为了切实做好学校网络与信息安全突发事件的防范和应急处理工作,进一步提高我校预防和控制网络与信息安全突发事件的能力和水平,尽可能减轻或消除突发事件的危害和影响,确保校园网络与信息安全,结合我校工作实际,制定本预案。
第一章总则
第一条 突发安全事件:是指影响或破坏网络运行及网络信息安全的事件,可分为校园网络安全事件和网络信息安全事件两类,校园网络安全事件主要指校园网络实体中线路、网络设备、服务器设备等出现的被病毒或恶意攻击等造成的安全事件;网络信息安全事件主要指校园网络中各信息服务设备中出现的信息安全事件,如非法信息、泄密事件等以及《华北水利水电大学网络信息安全管理规定》中指出的相关事件。
第二条 指导思想:以党的十八大精神为指导,不断强化政治意识、大局意识、责任意识、安全意识,高度重视网络与信息安全,加强日常管理,做好信息服务工作,以正确的舆论引导人、健康有益的信息影响人,提高警惕,严密防范,预防有害信息在校园的传播,及时妥善地处置影响校园网络与信息安全的突发事件,为保证和维护校园稳定提供可靠的信息保证和良好的舆论环境。
第三条本预案适用范围:我校校园网运行及网络信息方面发生的有可能影响学校、社会和国家安全稳定的紧急事件;由于其他重大事件的发生影响到我校校园网正常运行或校园网络信息安全,并由此可能影响到学校、社会、国家安全稳定的事件。
第四条紧急事件应急处置工作原则:统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。
第五条预案制定依据:《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《计算机信息网络国际联网管理暂行规定》、《关于成立中共华北水利水电大学委员会网络安全和信息化领导小组的通知》(华水党〔2017〕45号)、《华北水利水电大学计算机网络用户管理规定》、《华北水利水电大学校园网管理规定》等文件。
第二章 组织机构和职责任务
第六条 学校成立“中共华北水利水电大学委员会网络安全和信息化领导小组”, 在校党委和行政的指导下全面负责和统一指挥校园网络与信息安全重大突发事件的应急处置工作。
第七条 现代教育技术中心作为学校信息化建设的主管部门,对学校的信息安全工作进行全面的分析研究,制定工作方案,提供人员和物资保证,指导和协调校内各单位实施信息安全工作预案,负责校园主干网络与主要信息系统安全事件的预防、监测、报告和应急处置,负责对学校其他部门主管的网络信息系统的安全防护情况进行日常检查、指导和督促,必要时协助相关主管部门完成突发事件的技术处理。
第三章 网络与信息安全事件分类分级
第八条网络与信息安全事件分类
网络与信息安全突发事件依据发生过程、性质和特征的不同,可分为以下四类:
1、网络攻击事件:校园网络与信息系统因病毒感染、非法入侵等造成学校网站或部门二级网站主页被恶意篡改,应用系统数据被拷贝、篡改、删除等。
2、设备故障事件:校园网络与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等。
3、灾害性事件:因洪水、火灾、雷击、地震、台风、非正常停电等外力因素导致网络与信息系统损毁,造成业务中断、系统宕机、网络瘫痪等。
4、信息内容安全事件:利用校园网络在校内外传播法律法规禁止的信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益等。
第九条网络与信息安全分级
网络与信息安全突发事件依据可控性、严重程度和影响范围的不同,可分为以下四级:
I级(特别重大):学校网络与信息系统发生全校性大规模瘫痪,对学校正常工作造成特别严重损害,且事态发展超出学校控制能力的安全事件;
II级(重大):学校网络与信息系统造成全校性瘫痪,对学校正常工作造成严重损害,事态发展超出现代教育技术中心控制能力,需学校各部门协同处置的安全事件;
III级(较大):学校某一区域的网络与信息系统瘫痪,对学校正常工作造成一定损害,现代教育技术中心可自行处理的安全事件;
IV级(一般):某一局部网络或信息系统受到一定程度损坏,对学校某些工作有一定影响,但不危及学校整体工作的安全事件。
第四章 处置措施和处置程序
第十条处置措施
突发性事件发生后,立即启动应急预案,进入应急处置程序,判定事件严重程度级别,并立即向相关部门报告,在处置过程中,应及时报告处置工作进展情况,直至处置工作结束。
第十一条处置程序
(一)发现情况
现代教育技术中心以及其他拥有自有机房、信息应用系统等的各单位、部门,要严格执行值班制度,做好网络与信息系统安全的日常巡查及其日志维护等工作,以保障在最短时间内发现危及网络与信息安全的突发性事件并启动应急处理工作。
