1.总则
1.1编制目的
为有效预防并科学应对网络安全突发事件,确保校园网络与信息系统正常运行,维护校园正常秩序和安全稳定,确保迅速、有效地处理网络安全突发事件,将突发事件对学校造成的影响和损失降到最低,制定本预案。
1.2指导思想和制定依据
根据《中华人民共和国网络安全法》(2016年11月7日)、《信息安全事件分类分级指南》(GB/T20986-2007)(2007年6月14日)、《信息技术安全事件报告与处理流程》(2014年10月28日)、河南省教育厅《信息技术安全事件报告与处置流程(试行)》(2017年5月23日)等国家和教育行业有关法律法规,结合学校工作实际,制定本预案。
1.3基本原则
(1)统一指挥,快速反应。学校成立网络安全突发事件应急处置工作领导小组全面负责应急处置工作,建立健全处置网络安全突发事件的快速反应机制,确保发现、报告、指挥、处置等环节的紧密衔接,做到快速反应,正确应对,处置果断,力争问题解决在萌芽状态。
(2)预防为主,群防群控。把应对网络安全突发事件管理的各项工作落实在学校日常管理之中,加强基础工作,完善网络建设,增强预警分析,做好预案演练,提高防范意识,将预防与应急处置有机结合起来,力争实现早发现、早报告、早控制、早解决。发生网络安全突发事件后,相关部门负责人要立即深入一线,掌握情况,控制局面。形成学校各有关单位系统联动、群防群控的处置格局。
(3)加强保障。从制度上、组织上、物质上全面加强保障措施。在领导机构、经费保障、信息保障和力量部署等方面,加强硬件与软件建设,增强应急能力,提高工作效率。
1.4适用范围
本预案适用于学校范围内的网络、服务器与信息系统,校外的托管服务器和信息系统安全突发事件,以及与学校相关的网络安全事件的应急处置。
网络安全事件依据发生过程、性质和特征不同,可分为以下四类:
(一)灾害性事件:因洪水、火灾、雷击、地震、非正常停电等外力因素造成网络设备损毁,主要业务数据丢失,导致业务中断、系统宕机、网络瘫痪等安全事件。
(二)信息内容安全事件:师生利用校园网络在校外公众网络传播法律法规禁止的信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(三)设备故障事件:由于信息系统或外围软硬件设施故障、人为误操作等,造成信息系统破坏、业务数据丢失、业务中断、系统宕机、网络瘫痪等导致的信息安全事件。
(四)网络攻击事件:由于遭受有害程序感染、非法入侵或其他技术手段攻击,造成校园网络和信息系统运行异常或存在潜在危险,或造成校内网络业务数据被篡改、假冒、泄漏、窃取等而导致的信息安全事件。
1.5网络安全突发事件的级别划定
网络安全事件按照可控性、严重程度和影响范围不同,可划分为四级:
(一)Ⅰ级(特别重大):事件导致发生全校性大规模瘫痪,或由于网站非法信息引发学校大规模群体性事件,对学校正常工作造成特别严重损害,事态发展超出学校控制能力。
灾害性事件、信息内容安全事件造成影响超出学校控制范围的均属该级。
(二)Ⅱ级(重大): 事件导致校园网发生全校性瘫痪,或由于网站非法信息引发师生反应强烈并有过激行为,对学校正常工作造成严重损害,事态发展超出网络安全和信息化领导小组的控制范围,需要跨部门协同处置。
信息内容安全事件造成影响仍在学校范围的属该级。
(三)Ⅲ级(较大): 事件导致校园网某一区域的重要网络与信息应用系统瘫痪,或由于网站敏感信息、谣言等,对学校正常工作造成一定损害,网络安全和信息化领导小组可以协调处理。
设备故障造成一个区域网络故障的,网络攻击造成系统无法正常提供服务的属该级。
(四)Ⅳ级(一般):事件导致某一局部网络或信息应用系统受到一定程度损坏,学校工作受到一定影响,但不危害学校整体工作,所属责任单位可以协调处理。
设备故障影响区域较小的,网络攻击对系统运行有影响但仍能提供服务的属该级。
2.应急组织指挥体系及职责
2.1学校网络安全突发事件应急处置工作领导小组
组 长:校党委书记
副组长:校长、分管宣传、信息化工作的校领导
成 员:学校办公室、宣传部、保卫处、信息中心等部门主要负责人。
网络安全突发事件应急领导小组主要职责:
(一)负责网络安全工作的组织、协调和监督,制定相关制度和应急预案;
(二)根据网络安全事件程度制定相应级别处理预案,组织协调责任单位落实,共同做好处置工作;
(三)负责及时收集、通报和上报网络安全事件处置的有关情况;
(四)对全校各单位贯彻执行预案以及在事件处置工作中履行职责情况进行检查督办。
2.2学校网络安全突发事件应急领导小组办公室及主要职责
学校网络安全突发事件应急工作领导小组办公室设在党委宣传部,宣传部部长担任领导小组办公室主任,学校办公室、保卫处、信息中心部门负责人任副主任。日常工作由党委宣传部、学校办公室、保卫处、信息中心共同承担。
学校应急领导小组办公室主要职责:履行值守应急、信息汇总、信息报送、信息发布、综合协调职能,发挥运转枢纽作用。及时收集和分析相应的数据和工作情况,提出处理事件的指导意见和具体措施报学校网络安全突发事件应急领导小组;及时总结学校处理网络安全突发事件的经验和教训;督导、检查校内各单位落实网络安全突发事件应急处理工作的情况;根据网络安全突发事件的性质提出对有关责任人的责任追究意见报学校网络安全突发事件应急领导小组。
2.3各相关部门及主要职责
