幼兒園校園網路安全應急預案

網路安全應急預案是在特定網路和系統面臨或已經遭突然攻擊行為時，進行快速應急反應，提出並實施應急方案。作為一項綜合性工作，網路安全應急預案不僅涉及入侵檢測、事件診斷、攻擊隔離、快速恢復、網路追蹤、計算機取證、自動響應等關鍵技術，對安全管理也提出更高的要求。應急預案分為準備、檢測、抑制、根除、恢復、跟進6個階段的工作。

一、準備階段

準備（Preparation）階段是網路安全事件響應的第一個階段，也屬於一個過渡階段，即橫跨在網路安全事件真正發生前和有跡象將要發生的時間段上，大部分工作需要在應急響應之前就已做好準備。這一階段極為重要，因為事件發生時可能需要在短時間內處理較多事務，如果沒有足夠的準備，將無法準確地完成及時響應，導致難以意料的損失

準備階段的工作內容主要有2個，一是對資訊網路系統進行初始化快照。二是準備應急響應工具包。系統快照是指常規情況下，資訊系統程序、賬號、服務埠和關鍵檔案簽名等狀態資訊的記錄。通過在系統初始化或發生重要狀態改變後，在確保系統未被入侵的前提下，立即製作並儲存系統快照，並在檢測的時候將儲存的快照與資訊系統當前狀態進行對比，是後續“檢測”安全事件的一種重要途徑。

準備階段工作流程分：系統維護人員按照系統的初始化策略對系統進行安裝和配置加固。系統維護人員對安裝和配置加固後的系統進行自我檢查，確認是否加固完成。系統維護人員建立系統狀態快照。系統維護人員對快照資訊進行完整性簽名，以防止快照被非法篡改。系統維護人員將快照儲存在與系統分離的儲存介質上。

準備階段操作說明：

1、對系統的影響：操作不會對系統造成影響，在系統正常執行情況下執行各個步驟。

2、操作的複雜度（容易/普通/複雜）：容易。

3、操作效果：對執行後的結果必須儲存到不可更改的儲存介質。

4、操作人員：各作業系統、資料庫、網路裝置的系統維護人員。

二、檢測階段

講述檢測階段的網路安全應急響應實施。結合準備階段生成的系統初始化狀態快照，這裡概要介紹檢測安全事件（系統安全事件、網路安全事件、資料庫安全事件）相關內容和技術。除對比系統初始化快照外，安全事件檢測手段還包括部署入侵檢測裝置、流量監控和防病毒系統集中監控等。其中，入侵檢測系統通過偵聽網路流量並與事先存在的攻擊特徵匹配，實現對入侵事件的實時和自動發現。入侵檢測系統往往存在較高的誤報率。實際應用入侵檢測系統時，需要結合部署環境的實際情況定製檢測策略，以保證檢測的準確性。流量監控的檢測方式對於發現有明顯流量特徵的安全事件，如網路蠕蟲十分有效。在事件檢測階段做到“及時發現”，必須合理利用各種已有的檢測手段，綜合分析發現安全事件的真實原因。

檢測階段工作內容：檢測階段是應急響應執行過程中的關鍵一環，在這個階段需要系統維護人員使用初級檢測技術進行檢測，確定系統是否出現異常。在發現異常情況後，形成安全事件報告，由安全技術人員和安全專業技術人員介入進行高階檢測來查詢安全事件的真正原因，明確安全事件的特徵、影響範圍並標識安全事件對受影響的系統所帶來的改變，最終形成安全事件的應急處理方案。

檢測階段工作流程：

第一步：系統維護人員或安全技術人員在執行日常任務和檢測中發現系統異常。

第二步：發現異常情況後，形成安全事件報告。

第三步：安全技術人員、系統維護人員和第三方安全事件應急服務人員查詢安全事件的原因。

第四步：安全技術人員、系統維護人員和第三方安全事件應急服務人員確定安全事件的原因、性質和影響範圍。

第五步：安全技術人員、系統維護人員和第三方安全事件應急服務人員確定安全事件的應急處理方案。

操作說明：檢測階段操作不會對系統造成影響，在系統正常執行情況下執行各個步驟，但在事件驅動檢測方式中，確定有安全事件發生的情況下必須根據流程採取相應的措施，防止中斷系統或網路的正常執行。初級檢測操作的複雜度為“普通”，高階檢測操作的複雜度為“複雜”。例行檢測是一種積極的方式，能預先發現系統和網路存在的漏洞，可根據流程採取補救措施；事件驅動方式的檢測方法對安全事件能迅速響應，不會讓安全事件擴大。檢測階段的操作人員主要有：系統維護人員、安全技術人員、第三方安全事件應急服務人員、安全評估人員。

三、抑制和根除階段

介紹各類安全事件（拒絕服務類攻擊、系統漏洞及惡意程式碼類攻擊、網路欺騙類攻擊、網路竊聽類攻擊、資料庫 SQL 注入類攻擊）相應的抑制或根方法和技術。

抑制和根除階段的工作內容：

首先，網路安全攻擊事件的進行可以分為拒絕服務類攻擊、系統漏洞及惡意程式碼類攻擊、網路欺騙類攻擊、網路竊聽類攻擊、資料庫SQL注入類攻擊，針對每一類攻擊事件都需提供抑制方法，以及可操作性的技術規範和指導。

