大数据中心机房安全生产应急预案.docx

大数据中心机房安全生产应急预案文档修订版本日期修改人员描述审核人员1.0目录1. 总则11.1. 1.编制目的11.2. 指导思想11.3. 基本原则11.3.1. 明确责任、自行制定11.3.2.依照标准、动态调整。21.3.3.指导监督、重点保护。21.3.4.预防为主、平战结合。21.4.分类分级21.4. 1.事件分类21.5. 2.事件分级61.6. 预案的适用范围72. 组织体系81. 1.信息安全事件应急领导小组82. 2.市信息应急响应小组83. 3.市信息安全事件应急响应技术队伍93. 应急协调机制103.1.工作协调机制103.2.事件通报机制103.3.信息交流机制104.预警和报警H4. 1.预警115. 2.报警116. 启动和实施115.1.启动应急方案115.1.1.网络异常事件应急处置措施125.1.2.主机安全处置措施155.1.3,应用安全应急处理措施225.1.4.中间件故障应急处理规范286. 应急结束1097. 信息发布1108. 预案演练1109. 应急保障1109.1.应急装备保障1109.2.数据保障Ill9.3.应急队伍保障Ill9.4.经费保障Ill10.1.预案管理Ill10.2.制定与解释Ill10. 3.预案实施时间11211. 规范化格式文件1131.总则1.1.编制目的通过编制和实施信息安全事件应急预案，提高XXXXXXX网络信息安全事件应急响应和处置能力。对于可能发生的各种信息安全事件或灾害，能够在第一时间做出快速反应并采取应对措施，及时恢复网络和系统运行，减少损失，降低负面影响。建立健全信息安全事件应急处置策略和分级实施的应急预案体系；建立分离管理、分级负责、条块结合、属地为主的应急管理体制；建立统一指挥、反应灵敏、协调有序、运转高效的应急协调机制；健全专业化和社会化相结合的应急保障体系，实现全方位、实用的、快捷的信息安全事件应急处置手段和能力。1.2.指导思想贯彻落实*文件精神，坚持“积极防御、综合防范”的方针，重点保障基础信息网络和重要信息系统的安全运行。1.3.基本原则1.3.1.明确责任、自行制定明确相关部门按责任和分工，落实信息安全事件应急预案，并紧密配合，有效地开展应急救援和善后处置工作。1.3.2.依照标准、动态调整。本着科学的态度，遵循客观规律，严格按照国家有关文件的规范性要求以及信息安全标准、等级和技术，依据本单位的实际情况制定信息安全事件应急预案，并随着信息技术的不断发展和变化，适时修订和完善应急预案。1.3.3.指导监督、重点保护。应急领导小组负责建立起统一指挥、信息共享、科学有效的防护体系；指导应急响应小组对信息安全事件应急预案的编制、实施与演练；重点保障涉及国家安全、社会秩序、经济建设和公共利益的基础信息网络和重要信息系统。1.3.4.预防为主、平战结合。信息安全事件应急工作应以积极预防为首要任务，运用信息技术和手段，准确提供预警预报信息，及早采取有效防范措施，尽可能防止突发信息安全事件的发生；平时加强演练，注重积累经验，确保突发事故发生时能够快速并有效的反应。1.4.分类分级1.4.1.事件分类依据分类参考要素，信息安全事件可分为环境灾害、常规事故、内容异常、网络或系统异常和其他事件等5个第一层分类，在此基础上，信息安全事件又细分成若干个第二层和第三层分类，具体类别参见信息安全事件的分类表：第一层分类第二层分类第三层分类环境灾害自然灾害水灾地震灾害地质灾害气象灾害自然火灾其他自然灾害人为灾害人为火灾恐怖袭击战争其他人为灾害外围保障设施故障电力故障外围网络故障其他外围保障设施故障常规事故有意事故硬件窃取软件窃取数据窃取故意破坏硬件设备故意破坏软件故意破坏数据其他有意事故无意事故硬件设备遗失软件遗失数据烟.