重庆航天职业技术学院

网络与信息安全事件应急预案

一、目的

为了积极预防和妥善处置网络安全突发事件，加强网络与信息安全保障工作，确保门户网站、学校网络及重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络与信息安全突发事件的危害。根据《重庆航天职业技术学院网络安全应急预案框架》等有关规定制定本重要事件应急预案。

二、适用范围

适用于在学校范围发生的本预案定义的I级、II级、III级、IV级网络与信息安全突发事件和可能导致I级、II级、III级、IV级网络与信息安全突发事件的应对处置工作。

三、职责

表1 应急响应组织

5. 网络安全事件分级分类  

参考国家标准，根据网络与信息安全突发公共事件的可控性、严重程度和影响范围，将网络与信息安全突发公共事件分为四级：Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)、Ⅳ级(一般)。国家有关法律法规有明确规定的，按国家有关规定执行。

1.符合下列情形之一的，为特别重大网络与信息安全事件(Ⅰ级):

（1）安全事件所属单位系统重要程度为非常重要，事件类型危害程度为中度危害以上；

（2）安全事件所属单位系统重要程度为重要，事件类型危害程度为超高危害；

（3）安全事件所属单位系统重要程度为比较重要，事件类型危害程度为超高危害；

2.符合下列情形之一且未达到特别重大网络与信息安全事件(Ⅰ级)的，为重大网络与信息安全事件(Ⅱ级)：

（1）安全事件所属单位系统重要程度为非常重要，事件类型危害程度为低度危害；

（2）安全事件所属单位系统重要程度为重要，事件类型危害程度为中度危害以上；

（3）安全事件所属单位系统重要程度为比较重要，事件类型危害程度为高度危害；

（4）安全事件所属单位系统重要程度为一般，事件类型危害程度为超高危害；

3.符合下列情形之一且未达到重大网络与信息安全事件(Ⅱ级)的，为较大网络与信息安全事件(Ⅲ级)：

（1）安全事件所属单位系统重要程度为重要，事件类型危害程度为低度危害；

（2）安全事件所属单位系统重要程度为比较重要，事件类型危害程度为中度危害；

（3）安全事件所属单位系统重要程度为一般，事件类型危害程度为高度危害；

4.符合下列情形之一未达到重大网络与信息安全事件(Ⅲ级)的，为一般网络与信息安全事件(Ⅳ级)。

（1）安全事件所属单位系统重要程度为比较重要，事件类型危害程度为低度危害；

（2）安全事件所属单位系统重要程度为一般，事件类型危害程度为中度及低度危害；

安全事件分级对应表如下：

表2 安全事件分级表

五、网络安全事件定级流程

图1网络安全事件定级流程图

六、应急处置流程

图2应急处置流程图

七、应急事件分级响应及终止程序

1.应急响应实施

（1）事故报警

（2）应急响应行动的过程。应急响应行动一般按以下步骤进行：

接报---设点---报到---救援---撤点---总结

（3）应急响应要求

及时发出警报并通知有关人员；及时启动应急预案；应急响应人员在30分钟到场；各响应小组专人指挥并控制好现场；提供有效的应急设备设施；应急通讯畅通；实施现场警戒；疏散相关人员；事后处置；事件评估与回顾；现场恢复等要求。

2.应急终止  

应急工作结束，要及时解除应急状态，及时恢复网络和系统运行，恢复正常工作秩序。恢复前必须对设备、系统进行全面检查、检测，符合安全运行条件，方可恢复运行。

事发单位要对突发事件的起因、性质、影响、责任、经验教训和恢复重建等问题进行调查评估，并向上级有关部门报告。应急管理小组应适当对一个时期的突发事件进行全面评估分析。提出预防和控制意见。

9. 应急处置程序说明

1.特别重大事件（I级）：

（1）当发生特别重大安全事件时，事件发现人员第一时间（发现事件10分钟内）电话通知信息系统负责人，信息系统负责人第一时间通知单位领导和区网信办应急科工作接口人，并将“安全事件通报”以邮件的方式发送给区网信办；由区委网信办负责人在接收到通报后10分钟内将安全事件上报区委领导，整个通报流程在20分钟内完成。单位领导对特别重大事件的处置作出批示，对处置工作进行部署，组织相关力量对安全事件进行应急处置。

