XXXXXXX综合计划管理业务应用系统应急方案.docx
《XXXXXXX综合计划管理业务应用系统应急方案.docx》由会员分享,可在线阅读,更多相关《XXXXXXX综合计划管理业务应用系统应急方案.docx(18页珍藏版)》请在冰豆网上搜索。
XXXXXXX综合计划管理业务应用系统应急方案
XXXXXXX综合计划管理业务应用系统
应急预案
1背景
XXX期间将是国家电网公司快速发展的重要战略机遇期,公司将加快推动公司发展方式和电网发展方式转变,大力实施集团化运作、集约化发展、精细化管理和标准化建设,初步建成“一强三优”现代公司。
新的形势对国家电网公司的综合计划管理工作提出了更高的要求。
一、强化综合计划管理是新形势的客观要求
近几年,国家电网公司综合计划管理在探索中前进,在实践中不断加强。
公司修订下发了《国家电网公司综合计划管理办法》,对综合计划的组织机构和职责分工、内容与指标、编制与审批、执行与控制、指标调整、考核与考评等内容进行了规定,对综合计划管理的工作流程进一步明确,为加强综合计划管理提供了制度保障。
印发了《关于加强综合计划月度跟踪分析的通知》,规范和强化了综合计划月度跟踪分析工作。
通过公司总部和各单位的共同努力,综合计划指标体系得到进一步完善,综合计划的编制更加科学、合理,综合计划管理的内容得到深化、细化,管理的力度得到进一步加强,管理的水平得到进一步提高。
为了适应公司“两个转变”的要求,适应公司集团化运作、集约化发展、精细化管理和标准化建设的要求,综合计划管理在内容上应进一步细化,工作流程上应进一步规范,指标体系上应进一步完善,计划执行要更加严格,跟踪分析要更加及时,管理手段要更加先进,逐步构建“制度完善、流程清晰、分层细化、调控有力”的综合计划管理体系。
二、信息化是加强综合计划管理的必然选择
当前,国家电网公司正以前所未有的速度向前发展。
快速发展的企业需要现代化管理,现代化管理又要求建立先进的信息系统以提高效率和效益,而先进的信息系统又将驱动管理水平的不断提升,形成良性互动发展。
XXX期间,公司决定实施“XXX”工程,加快推进信息化建设,以信息化手段提升现代化管理水平,为公司发展提供坚强支撑。
XXX年4月,国家电网公司信息工作办公室在充分借鉴国内外信息化建设的成熟经验和参考各网省公司已建业务应用有关资料的基础上,编写了《“XXX”工程业务需求规范(初稿)》。
综合计划管理业务应用是“XXX”工程的重要组成部分。
XXX年7月,国家电网公司发展策划部和信息办联合下发《关于成立发展策划业务应用项目工作组及确定试点单位的通知》(发展综合[XXX]118号),并明确华中电网公司为综合计划管理业务应用的试点单位,正式成立综合计划管理业务应用项目组。
该项目按照公司综合计划管理体系标准化、规范化、统一化的要求进行建设,根据公司“XXX”工程要求,开发全公司范围内统一的综合计划管理业务应用,提高综合计划管理的工作效率,规范公司综合计划业务流程,提高计划指标的准确性、及时性和指标间的协调性以及跟踪分析水平。
根据项目建设进度要求,将在XXX年3月前完成公司总部和所有网省公司的两级部署实施。
由于综合计划涉及的专业宽、数据量大,对数据的准确性、及时性的要求很高,急需建立综合计划管理业务应用,建立综合计划模型库和历史数据库,为综合计划指标的平衡、优化和跟踪分析提供有力的技术支持。
因此,积极推进综合计划管理的信息化建设是强化公司系统综合计划管理的客观要求。
建设先进的综合计划管理系统,可以提高综合计划管理的效率和水平,充分发挥综合计划统筹、平衡、协调作用,确保综合计划指标可控、在控。
2总体目标与原则
2.1总体目标
为适应公司“集团化运作、集约化发展、精细化管理、标准化建设”的总体要求,公司加强了综合计划管理,积极构建“制度完善、流程清晰、分层细化、调控有力”的综合计划管理体系。
按照公司信息化“XXX”工程的统一部署,总部发展策划部和信息办联合组织开展了综合计划管理信息系统的建设。
