为提高我校应对网络安全事件的处置能力,规范网络安全事件处置流程,预防和减少网络安全事件造成的损失和危害,维护国家安全、公共安全、学校安全和稳定,确保校园网络与信息系统正常运行,特制定网络安全事件应急预案。
一、适用范围
本预案所指网络安全事件是指由于人为原因、软硬件缺陷或
故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,
对社会造成负面影响的事件,可分为有害程序事件、网络攻击事
件、信息破坏事件、设备设施故障、灾害性事件和其他事件。
本预案适用于全校范围内的网络安全应对事件。
二、工作原则
1统一领导,快速反应
校园网络与信息安全工作应急处置领导小组统一领导、协调全校网络安全事件应急处置工作,负责应急工作的日常管理,建立健全应急反应机制,提前预防,及时报告,紧密衔接,迅速处理,将事态影响减至最小。
2自建自管,各负其责
学校各单位要按照“谁主管、谁主办、谁负责”的原则,加强对建立本单位所属的网络与信息的安全管理。强化单位主要领导对网络安全事件的处置职责。
3依法处置,预防为先
在处置网络全突发事件中,要根据实际,合情合理,依法办事,维护师生合法权益,防止事态扩大激化。要坚持提前防范,及时排查,争取早发现早报告早解决,化解风险,减少不良影响。
三、网络安全事件分类分级
1事件分类
本预案所指网络安全事件分为以下三大类:软件系统类事件、信息安全类事件和设备设施故障类事件。
软件系统类事件包括两种:(1)有害程序。分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。(2)网络攻击。分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
信息安全类事件包括两种:(1)信息破坏。分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。(2)信息内容安全。是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害校园安全、学校稳定和师生权益的事件。
设备设施故障类事件包括:软硬件自身故障、外围保障设施故障、人为破坏事故和自然灾害等引发的其他设备设施故障。
2事件分级
网络安全事件根据其危害程度分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。
特别重大(Ⅰ级):(1)用于社会服务的重要信息系统中断运行2小时以上、影响人数1万人以上,并造成了重大社会影响。(2)校内信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全、社会稳定构成严重威胁。(3)利用校园网传播重要涉密信息、反动信息、煽动性信息、谣言等情况,可能泄露国家机密,对国家安全、社会稳定构成严重危害,或引发学校大规模突发群体事件,对学校的安全稳定和正常秩序构成特别严重影响、教育教学活动无法正常进行,师生反映强烈并有过激行为的事件。
重大(Ⅱ级):(1)校内信息系统中断运行2小时以上、影响人数1万人以上。(2)校内信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成一定威胁,对学校稳定和社会形象构成重大影响。(3)利用校园网传播重要涉密信息、反动信息、煽动性信息、谣言等情况,对国家安全、社会稳定构成较大危害,可能泄露学校机密,或引发学校突发性群体事件,对学校安全稳定和正常秩序构成严重影响,师生反映强烈的事件。
较大(Ⅲ级):(1)校内信息系统中断运行30分钟以上,影响人数5000人以上。(2)校内信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全、社会稳定构成一定危害,或对学校安全稳定构成较大威胁,对学校的社会形象形成较大影响。(3)利用校园网传播涉密信息、反动信息、煽动性信息、谣言等情况,对国家安全、社会稳定构成一定危害,或对学校安全稳定构成较大危害,对学校正常秩序产生较大影响,引起师生员工广泛关注的事件。
一般(Ⅳ级):某一局部网络或信息系统受到一定程度损坏,对学校安全稳定、正常秩序构成一定威胁、对师生权益造成危害和影响,但不危及学校整体工作的安全事件。
