校党字〔2016〕77号
一、总则
(一)目的
为科学应对网络与信息安全突发事件,建立健全网络与信息安全的应急响应机制,有效预防、及时控制和最大限度地消除各类网络与信息安全突发事件的危害和影响,结合必赢官网实际,制定本应急预案。
(二)编制依据
根据GB/T19716-2005《信息技术—信息安全管理实用规则》、GB/T20269-2006《信息安全技术—信息系统安全管理要求》、GB/T20270-2006《信息安全技术—网络基础安全技术要求》、GB/Z20986-2007《信息安全技术—信息安全事件分类分级指南》、《中华人民共和国计算机信息系统安全保护条例》、《必赢线路检测中心突发公共事件应急预案》等有关标准和规定,制定本预案。
二、应急组织机构及职责
(一)组织机构
成立校网络与信息安全突发事件应急领导小组(以下简称“领导小组”),负责领导、组织和协调全校网络与信息安全突发事件的应急处理工作。
组长:程曦
副组长:许雪峰、陈桂林
成员:汪才明、李庆宏、江文贵、林玉标、蔡华、
杨立江
(二)职责及任务
校网络与信息安全突发事件应急领导小组的职责及任务包括:
1.负责编制应急预案,并根据应急力量变更、技术发展等情况,配合相关法律法规,适时修订应急预案。
2.组织开展网络与信息安全教育,定期组织网络与信息安全应急演练。
3.突发事件发生时,负责启动应急预案,决定是否上报上级部门,决定事件信息公开的方式和时机,根据需要组织校外专家增援,对于超出界定的突发事件提出紧急补救措施。
4.突发事件处理结束后,协调解决故障现场的恢复工作,组织研判事件的发生原因、影响和后果,对各有关单位在突发事件处置工作中的履职情况进行评价,总结经验教训,改进和完善预案,存档事件处理过程相关资料。
三、网络与信息安全事件分类分级
(一)网络与信息安全事件分类
参照《信息安全技术—信息安全事件分类分级指南》,依据发生过程、性质和特征的不同,分为以下七类:
1.有害程序事件
有害程序事件包括计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合攻击事件、网页内嵌恶意代码事件和其他有害程序事件等。
2.网络攻击事件
网络攻击事件包括拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、网络干扰和其他网络攻击等。
3.信息破坏事件
信息破坏事件包括信息篡改、信息假冒、信息泄露、信息窃听、信息丢失和其他信息破坏等。
4.信息内容安全事件
信息内容安全事件包括利用信息网络发布、传播危害国家安全、社会稳定、公共利益、学校利益、师生利益等内容的事件。
5.设备设施故障事件
设备设施故障事件包括软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障等事件。
6.灾害性事件
灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等不可抗力导致的信息安全事件。
7.其他事件
不能归为以上6个基本分类的信息安全事件。
(二)网络与信息安全事件分级
依据事件的可控性、严重程度和影响范围的不同,分为以下四级:
I 级(特别重大):长时间的全局性事件。
非市电中断造成的国际国内主要互连、骨干网络中断甚至全部中断超过8小时;或因入侵等造成学校网站等主要信息系统停止服务且事件难以控制;或发生信息内容安全事件且发展态势难以控制;或造成重大经济损失。
II 级(重大):较长时间的全局性事件。
非市电中断造成的国际国内主要互连、骨干网络中断甚至全部中断超过2小时,小于8小时;或因入侵等造成学校网站等主要信息系统停止服务且严重影响学校正常业务;或发生信息安全事件对学校声誉等产生重大影响;或造成较大经济损失。
III 级(较大):全局性事件。
非市电中断造成的国际国内主要互连、骨干网络中断甚至全部中断超过30分钟,小于2小时;或因入侵等造成学校网站等主要信息系统停止服务并对学校正常业务造成影响;或发生信息安全事件对学校声誉等产生较大影响;或造成一定经济损失。
IV 级(一般):短时全局性事件。
非市电中断造成的国际国内主要互连、骨干网络中断甚至全部中断小于30分钟;或学校网站等主要信息系统停止服务产生一定影响;或发生信息安全事件对学校声誉等产生一定影响。
四、预防措施
通过下列六个方面的预防措施,减少和避免网络与信息安全事件的发生。
(一)信息预警
