燕大党字【2017】33号
为建立健全学校网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保护师生利益,维护学校安全和秩序,根据《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》和《信息安全技术信息安全事件分类分级指南》等相关规定,制定本预案。
一、网络安全突发事件的分类
网络安全突发事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。
1.有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
2.网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
3.信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
4.信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
5.设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
6.灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
7.其他事件是指不能归为以上分类的网络安全事件。
二、网络安全突发事件的分级
根据《国家网络安全事件应急预案》的规定,学校网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
1.符合下列情形之一的,为特别重大网络安全事件:
(1)重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
(2)国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
(3)其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
2.符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件:
(1)重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
(2)国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
(3)其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
3.符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件:
(1)重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。
(2)国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。
(3)其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
4.除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
三、网络安全突发事件的响应
根据网络安全突发事件的可控性、严重程度和影响范围,将学校突发事件的应急响应分为四级:Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般),I级为最高响应级别。
1.Ⅰ级(特别重大)。主要针对学校重要网络与信息系统发生全校性大规模瘫痪,事态发展超出学校的控制能力,对学校安全、秩序和公共利益造成特别严重损害的突发事件的应急响应。
2.Ⅱ级(重大)。主要针对学校重要网络与信息系统造成全校性瘫痪,对学校安全、学校秩序和学校公共利益造成严重损害,需要跨部门协同处置的突发事件的应急响应。
3.Ⅲ级(较大)。主要针对学校某一区域的重要网络与信息系统瘫痪,对学校安全、学校秩序和学校公共利益造成一定损害,但不需要跨部门协同处置的突发事件的应急响应。
4.Ⅳ级(一般)。主要针对学校重要网络与信息系统受到一定程度的损坏,对学校师生员工和一些部门的权益有一定影响,但不危害学校安全、学校秩序、学校公共利益的突发事件的应急响应。
四、网络安全事件应急处理机构及职责
在燕山大学网络安全和信息化建设工作领导小组(以下简称“领导小组”)的领导下,网络信息安全工作办公室(以下简称“网信办”)统筹协调组织全校网络安全事件应对工作,建立健全跨部门联动处置机制,党委办公室、党委宣传部、安全工作处、信息技术中心等相关部门按照职责分工负责相关网络安全事件应对工作。必要时成立学校网络安全事件应急指挥部,负责特别重大网络安全事件处置的组织指挥和协调。
五、网络安全突发事件处理原则
