1、附件 7:四平教育信息网网站应急预案一、总则(一)目的为及时发现、有效控制、果断处理各种突发灾难事件,确保四平教育信息网网站正常运行。(二)工作原则统一领导、分级负责、严密组织、密切协同、快速反应、保障有力以及充分利用现有资源。(三)适用范围本预案适用于发生下述重大突发事件时的安全应急工作。(1)四平教育信息网网站发生重大突发灾难事件;(2)四平教育信息网网站预警到可能发生重大突发灾难事件;(3)四平教育信息网网站发生较大政治影响的事件。二、组织机构和职责为了加强应急事件的处理,并且协调相关单位对安全事件的处理,成立四平教育信息网网站安全应急小组(成员名单见附表) 。1、应急小组的主要职责为:
2、(1)制定四平教育信息网网站的安全应急处置预案。(2)协调相关单位的人员和技术力量,作好安全应急处置工作。(3)在应急响应期间,负责现场指挥协调,组织、落实安全应急处理技术措施;及时收集有关单位上报的安全事件处理进展情况,向上级领导报告并提出建议。(4)遵守政府网站的保密要求,对所有网络与信息安全事务处理严守秘密,确保政府利益。2、对政府网站突发灾难事件的处理应遵循以下应急处置原则:(1)统一指挥,信息共享,密切配合,协同作战。在上级领导下,加强与兄弟单位的密切沟通,做好信息共享。(2)加强对关键网络设施的实时监控和防范,对重点网络设备或可能发生单点故障的设备或电路加强主动维护,增加冗余备份措
3、施,首先确保网站的安全运行。(3)快速反应,迅速处理,控制事态的发展。发现突发事件,情况紧急时,根据应急预案的总原则,迅速上报,同时,采取必要的应急手段,防止事态进一步蔓延,将损失和危害降到最小。(5)做好安全事件的历史记录,以便追查根源。对于网络信息安全事件的处理过程,作好详细记录,以便追查事故起源,并配合相关部门进行处理。(6)定期交流,提高处置能力。定期进行工作交流,通报工作情况,交流处理经验,提高应急处理能力。三、应急响应预案(一)应急处理流程1、接到应急小组的指示后,立即启动应急处理程序。2、组织协调应急小组各成员,结合实际针对具体的事件采取以下的相应措施:a针对黑客流量攻击事件,密
4、切关注涉及的协议/端口的流量变化,及时采取防范和消除攻击的手段;b针对网站瘫痪的事件,(1)立即组织恢复相关网站服务的正常运行,并将事件分析报告及时上报应急小组;(2)根据应急小组的指令对事件原因进行深入调查;(3)根据应急小组的指令对相关网络设备采取相应的技术处理和防范措施。d、对于服务器主机及设备硬件发生的事件,及时调拨备件更换处理,或相应地利用备份数据将服务迁移到备用主机设备上。e、对于网页被篡改的事件,根据应急小组指示,首先切断网站网络连接以消除影响,然后立即恢复备份数据,恢复网站正常运行,网页恢复正常内容。接下来对事件原因进行深入调查,采取相应的技术处理和防范措施。(二) 应急响应及
5、处置过程1、 网络设备和主机系统安全应急预案(1)应急措施a.网络设备和主机系统安全策略实施情况的全面自查。b.重新设置网络设备和主机系统的口令,删除不需要的帐号;并严格检查网络设备和主机系统的登录记录。c.网站管理员应提前做好主机系统数据的备份。d.安全小组成员实行 7X24 小时的工作方式。e.及时向上级领导汇报网站安全情况,遇到重大安全事件立即上报,并在事件处理后 3 个工作日内上报事件处理情况。(2)网络设备和主机系统安全应急处理流程a.安全管理员在系统管理员的协助下进行安全问题的诊断和分析,确定安全问题的类型。b.对于安全问题应及时判断攻击源,同时对攻击数据源进行跟踪,争取在攻击的发
6、起端进行过滤。消耗网络资源的主要攻击手段为拒绝服务攻击,对于此类安全问题应判断拒绝服务攻击的类型,若拒绝服务攻击针对于非正常服务端口,则关闭这些端口。若拒绝服务攻击针对于正常服务端口,则调整主机系统本身和防火墙系统的设置,尽量减小拒绝服务攻击的危害。c.如果安全问题属于系统入侵,应根据被入侵系统的重要性选择处理的方法。若被入侵系统上有重要业务或者数据,应采取紧急消除和恢复的方法,否则可以对入侵者进行网络跟躁和监视,分析攻击者的攻击目标和影响的范围,并根据分析结果采取相应的防范措施。d.在系统恢复和安全漏洞修补之后,还应分析入侵事件对被入侵系统和相关系统的影响,如果入侵事件可能导致系统文件被非法