失误操作破坏硬件误操作破坏软件误操作破坏数据其他无意事故软硬件自身故障软件自身故障硬件自身故障内容异常反动内容通过邮件传播反动信息网页被篡改为反动页面通过网页传播反动信息通过其他方式传播反动信息色情内容通过邮件传播色情信息网页被篡改为色情页面通过网页传播色情信息通过其他方式传播色情信息敏感内容通过邮件传播敏感信息通过网页传播敏感信息通过其他方式传播敏感信息其他异常内容垃圾邮件网页被篡改成异常信息通过网页传播其他异常信息通过其他方式传播异常信息网络或系统异常计算机病毒传统计算机病毒邮件病毒脚本病毒蠕虫病毒木马程序其他计算机病毒间接攻击扫描探测网络监听口令攻击网络社交攻击其他方式间接攻击直接攻击拒绝服务攻击后门攻击漏洞攻击其他方式直接攻击其他事件不能归为以上四个第一层分类的信息安全事件1.4.2.事件分级信息安全事件分级的参考要素包括信息密级、公众影响和资产损失等四项。各参考要素分别说明如下：1.信息密级是衡量因信息失窃或泄密所造成的信息安全事件中所涉及信息的重要程度的要素；2 .公众影响是衡量信息安全事件所造成的负面影响范围和程度的要素；3 业务影响是衡量信息安全事件对事发单位正常业务开展所造成的负面影响程度的要素；4 .资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素；本预案所称信息安全突发事故，依据其性质、危害程度、涉及范围、影响大小等情况，由高到低划分为四个等级，即：特大事故（I级）、重大事故（II级）、较大事故（In级）、一般事故（IV级）。各级别的突发信息安全事件具体描述如下：I级（特别重大）：本级突发信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有灾难性的影响或破坏，对社会稳定和国家安全产生灾难性的危害，如丢失绝密信息、对国家安全造成重要影响、业务系统中断八小时以上或者资产损失达到100O万元以上的信息安全事件；11级（重大）：本级突发信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有极其严重的影响或破坏，对社会稳定、国家安全造成严重危害，如丢失机密信息、对社会稳定造成重要影响、业务系统中断八小时以内或者资产损失达到300万元以上的信息安全事件；In级（较大）：本级突发信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有较为严重的影响或破坏，对社会稳定、国家安全产生一定危害，如丢失秘密信息、对事发单位正常工作和形象造成影响、业务系统中断四小时以内或者资产损失达到50万元以上的信息安全事件；IV级（一般）：本级突发信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益有一定的影响或破坏，或者基本没有影响和破坏，如丢失工作秘密、只对事发单位部分人员的正常工作秩序造成影响、业务系统中断二小时以内或者资产损失仅在50万元以内的信息安全事件。1.5. 预案的适用范围本预案适用范围：XXXXXXX信息系统。2.组织体系2. 1.信息安全事件应急领导小组信息安全事件应急领导小组（以下简称信息安全领导小组），为常设领导机构统一负责信息安全突发事故的应急救援工作。领导小组在应急响应工作中的主要职责：接受上级应急处理组织机构的领导；贯彻落实上级部门有关信息系统突发事件应急处理的法规、规定研究信息系统重大应急决策和部署；指挥、督察、协调XXXXXXX内部信息系统突发事件的应急处理工作；宣布XXXXXXX实施和终止信息安全应急预案；根据应急处理需要对有关下属单位发布指令；对其信息系统突发事件应急处理工作进行督察和指导；及时掌握、了解、汇总内部信息系统突发事件信息；负责向上级有关部门汇报重大信息系统突发事件及其应急处理的情况；2.2.息安全事件市应急领导小组下设应急响应小组。应急响应小组在应急响应工作中的主要职责：组建并调整应急响应工作组；定期组织本单位网络与信息系统的风险评估和整改；组织制订应急响应相关预案并定期演练；编制重大网络与信息安全事件报告；A组织各项应急准备工作；A组织对本系统发生的重大网络与信息安全事件的调查、通报工作；A组织和协调各种应急资源；管理本系统范围内的应急响应工作；与跨部门应急协调机构进行沟通。