學院網絡安全事件應急處理預案

學院網絡安全事件應急處理預案第一章總則第一條編制目的根據《網絡安全事件應急預案》，為加強我校網絡信息安全，提高各單位和個人的網絡安全防范意識，規(guī)范對網絡安全漏洞的處理，提高我校處置網絡與信息安全突發(fā)公共事件的能力，形成科學、有效、反應迅速的應急工作機制，確保重要計算機信息系統(tǒng)的實體安全、運行安全和數(shù)據安全，最大限度地減輕網絡安全事件造成的危害，維護學校正常的教學、科研和管理秩序，促進網絡與信息安全建設，特制訂本預案。第二條編制依據根據《突發(fā)事件應對法》《網絡安全法》《計算機信息系統(tǒng)安全保護條例》《突發(fā)事件應急預案管理辦法》《國家網絡安全事件應急預案》《教育系統(tǒng)網絡與信息安全類突發(fā)公共事件應急預案》《教育系統(tǒng)網絡安全事件應急預案》《信息安全事件分類分級指南》(GB/Z20986-2007)《信息技術安全事件報告與處理流程》。第三條適用范圍本預案適用于XX學院網絡信息系統(tǒng)、網站上的網絡安全隱患修復工作及發(fā)生在XX學院校園網上的突發(fā)性事件應急工作。按照《國家網絡安全事件應急預案》規(guī)定，網絡安全事件是指由于人為原因、軟硬件缺陷或故障、自然災害等，對網絡和信息系統(tǒng)或者其中的數(shù)據造成危害，對社會造成負面影響的事件，具體分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他事件。有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合攻擊程序事件、網頁內嵌惡意代碼事件和其它有害程序事件。如系統(tǒng)感染勒索病毒、網站被上傳Webshell、系統(tǒng)被**或控制等。網絡攻擊事件分為拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件，網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件。如系統(tǒng)遭DDOS攻擊、SQL注入攻擊、嘗試爆破密碼等。信息破壞事件分為信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其它信息破壞事件。如發(fā)現(xiàn)網絡上存在與系統(tǒng)數(shù)據高度雷同的數(shù)據，或發(fā)現(xiàn)業(yè)務數(shù)據被篡改。信息內容安全事件是指通過網^發(fā)布、傳播法律法規(guī)禁止信息，組織非法串聯(lián)、煽動集會游行或炒作敏感問題并危害**安全、社會穩(wěn)定和公共利益的事件。如網站被懸掛反動標識，或有人在網站互動區(qū)發(fā)布非法內容等。設備設施故障分為軟硬件自身故障、外圍保障設施故障、人為破壞事故和其它設備設施故障。如服務器硬件故障，機房供電中斷等災害性事件是指由于自然災害等其他突發(fā)事件導致的網絡安全事件。如機房遭遇地震、火災等。其他事件是指不能歸為以上分類的網絡安全事件。第四條工作原則統(tǒng)一領導、統(tǒng)一指揮、整體**學校網絡安全和信息化領導小組同時也是學校網絡安全事件應急處置工作組，負責我校網絡安全事件應急處置工作，建立健全處置網絡安全類突發(fā)公共事件的快速反應機制，確保預警、發(fā)現(xiàn)、報告、指揮、處置等環(huán)節(jié)的緊密銜接，做到快速反應，正確應對，果斷處置，防止事態(tài)升級和蔓延擴大。同時成立網絡安全應急處置專家咨詢組，提高應急保障能力。學校網絡安全和信息化領導小組統(tǒng)一領導和協(xié)調，督促相關部門協(xié)同配合、具體實施，完善應急工作體系和機制，最大限度地避免學校及師生員工遭受損失。各司其職，明確責任按照“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，建立和完善安全責任制及聯(lián)動工作機制。根據部門職能，各司其職，加強學校學院間、部門間、學院與部門間的協(xié)調與配合，共同履行網絡安全事件應急處置工作的管理職責。