6163银河.net163.am网络与信息安全事件应急预案
1 总则
1.1 编制目的
根据《江苏省教育系统网络安全事件应急预案》要求,建立健全我校网络与信息安全监测和应急响应工作机制,提高学校应对网络与信息安全突发事件的能力,有效预防、及时控制和最大限度消除我校网络与信息安全各类突发事件的危害和影响,确保校园网络和重要信息系统安全,特制定本预案。
1.2 编制依据
《中华人民共和国网络安全法》、《中华人民共和国突发事件应对法》、《国家网络安全事件应急预案》、《教育系统网络安全事件应急预案》、《信息安全事件分类分级指南》、《江苏省网络安全事件应急预案》、《江苏省教育系统网络安全事件应急预案》等相关文件规定。
1.3 适用范围
本预案适用于我校的网络与信息安全事件的应对工作,指导全校网络与信息安全突发事件的应急响应处置工作。
1.4 工作原则
(1)统一指挥、密切协同。学校网络与信息安全工作领导小组统筹协调全校网络与信息安全应急指挥工作,建立与省教育网信部门、专业机构的协调联动机制,加强预防、监测、报告和应急处置等环节的紧密衔接,做好快速响应、正确应对、果断处置。
(2)分级管理、明确责任。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,学校党政主要领导是学校网络与信息安全工作第一责任人,各部门负责人是部门网络与信息安全工作第一责任人,各司其职,共同履行应急处置工作的管理职责。
(3)积极防范、加强演练。立足安全防护,加强预警,采取多种措施,共同构筑网络与信息安全保障体系。规范应急处置措施与操作流程,定期进行预案演练,确保应急预案发挥重要作用。
2 事件分类分级
2.1 事件分类
网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。
(1)有害程序事件分为计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。
(7)其他事件是指不能归为以上分类的网络与信息安全事件
2.2事件分级
参照江苏省教育系统网络安全事件分级规定将我校网络与信息安全事件分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般Ⅳ级)。
(1)特别重大(Ⅰ级)
学校网络或重要信息系统(网站)遭受特别严重损失,发生全局性大规模瘫痪,丧失业务处理能力;重要信息系统(网站)的重要敏感信息或关键数据丢失或被窃取、篡改、假冒,对全校系统安全和正常秩序构成特别严重威胁;网络病毒在全校大面积爆发并严重影响我校信息系统安全;其他对学校网络与信息系统构成特别严重威胁,造成特别严重影响的突发事件。
(2)重大(Ⅱ级)
学校网络或重要信息系统(网站)遭受严重损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响;重要信息系统(网站)的重要敏感信息或关键数据丢失或被窃取、篡改、假冒,对全校系统安全和正常秩序构成严重威胁;网络病毒在大面积爆发并影响我校信息系统安全;其他对学校网络与信息系统构成严重威胁,造成严重影响的突发事件。
(3) 较大(Ⅲ级)
某一部分网络或重要信息系统(网站)遭受较大损失,造成系统中断,业务能力受到影响;重要信息系统(网站)的数据丢失或被窃取、篡改、假冒,对全校系统安全和正常秩序构成较严重威胁;网络病毒在多个单位(部门)范围内广泛传播;其他对学校网络与信息系统构成较大威胁,造成较大影响的突发事件。
(4) 一般(Ⅳ级)
除上述情形外对我校网络与信息系安全造成一定影响,但不危害学校网络与信息系统整体安全和正常秩序的突发事件。
3 组织机构与职责
3.1网络与信息安全工作领导小组(简称领导小组)与职责
组 长:校党委书记、校长
副组长:分管宣传部、智慧校园中心、安保处工作的分管校领导
成 员:各单位(部门)主要负责人
职 责:
(1)贯彻落实国家、省及上级单位有关网络与信息安全的方针政策和法律法规,组织制定学校网络与信息安全相关的规章制度。
(2)领导统筹学校网络与信息安全工作,建立健全联动处置机制,启动应急预案,负责网络与信息安全事件处置的组织指挥。
(3)审定、部署、检查网络与信息安全事件的预防预警、应急处置、调查评估、信息发布、应急保障等工作,研究解决处置工作中的问题。
3.2网络与信息安全应急响应工作办公室与职责
网络与信息安全工作领导小组下设网络与信息安全办公室(简称网信办,设在智慧校园中心)和网络与信息安全应急响应工作办公室(简称应急办),应急办设在宣传部。
