XX市XXXX網(wǎng)絡(luò)和信息安全突發(fā)事件應(yīng)急預(yù)案（2018年修訂）XX市XXXX2018年5月目錄TOC\o"1-3”\h\uHYPERLINK\l”_Toc495650193"一、 總則 4HYPERLINK\l”_Toc495650194”（一) 目的 4HYPERLINK\l”_Toc495650195”（二) 工作原則 4HYPERLINK\l”_Toc495650196"(三） 修訂依據(jù) 4HYPERLINK\l”_Toc495650197”（四） 事件分類分級 5HYPERLINK\l”_Toc495650198”1事件分類 5HYPERLINK\l”_Toc495650199”2事件等級 6_Toc495650201”(一）電子政務(wù)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組 6HYPERLINK\l”_Toc495650202”1、應(yīng)急領(lǐng)導(dǎo)小組組成 61、人員構(gòu)成 7HYPERLINK\l”_Toc495650206"2、辦公室職責(zé) 7HYPERLINK\l”_Toc495650207”(三)應(yīng)急領(lǐng)導(dǎo)小組系統(tǒng)恢復(fù)組 8HYPERLINK\l”_Toc495650208"1、系統(tǒng)恢復(fù)組組成 82、系統(tǒng)恢復(fù)組職責(zé) 8_Toc495650214"四、 突發(fā)事件應(yīng)急響應(yīng) 9HYPERLINK\l”_Toc495650215”（一)一、二級突發(fā)事件響應(yīng)程序 9HYPERLINK\l”_Toc495650216”（二）三級突發(fā)事件應(yīng)急響應(yīng)程序 9HYPERLINK\l”_Toc495650217"（三）四級突發(fā)事件應(yīng)急響應(yīng)程序 9五、 應(yīng)急處置 9HYPERLINK\l”_Toc495650219”（一）一級突發(fā)事件處置 9HYPERLINK\l”_Toc495650220”1、事件分類 92、預(yù)防措施 9HYPERLINK\l”_Toc495650222”3、預(yù)備措施 10HYPERLINK\l”_Toc495650223”4、應(yīng)對措施 101、事件分類 10_Toc495650228”3、預(yù)備措施 11HYPERLINK\l”_Toc495650229"4、應(yīng)對措施 12HYPERLINK\l”_Toc495650230”5、存在的缺陷 錯誤！未定義書簽.(三)三級突發(fā)事件預(yù)案 14HYPERLINK\l”_Toc495650232"1、事件分類 14HYPERLINK\l”_Toc495650233”2、預(yù)防措施 143、預(yù)備措施 16HYPERLINK\l”_Toc495650235”4、應(yīng)對措施 17HYPERLINK\l”_Toc495650236"5、存在的缺陷 錯誤！未定義書簽。HYPERLINK\l”_Toc495650237"(四）四級突發(fā)事件預(yù)案 19HYPERLINK\l”_Toc495650238”1、事件分類 19_Toc495650240"3、預(yù)備措施 20HYPERLINK\l”_Toc495650241”4、應(yīng)對措施 20七、 保障措施 22HYPERLINK\l”_Toc495650245”（一） 專業(yè)支撐隊伍 22（二） 技術(shù)支援隊伍的建設(shè) 22_Toc495650248”(一) 宣傳教育 23HYPERLINK\l”_Toc495650249"(二） 培訓(xùn) 23九、 其它 23HYPERLINK\l”_Toc495650252"十、 技術(shù)服務(wù)支撐人員 25網(wǎng)絡(luò)和信息安全突發(fā)事件應(yīng)急預(yù)案總則為做好XX網(wǎng)絡(luò)與信息安全事件應(yīng)對工作，提高應(yīng)急處理能力，最大限度的減少各種突發(fā)事件對系統(tǒng)造成的損失，保障XXXX安全穩(wěn)定運(yùn)行，制定本預(yù)案。