一、总则
1、编制目的
为了提高黑龙江科技大学处置网络与信息安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地降低网络与信息安全突发事件的危害,维护教学、办公的正常运行。
2、编制依据
根据《中华人民共和国网络安全法》、《关于加强教育行业网络与信息安全工作的指导意见》教技[2014]4号、《教育系统网络安全事件应急预案》教技[2018]8号、《信息技术安全事件报告与处置流程(试行)》教育厅函[2014]75号、《2019年教育信息化与网络安全工作要点》教育厅[2019]2号、《中华人民共和国突发事件应对法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》、《信息安全技术信息安全事件分类分级指南》等相关规定。
3、适用范围
本预案所指网络与信息安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件。本预案适用于黑龙江科技大学网络与信息安全事件的应对和处置工作。
4、工作原则
按照教育系统网络安全机制“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,坚持统一领导,分级负责,构建完善的学校安全责任制。坚持底线思维,立足安全监管防护,加强预警与信息反馈;从预防、监控、应急处理、应急保障和打击网络违法行为等环节,采取多种措施,共同构筑网络与信息安全保障体系;坚持统一指挥,相关部门密切协同,把保障和维护学校与师生合法利益作为首要任务,预防与应急相结合,加强工作协调、快速反应、科学处置,共同做好网络与信息安全事件的预防和处置工作;加强技术储备,规范安全工作流程与安全事件处置。
二、组织机构与职责
成立对外黑龙江科技大学网络与信息安全应急领导小组,组织结构如下:
组 长:
副组长:
成 员:
网络与信息安全应急指挥办公室(以下简称网络安全应急办)设在信息网络中心,主要职责是:
(1)承担值守应急工作;
(2)收集、分析工作信息,及时上报重要信息;
(3)负责我校网络与信息安全的监测和风险评估控制、隐患排查整改工作;
(4)组织制订、修订本应急预案;
(5)负责组织协调网络与信息安全突发事件应急演练。
三、事件分类分级
1、事件分类
网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件、以及其他事件。
(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家、社会、学校稳定和公众利益的事件。
(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。
(7) 其他事件是指不能归为以上6类基本分类的网络与信息安全事件。
2、事件分级
网络与信息安全事件分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。
(1)特别重大网络与信息安全事件(Ⅰ级):由自然灾害性事件导致网络中断等、网络攻击事件、信息破坏事件、信息系统(网站)被恶意攻击,导致被挂反动标语等。
(2)重大网络与信息安全事件(Ⅱ级):信息内容安全事件、挖矿等对社会造成影响的网络安全事件等。
(3)较大网络与信息安全事件(Ⅲ级):有害程序事件、网络攻击事件等。
为一般网络与信息安全事件(Ⅳ级):除上述情形外,如系统漏洞,敏感信息泄露等有可能对学校网络安全造成影响的网络安全事件。
四、监测预警
监测预警工作是安全监测体系中的核心内容。包括常规化监测、接收外部威胁数据、专项监测等三方面。
1、常规化监测:
(1)通过WAF、防火墙日志等网络安全设备进行监测。
(2)通过登录信息系统(网站)等方式监测。
(3)通过微博、论坛、小视频APP等监测。
2、接收外部威胁数据
接收来自教育部的安管平台、黑龙江省教育厅网络安全态势与应急指挥平台、教育部系统网络态势与服务平台、教育行业漏洞报告平台等外部平台的监测结果。
3、专项监测:
结合本校网络安全自身情况开展的专项监测,如邮箱安全监测、勒索病毒监测、挖矿行为监测、渗透测试、漏洞扫描等。
五、应急响应
(一)Ⅰ级响应
网络与信息安全事件发生后,学校应立即启动应急预案,控制事态发展,最大限度的防止事态蔓延;快速判断事件性质与危害程度,分析发生原因,判断事件的影响、危害和可能波及的范围;实施处置并做好事件发生、发展、处置的记录和证据存留。组织专业技术人员按照教育厅应急处置工作组提出的处置方案和实际情况进行工作,及时将事态发展情况和处置进展情况上报上级单位。具体的报告与处置方法如下:
1、事发紧急报告与处置
(1)第一时间采取断网等有效措施进行处置,保留现场并报告本单位安全负责人和主要负责人。
(2)组织技术人员进行紧急处置,并将相关情况通报至上级单位。若涉及人为主观破坏事件,应同时报告当地公安机关。