3. 3.信息安全事件应急响应技术队伍信息安全事件应急响应技术队伍XXXXXXX信息、中心人员、第三方安服人员组成，主要负责信息安全事件的事故分析评估、应急策略实施等工作，准确有效的完成信息安全事件应急响应。应急响应技术队伍主要职责：执行信息应急响应小组下达的应急处置工作任务；执行信息应急响应小组下达的应急处置保障任务；执行应急处置、控制事件范围、进行事件恢复；提供技术保障、协助事件调查；负责技术和业务人员之间的协调工作；负责向信息应急响应小组汇报事件处理进展情况。3.应急协调机制3.1.工作协调机制信息安全职能管理部门，针对信息安全事件应急处置工作，建立一定的协调和联动机制，发挥各自优势，组织相关应急资源，共同协助应用单位完成信息安全事件的应急处置和救助。3. 2.事件通报机制管理部门之间、上下级之间、应用单位之间、工作体系之间，建立信息安全事件通报机制,开展横向、纵向间的事件通报；对于事件隐患、苗头、潜在威胁以及可能发生的事故发出预警预报；对于已经发生的事故及时通报，采取有效措施，防止类似事故发生；对于事故处置的情况进行通报，用以警示。4. 3.信息交流机制各部门之间，建立信息交流机制，对信息安全知识、技术、应用以及成功案例以及国内外信息安全发展趋势、最新解决方案、工作和经验等情况进行交流，实现信息资源共享，促进信息安全工作。5. 预警和报警4 .1.预警主要包括三个方面：一是通过“天眼”等手段实施监测，发现漏洞和隐患及时提出预警报告；二是信息安全管理部门加强监管，做好信息安全事件预防工作。同时，收集和发布国内外信息安全事件预警预测信息；三是加强信息安全的普及推广和宣传，发挥社会公众的力量，发现问题及时向有关部门报告，以便及时开展预防。5 .2.报警信息安全事件发生后，根据其性质、等级和危害程度，逐级上报。特大事故直报局信息安全事件应急领导小组的同时报分管领导；重大事故报局信息安全事件应急领导小组；较大事故报局信息应急响应小组；一般事故报本部门领导。6 .启动和实施6.1. 启动应急方案特大事故，事故发生单位迅速启动本级应急预案，组织自救，迅速控制或切断反应途径，防止次生、衍生事故的连锁反应。同时直报市政府应急管理办公室寻求援助；根据市应急管理办公室和市应急领导小组指示，启动信息安全事件应急预案并组织社会力量开展应急工作。重大事故，事故发生单位紧急启动应急预案开展自救。同时报市政府应急管理领导小组和市应急管理办公室；根据市应急管理办公室和市应急领导小组指示，启动信息安全事件应急预案并组织相关力量开展应急工作。较大事故，事故发生单位启动本级应急预案，并报应急管理办公室，在应急管理办公室技术支持下做好应急处置。一般事故，事故发生单位报单位领导直接启动应急预案，争取在第一时间内恢复运行。若安全事件是通过”天眼”发现的，将在第一时间通知应急响应小组相关人员进行现场应急，如无法处理的将派出应急响应人员前往现场进行协助。6.1.1. 网络异常事件应急处置措施 定义拒绝服务攻击事件是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件。拒绝服务发起时往往表现为CPU、内存、带宽等的高利用率，同时由于攻击手法和形式的多样性，造成对攻击形式攻击特征分析带来一定的难度。当此类攻击发生后，可根据如下几种归类，确认和处理此类安全事件。带宽型攻击此种攻击是以利用肉鸡或者代理机器，同时向目录网络发送大量的垃圾数据包，使得网络带宽迅速被占满，导致正常用户无法访问。资源消耗型攻击此种攻击是利用协议和程序漏洞，利用合理的服务请求来占用过多的服务器资源，从而使合法用户无法得到服务。DoS攻击主要表现在以下几个方面：通过产生异常大的流量来占用所有可利用的网络带宽；向服务器发送大量畸形的TCP/IP数据包导致其操作系统UM't期溃；向应用软件发送大量非法请求使其崩溃；发出许多消耗处理器资源的请求，这样处理器的资源被完全消耗殆尽；在远程服务器上同时创建大量注册登录会话，使其它用户无法开始登录会话；通过创建许多大文件，占满磁盘空间。 