四、应急组织领导体系与职责
1组织机构
校园网络与信息安全工作应急处置领导小组
组长:分管副校长
成员:宣传部、校办、现代教育技术中心、新闻中心、学生处、团委、保卫处等部门的主要负责人。
2职责及任务
(1)校园网络与信息安全工作应急处置领导小组:统一领导和协调我校网络安全事件的预防和处置,协调和督查有关部门、学院对网络安全事件的预防和处置工作。研究确定事件的性质、类型和级别,下达应急处置任务。向上级部门报送有关事件的处置信息。
(2)校长办公室:组织协调有关部门查处利用计算机网络泄密的违法行为;牵头组织重大敏感时期、重要活动、重要会议期间发生的信息安全事件的协调处置。
(3)现代教育技术中心:负责网络安全工作的组织、协调和监督,制定相关制度和应急预案;根据校内发生的网络安全事件程度提出相应级别预案的启动,组织协调各单位落实应急预案,共同做好处置工作;负责校园基础网络系统安全,保证校园网络服务不中断;负责计算机病毒疫情和大规模网络攻击事件的处置;负责全校网络安全事件处置的技术支持工作;负责及时收集、通报和上报网络安全事件处置的有关情况;与省教育系统网络安全监测平台对接,接收上级网络安全主管部门的预警信息,共享监测预警数据。
(4)宣传部(新闻中心):负责学校舆情监测工作;对外发布安全事件处置情况。
(5)学生处、团委:对于涉及师生政治思想方面的预警性、倾向性、苗头性的问题加强分析研判,制订工作方案,并妥善有效应对。
(6)保卫处:密切联系公安部门,配合做好网络安全事件的处置工作。
(7)各单位:负责本单位内部的网络安全管理和突发事件应急处置工作,对照本预案,建立本部门应急处置机制。
五、监测与预警
1预警分级
网络安全事件预警等级分为四级,由高到低依次用红色、橙色、黄色、蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。
2预警监测、研判和发布
建立网络安全监测平台,开展网络安全的宏观监测。对监测信息进行研判,对发生网络安全事件的可能性及其可能造成的影响进行分析评估,认为需要立即采取防范措施的,应及时通知有关单位;对可能发生较大及以上网络安全事件的信息,应及时向当地网信办和上级教育行政部门报告。
预警信息包括预警级别、起始时间、可能影响范围、警示事项、应采取的措施、完成时限和发布机关等。对达不到预警级别但又需要发布警示信息的,可发布风险提示信息。
3预警响应与解除
(1)红色及橙色预警响应
在校园网络与信息安全工作应急处置领导小组的领导下,现代教育技术中心组织预警响应工作,启动应急预案,协调调度各方资源,做好应对准备,重要情况及时报省网络安全应急办。
各单位组织跟踪和分析研判,密切关注事态发展,做好监测分析和信息搜集工作;开展应急处置或准备、风险评估;密切关注舆情动态,加强教育引导,采取有效措施管控风险。
学校网络安全主管部门实行24小时值守,相关人员保持通信联络畅通,每日向当地网信办和上级教育行政部门报告一次工作进展。
网络安全管理及技术支撑部门进入待命状态,研究制定应对方案,检查设备、软件工具等,时刻处于待命状态。
(2)黄色预警响应
在校园网络与信息安全工作应急处置领导小组的领导下,现代教育技术中心组织预警响应工作,联系有关部门、专业机构和专家,组织对事态发展情况进行跟踪研判,协调资源调度和部门联动的各项准备工作。
学校网络安全主管部门实行24小时值守,相关人员保持通信联络畅通,密切关注事态发展,重要情况及时报当地网信办和上级教育行政部门。
相关应急技术支撑队伍保持联络畅通,检查应急设备、软件工具等,确保处于良好状态。
(3)蓝色预警响应
启动相应应急预案,组织开展预警响应工作。
(4)预警解除
预警发布部门根据实际情况,确定是否解除预警,及时发布预警解除信息。
4预防措施
全校各单位严格执行校园网络与信息系统安全的各项规章制度,做好网络安全事件的隐患排查工作,按照要求对本部门所负责管理的校园网络通信平台、应用平台和信息系统做好日常管理,避免和减少网络安全事件的发生和危害。具体预防措施包括:
(1)加强教育引导。加强对师生的思想教育工作,掌握舆情动态。按照早发现、早报告、早控制、早解决的要求,把问题解决在萌芽状态,化解和控制风险。
