网络安全之安全运维管理

2）应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录。

（4）设备维护管理要求

1）应对各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理。

2）应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等。

3）应确保信息处理设备必须经过审批才能带离机房或办公地点，含有存储介质的设备带出工作环境时其中重要数据必须加密。

4）含有存储介质的设备在报废或重用前，应进行完全清除或被安全覆盖，确保该设备上的敏感数据和授权软件无法被恢复重用。

（5）漏洞和风险管理要求

1）应采取必要的措施识别安全和隐患，对发现的安全和隐患及时进行修补或评估可能的影响后进行修补。

2）应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题。

（6）网络和系统安全管理要求

1）应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限。

2）应指定专门的部门或人员进行账号管理，对申请账号、建立账号、删除账号等进行控制。

3）应建立网络和系统安全管理制度，对安全策略、账号管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面做出规定。

4）应制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等。

5）应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容。

6）应严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过程中应保留不可更改的审计日志，操作结束后应同步更新配置信息库。

7）应严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据。

8）应严格控制远程的开通，经过审批后才可开通远程接口或通道，操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道。

9）应保证所有与外部的连接均得到授权和批准，应定期检查违反规定无线上网及其他违反网络安全策略的行为。

（7）恶意代码防范管理要求

1）应提高所有用户的防恶意意识，告知对外来或存储设备接入系统前进行恶意检查等。

2）应对恶意防范要求做出规定，包括防恶意软件的授权使用、恶意库升级、恶意的定期查杀等。

3）应定期验证防范恶意代码攻击的技术措施的有效性。

（8）配置管理要求

1）应记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。

2）应将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及时更新基本配置信息库。

（9）密码管理要求

应使用符合国家管理规定的技术和产品。

（10）变更管理要求

1）应明确变更需求，变更前根据变更需求制定变更方案，变更方案经过评审、审批后方可实施。

2）应建立变更的申报和审批控制程序，依据程序控制所有的变更，记录变更实施过程。

3）应建立中止变更并从失败变更中恢复的程序，明确过程控制方法和人员职责，必要时对恢复过程进行演练。

（11）备份与恢复管理要求

1）应识别需要定期备份的重要业务信息、系统数据及软件系统等。

2）应规定备份信息的备份方式、备份频度、存储介质、保存期等。

3）应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。

（12）安全事件处置要求

1）应报告所发现的安全弱点和可疑事件。

2）应制定安全事件报告和处置管理制度，明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等。

3）应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训。

4）对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。

（13）应急预案管理要求

1）应规定统一的应急预案框架，并在此框架下制定不同事件的应急预案，包括启动预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。

2）应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障。

3）应定期对系统相关的人员进行应急预案培训，并进行应急预案的演练。

4）应定期对原有的应急预案重新评估，修订完善。

（14）外包运维管理要求

1）应确保外包运维服务商的选择符合国家的有关规定。

2）应与选定的外包服务商签订相关的协议，明确约定外包的范围、工作内容。

3）应确保选择的外包服务商在技术和管理方面均具有按照要求开展安全工作的能力，并将能力要求在签订的协议中明确。

4）应在与外包运维服务商签订的协议中明确所有相关的安全要求。如可能涉及对敏感信息的访问、处理、存储要求，对IT基础设施中断服务的应急保障要求等。

2、安全运维管理措施

（1）环境管理安全措施

应建立机房管理制度，组织机房管理，提高机房安全保障水平，确保机房安全，通过对机房出入、值班、设备进出等进行管理和控制，防止对机房内部设备的非受权访问和信息泄露。

1）机房出入管理

确定机房的第一责任人，所有外来人员进入机房必须填写《机房进出申请表》（见表1），且经过第一责任人或授权人书面审批后方可进入。

表1 机房进出申请表

审批后的机房进入人员由当日的值班人员陪同，并登记《机房出入管理登记簿》（见表2），记录出入机房时间、人员、操作内容和陪同人员。

表2 机房出入管理登记簿

内部人员无须审批可直接进入机房，但须使用自己的门禁卡刷卡，严禁借用别人门禁卡进入。

机房工作人员严禁违章操作，严禁私自将外来软件带入机房使用。

相关设备移入、移出机房应经过责任人审批并留有记录。严禁在通电的情况下拆卸、移动计算机等设备和部件。

2）机房环境管理

保持机房整齐清洁，各种机器设备按维护计划定期进行保养，保持清洁光亮，至少每月由信息中心协调清洁人员，清洁一次灰尘。清洁期间当日值班人员必须全程陪同，防止清洁人员误操作。

定期（至少每季度一次）检查机房消防设备器材，并做好检查记录。

定期对空调系统运行的各项性能指标（如风量、温升、湿度、洁净度、温度上升率等）进行测试，并做好记录，通过实际测量各项参数发现问题及时解决，保证机房空调的正常运行。

机房内禁止随意丢弃存储介质和有关业务保密数据资料，对废弃存储介质和业务保密资料要及时销毁，不得作为普通垃圾处理。严禁机房内的设备、存储介质、资料、工具等私自出借或带出。

机房内严禁堆放与机房设备无关的杂物，避免造成安全隐患。

机房内应保持清洁，严禁吸烟、喝水、吃东西、乱扔杂物、大声喧哗。

机房禁止放置易燃、易爆、腐蚀、强磁性物品。

禁止将机房内的电源引出挪作他用，确保机房安全。

未经许可，机房内严禁摄影、摄像。

机房内机柜、设备未经许可，不得任意改动；如果已获得许可，需详细记录改动后的情况。

进入机房工作的人员有责任在工作完成后及时清理工作场地、清除垃圾、做好设备标签、关闭机柜柜门。

3）机房值班管理

机房值班员由内部人员当日轮值值班员负责。机房值班人员应具有高度责任心，做到不迟到、不早退、不擅离职守。

机房安装的监控设备，由专人监控，值班人员须及时对可疑情况排查、确认。

机房值班人员应按要求及时监控机房内设备，包括网络设备、服务器、存储、安全设备、UPS、空调等设备的运行，发现问题妥善解决，并向相关岗位管理员报告。

值班人员负责当日的机房管理、安全检查；发现问题应及时报告相应系统或设备管理员，可协助初步处理网络、服务器及其他各类设备的技术问题，并做好处理记录。

值班人员须按照事先确定的巡检频率定时巡检机房（每日至少一次），并填写《机房巡检记录单》（见表3）。

表3 机房巡检记录单

（2）资产管理安全措施

组织应根据国家法律法规、行业要求、自身业务目标等识别信息生命周期（包括信息的创建、处理、存储、传输、删除和销毁）中相关的重要资产，并根据这些资产形成一份统一的信息资产清单。资产清单应至少包括资产类别、信息资产编号、资产现有编号、资产名称、所属部门、管理者、使用者、地点等相关信息。资产清单应有人负责进行维护，保证实时更新。

