1、服務器管理應急預案服務器系統故障應急預案1、服務器應用系統出現故障，系統恢復應急預案(1)當服務器應用系統出現故障，安全管理員、系統管理員、應 用管理員應當立即初步確定故障的嚴重程度， 估計出現故障的應用系 統故障排除需要的時間，并根據應用系統需要保障的無故障運行時 間，采取不同的應用系統恢復策略。(2)如果應用系統不能停機，立即啟用熱備份系統進行工作。如果應用系統不能停機，而故障又可以在 10分鐘之內排除，那 么安全管理員指導系統管理員和應用管理員立即排除故障，恢復系統 正常運行。應用系統可以停機而故障又可以在2小時內排除，安全管理員， 應該斷開服務器的網絡連接，配合系統管理員和應用管理員，

2、處理服 務器故障，盡快排除故障，恢復系統運行。應用系統可以停機但故障排除不能在2小時之內完成，而應用系 統有冷備份系統，安全管理員，應該斷開服務器的網絡連接，通知系 統管理員和應用管理員啟動冷備份系統，完成應用系統的安裝、設置, 并進行數據的恢復，保證系統正常運行。應用系統可以停機，而又沒有冷備份的應用系統，那么安全管理 員應該通知系統管理員和應用管理員，備份現有系統的數據和程序， 如果不能進行備份系統的數據和程序，安全管理員應該從備份管理員 那里得到應用系統的最新備份。安全管理員在確定了應用系統有備份 的情況下，通知系統管理員重新修復或安裝操作系統，并配合應用管理員重新安裝或修復應用系統并恢

3、復最新備份的數據。如果備份丟失 或不存在，安全管理員應該報告信息網絡事件應急小組，并求助技術 支持商，完成對硬盤數據的恢復。(3)備份管理員在應用系統出現故障時，應該及時查找本地的數據備份，本地的數據備份損壞或丟失，應該立即從異地數據備份復制 應用系統的數據備份到本地。(4)系統管理員和應用管理員應在確認安全的情況下，重新啟動故障服務器系統；重啟系統成功，則檢查數據丟失情況，利用備份數 據恢復；若重啟失敗，立即聯系相關廠商和技術支持，請求援助，分 析故障原因，若經設備廠商或技術支持認定是硬件損壞，那么需要請 求廠商更具維修協議,進行保修或維修。在服務器硬件正常的情況下, 盡快做好系統軟件的恢復

4、或重新安裝，之后再進行應用軟件的恢復或 重新安裝，再進行應用系統的數據恢復，應用系統完全恢復正常運行 后，重新啟用恢復的應用系統服務器，再將備用系統停掉。2.不良信息和網絡病毒事件應急預案(1)發現不良信息或網絡病毒時，系統管理員應立即斷開網線,終止不良信息或網絡病毒傳播，并報告信息網絡事件應急小組。(2)安全管理員應采取隔離網絡等措施，協助系統管理員和應用管理員及時殺毒、排除不良信息.追查不良信息來源，并估計出故 障排除的時間，然后根據服務器應用系統的重要級別，采取不同的措 施。(3)事態或后果嚴重的，信息網絡事件應急小組應及時報告上級主領導。(4)處置結束后，安全管理員和事發部門應將事發經

5、過.造成影響、處置結果在調查工作結束后一日內書面報告信息網絡事件應 急小組主任。(5)應急預案技術措施，如果出現網絡病毒，系統管理員采用 瑞星殺毒軟件或卡巴斯基殺毒軟件和 360木馬查殺工具，對整個計 算機進行殺毒。對不能確定是否為病毒的文件，應該詢問安全管理員 和應用程序員來確定。如果出現不良信息，安全管理、系統管理員程 序管理員要設法找到不良信息的文件或不良信息存在數據庫中的位 置，對非法信息，進行手工刪除，或編程刪除，若不能清除，采用程 序和數據備份進行恢復。3、軟件系統故障應急預案(1)發生服務器軟件系統故障后，安全管理員、系統管理員、 應用管理員應立即對服務器進行查看，分析故障原因，

