服務(wù)器系統(tǒng)故障應(yīng)急預(yù)案

1、服務(wù)器系統(tǒng)故障應(yīng)急預(yù)案1、服務(wù)器應(yīng)用系統(tǒng)出現(xiàn)故障，系統(tǒng)恢復(fù)應(yīng)急預(yù)案(1)當(dāng)服務(wù)器應(yīng)用系統(tǒng)出現(xiàn)故障，安全管理員、系統(tǒng)管理員、應(yīng) 用管理員應(yīng)當(dāng)立即初步確定故障的嚴(yán)重程度， 估計(jì)出現(xiàn)故障的應(yīng)用系 統(tǒng)故障排除需要的時(shí)間，并根據(jù)應(yīng)用系統(tǒng)需要保障的無故障運(yùn)行時(shí)間， 采取不同的應(yīng)用系統(tǒng)恢復(fù)策略。(2)如果應(yīng)用系統(tǒng)不能停機(jī)，立即啟用熱備份系統(tǒng)進(jìn)行工作。如果應(yīng)用系統(tǒng)不能停機(jī)，而故障又可以在 10分鐘之內(nèi)排除，那么安全 管理員指導(dǎo)系統(tǒng)管理員和應(yīng)用管理員立即排除故障，恢復(fù)系統(tǒng)正常運(yùn) 行。應(yīng)用系統(tǒng)可以停機(jī)而故障又可以在2小時(shí)內(nèi)排除，安全管理員， 應(yīng)該斷開服務(wù)器的網(wǎng)絡(luò)連接，配合系統(tǒng)管理員和應(yīng)用管理員，處理服 務(wù)器故障，

2、盡快排除故障，恢復(fù)系統(tǒng)運(yùn)行。應(yīng)用系統(tǒng)可以停機(jī)但故障排除不能在2小時(shí)之內(nèi)完成，而應(yīng)用系 統(tǒng)有冷備份系統(tǒng)，安全管理員，應(yīng)該斷開服務(wù)器的網(wǎng)絡(luò)連接，通知系 統(tǒng)管理員和應(yīng)用管理員啟動(dòng)冷備份系統(tǒng)，完成應(yīng)用系統(tǒng)的安裝、設(shè)置, 并進(jìn)行數(shù)據(jù)的恢復(fù)，保證系統(tǒng)正常運(yùn)行。應(yīng)用系統(tǒng)可以停機(jī)，而又沒有冷備份的應(yīng)用系統(tǒng)，那么安全管理 員應(yīng)該通知系統(tǒng)管理員和應(yīng)用管理員，備份現(xiàn)有系統(tǒng)的數(shù)據(jù)和程序， 如果不能進(jìn)行備份系統(tǒng)的數(shù)據(jù)和程序，安全管理員應(yīng)該從備份管理員 那里得到應(yīng)用系統(tǒng)的最新備份。安全管理員在確定了應(yīng)用系統(tǒng)有備份 的情況下，通知系統(tǒng)管理員重新修復(fù)或安裝操作系統(tǒng)， 并配合應(yīng)用管 理員重新安裝或修復(fù)應(yīng)用系統(tǒng)并恢復(fù)最新備份的數(shù)

3、據(jù)。 如果備份丟失 或不存在，安全管理員應(yīng)該報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組， 并求助技術(shù) 支持商，完成對(duì)硬盤數(shù)據(jù)的恢復(fù)。(3)備份管理員在應(yīng)用系統(tǒng)出現(xiàn)故障時(shí)，應(yīng)該及時(shí)查找本地的數(shù) 據(jù)備份，本地的數(shù)據(jù)備份損壞或丟失，應(yīng)該立即從異地?cái)?shù)據(jù)備份復(fù)制 應(yīng)用系統(tǒng)的數(shù)據(jù)備份到本地。(4)系統(tǒng)管理員和應(yīng)用管理員應(yīng)在確認(rèn)安全的情況下，重新啟動(dòng) 故障服務(wù)器系統(tǒng)；重啟系統(tǒng)成功，則檢查數(shù)據(jù)丟失情況，利用備份數(shù) 據(jù)恢復(fù)；若重啟失敗，立即聯(lián)系相關(guān)廠商和技術(shù)支持，請(qǐng)求援助，分 析故障原因，若經(jīng)設(shè)備廠商或技術(shù)支持認(rèn)定是硬件損壞，那么需要請(qǐng) 求廠商更具維修協(xié)議，進(jìn)行保修或維修。在服務(wù)器硬件正常的情況下， 盡快做好系統(tǒng)軟件的恢復(fù)或重新

