服務(wù)器系統(tǒng)故障應(yīng)急預(yù)案

1、服務(wù)器系統(tǒng)故障應(yīng)急預(yù)案1、服務(wù)器應(yīng)用系統(tǒng)出現(xiàn)故障，系統(tǒng)恢復(fù)應(yīng)急預(yù)案(1)當(dāng)服務(wù)器應(yīng)用系統(tǒng)出現(xiàn)故障，安全管理員、系統(tǒng)管理員、應(yīng) 用管理員應(yīng)當(dāng)立即初步確定故障的嚴(yán)重程度， 估計(jì)出現(xiàn)故障的應(yīng)用系 統(tǒng)故障排除需要的時(shí)間，并根據(jù)應(yīng)用系統(tǒng)需要保障的無故障運(yùn)行時(shí) 間，采取不同的應(yīng)用系統(tǒng)恢復(fù)策略。(2)如果應(yīng)用系統(tǒng)不能停機(jī)，立即啟用熱備份系統(tǒng)進(jìn)行工作。如果應(yīng)用系統(tǒng)不能停機(jī)，而故障又可以在 10分鐘之內(nèi)排除，那么安全 管理員指導(dǎo)系統(tǒng)管理員和應(yīng)用管理員立即排除故障，恢復(fù)系統(tǒng)正常運(yùn) 行。應(yīng)用系統(tǒng)可以停機(jī)而故障又可以在2小時(shí)內(nèi)排除，安全管理員， 應(yīng)該斷開服務(wù)器的網(wǎng)絡(luò)連接，配合系統(tǒng)管理員和應(yīng)用管理員，處理服 務(wù)器故障，

2、盡快排除故障，恢復(fù)系統(tǒng)運(yùn)行。應(yīng)用系統(tǒng)可以停機(jī)但故障排除不能在2小時(shí)之內(nèi)完成，而應(yīng)用系 統(tǒng)有冷備份系統(tǒng)，安全管理員，應(yīng)該斷開服務(wù)器的網(wǎng)絡(luò)連接，通知系 統(tǒng)管理員和應(yīng)用管理員啟動(dòng)冷備份系統(tǒng)，完成應(yīng)用系統(tǒng)的安裝、設(shè)置, 并進(jìn)行數(shù)據(jù)的恢復(fù)，保證系統(tǒng)正常運(yùn)行。應(yīng)用系統(tǒng)可以停機(jī)，而又沒有冷備份的應(yīng)用系統(tǒng)，那么安全管理 員應(yīng)該通知系統(tǒng)管理員和應(yīng)用管理員，備份現(xiàn)有系統(tǒng)的數(shù)據(jù)和程序， 如果不能進(jìn)行備份系統(tǒng)的數(shù)據(jù)和程序，安全管理員應(yīng)該從備份管理員 那里得到應(yīng)用系統(tǒng)的最新備份。安全管理員在確定了應(yīng)用系統(tǒng)有備份 的情況下，通知系統(tǒng)管理員重新修復(fù)或安裝操作系統(tǒng)，并配合應(yīng)用管理員重新安裝或修復(fù)應(yīng)用系統(tǒng)并恢復(fù)最新備份的數(shù)據(jù)。

3、如果備份丟失或不存在，安全管理員應(yīng)該報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組，并求助技術(shù)支持商，完成對(duì)硬盤數(shù)據(jù)的恢復(fù)。(3)備份管理員在應(yīng)用系統(tǒng)出現(xiàn)故障時(shí)，應(yīng)該及時(shí)查找本地的數(shù)據(jù)備份， 本地的數(shù)據(jù)備份損壞或丟失，應(yīng)該立即從異地?cái)?shù)據(jù)備份復(fù)制應(yīng)用系統(tǒng)的數(shù)據(jù)備份到本地。(4) 系統(tǒng)管理員和應(yīng)用管理員應(yīng)在確認(rèn)安全的情況下，重新啟動(dòng)故障服務(wù)器系統(tǒng)；重啟系統(tǒng)成功，則檢查數(shù)據(jù)丟失情況，利用備份數(shù)據(jù)恢復(fù)；若重啟失敗，立即聯(lián)系相關(guān)廠商和技術(shù)支持，請(qǐng)求援助，分析故障原因，若經(jīng)設(shè)備廠商或技術(shù)支持認(rèn)定是硬件損壞，那么需要請(qǐng)求廠商更具維修協(xié)議，進(jìn)行保修或維修。在服務(wù)器硬件正常的情況下，盡快做好系統(tǒng)軟件的恢復(fù)或重新安裝，之后再進(jìn)行應(yīng)用軟

