为提高我院网络与信息安全突发公共事件的应对能力,保障信息系统的实体安全、运行安全和数据安全,依据《中华人民共和国国家安全法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、教育部《关于加强教育行业网络与信息安全工作的指导意见》、《信息技术安全事件报告与处置流程(试行)》等规定,制定本预案。
一、工作原则
1. 积极防御,综合防范。立足安全防护,加强预警,抓好预防、监控、应急处理、应急保障等环节,在管理、技术、人才等方面,采取各种措施,充分发挥各方面作用,共同构筑学院网络与信息安全保障体系。
2. 明确责任,分级负责。按照“谁管理谁负责,谁运维谁负责”的原则,分级分类建立和完善安全责任制度、协调管理机制和联动机制。
3. 科学决策,快速反应。加强技术储备,规范应急处理措施和操作流程,网络与信息安全突发事件发生时,要快速反应,及时获取准确信息,跟踪研判,及时报告,果断决策,迅速处理,最大限度地减少危害和影响。
二、适用范围
本预案适用于我院发生的网络与信息安全突发事件和可能导致网络与信息安全突发事件的应急处置工作。
三、事件分类
1. 有害程序事件,指蓄意制造、传播有害程序,或是因受到有害程序的影响导致信息安全事件;
2. 网络攻击事件,指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷,对信息系统进行攻击;
3. 信息破坏事件,指通过网络或其他手段造成信息被篡改、假冒、泄露、窃取等而导致的信息破坏事件;
4. 信息内容安全事件,指利用信息网络发布、传播具有危害国家安全、社会稳定和公共利益内容的信息安全事件。
四、事件分级
(一)一般网络与信息安全事件(Ⅲ级)
有下列情形之一的,为一般网络与信息安全事件(Ⅲ级):
1.校园网主页或学院主流网络设备和服务器受到非法侵入;
2. 学院主页服务器、网络主要互联出口、校内主干网络中断甚至全部中断小于24小时(含);
3.其他对教育系统安全和稳定构成一定威胁,对学院教学、科研和生活秩序产生一定影响的网络与信息安全事件。
(二)较大网络与信息安全事件(Ⅱ级)
有下列情形之一的,为较大网络与信息安全事件(Ⅱ级):
1. 校园网、论坛、贴吧、QQ群中出现涉及学院安全稳定事件的焦点讨论并成为热点问题,对学院教学、科研和生活秩序产生一定影响,引起师生广泛关注的事件;
2. 校园网主页或学院主流网站上出现可能会影响稳定的苗头性信息;
3. 校园网主页或学院主流网站上出现恶意广告、非法宣传、淫秽等有害信息;
4. 学院信息系统中的数据丢失或被窃取、篡改、假冒,对学院安全和稳定构成威胁;
5. 校园网主页或学院主流网站主页服务器、网络主要互联出口、校内主干网络中断甚至全部中断超过24小时、小于48小时(含);
6. 其他对学院教学、科研和生活秩序造成较大影响,师生反应强烈的事件,以及对学院安全稳定构成较大威胁、造成重大影响的网络与信息安全事件。
(三)重大网络与信息安全事件(Ⅰ级)
符合下列情形之一的,为重大网络与信息安全事件(Ⅰ级):
1. 校园网、论坛、贴吧、QQ群中出现大面积的对学院安全和稳定构成特别严重危害,引发学院大规模突发事件的信息,对学院教学、科研和生活秩序产生严重影响,师生反应强烈;
2. 学院信息系统中的重要数据丢失或被窃取、篡改、假冒,对学院安全和稳定构成严重威胁;
3. 学院主页服务器、网络主要互联出口、校内主干网络中断甚至全部中断超过48小时;
4. 其他对学院安全稳定构成严重威胁、造成严重影响的网络信息安全事件。
五、监测预警
1. 预防。学院各部门要做好日常网络与信息安全管理工作,严格落实《安全责任清单》和保密要求,对可能引发网络与信息安全突发事件的危险源进行排查登记、风险评估,定期进行检查、监控,有针对性地采取安全防范措施;
2. 监测。学院安办、司法信息系、舆情监控小组及各部门,要加强对各类网络与信息安全突发事件和可能引发突发事件的有关信息的收集、分析、判断和持续监测,健全安全风险评估机制,定期对安全形势、突发事件可能发生发展的趋势进行预测分析和研判,并提出相应的防范措施。
3. 预警。落实工作责任制,按照“早发现、早报告、早处置”的原则,当发生或可能发生网络与信息安全突发事件时,事发部门或监测部门应立即向应急领导小组报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施建议等。
