中學(xué)校園網(wǎng)絡(luò)安全管理應(yīng)急預(yù)案一、風(fēng)險評估1.誘因與發(fā)生等級1.1外部攻擊（1）DDoS洪水攻擊：攻擊者利用僵尸網(wǎng)絡(luò)對校園出口IP發(fā)起100Gbps級流量沖擊，導(dǎo)致教學(xué)平臺、選課系統(tǒng)、監(jiān)控網(wǎng)全部癱瘓。發(fā)生概率0.35次/年，影響等級Ⅳ級（重大）。（2）勒索軟件投遞：通過魚叉郵件或U盤擺渡，加密教師個人電腦與文件服務(wù)器，索要5萬元等值比特幣。發(fā)生概率0.5次/年，影響等級Ⅲ級（較大）。（3）網(wǎng)站篡改：黑客利用CMS0day在首頁插入政治違法信息，引發(fā)輿情。發(fā)生概率0.8次/年，影響等級Ⅲ級。1.2內(nèi)部隱患（1）弱口令：教務(wù)系統(tǒng)62%賬號仍使用初始密碼“123456”，可被暴力破解。風(fēng)險等級Ⅱ級（一般），但疊加數(shù)據(jù)泄露后升為Ⅲ級。（2）私搭NAT：宿舍私接312臺小路由，形成“影子網(wǎng)絡(luò)”，導(dǎo)致內(nèi)網(wǎng)橫向滲透路徑不可見。風(fēng)險等級Ⅲ級。（3）實(shí)驗機(jī)房老舊WindowsXP未打補(bǔ)丁，永恒之藍(lán)漏洞存在，可被蠕蟲利用成為跳板。風(fēng)險等級Ⅲ級。1.3物理與環(huán)境（1）UPS電池老化，若遇突發(fā)停電，核心防火墻直接掉電，日志丟失。風(fēng)險等級Ⅱ級。（2）弱電間滲水，2022年7月曾造成匯聚交換機(jī)短路，斷網(wǎng)6小時。風(fēng)險等級Ⅲ級。1.4供應(yīng)鏈（1）校訊通外包公司云端API未做鑒權(quán)，可越權(quán)下載1.7萬條家長身份證號。風(fēng)險等級Ⅲ級。2.風(fēng)險矩陣將概率與損失進(jìn)行5×5矩陣量化，得分≥12定義為紅色風(fēng)險，共6項；9–11為橙色4項；其余為黃色。紅色風(fēng)險必須在本預(yù)案中給出30分鐘內(nèi)可執(zhí)行的閉環(huán)處置流程。二、應(yīng)急組織架構(gòu)與職責(zé)分工1.領(lǐng)導(dǎo)小組組長：校長陳國華（07738880001，短號6666）職責(zé)：決策停課、斷網(wǎng)、向市教育局報告、對外發(fā)聲。2.指揮部指揮長：分管信息化副校長李梅（07738880002，短號6667）副指揮長：信息中心主任王勇、政教主任張斌職責(zé)：啟動預(yù)案、資源調(diào)配、對外聯(lián)絡(luò)公安網(wǎng)安、教育局、供電、運(yùn)營商。3.技術(shù)處置組組長：信息中心副主任劉洋（07738880103，短號6610）成員：（1）網(wǎng)絡(luò)工程師趙勇：負(fù)責(zé)邊界ACL、黑洞路由、流量清洗。（2）系統(tǒng)管理員孫婷：負(fù)責(zé)服務(wù)器隔離、補(bǔ)丁、備份校驗。（3）安全運(yùn)維李思宇：負(fù)責(zé)日志取證、樣本提取、沙箱分析。（4）數(shù)據(jù)庫管理員周旭：負(fù)責(zé)MySQL、Oracle應(yīng)急賬戶凍結(jié)、數(shù)據(jù)脫機(jī)備份。（5）應(yīng)用開發(fā)胡凱：負(fù)責(zé)教務(wù)、一卡通、校訊通代碼回滾。4.輿情與家校聯(lián)絡(luò)組組長：校辦主任吳丹（07738880005，短號6669）成員：年級組長8人、班主任62人、家委會會長1人。職責(zé)：30分鐘內(nèi)通過企業(yè)微信、校訊通、短信三通道同步公告；每1小時更新一次；監(jiān)控貼吧、抖音、微博負(fù)面詞條，30分鐘內(nèi)完成舉報下架。5.后勤保障組組長：總務(wù)主任高峰（07738880006，短號6670）職責(zé)：UPS發(fā)電、弱電間抽排水、備用光纖熔接、應(yīng)急餐飲、車輛調(diào)度。6.法律與合規(guī)組組長：法治副校長曹靜（市司法局掛職，138xxxx8888）職責(zé)：配合公安取證、家長索賠談判、教育局問責(zé)材料準(zhǔn)備。三、預(yù)防與監(jiān)測措施1.