为建立学校网络与信息安全应急响应工作机制,科学应对网络与信息安全突发事件,确保校园网络与信息系统正常运行,根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全事件分类分级指南》(GB/T20986-2007)、《信息技术安全事件报告与处理流程》(教技厅函(2014)75号)、《中南林业科技大学网络与信息安全管理办法》(中南林党发(2017)28号)等国家和教育行业有关法律法规,结合我校工作实际,特制定本预案。
一、 适用范围
本预案适用于全校范围内自建自管的网络与信息系统、校园网主干设施和重要信息系统安全突发事件的应急处置。
二、 工作原则
统一领导,快速反应,密切配合,科学处置。坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,充分发挥各方面力量,共同做好网络与信息安全事件的应急处置工作,最大可能的降低危害和影响。
三、 网络与信息安全事件分类分级
1、网络信息安全事件依据发生过程、性质和特征不同,可分为以下四类:
(一)网络攻击事件:由于遭受有害程序感染、非法入侵或其他技术手段攻击,造成校园网络和信息系统运行异常或存在潜在危险,或造成信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。
(二)设备故障事件:由于信息系统或外围软硬件设施故障、人为误操作等,造成信息系统破坏、业务中断、系统宕机、网络瘫痪等导致的信息安全事件。
(三)灾害性事件:因洪水、火灾、雷击、地震、台风、非正常停电等外力因素造成网络与信息系统损毁,导致业务中断、系统宕机、网络瘫痪等安全事件。
(四)信息内容安全事件:利用校园网络在校内外传播法律法规禁止的信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
2、网络与信息安全突发事件依据可控性、严重程度和影响范围的不同,可分为以下四级:
I 级(特别重大):学校网络与信息系统发生全校性大规模瘫痪,对学校正常工作造成特别严重损害,且事态发展超出学校控制能力的安全事件;
II 级(重大):学校网络与信息系统造成全校性瘫痪,对学校正常工作造成严重损害,事态发展超出信息中心控制能力,需学校各部门协同处置的安全事件;
III 级(较大):学校某一区域的网络与信息系统瘫痪,对学校正常工作造成一定损害,信息中心可自行处理的安全事件;
IV 级(一般):某一局部网络或信息系统受到一定程度损坏,对学校某些工作有一定影响,但不危及学校整体工作的安全事件。
四、 组织机构及职责
学校成立网络安全应急领导小组。学校党委是突发网络安全事件应急管理工作的最高领导机构。分管学校安全的校领导为组长,分管学校信息化建设的校领导为副组长,学校各相关职能部门和各学院分管信息化工作的领导或主要负责人为主要成员。
(一)网络安全应急领导小组主要职责
1、加强领导,健全组织,强化工作职责,完善各项应急预案的制定和各项措施的落实。
2、充分利用各种渠道进行网络安全知识的宣传教育,组织、指导全校网络安全常识的普及教育,广泛开展网络安全和有关技能训练,不断提高广大师生的防范意识和基本技能。
3、认真搞好各项物资保障,严格按照预案要求积极配备网络安全设施设备,落实网络线路、交换设备、网络安全设备等物资,强化管理,使之保持良好工作状态。
4、采取一切必要手段,组织各方面力量全面进行网络安全事故处理工作,把不良影响与损失降到最低点。
(二)职能部门工作职责:
1、党委办公室、行政办公室:牵头组织重大敏感时期、重要活动、重要会议期间发生的信息安全事件的协调处置;负责涉密级信息网络泄密类事件的处理。
2、党委宣传部:负责学校舆情监测和信息内容安全类事件的处置,对于涉及师生政治思想方面的预警性、倾向性、苗头性的问题,要加强分析研判,妥善有效应对。
3、信息中心:负责校园基础网络系统安全,保证校园网络服务不中断;负责网络攻击、设备故障类事件的处置;负责全校网络信息安全事件处置的技术支持工作。
4、保卫处:密切联系公安部门,负责涉及人为破坏类事件的处置,配合重大安全事件的处置。
5、各院系、职能部门负责本单位网站和业务系统的信息安全事件的处置工作,应对照本预案,建立本部门应急处置机制。
五、 监测与预防
为尽可能减少网络与信息安全事件的发生,信息中心加强日常的监控,并采取必要的预防措施。
1、加强网络与信息系安全管理。健全工作制度和建立预报预警监测体系,避免和减少网络信息安全事件发生。
2、健全技术防护体系。在校园网出入口、数据中心、重要信息系统等重要部位,安装必要的安全防御检测工具,进行实时监测和定期扫描,发现异常情况及时防范处理并逐级报告。同时做好操作系统升级杀毒,数据备份、安全审计等日常管理工作。
