銀行業(yè)務連續(xù)性和應急處理方案.doc

.XX銀行業(yè)務系統(tǒng)業(yè)務連續(xù)性和應急處理方案總 則業(yè)務系統(tǒng)的安全性是從技術角度與業(yè)務角度相互配合來保證，主要以防范為主，對于出現的突發(fā)事件必須有相應的組織機構來統(tǒng)一解決。為減少我行業(yè)務停頓造成的損失，降低重要業(yè)務進程和數據重大失效或災難的影響，應急恢復工作組應制定詳盡的應急計劃，并且分工明確責任清晰。制定應急計劃應分析災難、安全失效及服務停頓的影響，明確關鍵設備如重要服務器、網絡設備、通信線路以及軟件系統(tǒng)的備份恢復措施和每一部分需要恢復的時間。應急計劃應該明確針對不同情況的應急處理流程和恢復不同軟件硬件的操作規(guī)范，并且定期進行實地演練；用作備份的設備應保持設備完好，而且應隨時可以提供使用。應急計劃應該經我行領導的審批，當業(yè)務系統(tǒng)發(fā)生變動時應急計劃也應進行必要的修改、演練并獲得領導審批。第一章 應急反應工作組1. 應急反應工作組的建立原則應急反應工作組由業(yè)務部門與科技部相關人員組成，采取組長負責制。成員由專業(yè)技術人員與業(yè)務人員組成，應急反應工作組成員在業(yè)務、技術水平上具有足夠的能力處理緊急事件。各成員要具有良好的團隊精神，每位成員應有明確的責任劃分，在緊急事件出現時能夠全力配合，服從領導安排、具有協(xié)同解決問題的能力。應急反應工作組在人員配備上要充分考慮備份方案，對于關鍵性崗位采取雙人備份策略，以備在緊急情況發(fā)生時，保證關鍵崗位人員能順利到位。2. 應急反應工作組職能應急反應工作組職能主要包括根據業(yè)務需要確定業(yè)務系統(tǒng)的應急策略，并制定相應的應急計劃；在事件發(fā)生時負責組織相關人員排除故障并恢復系統(tǒng)；平時應負責督促檢查應急處理措施的準備落實情況；組織內部人員定期進行應急措施的培訓和演練；每年對系統(tǒng)的應急策略和應急計劃進行測試和評審，對需要修訂的項目提出修改意見報安全領導小組審批。3. 定期修改應急計劃與措施為了適應業(yè)務系統(tǒng)業(yè)務快速增長的需要，業(yè)務系統(tǒng)系統(tǒng)日益復雜化，因此應急反應工作組會定期對應急計劃與措施進行審計，檢查各種恢復措施，確保能夠從硬件、軟件、網絡、數據各個環(huán)節(jié)做到完整恢復。對于不斷擴充的系統(tǒng)要即時有效地補充、修改應急計劃與恢復措施，確保應急計劃的可行性與高效性。4. 注重業(yè)務連續(xù)性管理的過程根據業(yè)務系統(tǒng)交易及開戶等重要業(yè)務進程，對圍繞這些業(yè)務進程的軟件硬件設備分出先后確定重點，如Web、LDAP、我行數據庫等服務器及其運行的應用軟件和有關交換機、路由器等網絡設備停頓可能影響業(yè)務設備更大。確定具體的備份措施，并經常檢查備份措施的落實情況，保證對業(yè)務連續(xù)性的管理被整合到組織的流程和結構中。5. 定期測試應急恢復策略對應急恢復策略要定期進行測試，一方面確保應急恢復策略的正確性，另一方面保證應急反應工作組成員對應急措施能夠熟練掌握，確保應急恢復方案在故障發(fā)生后能夠迅速有效地進行恢復，將恢復時間縮短到最小。6. 定期進行應急恢復培訓對于不斷補充更新的應急計劃及恢復措施，要及時對應急反應工作組成員進行培訓，對各個環(huán)節(jié)出現的故障如何恢復進行培訓，確保成員對應急措的熟練掌握，在系統(tǒng)出現故障及業(yè)務出現疏漏時做到快速響應，達到快速解決問題的目的。7. 