福禄坪小学网络、信息安全类突发事件应急处置预案.docx

福禄坪小学网络、信息安全类突发事件应急处置预案网络、信息安全应急响应是十分重要的，在网络安全事件层出不穷、事件危害损失巨大的时代，应对利用网络发送有害信息，进行反 动、色情、迷信等宣传活动；窃取国家及教育行政部门、学校涉密信 息，可能造成严重后果的事件，破坏校园网络安全运行的事件，根据 应急响应组织事先对各自可能情况的准备演练，在网络安全事件发生 后，尽可能快速、高效的跟踪、处置与防范，确保网络信息安全。就 目前的网络安全应急监测体系来说，其应急处理工作可分为以下几个 流程:1 .准备工作此阶段以预防为主，在事件真正发生前为应急响应做好准备。主 要包括以下几项内容：制定用于应急响应工作流程的文档计划，并建立一组基于威胁态势 的合理防御措施；制定预警与报警的方式流程，建立一组尽可能高效的事件处理程 序；建立备份的体系和流程，按照相关网络安全政策配置安全设备和 软件；建立一个支持事件响应活动的基础设施，获得处理问题必备的资 源和人员，进行相关的安全培训，可以进行应急反映事件处理的预演 方案；2 .事件监测识别和发现各种网络安全紧急事件。一旦被入侵检测机制或另外 可信的站点警告已经检侧到了入侵，需要确定系统和数据被入侵到了 什么程度。入侵响应需要管理层批准，需要决定是否关闭被破坏的系 统及是否继续业务，是否继续收集入侵者活动数据（包括保护这些活 动的相关证据）。通报信息的数据和类型，通知什么人。主要包括以下几种处理方法: 布局入侵检测设备、全局预警系统，确定网络异常情况；预估事件的范围和影响的严重程度，来决定启动相应的应急响应 的方案；事件的风险危害有多大，涉及到多少网络，影响了多少主机，情 况危急程度；确定事件责任人人选，即指定一个责任人全权处理此事件并给予 必要资源；攻击者利用的漏洞传播的范围有多大，通过汇总，确定是否发生 了全网的大规模入侵事件；3 .抑制处置在入侵检测系统检测到有安全事件发生之后，抑制的目的在于限 制攻击范围，限制潜在的损失与破坏，在事件被抑制以后，应该找出 事件根源并彻底根除；然后就该着手系统恢复，把所有受侵害的系统、 应用、数据库等恢复到它们正常的任务状态。收集入侵相关的所有资料，收集并保护证据，保证安全地获取并 且保存证据；确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复 用户数据和应用服务；通过对有关恶意代码或行为的分析结果，找出事件根源明确相应 的补救措施并彻底清除，并对攻击源进行准确定位并采取措施将其中 断；清理系统、恢复数据、程序、服务，把所有被攻破的系统和网络 设备彻底还原到正常的任务状态。4 .应急场景网络攻击事件安全扫描攻击：黑客利用扫描器对目标进行漏洞探测，并在发现 漏洞后进一步利用漏洞进行攻击；暴力破解攻击：对目标系统账号密码进行暴力破解，获取后台管理员 权限；系统漏洞攻击：利用操作系统、应用系统中存在漏洞进行攻击；WEB漏洞攻击：通过SQL注入漏洞、上传漏洞、XSS漏洞、授权绕 过等各种WEB漏洞进行攻击；拒绝服务攻击：通过大流量DDOS或者CC攻击目标，使目标服务 器无法提供正常服务；其他网络攻击行为；恶意程序事件病毒、蠕虫：造成系统缓慢，数据损坏、运行异常；远控木马：主机被黑客远程控制；僵尸网络程序（肉鸡行为）：主机对外发动DDOS攻击、对外发起 扫描攻击行为；挖矿程序：造成系统资源大量消耗；WEB恶意代码Webshell后门：黑客通过Webshell控制主机；网页挂马：页面被植入待病毒内容，影响访问者安全；网页暗链：网站被植入博彩、色情、游戏等广告内容；信息破坏事件系统配置遭篡改：系统中出现异常的服务、进程、启动项、账号 等等；数据库内容篡改：业务数据遭到恶意篡改，引起业务异常和损失;网站内容篡改事件：网站页面内容被黑客恶意篡改；信息数据泄露事件：服务器数据、会员账号遭到窃取并泄露；其他安全事件账号被异常登录：系统账号在异地登录，可能出现账号密码泄露;异常网络连接：服务器发起对外的异常访问，连接到木马主控端、 矿池、病毒服务器等行为；总之，信息安全应急响应体系应该从以上几个方面来更加完善， 统一规范事件报告格式，建立及时堆确的安全事件上报体系，在分类 的基础上，进一步研究针对各类安全事件的响应对策，从而建立一个 应急决策专家系统，建立网络安全事件数据库，这项工作对于事件应 急响应处置过程具有十分重要的意义。