豫医专〔2017〕115号
河南医学高等专科学校关于印发
网络与信息安全事件应急预案的通知
各单位、部门:
现将《河南医学高等专科学校网络与信息安全事件应急预案》印发给你们,请认真遵照执行。
2017年11月7日
河南医学高等专科学校
网络与信息安全事件应急预案
第一章 总 则
第一条 为最大限度的提高学校应对网络与信息安全突发事件的能力,降低信息安全突发事件带来的影响与危害。保障我校师生及员工正常的教学工作的进展。根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《河南省教育厅关于进一步加强全省教育系统网络信息安全管理工作的意见》等有关法律、法规和标准规定,结合学校实际,制定本预案。
第二条 本预案适用于:本校校园网运行的通信网络、门户网站、业务系统、办公网络、各种信息服务系统等。
第三条 工作原则
坚持学校统一领导、部门分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持谁主管谁负责、谁运行谁负责;坚持预防预警与应急处置相结合。
第二章 组织机构与职责
第四条 领导机构与职责
(一) 领导机构
成立学校网络与信息安全工作领导小组(以下简称安全工作领导小组)。成员如下:
组 长:校长
副组长:全体副校级干部
成 员:职能部门负责人和系部主任
(二)安全工作领导小组职责
(1)全面领导和协调网络与信息安全应急处置工作;
(2)负责协调和督促整个应急事件的处理过程。有针对性地组织专业技术人员对应急突发事件进行增援处理;必要时去现场督促,对于超出界定的突发事件,尽快提出紧急补救措施进行恢复;
(3)认真搞好各项物资保障,严格按照预案要求积极配备网络安全设施设备,落实网络线路、交换设备、网络安全设备等物资,强化管理,使之保持良好工作状态;
(4)负责组建网络与信息安全事件应急救援队伍,定期或不定期地对应急小组成员进行技能培训和应急演练;
(5)采取一切必要手段,组织各方面力量全面进行网络安全事故处理工作,把不良影响与损失降到最低点;
(6)负责学校网络与信息安全事件调查。
第五条 办事机构与职责
(一)办事机构
安全工作领导小组下设办公室,是负责学校网络与信息安全事件具体办事机构,成员如下:
主 任:党办(宣传部)主任
副主任:现代教育技术中心主任
成 员:宣传部全体人员、现代教育技术中心全体人员、各系(部)和处室兼职网络与信息安全管理员。
(二)安全工作领导小组办公室职责
(1)负责学校网络与信息安全事件的预防、监测、报告和应急处置工作;
(2)负责及时清理危害国家安全、社会稳定及学校正常秩序的非法信息;
(3)发生I级、Ⅱ级网络与信息安全事件后,按照预案要求进行先期处置,并迅速上报相关领导,尽快恢复网络的正常运行;
(4)收集、分析工作信息,及时上报重要信息。对可能演变为I级、Ⅱ级网络与信息安全事件,应及时向安全领导小组汇报;
(5)对于在应急故障处理期间发生的新问题、新情况,应认真登记,及时上报;对于超出《应急预案》界定的应急事件,应及时向安全工作领导小组汇报,提出补救措施进行恢复。
第三章 事件分类分级
第六条 事件分类分级
(一)事件分类
根据网络与信息安全突发事件的发生过程、性质和特征,网络与信息安全事件可划分为网络安全事件和信息安全事件。网络安全事件主要指有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件等;网络信息安全事件主要指校园网络中各信息服务设备中出现的信息安全事件,如非法信息、泄密事件等。
(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
(二)事件分级
根据网络与信息安全事件的可控性、严重程度和影响范围和学校的实际情况,网络与信息安全事件分为四级:Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般)。
(1)符合下列情形之一的,为特别重大网络与信息安全事件(Ⅰ级):
①信息系统被攻击严重篡改、数据严重泄露、校园系统被利用传播国家涉密信息、反动信息、煽动性信息、谣言等情况,泄露国家机密,对国家造成危害、社会公共利益构成严重危害,或对校园安全构成特别严重危害,严重影响学校教学秩序,引起群体性或其他重大影响并经教师生反应有过激行为的事件。机房发生火灾等。
(2)符合下列情形之一且未达到特别重大网络与信息安全事件(Ⅰ级)的,为重大网络与信息安全事件(Ⅱ级):
①大面积校园网中断,超过80%;
②病毒、蠕虫发作导致网络核心瘫痪;核心业务系统瘫痪,无法使用;
③信息系统中的数据丢失或被窃取、篡改、假冒,对社会公共利益造成危害或校园安全严重影响;
