網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急預(yù)案一、風(fēng)險(xiǎn)評(píng)估1.誘因識(shí)別1.1外部攻擊：APT組織、黑產(chǎn)團(tuán)伙、勒索軟件運(yùn)營(yíng)方、境外情報(bào)機(jī)構(gòu)、競(jìng)爭(zhēng)對(duì)手雇傭黑客。1.2內(nèi)部威脅：離職員工植入后門、運(yùn)維人員誤操作、開發(fā)測(cè)試環(huán)境配置漂移、第三方外包人員濫用特權(quán)賬號(hào)。1.3供應(yīng)鏈：OA系統(tǒng)0day、VPN設(shè)備固件后門、開源組件投毒、云服務(wù)商API密鑰泄露。1.4自然災(zāi)害與基礎(chǔ)設(shè)施：機(jī)房所在區(qū)域7級(jí)以上地震、50年一遇暴雨導(dǎo)致水浸、雙路市電同時(shí)掉電超過(guò)4小時(shí)、運(yùn)營(yíng)商BGP路由劫持。1.5合規(guī)與輿情：未按時(shí)完成等級(jí)保護(hù)測(cè)評(píng)、數(shù)據(jù)跨境傳輸被監(jiān)管通報(bào)、社交平臺(tái)出現(xiàn)“數(shù)據(jù)泄露”熱搜。2.發(fā)生等級(jí)Ⅰ級(jí)（特別重大）：核心業(yè)務(wù)系統(tǒng)不可用≥4小時(shí)，或敏感數(shù)據(jù)泄露≥10萬(wàn)條，或監(jiān)管定性為“特別重大”事件。Ⅱ級(jí)（重大）：核心業(yè)務(wù)系統(tǒng)不可用1–4小時(shí)，或敏感數(shù)據(jù)泄露1–10萬(wàn)條，或勒索軟件加密關(guān)鍵數(shù)據(jù)庫(kù)。Ⅲ級(jí)（較大）：非核心業(yè)務(wù)系統(tǒng)不可用30分鐘–1小時(shí)，或敏感數(shù)據(jù)泄露1000–1萬(wàn)條，或釣魚郵件導(dǎo)致5人以上賬號(hào)被盜。Ⅳ級(jí)（一般）：?jiǎn)吸c(diǎn)設(shè)備故障、漏洞掃描發(fā)現(xiàn)高危但未利用、垃圾郵件批量發(fā)送。3.風(fēng)險(xiǎn)矩陣將“發(fā)生概率”與“影響程度”交叉，得出紅色區(qū)域6個(gè)、橙色區(qū)域9個(gè)、黃色區(qū)域12個(gè)、綠色區(qū)域18個(gè)；紅色區(qū)域必須在本年度內(nèi)降到橙色以下，否則追加預(yù)算20%用于加固。二、職責(zé)分工（到人到崗）1.應(yīng)急指揮部總指揮：分管信息化副校長(zhǎng)（A角）、信息化辦公室主任（B角），24小時(shí)值班電話1380001。副總指揮：宣傳部部長(zhǎng)、保衛(wèi)處處長(zhǎng)、后勤管理處處長(zhǎng)。成員：網(wǎng)絡(luò)中心、教務(wù)處、學(xué)生處、財(cái)務(wù)處、各二級(jí)學(xué)院信息化聯(lián)絡(luò)員。2.技術(shù)支撐組組長(zhǎng)：網(wǎng)絡(luò)中心安全科科長(zhǎng)（A角）、系統(tǒng)架構(gòu)師（B角）。取證小組：2名具備GCFE證書工程師，負(fù)責(zé)內(nèi)存、磁盤、流量鏡像保全。研判小組：2名CISSP+1名逆向工程師，負(fù)責(zé)樣本分析、攻擊鏈還原。處置小組：3名運(yùn)維+2名開發(fā)，負(fù)責(zé)隔離、補(bǔ)丁、恢復(fù)、加固。