组织应建立资产安全管理制度，使拥有资产访问权限的人员意识到他们使用信息处理设施时是需要按照制度流程使用的，并且要对因使用不当造成的后果负责，确保组织资产管理顺利开展。

关于资产的分类，原则上可以分为硬件（设备、存储设备、网络设备、安全设备、传输介质等）、软件（、系统软件、应用软件等）、电子数据（源、数据、各种数据资料、系统文档、运行管理规程、计划等）、实体信息（纸质的各种文件，如传真、电报、财务报告、发展计划、合同、图纸等）、基础设施（UPS、空调、保险柜、文件柜、门禁、消防设施等）、人员（各级领导、正式员工、临时雇员等）。

此外，还需要对收集的资产进行分级，按照信息资产的公开和敏感程度，以及信息资产对系统和组织的重要性，建议按照如下原则进行分级：对于文档（含电子文档与纸质文档）、介质类的数据载体，按照承载信息本身的公开和敏感程度，该类信息资产拟划分为“工作秘密”“内部公开”“外部公开”三级，针对不同级别的资产标识不同的保护等级。

对于其他物理设备，按照其对系统和组织的重要程度，该类信息资产拟划分为“关键资产”“重要资产”“普通资产”三级，针对不同级别的资产标识不同的防护等级。

另外，还需要对不同类型的资产设置对应的使用规范。

（3）介质管理安全措施

制定信息资产存储介质的管理规程，防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断，对介质进行管理控制和物理的保护。

1）介质标识

介质标识应贴在容易看到的地方，此标签必须在介质的表面上出现。

介质必须全面考虑介质分类标签的需求，如磁带、磁盘及其他介质等应有不同的分类标签。

介质标识一般至少应包含存储内容描述、创建日期、创建人、安全级别、责任人、存储位置等信息，统一做记录。

介质应根据所承载的数据和软件的重要程度对其加贴标识并进行分类，存储在由专人管理的介质库或档案室中，防止被盗、被毁以及信息的非法泄漏，必要时应加密存储。

2）介质传递

介质在传递过程中，须采用一定的防篡改方式，防止未授权的访问。

如果介质中含有敏感信息，在被对外或内部传递时，必须放在标记的密封套子或是包装盒中，对介质中的信息进行加密，并亲自交付或安排专门的人员负责运送，对于含有秘密信息的存储介质在传递过程中必须亲自交给接受方。

敏感信息被传递到外部时，内部的标签需要明确标记为敏感信息，外盒或封套不标记内部信息字样，由介质保管者确定是否满足包装要求，并在介质授权人批准授权后方可带出。发送给外部的介质必须得到正确的追踪。

介质使用者应根据工作范围划分使用级别，严格控制使用权，严禁非法、越权使用。

介质需统一存储在介质管理库中并统一登记，必须明确记录介质的转移和使用。

3）介质访问

存储设备的使用人员在安装和使用时必须防止未授权的访问；介质需提供给第三方使用时，应先进行审批登记。

必须对所有介质的出库和入库及其存储记录进行控制，如要从库中移出，由申请人或申请部门填写《介质进出记录表》（见表4）。对标记为限制类的介质需经过领导和该介质所属业务部门领导签字同意，对标记为涉密的介质需由高级管理层以上负责人签字同意，方可移出。该记录表至少保存1年以上，以备库存管理和审计。

表4 介质进出登记表

所有含有敏感信息的介质必须做好保密工作，禁止任何人擅自带离；如更换或维修属于合作方保修范围内的损坏介质，需要和合作方签订保密协议，以防止泄漏其中的敏感信息。

访问介质必须要有授权，并在介质管理人员处进行登记，填写《介质使用授权表》（见表5）。

表5 介质使用授权表

使用者应对介质的物理实体和数据内容负责，使用后应及时交还介质管理员，并进行登记。

4）介质保管

存储介质应保存在安全的物理环境下（如：防火、电力、空调、湿度、静电及其他环境保护措施）；每年组织专门人员对物理环境的安全性进行评估，以确保存储环境的安全性。

涉及业务信息、系统敏感信息的可移动介质应当存放在带锁的屏蔽文件柜中，对于重要的数据信息还需要做到异地存放，其他可移动介质应存放在统一的位置。

任何的介质盘点与检查出现差异必须报告给部门负责人，并且介质库房的所有介质，包括打开过的空白带、格式化过的、擦除过的都必须包括在清单盘点中，对介质负责的管理者必须对所有的清单文档签字确认。

5）介质销毁

使用者认为不能正常记录数据的介质，必须由使用者提出报废介质申请，由安全管理员进行测试后并提出处理意见，报部门负责人批准后方可进行销毁。

如果第三方通过介质提供信息，并要求返还介质时，应保证介质内容已经被删除并不可恢复。

长期保存的介质，应定期进行重写，防止保存过久造成数据丢失。

超过数据保存期的介质，必须经过特殊清除处理后，才能视为空白介质。

对于需要送出维修或销毁的介质，应首先处理介质中的数据，防止信息泄漏。

介质销毁必须由安全管理员和使用部门组织实施，并填写《介质销毁记录表》（见表6）。其他单位或个人不得随意销毁或遗弃介质。

表6 介质销毁记录表

对于保存待销毁介质的容器，应进行上锁或加封条等操作，防止介质被重新访问或使用。

6）移动介质管理

根据业务需要给工作人员发放U盘、移动硬盘等移动介质仅作为业务需要之用。

工作人员不得将组织发放的移动介质用于非工作用途。

使用移动介质必须先进行病毒扫描。

工作人员私人移动介质不得存储敏感信息。

（4）设备维护管理安全措施

建立设备维护管理制度，更好地发挥计算机信息化的作用，促进办公自动化、信息化的发展。

应指定专人负责IT设备的外观保洁、保养和维护等日常管理工作。指定管理人员必须经常检查所管IT设备的状况，保持设备的清洁、整齐，及时发现和解决问题。

IT设备使用者应保持设备及其所在环境的清洁。严禁在旁存放易燃品、易爆品、腐蚀品和强磁性物品。严禁在键盘附近放置水杯、食物，防止异物掉入键盘。

指定管理人员要定期对进行维护。发现或发生故障时，使用者应及时与信息中心联系，设备使用人首先确保对数据、信息自行备份。

当IT设备无法自行维修时，如设备在保修期内出现故障时，由信息中心直接与供应商联系维修事宜；如设备已过保修期需要报请外修时，信息中心要及时查明原因，填写《IT设备维修申请单》（见表7），经负责人审批后联系维修事宜。