(3)符合下列情形之一且未达到重大网络与信息安全事件(Ⅱ级)的,为较大网络与信息安全事件(Ⅲ级):
①小面积或某个部门网段中的计算机无法联网、或无法访问信息系统;普通应用系统瘫痪造成无法使用。
②信息系统中的数据丢失或被窃取、篡改、假冒,对校园秩序造成一般危害。
(4)除上述情形外,对校园安全、秩序、利益不构成实质威胁、造成影响极小的网络与信息安全事件,为一般网络与信息安全事件(Ⅳ级)。
第四章 预防预警
第七条 预防预警处置
(一)IV级事件发生时,由现代教育技术中心组织系统分管相关安全维护人员自行进行处理。
(二)III级事件发生时,首先由现代教育技术中心组织系统和安全维护人员协同进行处理。
(三)II和I级事件发生时,直接启动相应的应急处置程序,限时完成,联系技术支撑单位协助处理。并向上级主管部门通报,协调主管部门配合处置。
(四)充分利用现有的网络和信息安全监测设备和措施,防范网络中断和信息系统异常中止和非法篡改。
(五)当发生相应安全事件时,要在第一时间通过电话等方式通知安全管理人员,安全管理人员根据实际情况启动应急预案。
第五章 应急处置
常见网络与信息安全事件具体处置程序设计:
第八条 门户网站出现非法言论、不良信息事件应急处置(I级)
事件:当发现门户网站出现非法言论或不良信息时,启动I级处置程序,具体如下:
(一)宣传部网站管理人员负责定期巡检学校网站信息内容和安全情况。一旦发现门户网站上出现非法言论或不良信息,应立即通知现代教育技术中心关闭网站,删除非法言论或不良信息;
(二)完全隔离出现非法言论或不良信息的目录,确保其不能再被访问;
(三)清查整个网站所有内容,确保没有任何非法、不良信息,重新开通网站服务,并测试网站运行;
(四)查找防火墙日志、网站管理系统日志等,保存有关记录及日志或审计记录;
(五)追查非法信息来源,向安全领导小组汇报,安全领导小组办公室立即向公安部门或上级机关报警;
(六)从事故一发生到处理事件的整个过程,必须保持向安全工作领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。
第九条 网站群系统遭到完整性破坏时的应急处置(I级)
事件:当发现网页内容被篡改或网站群系统遭破坏性攻击(包括严重病毒)时,启动I级处置程序,具体如下:
(一)立即断开网站与互联网的连接,并停止系统运行;
(二)首先将被攻击(或病毒感染)的服务器等设备从网络中隔离出来,保护好现场;
(三)由网站管理员负责恢复与重建被攻击或被破坏的系统,恢复系统数据;
(四)追查非法信息来源,向安全领导小组或公安机关报警;
(五)从事故一发生到处理事件的整个过程,必须保持向安全领导小组汇报、解释此次事故的发生情况、发生原因、处理过程。
第十条 核心业务系统中断或信息设备故障时的应急处置(I级)
事件:当发现核心业务系统中断或信息设备故障时,启动I级处置程序,具体如下:
(一)现代教育技术中心应立即查明原因、确定故障节点;
(二)如有备份设备或线路,则立即启动备份设备或线路,恢复系统正常运行,同时将故障设备脱离网络,通知设备供应商进行维修,维修完毕利用空闲时段替换备用设备;
(三)若无备份设备,故障设备在短时间内无法修复的,应立即向安全工作领导小组汇报,并通知设备供应商派人前来维修;
(四)若故障设备发生在校园网范围之外,现代教育技术中心应及时通知相关通信运营商尽快检修解决;
(五)处置结束后, 现代教育技术中心应将事发经过、造成影响、处置结果书面报告安全工作领导小组组长。
第十一条 软件系统遭破坏性攻击的应急处置(I级)
事件:当软件系统遭破坏性攻击后,具体如下:
(一)软件系统(OA、财务、教务)平时必须存有备份,与软件系统相对应的数据必须有多日的备份,并将它们保存于安全处;
(二)应立即向安全工作领导小组办公室和软件使用部门报告,并将该系统停止运行;
(三)现代教育技术中心负责软件系统和数据的恢复;
(四)相关人员检查日志等资料,确定攻击来源;
(五)安全工作领导小组办公室立即向安全领导小组汇报;
(六)安全工作领导小组认为情况极为严重的,安全工作领导小组办公室应立即向公安机关报警。
第十二条 机房火灾应急处置(I级)
事件:当机房发生火灾时,启动I级处置程序,具体如下:
(一)一旦机房发生火灾,应遵循下列原则:首先保人员安全;其次保关键设备、数据安全;三是保证一般设备安全;
(二)立即撤离机房内的人员,阻止机房外的人员进入,并疏散机房楼层的工作人员;
(三)启动自动喷淋系统,机房值班人员立即按响火警警报,并通过119电话向公安消防请求支援,灭火值班人员从指定位置取出泡沫灭火器进行灭火;
