服務(wù)器系統(tǒng)故障應(yīng)急預(yù)案

1、服務(wù)器系統(tǒng)故障應(yīng)急預(yù)案1、服務(wù)器應(yīng)用系統(tǒng)出現(xiàn)故障，系統(tǒng)恢復(fù)應(yīng)急預(yù)案(1)當服務(wù)器應(yīng)用系統(tǒng)出現(xiàn)故障，安全管理員、系統(tǒng)管理員、應(yīng)用管理員應(yīng)當立即初步確定故障的嚴重程度，估計出現(xiàn)故障的應(yīng)用系統(tǒng)故障排除需要的時間，并根據(jù)應(yīng)用系統(tǒng)需要保障的無故障運行時間，采取不同的應(yīng)用系統(tǒng)恢復(fù)策略。(2)如果應(yīng)用系統(tǒng)不能停機，立即啟用熱備份系統(tǒng)進行工作。系統(tǒng)不能停機，而故障又可以在10分鐘之內(nèi)排除，那么安全管理員指導(dǎo)系統(tǒng)管理員和應(yīng)用管理員立即排除故障，恢復(fù)系統(tǒng)正常運行。應(yīng)用系統(tǒng)可以停機而故障又可以在2小時內(nèi)排除，安全管理員，應(yīng)該斷開服務(wù)器的網(wǎng)絡(luò)連接，配合系統(tǒng)管理員和應(yīng)用管理員，處理服務(wù)器故障，盡快排除故障，恢復(fù)系統(tǒng)運行

2、。應(yīng)用系統(tǒng)可以停機但故障排除不能在2小時之內(nèi)完成，而應(yīng)用系統(tǒng)有冷備份系統(tǒng)，安全管理員，應(yīng)該斷開服務(wù)器的網(wǎng)絡(luò)連接，通知系統(tǒng)管理員和應(yīng)用管理員啟動冷備份系統(tǒng)，完成應(yīng)用系統(tǒng)的安裝、設(shè)置，并進行數(shù)據(jù)的恢復(fù),保證系統(tǒng)正常運行。應(yīng)用系統(tǒng)可以停機，而又沒有冷備份的應(yīng)用系統(tǒng)，那么安全管理員應(yīng)該通知系統(tǒng)管理員和應(yīng)用管理員，備份現(xiàn)有系統(tǒng)的數(shù)據(jù)和程序，如果不能進行備份系統(tǒng)的數(shù)據(jù)和程序，安全管理員應(yīng)該從備份管理員那里得到應(yīng)用系統(tǒng)的最新備份。安全管理員在確定了應(yīng)用系統(tǒng)有備份的情況下，通知系統(tǒng)管理員如果應(yīng)用重新修復(fù)或安裝操作系統(tǒng)，并配合應(yīng)用管理員重新安裝或修復(fù)應(yīng)用系統(tǒng)并恢復(fù)最新備份的數(shù)據(jù)。如果備份丟失或不存在，安全管理員

3、應(yīng)該報告信息網(wǎng)絡(luò)事件應(yīng)急小組，并求助技術(shù)支持商，完成對硬盤數(shù)據(jù)的恢復(fù)。(3)備份管理員在應(yīng)用系統(tǒng)出現(xiàn)故障時， 應(yīng)該及時查找本地的數(shù)據(jù)備份， 本地的數(shù)據(jù)備份損壞或丟失， 應(yīng)該立即從異地數(shù)據(jù)備份復(fù)制應(yīng)用系統(tǒng)的數(shù)據(jù) 備份到本地。(4)系統(tǒng)管理員和應(yīng)用管理員應(yīng)在確認安全的情況下， 重新啟動故障服 務(wù)器系統(tǒng)；重啟系統(tǒng)成功，則檢查數(shù)據(jù)丟失情況，利用備份數(shù)據(jù)恢復(fù)；若重 啟失敗，立即聯(lián)系相關(guān)廠商和技術(shù)支持，請求援助，分析故障原因，若經(jīng)設(shè) 備廠商或技術(shù)支持認定是硬件損壞，那么需要請求廠商更具維修協(xié)議，進行 保修或維修。在服務(wù)器硬件正常的情況下，盡快做好系統(tǒng)軟件的恢復(fù)或重新 安裝，之后再進行應(yīng)用軟件的恢復(fù)或重新安

