大數(shù)據(jù)中心機房安全生產(chǎn)應(yīng)急預(yù)案

文檔修訂

版本日期修改人員描述審核人員

1.0

目錄

1.總則1

1.1.編制目的1

1.2.指導(dǎo)思想1

1.3.基本原則1

1.3.1.明確責(zé)任、自行制定1

1.3.2.依照標準、動態(tài)調(diào)整。2

1.3.3.指導(dǎo)監(jiān)督、重點保護。2

1.3.4.預(yù)防為主、平戰(zhàn)結(jié)合。2

1.4.分類分級2

1.4.1.事件分類2

1.4.2.事件分級6

1.5.預(yù)案的適用范圍7

2.組織體系8

2.1.信息安全事件應(yīng)急領(lǐng)導(dǎo)小組8

2.2.市信息應(yīng)急響應(yīng)小組8

2.3.市信息安全事件應(yīng)急響應(yīng)技術(shù)隊伍9

3.應(yīng)急協(xié)調(diào)機制10

3.1.工作協(xié)調(diào)機制10

3.2.事件通報機制10

3.3.信息交流機制10

4.預(yù)警和報警11

4.1.預(yù)警11

4.2.報警11

5.啟動和實施11

5.1.啟動應(yīng)急方案11

5.1.1.網(wǎng)絡(luò)異常事件應(yīng)急處置措施12

5.1.2.主機安全處置措施15

5.1.3.應(yīng)用安全應(yīng)急處理措施22

5.1.4.中間件故障應(yīng)急處理規(guī)范28

6.應(yīng)急結(jié)束109

7.信息發(fā)布110

8.預(yù)案演練110

9.應(yīng)急保障110

9.1.應(yīng)急裝備保障110

9.2.數(shù)據(jù)保障111

9.3.應(yīng)急隊伍保障111

9.4.經(jīng)費保障111

10.附則111

10.1.預(yù)案管理Ill

10.2.制定與解釋111

10.3.預(yù)案實施時間112

11.規(guī)范化格式文件113

1.總則

1.L編制目的

通過編制和實施信息安全事件應(yīng)急預(yù)案，提高xxxxxxx網(wǎng)絡(luò)信息

安全事件應(yīng)急響應(yīng)和處置能力。對于可能發(fā)生的各種信息安全事件

或災(zāi)害，能夠在第一時間做出快速反應(yīng)并采取應(yīng)對措施，及時恢復(fù)

網(wǎng)絡(luò)和系統(tǒng)運行，減少損失，降低負面影響。

建立健全信息安全事件應(yīng)急處置策略和分級實施的應(yīng)急預(yù)案體

系；建立分離管理、分級負責(zé)、條塊結(jié)合、屬地為主的應(yīng)急管理體

制；建立統(tǒng)一指揮、反應(yīng)靈敏、協(xié)調(diào)有序、運轉(zhuǎn)高效的應(yīng)急協(xié)調(diào)機

制；健全專業(yè)化和社會化相結(jié)合的應(yīng)急保障體系，實現(xiàn)全方位、實

用的、快捷的信息安全事件應(yīng)急處置手段和能力。

L2.指導(dǎo)思想

貫徹落實***文件精?神，堅持“積極防御、綜合防范”的方針，

重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全運行。

1.3.基本原則

1.3.1.明確責(zé)任、自行制定

明確相關(guān)部門按責(zé)任和分工，落實信息安全事件應(yīng)急預(yù)案，并

緊密配合，有效地開展應(yīng)急救援和善后處置工作。

1

1.3.2.依照標準、動態(tài)調(diào)整。

本著科學(xué)的態(tài)度，遵循客觀規(guī)律，嚴格按照國家有關(guān)文件的規(guī)

范性要求以及信息安全標準、等級和技術(shù)，依據(jù)本單位的實際情況

制定信息安全事件應(yīng)急預(yù)案，并隨著信息技術(shù)的不斷發(fā)展和變化，

適時修訂和完善應(yīng)急預(yù)案。

1.3.3.指導(dǎo)監(jiān)督、重點保護。

應(yīng)急領(lǐng)導(dǎo)小組負責(zé)建立起統(tǒng)一指揮、信息共享、科學(xué)有效的防

護體系；指導(dǎo)應(yīng)急響應(yīng)小組對信息安全事件應(yīng)急預(yù)案的編制、實施

與演練；重點保障涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益

的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)。

1.3.4.預(yù)防為主、平戰(zhàn)結(jié)合。

信息安全事件應(yīng)急工作應(yīng)以積極預(yù)防為首要任務(wù)，運用信息技

術(shù)和手段，準確提供預(yù)警預(yù)報信息，及早采取有效防范措施，盡可

能防止突發(fā)信息安全事件的發(fā)生；平時加強演練，注重積累經(jīng)驗，

確保突發(fā)事故發(fā)生時能夠快速并有效的反應(yīng)。

1.4.分類分級

1.4.1.事件分類

依據(jù)分類參考要素，信息安全事件可分為環(huán)境災(zāi)害、常規(guī)事故、

內(nèi)容異常、網(wǎng)絡(luò)或系統(tǒng)異常和其他事件等5個第一層分類，在此基礎(chǔ)

2

上，信息安全事件又細分成若干個第二層和第三層分類，具體類別參

見信息安全事件的分類表：

第一層分類第二層分類第三層分類

水災(zāi)

地震災(zāi)害

地質(zhì)災(zāi)害

自然災(zāi)害

氣象災(zāi)害

自然火災(zāi)

其他自然災(zāi)害

環(huán)境災(zāi)害人為火災(zāi)

恐怖襲擊

人為災(zāi)害

戰(zhàn)爭

其他人為災(zāi)害

電力故障

外圍保障設(shè)施故障外圍網(wǎng)絡(luò)故障

其他外圍保障設(shè)施故障

硬件竊取

軟件竊取

數(shù)據(jù)竊取

常規(guī)事故有意事故

故意破壞硬件設(shè)備

故意破壞軟件

故意破壞數(shù)據(jù)

3

其他有意事故

硬件設(shè)備遺失

軟件遺失

數(shù)據(jù)遺失

無意事故誤操作破壞硬件

誤操作破壞軟件

誤操作破壞數(shù)據(jù)

