为提高我校应对网络与信息安全突发事件的能力,加强对我校网络与信息安全突发事件处置的规范化管理,形成科学、有效、快速的应急机制,确保校园网的实体安全、运行安全和数据安全,最大限度地减轻网络基础平台与信息安全突发事件造成的损失和影响,特制定本应急预案。
一、适用范围
本预案适用的网络与信息安全突发事件包括如下几方面:
1.网络基础平台突发事件。网络基础平台突发事件是指由自然灾害、其他事故和人为破坏引起的网络硬件设备和基础设施损坏的事件。
2.应用系统和信息安全突发事件。应用系统和信息安全突发事件是指因为黑客攻击或病毒等导致的应用系统故障、异常或拒绝服务、信息泄露或被篡改、或利用校园网传播危害国家安全、社会秩序及影响我校正常工作学习的事件。
二、组织体系
在我校校园网络建设与管理工作领导小组的领导下,以教育技术中心为执行部门,按照“分级负责、责任到人”的原则,组织实施具体的应急预案。
教育技术中心作为主管部门,负责研究制定校园网基础平台、应用系统和信息安全突发事件应急处置工作的规划、计划和政策,不断推进网络与信息应急机制和工作体系的建设;在发生以上网络与信息安全突发事件后,决定启动应急预案,组织实施应急处置工作,并在发生重大突发事件时汇报分管校领导。
我校各部门系统管理员和分管信息化工作的校(处)领导负责安全事件的判断、报告和安全事件应急恢复流程的启动申请,并负责组织协调和处理本单位的一般安全事件。
三、网络与信息安全事件分类分级
(一)事件分类
依据发生过程、性质和特征的不同,可分为以下六类:
1.有害程序事件:蓄意制造、传播有害程序。有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行。
2.网络攻击事件:通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害。
3.信息破坏事件:通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取。
4.信息内容安全事件:利用校园网络在校内外传播法律法规禁止的信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益等。
5.设备故障事件:校园网络与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪。
6.灾害性事件:因洪水、火灾、雷击、地震、台风、非正常停电等外力因素导致网络与信息系统损毁,造成业务中断、系统宕机、网络瘫痪。
(二)事件分级
网络与信息安全突发事件依据其可控性、严重程度和影响范围的不同,可分为以下四级:
1.特别重大安全事件:我校网络与信息系统发生全校性大规模瘫痪,对我校正常工作造成特别严重损害,且事态发展超出我校控制能力的安全事件;
2.重大安全事件:我校网络与信息系统造成全校性瘫痪,对我校正常工作造成严重损害,事态发展超出设备管理中心控制能力,需我校各部门协同处置的安全事件;
3.较大安全事件:我校某一区域的网络与信息系统瘫痪,对我校正常工作造成一定损害,教育技术中心可自行处理的安全事件;
4.一般安全事件:某一局部网络或信息系统受到一定程度损坏,对我校某些工作有一定影响,但不危及我校整体工作的安全事件。
四、应急流程
1.预案启动
在突发事件发生后,值班维护人员应做好临时应急处置工作,立即采取措施控制事态,同时向教育技术中心领导报告。教育技术中心和突发安全事件的信息系统建管部门应尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围,评估事件带来的影响和损害,确认突发事件的类别和等级,并参照下述响应机制对突发事件进行处置。
2.应急响应
教育技术中心领导接到突发事件报告后,根据事件严重程度,进行不同的处置。对于特别重大安全事件,教育技术中心立即上报分管校领导和网络安全和信息化领导小组,领导小组再上报至市公安局等相关部门,由市教育局相关部门会同我校网络安全和信息化领导小组统一组织、协调指挥应急处置。对于重大安全事件,教育技术中心立即上报分管校领导和网络安全和信息化领导小组,由领导小组统一组织、协调指挥进行应急处置。对于一般或较大安全事件,教育技术中心和突发安全事件的信息系统建管部门自行负责应急处置工作,有关情况报分管校领导。
3.信息发布
当突发事件发生时,教育技术中心应及时做好信息发布工作,通过仍然正常工作的应用系统或者其他渠道发布当前网络安全突发事件处置的相关信息,引导舆论和公众行为,避免影响社会或我校秩序。
教育技术中心要密切关注国内外关于当前网络与信息安全突发事件的新闻报道,及时采取措施,对媒体关于事件以及处置工作的不正确信息,进行澄清、纠正影响,接受群众咨询,释疑解惑,稳定人心。
4.应急支援