表7 IT设备维修申请单

外包人员对IT设备进行维修时，信息中心指派人员陪同。若确实需要将含有敏感信息设备送至组织以外的地方进行维修，需要信息中心审批，经信息备份与清除处理后方可将设备带出并与维修方签订保密协议。

如 IT 设备经鉴定无法维修，或修理费用相当于或超过购置相同或相似规格的新产品时，对无法维修的IT设备作报废处理，未到报废期限的设备，经信息中心批准后作待报废处理。

当 IT 设备需要报废时，由申请报废的部门填写《IT 设备报废申请单》（见表8），信息中心根据设备管理相关规定进行审批。

表8 IT设备报废申请单

由申请报废的部门凭批准后的《IT设备报废申请单》将报废设备交由信息中心进行信息资源回收处理，含有涉密或敏感信息的存储介质需要进行数据清除，并按照保密相关规定进行报废，避免信息泄露。

（5）漏洞和风险管理安全措施

应制定和风险管理制度，制定的发现和补丁管理的获取、测试、实施的流程，来封堵安全，消除安全隐患，确保信息系统正常、稳定、可靠地运行，以及推进风险工作的开展，确保风险评估实施的科学性、规范性和客观性。

管理是风险管理的过程，风险评估是风险管理的基础。风险管理是指导和控制组织风险的过程。风险管理遵循管理的一般循环模式—计划（Plan）、执行（Do）、检查（Check）、行动（Action）的持续改进模式。ISO27001标准要求企业设计、实施、维护信息安全管理体系都要依据PDCA循环模式。

针对风险评估的范围，开展详细的风险分析（RA,Risks Analysis），包括业务影响分析（BIA,Business Impact Analysis）。风险分析的结果是风险评定的清单，并随后体现在风险图形化（又称风险轮廓）展示。

风险图形化展示帮助决定哪些风险的风险值过高而不能作为残余风险被接受（用定性的方法评估风险和评级）。针对这些风险，需要定义进一步的安全控制措施，然后进行新的风险再计算。

当所有的风险降到可以接受的水平，则产生了最终的风险展示图，余下的风险可以作为残余风险被接受，其结果可以被正式签署并公布。

（6）网络和系统安全管理

制定网络和系统安全管理制度，建立健全的IT系统的安全管理责任制，提高整体的安全水平，保证网络通信畅通和IT系统的正常运营，提高网络服务质量，确保各类应用系统稳定、安全、高效运行。

1）网络运行管理

网络资源命名按信息中心规范进行，建立完善的网络技术资料档案（包括：网络结构、设备型号、性能指标等）。

重要网络设备的口令要定期更改（周期应不超过3个月），一般要设置八个字符以上，并且应包含大写字母、小写字母、数字、字符四类中的三类以上，口令设置应无任何意义；口令应密封后由专人保管。

需建立并维护整个系统的拓扑结构图，拓扑图体现网络设备的型号、名称以及与线路的链接情况等。

涉及与外单位联网的，应制定详细的资料说明；需要接入内部网络时，必须通过相关的安全管理措施，报主管领导审批后，方可接入。

内部网络不得与进行物理连接；不得将有关涉密信息在上发布，不得在上发布非法信息；在上下载的文件需经过检测后方可使用，不得下载带有非法内容的文件、图片等。

尽量减少使用网络传送非业务需要的有关内容，尽量降低网络流量；禁止涉密文件在网上共享。

所有网络设备都必须根据采购要求购置，并根据安全防护等级要求放置在相应的安全区域内或区域边界处，合理设置访问规则，控制通过的应用及用户数据。

2）运维安全与用户权限管理

仅系统管理员掌握应用系统的特权账号，系统管理员需要填写《系统特权用户授权记录》并由部门领导进行审批，该记录由文档管理员保管留存。

为保证应用系统安全，保证权限管理的统一有序，除另有规定外，各应用系统的用户及其权限，由系统管理员负责进行设置，并汇总形成《用户权限分配表》（见表9）。

表9 用户权限分配表

用户权限设置，按照确定的岗责体系以及各应用系统的权限规则进行，需遵循最小授权原则。

新增、删除或修改用户权限，应通过运维平台的用户权限调整流程来完成。

加强系统运行日志和运维管理日志的记录分析工作，并定期（至少每季度一次）记录本阶段内的系统异常行为，记录结果填入《系统异常行为分析记录单》。

检查人员：___________ 系统名称：________________ 检查日期___________

（7）恶意代码防范管理安全措施

应建立防病毒管理制度，对计算机进行预防和治理，进一步做好计算机的预防和控制工作，切实有效地防止病毒对计算机及网络的危害，实现对病毒的持续控制，保护计算机信息系统安全，保障计算机的安全应用。同时，这部分的管理制度要与应急管理和变更管理等相结合，防止在应急响应期间或因不正确的变更引入恶意代码。

1）病毒事件处理办法

终端用户发现病毒必须立刻报告给信息中心，服务器人员发现病毒必须立刻报告给安全管理员，同时使用计算机自带的杀毒软件进行病毒查杀。若防病毒软件对病毒无效且病毒对系统、数据造成较大影响的，相关人员必须立刻联系信息中心安全管理员。

安全管理员必须详细记录下发生的时间、位置、种类、的具体功能、数据的损坏情况、硬件的损坏情况以及系统情况并进行查杀处理；对于难以控制的恶性，为避免进一步传播，可以将被感染的从网络中断开；事后安全管理员必须调查和分析整个事件，并发出适当的警告。

