计算机应用系统应急预案模版

XXXX项目应急预案

目录

一. 概述 (3)

1.1 编写目的 (3)

1.2 适用范围 (3)

二. 应急预案 (3)

2.1 启动条件 (3)

2.2 安全事件定义 (3)

2.3 应急抑制 (4)

2.4 应急根除 (5)

2.5 应急恢复 (6)

2.6 事后分析 (7)

一. 概述

1.1 编写目的

为了加强公司业务应用系统的网络设备、主机操作系统、数据库系统和应用系统等硬件和软件的故障或安全、应急事件的管理，特制定本制度。为了积极应对可能发生的各类重大事故，预先控制潜在事故或紧急情况，做好应急准备和响应，组织有序的事故抢救和救灾工作，最大限度减少人员伤亡和财产损失，维护正常的施工生产秩序，促进本企业的经济建设，按照《国务院关于特大安全事故行政责任追究的规定》和《建设工程安全生产管理条例》的要求，结合本项目部的实际，制定本应急处置预案（以下简称《预案》）。

1.2 适用范围

本制度适用于公司各个业务应用系统的安全管理员、维护人员等负责系统运维安全的人员和公司信息安全管理小组。

二. 应急预案

2.1 启动条件

本应急预案在如下条件启动：

1.本文档内定义的严重安全事件和重大安全事件发生时。

2.信息安全协调小组和相关部门领导确认，需要启动应急计划时。

2.2 安全事件定义

1.重大安全事件：由于信息安全问题对关键业务造成直接影响，并导致全网瘫痪、业

务中断数小时以上的事件，称为重大安全事件；

2.严重安全事件：由于信息安全问题对重要业务造成直接影响，并导致网络与业务中

断，称为严重安全事件。

3.一般安全事件：由于信息安全问题对重要业务造成间接影响，一般业务造成直接影

响，并导致网络与业务遭受影响的事件，称为一般安全事件。

2.3 应急抑制

应急抑制的目的是限制安全事件对受保护信息系统造成影响的范围和程度。应急抑制是信息安全应急响应工作中的重要环节，在信息安全事件发生的第一时间内对故障系统或区域实施有效的隔离和处理，或者根据所拥有的资源状况和事件的等级，采用临时切换到备份系统等措施降低事件损失、避免安全事件的扩散（例如蠕虫的大规模传播）和安全事件对受害系统的持续性破坏，有利于应急响应工作人员对安全事件做出迅速、准确的判断并采取正确的应对策略。

应急抑制过程中，重要的是确保业务连续性，应尽量保证在备份系统中完全运行原来的业务。如果出现资源紧张，应尽可能保证重要资产优先运行，维持最基本的业务能力。

应急抑制分为物理抑制、网络抑制、主机抑制和应用抑制4个层次的工作内容，在发生信息安全事件时，应根据对事件定级的结果，综合利用多个层次的抑制措施，保证抑制工作的及时、有效。

1.物理抑制

a)关闭主机：避免主机遭受外界的安全事件影响，或避免主机对外部环境产生影

响。

b)切断网络连接：关闭网络设备或切断线路，避免安全事件在网络之间的扩散。

c)提高物理安全级别：实施更为严格的人员身份认证和物理访问控制机制。

d)环境安全抑制：主要针对环境安全的威胁因素，例如发生火灾时关闭防火门、

启用消防设备和防火通道、启动排烟装置、切断电源，发生水灾时启用排水设

备、关闭密封门，发生电力故障时启用UPS和备用发动机等。

2.网络抑制

a)网络边界过滤：对路由器等网络边界设备的过滤规则进行动态配置，过滤包含

恶意代码、攻击行为或有害信息的数据流，切断安全事件在网络之间的传播途

径。

b)网关过滤：对防火墙等网关设备的过滤规则进行动态配置，阻断包含恶意代码、

攻击行为或有害信息的数据流进入网关设备保护的网络区域，有效实施针对信

息安全事件的网络隔离。

c)网络延迟：采用蠕虫延迟和识别技术，限制恶意代码在单位时间内的网络连接，

有效降低蠕虫等恶意代码在网内和网间的传播速度，减少蠕虫事件对受保护网

络系统的影响范围。

d)网络监控：提高网络入侵检测系统、专网安全监控系统的敏感程度和监控范围，

收集更为细致的网络监控数据。

3.主机抑制

a)系统账号维护：禁用或删除主机中被攻破的系统账号和攻击者生成的系统账号，

避免攻击者利用这些账号登录主机系统，进行后续的破坏行为。

b)提高主机安全级别：实施更为严格的身份认证和访问控制机制，启用主机防火

墙或提高防火墙的安全级别，过滤可疑的访问请求。

c)提高主机监控级别：提高主机入侵检测系统、主机监控系统的敏感程度和监控

范围，收集更为细致的主机监控数据。

4.应用抑制

a)应用账号维护：禁用或删除被攻破的应用账号和攻击者生成的应用账号，避免

攻击者利用这些账号登录应用服务，进行后续的破坏行为。

b)提高应用安全级别：针对应用服务，实施更为严格的身份认证和访问控制机制，

提高攻击者攻击应用服务的难度。

c)提高应用监控级别：提高应用入侵检测和监控系统的敏感程度和监控范围，收

集更为细致的应用服务监控数据。

d)关闭应用服务：杜绝应用服务遭受来自网络的安全事件影响，或避免应用服务

对外部网络环境产生影响。

2.4 应急根除

在信息安全事件被抑制之后，进一步分析信息安全事件，找出事件根源并将其彻底清除。对于单机的事件，可以根据各种操作系统平台的具体检查和根除程序进行操作；针对大规模爆发的带有蠕虫性质的恶意程序，要根除各个主机上的恶意代码，则是一项艰巨的任务。

应急根除分为物理根除、单机根除和网络根除3个层次。为了保证彻底从受保护网络系统中清除安全威胁，针对不同类型的安全事件，应综合采取不同层次的根除措施。

1.物理根除