4、裝， 再進行應(yīng)用系統(tǒng)的數(shù)據(jù)恢復(fù)， 應(yīng)用系統(tǒng)完全恢復(fù)正常運行后，重新啟用恢復(fù)的應(yīng)用系統(tǒng)服務(wù)器，再將備用 系統(tǒng)停掉。2、不良信息和網(wǎng)絡(luò)病毒事件應(yīng)急預(yù)案1)發(fā)現(xiàn)不良信息或網(wǎng)絡(luò)病毒時，系統(tǒng)管理員應(yīng)立即斷開網(wǎng)線，終止不良信息或網(wǎng)絡(luò)病毒傳播，并報告信息網(wǎng)絡(luò)事件應(yīng)急小組。2)安全管理員應(yīng)采取隔離網(wǎng)絡(luò)等措施，協(xié)助系統(tǒng)管理員和應(yīng)用管理員及時殺毒、排除不良信息、追查不良信息來源， 并估計出故障排除的時間， 然后根據(jù)服務(wù)器應(yīng)用系統(tǒng)的重要級別，采取不同的措施。3)事態(tài)或后果嚴重的，信息網(wǎng)絡(luò)事件應(yīng)急小組應(yīng)及時報告上級主管領(lǐng)導(dǎo)。4)處置結(jié)束后,安全管理員和事發(fā)部門應(yīng)將事發(fā)經(jīng)過、造成影響、處置結(jié)果在調(diào)查工作結(jié)束后一日內(nèi)書面

5、報告信息網(wǎng)絡(luò)事件應(yīng)急小組主任。5）應(yīng)急預(yù)案技術(shù)措施，如果出現(xiàn)網(wǎng)絡(luò)病毒，系統(tǒng)管理員采用瑞星殺毒軟件或卡巴斯基殺毒軟件和360木馬查殺工具，對整個計算機進行殺毒。對不能確定是否為病毒的文件，應(yīng)該詢問安全管理員和應(yīng)用程序員來確定。如果出現(xiàn)不良信息，安全管理、系統(tǒng)管理員程序管理員要設(shè)法找到不良信息 的文件或不良信息存在數(shù)據(jù)庫中的位置，對非法信息，進行手工刪除，或編 程刪除，若不能清除，采用程序和數(shù)據(jù)備份進行恢復(fù)。3、軟件系統(tǒng)故障應(yīng)急預(yù)案1） 發(fā)生服務(wù)器軟件系統(tǒng)故障后，安全管理員、系統(tǒng)管理員、應(yīng)用管理員應(yīng)立即對服務(wù)器進行查看，分析故障原因，采取并及時報告信息網(wǎng)絡(luò)事 件應(yīng)急小組；同時安排將故障服務(wù)器脫離網(wǎng)

6、絡(luò)，保存系統(tǒng)狀態(tài)不變，取出系 統(tǒng)鏡像備份磁盤，保持原始數(shù)據(jù)，按照系統(tǒng)恢復(fù)應(yīng)急預(yù)案進行。2）事態(tài)或后果嚴重的，信息網(wǎng)絡(luò)事件應(yīng)急小組。3）處置結(jié)束后,系統(tǒng)管理員應(yīng)將事發(fā)經(jīng)過、處置結(jié)果等在調(diào)查工作結(jié)束后一日內(nèi)報告信息網(wǎng)絡(luò)事件應(yīng)急小組。4）技術(shù)措施：安全管理員、系統(tǒng)管理員、應(yīng)用管理員在故障發(fā)生后立即查看服務(wù)器系統(tǒng)狀態(tài)，如果是系統(tǒng)軟件出現(xiàn)故障，并且能進入系統(tǒng)，且 可以清晰定位故障原因，并可以立即排除，那么立即進行排除。如果估計在3小時之內(nèi)都不能定位故障原因，那么報告信息網(wǎng)絡(luò)事件應(yīng)急小組，請求系 統(tǒng)軟件廠商及技術(shù)支持協(xié)助排除， 或根據(jù)技術(shù)支持的建議進行重新安裝操作 系統(tǒng)和應(yīng)用系統(tǒng)。排除操作系統(tǒng)故障的方法，

7、 檢查操作系統(tǒng)進程是否都正常， 有無非法進程， 操作系統(tǒng)文件有無損壞丟失， 是否受到病毒和木馬程序侵害， 黑客攻擊。如果不是操作系統(tǒng)故障，安全管理員應(yīng)該只是應(yīng)用管理員對應(yīng)用系統(tǒng)進 行檢查，檢查方法，查看應(yīng)用系統(tǒng)代碼和數(shù)據(jù)是否被破壞，損壞，丟失，如 果丟失，從正確的備份進行恢復(fù)。4、 黑客攻擊事件應(yīng)急預(yù)案 當發(fā)現(xiàn)網(wǎng)絡(luò)被非法入侵、網(wǎng)頁內(nèi)容被篡改，應(yīng)用服務(wù)器上的數(shù)據(jù)被 非法拷貝、修改、刪除，或通過入侵檢測系統(tǒng)發(fā)現(xiàn)有黑客正在進行攻擊時，使用者或管理者應(yīng)斷開網(wǎng)絡(luò)，并立即報告信息網(wǎng)絡(luò)事件應(yīng)急小組。 接報告后，信息網(wǎng)絡(luò)事件應(yīng)急小組應(yīng)立即指令系統(tǒng)管理員和安全管 理員核實情況，關(guān)閉服務(wù)器或系統(tǒng)，封鎖或刪除被攻破

