安徽职业技术学院网络安全事件应急预案
第一章 总 则
第一条 为健全完善校内网络安全事件应急工作机制,提升学院应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,确保学院校园网络及信息系统的安全稳定,根据《中华人民共和国网络安全法》等法律法规以及《国家网络安全事件应急预案》《教育系统网络安全事件应急预案》《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)《安徽省教育系统网络安全事件应急预案》等文件,结合学院实际情况,特制定本预案。
第二条 本预案适用于学院各部门。本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统及相关的数据安全造成危害,对社会造成负面影响的事件;可分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他事件(详见附件1)。
第二章 网络安全事件分级
第三条 网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
1. 符合下列情形之一的,为特别重大网络安全事件(Ⅰ级):
(1)关键信息基础设施或重要信息系统(网站)遭受特别严重损失,造成系统大面积瘫痪,丧失业务处理能力,严重影响学院安全稳定和正常秩序。
(2)网络病毒在学院大面积爆发并严重影响学院教科研工作。
(3)关键信息基础设施或重要信息系统(网站)的重要敏感信息或关键数据丢失或被窃取、篡改、假冒,对学院安全稳定和正常秩序构成特别严重威胁。
(4)其他对学院安全稳定和正常秩序构成特别严重威胁,造成特别严重影响的网络安全事件。
2. 符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件(Ⅱ级):
(1)关键信息基础设施或核心业务信息系统(网站)遭受严重系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到重大影响。
(2)网络病毒在学院范围内大面积爆发。
(3)关键信息基础设施或重要信息系统(网站)的重要敏感信息或关键数据发生丢失或被窃取、篡改,对学院安全稳定和正常秩序构成严重威胁。
(4)其他对学院安全稳定和正常秩序构成严重威胁,造成严重影响的网络安全事件。
3. 符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件(Ⅲ级):
(1)重要业务信息系统(网站)遭受较大系统损失,明显影响系统效率,业务处理能力受到影响。
(2)网络病毒在学院多个范围内广泛传播。
(3)重要业务信息系统(网站)的信息或数据发生丢失或被窃取、篡改、假冒,对学院安全稳定和正常秩序构成较严重威胁。
(4)其他对学院安全稳定和正常秩序构成较大威胁,造成较大影响的网络安全事件。
4. 一般网络安全事件(Ⅳ级):
除上述情形外,对学院安全稳定和正常秩序构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
第三章 组织机构及职责
第四条 学院网络安全和信息化领导小组(以下简称“网信领导小组”)统筹协调全校网络安全事件应急工作,指导学院各部门网络安全事件应急处置。当发生特别重大网络安全事件、重大网络安全事件时,在上级统一指挥下开展应急处置工作,具体参照《安徽省教育系统网络安全事件应急预案》等相关规定执行。
第五条 学院网信领导小组办公室负责网络安全应急管理事务性工作,对接上级教育网络安全应急办公室,向学院网信领导小组报告网络安全事件情况,提出网络安全事件的应对措施建议和意见,统筹组织学院网络安全监测工作,指导做好应急处置的技术支撑工作。
第六条 其它各部门配合学院开展网络与信息安全事件调查工作,负责本部门所建网络和信息系统(网站)的网络安全事件应急处置,根据本预案制定有关网络和信息系统的网络安全事件专项应急预案,切实落实相关具体工作。
第四章 应急处置
第七条 网络安全事件发生后,事发部门应立即启动专项应急预案,根据不同的事件类型和事件原因,采取科学有效的应急处置措施,尽最大努力将影响降到最低,并注意保存网络攻击、网络入侵或网络病毒等证据。同时,应立即通过电话等方式向学院网信领导小组办公室报告,不得迟报、谎报、瞒报、漏报。
学院网信领导小组办公室组织研判,认定为网络安全事件的,须立即向学院网信领导小组报告;初判为较大及以上网络安全事件的,经学院网信领导小组批准后,立即向省教育系统网络安全应急办公室报告。对于人为破坏活动,由学院保卫处确认后报当地公安机关。