4、件的恢復(fù)或重新安裝，再進(jìn)行應(yīng)用系統(tǒng)的數(shù)據(jù)恢復(fù)，應(yīng)用系統(tǒng)完全恢復(fù)正常運(yùn)行后，重新啟用恢復(fù)的應(yīng)用系統(tǒng)服務(wù)器，再將備用系統(tǒng)停掉。2、不良信息和網(wǎng)絡(luò)病毒事件應(yīng)急預(yù)案( 1) 發(fā)現(xiàn)不良信息或網(wǎng)絡(luò)病毒時(shí)，系統(tǒng)管理員應(yīng)立即斷開網(wǎng)線，終止不良信息或網(wǎng)絡(luò)病毒傳播，并報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組。( 2)安全管理員應(yīng)采取隔離網(wǎng)絡(luò)等措施，協(xié)助系統(tǒng)管理員和應(yīng)用管理員及時(shí)殺毒、排除不良信息、追查不良信息來源，并估計(jì)出故障排除的時(shí)間，然后根據(jù)服務(wù)器應(yīng)用系統(tǒng)的重要級(jí)別，采取不同的措施。級(jí)主管領(lǐng)導(dǎo)。（ 4）處置結(jié)束后, 安全管理員和事發(fā)部門應(yīng)將事發(fā)經(jīng)過、造成影響、 處置結(jié)果在調(diào)查工作結(jié)束后一日內(nèi)書面報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組主任。

5、（ 5）應(yīng)急預(yù)案技術(shù)措施，如果出現(xiàn)網(wǎng)絡(luò)病毒，系統(tǒng)管理員采用瑞星殺毒軟件或卡巴斯基殺毒軟件和360 木馬查殺工具，對(duì)整個(gè)計(jì)算機(jī)進(jìn)行殺毒。對(duì)不能確定是否為病毒的文件，應(yīng)該詢問安全管理員和應(yīng)用程序員來確定。如果出現(xiàn)不良信息，安全管理、系統(tǒng)管理員程序管理員要設(shè)法找到不良信息的文件或不良信息存在數(shù)據(jù)庫中的位置，對(duì)非法信息，進(jìn)行手工刪除，或編程刪除，若不能清除，采用程序和數(shù)據(jù)備份進(jìn)行恢復(fù)。3、軟件系統(tǒng)故障應(yīng)急預(yù)案（ 1） 發(fā)生服務(wù)器軟件系統(tǒng)故障后，安全管理員、系統(tǒng)管理員、應(yīng)用管理員應(yīng)立即對(duì)服務(wù)器進(jìn)行查看，分析故障原因，采取并及時(shí)報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組；同時(shí)安排將故障服務(wù)器脫離網(wǎng)絡(luò)，保存系統(tǒng)狀態(tài)不變，取出

6、系統(tǒng)鏡像備份磁盤，保持原始數(shù)據(jù)，按照系統(tǒng)恢復(fù)應(yīng)急預(yù)案進(jìn)行。（ 2）事態(tài)或后果嚴(yán)重的，信息網(wǎng)絡(luò)事件應(yīng)急小組。（ 3）處置結(jié)束后, 系統(tǒng)管理員應(yīng)將事發(fā)經(jīng)過、處置結(jié)果等在調(diào)查工作結(jié)束后一日內(nèi)報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組。（ 4）技術(shù)措施：安全管理員、系統(tǒng)管理員、應(yīng)用管理員在故障發(fā)生后立即查看服務(wù)器系統(tǒng)狀態(tài)，如果是系統(tǒng)軟件出現(xiàn)故障，并且能進(jìn)入系統(tǒng)，且可以清晰定位故障原因，并可以立即排除，那么立即進(jìn)行排除。 如果估計(jì)在3 小時(shí)之內(nèi)都不能定位故障原因，那么報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組，請(qǐng)求系統(tǒng)軟件廠商及技術(shù)支持協(xié)助排除，或根據(jù)技術(shù)支持的建議進(jìn)行重新安裝操作系統(tǒng)和應(yīng)用系統(tǒng)。排除操作系統(tǒng)故障的方法，檢查操作系統(tǒng)進(jìn)程是

7、否都正常，有無非法進(jìn)程，操作系統(tǒng)文件有無損壞丟失，是否受到病毒和木馬程序侵害，黑客攻擊。如果不是操作系統(tǒng)故障，安全管理員應(yīng)該只是應(yīng)用管理員對(duì)應(yīng)用系統(tǒng)進(jìn)行檢查，檢查方法，查看應(yīng)用系統(tǒng)代碼和數(shù)據(jù)是否被破壞，損壞，丟失，如果丟失，從正確的備份進(jìn)行恢復(fù)。4、 黑客攻擊事件應(yīng)急預(yù)案 當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)被非法入侵、網(wǎng)頁內(nèi)容被篡改，應(yīng)用服務(wù)器上的數(shù)據(jù)被非法拷貝、修改、刪除，或通過入侵檢測系統(tǒng)發(fā)現(xiàn)有黑客正在進(jìn)行攻擊時(shí)，使用者或管理者應(yīng)斷開網(wǎng)絡(luò)，并立即報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組。 接報(bào)告后，信息網(wǎng)絡(luò)事件應(yīng)急小組應(yīng)立即指令系統(tǒng)管理員和安全管理員核實(shí)情況，關(guān)閉服務(wù)器或系統(tǒng)，封鎖或刪除被攻破的登陸帳號(hào)，阻斷可疑用戶進(jìn)入網(wǎng)絡(luò)的通

