學(xué)校網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案一、編制目的校園網(wǎng)絡(luò)承載著教學(xué)、科研、行政、財務(wù)、一卡通、視頻監(jiān)控、物聯(lián)網(wǎng)終端等多元業(yè)務(wù)，一旦遭受病毒勒索、數(shù)據(jù)泄露、DDoS攻擊、APT滲透或內(nèi)部人員誤操作，可能導(dǎo)致教學(xué)中斷、輿情危機、財產(chǎn)損失甚至法律責(zé)任。本預(yù)案以“先控制、后溯源、再恢復(fù)”為核心原則，通過場景化腳本、量化指標(biāo)、角色化分工、工具化清單，把“安全事件”轉(zhuǎn)化為“可計算、可演練、可考核”的校內(nèi)日常管理動作，實現(xiàn)2分鐘內(nèi)發(fā)現(xiàn)、10分鐘內(nèi)隔離、30分鐘內(nèi)止血、2小時內(nèi)恢復(fù)關(guān)鍵業(yè)務(wù)、24小時內(nèi)出具完整報告。二、事件分級與響應(yīng)基線1.特別重大（Ⅰ級）：國家級重要數(shù)據(jù)泄露、高考或?qū)W業(yè)水平考試系統(tǒng)被篡改、校園網(wǎng)出口帶寬被DDoS打滿超過50%、勒索病毒加密核心數(shù)據(jù)庫且備份同時被污染。響應(yīng)基線：30分鐘內(nèi)成立校一把手任組長的應(yīng)急指揮部，90分鐘內(nèi)市教育局、公安局、網(wǎng)信辦同步到位，6小時內(nèi)完成全網(wǎng)斷網(wǎng)清洗。2.重大（Ⅱ級）：財務(wù)、人事、一卡通三大系統(tǒng)任一宕機超過2小時；50臺以上終端中挖礦或勒索病毒；教職工或?qū)W生敏感個人信息1萬條以上泄露。響應(yīng)基線：15分鐘內(nèi)啟動，分管信息化副校長現(xiàn)場指揮，2小時內(nèi)完成攻擊面隔離，12小時內(nèi)恢復(fù)業(yè)務(wù)。3.較大（Ⅲ級）：普通業(yè)務(wù)系統(tǒng)中斷1–2小時；10–50臺終端異常；垃圾郵件網(wǎng)關(guān)被擊穿導(dǎo)致大量釣魚郵件進(jìn)入師生郵箱。響應(yīng)基線：5分鐘內(nèi)完成安全組內(nèi)部研判，1小時內(nèi)完成終端批量殺毒或網(wǎng)絡(luò)阻斷，4小時內(nèi)恢復(fù)。4.一般（Ⅳ級）：單臺終端感染普通病毒、單個網(wǎng)站頁面被篡改、弱口令掃描告警。響應(yīng)基線：由值班安全員30分鐘內(nèi)遠(yuǎn)程處置，1小時內(nèi)閉環(huán)。三、組織體系與通訊錄1.校網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組（簡稱“校網(wǎng)信小組”）：校長任組長，分管副職任副組長，辦公室設(shè)在信息中心。2.應(yīng)急技術(shù)支撐組：信息中心+第三方安全公司+運營商+關(guān)鍵廠商（服務(wù)器、存儲、網(wǎng)絡(luò)、數(shù)據(jù)庫、虛擬化、UPS）。3.業(yè)務(wù)保障組：教務(wù)處、財務(wù)處、學(xué)生處、圖書館、后勤、保衛(wèi)處。4.法務(wù)與輿情組：黨委宣傳部、校辦、法律顧問、學(xué)生會新媒體中心。5.24小時值班電話、微信群、釘釘群、短信通道四線并行，通訊錄每年3月、9月各更新一次，人員變動2小時內(nèi)同步。四、預(yù)防與監(jiān)測1.資產(chǎn)清單：IP、MAC、設(shè)備型號、責(zé)任人、開放端口、中間件版本、補丁時間、退役時限，做到“一機一檔”，每月自動比對，差異率<0.5%。2.