综合计划管理信息系统采用“二级中心、三层应用”的建设模式,统一设计、统一开发和统一推广,逐步实施到地、市公司。
综合计划管理信息系统的设计必须突出公司应用和分布集中管理的特点,并且要考虑系统的扩展性和服从公司信息化建设的整体性要求。
在概要设计方面,针对公司的信息化需求,提出了“二级中心、三层应用”的综合计划管理信息系统设计思路。
3安全设计
3.1网络安全设计
网络安全是系统安全体系的重点内容,应综合采用VLAN划分、VPN通道、地址绑定和防火墙、加密机等网络安全技术和安全策略,力求从多层次、多角度来保证网络系统的安全。
防火墙能作为内部网络安全的屏障,能有效地隔离内外网络的直接连接,限制内外网之间的信息流入和流出,防止内部信息泄露和外部入侵;隐蔽内部网的组成情况,保护内部网络资源;对访问的用户进行身份识别,可拒绝未授权的逻辑访问;防止未授权用户对防火墙的配置和其他与安全有关的数据的更改;可以进行安全的远程管理,提供日志审计功能等。
1.建立入侵检测系统
入侵检测系统(IDS)是防火墙之后的第二道安全闸门,能够作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,在网络系统受到危害之前拦截和响应入侵。
IDS具有以下功能:
拥有同时监控主机和网络的功能;能够检测大量攻击手段;对攻击的响应能力强;用户自定义监控策略、自定义异常事件的能力;远程集中统一管理能力;被监控操作系统平台的覆盖率;系统实时监控的性能(和网络流量的关系)。
2.建立网络隐患扫描系统
网络隐患扫描系统可以对网络中所有部件(服务器、防火墙和路由器及TCP/IP及相关协议服务)进行扫描、分析和评估,发现并报告系统存在漏洞,评估安全风险,建议补救措施,使系统防患于未然。
网络隐患扫描系统可以对网络系统中的所有操作系统进行安全扫描,检测操作系统存在的安全漏洞,并产生报表,以供分析;还会针对具体安全漏洞提出补救措施。
3.建立防病毒系统
计算机病毒的防范是网络安全建设中应该考虑的重要的环节之一。
反病毒技术包括预防病毒、检测病毒和杀毒三种技术。
在本应用中,应建立包括从桌面的客户端、服务器系统和防火墙病毒模块等多层次的病毒防卫体系。
建议采用知名的安全厂商的防病毒软件,并且应满足如下要求:
支持全网络化的远程管理,实现远程安装、远程杀毒、远程操作和远程报警等功能;应具有优秀的实时监控能力;应具有先进的技术和全面的病毒库;应具备智能化同步升级功能,实现自动下载和自动分发;应保证售后服务的高质量。
4.服务协议安全
数据库服务器、应用服务器和Web服务器不要开放一些没有经常使用的协议及协议端口号。
如文件服务、电子邮件服务,可以关闭服务器上如FTP、TELNET、RLOGIN等服务。
而且,还应加强登录身份认证,确保用户使用的合法性;严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
3.2服务器安全设计
保证业务应用项目各种设备的物理安全是保障整个应用安全的前提。
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故,以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
另外,在服务器上应使用安全等级较高的操作系统,并根据具体情况选用Unix、Linux或Windows2003Server等相应的操作系统。
此外,系统管理员应注意如下针对操作系统的安全措施:
●根据具体适用对象和范围配置操作系统,使其达到尽可能高的安全级别;
●及时检测、发现操作系统存在的安全漏洞;
●对发现的操作系统安全漏洞做出及时、正确的处理;
●及时给系统打补丁,系统内部的相互调用不对外公开;
●通过配备安全扫描系统对操作系统进行安全扫描,发现其中存在的安全漏洞,并有针对性地对网络设备进行重新配置或升级。
