为了建立健全我校校园网络与信息安全应急响应工作机制,根据《中华人民共和国计算机信息系统安全保护条例》,《中华人民共和国计算机信息网络国际联网安全保护管理办法》,《国家信息化工作领导小组8181801威尼斯加强信息安全保障工作的意见》,公安部、国务院信息化工作办公室等四部门《8181801威尼斯信息安全等级保护工作的实施意见》和《国家突发公共事件总体应急预案》等有关法规文件精神,结合我校实际情况,特制定本预案。
第一章 总则
第一条 本预案所称突发性事件,是指自然因素或人为活动引发的危害我校网络设施及信息安全等有关的灾害。包括校园网运行及网络信息方面发生的有可能影响学校、社会和国家安全稳定的紧急事件;由于其他重大事件的发生影响到我校校园网正常运行或校园网络信息安全,并由此可能影响到学校、社会、国家安全稳定的事件。
影响或破坏网络运行及网络信息安全的事件可分为校园网络安全事件和网络信息安全事件两类:校园网络安全事件主要指校园网络实体中线路、网络设备、服务器设备等出现的被病毒和恶意攻击带来的安全事件;网络信息安全事件主要指校园网络中各信息服务设备中出现的信息安全事件,如非法信息、泄密事件等。
第二条 本预案所称网络信息安全事件与网络运行事件类型:
(一)网络信息安全事件:
1.特别重大的事件:校园网上出现大面积的串联、煽动和蛊惑信息;主页出现反动、煽动分裂、破坏稳定等反动政治信息及链接的,出现较大的泄、失密事件。
2.重大事件:校园网上出现不良信息、主页出现淫秽信息及链接的。
3.较大事件:校园网用户邮箱出现大量非法宣传邮件;校园网用户未经审批在校园网上私自设立网站并提供非法信息。
(二)网络运行安全事件:
1.由于病毒攻击、非法入侵等原因,校园网部分楼宇或整个校园网出现网络瘫痪。
2.由于病毒攻击、非法入侵等原因,部分网站服务器不能响应用户请求。
3.由于病毒攻击、非法入侵等原因,校园网络中心全部DNS、主WEB服务器不能正常工作。
4.由于病毒攻击、非法入侵、人为破坏或不可抗力等原因,造成校园网出口中断。
第三条 本预案的指导思想是确保我校相关计算机网络及信息的安全。
第四条 本预案适用于发生在我校网络的突发性事件应急工作。
第五条 应急处置工作原则:统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。
第二章 组织指挥和职责任务
第六条 成立学校网络安全与信息化领导小组,由分管安全稳定与分管信息化工作领导任组长,成员包括学院党政办公室负责人、党委宣传部负责人、人事处负责人、学生处负责人、信息化管理办公室负责人。
成立网络信息舆情应急处置工作小组与网络安全应急处置工作小组,工作小组办公室设在党委宣传部和信息化管理办公室。工作小组的主要职责与任务是统筹全校网络信息的灾害应急工作,全面负责学校网络可能出现的各种突发事件处置工作,协调解决问题处置工作中的重大问题等。
第三章 应急处置措施和处置程序
第七条 处置措施
处置的基本措施分灾害发生前与灾害发生后两种情况。
(一)灾害发生前信息化管理办公室要预先对灾害预警预报体系进行建设,开展灾害调查,编制灾害防治规划,建设专业监测网络,并规划建设灾害信息管理系统及时处理灾害讯情信息,加强灾害险情巡查。信息化管理办公室要充分发挥专业监测的作用,进行定期和不定期的检查,加强对灾害重点部位的监测和防范,发现有不良险情时,要及时处理并向网络安全与信息化领导小组报告。
建立健全灾情速报制度,保障突发性灾害紧急信息报送渠道畅通。属于大型灾害的,在向领导小组报告的同时,还应向公安局网监部门报告。
(二)灾害发生后,立即启动应急预案,采取应急处置程序,判定灾害级别,并立即将灾情向网络安全与信息化领导小组报告,在处置过程中,应及时报告处置工作进展情况,直至处置工作结束。
第八条 处置程序
(一)发现情况
信息化管理办公室要严格执行值班制度,做好校园网信息系统安全的日常巡查及其每天访问记录的备份和90天访问日志保存工作,以保障最先发现灾害并及时处置此突发性事件。
(二)预案启动
