第一章 总则
第一条 总则部分提供了重要的背景或相关信息,使应急响应计划更容易理解、实施和维护,包括编制目的、适用范围、编制依据、工作原则等。
1、编制目的:根据《湖南省教育系统网络安全事件应急预案》文件精神,建立健全betway必威网络与信息安全应急响应工作机制,规范网络安全事件工作流程,迅速、及时、有效地开展各项处置工作,提高应急情况快速处置的能力,有效预防、及时控制和最大限度地减少网络信息安全事件造成的损失和危害,维护学校安全和稳定。
2、适应范围:本预案适用于学校各部门和二级学院发生或可能导致发生网络与信息安全突发事件的应急处置工作。按照《国家网络安全事件应急预案》规定。本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、数据(信息)破坏事件、设备设施故障、灾害性事件和其他事件。信息内容安全事件的应对,参照有关规定和办法。
3、编制依据:《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》等法律法规,以及《国家突发公共事件总体应急预案》、《国家网络安全事件应急预案》《公安机关互联网安全监督检查规定(公安部令第151号)》、《湖南省突发事件应急预案管理办法》、《湖南省教育系统网络安全事件应急预案》、《信息安全技术信息安全事件分类分级指南》 (GB/Z20986-2007)等文件。
4、工作原则:坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持“谁主管谁负责,谁主办谁负责,谁使用谁负责”,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。严控网络安全事件风险和影响范围,最大程度地减少危害和影响。
第二条 本管理办法适用于学校所有与信息系统相关的突发性事故。
第二章 组织机构与职责
第三条 领导机构与职责
学校网络安全和信息化工作领导小组统筹协调学校全局性网络安全事件应急工作。主要职责:
1.贯彻落实上级网络信息安全相关工作的部署和要求,加强网络信息安全工作的领导。
2.决定学院网络信息安全应急工作的有关重大问题。
3.决定启动学校网络与信息安全突发事件应急指挥部,统一领导和组织指挥重大信息安全突发事件的应急处置工作。
4.决定Ⅲ级和Ⅳ级网络信息安全突发事件应急预案的启动。
第四条 办事机构与职责
在学校网络安全和信息化工作领导小组的领导下,信息中心负责网络安全应急管理工作。主要职责:
1.落实学院网络安全和信息工作领导小组做出的应急决定和措施。
2.对接教育厅网络安全和信息化领导办公室和省市党委、政府网络安全职能部门,向学校网络安全和信息化工作领导小组报告网络安全事件情况。
3.响应教育厅网络安全和信息化领导小组发布的Ⅰ级、Ⅱ级网络安全事件预警及应急处置方案。
4.组织力量对Ⅲ级和Ⅳ级突发事件进行应急处置;检查、协调指导网络信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作。
5.信息中心负责校园基础网络系统安全监测工作;负责网络攻击、设备故障类事件的处置;负责全校网络信息安全事件处置的技术支持工作。
6、党政办公室负负责组织重大敏感时期、重要活动、重要会议期间发生的信息安全事件的协调处置;负责涉密级信息网络泄密类事件的处理。
7、宣传部负责负责学校舆情监控和信息内容安全类事件的处置,对于涉及师生政治思想方面的预警性、倾向性、苗头性的问题,妥善有效应对,做好媒体沟通工作,进行舆论引导。
8、保卫处密切联系公安部门,负责涉及人为破坏类事件的处置,配合重大安全事件的处置。
9、各职能部门、二级学院负责本部门网站和业务系统的信息安全事件的处置工作。
第三章 监测与预警
第五条 预警分级
