大學(xué)網(wǎng)絡(luò)突發(fā)事件處理辦法

大學(xué)網(wǎng)絡(luò)突發(fā)事件處理辦法為了加強對學(xué)校校園網(wǎng)絡(luò)的安全保護，防止個別用戶利用非法手段進行不正當(dāng)?shù)木W(wǎng)上行為，維護學(xué)校的正常教學(xué)秩序和校園穩(wěn)定，確保發(fā)生網(wǎng)上突發(fā)安全緊急事件時，能夠及時發(fā)現(xiàn)、預(yù)警并準(zhǔn)確判斷、快速反應(yīng)，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》和其他法律、行政法規(guī)的規(guī)定，特制定***學(xué)院網(wǎng)絡(luò)安全技術(shù)突發(fā)事件應(yīng)急處理暫行辦法。一、應(yīng)急處理工作的目標(biāo)、原則和基本方法（一）以建立運轉(zhuǎn)靈活、反應(yīng)靈敏的網(wǎng)絡(luò)突發(fā)事件應(yīng)急處理協(xié)調(diào)機制為目標(biāo)。（二）應(yīng)急處理的基本原則是防止事態(tài)進一步擴大，避免重大的經(jīng)濟損失和政治影響。（三）應(yīng)急處理的基本方法：1．應(yīng)急處置。發(fā)生網(wǎng)絡(luò)突發(fā)事件時，網(wǎng)管人員應(yīng)迅速到崗，及時采取措施進行處置，必要時暫停聯(lián)網(wǎng)、停機檢查，以避免事態(tài)擴大。2．保留現(xiàn)場。通知領(lǐng)導(dǎo)、保衛(wèi)等部門，共同決定采取的進一步措施。3．追查來源。來源于校內(nèi)用戶的，要通過日志記錄等方式展開調(diào)查，追查出責(zé)任人并報學(xué)校處理；來源于校外的，應(yīng)對事故原因進行認(rèn)真分析，采取相應(yīng)的預(yù)防措施，避免類似事件的再次發(fā)生，必要時通知公安機關(guān)。4．加強監(jiān)管。敏感時期各級網(wǎng)站責(zé)任部門安排專人進行網(wǎng)絡(luò)監(jiān)控，發(fā)現(xiàn)和上報網(wǎng)絡(luò)安全事故。二、應(yīng)急處理的對象校園網(wǎng)絡(luò)突發(fā)事件是指突然發(fā)生的并且影響范圍廣泛、影響性質(zhì)惡劣的事件。具體指針對計算機或網(wǎng)絡(luò)所存儲、傳輸、處理的信息安全事件，事件的主體可能來自自然界、系統(tǒng)自身故障、組織內(nèi)部或外部的人、計算機病毒或蠕蟲等。主要包括:1．破壞保密性的安全事件：如入侵系統(tǒng)并讀取信息、搭線竊聽、遠(yuǎn)程探測網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和計算機系統(tǒng)配置等。2．破壞完整性的安全事件：如入侵系統(tǒng)并篡改數(shù)據(jù)、劫持網(wǎng)絡(luò)連接并篡改或插入數(shù)據(jù)、安裝特洛伊木馬、計算機病毒等。3．破壞可用性的安全事件：如系統(tǒng)故障、拒絕服務(wù)攻擊、計算機蠕蟲等。4．掃描：包括地址掃描和端口掃描等，為了侵入系統(tǒng)尋找系統(tǒng)漏洞等。三、監(jiān)控方法（一）設(shè)立舉報電話、舉報郵箱。敏感時期舉報電話24小時值班，其它時段8小時工作值班，電子郵箱每天由專人接收舉報信息。（二）定期檢查重要的日志文件。日志文件包括認(rèn)證計費網(wǎng)關(guān)日志、代理服務(wù)器日志、防火墻日志、服務(wù)器日志等，每類日志由相關(guān)的系統(tǒng)管理員負(fù)責(zé)檢查。（三）對網(wǎng)絡(luò)信息嚴(yán)格審查、把關(guān)。（四）落實責(zé)任人制度，堅持網(wǎng)站頁面的日常監(jiān)控工作。四、應(yīng)急處理措施應(yīng)急處理一般按準(zhǔn)備、檢測、抑制、根除、恢復(fù)、報告6個階段進行。1．準(zhǔn)備：在事件真正發(fā)生之前應(yīng)該為事件處理作好準(zhǔn)備，主要工作包括建立合理的防御、控制措施、建立適當(dāng)?shù)牟呗院统绦?、獲得必要的資源和組建響應(yīng)隊伍等。2．檢測：檢測階段要做出初步的動作和響應(yīng)，要由信息及系統(tǒng)安全技術(shù)人員根據(jù)獲得的初步材料和分析結(jié)果，估計事件的影響范圍，制訂進一步的響應(yīng)戰(zhàn)略，并且保留可能用于司法程序的證據(jù)。3．抑制：可采取的抑制策略包括關(guān)閉或從網(wǎng)絡(luò)上斷開相關(guān)系統(tǒng)；修改防火墻和路由器的過濾規(guī)則；封鎖或刪除被攻破的登錄賬號；提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級別；設(shè)置陷阱；關(guān)閉服務(wù)；反擊攻擊者的系統(tǒng)等。抑制的目的是限制攻擊的范圍。4．根除：在事件被抑制之后，通過對有關(guān)惡意代碼或行為的分析，找出事件根源并徹底清除。5．恢復(fù)：恢復(fù)階段的目標(biāo)是把所有被攻破的系統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底還原到它們正常的任務(wù)狀態(tài)。恢復(fù)工作應(yīng)該十分小心，避免出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)的丟失。如果攻擊者獲得了超級用戶的訪問權(quán)，一次完整的恢復(fù)應(yīng)該強制性地修改所有的口令。6．報告和總