一旦灾害发生,立即启动应急预案,进入应急预案的处置程序。
(三)应急处置方法
在灾害发生时,首先应区分灾害发生是否为自然灾害与人为破坏两种情况。根据这两种情况把应急处置方法分为两个流程:
流程一:当发生的灾害为自然灾害时,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
流程二:当人为或病毒破坏的灾害发生时,具体按以下顺序进行:判断破坏的来源与性质断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的IP或其他网络用户信息,修复被破坏的信息恢复信息系统。按照灾害发生的性质分别采用以下方案(见附件)。
其他没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体的情况,作出相应的处理。
(四)情况报告
灾害发生时,一方面按照应急处置方法进行处置,同时需要判定灾害的级别。首先向学校网络安全与信息化领导小组汇报。在大型灾害发生时或上级领导通知的特殊时间内发生的灾害,同时向上级部门报告,向公安局网监部门汇报。中、小型级别的灾害,可以只向网络安全与信息化领导小组汇报,并及时报告处置工作进展情况,直至处置工作结束。
情况报告内容包括:灾害发生的时间、地点,灾害的级别,灾害造成的后果,应急处置的过程、结果,灾害结束的时间,以后如何防范类似灾害发生的建议与方案等。
(五)发布预警
灾害发生时,可根据灾害的危害程度适当地发布预警,特别是一些在其他地方已经出现,或与安全相关网站发布了预警而校园网络还没有出现相应的灾害,除了在技术上进行防范以外,还应当向网络信息用户发布预警,直至灾害警报解除。
(六)预案终止
经专家组鉴定,灾害险情或灾情已消除,或者得到有效控制后,由网络安全与信息化领导小组宣布险情或灾情应急期结束,并予以公告,同时预案终止。
第四章 保障措施
灾害应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作,是有组织的科学与社会行为,而不是随每次灾害的发生而开始和结束的活动.因此必须做好应急保障工作。
第九条 信息网络安全队伍保障
重视人才队伍的建设与保障,确保在灾害发生前的人员值班,灾害处置过程和灾后重建中人员的战斗力。
第十条 技术保障
重视网络信息技术的建设和升级换代,建设信息安全预警系统,在灾害发生前确保网络信息系统的强劲与安全、灾害处理过程中和灾后重建中的相关技术支撑。
第十一条 物资保障
要根据近年网络信息系统安全防治工作所需经费情况,将本年度灾害应急经费纳入年度计划和预算,购买相应的应急设施;建立应急物资储备制度,保证应急抢险救灾队伍技术装备的及时更新以确保灾害应急工作的顺利进行。
第十二条 训练和演练
加强校园网络信息用户的防灾、减灾知识的宣传普及,增强用户的防灾意识和自救互救能力。有针对性地开展应急抢险救灾演练,确保发灾后应急救助手段及时到位和有效。
附件:1.网站不良信息事故处理预案
2.网络恶意攻击事故处理预案
3.病毒安全紧急处置预案
4.自然灾害及硬件故障应急处理
附件1
网站不良信息事故处理预案
1.一旦发现学校网站上出现不良信息,立刻切断防火墙以及网站服务器外网网络连接,并向网络安全和信息化领导小组领导汇报。
2.备份不良信息出现的目录、备份不良信息出现时间前后一个星期内的HTTP连接日志、备份防火墙中不良信息出现时间前后一个星期内的网络连接日志。
3.打印不良信息页面留存。
4.完全隔离出现不良信息的目录,使其不能再被访问。
5.删除不良信息,并清查整个网站所有内容,确保没有任何不良信息,重新连接网站服务器及防火墙外网网络连接,并测试网站运行。
6.修改该目录名,对该目录进行安全性检测,升级安全级别,升级程序,去除不安全隐患,关闭不安全栏目,重新开放该目录的网络连接,并进行测试,正常后,重新修改该目录的上级链接。
7.全面查对HTTP日志,防火墙网络连接日志,确定该不良信息的源IP地址,如果来自校外,则立刻全面升级此次事件为最高紧急事件,立刻向领导小组组长汇报,并向公安机关报案。
