天津理工大学网络与信息安全事件应急处理流程-网络安全和信息化办公室

天津理工大学网络与信息安全事件应急处理流程

第一章总则

第一条 为切实做好我校网络安全保障工作，确保信息系统的安全、稳定和业务的连续性，依据国家相关法律、法规和政策，以及《天津理工大学网络与信息安全应急预案》的要求，特制订典型网络安全事件的应急处理流程。

第二条 学校以《天津理工大学网络与信息安全应急预案》为指导，在网络安全事件分类和定级的基础上，按照事发、事中和事后的报告与处置要求，对网络安全事件进行应急处理。

第三条 出现网络安全事件后，管理员应及时通过电话等方式通知主管校领导和相关技术人员。管理员根据事件情况信息，初步判断事件的类型和级别。对于Ⅳ级事件，协调网络管理部门及时解决，并做好报告和处置工作；对于Ⅲ级（含三级）以上事件，应上报网络安全领导小组，组织相关技术人员进入应急程序，协调多部门进行紧急处理。

第二章典型事件处理流程

第四条 病毒爆发事件处理流程。信息系统一旦发现感染病毒，应执行以下应急处理流程：

（1）立即切断感染病毒计算机与网络的连接；

（2）对事件进行初步定级；

（3）对该计算机的重要数据进行数据备份，同时进行事发紧急报告；

（4）启用防病毒软件对该计算机进行杀毒处理，通过防病毒软件对其他计算机进行病毒扫描和清除工作，同时进行事中情况报告；

（5）如果满足下列情况之一的，事件应升级相应；

l现行防病毒软件无法清除该病毒的；

l信息系统在1小时内无法处理完毕的；

l病毒不断通过网络扩散的；

（6）恢复系统和相关数据，检查数据的完整性；

（7）病毒事件处理完毕，将计算机重新接入网络；

（8）进行事后整改报告，总结防范经验，进行安全加固。

第五条 网页非法篡改事件处理流程。对外服务网站一旦发现网页被非法篡改，应执行以下应急处理流程：

（1）发现网站网页出现非法信息时，管理员应及时采取断网等处理措施；

（2）对事件进行初步定级，立即通知信息技术研究所，同时进行事发紧急报告；

（3）网络管理中心接报后，立即组织技术人员对事件进行勘察和记录，妥善保存有关日志和审计信息；

（4）技术人员通过技术手段进行分析，追查非法信息来源，提取相关数据样本后，清理网站非法信息，同时进行事中情况报告；

（5）事态无法控制或造成恶劣影响，事件应升级相应。如情节严重，构成违法犯罪的，上报公安机关立案侦查；

（6）处理完毕后，恢复网站运行；

（7）进行事后整改报告，强化安全防范措施，总结防范经验，进行安全加固。

第六条 非法入侵事件处理流程。信息系统一旦发现被远程控制等非法入侵行为，应执行以下应急处理流程：

（1）发现信息系统服务器被远程控制、植入后门程序，或发现黑客正在进行攻击时，首先应立即断开服务器与网络的连接，保护好现场；

（2）对事件进行初步定级，立即通知网络管理中心，同时进行事发紧急报告；

（3）技术人员对入侵行为进行鉴定，做好必要的记录，妥善保存有关日志和审计信息；

（4）通过技术手段进行分析，追查攻击源，修改防火墙等设备的安全配置阻断黑客继续入侵。分析后台数据操作日志，判断是否发生数据失窃，同时进行事中情况报告；

（5）事态无法控制或造成严重后果，事件应升级相应。如情节严重，构成违法犯罪的，由公安机关立案侦查；

（6）修复或重建被攻击或破坏的系统，重新将恢复后的系统接入网络；

（7）进行事后整改报告，强化安全防范措施，总结防范经验，进行安全加固。

第七条 拒绝服务攻击事件处理流程。系统一旦发现遭受拒绝服务攻击而无法正常访问时，应执行以下应急处理流程：