抑制是對攻擊所影響的範圍、程度進行扼制，通過採取各種方法，控制、阻斷、轉移安全攻擊。抑制階段主要是針對前面檢測階段發現的攻擊特徵，比如攻擊利用的埠、服務、攻擊源、攻擊利用系統漏洞等，採取有針對性的安全補救工作，以防止攻擊進一步加深和擴大。抑制階段的風險是可能對正常業務造成影響，如系統中了蠕蟲病毒後要拔掉網線，遭到DDoS 攻擊時會在網路裝置上做一些安全配置，由於簡單口令遭到入侵後要更改口令會對系統的業務造成中斷或延遲，所以在採取抑制措施時，必須充分考慮其風險。

根除階段是在抑制的基礎上，對引起該類安全問題的最終技術原因在技術上進行完全的杜絕，並對這類安全問題所造成的後果進行彌補和消除。在根除階段，採取措施最大的風險主要是在系統升級或補丁時可能造成系統故障，所以必須做好備份工作。在進入抑制和根除階段之前，應形成安全事件應急響應方案，並對方案的實施獲取必要的管理授權。

抑制和根除階段的工作流程：

第一步：應急處理方案獲得授權。

第二步：系統維護人員、安全技術人員和第三方安全事件應急服務人員共同測試應急處理方案驗證效果。

第三步：系統維護人員、安全技術人員和第三方安全事件應急服務人員共同測試應急處理方案是否影響系統執行，對系統的影響程度不可接受時返回檢測階段。

第四步：實施應急處理方案。

第五步：當實施應急處理方案失敗的情況下，採取應變和回退措施，並返回到檢測階段。

此階段工作中應注意以下兩點。

1、第三方安全事件應急服務人員僅在必要時參加。

2、測試工作根據實際情況可以選擇口頭演練、試驗室測試、現網區域性測試3種方式進行。

 抑制和根除階段操作說明：應急處理方案由相關人員和第三方安全事件應急服務人員共同制定，根據流程需進行嚴格和充分的測試，但是由於抑制和根除操作需要對系統作相關設定，加上一些系統實際情況較為特殊和複雜，必須根據系統實際情況制定實施應急處理方案失敗的應變和回退措施。抑制和根除階段操作的複雜度為“複雜”。具體執行操作人員包括系統維護人員、安全技術人員、第三方安全事件應急服務人員。

四、恢復階段

恢復階段是指通過採取一系列的措施將系統恢復到正常業務狀態。下面所闡述的內容未包含恢復階段的全部技術內容，尤其是與各個業務系統實際情況相結合的部分，有關此部分的內容應在各業務系統的應急預案和業務連續性計劃中體現。介紹的恢復方式包含2種。一是在應急處理方案中列明所有系統變化的情況下，直接刪除並恢復所有變化；二是在應急處理方案中未列明所有系統變化的情況下，重灌系統。

恢復階段工作內容：

主要內容是將系統恢復到正常的任務狀態。在系統遭到入侵後，攻擊者一定會對入侵的系統進行更改。同時，攻擊者還會想盡各種辦法使這種修改不被系統維護人員發現。從而達到隱藏自己的目的。在根除階段能徹底恢復配置和清除系統上的惡意檔案，並且能夠確定系統在所有變化完全根除的情況下，通過直接恢復業務系統的方式來恢復系統。這種恢復方式的優點是時間短、系統恢復快、系統維護人員工作量小和對業務的影響較小。在根除階段不能徹底恢復配置和清除系統上的惡意檔案或不能肯定系統是否經過根除後已達乾淨時，就一定要徹底地重灌系統。簡單地說，系統重灌往往是系統最可靠的系統恢復手段。

恢復階段工作流程:如果應急處理方案中列明所有系統變化，刪除並恢復所有變化，實施安全加固。如果存在應急處理方案中未列明所有的系統變化，備份重要資料，低階格式化磁碟。嚴格按照系統的初始化安全策略安裝和加固.

恢復階段操作說明:恢復階段操作對系統的影響較大，作業系統需要停止，安全加固後對系統再次快照，審計合格後方可上線執行。操作的複雜度為“普通”，但必須嚴格按照操作步驟執行。操作人員一般僅為企業內部系統維護人員。

重灌系統:

