云服務(wù)器故障應(yīng)急預(yù)案

1、云服務(wù)器故障應(yīng)急預(yù)案一、目的為了確保云服務(wù)器（以下簡(jiǎn)稱云平臺(tái)）使用過程中遇到突發(fā)事件后能正確、有序、高效地進(jìn)行應(yīng)急處理，保障工作 的正常運(yùn)轉(zhuǎn)，結(jié)合實(shí)際，特制定本預(yù)案。二、適用范圍本預(yù)案適用于云平臺(tái)中可能出現(xiàn)的各類突發(fā)事件。三、預(yù)案流程云平臺(tái)服務(wù)故障預(yù)防措施包括分析風(fēng)險(xiǎn)，建立檢測(cè)體系，準(zhǔn)備應(yīng)急處理措施，控制影響擴(kuò)大。3.1上報(bào)各部門在云平臺(tái)使用過程中遇到突發(fā)問題導(dǎo)致系統(tǒng)無法正常運(yùn)轉(zhuǎn)時(shí)，報(bào)技術(shù)部系統(tǒng)對(duì)接人確認(rèn)，情況屬實(shí)立即報(bào)知運(yùn)維工程師和數(shù)據(jù)庫管理員。3.2 了解和分析根據(jù)實(shí)際情況，技術(shù)部安排應(yīng)急值班（附表1），確保到崗到人，聯(lián)絡(luò)暢通，技術(shù)人員即時(shí)開展軟件的檢修工作， 對(duì)具體情況進(jìn)行了解并進(jìn)行初步

2、判斷、處理，并將初步情況 上報(bào)運(yùn)維工程師知曉。3.3處理方法3.3.1 如突發(fā)問題為操作系統(tǒng)引起首先由技術(shù)人員對(duì)突發(fā)問題進(jìn)行分析，確定引起問題的 具體原因，如操作系統(tǒng)已無法啟動(dòng)，則由技術(shù)人員將具體情 況通報(bào)運(yùn)維工程師，進(jìn)行系統(tǒng)備份恢復(fù)，如操作系統(tǒng)可啟動(dòng)， 則由技術(shù)小組根據(jù)實(shí)際情況進(jìn)行妥善快速處理。3.3.2 如突發(fā)問題為軟件引起首先由技術(shù)人員收集系統(tǒng)日志，對(duì)突發(fā)問題進(jìn)行分析， 確定引起問題的具體原因，通過討論確定初步解決方案，并 對(duì)突發(fā)問題進(jìn)行初步解決，如仍無法解決，則由技術(shù)人員備 份數(shù)據(jù)庫后，重裝云平臺(tái)解決。3.3.3 如突發(fā)問題為網(wǎng)絡(luò)引起技術(shù)人員先將問題反饋給數(shù)據(jù)中心運(yùn)維人員，協(xié)調(diào)網(wǎng)絡(luò) 管

3、理員進(jìn)行初步檢查后確定問題原因，并在最短時(shí)間內(nèi)給予 解決。在事件處理過程中，技術(shù)人員要隨時(shí)將突發(fā)問題處理 情況上報(bào)數(shù)據(jù)中心運(yùn)維人員。334如突發(fā)問題為數(shù)據(jù)庫引起技術(shù)人員先將問題反饋給數(shù)據(jù)庫管理員和服務(wù)器運(yùn)維 人員，確定問題。數(shù)據(jù)庫軟件本身問題，可切換至實(shí)時(shí)備份 數(shù)據(jù)庫。也可以采用新建立數(shù)據(jù)庫， 恢復(fù)備份的數(shù)據(jù)庫文件， 如果原云服務(wù)器都無法恢復(fù)，可以采用其他云服務(wù)器進(jìn)行恢 復(fù)。3.3.5特殊情況處理準(zhǔn)備好阿里云平臺(tái)的帳號(hào)、域名備案、服務(wù)器，如遇目 前云平臺(tái)UCLOUD都無法使用的特殊情況，全部遷移至阿 里云平臺(tái)。技術(shù)部負(fù)責(zé)每周二和周五 15點(diǎn)檢查ucloud余額情況， 若余額低于5000元當(dāng)天申