主 任:宣传部部长
副主任:智慧校园中心、安保处主要负责人,各单位(部门)主要负责人
成 员:各单位(部门)信息安全员。
职 责:
(1)组织起草学校《网络与信息安全事件应急预案》等相关规定。
(2)承担值守应急工作,指导各单位(部门)建立网络与信息安全突发事件的预警和防控工作;接收并处理网络与信息安全应急信息报告,配合相关部门积极开展应对处置工作。
(3)负责网络与信息安全事件的预防预警、应急处置、调查评估、信息发布、应急保障、隐患排查整改等工作;组织开展网络与信息安全培训,定期组织演练;收集信息安全事件报告统计数据、编制统计报告、汇总工作情况、撰写工作总结;负责与上级网络与信息安全应急工作机构的沟通联络工作。
(4)完成网络与信息安全工作领导小组交办的其它工作。
4监测与报告
4.1 明确网络与信息安全监测责任
(1)宣传部负责互联网舆情监测,以及学校官网、官方新媒体平台的信息监控。
(2) 智慧校园中心负责监测网络和信息系统的通信和资源使用异常,网络和信息系统瘫痪,应用服务中断或数据篡改、丢失等情况。
(3) 安全处负责外围设施的安保、网络从业人员审查工作,以及事件发生后与公安机关相关部门的联系协调工作。
(4) 各单位(部门)负责本单位(部门)管理的二级网站、应用信息系统、动态性专题网站和新媒体平台的信息审核与监测。
4.2 落实监测报告责任制
各单位(部门)要指定专人负责信息监测工作,要落实责任制,按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发事件和可能引发突发事件的有关信息的收集、分析判断和持续监测。
当发生网络与信息安全突发事件时,按规定及时向应急办报告,报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。重要敏感时期要实行日报告制度,各单位(各部门)按照上级及学校要求的报告频度及时上报监测情况。
4.3 报告流程
4.3.1 各单位(部门)负责信息监测的人员一旦发现网络与信息安全事件,应立即采取措施控制事态,并第一时间向单位(部门)负责人及应急办报告,并按本预案进行应急处置。
4.3.2 对于发生一般(Ⅳ级)级别的网络与信息安全事件,由应急办处理,并将处理情况向领导小组报告。
4.3.3 对于发生较大(Ⅲ级)、重大(Ⅱ级)、特大(Ⅰ级)的网络与信息安全事件,由应急办第一时间向领导小组报告,领导小组接到报告后,应迅速召开网络与信息安全会议,研究确定网络与信息安全突发事件的态势,并按《江苏省教育系统网络安全事件应急预案》启动相应级别响应进行处置。
5 网络与信息安全事件应急处置
5.1 校园网络
相关单位(部门)对有权限直接处理的校园内发生的网络与信息安全事件,要按以下流程应急处置。
5.1.1 校园网络不良信息处置
(1)发生网络与信息安全事件单位(部门)的信息安全员要及时删除不良信息,并清查整个网站所有内容,确保没有任何其它不良信息。
(2)信息安全员应将事件具体情况以书面形式上报至应急办。
(3)智慧校园中心立即组织技术人员立即通过内网防火墙切断网站服务器外网连接。备份不良信息的相关目录、日志。隔离出现不良信息的目录,进行安全性检测,去除不安全隐患,关闭不安全栏目。如果服务器遭到破坏则恢复备份数据。恢复正常后重新连接网站服务器及防火墙外网网络连接,并测试网站运行。
5.1.2 校园网络异常和网络恶意攻击事故处置
(1)智慧校园中心立即组织技术人员研判确定该攻击来源和影响范围。根据需要可以紧急切断中心网络的服务器及公网的网络连接,以保护重要数据及信息。如果攻击来自学校外,通过网络安全防护设备对此类攻击进行阻拦和过滤,并联系专家进行分析研究应对措施,并视情况严重程度决定是否关闭外网访问;如果攻击来自学校内,查找确定攻击源,切断攻击源相关设备网络连接。查到攻击源计算机IP地址后,关闭该计算机校园网络连接,通知使用者及所属部门进行处理。
(2)如果攻击源来自学校内办公电脑,电脑使用者需清除病毒、恶意程序、木马程序或重装操作系统,运行24小时以上没有问题后提出联网申请,智慧校园中心测试无问题后再接入校园网。
(3)如果查明是学校内人员主观恶意网络攻击,应急办视情节轻重,提交学校安保处按学校规定进行处理,涉嫌触犯法律的移送公安机关依法处理。
5.1.3 网络系统漏洞应急处置
(1)智慧校园中心接到系统漏洞通报或定期扫描检查发现高危系统漏洞后,组织相关技术人员进行研究分析,制定解决方案。
