光纤熔接人员携带尾纤等辅助材料,及时熔接连通。(2)检查并做好备用光缆或备用芯的跳线工作,随时切换到备用网络。(3)做好事件记录,及时上报。
6、计算机病毒爆发
(1)关闭计算机病毒爆发网段上联端口。(2)隔离中病毒计算机。(3)关闭中病毒计算机上联端口。(4)根据病毒特征使用专用工具进行查杀。(5)系统损坏计算机在备份其数据后,进行重装。(6)通过专用工具对网络进行清查。(7)做好事件记录,及时上报。
7、服务器设备故障
深圳市前海好彩金融服务有限公司
(1)主要服务器应做多个数据备份。
(2)如能自行恢复,则立即用备件替换受损部件,如:电源损坏更换备用电源,硬盘损坏更换备用硬盘,网卡、主板损坏启用备用服务器。
(3)若数据库崩溃应立即启用备用系统。并检查备用服务器启用情况。(4)对主机系统进行维修并做数据恢复。
(5)如不能恢复,立即联系设备供应商,要求派维护人员前来维修。(6)汇报有关领导,做好事件记录。
8、黑客攻击事件
(1)若通过入侵监测系统发现有黑客进行攻击,立即通知相关人员处理。(2)将被攻击的服务器等设备从网络中隔离出来。(3)及时恢复重建被攻击或被破坏的系统
(4)记录事件,及时上报,若事态严重,应及时向信息化主管部门和公安部门报警。
9、数据库安全事件
(1)平时应对数据库系统做多个备份。
(2)发生数据库数据丢失、受损、篡改、泄露等安全事件时,信息安全人员应查明原因,按照情况采取相应措施:如更改数据库密码,修复错误受损数据。
(3)如果数据库崩溃,信息安全人员应立即启用备用系统,并向信息安全负责人报告;在备用系统运行期间,信息安全人员应对主机系统进行维修并作数据恢复。
(4)做好事件记录,及时上报。
10、人员疏散与机房灭火预案
(1)当班人员发现机房内有起火、冒烟现象或闻到烧焦气味时,应立即查明原因和地点,及时上报并针对不同情况,采取关闭电源总开关、隔离火源附近易燃物、用消防栓、灭火器等器材灭火等措施,组织本单位、部门在场的人员有序地投入扑救工作,将火扑灭或控制火势蔓延。
(2)当火势已无法控制时,一是指定专人立即拨打“119”火警电话报警和向上级保卫部门报告,并打破报警器示警。二是组织周围人员迅速撤离。
(3)在保障人员安全的情况下,立即组织人员疏散和转移重要物品,特别是易燃、易爆物品和重要的机器、数据要及时转移到安全地点,并派人员守护,确保安全。
(4)火情结束之后,组织相关人员及时进行网络系统恢复,及时向上级有关部门和领导汇报,并做好现场保护工作和防止起火点复燃。
11、发生自然灾害后的紧急措施
(1)遇到重大雷暴天气,可能对机房设备造成损害时,应关闭所有服务器,切断电源,暂停内部计算机网络工作。雷暴天气结束后,及时开通服务器,恢复内部计算机网络工作。
(2)确认灾害不会造成人身伤害后,尽快将网络恢复正常,若有设备、数据损坏,及时使用备份设备或备用数据。
(3)及时核实、报损,并将详细情况向部门领导汇报。
深圳市前海好彩金融服务有限公司
12、关键人员不在岗的紧急处置措施
(1)对于关键岗位平时应做好人员储备,确保一项工作有两人能够操作。对于关键账户和密码进行密封保存。
(2)一旦发生系统安全事件,关键人员不在岗且联系不上或 1小时内不能到达机房的情况,首先应向领导小组汇报情况。
(3)经领导小组批准后,启用公司备份管理员密码,由备用人员上岗操作。(4)如果备用人员无法上岗,请求软件公司技术支援。(5)关键人员到岗后,按照相关规定进行密码设定和封存。(6)做好事件记录。
(三)后续处理
安全事件进行昀初的应急处置以后,应及时采取行动,抑制其影响的进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响昀小。安全事件被抑制之后,通过对有关事件或行为的分析结果,找出其根源,明确相应的补救措施并彻底清除。在确保安全事件解决后,要及时清理系统、恢复数据、程序、服务,恢复工作应避免出现误操作导致数据丢失。
(四)记录上报
网络与信息安全事件发生时,应及时向网络与信息安全应急处置工作组汇报,并在事件处置工作中作好完整的过程记录,及时报告处置工作进展情况,保存各相关系统日志,直至处置工作结束。
七、保障措施
(一)应急设备保障
对于重要网络与信息系统,在建设系统时应事先预留一定的应急设备,建立信息网络硬件、软件、应急救援设备等应急物资库。在网络与信息安全突发公共事件发生时,报领导同意后,由应急工作组负责统一调用。
(二)数据保障
重要信息系统均应建立容灾备份系统和相关工作机制,保证重要数据在遭到破坏后,可紧急恢复。各容灾备份系统应具有一定的兼容性,在特殊情况下各系统间可互为备份。
日期:2015-06-12
审批人:
第五篇:信息系统安全应急预案
信息系统安全应急预案
为全面加强公司信息系统安全管理,应对信息安全突发事件的发生,提高对安全事件的应急处置能力,保证网络与信息安全协调工作迅速、高效、有序地进行,满足突发情况下信息系统安全稳定、持续运行,根据总公司有关规定,制定本预案。
一、工作原则
