學(xué)校網(wǎng)絡(luò)與信息安全應(yīng)急工作預(yù)案一、風(fēng)險(xiǎn)評估1.誘因識(shí)別1.1外部攻擊：APT組織、黑產(chǎn)團(tuán)伙、境外敵對勢力以竊取科研數(shù)據(jù)、師生隱私、考試題庫、財(cái)務(wù)信息為目的，長期潛伏、橫向滲透、加密勒索。1.2內(nèi)部威脅：師生賬號(hào)弱口令、實(shí)驗(yàn)室內(nèi)網(wǎng)違規(guī)私接WiFi、運(yùn)維人員誤操作、離職人員未及時(shí)銷戶。1.3供應(yīng)鏈風(fēng)險(xiǎn)：教務(wù)系統(tǒng)、一卡通、視頻監(jiān)控、智慧黑板、打印機(jī)等第三方廠商遠(yuǎn)程維護(hù)通道未做堡壘機(jī)隔離，廠商工程師共用同一套賬號(hào)。1.4自然災(zāi)害與次生災(zāi)害：機(jī)房位于半地下層，汛期可能進(jìn)水；UPS電池運(yùn)行4年以上，高溫季節(jié)易自燃；空調(diào)雙路中的一路為單點(diǎn)，停機(jī)后15分鐘服務(wù)器過熱宕機(jī)。1.5合規(guī)與輿情：等級保護(hù)2.0三級系統(tǒng)未每年測評；未做數(shù)據(jù)出境評估；若發(fā)生大規(guī)模泄露，微博、抖音話題2小時(shí)內(nèi)可沖上同城熱搜，引發(fā)家長集訪。2.發(fā)生等級2.1特別重大（Ⅰ級）：核心系統(tǒng)（教務(wù)、財(cái)務(wù)、一卡通、身份認(rèn)證）中斷12小時(shí)以上，或10萬條以上敏感數(shù)據(jù)泄露，或勒索病毒加密核心數(shù)據(jù)庫且無法恢復(fù)。2.2重大（Ⅱ級）：核心系統(tǒng)中斷4–12小時(shí)，或1–10萬條敏感數(shù)據(jù)泄露，或勒索病毒加密非核心數(shù)據(jù)庫但可恢復(fù)。2.3較大（Ⅲ級）：網(wǎng)站被篡改、掛暗鏈，或1000–1萬條數(shù)據(jù)泄露，或局部網(wǎng)絡(luò)廣播風(fēng)暴導(dǎo)致3棟教學(xué)樓無法上網(wǎng)。2.4一般（Ⅳ級）：單個(gè)終端中毒、釣魚郵件5封以內(nèi)、非核心系統(tǒng)日志異常，無實(shí)質(zhì)損失。3.風(fēng)險(xiǎn)矩陣將“發(fā)生概率”與“影響程度”交叉，形成4×4矩陣，Ⅰ級事件雖概率低但影響極大，必須單列專項(xiàng)預(yù)案；Ⅳ級事件概率高但影響小，納入日常工單閉環(huán)。二、職責(zé)分工1.領(lǐng)導(dǎo)機(jī)構(gòu)黨委書記、校長任“網(wǎng)絡(luò)與信息安全應(yīng)急領(lǐng)導(dǎo)小組”雙組長，負(fù)最終決策與對外發(fā)聲責(zé)任；分管信息化副校長任常務(wù)副組長，統(tǒng)籌資源；黨辦、校辦、宣傳部、保衛(wèi)處、信息中心、財(cái)務(wù)處、后勤處、教務(wù)處、學(xué)生處、研究生院、國際學(xué)院、附屬中小學(xué)、校醫(yī)院、法律顧問室為固定成員。2.指揮崗位2.1總指揮：信息中心主任A（手機(jī)1390001，釘釘8001，家庭住址3km內(nèi)，接警后20分鐘到校）。2.2副總指揮：信息中心副主任B（手機(jī)1390002，住校，接警后5分鐘到機(jī)房）。2.3技術(shù)專家組：由7人組成，校內(nèi)4人（網(wǎng)絡(luò)、安全、系統(tǒng)、數(shù)據(jù)庫），校外3人（省教科網(wǎng)應(yīng)急支撐、公安技偵特聘專家、商用密碼測評機(jī)構(gòu)）。3.執(zhí)行小組3.1監(jiān)測預(yù)警組：值班員3人，7×24小時(shí)在NOC輪班，使用SOC、NDR、EDR、機(jī)房動(dòng)環(huán)、輿情爬蟲，發(fā)現(xiàn)異常5分鐘內(nèi)電話通知總指揮。