美国迪斯尼乐园信息系统安全应急预案
立足本职做什么为全面强化公司信息系统安全管理,应对信息安全突发事件的发生,提升对安全事件的应急处置能力,确保网络与信息安全指挥协调工作迅速、高效、有序地进行,满足突发状况下信息系统安全稳定、继续运行,依据国家和省有关规定,制定本预案。
1. 电力系统故障的应急处理
(1). 报告,任何单位和人员发现本单位电力系统出现异常状况时,都应及时向技术部报告。
(2). 联系,技术部负责人或值班人员及时联系物业,并联系相关系统管理员确定紧急停机方案和计划。
(3). 监控,技术部负责人或值班人员实时监控UPS电量消耗状况,并按计划当电量低于预定阈值时通知相关系统管理员进行停机操作。
(4). 恢复,当电力供应恢复后,通知相关信息负责人,按规定的开发流程恢复停机系统。
2.  消防系统应急处理
(1). 报告和简单处理
当出现火情、火灾时,发现人员应在最短时间内报告。假设火情严重时,应迅速拨打119  报警,并尽可能采用一些简单可行
的方法作初步处理,如:使用四周的灭火器、水源〔在同意用水
适合室内玩的小游戏
灭火的场合〕或采纳其他灭火措施、手段。进展状况随时向有关
领导报告。
(2). 灭火
计算中心机房出现火情并且无法进行局部处理时,机房管理人
员在紧急报告有关领导的同时,应马上疏散场地以内的工作人员。在自动灭火系统未启动时,按下紧急启动按钮。
3. 网络信息系统故障的应急处理
(1). 报告和简单处理
网络设备、网络应用系统故障应由发现人及时通知技术部,技
术部在收到发现人通知或系统自动通知后应马上检查故障,进行
初步故障定位。如果网络、应用系统出现比较严重的问题,对网
络业务的正常运行造成较大的影响,必须马上向有关领导报告。
java面试宝典(2). 故障推断与排除
对简单故障,运维人员应迅速排除故障,解决问题并记录。如
果必须要改换设备,应上报有关领导,经批准后马上改换故障设备,尽快恢复网络、应用系统运行。运维人员推断无法及时修理时,
应马上通知相关的系统运行服务提供商,在最短的时间内安排修
理或改换系统。
(3). 网络线路故障排除
如发现属外部线路的问题,应与线路服务提供商联系,敦促对
方尽快恢复故障线路。
(4). 启用备份线路、设备、系统〔如果存在的话〕,迅速恢复相关的应用。
4.  网站与应用系统应急处理
(1). 报告和简单处理
发现对外网站不能正常打开或网站内容被恶意窜改时,任何人员都有义务向技术部报告。技术部在收到报告后应马上组织应急响应,联合相关部门进行故障排查。
(2). 处理
先由技术部查看网络连接状况,假设不是网络故障,则持续检查其它硬件或系统软件故障,必要时马上联系应用软件供应商或研发部门会诊。
(3). 恢复使用
待故障处理完成并经过测试后,恢复系统的正常运行。
5.  黑客入侵的应急处理
(1). 报告和简单处理
接纳孩子
发现网络上有黑客攻击行为,任何人员都有义务向技术部报告。技术部在收到报告或检测到攻击行为后应马上启动应急响应,切断受攻击计算机与网络的连接,停止一切操作、保护现场,并上报有关领导。
(2). 处理
关于黑客攻击,由技术部组织应急响应专家小组查入侵踪迹,分析入侵方式和原因。由安全管理员依据对入侵事件的分析,组织相关人员对内部网计算机整改,防止黑客用同样的手段再次入侵其他系统。紧急状况下专家小组有权在未通过领导审批进行应急处理,但应做好记录,保护现场,进行日志收集等工作。
(3). 恢复
专家小组检查确定无安全隐患后,才可将受攻击计算机重新连接网络,或启用备份计算机或服务器来恢复应用。
如果能追查到攻击者的相关信息,可以对其发出警告,必要时可以采用进一步的行动,乃至采用法律手段。依据破坏程度,经有关领导同意后,上报公安部门。
假设系统已被黑客破坏,无法恢复,应将受黑客攻击的计算机上的重要数据备份到其他存储介质,保
证计算机内重要的数据不丢失。如果数据无法恢复,经有关领导同意后,可与国家指定的部门联系,由他们来协助恢复。
蜂蜡6. 大规模病毒〔含恶意软件〕攻击的应急处理
(1). 报告和简单处理
发现网络上有大规模病毒攻击的行为,任何人员都有义务向综合部报告。由技术部组织应急响应,切断受攻击计算机与网络的连接,停止一切操作、保护现场,马上上报有关领导。
(2). 已知病毒的处理和恢复
使用最新版本杀毒软件对染毒计算机进行全面杀毒,并对染毒计算机系统进行漏洞修补。技术部或系统管理员确定没有病毒和安全漏洞后,再连接网络恢复使用。
(3). 未知病毒的处理和恢复
观察防火墙、交换机及网管软件依据监视窗口的链路状态,由此推断感染病毒或恶意程序的客户端、服务器所连接的交换机。打开该交换机的端口流量分析窗口,依据流量推断感染病毒或恶意程序的客户端所科交换机端口。关闭该交换机端口,隔离该工作站、服务器,阻断与局域网的连接。依据端口
状态功能,查看感染病毒或恶意程序的终端或服务器的IP地址。依据IP地址信息到该工作站的具体位置,对该工作站进行病毒或恶意程序清除工作。
依据关于未知病毒,应首先尝试手工杀毒处理,假设系统已被病毒破坏,无法恢复,应将感染病毒的计算机上的硬盘加挂到其他机器上处理,将重要数据备份到其他存储介质,尽最大努力保护、保留感染计算机内重要的数据,同时防止病毒感染其他计算机。如果数据无法恢复,经有关领导同意后,可与反病毒厂商联系,由他们来协助恢复。