启动条件出现但不限于以下现象：通过抗拒绝服务攻击设备发现流量持续增加数百兆以上；终端无法访问互联网，出口交换机、负载均衡等设备无法正常提供服务。通过“天眼”天眼发现互联网接入区多台设备或其他区域多台设备接口流量持续达到85%以上或宕机；单个或多个业务系统同时出现无法正常提供服务的现象。 带宽型攻击（1）当发现拒绝服务攻击时，从管理网段维护终端登录安全设备查看流量实时统计信息以及日志信息分析攻击源IP；操作时间约3分钟。（2）查看流量实时统计信息，查看攻击流量是否有所下降；操作时间约1分钟（3）如果攻击流量仍然上升，则从管理网段维护终端登录负载均衡设备，暂时停用被攻击IP地址的NAT功能，并立即电话通知运营商获得帮助，由运营商从线路上端进行流量清洗。操作时间约5分钟（4）若在步骤（1）中得知攻击源IP为内部IP则应立即拔掉服务器的网线，将其从网络中隔离出来；操作时间约2分钟系统恢复时间外部：步骤（1）+步骤（2）+步骤（3）+步骤（4）=15分钟资源消耗型攻击（1）当监测系统发现重要应用不可用时，应急响应小组迅速检查应用所在服务器与网络的正常情况、并登录web应安全防御设备查看设备中是否存在异常的日志。如确定为攻击行为则对相关日志进行分析，确认攻击源；操作时间约3分钟（2）若攻击源IP数量不多，则从管理网段维护终端登录防火墙,利用访问控制列表功能限制攻击源IP的访问；操作时间约5分钟（3）若攻击源IP较多，则立即电话通知运营商获得帮助，由运营商从线路上端进行流量清洗。操作时间约3分钟系统恢复时间外部：步骤（1）+步骤（2）+步骤（3）二11分钟5.1. 2.主机安全处置措施5. 1.2.1.主机感染处置 定义恶意代码指的是一种被隐蔽插入到另一个程序中的程序，其目的是破坏数据、执行破坏性和入侵性程序或破坏受害者数据的安全性和完整性。一般来说，恶意代码是用来在系统用户不知情的情况下实现其邪恶功能。恶意代码攻击大致可以分成五类：病毒、木马、蠕虫、移动代码和混合型攻击。 启动条件可能出现但不限于以下现象： 文件被删除、损坏或无法访问; 出现大量来历不明的文件； 系统不稳定和崩溃； 反病毒软件报警有文件被感染； 收发的邮件数量突然增加； 字处理文档、电子表格等模板发生了变化； 屏幕上出现不寻常的东西，比如奇怪的消息或图形； 程序启动慢、运行慢、或是根本无法运行； 系统运行了未知的进程； 系统中出现异常连接； 服务器接口流量异常增大。 实施步骤(I)当发现个别服务器有被感染病毒的迹象时，应立即拔掉服务器的网线，将中毒机器从网络中隔离；操作时间约2分钟(2)登录被感染服务器，查看杀毒软件是否已更新到最新版本，若不是最新版本，则下载离线更新包进行更新；若已更新到最新版本则进行病毒查杀；操作时间约5分钟，(3)若最新版本的杀毒软件无法查杀所感染的恶意代码，则查看杀毒软件告警信息，看杀毒软件是否能够识别所感染的恶意代码;操作时间约1分钟(4)若能够识别，则从互联网下载专杀工具进行逐一查杀；操作时间约10分钟(5)若无法识别，则手动利用ICESWORD或XUETR等分析工具逐一对操作系统进行恶意代码查找与清除；操作时间约10分钟（6）如果手动方式仍然不能清除，则重装操作系统并恢复相应的数据。操作时间约2小时系统恢复时间依据现场处理状况的不同，系统恢复所需的时间分为以下几种情况：情况1：步骤（1）+步骤（2）二7分钟情况2：步骤（1）+步骤（2）+步骤（3）+步骤（4）=18分钟情况3：步骤（1）+步骤（2）+步骤（3）+步骤（4）+步骤（5）=28分钟情况4：步骤（1）+步骤（2）+步骤（3）+步骤（4）+步骤（5）+步骤（6）=4小时28分钟根据恶意代码编写人员的技术能力，如恶意代码的隐蔽性、免杀程度等，恢复时间从7分钟到4小时28分钟不等。5.1.2.2.操作系统异常处置 定义操作系统异常主要是指服务器出现蓝屏、宕机，运行时经常弹出系统异常窗口等现象。 