3.2網(wǎng)絡(luò)封控組：組長C（網(wǎng)絡(luò)部部長），成員6人，負(fù)責(zé)防火墻、DNS、核心路由、SDN控制器策略下發(fā)，可在10分鐘內(nèi)隔離涉事VLAN、關(guān)閉海外出口、啟用黑洞路由。3.3系統(tǒng)恢復(fù)組：組長D（系統(tǒng)部部長），成員8人，負(fù)責(zé)快照回滾、備份掛載、重建虛擬機(jī)、切換雙活存儲(chǔ)，目標(biāo)RPO≤15分鐘、RTO≤2小時(shí)。3.4取證溯源組：組長E（安全部部長），成員5人，持有公安網(wǎng)安“電子數(shù)據(jù)取證分析師”證，使用FTK、Wireshark、Velociraptor、灰帽黑客沙盤，確保鏈?zhǔn)阶C據(jù)符合《公安機(jī)關(guān)辦理刑事案件電子數(shù)據(jù)取證規(guī)則》。3.5通報(bào)聯(lián)絡(luò)組：組長F（校辦副主任），成員4人，負(fù)責(zé)向上級教育廳、公安、網(wǎng)信辦書面報(bào)告，向師生、家長、校友、媒體發(fā)權(quán)威通報(bào)，30分鐘內(nèi)完成首次文字推送，2小時(shí)內(nèi)召開線上新聞發(fā)布會(huì)。3.6后勤保障組：組長G（后勤處處長），成員10人，負(fù)責(zé)應(yīng)急車輛、盒飯、臨時(shí)安置點(diǎn)、備用發(fā)電機(jī)、防雨布、抽水泵、UPS電池冷備件、冷鏈保存的取證硬盤。3.7心理干預(yù)組：組長H（心理學(xué)院院長），成員6人，持有國家二級心理咨詢師證，對可能受數(shù)據(jù)泄露影響的學(xué)生、教師進(jìn)行一對一干預(yù)，防止極端事件。4.崗位替補(bǔ)每個(gè)組長指定2名替補(bǔ)，替補(bǔ)人員每半年輪崗演練一次，確保主備切換無縫。三、分階段處置流程階段0日常加固（常態(tài)化）責(zé)任人：安全部部長E資源清單：漏洞掃描license300個(gè)、代碼審計(jì)工具1套、堡壘機(jī)2臺(tái)、EDR授權(quán)5000點(diǎn)、備份存儲(chǔ)1PB、應(yīng)急演練預(yù)算20萬元/年。操作步驟：0.1每月1日自動(dòng)漏掃，高危漏洞48小時(shí)內(nèi)閉環(huán)；0.2每年6月完成等級保護(hù)測評整改；0.3每年3月與9月進(jìn)行紅藍(lán)對抗，邀請外部攻防團(tuán)隊(duì)；0.4每周五下午驗(yàn)證備份可恢復(fù)性，隨機(jī)抽取5套系統(tǒng)做實(shí)際掛載。階段1監(jiān)測與預(yù)警（T0）觸發(fā)條件：SOC產(chǎn)生1次高危告警且人工復(fù)核確認(rèn)，或教育廳/公安/網(wǎng)信辦下達(dá)0day通報(bào)，或輿情爬蟲發(fā)現(xiàn)“學(xué)校泄露”關(guān)鍵詞10條以上。責(zé)任人：監(jiān)測預(yù)警組值班員001操作步驟：1.15分鐘內(nèi)電話通知總指揮A；1.2同時(shí)啟動(dòng)“釘釘應(yīng)急群”，自動(dòng)@所有組長；1.310分鐘內(nèi)完成初步研判：使用NDR回溯7天流量，確認(rèn)攻擊入口IP、域名、賬號(hào)；1.4若判定為Ⅰ級或Ⅱ級，總指揮A宣布啟動(dòng)Ⅰ級響應(yīng)，進(jìn)入階段2；1.5若判定為Ⅲ級或Ⅳ級，授權(quán)監(jiān)測組直接處置，24小時(shí)內(nèi)提交閉環(huán)報(bào)告。階段2初步遏制（T0+30分鐘）目標(biāo)：防止危害擴(kuò)散，保護(hù)現(xiàn)場證據(jù)。