匯報機制對于安全事件引起的影響業(yè)務的問題，包括各種類型和不同嚴重程度的安全事件要根據第二章的有關要求及時上報，同時應急反應工作組按照應急計劃實施步驟開始工作。8. 法律咨詢對出現的安全問題要向專門的法律咨詢部門咨詢，及時討論解決方案，使問題最小化。9. 建立健全的溝通渠道應急反應工作組成員內部應建立健全的溝通機制，具有有效的聯絡方式，同時與硬件設備提供商、業(yè)務系統(tǒng)集成商等建立良好的溝通渠道，確保在問題出現時能夠及時通知廠商及集成商，確保問題能夠得到快速解決。第二章 安全事件管理通常應急處理工作總是由安全事件觸發(fā)的，建立事件管理的責任及程序，可以確保快速、有效和有序地做好應急處理工作。對安全事件管理是應注意以下幾點：1. 安全事件種類從表現形式分析安全事件可能會發(fā)生的安全事件種類，主要如下：1)信息系統(tǒng)失敗及服務丟失一般指硬件設備出現故障，通信線路出現故障，網絡配置丟失或出現錯誤，操作系統(tǒng)和數據庫系統(tǒng)軟件運行故障，業(yè)務應用程序運行故障等有關方面引起的信息系統(tǒng)不能正常運行甚至系統(tǒng)中斷，所提供部分或全部應用服務也不正?；蛲Ｖ埂Ｒ舶娫匆鸩糠只蛉肯到y(tǒng)癱瘓。2)拒絕服務一般指重要服務器受到惡性代碼的攻擊或病毒傳播感染，造成系統(tǒng)故障或中斷運行；防火墻及網絡設備等受到惡性代碼攻擊造成阻塞使應用系統(tǒng)無法正常運行或運行效率低下。3)因未完成或不準確的業(yè)務數據所引致的錯誤一般指應用數據丟失、密碼丟失、應用數據不正確而應用程序檢查不嚴格容錯能力又差，造成應用系統(tǒng)錯誤不能正常運行甚至中斷。另外還有計算機犯罪出現數據不準確引起的系統(tǒng)錯誤。4)泄密一般指計算的加密解密密鑰、加密解密參數、加密解密算法或函數、終端設備識別參數、IC卡的母卡及其存放介質和相關技術資料等；計算機系統(tǒng)所有源程序、網絡參數、客戶信息、用戶密碼、業(yè)務數據和相關的技術資料以及相應的存放介質等等被竊取，對系統(tǒng)造成威脅或已經造成損失，出現計算機犯罪現象。5)惡性事件一般指暴力、恐嚇、有意破壞以及自然災害等。2. 安全事件嚴重程度安全事件的嚴重程度可分為四級：1) 嚴重程度1級：事件發(fā)生后立即得到控制，并可消除影響或尚未造成明顯影響；2) 嚴重程度2級：事件發(fā)生造成系統(tǒng)30分鐘至2小時停頓；3) 嚴重程度3級：事件發(fā)生造成系統(tǒng)2小時至8小時停頓；4) 嚴重程度4級：事件發(fā)生造成系統(tǒng)8小時以上停頓。3. 安全事件后期處理對安全事件的處理除了正常應急計劃（用來第一時間恢復系統(tǒng)或服務）之外，還應包括：1) 分析及確定事件發(fā)生的原因；2) 補救方法的計劃及實施，以免再次發(fā)生；3) 收集審計追蹤及其它類似證據；4) 與受影響的、或與恢復事件的人員保持聯系；5) 把所作的行動報告有關部門。4. 安全事件證據保存對安全事件進行應急處理的同時，應注意收集審計追蹤及其它類似證據并保存妥善，主要用于：1) 內部分析事件使用；2) 作為破壞合同、違法或民事或犯罪訴訟（例如關于濫用計算機或數據保護條例）的證據；3) 索取軟件及服務供應商的賠償。此外，收集的證據要符合法律要求，一般應注意：1) 證據的適用性：證據是否能夠作為法庭證據；2) 證據的分量：證據的質量及完整性；3) 有足夠的證據證明在恢復證據時的時間內，系統(tǒng)正確及一致地存儲及處理控制（即進程控制的證據）。5. 