(一)明确责任:按照“谁主管谁负责,谁运行谁负责”的要求,建立并落实统计信息系统责任制和应急机制。
(二)积极预防、及时预警:各部门应及早发现安全事件,及时进行预警和信息通报;积极做好应急处理准备,提高对安全事件的预防和应急处理能力。
(三)协作配合、确保恢复:部门间要协同配合,确保在最短的时间内完成系统的恢复。
二、应急措施
电力系统故障的应急处理流程
1.任何部门和人员发现本单位电力系统出现异常情况时,都应及时向公司办公室报告。
2.公司办公室是电力系统故障应急处理的第一责任单位。公司办公室应立即启动电力系统故障应急处理流程,尽快查清故障原因,提出解决办法,确定故障排除可能需要的时间并通知网络机房管理部门。
3.计算中心机房停电的处理
网络运行负责人应根据停电时间和UPS电池的供电能力,在保证重点网络关键设备用电的前提下,提出机房设备部分关机或全部关机方案,经认可后按照规定的流程操作实施。
4. 电力系统恢复供电后的处理流程
电力系统恢复供电后,公司办公室应在第一时间通知技术部门,以便以最快的速度恢复关闭的网络应用。系统管理人员在接到通知后,按照规定的流程开启关闭相关设备。
(二)消防系统应急处理流程
1.报告和简单处理
当出现火情、火灾时,发现人员应在最短时间内报告公司办公室及机房管理部门。若火情严重时,应迅速拨打119电话报警,并尽可能采取一些简单可行的方法作初步处理,如:使用周围的灭火器、水源(在允许用水灭火的场合)或采用其他灭火措施、手段。进展情况随时向有关领导报告。
2.灭火
计算中心机房出现火情并且无法进行局部处理时,机房管理人员在紧急报告有关领导的同时,应立即疏散物理场地楼层以内的工作人员。
三、网络信息系统故障的应急处理流程
1.报告和简单处理
网络设备、网络应用系统故障应由发现人通知机房管理人员,技术部门立即检查故障,进行初步故障定位。如果网络、应用系统出现比较严重的问题,对网络业务的正常运行造成较大的影响,需立即向有关领导报告。2.故障判断与排除
对简单故障,运维人员应迅速排除故障,解决问题并记录。如果需要更换设备,应上报有关领导,经批准后马上更换故障设备,尽快恢复网络、应用系统运行。运维人员判断无法及时修理时,应立即通知相关的系统运行服务提供商,在最短的时间内安排修理或更换系统。
3.网络线路故障排除
如发现属外部线路的问题,应与线路服务提供商联系,敦促对方尽快恢复故障线路。
4.启用备份线路、设备、系统(如果存在的话),迅速恢复相关的应用。
四、网站检测与自动恢复系统应急处理流程
1.报告和简单处理
发现公司服务网站等对外不能正常打开或网站内容被恶意篡改时,任何公司人员都有义务向技术部门报告。由技术部们组织应急响应并进行故障排查。2.处理和恢复使用
先查看网络连接情况,若不是网络故障,再排查软、硬件故障。待故障处理完成并经过测试后,恢复系统的正常运行和内容的正常应用。
五、黑客入侵的应急处理
1.报告和简单处理
发现网络上有黑客攻击行为,任何人员都有义务向技术部门报告。技术部门立即启动应急响应,切断受攻击计算机与网络的连接,停止一切操作、保护现场,并上报有关领导。2.处理和恢复使用
对于黑客攻击,由技术部门与机房管理人员协同查找入侵踪迹,分析入侵方式和原因,分析入侵事件并内部网计算机进行整改,防止黑客用同样的手段再次入侵其他系统。检查确定无安全隐患后,才可将受攻击计算机重新连接网络,或启用备份计算机来恢复应用。3.应急响应
机房管理人员应做好记录,保护现场,进行日志收集等工作。如果能追查到攻击者的相关信息,可以对其发出警告,必要时可以采取进一步的行动,乃至采取法律手段。根据破坏程度,经有关领导同意后,上报公安部门。若系统已被黑客破坏,无法恢复,应将受黑客攻击的服务器上的重要数据备份到其他存储介质,并做好数据异地备份工作,确保服务器内重要的数据不丢失。
六、大规模病毒(含恶意软件)攻击的应急处理
1.报告和简单处理
发现网络上有大规模病毒攻击的行为,任何人员都有义务向技术部门报告。由机房管理员组织应急响应,切断受攻击计算机与网络的连接,停止一切操作、保护现场,立即上报有关领导。2.已知病毒的处理和恢复
使用最新版本杀毒软件对染毒计算机进行全面杀毒,并对染毒计算机系统进行漏洞修补。机房管理员确定没有病毒和安全漏洞后,再连接网络恢复使用。3.未知病毒的处理和恢复
观察网管软件根据监视窗口的链路状态,由此判断感染病毒或恶意程序的客户端、服务器所属的楼层交换机。打开该交换机的端口流量分析窗口,根据流量判断感染病毒或恶意程序的客户端所科交换机端口。关闭该交换机端口,隔离该工作站、服务器,阻断与局域网的连接。根据端口状态功能,查看该感染病毒或恶意程序的工作站的IP地址。根据IP地址信息找到该工作站的具体位置,对该工作站进行病毒或恶意程序清除工作。根据对于未知病毒,应首先尝试手工杀毒处理,若系统已被病毒破坏,无法恢复,应将感染病毒的计算机上的硬盘加挂到其他机器上处理,将重要数据备份到其他存储介质,尽最大努力保护、保留感染计算机内重要的数据,同时防止病毒感染其他计算机。
七、预案的发布与生效
本预案自发布之日起生效