启动条件可能出现但不限于以下现象： 服务器系统文件丢失; 服务器无法启动； 服务器非正常关机和重启； 服务器经常弹出系统异常窗口; 无法正常安装程序。 实施步骤（I）发现服务器操作系统出现异常情况时，立即重启服务器；操作时间约5分钟（2）若重启后异常情况未能解决且能通过异常现象明确所丢失或缺失的系统文件，则从系统安装光盘拷贝相应的文件后再进行重启;操作时间约20分钟（3）若重启后异常情况未能解决，则采用系统光盘进行修复；操作时间约1小时（4）修复完成后，由服务器管理员验证业务应用是否运行正常；操作时间约10分钟（5）若系统无法进行修复，在备份软件和数据的情况下重装系统，安装完毕后恢复相应软件和数据并验证业务应用是否运行正常。操作时间约2小时系统恢复时间依据现场处理状况的不同，系统恢复所需的时间分为以下几种情况:情况1：步骤（1）二5分钟情况2：步骤（1）+步骤（2）=25分钟情况3：步骤（1）+步骤（2）+步骤（3）+步骤（4）二2小时35分钟情况4：步骤（1）+步骤（2）+步骤（3）+步骤（4）+步骤（5）=6小时35分钟根据操作系统被破坏程度，恢复时间5分钟到6小时35分钟不等。5.1.2.3.服务器被入侵事件处置定义对服务器入侵常见有两种方式：口令破解和漏洞利用。口令破解：密码进行逐个推算直到找出真正的密码为止。漏洞利用：计算机漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误，这个缺陷或错误可以被不法者或者电脑黑客利用，通过植入木马、病毒等方式攻击或控制整个电脑，从而窃取电脑中的重要资料和信息，甚至破坏整个系统。主要表现在以下几个方面：某IP地址多次尝试登陆服务器失败；公网未授权IP登陆服务器成功；操作系统中出现异常账户；GUeSt账户由停用状态变为启用状态；系统运行了未知的进程;系统中出现异常连接。启动条件可能出现但不限于以下现象：>“天眼”天眼监测到某IP地址多次尝试登陆服务器失败；> “天眼”'天眼监测到公网未授权IP登陆服务器成功；操作系统中出现异常账户；> GUeSt账户由停用状态变为启用状态；>操作系统运行变慢或出现宕机现象；系统运行了未知的进程；系统中出现异常连接。实施步骤口令破解：(1)当发现有服务器被暴力破解现象时，首先通过查看安全监测系统和服务器日志确认IP地址是内网还是外网；操作时间约5分钟(2)若是单个外网的IP地址，先现场或电话与该服务器管理员确认是否为已授权IP;操作时间约3分钟(3)若确认为非授权IP则从管理网段维护终端登录防火墙防火墙，利用访问控制列表功能限制攻击源IP的访问；操作时间约3分钟（4）若是多个外网IP地址，则立即登录该服务器停止远程桌面服务；操作时间约2分钟（5）若是内网IP地址，先现场或电话与该服务器管理员确认是否为已授权IP；操作时间约3分钟（6）登录防火墙防火墙，利用访问控制列表功能限制攻击源IP的访问；并核对资产表定位到攻击源；操作时间约5分钟（7）对该攻击源设备进行分析，利用ICESWORD或XUETR等分析工具逐一对操作系统进行恶意代码查找与清除。操作时间约10分钟（8）服务器管理员进行口令的更换。操作时间约2分钟处理时间依据现场处理状况的不同，系统恢复所需的时间分为以下几种情况：情况1：步骤（1）+步骤（4）二7分钟情况2：步骤（1）+步骤（2）+步骤（3）=11分钟情况3：步骤（1）+步骤（5）+步骤（6）+步骤（7）+步骤（8）=25分钟漏洞利用：（1）当发现有服务器被入侵迹象时，应立即拔掉服务器的网线，将被入侵机器从网络中隔离；操作时间约2分钟(2)利用ICESTVORD或XUETR等分析工具对操作系统进行恶意代码查找与清除；操作时间约10分钟(3)服务器管理员从官方网站下载最新的离线补丁对服务器进行补丁更新；操作时间约10分钟(4)服务器管理员验证系统和应用运行正常后再将服务器接入网络。操作时间约10分钟系统恢复时间步骤(1)+步骤(2)+步骤(3)+步骤(4)=32分钟5.1.3.应用安全应急处理措施5. 1.3.1.