(一)党委宣传部:负责学校舆情监测和信息内容安全类事件的处置,对于涉及师生政治思想方面的倾向性、苗头性的问题,要加强分析研判,妥善有效应对。
(二)学校办公室:牵头组织重大敏感时期、重要活动、重要会议期间发生的信息安全事件的协调处置;负责涉密级网络信息泄密类事件的处理。
(三)保卫处:负责突发事件发生时学校的安全稳定保卫工作,以及与公安机关联系、配合处理事件。
(四)信息中心:负责校园基础网络设施安全,为全校网络安全事件处置提供技术支持。
(五)各院系、职能单位负责本单位网络、网站和信息系统的网络安全事件的处置,对照本预案,建立本单位应急处置机制。
3.预防与预警机制
3.1信息处理机制
建立畅通的信息传输渠道和严格的信息上报机制,完善快速应急信息系统。
3.2 预防工作机制
加强网络与信息系统安全管理,健全工作制度和建立预警监测体系,避免和减少网络安全事件发生。各单位网络安全员、信息系统管理员须加强本单位的网络安全管理。
健全技术防护体系,在校园网出口、数据中心、重要信息系统等边界,加强安全防御,发现异常及时处置并逐级报告。
建立安全巡查制度,宣传部、信息中心及各单位网络安全员应密切监视网站及信息系统内容,做好校园网络与信息安全的日常巡查及日志保存等工作,以便及时应对突发性事件。
3.3 信息报送原则
各部门发现问题后应先联系学校网络安全突发事件应急领导小组办公室,口头描述情况,应急领导小组办公室确认是否构成网络安全事件,如果不构成网络安全事件,应急领导小组办公室应通报各相关部门,督促他们进行自查,将危险扼杀在萌芽状态。如果构成网络安全事件则按下列处置程序处理。
4.应急预案启动响应
4.1事件定级
学校网络安全突发事件应急领导小组办公室组织有关单位,尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围,评估事件带来的影响和损害,确认事件的类别和等级,报网络安全突发事件应急领导小组确认,同时启动应急预案。
4.2启动预案
发生网络安全事件后,学校办公室、党委宣传部、保卫处、信息中心、责任部门领导及相关人员应第一时间到达现场,采取技术等有效措施,将损害和影响降到最低,逐级向各归口校领导报告,信息中心按对应事件的应急方法做技术处理。
4.3 I级事件应急响应
学校网络安全突发事件应急领导小组通过学校办公室立即通知学校班子成员,召开党委会(或校长办公会),通报情况,研究对策,同时报告学校教育主管部门和属地市委市政府及公安部门。
需要上报的材料由宣传部负责起草,报网络安全突发事件应急领导小组审核签字确认。学校办公室负责报送至市政府、教育厅相关部门,宣传部负责报送至市委相关部门,保卫处负责报送至公安部门。
4.4 II级事件应急响应
学校网络安全突发事件应急领导小组指挥、协调相关单位进行应急处置。如需要校外单位协助的,网络安全突发事件应急领导小组根据具体情况决定报告给有关部门。
需要上报的材料由宣传部负责起草,报网络安全突发事件应急领导小组审核签字确认。学校办公室负责报送至市政府、教育厅相关部门,宣传部负责报送至市委宣传部,保卫处负责报送至公安部门。
4.5 III级事件应急响应
学校网络安全突发事件应急领导小组指挥、协调学校相关单位进行应急处置。
责任部门起草突发事件详细材料,宣传部整理材料备查,按照网络安全突发事件应急领导小组安排上报。
4.6 IV级事件应急响应
学校网络安全突发事件应急领导小组办公室组织相关单位及时、自主进行应急处置,做好处置记录,责任部门起草突发事件详细材料,报网络安全突发事件应急领导小组办公室备查。
4.7技术处理方式
4.7.1灾害性事件急处理方式:根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
4.7.2信息内容安全事件:接到校内网站出现不良信息的报告后,应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息传播,查找信息发布人并做好善后处理。对公安机关要求bet365备用网址器协查的外网不良信息事件,根据校园网上网相关记录查找信息发布人。
4.7.3设备故障事件:判断故障发生点和故障原因,迅速联系信息中心尽快抢修故障设备,优先保证校园网主干网络和主要应用系统的运转。
4.7.4网络攻击事件:判断攻击的来源与性质,关闭影响安全的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质采取以下措施:
病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助进行杀毒处理。
外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外网入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和影响。
内部入侵:查清入侵来源,如IP地址、所在办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。
5.善后与恢复
5.1后续处理
安全事件最初应急处置后,应及时采取措施,抑制其影响进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。