8、的登陸帳號，阻斷可 疑用戶進入網(wǎng)絡(luò)的通道。 系統(tǒng)管理員應(yīng)及時清理系統(tǒng)，恢復(fù)數(shù)據(jù)、程序，恢復(fù)系統(tǒng)和網(wǎng)絡(luò)正 常；情況嚴重的，不能準確判斷黑客攻擊行為和采取防護和阻斷措施的，報 告網(wǎng)絡(luò)事件應(yīng)急小組，并請求支援。 處置結(jié)束后,系統(tǒng)管理員和安全管理員應(yīng)將事發(fā)經(jīng)過、處置結(jié)果等在調(diào)查工作結(jié)束后一日內(nèi)報告信息網(wǎng)絡(luò)事件應(yīng)急小組。(5)技術(shù)措施：查看是否存在黑客程序及非法進程，用殺毒軟件，木馬查殺工具，以及手工方法清除非法程序，若安全管理員、系統(tǒng)管理員、應(yīng)用管理員不能完全清除黑客程序， 安全管理員應(yīng)及時報告信息網(wǎng)絡(luò)事件應(yīng) 急小組，請求安全廠商及安全技術(shù)支持協(xié)助排除，或根據(jù)技術(shù)支持的建議進 行重新安裝操作系統(tǒng)和應(yīng)用

9、系統(tǒng)。5、服務(wù)器硬件故障應(yīng)急預(yù)案1)發(fā)生服務(wù)器設(shè)備硬件故障后，安全管理員和系統(tǒng)管理員應(yīng)及時報告信息網(wǎng)絡(luò)事件應(yīng)急小組，并組織查找、確定故障設(shè)備及故障原因，進行先 期處置。2）根據(jù)系統(tǒng)恢復(fù)應(yīng)急預(yù)案，確定故障的服務(wù)器上的應(yīng)用系統(tǒng)的應(yīng)急恢復(fù)措施。3）處置結(jié)束后,系統(tǒng)管理員應(yīng)將事發(fā)經(jīng)過、處置結(jié)果等在調(diào)查工作360結(jié)束后一日內(nèi)報告信息網(wǎng)絡(luò)事件應(yīng)急小組。4）技術(shù)措施：初步判斷硬件故障的方法，觀察系統(tǒng)能否正常啟動，記錄啟動時顯示器屏幕上的提示信息，記錄服務(wù)器狀態(tài)指示燈狀態(tài)，記錄系 統(tǒng)狀態(tài)顯示屏上的信息，安全管理員、系統(tǒng)管理員初步判斷服務(wù)器硬件故障 后，咨詢硬件管理員、硬件廠商、技術(shù)支持確定硬件故障的具體原因和故障 部件，并聯(lián)系進行維修。6、業(yè)務(wù)數(shù)據(jù)損壞應(yīng)急預(yù)案 發(fā)生業(yè)務(wù)數(shù)據(jù)損壞時，系統(tǒng)管理員和應(yīng)用管理員應(yīng)及時報告信息網(wǎng) 絡(luò)事件應(yīng)急小組，檢查、備份業(yè)務(wù)系統(tǒng)當前數(shù)據(jù)。系統(tǒng)管理員負責(zé)調(diào)用備份服務(wù)器備份數(shù)據(jù)，若備份數(shù)據(jù)損壞，調(diào)用異 地備份數(shù)據(jù)，應(yīng)用管理員應(yīng)配合系統(tǒng)管理員完成數(shù)據(jù)恢復(fù)工作。系統(tǒng)管理員和應(yīng)用管理員應(yīng)待業(yè)務(wù)數(shù)據(jù)系統(tǒng)恢復(fù)后， 檢查歷史數(shù)據(jù)和 當前數(shù)據(jù)的差別，由相關(guān)系統(tǒng)操作員補錄數(shù)據(jù)；重新備份數(shù)據(jù)，并寫出故障 分析報告，在調(diào)查工作結(jié)束后一日內(nèi)報告信息網(wǎng)絡(luò)事件應(yīng)急小組。7、重大事故報警制度網(wǎng)站出現(xiàn)嚴重的非法或有害信息， 政府類網(wǎng)站出現(xiàn)嚴重被篡改的情況， 系統(tǒng)管理員和安全管理員應(yīng)該