为提高学校网络安全突发事件的应对能力,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,保障校园网的实体安全、运行安全和数据安全,根据《中华人民共和国突发事件应对法》《国家网络安全事件应急预案》(中网办发文〔2017〕4号)《教育系统网络安全事件应急预案》(教技〔2018〕8号)《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)等国家有关法律法规,结合学校工作实际,制定本预案。
第一章 总 则
第一条 校园网络安全事件是指校园信息化基础设施、应用系统、网站、信息化数据等因各种因素遭到破坏,对学校工作、学习、生活秩序造成负面影响的事件。
第二条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,网络安全突发事件应急处理工作坚持统一领导、分工负责、及时预警、协作配合、快速处理、确保恢复。
第二章 网络信息安全事件分类分级
第三条 网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。
(一)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(二)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(三)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(四)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(五)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(六)灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
(七)其他事件是指不能归为以上分类的网络安全事件。
第四条 网络信息安全事件按照可控性、严重程度和影响范围不同,可划分为特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
(一)特别重大网络安全事件(Ⅰ级):事件导致校园网发生全校性大规模瘫痪,或由于网站非法信息引发学校大规模群体性事件,对学校正常工作造成特别严重损害,事态发展超出学校控制能力。
(二)重大网络安全事件(Ⅱ级):事件导致校园网发生全校性瘫痪,或由于网站非法信息引发师生强烈反映并有过激行为,对学校正常工作造成严重损害,事态发展在学校控制范围内,需要跨部门协同处置。
(三)较大网络安全事件(Ⅲ级):事件导致校园网某一区域的重要网络与信息应用系统瘫痪,或由于网站敏感信息、谣言等,对学校正常工作造成一定损害,网络安全和信息化工作领导小组办公室可以处理。
(四)一般网络安全事件(Ⅳ级):事件导致某一局部网络或信息应用系统受到一定程度损坏,学校工作受到一定影响,但不危害学校整体工作,发生安全事件的部门可自行处理。
第三章 组织机构与职责
第五条 学校网络安全和信息化工作领导小组为网络安全事件应急处理领导机构,领导小组办公室负责具体处置工作。其职责包括:
(一)负责网络安全工作的组织、协调和监督,制定相关制度和应急预案。
(二)根据网络安全事件程度提出相应级别预案的启动,组织协调责任单位落实应急预案,共同做好处置工作。
(三)对各单位、部门执行预案及在事件处置中履行职责情况进行检查督办。
第六条 党委宣传部负责学校舆情监测和信息内容安全类事件的处置。
第七条 网络信息中心负责校园基础网络系统安全,保证校园网络服务不中断;负责设备故障类事件的处置;负责计算机病毒疫情和大规模网络攻击事件的处置;负责全校网络信息安全事件处置的技术支持工作。
第八条 保卫处负责协调配合公安部门对网络违规行为进行查处。
第九条 各单位、部门负责本单位的网站和信息系统的网络安全事件的处置工作,应对照本预案,建立本部门应急处置机制。
第四章 预防措施
第十条 学校建立健全安全事件监测预警体系。网络信息中心通过国内主流安全网站、相关安全部门通报等渠道收集计算机操作系统漏洞、网络设备漏洞、木马病毒等预警信息,并及时向学校相关师生用户发布预警信息。同时,网络信息中心对学校重要网络设施、信息系统进行监测,出现异常情况及时告警并处理。
第十一条 各单位、部门严格执行学校网络与信息安全各项管理制度,对本单位所负责管理的信息系统采取相应安全保障措施,重点做好数据备份恢复工作。
第十二条 特殊时期、重要会议期间,各单位、部门安排本单位工作人员值班,对本单位所辖范围的网站和信息系统进行巡查,做到安全事件早发现、早报告、早控制、早解决。