（2）技术条线和管理条线人员在事件完成通知后，30分钟内赶赴信息系统所在现场。由应急响应专家组织技术条线人员进行事件原因排查，并将结果反馈给信息系统主管部门负责人及区委网信办负责人。

（3）由单位项目负责人根据技术条线对事件的分析和建议，组织管理条线人员根据相关法律制度讨论此次事件是否需要警方介入。如需警方介入，则进行报案和后期与警方的沟通。

（4）同时技术条线对安全事件给出技术解决方案，如整改措施易于实施，应急响应团队在3小时内进行修复和整改，整改完成后第一时间与现场的管理条线沟通，再由应急响应团队人员进行事件复查，确认事件解决后，现场人员统一离场。如短期内无法立即完成整改，需对事故设备进行关停处理，同时在3小时内出具整改计划、时间点及整改措施，由区委网信办进行监督跟进。

（5）现场应急处置完成后，单位领导根据特别重大安全事件的影响范围及受影响信息系统的重要程度，对相关责任人进行追责。

3. 重大事件（II级）：

（1）当发生重大安全事件时，事件发现人员第一时间（发现事件30分钟内）电话通知信息系统负责人，信息系统负责人第一时间通知单位领导和区网信办应急科工作接口人，并将“安全事件通报”以邮件的方式发送给区网信办；整个通报流程在60分钟内完成。

（2）技术条线和管理条线人员在事件完成通知后，50分钟内赶赴信息系统所在现场。由应急响应专家组织技术条线人员进行事件原因排查，并将结果反馈给信息系统主管部门负责人及区委网信办负责人。

（3）由单位项目负责人根据技术条线对事件的分析和建议，组织管理条线人员根据相关法律制度讨论此次事件是否需要警方介入。如需警方介入，则进行报案和后期与警方的沟通。如不需警方介入，协助技术条线沟通好处置安全事件所需的资源后，管理条线人员可以离场。

（4）技术条线确定技术解决方案后，在1天内进行修复和整改，整改完成后对处置结果进行复查，最后将复查结果反馈给区委网信办及信息系统负责人。

3.较大事件（III级）：

（1）当发生较大安全事件时，事件发现人员第一时间（发现事件1小时内）电话通知信息系统负责人，信息系统负责人第一时间通知单位领导和区网信办应急科工作接口人，并将安全事件通报以邮件的方式发送给区网信办；整个通报流程在2小时内完成。

（2）管理条线要随时保持电话畅通，以便了解安全事件处置进展情况。

（3）技术条线人员进行远程技术支持，协助信息系统主管部门进行问题排查，并给出安全事件的分析和处置建议。将安全事件分析的结果以电话方式通知管理条线人员。等待信息系统主管部门1天内将事件处理完成，对处置结果进行复查，最后将复查结果反馈给区委网信办及信息系统负责人。

5. 一般事件（IV级）：

（1）当发生一般安全事件时，发现事件3小时内将安全事件以邮件通报的形式通知信息系统负责人，信息系统负责人通知网信办应急科工作接口人。

（2）管理条线要随时保持电话畅通，以便了解安全事件处置进展情况。

（3）技术条线人员通过电话方式协助所属部门进行问题排查和分析，并给出事件的分析和建议。将安全事件分析的结果以电话方式通知管理条线人员。等待信息系统主管部门7天内将事件处理完成，对处置结果进行复查，最后将复查结果反馈给区委网信办及信息系统负责人。

九、重要网络安全事件应急流程

1.网站首页篡改事件应急处置流程

根据系统重要程度分析为“重要”，按照事件类型危害等级表，查询网站发生“首页被篡改”事件，事件类型危害等级为“超高危害”，按照安全事件分级对应表得出安全事件等级为“特别重大”。

（1）通知上报

监测小组事件发现人员确定安全事件等级为“特别重大”第一时间（发现事件10分钟内）电话通知所属区委网信办应急科人员及区网信办，并将“安全事件通报”以邮件的方式发送给以上两个单位相关人员；

