一、总则
(一)编制目的
为建立我校网络与信息安全应急响应工作机制,提高网络与信息安全突发事件的应急处理能力和水平,有效预防并科学应对网络与信息安全突发事件,最大限度地降低网络与信息安全事件的危害和影响,确保校园网和信息系统的安全、稳定运行,结合我校实际,制定本预案。
(二)编制依据
根据《中华人民共和国突发事件应对法》、《中华人民共和国计算机信息系统安全保护条例》、《国家突发公共事件总体应急预案》、《国家网络与信息安全事件应急预案》和《信息安全事件分类分级指南》(GB/Z 20986-2007)等相关规定。
(三)工作原则
统一领导,快速反应,密切配合,科学处置。坚持“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,充分发挥各方面力量,共同做好我校网络与信息安全突发事件的预防和处置工作。
(四)适用范围
本预案适用于全校范围内自建自管的网络与信息系统,尤其是校园网主干设施和重要信息系统安全突发事件的应急处理。
(五)事件分类分级
1.事件分类
网络与信息安全事件依据事件的起因、表现和结果等因素,分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件。
(1)有害程序事件:蓄意制造、传播有害程序,或因有害程序的影响而导致校园网或信息系统无法正常运行的事件。主要包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其他有害程序事件;
(2)网络攻击事件:通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的事件。主要包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件;
(3)信息破坏事件:通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取的事件。主要包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其他信息破坏事件;
(4)信息内容安全事件:利用校园网在校内外传播法律法规禁止的信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件;
(5)设备设施故障:由于网络与信息系统自身故障、外围保障设施故障、人为的使用非技术手段有意或无意的造成校园网瘫痪或者信息系统业务中断的事件。主要包括软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障;
(6)灾害性事件:由于水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等不可抗力对网络与信息系统造成物理破坏的事件;
(7)其他信息安全事件:不能归为以上类别分类且造成影响或后果较为严重的事件。
2.事件分级
网络与信息安全事件按照信息系统的重要程度、系统损失和社会影响,由高到低分为特别重大(I级)、重大(Ⅱ级)、较大(Ⅲ级)和一般(Ⅳ)四个级别。
(1)符合下列情形之一的为I级网络与信息安全事件:
①校园网和信息系统遭受特别严重破坏,对学校教学、科研和办公造成特别严重影响,超出学校可控制能力的安全事件;
②信息系统中的数据丢失或被窃取、篡改、假冒,对学校安全和稳定构成特别严重威胁事件;
③其他对学校安全和秩序造成特别严重影响的网络与信息安全事件。
(2)符合下列情形之一且未达到I级网络与信息安全事件的为Ⅱ级网络与信息安全事件:
①校园网和信息系统遭受严重破坏,对学校教学、科研和办公造成严重影响,超出现代教育技术中心控制能力,需学校各部门协同处置的安全事件;
②信息系统中的数据丢失或被窃取、篡改、假冒,对学校安全和稳定构成严重威胁;
③其他对学校教学、科研和办公造成严重影响的网络与信息安全事件。
(3)符合下列情形之一且未达到Ⅱ级网络与信息安全事件的,为Ⅲ级网络与信息安全事件:
①校园网和信息系统遭受较严重破坏,对学校教学、科研和办公造成较严重影响,现代教育技术中心可自行处理的安全事件;
②信息系统中的数据丢失或被窃取、篡改、假冒,对学校安全和稳定构成较严重威胁;
③其他对学校教学、科研和办公造成较严重影响的网络与信息安全事件。
(4)除上述情形外,对学校教学、科研和办公造成一定影响的网络与信息安全事件,为Ⅳ级网络与信息安全事件。
二、组织机构与职责
(一)组织机构
全校网络与信息安全防范及应急处置工作由网络安全和信息化领导小组统一领导、指挥和协调。
(二)职责及任务
研究决定网络与信息安全应急工作的有关重大问题;决定I级和Ⅱ级网络与信息安全事件应急预案的启动,督促检查安全事件处置情况及各有关单位在安全事件处置工作中履行职责情况;对全校相关部门贯彻执行应急处置预案、应急处置准备情况进行督促检查。
三、预防措施
(一)建立健全网络与信息安全事件工作机制,加强组织保障、人员保障和技术保障;
(二)机关各部门、各二级单位严格执行学校的各项网络与信息安全管理制度,对本部门的所负责的终端计算机、无线上网设备、信息系统做好网络安全保障措施;