2）主机和服务器防病毒策略

所有必须有防软件保护，同时对于文件保护不仅限于本地文件，也必须包括可移动存储设备中的文件。防软件必须被设置成禁止用户关闭警报、关闭防护功能和防卸载的措施，所有对防软件的升级都必须是自动的。

3）网关病毒扫描

目前通过网站传播及恶意软件的现象非常的常见，这些和软件利用浏览器可能传播到或工作站之中。为加强防范效果，应在处部署一个具有不同防策略的防网关设备。为了防止恶意软件，所有通过网站端口传输的数据包都必须被防网关实时监控和扫描。

（8）配置管理安全措施

应建立配置管理制度，确保组织内的网络、服务器、安全设备的配置可以得到妥善的备份和保存。如：

检查当前运行的网络配置数据与网络现状是否一致，如不一致应及时更新。

检查默认启动的网络配置文件是否为最新版本，如不是应及时更新。

网络发生变化时，及时更新网络配置数据，并做相应记录。

应实现设备的最小服务配置，网络配置数据应及时备份，备份结果至少要保留到下一次修改前。

对重要网络数据备份应实现异质备份、异址存放。

重要的网络设备策略调整，如安全策略调整、服务开启、服务关闭、网络系统外联、连接外部系统等变更操作必须填写《网络维护审批表》，经信息中心负责人同意后方可调整。

（9）密码管理安全措施

建立密码密钥管理制度，特别标明商用密码、密钥产品及密码必须满足国家密码主管部门的相关要求。

（10）变更管理安全措施

建立变更管理制度，规范组织各信息系统需求变更操作，增强需求变更的可追溯性，控制需求变更风险。

1）变更原则

当需求发生变化，需对软件包进行修改/变更时，首先应和第三方企业/软件供应商取得联系并获得帮助，了解所需变更的可能性和潜在的风险，如项目进度、成本以及安全性等方面的风险。

应按照变更控制程序对变更过程进行控制。

实施系统变更前，应先通过系统变更测试，并提交系统变更申请，由工作小组审批后实施变更，重大系统变更在变更前制定变更失败后的回退方案，并在变更前实施回退测试，测试通过后提交与信息化领导小组审批后实施。

2）系统数据和应用变更流程

信息中心组织审核该项变更，如审核通过，则撰写解决方案，并评估工作量和变更完成时间，经信息中心领导确认后，交系统管理员安排实施变更。

例如：变更流程操作及事项如下。

① 系统管理员在需要变更前应明确本次变更所做的操作、变更可能会对系统稳定性和安全性带来的问题，以及因变更导致系统故障的处理方案和回退流程。

② 将上述信息书面化，并以《变更申请表》（见表10）的形式提交给信息中心安全管理员。

表10 变更申请表

③ 安全管理员对《变更申请表》的内容进行仔细研读，确定变更操作安全可控后，在“××安全管理员意见”处签字认可后提交信息中心领导审批。

④ 信息中心领导对该项变更的风险和工作量进行审核，审核通过后在“××领导意见”处签字认可。

⑤ 系统管理员按照《变更申请表》规定的操作步骤进行配置变更。

⑥ 变更结束后由系统管理员和安全管理员共同对配置的生效情况、系统的安全性及稳定性进行验证，验证结束后由系统管理员填写《变更申请表》的系统验证部分，由安全管理员签字确认后提交给政务网络中心领导审批。

⑦《变更申请表》一式两份，分别由信息中心安全管理员和系统管理员妥善保存。

（11）备份与恢复管理

建立数据备份与恢复管理制度，保障组织业务数据的完整性及有效性，以便在发生信息安全事故时能够准确及时地恢复数据，避免业务的中断。

1）备份范围和备份方式

数据备份范围包括重要系统的、系统配置文件、数据文件和。

备份方式有完全备份（Full）、增量备份（Cumulative Incremental）、差量备份（Differential Incremental）和数据库日志备份（Transation log Incremental）。

完全备份：完全备份是执行全部数据的备份操作，这种备份方式的优点是可以在灾难发生后迅速恢复丢失的数据，但对整个系统进行完全备份会导致存在大量的冗余数据，因此这种备份方式的劣势也显而易见，如磁盘空间利用率低，备份所需时间较长等。

增量备份：增量备份只会备份较上一次备份改变的数据，因此较完全备份方式可以大大减少备份空间，缩短备份时间。但在灾难发生时，增量备份的数据文件恢复起来会比较麻烦，也降低了备份的可靠性。在这种备份方式下，每次备份的数据文件都具有关联性，其中一部分数据出现问题会导致整个备份不可用。

差量备份：差量备份的备份内容是较上一次完全备份后修改和增加的数据，这种备份方式在避免以上两种备份方式缺陷的同时，保留了它们的优点。按照差量备份的原理，系统无需每天做完全备份，这大大减少了备份空间，也缩短了备份时间，并且用差量备份的数据在进行灾难恢复时非常方便，管理员只需要完全备份的数据和上一次差量备份的数据就可以完成系统的数据恢复。

各系统管理员根据自己负责系统的具体情况选择备份方式，基本原则是：保证数据的可用性、完整性和保密性均不受影响，且能够保证业务的连续性。

2）存储备份系统日常管理

存储备份系统由信息中心安排专人负责管理和日常运行维护，禁止不相关人员对系统进行操作。系统集成商或原厂商须经许可，方可进行操作，并要服从管理，接受监督和指导。

任何人员不得随意修改系统配置、恢复数据，如需修改、恢复，须严格执行审批流程，经批准后方可操作。

对系统的变更操作须在系统配置文档中进行记录。

重要系统的数据必须保证至少每周做一次全备份，每天做一次增量备份。

定期（每年）对备份恢复工作进行测试，以确保备份数据的可恢复性。

当存储备份系统出现告警或工作不正常，引起应用系统无法访问、系统不能备份时，应立即启动应急预案，恢复系统正常运行，并及时上报。

系统需定期（每半年）进行一次健康检查，检查内容及工作方案由系统管理员配合系统集成商和原厂商制定，经批准后方可执行，并提交详细的定检报告。

（12）安全事件处置

制定网络安全事件管理制度，规范管理信息系统的安全事件处理程序，确保各业务系统的正常运行和系统及网络的安全事件得到及时响应、处理和跟进，保障网络和系统持续安全稳定运行。

