某某银行业务连续性和应急处理方案总结

1、XX银行业务系统业务连续性和应急处理方案总则业务系统的安全性是从技术角度与业务角度相互配合来保证，主 要以防范为主，对于出现的突发事件必须有相应的组织机构来统一解 决。为减少我行业务停顿造成的损失，降低重要业务进程和数据重大 失效或灾难的影响，应急恢复工作组应制定详尽的应急计划，并且分 工明确责任清晰。制定应急计划应分析灾难、安全失效及服务停顿的 影响，明确关键设备如重要服务器、网络设备、通信线路以及软件系 统的备份恢复措施和每一部分需要恢复的时间。应急计划应该明确针 对不同情况的应急处理流程和恢复不同软件硬件的操作规范，并且定 期进行实地演练；用作备份的设备应保持设备完好，而且应随时可以 提

2、供使用。应急计划应该经我行领导的审批，当业务系统发生变动时 应急计划也应进行必要的修改、演练并获得领导审批。第一章应急反应工作组应急反应工作组的建立原则应急反应工作组由业务部门与科技部相关人员组成，采取组长负 责制。成员由专业技术人员与业务人员组成，应急反应工作组成员在 业务、技术水平上具有足够的能力处理紧急事件。各成员要具有良好 的团队精神，每位成员应有明确的责任划分，在紧急事件出现时能够 全力配合，服从领导安排、具有协同解决问题的能力。应急反应工作 组在人员配备上要充分考虑备份方案，对于关键性岗位采取双人备份 策略，以备在紧急情况发生时，保证关键岗位人员能顺利到位。应急反应工作组职能应急反

3、应工作组职能主要包括根据业务需要确定业务系统的应 急策略，并制定相应的应急计划；在事件发生时负责组织相关人员排 除故障并恢复系统；平时应负责督促检查应急处理措施的准备落实情 况；组织内部人员定期进行应急措施的培训和演练；每年对系统的应 急策略和应急计划进行测试和评审，对需要修订的项目提出修改意见 报安全领导小组审批。定期修改应急计划与措施为了适应业务系统业务快速增长的需要，业务系统系统日益复杂 化，因此应急反应工作组会定期对应急计划与措施进行审计，检查各 种恢复措施，确保能够从硬件、软件、网络、数据各个环节做到完整 恢复。对于不断扩充的系统要即时有效地补充、修改应急计划与恢复 措施，确保应急计

4、划的可行性与高效性。注重业务连续性管理的过程根据业务系统交易及开户等重要业务进程，对围绕这些业务进程 的软件硬件设备分出先后确定重点，如Web、LDAP、我行数据库等 服务器及其运行的应用软件和有关交换机、路由器等网络设备停顿可 能影响业务设备更大。确定具体的备份措施，并经常检查备份措施的 落实情况，保证对业务连续性的管理被整合到组织的流程和结构中。定期测试应急恢复策略对应急恢复策略要定期进行测试，一方面确保应急恢复策略的正 确性，另一方面保证应急反应工作组成员对应急措施能够熟练掌握， 确保应急恢复方案在故障发生后能够迅速有效地进行恢复，将恢复时 间缩短到最小。定期进行应急恢复培训对于不断补充

5、更新的应急计划及恢复措施，要及时对应急反应工 作组成员进行培训，对各个环节出现的故障如何恢复进行培训，确保 成员对应急措的熟练掌握，在系统出现故障及业务出现疏漏时做到快 速响应，达到快速解决问题的目的。汇报机制对于安全事件引起的影响业务的问题，包括各种类型和不同严重 程度的安全事件要根据第二章的有关要求及时上报，同时应急反应工 作组按照应急计划实施步骤开始工作。法律咨询对出现的安全问题要向专门的法律咨询部门咨询，及时讨论解决方案，使问题最小化。建立健全的沟通渠道应急反应工作组成员内部应建立健全的沟通机制，具有有效的联 络方式，同时与硬件设备提供商、业务系统集成商等建立良好的沟通 渠道，确保在问