統(tǒng)一領(lǐng)導(dǎo)、分級管理,條塊結(jié)合、以塊為主，職責(zé)明確、規(guī)范有序，結(jié)構(gòu)完整、功能全面，反應(yīng)靈敏、運(yùn)轉(zhuǎn)高效,整合資源、信息共享?！吨腥A人民共和國突發(fā)事件應(yīng)對法》等法律法規(guī),《國家突發(fā)公共事件總體應(yīng)急預(yù)案》、《國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》、《國家突發(fā)公共事件總體應(yīng)急預(yù)案》、《XX省突發(fā)公共事件總體應(yīng)急預(yù)案》、《X市突發(fā)事件應(yīng)急預(yù)案管理辦法（試行）》、《信息安全事件分類分級指南》(GB/Z20986—2007）等相關(guān)規(guī)定。1事件分類網(wǎng)絡(luò)與信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障和災(zāi)害性事件等.⑴有害程序事件分為計算機(jī)病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。⑵網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。⑶信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件.⑷信息內(nèi)容安全事件是指通過網(wǎng)絡(luò)傳播法律法規(guī)禁止信息，組織非法串聯(lián)、煽動集會游行或炒作敏感問題并危害國家安全、社會穩(wěn)定和公眾利益的事件.⑸設(shè)備設(shè)施故障分為軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。⑹災(zāi)害性事件是指由自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)與信息安全事件。2事件等級(1)一級事件整個系統(tǒng)癱瘓、完全恢復(fù)所需時間很長、費(fèi)用高昂。（2)二級事件關(guān)鍵設(shè)備癱瘓、無法替代、恢復(fù)時間長、費(fèi)用高.(3）三級事件病毒攻擊或設(shè)備故障造成部分應(yīng)用堵塞或停頓，運(yùn)營商鏈路故障以及網(wǎng)絡(luò)主干非關(guān)鍵設(shè)備故障，電子政務(wù)應(yīng)用系統(tǒng)故障.（4)四級事件一般網(wǎng)絡(luò)與設(shè)備故障.組織指揮體系及職責(zé)為切實加強(qiáng)對突發(fā)事件的應(yīng)急響應(yīng)、處置工作的指揮和領(lǐng)導(dǎo)，保障XX系統(tǒng)的正常運(yùn)行和國家財產(chǎn)不受損失，特成立XX系統(tǒng)網(wǎng)絡(luò)和信息安全突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組，負(fù)責(zé)對XX系統(tǒng)網(wǎng)絡(luò)安全突發(fā)事件的應(yīng)急指揮、協(xié)調(diào)、監(jiān)督管理、事件處置的具體實施。小組下設(shè)辦公室、系統(tǒng)恢復(fù)組兩個部門。1、應(yīng)急領(lǐng)導(dǎo)小組組成組長：副組長：成員:2、應(yīng)急領(lǐng)導(dǎo)小組職責(zé)(1）組織實施XX網(wǎng)絡(luò)和信息安全突發(fā)事件應(yīng)急預(yù)案,承擔(dān)應(yīng)急處置組織領(lǐng)導(dǎo)工作；（2)收集、分析工作信息,及時上報重要信息；（3）負(fù)責(zé)XX網(wǎng)絡(luò)與信息安全的監(jiān)測預(yù)警和風(fēng)險評估控制、隱患排查整改工作；(4)組織制訂、修訂XX網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案；（5）負(fù)責(zé)組織協(xié)調(diào)網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急演練;（6）負(fù)責(zé)XX應(yīng)對網(wǎng)絡(luò)與信息安全突發(fā)事件的宣傳教育與培訓(xùn)；（7)啟動和終止XX系統(tǒng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案；（8）協(xié)調(diào)各部門人員、物力。