(2)完善应急管理制度。制定和落实本单位所属的网络管理、机房和配线间管理、信息安全和保密相关制度,指定专门的网络与信息管理员,提高有关人员的责任意识、安全意识和技术水平。
(3)加强技术防范措施。定期对校园网各关键设备和配线间进行巡查,建立校园网基础设施的安全保护制度。工程施工须按校园管网线路图纸操作,或经由学校网络管理部门许可。未经许可不得直接切割或改动网络线路和设备。对破坏网络线路、设备和机房、配线间的行为,要建立责任追究制度。
校园网出入口安装必要的监测系统,对校园网进行安全扫描。对全校公共服务器和各单位二级服务器,要根据系统的重要性和影响面,制定分级管理规范。加强对全校各信息系统的实时监测。
重要信息采用安全可靠的运行设备,使用成熟稳定的系统与应用软件,进行必要的数据备份,控制管理访问权限,遵守各项安全管理操作规范。各单位要有专人负责本单位网站、网页的域名管理、IP地址管理。
建立严格的信息发布审查和检查制度,有效阻止网络不良信息的传播。落实校级新闻的归口发布规定,各单位网站(页)的新闻与信息类栏目要有专人管理,先审后发。坚持用户实名注册制度。
5信息报送
最先发现或接到发生网络与信息安全事件的单位或个人,要第一时间向现代教育技术中心报告,重要情况直接向校园网络与信息安全工作应急处置领导小组报告。报告内容包括事件的时间、地点、规模、涉及人员和损失情况,事件的危害影响程度和发展趋势等基本情况。
六、应急处置
1预案启动
发生校园网络与信息安全事件后,现代教育技术中心和突发安全事件的信息系统建管部门应尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围,评估事件带来的影响和损害,确认突发事件的类别和等级,并参照下述响应机制对突发事件进行处置。
2应急响应措施
I级响应措施:(1)校园网络与信息安全事件应急处置工作领导小组成员立即到位,迅速向主要校领导汇报情况,研究对策,协调部署应对工作,同时向上级部门报送信息。(2)领导小组各成员单位进入紧急状态,各部门按领导小组要求开展工作,采用各种手段迅速处置,控制事态防止扩大。各部门主要负责人保持通讯24小时畅通,办公室安排人员值班。校园网络与信息安全事件应急处置工作小组及时监控事态进展,从技术手段保证尽快消除影响,系统恢复正常。(3)必要时,领导小组在第一时间向校内外公开通报处理过程及结果,引导正确舆论,平息师生情绪。(4)各有关部门在应急处置过程中,要做好工作记录,尽可能保留相关证据。对于人为破坏的违法行为,将配合公安司法机关依法处理。
Ⅱ级响应措施:(1)校园网络与信息安全事件应急处置工作小组负责人立即到位,向校园网络与信息安全事件应急处置工作领导小组汇报情况。领导小组迅速研究制定对策,指导各部门开展应急处置工作,必要时向上级部门报送信息。(2)各部门按领导小组要求开展工作,采用各种手段进行处置,防止事态扩大。各部门主要负责人保持通讯畅通。校园网络与信息安全事件应急处置工作小组及时监控事态进展,从技术手段保证尽快消除影响,系统恢复正常。(3)必要时,校园网络与信息安全事件应急处置工作小组及时通过学校新闻中心,公开通报处理过程及结果,引导正确舆论。(4)各有关部门在应急处置过程中,要做好工作记录,尽可能保留相关证据。对于人为破坏的违法行为,将配合公安司法机关依法处理。
Ⅲ级响应措施:(1)校园网络与信息安全事件应急处置工作小组负责人立即到位,迅速研究制定对策,通报和协调相关各部门开展应急处置工作,及时监控事态进展,并向校园网络与信息安全事件应急处置工作领导小组汇报处置情况。(2)相关部门及时进行处置,防止事态扩大。现代教育技术中心从技术上进行指导,保证尽快消除影响,系统恢复正常。(3)必要时,校园网络与信息安全事件应急处置工作小组及时通过学校新闻中心,公开通报处理过程及结果,引导正确舆论。(4)各有关部门在应急处置过程中,要做好工作记录,尽可能保留相关证据,并按规定追究相应责任。
Ⅳ级响应措施:(1)现代教育技术中心及时通报和协调相关部门开展应急处置工作,及时监控事态进展,必要时向校园网络与信息安全事件应急处置工作领导小组汇报事件基本情况。(2)相关部门及时进行处置,防止事态扩大。现代教育技术中心从技术上进行指导,保证尽快消除影响,系统恢复正常。(3)各有关部门在应急处置过程中,要做好工作记录,尽可能保留相关证据,并按规定追究相应责任。