6、题出现时能够及时通知厂商及集成商，确保问题能够 得到快速解决。第二章安全事件管理通常应急处理工作总是由安全事件触发的，建立事件管理的责任 及程序，可以确保快速、有效和有序地做好应急处理工作。对安全事 件管理是应注意以下几点：安全事件种类从表现形式分析安全事件可能会发生的安全事件种类，主要如 下：1）信息系统失败及服务丢失一般指硬件设备出现故障，通信线路出现故障，网络配置丢失或 出现错误，操作系统和数据库系统软件运行故障，业务应用程序运行 故障等有关方面引起的信息系统不能正常运行甚至系统中断，所提供 部分或全部应用服务也不正常或停止。也包括电源引起部分或全部系 统瘫痪。2）拒绝服务一般指重要服务

7、器受到恶性代码的攻击或病毒传播感染，造成系 统故障或中断运行；防火墙及网络设备等受到恶性代码攻击造成阻塞 使应用系统无法正常运行或运行效率低下。3）因未完成或不准确的业务数据所引致的错误一般指应用数据丢失、密码丢失、应用数据不正确而应用程序检 查不严格容错能力又差，造成应用系统错误不能正常运行甚至中断。 另外还有计算机犯罪出现数据不准确引起的系统错误。4）泄密一般指计算的加密解密密钥、加密解密参数、加密解密算法或函 数、终端设备识别参数、IC卡的母卡及其存放介质和相关技术资料 等；计算机系统所有源程序、网络参数、客户信息、用户密码、业务 数据和相关的技术资料以及相应的存放介质等等被窃取，对系统

8、造成 威胁或已经造成损失，出现计算机犯罪现象。5）恶性事件一般指暴力、恐吓、有意破坏以及自然灾害等。安全事件严重程度安全事件的严重程度可分为四级：1）严重程度1级：事件发生后立即得到控制，并可消除影响或尚 未造成明显影响；2）严重程度2级：事件发生造成系统30分钟至2小时停顿；3）严重程度3级：事件发生造成系统2小时至8小时停顿；4）严重程度4级：事件发生造成系统8小时以上停顿。安全事件后期处理对安全事件的处理除了正常应急计划（用来第一时间恢复系统或 服务）之外，还应包括：1）分析及确定事件发生的原因；2）补救方法的计划及实施，以免再次发生；3）收集审计追踪及其它类似证据；4）与受影响的、或与

9、恢复事件的人员保持联系；5）把所作的行动报告有关部门。安全事件证据保存对安全事件进行应急处理的同时，应注意收集审计追踪及其它类 似证据并保存妥善，主要用于：1）内部分析事件使用；2）作为破坏合同、违法或民事或犯罪诉讼（例如关于滥用计算机 或数据保护条例）的证据；3）索取软件及服务供应商的赔偿。此外，收集的证据要符合法律要求，一般应注意：1）证据的适用性：证据是否能够作为法庭证据；2）证据的分量：证据的质量及完整性；3）有足够的证据证明在恢复证据时的时间内，系统正确及一致地 存储及处理控制（即进程控制的证据）。安全事件恢复过程的管理进行应急处理，恢复安全事件所造成的破坏以及恢复系统失效的 工作应

10、进行严格管理，确保：1）准许有明确指名的合法员工进入正在使用的系统及数据2）详细记录所有紧急处理的过程和措失；3）向电脑部领导报告所进行的应急恢复工作，并按照应急恢 复策略要求有条不紊地进行；4）业务系统应急恢复工作应在最短时间内确认故障并采取有 效措施。安全事件的报警关于向应急反应工作组报警。所有员工观察到安全事件发生，不 论严重程度和事件分类均有责任立即报告应急反应工作组值班人员。 值班人员应记录报告人姓名、报告时间、事件发生时间和地点，事件 基本情况，对事件严重程度和分类的估计，以及已产生的影响情况等。安全事件的初步报告应急反应工作组向上级的初步报告。应急反应工作组值班人员在 接到安全事

11、件报警并初步落实情况后，对于泄密及恶性事件、其它事 件严重程度2级以上（包括2级）应立即向电脑部领导报告；对于泄 密及恶性事件严重程度2级以上（包括2级）、其它事件严重程度3 级以上（包括3级）应立即向行领导报告。报告的内容包括事件发生 时间和地点，事件基本情况，初步认定的事件严重程度和分类，以及 已产生和可能产生的影响情况，还有采取的应急恢复措施等。安全事件的情况简报应急反应工作组向上级的情况简报。对于泄密及恶性事件严重程 度3级以上（包括3级）、其它事件严重程度4级以上（包括4级）， 并且处理过程在8小时以上，应定期或不定期向上级的报告“情况简 报”。主要内容包括安全事件发展情况和应急处理