供應(yīng)鏈小組：1名采購(gòu)+1名法務(wù)+1名安全，負(fù)責(zé)聯(lián)系廠商、合同追責(zé)。3.業(yè)務(wù)保障組組長(zhǎng)：教務(wù)處副處長(zhǎng)。成員：選課系統(tǒng)管理員、在線教學(xué)平臺(tái)廠商駐場(chǎng)、各學(xué)院教學(xué)秘書。職責(zé)：在系統(tǒng)不可用時(shí)30分鐘內(nèi)啟動(dòng)“離線教學(xué)模式”，包括教室現(xiàn)場(chǎng)U盤課件、微信群QQ群臨時(shí)直播。4.輿情與法務(wù)組組長(zhǎng)：宣傳部副部長(zhǎng)。成員：校聘律師、數(shù)據(jù)合規(guī)專員、學(xué)生輔導(dǎo)員。職責(zé)：2小時(shí)內(nèi)完成對(duì)外通稿，6小時(shí)內(nèi)完成受影響主體告知，24小時(shí)內(nèi)完成監(jiān)管報(bào)告。5.后勤保障組組長(zhǎng)：后勤管理處副處長(zhǎng)。職責(zé)：應(yīng)急車輛2輛、便攜式柴油發(fā)電機(jī)1臺(tái)、UPS續(xù)航6小時(shí)、應(yīng)急盒飯200份、折疊床20套。三、分階段處置流程階段0：日常加固（全年）責(zé)任人：安全科科長(zhǎng)操作步驟：0.1每周二凌晨02:00–04:00進(jìn)行漏洞掃描，掃描器Tenable+自研指紋插件；高危漏洞48小時(shí)內(nèi)閉環(huán)。0.2每月第一周進(jìn)行釣魚演練，樣本庫(kù)120個(gè)，點(diǎn)擊率>5%的部門需重新培訓(xùn)。0.3每季度進(jìn)行一次特權(quán)賬號(hào)梳理，使用BeyondInsight回收閑置賬號(hào)，僵尸賬號(hào)率控制在1%以內(nèi)。0.4每半年進(jìn)行一次紅藍(lán)對(duì)抗，藍(lán)隊(duì)5人、紅隊(duì)3人外部廠商，對(duì)抗報(bào)告30頁(yè)以上，整改完成率100%。階段1：發(fā)現(xiàn)與初判（0–15分鐘）責(zé)任人：安全運(yùn)營(yíng)值班員（SOC）操作步驟：1.1SOC收到防火墻/EDR/SIEM告警，5分鐘內(nèi)通過(guò)企業(yè)微信“應(yīng)急群”發(fā)布事件編號(hào)EVT年月日序號(hào)。1.2使用Playbook判斷是否真實(shí)攻擊：流量特征匹配、沙箱行為評(píng)分>70、同一源IP在10分鐘內(nèi)觸發(fā)3條以上不同規(guī)則。1.3初判為Ⅲ級(jí)及以上事件，立即電話通知總指揮；Ⅳ級(jí)事件通知安全科科長(zhǎng)即可。階段2：?jiǎn)?dòng)與集結(jié)（15–30分鐘）責(zé)任人：總指揮操作步驟：2.1發(fā)布《突發(fā)事件啟動(dòng)令》，釘釘、短信、電話三路并行，確保15分鐘內(nèi)技術(shù)支撐組全員上線。2.2開通VPN應(yīng)急通道，僅允許技術(shù)支撐組IP白名單，MFA二次認(rèn)證。2.3后勤保障組將應(yīng)急指揮車開至網(wǎng)絡(luò)中心樓下，車內(nèi)配備5GCPE、衛(wèi)星電話、打印復(fù)印一體機(jī)。階段3：隔離與遏制（30分鐘–2小時(shí)）責(zé)任人：技術(shù)支撐組·處置小組組長(zhǎng)操作步驟：3.1根據(jù)“最小業(yè)務(wù)單元”原則，將受影響VLAN從核心交換機(jī)摘除，ACL下發(fā)到邊界防火墻，阻斷外聯(lián)C2地址。