3.3数据安全设计
任何数据库在长期使用过程中,都会存在一定的安全隐患。
对于数据库管理员来说不能仅寄希望于计算机操作系统的安全运行,而是要建立一整套的数据库备份与恢复机制。
当任何人为的或是自然的灾难一旦出现,而导致数据库崩溃、物理介质损坏等,就可以及时恢复系统中重要的数据,不影响整个单位业务的运作。
然而如果没有可靠的备份数据和恢复机制,就会带来系统瘫痪、工作停滞、经济损失等等不堪设想的后果。
因此采用严格的数据库备份方案,以保证数据安全。
1数据文件备份
数据库管理员需要定制详细的备份方案,关键是合适的备份时间点。
如果数据库服务器是7*24小时不间断服务,那么至少在一周内的一、三、五的每天早、中、晚都有备份点。
一般选择在服务器不太忙的时候。
备份任务由操作系统来调度,可以使用windows2000服务器的任务调度程序来完成每天的备份安排。
2日志、控制文件备份
由于日志和控制文件是ORACLE数据库在恢复时不可缺少的组成数据,应当在做数据备份时进行同步日志和控制文件的备份。
为了确保安全,建议日志和控制文件备份到与数据备份不同的物理介质上。
对于备份时间和备份调度,建议一天一次,同样调度在系统闲时。
由于日志和控制文件起到了增量恢复的作用,控制文件的备份点应当比数据文件的备份点多。
由于控制文件小,不会占用系统资源,建议在重要的业务数据操作时间点之后紧接着进行备份。
3备份方法
(1)多工联机重作日志文件
每个数据库实例都有其自己的联机重作日志组,在操作数据库时,Oracle首先将数据据库的全部改变保存在重作日志缓冲区中,随后日志记录器进程(LGWR)将数据从系统共用区SGA(SystemGlobalArea)的重作日志缓冲区写入联机重作日志文件,在磁盘崩溃或实例失败时,可以通过与之相关的联机重作日志来保护数据库,将损失降至最低,但Oracle在默认的方式下只创建一组重作日志文件(每一组只有一个项目文件),为了减少丢失这些重要的重作日志文件的危险,因此需要对其进行镜像拷贝。
在Oracle级多工联机重作日志文件,即增加多个文件到每个组以便镜像数据,这样I/O故障或写丢失只损坏一个拷贝,从而保证了LGWR后台进程至少能够向一个成员写入信息,数据库仍然可以继续运行。
同时应保证日志组的成员不应驻存在同一物理设备上,因为这将削弱多重日志文件的作用。
(2)镜像拷贝控制文件
控制文件描述通用的数据库结构,它存储了大量数据库状态信息,包括物理结构和联机重作日志文件在当时的名称、位置、状态。
控制文件在数据库启动时被Oracle实例读取,保持打开并随着操作而文件内容更新,直到实例关闭为止。
在它打开的过程中能够同步需要恢复的信息,包括检查点信息,因此若损坏或丢失了控制文件,Oracle将不能继续工作,因此应在系统中保持控制文件的多个拷贝,且这些拷贝应置于安装于不同磁盘控制器下的不同磁盘设备中。
由于Oracle没有提供对控制文件多工的完整支持,因此应在对控制文件使用操作系统或硬件镜像,即在修改初始化文件的control_files参数后重新启动数据库前,应将控制文件复制到定义的新位置,否则数据库启动时将会出错。
(3)激活归档进程
当数据库运行于NOARCHIVELOG模式下时,只能在完全关闭数据库后进行数据库的一致备份,并且同时禁用了联机重作日志的存档,这样在Oracle实例失败时只能将数据库修复到最近的完整数据库备份时的那一点上,不能在失效点处对实例进行恢复。
而在ARCHIVELOG模式下,数据库不仅可以进行一致备份,还可以在数据库打开的情况下进行联机备份。
通过数据库的备份和联机与存档的重作日志文件,用户可以恢复所有已提交的事务,并允许将数据库恢复到指定的时间、SCN或日志系列号处,增大了恢复的灵活性,减少了故障时的数据丢失。
因此数据库应运行于ARCHIVELOG模式。
