服務器管理應急預案

1、服務器系統(tǒng)故障應急預案1、服務器使用系統(tǒng)出現(xiàn)故障，系統(tǒng)恢復應急預案(1) 當服務器使用系統(tǒng)出現(xiàn)故障，安全管理員、系統(tǒng)管理員、使 用管理員應當立即初步確定故障的嚴重程度， 估計出現(xiàn)故障的使用系 統(tǒng)故障排除需要的時間，并根據(jù)使用系統(tǒng)需要保障的無故障運行時間，采取不同的使用系統(tǒng)恢復策略。(2) 如果使用系統(tǒng)不能停機，立即啟用熱備份系統(tǒng)進行工作。如果使用系統(tǒng)不能停機，而故障又可以在 10分鐘之內排除，那 么安全管理員指導系統(tǒng)管理員和使用管理員立即排除故障， 恢復系統(tǒng) 正常運行。使用系統(tǒng)可以停機而故障又可以在2小時內排除，安全管理員， 應該斷開服務器的網絡連接，配合系統(tǒng)管理員和使用管理員，處理服 務器故

2、障，盡快排除故障，恢復系統(tǒng)運行。使用系統(tǒng)可以停機但故障排除不能在2小時之內完成，而使用系 統(tǒng)有冷備份系統(tǒng)，安全管理員，應該斷開服務器的網絡連接，通知系 統(tǒng)管理員和使用管理員啟動冷備份系統(tǒng)，完成使用系統(tǒng)的安裝、設置, 并進行數(shù)據(jù)的恢復，保證系統(tǒng)正常運行。使用系統(tǒng)可以停機，而又沒有冷備份的使用系統(tǒng)，那么安全管理 員應該通知系統(tǒng)管理員和使用管理員，備份現(xiàn)有系統(tǒng)的數(shù)據(jù)和程序， 如果不能進行備份系統(tǒng)的數(shù)據(jù)和程序，安全管理員應該從備份管理員 那里得到使用系統(tǒng)的最新備份。安全管理員在確定了使用系統(tǒng)有備份 的情況下，通知系統(tǒng)管理員重新修復或安裝操作系統(tǒng)， 并配合使用管理員重新安裝或修復使用系統(tǒng)并恢復最新備份的

3、數(shù)據(jù)。 如果備份丟失 或不存在，安全管理員應該報告信息網絡事件應急小組， 并求助技術 支持商，完成對硬盤數(shù)據(jù)的恢復。（3）備份管理員在使用系統(tǒng)出現(xiàn)故障時，應該及時查找本地的數(shù) 據(jù)備份，本地的數(shù)據(jù)備份損壞或丟失，應該立即從異地數(shù)據(jù)備份復制 使用系統(tǒng)的數(shù)據(jù)備份到本地。（4）系統(tǒng)管理員和使用管理員應在確認安全的情況下，重新啟動 故障服務器系統(tǒng)；重啟系統(tǒng)成功，則檢查數(shù)據(jù)丟失情況，利用備份數(shù) 據(jù)恢復；若重啟失敗，立即聯(lián)系相關廠商和技術支持，請求援助，分 析故障原因，若經設備廠商或技術支持認定是硬件損壞，那么需要請 求廠商更具維修協(xié)議，進行保修或維修。在服務器硬件正常的情況下， 盡快做好系統(tǒng)軟件的恢復或重

4、新安裝，之后再進行使用軟件的恢復或 重新安裝，再進行使用系統(tǒng)的數(shù)據(jù)恢復，使用系統(tǒng)完全恢復正常運行 后，重新啟用恢復的使用系統(tǒng)服務器，再將備用系統(tǒng)停掉。2、不良信息和網絡病毒事件應急預案（1）發(fā)現(xiàn)不良信息或網絡病毒時，系統(tǒng)管理員應立即斷開網線， 終止不良信息或網絡病毒傳播，并報告信息網絡事件應急小組。（2）安全管理員應采取隔離網絡等措施，協(xié)助系統(tǒng)管理員和使 用管理員及時殺毒、排除不良信息、追查不良信息來源，并估計出故障排除的時間，然后根據(jù)服務器使用系統(tǒng)的重要級別， 采取不同的措 施。（3）事態(tài)或后果嚴重的，信息網絡事件應急小組應及時報告上 級主管領導。（4）處置結束后，安全管理員和事發(fā)部門應將事

5、發(fā)經過、造成影響、處置結果在調查工作結束后一日內書面報告信息網絡事件應急小 組主任。（5）應急預案技術措施，如果出現(xiàn)網絡病毒，系統(tǒng)管理員采用 瑞星殺毒軟件或卡巴斯基殺毒軟件和 360木馬查殺工具，對整個計 算機進行殺毒。對不能確定是否為病毒的文件，應該詢問安全管理員 和使用程序員來確定。如果出現(xiàn)不良信息，安全管理、系統(tǒng)管理員程 序管理員要設法找到不良信息的文件或不良信息存在數(shù)據(jù)庫中的位 置，對非法信息，進行手工刪除，或編程刪除，若不能清除，采用程 序和數(shù)據(jù)備份進行恢復。3、軟件系統(tǒng)故障應急預案（1）發(fā)生服務器軟件系統(tǒng)故障后，安全管理員、系統(tǒng)管理員、 使用管理員應立即對服務器進行查看，分析故障原