4、安裝，之后再進(jìn)行應(yīng)用軟件的恢復(fù)或 重新安裝，再進(jìn)行應(yīng)用系統(tǒng)的數(shù)據(jù)恢復(fù)，應(yīng)用系統(tǒng)完全恢復(fù)正常運(yùn)行 后，重新啟用恢復(fù)的應(yīng)用系統(tǒng)服務(wù)器，再將備用系統(tǒng)停掉。2、不良信息和網(wǎng)絡(luò)病毒事件應(yīng)急預(yù)案(1)發(fā)現(xiàn)不良信息或網(wǎng)絡(luò)病毒時(shí)，系統(tǒng)管理員應(yīng)立即斷開網(wǎng)線， 終止不良信息或網(wǎng)絡(luò)病毒傳播，并報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組。(2)安全管理員應(yīng)采取隔離網(wǎng)絡(luò)等措施，協(xié)助系統(tǒng)管理員和應(yīng)用管理員及時(shí)殺毒、排除不良信息、追查不良信息來源，并估計(jì)出故障排除的時(shí)間，然后根據(jù)服務(wù)器應(yīng)用系統(tǒng)的重要級(jí)別， 采取不同的措施。(3)事態(tài)或后果嚴(yán)重的，信息網(wǎng)絡(luò)事件應(yīng)急小組應(yīng)及時(shí)報(bào)告上級(jí)主管領(lǐng)導(dǎo)。(4)處置結(jié)束后，安全管理員和事發(fā)部門應(yīng)將事發(fā)經(jīng)過、

5、造成 影響、處置結(jié)果在調(diào)查工作結(jié)束后一日內(nèi)書面報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急 小組主任。(5)應(yīng)急預(yù)案技術(shù)措施，如果出現(xiàn)網(wǎng)絡(luò)病毒，系統(tǒng)管理員采用 瑞星殺毒軟件或卡巴斯基殺毒軟件和 360木馬查殺工具，對(duì)整個(gè)計(jì)算 機(jī)進(jìn)行殺毒。對(duì)不能確定是否為病毒的文件，應(yīng)該詢問安全管理員和 應(yīng)用程序員來確定。如果出現(xiàn)不良信息，安全管理、系統(tǒng)管理員程序 管理員要設(shè)法找到不良信息的文件或不良信息存在數(shù)據(jù)庫中的位置， 對(duì)非法信息，進(jìn)行手工刪除，或編程刪除，若不能清除，采用程序和 數(shù)據(jù)備份進(jìn)行恢復(fù)。3、軟件系統(tǒng)故障應(yīng)急預(yù)案(1)發(fā)生服務(wù)器軟件系統(tǒng)故障后，安全管理員、系統(tǒng)管理員、 應(yīng)用管理員應(yīng)立即對(duì)服務(wù)器進(jìn)行查看，分析故障原因，采

6、取并及時(shí)報(bào) 告信息網(wǎng)絡(luò)事件應(yīng)急小組；同時(shí)安排將故障服務(wù)器脫離網(wǎng)絡(luò)，保存系 統(tǒng)狀態(tài)不變，取出系統(tǒng)鏡像備份磁盤，保持原始數(shù)據(jù)，按照系統(tǒng)恢復(fù) 應(yīng)急預(yù)案進(jìn)行。(2)事態(tài)或后果嚴(yán)重的，信息網(wǎng)絡(luò)事件應(yīng)急小組。(3)處置結(jié)束后，系統(tǒng)管理員應(yīng)將事發(fā)經(jīng)過、處置結(jié)果等在調(diào) 查工作結(jié)束后一日內(nèi)報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組。(4)技術(shù)措施：安全管理員、系統(tǒng)管理員、應(yīng)用管理員在故障發(fā)生后立即查看服務(wù)器系統(tǒng)狀態(tài)，如果是系統(tǒng)軟件出現(xiàn)故障，并且能 進(jìn)入系統(tǒng)，且可以清晰定位故障原因，并可以立即排除，那么立即進(jìn) 行排除。如果估計(jì)在3小時(shí)之內(nèi)都不能定位故障原因，那么報(bào)告信息 網(wǎng)絡(luò)事件應(yīng)急小組，請(qǐng)求系統(tǒng)軟件廠商及技術(shù)支持協(xié)助排除， 或根

7、據(jù) 技術(shù)支持的建議進(jìn)行重新安裝操作系統(tǒng)和應(yīng)用系統(tǒng)。 排除操作系統(tǒng)故 障的方法，檢查操作系統(tǒng)進(jìn)程是否都正常，有無非法進(jìn)程，操作系統(tǒng) 文件有無損壞丟失，是否受到病毒和木馬程序侵害，黑客攻擊。如果不是操作系統(tǒng)故障，安全管理員應(yīng)該只是應(yīng)用管理員對(duì)應(yīng)用 系統(tǒng)進(jìn)行檢查，檢查方法，查看應(yīng)用系統(tǒng)代碼和數(shù)據(jù)是否被破壞，損 壞，丟失，如果丟失，從正確的備份進(jìn)行恢復(fù)。4、黑客攻擊事件應(yīng)急預(yù)案當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)被非法入侵、網(wǎng)頁內(nèi)容被篡改，應(yīng)用服務(wù)器上的數(shù) 據(jù)被非法拷貝、修改、刪除，或通過入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)有黑客正在進(jìn) 行攻擊時(shí)，使用者或管理者應(yīng)斷開網(wǎng)絡(luò)，并立即報(bào)告信息網(wǎng)絡(luò)事件應(yīng) 急小組。接報(bào)告后，信息網(wǎng)絡(luò)事件應(yīng)急小組應(yīng)立即指令