图1 突发事件发现流程
(二)预案启动
一旦危及网络与信息安全的突发性事件发生,现代教育技术中心和突发安全事件的信息系统建管部门应尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围,评估事件带来的影响和损害,确认突发事件的类别和等级,并参照下述应急响应对突发事件进行处置。
(三)应急响应
1、应急响应机制
III级或IV级突发事件响应:现代教育技术中心和突发安全事件的信息系统建管部门自行负责应急处置工作,有关情况报分管校领导。
II级突发事件响应:现代教育技术中心立即上报分管校领导和中共华北水利水电大学委员会网络安全和信息化领导小组,由领导小组统一组织、协调指挥进行应急处置。
I级突发事件响应:现代教育技术中心立即上报分管校领导和中共华北水利水电大学委员会网络安全和信息化领导小组,领导小组再上报至省教育厅、市公安局等相关部门,由省、市相关部门会同我校网络安全和信息化领导小组统一组织、协调指挥应急处置。
图2 突发事件处理流程
2、应急处理方式
根据网络与信息安全事件分类采取不同应急处置方式。
(1)网络攻击事件:判断攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质采取以下方案:
病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助,寻找并公布病毒攻击信息,以及杀毒、防御方法等。
外部入侵:判断入侵的来源,区分外网与内网,评估入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评估威胁很小的外网入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和影响。
内部入侵:查清入侵来源,如IP地址、所在办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。
(2)设备故障事件:判断故障发生点和故障原因,尽快抢修故障设备,优先保证校园网主干网络和主要应用系统的运转。
(3)灾害性事件:根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。
(4)信息内容安全事件:接到校内网站出现不良信息的报告后,应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息的传播,根据网站相关日志记录查找信息发布人并做好善后处理;对公安机关要求我校协查的外网不良信息事件,根据校园网上网相关记录查找信息发布人。
(5)其它不确定安全事件:可根据总的安全原则,结合具体情况,做出相应处理。不能处理的及时咨询信息安全公司或顾问。
(四)后续处理
1、安全事件进行最初的应急处置后,应及时采取行动,抑制其影响进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。
2、安全事件被抑制后,通过对有关事件或行为的分析,找出问题根源,明确相应补救措施并彻底清除。
3、在确保安全事件解决后,要及时清理系统,恢复数据、程序、服务。
(五)事件总结、上报
事件处理结束后,应当做出相应的总结,内容包括:事件发生的时间、地点、原因、严重程度、造成的后果、处置的过程、结果、以及以后防范类似事件发生的建议与方案等,并报学校相关部门。
(六)预案终止
经专家鉴定,事件已经得到完全处理后,由“华北水利水电大学计算机信息系统安全领导小组”宣布应急期结束,并予以公告,同时终止应急工作预案。
第五章 保障措施
突发事件应急处置是一项长期的、持续的工作,不能随每次事件的发生而开始和结束,必须随时做好应急处理的准备。
第十二条人员保障
现代教育技术中心以及其他拥有自有机房、信息应用系统等的各单位、部门,应该保证有专人负责网络与信息系统的日常安全检查和维护工作。
第十三条技术保障
重视网络与信息技术的建设和升级换代,确保网络与信息系统日常的正常、安全运行,也为突发事件的应急处理提供的相应技术支撑。
第十四条物资保障
学校要根据网络与信息系统安全防治工作的开展情况以及网络与信息系统安全发展趋势,及时购置添加相应的设备和应急设施,建立应急物资储备制度,在确保网络与信息系统日常运行安全的同时,也确保突发事件应急处置工作的顺利进行。
第十五条训练和演练
加强校园网用户网络与信息安全教育,提高安全防范意识,有针对性地开展应急事件处理过程演练,确保突发事件发生后应急处置程序的有效。
第六章 附则
第十六条本预案由华北水利水电大学信息化办公室负责解释。
第十七条本预案自发布之日起施行。
华北水利水电大学信息化办公室
2017年9月8日