6、因，采取并及時報 告信息網絡事件應急小組；同時安排將故障服務器脫離網絡，保存系 統(tǒng)狀態(tài)不變，取出系統(tǒng)鏡像備份磁盤，保持原始數(shù)據(jù)，按照系統(tǒng)恢復應急預案進行。（2）事態(tài)或后果嚴重的，信息網絡事件應急小組。（3）處置結束后，系統(tǒng)管理員應將事發(fā)經過、處置結果等在調 查工作結束后一日內報告信息網絡事件應急小組。（4 ）技術措施：安全管理員、系統(tǒng)管理員、使用管理員在故障 發(fā)生后立即查看服務器系統(tǒng)狀態(tài)，如果是系統(tǒng)軟件出現(xiàn)故障，并且能 進入系統(tǒng)，且可以清晰定位故障原因，并可以立即排除，那么立即進 行排除。如果估計在3小時之內都不能定位故障原因，那么報告信息 網絡事件應急小組，請求系統(tǒng)軟件廠商及技術支持協(xié)助排除

7、， 或根據(jù) 技術支持的建議進行重新安裝操作系統(tǒng)和使用系統(tǒng)。排除操作系統(tǒng)故障的方法，檢查操作系統(tǒng)進程是否都正常，有無非法進程，操作系統(tǒng) 文件有無損壞丟失，是否受到病毒和木馬程序侵害，黑客攻擊。如果不是操作系統(tǒng)故障，安全管理員應該只是使用管理員對使用 系統(tǒng)進行檢查，檢查方法，查看使用系統(tǒng)代碼和數(shù)據(jù)是否被破壞，損 壞，丟失，如果丟失，從正確的備份進行恢復。4、黑客攻擊事件應急預案 當發(fā)現(xiàn)網絡被非法入侵、網頁內容被篡改，使用服務器上的 數(shù)據(jù)被非法拷貝、修改、刪除，或通過入侵檢測系統(tǒng)發(fā)現(xiàn)有黑客正在 進行攻擊時，使用者或管理者應斷開網絡，并立即報告信息網絡事件 應急小組。 接報告后，信息網絡事件應急小組應

8、立即指令系統(tǒng)管理員和 安全管理員核實情況，關閉服務器或系統(tǒng)，封鎖或刪除被攻破的登陸 帳號，阻斷可疑用戶進入網絡的通道。系統(tǒng)管理員應及時清理系統(tǒng)，恢復數(shù)據(jù)、程序，恢復系統(tǒng)和 網絡正常；情況嚴重的，不能準確判斷黑客攻擊行為和采取防護和阻 斷措施的，報告網絡事件應急小組，并請求支援。處置結束后，系統(tǒng)管理員和安全管理員應將事發(fā)經過、處置 結果等在調查工作結束后一日內報告信息網絡事件應急小組。(5) 技術措施：查看是否存在黑客程序及非法進程，用殺毒軟件， 360木馬查殺工具，以及手工方法清除非法程序，若安全管理員、系 統(tǒng)管理員、使用管理員不能完全清除黑客程序， 安全管理員應及時報 告信息網絡事件應急小組

9、，請求安全廠商及安全技術支持協(xié)助排除， 或根據(jù)技術支持的建議進行重新安裝操作系統(tǒng)和使用系統(tǒng)。5、服務器硬件故障應急預案（1）發(fā)生服務器設備硬件故障后，安全管理員和系統(tǒng)管理員應 及時報告信息網絡事件應急小組，并組織查找、確定故障設備及故障 原因，進行先期處置。（2）根據(jù)系統(tǒng)恢復應急預案，確定故障的服務器上的使用系統(tǒng) 的應急恢復措施。（3）處置結束后，系統(tǒng)管理員應將事發(fā)經過、處置結果等在調 查工作結束后一日內報告信息網絡事件應急小組。（4 ）技術措施：初步判斷硬件故障的方法，觀察系統(tǒng)能否正常 啟動，記錄啟動時顯示器屏幕上的提示信息， 記錄服務器狀態(tài)指示燈 狀態(tài)，記錄系統(tǒng)狀態(tài)顯示屏上的信息，安全管理

10、員、系統(tǒng)管理員初步 判斷服務器硬件故障后，咨詢硬件管理員、硬件廠商、技術支持確定 硬件故障的具體原因和故障部件，并聯(lián)系進行維修。5、業(yè)務數(shù)據(jù)損壞應急預案發(fā)生業(yè)務數(shù)據(jù)損壞時，系統(tǒng)管理員和使用管理員應及時報告 信息網絡事件應急小組，檢查、備份業(yè)務系統(tǒng)當前數(shù)據(jù)。系統(tǒng)管理員負責調用備份服務器備份數(shù)據(jù)，若備份數(shù)據(jù)損壞， 調用異地備份數(shù)據(jù)，使用管理員應配合系統(tǒng)管理員完成數(shù)據(jù)恢復工 作。系統(tǒng)管理員和使用管理員應待業(yè)務數(shù)據(jù)系統(tǒng)恢復后，檢查歷史 數(shù)據(jù)和當前數(shù)據(jù)的差別，由相關系統(tǒng)操作員補錄數(shù)據(jù)；重新備份數(shù)據(jù), 并寫出故障分析報告，在調查工作結束后一日內報告信息網絡事件應 急小組。6、重大事故報警制度網站出現(xiàn)嚴重的非法或有害信息，政府類網站出現(xiàn)嚴重被篡改 的情況，系統(tǒng)管理員和安全管理員