扬州高等职业技术学校
网络与信息安全事件应急预案
为切实做好我校网络与信息安全事件的防范和应急处理工作,进一步提高预防和控制网络与信息安全事件的能力和水平,形成科学、有效、反应迅速的应急工作机制,减轻或消除事件的危害和影响,根据国家和省、市有关规定,结合学校实际,制定本预案。
一、组织机构与职责
1、网络与信息安全事件应急领导小组
组 长:陈大斌
副组长:徐荣宽、强玉龙、赵杰
成 员:鲍崇敬、张文建、杨桂林、周文彬
临时指挥部指挥长:徐荣宽
临时指挥部副指挥长:鲍崇敬、张文建
2、网络与信息安全事件应急领导小组主要职责
(1)负责全校网络与信息安全工作,组织协调学校网络与信息安全工作中可能出现的各种突发事件的处置工作。
(2)研究解决突发事件处置工作中的重大问题。
(3)组织制定学校网络与信息安全事件应急预案及其修订、完善工作。
(4)对突发事件相关信息进行及时收集、分析和研判,有效指导网络与信息安全工作。
3、临时指挥部下设两个工作小组
(1)校园网络运行安全应急工作小组,牵头部门是现代教育中心。其职责是:当由于系统崩溃、病毒攻击、非法入侵等原因造成校园网运行异常或瘫痪时,负责及时发现并找出原因,尽快恢复网络的正常运行。
(2)网络信息安全应急工作小组,牵头部门是学校办公室。其职责是:当学校网站中发现危害国家安全、社会稳定和学校正常教学秩序的非法信息时,及学校网站以外的网络中发现恶意攻击、诋毁或虚假报道我校信息时,负责会同与信息有关的部门及时清理或正面回复,积极查找非法信息的来源,协商网络舆情正面引导方式方法,并按照有关法律法规及学校的规章制度进行追究处理。
二、网络与信息安全事件分类分级
1、根据网络与信息安全突发事件的发生过程、性质和特征,划分为网络运行安全突发事件和网络信息安全突发事件。网络运行安全突发事件是指事故灾难和人为破坏引起的网络与信息系统的损坏;网络信息安全突发事件是指利用信息网络进行有目的或有组织的反动宣传、煽动和歪曲事理的不良活动或违法活动。
2、根据对网络与信息安全突发事件的可控性、严重程度和影响范围,将网络与信息安全突发事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般)。
(1)I级(特别重大):造成网络与信息系统发生大规模瘫痪,对国家安全、社会秩序、公共利益或教育形象造成特别严重损害的突发事件。
(2)II级(重大):造成重要网络与信息系统瘫痪,对国家安全、社会秩序、公共利益或教育形象造成严重损害,需要上级政府或公安部门协助,乃至需跨地区协同处置的突发事件。
(3)III级(较大):造成网络与信息系统瘫痪,对国家安全、社会秩序、公共利益或教育形象造成一定损害,但只需在市教育局处置的突发事件。
(4)IV级(一般):造成校园网络与信息系统受到一定程度的损坏,对师生、家长或其他人员和单位的权益有一定影响,但不危害国家安全、社会秩序和公共利益,可由学校处置的突发事件。
三、网络与信息安全事件应急预案
1、网络和主机系统安全应急处理
(1)系统管理员或者普通用户发现安全问题,重新设置网络设备和主机系统的口令,删除不需要的账号,并严格检查网络设备和主机系统的登录记录。
(2)安全管理员负责安全问题的诊断和分析,确定安全问题的类型。
(3)对于网络攻击应及时判断攻击源,攻击针对于非业务端口,则关闭这些端口;攻击针对于业务端口,则调整主机系统本身和防火墙系统的设置,尽量降低攻击的危害。必要时将攻击源报告市公安局网监支队,请求网络安全管理机构进行协调解决。
(4)对于系统入侵,应采取紧急消除和恢复的方法。
(5)在进行网络设备和主机系统恢复和安全漏洞修补之前必须对入侵事件影响到的所有文件和日志进行备份,以免入侵的特征、证据和日志在入侵事件处理中丢失。
(6)在系统恢复和安全漏洞修补之后,还应分析入侵事件对被入侵系统和相关系统的影响,如果入侵事件可能导致系统文件被非法修改,必须在紧急消除和恢复之后尽快进行全系统的重新安装和配置,以防止系统被安装木马程序。如果由于客观原因,系统不允许重新安装,必须对系统进行全面的安全扫描以检查系统中潜在的安全漏洞。如果入侵事件可能影响到网络中其它系统,必须对相应系统作安全检查。
(7)在安全问题处理完毕后,必须进一步分析安全问题产生的原因和条件,并检查网络中其它系统是否也存在导致类似安全问题的漏洞,若存在,应尽快进行修补。