第五章 应急处置
第十三条 事件报告与处置流程
发生网络安全事件时,各单位、部门应根据实际情况第一时间采取断网等有效措施进行处置,将损害和影响降到最小范围,保留现场,并报告本单位负责人。
单位负责人评估事件带来的影响和损害,确认突发事件的类别和等级,组织相关人员赶赴现场进行紧急处置,同时以口头通讯的方式将相关情况通报至网络信息中心。涉及人为主观破坏事件应同时报告保卫处。
网络信息中心接到报告后,应迅速配合开展应急工作,并进一步判定安全事件等级,对确认属I至Ⅲ级安全事件的,应立即报告学校网络安全和信息化工作领导小组,由学校网络安全和信息化工作领导小组统一组织、协调指挥进行应急处置,网络信息中心提供技术支持。
各单位、部门发生安全事件后应于事件发现后6小时内填写《内蒙古医科大学信息技术安全事件情况报告》(附件1),事件处置完毕后3日填写《内蒙古医科大学信息技术安全事件整改报告》(附件2),由本单位主要负责人审核后,签字并加盖公章报送学校网络安全和信息化工作领导小组办公室。领导小组讨论决定是否上报上级安全管理部门。
IV 级安全事件由信息系统主管单位自行负责应急处置工作,并于事件处置完毕后5日内向网络信息中心报送整改报告(附件2)。
第十四条 预警类信息的报告与处置
网络信息中心接到教育部、自治区公安厅、网信办、教育厅等有关信息安全部门通报的安全预警信息后,向相应单位的网络安全负责人进行通报,各单位、部门须积极、按时进行安全整改处置,并按要求在接到通报后2日内填写整改报告(附件2),报送网络信息中心。
第十五条 应急处理措施
(一)有害程序事件
及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的传播端口或相应网络设备的连接端口,及时进行杀毒处理。
(二)网络攻击事件
判断入侵来源的IP地址,区分外网与内网,对于外网入侵,限制对方IP地址的访问,对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和影响。对于内网入侵,查清入侵来源,查找相应的计算机和上网用户,同时断开对应的交换机端口。对于无法制止的入侵,应及时关闭被入侵的服务器或相应设备,同时调整入侵防御设备策略。
(三)信息破坏事件
重要信息系统的数据应提前做好异地备份,一旦数据遭到破坏性攻击,应立即断开网络连接,进行数据恢复。
(四)信息内容安全事件
校内网站出现不良信息后,应当保留证据,迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息的传播,根据网站相关日志记录查找信息发布人并做好善后处理;对公安机关要求学校协查的外网不良信息事件,根据校园网上网相关记录查找信息发布人。
(五)设备故障事件
判断故障发生点和故障原因,如遇设备故障问题,组织相关技术人员尽快抢修故障设备,优先保证校园网主干网络和主要应用系统的运转。如遇停电紧急事件,根据停电时间、UPS电池的供电能力保障最重要的设备和信息系统继续运行,关闭次要的设备和信息系统,供电恢复后,及时恢复关闭的网络设备。
(六)灾害性事件
根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
(七)其它不确定安全事件要结合具体情况,做出相应处理。
(八)后续处理
安全事件被控制后,掌握损失情况、查找和分析事件原因,找出问题根源,明确相应补救措施并彻底清除安全隐患。在确保安全事件解决后,恢复数据、系统服务。
(九)后期处置
应急处置工作结束后,组织有关人员对事件发生原因、影响、责任及应急处置能力、恢复重建等问题进行全面调查评估,并出具总结报告。根据应急处置过程中暴露出的管理、协调和技术问题,改进和完善应急预案,定期实施演练,总结经验教训,整改存在隐患,进一步提升安全防护能力。
第六章 保障措施
第十六条 加强队伍建设,不断提高安全岗位工作人员的信息安全防范意识和技术水平。加强与优秀安全团队和国内主要安全厂商等的合作,确保安全事件处置得当。
第十七条 建立应急处置工作联络组和各单位、部门的网络安全负责人、安全管理员联络通讯录,确保在发生突发事件时通信联络畅通。
第十八条 网络信息中心应根据校园网络信息安全防护和应急处置工作的实际需要,申报网络安全设备及软件的运维专项资金,纳入年度预算,由学校给予资金保障。
第十九条 网络信息中心定期对相关工作人员进行网络与信息系统安全知识培训,增强预防意识和应急处置能力,有针对性地开展应急演练,确保相关措施有效落实。
第七章 附 则
第二十条 本预案自印发之日起实施,由学校网络安全和信息化工作领导小组负责解释。《内蒙古医科大学网络安全突发事件应急预案》(内医校发〔2016〕15号)同时废止。