网络安全事件的处理流程主要包括：发现、报告、响应（处理）、评价、整改、公告、备案等，如图1所示。

图1 网络安全事件处理流程

（13）应急预案管理

建立网络安全事件应急预案管理制度，确保信息系统的连续性，系统、有组织地做好应急预案的管理工作。尽量降低风险，减少损失，最大限度地降低信息系统故障给工作所造成的影响。

按照国家和行业标准建立总体预案，明确故障分类、事件级别、预案的启动和终止、事件的上报等，按照风险评估所发现的风险建立分项预案，如事件处置预案、设备故障事件处置预案、信息内容安全事件处置预案等，明确针对不同事件的办法，并定期进行演练和总结。

示例：

×××单位网络安全事件应急预案

一、总则

1.1 编制目的

建立健全网络安全事件应急工作机制，提高应对网络安全事件能力，预防和减少网络安全事件造成的损失和危害，确保重要信息系统的实体安全、运行安全和数据安全，保护公众利益，维护国家安全、公共安全和社会秩序。

1.2 编制依据

（1）《中华人民共和国网络安全法》。

（2）《中华人民共和国突发事件应对法》。

（3）《国家网络安全事件应急预案》。

（4）《国家突发公共事件总体应急预案》。

（5）《突发事件应急预案管理办法》。

（6）《国务院有关部门和单位制定和修订突发公共事件应急预案框架指南》（国办函［2004］33号，2004-04-06）。

（7）《信息安全事件分类分级指南》（GB/Z 20986—2007）。

（8）《信息安全事件管理指南》（GB/Z 20985—2007）。

1.3 适用范围

本预案所述网络安全事件是指由于自然灾害、人为原因、软硬件缺陷或故障等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件，可分为有害程序事件、网络攻击事件、信息破坏事件、门户网站安全事件、设备设施故障、灾害性事件和其他事件。

1.4 事件分级

按照故障影响范围、系统损失和社会影响，分为四级：特别重大（Ⅰ级）、重大（Ⅱ级）、较大（Ⅲ级）、一般（Ⅳ级）。

l.4.1 特别重大事件（Ⅰ级）

符合如下内容任意一条的，定义为特别重大事件：

（1）由于自然灾害事故（如：水灾、地震、地质灾害、气象灾害、自然火灾等）、人为原因（如人为火灾、恐怖袭击、战争等）、软硬件缺陷或故障等，导致xxx网络服务及业务系统发生灾难性破坏；

（2）信息系统中的数据被篡改、窃取，导致数据的完整性、保密性遭到破坏，或业务系统出现反动、色情、赌博、毒品、谣言等违法内容，对国家安全和社会稳定构成特别严重影响。

1.4.2 重大事件（Ⅱ级）

符合如下内容任意一条且未达到特别重大事件的，定义为重大事件：

（1）由于自然灾害、人为原因、软硬件缺陷或故障等导致如下问题，且经应急响应调查处置小组及应急响应日常运行小组评估，预计8小时内不可恢复的。

① 网站系统无法向互联网公众提供正常服务；

② 除网站外，同时有4个及以上重要业务系统无法正常提供服务。

（2）信息系统中的数据被篡改、窃取，导致数据的完整性、保密性遭到破坏，对 xxx形象和xxx网络稳定造成严重影响。

1.4.3 较大事件（Ⅲ级）

符合如下内容任意一条且未达到重大事件的，定义为较大事件：

（1）自然灾害、人为原因、软硬件缺陷或故障等导致如下问题，且经应急响应调查处置小组及应急响应日常运行小组评估，预计在1小时以上8小时以内可以恢复的。

① 网站系统无法向互联网公众提供正常服务；

② 除网站外，同时有2个及以上4个以下重要业务系统无法正常提供服务。

（2）信息系统中的数据被篡改、窃取，导致数据的完整性、保密性遭到破坏，对 xxx形象和xxx网络稳定造成影响。

1.4.4 一般事件（Ⅳ级）

符合如下内容任意一条且未达到较大事件的，定义为一般事件：

自然灾害、人为原因、软硬件缺陷或故障等导致如下问题，且经应急响应调查处置小组及应急响应日常运行小组评估，预计1小时内可以恢复的。

单个重要业务系统无法正常提供服务。

1.5 事件分类

网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、网站安全事件、设备设施故障、灾害性事件和其他事件。

（1）有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

（2）网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

（3）信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

（4）网站安全事件是指网站访问异常，或页面异常，出现传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害社会稳定和公众利益的事件。

（5）设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

（6）灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。

（7）其他事件是指不能归为以上分类的网络安全事件。

1.6 工作原则

1.6.1 统一领导，分级负责

建立健全统一指挥、密切配合、综合协调、分类管理、分级负责的应急管理体系，形成平战结合、预防为主、快速反应、科学处置的协调管理机制和联动工作机制。

1.6.2 快速反应，科学处置

一旦发生突发事件，按照“分级响应、及时报告、及时救治、及时控制”的要求，确定事件分类、级别，启动对应的应急处置预案，明确职责，层层落实，采取有力措施积极应对，及时控制处理，防止产生连带风险。

1.6.3 敏感数据，严格管理

在应急准备和应急预案正式启动期间，各部门要明确数据资料保管责任人，资料接触人员要严格保密，做好敏感数据资料的防泄漏工作。应急处置结束后，对于为防止敏感数据资料丢失而保存的数据备份，要进行统一销毁。

1.6.4 加强沟通，有效传递

建立有效的沟通机制，各部门之间加强共同协作，确保信息畅通；要加强与新闻媒体等外部单位的沟通协调，及时、客观发布突发事件事态发展及处置工作情况，做好宣传解释工作，全面争取突发事件的内部处置和外部舆论主动权，正确引导社会舆论。

