北京服装学院网络与信息安全事件应急预案
北京服装学院网络与信息安全事件应急预案
第一章 总则
1.1 编制目的
为切实做好北京服装学院校园网络与信息安全突发事件的防范和应急处理工作,进一步提高学校预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保学校校园网络与信息安全,结合学校工作实际,制定本预案。
1.2 适用范围
本预案适用于全校范围内自建自管的网络与信息系统,尤其是校园网主干设施和重要信息系统,由于自然或人为以及软硬件本身缺陷的原因,对网络与信息系统造成危害的安全突发事件的应急处置。
1.3 编制依据
教育部《教育系统网络与信息安全类突发公共事件应急预案》、《北京市实施<中华人民共和国突发事件应对法>办法》、《北京市网络与信息安全事件应急预案》、《北京市社会领域网络与信息安全事件应急预案》、《北京服装学院网络信息管理办法》等相关文件。
1.4 工作原则
(1)居安思危,预防为主
立足安全防护,加强预警,重点保护学校基础信息网络和数字校园信息平台等全校性的重要信息系统,从预防、监控、应急处理和应急保障等环节,在法律、管理、技术等方面,采取多种措施,充分发挥各方面的作用。坚持提前防范,及时排查,争取早发现早报告早解决,化解风险,减少不良影响,共同构筑网络与信息安全保障体系。
(2)统一领导,快速反应
网络与信息安全工作领导小组统一领导、协调全校网络与信息安全事件应急处置工作,领导小组下设办公室负责应急工作的日常管理,建立健全应急反应机制,充分发挥专家队伍和专业人员的作用。在网络与信息安全突发事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。
(3)以人为本,减少损害
在处置网络与信息安全突发事件中,要根据实际,依法办事,合情合理,把保障学校的安全稳定及维护全校师生的合法权益作为首要任务,防止事态扩大激化。以人为本,提前预防,及时报告,紧密衔接,及时采取措施,迅速处理,最大限度地避免信息资产遭受损失,将事态影响减至最小。
(4)自建自管,各负其责
学校各单位要按照“谁主管、谁主办、谁维护、谁负责”的原则,加强对本单位建立和负责的网络与信息系统的安全管理,强化单位主要领导对网络与信息安全事件的处置职责。
第二章 组织机构与职责
2.1 组织机构
学校成立校园网络与信息安全事件应急处置工作领导小组(详见附件),在学校网络与信息安全工作领导小组的领导下,全面负责和统一指挥校园网络与信息安全重大突发事件的应急处置工作。领导小组组长由主管网络与信息工作的校领导担任,小组成员由学校办公室、宣传部、保卫处、计算机信息中心等部门主要负责人组成。领导小组下设办公室,办公室设在计算机信息中心。
2.2 工作职责
(1)落实上级有关信息和网络安全的指示要求,制定校园网络安全与信息安全的相关规定和应急处置预案。
(2)加强校园网络与信息安全的管理,及时处置校园网络与信息安全的突发事件,保证校园网络和信息系统的正常运行。
(3)提供技术咨询、技术支持,参与重要信息的研判、网络与信息安全突发事件的调查和总结评估工作,进行应急处置工作。
第三章 安全事件分类分级
3.1 网络安全事件分类
根据北京市突发公共事件应急委员会印发的《北京市网络与信息安全事件应急预案》(京应急委发【2009】14号,2012年修订)和网络与信息安全突发事件的发生过程、性质和机理,网络安全事件主要分为以下几类:
(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。
3.2 网络安全事件分级
按照北京市突发公共事件应急委员会印发的《北京市网络与信息安全事件应急预案》(京应急委发【2009】14号)规定,网络与信息安全突发事件的应急响应级别分为特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)四个级别。
特别重大(Ⅰ级):学校网络与信息系统发生全校性大规模瘫痪,对学校正常工作造成特别严重损害,且事态发展超出学校控制能力的安全事件。