12、进展情况。安全事件的总结报告安全事件处理总结报告。所有泄密及恶性事件和严重程度2级以 上（包括2级）的其它事件，均应写出安全事件处理总结报告，并上 报电脑部领导；对于泄密及恶性事件严重程度2级以上（包括2级）、 其它事件严重程度3级以上（包括3级）应上报行领导。安全事件处 理总结报告内容包括事件发生时间和地点，事件基本情况，认定的事 件严重程度和分类，产生的影响情况，采取的应急恢复措施，造成的 损失，事件的责任人员和部门等；还有教训和需要改进的措施，以后 避免事件重现的建议等。第三章系统备份策略系统备份措施是为了防止业务停顿，以及保护重要业务进程不受 重大失效或灾难的影响，把业务因灾难或安全失

13、效（如来自于天灾、 意外、设备失效及故意破坏）的停顿降到可接受的程度。业务系统的 主要备份策略如下：服务器备份业务系统中的交易服务器与数据库服务器是整个业务系统的关 键部分，交易服务器、数据库服务器均采用了双机热备份方案。要求 每周进行一次自动切换测试。前置机、网页服务器、LDAP服务器等设备作为交易和认证通道， 对业务系统的运行同样重要，采用冷备份方式。要求每月进行一次手 工切换测试。防火墙服务器也应配有备份机，可以采用冷备份方式。要求每月 进行一次手工切换测试。网络设备备份作为交易通道的核心交换机以及与各个分行支行连接、与后台数 据库服务器连接通道的路由器均采用双机热备份方式，要求每周进行

14、 一次自动切换测试。有特殊要求的网络设备和ASA防火墙等应采用冷备份机方式， 平时按照运行设备做好相同的配置，要求每月进行一次手工切换测试。其他路由器等设备，应按一定比例留有备用机，并且保证备用机 完好和随时可替代使用。另外，所有网络设备的配置文件都应有与当前状况相符的备份， 要有详细的文档资料记载，对于系统配置文件要以光盘形式备份，存 放管理员处保管。重要工作站备份重要工作站应该按每种类型留有一定比例的备用机，应保证备用 机完好并随时能够替换使用。有特殊要求的重要工作站可以采用了冷备份机方式，按相同运行 和应用环境进行配置，要求每月进行一次手工切换测试。另外，所有重要工作站的配置文件都应有与

15、当前状况相符的备 份，要有详细的文档资料记载，对于系统配置文件要以光盘形式备份， 存放管理员处保管。上海清算中心我行线路备份我行与上海清算中心有联通和电信各一条2M SDH线路，互为备 份。系统软件备份系统软件备份采用以下几种方式：有系统软件(包括操作系统、数据库系统、防火墙、入侵检测等系统软件，下同)介质，以及许可证等文件要有专人保管，存 放管理员处保管，并且应该留有备份；有备份机的应将生产环境备份设备上预先安装与生产环境 相同的系统软件，同时应注意备份机要有专人保管，并且确保设备完 好；没有备份机的而又比较重要的服务器系统软件应进行全系 统备份，并且经常进行备份，确保与当前状况一致；全系统

16、备份的介 质应存放管理员处保管；所有系统软件设置参数文件都应备份保存，包括同一种系 统软件在不同应用情况下的设置参数文件的备份，并且要求与硬件设 备一一对应。对于每种系统软件的安装配置步骤及安装配置文件要有 详细的文档资料记载，对于重要系统配置文件要以光盘形式备份，存 放管理员处保管。应用软件备份应用软件备份采用以下几种方式：有各种业务应用软件介质，以及许可证、有关安装等文件 要有专人保管，存放管理员处保管，并且应该留有备份；有备份机的应将生产环境备份设备上预先安装与生产环境 相同的系统软件和应用软件，同时应注意备份机要有专人保管，并且 确保设备完好；没有备份机的而其应用又比较重要的，应对安装

17、该应用软件的服务器系统软件应用软件一起进行全系统备份，并且经常进行备 份，确保与当前状况一致；全系统备份的介质应存放管理员处保管；所有应用软件设置参数文件都应备份保存，包括同一种应 用软件在不同系统环境下的设置参数文件的备份，并且要求与硬件设 备一一对应。对于每种应用软件的安装配置步骤及安装配置文件要有 详细的文档资料记载，对于重要应用系统配置文件要以光盘形式备 份，存放管理员处保管。应用数据备份业务系统的应用数据库数据应每天做一次增量备份，每星期进行 完整备份，完整备份的介质一份保管在同一建筑物的不同楼层，一份 送灾难备份中心保管。业务系统应用数据还应采用下列方法：我行数据库服务器采取双机热