二、组织体系与职责

应急组织体系由应急响应领导小组、应急响应调查处置小组、应急响应日常运行小组、应急响应协调小组及专家组组成。

2.1 应急响应领导小组

主要由网络安全与信息化领导小组部分成员、领导小组办公室主要负责人构成，由xxx任组长。

应急响应领导小组主要职能包括：

（1）启动和终止特别重大应急预案；

（2）组织、指导和指挥特别重大和重大安全事件的应急响应工作；

（3）审核安全事件处理和分析报告；

（4）指导应急预案的宣传和教育培训；

（5）外部媒体沟通及安全事件信息发布。

2.2 应急响应协调小组

主要由xxx负责人、网络安全管理人员、机房管理人员、运维人员以及安全服务技术人员组成，由信息中心主要负责人任组长。

应急响应协调小组主要职能包括：

（1）启动和终止重大事件和较大事件应急预案；

（2）组织、指导和指挥较大事件的应急响应工作；

（3）传达应急响应领导小组信息指令，上报事件应急处理进度；

（4）组织、协调相关技术支持人员、关联单位和各应急小组及时到场开展应急处置工作；

（5）安全事件处理和分析报告以及其他发布资料的审核与上报；

（6）起草和修订应急预案，并定期组织专家对应急预案进行研究、评估；

（7）制订应急预案培训及演练方案，组织开展应急预案培训及应急演练；

（8）如有必要，在处理网络安全应急事件时配合 xxx 省国家安全局、xxx 省公安厅网络安全保卫总队、xxx 省网信办或 xxx 省通信管理局进行调查取证，为后期责任追查提供有力证据。

2.3 专家组

主要由网络安全与信息化领导小组成员、信息中心主要负责人以及网络安全行业专家组成，由网络安全与信息化的分管领导任组长。

专家组主要职能包括：

（1）提供安全事件的预防与处置建议；

（2）在制定网络安全应急有关规定、预案、制度和项目建设的过程中提供参考意见；

（3）定期对应急预案进行评审，及时反映网络安全应急工作中存在的问题与不足，并提出相关改进建议；

（4）对网络安全事件发生和发展趋势、处置措施、恢复方案等进行研究、评估，并提出相关改进建议。

（5）指导网络安全事件应急演练、培训及相关教材编审等工作。

2.4 应急响应调查处置小组

主要由机房管理人员、业务应用运营人员、运维人员以及安全服务技术人员组成，由信息中心机房管理人员任组长。

应急响应调查处置小组主要职能包括：

（1）应急响应过程中技术问题的解决；

（2）及时向应急响应协调小组报告进展情况；

（3）制定信息安全事件技术应对表，明确职责和沟通方式；

（4）分析事件发生原因，提出应用系统加固建议；

（5）评估和总结应急响应处置过程，提供应急预案的改善意见。

2.5 应急响应日常运行小组

主要由运维人员组成，由运维负责人任组长。

应急响应日常运行小组主要职能包括：

（1）对系统进行日常监控，及时预警，尽早发现安全事件；

（2）启动和终止一般事件应急预案；

（3）及时向应急响应协调小组汇报事件的发生时间、影响范围、事态发展变化情况和处置进展等情况；

（4）现场参与和跟踪安全事件的应急处置过程；

（5）定期核查应急保障物资，特别是冗余设备的状态，保证事件发生时应急保障物资的正常使用。

三、应急响应

3.1 基本响应

网络安全事件发生后，应立即启动应急预案，实施处置并及时报送信息。

（1）控制事态发展，防控蔓延。先期处置，采取各种技术措施，及时控制事态发展，最大限度地防止事件蔓延。

（2）快速判断事件性质和危害程度。尽快分析事件发生原因，根据网络与信息系统运行和承载业务情况，初步判断事件的影响、危害和可能波及的范围，提出应对措施和建议。

（3）及时报告信息。在先期处置的同时要按照预案要求，及时向上级主管部门报告事件信息。

（4）做好事件发生、发展、处置的记录和证据留存。

3.2 事件上报

3.2.1 上报原则

当判定为发生特别重大事件（Ⅰ级）和重大事件（Ⅱ级）时启动完整上报流程。

3.2.2 上报流程

（1）事件认定。由应急响应日常运行小组和应急响应调查处置小组的专业技术人员确定发生信息安全事件的系统受影响的程度，初步判定事件原因，并对事件影响状况进行评估。

（2）事件上报。应急响应协调小组负责填写《附录 3 重大网络安全事件报告表》后上报给应急响应领导小组。应急响应领导小组组长按照事件级别决定是否向xxx网络安全与信息化领导小组组长报告，并决定是否通知和协调 xxx 省国家安全局、xxx 省公安厅网络安全保卫总队、xxx省网信办或xxx省通信管理局协助妥善处理信息安全事件。