按照紧急程度、发展态势和可能造成的危害程度,网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生的特别重大、重大、较大和一般网络安全事件。
第六条 安全监测
1.事件监测。对已经发生的网络安全事件,按上级网络监测部门的要求,组织对学校网络信息系统(网站)的运行状况进行密切监测,一旦发生网络安全事件,应理解处理,同时通过电话等方式向学校分管网络信息工作的校领导报告,如有必要需向教育厅网信办报告,不得谎报、瞒报、漏报。
2.威胁监测。信息中心跟踪教育部教育系统网络安全工作管理平台所发布安全威胁信息,对网络信息系统(网站)的安全威胁进行监测,对发生的威胁及时进行处置和上报。
第七条 预警研判和发布
信息中心对监测信息进行初步研判,对发生网络安全事件的可能性及其可能造成的影响进行初步分析评估,需要立即采取防范措施,问题严重的需同时上报分管网络信息的校领导;经学校网络安全和信息化工作领导小组研判为可能发生重大以上(含重大)网络安全事件的信息,应立即向教育厅网信办报告。
红色预警由教育部网络安全应急办公室负责发布。橙色以下(含橙色)预警由省教育厅网信办统一发布。黄色和蓝色预警由学校网信办报学校网络安全和信息化工作领导小组批准后发布。对达不到预警级别但又需要发布警示信息的,可发布风险提示信息。预警信息包括预警级别、起始时间、可能影响范围、警示事项、应采取的措施、时限要求和发布单位等。
第八条 预警响应
1.红色预警响应
(1) 学校信息中心按照教育部网络安全应急办公室要求组织预警响应工作,联系有关部门、专业机构和专家,组织对事态发展情况进行跟踪研判,研究制定防范措施和应急工作方案,协调调度各方资源,做好各项准备,重要情况报教育厅网信办。
(2)组织跟踪和分析研判,密切关注事态发展,做好监测分析和信息搜集工作;开展应急处置或准备、风险评估;密切关注舆情动态,加强教育引导,采取有效措施管控风险。
(3)组织实行24小时值守,相关人员保持通信联络畅通。
(4)做好与教育厅信息中心和专业机构沟通协调的准备工作;联系安全技术支撑部门,研究制定应对方案,检查设备、软件工具等,确保处于良好状态。
2.橙色预警响应
(1) 学校信息中心按照省教育厅网信办相应应急预案要求,组织开展预警响应工作,做好风险评估、应急准备和风险控制工作。
(2)及时将事态发展情况报省教育厅网信办。
(3)信息中心技术支撑队伍保持联络畅通,检查应急设备、软件工具等,确保处于良好状态。
3.黄色、蓝色预警响应
(1) 学校信息中心提出相应预警级别,报经学校网络安全和信息化工作领导小组批准后,组织开展预警响应工作;做好风险评估、应急准备和风险控制工作。
(2) 各信息设备和应用系统使用部门加强运行监测,将重要信息及时报告学校信息中心,信息中心组织力量及时排除各类隐患。
(3) 信息中心技术支撑队伍保持联络畅通,与使用部门、开发单位加强沟通,检查应急设备、软件工具等,确保处于良好状态,做好突发事故处置的准备工作。
第九条 预警解除
预警发布部门根据实际情况,确定是否解除预警,及时发布预警解除信息。
第四章 应急响应流程
第十条 初步处置
网络安全事件发生后,学校信息中心应立即启动应急预案,组织应急队伍根据不同的事件类型和事件原因,采取科学有效的应急处置措施,尽最大努力将影响降到最低, 并注意保存网络攻击、 网络入侵或网络病毒等证据。
经分析研判,初判为特别重大、重大网络安全事件的,应立即报告教育厅网信办;对于人为破坏活动,应同时报教育厅网信办和公安机关。
第十一条 应急响应
网络安全事件应急响应分为Ⅰ级、Ⅱ级、Ⅲ级、Ⅳ级等四级,分别对应特别重大、重大、较大和一般网络安全事件。由国家网络安全应急办公室研判确定为国家级特别重大网络安全事件的,由国家网络安全应急办公室统一组织应急处置工作, 具体要求以国家网络安全应急办公室部署为准。
1.Ⅰ级响应。发生特别重大网络安全事件,学校信息中心在教育系统网络安全事件应急工作组(以下简称工作组),统一组织指挥和协调下对事件进行处置。
