網(wǎng)站應(yīng)急預(yù)案

1、前言：網(wǎng)站安全是指岀于防止網(wǎng)站受到外來(lái)電腦入侵者對(duì)其網(wǎng)站進(jìn)行掛馬，篡改網(wǎng)頁(yè)等行為而做岀一系列的防御 工作。由于一個(gè)網(wǎng)站設(shè)計(jì)者更多地考慮滿(mǎn)足用戶(hù)應(yīng)用，如何實(shí)現(xiàn)業(yè)務(wù)。很少考慮網(wǎng)站應(yīng)用開(kāi)發(fā)過(guò)程中所存 在的漏洞，這些漏洞在不關(guān)注安全代碼設(shè)計(jì)的人員眼里幾乎不可見(jiàn)，大多數(shù)網(wǎng)站設(shè)計(jì)開(kāi)發(fā)者、網(wǎng)站維護(hù)人 員對(duì)網(wǎng)站攻防技術(shù)的了解甚少；在正常使用過(guò)程中，即便存在安全漏洞，正常的使用者并不會(huì)察覺(jué)。一、網(wǎng)絡(luò)與信息安全組織機(jī)構(gòu)我辦網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組，組 長(zhǎng)：副組長(zhǎng)：網(wǎng)絡(luò)管理員：網(wǎng)絡(luò)安全員：網(wǎng)站維護(hù)和更新：二、應(yīng)急處置措施（一）網(wǎng)站、網(wǎng)頁(yè)岀現(xiàn)非法言論時(shí)的緊急處置措施1、網(wǎng)站、網(wǎng)頁(yè)由辦公室的具體負(fù)責(zé)人員隨時(shí)密切監(jiān)視信息內(nèi)

2、容。每天早、中、晚三次不少于一小時(shí)。2、 發(fā)現(xiàn)網(wǎng)上出現(xiàn)非法信息時(shí)，負(fù)責(zé)人員應(yīng)立即向信息安全組組長(zhǎng)通報(bào)情況；情況緊急的應(yīng)先及時(shí)采取刪除 等處理措施，再按程序報(bào)告。3、信息安全組具體負(fù)責(zé)的技術(shù)人員應(yīng)在接到通知后十分鐘內(nèi)趕到現(xiàn)場(chǎng)，作好必要的記錄，清理非法信息，強(qiáng)化安全防范措施，并將網(wǎng)站網(wǎng)頁(yè)重新投入使用。4、網(wǎng)站維護(hù)員應(yīng)妥善保存有關(guān)記錄及日志或?qū)徲?jì)記錄。5、網(wǎng)站維護(hù)員工作人員應(yīng)立即追查非法信息來(lái)源。6、工作人員會(huì)商后，將有關(guān)情況向安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)匯報(bào)有關(guān)情況。7、安全領(lǐng)導(dǎo)小組召開(kāi)安全領(lǐng)導(dǎo)小組會(huì)議，如認(rèn)為情況嚴(yán)重，應(yīng)及時(shí)向有關(guān)上級(jí)機(jī)關(guān)和公安部門(mén)報(bào)警。（二）黑客攻擊時(shí)的緊急處置措施1、當(dāng)有關(guān)負(fù)責(zé)人員網(wǎng)頁(yè)內(nèi)

3、容被篡改，或通過(guò)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)有黑客正在進(jìn)行攻擊時(shí)，應(yīng)立即向網(wǎng)絡(luò)安全員通報(bào)情況。2、網(wǎng)絡(luò)安全員應(yīng)在十分鐘內(nèi)趕到現(xiàn)場(chǎng)，并首先應(yīng)將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來(lái)，保護(hù)現(xiàn)場(chǎng)，同時(shí)向信息安全領(lǐng)導(dǎo)小組副組長(zhǎng)匯報(bào)情況。3、網(wǎng)絡(luò)安全員和網(wǎng)絡(luò)管理員負(fù)責(zé)被破壞系統(tǒng)的恢復(fù)與重建工作。4、網(wǎng)絡(luò)安全員協(xié)同有關(guān)部門(mén)共同追查非法信息來(lái)源。5、安全領(lǐng)導(dǎo)小組會(huì)商后，如認(rèn)為情況嚴(yán)重，則立即向公安部門(mén)或上級(jí)機(jī)關(guān)報(bào)警。（三）病毒安全緊急處置措施1、當(dāng)發(fā)現(xiàn)計(jì)算機(jī)感染有病毒后，應(yīng)立即將該機(jī)從網(wǎng)絡(luò)上隔離出來(lái)。2、對(duì)該設(shè)備的硬盤(pán)進(jìn)行數(shù)據(jù)備份。3、啟用反病毒軟件對(duì)該機(jī)進(jìn)行殺毒處理，同時(shí)進(jìn)行病毒檢測(cè)軟件對(duì)其他機(jī)器進(jìn)行病毒掃描和清除工作