在ARCHIVELOG模式下为了防止文件损坏和介质故障,应把日志归档到不同的磁盘上,这可以通过在初始化文件中为归档重作日志指定多个目标实现。
(4)数据库实施较大改变时备份
因为控制文件中保存了数据库的模式结构信息,因此在对数据库进行较大改变(包括改变表结构,增加、删除日志文件或数据文件等)时应立即备份控制文件及相应的数据文件。
(5)使用RESETLOGS选项打开数据库后进行备份
在以RESETLOGS选项打开数据库后,应对整个数据库进行脱机或联机的备份,否则将不能恢复重置日志后的改变。
当以RESETLOGS选项打开数据库时,Oracle将抛弃恢复中没有应用的重复信息,并确保永远不再运用,同时还将初始化控制文件中关于联机日志和重作线程的信息、清除联机日志中的内容。
因此,RESETLOGS前的归档日志的序列号将与RESETLOGS后的Oracle控制文件的要求值不相符(备份文件中的检查点比控制文件中的检查点旧),即在恢复中不能应用以前的归档日志文件,从而导致RESETLOGS操作之前的备份在新形体中无用。
(6)避免备份联机重作日志文件
由于上面提出了多工联机重作日志文件且数据库运行于ARCHIVELOG模式,ARCH进程能够将联机重作日志归档,因此不必对其进行备份。
若用备份的联机重作日志文件重建它,可能会引起日志文件序列号的混乱,从而破坏数据库,得到适得其反的结果。
(7)重置联机日志
在进行了不完全恢复或用备份控制文件进行恢复后,应重置联机日志。
为了确保数据库的一致性,必须保证在恢复后所有数据文件都恢复到同一个时间点,但不完全恢复可能导致数据文件中具有一个与其它文件不同的检查点,导致数据库的一致性受到破坏。
同样,备份的控制文件中保存的SCN和计数器与当前日志文件中的值可能不同,从而也破坏了数据库的一致性,因此应在进行完上述两项操作后重置联机日志。
(8)数据库的逻辑备份
以上所述备份都为物理备份,是实际物理数据库文件从一处拷贝到另一处的备份,除此之外还可使用Oracle提供的导出实用程序进行数据库的逻辑备份。
Oracle同时还提供了相应的导入实用程序重建逻辑备份中保存的信息。
逻辑备份只拷贝数据库中的数据,而不记录数据位置的备份过程。
它利用SQL语句,从数据库中导出数据到一个存放在合适位置的外部文件中,同时并可检测到数据块的损坏,因此可用其作为物理备份的补充。
3.4用户安全设计
据统计,大部分的网络安全问题来自于内部的威胁,完善的安全管理措施在本系统中有不可忽视的作用,要用行政手段结合法律法规,在政策和制度上保证系统安全。
1.制定严格的工作制度,规范化数据库维护工作流程
内部安全管理制度主要应包括:
●机构与人员安全管理制度
●系统运行环境安全管理制度
●硬件设施安全管理制度
●网络安全管理制度
●数据安全管理制度
●技术文档安全管理制度
●应用系统运行安全管理制度
●操作安全管理制度
●应用系统开发安全管理制度
●应急安全管理制度
其中,最重要的安全保密因素是操作人员,上述所有安全措施都是操作人员来实现的,因此,必要的安全意识教育与严格的管理制度是系统安全的重要组成部分。
2.采用严格的用户数据加密体制。
综合计划管理业务应用安全保密体系是由物理安全、网络安全、应用安全、系统安全和安全管理五个层面构成,为接入层、应用层、服务层和资源层保驾护航,为整个应用的实用化奠定基础。
安全体系应该从全局的角度去把握,突出重点,统一设计。
具体的安全控制系统由以下三个方面组成:
安全技术、安全管理及安全组织。
业务应用安全保密体系结构图如下:
(图:
安全防护体系)
3.5硬件部署方案
综合计划管理业务应用系统为了应对突发事件,综合计划管理信息系统服务器包含WEB应用服务器和数据库服务器。
目前应用服务器与数据库服务器分别各自为一台服务器,其中应用服务器为单独服务器,数据库服务器与其他系统共用,统一部署在网省机房。
且管理员及其他人员对服务器的操作均采用远程操作方式,避免直接接触服务器。