其他無意事故

軟件自身故障

軟硬件自身故障

硬件自身故障

通過郵件傳播反動信息

網(wǎng)頁被篡改為反動頁面

反動內(nèi)容通過網(wǎng)頁傳播反動信息

通過其他方式傳播反動信

息

通過郵件傳播色情信息

內(nèi)容異常

網(wǎng)頁被篡改為色情頁面

色情內(nèi)容通過網(wǎng)頁傳播色情信息

通過其他方式傳播色情信

息

通過郵件傳播敏感信息

敏感內(nèi)容

通過網(wǎng)頁傳播敏感信息

4

通過其他方式傳播敏感信

息

垃圾郵件

網(wǎng)頁被篡改成異常信息

通過網(wǎng)頁傳播其他異常信

其他異常內(nèi)容

息

通過其他方式傳播異常信

息

傳統(tǒng)計算機病毒

郵件病毒

腳本病毒

計算機病毒

蠕蟲病毒

木馬程序

其他計算機病毒

網(wǎng)絡(luò)或系統(tǒng)掃描探測

異常網(wǎng)絡(luò)監(jiān)聽

間接攻擊口令攻擊

網(wǎng)絡(luò)社交攻擊

其他方式間接攻擊

拒絕服務(wù)攻擊

直接攻擊后門攻擊

漏洞攻擊

5

其他方式直接攻擊

其他事件不能歸為以上四個第一層分類的信息安全事件

1.4.2.事件分級

信息安全事件分級的參考要素包括信息密級、公眾影響和資產(chǎn)

損失等四項。各參考要素分別說明如下：

1.信息密級是衡量因信息失竊或泄密所造成的信息安全事件中

所涉及信息的重要程度的要素：

2.公眾影響是衡量信息安全事件所造成的負面影響范圍和程度

的要素；

3.業(yè)務(wù)影響是衡量信息安全事件對事發(fā)單位正常業(yè)務(wù)開展所造

成的負面影響程度的要素；

4.資產(chǎn)損失是衡量恢復(fù)系統(tǒng)正常運行和消除信息安全事件負面

影響所需付出資金代價的要素；

本預(yù)案所稱信息安全突發(fā)事故，依據(jù)其性質(zhì)、危害程度、涉及

范圍、影響大小等情況，由高到低劃分為四個等級，即：特大事故

（I級）、重大事故（H級）、較大事故（HI級）、一般事故（IV級）。

各級別的突發(fā)信息安全事件具體描述如下：

I級（特別重大）：本級突發(fā)信息安全事件對計算機系統(tǒng)或網(wǎng)絡(luò)

系統(tǒng)所承載的業(yè)務(wù)、事發(fā)單位利益以及社會公共利益有災(zāi)難性的影

響或破壞，對社會穩(wěn)定和國家安全產(chǎn)生災(zāi)難性的危害，如丟失絕密

6

信息、對國家安全造成重要影響、業(yè)務(wù)系統(tǒng)中斷八小時以上或者資

產(chǎn)損失達到1000萬元以上的信息安全事件；

n級（重大）：本級突發(fā)信息安全事件對計算機系統(tǒng)或網(wǎng)絡(luò)系

統(tǒng)所承載的業(yè)務(wù)、事發(fā)單位利益以及社會公共利益有極其嚴重的影

響或破壞，對社會穩(wěn)定、國家安全造成嚴重危害，如丟失機密信

息、對社會穩(wěn)定造成重要影響、業(yè)務(wù)系統(tǒng)中斷八小時以內(nèi)或者資產(chǎn)

損失達到300萬元以上的信息安全事件；

in級（較大）：本級突發(fā)信息安全事件對計算機系統(tǒng)或網(wǎng)絡(luò)系

統(tǒng)所承載的業(yè)務(wù)、事發(fā)單位利益以及社會公共利益有較為嚴重的影

響或破壞，對社會穩(wěn)定、國家安全產(chǎn)生一定危害，如丟失秘密信

息、對事發(fā)單位正常工作和形象造成影響、業(yè)務(wù)系統(tǒng)中斷四小時以

內(nèi)或者資產(chǎn)損失達到50萬元以上的信息安全事件；

IV級（一般）：本級突發(fā)信息安全事件對計算機系統(tǒng)或網(wǎng)絡(luò)系

統(tǒng)所承載的業(yè)務(wù)以及事發(fā)單位利益有一定的影響或破壞，或者基本

沒有影響和破壞，如丟失工作秘密、只對事發(fā)單位部分人員的正常

工作秩序造成影響、業(yè)務(wù)系統(tǒng)中斷二小時以內(nèi)或者資產(chǎn)損失僅在50

萬元以內(nèi)的信息安全事件。

1.5.預(yù)案的適用范圍

本預(yù)案適用范圍：XXXXXXX信息系統(tǒng)。

7

2.組織體系

2.1.信息安全事件應(yīng)急領(lǐng)導(dǎo)小組

信息安全事件應(yīng)急領(lǐng)導(dǎo)小組（以下簡稱信息安全領(lǐng)導(dǎo)小組），

為常設(shè)領(lǐng)導(dǎo)機構(gòu)統(tǒng)一負責(zé)信息安全突發(fā)事故的應(yīng)急救援工作。

領(lǐng)導(dǎo)小組在應(yīng)急響應(yīng)工作中的主要職責(zé)：

＞接受上級應(yīng)急處理組織機構(gòu)的領(lǐng)導(dǎo)；

＞貫徹落實上級部門有關(guān)信息系統(tǒng)突發(fā)事件應(yīng)急處理的法規(guī)、

規(guī)定研究信息系統(tǒng)重大應(yīng)急決策和部署；

＞指揮、督察、協(xié)調(diào)XXXXXXX內(nèi)部信息系統(tǒng)突發(fā)事件的應(yīng)急處

理工作；宣布XXXXXXX實施和終止信息安全應(yīng)急預(yù)案；

＞根據(jù)應(yīng)急處理需要對有關(guān)下屬單位發(fā)布指令；對其信息系統(tǒng)

突發(fā)事件應(yīng)急處理工作進行督察和指導(dǎo)；

＞及時掌握、了解、匯總內(nèi)部信息系統(tǒng)突發(fā)事件信息；

＞負責(zé)向上級有關(guān)部門匯報重大信息系統(tǒng)突發(fā)事件及其應(yīng)急處

理的情況；

2.2.息安全事件

市應(yīng)急領(lǐng)導(dǎo)小組下設(shè)應(yīng)急響應(yīng)小組。應(yīng)急響應(yīng)小組在應(yīng)急響應(yīng)

