校园网应急预案.doc

一、 校园网应急预案应急预案是开展应急响应行动的行动计划和实施指南。 应急响应预案实际上是一个透明和标准化的反应程序，使应急响应活动能按照预先周密的计划和最有效的实施步骤有条不紊地进行。这些计划和步骤是快速响应和有效防护的基本保证。应急预案，应该有系统完整的设计、标准化的文本文件、行之有效的操作程序和持续改进的运行机制。按照系统论的思想，应急响应预案是一个开放、复杂和庞大的系统，应急预案的设计和组织实施应遵循体系要素构成和持续改进的指导思想。 1、 基本原则和目标 组织实施应急响应活动的基本原则应是集中管理、统一指挥、规范运行、标准操作、反应迅速和响应高效。 应急预案的总目标是控制紧急事件的发展并尽可能消除，将事故对人、财产和环境的损失和影响减小到最低限度。2、 工作原则 预防为主：网络安全应急响应组及时汇总各种安全信息，分析网络安全状况，及时发现隐患，防患于未然。最安全的解决办法就是在及时发现，及时消除。加强用户安全意识，提高网管人员技术水平。 依法管理：应急各项工作的实施必须以国家有关的法律法规、互联网安全管理有关文件和校园网有关管理规定执行，保护国家利益和用户的用网权益。 分级控制：组织管理和运行维护管理按不同层次分别负责。重大的全网性的大型网络和信息安全事件由校园网中心负责紧急报送上级主管部门，由上级主管部门启动相关领导体系和工作方案，一般性的全网网络和信息安全事件由校园网中心自行启动有关流程处理并通报。 快速反应：按照预案流程及时处理各种可能发生的情况，但网络安全事件层出不穷，千变万化，网络中心安全应急响应组必须起到相应的作用，快速反应，对新的危险和安全事件做出相应对策。 3、 适用范围 安全事件定义为违反校园网安全政策的行为。主要包括（但不限于）以下几类： 破坏保密性的安全事件：比如入侵系统并读取信息、搭线窃听、远程探测网络拓扑结构和计算机系统配置等； 破坏完整性的安全事件：比如入侵系统并篡改数据、劫持网络连接并篡改或插入数据、安装特洛伊木马（如BackOrifice2K）、计算机病毒（修改文件或引导区）等； 破坏可用性的安全事件：比如系统故障、拒绝服务攻击、计算机蠕虫（以消耗系统资源或网络带宽为目的）等。 扫描：包括地址扫描和端口扫描等，为了侵入系统寻找系统漏洞。 垃圾邮件骚扰：垃圾邮件是指接收者没有订阅却被强行塞入信箱的广告、政治宣传等邮件，不仅耗费大量的网络与存储资源，也浪费了接收者的时间。 传播色情内容：尽管不同的地区和国家政策不同，但是多数国家对于色情信息的传播是限制的，特别是对于青少年儿童的不良影响是各国都极力反对的。 愚弄和欺诈：是指散发虚假信息造成的事件，比如曾经发生过几个组织发布应急通告，声称出现了一种可怕的病毒“VirtualCardforYou”，导致大量惊惶失措的用户删除了硬盘中很重要的数据，导致系统无法启动。 本规定适用于校园网，也可作为接入院系的参考。 4、 风险分析 目前存在的问题： o 大规模、高速网络环境； o 复杂的应用和业务类型； o 活跃的、不同使用水平的用户群体； o 大量的非正版软件和电子资源； o 宽松的管理体制； o 有限的资金投入； 可能导致的风险： o 普遍存在的计算机系统的漏洞； o 计算机蠕虫、病毒泛滥； o 外来的攻击、入侵； o 内部用户的攻击、和资源滥用； o 垃圾信息和不良信息的传播； 5、 应急准备和计划 终端用户发现并报告的典型问题如下： o 终端用户不能通过国际互联网访问网页或程序服务器。 o 网页内容发生意外改变。 o 网页或应用行为异常。 o 从网页上下载的文件包含病毒。 o 网页或服务器不能使用。 用户事件处理流程 应用管理员发现并报告的典型问题如下： o 网页的内容或程序文件被改动。 o 应用死机(down)或者不能通过网络访问。 o 应用行为异常。 o 发出对应用的未授权访问。 应用事件处理流程 系统管理员发现并报告的典型问题如下： o 服务器被病毒感染。 