防范為主，加強監(jiān)控堅持事件處置和預防工作相結合，宣傳普及網絡安全防范知識，貫徹預防為主的思想，樹立常備不懈的觀念，做好應對網絡安全突發(fā)事件的思想準備、預案準備、機制準備和工作準備，從法律、管理、技術、人才等方面，采取多種措施，提高公共防范意識以及網絡安全綜合保障水平。加強對網絡安全隱患的日常監(jiān)測，發(fā)現(xiàn)和防范重大網絡安全突發(fā)性事件，及時采取有效的可控措施，迅速控制事件影響范圍，力爭將損失降到最低程度。加強保障，重在建設加強技術儲備，規(guī)范應急處置措施與操作流程，定期進行預案演練，確保應急預案切實有效，實現(xiàn)網絡安全事件應急處置的快速化、科學化、規(guī)范化。第二章組織機構和職責任務第五條組織機構學校網絡安全和信息化領導小組同時作為網絡安全事件應急處置工作組網絡安全應急處置咨詢專家組由黨委宣傳部、網絡安全與信息化中心負責組織成立網絡安全應急處置咨詢專家組。第六條工作職責工作組主要職責（1）統(tǒng)一指揮學校網絡安全事件的預防和處置。（2）組織網絡安全事件預警演練和培訓。指導學校各個二級部門建立預警監(jiān)控和防控機制，并定期檢查信息安全工作。（3）收集和統(tǒng)計網絡系統(tǒng)安全漏洞信息，適時向上級部門匯報。（4）指導有關單位及部門處置突發(fā)性網絡安全事件，協(xié)助有關部門采取有效措施妥善處置、消除漏洞。（5）研究確定網絡安全事件性質、類型和級別，下達應急處置任務。（6）督查事發(fā)單位或相關部門開展應急處置和善后恢復工作。（7）組織評估重大網絡安全事件所產生的損失與相關的處置情況。專家組的主要職責：（1）在出現(xiàn)重大網絡安全事件時提供處置指導意見。（2）在處置完重大網絡安全事件后對事件的后果與損失、事件處置情況進行評估指導。（3）對所提出的網絡安全應急響應技術、系統(tǒng)、具體方案、建議等進行評估，并提出推廣建議。在網絡安全應急處置演練中對演練預案提出指導意見，對演練結果提出評價意見。在網絡安全應急處置人員培訓方面發(fā)揮作用。第三章網絡安全事件處置方法第七條事件監(jiān)測與預警學校網絡安全事件應急處置工作組要預先建設網絡安全事件預警預報體系，開展事件調查，編制事件防治規(guī)劃，建設專業(yè)監(jiān)測網絡，及時處理網絡安全事件。網絡安全與信息化中心要充分發(fā)揮專業(yè)監(jiān)測的作用，進行定期和不定期的檢查，加強對網絡重點部位的監(jiān)測和防范，必要時發(fā)布網絡安全預警信息。按照緊急程度、發(fā)展態(tài)勢和可能造成的危害程度，教育系統(tǒng)網絡安全事件預警等級分為四級：由高到低依次用紅色、橙色、黃色和藍色表示，分別對應發(fā)生或可能發(fā)生的特別重大、重大、較大和一般網絡安全事件。事件預警研判和發(fā)布參照《教育系統(tǒng)網絡安全事件應急預案》執(zhí)行，學校按照預案做好預警響應工作。第八條處置流程發(fā)現(xiàn)情況學校二級學院及其他部門嚴格執(zhí)行值班制度，做好校園網絡信息系統(tǒng)安全的日常巡查及其日志保存工作。確保如果有網絡安全事故發(fā)生，第一時間發(fā)現(xiàn)并向學校網絡安全事件應急處置工作組匯報。事件定級：網絡安全與信息化中心和相關部門在網絡安全事件發(fā)生后，立即切斷問題設備與其它設備的網絡連接并組織工作人員盡最大可能收集事件相關信息，鑒別事件性質，確定事件來源，弄清事件范圍，評估事件帶來的影響和損害，確認事件的類別和等級。網絡安全事件應急響應分為I級、II級、III級、W級等四級，分別對應教育系統(tǒng)特別重大、重大、較大和一般網絡安全事件。I級為最高響應級別。應急響應啟動應急處置預案，根據事件等級采取相應的響應方式：I級立即上報教育網絡安全和信息化小組辦公室，按照教育部網絡安全應急辦、省網絡安全應急辦的統(tǒng)一部署開展應急處置工作。全面掌握學院各級各類網絡和信息系統(tǒng)受事件影響的程度，迅速控制事態(tài)防止蔓延，并隨時向上級網絡安全應急辦上報事態(tài)發(fā)展變化情況和處置進展情況。II級立即啟動立即上報教育廳網信辦，在工作組的統(tǒng)一領導、指揮、協(xié)調下組織人員開展應急處置。在啟動應急處理預案的同時，全面做好事件調查、跟蹤及事態(tài)控制。