8、道。 系統(tǒng)管理員應(yīng)及時(shí)清理系統(tǒng)，恢復(fù)數(shù)據(jù)、程序，恢復(fù)系統(tǒng)和網(wǎng)絡(luò)正常；情況嚴(yán)重的，不能準(zhǔn)確判斷黑客攻擊行為和采取防護(hù)和阻斷措施的，報(bào)告網(wǎng)絡(luò)事件應(yīng)急小組，并請(qǐng)求支援。 處置結(jié)束后, 系統(tǒng)管理員和安全管理員應(yīng)將事發(fā)經(jīng)過、處置結(jié)果等在調(diào)查工作結(jié)束后一日內(nèi)報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組。（5）技術(shù)措施：查看是否存在黑客程序及非法進(jìn)程，用殺毒軟件，360 木馬查殺工具，以及手工方法清除非法程序，若安全管理員、系統(tǒng)管理員、應(yīng)用管理員不能完全清除黑客程序，安全管理員應(yīng)及時(shí)報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組，請(qǐng)求安全廠商及安全技術(shù)支持協(xié)助排除，或根據(jù)技術(shù)支持的建議進(jìn)行重新安裝操作系統(tǒng)和應(yīng)用系統(tǒng)。5、服務(wù)器硬件故障應(yīng)急預(yù)案（ 1

9、）發(fā)生服務(wù)器設(shè)備硬件故障后，安全管理員和系統(tǒng)管理員應(yīng)及時(shí)報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組，并組織查找、確定故障設(shè)備及故障原因，進(jìn)行先期處置。（ 2）根據(jù)系統(tǒng)恢復(fù)應(yīng)急預(yù)案，確定故障的服務(wù)器上的應(yīng)用系統(tǒng)的應(yīng)急恢復(fù)措施。（ 3）處置結(jié)束后, 系統(tǒng)管理員應(yīng)將事發(fā)經(jīng)過、處置結(jié)果等在調(diào)查工作結(jié)束后一日內(nèi)報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組。（ 4）技術(shù)措施：初步判斷硬件故障的方法，觀察系統(tǒng)能否正常啟動(dòng)， 記錄啟動(dòng)時(shí)顯示器屏幕上的提示信息，記錄服務(wù)器狀態(tài)指示燈狀態(tài)，記錄系統(tǒng)狀態(tài)顯示屏上的信息，安全管理員、系統(tǒng)管理員初步判斷服務(wù)器硬件故障后，咨詢硬件管理員、硬件廠商、技術(shù)支持確定硬件故障的具體原因和故障部件，并聯(lián)系進(jìn)行維修。6、業(yè)務(wù)數(shù)據(jù)損壞應(yīng)急預(yù)案 發(fā)生業(yè)務(wù)數(shù)據(jù)損壞時(shí)，系統(tǒng)管理員和應(yīng)用管理員應(yīng)及時(shí)報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組，檢查、備份業(yè)務(wù)系統(tǒng)當(dāng)前數(shù)據(jù)。系統(tǒng)管理員負(fù)責(zé)調(diào)用備份服務(wù)器備份數(shù)據(jù)，若備份數(shù)據(jù)損壞,調(diào)用異地備份數(shù)據(jù)，應(yīng)用管理員應(yīng)配合系統(tǒng)管理員完成數(shù)據(jù)恢復(fù)工作。系統(tǒng)管理員和應(yīng)用管理員應(yīng)待業(yè)務(wù)數(shù)據(jù)系統(tǒng)恢復(fù)后，檢查歷史數(shù)據(jù)和當(dāng)前數(shù)據(jù)的差別，由相關(guān)系統(tǒng)操作員補(bǔ)錄數(shù)據(jù)；重新備份數(shù)據(jù)，并寫出故障分析報(bào)告，在調(diào)查工作結(jié)束后一日內(nèi)報(bào)告信息網(wǎng)絡(luò)事件應(yīng)急小組。7、重大事故報(bào)警制度網(wǎng)站出現(xiàn)嚴(yán)重的非法或有害信息，政府類網(wǎng)站出現(xiàn)嚴(yán)重被篡改的情況， 系統(tǒng)管理員和安全管理