安全事件恢復過程的管理進行應急處理，恢復安全事件所造成的破壞以及恢復系統(tǒng)失效的工作應進行嚴格管理，確保：1） 準許有明確指名的合法員工進入正在使用的系統(tǒng)及數據2） 詳細記錄所有緊急處理的過程和措失；3） 向電腦部領導報告所進行的應急恢復工作，并按照應急恢復策略要求有條不紊地進行；4） 業(yè)務系統(tǒng)應急恢復工作應在最短時間內確認故障并采取有效措施。6. 安全事件的報警關于向應急反應工作組報警。所有員工觀察到安全事件發(fā)生，不論嚴重程度和事件分類均有責任立即報告應急反應工作組值班人員。值班人員應記錄報告人姓名、報告時間、事件發(fā)生時間和地點，事件基本情況，對事件嚴重程度和分類的估計，以及已產生的影響情況等。7. 安全事件的初步報告應急反應工作組向上級的初步報告。應急反應工作組值班人員在接到安全事件報警并初步落實情況后，對于泄密及惡性事件、其它事件嚴重程度2級以上（包括2級）應立即向電腦部領導報告；對于泄密及惡性事件嚴重程度2級以上（包括2級）、其它事件嚴重程度3級以上（包括3級）應立即向行領導報告。報告的內容包括事件發(fā)生時間和地點，事件基本情況，初步認定的事件嚴重程度和分類，以及已產生和可能產生的影響情況，還有采取的應急恢復措施等。8. 安全事件的情況簡報應急反應工作組向上級的情況簡報。對于泄密及惡性事件嚴重程度3級以上（包括3級）、其它事件嚴重程度4級以上（包括4級），并且處理過程在8小時以上，應定期或不定期向上級的報告“情況簡報”。主要內容包括安全事件發(fā)展情況和應急處理進展情況。9. 安全事件的總結報告安全事件處理總結報告。所有泄密及惡性事件和嚴重程度2級以上（包括2級）的其它事件，均應寫出安全事件處理總結報告，并上報電腦部領導；對于泄密及惡性事件嚴重程度2級以上（包括2級）、其它事件嚴重程度3級以上（包括3級）應上報行領導。安全事件處理總結報告內容包括事件發(fā)生時間和地點，事件基本情況，認定的事件嚴重程度和分類，產生的影響情況，采取的應急恢復措施，造成的損失，事件的責任人員和部門等；還有教訓和需要改進的措施，以后避免事件重現的建議等。第三章 系統(tǒng)備份策略系統(tǒng)備份措施是為了防止業(yè)務停頓，以及保護重要業(yè)務進程不受重大失效或災難的影響，把業(yè)務因災難或安全失效（如來自于天災、意外、設備失效及故意破壞）的停頓降到可接受的程度。業(yè)務系統(tǒng)的主要備份策略如下：1. 服務器備份業(yè)務系統(tǒng)中的交易服務器與數據庫服務器是整個業(yè)務系統(tǒng)的關鍵部分，交易服務器、數據庫服務器均采用了雙機熱備份方案。要求每周進行一次自動切換測試。前置機、網頁服務器、LDAP服務器等設備作為交易和認證通道，對業(yè)務系統(tǒng)的運行同樣重要，采用冷備份方式。要求每月進行一次手工切換測試。防火墻服務器也應配有備份機，可以采用冷備份方式。要求每月進行一次手工切換測試。2. 網絡設備備份作為交易通道的核心交換機以及與各個分行支行連接、與后臺數據庫服務器連接通道的路由器均采用雙機熱備份方式，要求每周進行一次自動切換測試。有特殊要求的網絡設備和ASA防火墻等應采用冷備份機方式，平時按照運行設備做好相同的配置，要求每月進行一次手工切換測試。其他路由器等設備，應按一定比例留有備用機，并且保證備用機完好和隨時可替代使用。另外，所有網絡設備的配置文件都應有與當前狀況相符的備份，要有詳細的文檔資料記載，對于系統(tǒng)配置文件要以光盤形式備份，存放管理員處保管。3. 重要工作站備份重要工作站應該按每種類型留有一定比例的備用機，應保證備用機完好并隨時能夠替換使用。有特殊要求的重要工作站可以采用了冷備份機方式，按相同運行和應用環(huán)境進行配置，要求每月進行一次手工切換測試。另外，所有重要工作站的配置文件都應有與當前狀況相符的備份，要有詳細的文檔資料記載，對于系統(tǒng)配置文件要以光盤形式備份，存放管理員處保管。