4、。4、如發(fā)現(xiàn)反病毒軟件無(wú)法清楚該病毒，應(yīng)立即向安全小組負(fù)責(zé)人報(bào)告。5、信息安全小組相關(guān)負(fù)責(zé)人員在接到通報(bào)后，應(yīng)在十分鐘內(nèi)趕到現(xiàn)場(chǎng)。6、經(jīng)技術(shù)人員確認(rèn)確實(shí)無(wú)法查殺該病毒后，應(yīng)作好相關(guān)記錄，同時(shí)立即向信息安全領(lǐng)導(dǎo)小組副組長(zhǎng)報(bào)告， 并迅速聯(lián)系有關(guān)產(chǎn)品商研究解決。7、安全領(lǐng)導(dǎo)小組經(jīng)會(huì)商后，認(rèn)為情況極為嚴(yán)重，應(yīng)立即向公安部門(mén)或上級(jí)機(jī)關(guān)報(bào)告。8如果感染病毒的設(shè)備是服務(wù)器或者主機(jī)系統(tǒng)，經(jīng)領(lǐng)導(dǎo)小組組長(zhǎng)同意，應(yīng)立即告知各下屬單位做好相應(yīng)的清查工作。（四）軟件系統(tǒng)遭受破壞性攻擊的緊急處置措施1、 重要的軟件系統(tǒng)平時(shí)必須存有備份，與軟件系統(tǒng)相對(duì)應(yīng)的數(shù)據(jù)必須有多日備份，并將它們保存于安全處2、一旦軟件遭至U破壞性攻擊

5、，應(yīng)立即向網(wǎng)絡(luò)安全員、網(wǎng)絡(luò)管理員報(bào)告，并將系統(tǒng)停止運(yùn)行。3、網(wǎng)絡(luò)安全員和網(wǎng)站維護(hù)員負(fù)責(zé)軟件系統(tǒng)和數(shù)據(jù)的恢復(fù)。、4、網(wǎng)絡(luò)安全員和網(wǎng)絡(luò)管理員檢查日志等資料，確認(rèn)攻擊來(lái)源。5、安全領(lǐng)導(dǎo)小組認(rèn)為情況極為嚴(yán)重的，應(yīng)立即向公安部門(mén)或上級(jí)機(jī)關(guān)報(bào)告。（五）數(shù)據(jù)庫(kù)安全緊急處置措施1、各數(shù)據(jù)庫(kù)系統(tǒng)要至少準(zhǔn)備兩個(gè)以上數(shù)據(jù)庫(kù)備份，平時(shí)一份放在機(jī)房，另一份放在另一安全的建筑物中。2、一旦數(shù)據(jù)庫(kù)崩潰，應(yīng)立即向網(wǎng)絡(luò)安全員報(bào)告，同時(shí)通知各下屬單位暫緩上傳上報(bào)數(shù)據(jù)。3、信息安全員應(yīng)對(duì)主機(jī)系統(tǒng)進(jìn)行維修，如遇無(wú)法解決的問(wèn)題，立即向上級(jí)單位或軟硬件提供商請(qǐng)求支援。4、系統(tǒng)修復(fù)啟動(dòng)后，將第一個(gè)數(shù)據(jù)庫(kù)備份取出，按照要求將其恢復(fù)到主機(jī)系統(tǒng)

6、中。5、如因第一個(gè)備份損壞，導(dǎo)致數(shù)據(jù)庫(kù)無(wú)法恢復(fù)，則應(yīng)取出第二套數(shù)據(jù)庫(kù)備份加以恢復(fù)。6、如果兩個(gè)備份均無(wú)法恢復(fù)，應(yīng)立即向有關(guān)廠(chǎng)商請(qǐng)求緊急支援。（六）廣域網(wǎng)外部線(xiàn)路中斷緊急處置措施1、廣域網(wǎng)主、備用線(xiàn)路中斷一條后，有關(guān)人員應(yīng)立即啟動(dòng)備用線(xiàn)路接續(xù)工作，同時(shí)向網(wǎng)絡(luò)安全員報(bào)告。2、網(wǎng)絡(luò)安全員接到報(bào)告后，應(yīng)迅速判斷故障節(jié)點(diǎn)，查明故障原因。3、如屬我方管轄范圍，由網(wǎng)絡(luò)管理員協(xié)同網(wǎng)絡(luò)安全員立即予以恢復(fù)。如遇無(wú)法恢復(fù)情況，立即向有關(guān)廠(chǎng)商 請(qǐng)求支援。4、如屬電信部門(mén)管轄范圍，立即與電信維護(hù)部門(mén)聯(lián)系，請(qǐng)求修復(fù)。5、如果主、備用線(xiàn)路同時(shí)中斷，網(wǎng)絡(luò)安全員應(yīng)在判斷故障節(jié)點(diǎn)，查明故障原因后，盡快與其他相關(guān)領(lǐng)導(dǎo)和工作人員研究