(3)紧急报告内容包括:时间地点、简要经过、事件类型、影响范围、危害程度、初步原因分析、已采取的应急措施。
(4)应及时跟进事件发展情况,若有新的重大情况应及时补报。
2、事中情况报告与处置
(1)在安全事件发现后的8小时内,必须向教育厅科技处报送信息技术安全事件情况报告。
(2)事中情况报告须由学校的安全负责人组织相关部门,运维单位共同编写,并由本单位主要负责人审核后,签字并加盖公章,报送至教育厅科技处。
(3)安全事件的事中处置包括:及时掌握损失情况,查找和分析事件原因,修复系统漏洞,恢复系统服务,尽可能减少安全事件对正常工作带来的影响。
3、事后整改报告与处置
(1)安全事件处置完毕后5个工作日内报送信息技术安全事件整改报告。
(2)由学校的安全负责人组织相关部门、运维单位共同编写事后情况报告。并由学校主要负责人审核后,签字并加盖公章报送至教育厅科技处。
(3)安全事件事后处置包括:进一步总结事件教训,研判安全现状,排查安全隐患,进一步加强制度建设,提升安全防护能力。若发现有涉及人为主观破坏的安全事件,应继续配合公安部门开展调查。
(二)Ⅱ级响应
当发现网络被非法入侵、网页内容被篡改,应用服务器的数据被非法拷贝、修改、删除,或有黑客正在进行攻击等现象时,使用者或管理者应断开网络,并立即报告应急处置工作组办公室。 应急处置工作组办公室组织专业人员立即关闭相关服务器,封锁或删除被攻破的登陆帐号,阻断可疑用户进入网络的通道,并及时清理系统、恢复数据和程序,尽快将系统和网络恢复正常。
(三)Ⅲ级响应
当发现不良信息或网络病毒时,应立即报告相关部门,采取有效手段阻断有害信息的传播扩散,终止不良信息或网络病毒传播途径。溯源相关人员进行杀毒处理、清除不良信息,直至网络处于安全状态。
(四)Ⅳ级响应
通过监测预警发现系统漏洞、敏感信息泄露等问题时,应立即联系信息系统(网站)的主管部门对信息系统(网站)进行关停整改,待整改完毕,递交整改报告后,方可继续运行。
六、特殊时期的预防保障措施
特殊时期是指国家召开人大、政协等重大会议、重要的法定节假日、学校寒暑假等网络与信息安全重要保障期间。在此期间,要加强网络与信息安全事件的防范和应急响应,确保网络与信息安全。学校根据省教育厅的要求,启动相应的预警响应,加强网络与信息安全监测和分析研判,及时预警可能造成重大影响的风险和隐患,并提示学校相关部门做好防范,重点部门、重点岗位保持24小时值班,及时发现和处置网络与信息安全事件隐患。
1、特殊时期的分级
根据网络与信息安全保障工作的重要程度,特殊时期分为三级:特别重大时期(Ⅰ级)、重大时期(Ⅱ级)、较重大时期(Ⅲ级)。
(1) 特别重大时期为国家召开人大、政协等重大会议期间,国庆期间等国内外媒体高度关注我国的重要时期。
(2)重大时期包括五一国际劳动节、春节等法定假日期间,以及一些特殊时期。
(3)较重大时期包括学校寒暑假等放假时间较长的时期。
2、对外服务的信息系统的分级
根据网络与信息安全保障工作的实际情况分为三级。在不同的特殊时期采取不同的应对策略。
(1) 一级:开放学校主页、校园卡系统、门禁系统、财务系统。
(2) 二级:开放电子邮件系统、教务系统、、以及一级时期开放的系统。
(3) 三级:根据实际情况关停部分信息系统。
七、附则
1、预案管理与更新
本预案由信息化管理处起草,报校领导批准后实施。
结合信息网络快速发展和我校的信息化发展状况,配合相关法律法规的制定、修改和完善,适时修订本预案。
2、实施时间
本预案自发布之日起实施。
附件1:
网络信息安全事件报送表
报告时间: 年 月 日 时 分
部门名称 |
|
报告人 |
|
联系电话 |
|
通讯地址 |
|
传真 |
|
电子邮件 |
|
突发网络与信息安全事件的客体 |
名称 |
|
用途描述: |
突发网络与信息安全事件的简要描述 |
应包括:1.事件发生时间、发生事故网络信息系统名称及运营使用单位、地点、原因、事件类型及性质、危害和损失程度、影响单位及业务等;2.以前出现过类似的情况。 |
初步判定的事件类别 |
□有害程序事件 □网络攻击事件 □信息破坏事件 □信息内容安全事件 □设备设施故障 □灾害性事件 □事件原因不明 |
本次突发网络与信息事件的初步影响状况 |
事件后果 |
□业务中断 □系统破坏 □数据丢失 □其他 |
影响范围 |
□单台主机 □多台主机 □整个信息系统 □整个局域网 □ 其他 |
事发单位目前掌握的材料 |
系统结构拓补图 |
□有 □没有 |
系统硬件设备及其配置参数清单 |
□有 □没有 |
系统软件设备及其配置参数清单 |
□有 □没有 |
应用软件源代码及其配置参数清单 |
□有 □没有 |
系统运维记录 |
□有 □没有 |
系统审计日志 |
□有 □没有 |
系统操作权限分配列表 |
□有 □没有 |
单位应急处置人员联系表 |
□有 □没有 |
突发网络与信息安全事件的发展趋势 |
|
|
当前采取的应对措施 |
|
|