(四)视火灾情况,尽快组织进行灭火救灾;
(五)尽可能地关闭机房内的设备和系统,减少损失;
(六)处置结束后, 安全工作领导小组办公室应将事发经过、造成影响、处置结果报告安全领导小组组长。
第十三条 发生自然灾害后事件应急处置(I级)
事件:当发生自然灾害后,启动I级处置程序,具体如下:
(一)发生自然灾害后,导致设备损坏,由学校向上级单位网络与信息安全领导小组和学校网络建设运维商请求支援;
(二)上级单位网络与信息安全领导小组和学校网络建设运维商接到学校的支援请求后,应在24小时内派遣人员携带有关设备赶到现场;
(三)到达现场后,寻找安全可靠的地点,重新构建新的系统和网络,并将相关数据予以恢复;
(四)经测试符合要求后,支援小组才能撤离。
第十四条 网络通信故障应急处置(II级)
事件:当发现大面积网络通信故障时,启动II级处置程序,具体如下:
(一)现代教育技术中心平时应准备好网络备用设备,存放在指定的位置;
(二)现代教育技术中心及时组织工作人员查清通信网络故障位置、故障原因,进行检修,如在短时间内无法解决故障,则应向安全领导小组汇报。
(1)如属广域网线路故障,应及时通知网络运营商请求协助查清原因,逐步恢复网络通信,保证网络与信息系统正常运转;
(2)如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅,同时保留现场由设备供应商排查问题、维修;
(3)如属路由器、交换机配置文件破坏,应迅速按照要求重新配置并保存,并调测通畅;
(三)故障处理完毕,现代教育技术中心及时向安全工作领导小组汇报故障解决情况。
第十五条 黑客攻击事件应急处置(II级)
事件:当发现网络、应用系统遭遇黑客入侵攻击时,启动II级处置程序,具体如下:
(一)紧急切断校园网的服务器及公网的网络连接,以保护重要的计算机、学校数据及相关信息;
(二)立即查找攻击源,确定该攻击来自校内还是校外;受攻击的设备有哪些;影响范围有多大。并迅速推断出此次攻击的最坏结果,同时向安全领导小组汇报;
(三)使用防火墙对攻击来源进行封堵;
(四)保全好网络恶意攻击证据,分析重要数据安全及设备安全情况;
(五)在强化安全防范措施的基础上,恢复网络、相关系统正常后,将其重新投入使用;
(六)如情况特严重,无法短时间内恢复网络运行,则通知运维技术商协助解决,必要时向公安机关报警并请求支援;
(七)处置结束后, 现代教育技术中心应向安全工作领导小组汇报,解释此次事故的发生情况、发生原因、处理过程。
第十六条 网络病毒事件应急处置(II级)
事件:当发现计算机系统感染病毒,启动II级处置程序,具体如下:
(一)立即查找病毒源,将感染病毒的计算机或服务器从网络上物理隔离,同时备份硬盘数据;
(二)启用防病毒软件对感染计算机或服务器进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作,清除不良信息,并追查不良信息来源;
(三)如果现行防病毒软件无法清除该病毒,应立即向安全工作领导小组办公室报告,并迅速联系有关产品商研究解决;
(四)安全工作领导小组办公室认为情况严重的,应立即报告安全工作领导小组或公安部门,同时并请求支援;
(五)处置结束后, 现代教育技术中心应将事发经过、造成影响、处置结果书面报告安全工作领导小组组长。
第十七条 数据库安全事件应急处置(II级)
事件:当发现数据库系统崩溃或数据库服务器故障,导致失去数据库服务能力时,启动II级处置程序,具体如下:
(一)数据库系统崩溃
(1)主机数据库系统应通过备份设备定期备份,做到每日、每周备份、每月备份。核心的应用系统数据库再做容灾备份;
(2)系统管理员应立即启动数据库容灾程序或从备份数据库中恢复数据,并向安全工作领导小组办公室报告;
(3)如果备份数据无法恢复,应立即向有关厂商请求紧急支援。
(二)数据库服务器故障
(1)如数据库做有容灾备份,则立即启用接管备份服务,如无容灾备份只是普通数据库备份,则启用备用服务器,将备份数据库恢复到备份服务器;
(2)数据在备用系统运行期间,系统管理员应立即联系设备供应商维修,同时向安全领导小组报告;
(3)服务器维修完毕应及时更换使用。
第十八条 信息设备发生被盗或人为损害事件应急处置(II级)
事件:当发现信息设备发生被盗或人为损害时,启动II级处置程序,具体如下:
(一)事发部门(当事人)应立即报告现代教育技术中心和保卫处,同时保护好现场;
(二)现代教育技术中心接到报告后,会同保卫处共同核实现场情况,清点被盗物资或盘查人为损害情况,做好必要的影像记录和文字记录;
(三)事发部门(当事人)应积极配合现代教育技术中心、保卫处进行调查,并将有关情况向安全工作领导小组组长汇报;