（9)協(xié)調(diào)各協(xié)作和相關(guān)的單位：應(yīng)急技術(shù)支援、機(jī)房環(huán)境與設(shè)備日常監(jiān)控管理等單位.1、人員構(gòu)成主任：成員：2、辦公室職責(zé)(1)負(fù)責(zé)組織擬訂市XX網(wǎng)絡(luò)突發(fā)事件應(yīng)急預(yù)案；（2）負(fù)責(zé)突發(fā)事件應(yīng)急處理的綜合協(xié)調(diào)工作;（3）負(fù)責(zé)起草突發(fā)事件應(yīng)急響應(yīng)工作報告;1、系統(tǒng)恢復(fù)組組成組長：成員：2、系統(tǒng)恢復(fù)組職責(zé)（1）負(fù)責(zé)制定網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急響應(yīng)預(yù)案;(2）組織因突發(fā)事件引起的系統(tǒng)故障的診斷和恢復(fù)工作；(3）組織突發(fā)事件期間相關(guān)設(shè)備的準(zhǔn)備和調(diào)撥，提出緊急資源調(diào)配的申請；監(jiān)測、預(yù)警和預(yù)防與市網(wǎng)信辦、公安局、專業(yè)監(jiān)測機(jī)構(gòu)等，建立網(wǎng)絡(luò)與信息安全事件信息第三方監(jiān)測機(jī)制.通過電話、傳真等途徑向協(xié)作單位公布網(wǎng)絡(luò)與信息安全事件接報電話、傳真、電子郵箱等信息，加強(qiáng)宣傳培訓(xùn),做好來自協(xié)作單位、機(jī)房環(huán)境監(jiān)控管理單位和網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)營使用管理單位的預(yù)警信息、事件信息的接收，建立并完善網(wǎng)絡(luò)與信息安全事件信息的接收機(jī)制.根據(jù)事件對系統(tǒng)的影響程度和范圍及恢復(fù)所需時間，將事件劃分為四個風(fēng)險等級。一級和二級風(fēng)險出現(xiàn)時由應(yīng)急領(lǐng)導(dǎo)小組負(fù)責(zé)啟動應(yīng)急預(yù)案并監(jiān)督執(zhí)行。三級風(fēng)險和四級風(fēng)險由系統(tǒng)恢復(fù)小組負(fù)責(zé)啟動應(yīng)急預(yù)案并執(zhí)行。系統(tǒng)應(yīng)急預(yù)案的核心是備份，包括硬件設(shè)備的備份和數(shù)據(jù)備份.預(yù)案應(yīng)保證在最壞的情況下可以最大限度的恢復(fù)系統(tǒng)，其核心是備份，據(jù)此,必須做好關(guān)鍵設(shè)備的配置備份、數(shù)據(jù)備份.突發(fā)事件應(yīng)急響應(yīng)應(yīng)急領(lǐng)導(dǎo)小組發(fā)現(xiàn)或收到網(wǎng)絡(luò)安全突發(fā)事件報告后應(yīng)立即啟動應(yīng)急預(yù)案，系統(tǒng)恢復(fù)小組應(yīng)隨時對網(wǎng)絡(luò)安全突發(fā)事件作出響應(yīng),辦公室應(yīng)立即做好準(zhǔn)備，協(xié)調(diào)各方面人力、物力。系統(tǒng)恢復(fù)小組接到網(wǎng)絡(luò)安全突發(fā)事件報告后應(yīng)立即通知領(lǐng)導(dǎo)小組、辦公室，并啟動相應(yīng)預(yù)案，盡快恢復(fù)系統(tǒng)。