工作中的主要職責(zé)：

＞組建并調(diào)整應(yīng)急響應(yīng)工作組；

8

＞定期組織本單位網(wǎng)絡(luò)與信息系統(tǒng)的風(fēng)險評估和整改；

＞組織制訂應(yīng)急響應(yīng)相關(guān)預(yù)案并定期演練；

＞編制重大網(wǎng)絡(luò)與信息安全事件報告；

?組織各項應(yīng)急準備工作；

＞組織對本系統(tǒng)發(fā)生的重大網(wǎng)絡(luò)與信息安全事件的調(diào)查、通報

工作；

A組織和協(xié)調(diào)各種應(yīng)急資源；

＞管理本系統(tǒng)范圍內(nèi)的應(yīng)急響應(yīng)工作；

＞與跨部門應(yīng)急協(xié)調(diào)機構(gòu)進行溝通。

2.3.信息安全事件應(yīng)急響應(yīng)技術(shù)隊伍

信息安全事件應(yīng)急響應(yīng)技術(shù)隊伍XXXXXXX信息中心人員、第三方

安服人員組成，主要負責(zé)信息安全事件的事故分析評估、應(yīng)急策略

實施等工作，準確有效的完成信息安全事件應(yīng)急響應(yīng)。

應(yīng)急響應(yīng)技術(shù)隊伍主要職責(zé)：

＞執(zhí)行信息應(yīng)急響應(yīng)小組下達的應(yīng)急處置工作任務(wù)；

＞執(zhí)行信息應(yīng)急響應(yīng)小組下達的應(yīng)急處置保障任務(wù)；

＞執(zhí)行應(yīng)急處置、控制事件范圍、進行事件恢復(fù)；

＞提供技術(shù)保障、協(xié)助事件調(diào)查；

＞負責(zé)技術(shù)和業(yè)務(wù)人員之間的協(xié)調(diào)工作；

負責(zé)向信息應(yīng)急響應(yīng)小組匯報事件處理進展情況。

9

3.應(yīng)急協(xié)調(diào)機制

3.1.工作協(xié)調(diào)機制

信息安全職能管理部門，針對信息安全事件應(yīng)急處置工作，建

立一定的協(xié)調(diào)和聯(lián)動機制，發(fā)揮各自優(yōu)勢，組織相關(guān)應(yīng)急資源，共

同協(xié)助應(yīng)用單位完成信息安全事件的應(yīng)急處置和救助。

3.2.事件通報機制

管理部門之間、上下級之間、應(yīng)用單位之間、工作體系之間，

建立信息安全事件通報機制，開展橫向、縱向間的事件通報；對于事

件隱患、苗頭、潛在威脅以及可能發(fā)生的事故發(fā)出預(yù)警預(yù)報；刻于

已經(jīng)發(fā)生的事故及時通報，采取有效措施,防止類似事故發(fā)生；對

于事故處置的情況進行通報，用以警示。

3.3.信息交流機制

各部門之間，建立信息交流機制，對信息安全知識、技術(shù)、應(yīng)

用以及成功案例以及國內(nèi)外信息安全發(fā)展趨勢、最新解決方案、工

作和經(jīng)驗等情況進行交流，實現(xiàn)信息資源共享，促進信息安全工

作。

10

4.預(yù)警和報警

4.1.預(yù)警

主要包括三個方面：一是通過“天眼”等手段實施監(jiān)測，發(fā)現(xiàn)

漏洞和隱患及時提出預(yù)警報告；二是信息安全管理部門加強監(jiān)管，

做好信息安全事件預(yù)防工作。同時，收集和發(fā)布國內(nèi)外信息安全事

件預(yù)警預(yù)測信息；三是加強信息安全的普及推廣和宣傳，發(fā)揮社會

公眾的力量，發(fā)現(xiàn)問題及時向有關(guān)部門報告，以便及時開展預(yù)防。

4.2.報警

信息安全事件發(fā)生后，根據(jù)其性質(zhì)、等級和危害程度，逐級上

報。特大事故直報局信息安全事件應(yīng)急領(lǐng)導(dǎo)小組的同時報分管領(lǐng)