由区委网信办在接收到通报后10分钟内将安全事件上报重庆市网信办，按照相关流程报相关领导；

电话通知信息系统涉及部门（查询通讯录）。

（2）阻止扩散

网络管理员接通知后阻止事件扩散；网络管理员立即关闭断开网站服务器（IP：xx.xx.xx.xx）互联网访问；

信息系统主管部门管理员启动备份服务器（IP：xx.xx.xx.xx）；

检查备份服务器提供的网页是否正常，正常后联通备份服务器互联网；

信息系统主管部门管理员接通知后恢复网络；

网络管理员接通知恢复网络。

（3）恢复服务

信息系统主管部门管理员使用互联网持续访问网站保证网站内容正常；

管理员恢复网站后10分钟内电话通知区网信办；

由区网信办应急科人员在接收到通报后10分钟内将反馈给监测小组复查（查询通讯录）。

（4）事件分析

备份涉事服务器硬盘；

信息系统主管部门及应急响应团队按照应急响应安全事件分析检查清单逐一检查；

信息系统主管部门及应急响应团队撰写安全事件应急处置报告及加固方案；

信息系统主管部门及应急响应团队将安全事件应急处置报告以公文回复区网信办；

由区网信办在接收到公文回执后将事件处置分析情况上报重庆市网信办。

6. 加固

信息系统主管部门按照加固方案加固服务器。

2.网络中断事件处理流程

（1）局域网中断

信息安全负责人立即判断故障节点，查明故障原因，及时上报单位应急领导小组或区委网信办应急科人员；

若是线路故障，重新安装线路；若是路由器、交换机等设备故障，立即从指定位置将备用设备取出接上，并调试畅通；

若是路由器、交换机等配置文件损坏，应迅速按照要求重新配置，并调试畅通；

信息系统主管部门及应急响应团队撰写安全事件应急处置报告。

（2）广域网线路中断

信息安全负责人立即判断故障节点，查明故障原因；

如是我方管辖范围，由信息安全负责人员立即维修恢复；如是网络运营商部门管辖范围，应立即与网络运营商维护部门联系修复；

如果恢复时间预计超过两小时,应立即向应急领导小组负责人汇报。经同意后，通知各科室暂缓上传上报数据；

及时上报单位应急领导小组，信息系统主管部门及应急响应团队撰写安全事件应急处置报告。

（3）光缆线路故障

立即联系光纤熔接人员携带尾纤等辅助材料，及时熔接连通；

检查并做好备用光缆或备用芯的跳线工作，随时切换到备用网络；

及时上报单位应急领导小组，信息系统主管部门及应急响应团队撰写安全事件应急处置报告。

3.计算机病毒爆发事件处理流程

（1）关闭计算机病毒爆发网段上联端口；

（2）隔离中病毒计算机；

（3）关闭中病毒计算机上联端口；

（4）根据病毒特征使用专用工具进行查杀；

（5）系统损坏计算机在备份其数据后，进行重装；

（6）通过专用工具对网络进行清查；

6. 汇报相关领导和应急小组，做好事件记录。

4.服务器设备故障处理流程

（1）主要服务器和数据库服务器应做多个数据备份；

（2）如能自行恢复，则立即用备件替换受损部件，如：电源损坏更换备用电源，硬盘损坏更换备用硬盘，网卡、主板损坏启用备用服务器；

（3）若数据库崩溃应立即启用备用系统，并检查备用服务器启用情况；

（4）对主机系统进行维修并做数据恢复；

（5）如不能恢复，立即联系设备供应商，要求其派维护人员前来维修；

（6）发生数据库数据丢失、受损、篡改、泄露等安全事件时，信息安全人员应查明原因，按照情况采取相应措施：如更改数据库密码，修复错误受损数据；

（7）如数据库崩溃，信息安全人员应立即启用备用系统，并向信息安全负责人报告；在备用系统运行期间，信息安全人员应对主机系统进行维修并作数据恢复；