重大(Ⅱ级):学校网络与信息系统造成全校性瘫痪,对学校正常工作造成严重损害,事态发展超出计算机信息中心控制能力,需学校各部门协同处置的安全事件。
较大(Ⅲ级):学校某一区域的网络或某一单个信息系统瘫痪,对学校正常工作造成一定损害,计算机信息中心可自行处理的安全事件。
一般(Ⅳ级):某一局部网络或某一单个信息系统受到一定程度损坏,对学校某些工作有一定影响,但不危及学校整体工作的安全事件。
第四章 预防措施
4.1预防措施
进一步完善网络与信息安全突发事件监测、预测、预警制度;建立健全安全事件预警预报体系,严格执行校园网络与信息系统安全管理制度;加强对各类网络与信息安全突发事件和可能引发网络与信息安全突发事件的有关信息的收集、分析判断和持续监测。具体预防措施包括:
(1)加强宣传教育引导。加强对师生的思想教育工作,掌握舆情动态。按照早发现、早报告、早控制、早解决的原则,把问题解决在萌芽状态。
(2)完善应急管理制度。制定和落实各单位所属网络与信息系统的安全和保密相关制度,指定专门的网络与信息安全责任人及网络与信息管理员,提高有关人员的责任意识、安全意识和技术水平;建立严格的信息发布审查和检查制度,对可能引发校园网络与信息安全事件的信息,要认真收集、分析、判断,发现有异常情况时,及时防范处理并逐级报告。
(3)加强技术防范措施。校园网出入口安装必要的监测系统,对校园网进行安全扫描。坚持校园网络安全工作值班制度。加强对校园网络与学校网站等重点信息系统的监控和安全管理,做好相关数据日志记录,确定合理规则,对校园网络进出信息实行过滤及预警。
第五章 应急响应
5.1 基本响应
网络与信息安全事件发生后,要及时启动应急预案,实施处置并报送信息。如果有涉及到信息安全等级保护为三级的系统故障(包括停止运行、内容错误等),应将情况及时通报到北京市公安局文化保卫总队。
(1)对于软件系统类事件,及时通知校园网络与信息安全事件应急处置工作领导小组办公室,由办公室(计算机信息中心)组织技术人员采取措施及时处理,并记录处理步骤和结果,保留相关证据材料,并将处理情况上报学校网络与信息安全工作领导小组。必要时要追究相关当事人责任。
(2)对于信息安全类事件,首先及时联系信息主管单位负责人,同时通知校园网络与信息安全事件应急处置工作领导小组办公室,尽快消除不良信息。无法迅速消除或恢复系统、影响较大时要实施紧急关闭,并紧急上报学校网络与信息安全工作领导小组。属于管理不当或未遵守相关规定而导致的事件,要按规定追究相关责任。
(3)对于设施设备故障类事件,及时通知计算机信息中心或设施设备其它所属单位,同时通知校园网络与信息安全事件应急处置工作领导小组办公室。设施设备所属单位根据故障原因和性质,组织抢修,并上报学校网络与信息安全工作领导小组。对于人为破坏导致的设施设备故障,要按规定追究相关责任。
5.2分级响应
分级响应针对前述的分级信息安全事件,分别做出不同的响应。
Ⅲ级或IV级突发事件响应:计算机信息中心和突发安全事件的信息系统建管部门自行负责应急处置工作,有关情况报分管校领导。
II级突发事件响应:计算机信息中心立即上报分管校领导和学校网络与信息安全工作领导小组,由领导小组统一组织、协调指挥进行应急处置。
I级突发事件响应:计算机信息中心立即上报分管校领导和学校网络与信息安全工作领导小组,领导小组再上报至市公安局等相关部门,由北京市相关部门会同我校网络与信息安全工作领导小组统一组织、协调指挥应急处置。
5.3应急处理方式
根据网络与信息安全事件分类采取不同应急处置方式。
(1)网络攻击事件:判断攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质采取以下方案:
病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助,寻找并公布病毒攻击信息,以及杀毒、防御方法。
外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外网入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和影响。
