學(xué)校網(wǎng)絡(luò)與信息安全應(yīng)急工作預(yù)案一、編制目的校園網(wǎng)絡(luò)與信息安全事件具有突發(fā)性強、擴散快、影響面廣、次生危害多等特點。為在事件發(fā)生后第一時間控制事態(tài)、降低損失、恢復(fù)業(yè)務(wù)、溯源取證，并滿足教育主管部門“零報告”“日報告”等合規(guī)要求，特制定本工作預(yù)案。預(yù)案以“先阻斷、再定位、后恢復(fù)、再優(yōu)化”為原則，貫穿“事前加固、事中應(yīng)急、事后改進”閉環(huán)，覆蓋物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)、內(nèi)容六大層面，適用于小學(xué)、初中、高中及中職學(xué)校，可根據(jù)規(guī)模彈性裁剪。二、風(fēng)險場景與分級標準1.特別重大（Ⅰ級）：國家級考試報名系統(tǒng)被批量篡改、高考志愿填報接口被劫持、校園網(wǎng)成為境外僵尸網(wǎng)絡(luò)控制節(jié)點，造成社會恐慌或重大輿情。2.重大（Ⅱ級）：統(tǒng)一身份認證平臺被撞庫，單日超過1%師生賬號疑似泄露；核心財務(wù)系統(tǒng)被加密勒索，業(yè)務(wù)中斷4小時以上；校園一卡通數(shù)據(jù)庫被批量導(dǎo)出，涉及個人隱私10萬條以上。3.較大（Ⅲ級）：教學(xué)平臺首頁被植入非法鏈接，持續(xù)2小時以上；郵件系統(tǒng)成為垃圾郵件跳板，被上級IP封禁；單棟宿舍樓ARP欺騙，導(dǎo)致該區(qū)域80%用戶無法上網(wǎng)。4.一般（Ⅳ級）：單個教室電子班牌被替換為不良圖片；教師個人網(wǎng)盤分享鏈接誤開放，導(dǎo)致內(nèi)部課件外泄；學(xué)生機房3臺終端感染挖礦程序，未橫向擴散。三、應(yīng)急組織架構(gòu)1.領(lǐng)導(dǎo)小組：校長任總指揮，分管信息化副校長任副總指揮，成員包括校辦主任、教務(wù)處、學(xué)生處、財務(wù)處、總務(wù)處、保衛(wèi)科、團委、家委會代表。職責(zé)：決策、指揮、對外發(fā)聲、資源調(diào)配。2.應(yīng)急辦公室（設(shè)在信息中心）：主任由信息中心主任兼任，下設(shè)“監(jiān)測預(yù)警組”“技術(shù)處置組”“業(yè)務(wù)恢復(fù)組”“輿情管控組”“法務(wù)與合規(guī)組”“后勤保障組”。3.專家組：由市教育局電教館、公安局網(wǎng)安支隊、屬地高校、安全廠商、運營商NOC五方專家組成，提供7×24小時遠程支撐，必要時到場。4.值班梯隊：一級梯隊（信息中心全員）、二級梯隊（各部門信息化聯(lián)絡(luò)員）、三級梯隊（班級信息化委員、宿舍網(wǎng)管志愿者）。任何梯隊15分鐘內(nèi)響應(yīng)，30分鐘內(nèi)到達現(xiàn)場或遠程接入。四、日常預(yù)防與監(jiān)測1.資產(chǎn)清單：以“IP+MAC+責(zé)任人”三維綁定，建立CMDB，每學(xué)期開學(xué)、期中、期末各核對一次；無人認領(lǐng)設(shè)備一律下線。2.基線加固：服務(wù)器統(tǒng)一采用Ubuntu22.04LTS或WindowsServer2022，啟用CISBenchmarkv2.0；數(shù)據(jù)庫MySQL8.0關(guān)閉load_file、outfile；交換機開啟DHCPSnooping、DAI、BPDUGuard；無線控制器關(guān)閉WPS、啟用WPA3-Enterprise+PMF。3.