責(zé)任人：網(wǎng)絡(luò)封控組組長C操作步驟：2.1在防火墻上下發(fā)“一鍵斷網(wǎng)”腳本，將涉事VLAN從核心交換機(jī)上隔離；2.2在DNS上把惡意域名解析到honeypot，記錄后續(xù)交互；2.3對攻擊IP啟用30分鐘黑洞路由，同時(shí)通知省教科網(wǎng)上游做協(xié)同封禁；2.4在核心交換機(jī)上啟用端口鏡像，把流量打到取證溯源組的TAP設(shè)備；2.5向全校發(fā)釘釘、短信、官微推送：“部分業(yè)務(wù)暫停維護(hù)，請勿恐慌”，避免輿情發(fā)酵。階段3根除與恢復(fù)（T0+2小時(shí)至T0+24小時(shí)）3.1樣本分析責(zé)任人：取證溯源組組長E步驟：a)使用沙箱運(yùn)行樣本，提取IOC110條；b)確認(rèn)是“魔鏟”勒索變種，利用Log4j2.17漏洞橫向移動(dòng)；c)在300臺(tái)Linux服務(wù)器上找到12臺(tái)被植入后門。3.2后門清除責(zé)任人：系統(tǒng)恢復(fù)組組長D步驟：a)對12臺(tái)服務(wù)器做內(nèi)存轉(zhuǎn)儲(chǔ)后關(guān)機(jī)，使用可信PE啟動(dòng)盤進(jìn)行離線殺毒；b)重設(shè)所有服務(wù)器root密鑰，啟用2FA；c)對全網(wǎng)Java組件升級至Log4j2.20，并重啟服務(wù)；d)在DNS層面劫持C2域名，確保即便殘留也無法回連。3.3業(yè)務(wù)恢復(fù)責(zé)任人：系統(tǒng)恢復(fù)組組長D資源清單：雙活存儲(chǔ)在30km外的分校區(qū)、快照1024份、OracleRAC備份集、KVM集群200核、應(yīng)急域名。步驟：a)優(yōu)先恢復(fù)教務(wù)選課系統(tǒng)，使用6小時(shí)前的快照，RPO損失6小時(shí)；b)將原域名通過CNAME切換到應(yīng)急域名，DNSTTL設(shè)為60秒；c)啟用只讀模式，允許學(xué)生查詢成績，禁止寫入2小時(shí)，確認(rèn)無異常后開放寫入口；d)一卡通消費(fèi)系統(tǒng)采用離線刷卡模式，窗口機(jī)記錄交易日志，待網(wǎng)絡(luò)恢復(fù)后批量上傳。3.4數(shù)據(jù)完整性校驗(yàn)責(zé)任人：數(shù)據(jù)庫管理員003步驟：a)對恢復(fù)后的27張核心表做hash校驗(yàn)，與備份時(shí)比對，不一致字段人工逐條審核；b)抽取1%樣本電話回訪學(xué)生，確認(rèn)成績無誤。階段4取證與溯源（并行于階段3）責(zé)任人：取證溯源組組長E步驟：4.1將鏡像文件計(jì)算SHA256，寫入一次性光盤，交由校保密室封存；4.2向公安網(wǎng)安支隊(duì)報(bào)案，取得《接受證據(jù)材料清單》；4.3通過省教科網(wǎng)CERT協(xié)調(diào)上級骨干網(wǎng)，調(diào)取攻擊IP的Radius日志，定位到校外某高職學(xué)生宿舍；4.4撰寫《“魔鏟”勒索事件溯源報(bào)告》，包含攻擊路徑、時(shí)間線、影響范圍、IOC、建議加固措施，48小時(shí)內(nèi)提交教育廳。階段5信息發(fā)布與輿情引導(dǎo)（T0+1小時(shí)至T+72小時(shí)）責(zé)任人：通報(bào)聯(lián)絡(luò)組組長F步驟：5.1首次通報(bào)：30分鐘內(nèi)通過學(xué)校官網(wǎng)、官微發(fā)布200字簡訊，承認(rèn)部分系統(tǒng)受網(wǎng)絡(luò)攻擊暫停，已啟動(dòng)應(yīng)急預(yù)案，數(shù)據(jù)安全可控；5.2二次通報(bào)：12小時(shí)后發(fā)布800字圖文，說明受影響系統(tǒng)、恢復(fù)進(jìn)度、學(xué)生臨時(shí)辦事通道；5.3三次通報(bào)：48小時(shí)后發(fā)布1500字深度解析，附Q&A，邀請新華社地方分社、省教育廳官微轉(zhuǎn)發(fā)，對沖自媒體謠言；5.4建立24小時(shí)熱線4008，由學(xué)生處10名勤工助學(xué)同學(xué)輪班，統(tǒng)一話術(shù)，禁止私自承諾。