系統(tǒng)恢復(fù)小組接到故障報告后應(yīng)立即檢查故障原因，盡快恢復(fù)系統(tǒng)正常運(yùn)行。應(yīng)急處置1、事件分類自然災(zāi)害、火災(zāi)、水浸等對整體設(shè)備、系統(tǒng)造成難以修復(fù)的故障2、預(yù)防措施及時關(guān)注氣象和地震等部門有關(guān)的天氣、地震等災(zāi)害預(yù)報，積極采取相應(yīng)的應(yīng)對措施，盡可能的減少損失。對火災(zāi)、水浸等災(zāi)害應(yīng)加強(qiáng)日常設(shè)備的檢查維護(hù)，進(jìn)一步加強(qiáng)值班制度建設(shè)。本部分工作主要采用租賃A類機(jī)房,委托專業(yè)管理團(tuán)隊對供電和溫度、濕度等機(jī)房環(huán)境，硬件指示狀態(tài)等進(jìn)行監(jiān)控管理。保證7*24小時處于有效的監(jiān)控之下，及時發(fā)現(xiàn)問題及時進(jìn)行處理。3、預(yù)備措施①購買財產(chǎn)保險，使硬件設(shè)施的損失降低到最低限度。②做好數(shù)據(jù)備份工作,實現(xiàn)對數(shù)據(jù)的本地及異地備份、從而將數(shù)據(jù)的損失降低到最低限度。4、應(yīng)對措施應(yīng)急領(lǐng)導(dǎo)小組及時向有關(guān)部門通報，并及時與保險部門進(jìn)行溝通，盡快恢復(fù)硬件設(shè)施的正常運(yùn)轉(zhuǎn)。及時聯(lián)系機(jī)房環(huán)境保障團(tuán)隊,盡快恢復(fù)設(shè)備所需的運(yùn)行環(huán)境。系統(tǒng)恢復(fù)小組應(yīng)根據(jù)數(shù)據(jù)備份對數(shù)據(jù)進(jìn)行恢復(fù)，使整個系統(tǒng)盡快恢復(fù)運(yùn)行。5、存在的缺陷該類風(fēng)險屬于不可抗風(fēng)險，且破壞性大.該類事件發(fā)生后，系統(tǒng)的完全恢復(fù)的可能性較低,只能盡可能的恢復(fù)系統(tǒng)。1、事件分類①網(wǎng)絡(luò)出口硬件防火墻自身故障②UPS故障③存儲故障④主干交換設(shè)備故障⑤主干網(wǎng)絡(luò)鏈路故障2、預(yù)防措施①做好機(jī)房監(jiān)控管理單位的監(jiān)督檢查工作,嚴(yán)格執(zhí)行監(jiān)督檢查措施。嚴(yán)格執(zhí)行合同條款。②督促機(jī)房監(jiān)控管理單位做好機(jī)房的日常檢查及設(shè)備的維護(hù)，盡可能的提前發(fā)現(xiàn)故障隱患。③保持與機(jī)房監(jiān)控管理單位信息溝通，及時回應(yīng)機(jī)房監(jiān)控管理單位巡查報告的設(shè)備指示狀態(tài)。④做好設(shè)備監(jiān)控管理系統(tǒng)的監(jiān)測工作，并做好應(yīng)對網(wǎng)絡(luò)安全突發(fā)事件的預(yù)備措施。⑤主干鏈路采用多家運(yùn)營商的多條出口鏈路做鏈路備份和數(shù)據(jù)分流。目前我們采用了聯(lián)通、移動、電信等多家運(yùn)營商的多條鏈路。并做好出口鏈路的監(jiān)控檢查工作。3、預(yù)備措施購買設(shè)備的后續(xù)服務(wù)及保修做好網(wǎng)絡(luò)出口防火墻設(shè)備配置備份,主干交換設(shè)備配置備份.做好設(shè)備的應(yīng)急替代方案：①網(wǎng)絡(luò)出口防火墻設(shè)備可使用撤換下來的功能完好的防火墻設(shè)備臨時替代。②UPS(供電由機(jī)房提供方負(fù)責(zé))③存儲是采用XX整體存儲機(jī)柜，可存儲虛擬機(jī)和數(shù)據(jù)備份.嚴(yán)格執(zhí)行存儲數(shù)據(jù)的備份和存儲空間的合理分配和預(yù)留。④業(yè)務(wù)核心交換機(jī)XX的主引擎目前有替代,交換的模塊目前也有替代。⑤存儲核心交換機(jī)XX的主引擎目前有替代,交換的模塊目前也有替代。但交換機(jī)箱體故障，目前沒有替代。⑥專網(wǎng)的華為XX的主引擎目前有替代,交換的模塊目前也有替代。