(8)对于安全管理员无法处理的安全问题,应逐级上报。
(9)安全管理员负责对安全问题的处理过程和结果进行备案。对于重大的安全事件(指由安全问题引起的系统崩溃、宕机等),应在半小时内上报应急小组,并在处理后3个工作日之内写出书面的处理报告,将事件的现象、原因、处理过程、处理结果以及经验教训逐级上报。
2、计算机病毒应急处理
(1)对服务器系统病毒防治软件检查,保证计算机病毒防治软件的可用性,并及时升级到目前最新版本。
(2)如果安全问题是由计算机病毒引起的,应使用杀毒软件对计算机病毒进行消除。
(3)若计算机病毒已造成文件或数据损坏或者丢失,且使用杀毒软件或者其它手段无法进行修复,则使用备份进行恢复;如果被感染计算机已无法正常启动或操作系统无法正常运行,应重新安装操作系统和应用软件,并调用备份进行恢复。
(4)对无法清除的计算机病毒,安全管理员应保留原始记录后及时向公安部门报告,并采取隔离、控制等措施。在公安部门确认病毒类型、查明传入途径并彻底清除病毒后,方可重新投入使用。
(5)安全管理员负责对计算机病毒的处理过程和结果进行备案。对于重大的计算机病毒事件(指由计算机病毒问题引起的系统崩溃、宕机等),应在半小时内上报应急小组,并在处理后3个工作日之内写出书面的处理报告,将事件的现象、原因、处理过程、处理结果以及经验教训逐级上报。
3、网络信息内容安全应急处理
(1)加强对网络信息监控,及时发现网络上非法信息内容。
(2)在学校网站(含二级网站)中发现有危害国家安全、社会稳定和学校正常教学秩序的非法信息时,立即删除,如不能删除的应切断信息源的网络连接。
(3)在互联网上的网站、贴吧、论坛、微博、微信、QQ群中发现有恶意攻击、诋毁或虚假报道我校信息时,应积极正面回复。
(4)发现网络不良信息时,应在半小时内上报应急小组,由应急小组根据不良信息危害程度及不良信息来源情况,决定是否上报上级部门。
(5)不需上报上级部门的事件,能删除的不良信息第一时间删除,不能删除的不良信息由学校办公室和相关责任部门联合指定专员及时跟踪信息动态并且给予正面回复,确保消除不良信息造成的影响。
(6)需上报上级部门的事件,学校由办公室牵头,积极配合公安部门或在公安部门指导下进行处理和检查。
(7)在清理不良信息后,相关部门和人员要及时分析,找出不良信息来源,并形成事件报告。
4、黑客入侵的应急处理
(1)发现网络上有黑客攻击行为,任何人员都有义务向现代教育中心报告。现代教育中心立即启动应急响应,切断受攻击计算机与网络的连接,停止一切操作、保护现场,并上报有关领导。
(2)对于黑客攻击,由现代教育中心组织专员查找入侵踪迹,分析入侵方式和原因。由安全管理员根据对入侵事件的分析,组织相关人员对内部网计算机整改,防止黑客用同样的手段再次入侵其他系统。安全管理员检查确定无安全隐患后,才可将受攻击计算机重新连接网络,或启用备份计算机来恢复应用。
(3)安全管理员应做好记录,保护现场,进行日志收集等工作。如果能追查到攻击者的相关信息,可以对其发出警告,必要时可以采取进一步的行动,乃至采取法律手段。根据破坏程度,经有关领导同意后,上报公安部门。
(4)若系统已被黑客破坏,无法恢复,应将受黑客攻击的计算机上的重要数据备份到其他存储介质,确保计算机内重要的数据不丢失。如果数据无法恢复,经有关领导同意后,可与国家指定的部门联系,由他们来协助恢复,为保证数据信息安全,需在安全管理部门作记录。
5、信息系统电力故障的应急处理
(1)任何单位和人员发现本单位信息系统用电出现异常情况时,都应及时向现代教育中心与后勤处报告。
(2)应急小组协调各相关部门,尽快查清故障原因,提出解决办法,确定故障排除可能需要的时间。
(3)网络中心机房停电的处理,现代教育中心应根据停电时间和UPS电池的供电能力,在保证重点网络关键设备用电的前提下,提出机房设备部分关机或全部关机方案。经认可后,安排相关人员按照规定的流程操作实施。
(4)电力系统恢复供电后的处理流程,电力系统恢复供电后,现代教育中心应在第一时间恢复关闭的网络应用。
四、网络与信息安全事件报告、处理联系电话
市电教馆网络与信息安全技术支持电话:87934581
市公安局网监支队电话: 12321
学校网络与信息安全应急电话: 15861333856(603856)
13773418925(608925)
二〇一六年元月十一日