18、备份策略，确保一台数据服务器损 坏后另外一台仍然能够正常运行。每日还要对数据进行磁带备份，备份数据需要由专人保管，备份 数据一式两份，一份存放在机房，便于数据中心出现紧急故障时进行 恢复，另外一份异地放。第四章应急恢复策略服务器故障恢复在业务系统安全性问题中，业务系统中的交易服务器与数据库服 务器是整个业务系统的关键部分，交易服务器、数据库服务器均采用 了双机热备份方案，当其中一台机器发生故障时，系统自动会切换到 另外一台机器上运行，应急反应工作组技术人员则要确定发生故障的 硬件设备，与设备供应商及时联系，对出现故障的设备尽快进行维修。考虑到企业前置机、网页服务器、LDAP服务器等设备作为交易

19、 和认证通道，对业务系统的运行同样重要。当这些硬件设备发生故障 时，应急反应工作组成员将把与生产环境中安装配置完全一样的硬件 设备进行更换，将故障设备送供应商维修。这项故障恢复应该在30 分钟内完成。网络设备故障恢复核心交换机和核心路由器均采用双机热备份方式，当其中一台机 器发生故障时，系统自动会切换到另外一台机器上运行，应急反应工 作组技术人员则要确定发生故障的网络设备，与设备供应商及时联 系，对出现故障的设备尽快进行维修。对于有冷备份的网络设备、ASA防火墙，当运行设备发生故障 时，应急反应工作组技术人员需要手工切换到另外一台机器上运行， 还要确定网络设备发生故障的原因，与设备供应商及时联

20、系，对出现 故障的设备尽快进行维修。这项故障恢复应该在30分钟内完成。当运行设备发生故障时，应急反应工作组技术人员需要根据保存 的网络设备的配置文件对备用设备导入和手工进行相应的设置，并将 其接入系统运行；还要分析网络设备发生故障的原因，与设备供应商 及时联系，对出现故障的设备尽快进行维修。这项故障恢复应该在60分钟内完成。重要工作站故障恢复当重要工作站运行设备发生故障时，应急反应工作组技术人员需 要根据保存的重要工作站的配置文件对备用机进行相应的设置，并将 其接入系统运行；还要分析网络设备发生故障的原因，与设备供应商 及时联系，对出现故障的设备尽快进行维修。这项故障恢复应该在 30分钟内完成

21、。有冷备份机的重要工作站发生故障时，应急反应工作组技术人员 可以手工进行切换，并将其接入系统运行；还要分析网络设备发生故 障的原因，与设备供应商及时联系，对出现故障的设备尽快进行维修。 这项故障恢复应该在60分钟内完成。通信线路故障恢复当业务系统对外连接的通信线路发生故障时，应急反应工作组技 术人员需要将备份线路接入系统运行；还要分析通信线路发生故障的 原因，与设备供应商及时联系，对出现故障的通信信路尽快进行维修。 这项故障恢复应该在30分钟内完成。系统软件故障恢复针对系统软件故障恢复，业务系统采取如下几种应急措施：第一种情况，已经在生产环境备份设备上有预先安装与生产环境 相同的系统软件，在系

22、统出现故障时，迅速将备份设备直接进行切换， 减少出现故障时再次安装调试带来的延时。这项故障恢复应该在30 分钟内完成。第二种情况，有的服务器系统软件已经做了全系统备份，在系统 出现故障时，可以迅速进行全系统备份的恢复，减少出现故障时需要 重新安装系统软件再进行系统参数以及调试带来的延时。这项故障恢 复应该在60分钟内完成。第三种情况，需要重新安装系统软件，然后利用该服务器原有系 统配置清单进行系统参数配置，可以减少出现故障时重新调试带来的 延时。这项故障恢复应该在90分钟内完成。另外，应急反应工作组成员能够与保管员建立良好的联络渠道， 当备份设备上的系统软件出现故障时，应急反应工作组成员应将系

