1预案目的

DDOS攻击下最坏的情况可能会导致IDC机房的网络中断，为预防此情况出现，此预案希望出现DDOS攻击的时候不对IDC的业务或尽可能最小的对IDC的业务有所影响

2预案目标

最短时间处理因设备对IDC的影响

3范围

预案影响范围：DDOS攻击可能会影响IDC电信、移动、联通线路的相关流量及业务通讯状态，会导致IDC与电信、移动、联通的网络中断，从而影响一切业务。

4监控预警

监控部分说明在日常或预期可能发生异常时采取的监控措施：

l监控内容：

设备的健康状态：CPU、内存、其它

DDOS攻击情况：攻击类型，时间，频率，补攻击设备及业务域

l判断人员

信息办安全员

l判断要点

设备健康状态，当监控平台监控设备异常时主要判断DDOS攻击及处理情况

l告知协助判断人员的内容要点

一线工程师进入IDC确认系统设备供电，及网络接口模块是否正常

l判断的时间要求

设备通讯异常5-10分钟内定位并处理相关故障，系统软件及策略故障30分钟内定位并给出处理方案

5级别定义

定义突发事件的级别（可依据事件管理的事件级别定义）

一级：硬件故障

二级：软件故障

三级：策略调整

6应急处置

电信、移动、联通接入路线直接接入核心交换机

6.1启动条件

当DDOS攻击造成IDC网络的中断，从而影响IDC的业务

启动该预案的审批人员（如启动该预案无任何不利影响或风险可考虑不审批）。

此预案启动需信息办分管领导审批

6.2预案实施

对预案实施的总体方案和步骤进行说明：

l实施说明

为保证IDC的业务不受影响，应该将相关的接入线路（电信、移动、联通）直接接入核心交换机

l实施步骤

1）DDOS设备负责人与一线团队确认设备故障

1、DDOS设备负责人评估故障处理时间与网络、系统组确认影响影响业务范围

2、DDOS设备负责人申请启动应急预案

3、一线及网络组配合实施预案

4、确认受影响业务是否恢复正常

l各步骤操作方法

DDOS设备负责人与一线团队确认设备故障

1) 进入IDC对设备进行检查，确认是否设备自身的硬件故障

2）进入IDC对设备进行检查，确认是否是因为IDC供电系统或其它原因造成设备断电，如可立即恢复供电，则现场解决问题

DDOS设备负责人评估故障处理时间与网络、系统组确认影响影响业务范围

1）系统组确认此接入域是否有相关业务，影响范围，通知此业务范围内受影响的用户

DDOS设备负责人申请启动应急预案

1）确认短时间内不可解决设备供电或设备硬件问题后立刻申请启动此预案

2）信息办分管领导评估审批

3）通知网络组实施应急预案

一线及网络组配合实施预案

网络组和一线团队配合实施预案，将接入线路直接接入核心交换机

确认受影响业务是否恢复正常

1）网络组确认接入线路直连核心交换机后网络状态恢复正常

2）系统组确认受影响业务恢复正常

7通知和报告

说明在事件发生、处置中、处置完成时的通知和报告计划，包含：

7.1报告

l谁报告

一线报告，二线报告

l报告谁

一线报告给DDOS设备负责人

二线DDOS负责人向部门总监报告

l报告方式

1、一线人员应立即报告二线负责人相关情况初步口头描述故障情况

2、二线人员接到一线报告后对具体情况进行分析排查，与此同事一线报告人应该以邮件方式正式提交报告给二线负责人并抄送相关人员。

3、二线人员故障定位后立即邮件向信息办分管领导报告故障详情

l报告内容

1、一线向二线报告故障设备及故障现象

2、二线向信息办分管领导报告故障具体问题、影响范围、是否启动应急预案

l报告的审批

信息办分管领导审批二线工程师提交的报告，同意实施应急预案

8培训和演练

8.1培训

本应急预案应参与培训的人员：一线团队、网络团队、二线系统组、DDOS设备负责人

8.2演练

应急预案演练方式：

演练内容（单项、综合）

模拟设备硬件故障或设备断电故障

模拟上报过程及应急预案申请

模拟IDC现场操作步骤

演练形式（桌面、现场）

现场演练

应急预案应参与演练的人员范围、演练频率。

一线值班工程师、网络组工程师、系统组工程师、DDOS设备负责人