针对网站漏洞攻击的安全处置措施> 定义针对网站漏洞常用的攻击手段包括：SQ1.注入、XSS攻击、后台权限绕过登录、恶意文件上传等：> SQ1.注入：攻击者常用的一种创建或修改已有SQ1.语句的技术,从而达到取得隐藏数据，或覆盖关键的值，甚至执行数据库主机操作系统命令的目的。> XSS攻击：攻击者在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的.比如获取用户的Cookie,导航到恶意网站,携带木马等。 后台权限绕过登录：攻击者通过精心构造的畸形用户名或口令绕过后台权限控制而登录网站管理后台，从而取得对网站较高程度权限的控制。恶意文件上传：利用网站对上传文件类型未限制或限制不严格,攻击者能够上传恶意可执行脚本文件，从而达到控制整个网站的目的。 启动条件由“天眼”实时对WEB应用数据流和日志进行监测，当监测到数据流或日志中出现具备以上攻击特征的数据时，即可初步判断网站正在遭受恶意攻击，可启动TVEB应用安全应急响应程序。 实施步骤备用服务器需具备以下条件：>一台服务器；已安装HS并配置“网站正在升级”的静态页面；>网络配置与原服务器配置一致。(1)通过“天眼”天眼对网站访问日志的分析，发现有针对网站扫描迹象时；操作时间约5分钟(2)立即从管理网段维护终端登录防火墙设备，利用AC1.功能限制攻击源IP地址对网站的访问；操作时间约5分钟(3)通过“天眼”天眼对网站访问日志的分析，若发现有网站后台异常登录，则立即与网站管理员进行确认是否为正常登录；操作时间约8分钟（4）若是非授权登录，则在防火墙上利用AC1.功能禁止未授权IP对该服务器的访问，同时将备用服务器接入网络并启用HS服务；操作时间约5分钟（5）利用APPSCAN或WVS等WEB漏洞扫描工具找出程序漏洞后；操作时间约2小时（6）由网站管理员通知网站开发人员对程序或配置进行修复或更改；操作时间约24小时（7）修复完成后再利用APPSCAN或WVS等WEB漏洞扫描对WEB应用进行验证。操作时间约2小时系统恢复时间依据现场处理状况的不同，系统恢复所需的时间分为以下几种情况：情况1：步骤（1）+步骤（2）二10分钟情况2：步骤（3）+步骤（4）二13分钟分析处理时间情况3：+步骤（5）+步骤（6）+步骤（7）=28小时由于网站漏洞属于应用层漏洞系统切换无法解决问题，因此采用临时替换主页的方法，只需13分钟即可完成。5.1. 3.2,网页内容异常应急处置措施 定义网页内容异常通常是因为WEB应用程序、WEB中间件或WEB服务器本身存在漏洞，遭到攻击者利用并取得网站控制权限，从而对网站内容进行篡改而产生的异常状况。 启动条件当网站出现异常状况，包括但不限于：网站出现异常内容、网站出现异常链接、网站出现异常跳转等状况，即可初步判断为网站遭到攻击者控制并且网站内容已被攻击者篡改。 实施步骤备用服务器需具备以下条件：>一台服务器；已安装HS并配置“网站正在升级”的静态页面；>网络配置与原服务器配置一致。(1)发现网页出现异常信息时，立即拔掉网站应用服务器的网线；操作时间约5分钟(2)将备用服务器接入网络并启用HS服务；操作时间约5分钟(3)利用WEBSHE1.1.扫描工具对网站目录进行扫描并查杀网页木马；操作时间约40分钟(4)利用APPSCAN或WVS等WEB漏洞扫描工具找出程序漏洞；操作时间约2小时(5),由网站管理员通知网站开发人员对程序或配置进行修复或更改；操作时间约24小时(6)然后利用ICESWORD或XUETR等分析工具对操作系统进行系统木马查找与清除；操作时间约10分钟（7）由网站管理员清除异常信息，确认无异常信息后，再将WEB服务启用。操作时间约10分钟（8）修复完成后再利用APPSCAN或WVS等WEB漏洞扫描对WEB应用进行验证。操作时间约2小时系统恢复时间步骤（1）+步骤（2）=10分钟分析处理时间步骤（3）+步骤（4）+步骤（5）+步骤（6）+步骤（7）+步骤（8）=29小时由于网页篡改是应用层漏洞造成备用系统切换无法解决问题，而且网页被篡改所造成的影响较大，因此采用临时替换主页的方法，只需10分钟即可完成。