8.从事故一旦发生到处理事件的整个过程,必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。
附件2
网络恶意攻击事故处理预案
1.发现出现网络恶意攻击,立刻确定该攻击来自校内还是校外;受攻击的设备有哪些;影响范围有多大。并迅速推断出此次攻击的最坏结果,判断是否需要紧急切断校园网的服务器及公网的网络连接,以保护重要数据及信息。
2.如果攻击来自校外,立刻从防火墙中查出对方IP地址并过滤,同时对防火墙设置对此类攻击的过滤,并视情况严重程度决定是否报警。
3.如果攻击来自校内,立刻确定攻击源,查出该攻击出自哪台交换机,出自哪台电脑,出自哪位教师或学生。接着立刻赶到现场,关闭该计算机网络连接,并立刻对该计算机进行分析处理,确定攻击出于无意、有意还是被利用。暂时扣留该电脑。
4.重新启动该电脑所连接的网络设备,直至完全恢复网络通信。
5.对该电脑进行分析,清除所有病毒、恶意程序、木马程序以及垃圾文件,测试运行该电脑5小时以上,并同时进行监控,无问题后归还该电脑。
6.从事故发生到处理事件的整个过程,必须实时向校网络安全和信息化领导小组汇报事故的发生情况、发生原因、处理过程。
附件3
病毒安全紧急处置预案
1.当发现计算机感染有病毒后,应立即将该机从网络上隔离出来。
2.对该设备的硬盘进行数据备份。
3.启用反病毒软件对该机进行杀毒处理,同时使用病毒检测软件对其他机器进行病毒扫描和清除工作。
4.如发现反病毒软件无法清除该病毒,应立即向网络安全和信息化领导小组报告。
5.经校内技术人员确认确实无法查杀该病毒后,应做好相关记录,并迅速联系有关厂商研究解决。
6.网络安全和信息化领导小组认为情况极为严重时,根据突发事件级别及时向上级部门汇报。
附件4
自然灾害及硬件故障应急处理
1.机房漏水处理
发生机房漏水后,第一目击者应立即报告网络安全和信息化领导小组领导。
若空调系统出现渗漏水,应立即停止故障空调,将机房内的积水清除干净,并及时联系设备供应方进行处理,必要情况下可以临时用电扇对服务器进行降温。
若为墙体或窗户渗漏水,应立即通知后勤服务中心,及时清除积水,进行墙体或窗户维修,避免不必要的损失。
2.机房火灾处理
(1)一旦机房发生火灾,应遵照下列原则:首先保人员安全;其次保关键设备、数据安全;三是保一般设备安全。
(2)人员疏散的程序是:机房工作人员立即按响火警警报,并通过119电话向公安消防请求支援,所有人员戴上防毒面具,所有不参与灭火的人员按照预先确定的线路,迅速从机房中撤出。
(3)人员灭火的程序是:首先切断所有电源,启动自动消防系统,不得使用非机房消防设备对机房进行灭火。
3.设备发生被盗或人为损害事件处理
发生设备被盗或有人为损害设备情况时,使用者或管理者应立即报告网络安全和信息化领导小组,同时保护好现场。
网络安全和信息化领导小组接报后,通知安全保卫部门及公安部门,一同核实审定现场情况,清点被盗物资或盘查人为损害情况,做好必要的影像记录和文字记录。
事件当事人应当积极配合公安部门进行调查,并将有关情况向网络安全和信息化领导小组汇报。
4.机房长时间停电应急处理
接到长时间停电通知后,应及时通过OA发布或电话通知停电通告,要求用户在停电前停止业务、保存数据。
(1)外电中断后,机房管理员应立即检查UPS是否正常工作。
(2)预计停电2小时以内,由UPS供电。
(3)预计时间超过2个小时,应向主管领导汇报并向校内相关部门通报。应立即手动关闭一般业务服务器,仅保证核心交换设备和核心服务器运行。并每隔30分钟定时查看UPS运行状况。若UPS电池即将耗尽,应立即手动关闭所有网络设备。
5.通信网络故障应急处理
发生通信网络故障后,计算机操作员应及时将信息告知信息化管理办公室。
信息化管理办公室及时开展工作,查清通信网络故障位置,或告知相关通信网络运营商,请求协助查清原因。
相关责任人负责写出故障分析报告,上报网络安全和信息化领导小组备查。