8、系統(tǒng)管理員和安 全管理員核實(shí)情況，關(guān)閉服務(wù)器或系統(tǒng)，封鎖或刪除被攻破的登陸帳 號(hào)，阻斷可疑用戶進(jìn)入網(wǎng)絡(luò)的通道。系統(tǒng)管理員應(yīng)及時(shí)清理系統(tǒng)，恢復(fù)數(shù)據(jù)、程序，恢復(fù)系統(tǒng)和網(wǎng) 絡(luò)正常；情況嚴(yán)重的，不能準(zhǔn)確判斷黑客攻擊行為和采取防護(hù)和阻斷 措施的，報(bào)告網(wǎng)絡(luò)事件應(yīng)急小組，并請(qǐng)求支援。處置結(jié)束后，系統(tǒng)管理員和安全管理員應(yīng)將事發(fā)經(jīng)過、處置結(jié) 果等在調(diào)查工作結(jié)束后一日內(nèi)報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組。(5)技術(shù)措施：查看是否存在黑客程序及非法進(jìn)程，用殺毒軟件，360木馬查殺工具，以及手工方法清除非法程序，若安全管理員、系 統(tǒng)管理員、應(yīng)用管理員不能完全清除黑客程序， 安全管理員應(yīng)及時(shí)報(bào) 告信息網(wǎng)絡(luò)事件應(yīng)急小組，請(qǐng)求安全廠

9、商及安全技術(shù)支持協(xié)助排除， 或根據(jù)技術(shù)支持的建議進(jìn)行重新安裝操作系統(tǒng)和應(yīng)用系統(tǒng)。5、服務(wù)器硬件故障應(yīng)急預(yù)案(1)發(fā)生服務(wù)器設(shè)備硬件故障后，安全管理員和系統(tǒng)管理員應(yīng) 及時(shí)報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組，并組織查找、確定故障設(shè)備及故障 原因，進(jìn)行先期處置。(2)根據(jù)系統(tǒng)恢復(fù)應(yīng)急預(yù)案，確定故障的服務(wù)器上的應(yīng)用系統(tǒng) 的應(yīng)急恢復(fù)措施。(3)處置結(jié)束后，系統(tǒng)管理員應(yīng)將事發(fā)經(jīng)過、處置結(jié)果等在調(diào) 查工作結(jié)束后一日內(nèi)報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組。(4)技術(shù)措施：初步判斷硬件故障的方法，觀察系統(tǒng)能否正常 啟動(dòng)，記錄啟動(dòng)時(shí)顯示器屏幕上的提示信息， 記錄服務(wù)器狀態(tài)指示燈 狀態(tài)，記錄系統(tǒng)狀態(tài)顯示屏上的信息，安全管理員、系統(tǒng)管理員

10、初步 判斷服務(wù)器硬件故障后，咨詢硬件管理員、硬件廠商、技術(shù)支持確定 硬件故障的具體原因和故障部件，并聯(lián)系進(jìn)行維修。6、業(yè)務(wù)數(shù)據(jù)損壞應(yīng)急預(yù)案發(fā)生業(yè)務(wù)數(shù)據(jù)損壞時(shí)，系統(tǒng)管理員和應(yīng)用管理員應(yīng)及時(shí)報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組，檢查、備份業(yè)務(wù)系統(tǒng)當(dāng)前數(shù)據(jù)。系統(tǒng)管理員負(fù)責(zé)調(diào)用備份服務(wù)器備份數(shù)據(jù)，若備份數(shù)據(jù)損壞， 調(diào)用異地備份數(shù)據(jù)，應(yīng)用管理員應(yīng)配合系統(tǒng)管理員完成數(shù)據(jù)恢復(fù)工作。系統(tǒng)管理員和應(yīng)用管理員應(yīng)待業(yè)務(wù)數(shù)據(jù)系統(tǒng)恢復(fù)后，檢查歷史 數(shù)據(jù)和當(dāng)前數(shù)據(jù)的差別，由相關(guān)系統(tǒng)操作員補(bǔ)錄數(shù)據(jù)；重新備份數(shù)據(jù), 并寫出故障分析報(bào)告，在調(diào)查工作結(jié)束后一日內(nèi)報(bào)告信息網(wǎng)絡(luò)事件應(yīng) 急小組。7、重大事故報(bào)警制度網(wǎng)站出現(xiàn)嚴(yán)重的非法或有害信息，政府類網(wǎng)站出現(xiàn)嚴(yán)重被篡改 的情況，系統(tǒng)管理員和安全管理