为了建立健全陕西工业职业技术学院校园网络与信息安全应急响应工作机制，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》、《国家信息化工作领导小组关于加强信息安全保障工作的意见》、公安部、国务院信息化工作办公室等四部门《关于信息安全等级保护工作的实施意见》和《国家突发公共事件总体应急预案》等有关法规文件精神，结合我院实际情况，提高处置网络与信息安全突发公共事件的能力，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络与信息安全突发公共事件的危害，特制定网络应急响应管理制度。

一、应急响应的目标

1、首先是要确认或排除突发事件的发生，对于用户的报警要第一时间进行检测判断，识别是否属于网络安全紧急事件，排除由于其他原因导致的异常情况。

2、应急响应的第一项任务是尽快恢复系统或网络的正常运转，使得校园网用户能够正常上网。

3、应急响应的第二项任务是使系统和网络操作所遭受的破坏最小化。通过收集积累准确的数据资料，获取和管理有关证据。在应急的过程中注意记录和保留有关的原始数据资料，为下一阶段的分析和处理提供准确可信的资料。

4、最后应急响应实施完成后，要提供准确的分析统计报告和有价值的建议。

二、应急响应的对象

计算机网络安全事件应急响应的对象是指针对计算机或网络所存储、传输、处理的信息的安全事件，事件的主体可能来自于自然界、系统自身故障、组织内部或外部的人、计算机病毒等。例如：

1．网络异常流量

   采取一定的技术措施，对网络异常流量进行检测，对发现的流量异常进行分析、定位和隔离，并做好日志工作。

2．网络病毒

   对于网络中的蠕虫病毒，应采取技术手段进行检测。对已发现的网内病毒源通过关闭端口及时进行隔离，并通知有病毒的计算机负责人进行处理；对病毒的检测和处理要做好日志工作；对于外网进入的网络病毒应在边界路由器上做针对性地访问控制；对已实施的访问控制要做好日志和备案工作。

3．对外扫描

   应严格控制内部网络用户的对外扫描，采取相应的技术手段加强对扫描的检测，对发现的扫描事件，及时分析数据，落实扫描源，通过禁用IP、关闭端口等措施进行隔离，并做好日志备案工作。

4．网络攻击

  采取必要的技术手段，对网络攻击事件进行检测。对发现的攻击事件，及时分析，定位责任人，调整安全措施，做好日志记录工作。

三、应急响应流程

　　根据工作内容，应急响应分为准备、事件检测、抑制、根除、恢复、报告等 6阶段。

1、准备阶段

在安全事件真正发生之前应该为事件响应作好准备。准备阶段的主要工作包括建立合理的防御/控制措施、建立适当的策略和程序、获得必要的资源和组建响应队伍等。

2、检测阶段

检测阶段要做出初步的动作和响应，要由信息及系统安全员根据获得的初步材料和分析结果，估计事件的范围，制订进一步的响应战略，并且保留可能用于司法程序的证据。

3、抑制阶段

抑制的目的是限制攻击的范围。可采取的抑制策略包括：关闭所有的系统；从网络上断开相关系统；修改防火墙和路由器的过滤规则；封锁或删除被攻破的登录账号；提高系统或网络行为的监控级别；设置陷阱；关闭服务；反击攻击者的系统。

4、根除阶段

在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源并彻底清除。对于单机上的事件，主要可以根据各种操作系统平台的具体的检查和根除程序进行操作即可；对于大规模爆发的带有蠕虫性质的恶意程序，提醒用户真正关注他们的主机是否已经遭受入侵，防止感染蠕虫的主机在网络中不断地搜索和攻击别的目标。加强各部门网络之间有效的协调通报机制，网络管理员对接入到网络中的子网和用户需要具有足够的管理权限。

5、恢复阶段

恢复阶段的目标是把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作中如果涉及到机密数据，需要额外遵照机密系统的恢复要求。对不同任务的恢复工作的承担单位，要有不同的担保。如果攻击者获得了超级用户的访问权，一次完整的恢复应该强制性地修改所有的口令。

6、报告和总结阶段

目标是回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。值班管理员需立即向主管领导报告，并向公安机关报告。

四、网络安全事件应急处理机构及职责

1 、设立信息网络安全事件应急小组，负责信息网络安全事件的组织指挥和应急处置工作。总指挥由学院领导担任，副总指挥由分管领导担任，指挥部成员由院办、保卫科、宣传教育部、学生处、现代教育技术中心等部门人员组成。

2 、指挥部下设办公室，院办、保卫科、宣传部、学生处、现代教育技术中心等有关人员具体承办有关工作组织协调、调查取证、应急处理和对外信息发布等工作。

五、网络安全事件及突发事件的报告与处置

1、事件发生并得到确认后，有关人员应立即将情况报告学院有关领导，由领导决定是否启动该预案，一旦启动该预案，有关人员应及时到位。

2、现代教育技术中心应在事件发生后 24 小时内写出事件书面报告报指挥部。报告应包括以下内容：事件发生时间、地点、单位、事件内容，涉及计算机的 IP 地址、管理人、操作系统、应用服务，损失，事件性质及发生原因，事件处理情况及采取的措施；事故报告单位/人、报告时间等。

3、宣传教育部负责事件的宣传和报道等工作，并承担国内其他重要新闻网站工作联系，防止事态通过网络在国内蔓延。

4、现代教育技术中心有关人员进入应急处置工作状态，对相关事件进行跟踪，密切关注事件动向，协助调查取证并阻断网络连接，进行现场保护，系统恢复等工作。