漏洞管理：教育版SRC平臺每月發(fā)布一次漏洞排行榜，責(zé)任到人，高危漏洞48小時閉環(huán)；對無法立即修復(fù)的，采用虛擬補丁或WAF規(guī)則攔截。4.日志集中：全網(wǎng)流量鏡像至教育城域網(wǎng)SOC，保留6個月；關(guān)鍵系統(tǒng)日志同步到校內(nèi)ELK，索引保留90天；日志篡改采用WORM存儲，防抵賴。5.威脅情報：訂閱國家互聯(lián)網(wǎng)應(yīng)急中心、教育網(wǎng)CERT、廠商TIS，每日08:30、20:30兩次自動比對，發(fā)現(xiàn)IOC立即下發(fā)防火墻黑名單。6.演練：每學(xué)期至少開展一次“紅藍對抗+沙盤推演”雙模式演練；紅隊模擬外網(wǎng)APT，藍隊采用EDR+NDR聯(lián)動；演練結(jié)束24小時內(nèi)輸出改進報告，7日內(nèi)復(fù)測。五、事件發(fā)現(xiàn)與報告1.發(fā)現(xiàn)渠道：a.系統(tǒng)自動告警：SOC、EDR、DLP、堡壘機、蜜罐、上網(wǎng)行為管理。b.人工舉報：師生郵箱、企業(yè)微信、二維碼、紙質(zhì)“信息安全意見箱”。c.外部通報：上級教育主管部門、公安、運營商、兄弟學(xué)校、家長及媒體。2.報告路徑：a.10分鐘內(nèi)：第一發(fā)現(xiàn)人→值班電話/微信群→信息中心值班長。b.20分鐘內(nèi)：值班長→應(yīng)急辦公室主任→領(lǐng)導(dǎo)小組正副總指揮。c.30分鐘內(nèi)：完成《初報》模板（含事件概述、影響范圍、已采取措施、需支持事項），通過“教育系統(tǒng)重大事件報告平臺”提交。3.報告分級：Ⅰ、Ⅱ級事件：初報后每1小時續(xù)報一次，直至結(jié)束。Ⅲ級事件：初報后每2小時續(xù)報一次。Ⅳ級事件：初報后每4小時續(xù)報一次。六、應(yīng)急響應(yīng)流程（一）啟動階段1.總指揮在接到初報后15分鐘內(nèi)決定啟動級別，發(fā)布《應(yīng)急啟動令》，同時通知校廣播、LED屏、企業(yè)微信、短信平臺，告知師生“網(wǎng)絡(luò)臨時管制，請勿恐慌”。2.技術(shù)處置組立即執(zhí)行“網(wǎng)絡(luò)分區(qū)”：a.邊界防火墻將教學(xué)區(qū)、辦公區(qū)、宿舍區(qū)、數(shù)據(jù)中心、一卡通專網(wǎng)五段VRF隔離，關(guān)閉動態(tài)路由，僅保留Console口管理。b.認證計費系統(tǒng)強制下線所有PPPoE及IPoE會話，重新?lián)芴栃瓒绦哦悟炞C碼。c.對已被攻陷IP執(zhí)行“一鍵黑洞”引流至清洗中心。（二）研判階段1.采用“三色標簽”快速分類：紅色：數(shù)據(jù)被加密、篡改、刪除；黃色：系統(tǒng)可用但數(shù)據(jù)完整性質(zhì)疑；綠色：僅存在威脅但未造成實質(zhì)影響。2.取證：a.內(nèi)存：使用MagnetRAMCapture，保存至寫保護移動硬盤，SHA-256校驗。b.磁盤：通過DC-5700只讀鎖做位對位鏡像，凍結(jié)系統(tǒng)時鐘。c.網(wǎng)絡(luò)：對攻擊IP全流量PCAP留存，至少保留攻擊前2小時、攻擊后4小時。3.溯源：a.對郵件附件采用Cuckoo沙箱，提取C2域名、URL、Dropper。b.對加密勒索樣本采用IDA+Ghidra逆向，查找硬編碼密鑰或漏洞利用。c.關(guān)聯(lián)威脅情報，繪制“攻擊者-資產(chǎn)-時間”三維知識圖譜。（三）遏制階段1.賬戶：統(tǒng)一身份認證平臺批量凍結(jié)疑似泄露賬號，強制首次登錄修改12位以上復(fù)雜度密碼，并綁定微信/釘釘掃碼。