4. 上海清算中心我行線路備份我行與上海清算中心有聯通和電信各一條2M SDH線路，互為備份。5. 系統(tǒng)軟件備份系統(tǒng)軟件備份采用以下幾種方式：1） 有系統(tǒng)軟件（包括操作系統(tǒng)、數據庫系統(tǒng)、防火墻、入侵檢測等系統(tǒng)軟件，下同）介質，以及許可證等文件要有專人保管，存放管理員處保管，并且應該留有備份；2） 有備份機的應將生產環(huán)境備份設備上預先安裝與生產環(huán)境相同的系統(tǒng)軟件，同時應注意備份機要有專人保管，并且確保設備完好；3） 沒有備份機的而又比較重要的服務器系統(tǒng)軟件應進行全系統(tǒng)備份，并且經常進行備份，確保與當前狀況一致；全系統(tǒng)備份的介質應存放管理員處保管；4） 所有系統(tǒng)軟件設置參數文件都應備份保存，包括同一種系統(tǒng)軟件在不同應用情況下的設置參數文件的備份，并且要求與硬件設備一一對應。對于每種系統(tǒng)軟件的安裝配置步驟及安裝配置文件要有詳細的文檔資料記載，對于重要系統(tǒng)配置文件要以光盤形式備份，存放管理員處保管。6. 應用軟件備份應用軟件備份采用以下幾種方式：1） 有各種業(yè)務應用軟件介質，以及許可證、有關安裝等文件要有專人保管，存放管理員處保管，并且應該留有備份；2） 有備份機的應將生產環(huán)境備份設備上預先安裝與生產環(huán)境相同的系統(tǒng)軟件和應用軟件，同時應注意備份機要有專人保管，并且確保設備完好；3） 沒有備份機的而其應用又比較重要的，應對安裝該應用軟件的服務器系統(tǒng)軟件應用軟件一起進行全系統(tǒng)備份，并且經常進行備份，確保與當前狀況一致；全系統(tǒng)備份的介質應存放管理員處保管；4） 所有應用軟件設置參數文件都應備份保存，包括同一種應用軟件在不同系統(tǒng)環(huán)境下的設置參數文件的備份，并且要求與硬件設備一一對應。對于每種應用軟件的安裝配置步驟及安裝配置文件要有詳細的文檔資料記載，對于重要應用系統(tǒng)配置文件要以光盤形式備份，存放管理員處保管。7. 應用數據備份業(yè)務系統(tǒng)的應用數據庫數據應每天做一次增量備份，每星期進行完整備份，完整備份的介質一份保管在同一建筑物的不同樓層，一份送災難備份中心保管。業(yè)務系統(tǒng)應用數據還應采用下列方法：我行數據庫服務器采取雙機熱備份策略，確保一臺數據服務器損壞后另外一臺仍然能夠正常運行。每日還要對數據進行磁帶備份，備份數據需要由專人保管，備份數據一式兩份，一份存放在機房，便于數據中心出現緊急故障時進行恢復，另外一份異地放。第四章 應急恢復策略1. 服務器故障恢復在業(yè)務系統(tǒng)安全性問題中，業(yè)務系統(tǒng)中的交易服務器與數據庫服務器是整個業(yè)務系統(tǒng)的關鍵部分，交易服務器、數據庫服務器均采用了雙機熱備份方案，當其中一臺機器發(fā)生故障時，系統(tǒng)自動會切換到另外一臺機器上運行，應急反應工作組技術人員則要確定發(fā)生故障的硬件設備，與設備供應商及時聯系，對出現故障的設備盡快進行維修。考慮到企業(yè)前置機、網頁服務器、LDAP服務器等設備作為交易和認證通道，對業(yè)務系統(tǒng)的運行同樣重要。當這些硬件設備發(fā)生故障時，應急反應工作組成員將把與生產環(huán)境中安裝配置完全一樣的硬件設備進行更換，將故障設備送供應商維修。這項故障恢復應該在30分鐘內完成。2. 