7、恢復(fù)措施，并立即向安全領(lǐng)導(dǎo)小組匯報(bào)。6、經(jīng)安全領(lǐng)導(dǎo)小組同意后，應(yīng)通告各下屬單位相關(guān)原因，并暫緩上傳上報(bào)數(shù)據(jù)。（七）局域網(wǎng)中斷緊急處置措施1、局域網(wǎng)中斷后，網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)安全員應(yīng)立即判斷故障節(jié)點(diǎn)，查明故障原因，并向網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組 副組長(zhǎng)匯報(bào)。2、如屬線(xiàn)路故障，應(yīng)重新安裝線(xiàn)路。3、如屬路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備故障，應(yīng)立即與設(shè)備提供商聯(lián)系更換設(shè)備，并調(diào)試暢通。4、 如屬路由器、交換機(jī)配置文件破壞，應(yīng)迅速按照要求重新配置，并調(diào)試暢通。如遇無(wú)法解決的技術(shù)問(wèn)題, 立即向上級(jí)單位或有關(guān)廠(chǎng)商請(qǐng)求支援。5、如有必要，應(yīng)向安全領(lǐng)導(dǎo)小組組長(zhǎng)匯報(bào)。（八）設(shè)備安全緊急處置措施1、小型機(jī)、服務(wù)器等關(guān)鍵設(shè)備損壞后，有關(guān)

8、人員應(yīng)立即向網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)安全員匯報(bào)。2、網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)安全員應(yīng)立即查明原因。3、如果能夠自行恢復(fù)，應(yīng)立即用備件替換受損部件。4、如果不能自行恢復(fù)的，立即與設(shè)備提供商聯(lián)系，請(qǐng)求派維修人員前來(lái)維修。5、如果設(shè)備一時(shí)不能修復(fù)，應(yīng)向安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)匯報(bào)，并告知各下屬單位，暫緩上傳上報(bào)數(shù)據(jù)。（九）人員疏散與機(jī)房滅火預(yù)案1、一旦機(jī)房發(fā)生火災(zāi)，應(yīng)遵照下列原則：首先保人員安全；其次保關(guān)鍵設(shè)備、數(shù)據(jù)安全；三是保一般設(shè)備安全。2、人員疏散的程序是：機(jī)房值班人員立即按響火警警報(bào)，并通過(guò) 119電話(huà)向公安消防請(qǐng)求支援，所有人員 戴上防毒面具，所有不參與滅火的人員按照預(yù)先確定的線(xiàn)路，迅速?gòu)臋C(jī)房中撤出。3、人員滅火

9、的程序是：首先切斷所有電源，啟動(dòng)自動(dòng)噴淋系統(tǒng)，滅火值班人員戴好防毒面具，從指定位置 取出泡沫滅火器進(jìn)行滅火。（十）外電中斷后的設(shè)備1、外電中斷后，機(jī)房值班人員應(yīng)立即切換到備用電源。2、機(jī)房值班人員應(yīng)立即查明原因，并向值班領(lǐng)導(dǎo)匯報(bào)。3、如因機(jī)關(guān)內(nèi)部線(xiàn)路故障，請(qǐng)機(jī)關(guān)服務(wù)部門(mén)迅速恢復(fù)。4、如果是供電局的原因，應(yīng)立即與供電局聯(lián)系，請(qǐng)供電局迅速恢復(fù)供電。5、如果供電局告知需長(zhǎng)時(shí)間停電，應(yīng)做如下安排：（1 ）預(yù)計(jì)停電4小時(shí)以?xún)?nèi)，由UPS供電。（2 ）預(yù)計(jì)停電24小時(shí)，關(guān)掉非關(guān)鍵設(shè)備，確保各主機(jī)、路由器、交換機(jī)供電。（3）預(yù)計(jì)停電超過(guò)24小時(shí)，白天工作時(shí)間關(guān)鍵設(shè)備運(yùn)行，晚上所有設(shè)備停電。（4）預(yù)計(jì)停電超過(guò)7