流量基線：教學(xué)區(qū)、宿舍區(qū)、服務(wù)器區(qū)、DMZ區(qū)四維畫像，利用NetFlow+sFlow鏡像，對“外連境外IP超過100次/小時”“上行流量突增5倍”等18條模型實時告警。3.日志集中：網(wǎng)絡(luò)、安全、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用、IoT、UPS、空調(diào)、門禁9類日志統(tǒng)一入湖，保留180天，索引保存3年，使用GrayLog+Elasticsearch，告警規(guī)則312條。4.演練制度：每學(xué)期至少1次實戰(zhàn)演練，場景覆蓋“勒索病毒+備份失效”“APT郵件釣魚+內(nèi)網(wǎng)橫向”“供應(yīng)鏈木馬+軟件升級”“內(nèi)部人員惡意刪庫”四類；演練后48小時內(nèi)輸出整改清單，整改完成率納入部門年度KPI。5.師生培訓(xùn)：新生入學(xué)教育2學(xué)時、教職工繼續(xù)教育1學(xué)時/年、后勤第三方人員30分鐘/年，培訓(xùn)后在線考試合格率≥90%。五、事件發(fā)現(xiàn)與報告1.發(fā)現(xiàn)渠道：a.自動監(jiān)測：SOC、EDR、WAF、數(shù)據(jù)庫審計、蜜罐、沙箱、郵件網(wǎng)關(guān)。b.人工師生通過400電話、郵件、微信小程序“隨手拍”、值班室。c.外部通報：教育廳、公安、網(wǎng)信辦、兄弟高校、CNVD、廠商威脅情報。2.報告模板：含“發(fā)現(xiàn)時間、發(fā)現(xiàn)人、事件概述、已采取措施、影響范圍、初步等級、下一步計劃”七要素，字?jǐn)?shù)150–200字，可一鍵生成PDF。3.報告時限：Ⅰ級10分鐘、Ⅱ級20分鐘、Ⅲ級30分鐘、Ⅳ級1小時；超過時限未報告即視為瞞報，啟動問責(zé)。六、應(yīng)急處置流程（含完整題型）【場景腳本】時間：周二9:15，期末考試周第一天；攻擊向量：境外3個跳板主機通過VPN漏洞獲取教務(wù)管理員賬號，植入勒索病毒，加密200GB教務(wù)數(shù)據(jù)庫，并在頁面留下“0.5比特幣”提示；備份狀態(tài)：本地備份服務(wù)器同時被加密，異地磁帶庫昨夜2:00備份未污染；影響：1.2萬名學(xué)生無法查詢考場安排，教師無法錄入成績，輿情升溫?！炯夹g(shù)題】1.單選：當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫文件擴展名被統(tǒng)一改為“.locked”時，第一步應(yīng)：A.立即關(guān)機B.斷開網(wǎng)絡(luò)C.先拍照取證再斷網(wǎng)D.支付贖金答案：C2.判斷：在Windows事件查看器中，若出現(xiàn)大量4624成功登錄且登錄類型10，可初步判斷存在遠(yuǎn)程桌面暴力破解。答案：正確3.多選：以下哪些命令可用于快速定位異常外連（Linux環(huán)境）：A.netstat-anB.ss-antpC.ls-lhD.lsof-i答案：ABD4.填空：在MySQL中，用于查看是否開啟二進(jìn)制日志的變量是________。答案：log_bin5.簡答：請寫出在交換機側(cè)抑制病毒橫向移動的3條具體命令（以華為CLI為例）。參考答案：(1)displaymac-addressmac-move查看漂移；(2)mac-addressstaticxxxx-xxxx-xxxxvlan10interfacegig0/0/1綁定正確端口；(3)shutdown關(guān)閉異常端口。【處置動作】1.9:16值班安全員通過SOC告警發(fā)現(xiàn)“教務(wù)服務(wù)器CPU100%”，立即觸發(fā)“數(shù)據(jù)庫勒索”場景playbook。