4应急策略与规范
4.1业务应急策略
信息通信中心值班工程师每天定时对综合计划管理业务应用系统进行监测,及时发现综合计划管理业务应用系统运行中的异常及其它故障。
当值班员监测发现情况或系统合法用户投诉发现情况时,应由值班员首先确认综合计划管理业务应用系统是否发生重大故障,并启用预案。
4.2系统应急策略
在综合计划管理业务应用系统发生重大故障时,所有合法的系统用户停止对综合计划管理业务应用系统的一切操作,并及时将情况通知信息通信中心,启动相应的应急预案,通知相关人员迅速到岗,保留现场,保护应用服务器和数据服务器备份相关的系统数据和文件,尽快使综合计划管理业务应用系统恢复正常,分析事故原因,将影响降低为最少。
4.3应急处理规范
在综合计划管理业务应用系统发生重大故障时,所有合法的系统用户停止对综合计划管理业务应用系统的一切操作,并及时将情况通知信息通信中心,启动相应的应急预案,通知相关人员迅速到岗,保留现场,保护应用服务器和数据服务器备份相关的系统数据和文件,尽快使综合计划管理业务应用系统恢复正常,分析事故原因,将影响降低为最少。
应急处理规范应包含以下流程:
一、事件报警与确认:
信息通信中心值班工程师每天定时对综合计划管理业务应用系统进行监测,及时发现综合计划管理业务应用系统运行中的异常及其它故障。
当值班员监测发现情况或系统合法用户投诉发现情况时,应由值班员首先确认综合计划管理业务应用系统是否发生重大故障,并启用预案。
二.综合计划管理业务应用系统发生重大故障时,保护故障现场:
1.通知各相关业务部室停止登录系统。
2.通知安全应急预案中涉及人员,迅速到岗。
3.做主机系统日志,和应用系统,数据库系统的相应的日志。
如果数据服务器中的数据库还能运行,应迅速对当前数据库的数据做完全备份。
三.分析故障原因:
综合计划管理业务应用系统发生重大故障可能是由以下几个原因造成:
1.核心服务器操作系统故障;
2.系统管理员在维护系统时进行误操作,修改了相关的系统文件;
3.黑客入侵,修改系统文件;
4.服务器感染病毒,影响系统正常运行;
5.网络故障;
6.服务器硬件故障;
7.其他原因,如:
自然灾害、火灾、其它外力对系统硬件的破坏等等;
四、启用备用系统:
根据故障原因,如在1小时内不恢复正常,启动备用系统:
1.发生故障的是数据服务器时:
(1)确认数据服务器是否正常运行,如果非正常运行且影响综合计划管理业务应用系统,就重新启动数据服务器、连接网络、重启web服务器上的综合计划管理业务应用系统。
(2)确认是否连接网络,如果未连接网络,就重新连接网络,保证网络联通后重启web服务器上的综合计划管理业务应用系统。
(3)确认是综合计划管理业务应用系统的数据问题,启动数据库服务器上的oracle数据库,导入故障前最近备份的数据。
<1>导入数据,以sgcc_sxdb登录数据库,将所有invalid标记的视图、过程、函数、触发器调整好。
<2>更改Web应用服务器上综合计划管理业务应用系统Tomcat(Weblogic)服务数据连接池。
2.发生故障的是Web应用服务器时:
(1)确认Web应用服务器是否正常运行,如果非正常运行且影响人力资源管理系统,就重新启动Web应用服务器、连接网络、启动综合计划管理业务应用系统。
(2)确认是否连接网络,如果未连接网络,就重新连接网络,保证网络联通后重新启动综合计划管理业务应用系统。
(3)如果不是服务器和数据库的原因,且综合计划管理业务应用系统日志记录是综合计划管理业务应用系统的错误,则关闭综合计划管理业务应用系统的服务,启动服务器上备用的综合计划管理业务应用系统。
五.备用系统测试:
1.由信息系统管理员、数据备份管理员、安全系统管理员共同进行备用综合计划管理业务应用系统测试。
2.经测试备用系统运行正常时。
3.通知相关部室的操作人员登录系统核对数据,数据丢失情况上报信息通信中心,组织相关人员重新录入丢失数据。