10、2小時(shí)，應(yīng)聯(lián)系小型發(fā)電機(jī)自行發(fā)電。（十一）發(fā)生自然災(zāi)害后的緊急處置措施1、上級(jí)單位平時(shí)儲(chǔ)備一套下級(jí)單位的關(guān)鍵設(shè)備。2、一旦發(fā)生自然災(zāi)害，導(dǎo)致設(shè)備損壞，由災(zāi)害發(fā)生單位向上級(jí)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組請(qǐng)求支援。3、 上級(jí)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組接到下級(jí)單位的支援請(qǐng)求后，應(yīng)在24小時(shí)內(nèi)派遣人員攜帶有關(guān)設(shè) 備趕到現(xiàn)場(chǎng)。4、到達(dá)現(xiàn)場(chǎng)后，尋找安全可靠的地點(diǎn)，重新構(gòu)建新的系統(tǒng)和網(wǎng)絡(luò)，并將相關(guān)數(shù)據(jù)予以恢復(fù)。5、經(jīng)測(cè)試符合要求后，支援小組才能撤離。（十二）關(guān)鍵人員不在崗的緊急處置措施1、對(duì)于關(guān)鍵崗位平時(shí)應(yīng)做好人員儲(chǔ)備，確保一項(xiàng)工作有兩人能操作。2、一旦發(fā)生關(guān)鍵人員不在崗的情況，首先應(yīng)向值班領(lǐng)導(dǎo)匯報(bào)情況。3

11、、經(jīng)值班領(lǐng)導(dǎo)批準(zhǔn)后，由備用人員上崗操作。4、如果備用人員無(wú)法上崗，請(qǐng)求上級(jí)單位支援。5、上級(jí)單位在接到請(qǐng)求后，應(yīng)立即派遣人員進(jìn)行支援相關(guān)網(wǎng)站安全措施：網(wǎng)站安全措施1. 登錄頁(yè)面必須加密在登錄之后實(shí)施加密有可能有用，這就像把大門(mén)關(guān)上以防止馬兒跑出去一樣，不過(guò)他們并沒(méi)有對(duì)登錄 會(huì)話(huà)加密，這就有點(diǎn)兒像在你鎖上大門(mén)時(shí)卻將鑰匙放在了鎖眼里一樣。即使你的登錄會(huì)話(huà)被傳輸?shù)搅艘粋€(gè) 加密的資源，在許多情況下，這仍有可能被一個(gè)惡意的黑客攻克，他會(huì)精心地偽造一個(gè)登錄表單，借以訪(fǎng) 問(wèn)同樣的資源，并訪(fǎng)問(wèn)敏感數(shù)據(jù)。通常加密方式有 MD5加密、數(shù)據(jù)庫(kù)加密等。2. 采取專(zhuān)業(yè)工具輔助在市面目前有許多針對(duì)于網(wǎng)站安全的品聚社，不過(guò)

12、這些大多數(shù)是收費(fèi)的，而目前標(biāo)榜免費(fèi)就只有 億思網(wǎng)站安全檢測(cè)平臺(tái)（iiscan ）。通過(guò)這些網(wǎng)站安全檢測(cè)平臺(tái)能夠迅速找到網(wǎng)站的安全隱患，而且這些平臺(tái)都 會(huì)提供針對(duì)其隱患做出相應(yīng)措施。3. 通過(guò)加密連接管理你的站點(diǎn)使用不加密的連接（或僅使用輕度加密的連接），如使用不加密的FTP或HTTP用于Web站點(diǎn)或Web服務(wù) 器的管理，就會(huì)將自己的大門(mén)向“中間人”攻擊和登錄/口令的嗅探等手段敞開(kāi)大門(mén)。因此請(qǐng)務(wù)必使用加密的協(xié)議，如SSH等來(lái)訪(fǎng)問(wèn)安全資源，要使用經(jīng)證實(shí)的一些安全工具如某人截獲了你的登錄和口令信息，他 就可以執(zhí)行你可做的一切操作。4. 使用強(qiáng)健的、跨平臺(tái)的兼容性加密根據(jù)目前的發(fā)展情況，SSL已經(jīng)不再