（8）汇报有关领导和应急小组，做好事件记录。

5.黑客攻击事件处理流程

（1）重要的软件系统和数据定期进行备份，与软件系统相对应的数据必须有多日的备份，并保存于安全处；

（2）若通过入侵监测系统发现有黑客进行攻击，立即通知信息安全负责相关人员，上报应急领导小组，软件遭破坏性攻击（包括严重病毒）时要将系统停止运行；

（3）系统管理员将被攻击的服务器等设备从网络中隔离出来；

（4）信息安全负责人员及时恢复与重建被攻击或被破坏的系统，恢复系统数据，并及时追查非法信息来源；

（5）记录事件，及时上报相关领导和应急小组，若事态严重，应及时向公安部门报警。

6.机房环境安全事件应急处置流程

（1）机房断电

当发现情况后首先向信息技术部和应急小组负责人报告；

各负责人接到报告后做出判断，视其严重程度决定是否向单位网络安全工作领导小组报告；

必须断电处理的情况，与相关部门联系，决定是否关闭设备；

断电后的处理：联系配电室查询断电时间、何时恢复等，根据断电时间长短、负载情况、计算机房室温等因素与机房负责人联系决定是否需关闭计算机设备；断电期间，强弱电间、网络机房与中心机房应各驻守一人，随时注意检查尚在运行的UPS供电时间，计算机设备、网络设备和机房室温湿度，相互之间保持联系，方便UPS供电不足时，提前关闭设备，并与配电室保持联系，了解市电恢复时间；注意检查供电恢复情况；

来电后的处理：恢复中心机房与网络机房内空调；检查空调机启动运行情况：空调加电后，风机会立即启动，压缩机在延时3分钟后启动，待压缩机启动后检查液晶板指示情况；再次与局配电室联系，确认供电是否稳定、正常等；在一段时间内，注意检查UPS指示情况、空调机运行情况、机房温度情况等与断电情况有关的设备运行情况，做出记录，及时向机房负责人报告：断电情况，处理操作等；

特殊情况处理：特殊情况是指我方事先未接到断电通知的临时断电情况，接甲方值班室电话后，第一时间赶往现场，途中联系甲方配电室，询问断电情况及恢复时间，并电话联系单位领导和应急小组负责人；再电话联系其他同事，要求尽快赶到现场（20分钟内）；在能确定断电恢复时间的情况下，如时间不长（30分钟内），注意观察UPS机房温度即可；如时间过长（超过1小时），要求关闭不重要设备，以减轻负荷，保证UPS供电时间；如时间太长（超过1.5个小时），则联系信息技术部领导，要求提前关闭所有设备；如无法确定时间时，1小时后开始关闭不重要设备，小时时关闭所有设备。来电后的处理与前述一样，但是当因电池供电不足，导致设备断电，再来电后，确认市电供电稳定，先开启UPS，确认UPS输出正常后，再逐步开启设备，切忌不能一次性开启负载，以免负载电流过大，冲断UPS空开。

（2）机房防雷

如雷击建筑物致使受损严重的，应通知有关部门进行安全性评估；

导致网络故障时，除了检查在线设备的损坏程度以外，对不在工作状态的网络设备和电脑都应做全面的检查，以便及时发现问题，从而采取相应的措施把损失降到最低；

发生火灾时要启动相应的消防应急预案；

如发生人员伤亡，报告当地公安部门；当雷电击倒人致使心脏活动和呼吸停止时，应采取人工呼吸和体外心脏按摩的方法进行抢救，同时尽快通知医院前来抢救；

在救灾过程中，考虑是否应切断电、气、水源等，以避免二次灾害；

发生雷击事故时，一方面要及时采取相应的措施将损失控制到最小，一方面要向上级领导部门和气象部门报告，保护好现场，协助有关技术人员到现场勘察、取证，分析事故原因，提出解决方法；