2.補?。簩?day采用虛擬補丁，WAF自定義規(guī)則100條以內(nèi)，性能損耗<5%。3.服務(wù)：對確認被入侵業(yè)務(wù)系統(tǒng)，采用“下線-替換-重上線”三步走：a.下線：nginx返回503，數(shù)據(jù)庫切換至只讀副本。b.替換：使用上周四22:00的干凈鏡像重新拉起容器，代碼倉庫對比commit差異，確認無后門后上線。c.重上線：灰度20%流量30分鐘，無異常后全量。（四）根除階段1.后門查殺：EDR全盤掃描+YARA規(guī)則，重點檢查crontab、systemd、WMI、Run鍵值、DLL劫持。2.賬號清理：LDAP比對近7天新增管理員，發(fā)現(xiàn)“test00x”“adm1n”等異常一律刪除。3.策略優(yōu)化：a.防火墻：將默認“全通”策略改為“白名單+最小權(quán)限”，策略數(shù)從800條精簡至200條。b.交換機：關(guān)閉閑置光口，啟用802.1X+MAB，非注冊MAC自動劃入GuestVLAN，限速1Mbps。（五）恢復(fù)階段1.業(yè)務(wù)優(yōu)先級：高考報名>財務(wù)>一卡通>教學(xué)平臺>辦公OA>宿舍網(wǎng)。2.數(shù)據(jù)回滾：采用CDP持續(xù)數(shù)據(jù)保護，RPO≤15分鐘；對無CDP系統(tǒng)，使用前一日磁帶庫備份，RTO≤2小時。3.驗證：a.功能：教師隨機抽取10%課程，完成簽到、點名、上傳課件、在線考試全流程。b.性能：核心系統(tǒng)登錄并發(fā)≥日常峰值2倍，CPU≤60%，內(nèi)存≤70%，丟包≤0.1%。c.安全：再次全流量掃描，確認無同類IOC，方可摘“紅”標簽。（六）總結(jié)與改進1.事件72小時內(nèi)輸出《事件總結(jié)報告》，包含時間線、影響、損失、處置、溯源、責(zé)任、改進。2.獎懲：a.對第一發(fā)現(xiàn)人獎勵500元及“校園安全衛(wèi)士”證書；b.對因違規(guī)私搭Wi-Fi導(dǎo)致入侵的責(zé)任人，通報批評并取消當(dāng)年評優(yōu)。3.改進：a.制度：修訂《校園網(wǎng)用戶準入細則》，新增“任何人不得私自開啟遠程桌面”條款。b.技術(shù)：引入SASE架構(gòu)，將流量清洗、沙箱、CASB、DLP統(tǒng)一至云端，減少本地運維壓力。七、專項預(yù)案1.勒索軟件：a.離線解密：先確認勒索家族，查找NoMoreRansom項目；若無公開解密器，再評估商業(yè)解密成本。b.比特幣錢包：由財務(wù)處、審計處、信息中心三方共管，任何支付需校長、紀委書記雙簽字，報市教育局備案。2.數(shù)據(jù)泄露：a.個人信息：72小時內(nèi)通過校園網(wǎng)、公眾號、短信三渠道告知受影響師生，提供信用監(jiān)測一年。b.等級保護：若涉及重要數(shù)據(jù)，立即啟動“等保2.0”應(yīng)急測評，30日內(nèi)完成差距整改。3.大規(guī)?？荚囆诡}：a.立即封存命題、印刷、運輸、保管全鏈條監(jiān)控錄像；b.請公安網(wǎng)安對命題電腦、U盤、打印機進行只讀取證；c.啟用副題，延遲考試，報省考試院審批。4.輿情風(fēng)暴：a.30分鐘內(nèi)完成“輿情熱度-情感-平臺”三維掃描；b.統(tǒng)一口徑：由新聞發(fā)言人通過“學(xué)校官方微博+教育局通氣會”雙通道發(fā)布；c.對造謠賬號，固定證據(jù)后交公安處理。八、應(yīng)急工具箱（隨預(yù)案同步更新）1.