3应急处理方式
设备故障事件:判断故障发生点和故障原因,及时通知设施设备所属单位。设施设备所属单位根据故障原因和性质,组织抢修,优先保证校园网主干网络和主要应用系统的运转。对于人为破坏导致的设施设备故障,要按规定追究相关责任。
网络攻击事件:判断攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质采取以下方案:
(1)病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助,寻找并公布病毒攻击信息,以及杀毒、防御方法。
(2)外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外网入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和影响。
(3)内部入侵:查清入侵来源,如IP地址、所在办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。
信息内容安全事件:接到校内网站出现不良信息的报案后,应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息的传播,根据网站相关日志记录查找信息发布人并做好善后处理;对公安机关要求我校协查的外网不良信息事件,根据校园网上网相关记录查找信息发布人。
软件系统类事件:暂停该系统服务,并联系软件所属单位,由其联系厂商技术人员采取措施及时处理,并记录处理步骤和结果,保留相关证据材料,必要时要追究相关当事人责任。
灾害性事件:根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
其它不确定安全事件:可根据总的安全原则,结合具体情况,做出相应处理。不能处理的及时咨询信息安全公司或顾问。
4后续处置
安全事件进行最初的应急处置后,应及时采取行动,抑制其影响进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。安全事件被抑制后,通过对有关事件或行为的分析结果,找出问题根源,明确相应补救措施并彻底清除。在确保安全事件解决后,要及时清理系统,恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。
5事件上报
网络安全事件发生时,应及时向学校领导和学校网络与信息安全工作领导小组汇报,并在事件处置工作中作好完整的过程记录,及时报告处置工作进展情况,保存各相关系统日志,直至处置工作结束。
事件报告信息需包括以下要素:报告时间、单位、报告人及联系方式,发生事件的网络与信息系统名称及运营使用管理单位、简要过程、采取的措施与效果等。《网络安全事件情况报告》样式详见附件1。
七、保障措施
网络安全应急处置是一项长期的、随时可能发生的工作,必须做好各项应急保障工作。
1技术支持队伍
加强技术队伍建设,不断提高工作人员的信息安全防范意识和技术水平,确保校园网公共服务符合技术标准和管理规范。通过技术培训、研讨、承担科研任务等方式不断提高技术人员的业务水平,为校园网络和信息的安全保障提供强大技术支撑。
各单位要培养负责本单位网络和信息安全管理的技术人员,加强与现代教育技术中心的业务联系和交流。现代教育技术中心通过培训、讲座、报告等方式加强对二级单位技术人员的业务指导。
2信息报送机制
加强信息报送机制建设,以各单位网络信息管理员报送为主,同时拓宽信息收集渠道,倡导师生参与网络与信息安全事件的信息报告和监督,保证事件的早报告早处理。各部门要及时收集、分析和评估所属网络和信息方面的信息情报,努力将隐患减至最小。
3资金保障
根据校园网络安全预防和应急处置工作的实际需要,申报网络与信息系统关键设备及软件的运行维护专项资金,学校从技术和管理上为日常管理和事件应急工作提供经费支持。
4宣传、培训与演练
利用适当时机,现代教育技术中心定期对相关工作人员进行网络与信息系统安全知识培训,加强网络与信息安全的法律法规、新闻动态和知识技能的宣传教育,提高师生的网络与信息安全意识和应对水平。
学校各单位要将网络安全事件的应急知识列为管理干部和有关人员的培训内容,加强网络安全特别是网络安全应急预案的培训,提高防范意识和技能。每年组织至少一次的安全培训和针对不同级别安全事件的预案演练,并将演练情况报告校园网络与信息安全工作应急处置领导小组。