经实施应急预案后,事态难以控制或有扩大发展趋势时。要迅速召开应急处置会议或由网络与信息安全领导小组根据事态情况,研究采取有利于控制事态的非常措施,并向相关技术部门或公安部门请求援助。
5.应急结束
当突发事件的影响效果大幅度减小或消失,校园网恢复正常时,由教育技术中心根据监控数据给出应急结束的建议,由中心领导宣布应急结束,对于重大事件应急结束时应汇报分管校领导。
五、具体应急处理措施
1.自然灾害应急处理措施。校园网中心机房和核心交换节点因自然灾害(如潮湿、雷电等)导致设备损害无法正常工作时,值班人员应立即报告教育技术中心领导,并检查损坏程度,找出事故原因加以处理,联系设备供应商进行维修,并通知用户相关服务暂停以及预计恢复时间。
2.被盗和人为损坏应急处理措施。校园网中心机房和核心交换节点设备被盗或者人为原因导致损坏时,值班人员应立即报告教育技术中心领导,并保护好现场,第一时间收集证据,以备公安部门进行调查或追究损坏设备的相关责任。教育技术中心应报告我校保卫部门或公安部门进行后续处理。
3.网络基础平台设备自然损坏应急处理措施。服务器等关键设备因老化等原因自然损坏后,相关负责人员应立即查明原因。如果能够自行恢复,应立即用备件替换受损部件。如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。如果设备一时不能修复,应向领导汇报,并告知用户受到影响的网站服务。
4.停电应急处理措施。机房长时间停电发生时,如果能事先从我校后勤部门或供电部门得知停电信息,应做好应用系统备份工作,通过我校网站通知用户暂停部分服务的信息,提醒用户保存数据,停止网络传输。准备备用电源保障最重要的设备和应用系统继续运作,关闭次要的设备和系统。同时技术人员要及时报告领导,保持和后勤或供电部门的联系,以期尽快恢复供电。
5.通信故障应急处理措施。当校内网络出现严重通信故障时,技术人员应立刻报告教育技术中心领导,并立即组织排除故障,同时通知网络受到影响的校园网用户。校外网络出现通信故障时,应及时通知校园网用户,并积极联系网络服务提供商,敦促排除故障。
6.校园网网站、公共资源等信息窗口和平台出现非法言论或不良信息时,该网站、网页和公共资源由值班人员随时密切监视。如果多次出现,应结合发布人和身份认证系统定位到人,并向教育技术中心领导汇报。技术人员应在接到通知后立即对非法信息进行日志记录,保留证据后进行清除。网站维护员应将记录及日志上报备案。
7.黑客攻击时的应急处理措施。当有应用系统或者信息被篡改,或通过应用系统日志和访问记录发现有黑客正在进行攻击时,首先应将被攻击的系统和设备等从网络中隔离出来,同时向领导汇报情况。技术人员立即进行被破坏系统的恢复与重建工作。
8.病毒安全应该急处理措施。当发现计算机感染有病毒后,应立即将该机从网络上隔离出来。对该设备的硬盘进行数据备份。启用杀毒软件对该机进行杀毒处理。如发现杀毒软件无法清楚该病毒,应立即向教育技术中心领导报告。经技术人员确认确实无法查杀该病毒后,应作好相关记录,并迅速研究解决办法。如果感染病毒的设备是托管服务器,经领导同意,应立即告知各下属单位做好相应的清查工作。
9.应用系统遭受破坏性攻击的应急处理措施。重要的应用系统平时必须存有备份,与应用系统相对应的数据必须有多日备份,并将它们保存于安全处。一旦系统遭到破坏性攻击,应立即向领导报告,并将系统停止运行。网站维护员立即进行软件系统和数据的恢复。
10. 数据库安全应急处理措施。各数据库系统要至少准备一个以上数据库备份,每日进行增量备份。一旦数据库崩溃,应立即向领导报告,并立即进行备份恢复。
11.关键人员不在岗的紧急处理措施。对于关键岗位平时应做好人员储备,确保一项工作有两人能操作。一旦发生关键人员不在岗的情况,首先应向领导汇报情况。经领导批准后,由备用人员上岗操作。
其他未列出的突发事件,一律需首先汇报给教育技术中心领导,并遵照领导指示进行应急处置。
六、事后处置
在应急处置工作结束后,要迅速采取措施,抓紧组织抢修受损的基础设施或对存在问题的应用系统进行维护,以减少损失,尽快恢复正常工作。对于信息安全突发事件中的不良信息,做好日志记录,保存好证据以备日后审查。统计各种数据,查明事件原因,对事件造成的损失和影响以及恢复能力进行分析评估,认真制定恢复计划,并迅速组织实施。事后处置过程应向教育技术中心领导汇报或上报网络与信息安全领导小组。
七、应急保障
1.硬件和网络设施保障。事先预留一定的应急硬件设备或网络设施。在突发事件发生时,可以及时替换使用。
2.重要应用系统、信息和数据均应建立异地容灾备份系统和相关工作机制,保证系统或数据在受到破坏后,可紧急恢复。
3.应急队伍保障。建立网络与信息安全应急保障队伍,同时由教育技术中心选择技术能力较强的人员或部门作为应急支援力量,确保事件发生前的人员值班、事件处置过程和事后重建中的人员在岗与战斗力。
4.经费保障。预留一定的应急处置资金,采用自筹形式予以保障。
