小学网络安全应急演练总结

小学网络安全应急演练总结第一章演练背景与目标1.1背景2024年3月，杭州市西湖区行知小学信息中心在例行日志审计中发现：近两周内，学生机房出现3次异常出口流量，目标IP指向境外C2服务器；教师办公区有2台终端被植入挖矿木马；校园公众号后台登录日志出现凌晨3点异地IP暴力破解记录。区教育局下达《西湖区校园网络安全专项整治通知》，要求两周内完成实战化应急演练并形成闭环报告。1.2目标a.验证《行知小学网络安全应急预案V3.2》的可操作性，确保在真实攻击场景下，事件从发现到恢复不超过90分钟；b.检验“学生—教师—信息组—校领导—区教育局”五级通报链路，确保信息在10分钟内同步到位；c.完成一次“勒索病毒横向移动”模拟，验证关键业务（学籍、成绩、财务）在30分钟内完成隔离、备份、切换；d.通过演练生成可复用的《小学网络安全事件处置SOP》模板，向全区38所小学推广。第二章组织与职责2.1演练指挥部总指挥：王琳（校长）副总指挥：周锐（副校长，分管信息化）现场指挥：赵帆（信息中心主任）成员：教务处、德育处、总务处、家委会代表、西湖区教育网络安全应急支撑团队（以下简称“支撑团队”）。2.2工作组a.监测组：负责攻击流量识别、日志取证，由信息组3人+支撑团队2人组成；b.处置组：负责终端隔离、补丁推送、账号封禁，由信息组2人+外包运维3人组成；c.教学保障组：负责把被攻击机房的学生紧急疏散至备用教室，并维持教学秩序，由教务处4人组成；d.对外联络组：负责向区教育局、公安网安大队、家长群同步信息，由校办2人+家委会1人组成；e.合规组：负责全程录像、填写《事件处置记录表》，确保符合《个人信息保护法》《未成年人保护法》要求，由德育处1人+法律顾问1人组成。第三章演练方案设计3.1攻击剧本采用“匿名邮箱投递勒索病毒”+“横向移动”双阶段剧本：阶段1：08:25，攻击者以“区教研室”名义向五年级数学组5名教师发送带宏病毒的“期中质量分析模板.docm”；阶段2：08:40，宏病毒在教师终端落地后，利用永恒之蓝（MS17-010）漏洞横向移动至学籍服务器（5），加密“D:\student_data”目录，弹出勒索壁纸。3.2风险可控措施a.病毒样本采用支撑团队提供的弱加密demo版本，加密后可通过内置密钥5分钟内解密；b.学籍服务器提前做磁盘快照，演练前一小时由总务处完成离线备份；c.演练全程在专用VLAN/24进行，与学生机房（/24）物理隔离；d.提前24小时向区教育局备案，取得《渗透测试授权书》。第四章实施流程（精确到分钟）4.1演练前48小时T-48h：信息中心主任赵帆在钉钉群发布《演练通知》，要求全体教师将终端重要资料备份至OneDrive；T-36h：支撑团队到校，使用Nessus扫描确认学籍服务器已打补丁，关闭SMBv1；T-24h：合规组完成《个人信息脱敏确认表》，确保学籍库中身份证号、家长手机号已做掩码处理；T-12h：总务处对学籍服务器做快照，命名“20240325_snap”，存放至本地NAS，并异地加密上传至阿里云OSS；T-2h：监测组在核心交换机上部署流量镜像，接入SecurityOnion，规则库更新至20240324版本。4.2演练当天08:00监测组、处置组、教学保障组到达指挥室，领取对讲机（频道5），核对时间（以北斗时钟为准）；08:20对外联络组在家长群发布“今日8:30—9:30学校网络升级，可能短暂影响家校通”预通知；08:25攻击邮件准时投递，监测组在SecurityOnion触发“ETPOLICYVBSDownload”告警；08:26监测组李爽在对讲机报告：“发现可疑POST，源8，目标185.220.x.x，已匹配IOC”；08:27现场指挥下令：“启动预案Level2，封锁8”，处置组王斌登录SangforEDR，一键隔离该终端；08:28教学保障组张莉收到指令，立即到五年级办公室，引导5名教师暂时断开网线，改用纸质教案；08:30监测组发现横向移动流量，学籍服务器445端口出现“SMBTrans2SESSION_SETUP”异常；08:31处置组在防火墙上下发ACL：denyipany5eq445；08:32学籍服务器弹出勒索壁纸，文件被加密，扩展名.locked；08:33现场指挥升级至Level3，启动“关键业务切换”子流程：1.总务处王磊登录vCenter，将快照“20240325_snap”克隆为“xueji_restore”；2.信息组刘倩修改DHCP作用域，将学籍系统DNS由5改为5（备用服务器）；3.