互联网医院突发事件的应急预案本预案适用于互联网医院网站系统发生故障或遭受攻击的情况下的应急响应工作。一、网站故障应急领导小组应急小组负责“互联网医院网站系统故障应急预案”的实施和网站系统日常安全运行管理的组织协调及决策工作。二、互联网医院网站系统故障分级及处理原则根据故障发生的原因和性质不同，归类以下几类：（一）网络链路故障：运营商骨干网络链路中断、IDC网络中断（二）硬件设备故障：网络、安全设备，服务器出现硬件损坏（三）软件故障：操作系统、应用环境、数据库环境、系统负载、IO、磁盘空间（四）业务应用故障:应用程序代码部署、回滚（五）网络安全：(见安全管理手册)（六）容灾机制：网络层双机热备、应用层群集负载均衡三、故障分级标准：各类故障按照对业务影响的不通程度划分3大类5个级别类型级别描述重大事故1全站业务不可用中度事故2业务重要功能不可用，大面积影响用户3业务重要功能不可用，仅影响部分用户轻微事故4业务次要功能不可用，轻微影响用户四、网站发生故障时的应急响应流程五、故障发生时的具体应急措施技术支持在接受故障反馈时必须在1分钟内进行响应，并确认问题联系相关技术人员确认处理，如故障时间超过5分钟，进行问题升级到运维部处理，超过15分钟无法解决以及特大问题升级到CEO、COO并且启动紧急预案，如果是硬件问题，紧急启用备用设备，并联系厂家进行维修或者更换（原则上硬件设备都必须有冗余，并且定时对设备进行巡检），硬件厂商需要在1小时内响应，24小时内本地化服务支持。

（一）设备应急处置手册（用于硬件设备发生故障）网络设备硬件故障：1.网络工程师判定设备问题2.联系H3C代理商进行设备报修更换服务。服务器硬件故障：（1）运维工程师登陆故障服务器使用DSET工具获取系统硬件状态日志并发送邮件给硬件管理员（2）硬件管理员联系IDC机房人员记录故障服务器快速服务编码（3）硬件管理员拨打戴尔800售后进行故障报修（需提供服务编码||日志包||故障现象和截图等）（4）等待DELL售后确认硬件问题（5）预约时间，机房授权现场更换六、后续保障措施为了确保网站可用性和安全事件处理工作的顺利开展，以下几点应给予充分保障：加强日常监控，系统工程师每天对服务器的运行进行日巡查，每周对用户账号的使用进行检查，每月对主机系统进行一次安全检查，每半年进行一次全面健康检查；定期机房巡检，系统于网络工程师每月对IDC机房服务器及网络设备进行现场勘查；加强系统和数据备份，服务器操作系统的备份采用完全备份策略，系统工程师负责每季度对操作系统进行一次完整备份；确保和IDC机房服务商沟通渠道的畅通，在本单位应急处理过程中遇到困难或问题时能及时获得服务商的支援。医院网站信息安全应急预案（停电、断网、设备故障、网络信息安全等突发事件的应急预案）为迅速、有效地处置信息系统被网络攻击的突发事件，最大限度地保信息系统的正常运行，维护互联网医院信息系统的安全、畅通，特制定本应急预案。

一、攻击行为分类（一）流量攻击DDoS攻击的一个致命趋势是使用复杂的欺骗技术和基本协议，如HTTP，Email等协议，而不是采用可被阻断的非基本协议或高端口协议，非常难识别和防御，通常采用的包过滤或限制速率的措施只是通过停止服务来简单停止攻击任务，但同时合法用户的请求也被拒绝，造成业务的中断或服务质量的下降；DDoS事件的突发性，往往在很短的时间内，大量DDoS攻击数据可使网络资源和服务资源消耗殆尽。（二）木马病毒系统遭受各种木马病毒的感染。（三）恶意网络入侵恶意的网络入侵包括了恶意扫描、通过应用程序漏洞进行黑客行为。二、攻击行为应急处理流程网站应急响应流程主要分为：分析确认、启动应急预案，故障修复、恢复运行、详细备案。（一）DDos流量攻击应急处理收到预警后，第一时间联系机房服务方进行流量的清洗。必要情况下直接接入安全服务商的云防护清洗平台。查看防火墙日志，确定非正常访问的ip。对此ip进行阻断。分析原因和损失。归纳总结并编写报告。根据恶意情况制定系统加固方案进行加固。生成报告留存。对外发布致歉信息。（二）木马病毒的应急处理收到预警后，首先中断重要设备与互联网的连接。对外发布致歉信息。