5.1. 3.3.数据库安全紧急处置 定义常见数据库安全事件包括：数据库停止响应、数据丢失、数据遭到非授权的篡改及登录等。 启动条件当“天眼”天眼或数据库管理员发现数据库存在以下异常现象时，即可启动数据库安全应急响应程序。数据库停止响应数据丢失数据遭到非授权的篡改异常登录 实施步骤（1）通过“天眼”天眼对数据库审计日志的分析，发现有针对数据库异常登录时，则立即与数据库管理员进行确认是否为正常登录;操作时间约8分钟（2）若是非授权登录，立即从管理网段维护终端登录防火墙，利用AC1.功能限制非授权IP地址对数据库的访问；操作时间约5分钟（3）由数据库管理员更改数据库异常登录账户的口令；操作时间约3分钟（4）访问相应数据库官方网站确认数据库当前版本是否存在漏洞，若存在漏洞则从官方下载更新补丁，由数据库管理员进行补丁更新；操作时间约10分钟（5）通过“天眼”天眼对数据库审计日志的分析，发现数据库停止响应，由数据库管理员登录数据库服务器重启数据库服务；操作时间约8分钟（6）若是数据丢失，则启动恢复功能，利用备份数据对数据库进行恢复；操作时间约30分钟（7）若是数据遭到非授权的篡改，立即断开数据库服务器的所有网络连接，再按照（3）、（4）步骤先进行安全加固；然后启动恢复功能，利用备份数据对数据库进行恢复。操作时间约46分钟系统恢复时间依据现场处理状况的不同，系统恢复所需的时间分为以下几种情况:情况1：步骤（5）二8分钟情况2：步骤（1）+步骤（2）+步骤（3）+步骤（4）二26分钟情况3：步骤（6）二30分钟情况4：步骤（7）二46分钟根据数据库不同的异常表现，恢复时间8分钟到46分钟不等。若处理时间超过30分钟，则启用备用系统切换。5.1.4.中间件故障应急处理规范定义常见中间件事件包括：中间件异常、中间件故障、中间件错误等。启动条件当网站出现异常状况，包括但不限于：网站出现异常假死、网站出现异状态码、网站出现异常返回页面等状况，即可初步判断为网站遭受攻击导致中间件存在异常或请求过大导致中间件处于假死。5.1.4.1.中间件异常中间件设备序号事件类型事件原因处置方法事件级别事件1通用故障当处于主机的F5突然发生故障时，如何尽快恢复业务在确保双机配置一致的前提下（通过日常巡检来保证），进行主备切换，看是否能恢复业务。主备切换的方法有：通过Web管理界面进行切换：System÷HighAvailabi1ity÷Redundancy÷ForceStandbyoII级事件2通用故障BIG-IP系统处于Inoperational状态如何处理BIG-IP刚开机时会处于InoPerational状态，等进程启动完毕，配置文件加载完以后，BlG-EP会改换为ACtive状态，或Standby状态（双机中的另外一台处于主机的情况下）。如果系统长时间处于Inoperational状II级序号事件类型事件原因处置方法事件级别态，一般有两种可能，一种可能是1.icense没有被激活，另外一台可能是配置文件有问题无法被正常加载。确认IG-IP系统1.iCneSe是否处于有效激活状态有两种方法：一种是在WEB界面点,System1.icense,查看1.icense信息是否有效。事件3配置丢失通过Web界面修改配置以后，重新启动BlG-IP以后，发现配置丢失如何处理如出现这种情况，请在命令行按以下步骤进行操作：1、 #CPconfigbigip_base.conf/root/保存bigip_base.COnf文件2、 #vi/config/bigipbase,conf把如下语句（若有）删掉interfacemgmtmedianoneII级序号事件类型事件原因处置方法事件级别3、检查bigipJbaSe.conf文件中是否有如下语句,其中的192.168.1.245是管理网口地址，实际可能不一样。mgmt192.168.1.245netmask255.255.255.0若没有，则手工添加。