6、采取并及時報 告信息網絡事件應急小組；同時安排將故障服務器脫離網絡，保存系 統狀態不變，取出系統鏡像備份磁盤，保持原始數據，按照系統恢復 應急預案進行。(2)事態或后果嚴重的，信息網絡事件應急小組。(3)處置結束后，系統管理員應將事發經過、處置結果等在調 查工作結束后一日內報告信息網絡事件應急小組。(4)技術措施：安全管理員、系統管理員、應用管理員在故障 發生后立即查看服務器系統狀態，如果是系統軟件出現故障，并且能 進入系統，且可以清晰定位故障原因，并可以立即排除，那么立即進 行排除。如果估計在3小時之內都不能定位故障原因，那么報告信息 網絡事件應急小組，請求系統軟件廠商及技術支持協助排除，

7、或根據 技術支持的建議進行重新安裝操作系統和應用系統。 排除操作系統故 障的方法，檢查操作系統進程是否都正常，有無非法進程，操作系統 文件有無損壞丟失，是否受到病毒和木馬程序侵害，黑客攻擊。如果不是操作系統故障，安全管理員應該只是應用管理員對應用 系統進行檢查，檢查方法，查看應用系統代碼和數據是否被破壞，損 壞，丟失，如果丟失，從正確的備份進行恢復。4、黑客攻擊事件應急預案 當發現網絡被非法入侵、網頁內容被篡改，應用服務器上的 數據被非法拷貝、修改、刪除，或通過入侵檢測系統發現有黑客正在 進行攻擊時，使用者或管理者應斷開網絡，并立即報告信息網絡事件 應急小組。 接報告后，信息網絡事件應急小組應

8、立即指令系統管理員和 安全管理員核實情況，關閉服務器或系統，封鎖或刪除被攻破的登陸 帳號，阻斷可疑用戶進入網絡的通道。系統管理員應及時清理系統，恢復數據、程序，恢復系統和 網絡正常；情況嚴重的，不能準確判斷黑客攻擊行為和采取防護和阻 斷措施的，報告網絡事件應急小組，并請求支援。處置結束后，系統管理員和安全管理員應將事發經過、處置 結果等在調查工作結束后一日內報告信息網絡事件應急小組。(5)技術措施：查看是否存在黑客程序及非法進程，用殺毒軟件， 360木馬查殺工具，以及手工方法清除非法程序，若安全管理員、系 統管理員、應用管理員不能完全清除黑客程序， 安全管理員應及時報告信息網絡事件應急小組，請

9、求安全廠商及安全技術支持協助排除，或根據技術支持的建議進行重新安裝操作系統和應用系統。5、服務器硬件故障應急預案(1)發生服務器設備硬件故障后，安全管理員和系統管理員應 及時報告信息網絡事件應急小組，并組織查找、確定故障設備及故障 原因，進行先期處置。(2)根據系統恢復應急預案，確定故障的服務器上的應用系統 的應急恢復措施。(3)處置結束后，系統管理員應將事發經過、處置結果等在調 查工作結束后一日內報告信息網絡事件應急小組。(4)技術措施：初步判斷硬件故障的方法，觀察系統能否正常 啟動，記錄啟動時顯示器屏幕上的提示信息， 記錄服務器狀態指示燈 狀態，記錄系統狀態顯示屏上的信息，安全管理員、系統

10、管理員初步 判斷服務器硬件故障后，咨詢硬件管理員、硬件廠商、技術支持確定 硬件故障的具體原因和故障部件，并聯系進行維修。5、業務數據損壞應急預案發生業務數據損壞時，系統管理員和應用管理員應及時報告 信息網絡事件應急小組，檢查、備份業務系統當前數據。系統管理員負責調用備份服務器備份數據，若備份數據損壞， 調用異地備份數據，應用管理員應配合系統管理員完成數據恢復工 作。系統管理員和應用管理員應待業務數據系統恢復后，檢查歷史 數據和當前數據的差別，由相關系統操作員補錄數據；重新備份數據, 并寫出故障分析報告，在調查工作結束后一日內報告信息網絡事件應 急小組。6、重大事故報警制度網站出現嚴重的非法或有害信息，政府類網站出現嚴重被篡改 的情況，系統管理員和安全管