升级杀毒软件病毒库到最新，然后进行全面的杀毒。对病毒样本进行分析，寻找专杀工具进行查杀。通过命令的详细信息，完全监控计算机上的连接，查找异常的连接。查看系统的服务项，禁用不明的服务。查看注册表信息，删除怀疑的病毒感染键值。查找木马病毒爆发的原因。对外进行加固防护，对内进行惩罚和高标准的规范以及技术防护。总结原因生成报告留存。对外发布故障解决完成并再次致歉。（三）恶意入侵的应急处理1.遭受黑客攻击时的应急响应流程工作时间内，发现黑客攻击应在第一时间通知具体责任人。具体责任人接到通知后，应详细记录有关现象和显示器上出现的信息，将被攻击的服务器等设备从网络中隔离出来，保护现场。同时通知总负责人，召集相关技术人员共同分析攻击现象，提供解决方法，主机系统管理员和应用软件系统管理员负责被攻击或破坏系统的恢复与重建工作。视情况向集团公司领导汇报事件情况。非工作时间内发现的攻击事件，值班人员应首先立即切断被攻击外网服务器的网络连接，并做好相关记录；然后通知具体责任人按流程处理。2.页面被篡改、出现非法言论的应急响应流程工作时间内发现页面被篡改，应在第一时间通知具体责任人。具体责任人接到通知后：将服务器从网络中隔离，抓屏、保存非法言论的页面。

修复网页内容、删除网站上的非法言论。网页修复后，对网站全部内容进行一次查看，确保没有被篡改的或非法的言论后解除站点服务器的隔离。会同技术人员共同追查非法篡改、非法言论来源，尽可能确定信息发布者。向总负责人报告情况，视情况向集团公司领导汇报事件情况。非工作时间内发现的篡改事件，值班人员应首先立即通知集团公司部，请其切断被攻击外网服务器的网络连接，并做好相关记录；然后通知具体责任人按流程处理。（四）网站无法访问发现网站无法访问的情况后，立即通知具体负责人。具体负责人接到通知后，应及时确定故障原因。如因主机设备或软件系统故障导致且不能在2小时内解决，应及时启动备用网站。三、应急处置工作原则（一）统一领导、规范管理。网站突发事件由技术中心应急建设领导小组统一协调领导，遵照“统一领导、综合协调、各司其职”的原则协同配合、具体实施，完善应急工作体系和机制。（二）明确责任，分级负责，保证对网络与信息安全事件做到快速觉察、快速反应、及时处理、及时恢复。 （三）预防为主，加强监控。积极做好日常安全工作，提高应对突发网络与信息安全事件的能力。建立和完善信息安全监控体系，加强对网络与信息安全隐患的日常监测，重点监控网页是否被篡改、信息发布是否异常、网站运行是否异常等问题。

四、应急预防保障措施 （一）对于流量攻击，网络边界部署了防火墙、IPS 等设备，公司内部已经建立了完善的监控系统，可以对信息系统的运行状态进行监控。发现异常会第一时间报警到相关负责人紧急处理。并且机房购买了流量清洗服务以及与第三方安全公司签订了流量清洗云服务。 （二）对于系统漏洞，网络中部署的IPS 可以进行虚拟化补丁修复，信息系统采用了隐藏真实IP 技术，所有重要系统服务器都部署在内网，边界部署了防火墙，严格限制了访问规则。24 小时技术人员值班，每天跟进最新的漏洞详情并结合我单位的实际情况进行核实、检测是否存在问题并且及时测试、更新。 （三）每周对所有信息系统进行一次安全扫描、安全配置检查，能够及时的发现被植入的病毒、后门程序，第一时间进行清除并及时修复安全问题。（四）与世纪互联、安全宝公司签订安全服务关系，对DNS 劫持、网络钓鱼等安全问题能够进行很好的防护。 （五）与第三方安全漏洞平台友好合作，定期参加众测。 （六）建立健全网络与信息安全管理预案，加强对网站网络信息的日常监测、监控，强化安全管理，对可能引发网络与信息安全事件的有关信息，要认真收集、分析判断，发现有异常情况时，及时处理并逐级报告。