1.预防为主。立足安全防护,加强预警,重点保护关键基础设施和关系学校安全和稳定的重要信息系统、网络,从预防、监控、应急处理、应急保障和打击犯罪等环节,在管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑全校网络安全保障体系。
2.快速反应。在网络安全突发事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。
3.分级负责。按照“谁主管,谁负责”和“谁使用,谁负责”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强学校各单位间的协调与配合,形成合力,共同履行应急处置工作的管理职责。
4.以人为本。把保障公共利益以及全校师生员工的合法权益和信息安全作为首要任务,及时采取措施,最大限度地避免学校和师生员工遭受损失。
5.常抓不懈。加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。
六、网络安全突发事件的报告与处置
1.网络安全突发事件发生并得到确认后,现场人员应立即将有关情况报告信息技术中心,并于1个小时完成《燕山大学网络安全事件信息报告表》的填写和上报。
2.网信办和信息技术中心将协商决定是否启动相应应急响应和相关应急预案,一旦启动应急预案,有关人员应及时到达指定位置。对于Ⅰ级(特别重大)事件,须直接向学校党委书记和校长报告。对于Ⅱ级(重大)事件须直接向负责网络安全和信息化建设的主管校长报告。对于Ⅲ级(较大)事件,须向学校网信办主任报告。对于Ⅳ级(一般)事件须向信息技术中心主任报告。
3.网信办、信息技术中心相关工作人员第一时间进入应急处置工作状态,对相关事件进行跟踪,密切关注事件动向和舆情态势,防止事态通过网络向外蔓延,并做好调查取证、进行现场保护、系统恢复等工作。
4.信息技术中心负责在事件发生后24小时内写出突发事件的书面报告,根据事件严重程度按要求、按时限上报。报告应包括以下内容:事件发生时间、地点、内容、发生原因、处理情况及采取的措施,事故报告部门、报告时间等。
七、突发事件应急处置具体措施
1.网站、网页出现异常的紧急处置措施。
(1)各网站、网页由各部门的管理员随时密切监视信息内容。每天早、中、晚三次浏览时间不少于一小时。
(2)发现出现异常或非法信息时,负责人员应立即向信息技术中心通报情况。情况紧急的应在3分钟内断开服务,并取证保留现场,再按程序报告。
(3)信息技术中心工作人员应在接到通知后立即赶到现场,作好必要的记录,清理非法信息,强化安全防范措施,并将网站、网页重新投入使用。
(4)网站管理员应妥善保存有关记录及日志或审计记录。
(5)网站管理员应立即追查非法信息来源。
(6)情况严重的,根据突发事件等级和响应级别及时向上级有关部门和领导汇报。
2.黑客攻击时的紧急处置措施
(1)当有关网站管理员发现网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向信息技术中心通报情况。
(2)信息技术中心工作人员应立即将被攻击的服务器等设备从网络中隔离出来,保护现场,同时向信息技术中心领导汇报情况。
(3)凡加入学校站群系统建站的部门,信息技术中心负责被破坏系统的恢复与重建工作。
(4)信息技术中心协同有关部门共同追查非法信息来源。
(5)情况严重的,根据突发事件等级和响应级别及时向有关上级部门汇报。
3.病毒安全紧急处置措施
对发现的网内病毒源通过关闭端口等措施及时进行隔离,并通知感染病毒计算机的使用人进行处理。对于外网进入的网络病毒应在边界防火墙、路由器上做针对性地访问控制。对发现的攻击事件应及时进行处理。
(1)当发现有计算机感染病毒时,应立即将该机从网络上隔离出来。
(2)对该设备的硬盘进行数据备份。
(3)启用反病毒软件对该机进行杀毒处理,同时进行病毒检测软件对其他机器进行病毒扫描和清除工作。
(4)如发现反病毒软件无法清除该病毒,应立即向信息技术中心报告。
(5)经信息技术中心确认确实无法查杀该病毒后,作好相关记录,并迅速联系有关产品厂商研究解决。
(6)信息技术中心经会商后,认为情况极为严重,根据突发事件等级和响应级别及时向有关上级部门汇报。
4.信息系统遭受破坏性攻击的紧急处置措施
(1)重要的信息系统平时必须存有备份,与信息系统相对应的数据必须有多日备份,并将它们保存于安全处。
(2)一旦信息系统遭到破坏性攻击,应立即向信息技术中心报告,并马上将信息系统从网络上断开,必要时可停止系统运行。
(3)信息技术中心将协助做好软件系统和数据的恢复。
(4)信息技术中心协助检查日志等资料,确认攻击来源。
(5)情况极为严重的,根据突发事件等级和响应级别及时向有关上级部门汇报。
5.数据库安全紧急处置措施
(1)各数据库系统要至少准备两个以上数据库备份。
(2)一旦发现数据库崩溃,应立即向信息技术中心报告。