4、應(yīng)對措施事件發(fā)生后，有關(guān)人員應(yīng)及時向應(yīng)急領(lǐng)導(dǎo)小組及系統(tǒng)恢復(fù)小組匯報。系統(tǒng)恢復(fù)小組在取得應(yīng)急領(lǐng)導(dǎo)小組的許可后,應(yīng)根據(jù)實際情況采取以下對應(yīng)措施:①網(wǎng)絡(luò)出口防火墻設(shè)備故障：a.調(diào)整線路。將故障網(wǎng)絡(luò)出口防火墻設(shè)備上的有關(guān)線路調(diào)整到應(yīng)急網(wǎng)絡(luò)出口防火墻設(shè)備上.b.替代防火墻設(shè)備性能如果不能滿足要求，則根據(jù)實際情況關(guān)停部分非關(guān)鍵業(yè)務(wù).c.對故障防火墻設(shè)備進(jìn)行檢修，并根據(jù)實際情況對其進(jìn)行維修或更換.②UPS故障：應(yīng)急領(lǐng)導(dǎo)小組立即聯(lián)系機(jī)房機(jī)房監(jiān)控管理服務(wù)方，系統(tǒng)恢復(fù)小組現(xiàn)場督導(dǎo)機(jī)房機(jī)房監(jiān)控管理服務(wù)方盡快恢復(fù)設(shè)備供電.③存儲故障:a。確認(rèn)存儲資源池故障。（如果是磁盤組中的磁盤故障，馬上更換備用磁盤，如果是存儲系統(tǒng)出現(xiàn)問題,需要聯(lián)系廠家，電話:）b.遷移可遷移的數(shù)據(jù)。c。從備份數(shù)據(jù)中恢復(fù)最新數(shù)據(jù)。(該數(shù)據(jù)無法保證完全恢復(fù)，只能根據(jù)備份頻率恢復(fù)最新的數(shù)據(jù)。）d。修復(fù)存儲.聯(lián)系廠家盡快派遣工程師進(jìn)行現(xiàn)場檢測修復(fù)。④業(yè)務(wù)核心交換機(jī)、存儲核心交換機(jī)和專網(wǎng)交換機(jī)設(shè)備故障:故障發(fā)生后，值班人員應(yīng)向信息安全領(lǐng)導(dǎo)小組日常應(yīng)急辦公室報告。應(yīng)急恢復(fù)小組立即查找及判斷故障原因.如果是模塊、跳線及板卡的原因，立即進(jìn)行更換并恢復(fù)配置。如果是設(shè)備的整體故障，立即聯(lián)系廠商和供應(yīng)商，申請代用產(chǎn)品恢復(fù)正常后,對故障設(shè)備進(jìn)行修理。⑤主干網(wǎng)絡(luò)運(yùn)營商鏈路故障:廣域網(wǎng)線路中斷后，值班人員應(yīng)向網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組報告。日常應(yīng)急處置網(wǎng)絡(luò)安全崗負(fù)責(zé)人員接到報告后，應(yīng)迅速判斷故障節(jié)點，查明故障原因。如屬我方管轄范圍，由網(wǎng)絡(luò)安全組人員立即予以恢復(fù)。如屬電信部門管轄范圍，立即與電信維護(hù)部門聯(lián)系，要求修復(fù)。1、事件分類①病毒攻擊造成網(wǎng)絡(luò)堵塞②病毒攻擊造成部分服務(wù)器癱瘓③防火墻故障（非防火墻自身硬件故障）④一般交換設(shè)備故障⑤服務(wù)器自身故障或數(shù)據(jù)損壞⑥分支網(wǎng)絡(luò)故障⑦XX系統(tǒng)故障2、預(yù)防措施①網(wǎng)絡(luò)中部署IPS、IDS、堡壘機(jī)及防火墻等安全設(shè)備，并細(xì)化配置,做好整網(wǎng)的安全防護(hù)和監(jiān)測工作。針對WEB網(wǎng)站的防護(hù)，我們加載了WAF，用于對WEB網(wǎng)站進(jìn)行防護(hù).②時刻關(guān)注相關(guān)部門發(fā)布的安全預(yù)警和病毒預(yù)警信息，及時對系統(tǒng)軟件、應(yīng)用軟件進(jìn)行安全漏洞補(bǔ)丁的升級，及時對安全防護(hù)設(shè)備的特征庫進(jìn)行升級，及時對終端設(shè)備所部署的殺毒軟件進(jìn)行升級，提高安全設(shè)備的防控能力.③針對病毒主要加強(qiáng)網(wǎng)絡(luò)監(jiān)控措施、加強(qiáng)病毒的防控措施，盡量縮小病毒的危害范圍。