導(dǎo)；重大事故報局信息安全事件應(yīng)急領(lǐng)導(dǎo)小組；較大事故報局信息

應(yīng)急響應(yīng)小組；一般事故報本部門領(lǐng)導(dǎo)。

5.啟動和實施

5.L啟動應(yīng)急方案

特大事故，事故發(fā)生單位迅速啟動本級應(yīng)急預(yù)案，組織自救，

迅速控制或切斷反應(yīng)途徑，防止次生、衍生事故的連鎖反應(yīng)。同時

直報市政府應(yīng)急管理辦公室尋求援助；根據(jù)市應(yīng)急管理辦公室和市

11

應(yīng)急領(lǐng)導(dǎo)小組指示，啟動信息安全事件應(yīng)急預(yù)案并組織社會力量開

展應(yīng)急工作。

重大事故，事故發(fā)生單位緊急啟動應(yīng)急預(yù)案開展自救。同時報

市政府應(yīng)急管理領(lǐng)導(dǎo)小組和市應(yīng)急管理辦公室；根據(jù)市應(yīng)急管理辦

公室和市應(yīng)急領(lǐng)導(dǎo)小組指不，啟動信息安全事件應(yīng)急預(yù)案并組織相

關(guān)力量開展應(yīng)急工作。

較大事故，事故發(fā)生單位啟動本級應(yīng)急預(yù)案，并報應(yīng)急管理辦

公室，在應(yīng)急管理辦公室技術(shù)支持下做好應(yīng)急處置。

一般事故，事故發(fā)生單位報單位領(lǐng)導(dǎo)直接啟動應(yīng)急預(yù)案，爭取

在第一時間內(nèi)恢復(fù)運行。

若安全事件是通過“天眼”發(fā)現(xiàn)的，將在第一時間通知應(yīng)急響

應(yīng)小組相關(guān)人員進行現(xiàn)場應(yīng)急，如無法處理的將派出應(yīng)急響應(yīng)人員

前往現(xiàn)場進行協(xié)助。

5.1.1.網(wǎng)絡(luò)異常事件應(yīng)急處置措施

?定義

拒絕服務(wù)攻擊事件是指利用信息系統(tǒng)缺陷、或通過暴力攻擊的手

段，以大量消耗信息系統(tǒng)的CPU、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬等資源，

從而影響信息系統(tǒng)正常運行為目的的信息安全事件。拒絕服務(wù)發(fā)起時

往往表現(xiàn)為CPU、內(nèi)存、帶寬等的高利用率，同時由于攻擊手法和形

式的多樣性，造成對攻擊形式攻擊特征分析帶來一定的難度。當此類

攻擊發(fā)生后，可根據(jù)如下幾種歸類，確認和處理此類安全事件。

12

帶寬型攻擊

此種攻擊是以利用肉雞或者代理機器，同時向目錄網(wǎng)絡(luò)發(fā)送大量

的垃圾數(shù)據(jù)包，使得網(wǎng)絡(luò)帶寬迅速被占滿，導(dǎo)致正常用戶無法訪問。

資源消耗型攻擊

此種攻擊是利用協(xié)議和程序漏洞，利用合理的服務(wù)請求來占用過

多的服務(wù)器資源，從而使合法用戶無法得到服務(wù)。

DoS攻擊主要表現(xiàn)在以下幾個方面：

通過產(chǎn)生異常大的流量來占用所有可利用的網(wǎng)絡(luò)帶寬；

向服務(wù)器發(fā)送大量畸形的TCP/IP數(shù)據(jù)包導(dǎo)致其操作系統(tǒng)

崩潰；

向應(yīng)用軟件發(fā)送大量非法請求使其崩潰；

發(fā)出許多消耗處理器資源的請求，這樣處理器的資源被完

全消耗殆盡；

在遠程服務(wù)器上同時創(chuàng)建大量注冊登錄會話，使其它用戶

無法開始登錄會話；

通過創(chuàng)建許多大文件，占滿磁盤空間。

?啟動條件

出現(xiàn)但不限于以下現(xiàn)象：

通過抗拒絕服務(wù)攻擊設(shè)備發(fā)現(xiàn)流量持續(xù)增加數(shù)百兆以上；

終端無法訪問互聯(lián)網(wǎng)，出口交換機、負載均衡等設(shè)備無法

正常提供服務(wù)。

通過“天眼”\天眼發(fā)現(xiàn)互聯(lián)網(wǎng)接入?yún)^(qū)多臺設(shè)備或其他區(qū)域

13

多臺設(shè)備接口流量持續(xù)達到85%以上或宕機；

單個或多個業(yè)務(wù)系統(tǒng)同時出現(xiàn)無法正常提供服務(wù)的現(xiàn)象。

?帶寬型攻擊

（1）當發(fā)現(xiàn)拒絕服務(wù)攻擊時，從管理網(wǎng)段維護終端登錄安全設(shè)

備查看流量實時統(tǒng)計信息以及日志信息分析攻擊源1P;操作時間約3

分鐘。

（2）查看流量實時統(tǒng)計信息，查看攻擊流量是否有所下降；操

作時間約1分鐘

（3）如果攻擊流量仍然上升，則從管理網(wǎng)段維護終端登錄負載

均衡設(shè)備，暫時停用被攻擊IP地址的NAT功能，并立即電話通知運

營商獲得幫助，由運營商從線路上端進行流量清洗。操作時間約5分

鐘

（4）若在步驟（1）中得知攻擊源1P為內(nèi)部IP則應(yīng)立即拔掉服

務(wù)器的網(wǎng)線，將其從網(wǎng)絡(luò)中隔離出來；操作時間約2分鐘

系統(tǒng)恢復(fù)時間

外部：步驟（1）+步驟（2）+步驟（3）+步驟（4）二15分鐘

?資源消耗型攻擊

（1）當監(jiān)測系統(tǒng)發(fā)現(xiàn)重要應(yīng)用不可用時，應(yīng)急響應(yīng)小組迅速檢

查應(yīng)用所在服務(wù)器與網(wǎng)絡(luò)的正常情況、并登錄web應(yīng)安全防御設(shè)備查

看設(shè)備中是否存在異常的日志。如確定為攻擊行為則對相關(guān)日志進行

分析，確認攻擊源；操作時間約3分鐘

14

(2)若攻擊源IP數(shù)量不多，則從管理網(wǎng)段維護終端登錄防火墻,

利用訪問控制列表功能限制攻擊源TP的訪問；操作時間約5分鐘

(3)若攻擊源IP較多，則立即電話通知運營商獲得幫助，由運

營商從線路上端進行流量清洗。操作時間約3分鐘

系統(tǒng)恢復(fù)時間

外部：步驟Q)+步驟(2)+步驟(3)二11分鐘

5.1.2.主機安全處置措施

5.1.2.1.主機感染處置

?定義

惡意代碼指的是一種被隱蔽插入到另一個程序中的程序，其目的

是破壞數(shù)據(jù)、執(zhí)行破壞性和入侵性程序或破壞受害者數(shù)據(jù)的安全性和

完整性。一般來說，惡意代碼是用來在系統(tǒng)用戶不知情的情況下實現(xiàn)

其邪惡功能。惡意代碼攻擊大致可以分成五類：病毒、木馬、蠕蟲、

移動代碼和混合型攻擊。

?啟動條件

可能出現(xiàn)但不限于以下現(xiàn)象：

?文件被刪除、損壞或無法訪問;

?出現(xiàn)大量來歷不明的文件；

?系統(tǒng)不穩(wěn)定和崩潰；

15

?反病毒軟件報警有文件被感染；

?收發(fā)的郵件數(shù)量突然增加；

?字處理文檔、電子表格等模板發(fā)生了變化；

?屏幕上出現(xiàn)不尋常的東西，比如奇怪的消息或圖形；

?程序啟動慢、運行慢、或是根本無法運行；

?系統(tǒng)運行了未知的進程；

?系統(tǒng)中出現(xiàn)異常連接；

?服務(wù)器接口流量異常增大。

?實施步驟

（1）當發(fā)現(xiàn)個別服務(wù)器有被感染病毒的跡象時，應(yīng)立即拔掉服

務(wù)器的網(wǎng)線，將中毒機器從網(wǎng)絡(luò)中隔離；操作時間約2分鐘

（2）登錄被感染服務(wù)器，查看殺毒軟件是否已更新到最新版本，

若不是最新版本，則下載離線更新包進行更新；若已更新到最新版本

則進行病毒查殺；操作時間約5分鐘，

（3）若最新版本的殺毒軟件無法查殺所感染的惡意代碼，則查

看殺毒軟件告警信息，看殺毒軟件是否能夠識別所感染的惡意代碼;