7、修改,必须在紧急消除和恢复之后尽快进行全系统的重新安装和配置,以防止系统被安装木马程序。如果由于客观原因,系统不允许重新安装,那么必须对系统进行全面的安全扫描以检查系统中潜在的安全漏洞。如果入侵事件可能影响到网络中其它系统,必须对相应系统作安全检查。e.在安全问题处理完毕后,必须进一步分析安全问题产生的原因和条件,并检查网络中其它系统是否也存在导致类似安全问题的漏洞,若存在,应尽快进行修补。2、计算机病毒应急处理(1)计算机病毒应急措施a.对工作用机进行定期计算机病毒防治软件检查,保证计算机病毒防治软件的可用性,并及时升级到目前最新版本。b.对工作用机进行定期计算机病毒的检测和清除。 c.严禁
8、在工作用机上安装与业务无关的程序和软件。d.严格检查电子邮件,先进行计算机病毒的检测和清除后,再打开或运行。e.安全管理员密切关注最新病毒和处理手段的发布,并做好对已知重大病毒的防范。(2)计算机病毒应急处理流程a.安全管理员在系统管理员的协助下进行安全问题的诊断和分析,确定安全问题的类型。b.如果安全问题是由计算机病毒引起的,应使用杀毒软件对计算机病毒进行消除。c.若计算机病毒已造成文件或数据损坏或者丢失,且使用杀毒软件或者其它手段无法进行修复,则使用备份进行恢复;如果被感染计算机已无法正常启动或操作系统无法正常运行,应重新安装操作系统和应用软件,并调用备份进行恢复。d.对无法清除的计算机病
9、毒,安全管理员应保留原始记录应当及时向公安机关报告,并采取隔离、控制措施,并逐级上报上级安全管理小组。在公安机关确认病毒类型、查明传入途径并彻底清除病毒后,方可重新投入使用。3、网站相关服务管理原则A、WEB 服务的管理原则: 管理员做好 WEB 服务器数据的备份工作,以便在出现问题时给予及时恢复; 不得以系统最高权限用户运行 WEB 服务进程; 将 Web 文档根据类型分别存放于不同的目录下,并对目录权限作相应的设置。对于存放静态页面、图片的目录应设置为只读,对于存放脚本、CGI 程序的目录应该设置为只执行; 禁止对 Web 目录的索引; 删除 Web 站点上默认安装的 Web 文档; 删除
10、 Web 站点上默认安装的不需要的组件和 CGI 程序; 如果 Web 服务需要用户输入进行交互,对于用户的输入应该做严格的检查,避免用户通过设计输入的内容来破坏系统的安全; 如果 Web 服务需要与后台数据库连接,在数据库用户权限设置时应该遵循最小权限原则; 重新设置日志文件的存放位置和访问权限,防止网络入侵者通过修改日志来隐藏行踪; 一般不提供外部用户上载文件的手段,如果实在需要,必须对上载文件的存放位置做严格的规定并对文件类型进行检查。B、对 FTP 服务器的管理一般情况下不允许为外部用户提供匿名的 FTP 服务,如果必需,管理员要定期对 FTP 服务器上的内容进行检查,对服务器的设置遵
11、循下列原则: 为匿名 FTP 用户建立专门的用户组,并通过设置对禁止该组用户执行系统 Shell 命令; 正确设置 FTP 主目录的属主和权限进行设置; 为 FTP 用户建立专门的 Shell 命令目录及运行环境; 为 FTP 用户建立公共目录, 需要外部用户上载文件,则在公共目录中建立上载目录,并禁止匿名 FTP 用户在该目录中建立子目录。 关注 FTP 软件漏洞发布的情况,及时进行修补。(三)新闻发布准备做好各项新闻发布的准备工作。四、应急保障准备(一)应急系统一方面通过预警系统,尽早发现问题,并加强对预警系统的维护和监测,另一方面要保证应急期间信息通畅。(二)平时通信网络的安全防护主要从
12、三方面加强平时政府网站的安全防护:1、组织管理措施:对于建立起来的应急组织机构,要进行层层把关,层层落实,对组织机构中的人员及联系方式,要做到及时更新,并进行定期的安全知识培训;2、技术保障:一方面进行网络设备的安全加固,例如增加防火墙、入侵监测设备等,对已知的系统漏洞及时安装补丁程序,另一方面要进行技术储备,对内部进行人员定期培训,同时采取通过向专业网络安全公司购买安全服务的方式,加强处理互联网紧急情况的能力和效率。3、在网络工程建设和规划方面,要切实加强网络安全方面考虑,对于互联网,设计时要考虑网络路由的迂回、设备的冗余备份,信息存储的异地备份等。(三)应急保障队伍建立一支应急保障队伍,要定期进行应急演练,增强应急响应的能力和意识。内容涉及网络设备和主机系统防护、计算机病毒处理、黑客流量攻击、网页防篡改的查处等。五、后期处置(一)突发事件要形成调查报告、应急处置经验教训总结及改进建议(二)奖惩评定及表彰通过检查和演练,以及日常对政府网站突发事件的处理能力,进行奖惩评定及表彰,提高应付突发事件的效率和责任心。附表:四平教育信息网网站应急小组组长:周旗副组长:范春庆成员: 曹立新、裴静、刘洋