2.9:17技術(shù)支撐組A崗遠(yuǎn)程登錄跳板機，執(zhí)行快照備份內(nèi)存，拍照后斷開該服務(wù)器公網(wǎng)與內(nèi)網(wǎng)雙網(wǎng)卡。3.9:19啟動Ⅱ級響應(yīng)，校網(wǎng)信小組微信群發(fā)布公告，教務(wù)處處長、學(xué)生處處長10分鐘內(nèi)到信息中心現(xiàn)場。4.9:25完成攻擊面隔離：WAF規(guī)則阻斷境外IP、防火墻關(guān)閉3389端口、核心交換機ACL丟棄教務(wù)網(wǎng)段443端口流量。5.9:35完成臨時業(yè)務(wù)替代：啟用“教務(wù)微服務(wù)只讀副本”，通過反向代理開放考場查詢功能，學(xué)生可正常查考場，教師成績錄入暫停。6.9:40完成溯源：通過EDR日志發(fā)現(xiàn)攻擊者使用CVE-2023-1234漏洞，VPN版本為4.1.2，存在官方補丁；同時發(fā)現(xiàn)攻擊者在9:11創(chuàng)建計劃任務(wù)“start.exe”。7.9:50完成止血：批量下發(fā)補丁到7臺VPN節(jié)點，強制下線所有會話，重置52個弱口令賬號。8.10:30完成數(shù)據(jù)恢復(fù)：從磁帶庫恢復(fù)昨夜2:00數(shù)據(jù)，RPO7小時15分，驗證checksum一致，啟動教務(wù)主庫，切換讀寫。9.11:00完成向省教育廳、公安網(wǎng)安支隊提交《事件初步報告》，同步在官網(wǎng)發(fā)布《關(guān)于教務(wù)系統(tǒng)短暫暫停服務(wù)的說明》。10.12:00完成復(fù)盤：召開現(xiàn)場會，輸出12項整改任務(wù)，包括“VPN雙因子認(rèn)證100%覆蓋”“數(shù)據(jù)庫備份寫入WORM存儲”“教務(wù)系統(tǒng)與一卡通網(wǎng)絡(luò)分層隔離”。七、應(yīng)急工具包（隨預(yù)案下發(fā)）1.U盤啟動盤：WinPE+Kali+ClamAV+Autoruns+ProcessHacker+Wireshark，寫保護(hù)開關(guān)。2.腳本集合：Windows批量殺毒：for/f%iin(ip.txt)dopsexec\\%i-ckill_ransom.exeLinux查外連：foriin`catip.txt`;dosshroot@$i"ss-antp|grepESTA|grep-v22">>result.log;done3.取證模板：內(nèi)存鏡像、硬盤鏡像、網(wǎng)絡(luò)抓包、日志導(dǎo)出四步checklist，附哈希值計算命令certutil-hashfilexxx.sha256。4.通訊模板：含家長、學(xué)生、媒體、監(jiān)管部門四版本，可一鍵替換時間、事件、影響范圍。5.供應(yīng)鏈校驗：SHA256校驗表、廠商簽名證書、固件MD5清單，防止二次投毒。八、數(shù)據(jù)恢復(fù)與重建1.恢復(fù)優(yōu)先級：P0高考報名、學(xué)業(yè)水平考試、財務(wù)工資；P1教務(wù)、研究生、一卡通、郵件；P2網(wǎng)站群、圖書館、視頻監(jiān)控；P3科研高性能計算、物聯(lián)網(wǎng)路燈、空調(diào)。2.恢復(fù)策略：虛擬化集群采用存儲級快照+RPO15分鐘；物理數(shù)據(jù)庫采用主從+半同步+二進(jìn)制日志point-in-time；文件型采用CDP持續(xù)數(shù)據(jù)保護(hù)，秒級回滾；離線磁帶采用LTO9加密+WORM一次寫多次讀，保存7年。3.重建驗證：業(yè)務(wù)恢復(fù)后運行24小時真實流量，對比基線，CPU、內(nèi)存、磁盤IO、響應(yīng)時延、錯誤率5項指標(biāo)偏離<5%視為成功。