操作時間約1分鐘

（4）若能夠識別，則從互聯(lián)網(wǎng)下載專殺工具進行逐一查殺；

操作時間約10分鐘

（5）若無法識別，則手動利用ICESWORD或XUETR等分析工具

逐一對操作系統(tǒng)進行惡意代碼查找與清除；操作時間約10分鐘

16

（6）如果手動方式仍然不能清除，則重裝操作系統(tǒng)并恢復(fù)相應(yīng)

的數(shù)據(jù)。操作時間約2小時

系統(tǒng)恢復(fù)時間

依據(jù)現(xiàn)場處理狀況的不同，系統(tǒng)恢復(fù)所需的時間分為以下幾種情

況：

情況1：步驟（1）+步驟（2）二7分鐘

情況2：步驟（1）+步驟（2）+步驟（3）+步驟（4）二18分鐘

情況3：步驟（1）+步驟（2）+步驟（3）+步驟（4）+步驟（5）

=28分鐘

情況4：步驟（1）+步驟（2）+步驟（3）+步驟（4）+步驟（5）

+步驟（6）=4小時28分鐘

根據(jù)惡意代碼編寫人員的技術(shù)能力，如惡意代碼的隱蔽性、免殺

程度等，恢復(fù)時間從7分鐘到4小時28分鐘不等。

5.1.2.2.操作系統(tǒng)異常處置

?定義

操作系統(tǒng)異常主要是指服務(wù)器出現(xiàn)藍屏、宕機，運行時經(jīng)常彈出

系統(tǒng)異常窗口等現(xiàn)象。

?啟動條件

可能出現(xiàn)但不限于以下現(xiàn)象：

?服務(wù)器系統(tǒng)文件丟失;

17

?服務(wù)器無法啟動；

?服務(wù)器非正常關(guān)機和重啟；

?服務(wù)器經(jīng)常彈出系統(tǒng)異常窗口；

?無法正常安裝程序。

?實施步驟

（1）發(fā)現(xiàn)服務(wù)器操作系統(tǒng)出現(xiàn)異常情況時，立即重啟服務(wù)器；

操作時間約5分鐘

（2）若重啟后異常情況未能解決且能通過異?，F(xiàn)象明確所丟失

或缺失的系統(tǒng)文件，則從系統(tǒng)安裝光盤拷貝相應(yīng)的文件后再進行重啟;

操作時間約20分鐘

（3）若重啟后異常情況未能解決，則采用系統(tǒng)光盤進行修復(fù)；

操作時間約1小時

（4）修復(fù)完成后，由服務(wù)器管理員驗證業(yè)務(wù)應(yīng)用是否運行正常；

操作時間約10分鐘

（5）若系統(tǒng)無法進行修復(fù)，在備份軟件和數(shù)據(jù)的情況下重裝系

統(tǒng)，安裝完畢后恢復(fù)相應(yīng)軟件和數(shù)據(jù)并驗證'業(yè)務(wù)應(yīng)用是否運行正常。

操作時間約2小時

系統(tǒng)恢復(fù)時間

依據(jù)現(xiàn)場處理狀況的不同，系統(tǒng)恢復(fù)所需的時間分為以下幾種情

況:

18

情況1：步驟(1)=5分鐘

情況2：步驟(1)+步驟(2)=25分鐘

情況3：步驟(1)+步驟(2)+步驟(3)+步驟(4)=2小時35

分鐘

情況4：步驟(1)+步驟(2)+步驟(3)+步驟(4)+步驟(5)

=6小時35分鐘

根據(jù)操作系統(tǒng)被破壞程度，恢復(fù)時間5分鐘到6小時35分鐘不

等。

5.1.2.3.服務(wù)器被入侵事件處置

?定義

對服務(wù)器入侵常見有兩種方式：口令破解和漏洞利用。

口令破解：密碼進行逐個推算直到找出真正的密碼為止。

漏洞利用：計算機漏洞是指應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計

上的缺陷或在編寫時產(chǎn)生的錯誤，這個缺陷或錯誤可以被不法者或者

電腦黑客利用，通過植入木馬、病毒等方式攻擊或控制整個電腦，從

而竊取電腦中的重要資料和信息，甚至破壞整個系統(tǒng)。主要表現(xiàn)在以

下幾個方面：

＞某IP地址多次嘗試登陸服務(wù)器失??；

＞公網(wǎng)未授權(quán)IP登陸服務(wù)器成功；

＞操作系統(tǒng)中出現(xiàn)異常賬戶；

＞Guest賬戶由停用狀態(tài)變?yōu)閱⒂脿顟B(tài)；

19

＞系統(tǒng)運行了未知的進程;

＞系統(tǒng)中出現(xiàn)異常連接。

?啟動條件

可能出現(xiàn)但不限十以下現(xiàn)象：

＞“天眼”'天眼監(jiān)測到某IP地址多次嘗試登陸服務(wù)器失敗；

＞“天眼”'天眼監(jiān)測到公網(wǎng)未授權(quán)IP登陸服務(wù)器成功；

＞操作系統(tǒng)中出現(xiàn)異常賬戶；

＞Guest賬戶由停用狀態(tài)變?yōu)閱⒂脿顟B(tài)；

＞操作系統(tǒng)運行變慢或出現(xiàn)宕機現(xiàn)象；

＞系統(tǒng)運行了未知的進程；

＞系統(tǒng)中出現(xiàn)異常連接。

?實施步驟

口令破解：

（1）當發(fā)現(xiàn)有服務(wù)器被暴力破解現(xiàn)象時，首先通過查看安全監(jiān)

測系統(tǒng)和服務(wù)器日志確認TP地址是內(nèi)網(wǎng)還是外網(wǎng)；操作時間約5分

鐘

（2）若是單個外網(wǎng)的IP地址，先現(xiàn)場或電話與該服務(wù)器管理員

確認是否為已授權(quán)IP;操作時間約3分鐘

（3）若確認為非授權(quán)IP則從管理網(wǎng)段維護終端登錄防火墻防火

墻，利用訪問控制列表功能限制攻擊源IP的訪問；操作時間約3分

20

鐘

(4)若是多個外網(wǎng)IP地址，則立即登錄該服務(wù)器停止遠程桌面

服務(wù)；操作時間約2分鐘

(5)若是內(nèi)網(wǎng)IP地址，先現(xiàn)場或電話與該服務(wù)器管理員確認是

否為已授權(quán)IP；操作時間約3分鐘

(6)登錄防火墻防火墻，利用訪問控制列表功能限制攻擊源IP

的訪問；并核對資產(chǎn)表定位到攻擊源；操作時間約5分鐘

(7)對該攻擊源設(shè)備進行分析，利用ICESWORD或XUETR等分

析工具逐一對操作系統(tǒng)進行惡意代碼查找與清除。操作時間約10分

鐘

(8)服務(wù)器管理員進行口令的更換。操作時間約2分鐘

處理時間

依據(jù)現(xiàn)場處理狀況的不同，系統(tǒng)恢復(fù)所需的時間分為以下幾種情

況：

情況1：步驟(1)+步驟(4)=7分鐘

情況2：步驟(1)+步驟(2)+步驟(3)二11分鐘

情況3：步驟(1)+步驟(5)+步驟(6)+步驟(7)+步驟(8)

