天津理工大学网络与信息安全事件应急处理流程
第一章 总则
第一条 为切实做好我校网络安全保障工作,确保信息系统的安全、稳定和业务的连续性,依据国家相关法律、法规和政策,以及《天津理工大学网络与信息安全应急预案》的要求,特制订典型网络安全事件的应急处理流程。
第二条 学校以《天津理工大学网络与信息安全应急预案》为指导,在网络安全事件分类和定级的基础上,按照事发、事中和事后的报告与处置要求,对网络安全事件进行应急处理。
第三条 出现网络安全事件后,管理员应及时通过电话等方式通知主管校领导和相关技术人员。管理员根据事件情况信息,初步判断事件的类型和级别。对于Ⅳ级事件,协调网络管理部门及时解决,并做好报告和处置工作;对于Ⅲ级(含三级)以上事件,应上报网络安全领导小组,组织相关技术人员进入应急程序,协调多部门进行紧急处理。
第二章 典型事件处理流程
第四条 病毒爆发事件处理流程。信息系统一旦发现感染病毒,应执行以下应急处理流程:
(1)立即切断感染病毒计算机与网络的连接;
(2)对事件进行初步定级;
(3)对该计算机的重要数据进行数据备份,同时进行事发紧急报告;
(4)启用防病毒软件对该计算机进行杀毒处理,通过防病毒软件对其他计算机进行病毒扫描和清除工作,同时进行事中情况报告;
(5)如果满足下列情况之一的,事件应升级相应;
l现行防病毒软件无法清除该病毒的;
l信息系统在1小时内无法处理完毕的;
l病毒不断通过网络扩散的;
(6)恢复系统和相关数据,检查数据的完整性;
(7)病毒事件处理完毕,将计算机重新接入网络;
(8)进行事后整改报告,总结防范经验,进行安全加固。
第五条 网页非法篡改事件处理流程。对外服务网站一旦发现网页被非法篡改,应执行以下应急处理流程:
(1)发现网站网页出现非法信息时,管理员应及时采取断网等处理措施;
(2)对事件进行初步定级,立即通知信息技术研究所,同时进行事发紧急报告;
(3)网络管理中心接报后,立即组织技术人员对事件进行勘察和记录,妥善保存有关日志和审计信息;
(4)技术人员通过技术手段进行分析,追查非法信息来源,提取相关数据样本后,清理网站非法信息,同时进行事中情况报告;
(5)事态无法控制或造成恶劣影响,事件应升级相应。如情节严重,构成违法犯罪的,上报公安机关立案侦查;
(6)处理完毕后,恢复网站运行;
(7)进行事后整改报告,强化安全防范措施,总结防范经验,进行安全加固。
第六条 非法入侵事件处理流程。信息系统一旦发现被远程控制等非法入侵行为,应执行以下应急处理流程:
(1)发现信息系统服务器被远程控制、植入后门程序,或发现黑客正在进行攻击时,首先应立即断开服务器与网络的连接,保护好现场;
(2)对事件进行初步定级,立即通知网络管理中心,同时进行事发紧急报告;
(3)技术人员对入侵行为进行鉴定,做好必要的记录,妥善保存有关日志和审计信息;
(4)通过技术手段进行分析,追查攻击源,修改防火墙等设备的安全配置阻断黑客继续入侵。分析后台数据操作日志,判断是否发生数据失窃,同时进行事中情况报告;
(5)事态无法控制或造成严重后果,事件应升级相应。如情节严重,构成违法犯罪的,由公安机关立案侦查;
(6)修复或重建被攻击或破坏的系统,重新将恢复后的系统接入网络;
(7)进行事后整改报告,强化安全防范措施,总结防范经验,进行安全加固。
第七条 拒绝服务攻击事件处理流程。系统一旦发现遭受拒绝服务攻击而无法正常访问时,应执行以下应急处理流程:
(1)发现系统访问流量异常、无法正常访问,可能遭受拒绝服务攻击时,首先对事件进行初步定级,同时进行事发紧急报告;
(2)网络管理技术人员赶赴现场,做好必要记录,妥善保存有关日志和审计信息;
(3)通过技术手段进行分析,追查攻击源,修改路由器、防火墙等设备的安全配置,缓解、消除事件的影响,同时进行事中情况报告;
(4)事态无法控制或持续造成影响,事件应升级相应;
(5)提取相关数据样本后,恢复系统正常运行;
(6)进行事后整改报告,强化安全防范措施,总结防范经验。
第八条 机房物理环境事件应急处理流程。发生机房物理环境事件,应执行以下应急处理流程:
(1)若发生以下事件,首先进行紧急处理,然后进行事发紧急报告;
l短路:采取切断电源、更换短路器件方法恢复供电;
l断路:采取切断电源、连接断开线路方法恢复供电;
l防雷防静电设备故障:采取切断电源跳过防雷防静电设备直接供电的方法,及时维修损坏设备并更换;
lUPS故障:采取跳过逆变输出的方法,及时维修损坏设备并更换;
l火灾:切断电源,使用灭火器灭火,同时向保卫处报告火警,请求支援,如有人遇险,应先救人后救物;
l水渗:切断电源,更换浸水设备,采取防水措施;
(2)处理过程中,进行事中情况报告;
(3)若事态无法控制或造成严重影响,事件应升级相应;
(4)提取相关数据样本后,恢复系统正常运行;
(5)进行事后整改报告,总结处理经验。
第三章 典型事件现象及处理方法
第九条ARP欺骗。
故障现象:网络中出现ARP欺骗的木马程序时,中毒的计算机会根据该网络的设置,克隆一台服务器或路由器的IP地址和MAC地址来伪造网关,不断地向其他计算机发送ARP欺骗,攻击网络内其他计算机,让原本流向网关的流量改道流向病毒主机,截获发往外网的数据。当有ARP欺骗爆发时,计算机在IP地址设置正常的情况下,会显示“IP地址冲突”。中毒计算机上网速度变慢,网络时通时断。
处理方法: 如果网络用户在使用计算机过程中,发现无法上网,可以先禁用网卡,然后再启用,如果启用之后能上网,就有可能是ARP病毒攻击所致。另外,可通过ARP命令进行分析,在DOS窗口内输入“arp-d”命令,然后重新尝试上网,如果能恢复正常,则说明此次掉线是受ARP欺骗攻击所致。为了避免ARP病毒攻击欺骗,平时要注意及时更新系统补丁、升级杀毒软件病毒库。
第十条 网络中断。
故障现象:在浏览网页时,所有网页无法显示,本地连接显示断开。
处理方法:检查计算机的“本地连接”是否处于禁止状态或者网线断开状态,如出现上述情况请启用“本地连接”或者检查网线接触是否良好。使用“ping x.x.x.x-t”命令,显示“Request timed out”时,与信息技术研究所联系,由相关技术人员进行处理。
第十一条 网页木马。
故障现象:在打开网站时,发现IE浏览器左下角的状态栏一直显示与当前浏览网站无关的地址,同时系统响应变慢,或者鼠标指针变成沙漏形状,计算机系统可能遭受网页木马的攻击。当打开一个网站,结果页面还没显示,杀毒软件就开始报警,并提示检测到木马病毒,提示报警信息,或防病毒系统检查到新病毒,但无法清除,该网站可能被植入木马。
处理方法:如发现本学校网站存在木马现象,应立即与信息技术研究所联系,由技术人员进行紧急处理。
第四章 附则
第十二条 本流程自发布之日起施行。
第十三条 本流程由信息技术研究所负责解释,并不断补充相关事件处理流程,随时发布更新内容。
2017年8月10日修改