(四)安全工作领导小组组织相关部门及时恢复网络与信息系统正常运行。情况严重时,应立即向安全工作领导小组组长报告并协调解决。
第十九条 外电中断后的设备应急处置(II级)
事件:当发现外部电源中断故障时,启动II级处置程序,具体如下:
(一)机房值班人员应立即切换到备用电源;
(二)机房值班人员应立即查明原因,并向部门领导汇报;
(三)如因校内线路故障,请总务处迅速恢复供电;
(四)如果是校外的原因,应立即与供电所联系,请供电所迅速恢复供电;
(五)如果供电所告知需长时间停电,应做如下安排:
1.预计停电8小时以内,由UPS供电;
2.预计停电8-24小时,关掉非关键设备,确保各主机、路由器、交换机供电;
3.预计停电超过24小时,应启用发电机自行发电。
第六章 应急响应
第二十条 发现网络与信息安全事件后,相关人员应立即向现代教育技术中心报告,现代教育技术中心应组织工作人员立即采取有效措施开展先期处置,恢复网络与信息系统正常运行。
第二十一条 若发生重大事件无法迅速消除或恢复系统,影响较大时,应向安全工作领导小组办公室汇报,紧急关闭网络,研究处理方案,并向学校安全工作领导小组组长报告。
第二十二条 安全工作领导小组得悉网络安全紧急情况后立即赶赴现场,安全工作领导小组办公室成员迅速集结待命。
工作领导小组办公室成员在安全工作领导小组的统一组织指挥下,迅速按职责和应急程序组织事故应急防护。
(一)确保网站和各类数据信息安全为首要任务,关闭WEB服务器的外网连接、学校公网连接,所有相关成员集中进行事故分析,确定处理方案;
(二)确保校内其他接入设备的信息安全,经过分析,可以迅速关闭、切断接入设备的所有网络连接,防止滋生其他信息设备的安全事故;
(三)分析网络、确定事故源,使用各种网络管理工具,迅速确定事故源,按相关程序进行处理;
(四)事故源处理完成后,逐步恢复网络运行,监控事故源是否仍然存在;
(五)针对此次事故,进一步确定相关安全措施、总结经验,加强防范;
(六)从事故一发生到处理的整个过程,必须及时向安全领导小组汇报,听从安排,注意做好保密工作。
第二十三条 组织有关人员对校园内外所属网络硬件软件设备及接入网络的计算机设备进行全面检查,封堵、更新有安全隐患的设备及网络环境。
第七章 后期处置
第二十四条 善后处理
在应急处置工作结束后,要迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作。统计各种数据,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,并迅速组织实施。有关部门要提供必要的人员和技术、物资和装备以及资金等支持。
第二十五条 调查评估
应急处置工作结束后,安全工作领导小组组织有关人员组成事件调查组,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失情况,总结经验教训,对事件发生原因、性质、影响、后果、责任、应急处置能力或恢复重建等问题进行全面调查评估,报告安全工作领导小组,整改存在隐患,恢复正常工作秩序。
第八章 应急保障
第二十六条 现代教育技术中心全体人员应保证全天24小时通讯畅通。
第二十七条 学校应预留一定数量的网络与信息系统软、硬件备用设备,并指定专人保管与维护,在网络与信息安全事件发生时,由安全工作领导小组办公室负责统一调用。
第二十八条 重要信息系统均应建立备份系统,保证重要数据在受到破坏后,可紧急恢复。
第二十九条 建立校园网网络安全专项资金,用于校园网紧急事件的处置。
第三十条 建立网络与信息安全保障技术支持力量,为网络与信息安全应急处理提供人员保障。
第九章 宣传、培训和演习
第三十一条 通过校内各种宣传形式对师生员工进行正面引导、宣传并落实校园关于网络安全的各项规章制度;提高全校师生的网络与信息安全防范意识和能力。
第三十二条 指定专人负责安全技术工作,每年至少组织开展一次网络与信息安全技术、技能专项培训,提高应急保障人员应对突发事件的应急处置能力。
第三十三条 每年至少组织一次网络与信息安全应急事件模拟演练,通过演练发现应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。
第十章 附 则
第三十四条 本预案应根据演练和实际运行情况及时修订完善。
第三十五条 安全工作领导小组应对在网络与信息安全事故应急处置中做出突出贡献的集体和个人,向学校提出表彰奖励建议;对玩忽职守,造成不良影响或严重后果的,按有关规定提出处理意见,并追究其责任。
第三十六条 本预案由现代教育技术中心负责解释 。
第三十七条 本预案自印发之日起施行。