23、统 软件介质取出，尽快进行安装调试。对于每种系统软件的安装配置步 骤及安装配置文件要有详细的文档资料记载，对于系统配置文件要以 光盘形式备份，放管理员处保管，在紧急情况出现时，可以直接将配 置文件拷贝到安装好的系统中，缩短安装配置时间，使系统恢复更加 高效。应用软件故障恢复针对应用软件故障恢复，采取如下措施：应用软件是指在业务系统项目中开发的适合XX银行业务特点的 软件系统。应用软件以原码方式与运行码方式进行保存。在备份设备 上预先安装好与生产环境完全相同的应用软件运行版，确保在出现故 障时直接切换备份设备实现应用软件的故障恢复。这项故障恢复应该 在30分钟内完成。当备份设备中的应用软件出现故

24、障时，应急反应工作组成员要及 时与应用软件保管员联系，获得应用软件的运行版，对应用软件进行 安装恢复。应用系统的安装配置文件也要做好备份，以光盘与书面文 档资料形式分别进行备份并由专人保管，当应用系统出现故障时，应 急反应工作组技术人员能够直接恢复配置文件，达到应用系统的快速 恢复。这项故障恢复应该在120分钟内完成。应用数据丢失恢复办法应用数据是业务系统最重要的部分之一，我行数据中心采取双机 热备份策略，确保一台数据服务器损坏后另外一台仍然能够正常运 行。另外，每日还要对数据进行磁带备份，备份数据需要由专人保管， 备份数据一式两份，一份存放在机房，便于数据中心出现紧急故障时 进行恢复，另外一

25、份放在异地数据中心，保证在本地出现不可抗拒的 自然灾害时，仍能找到我行数据进行恢复。应急反应工作组成员要熟 练掌握数据恢复方法及操作步骤。如果需要对服务器恢复应用数据，这项故障恢复应该在180分钟 内完成。密码丢失的处理办法业务系统中子系统较多，对于任何一个子系统都需要对密码进行 严格管理，特别是对超级用户密码的管理显得更加重要。我行各子系 统的管理员分别由不同的人员担任，避免权利过分集中带来的安全隐 患。XX银行对密码的管理采取专人保管策略，每个子系统的超级用 户口令由不同的系统管理员设置，并且将各子系统用户名及密码封存 于信封内，盖齐缝章分别交不同的保管员保管。当出现紧急情况需要 超级用户

26、口令时，首先由原管理员登录进入，如管理员不在或管理员 遗忘系统口令时，经应急反应工作组组长批准，应急反应工作组成员 可以从保管员处获得某超级用户口令登录进入。对于应急反应工作组 成员在紧急情况下使用系统超级用户口令后，需要通知负责管理本系 统的系统管理员及时更改超级用户口令，杜绝安全隐患。病毒应急处理在业务系统的服务器和工作站中发现计算机病毒时，应立即清 除，如果事件发生后立即得到控制，并可消除了病毒影响或尚未造成 明显影响，可以继续运行，但是应急反应工作组成员应继续对其进行 检测。如果计算机病毒不能及时清除或造成明显影响，应急反应工作组 成员应依据有关故障恢复策略规定的相应措施，先将我行业务

27、处理转 移到备份机工作，再对该机进行格式化重新安装系统软件和应用软 件，以及应用数据等，最后将该机接入运行系统恢复正常工作。第五章应急计划实施步骤应急反应工作组在建立应急计划的同时，要制定切实可行的应急 计划实施步骤。应急实施步骤主要从以下几方面考虑：安全审计应急反应工作组的技术人员与业务人员要定期查看各种审计日 志。技术人员要经常通过网络安全检测系统查看整个网络运行状况， 检查是否有入侵迹象；检查各系统是否正常运行。应用系统对用户发 起的安全相关操作，产生日志记录，安全管理员要定期监控业务系统 系统的运行状态和日志，确定是否存在安全隐患。安全审计要从网络安全、系统安全、应用安全、业务操作安全几 方面进行。故障诊断应急反应工作组从不同渠道获悉业务系统故障时，首先要进行故 障诊断。故障诊断应按特定的步骤进行。根据提供的故障线索分析定 位故障类型，对诊断出的故障类型按照应急计划中相应的处理方法进 行处理。在对故障进行诊断时，首先要确定是哪一层次的故障，对于网络 故障、系统故障和应用系统故障，由技术人员负责解决；对于业务操 作流程疏漏带来的