第八条 网络安全事件应急响应分为Ⅰ级、Ⅱ级、Ⅲ级、Ⅳ级等四级,分别对应教育系统特别重大、重大、较大和一般网络安全事件。I级为最高响应级别。
1.I级响应和II级响应
对于特别重大网络安全事件、重大网络安全事件,由上级网络安全应急办公室统一组织应急处置工作,具体要求以上级网络安全应急办公室部署为准。
(1)掌握事件动态
①跟踪事态发展。学院网信领导小组办公室与上级教育网络安全应急办公室保持联系,及时填写《教育系统网络安全事件情况报告》(附件2),按要求将事态发展变化情况和处置进展情况上报。
②检查影响范围。学院网信领导小组办公室立即了解学院网络和信息系统是否受到事件的涉及或影响,并将有关情况及时报上级教育网络安全应急办公室。
③及时汇报情况。学院网信领导小组办公室负责整理上述情况,及时向学院网信领导小组报告;相关重要事项经学院网信领导小组批准后,及时向上级教育网络安全应急办公室报告。
(2)处置实施
①控制事态防止蔓延。根据事件发生原因,结合相应专项应急预案,采取各种技术措施、管控手段,最大限度阻止和控制事态校内蔓延。
②消除隐患恢复系统。根据事件发生原因,结合相应专项应急预案,及时组织消除隐患,恢复业务连续性要求高的受破坏网络和信息系统。
③调查取证。在保留相关证据的基础上,开展问题定位和溯源追踪工作。积极配合上级网信部门和当地公安机关开展调查取证工作。
④信息发布。未经上级教育网络安全应急办公室批准,不得发布任何相关信息。
⑤协调外部支持。处置中需要技术及工作支持的,由学院网信领导小组办公室根据实际情况,请上级教育网络安全应急办公室予以支持。
⑥次生事件处置。对于引发或可能引发其他安全事件的,学院网信领导小组办公室应及时按程序上报。在相关部门应急处置中,学院网信领导小组办公室做好协调配合工作。
2.III级响应
发生较大网络安全事件,由学院网信领导小组办公室向学院网信领导小组提出启动III级响应的建议,经批准后,启动III级响应。
(1)启动应急指挥。成立应急工作组,学院主要领导为组长,分管校领导为副组长,网络信息中心负责人和有关单位负责人为成员。应急工作组履行应急处置工作统一领导、指挥、协调的职责。
(2)掌握事件动态。学院网信领导小组办公室整理、汇总相关信息,掌握事态发展变化情况和处置进展情况,掌握全校网络和信息系统受到事件涉及或影响的情况,随时向学院网信领导小组和应急工作组报告相关重要事项。学院网信领导小组办公室及时形成《教育系统网络安全事件情况报告》(附件2),经应急工作组同意后报上级教育网络安全应急办公室。
(3)实施处置工作。在应急工作组的领导下,事发部门根据专项应急预案开展应急处置工作,学院网信领导小组办公室做好协调工作。
①控制事态防止蔓延。采取各种技术措施、管控手段,最大限度阻止和控制事态蔓延。
②消除隐患恢复系统。在保留相关证据的基础上,及时组织消除隐患,恢复遭受破坏的网络和信息系统。
③调查取证。在保留相关证据的基础上,开展问题定位和溯源追踪工作。积极配合公安机关开展调查取证工作。
④信息发布。学院宣传部根据实际,开展新闻发布和舆论引导工作。未经批准,其他单位不得擅自发布相关信息。
⑤协调外部支持。应急处置过程中需要校外技术及工作支持的,由学院网信领导小组办公室根据实际,联系校外有关单位予以支持。
⑥次生事件处置。对于引发或可能引发其他安全事件的,学院网信领导小组办公室应及时按程序上报。在相关部门应急处置中,学院网信领导小组办公室做好协调配合工作。
3.IV级响应
发生一般网络安全事件,由事发部门向学院网信领导小组办公室提出启动IV级响应的建议,经批准后,启动IV级响应。
(1)启动应急指挥。学院网信领导小组办公室和事发部门联合组成应急工作组,履行应急处置工作领导、协调的职责。
(2)掌握事件动态。学院网信领导小组办公室整理、汇总相关信息,掌握事态发展变化情况和处置进展情况,掌握全校网络和信息系统受到事件涉及或影响的情况,及时向学院网信领导小组报告相关重要事项。
(3)实施处置工作。在应急工作组的领导下,事发单位根据专项应急预案开展应急处置工作。
①控制事态防止蔓延。根据专项应急预案,采取各种技术措施、管控手段,最大限度阻止和控制事态蔓延。
②消除隐患恢复系统。根据专项应急预案,在保留相关证据的基础上,及时组织消除隐患,恢复遭受破坏的网络和信息系统。
③调查取证。在保留相关证据的基础上,开展问题定位和溯源追踪工作。事发单位应积极配合学院网信领导小组办公室和公安机关开展调查取证工作。