(3)信息技术中心对主机系统进行检测维修,如遇无法解决的问题,立即向软硬件提供商请求支援。
(4)系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。
(5)如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库备份加以恢复。
(6)如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
6.广域网外部线路中断紧急处置措施
(1)网络管理员接到报告后,应迅速判断故障节点,查明故障原因。
(2)广域网任意线路中断后,网络管理员应立即启动相关预案,切换线路尽快恢复网络服务,同时向信息技术中心领导报告。
(3)如属我方管辖范围,由网络管理员立即予以恢复。如遇无法恢复情况,立即向有关网络设备厂商请求支援。
(4)如属电信部门管辖范围,立即与电信维护部门联系,请求限时修复。
(5)如果多条出口线路同时中断,网络管理员应在判断故障节点,查明故障原因后,尽快研究恢复措施,根据突发事件等级和响应级别及时向有关上级部门汇报。
(6)经信息技术中心领导同意后,在学校网首页等发布通知说明原因。
7.局域网中断紧急处置措施
(1)局域网中断后,网络管理员应立即判断故障节点,查明故障原因,并向信息技术中心领导汇报。
(2)如属线路故障,对具备备用线路的,应重新调整线路,对不具备备用线路的,通告断网区域内用户、联系维修事宜,并向信息技术中心领导汇报。
(3)如属路由器、交换机等网络设备故障,有备用设备的,应立即更换备用设备并调试畅通,并与设备提供商联系申请维修设备。没有备用设备的,通告断网区域内用户、与设备提供商联系申请维修,并向信息技术中心领导汇报。
(4)如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试畅通。如遇无法解决的技术问题,立即向有关厂商请求支援。
(5)情况严重的,根据突发事件等级和响应级别及时向有关上级部门汇报。
8.设备安全紧急处置措施
(1)服务器等关键设备损坏后,有关管理人员应立即查明原因,向信息技术中心汇报。
(2)如果能够自行恢复,应立即用备件替换受损部件。
(3)如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。
(4)如果设备一时不能修复,应向网信办汇报,并告知各相关单位,停止相关服务。
9.人员疏散与机房灭火预案
(1)一旦机房发生火灾,应遵照下列原则:首先保人员安全;其次保关键设备、数据安全;三是保一般设备安全。
(2)人员疏散的程序是:机房工作人员立即按响火警警报,并通过119电话向公安消防请求支援,所有不参与灭火的人员按照疏散线路迅速从机房中撤出。
(3)人员灭火的程序是:首先切断所有电源,启动自动喷淋系统,灭火值班人员戴好防毒面具等相关防护设备,从指定位置取出灭火器材进行灭火。
10.外电中断后的设备
(1)外电中断后,机房管理员应立即检查备用电源切换状态,确保备用电源运行正常。
(2)机房管理员员应立即查明原因,并向领导汇报。
(3)如因学校内部线路故障,请学校有关部门迅速恢复。
(4)如果是供电局的原因,应立即与供电局联系,了解原因,并要求供电局迅速恢复供电。
(5)如果由供电局告知需停电的,预计停电5小时以内,由UPS供电。时间过长的,应向学校领导汇报确定应急处置方案。
11.发生自然灾害后的紧急处置措施
(1)一旦发生自然灾害,导致设备损坏,由灾害发生单位向信息技术中心请求支援。
(2)信息技术中心接到有关部门的支援请求后,应在24小时内派遣人员携带有关设备赶到现场。
(3)到达现场后,寻找安全可靠的地点,重新构建新的网络和相关必要服务。
(4)保护好现场原有设备和数据,必要时寻求有关厂家支持予以恢复。
12.关键人员不在岗的紧急处置措施
(1)对于关键岗位平时应做好人员储备,确保一项工作有两人能操作。
(2)一旦发生关键人员不在岗的情况,由备用人员上岗操作,并向领导汇报情况。
八、其他说明
1.突发事件应急处置是一项复杂的综合性系统工程,各单位、各部门在实际的应急事故处理过程中注重时效和实效,创造性开展工作,切实提高学校处置网络安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制。
2.突发事件应急处置工作实行责任追究制,对突发事件应急管理工作中做出突出贡献的先进集体和个人要给予表彰和奖励。对迟报、谎报、瞒报和漏报突发事件重要情况
或应急管理工作中有其它失职、渎职行为的,依法对有关责任人给予行政处分,构成犯罪的,依法追究刑事责任。
3.本预案自发布之日起实施,由燕山大学网络安全和信息化建设工作领导小组负责解释。《燕山大学突发公共事件应急预案》(燕大党字〔2015〕4号)中所涉及的网络与信息安全类突发事件应急处置规定与本预案不符的,以本预案为准。
2017年12月19日
附件:《燕山大学网络安全事件信息报告表》