教务处李颖在群晖Drive上启用“只读模式”，防止加密扩散；08:38备用学籍系统上线，教师扫码登录正常；08:40监测组通过EDR追溯，确认攻击源头为MAC54-ee-75-xx-xx-xx，定位到五年级办公室第3台笔记本；08:42处置组对该笔记本做内存dump，使用Volatility提取恶意进程，计算SHA256，上传至国家网信办威胁平台；08:45对外联络组向区教育局值班室电话报告：“08:25发现勒索病毒，08:38业务恢复，无学生个人信息泄露”；08:50合规组填写《事件处置记录表》，教师、家长、学生无人脸照片泄露，符合《个人信息保护法》第28条；08:55支撑团队出具《溯源报告》，确认加密器为已知变种，解密工具已发布；09:00现场指挥宣布演练结束，进入复盘阶段。第五章制度与规范5.1《行知小学网络安全应急预案V3.2》核心条款第5条事件分级Level1：局部终端异常，不影响教学，10分钟内处置；Level2：单点系统受影响，可能影响教学，30分钟内处置；Level3：关键业务中断或大规模数据泄露，90分钟内恢复。第12条通报时限监测组发现Level2及以上事件，须在5分钟内电话通报现场指挥；现场指挥在5分钟内短信通报校长；校长在10分钟内电话通报区教育局。第18条数据恢复优先级P0：学籍、成绩、财务；P1：教师教研资料；P2：监控录像；P3：其他。5.2《校园邮件白名单制度》a.教师邮箱只接收“@、@、@”三个域名邮件；b.外部邮件需经Sangfor沙箱检测30分钟无异常后方可投递；c.禁止教师使用个人邮箱处理教务信息，违者年度考核降档。5.3《学生机房网络隔离规范》学生机房默认VLAN100，教师办公VLAN200，服务器区VLAN15；三层交换机启用PVLAN，禁止VLAN间主动访问，仅开放教学软件白名单端口：TCP80、443、3389、5900。第六章工具与清单6.1开源工具SecurityOnion：流量镜像、IDS告警；Volatility：内存取证；Clonezilla：磁盘快照；KeePass：统一存储服务器口令，32位随机密码。6.2商业工具SangforEDR：终端隔离、补丁推送；阿里云OSS：异地备份，开启KMS加密；vCenter：虚拟机快照、克隆；钉钉“密聊”：应急指挥，消息阅后即焚，防泄密。6.3硬件清单DellR730学籍服务器1台H3CS5560三层交换机1台SangforAC上网行为管理1台UPS6KVA2小时续航1套对讲机Motorola8台第七章数据与评估7.1关键指标MTTD（平均发现时间）：2分钟；MTTI（平均隔离时间）：3分钟；MTTR（平均恢复时间）：13分钟；数据完整性：100%，无丢失；合规性：0条学生敏感数据外泄；教师满意度：演练后问卷96.7%认为“处置及时”。7.2评估方法采用NISTSP800-61r2的“演练评估矩阵”，从“检测、分析、遏制、恢复、通报”5维度打分，满分5分：检测4.8，分析4.5，遏制4.7，恢复4.9，通报4.6，综合4.7，达到“优秀”。第八章问题与改进8.1发现的问题a.五年级一名教师将邮箱密码写在便利贴贴在显示器，导致攻击者一次性成功；b.备用学籍系统虽能登录，但成绩打印功能依赖旧版ActiveX，部分教师不会操作；c.监测组对Linux系统日志不熟，在溯源阶段耗时过长；d.家长群出现“学校被黑客入侵，学生信息全泄露”谣言，对外联络组未同步“无泄露”结论，导致2分钟内出现47条追问。8.2改进措施a.立即启用《口令管理办法》，教师密码长度≥12位，含大小写+符号，每季度强制更换，便利贴发现一次扣绩效200元；b.总务处在一周内把打印功能升级为B/S架构，取消ActiveX；c.信息组与支撑团队签署《Linux日志分析培训协议》，4月完成20课时；d.对外联络组新增“谣言粉碎”模板，30秒内可推送“事件级别、影响范围、已采取措施”三段式回复，并@全体成员。第九章可复用模板输出9.1《小学网络安全事件处置SOP》步骤1：发现1.1监测工具触发告警→5分钟内确认源IP、MAC、用户；1.2立即电话通报现场指挥，同步钉钉群。步骤2：隔离2.1EDR一键隔离终端；2.2核心交换机封禁IP+端口；2.3教学保障组引导人员离场。步骤3：评估3.1判断事件级别，启动对应预案；3.2合规组开始录像、填表。步骤4：恢复4.1快照克隆→业务切换→验证；4.2打印、查询、上传功能逐条测试。步骤5：通报5.1校长→区教育局→公安；5.2家长群模板式回复；5.3形成报告，24小时内上传“西湖区教育安全平台”。9.2一键脚本Python3脚本“lock_user.py”，调用钉钉开放平台API，实现“批量禁用AD账号+发送密聊”，代码已放校内GitL