单位应定期由有资质的专业防雷检测机构检测防雷设施，评估防雷设施是否符合国家规范要求；

单位设立防范雷电灾害责任人，负责防雷安全工作，建立各项防雷减灾管理规章，落实防雷设施的定期检测，雷雨后的检查和日常的维护；

建设单位在防雷设施的设计和建设时，应根据地质、土壤、气象、环境、被保护物的特点、雷电活动规律等因素综合考虑，采用安全可靠、技术先进、经济合理的设计和施工；

采用技术和质量均符合国家标准的防雷设备、器件、器材，避免使用非标准防雷产品和器件；

新增加建设和新增加安装设备应用时对防雷系统进行重新设计和建设。

（3）机房消防

任何人不能随意更改消防系统工作状态、设备位置；需要变更消防系统工作状态和设备位置的，必须取得主管领导批准；

机房内配备相应数量的消防灭火器材，并且实行责任制，谁在岗谁负责，遇有火灾、火险应立即扑救；

发现消防安全隐患，即时采取措施解决，不能解决的应及时向相关负责人及应急领导小组报告；

应定期进行消防演习、消防常识培训、消防设备使用培训。

发生火险时处理程序：

火灾发生时，机房值班人员按照机房应急疏散图迅速组织人员进行疏散；压下报警按钮，报告值班民警并拨打电话报告应急处置小组；

应急处置小组根据火情大小如需报警安排报告人员立即就近用电话或手机报告消防中心（电话119），并派出人员到各路口等待引导消防车辆；

关闭机房内所有电源和空调通风设施、设备；实施小组成员打开区域选择阀和储气瓶保险装置；拔掉驱动气瓶的保险装置，压下启动按钮；当驱动气瓶失效时拔掉手动保险装置，打开区域选择阀，压下储气瓶启动按钮；

禁止人员在喷放气体灭火时进入灭火区；

当确定火被扑灭后，打开通风设备，将废气排除后方可进入（未排尽废气进入防火区域，必须佩戴氧气呼吸器）；

消防车到来之后，一切听从消防指挥人员的指挥，应急处置小组人员配合消防专业人员扑救或做好辅助工作；

无关人员远离火场和单位内的固定消防栓，以便于消防车辆驶入。

（4）空调系统

定期对空调的运行情况进行检查，如有报警信息，应及时查找故障原因，对于不能自行排除的问题，应及时与设备提供商进行联系；

如发现有漏水现象马上关闭进水阀，并对漏水进行处理；定时对漏水报警器进行检查，保证运行正常；

机房主空调因故障无法制冷，致使机房内环境温度超过摄氏40度时，应按顺序关闭服务器设备（具体操作参照停电事件）；

对于无法自行处置的空调系统异常情况，及时与厂家联系。

7.网络信息内容安全事件应急处置流程

一旦发生网络信息内容安全突发事件，单位应根据网络信息内容安全事件的发生发展启动应急预案，决定各相关部门介入突发事件的处置。审定网络信息内容安全事件应对方案，决定新闻发布的口径、原则和内容，确定负责新闻发布、审定新闻发布稿和接受记者采访的领导和相关部门负责人。对网络信息内容安全事件处置过程中出现的新情况、新问题及时进行会商，提出解决方案及处置措施，确定相关部门进行处置。具体应对机制如下：

（1）建立网络信息内容安全事件监控信息员机制。各职能部处应确定政治素质好、责任心强、反映机敏、熟悉网络的人员担任网络信息内容安全事件监控信息员，对涉及单位的网络信息内容安全事件实行监控和引导，特殊时期安排专人24小时监控，加强网上信息内容安全事件监测和应对；及时了解社情民意，监测信息内容安全事件发展动向；

（2）建立快速报告机制。各单位信息内容安全事件监控信息员发现有关单位的不良信息后要立即向主管领导汇报，提出处置意见，并在1小时内向单位应急处置领导小组报告，经批准后，根据事件进展情况适时采取应对措施；

（3）建立网络信息内容安全事件研判机制。通过跟踪分析，把握信息内容安全事件发展走向，分析判断突发及重大信息内容安全事件的程度，提出合理化建议；信息技术部汇总上报的事件进行初步分析，根据事件严重程度决定是否召开会议和向上级领导部门汇报；

（4）建立快速查核机制。对网络反映的情况，需要调查的，要迅速组织力量开展调查，与网络抢时间，并注重周密谋划，妥善处置、严控因处置不当造成不良后果；经查证属实，并构成违纪的，按照有关规定严肃查处；与事实不符或者出入较大的，及时予以澄清；对恶意造谣、干扰单位正常工作开展的，依法送交有关部门处理；