由於恢復階段可以採取重灌系統這一簡單有效的辦法達到初始執行狀態，因此再介紹一下重灌系統的步驟和需要注意的事項。

1、重灌系統時應採取的步驟

（1）重新安裝作業系統之前要確定所有資料已經備份。備份的資料要保證是沒有被攻擊者改變的乾淨的資料。

（2）低階格式化硬碟，確保所有磁碟分割槽為系統的安全分割槽。

（3）作業系統、Web主目錄、日誌分別安裝在不同的分割槽，注意許可權配置。

（4）不要安裝不需要的軟體、協議和服務，儘量最小化安裝。

（5）安全加固請參閱安全配製文件並打上所有的補丁。

（6）安裝應用軟體如IIS，應參照安全配置文件進行配置。

（7）安裝作業系統和應用軟體的最新補丁。

（8）恢復備份的資料。

（9）恢復業務系統。

2、重灌系統時的注意事項

（1）為了徹底消除攻擊者可能留下的安全隱患，一定進行低階格式化。這樣做將刪除所有的資料並且沒有辦法再恢復，所以一定要做好備份工作。

（2）在重新安裝系統的時候要嚴格遵守系統安裝的各項規定。

（3）系統在安裝和安全配置沒有全部做好之前，嚴禁連線網路。

（4）恢復系統的應用和資料的時候，要對應用和資料進行檢查。以免其中存在的漏洞隨著資料恢復被安裝在系統上。

安全加固及系統初始化:在系統重灌完畢後，正式上線以前，必須做好以下兩件事情。

1、安全加固進行系統的安全加固工作；尤其要注意對引發安全事件的漏洞的修復和加固的處理，如果手冊上沒有，要及時對手冊進行更新。

2、安全快照在進行安全加固後，按照第一階段介紹的方法做好系統的安全快照。

五、跟進階段

跟進階段的目的是通過對系統的審計（進行完整的檢測流程），確認系統有沒有被再入侵。在檢測過程中特別應該注意的是檢查抑制和根除階段的工作效果。同時回顧、總結並整合發生應急響應事件過程中的相關資訊。提高事件處理人員技能，以應付將來發生的類似場景。提高安全事件應急響應的處理能力。

跟進的意義在於：

（1）基於吸取的教訓重新評估和修改安全事件應急響應相關措施；

（2）調整組織的安全技術策略；

（3）調整組織的安全管理策略和資源配置；

（4）促進安全事件應急響應能力和組織機構的建設。跟進階段對抑制或根除的效果進行審計，從而為確認系統沒有被再次入侵提供了幫助。

跟進階段工作內容：

跟進階段是應急響應的最後一個階段，主要是對抑制或根除的效果進行審計，確認系統沒有被再次入侵。下面將詳細說明跟進階段的工作要如何進行、在何時進行比較合適、具體的工作流程、要思考和總結的問題以及需要報告的內容。跟進階段的主要任務是確認系統有沒有被再入侵，確認系統有沒有被再入侵是通過對抑制或根除的效果進行審計完成的。這種審計是一個需要定期進行的過程。通常，第一次審計應該在一定期限之內進行，以後再進行復查，並輸出跟進階段的報告內容，包括安全事件的型別、時間、檢測方法、抑制方法、根除方法、事件影響範圍等。要在跟進階段報告中詳細記錄這些內容。

跟進階段還需對事件處理情況進行總結，吸取經驗教訓，對已有安全防護措施和安全事件應急響應預案進行改進。跟進階段是安全事件應急響應6個階段方法論的最後一個階段。跟進階段是6個階段中最可能被忽略的階段。但這一步也是非常關鍵的。該階段需要完成的原因有以下幾點。

1、有助於從安全事件中吸取經驗教訓，提高技能。

2、有助於評判應急響應組織的事件響應能力。

3、如果可能的話，可以在更大範圍推廣介紹事件處理經驗。

跟進階段工作流程：

第一步：執行完整的檢測階段流程。

第二步：確認系統是否再次被入侵，如果有，請回到抑制和根除階段。

第三步：總結安全事件的處理過程和技能，調整安全策略，輸出總結文件。

第四步：輸出跟進階段的報告內容。

第五步：安排再次審計。

跟進階段操作說明：

1、對系統的影響：不會對系統造成影響，在系統正常執行情況下執行各個步驟。

2、操作的複雜度（容易/普通/複雜/）：普通。

3、操作效果：確定系統狀態，總結應急響應流程和技術。

4、操作人員：系統維護人員、安全技術人員、第三方安全事件應急服務人員、安全評估人員。

跟進階段的報告格式及模板：

跟進階段最重要的任務就是要記錄下整個應急響應的報告，要寫報告內容、包括安全事件的型別、時間、檢測方法、抑制方法、根除方法、事件影響範圍等。詳細記錄下這些內容備用。此處先介紹一下需要記錄的內容條目，然後給出跟進報告的模板。

跟進階段報告裡需要寫清楚的內容條目如下。

1、事件型別：事件型別是對事件的定性，要包括的資訊有攻擊的來源（內部/外部，國內/國外）、攻擊的方法、攻擊導致的後果等。

2、時間：不能簡單地記錄計算機的時間，還要記錄當前標準時間以及受攻擊的系統同標準時間的誤差。

3、檢測方法：記錄採用了什麼檢測方法，檢測到了什麼結果。

4、抑制方法：記錄採用了什麼抑制方法，抑制的效果如何。

5、根除方法：記錄採用了什麼根除方法，根除效果如何。

6、事件影響：估計和總結事件的影響範圍，總結在事件整個過程中的成功經驗。