④信息发布。学院宣传部根据实际,开展新闻发布和舆论引导工作。未经批准,其他部门不得擅自发布相关信息。
⑤协调外部支持。处置中需要技术及工作支持的,由学院网信领导小组办公室根据实际,联系校外有关网络安全机构予以支持。
⑥次生事件处置。对于引发或可能引发其他安全事件的,学院网信领导小组办公室应及时按程序上报。在相关部门应急处置中,学院网信领导小组办公室做好协调配合工作。
4.应急结束
(1)I级响应结束
以教育部网络安全应急办或省网络安全应急办部署为准。
(2)Ⅱ级响应结束
经工作组批准报教育部网络安全应急办和省网络安全应急办同意后,省教育网络安全应急办根据实际决定Ⅱ级响应的结束,并通报有关情况。
(3)Ⅲ级、Ⅳ级响应结束
由事发单位完成应急处置后,自行解除Ⅲ级、Ⅳ级响应状态,并报上级网络安全应急办。
5.调查与评估
网络安全事件的调查处理和总结评估工作应在应急响应结束后5天内完成,应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施,并填报《教育系统网络安全事件总结调查报告》(附件3)。
第九条 网络安全事件应急处理过程中根据不同事件类型采取以下应急处理措施:
1.数据破坏事件
(1)及时从备份数据中恢复受破坏的最新信息数据;
(2)检查恢复后的系统状态是否正常运行;
(3)分析信息数据受破坏的原因,人为恶意破坏的应进行追溯,系统故障导致的应分析系统软件故障点,及时联系软件开发商进行修复。
2.信息内容安全事件
(1)暂时切断网站对外服务;
(2)网站维护人员即刻登录后台,上传换回原始页面;
(3)网站、网页由安全监控平台随时密切监视信息内容;
(4)保存有关日志审计记录,根据相关日志记录查找信息发布人,及时定位攻击源,会同相关部门做好处理工作;
(5)备份不良信息出现的目录。
3.设备设施故障事件
(1)分析、确认故障设备,准确定位设备位置;
(2)切换备用设备或模块立即替换;
(3)联系设备供应商分析设备故障原因,及时进行修理,涉外修理的应清理数据;
(4)无法修理的应采购新的设备,保证设备冗余状态。
4.内外网攻击事件
(1)根据需要可以紧急切断服务器与公网的网络连接,以保护重要数据及信息。如果攻击来自学院外,通过网络安全防护设备对此类攻击进行阻拦和过滤,并视情况严重程度决定是否关闭外网访问;如果攻击来自学院内,查找确定攻击源,切断攻击源相关设备网络连接,通知使用者及所属部门进行处理。
(2)如果攻击源来自学院内办公电脑,电脑使用者需清除病毒、恶意程序、木马程序或重装操作系统,运行5小时以上没有问题后提出联网申请接入校园网。
(3)如果查明是学院内人员主观恶意网络攻击,网信领导小组视情节轻重,提交学院相关部门按学院规定进行处理,涉嫌触犯法律的移送公安机关依法处理。
5.计算机病毒应急处置
(1)发现计算机感染病毒后,应立即将感染病毒的办公电脑断网,在病毒彻底清除干净前禁止连接到网络,并对该设备的硬盘进行数据备份。启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
(2)如果感染病毒的设备是服务器,并且反病毒软件无法清除该病毒,应立即联系有关产品厂商研究解决,并组织相关技术人员研究采取恢复备份等措施。
6.灾害性事件
(1)评估灾害性事件对机房、信息系统的影响程度;
(2)受灾机房网络及信息系统受破坏不能提供服务的,应及时启动容灾机房业务系统;
(3)回收受灾机房的数据处理、存储设施,无法使用的进行彻底数据清理;
(4)重建受灾机房。
第五章 保障措施
第十条 校园网络与信息安全管理工作是各单位需要长期关注的重要工作,学院各部门要密切配合、确保消息畅通、执行到位,各项工作能够得到圆满落实。
1.队伍保障学院各部门均需配备网络安全员,进一步加强网络安全队伍建设,不断提高相关业务工作人员的信息安全防范意识和技术水平,确保安全事件应急处置科学得当。
2.技术保障 学院网信领导小组办公室应统筹规划,不断完善网络安全整体方案,提高技术监控手段,确保信息系统的稳定与安全。根据工作需要聘请省内外信息安全专家为应急处置过程提供咨询和技术支持,定期开展技术交流活动。
3.资金保障 学院网信领导小组办公室应将网络安全建设工作纳入到每年度的工作计划,根据校园网络与信息系统安全预防和应急处置工作实际需要,申报网络安全设备和软件的建设运维专项资金,由学院给予资金保障。
第六章 附 则
第十一条 本办法自公布之日起施行,由网络信息中心负责解释。