=25分鐘

漏洞利用：

(1)當發(fā)現(xiàn)有服務(wù)器被入侵跡象時，應(yīng)立即拔掉服務(wù)器的網(wǎng)線，

將被入侵機器從網(wǎng)絡(luò)中隔離；操作時間約2分鐘

21

（2）利用ICESWORD或XUETR等分析工具對操作系統(tǒng)進行惡意

代碼查找與清除；操作時間約10分鐘

（3）服務(wù)器管理員從官方網(wǎng)站下載最新的離線補丁對服務(wù)器進

行補丁更新；操作時間約10分鐘

（4）服務(wù)器管理員驗證系統(tǒng)和應(yīng)用運行止常后再將服務(wù)器接入

網(wǎng)絡(luò)。操作時間約10分鐘

系統(tǒng)恢復(fù)時間

步驟（1）+步驟（2）+步驟（3）+步驟（4）二32分鐘

5.1.3.應(yīng)用安全應(yīng)急處理措施

5.1.3.1.針對網(wǎng)站漏洞攻擊的安全處置措施

?定義

針對網(wǎng)站漏洞常用的攻擊手段包括：SQL注入、XSS攻擊、后臺

權(quán)限繞過登錄、惡意文件上傳等：

>SQL注入：攻擊者常用的一種創(chuàng)建或修改已有SQL語句的技術(shù),

從而達到取得隱藏數(shù)據(jù)，或覆蓋關(guān)鍵的值，甚至執(zhí)行數(shù)據(jù)庫主機

操作系統(tǒng)命令的目的。

>XSS攻擊：攻擊者在網(wǎng)頁中嵌入客戶端腳本（例如JavaScript）,

當用戶瀏覽此網(wǎng)頁時，腳本就會在用戶的瀏覽器上執(zhí)行，從而

達到攻擊者的目的.比如獲取用戶的Cookie,導(dǎo)航到惡意網(wǎng)站,

攜帶木馬等。

22

>后臺權(quán)限繞過登錄：攻擊者通過精心構(gòu)造的畸形用戶名或口令繞

過后臺權(quán)限控制而登錄網(wǎng)站管理后臺，從而取得對網(wǎng)站較高程度

權(quán)限的控制。

>惡意文件上傳：利用網(wǎng)站對上傳文件類型未限制或限制不嚴格,

攻擊者能夠上傳惡意可執(zhí)行腳本文件，從而達到控制整個網(wǎng)站的

目的。

?啟動條件

由“天眼”實時對WEB應(yīng)用數(shù)據(jù)流和日志進行監(jiān)測，當監(jiān)測到數(shù)

據(jù)流或日志中出現(xiàn)具備以上攻擊特征的數(shù)據(jù)時，即可初步判斷網(wǎng)站正

在遭受惡意攻擊，可啟動WEB應(yīng)用安全應(yīng)急響應(yīng)程序。

?實施步驟

備用服務(wù)器需具備以下條件：

>一臺服務(wù)器；

>已安裝ns并配置“網(wǎng)站正在升級”的靜態(tài)頁面；

>網(wǎng)絡(luò)配置與原服務(wù)器配置一致。

(1)通過“天眼"\天眼對網(wǎng)站訪問日志的分析，發(fā)現(xiàn)有針對網(wǎng)

站掃描跡象時；操作時間約5分鐘

(2)立即從管理網(wǎng)段維護終端登錄防火墻設(shè)備，利用ACL功能

限制攻擊源1P地址對網(wǎng)站的訪問；操作時間約5分鐘

(3)通過“天眼"\天眼對網(wǎng)站訪問日志的分析，若發(fā)現(xiàn)有網(wǎng)站

后臺異常登錄，則立即與網(wǎng)站管理員進行確認是否為正常登錄；操作

時間約8分鐘

23

(4)若是非授權(quán)登錄，則在防火墻上利用ACL功能禁止未授權(quán)

TP對該服務(wù)器的訪問，同時將備用服務(wù)器接入網(wǎng)絡(luò)并啟用HS服務(wù)；

操作時間約5分鐘

(5)利用APPSCAN或WVS等WEB漏洞掃描工具找出程序漏洞后；

操作時間約2小時

(6)由網(wǎng)站管理員通知網(wǎng)站開發(fā)人員對程序或配置進行修復(fù)或

更改；操作時間約24小時

(7)修復(fù)完成后再利用APPSCAN或WVS等WEB漏洞掃描對WEB

應(yīng)用進行驗證。操作時間約2小時

系統(tǒng)恢復(fù)時間

依據(jù)現(xiàn)場處理狀況的不同，系統(tǒng)恢復(fù)所需的時間分為以下兒種情

況：

情況L步驟(1)+步驟(2)二10分鐘

情況2：步驟(3)+步驟(4)=13分鐘

分析處理時間

情況3：+步驟(5)+步驟(6)+步驟(7)=28小時

由于網(wǎng)站漏洞屬于應(yīng)用層漏洞系統(tǒng)切奧無法解決問題，因此采用

臨時替換主頁的方法，只需13分鐘即可完成。

5.1.3.2.網(wǎng)頁內(nèi)容異常應(yīng)急處置措施

?定義

網(wǎng)頁內(nèi)容異常通常是因為WEB應(yīng)用程序、WEB中間件或WEB服務(wù)