資產(chǎn)清單（1）網(wǎng)絡(luò)：銳捷核心2臺、匯聚14臺、接入236臺，防火墻3臺，WAF2臺，IPS1臺，上網(wǎng)行為管理1臺，無線AC3臺，AP680臺。（2）服務(wù)器：虛擬化集群5節(jié)點(diǎn)188臺虛擬機(jī)，物理服務(wù)器42臺，存儲3套260TB。（3）終端：教師筆記本482臺，辦公臺式312臺，機(jī)房學(xué)生機(jī)1200臺，教室觸控一體機(jī)96臺。（4）應(yīng)用：教務(wù)、選課、成績、綜合素質(zhì)評價、一卡通、視頻監(jiān)控、IP廣播、網(wǎng)站、微信公眾號、企業(yè)微信、校訊通、釘釘。2.監(jiān)測體系（1）流量探針：部署2臺40G探針，對互聯(lián)網(wǎng)出口、數(shù)據(jù)中心東西向流量全量鏡像，規(guī)則庫47000條，告警閾值：單IP外連≥50次/分鐘且payload≥1MB。（2）EDR：覆蓋100%教師終端，后臺設(shè)置勒索加密行為檢測，發(fā)現(xiàn)10秒內(nèi)彈窗并斷網(wǎng)。（3）日志集中：使用Graylog，每秒18000條，保留180天；關(guān)鍵系統(tǒng)日志實(shí)時備份到異地NAS。（4）漏洞掃描：每周一次基線掃描，每月一次滲透測試，開學(xué)前完成所有系統(tǒng)復(fù)測。3.基線加固（1）所有交換機(jī)開啟802.1X，教師賬號+MAC+IP三元綁定。（2）Windows強(qiáng)制14位復(fù)雜口令，Linux密鑰+堡壘機(jī)。（3）關(guān)閉數(shù)據(jù)中心所有USB口，BIOS加密碼。（4）網(wǎng)站后臺限定校內(nèi)IP+VPN雙因子。四、分階段處置流程階段0日常監(jiān)測（T0）責(zé)任人：安全運(yùn)維李思宇操作：（1）08:30登錄SOC查看夜間告警，對“高?！奔墑e事件15分鐘內(nèi)定性。（2）09:00向技術(shù)處置組微信群推送《每日安全簡報》。階段1事件發(fā)現(xiàn)與初判（T0+5分鐘）觸發(fā)條件：SOC紅色告警、師生大規(guī)模無法上網(wǎng)、首頁被篡改、勒索彈窗。責(zé)任人：值班人員（信息中心每日輪值表）操作：（1）5分鐘內(nèi)電話報告劉洋，同時登錄VPN截屏取證。（2）在“應(yīng)急作戰(zhàn)群”發(fā)出“@所有人疑似重大網(wǎng)絡(luò)安全事件，代碼R001，立即就位”。階段2啟動預(yù)案（T0+15分鐘）責(zé)任人：指揮長李梅操作：（1）宣布啟動《校園網(wǎng)絡(luò)安全應(yīng)急預(yù)案Ⅰ/Ⅱ/Ⅲ/Ⅳ級》。（2）通知領(lǐng)導(dǎo)小組到校，同時向市教育局信息科、公安網(wǎng)安大隊報備。（3）發(fā)布校內(nèi)廣播：“網(wǎng)絡(luò)臨時維護(hù)，所有師生停止使用個人賬號登錄教務(wù)系統(tǒng)”。階段3快速止血（T0+30分鐘）3.1邊界封控責(zé)任人：趙勇資源清單：銳捷N18000防火墻、黑洞路由表、運(yùn)營商清洗中心100G高防IP。操作：（1）在防火墻創(chuàng)建“EmergencyDeny”地址組，將攻擊源IP/24整段加入并永久丟棄。（2）若DDoS流量≥60G，啟用運(yùn)營商清洗，將流量牽引至2.2.2.2高防，DNS切換cname到清洗別名。3.2核心隔離責(zé)任人：劉洋操作：（1）關(guān)閉受影響VLAN的SVI接口，切斷橫向移動。（2）將教務(wù)系統(tǒng)所在ESXi集群劃入“Quarantine”端口組，僅允許堡壘機(jī)10.10.10.10訪問。3.3賬號凍結(jié)責(zé)任人：周旭操作：（1）MySQL執(zhí)行“revokeallon.from‘weakuser’@’%’;flushprivileges;”（2）LDAP關(guān)閉所有教師VPN賬號，僅保留5個應(yīng)急賬戶。3.4勒索加密處置責(zé)任人：孫婷操作：（1）立即切斷感染終端網(wǎng)線，長按電源鍵5秒強(qiáng)制關(guān)機(jī)。（2）在NAS快照中找到3小時前黃金鏡像，校驗SHA256無誤后克隆到新磁盤。