3.3 分级响应

3.3.1 Ⅰ级响应

Ⅰ级响应由应急响应领导小组启动，并向xxx网络安全与信息化领导小组组长报告，其他各应急响应小组在应急响应领导小组的统一指挥下，开展应急处置工作。

（1）启动应急体系。

应急响应领导小组组织专家组专家、应急响应协调小组、应急响应日常运行小组和应急响应调查处置小组的专业技术人员研究对策，提出处置方案建议，为领导决策提供支撑。

（2）掌握事件动态。

事件影响部门及时告知事态发展变化情况和处置进展情况，应急响应日常运行小组在全面了解信息系统受到事件波及或影响情况后，汇总并上报应急响应协调小组。

3.3.2 Ⅱ级响应

Ⅱ级响应由应急响应协调小组启动，并报应急响应小组，其他各应急响应小组在应急响应领导小组的统一指挥下，开展应急处置工作。

（1）启动应急体系。

应急响应领导小组组织专家组专家、应急响应协调小组、应急响应日常运行小组和应急响应调查处置小组的专业技术人员研究对策，提出处置方案建议，为领导决策提供支撑。

（2）掌握事件动态。

事件影响部门及时告知事态发展变化情况和处置进展情况，应急响应日常运行小组在全面了解信息系统受到事件波及或影响情况后，汇总并上报应急响应协调小组。

3.3.3 Ⅲ级响应

Ⅲ级响应由应急响应协调小组启动，其他各应急响应小组在应急响应协调小组的统一指挥下，开展应急处置工作。

（1）启动应急体系。

应急响应协调小组组织应急响应日常运行小组和应急响应调查处置小组的专业技术人员研究对策，提出处置方案建议。

（2）掌握事件动态。

事件影响部门及时告知事态发展变化情况和处置进展情况，应急响应日常运行小组在全面了解信息系统受到事件波及或影响情况后，汇总并上报应急响应协调小组。

3.3.4 Ⅳ级响应

Ⅳ级响应由应急响应日常运行小组启动，并开展应急处置工作。

（1）启动应急体系。

应急响应日常运行小组组织应急响应调查处置小组的专业技术人员研究对策，组织应急处置工作。

（2）掌握事件动态。

事件影响部门及时告知事态发展变化情况和处置进展情况，应急响应日常运行小组全面了解信息系统受到事件波及或影响的情况。

3.4 现场应急处置

3.4.1 处置原则

（1）当发生水灾、火灾、地震等突发事件时，应根据当时的实际情况，在保障人身安全的前提下，首先保障数据的安全，然后保障设备安全。

（2）当人为或病毒破坏信息系统安全时，按照网络安全事件发生的性质可采取隔离故障源、暂时关闭故障系统、保留痕迹、启用备用系统等措施。

3.4.2 处置流程

（1）事件认定。收集网络安全事件相关信息，识别事件类别，判断破坏的来源与性质，确保证据准确，以便缩短应急响应时间。

（2）控制事态发展。抑制事件的影响进一步扩大，限制潜在的损失与破坏。

（3）事件消除。在事件被抑制之后，找出事件根源，明确响应的补救措施并彻底清除。

（4）系统恢复。修复被破坏的信息，清理系统，恢复数据、程序、服务，恢复信息系统。把所有被破坏的系统和网络设备还原到正常运行状态。恢复工作中如果涉及敏感数据资料，要明确数据资料保管责任人，资料接触人员要严格保密，做好敏感数据资料的防泄漏工作。

（5）事件追踪。关注系统恢复以后的安全状况，特别是曾经出现问题的地方；建立跟踪档案，规范记录跟踪结果；对进入司法程序的事件，配合国家相关部门进行进一步的调查，打击违法犯罪活动。

3.5 应急终止

3.5.1 应急终止的条件

现场应急处置工作在事件得到控制或者消除后，应当终止。

3.5.2 应急终止的程序

（1）应急响应领导小组决定终止应急，或其他应急响应小组提出，经应急响应领导小组批准；

（2）应急响应领导小组向组织处置事件的各应急响应小组下达应急终止命令；

（3）应急状态终止后，应急响应领导小组应根据xxx统一安排和实际情况，决定是否继续进行环境监测和评价工作。

四、信息管理

4.1 信息报告

各应急响应小组和部门根据各自职责分工，及时收集、分析、汇总本部门或本系统网络与信息系统安全运行情况信息，安全风险及事件信息及时报告应急响应协调小组，由应急响应协调小组汇总后上报应急响应领导小组。

倡导社会公众参与网络、网站和信息系统安全运行的监督和信息报告，发现网络、网站和信息系统发生安全事件时，应及时报告。

发生Ⅰ级、Ⅱ级网络安全事件后，应由应急响应协调小组及时填报《重大网络安全事件报告表》，并在应急事件终止后填报《重大网络安全事件处理结果报告》。

发生Ⅲ级、Ⅳ级网络安全事件并处置完成后，应由应急响应日常运行小组及时填报《网络安全事件故障分析处置报告》。

4.2 信息报告内容

信息报告内容一般包括以下要素：事件发生时间、发生事故网络信息系统名称及运营使用管理单位、地点、原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、采取的处置措施等。

4.3 信息发布和新闻报道

发生Ⅰ级网络安全事件后，需要开展情况公告时，应由xxx网络与信息化领导小组负责外部媒体沟通及安全事件信息发布，正确引导舆论导向。

发生Ⅱ级网络安全事件后，需要开展情况公告时，应由应急响应领导小组负责外部媒体沟通及安全事件信息发布，正确引导舆论导向。

五、后期处置

5.1 系统重建

在应急处置工作结束后，应制定重建方案，尽快抢修受损的基础设施，减少损失，尽快恢复正常工作。

5.2 应急响应总结

响应总结是应急处置之后应进行的工作，由应急响应调查处置小组负责，具体包括：

（1）分析和总结事件发生的原因；

（2）分析和总结事件发生的现象；

（3）评估系统的损害程度；

（4）评估事件导致的损失；

（5）分析和总结应急处置过程；

（6）评审应急响应措施的效果和效率，并提出改进建议；

（7）评审应急响应方案的效果和效率，并提出改进建议；

（8）评审应急过程中是否存在失职情况，并给出处理建议；

（9）根据事件发生的原因，提出应用系统加固改进建议。

六、保障措施

6.1 装备、物资保障

建立应急响应设备库，包括信息系统的备用设备、应急响应过程所需要的工具。由应急响应日常运行小组进行保管，每季度进行定期检查，确保能够正常使用。

6.2 技术保障

6.2.1 应急响应技术服务

技术保障由应急响应调查处置小组负责，该小组应制定信息安全事件技术应对表，全面考察和管理技术基础，选择合适的技术服务人员，明确职责和沟通方式。

6.2.2 日常技术保障

日常技术保障包括事件监控与预警的技术保障和应急技术储备两部分。

（1）事件监控与预警的技术保障

由应急响应日常运行小组采取监控技术对整个系统进行安全监控，及时预警，尽早发现安全事件。

（2）应急技术储备

由应急响应协调小组分析应急过程所需有的各项技术，针对各项技术形成培训方案或操作手册，定期进行交流、演练。确保各应急技术岗位人员分工清晰，职责明确。

（3）应急专家储备

由应急响应协调小组定期组织和外部专家或技术供应商进行应急处理预案和技术的交流。

6.3 责任与奖惩

（1）网络安全事件应急处置工作实行责任追究制。

（2）对网络安全事件应急管理工作中做出突出贡献的先进集体和个人给予表彰和奖励。

（3）对不按照规定，迟报、谎报、瞒报和漏报网络安全事件重要情况或者应急管理工作中有其他失职、渎职行为的，依照相关规定对有关责任人给予处分；构成犯罪的，依法追究刑事责任。

七、预防工作

7.1 宣传、教育和培训

将突发信息网络事件的应急管理、工作流程等列为培训内容，增强应急处置能力。加强对突发信息网络事件的技术准备培训，提高技术人员的防范意识及技能。信息中心负责人每年至少开展一次信息网络安全教育，提高信息安全防范意识和能力。