24

器本身存在漏洞，遭到攻擊者利用并取得網(wǎng)站控制權(quán)限，從而對網(wǎng)站

內(nèi)容進行篡改而產(chǎn)生的異常狀況。

?啟動條件

當網(wǎng)站出現(xiàn)異常狀況，包括但不限于：網(wǎng)站出現(xiàn)異常內(nèi)容、網(wǎng)站

出現(xiàn)異常鏈接、網(wǎng)站出現(xiàn)異常跳轉(zhuǎn)等狀況，即可初步判斷為網(wǎng)站遭到

攻擊者控制并且網(wǎng)站內(nèi)容已被攻擊者篡改。

?實施步驟

備用服務(wù)器需具備以下條件：

＞一臺服務(wù)器；

＞已安裝ns并配置“網(wǎng)站正在升級”的靜態(tài)頁面；

＞網(wǎng)絡(luò)配置與原服務(wù)器配置一致。

(1)發(fā)現(xiàn)網(wǎng)頁出現(xiàn)異常信息時，立即拔掉網(wǎng)站應(yīng)用服務(wù)器的網(wǎng)

線；操作時間約5分鐘

(2)將備用服務(wù)器接入網(wǎng)絡(luò)并啟用US服務(wù)；操作時間約5分

鐘

(3)利用WEBSHELL掃描工具對網(wǎng)站目錄進行掃描并查殺網(wǎng)頁木

馬；操作時間約40分鐘

(4)利用APPSCAN或WVS等WEB漏洞掃描工具找出程序漏洞；

操作時間約2小時

(5),由網(wǎng)站管理員通知網(wǎng)站開發(fā)人員對程序或配置進行修復(fù)或

更改；操作時間約24小時

(6)然后利用ICESWORD或XUETR等分析工具對操作系統(tǒng)進行

25

系統(tǒng)木馬查找與清除；操作時間約10分鐘

（7）由網(wǎng)站管理員清除異常信息，確認無異常信息后，再將WE

B服務(wù)啟用。操作時間約10分鐘

（8）修復(fù)完成后再利用APPSCAN或WVS等WEB漏洞掃描對WEB

應(yīng)用進行驗證。操作時間約2小時

系統(tǒng)恢復(fù)時間

步驟（1）+步驟（2）二10分鐘

分析處理時間

步驟（3）+步驟（4）+步驟（5）+步驟（6）+步驟（7）+步驟（8）

=29小時

由于網(wǎng)頁篡改是應(yīng)用層漏洞造成備用系統(tǒng)切換無法解決問題，而

且網(wǎng)頁被篡改所造成的影響較大，因此采用臨時替換主頁的方法，只

需10分鐘即可完成。

5.1.3.3.數(shù)據(jù)庫安全緊急處置

?定義

常見數(shù)據(jù)庫安全事件包括：數(shù)據(jù)庫停止響應(yīng)、數(shù)據(jù)丟失、數(shù)據(jù)遭

到非授權(quán)的篡改及登錄等。

?啟動條件

當“天眼”\天眼或數(shù)據(jù)庫管理員發(fā)現(xiàn)數(shù)據(jù)庫存在以下異?，F(xiàn)象

時，即可啟動數(shù)據(jù)庫安全應(yīng)急響應(yīng)程序。

＞數(shù)據(jù)庫停止響應(yīng)

26

A數(shù)據(jù)丟失

＞數(shù)據(jù)遭到非授權(quán)的篡改

＞異常登錄

?實施步驟

（1）通過“大眼”'大眼對數(shù)據(jù)庫審計日志的分析，發(fā)現(xiàn)有針對

數(shù)據(jù)庫異常登錄時，則立即與數(shù)據(jù)庫管理員進行確認是否為正常登錄;

操作時間約8分鐘

（2）若是非授權(quán)登錄，立即從管理網(wǎng)段維護終端登錄防火墻，

利用ACL功能限制非授權(quán)IP地址對數(shù)據(jù)庫的訪問；操作時間約5分

鐘

（3）由數(shù)據(jù)庫管理員更改數(shù)據(jù)庫異常登錄賬戶的口令；操作時

間約3分鐘

（4）訪問相應(yīng)數(shù)據(jù)庫官方網(wǎng)站確認數(shù)據(jù)庫當前版本是否存在漏

洞，若存在漏洞則從官方下載更新補丁，由數(shù)據(jù)庫管理員進行補丁更

新；操作時間約10分鐘

（5）通過“天眼”\天眼對數(shù)據(jù)庫審計日志的分析，發(fā)現(xiàn)數(shù)據(jù)庫

停止響應(yīng)，由數(shù)據(jù)庫管理員登錄數(shù)據(jù)庫服務(wù)器重啟數(shù)據(jù)庫服務(wù)；操作

時間約8分鐘

（6）若是數(shù)據(jù)丟失，則啟動恢復(fù)功能，利用備份數(shù)據(jù)對數(shù)據(jù)庫

進行恢復(fù)；操作時間約30分鐘

（7）若是數(shù)據(jù)遭到非授權(quán)的篡改，立即斷開數(shù)據(jù)庫服務(wù)器的所

有網(wǎng)絡(luò)連接，再按照（3）、（4）步驟先進行安全加固；然后啟動恢復(fù)

27

功能，利用備份數(shù)據(jù)對數(shù)據(jù)庫進行恢復(fù)。操作時間約46分鐘

系統(tǒng)恢復(fù)時間

依據(jù)現(xiàn)場處理狀況的不同，系統(tǒng)恢復(fù)所需的時間分為以下幾種情

況：

情況1：步驟(5)二8分鐘

情況2：步驟(1)+步驟(2)+步驟(3)+步驟(4)二26分鐘

情況3：步驟(6)二30分鐘

情況4：步驟(7)二46分鐘

根據(jù)數(shù)據(jù)庫不同的異常表現(xiàn)，恢復(fù)時間8分鐘到46分鐘不等。

若處理時間超過30分鐘，則啟用備用系統(tǒng)切換。

5.1.4.中間件故障應(yīng)急處理規(guī)范

?定義

常見中間件事件包括：中間件異常、中間件故障、中間件錯誤等。

?啟動條件

當網(wǎng)站出現(xiàn)異常狀況，包括但不限于：網(wǎng)站出現(xiàn)異常假死、網(wǎng)站

出現(xiàn)異狀態(tài)碼、網(wǎng)站出現(xiàn)異常返回頁面等狀況，即可初步判斷為網(wǎng)站

遭受攻擊導(dǎo)致中間件存在異?；蛘埱筮^大導(dǎo)致中間件處于假死。

28

5.1.4.1.中間件異常

?中間件設(shè)備

事件類事件級

序號事件原因處置方法

型別

在確保雙機配置一致的前提

下（通過日常巡檢來保證），

進行主備切換，看是否能恢

當處于主機的F

復(fù)業(yè)務(wù)。主備切換的方法

事件通用故5突然發(fā)生故障

有.：通過%b管理界面進行II級

1障時，如何盡快恢

切換：SystemfHighAvaila

復(fù)業(yè)務(wù)

bi1ity-^Rcdundancy^Force

Standbyo

BIG-IP剛開機時會處于Ino

perational狀態(tài)，等進程

BIG-IP系統(tǒng)處啟動完畢，配置文件加載完

事件通用故于Inoperation以后,BIG-IP會改換為Act

II級

2障al狀態(tài)如何處ive狀態(tài),或Standby狀態(tài)