(1)启动学校指挥体系
①学校网络安全和信息化工作领导小组进入应急状态,领导小组成员迅速到位,向主要校领导汇报情况,研究对策,协调部署应对工作,同时向上级部门报送信息。学校派员参加教育厅网信办工作。
②业务信息系统(网站)所属主管部门进入应急状态,在学校网络安全和信息化工作领导小组的统一领导、指挥、协调下组织人员开展应急处置或支援保障工作,启动24小时值守。
(2)掌握事件动态
①跟踪事态发展。学校信息中心与教育厅网信办保持联系,将事态发展变化情况和处置进展情况上报教育厅网信办。
②检查影响范围。学校信息中心立即全面了解学校网络和信息系统是否受到事件的波及或影响,并将有关情况及时通报教育厅网信办。
③及时通报情况。学校信息中心及时传达教育厅网信办的有关通报。
(3)决策部署。学校信息中心及时落实教育厅工作组对处置工作的决策部署。
(4)处置实施
①控制事态防止蔓延。采取各种技术措施、管控手段,最大限度阻止和控制事态蔓延。
②消除隐患恢复系统。根据事件发生原因,针对性制定解决方案,备份数据、保护设备、排查隐患。对业务连续性要求高的受破坏网络与信息系统要及时组织恢复。
③调查取证。事发部门应在保留相关证据的基础上,开展问题定位和溯源追踪工作。 积极配合当地网信部门和公安机关开展调查取证工作。
④信息发布。在省教育厅办公室指导协调下,学院党政办和宣传部开展新闻发布和舆论引导工作。未经教育厅批准,任何单位和个人不得擅自发布相关信息。
⑤协调支持。处置中需要上级技术及工作支持时,可向教育厅网信办申请,联系省委省政府和教育部网络安全职能部门予以支持。
⑥次生事件处置。对于引发或可能引发其他安全事件的,学校信息中心向教育厅网信办应及时按程序上报,由教育厅网信办组织协调应急处置工作。
2.Ⅱ级响应。网络安全事件的Ⅱ级响应,由教育厅网信办确定并发布。
(1)学校信息中心响应教育厅网信办的发布进入应急状态,按照相关应急预案做好应急处置工作。
(2)事发部门及时填写《网络信息安全事件情况报告》,报学校信息中心,由学校信息中心报学校网络安全和信息化工作领导小组确定后报教育厅网信办。
(3)处置中需要其他单位和网络安全应急技术支撑队伍配合和支持的,可向教育厅网信办申请,协调省委省政府和教育部网络安全职能部门予以支持。
(4)学校信息中心根据教育厅通报,结合学校实际有针对性地加强防范,防止造成更大范围影响和损失。
3.Ⅲ级和Ⅳ级响应。网络安全事件的Ⅲ级和Ⅳ级响应,由学校信息中心提出相应级别,报学校网络安全和信息化工作领导小组确定并发布。
(1)学校信息中心进入应急状态,按照相关应急预案做好应急处置工作。
(2)各部门、二级学院发生网络信息安全突发事件后,应立即报告学院信息中心,由信息中心技术员负责处置,并初步进行评估。信息中心发现网络攻击突发事件时,及时进行处置。
(3)事发部门配合信息中心立即对突发事件进行调查核实、保存相关证据,及时填写 《网络信息安全事件情况报告》,报学校信息中心,学校信息中心将有关事项及时通报学校网络安全和信息化工作领导小组。
(4)事发部门在学校信息中心的指导下,结合实际情况有针对性地加强防范,防止造成更大范围影响和损失。
第十二条 应急结束
1.Ⅰ级响应结束。由教育厅网信办及时通报有关单位。
2.Ⅱ级响应结束。由教育厅网信办根据实际决定Ⅱ级响应的结束。学校结束应急响应报教育厅网信办。
3.Ⅲ级、Ⅳ级响应结束。由学校网信办组织相关部门及专家组对网络信息安全事件的处置情况进行综合评估,提出应急行动结束建议,报学院网络与信息安全应急工作领导小组批准后解除Ⅲ级、Ⅳ级响应状态。
第五章预防工作和保障工作
第十三条 预防工作
(一)日常管理
各部门、二级学院应做好网络安全事件日常预防工作,根据本预案制定完善网络安全、信息保护、计算机使用等相关的配套管理制度,建立完善的应急机制。按照网络安全等级保护、关键信息基础设施防护等相关要求落实各项防护措施,做好网络安全检查、风险评估和容灾备份,加强信息系统的安全保障能力。