3.2對(duì)已被勒索軟件加密的主機(jī)，使用腳本批量關(guān)機(jī)，防止加密范圍擴(kuò)大；腳本存放于GitLab，MD5校驗(yàn)。3.3在WAF上啟用“緊急模式”，所有上傳目錄禁止寫入、所有.php/.jsp禁止執(zhí)行。3.4若涉及供應(yīng)鏈0day，立即聯(lián)系廠商獲取虛擬補(bǔ)丁，同步在測(cè)試環(huán)境驗(yàn)證，30分鐘內(nèi)上線。階段4：取證與研判（并行進(jìn)行，1–8小時(shí)）責(zé)任人：技術(shù)支撐組·取證小組組長(zhǎng)操作步驟：4.1使用Falcon工具對(duì)Windows主機(jī)做內(nèi)存dump，Linux主機(jī)使用LiME；dump文件存入只讀NAS，SHA256寫入?yún)^(qū)塊鏈存證。4.2網(wǎng)絡(luò)流量使用TAP鏡像到48TB冷存儲(chǔ)，保留90天，關(guān)鍵會(huì)話使用Moloch索引。4.3逆向工程師使用IDA+Ghidra分析樣本，提取IOC（IP、域名、文件哈希、互斥量、DGA種子），寫入MISP平臺(tái)。4.4研判小組2小時(shí)內(nèi)輸出《攻擊者畫像》：動(dòng)機(jī)（勒索/竊密/破壞）、技術(shù)等級(jí)（ATT&CK映射到11階段37技術(shù)）、是否駐留。階段5：根除與恢復(fù)（2–24小時(shí)）責(zé)任人：業(yè)務(wù)保障組+技術(shù)支撐組操作步驟：5.1依據(jù)“黃金鏡像”重新安裝操作系統(tǒng)，鏡像每月1日更新，存放在隔離倉(cāng)庫(kù)，使用SHA256校驗(yàn)。5.2數(shù)據(jù)庫(kù)恢復(fù)采用“321”策略：3份副本、2種介質(zhì)、1份離線；RPO≤15分鐘，使用binlog+CDP實(shí)現(xiàn)。5.3啟用灰度發(fā)布，先恢復(fù)10%流量，觀察30分鐘無(wú)異常后逐步提升到100%。5.4對(duì)全校師生發(fā)送強(qiáng)制密碼重置郵件，72小時(shí)內(nèi)未修改賬號(hào)將臨時(shí)禁用；MFA啟用率100%。階段6：總結(jié)與改進(jìn)（24–168小時(shí)）責(zé)任人：應(yīng)急指揮部操作步驟：6.148小時(shí)內(nèi)完成《事件報(bào)告》，包含時(shí)間線、損失評(píng)估、整改清單、責(zé)任人；報(bào)告提交教育廳、網(wǎng)信辦。6.2召開“復(fù)盤會(huì)”，使用5Why法找根因，會(huì)議記錄全員簽字，10日內(nèi)完成整改。6.3若事件等級(jí)為Ⅰ級(jí)，聘請(qǐng)外部機(jī)構(gòu)做“事后審計(jì)”，預(yù)算30萬(wàn)元，審計(jì)報(bào)告公開到校內(nèi)OA。資源清單（隨時(shí)可調(diào)用）硬件：備用核心交換機(jī)2臺(tái)（型號(hào)與現(xiàn)網(wǎng)一致）、服務(wù)器裸機(jī)50臺(tái)（已預(yù)裝ESXi）、應(yīng)急筆記本20臺(tái)（含串口線、網(wǎng)線、光口轉(zhuǎn)接器）。軟件：EDR許可證5000點(diǎn)、災(zāi)備云100TB、SSLVPN并發(fā)1000用戶、取證工具Falcon、ReaQta、NUIX。文檔：網(wǎng)絡(luò)拓?fù)鋱D（Visio+PDF）、資產(chǎn)清單（CMDB導(dǎo)出Excel）、應(yīng)急預(yù)案（正本鎖鐵皮柜、電子PDF加密）。