階段4深度溯源（T0+2小時）責(zé)任人：李思宇資源清單：火眼沙箱、Wireshark、Volatility、ELK、公安電子取證只讀鎖。操作：（1）對感染終端制作dd鏡像，計算MD5值并寫封條。（2）沙箱運(yùn)行樣本，記錄C2回連域名，寫入“威脅情報”微信群。（3）在ELK檢索7天DNS日志，發(fā)現(xiàn)內(nèi)網(wǎng)另3臺回連同一域名，立即隔離。階段5業(yè)務(wù)恢復(fù)（T0+4小時至T0+24小時）5.1清潔重建責(zé)任人：胡凱操作：（1）使用Ansible拉取最新代碼倉庫，重新部署教務(wù)容器，啟用只讀文件系統(tǒng)。（2）數(shù)據(jù)庫從異地全備恢復(fù)，執(zhí)行“mysqlbinlog–startdatetime”追趕到30分鐘前。5.2驗證責(zé)任人：劉洋操作：（1）邀請3位年級組長、2位家委會代表進(jìn)行選課壓力測試，并發(fā)2000用戶，CPU<60%、響應(yīng)<500ms為合格。（2）由審計公司出具《恢復(fù)確認(rèn)書》。階段6輿情與家校溝通（并行進(jìn)行）責(zé)任人：吳丹操作：（1）16:00通過微信公眾號推送《關(guān)于網(wǎng)絡(luò)臨時中斷的情況說明（一）》，閱讀量2萬+。（2）22:00發(fā)布《恢復(fù)公告（二）》，附24小時值班電話07738880110。階段7總結(jié)與改進(jìn)（T+3天）責(zé)任人：李梅操作：（1）召開復(fù)盤會，使用5Why法定位根因，輸出《網(wǎng)絡(luò)安全事件報告》簽字蓋章。（2）更新《資產(chǎn)臺賬》《脆弱性清單》《訪問控制策略》，新增17條防火墻規(guī)則。五、資源清單（常備）1.硬件：備用防火墻RGWALL16001臺（已授權(quán)）、光纖跳線100條、冷備硬盤20塊、UPS電池32塊、應(yīng)急筆記本10臺、4G上網(wǎng)卡5張。2.軟件：EDR應(yīng)急授權(quán)500點(diǎn)、火眼沙箱1套、KMS激活服務(wù)器、CentOS鏡像站。3.文檔：網(wǎng)絡(luò)拓?fù)鋱D（A0彩印5份）、資產(chǎn)標(biāo)簽1000張、應(yīng)急通訊錄（含家庭電話）。4.車輛：學(xué)校商務(wù)車1輛、與電信簽約應(yīng)急通信車1輛（2小時到校）。5.資金：年度應(yīng)急預(yù)算20萬元，用于購買威脅情報、取證服務(wù)、數(shù)據(jù)恢復(fù)。六、演練計劃1.桌面推演：每學(xué)期開學(xué)前第1周，模擬勒索軟件場景，全程90分鐘，參與人：領(lǐng)導(dǎo)小組+技術(shù)組+班主任代表。2.實(shí)戰(zhàn)演練：每年“國家網(wǎng)絡(luò)安全宣傳周”期間，邀請市公安局網(wǎng)安支隊作為攻擊方，使用紅隊方式對校園網(wǎng)進(jìn)行8小時不間斷滲透，學(xué)校藍(lán)隊進(jìn)行監(jiān)測、響應(yīng)、溯源。3.突擊演練：由信息中心隨機(jī)抽取1個月黑天凌晨2點(diǎn)，通過腳本模擬30GUDP洪水，值班人員需在20分鐘內(nèi)完成流量清洗切換。4.演練評估：使用NIST定義的10分制量表，低于7分視為不合格，需2周內(nèi)整改并復(fù)演。七、動態(tài)更新機(jī)制1.威脅情報訂閱：加入教育行業(yè)CERT、騰訊安全、奇安信CERT郵件列表，每日08:00自動推送，技術(shù)組24小時內(nèi)完成規(guī)則匹配。2.預(yù)案版本控制：使用GitLab建立“BCERP”倉庫，主分支僅接受MergeRequest，必須經(jīng)2人Review；每年8月1日發(fā)布正式版，版本號vYYYY.N。3.設(shè)備配置基線漂移檢測：使用Oxidized每日備份網(wǎng)絡(luò)設(shè)備配置，若與基線差異>5%，自動工單給趙勇。4.法律法規(guī)跟蹤：法律組每季度梳理新出臺的《個人信息保護(hù)法》《數(shù)據(jù)出境評估辦法》等，若出現(xiàn)變化，30日內(nèi)完成制度修訂。5.事后評估嵌入：任何一次真實(shí)事件或演練