在接入互聯(lián)網(wǎng)辦公電腦加裝防病毒軟件.各接入單位網(wǎng)絡(luò)負(fù)責(zé)人監(jiān)督各自單位的接入互聯(lián)網(wǎng)的辦公電腦的殺毒軟件的安裝和日常使用U盤及移動硬盤等設(shè)備的殺毒情況,防止病毒和木馬軟件在局域網(wǎng)內(nèi)部傳播.④對本單位所擁有和應(yīng)用的服務(wù)器及時對系統(tǒng)和應(yīng)用平臺軟件進(jìn)行補(bǔ)丁升級.做好應(yīng)用服務(wù)器的管理工作,對服務(wù)器的系統(tǒng)密碼、應(yīng)用賬戶及密碼按照復(fù)雜度要求進(jìn)行設(shè)置并定期進(jìn)行更改，做好賬戶及密碼的保密工作。在部署時要進(jìn)行代碼審計和數(shù)據(jù)庫開發(fā)審核，防止數(shù)據(jù)庫和代碼漏洞.對發(fā)現(xiàn)的漏洞要及時對軟件源代碼和數(shù)據(jù)庫漏洞進(jìn)行修補(bǔ).做好對服務(wù)器應(yīng)用的日常管理工作。防止服務(wù)器受到入侵和成為“肉雞”.⑤對防火墻及交換設(shè)備，其故障原因一般為元件老化等自然損壞,要注意對設(shè)備的保養(yǎng)及檢查，盡早發(fā)現(xiàn)故障隱患，做好預(yù)備措施。⑥對服務(wù)器及磁盤數(shù)據(jù)故障一般有兩種原因引起：病毒及元件老化,需要我們做好數(shù)據(jù)的備份及系統(tǒng)的日常維護(hù)，減少因病毒引起的數(shù)據(jù)損壞和丟失。⑦加強(qiáng)對防火墻、IPS、IDS以及WAF等安全設(shè)備的巡查工作,及時發(fā)現(xiàn)問題，及時進(jìn)行處理.⑧人工與自動運(yùn)維管理相結(jié)合.充分利用實時拓?fù)溆^測檢測工具，實時的觀測網(wǎng)內(nèi)鏈路狀態(tài)，及時發(fā)現(xiàn)分支網(wǎng)絡(luò)設(shè)備和鏈路故障.⑨電子政務(wù)應(yīng)用系統(tǒng)故障大多數(shù)原因是系統(tǒng)服務(wù)長時間占有內(nèi)存不釋放，累積一定限制后造成無法正常訪問,要求業(yè)務(wù)主管單位能定期查看服務(wù)器資源使用情況，及時重啟系統(tǒng)服務(wù)或服務(wù)器，一旦服務(wù)器無法進(jìn)入進(jìn)行操作，由技術(shù)人員強(qiáng)制操作.3、預(yù)備措施①做好日常病毒防范管理，做好人員的培訓(xùn)工作，提高工作人員的安全防范意識。及時對發(fā)布的系統(tǒng)及應(yīng)用的漏洞加打補(bǔ)丁。②加強(qiáng)對安全設(shè)備的觀測，注意觀測設(shè)備防控記錄和設(shè)備日志。關(guān)注網(wǎng)內(nèi)各服務(wù)器和終端設(shè)備的數(shù)據(jù)流量，對異常的設(shè)備流量進(jìn)行重點監(jiān)控和抓包分析。③對各類交換設(shè)備必須做好配置的備份，并有明細(xì)的配置表,便于進(jìn)行配置的恢復(fù)。④對防火墻、IPS、WAF等安全設(shè)備做好配置的備份工作，并對配置信息進(jìn)行標(biāo)注，以便于進(jìn)行配置的恢復(fù)。⑤網(wǎng)絡(luò)故障成因繁復(fù)復(fù)雜，人員對網(wǎng)絡(luò)故障的正確判斷也是影響故障處理速度的重要因素。不斷提高網(wǎng)絡(luò)安全管理人員的技術(shù)水平和素質(zhì)是網(wǎng)絡(luò)安全與故障的重要保證.⑥各服務(wù)器應(yīng)作好關(guān)鍵數(shù)據(jù)的備份，涉及關(guān)鍵應(yīng)用的服務(wù)器應(yīng)有應(yīng)急用替代設(shè)備。⑦做好XX系統(tǒng)的虛擬機(jī)和數(shù)據(jù)備份工作，不定期進(jìn)行虛擬機(jī)和數(shù)據(jù)的恢復(fù)演練.4、應(yīng)對措施①針對單個用戶終端病毒木馬，監(jiān)測發(fā)現(xiàn)后,立即聯(lián)系終端用戶所在單位的網(wǎng)絡(luò)管理聯(lián)系人，通知該終端用戶斷開網(wǎng)絡(luò)接入進(jìn)行木馬病毒查殺處理.