o 由此服务器散布的文件包含病毒。 o 数据中心的一个服务器死机或无法连接。 o 数据中心的某应用不能远程连接，无论是从国际互联网或内部网络。 o 监视工具发现系统的改变。 o 数据中心的服务器被未授权访问或更改。 系统事件处理流程 核心小组事件处理o 计算机安全事件已经被确认后，必须马上成立“紧急事件响应核心组”以制定策略并推进调查进程。接下来的过程因所发生的攻击类型来决定。 核心小组事件处理流程 DoS攻击事件o DoS攻击的目的是使目标机不可访问。所用的手段一是堵塞网络使得合法的流量不能通行，二是使主机的某项服务超载使它不能响应合法请求。有时候目标机将因为此攻击而崩溃。o DoS袭击包通常使用伪造的源IP地址，这使过滤不想要的通信和执行追踪的尝试复杂化（虽然许多最近的僵尸化攻击不再费心伪造源地址）。处理此类攻击的最好办法就是迅速升级。 DoS攻击事件处理流程 病毒事件o 由于网络中存在大量有漏洞的主机，用户的技术水平参差不齐，病毒事件一直是应急响应组织处理得最多的意向。o 这里病毒事件的定义可以扩展到包含广义的恶意代码。 病毒事件处理流程 未授权访问o 没有得到相应的系统权限的个人对系统进行的一切操作称作未授权访问，在此不考虑人员的受雇状态。只有不存在明显更改的情况，才能归类为未授权访问。入侵者可能进入系统访问一些私有的数据，不过大多数情况下，是把系统作为跳板来进入其它系统。o 如果响应过程中入侵者仍在线上，那么需要做出决定：是否让入侵者继续留在线上以便更好地判断他们的行为，是否改变系统的配置使入侵者不能返回，还是尝试和入侵者交流从而了解他们是怎样获得访问权的并且要求他们停止对企业系统的未授权使用？任何时候一旦入侵者发现自己被人观察，他们都可能试图报复。如果响应小组没有发现入侵者的所有侵入口，例如木马程序提供的后门，那么响应小组将不能防止入侵者再次进入系统。 未授权访问事件处理流程 未授权修改o 任何对系统进行的未授权的改变称作未授权修改，在此不考虑人员的受雇状态。一个有访问系统权限的人不一定有修改系统数据的权限。 未授权修改事件处理流程 网络探测o 网络探测，也被称为扫描，是在互联网上最常遇到的安全相关问题。一些简单的探测工具扫描器能够探测特定IP地址上运行了什么服务，而这种探测器在互联网上到处都能找到。扫描器本身对系统是无害的；但是它是发现目标系统的漏洞的第一步。o 网络探测是很容易被发现的，但是通常情况下并不把Web服务器设置成一旦被扫描就立刻报警。从互联网可以直接访问的主机尤其是其所有者地位重要的Web服务器就算不是每天被探测几次的话，也会每周被探测好几次。 网络探测事件处理流程6、 应急保障 人员、组织和环境保障 o 确保一名校级领导负责校园网网络安全主管工作，每个院系必须由一位领导担任该院系的网络信息安全主管人并指派一名安全管理员(可由专职网管兼任)。网络中心建立专门网络安全应急响应小组负责安全事件的技术支持和协调工作。 o 为了使各院系的安全管理员在岗，网络中心应定期对院系的安全管理员进行技术培训，同时检查安全工作的落实情况。 技术保障 o 网络中心的安全应急响应组负责落实安全专项工作的技术专家，并协调各院系周期性地共同研究并制定校园网络安全管理的规范和技术实施方案，以确保网络上的网络安全管理平台和技术标准的先进、实用和可靠，满足安全管理的目标和需求。 通信保障 o 网络和信息安全应急处理的最根本的要求是通信联络。校园网络网络中心要求各院系上报该院系得网络安全主管、运行技术负责人人员名单，包括通信地址、电话座机、手机、电子邮件、传真等联络方式等信息。上述的联络方式由校园网络中心定期和不定期地进行检查，以确保通信联络的畅通可靠。 o 为了适应校园网络中心应急工作所需要的大量协调性工作，应建立和当地公安机关、校主管部门、教育网网络中心、国内其他大型互联网网管部门、各线路租用商、临时电力供应商等单位的业务联系。并经常性地