九、輿情與法務(wù)處置1.輿情監(jiān)測：關(guān)鍵詞“學(xué)校+病毒”“成績+泄露”“比特幣+勒索”，7×24小時爬蟲+人工，負(fù)面信息30分鐘內(nèi)預(yù)警。2.回應(yīng)口徑：不隱瞞、不猜測、不背鍋，統(tǒng)一出口為黨委宣傳部，技術(shù)細(xì)節(jié)由信息中心提供，其余人員未經(jīng)授權(quán)不得接受專訪。3.法務(wù)風(fēng)險：根據(jù)《個人信息保護(hù)法》第57條，1萬條以上敏感信息泄露需在24小時內(nèi)向省級以上監(jiān)管部門報告；需準(zhǔn)備《事件影響評估報告》《用戶告知書》《律師函模板》。4.用戶告知：通過OA、短信、微信、網(wǎng)站四通道同步，告知內(nèi)容包括“哪些信息可能泄露、潛在風(fēng)險、已采取措施、用戶自主防范建議、咨詢電話”，留存發(fā)送日志3年。十、后期整改與考核1.整改閉環(huán)：采用“任務(wù)編號+責(zé)任人+完成時限+驗證人”四段式，逾期亮黃牌，二次逾期亮紅牌并扣年度績效5%。2.量化考核：演練得分=（發(fā)現(xiàn)時間+隔離時間+恢復(fù)時間+報告時間）權(quán)重40%+整改完成率30%+師生滿意度30%；年度得分<80分的部門取消評優(yōu)資格。3.預(yù)算保障：每年信息化預(yù)算不低于8%用于安全，其中3%用于應(yīng)急演練與工具更新，2%用于師生培訓(xùn)，3%用于第三方服務(wù)。4.知識庫更新：每次事件完結(jié)后72小時內(nèi)，技術(shù)支撐組把攻擊樣本、IOC、YARA規(guī)則、處置腳本、復(fù)盤PPT上傳至內(nèi)部Confluence，供全省高校共享。十一、常見場景快速處置卡（隨身攜帶）1.釣魚郵件：①用戶點擊②EDR告警③立即遠(yuǎn)程卸載Outlook插件④重置密碼⑤全盤殺毒⑥1小時內(nèi)出具《釣魚郵件分析報告》2.挖礦木馬：①top命令發(fā)現(xiàn)100%CPU②查crontab③查systemd④查.ssh/authorized_keys⑤阻斷礦池IP⑥清除木馬⑦打補?、嗵峤还?.網(wǎng)頁篡改：①拍照②對比備份③關(guān)站④恢復(fù)⑤查Web日志⑥定位上傳漏洞⑦上WAF規(guī)則⑧72小時內(nèi)遞交《整改報告》4.內(nèi)網(wǎng)橫向：①蜜罐告警②關(guān)閉感染段VLAN③批量殺毒④域控強制下線⑤改域管密碼⑥開啟Windows防火墻⑦審計域管登錄5.數(shù)據(jù)泄露：①數(shù)據(jù)庫審計告警②定位SELECT異常③封賬號④導(dǎo)流量⑤算影響條數(shù)⑥啟動法務(wù)組⑦發(fā)用戶告知⑧向監(jiān)管報告十二、應(yīng)急通訊錄（節(jié)選）校總值班息中心安網(wǎng)安：0571-110轉(zhuǎn)網(wǎng)安值育廳信安處營商重保：10000轉(zhuǎn)5第三方安全公司：400-123-1234技術(shù)總PS廠商：400-888-8888數(shù)據(jù)庫原廠：400-111-0168十三、附錄：應(yīng)急演練（滿分100分，時間60分鐘）一、單項選擇（每題3分，共15分）1.以下哪項不是勒索病毒的典型特征：A.修改桌面壁紙B.添加計劃任務(wù)C.關(guān)閉WindowsUpdateD.加密用戶文件答案：C2.在華為交換機上查看ARP欺騙攻擊的命令是：A.displayarpanti-attackB.displayarppacketC.displaymac-addressD.displaycpu答案：A……二、判斷題（每題2分，共10分）1.只要支付贖金，攻擊者一定會提供解密key。答案：錯誤……三、多項選擇（每題5分，