13、是 Web網(wǎng)站加密的最先進(jìn)技術(shù)。可以考慮TLS，即傳輸層安全，它是安全套接字層加密的繼承者。要保證你所選擇的任何加密方案不會(huì)限制你的用戶(hù)基礎(chǔ)。同樣的原則也適 用于后端的管理，在這里 HSS等跨平臺(tái)的強(qiáng)加密方案要比微軟的Windows遠(yuǎn)程桌面等較弱的加密工具要更可取、更有優(yōu)越性。5. 只連接安全有保障的網(wǎng)絡(luò)避免連接安全特性不可知或不確定的網(wǎng)絡(luò)，也不要連接一些安全性差勁的網(wǎng)絡(luò)，如一些未知的開(kāi)放的 無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)等。無(wú)論何時(shí)，只要你必須登錄到服務(wù)器或Web站點(diǎn)實(shí)施管理，或訪(fǎng)問(wèn)其它的安全資源時(shí)，這一點(diǎn)尤其重要。如果你連接到一個(gè)沒(méi)有安全保障的網(wǎng)絡(luò)時(shí)，還必須訪(fǎng)問(wèn)Web站點(diǎn)或 Web服務(wù)器，就必須使用一個(gè)安全代

14、理，這樣你到安全資源的連接就會(huì)來(lái)自于一個(gè)有安全保障的網(wǎng)絡(luò)代理。6. 不要共享登錄的機(jī)要信息最新范本，供參考！共享登錄機(jī)要信息會(huì)引起諸多安全問(wèn)題。這不但適用于網(wǎng)站管理員或Web服務(wù)器管理員，還適用于在網(wǎng)站擁有登錄憑證的人員， 客戶(hù)也不應(yīng)當(dāng)共享其登錄憑證。登錄憑證共享得越多，就越可能更公開(kāi)地共享， 甚至對(duì)不應(yīng)當(dāng)訪(fǎng)問(wèn)系統(tǒng)的人員也是如此；登錄機(jī)要信息共享得越多，要建立一個(gè)跟蹤索引借以跟蹤、追查 問(wèn)題的源頭就越困難，而且如果安全性受到損害或威脅因而需要改變登錄信息時(shí)，就會(huì)有更多的人受到影 響。7. 采用基于密鑰的認(rèn)證而不是口令認(rèn)證口令認(rèn)證要比基于密鑰的認(rèn)證更容易被攻破。設(shè)置口令的目的是在需要訪(fǎng)問(wèn)一個(gè)安全

15、的資源時(shí)能夠更 容易地記住登錄信息。不過(guò)如果使用基于密鑰的認(rèn)證，并僅將密鑰復(fù)制到預(yù)定義的、授權(quán)的系統(tǒng)（或復(fù)制 到一個(gè)與授權(quán)的系統(tǒng)相分離的獨(dú)立介質(zhì)中，直接需要它時(shí)才取回），你將會(huì)得到并使用一個(gè)更強(qiáng)健的難于破解的認(rèn)證憑證。8. 維護(hù)一個(gè)安全的工作站如果你從一個(gè)客戶(hù)端系統(tǒng)連接到一個(gè)安全的資源站點(diǎn)，而你又不能完全保證其安全性，你就不能保證 某人并沒(méi)有在監(jiān)聽(tīng)你所做的一切。因此鍵盤(pán)記錄器、受到惡意損害的網(wǎng)絡(luò)加密客戶(hù)以及黑客們的其它一些 破壞安全性的伎倆都會(huì)準(zhǔn)許某個(gè)未得到授權(quán)的個(gè)人訪(fǎng)問(wèn)敏感數(shù)據(jù)，而不管網(wǎng)絡(luò)是否有安全措施，是否采用 加密通信，也不管你是否部署了其它的網(wǎng)絡(luò)保護(hù)。因此保障工作站的安全性是至關(guān)重要的。9. 運(yùn)用冗余性保護(hù)網(wǎng)站備份和服務(wù)器的失效轉(zhuǎn)移可有助于維持最長(zhǎng)的正常運(yùn)行時(shí)間。雖然失效轉(zhuǎn)移可以極大地減少服務(wù)器的 宕機(jī)時(shí)間，但這并不是冗余性的唯一價(jià)值。用于失效轉(zhuǎn)移計(jì)劃中的備份服務(wù)器可以保持服務(wù)器配置的最新， 這樣在發(fā)生災(zāi)難時(shí)你就不必從頭開(kāi)始重新構(gòu)建你的服務(wù)器。備份可以確保客戶(hù)端數(shù)據(jù)不會(huì)丟失，而且如果 你