5重要时期预防措施
在国家和我省重大活动、重要会议、招生录取期间,各单位要加强网络安全事件的防范和应急响应。学校将会同有关部门,加强网络安全监测和分析研判,及时预警可能造成重大影响的风险和隐患,重点部门、重点岗位保持24小时值班,制定专门的应急预案,及时发现和处置网络安全事件和隐患。
八、附则
本预案自发布之日起实施,由校园网络与信息安全工作应急处置领导小组负责解释。
附件1
网络安全事件情况报告
单位名称:(需加盖公章)事发时间:年月日分
联系人姓名 |
|
手机 |
|
|
电子邮箱 |
|
|
事件分类 |
□有害程序事件□网络攻击事件 □信息破坏事件□设备设施故障 □灾害事件□其他 |
|
事件分级 |
□一般网络安全事件□较大网络安全事件 □重大大网络安全事件□不能判定等级 |
|
事件概况 |
|
|
信息系统基本情况(如涉及请填写) |
1.系统名称: 2.系统网址和IP地址: 3.系统主管单位/部门: 4.系统运维单位/部门: 5.系统使用单位/部门: 6.系统主要用途: 7.是否定级□是□否,所定级别: 8.是否备案□是□否,备案号: 9.是否测评□是□否 10.是否整改□是□否 |
|
事件发现与处置的简要经过 |
|
事件初步估计的危害和影响 |
|
事件原因的 初步分析 |
|
已采取的应急 措施 |
|
是否需要应急支援及需支援事项 |
|
网络安全分管 负责人意见 (签字) |
|
主要负责人意见(签字) |
|
|
|
|
|
|
|
附件2
网络安全事件整改报告
单位名称:(需加盖公章)报告事件:年月日
联系人姓名 |
|
手机 |
|
|
电子邮箱 |
|
|
事件分类 |
□有害程序事件□网络攻击事件 □信息破坏事件□设备设施故障 □灾害事件□其他 |
|
事件分级 |
□I级□II级□Ⅲ级□IV级 |
|
事件概况 |
|
|
信息系统基本情况(如涉及请填写) |
1.系统名称: 2.系统网址和IP地址: 3.系统主管单位/部门: 4.系统运维单位/部门: 5.系统使用单位/部门: 6.系统主要用途: 7.是否定级□是□否,所定级别: 8.是否备案□是□否,备案号: 9.是否测评□是□否 10.是否整改□是□否 |
|
事件发生的最终判定原因(可加页附文字、图片及其他说明) |
|
事件的影响及 恢复情况 |
|
事件的安全 整改措施 |
|
存在问题与建议 |
|
网络安全分管 负责人意见 (签字) |
|
单位主要负责人意见(签字) |
|
|
|
|
|
|
|
附件3
网络安全事件分类
网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。
(1)有害程序事件分为蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
(7)其他事件是指不能归为以上分类的网络安全事件。
附件4
名词术语
一、重要网络与信息系统
所承载的业务与国家安全、社会秩序、经济建设、公众利益密切相关的网络和信息系统。
(参考依据:《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007))
二、重要敏感信息
不涉及国家秘密,但与国家安全、经济发展、社会稳定以及企业和公众利益密切相关的信息,这些信息一旦未经授权披露、丢失、滥用、篡改或销毁,可能造成以下后果:
a)损害国防、国际关系;
b)损害国家财产、公共利益以及个人财产或人身安全;
c)影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等;
d)影响行政机关依法调查处理违法、渎职行为,或涉嫌违法、渎职行为;
e)干扰政府部门依法公正地开展监督、管理、检查、审计等行政活动,妨碍政府部门履行职责;
f)危害国家关键基础设施、政府信息系统安全;
g)影响市场秩序,造成不公平竞争,破坏市场规律;
h)可推论出国家秘密事项;
i)侵犯个人隐私、企业商业秘密和知识产权;
j)损害国家、企业、个人的其他利益和声誉。
(参考依据:《信息安全技术云计算服务安全指南》(GB/T31167-2014)。