(二)监测预警和通报
各部门、二级学院应加强网络安全监测预警和报告,及时发现并处置安全威胁。学校信息中心应全面掌握学校信息系统(网站)情况,建立学校的网络安全监测预警和通报机制,及时修复安全威胁,全面排查安全隐患,提高发现和应对网络安全事件的能力。
(三)应急演练
信息中心应定期组织应急演练,将演练情况记录在案。
(四)宣传教育
宣传部与信息中心应将网络安全教育作为国家安全教育的重要内容,加强突发网络安全事件预防和处置的有关法律、 法规和政策的宣传教育。同时,充分利用网络安全周等各种活动形式和传播媒介,开展网络安全基本知识和技能的宣传活动,提高在校师生的网络安全意识。
(五)工作培训
信息中心应定期组织网络安全培训,将网络安全事件的应急知识列为领导干部和有关人员的培训内容,加强网络安全特别是网络安全事件应急预案的学习,提高网络安全管理和技术人员的防范意识及安全技能。
第十四条 保障工作
(一)机构和人员
各部门、二级学院主要负责人为网络安全应急工作责任人,按照“谁主管谁负责,谁主办谁负责,谁使用谁负责”的原则,把网络安全应急工作责任落实到具体岗位和具体工作人员,指定信息安全管理员,建立健全应急工作机制,并将网络安全应急工作作为重点工作予以部署。
(二)技术支撑
信息中心为网络安全技术支撑部门,加强网络安全应急技术支撑队伍建设和网络安全物资保障,做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。
(三)专家队伍
建立学校网络安全专家咨询队伍,提高应急保障能力。与教育厅教育系统网络安全专家组衔接,为网络安全事件的预防和处置提供技术咨询和决策建议。
(四)信息共享与应急合作
学校信息中心加强与网络安全职能部门、 网络安全专业机构和知名互联网安全企业等单位的合作,建立网络安全威胁的信息共享机制和网络安全事件的快速发现、协同处置机制。
(五)经费保障
财务部门对网络安全应急工作提供必要的经费预算,利用现有政策和资金渠道,支持网络安全应急技术支撑队伍建设、专家队伍建设、预警监测和态势感知平台建设、监测通报、宣传教育培训、预案演练、物资保障等工作。
(六)监督与奖惩
1、有下列事迹之一者,由学校视实际情况给予表彰或奖励:
(1)在处置紧急情况工作中,组织严密,指挥得当,出色完成任务者;
(2)及时准确报送紧急情况,为应急处置赢得时间,成效显著者;
(3)为处置紧急情况献计献策,成效显著者;
(4)其他有特殊贡献,成效显著者。
2、有下列行为之一者,视其情节和危害后果,由学校或上级部门给予纪律处分;构成犯罪的,依法追究刑事责任:
(1)玩忽职守,隐瞒、缓报、谎报或授意他人隐瞒、缓报、谎报紧急情况,延误处置或造成严重后果和重大影响的;
(2)遇紧急情况不及时采取措施处置或采取措施不力,造成严重后果和重大影响的;
(3)在处置紧急情况工作中不服从指挥,不负责任,或在紧要关头临阵脱逃的;
(4)其它危害应急处置工作造成严重后果和重大影响的。
第六章 应急的不同处置方式
第十五条 网络攻击事件紧急处置方式
1、当发现网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向信息安全员通报情况。
2、信息安全相关人员应在接到通知后立即赶到现场,判断攻击的来源与性质,关闭影响安全的网络设备和服务器设备,必要时断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。
3、在保护现场的同时,对现场进行取证分析,并写出分析报告。
4、网络安全和信息化领导小组经会商,认为事态严重的,则应立即向省教育厅网信办报告和向公安部门报警。
第十六条 病毒传播事件紧急处置方式