六、应急处置措施
网络与信息安全事件发生后,学院可采取以下应急处置措施:
1.当网络和信息系统运行安全因病毒攻击、非法入侵、系统崩溃等原因出现异常或瘫痪时,立即组织相关单位或人员采取技术措施,尽快恢复网络和信息系统的正常运行,必要时报请电信管理部门组织协调相关运营商给予支援,防止事件蔓延至其他网络系统,同时将突发事件有关情况向当地公安机关报告;
2.当网络信息内容出现危害国家安全、社会稳定及学院正常教学秩序的有害信息或其他不良信息时,应立即采取必要的管控措施,有效阻止网上有害或不良信息的传播,同时根据不同性质和情况,有针对性地开展教育引导工作;
3.全面了解网络和信息系统所受波及与影响,检查影响范围,跟踪事态发展,及时将处置进展情况上报;
4.应急处置过程中要及时调查取证,尽可能保留相关证据。对于人为破坏活动,应及时报请当地公安机关开展侦查和调查工作,并视情况依法依规处置。
5.应急处置结束后应对事件的处理过程予以总结,分析原因,提出改进建议等。
6. 法律、行政法规和规章规定的其他必要措施。
七、常见网络与信息安全突发事件应急处置流程
(一)网站、网页出现非法言论时的处置流程
1. 网站、网页由主办部门负责随时密切监视信息内容;
2. 发现网上出现非法信息时,司法信息管理系派专人处理,作好必要记录,清除非法信息,确认后,再重新启动网站;
3. 服务器责任人妥善保存有关记录及日志;
4. 信息安全员通过技术手段追查非法信息来源;
5. 如果非法信息不能自行处理或属严重事件的,应保留记录资料并立即向公安部门报警。
(二)黑客攻击的紧急处置流程
1. 当发现网页内容被篡改或通过入侵检测系统发现网络正被攻击时,应立即将被攻击的服务器等设备从网络中隔离出来,保护现场并立刻向领导通报情况;
2. 进行被攻击、破坏系统的恢复、重建工作;
3. 追查非法来源;
4. 如果不能自行处理或属严重事件的,应保留记录资料并立即向公安部门报警。
(三)病毒安全紧急处置流程
1. 当发现计算机被感染上病毒后,将该机从网络上隔离开来;
2. 对该设备的硬盘进行数据备份;
3. 启用杀病毒软件对该机器进行杀毒处理工作;
4. 如果现行反病毒软件无法清除该病毒,在确认数据完全备份后,征求使用人同意重装系统。
(四)软件系统遭破坏性攻击的紧急处置流程
1. 重要的软件平时做好备份,并存于不同存储服务器;
2. 一旦软件遭到破坏性攻击,应及时采取相应措施减少或降低损害,并立刻向领导报告;
4. 网络安全人员检查日志等资料,确定攻击来源;
5. 事态严重,应保留记录资料并立即向公安部门报警。
(五)数据库安全紧急处置流程
1. 主要数据库系统应做双机热备设置,至少准备两个以上数据库备份;
2. 一旦数据库崩溃,应立即启动备用系统,并立刻向领导报告;
3. 在备用系统运行的同时,应对主机系统进行修复工作;
4. 如果两套系统均崩溃,信息安全小组人员应立即向软硬件提供商请求支援;
5. 系统修复启动后,将数据库备份取出,按照要求将其恢复到主机系统中;
6. 如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
(六)广域网线路中断紧急处置流程
1.广域网线路中断后,应立即启动线路接续工作,同时向领导报告;
2.迅速判断故障节点,查明故障原因及时恢复网络;
3.如故障节点属电信部门管辖范围,立即与电信维护部门联系,要求修复;
4.如故障节点属学院管辖范围,立即组织人员进行修复。
(七)局域网中断紧急处置流程
1.配置好备用网络设备,存放在指定的地方。
2.局域网中断后,网络维护人员应立即判断故障节点,查明原因;
3. 如属线路故障,应重新安装线路;
4. 如属路由器、交换机等网络设备硬件故障,应立即使用备用设备,并调试通畅;
5. 如属路由器、交换机配置文件破坏等软件故障,应迅速按照要求重新导入备份配置;
6. 向上级领导汇报处理情况。
(八)设备安全紧急处置流程
1. 服务器关键设备损坏后,应及时向领导报告;
2. 如果能够自行恢复,应立即使用备用部件更换受损部件;
3. 如不能自行恢复的,立即与设备提供商联系,请求前来维修。
(九)电源中断后的处置流程
1. 停电发生后,由UPS供电,密切监察UPS工作状况;
2. 当UPS供电不足时,应按预先设定的顺序逐个关掉网络设备和服务器的服务程序和电源,向上级领导汇报处理情况。
八、网络与信息安全类突发事件应急响应流程(见下图)