（七）做好网站文件和数据库备份。备份采用完全备份策略与部分备份策略相结合，服务器管理员负责每天对网站数据库进行一次完整备份，每季度对网站文件进行一次完整备份。 （八）特殊时期启动网络与信息安全应急值班制度。在特殊时期进行24 小时应急值班，对网络和信息数据加强保护，进行不间断监控，一旦发生网络与信息安全事件，立即启动应急预案，判定事件危害程度，采取应急处置措施，并立即将情况报告有关领导。在处置过程中，及时报告处置工作进展情况，直至处置工作结束。属于重大事件或存在非法犯罪行为的，及时向公安机关报告。 （九）保持与安全厂商沟通渠道的畅通，确保在应急处理过程中遇到困难或问题时能及时获得安全厂商的技术支援。 五、应急处理措施（一）网站、网页出现非法言论事件紧急处置措施 发现网站出现非法信息或内容被篡改，立即通知应急小组及上级领导，将非法信息或篡改信息从网络中隔离出来，必要时断开网络服务器。 情况严重，保护现场，保存非法信息或篡改页面，并断开网络服务器，立即向公安机关报警。 网站管理员应同时作好必要记录，追查非法信息来源，清理或修复非法信息，妥善保存有关记录，强化安全防范措施，并将网站重新投入运行。

将处理结果向公安机关汇报。 （二）系统软件遭受破坏性攻击、网站瘫痪的紧急处置 系统软件遭到破坏性攻击，网站瘫痪，立即向应急小组和上级领导报告，并将系统停止运行。 情况严重的，要保护好现场，保存非法信息或篡改页面，并断开网络服务器，立即向公安机关报警。 待公安部门提取相关资料后，技术维护人员会同技术服务商检查日志等资料，确认攻击来源。 修复系统，重新配置运行环境，恢复数据。 做好相应的记录，实施必要的安全加固措施，将网站重新投入运行。 （三）硬件故障或意外情况的应急处理 出现线路问题，由世纪互联数据中心负责处理。网络设备、计算机系统、网络系统出现故障，由技术中心运维部负责紧急维护。 机房遇到失火、盗窃，及时世纪互联数据中心和应急小组报告，必要时请公安部门或消防部门提供帮助。 以上情况均做好必要的记录，并妥善保存。 六、常见安全漏洞管理 （一）跨站脚本编制 危害：可能会窃取或操纵客户会话和cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。 风险级别：中级 整改建议：应对跨站点脚本编制的主要方法有两点： 一是不要信任用户的任何输入，尽量采用白名单技术来验证输入参数； 二是输出的时候对用户提供的内容进行转义处理。

（二）基于DOM 的跨站脚本编制 危害：可能会窃取或操纵客户会话和cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。 风险级别：高级 整改建议：建议分析并加强客户端(JavaScript)代码。清理攻击者所能影响的输入源。（三）SQL 注入与SQL 盲注 危害：可能会查看、修改或删除数据库条目和表。严重的注入漏洞还可能以当然数据库用户身份远程执行操作系统命令。 风险级别：高级 整改建议：补救方法在于对用户输入进行清理。通过验证用户输入，保证其中未包含危险字符，便可能防止恶意的用户导致应用程序执行计划外的任务，例如：启动任意SQL查询、嵌入将在客户端执行的Javascript 代码、运行各种操作系统命令，等等。 （四）文件目录遍历 危害：程序中如果不能正确地过滤客户端提交的../和./之类的目录跳转符，恶意者就可以通过上述符号跳转来访问服务器上的特定的目录或文件。 风险级别：高级 整改建议：在程序中过滤../和./之类的目录跳转符，或者加强网站访问权限控制，禁止网站目录的用户浏览权限。 （五）脚本代码暴露 1. 危害：攻击者可以收集敏感信息(数据库连接字符串，应用程序逻辑)。这些信息可以被用来发动进一步袭击。 2. 风险级别：中级