在確保處理完成后，再接入辦公網(wǎng).②對單個接入單位,監(jiān)控發(fā)現(xiàn)該單位病毒木馬泛濫,立即上報網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組。同時通知該單位網(wǎng)絡(luò)管理聯(lián)系人，將該單位網(wǎng)絡(luò)進(jìn)行隔離，待木馬病毒處理完成后，恢復(fù)其網(wǎng)絡(luò)的正常服務(wù).如該單位無法處理,可由網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組協(xié)調(diào)技術(shù)支持。③監(jiān)控發(fā)現(xiàn)服務(wù)器連接或訪問數(shù)據(jù)及會話異常，不影響全局網(wǎng)絡(luò)的正常訪問,立即聯(lián)系該服務(wù)器所用單位的網(wǎng)絡(luò)管理聯(lián)系人,確認(rèn)該服務(wù)器是否有維護(hù)操作并核實該服務(wù)器應(yīng)用是否是正常的。緊急事件處置小組在請示網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組后，可對該服務(wù)器或終端通過抓包等一系列手段，確認(rèn)其行為是否正常。如果是人為的行為就要聯(lián)系該服務(wù)器所用單位的網(wǎng)絡(luò)管理聯(lián)系人對其行為進(jìn)行提醒。如果是由于病毒木馬或惡意代碼引起的就要聯(lián)系該服務(wù)器所用單位的網(wǎng)絡(luò)管理聯(lián)系人進(jìn)行病毒木馬的查殺并升級系統(tǒng)補(bǔ)丁，升級應(yīng)用系統(tǒng)補(bǔ)丁，查找修復(fù)代碼漏洞和數(shù)據(jù)庫漏洞，并對中間件等漏洞進(jìn)行修補(bǔ)。如該單位無法處理，可由網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組協(xié)調(diào)技術(shù)支持。或者請求外援支持。④監(jiān)控發(fā)現(xiàn)服務(wù)器或終端連接或訪問數(shù)據(jù)及會話異常，影響全局網(wǎng)絡(luò)的正常訪問,立即上報網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，由緊急事件處理小組對該服務(wù)器或終端進(jìn)行緊急隔離，阻斷其對內(nèi)和對外的訪問，通知該服務(wù)器或終端所用單位的網(wǎng)絡(luò)管理聯(lián)系人,確認(rèn)是否是由于病毒木馬或惡意代碼引起的。如果是病毒木馬就要進(jìn)行病毒木馬的查殺，如果是惡意代碼,就要升級系統(tǒng)補(bǔ)丁,升級應(yīng)用系統(tǒng)補(bǔ)丁，查找修復(fù)代碼漏洞和數(shù)據(jù)庫漏洞，并對中間件等漏洞進(jìn)行修補(bǔ)，查殺惡意代碼。如該單位無法處理，可由網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組協(xié)調(diào)技術(shù)支持.如果是人為的行為就要由網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組聯(lián)系該服務(wù)器或終端使用單位的網(wǎng)絡(luò)管理聯(lián)系人對其行為進(jìn)行提醒或通報.⑤惡意攻擊造成網(wǎng)絡(luò)堵塞。應(yīng)急處置小組立即對整網(wǎng)設(shè)備實時監(jiān)控，查看IPS、IDS、防火墻、主干交換機(jī)等設(shè)備.查找造成網(wǎng)絡(luò)堵塞的源或目的地址,上報網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組,由應(yīng)急處置小組對發(fā)動攻擊的源和目的地址進(jìn)行阻斷,恢復(fù)網(wǎng)絡(luò)正常訪問。