4、請(qǐng)續(xù)費(fèi)付款流程，確保余額大于 5000元；檢查完成后，需登記云服務(wù)器例行檢查記錄表 注：定期對(duì)服務(wù)器進(jìn)行檢查， 填寫云服務(wù)器例行檢查記錄表。四、信息安全事件分類4.1有害程序事件有害程序事件是指蓄意制造、傳播有害程序，或是因受 到有害程序的影響而導(dǎo)致的信息安全事件。有害程序是指插 入到信息系統(tǒng)中的一段程序，有害程序危害系統(tǒng)中數(shù)據(jù)、應(yīng) 用程序或操作系統(tǒng)的保密性、完整性或可用性，或影響信息 系統(tǒng)的正常運(yùn)行。有害程序事件包括計(jì)算機(jī)病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件、網(wǎng)頁內(nèi)嵌惡 意代碼事件和其它有害程序事件等7個(gè)子類。4.2網(wǎng)絡(luò)攻擊事件網(wǎng)絡(luò)攻擊事件是指通過網(wǎng)絡(luò)或其他技術(shù)

5、手段，利用信息系統(tǒng) 的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對(duì)信息系 統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造 成潛在危害的信息安全事件。網(wǎng)絡(luò)攻擊事件包括拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞 攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和 其他網(wǎng)絡(luò)攻擊事件等 7個(gè)子類。4.3信息破壞事件信息破壞事件是指通過網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng) 中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全事 件。信息破壞事件包括信息篡改事件、信息假冒事件、信息 泄漏事件、信息竊取事件、信息丟失事件和其它信息破壞事 件等6個(gè)子類。4.4信息內(nèi)容安全事件信息內(nèi)容安全事件是指利用信息網(wǎng)絡(luò)發(fā)布、

6、傳播危害國(guó)家安 全、社會(huì)穩(wěn)定和公共利益的內(nèi)容的安全事件。4.5設(shè)備設(shè)施故障設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施 故障而導(dǎo)致的信息安全事件，以及人為的使用非技術(shù)手段有 意或無意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。設(shè)備設(shè)施故障包括軟硬件自身故障、外圍保障設(shè)施故障、人 為破壞事故、和其它設(shè)備設(shè)施故障等4個(gè)子類。4.6災(zāi)害性事件災(zāi)害性事件是指由于不可抗力對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。4.7其他事件其他事件類別是指不能歸為以上6個(gè)基本分類的信息安全事件。五、應(yīng)急處理5.1安全事件等級(jí)確定信息安全事件分級(jí)的參考要素包括應(yīng)用系統(tǒng)、數(shù)據(jù)系 統(tǒng)、客戶信息等公司重要信息。本公司將信

7、息安全突發(fā)事件 級(jí)別分為三級(jí)：一般、較大、重大。一般：公司較小范圍出現(xiàn)并可能造成較大損害的信息安 全事件。較大：公司部分網(wǎng)絡(luò)與信息系統(tǒng)、網(wǎng)站受到大面積、嚴(yán)重沖擊重大：公司大部分網(wǎng)絡(luò)、信息系統(tǒng)、網(wǎng)站基本癱瘓，導(dǎo) 致業(yè)務(wù)中斷，造成信息泄密的安全事件，縱向或橫向延伸可 能造成嚴(yán)重社會(huì)影響或較大經(jīng)濟(jì)損失。5.2預(yù)案啟動(dòng)啟動(dòng)預(yù)案的權(quán)限。發(fā)生網(wǎng)絡(luò)信息安全事件后，信息安全 領(lǐng)導(dǎo)小組負(fù)責(zé)啟動(dòng)相應(yīng)預(yù)案，指揮、處理相關(guān)的應(yīng)急響應(yīng)工 作。啟動(dòng)預(yù)案的流程。應(yīng)急響應(yīng)小組接到報(bào)告后，應(yīng)當(dāng)立即 上報(bào)信息安全領(lǐng)導(dǎo)小組有關(guān)負(fù)責(zé)人，并會(huì)同相關(guān)成員盡快組 織專家組對(duì)突發(fā)事件性質(zhì)、級(jí)別及啟動(dòng)預(yù)案的時(shí)機(jī)進(jìn)行評(píng) 估，向信息安全領(lǐng)導(dǎo)小組提