網絡設備故障恢復核心交換機和核心路由器均采用雙機熱備份方式，當其中一臺機器發(fā)生故障時，系統(tǒng)自動會切換到另外一臺機器上運行，應急反應工作組技術人員則要確定發(fā)生故障的網絡設備，與設備供應商及時聯系，對出現故障的設備盡快進行維修。對于有冷備份的網絡設備、ASA防火墻，當運行設備發(fā)生故障時，應急反應工作組技術人員需要手工切換到另外一臺機器上運行，還要確定網絡設備發(fā)生故障的原因，與設備供應商及時聯系，對出現故障的設備盡快進行維修。這項故障恢復應該在30分鐘內完成。當運行設備發(fā)生故障時，應急反應工作組技術人員需要根據保存的網絡設備的配置文件對備用設備導入和手工進行相應的設置，并將其接入系統(tǒng)運行；還要分析網絡設備發(fā)生故障的原因，與設備供應商及時聯系，對出現故障的設備盡快進行維修。這項故障恢復應該在60分鐘內完成。3. 重要工作站故障恢復當重要工作站運行設備發(fā)生故障時，應急反應工作組技術人員需要根據保存的重要工作站的配置文件對備用機進行相應的設置，并將其接入系統(tǒng)運行；還要分析網絡設備發(fā)生故障的原因，與設備供應商及時聯系，對出現故障的設備盡快進行維修。這項故障恢復應該在30分鐘內完成。有冷備份機的重要工作站發(fā)生故障時，應急反應工作組技術人員可以手工進行切換，并將其接入系統(tǒng)運行；還要分析網絡設備發(fā)生故障的原因，與設備供應商及時聯系，對出現故障的設備盡快進行維修。這項故障恢復應該在60分鐘內完成。4. 通信線路故障恢復當業(yè)務系統(tǒng)對外連接的通信線路發(fā)生故障時，應急反應工作組技術人員需要將備份線路接入系統(tǒng)運行；還要分析通信線路發(fā)生故障的原因，與設備供應商及時聯系，對出現故障的通信信路盡快進行維修。這項故障恢復應該在30分鐘內完成。5. 系統(tǒng)軟件故障恢復針對系統(tǒng)軟件故障恢復，業(yè)務系統(tǒng)采取如下幾種應急措施：第一種情況，已經在生產環(huán)境備份設備上有預先安裝與生產環(huán)境相同的系統(tǒng)軟件，在系統(tǒng)出現故障時，迅速將備份設備直接進行切換，減少出現故障時再次安裝調試帶來的延時。這項故障恢復應該在30分鐘內完成。第二種情況，有的服務器系統(tǒng)軟件已經做了全系統(tǒng)備份，在系統(tǒng)出現故障時，可以迅速進行全系統(tǒng)備份的恢復，減少出現故障時需要重新安裝系統(tǒng)軟件再進行系統(tǒng)參數以及調試帶來的延時。這項故障恢復應該在60分鐘內完成。第三種情況，需要重新安裝系統(tǒng)軟件，然后利用該服務器原有系統(tǒng)配置清單進行系統(tǒng)參數配置，可以減少出現故障時重新調試帶來的延時。這項故障恢復應該在90分鐘內完成。另外，應急反應工作組成員能夠與保管員建立良好的聯絡渠道，當備份設備上的系統(tǒng)軟件出現故障時，應急反應工作組成員應將系統(tǒng)軟件介質取出，盡快進行安裝調試。對于每種系統(tǒng)軟件的安裝配置步驟及安裝配置文件要有詳細的文檔資料記載，對于系統(tǒng)配置文件要以光盤形式備份，放管理員處保管，在緊急情況出現時，可以直接將配置文件拷貝到安裝好的系統(tǒng)中，縮短安裝配置時間，使系統(tǒng)恢復更加高效。6. 應用軟件故障恢復針對應用軟件故障恢復，采取如下措施：應用軟件是指在業(yè)務系統(tǒng)項目中開發(fā)的適合XX銀行業(yè)務特點的軟件系統(tǒng)。應用軟件以原碼方式與運行碼方式進行保存。在備份設備上預先安裝好與生產環(huán)境完全相同的應用軟件運行版，確保在出現故障時直接切換備份設備實現應用軟件的故障恢復。這項故障恢復應該在30分鐘內完成。