（5）建立信息发布机制。加大在单位网站公开有关热点事件的进展情况，完善新闻发布制度，形成权威、畅通的信息发布渠道；如发生信息内容安全突发事件，信息技术部与相关部门迅速拟定新闻发布内容和方案，经领导小组审定后，按照统一的口径，选择合适的时机发布，并组织媒体进行报道，让正面信息先声夺人，为网民提供权威声音，营造有利舆论；按照“及时、准确、公开、透明”的原则，不论是网络信息内容安全事件初步形成，还是已成热点，都主动澄清事实真相，争取网民理解支持；

（6）单位办公室做好信息内容安全突发事件的全程处置工作的文字材料、声音、影像的记录和保存保管工作；

（7）后期处置：网络信息内容安全突发事件应对处置结束后，领导小组组织有关部门（必要时可邀请应对专家），对处置工作进行全面总结和评估；对参与应对处置工作的部门和个人进行责任考核奖惩，针对网络信息内容安全突发事件应对处置工作中的成功经验以及暴露出来的问题，进一步修改完善本预案操作流程。

十、重要网络安全事件应急处理措施

1、信息篡改事件应急处理措施

（1）进行系统临时性恢复，迅速恢复系统被篡改的内容；

（2）必要时，将发生安全事件的设备脱网，做好安全审计及系统恢复准备；

（3）必要时，将遭受攻击的主机上系统日志、应用日志等导出备份，并加以分析判断；

（4）分析web应用日志，确认有无恶意文件上传、跨站脚本、SQL注入的非正常查询；

（5）分析主机系统日志，确认主机上有无异常权限用户非法登陆，并记录其IP地址、登陆时间等信息。例如对UNIX：

• 使用w命令查看utmp日志，获得当前系统正在登录帐户的信息及来源

• 使用last命令查看wtmp日志，获得系统前N次登录记录

• Su命令日志记录了每一次执行su命令的动作：时间日期、成功与否、终端设备、用户ID等。有些UNIX具有单独的su日志，有些则保存在syslog中。

• Cron日志记录了定时作业的内容，通常在/var/log/cron或默认日志目录中一个称为cron的文件里

（6）分析系统目录以及搜索整盘近期被修改的和新创建的文件，查找是否存在可疑文件和后门程序。例如对UNIX：

• find /etc –ctime n –print在/etc查找n天以前文件状态被修改过的所有文件

• find /etc –mtime n –print在/etc查找n天以前文件内容被修改过的所有文件

（7）分析系统服务，检查有无新增或者修改过的服务，有无可疑进程，有无可疑端口。例如对UNIX：

• Netstat –an列出所有打开的端口及连接状态

• sof –i只显示网络套接字的进程

• Ps –ef会列出系统正在运行的所有进程

（8）使用第三方检查工具检查是否存在木马后门程序；

（9）结合上述日志审计，确定攻击者的方式、入侵后所获得的最大管理权限以及是否对被攻击服务器留有后门程序；

（10）通过防火墙或网络设备策略的配置严格限制外网恶意地址对该服务器的远程登录及访问请求；

• netscreen防火墙：

setpolicy id *  top from untrust to trust  "外部ip""any" "any" deny log

• cisco防火墙：

I.标准访问控制列表

access-listlist-number {deny | permit} source [source-wildcard] [log]

II.扩展访问控制列表

access-listlist-number {deny | permit} protocol

sourcesource-wildcard source-qualifiers

destinationdestination-wildcard destination-qualifiers [ log | log-input]