信息技术与网络中心(以下简称“信息中心”)通过实时监测,及时与安徽省教育和科研计算机网网络中心等单位交流,收集和获取安全预警信息,向校内网络用户发布异常流量来源、安全漏洞、网络蠕虫等病毒动态变化趋势统计等预警信息。
(二)人员值班
全年安排人员值班,确保值班人员到岗到位及联络畅通,根据本预案及操作规程及时处理应急事件。
(三)基础环境保障
制定技术防范措施,建立安全可靠、稳定运行的数据中心机房环境,做到防火、防盗、防雷电、防静电、防尘,并进行全天24小时监控;禁止任何非授权人员进入;建立重要设备的不间断电源系统;定期检查数据中心机房和不间断电源的运行情况。
(四)网络设备监测
提供核心设备的备份,避免单点故障;禁止非授权访问;采用访问控制避免非法介入和虚假路由信息产生;实时监视和监测,防止突发流量造成拥塞,导致网络瘫痪。
(五)网络边界防范
在校园网络边界设置防火墙,在重大安全事件爆发时可以实施访问控制;建立网关控制、安装入侵检测系统等;为邮件服务器配置反病毒和反垃圾邮件网关。
(六)计算机系统防护
实行登记备案制度;严格遵守安全操作规范;重要系统采用高可用、高稳定性的软硬件,并定期备份及全时动态监控;根据需要对系统进行升级;关闭所有不必要的端口、服务和账号;安装有效的防病毒软件,并及时更新病毒特征库;实行信息上网审查制度;严格设置用户的权限;为重要Web系统设置Web防火墙;升级软件前做好预案,以便升级失败时可快速恢复到最近的正常系统状态。
五、应急处理程序
(一)信息中心现场应急
信息中心值班人员发现或接到突发事件的报告,立即判断事件类型并采取下列处理措施,并同时向信息中心主任汇报。
信息中心主任接到报告后,立即安排人员进行进一步处理,并根据事件情况立即上报领导小组说明事件的发生情况和处置措施等。
信息中心值班人员的具体处理措施如下:
1.有害程序、网络攻击和信息破坏事件。关闭或隔离受影响的网络设备和服务器设备。
2.信息内容安全事件。校内信息系统出现信息内容安全事件后,立即中断该网站的网络连接,阻止有害信息的进一步传播。
3.设备设施故障事件。对于关键线路中断,立即联系IT运维公司或相关运营商到校进行恢复。对于关键设备故障,视情况可采取启用备份或替代设备,同时迅速联系IT运维公司尽快抢修故障设备。对于供电临时中断事件,根据用电功耗和备用电池储备、网络和信息系统的重要级别作调度,关闭次要系统、密切跟踪参数变化并反馈调整控制等。
4.灾害性事件。在保卫、后勤等相关部门人员到场前,在保障人身安全的前提下,采用必要措施,尽力保障数据安全和设备安全。
对于各类网络与信息安全突发事件,信息中心应根据“控制和最大限度地消除各类网络与信息安全突发事件的危害和影响”的原则,做好应急处置。
(二)领导小组启动应急处理程序
1.对事件进行分类、初步定级,根据事件发展情况作出进一步的处置决定;
2.决定是否上报上级部门,以及是否通过网站、短信等方式发布事件有关情况;
3.如事件发展难以控制,立即组织校外技术力量增援;
4.对于自然灾害性事件和人为破坏,联系公安等部门处理;
5.对信息安全涉及校外的事件,由领导小组责成宣传部、保卫处有关部门联系处理。
(三)应急处置完成后领导小组的后续工作
1.研判事件的发生原因、性质和影响,并对事件进行定级;
2.排查隐患,改进和完善预案;
3.恢复正常工作秩序,针对各单位在突发事件处理中的处置情况、恢复重建等问题进行全面调查评估;
4.领导小组责成信息中心撰写技术报告,并将事件处理过程及相关资料存档;
5.根据事件的性质,联系公安等部门进行进一步处理。
六、保障措施
(一)队伍保障
加强队伍建设,建立专职网络与信息安全队伍,不断提高工作人员的信息安全防范意识和技术水平。
(二)技术保障
加强技术学习,加强交流沟通,做好网络及应用系统的日常管理和监测,针对校内各单位的要求提供技术指导和帮助,确保信息系统的稳定与安全。
(三)文档资料准备
准备并整理网络与信息安全的文档资料,包括网络及信息系统的工程文档、维护手册、操作手册、网络设备配置参数、网络拓扑图以及IP地址规范及分布情况、人员联系方式等。
(四)安全培训和演练
定期或不定期对相关工作人员进行网络与信息安全知识培训,增强预防意识和应急处置能力。有针对性地开展应急抢险救灾演练,确保相关措施的有效落实。
(五)资金保障
根据网络与信息安全预防和应急处置工作的实际需要,学校给予相应的资金保障。
七、本预案自发布之日起施行,由信息中心负责解释。