當備份設備中的應用軟件出現故障時，應急反應工作組成員要及時與應用軟件保管員聯系，獲得應用軟件的運行版，對應用軟件進行安裝恢復。應用系統(tǒng)的安裝配置文件也要做好備份，以光盤與書面文檔資料形式分別進行備份并由專人保管，當應用系統(tǒng)出現故障時，應急反應工作組技術人員能夠直接恢復配置文件，達到應用系統(tǒng)的快速恢復。這項故障恢復應該在120分鐘內完成。7. 應用數據丟失恢復辦法應用數據是業(yè)務系統(tǒng)最重要的部分之一，我行數據中心采取雙機熱備份策略，確保一臺數據服務器損壞后另外一臺仍然能夠正常運行。另外，每日還要對數據進行磁帶備份，備份數據需要由專人保管，備份數據一式兩份，一份存放在機房，便于數據中心出現緊急故障時進行恢復，另外一份放在異地數據中心，保證在本地出現不可抗拒的自然災害時，仍能找到我行數據進行恢復。應急反應工作組成員要熟練掌握數據恢復方法及操作步驟。如果需要對服務器恢復應用數據，這項故障恢復應該在180分鐘內完成。8. 密碼丟失的處理辦法業(yè)務系統(tǒng)中子系統(tǒng)較多，對于任何一個子系統(tǒng)都需要對密碼進行嚴格管理，特別是對超級用戶密碼的管理顯得更加重要。我行各子系統(tǒng)的管理員分別由不同的人員擔任，避免權利過分集中帶來的安全隱患。XX銀行對密碼的管理采取專人保管策略，每個子系統(tǒng)的超級用戶口令由不同的系統(tǒng)管理員設置，并且將各子系統(tǒng)用戶名及密碼封存于信封內，蓋齊縫章分別交不同的保管員保管。當出現緊急情況需要超級用戶口令時，首先由原管理員登錄進入，如管理員不在或管理員遺忘系統(tǒng)口令時，經應急反應工作組組長批準，應急反應工作組成員可以從保管員處獲得某超級用戶口令登錄進入。對于應急反應工作組成員在緊急情況下使用系統(tǒng)超級用戶口令后，需要通知負責管理本系統(tǒng)的系統(tǒng)管理員及時更改超級用戶口令，杜絕安全隱患。9. 病毒應急處理在業(yè)務系統(tǒng)的服務器和工作站中發(fā)現計算機病毒時，應立即清除，如果事件發(fā)生后立即得到控制，并可消除了病毒影響或尚未造成明顯影響，可以繼續(xù)運行，但是應急反應工作組成員應繼續(xù)對其進行檢測。如果計算機病毒不能及時清除或造成明顯影響，應急反應工作組成員應依據有關故障恢復策略規(guī)定的相應措施，先將我行業(yè)務處理轉移到備份機工作，再對該機進行格式化重新安裝系統(tǒng)軟件和應用軟件，以及應用數據等，最后將該機接入運行系統(tǒng)恢復正常工作。第五章 應急計劃實施步驟應急反應工作組在建立應急計劃的同時，要制定切實可行的應急計劃實施步驟。應急實施步驟主要從以下幾方面考慮：1. 安全審計應急反應工作組的技術人員與業(yè)務人員要定期查看各種審計日志。技術人員要經常通過網絡安全檢測系統(tǒng)查看整個網絡運行狀況，檢查是否有入侵跡象；檢查各系統(tǒng)是否正常運行。應用系統(tǒng)對用戶發(fā)起的安全相關操作，產生日志記錄，安全管理員要定期監(jiān)控業(yè)務系統(tǒng)系統(tǒng)的運行狀態(tài)和日志，確定是否存在安全隱患。安全審計要從網絡安全、系統(tǒng)安全、應用安全、業(yè)務操作安全幾方面進行。2. 故障診斷應急反應工作組從不同渠道獲悉業(yè)務系統(tǒng)故障時，首先要進行故障診斷。故障診斷應按特定的步驟進行。根據提供的故障線索分析定位故障類型，對診斷出的故障類型按照應急計劃中相應的處理方法進行處理。在對故障進行診斷時，首先要確定是哪一層次的故障，對于網絡故障、系統(tǒng)故障和應用系統(tǒng)故障，由技術人員負責解決；對于業(yè)務操作流程疏漏帶來的故障由應急反應工作組