7.2 应急演练

信息中心负责人每年定期安排演练，建立应急预案定期演练制度。通过演练，发现和解决应急工作体系和工作机制存在的问题，不断完善应急预案，提高应急处置能力。

7.3 重要活动期间的预防措施

在国家重要活动、会议期间，着重加强网络安全事件的防范和应急响应，及时预警可能造成重大影响的风险和隐患，确保网络安全。

八、附则

8.1 预案更新

结合信息化建设发展状况，配合相关法律法规的制定、修改和完善，适时修订本预案。

8.2 制定及发布

本预案由信息中心起草制定，经应急响应领导小组审核、批准后发布生效。

8.3 预案实施时间

本预案自印发之日起实施。

附录1《国家网络安全事件应急预案》事件分级

网络安全事件分为四级：特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。

（1）符合下列情形之一的，为特别重大网络安全事件：

① 重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力。

② 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。

③ 其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

（2）符合下列情形之一且未达到特别重大网络安全事件的，为重大网络安全事件：

① 重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响。

② 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁。

③ 其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

（3）符合下列情形之一且未达到重大网络安全事件的，为较大网络安全事件：

① 重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响。

② 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。

③ 其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。

（4）除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。

附录2应急小组成员及联系方式

附录3重大网络安全事件报告表

附录4网络安全事件处理结果报告

附录5网络安全事件故障分析处置报告

附录6网络故障事件专项预案

1.恢复顺序

网络恢复时首先保证网络可用，再逐步恢复安全性、高可用性等功能。

2.恢复步骤

业务网络恢复步骤主要分为三大部分：故障判断、故障处理、故障恢复。故障处理流程见附录6图1所示和附录6表1。

附录6图1 故障处理流程

附录6表1 故障详细信息

网络中各设备所在网络位置如附录6图2所示。

附录6图2 网络中各设备所在网络位置

网络设备替换列表见附录6表2。

附录6表2 网络设备替换列表

病毒导致的网络拥塞恢复步骤，详细信息和故障处理流程图如附录6图3所示。

附录6图3 病毒导致的网络拥塞恢复步骤

附录7网站故障事件专项预案

1.恢复顺序

系统恢复时首先确保数据的完整性和安全性。

当恢复复杂系统时，恢复进程应按照业务系统重要性的优先顺序进行恢复，以避免对相关系统及业务产生重大影响。

2.恢复步骤

门户网站页面异常恢复步骤，主要分为三大部分：故障判断、故障处理、故障恢复。详细信息和故障处理流程见附录7图1和附录7表1。

附录7图1 门户网站页面异步恢复步骤

附录7表1 门户网站页面异常恢复步骤

重要网站异常恢复步骤主要分为三大部分：故障判断、故障处理、故障恢复。详细信息和故障处理流程见附录7图2和附录7表2。

附录7图2 重要网站异常恢复步骤

附录7表2 重要网站异常恢复步骤

附录8关键应用故障事件专项预案

1.恢复顺序

系统恢复时首先确保数据的完整性和安全性。

当恢复复杂系统时，恢复进程应按照业务系统重要性的优先顺序进行恢复，以避免对相关系统及业务产生重大影响。

2.恢复步骤

确定关键应用损坏情况，检查故障源，针对故障源恢复。如下是可能出现的故障导致应用系统无法访问或缓慢，并进行恢复。

（1）软件故障

及时重启软件，恢复应用，如果启动有问题，及时搭建新的应用环境恢复应用。查找故障原因，安装补丁。

（2）服务器硬件故障

迅速搭建新的环境还原应用，修复故障机器，修复完之后切换回原机器。

（3）数据库故障

启用备库尽快恢复应用，查找故障原因，修复原数据库，修复完成之后切换回原数据库。

（4）网络故障

查看链路带宽利用情况和查看关键位置网络、安全设备的运行状况，判断故障设备或链路，切换备用设备或链路，修复故障设备或链路，修复完成后切换回原设备或链路。

（5）网络攻击

查看链路带宽利用情况和关键位置网络、安全设备的运行状况和安全设备的防护日志，进行网络流量分析并确定攻击流量流向和类型，通过临时策略阻断攻击流量，确定攻击被阻断后分析和还原攻击过程，必要时通知公安网监和运营商协助调查。

附录9数据泄露事件专项预案

1.恢复顺序

小规模单点数据泄露时，首先确保系统的可用性，采用适当的策略防止数据持续泄露。

大规模多点数据泄露时，经应急响应领导小组同意，可以采取临时切断互联网的方式防止数据持续泄露。

当出现多点数据泄露时，恢复进程应按照业务系统数据重要性的优先顺序进行恢复。

2.恢复步骤

（1）查看安全设备日志，第一时间发现可能的数据泄露区域或服务器/个人终端，并设计和实施临时策略封堵数据泄露途径，防止数据持续泄露；

（2）如果泄露数据较为重要，可以在对事态进行评估授权后，及时联系公安或国家安全局；

（3）会同新闻部门采取有效措施，防止新闻媒体对数据泄露的有关情况进行报道和抄作，造成社会动荡；会同公安部门和运营商加强对互联网的监控，防止泄露的数据在互联网上传播；

（4）收集审计记录、维持现场状况，禁止无关人员进出，减少对现场的破坏，并配合公安机关取证；

（5）明确数据泄露点后尽快设计加固方案，减少数据泄露带来的影响，并邀请专家和安全服务团队进行审核和测试。

（14）外包运维管理

制定外包运维管理制度，确保外包团队的专业性，并传达组织对安全的期望。

人员资质要求：系统集成人员、安全服务人员以及相关管理人员应获得国家权威部门颁发的信息安全人员资质认证。

应与选定的产品供应商、软件开发商、系统集成商、系统商和机构等签订安全责任合同书或保密协议等文档，其内容应至少包含保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等。

应与安全服务商签订服务合同，至少包含服务内容、服务期限、双方签字或盖章，确保安全服务商提供技术培训和服务承诺。

其他要求：系统符合国家相关、法规，按照相关主管部门的技术管理规定对非法信息和恶意进行有效控制，按照有关规定对设备进行控制，使之不被作为非法攻击的跳板。返回搜狐，查看更多