1、当发现有计算机被感染上病毒后,应立即向信息安全员报告,及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络。
2、信息安全相关人员在接到通报后立即赶到现场。对该设备的硬盘进行数据备份。启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
3、如果感染病毒的设备是主服务器,应立即告知各部门做好相应的清查工作。
4、如果现行反病毒软件无法清除该病毒,应立即向学院信息中心报告,并迅速联系有关产品商研究解决。
5、网络安全和信息化领导小组经会商,认为情况严重的,则应立即向省教育厅网信办报告和向公安部门报警。
第十七条 软件系统遭破坏性攻击的紧急处置方式
1、重要的软件系统平时必须存有备份,与软件系统相对应的数据,按容灾备份要求间隔按时进行备份,并将它们保存于安全处。
2、一旦软件遭到破坏性攻击,应立即向信息安全员报告,并将该系统停止运行。
3、检查信息系统的日志等资料,确定攻击来源,再恢复软件系统和数据。并将有关情况向学校信息中心报告,
4、网络安全和信息化领导小组经会商,认为情况严重的,则应立即向省教育厅网信办报告和向公安部门报警。
第十八条 数据库安全紧急处置方式
1、主要数据库系统需进行数据库备份,一旦数据库崩溃,值班人员应立即启动备用系统,并向信息安全负责人报告。
2、在备用系统运行期间,信息安全员应对主机系统进行维修并作数据恢复。如果系统均崩溃而无法恢复,应立即向有关厂商请求紧急支援。
第十九条 广域网外部线路中断紧急处置方式
1、广域网主、备用线路中断一条后,值班人员应立即启动备用线路接续工作,同时向信息安全员报告。
2、信息安全员接到报告后,应迅速组织判断故障节点,查明故障原因。
3、如属学校内部管辖范围,由信息安全员立即予以恢复。
4、如属电信部门管辖范围,立即与电信维护部门联系,要求修复。
5、如果主、备用线路同时中断,信息安全相关负责人应在判断故障节点,查明故障原因后,尽快研究恢复措施,并立即向网络安全和信息化领导小组汇报。
第二十条 局域网中断紧急处置方式
1、设备管理部门平时应准备好网络备用设备,存放在指定的位置。
2、局域网中断后,信息安全相关人员应立即判断故节点,查明故障原因,并向学校信息中心汇报。
3、如属线路故障,应重新安装线路。
4、如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。
5、如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调测通畅。
7、如果设备一时不能修复,向网络安全和信息化领导小组汇报,并发出通知。
第二十一条 设备安全紧急处置方式
1、服务器、核心交换机等关键设备损坏后,值班人员应立即向信息安全员报告。
2、信息安全相关人员立即查明原因,如果能够自行恢复,应立即用备件替换受损部件。
3、如属不能自行恢复的,立即与设备提供商联系,尽快抢修故障设备,优先保证校园网主干网络和主要应用系统的运转。
4、如果设备一时不能修复,向网络安全和信息化领导小组汇报,并发出通知。
第二十二条 灾害性事件紧急处置方式
根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
第二十三条 信息内容安全事件紧急处置方式
1、接到校内网站出现不良信息的报案后,应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息传播。
2、查找信息发布人并做好善后处理。
3、对公安机关要求betway必威协查的外网不良信息事件,根据校园网上网相关记录查找信息发布人。
第二十四条 其它不确定安全事件紧急处置方式
可根据总的安全原则,结合具体情况,做出相应处理,不能处理的及时咨询上级信息安全机构。
第七章 附则
第二十五条 本方案由信息中心负责解释。
第二十六条 本方案自发布之日起执行。