硬件：只讀鎖2套、WORM硬盤4塊、USB啟動盤（Kali、WinPE、GParted）各10份、4G上網(wǎng)卡5張、對講機10部。2.軟件：a.鏡像：CentOS7Minimal、UbuntuServer22.04、WindowsServer2022Core，均已打最新補丁。b.工具：Volatility3、Autopsy、Wireshark、TCPDump、Nmap、Masscan、BloodHound、Chainsaw。3.賬號：提前在阿里云、騰訊云、教育網(wǎng)SOC開通應(yīng)急ECS，配置好VPN，確保斷網(wǎng)情況下可遠程分析。4.文檔：含通訊錄、拓撲圖、密碼信封、授權(quán)書、應(yīng)急報告模板，統(tǒng)一存放于加密壓縮包，密碼拆分三份，分別由校長、信息中心主任、保衛(wèi)科長保管。九、應(yīng)急通訊錄（節(jié)選）1.校內(nèi)：總指揮（校長）：138xxxx0001副總指揮（副校長）：139xxxx0002信息中心值班室：05xx-888811024小時機房：05xx-88881192.校外：市教育局電教館：05xx-6666120公安局網(wǎng)安支隊：05xx-110轉(zhuǎn)網(wǎng)安教育網(wǎng)CERT：400-910-1999運營商NOC：10086轉(zhuǎn)5十、示例（完整題型，供培訓(xùn)考核使用）一、單項選擇題（每題2分，共20分）1.發(fā)現(xiàn)校園網(wǎng)DNS被劫持，以下最先采取的措施是（）。A.修改本機hosts文件B.重啟路由器C.立即下線被篡改DNS服務(wù)器D.報警2.統(tǒng)一身份認證平臺遭撞庫，應(yīng)急辦公室應(yīng)在（）分鐘內(nèi)完成初報。A.10B.30C.60D.120……（共10題，此處省略）二、多項選擇題（每題3分，共30分）1.以下哪些屬于Ⅲ級事件（）。A.教學(xué)平臺被植入賭博鏈接持續(xù)2小時B.財務(wù)系統(tǒng)被加密，業(yè)務(wù)中斷5小時C.宿舍樓ARP欺騙，80%用戶斷網(wǎng)D.電子班牌被替換不良圖片2.遏制階段應(yīng)執(zhí)行的操作包括（）。A.關(guān)閉動態(tài)路由B.強制下線所有會話C.立即支付贖金D.對攻擊IP黑洞引流……（共10題，此處省略）三、判斷題（每題1分，共10分）1.應(yīng)急演練只需每學(xué)期一次，無需紅藍對抗。（）2.任何情況下都禁止向勒索軟件支付比特幣。（）……（共10題，此處省略）四、簡答題（每題10分，共20分）1.簡述“網(wǎng)絡(luò)分區(qū)”在遏制階段的具體步驟。2.說明數(shù)據(jù)泄露事件中“告知”義務(wù)的時間要求與渠道。五、實操題（20分）場景：你作為值班長，接到報告“教務(wù)系統(tǒng)無法登錄，頁面顯示‘yourdatahasbeenlocked’”。請寫出從發(fā)現(xiàn)到恢復(fù)的完整處置流程，要求時間線精確到分鐘，命令行或工具名須具體。參考答案與評分標準（內(nèi)部資料，培訓(xùn)時發(fā)放）1.單選：1.C2.B…2.多選：1.AC2.ABD…3.判斷：1.×2.×…4.簡答：要點包括“VRF隔離”“強制下線”“黑洞路由”“RPO/RTO”等關(guān)鍵詞，缺一點扣2分。5.實操：時間線合理5分；取證完整5分；遏制措施5分；恢復(fù)驗證5分。十一、持續(xù)改進機制1.度量指標：a.MTTD（平均檢測時間）≤30分鐘；b.MTTR（平均恢復(fù)時間）Ⅰ級≤4小時，Ⅱ級≤2小時，Ⅲ級≤1小時，Ⅳ級≤30分鐘；c.漏洞閉環(huán)率≥98%；d.釣魚郵件點擊率≤3%。2.審計：每年邀請第三方