理（雙機中的另外?臺處于主

機的情況下）。如果系統(tǒng)長

時間處于Inoperational狀

29

事件類事件級

序號事件原因處置方法

型別

態(tài)，一般有兩種可能，一種

可能是License沒有被激

活，另外一臺可能是配置文

件有問題無法被正常加載。

確認IG-IP系統(tǒng)Licnese是

否處于有效激活狀態(tài)有兩種

方法：一種是在WEB界面點

擊SystemLicense,查

看License信息是否有效。

如出現(xiàn)這種情況，請在

命令行按以下步驟進行操

作：

通過Web界面修1>#cp/config/bigip

改配置以后，重base,conf/root/保存bi

事件配置丟

新啟動BIG-IPgipbase,conf文件H級

3失

以后，發(fā)現(xiàn)配置2、#vi/config/bigip

丟失如何處理base,conf

把如下語句（若有）刪

掉interfacemgmt{media

none}

30

事件類事件級

序號事件原因處置方法

型別

3、檢查bigipbase.con

f文件中是否有如下語句，其

中的192.168.L245是管理

網(wǎng)口地址，實際可能不一

樣。

mgmt192.168.1.245{

netmask255.255.255.0}

若沒有，則手工添加。也可

以設(shè)為你所需要的管理網(wǎng)段

地址。

4、保存退出，執(zhí)行b1

oad重加加載配置或運行reb

oot命令重啟。

通過WEB界面修如果是處于Inoporation

改配置時出現(xiàn)Gal狀態(tài)，則可能是License

事件配置錯

eneralDatabas沒有激活或已經(jīng)到期。（LiH級

4誤

eError錯誤，cense到期的現(xiàn)象只發(fā)生在

如何處理采用了臨時License的測試

31

事件類事件級

序號事件原因處置方法

型別

設(shè)備上）。如果License已

經(jīng)處于有效激活狀態(tài)，而系

統(tǒng)處于Inoperaitonal狀

態(tài)，則有可能是配置文件有

錯誤，導(dǎo)致配置文件無法被

順利加載。如果命令行提示

符提示系統(tǒng)處于Active狀態(tài)

或Standby狀態(tài),而通過WEB

界面修改配置出現(xiàn)General

DatabaseError,則有可能

是負責(zé)WEB管理的進程出現(xiàn)

異常，可能采用bigstartt

omcatrestart的方式看能

否解決問題。

可以通過在命令行執(zhí)行P

BIG-IP系統(tǒng)Webasswdadmin重新設(shè)置admin

事件忘記密管理員admin密密碼。方法請參考http:〃t

II級

5碼碼忘記了，如何ech./home/solution

恢復(fù)s/sol3350.html-Changin

gaccountpasswordsfor

32

事件類事件級

序號事件原因處置方法

型別

thecommandlineandCon

figurationutility。

如果Root密碼丟失，且

無法進入配b管理界面，則

需要進入到單用戶模式，重

新設(shè)置Root密碼。方法請參

考SolutionID:S0L4178B

BIGTP系統(tǒng)roo

事件忘記密ootingBIG-IPinsingle

t密碼忘記了，II級

7碼usermode

如何恢復(fù)

和SolutionID:SOL335

0Changingaccountpassw

ordsforthecommand1in

eandConfigurationutil

ityo

?ns異常

事件類

序號事件原因處置方法事件級別

型

事件ns發(fā)布當前標識（NTAUaspnet_regiis-i-enabl

II級

1異常處THORITY\NETWORe

33

事件類

序號事件原因處置方法事件級別

型

理KSERVICE）沒有系統(tǒng)會顯示正在安裝.neto

對“C:'WINDOWS'稍后一切恢復(fù)正常。

Microsoft.NET\

Franiework\v2.

0.50727\Tempor

aryASP.NETFi

les"的寫訪問權(quán)

限。

說明：執(zhí)行當前

Web請求期間，

力現(xiàn)未處理的異

常。請檢查堆棧

跟蹤信息，以了

解有關(guān)該錯誤以

及代碼中導(dǎo)致錯

誤的出處的詳細

信息。

異常詳細信息：

System.Web.Htt

pException:當

34

事件類

序號事件原因處置方法事件級別

型

前標識(NTAUTH

ORITY\NETWORK

SERVICE)沒有對

"C:\WINDOWS\M

icrosoft.NET\F

ramework\v2.0.

50727\Temporar

yASP.NETFile

s”的寫訪問權(quán)限

System.OutOfMe在IIS6中，ASP.NET進程

moryException的回收閾值不再由配置節(jié)

異常處理中的“memoryLi中t”屬性決

定，而是由HS管理器中的

應(yīng)用程序池配置中的設(shè)置

事件程序異

決定。如果你有一臺大內(nèi)存IH級

2常

的服務(wù)器，同時對Win32操

作系統(tǒng)中對于進程最高使

用2G內(nèi)存的限制很郁悶，

可選的解決方法有兩個：

1、使用/3GB模式啟動計算

35

事件類

序號事件原因處置方法事件級別

型

機

2、使用WindowsServer2

00364bitsEdition

事件.IIS內(nèi)存I1S內(nèi)存泄露把虛擬內(nèi)存加到200-600

III級

3泄露

w3wp.exe進程C(1)將每個網(wǎng)站對應(yīng)唯一

PU利用率100%一個應(yīng)用程序連接池。

鼠標右鍵點擊“應(yīng)用連接

池”，選擇新建應(yīng)用連接池，

按照默認設(shè)置即可°然后鼠

標點擊相應(yīng)的網(wǎng)站，右鍵選

事件

ns異常擇屬性，在“主目錄”選項n級

4

卡的最下面就可以看到應(yīng)

用連接池了，將它選擇我們

剛剛建立的應(yīng)用連接池即

可。打開這個應(yīng)用連接池

后，我們會發(fā)現(xiàn)，在進程中

多了一個w3wp.exe進程。

36

事件類

序號事件原因處置方法事件級別