外部：省教育網(wǎng)應(yīng)急響應(yīng)中心、公安機(jī)關(guān)網(wǎng)安支隊(duì)、運(yùn)營(yíng)商重保團(tuán)隊(duì)、三家安全廠商SLA4小時(shí)到場(chǎng)。四、演練計(jì)劃1.桌面推演：每學(xué)期第3周，使用“密室劇本殺”模式，事件卡片30張，隨機(jī)抽取3張串聯(lián)成場(chǎng)景，2小時(shí)內(nèi)完成。2.實(shí)戰(zhàn)演練：每年6月進(jìn)行“紅藍(lán)對(duì)抗+業(yè)務(wù)連續(xù)性”雙演練，紅隊(duì)5人外部廠商，藍(lán)隊(duì)15人校內(nèi)，演練時(shí)長(zhǎng)8小時(shí)，覆蓋30%真實(shí)流量。3.專項(xiàng)演練：3.1勒索軟件：11月進(jìn)行，使用模擬病毒包，在隔離網(wǎng)段釋放，驗(yàn)證備份恢復(fù)能力。3.2供應(yīng)鏈：3月進(jìn)行，模擬VPN設(shè)備固件后門，驗(yàn)證TAP流量鏡像、日志回溯。3.3輿情：9月進(jìn)行，模擬微博熱搜“學(xué)生數(shù)據(jù)被兜售”，驗(yàn)證2小時(shí)內(nèi)公告、4小時(shí)內(nèi)媒體采訪應(yīng)答。4.演練評(píng)估使用“演練成熟度模型”五級(jí)評(píng)分，低于三級(jí)（≤2.5分）的部門，扣減年度信息化經(jīng)費(fèi)5%，并強(qiáng)制重練。五、動(dòng)態(tài)更新機(jī)制1.威脅情報(bào)驅(qū)動(dòng)：每日08:30自動(dòng)拉取7家威脅情報(bào)源，STIX格式，與SIEM對(duì)接，高置信度IOC30分鐘內(nèi)下發(fā)阻斷。2.合規(guī)變化驅(qū)動(dòng)：等保2.0標(biāo)準(zhǔn)、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法出臺(tái)30日內(nèi)，完成制度修訂，組織培訓(xùn)。3.事后復(fù)盤驅(qū)動(dòng)：每次Ⅲ級(jí)及以上事件結(jié)束后，更新預(yù)案“處置步驟”章節(jié)，版本號(hào)采用SemanticVersioning，主版本號(hào)+1表示重大流程調(diào)整。4.技術(shù)演進(jìn)驅(qū)動(dòng)：新上線云原生平臺(tái)、IPv6、物聯(lián)網(wǎng)、5G專網(wǎng)，需在上線前15日完成風(fēng)險(xiǎn)評(píng)估并更新預(yù)案。5.人員變動(dòng)驅(qū)動(dòng)：關(guān)鍵崗位（總指揮、技術(shù)支撐組長(zhǎng)、取證小組長(zhǎng)）發(fā)生變更，3日內(nèi)重新發(fā)布通訊錄，7日內(nèi)完成授權(quán)交接。六、應(yīng)急通訊錄（節(jié)選）總指揮：副校長(zhǎng)張1380001技術(shù)支撐組長(zhǎng)：安全科科長(zhǎng)李1390002取證小組長(zhǎng)：王1370003省教育網(wǎng)應(yīng)急響應(yīng)中心：055112345公安網(wǎng)安支隊(duì)：0551110轉(zhuǎn)網(wǎng)安后勤應(yīng)急車隊(duì)長(zhǎng)：趙1360004備用郵箱：emergency@，PGP公鑰指紋3F4B9A62……七、獎(jiǎng)懲條款1.在Ⅰ級(jí)事件中，提前30分