階段6總結(jié)與改進(jìn)（T+7天）責(zé)任人：領(lǐng)導(dǎo)小組常務(wù)副組長B步驟：6.1召開復(fù)盤大會(huì)，使用5Why法找出3個(gè)根因：Log4j未升級、弱口令字典、第三方遠(yuǎn)程通道未隔離；6.2修訂《賬號(hào)管理辦法》，強(qiáng)制90天改密，啟用統(tǒng)一2FA；6.3追加預(yù)算120萬元，采購Web應(yīng)用防火墻2套、EDR擴(kuò)容至8000點(diǎn)；6.4將本次事件轉(zhuǎn)化為教學(xué)案例，納入大三《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)》課程，實(shí)現(xiàn)“以戰(zhàn)代訓(xùn)”。四、資源清單（節(jié)選可落地）1.硬件：·備用防火墻H3CF50002臺(tái)（已下電，存放機(jī)房2樓3號(hào)柜，30分鐘可上線）·冷備服務(wù)器DellR75010臺(tái)（已預(yù)裝ESXi7.0，32核512GB，隨時(shí)接管虛擬化）·取證硬盤20塊4TB（寫保護(hù)開關(guān)，冷鏈保存柜，20℃）·UPS電池組2套200AH（新購，未拆封，可支持60kW負(fù)載1小時(shí)）2.軟件：·全流量回溯系統(tǒng)1套（存儲(chǔ)30天，檢索速度10Gbps）·應(yīng)急通訊釘釘套件（已付費(fèi)，支持1000人群、加密通話、水印相機(jī)）·數(shù)字簽名系統(tǒng)1套（用于對外公告防偽，私鑰存USBKey，由校辦主任保管）3.外部支撐：·省教科網(wǎng)7×24應(yīng)急電話4009，承諾1小時(shí)內(nèi)派2名CCIE到校；·運(yùn)營商教育骨干網(wǎng)，可15分鐘內(nèi)關(guān)閉學(xué)校5個(gè)公網(wǎng)地址段；·云災(zāi)備服務(wù)商A公司，已簽SLA，RPO≤15分鐘，年費(fèi)用38萬元；·網(wǎng)絡(luò)安全保險(xiǎn)1份，保額1000萬元，涵蓋勒索病毒、數(shù)據(jù)泄露、營業(yè)中斷。五、演練計(jì)劃1.桌面推演：每學(xué)期第1個(gè)月，采用“藍(lán)鯨”平臺(tái)線上答題，覆蓋全員3000人，合格率≥90%。2.實(shí)戰(zhàn)演練：每年6月舉行“清網(wǎng)行動(dòng)”，模擬勒索病毒+數(shù)據(jù)泄露雙場景，時(shí)間8小時(shí)，邀請教育廳、公安、兄弟高校觀摩。3.盲演：不提前通知，由外部團(tuán)隊(duì)植入釣魚郵件，統(tǒng)計(jì)點(diǎn)擊率、上報(bào)率，點(diǎn)擊率＞5%需重新培訓(xùn)。4.交叉演練：與附屬醫(yī)院、附屬中學(xué)聯(lián)合，模擬攻擊者從中學(xué)VPN跳板攻入大學(xué)主干，檢驗(yàn)邊界隔離。5.演練評估：使用NIST模型，從“檢測、遏制、根除、恢復(fù)、通報(bào)”五維度打分，低于80分的環(huán)節(jié)30日內(nèi)整改。六、動(dòng)態(tài)更新機(jī)制1.威脅情報(bào)驅(qū)動(dòng)：每日8:30自動(dòng)拉取國家CNVD、CERT、商用威脅情報(bào)，關(guān)鍵IOC2小時(shí)內(nèi)寫入防火墻黑名單。2.合規(guī)驅(qū)動(dòng)：等保、密碼測評、數(shù)據(jù)出境評估、個(gè)人信息保護(hù)影響