大學網(wǎng)絡突發(fā)事件處理辦法

大學網(wǎng)絡突發(fā)事件處理辦法為了加強對學校校園網(wǎng)絡的安全保護，防止個別用戶利用非法手段進行不正當?shù)木W(wǎng)上行為，維護學校的正常教學秩序和校園穩(wěn)定，確保發(fā)生網(wǎng)上突發(fā)安全緊急事件時，能夠及時發(fā)現(xiàn)、預警并準確判斷、快速反應，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》和其他法律、行政法規(guī)的規(guī)定，特制定***學院網(wǎng)絡安全技術突發(fā)事件應急處理暫行辦法。一、應急處理工作的目標、原則和基本方法（一）以建立運轉(zhuǎn)靈活、反應靈敏的網(wǎng)絡突發(fā)事件應急處理協(xié)調(diào)機制為目標。（二）應急處理的基本原則是防止事態(tài)進一步擴大，避免重大的經(jīng)濟損失和政治影響。（三）應急處理的基本方法：1．應急處置。發(fā)生網(wǎng)絡突發(fā)事件時，網(wǎng)管人員應迅速到崗，及時采取措施進行處置，必要時暫停聯(lián)網(wǎng)、停機檢查，以避免事態(tài)擴大。2．保留現(xiàn)場。通知領導、保衛(wèi)等部門，共同決定采取的進一步措施。3．追查來源。來源于校內(nèi)用戶的，要通過日志記錄等方式展開調(diào)查，追查出責任人并報學校處理；來源于校外的，應對事故原因進行認真分析，采取相應的預防措施，避免類似事件的再次發(fā)生，必要時通知公安機關。4．加強監(jiān)管。敏感時期各級網(wǎng)站責任部門安排專人進行網(wǎng)絡監(jiān)控，發(fā)現(xiàn)和上報網(wǎng)絡安全事故。二、應急處理的對象校園網(wǎng)絡突發(fā)事件是指突然發(fā)生的并且影響范圍廣泛、影響性質(zhì)惡劣的事件。具體指針對計算機或網(wǎng)絡所存儲、傳輸、處理的信息安全事件，事件的主體可能來自自然界、系統(tǒng)自身故障、組織內(nèi)部或外部的人、計算機病毒或蠕蟲等。主要包括:1．破壞保密性的安全事件：如入侵系統(tǒng)并讀取信息、搭線竊聽、遠程探測網(wǎng)絡拓撲結(jié)構(gòu)和計算機系統(tǒng)配置等。2．破壞完整性的安全事件：如入侵系統(tǒng)并篡改數(shù)據(jù)、劫持網(wǎng)絡連接并篡改或插入數(shù)據(jù)、安裝特洛伊木馬、計算機病毒等。3．破壞可用性的安全事件：如系統(tǒng)故障、拒絕服務攻擊、計算機蠕蟲等。4．掃描：包括地址掃描和端口掃描等，為了侵入系統(tǒng)尋找系統(tǒng)漏洞等。三、監(jiān)控方法（一）設立舉報電話、舉報郵箱。敏感時期舉報電話24小時值班，其它時段8小時工作值班，電子郵箱每天由專人接收舉報信息。（二）定期檢查重要的日志文件。日志文件包括認證計費網(wǎng)關日志、代理服務器日志、防火墻日志、服務器日志等，每類日志由相關的系統(tǒng)管理員負責檢查。（三）對網(wǎng)絡信息嚴格審查、把關。（四）落實責任人制度，堅持網(wǎng)站頁面的日常監(jiān)控工作。四、應急處理措施應急處理一般按準備、檢測、抑制、根除、恢復、報告6個階段進行。1．準備：在事件真正發(fā)生之前應該為事件處理作好準備，主要工作包括建立合理的防御、控制措施、建立適當?shù)牟呗院统绦?、獲得必要的資源和組建響應隊伍等。2．檢測：檢測階段要做出初步的動作和響應，要由信息及系統(tǒng)安全技術人員根據(jù)獲得的初步材料和分析結(jié)果，估計事件的影響范圍，制訂進一步的響應戰(zhàn)略，并且保留可能用于司法程序的證據(jù)。3．抑制：可采取的抑制策略包括關閉或從網(wǎng)絡上斷開相關系統(tǒng)；修改防火墻和路由器的過濾規(guī)則；封鎖或刪除被攻破的登錄賬號；提高系統(tǒng)或網(wǎng)絡行為的監(jiān)控級別；設置陷阱；關閉服務；反擊攻擊者的系統(tǒng)等。抑制的目的是限制攻擊的范圍。4．根除：在事件被抑制之后，通過對有關惡意代碼或行為的分析，找出事件根源并徹底清除。5．恢復：恢復階段的目標是把所有被攻破的系統(tǒng)和網(wǎng)絡設備徹底還原到它們正常的任務狀態(tài)。恢復工作應該十分小心，避免出現(xiàn)誤操作導致數(shù)據(jù)的丟失。如果攻擊者獲得了超級用戶的訪問權，一次完整的恢復應該強制性地修改所有的口令。6．報告和總