8、出啟動(dòng)預(yù)案的建議，報(bào)信息安全 領(lǐng)導(dǎo)小組批準(zhǔn)。如發(fā)生重大安全事件，則報(bào)告人應(yīng)同時(shí)上報(bào) 應(yīng)急響應(yīng)小組和信息安全領(lǐng)導(dǎo)小組有關(guān)負(fù)責(zé)人，應(yīng)急響應(yīng)小 組應(yīng)進(jìn)行初步的應(yīng)急處理，防止損害進(jìn)一步擴(kuò)大。 啟動(dòng)預(yù)案后的應(yīng)急處理。在信息安全領(lǐng)導(dǎo)小組作出啟動(dòng)預(yù)案 決定后，應(yīng)急響應(yīng)小組立即啟動(dòng)應(yīng)急處理工作。5.3現(xiàn)場(chǎng)應(yīng)急處理現(xiàn)場(chǎng)應(yīng)急響應(yīng)小組應(yīng)盡最大可能收集事件相關(guān)信息，明 確事件類別及來源，保護(hù)證據(jù)，以便縮短應(yīng)急響應(yīng)時(shí)間。 檢查威脅造成的結(jié)果，評(píng)估事件帶來的影響和損害：如檢查 系統(tǒng)、數(shù)據(jù)的完整性、保密性或可用性，檢查攻擊者是否侵 入了系統(tǒng)，確定暴露出的主要危險(xiǎn)等。抑制事件的影響進(jìn)一步擴(kuò)大，限制潛在的損失與破壞。根除惡意代

9、碼造成的不良影響。在事件被抑制之后，通過對(duì) 有關(guān)惡意代碼或行為的分析結(jié)果，找出事件根源，明確相應(yīng) 的補(bǔ)救措施并徹底清除。 與此同時(shí)，對(duì)于攻擊源頭在外網(wǎng)的， 應(yīng)報(bào)執(zhí)法部門和其他相關(guān)機(jī)構(gòu)將對(duì)攻擊源進(jìn)行定位并消除。清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)。把所有被攻破的系統(tǒng)和 網(wǎng)絡(luò)設(shè)備徹底還原到它們正常的任務(wù)狀態(tài)。另外，恢復(fù)工作 中如果涉及到涉密數(shù)據(jù)，需要額外遵照公司對(duì)于涉密數(shù)據(jù)的 相關(guān)要求。5.4報(bào)告和總結(jié)應(yīng)急響應(yīng)小組應(yīng)回顧并整理發(fā)生事件的各種相關(guān)信息， 盡可能地把所有情況記錄到文檔中。發(fā)生重大信息安全事件 的單位應(yīng)當(dāng)在事件處理完畢后 5個(gè)工作日內(nèi)將處理結(jié)果上報(bào) 給公司。5.5應(yīng)急行動(dòng)結(jié)束根據(jù)信息安全事件的

10、處置進(jìn)展情況和現(xiàn)場(chǎng)應(yīng)急處理工 作組意見，應(yīng)急響應(yīng)小組應(yīng)組織相關(guān)部門及專家組對(duì)信息安 全事件的處置情況進(jìn)行綜合評(píng)估，并向信息安全領(lǐng)導(dǎo)小組提 出應(yīng)急行動(dòng)結(jié)束建議，并報(bào)信息安全領(lǐng)導(dǎo)小組批準(zhǔn)。應(yīng)急行 動(dòng)是否結(jié)束，由領(lǐng)導(dǎo)決定。附件1:信息安全事件報(bào)告表信息安全事件報(bào)告表報(bào)告時(shí)間：（年 /月/日/時(shí)/ 分）報(bào)告人：聯(lián)系電話：發(fā)生信息安全事件的信息系統(tǒng)名稱及用途：負(fù)責(zé)人：信息安全事件的簡(jiǎn)要描述（如以前出現(xiàn)過類似情況也應(yīng)加以說明）：初步判定的事故原因：當(dāng)前采取的措施：本次信息安全事件的初步影響狀況：本次信息安全事件的初步影響狀況事件后果：口業(yè)務(wù)中斷口系統(tǒng)破壞口數(shù)據(jù)丟失口其他影響范圍：網(wǎng)口單臺(tái)主機(jī)口多臺(tái)主機(jī)口整個(gè)信息系統(tǒng)口整個(gè)局域嚴(yán)重程度：口極嚴(yán)重口很嚴(yán)重口嚴(yán)重口一般口不嚴(yán)重聯(lián)系方式：值班電話：傳真：附件2:信息安全事件應(yīng)急處理結(jié)果報(bào)告表信息安全事件應(yīng)急