III級立即啟動III級響應，做好應急處置工作。同時，及時填寫《教育系統(tǒng)網絡安全事件情況報告》，逐級上報省教育廳網信辦。W級立即啟動W級響應，做好應急處置工作。具體處置辦法如下：（1）網絡出口和核心交換機遭受損壞的，有關人員立即到現(xiàn)場查明事故原因并盡快修復或啟動備用設備和出口，同時及時通報有關情況。（2）光纜系統(tǒng)受到損壞的，立即組織人員修復，并視影響范圍大小決定通報范圍。（3）校園網服務器被攻占，立即停止該服務器對外發(fā)布信息，恢復正常的信息并查找攻擊來源。（4）由于病毒或網絡攻擊造成網絡癱瘓的，及時與上級有關部門和相關專業(yè)公司保持聯(lián)系，針對具體情況拿出修復方案，恢復正常運行。（5）學校主要信息系統(tǒng)受到損害的，立即將有關服務器脫離網絡，并查找損害原因，根據不同情況制定恢復辦法。（6）對發(fā)現(xiàn)利用校園網發(fā)布、傳播法律法規(guī)禁止信息及影響政治穩(wěn)定的有害信息的，會同黨委宣傳部組織人員實行24小時網絡監(jiān)控，并開通網絡監(jiān)控電話，發(fā)現(xiàn)學校范圍內的電子公告欄、留言板等交互欄目和網站、網頁、個人主頁上有發(fā)布、傳播可能影響政治穩(wěn)定的有害信息的，立即予以處置：保存信息證據，刪除或隱藏相關信息，以最快速度縮小影響面，并通知相關管理部門或個人進行處理。情況嚴重的，立即關閉上述有關網絡欄目或網站、主頁，以待作進一步處理。（7）對利用校園網傳播不良信息、泄漏機密的，一旦發(fā)現(xiàn)，立即保存信息證據，刪除或隱藏相關信息，消除影響，并對相關管理部門或個人進行批評教育，責令改正；情況嚴重的，按照有關網絡信息管理的規(guī)定進行處理，直至追究有關責任人的法律責任。（8）對利用校園網從事非法網上聚集或其他非法活動的，本著“誰主管、誰負責”的原則，上述情況一經出現(xiàn)，立即關閉相應信息應用系統(tǒng)或網站，通知相關單位主要負責人，果斷采取強制性措施，進行緊急處置，堅決予以制止。（9）對利用校園網電子郵件系統(tǒng)和其他途徑發(fā)送危害**安全、宣揚**和擾亂社會秩序的各種謠言的，及時掌握情況，并立即通過刪除、隱藏、整理等辦法處理信息；通過降低用戶等級、封殺用戶帳號、批評教育網絡用戶、隱藏相關版面乃至按照有關紀律處理相關用戶等，及時消除可能導致不良后果的信息。發(fā)布預警網絡安全事件發(fā)生時，可根據事件等級適當?shù)匕l(fā)布預警，特別是一些在其它地方已經出現(xiàn)，或在安全相關網站發(fā)布了預警而學校信息網絡還沒有出現(xiàn)相應的網絡安全事件，除在技術上進行防范以外，還應當向網絡信息用戶發(fā)布預警，直至事件警報解除。預案終止I級響應終止以教育部網絡安全應急辦或省網絡安全應急辦部署為準。II級響應終止以省教育廳網信辦安排為準。III級、W級響應終止以學院網絡安全事件應急處置工作組鑒定為準，并予以公告。后續(xù)處理安全事件應急處置后，應及時采取措施，抑制其影響進一步擴大，限制潛在的損失與破壞，同時要確保應急處置措施對涉及的相關業(yè)務影響最小。安全事件被抑制后，通過對有關事件或行為的分析結果，找出問題根源，明確相應補救措施并徹底清除。安全事件解決后，要及時清理系統(tǒng)，恢復數(shù)據、程序、服務，恢復工作應避免出現(xiàn)誤操作導致的數(shù)據丟失。第九條總結上報特別重大網絡安全事件和重大網絡安全事件的總結上報由國家及省一級相關部門完成。較大網絡安全事件在系統(tǒng)恢復運行后，由學校網絡安全事件應急處置工作組對事件造成的損失、事件處理流程等開展調查及分析評估，總結經驗教訓，提出處理意見和改進措施，填報《教育系統(tǒng)網絡安全事件整改報告》，將調查評估結果匯總逐級上報省教育廳網信辦。一般網絡安全事件由學校網絡安全事件應急處置工作組對事件造成的損失、事件處理流程等開展調查處理和總結評估。網絡安全事件的調查處理和總結評估工作在應急響應結束后5天內完成，應對事件的起因、性質、影響、責任等進行分析評估，提出處理意見和改進措施，處理結果上報上級主管部門，屬于重大事件或存在非法犯罪行為的，還須第一時間向公安機關報案。第四章保障措施網絡安全處置是一項長期的、持續(xù)的、跟蹤式的、深層次的和各階段相互