（11）对web服务软件和数据库进行安全配置；

（12）对存在问题的web页面代码进行安全修改；

（13）如果攻击者放置了后门、木马等恶意程序，建议对主机重新安装操作系统，并恢复数据库系统，对系统进行加固；

（14）恢复业务数据，进行业务测试，确定系统完全恢复后系统上网运行。

2、病毒/蠕虫/恶意代码事件应急处理措施

（1）内部事件

定位事件的源头

• 通过防病毒管理中心，可以监控到哪些设备和哪些类型病毒爆发的状况；

• 通过网络流量分析系统（tcpdump、sniffer等），对网络数据包分析、网络连接分析，即定位事件的源头；

• 查看重要主机的日志，检查主机是否受到蠕虫病毒的入侵或者是否感染蠕虫病毒。

隔离主机：在确认有主机感染蠕虫之后，将被感染主机隔离，以免其进一步扩散，并根据需要启动备用主机以保持业务连续性；

在问题终端或主机上，确定病毒、蠕虫、恶意代码的特征：进程、端口等；对UNIX，

Netstat–an列出所有打开的端口及连接状态

Lsof–i只显示网络套接字的进程

Ps–ef会列出系统正在运行的所有进程

清除病毒、蠕虫、恶意代码，一般先停止恶意进程，同时将其相关文件和注册表项删除；对UNIX，

Kill 停止进程

Rm–f  删除文件

如果人工无法清除，则需要防病毒系统厂商提供针对该病毒的专杀工具，使用专杀工具来清除病毒。当本单位技术力量无法完成时，应及时寻求专业病毒服务厂商支持；

升级所有终端、主机防病毒系统的特征库到最新版本，确认蠕虫、病毒被彻底清除；

如果出现难以快速清除的病毒、蠕虫、恶意代码等，建议重新安装操作系统；

对各主机进行加固，保证不会再次感染；

利用终端安全管理系统，对所有终端自动同步补丁，使全网终端的补丁能够及时地更新；

恢复主机系统的运行，如果启动了备用主机，应切换到原来的主机；

恢复终端的正常使用。

（2）外部事件

当系统外部网站遭受病毒、蠕虫、恶意代码攻击时，可能会以网络连接、邮件、文件传输等形式试图感染到系统内部。当此类攻击发生时：

通过网络流量分析系统（tcpdump、sniffer等），分析代码网络数据包特征，确定恶意代码利用的端口及IP；

在防火墙设置acl规则，过滤相关的IP和端口；

• netscreen防火墙：

setpolicy id *  top from untrust to trust  "外部ip""any" "any" deny log

同时根据恶意代码的利用机理，在主机层面做一定防范，比如安装补丁、修改配置、做访问控制等。

3、DOS攻击事件应急处理措施

（1）由内部发起

当内部主机被入侵后，如果放置了拒绝服务攻击程序，被黑客用来对其他系统发动拒绝服务攻击：

通过网络流量分析软件（tcpdump、sniffer等），分析数据包特征；

通过流量分析，确定对外发包的被控主机，条件允许将其断网隔离；

调整防火墙或网络设备访问控制ACL策略，严格限制该机器的对外继续发包；

• netscreen防火墙：

setpolicy id *  top from untrust to trust  "外部ip""any" "any" deny log

• cisco防火墙

I.标准访问控制列表

access-listlist-number {deny | permit} source [source-wildcard] [log]

II.扩展访问控制列表

access-listlist-number {deny | permit} protocol

sourcesource-wildcard source-qualifiers

destinationdestination-wildcard destination-qualifiers [ log | log-input]

检查并确认被控主机上的恶意进程或恶意程序。对UNIX，

Netstat–an列出所有打开的端口及连接状态

Lsof–i只显示网络套接字的进程

Ps–ef会列出系统正在运行的所有进程

清除恶意进程，一般先关闭进程，然后删除其相关文件。对UNIX,

Kill 停止进程

Rm–f  删除文件

必要情况下，重新安装系统，对系统进行安全加固，重新恢复业务系统，上线运行。

（2）由外部发起-利用主机漏洞

外部破坏者利用主机操作系统的漏洞发起对系统的拒绝服务攻击；对此，

如果系统服务无法正常响应，迅速切换到备用系统；

通过防火墙或网络设备配置访问控制列表，过滤DoS发起源的连接；

• netscreen防火墙：

setpolicy id *  top from untrust to trust  "外部ip""any" "any" deny log

• cisco防火墙

I.标准访问控制列表

access-listlist-number {deny | permit} source [source-wildcard] [log]

II.扩展访问控制列表

access-listlist-number {deny | permit} protocol

sourcesource-wildcard source-qualifiers

destinationdestination-wildcard destination-qualifiers [ log | log-input]