安全事件被抑制后,通过对有关事件或行为的分析结果,找出问题根源,明确相应补救措施并彻底清除。
安全事件解决后,要及时清理系统,恢复数据、程序、服务。
5.2总结上报
系统恢复运行后,网络安全突发事件应急领导小组办公室对事件造成的损失、事件处理流程等进行分析评估,总结经验教训,撰写事件处理报告。
发生Ⅲ至I级事件,在报告学校的同时,应按照河南省教育厅《信息技术安全事件报告与处置流程(试行)》(教科技[2017]438号)报告相关部门。
5.3 报告流程
事发紧急报告:事件发生后立即以口头通讯方式报上级领导部门,涉及人为主观破坏事件应同时报当地公安机关。报告内容包括:时间、地点、简要经过、事件类型与分级、影响范围、危害程度、初步原因分析及已采取的紧急措施。
事中处置报告:应在事件发生后8小时内以书面报告形式报送,报送内容和形式见附件1。
事后整改报告:应在事件处置完毕后5个工作日内以书面报告形式报送,报送内容和格式见附件2。
6.保障措施
6.1信息保障
学校各职能部门、各院系(所)要建立健全并落实网络安全突发事件信息报送、应急处置等各环节的运行机制,保持通讯方式方法方便快捷,确保信息报送渠道安全畅通。凡达到划定级别的网络安全突发事件,应向本单位主要领导报告及时处理,同时向主管部门和分管校领导报告。
6.2资金保障
不断完善网络安全整体方案,确保校园基础网络和信息系统的稳定与安全。应急资金统一列入学校财政预算。一般情况由各单位、各部门预算资金列支,特殊情况由财务处单独列支,确保网络安全突发事件应急处置所需经费。
6.3人员保障
各部门、各单位应按照学校的要求组建网络安全突发事件应急队伍,一旦启动预案,立即投入处置工作。加强队伍建设,不断提高工作人员的信息安全防范意识和技术水平,确保安全事件应急处置科学得当。
加强安全培训和演练,网络安全突发事件应急领导小组办公室应组织各单位安全员和信息员进行信息安全知识和技能培训,开展应急处置演练,增强防范意识和应急处置能力。
本预案由学校网络安全突发事件应急领导小组办公室负责解释。
本预案自发布之日起施行。
附件1
网络安全事件情况报告
单位名称:(需加盖公章) 事发时间: 年 月 日 分
联系人姓名 |
|
手机 |
|
电子邮箱 |
|
事件分类 |
□ 有害程序事件 □ 网络攻击事件 □ 信息破坏事件 □ 设备设施故障 □ 灾害事件 □其他____________________ |
自查事件分级 |
□Ⅰ级 □Ⅱ级 □Ⅲ级 □Ⅳ级 |
事件概况 |
|
信息系统的基本情况(如涉及请填写) |
1. 系统名称:_______________________________ 2. 系统网址和IP地址:_______________________ 3. 系统主管单位/部门:_______________________ 4. 系统运维单位/部门:_______________________ 5. 系统使用单位/部门:_______________________ 6. 系统主要用途:___________________________ 7. 是否定级 □是 □否,所定级别:_____ 8. 是否备案 □是 □否,备案号:__________ 9. 是否测评 □是 □否 10.是否整改 □是 □否 |
事件发现与处置的简要经过 |
|
事件初步估计的危害和影响 |
|
事件原因的初步分析 |
|
已采取的应急措施 |
|
是否需要应急支援及需支援事项 |
|
单位安全负责人意见(签字) |
|
单位主要负责人意见(签字) |
|
应急领导小组办公室意见(签字) |
|
应急领导小组意见(签字) |
|
附件2
网络安全事件整改报告
单位名称:(需加盖公章) 报告时间: 年 月 日
联系人姓名 |
|
手机 |
|
电子邮件 |
|
事件分类 |
□ 有害程序事件 □ 网络攻击事件 □ 信息破坏事件 □ 设备设施故障 □ 灾害事件 □其他____________________ |
确认事件分级 |
□Ⅰ级 □Ⅱ级 □Ⅲ级 □Ⅳ级 |
事件概况 |
|
信息系统的基本情况(如涉及请填写) |
1.系统名称:_______________________________ 2.系统网址和IP地址:_______________________ 3.系统主管单位/部门:_______________________ 4.系统运维单位/部门:_______________________ 5.系统使用单位/部门:_______________________ 6.系统主要用途:___________________________ ________________________________________ 7.是否定级 □是 □否,所定级别:_____ 8.是否备案 □是 □否,备案号:__________ 9.是否整改 □是 □否 10.是否整改□是 □否 |
事件发生的最终判定原因(可加页附文字、图片以及其他文件) |
|
事件的影响与恢复情况 |
|
事件的安全整改措施 |
|
存在问题及建议 |
|
安全负责人意见(签字) |
|
主要负责人意见(签字) |
|
应急领导小组办公室意见(签字) |
|
应急领导小组意见(签字) |
|