为加强我院网络与信息技术安全工作,建立健全应急响应工作机制,保障校园网络与信息系统正常运行,根据《中华人民共和国网络安全法》《教育部关于加强教育行业网络与信息安全的指导意见》,以及教育部办公厅印发的《信息技术安全事件报告与处置流程(试行)》,结合学院实际,制定本制度。
第一章 总则
网络与信息技术安全事件的定义。根据《信息安全事件分类分级指南》(GB/T 20986-2007),本制度中所称的网络与信息技术安全事件(以下简称安全事件)是指有害程序事件、网络攻击事件、设备故障事件、灾害性事件和其他安全事件。
适用范围。本制度适用于我院各处室、系部发生的网络与信息技术安全事件的报告、处置和应急响应工作,涉及全院范围内自建自管的网络与信息系统,尤其是校园网主干设施和重要信息系统安全突发事件的应急处置。
工作原则。坚持“统一领导,快速反应,密切配合,科学处置”的原则,坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,充分发挥各方面力量,共同做好网络与信息技术安全事件的应急处置工作。
第二章 安全事件分类分级与判定
安全事件分类。网络与信息技术安全突发事件依据发生过程、性质和特征的不同,可分为以下四类:
(一)有害程序事件:蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的安全事件。
(二)网络攻击事件:校园网络与信息系统因被非法入侵造成学院门户网站或部门二级网站主页被恶意篡改,应用系统数据被拷贝、篡改、删除等。
(三)设备故障事件:校园网络与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪。
(四)灾害性事件:因洪水、火灾、雷击、地震、台风、非正常停电等外力因素导致网络与信息系统损毁,造成业务中断、系统宕机、网络瘫痪。
安全事件分级。网络与信息技术安全事件依据可控性、严重程度和影响范围的不同,可分为以下四级:
I级(特别重大):学院网络与信息系统发生全院性大规模瘫痪,对学院正常工作造成特别严重损害,且事态发展超出学院控制能力的安全事件;
II级(重大):学院网络与信息系统造成全院性瘫痪,对学院正常工作造成严重损害,事态发展超出信息网络中心的控制能力,需学院各部门协同处置的安全事件;
III级(较大):学院某一区域的网络与信息系统瘫痪,对学院正常工作造成一定损害,信息网络中心可自行处理的安全事件;
IV级(一般):某一局部网络或信息系统受到一定程度损坏,对学院某些工作有一定影响,但不危及学院整体工作的安全事件。
安全事件判定。我院各处室、系部一旦发生安全事件,应根据本制度,视信息系统重要程度、损失情况以及对工作和社会造成的影响迅速自主判定安全事件等级。信息网络中心接到报告后,根据事件情况,进一步做出判定。必要时,信息网络中心组织专家组进行判定或报告学院网络安全和信息化领导小组判定。
第三章 组织体系与职责任务
全院网络与信息技术安全防范及应急处置工作由学院网络安全和信息化领导小组统一领导、指挥、协调。
学院网络安全和信息化领导小组负责决定I级和II级安全事件应急预案的启动,督促检查安全事件处置情况及各有关处室、系部在安全事件处置工作中履行职责情况;负责对全院各部门贯彻执行安全事件报告、应急处置预案的情况进行督促检查。
信息网络中心负责学院网络与信息技术安全应急工作的统筹管理,并提供技术支撑和保障。根据校内发生的安全事件程度,提出相应级别预案的启动,决定III级和IV级安全事件应急预案的启动,对各级别的安全事件依照预案进行处理,并及时收集、通报和上报安全事件处置的有关情况。定期组织信息技术安全应急演练,评估并适时组织安全事件应急预案修订。负责组建学院网络与信息技术安全应急处置队伍,完善24小时应急值守制度。
第四章 安全事件的报告与处置
I至II级安全事件的报告与处置。报告与处置分为三个步骤:事发紧急报告与处置、事中情况报告与处置、事后整改报告与处置。
(一)事发紧急报告与处置
1.网络与信息系统运维操作人员一旦发现上述安全事件,应根据实际情况第一时间采取断网等有效措施进行处置,将损害和影响降到最小范围,保留现场,并报告信息网络中心。
2.信息网络中心接到报告后,应立即组织相关人员赶赴现场进行紧急处置并做好书面记录,进一步判定安全事件等级,对确认属I至II级安全事件的,应迅速报告学院网络安全和信息化领导小组。
3.紧急报告内容包括:(1)时间地点;(2)简要经过;(3)事件类型与分级;(4)影响范围;(5)危害程度;(6)初步原因分析;(7)已采取的应急措施。
4.对确认属I至II级安全事件的, 信息网络中心应立即组织相关技术力量赶赴现场进行协助处置工作。涉及人为主观破坏事件的,做好相关取证和处置工作。
5.信息网络中心应及时跟进事件发展情况,出现新的重大情况应及时补报。
(二)事中情况报告与处置
1.事中情况报告应在安全事件发现后24小时内以书面报告的形式进行报送。
2.事中情况报告由信息网络中心组织编写,报送学院网络安全和信息化领导小组。
3.安全事件的事中处置包括:及时掌握损失情况、查找和分析事件原因,修复系统漏洞,恢复系统服务,尽可能减少安全事件对正常工作带来的影响。如果涉及人为主观破坏的安全事件,应向公安部门报送事中情况报告,配合开展调查。
(三)事后整改报告与处置
1.事后整改报告应在安全事件处置完毕后5个工作日内以书面报告的形式进行总结。
2.安全事件事后处置包括:进一步总结事件教训,研判安全现状,排查安全隐患,进一步加强制度建设,提升安全防护能力。
III至IV级安全事件的报告与处置。发生III至IV级安全事件,信息网络中心应及时自主组织应急处置工作;在事件处置完毕后将整改报告报送学院网络安全和信息化领导小组。
第五章 安全事件的应急预案
预案启动。发生校园网络与信息技术安全事件后,信息网络中心应尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,厘清事件范围,评估事件带来的影响和损害,确认突发事件的类别和等级,并按照响应机制对突发事件进行处置。
应急处理。根据安全事件分类采取不同应急处置方式。
(一)有害程序事件
一般指病毒程序的传播,应及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助,寻找并公布病毒攻击信息,以及杀毒、防御方法。
(二)网络攻击事件
判断攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源网络的物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质不同采取以下方案。
外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外网入侵、定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和影响。
内部入侵:查清入侵来源,如IP地址、所在办公场所等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。
(三)设备故障事件
判断故障发生点和故障原因,迅速联系设备厂商售后部门尽快抢修故障设备,优先保证校园网主干网络和主要应用系统的运转。
(四)灾害性事件
根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
(五)其它不确定安全事件
可根据总的安全原则,结合具体情况,做出相应处理。不能处理的,组织相关领域内的专家、技术人员对问题进行处理。
后续处理。安全事件进行最初的应急处置后,应及时采取行动,抑制其影响进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。安全事件被抑制后,通过对有关事件或行为的分析结果,找出问题根源,明确相应补救措施并彻底清除。在确保安全事件解决后,要及时清理系统,恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。
记录上报。安全事件发生时,应按照不同的安全事件等级进行上报,并在事件处置工作中做好完整的过程记录,保存各相关系统日志,直至处置工作结束。
结束响应。系统恢复运行后,信息网络中心对事件造成的损失、事件处理流程和应急预案进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告。
第六章 附则
本制度由信息网络中心负责解释。
本制度自公布之日起施行。