确认造成系统cpu、内存占用高的进程或者应用。对UNIX，

Ps–ef会列出系统正在运行的所有进程

Top 查看占用资源较高的进程或应用

确认系统存在的漏洞，根据漏洞信息和安全建议采取相应的控制措施，安装相应的补丁修复程序；

修复漏洞后切换到原运行系统。

（3）由外部发起-利用网络设备漏洞

外部破坏者利用的网络设备的操作系统漏洞发起对系统的拒绝服务攻击；

如果系统服务无法正常响应，迅速切换到备用系统；

利用防火墙或网络设备配置ACL，过滤DoS发起源的连接；

• netscreen防火墙：

setpolicy id *  top from untrust to trust  "外部ip""any" "any" deny log

• cisco防火墙

I.标准访问控制列表

access-listlist-number {deny | permit} source [source-wildcard] [log]

II.扩展访问控制列表

access-listlist-number {deny | permit} protocol

sourcesource-wildcard source-qualifiers

destinationdestination-wildcard destination-qualifiers [ log | log-input]

确认当前IOS版本，确认此版本是否存在DOS的漏洞；

• cisco 设备

showversion    命令查看版本信息（cisco设备）

根据漏洞信息和相应安全建议采取相应的控制措施，安装相应的补丁修复程序；

修复漏洞后切换到原运行系统。

（4）由外部发起-利用网络协议/应用协议漏洞

网络协议类攻击是以发起大量连接或数据包为基础，造成被攻击方连接队列耗尽或CPU、内存资源的耗尽。应用类主要是指针对web服务发起的攻击，表现在分布式的大量http请求，以耗尽web服务的最大连接数或者消耗数据库资源为目的；比如：对某一大页面的访问或者对某一页面的数据库搜索；主要措施：

通过网络流量分析软件，确定数据包类型特征，比如利用的是udp、tcp还是icmp协议

在防火墙配置访问控制策略；

• netscreen防火墙：

setpolicy id *  top from untrust to trust  "外部ip""any" "any" deny log

• cisco防火墙

I.标准访问控制列表

access-listlist-number {deny | permit} source [source-wildcard] [log]

II.扩展访问控制列表

access-listlist-number {deny | permit} protocol

sourcesource-wildcard source-qualifiers

destinationdestination-wildcard destination-qualifiers [ log | log-input]

4、黑客控制系统事件应急处理措施

（1）迅速记录（复制）所有的正在运行的网络连接、系统进程、活动用户、打开文件以及内存、缓冲和临时目录中的信息；

（2）对已被黑客控制系统及应用进行切换备机，断网隔离；

（3）通过在防火墙或网络设备设置访问控制策略，限制外部的访问。

（4）在问题系统及应用上，通过分析保存的信息、所有有关日志文件（包括防火墙和入侵检测系统的安全日志），确定攻击者可能使用的技术手段，查找黑客入侵的途径；

（5）在问题系统及应用上，确定黑客植入的恶意后门程序，可以通过与备机或类似机使用filemon对系统状况等软件比对；

（6）发现恶意后门后，先停止相关进程，再进行删除；

（7）在问题系统及应用上，查找黑客创建的帐号并进行删除，查找被黑客篡改、删除的帐号，进行帐号口令重置。

（8）在网络设备及相关安全设备上进行相应配置调整使之自动检测和阻止该类攻击的再次发生；

（9）必要时，重新安装系统及应用，对系统及应用进行安全加固，恢复系统及应用。

5、不良信息传播事件应急处理措施（以不良信息邮件为例）

（1）必要时，将收到不良信息的邮件服务器脱网，防止不良邮件在内部的扩散和更多不良邮件发送进来，并将邮件服务器上的日志导出并备份；

（2）对不良邮件进行分析，找出标题、发送人地址，分析邮件内容，找出其中的关键词；

（3）查看并分析邮件服务器的日志，并结合对不良邮件的分析结果，找出该不良邮件发送的SMTP服务器和IP地址；

（4）登录防垃圾邮件系统，将该不良邮件的标题、发送人地址、关键词设置为过滤条件；

（5）通过防垃圾邮件系统和人工的方式，清除所有的不良邮件；

（6）确认所有不良邮件清除完成后，恢复邮件服务器的运行；

（7）通告所有用户，删除已收到个人收件箱的不良邮件。

2. 应急救援领导小组成员及联系电话

应急预案培训、演练记录