4.正式启用备用系统。
六.正式系统的修复:
根据造成综合计划管理业务应用系统重大故障的不同原因,采用相应的修复策略:
1.恢复服务器硬件设备;
2.恢复服务器操作系统;
3.恢复系统必备软件;如:
Tomcat(Weblogic),Oracle服务器。
4.设置软件的相关参数;
七、将系统由备用系统向恢复后的正式系统切换
1.确认没有用户登录系统处理业务后,将备用服务器与正式服务器的网络连接都断开;
2.对备用系统中的数据做全备份;
3.关闭备用系统,将备用系统中的设置恢复到启用前的状态;
4.将从备用系统中导出的数据备份导入正式系统的数据库;
5.组织相关系统管理人员对导入数据后的正式系统进行测试,测试一切正常的话,就可将正式系统投入运行。
6.完成备用系统向正式系统的切换。
八、安全审计及事故分析
通过系统日志、主机防护系统日志等,对故障事件进行审计,对损失进行评估,追查事件的发生原因。
九、消除隐患、调整策略:
根据审计结果,调整系统的防护策略,改进系统的安全策略。
十、损失评估、责任追究:
由信息通信中心、部门、共同评估损失,追究责任。
十一、安全报告、归档:
由信息通信中心形成事故分析报告,分析事故原因,修正预案处理流程并归档。
4.4问题处理考核标准
在问题处理及考核时可通过以下途径来进行:
●确定所发事件是否由人为因素所引发,比如说个人操作失误导致事件发生。
●在突发事件发生后,所涉及人员是否按照应急预案流程来应对此次突发事件。
●事件发生后是否通过正确的途径来进行制止,以防止事态的蔓延。
●事件发生后是否通知相关人员停止一切业务进展,以将损失减小到最低。
5常见问题与处理方案
5.1业务常见问题处理
1.无法发送审批流程
(1)确认用户所在部门流程存在,目前位置只要流程人员信息不改变,则流程正常。
(2)查看用户流程无法发送时,页面是否有窗口弹出提示,若是来自服务器的窗口被系统阻止,打开阻止窗口弹出信息,选择“总是允许来自10.209.3.101的窗口”即可。
2.无法报送国家电网
(1)确保服务器上可以访问国网(http:
//10.1.102.56/sgcc)。
程序页面,直接在INTERNET地址栏输入国网综合计划访问地址,程序登陆页面可访问表示已经联通。
(2)通过桌面PL/SQL快捷方式,输入综合计划数据库用户名、口令,在SGCC_INI-UNIT表中对应“国家电网”所在行的APP_URL字段后查看是相应IP地址是否正确。
注:
对于个别通过以上操作无法解决的问题,需联系华中电力科技开发责任有限公司相关技术支持人员进行远程或到项目现场进行处理,远程维护需要开放电力内网即可。
5.2系统常见问题处理
1.提示“连续登陆失败超过5次,今日内不允许登陆”
客户的登录密码连续5次验证未通过,系统将锁定该用户帐户,次日自动解除锁定,以保证客户帐号安全。
此时客户登陆页面将会有如上提示。
解决方案:
登陆应用服务器,重新启动Tomcat.bat即可。
2.无法打开系统附表、word文档、cell报表等控件
(1)在客户机上,右击“Internet”图标—“Internet属性”——“安全”—“受信任的站点”—“站点”,将“http:
//”添加进去,(对该区域中的所有站点要求服务器验证,不勾选)——确认
(2)在上序操作后选择“自定义级别”,将“未没有标记安全的Axtivex控制进行出事化和脚本运行”以及“下载位签名的Activex控件”选择为“启动”——确认。
(3)再次到无法打开系统附表、WORD文档、cell表等控件页面,系统将自动从服务器下载相应控件后成功打开附件内容。
3.无法访问综合计划程序页面
(1)首先确保在电力内网客户端和服务器网络连通。
(2)访问综合计划应用服务器,在桌面任务栏查看综合计划服务启动程序是否启动,若未启动,双击桌面“综合计划.bat”快捷方式。
(3)若服务器已启动,
升级会员 