⑥分支網(wǎng)絡(luò)故障。引起分支網(wǎng)絡(luò)故障的原因多種多樣，主要有:分支交換設(shè)備故障，級聯(lián)端口故障，模塊故障，物理鏈路介質(zhì)故障，設(shè)備配置，設(shè)備供電,分支網(wǎng)絡(luò)環(huán)路等等多方面的原因。故障出現(xiàn)后，應(yīng)急處置小組首先要確認(rèn)是否是設(shè)備供電問題。是否能ping通該分支的出口網(wǎng)絡(luò)設(shè)備,是否能通過Telnet或ssh管理到該分支的出口網(wǎng)絡(luò)設(shè)備,逐步縮小排查的范圍，及時作出正確的判斷.如果是運(yùn)營商提供的光纖鏈路的問題,及時協(xié)調(diào)運(yùn)營商進(jìn)行排查處理,盡快恢復(fù)網(wǎng)絡(luò)的暢通.如果是設(shè)備硬件的故障或端口模塊的故障，及時更換硬件并導(dǎo)入備份的配置。如果是跳線或跳纖的問題及時更換跳線或跳纖.⑦一般交換設(shè)備故障.交換設(shè)備硬件故障，及時更換硬件并導(dǎo)入備份的配置.軟件配置故障，要及時的變更交換機(jī)的配置，恢復(fù)網(wǎng)絡(luò)暢通。⑧服務(wù)器自身故障或數(shù)據(jù)損壞。應(yīng)急處置小組立即通知服務(wù)器所用單位網(wǎng)絡(luò)管理聯(lián)系人，啟用備用服務(wù)器并對數(shù)據(jù)進(jìn)行備份數(shù)據(jù)恢復(fù)和確認(rèn).由于備份時間點的問題有可能造成一定的數(shù)據(jù)丟失?？筛鶕?jù)數(shù)據(jù)的重要程度決定是否對故障服務(wù)器的數(shù)據(jù)進(jìn)行數(shù)據(jù)恢復(fù).1、事件分類①一般磁盤故障②一般網(wǎng)絡(luò)故障③一般電源故障④一般應(yīng)用系統(tǒng)故障⑤終端用戶認(rèn)證連接故障2、預(yù)防措施定期檢查設(shè)備運(yùn)行狀態(tài)，定期對數(shù)據(jù)進(jìn)行整理。通過各種形式的培訓(xùn),提高終端用戶的計算機(jī)網(wǎng)絡(luò)應(yīng)用水平.3、預(yù)備措施備有易損件，如U盤、內(nèi)存等。備有網(wǎng)線,RJ45頭，網(wǎng)線工具等，在設(shè)備發(fā)生故障時能及時更換。專人進(jìn)行電話接聽和服務(wù)器日常事務(wù)及終端用戶問題的處理.4、應(yīng)對措施①一般磁盤故障和設(shè)備電源故障確定故障原因后可直接更換。②一般應(yīng)用系統(tǒng)故障針對一般應(yīng)用系統(tǒng)故障，可在確定故障系統(tǒng)后,對服務(wù)進(jìn)行重啟，恢復(fù)系統(tǒng)正常運(yùn)行。③一般網(wǎng)絡(luò)故障一般網(wǎng)絡(luò)故障的處理是日常工作的一部分。日常出現(xiàn)的網(wǎng)絡(luò)故障繁復(fù)復(fù)雜，這就需要我們注意學(xué)習(xí),不斷提高技術(shù)水平,確保能快速定位故障排除故障.④終端用戶認(rèn)證連接故障對于客戶端不能正常認(rèn)證的情況，一般如下處理：對于個別電腦不能認(rèn)證的情況，一般通過電話溝通解決，類似的情況有以下幾種:未能正確獲取地址的情況:檢查線路是否連接通暢或者網(wǎng)卡和網(wǎng)卡驅(qū)動是否正確安裝.客戶端經(jīng)常自動掉線的情況:若是單臺機(jī)器出現(xiàn)此種情況，可以確認(rèn)機(jī)器上是否裝有類似360之類的WIFI驅(qū)動，如果裝有類似驅(qū)動，刪除即可解決；若是本單位機(jī)器大面積出現(xiàn)此類情況則需考慮是否存在回路,排除回路即可解決。如果以上操作未能解決,則要考慮各網(wǎng)絡(luò)接口是否緊實，接入的交換機(jī)端口是否有問題，電腦網(wǎng)卡是否出現(xiàn)問題等.客戶端認(rèn)證失敗,提示“請檢查您的網(wǎng)絡(luò)通訊是否正常，確認(rèn)防火墻未攔截本機(jī)的UDP通訊報文(源端口:138,目的端口53）”的情況：此類問題需要開啟防火墻，然后開