也可以设为你所需要的管理网段地址。4、保存退出，执行b1Oad重加加载配置或运行rebOot命令重启。事件4配置错误通过WEB界面修改配置时出现GeneralDatabaseErrOr错误，如何处理如果是处于InOPerational状态,则可能是1.iCenSe没有激活或已经到期。（1.iConSo到期的现象只发生在采用了临时1.iCenSe的测试II级序号事件类型事件原因处置方法事件级别设备上）。如果1.iCenSe已经处于有效激活状态，而系统处于InoPeraitOnal状态，则有可能是配置文件有错误，导致配置文件无法被顺利加载。如果命令行提示符提示系统处于ACtiVe状态或Standby状态，而通过WEB界面修改配置出现GeneralDatabaseError,则有可能是负责WEB管理的进程出现异常，可能采用bigstarttomcatrestart的方式看能否解决问题。事件5忘记密码BIG-IP系统Web管理员admin密码忘记了，如何恢复可以通过在命令行执行Passwdadmin重新设置admin密码。方法请参考http:homesolutionssol3350.html-Changingaccountpasswordsfor级序号事件类型事件原因处置方法事件级别thecommandlineandConfigurationUtilityo事件7忘记密码BIG-IP系统root密码忘记了，如何恢复如果ROOt密码丢失，且无法进入Web管理界面，则需要进入到单用户模式，重新设置Root密码。方法请参考SOlUtiOnID:S01.4178BootingBIG-IPinsingleusermode和SoIUtiOnID:S01.335OChangingaccountpasswordsforthecommandIineandConfigurationutilityo级ns异常序号事件类型事件原因处置方法事件级别事件1IlS发布异常处当前标识（NTAUTHORITYNETWORaspnet_regiis-i-enableH级序号事件类型事件原因处置方法事件级别理KSERVICE）没有对“C:'WINDOWS'Microsoft.NETFrameworkv2.0.50727TemporaryASP.NETFiles”的写访问权限。说明：执行当前Web请求期间，出现未处理的异常。请检查堆栈跟踪信息，以了解有关该错误以及代码中导致错误的出处的详细信息。异常详细信息：System.Web.HttpException:当系统会显示正在安装.neto稍后一切恢复正常。序号事件类型事件原因处置方法事件级别前标识(NTAUTHORITYNETWORKSERVICE)没有对“C:WINDOWSMicrosoft.NETFrameworkv2.0.50727TemporaryASP.NETFiles”的写访问权限事件2程序异常System.OutOfMeIiioryException异常处理在IIS6中，ASP.NET进程的回收阈值不再由配置节中的“memory1.imit”属性决定，而是由IIS管理器中的应用程序池配置中的设置决定。如果你有一台大内存的服务器,同时对Win32操作系统中对于进程最高使用2G内存的限制很郁闷，可选的解决方法有两个：1、使用/3GB模式启动计算In级序号事件类型事件原因处置方法事件级别机2、使用WindowsServer200364bitsEdition事件.3IIS内存泄露IIS内存泄露把虚拟内存加到200-600III级事件4IlS异常w3wp.exe进程CPU利用率100%(1)将每个网站对应唯一一个应用程序连接池。鼠标右键点击“应用连接池”，选择新建应用连接池，按照默认设置即可。然后鼠标点击相应的网站，右键选择属性，在“主目录”选项卡的最下面就可以看到应用连接池了，将它选择我们刚刚建立的应用连接池即可。打开这个应用连接池后，我们会发现，在进程中多了一个w3wp.exe进程。H级序号事件类型事件原因处置方法事件级别将每个