(三)现代教育技术中心加强对校园网和信息系统的监管力度,定期对网络系统的运行状态、系统日志和安全日志等进行检查,对重要信息系统如核心数据库等要定期进行运行检查,对重要数据要实时和定时进行备份,对核心网络设备定期检查和维护,避免或减少发生安全事件所造成的损失。
四、响应流程
(一)预案启动
发生网络与信息安全事件后,网络安全和信息化领导小组、现代教育技术中心和安全事件发生部门,尽快分析事件发生的原因,根据网络与信息系统承载业务情况,判断事件的影响和危害范围,确定该事件的类别和级别,分级响应。
(二)应急响应
1.分级响应
(1)I级响应
现代教育技术中心立即将事件上报主管校领导及网络安全和信息化领导小组,网络安全和信息化领导小组再上报上级主管部门,在上级主管部门和网络与信息安全领导小组统一指挥下,开展应急处置工作;
(2)Ⅱ级响应
现代教育技术中心立即将事件上报主管校领导及网络安全和信息化领导小组,由网络安全和信息化领导小组统一指挥、协调处理;
(3)Ⅲ级或Ⅳ级响应
由现代教育技术中心和相关部门负责处理,并将事件的相关情况上报主管校领导。
2.应急处理方式
针对不同类型的网络与信息安全事件,分别采取以下应急处理方式。
(1)有害程序事件:
分析有害程序的类型、危害程度和影响范围,全面查找受影响的信息系统,对受影响的信息系统,及时关闭其服务器或断开网络连接,有效控制有害程序的蔓延。根据有害程序的类型,全面、彻底地清除有害程序,保证信息系统正常运行;
(2)网络攻击事件:
判断攻击来源和性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,及时清理系统、恢复数据,尽快使网络和信息系统恢复正常;
(3)信息破坏事件:
通过追踪应用程序、查看数据库安全审计记录和信息系统安全审计记录,及时查找信息被破坏的原因,恢复被破坏的网络和信息系统,对信息被泄露、窃取或丢失较严重的破坏事件,根据具体情况交由学校网络与信息安全领导小组或上级部门处置;
(4)信息内容安全事件:
迅速定位发布不良信息的服务器或终端计算机,通过中断网络、屏蔽端口等方法,阻止其继续发布不良信息,并通过技术手段查找发布该信息的人员,视情况交由学校或公安机关处理;
(5)设备设施故障:立即联系设备维修公司进行抢修、调用备用设备,优先确保学校主干网和重要信息系统的正常运行,争取在最短时间内恢复正常;
(6)灾害性事件:根据实际情况,在确保人员人身安全的前提下,对设备进行搬迁、挪动和拆除等工作;
(7)其他信息安全事件:根据总的安全原则,结合实际情况,对事件进行相应的处置。
3.后期处理
(1)对安全事件进行前期的应急处理之后,应及时采用各种技术措施,控制事态发展,最大限度的防止事态蔓延,同时减小应急处理措施对相关业务的影响程度;
(2)安全事件被抑制后,尽快分析事件原因,查找问题原因,提出有效处理措施并彻底清除;
(3)在确保安全事件解决后,要及时清理系统,恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。
4.信息报告
网络与信息安全事件发生时,应及时向主管校领导及网络安全和信息化领导小组汇报,并在事件处理工作中做好完整的过程记录,及时报告事件处理工作的进展情况,保存各相关系统日志,直至处置工作结束。
5.结束响应
安全事件解除后,网络安全和信息化领导小组对事件造成的损失、事件处理流程和应急预案进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告,同时确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料;属于重大事件或存在非法犯罪行为的,及时向上级部门或公安机关上报。
五、保障措施
(一)制度保障
建立健全各项网络安全制度,制定并不断完善网络与信息安全事件应急预案。针对突发性、大规模安全事件,各相关部门应建立反应迅速、周密细致的处理流程,确保发生安全事件时能够及时有效的进行处理。
(二)人才和技术保障
加强网络与信息安全人才培养,强化信息安全宣传教育,建立一支高素质、高技术的网络与信息安全核心人才和管理队伍,提高全局网络与信息安全防御意识。大力发展网络与信息安全服务,增强应急支援能力。
(三)训练和演练
定期或不定期举办不同层次、不同类型的网络与信息安全培训,加强教职工的安全意识,提高安全防范的意识,以及处理应急事件的能力。有针对性的开展应急演练,确保安全事件发生时,应急预案的有效执行。
附件:
邯郸职业技术学院网络安全事件信息报告表
报告单位 |
|
报告时间 |
年 月 日 时 分 |
事发单位 |
|
事件起始时间 |
年 月 日 时 分 |
填报人 |
|
审核人 |
|
事件分类 |
□有害程序事件 □网络攻击事件 □信息破坏事件 □信息内容安全事件 £设备设施故障 □灾害事件 □其他事件 |
|
|
|
事件分级 |
□一般事件 □较大事件 □重大事件 □特别重大事件 |
响应分级 |
□Ⅳ级 □Ⅲ级 □Ⅱ级 □Ⅰ级 |
危害表象 |
□网络中断 □系统瘫痪 □数据毁坏 □数据泄密 □其它危害 |
事件描述(包括突发事件发生原因、性质,初步原因和危害程度判断): |
|
|
处置措施(突发事件发生单位已采取的控制措施及其他应对措施): |
|
|
事件后果的初步估计: |
|
|
有关意见和建议: |