3、建立险情巡查制度。宣传部及各网站管理员随时监控网站内容,信息中心应严格执行值班制度,做好校园网络与信息安全的日常巡查及日志保存工作,以保证最先发现并及时处置突发性事件。
六、 应急处置流程
图1 应急预案处理流程图
1、启动应急预案:在监测和预防的情况下,发生突发安全事件后,信息中心及相关部门应尽最大可能收集事件相关信息,并第一时间采取断网等有效措施,将损害和影响降低到最小范围。
2、事件定级:信息中心组织有关单位,根据收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围,评估事件带来的影响和损害,确认事件的类别和等级。
3、应急响应:根据事件等级采取相应的响应方式
IV级:信息中心组织相关单位及时、自主进行应急处置,并做好处置记录。
III至II级:信息中心应立即上报网络安全应急领导小组,由领导小组指挥、协调成员单位进行应急处置。涉及人为主观破坏事件时由学校保卫处报告当地公安部门。
I级:信息中心立即上报网络安全应急领导小组,由学校报教育厅和当地公安部门,公安部门指挥协调有关单位和我校协同进行应急处置。
4、应急处理方式
根据网络与信息安全事件分类采取不同应急处置方式。
(1)网络攻击事件:判断攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP 地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质采取以下方案:
病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助寻找并公布病毒攻击信息,以及杀毒、防御方法。
外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或
已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外
网入侵,定位入侵的IP 地址,及时关闭入侵的端口,限制入侵的IP
地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和影响。
内部入侵:查清入侵来源,如IP 地址、所在办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。
(2)设备故障事件:判断故障发生点和故障原因,迅速联系IT运维公司尽快抢修故障设备,优先保证校园网主干网络和主要应用系统的运转。
(3)灾害性事件:根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
(4)信息内容安全事件:接到校内网站出现不良信息的报案后,
应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息的传
播,根据网站相关日志记录查找信息发布人并做好善后处理;对公安
机关要求我校协查的外网不良信息事件,根据校园网上网相关记录查
找信息发布人。
(5)其它不确定安全事件:可根据总的安全原则,结合具体情况,做出相应处理。
5、后续处理及上报
(1)上报处理过程及结果:网络与信息系统安全事件发生时,信息中心应及时应急领导小组汇报,并在事件处置工作中作好完整的过程记录,及时报告处置工作进展情况,保存各相关系统日志,直至处置工作结束。
(2)系统恢复运行后,信息中心对事件造成的损失、事件处理流程和应急预案进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告,同时确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料;属于重大事件或存在非法犯罪行为的,第一时间向公安机关报案。
七、 保障措施
1、加强队伍建设,不断提高工作人员的信息安全防范意识和技术水平,确保安全事件应急处置科学得当。
2、加强技术保障,不断完善网络安全整体方案,加强技术防护,确保信息系统的稳定与安全。
3、加强资金保障,信息中心应根据校园网安全防护和应急处置工作实际需要,提出用于安全的软硬件设备及运行维护经费预算,报财务处纳入年度经费预算,以专项经费列支。
4、加强安全培训和演练,信息中心应定期组织相关部门和安全管理人员进行信息安全知识培训,增强防范意识和应急处置能力。
八、 其他
1、在应急行动中,各部门要密切配合,服从指挥,确保各项工作的落实。
2、本预案自发布之日起正式施行。
中南林业科技大学
2017年9月