(2)需要在核心网络设备和服务器进行封闭协议及端口、停止服务的操作,由智慧校园中心在24小时内完成处理。
(3)需要通过更新操作系统补丁的操作由智慧校园中心协助使用部门尽快完成。
(4)需要应用软件进行升级更新处理的,智慧校园中心通知使用部门联系软件厂商及时完成处理,在没有处理完成前关闭服务器外网访问。
(5)需要在办公电脑进行升级补丁的,由智慧校园中心在校园网及时发布漏洞情况和处理步骤的通知,各单位(部门)组织进行升级维护工作。
5.1.4 计算机病毒应急处置
(1)各单位(部门)信息安全员发现计算机感染病毒后,应立即将感染病毒的办公电脑断网,在病毒彻底清除干净前禁止连接到网络,并对该设备的硬盘进行数据备份。启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
(2)如果感染病毒的设备是服务器,并且反病毒软件无法清除该病毒,信息安全员应立即联系有关产品厂商研究解决并上报本部门负责人和智慧校园中心负责人。智慧校园中心负责人组织相关技术人员研究采取恢复备份等措施,并立即告知各相关单位(部门)做好相应的清查工作。
5.2 互联网舆情负面信息
由于学校对校园网以外的互联网舆情负面信息没有直接处理权限,要按以下流程应急响应。
5.2.1 宣传部负责指定专人进行互联网舆情监测,每日定时搜索、收集负面舆情信息,重要敏感时期提高每日搜索次数。突发事件发生后,立刻向领导小组报告,并组织人员24小时收集信息,做到第一时间监测、收集、研判舆情发展走向,及时上报舆情动态。舆情监测及信息收集人员要及时监看网络、广播、电视、报刊等媒体,实时收集核查信息来源、扩散情况(转载转播频率、点击率、收视率)等相关指标,跟踪掌握舆情发展、衍变、处置成效等情况,为领导小组提供参考意见。
5.2.2 在处置负面舆情信息时,坚决维护党和国家权威,维护社会稳定,维护学校形象。应急响应工作办公室负责及时展开事件调查,快速形成报告,为澄清事实、消除影响提供有力证据。针对调查情况,及时研究并向领导小组提出事件应急处置的对策和建议。由领导小组根据事件性质及严重程度决定是否向上级主管部门报告、请求支援、删除网上负面信息。
5.2.3 充分发挥团结协作精神,上下沟通、左右协调,步调统一、各司其职,形成强大的工作合力。实事求是、循序渐进地发布信息,统一发布口径,报请领导小组审定,根据事件性质和演变情况决定是否组织新闻发布会。宣传部负责组织做好相关网络、报刊、广播、电视等媒体的联络沟通及接待工作。如校园内发生网络与信息安全事件,需进行信息发布与新闻报道的,参考上述办法。
6后期处置及保障
6.1 后期处置
6.1.1 重大以上网络与信息安全事件处置工作结束后,调查与评估工作按照《江苏省教育系统网络安全事件应急预案》执行。较大网络安全事件处置工作结束后,领导小组组织开展调查处理和总结评估工作,并将调查评估结果上报省教育网络安全应急办。一般网络安全事件由应急办组织开展调查处理和总结评估工作,并向领导小组汇报,报告要素:事件发生时间、地点、原因、信息来源,事件类型、性质、危害及损失程度,事件发展趋势、采取处置措施等。
6.1.2 学校对网络与信息安全应急处置工作中做出突出贡献的集体和个人给予表彰和奖励;对迟报、谎报、瞒报和漏报网络与信息安全事件重要情况或者在应急处置工作中有其他失职、渎职行为的,要追究相关责任人的责任;构成犯罪的,依法追究刑事责任。
6.2 工作保障
6.2.1 制度保障。建立健全网络与信息安全事件应急工作机制,按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,把网络与信息安全应急工作责任落实到具体部门、具体岗位和个人。
6.2.2 技术保障。不断加强学校网络与信息安全应急技术支撑队伍建设和网络安全物资保障,做好网络与信息安全事件的监测、防御、应急处置及应急技术支撑工作。
6.2.3组织保障。定期组织网络与信息安全知识培训,加强网络与信息安全事件应急预案的学习与应急演练,提高网络与信息安全管理和技术人员的防范意识、安全技能及应急处理能力。
6.2.4 经费保障。学校为网络与信息安全应急工作提供必要的经费保障,用于支持网络与信息安全应急技术支撑队伍建设、监测预警、宣传教育、培训演练、物资保障等工作的开展。
7 附则
7.1 本预案由网络与信息安全工作领导小组应急响应工作办公室负责解释。
7.2 本预案自发布之日起实施。
附件:6163银河.net163.am网络与信息安全事件应急处置流程图