内部入侵:查清入侵来源,如IP地址、所在办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。
(2)设备故障事件:判断故障发生点和故障原因,迅速联系IT运维公司尽快抢修故障设备,优先保证校园网主干网络和主要应用系统的运转。
(3)灾害性事件:根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
(4)信息内容安全事件:接到校内网站出现不良信息的报案后,应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息的传播,根据网站相关日志记录查找信息发布人并做好善后处理;对公安机关要求我校协查的外网不良信息事件,根据校园网上网相关记录查找信息发布人。
(5)其它不确定安全事件:可根据总的安全原则,结合具体情况,做出相应处理。不能处理的及时咨询信息安全公司或顾问。
第六章 后期处置
加强网络与信息安全事件后期处置工作,实施网络与信息安全事件责任追究机制。I级特大网络与信息安全事件由学校在上级部门的指导下,组织事件的调查处理和总结评估,部署学校各相关部门负责系统的恢复重建,事件处置完成后,学校将根据调查结果追究相关责任人责任。Ⅱ级以下网络与信息安全事件由校园网络与信息安全事件应急处置工作领导小组指导相关部门进行事件调查总结和系统重建,事件处置完成后,在必要情况下,学校将根据调查结果追究相关责任人责任。
第七章 保障措施
7.1 队伍保障
加强计算机信息中心的技术队伍建设,进一步完善学校各部门信息员制度,确保校园网公共服务符合技术标准和管理规范。通过技术培训、研讨、对外交流、参与会议等方式不断提高技术人员的业务水平,为校园网络和信息的安全保障提供强大技术支撑。
7.2 技术保障
重视信息系统的建设和升级换代,重视网络安全整体方案的不断完善,加强技术管理,确保信息系统的稳定与安全,聘请信息安全顾问为应急处置过程和重建工作提供咨询和技术支持。
7.3 经费保障
学校和各单位对于网络和信息安全方面要有必要的投入,从技术和管理上为日常管理和事件应急工作提供经费支持。学校网络与信息系统突发事件应急处置资金,应列入年度财政预算,切实予以保障。
第八章 宣传培训与演练
学校宣传部、保卫处、计算机信息中心要利用适当时机,加强网络与信息安全的法律法规、新闻动态和知识技能的宣传教育,提高师生的网络与信息安全意识和应对水平。
本预案是《北京服装学院突发事件应急预案》的重要组成部分。学校各部门要加强网络与信息安全特别是网络与信息安全应急预案的培训,将网络与信息安全事件的应急知识列为管理干部和有关人员的考核内容,提高防范意识和技能。校园网络与信息安全事件应急处置工作领导小组加强与学校各部门的联动,组织协调学校网络与信息安全应急预案演练工作。校园网络与信息安全事件应急处置工作领导小组每年联合学校办公室、宣传部、保卫处等部门组织至少一次的安全培训和针对不同级别安全事件的预案演练,同时加强人事联动、部门联动等的联合演练,有效提高学校网络与信息安全应急处置能力和水平。校园网络与信息安全事件应急处置工作领导小组将演练情况报告学校网络与信息安全工作领导小组。
附 则
8.1 预案管理与更新
本预案由计算机信息中心负责管理与更新,并根据我校网络与信息发展的实际情况及时进行修改更新。修改后的预案经北京服装学院网络与信息安全工作领导小组批准后发布实施。
8.2二级预案建设
全校各单位可参照本预案制定本单位的网络与信息安全事件应急预案,并报校园网络与信息安全事件应急处置工作小组备案。
8.3预案实施
本预案自发布之日起实施。
8.4 制订与解释部门
本预案由计算机信息中心制订并负责解释。
附件:
北京服装学院网络与信息安全事件
应急处置工作领导小组名单
组长:主管网络与信息工作的校领导
副组长:主管保卫工作的校领导、主管宣传工作和学生工作的校领导
领导小组成员:学校办公室主任、宣传部部长、保卫处处长、学生处处长、科研处处长、计算机信息中心主任
领导小组下设办公室,办公室设在计算机信息中心,办公室组成如下:
办公室主任:计算机信息中心主任
办公室副主任:宣传部部长、学生处处长、保卫处处长
办公室成员:计算机信息中心相关人员