（1）发现系统访问流量异常、无法正常访问，可能遭受拒绝服务攻击时，首先对事件进行初步定级，同时进行事发紧急报告；

（2）网络管理技术人员赶赴现场，做好必要记录，妥善保存有关日志和审计信息；

（3）通过技术手段进行分析，追查攻击源，修改路由器、防火墙等设备的安全配置，缓解、消除事件的影响，同时进行事中情况报告；

（4）事态无法控制或持续造成影响，事件应升级相应；

（5）提取相关数据样本后，恢复系统正常运行；

（6）进行事后整改报告，强化安全防范措施，总结防范经验。

第八条 机房物理环境事件应急处理流程。发生机房物理环境事件，应执行以下应急处理流程：

（1）若发生以下事件，首先进行紧急处理，然后进行事发紧急报告；

l短路：采取切断电源、更换短路器件方法恢复供电；

l断路：采取切断电源、连接断开线路方法恢复供电；

l防雷防静电设备故障：采取切断电源跳过防雷防静电设备直接供电的方法，及时维修损坏设备并更换；

lUPS故障：采取跳过逆变输出的方法，及时维修损坏设备并更换；

l火灾：切断电源，使用灭火器灭火，同时向保卫处报告火警，请求支援，如有人遇险，应先救人后救物；

l水渗：切断电源，更换浸水设备，采取防水措施；

（2）处理过程中，进行事中情况报告；

（3）若事态无法控制或造成严重影响，事件应升级相应；

（4）提取相关数据样本后，恢复系统正常运行；

（5）进行事后整改报告，总结处理经验。

第三章典型事件现象及处理方法

第九条ARP欺骗。

故障现象：网络中出现ARP欺骗的木马程序时，中毒的计算机会根据该网络的设置，克隆一台服务器或路由器的IP地址和MAC地址来伪造网关，不断地向其他计算机发送ARP欺骗，攻击网络内其他计算机，让原本流向网关的流量改道流向病毒主机，截获发往外网的数据。当有ARP欺骗爆发时，计算机在IP地址设置正常的情况下，会显示“IP地址冲突”。中毒计算机上网速度变慢，网络时通时断。

处理方法：如果网络用户在使用计算机过程中，发现无法上网，可以先禁用网卡，然后再启用，如果启用之后能上网，就有可能是ARP病毒攻击所致。另外，可通过ARP命令进行分析，在DOS窗口内输入“arp-d”命令，然后重新尝试上网，如果能恢复正常，则说明此次掉线是受ARP欺骗攻击所致。为了避免ARP病毒攻击欺骗，平时要注意及时更新系统补丁、升级杀毒软件病毒库。

第十条 网络中断。

故障现象：在浏览网页时，所有网页无法显示，本地连接显示断开。

处理方法：检查计算机的“本地连接”是否处于禁止状态或者网线断开状态，如出现上述情况请启用“本地连接”或者检查网线接触是否良好。使用“ping x.x.x.x-t”命令，显示“Request timed out”时，与信息技术研究所联系，由相关技术人员进行处理。

第十一条 网页木马。

故障现象：在打开网站时，发现IE浏览器左下角的状态栏一直显示与当前浏览网站无关的地址，同时系统响应变慢，或者鼠标指针变成沙漏形状，计算机系统可能遭受网页木马的攻击。当打开一个网站，结果页面还没显示，杀毒软件就开始报警，并提示检测到木马病毒，提示报警信息，或防病毒系统检查到新病毒，但无法清除，该网站可能被植入木马。

处理方法：如发现本学校网站存在木马现象，应立即与信息技术研究所联系，由技术人员进行紧急处理。

第四章附则

第十二条 本流程自发布之日起施行。

第十三条 本流程由信息技术研究所负责解释，并不断补充相关事件处理流程，随时发布更新内容。

2017年8月10日修改