为提高我校应对网络与信息安全突发事件的能力,加强对学校网络与信息安全突发事件处置的规范化管理,形成科学、有效、快速的应急机制,确保校园网的实体安全、运行安全和数据安全,最大限度地减轻网络基础平台与信息安全突发事件造成的损失和影响,特制定本应急预案。
一、适用范围
本预案适用的网络与信息安全突发事件包括如下几方面:
1.网络基础平台突发事件。网络基础平台突发事件是指由自然灾害、其他事故和人为破坏引起的网络硬件设备和基础设施损坏的事件。
2.应用系统和信息安全突发事件。应用系统和信息安全突发事件是指因为黑客攻击或病毒等导致的应用系统故障、异常或拒绝服务、信息泄露或被篡改、或利用校园网传播危害国家安全、社会秩序及影响我校正常工作学习的事件。
二、组织体系
在16877太阳集团网络与信息安全工作领导小组的领导下,以信息技术中心为执行部门,按照“分级负责、责任到人”的原则,组织实施具体的应急预案。
信息技术中心作为主管部门,负责研究制定校园网基础平台、应用系统和信息安全突发事件应急处置工作的规划、计划和实施办法,不断推进网络与信息应急机制和工作体系建设;在发生网络与信息安全突发事件后,决定启动应急预案,组织实施应急处置工作,并在发生重大突发事件时汇报分管校领导。
学校各单位网络与信息安全负责人和网络与信息安全管理员负责安全事件的判断、报告和安全事件应急恢复流程的启动申请,并负责组织协调和处理本单位的一般安全事件。
三、突发事件分级
根据安全突发事件对业务可能造成的影响或已经造成影响的严重程度并结合资产的重要程度把安全突发事件分为一般和重大两个级别。
(一)一般突发事件
校内单位的网络与信息系统发生安全事件,造成本地系统瘫痪,或对部分用户的业务有影响,但不危害全校用户业务的事件,并能够通过本单位网络与信息安全管理员进行协调处理,在短期内发现并解决的安全问题,称为一般安全突发事件。
(二)重大突发事件
重要网络与信息系统发生安全事件,造成全校范围内大规模瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,使重要信息系统遭受重大的系统损失,称为重大安全突发事件。
四、应急流程
1.临时处理
在突发事件发生后,值班维护人员应做好临时应急处置工作,立即采取措施控制事态,同时向信息技术中心领导报告。并在事件处置结束前进行动态监测、评估,及时将事件现状及处置工作等情况进行汇报,不得隐瞒、缓报、谎报。
2.预案实施
信息技术中心领导接到突发事件报告后,根据事件严重程度,进行不同的处置。对于重大突发事件,信息技术中心领导应当汇报分管校领导,并给出处置建议。对于一般事件,按照已有的预案实施应急处置。同时和对应的下属责任部门保持联系,及时了解当前状况,组织预案的实施工作。
3.信息发布
当突发事件发生时,信息技术中心应及时做好信息发布工作,通过仍然正常工作的应用系统或者其他渠道发布当前网络安全突发事件处置的相关信息,引导舆论和公众行为,避免影响社会或学校秩序。
信息技术中心要密切关注国内外关于当前网络与信息安全突发事件的新闻报道,及时采取措施,对媒体关于事件以及处置工作的不正确信息,进行澄清、纠正影响,接受群众咨询,释疑解惑。
4.应急支援
经实施应急预案后,事态难以控制或有扩大发展趋势时。要迅速召开应急处置会议或由学校网络与信息安全工作领导小组根据事态情况,研究采取有利于控制事态的非常措施,并向相关技术部门或公安部门请求援助。
5.应急结束
当突发事件的影响效果大幅度减小或消失,校园网恢复正常时,由信息技术中心根据监控数据给出应急结束的建议,由中心领导宣布应急结束,对于重大事件应急结束时应汇报分管校领导。
五、事后处置
在应急处置工作结束后,要迅速采取措施,抓紧组织抢修受损的基础设施或对存在问题的应用系统进行维护,以减少损失,尽快恢复正常工作。对于信息安全突发事件中的不良信息,做好日志记录,保存好证据以备日后审查。统计各种数据,查明事件原因,对事件造成的损失和影响以及恢复能力进行分析评估,制定恢复计划,并迅速组织实施。事后处置过程应向信息技术中心领导汇报或上报学校网络与信息安全工作领导小组。
六、具体预案措施
1.自然灾害紧急处置措施。校园网中心机房和核心交换节点因自然灾害(如潮湿、雷电等)导致设备损害无法正常工作时,值班人员应立即报告信息技术中心领导,并检查损坏程度,找出事故原因加以处理,联系设备供应商进行维修,并通知用户相关服务暂停以及预计恢复时间。
2.被盗和人为损坏紧急处置措施。校园网中心机房和核心交换节点设备被盗或者人为原因导致损坏时,值班人员应立即报告信息技术中心领导,并保护好现场,第一时间收集证据,以备公安部门进行调查或追究损坏设备的相关责任。信息技术中心应报告学校保卫部门或公安部门进行后续处理。
3.网络基础平台设备自然损坏紧急处置措施。服务器等关键设备因老化等原因自然损坏后,相关负责人员应立即查明原因。如果能够自行恢复,应立即用备件替换受损部件。如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。如果设备一时不能修复,应向领导汇报,并告知用户受到影响的网站服务。
4.停电紧急处置措施。机房长时间停电发生时,如果能事先从学校后勤部门或供电部门得知停电信息,应做好应用系统备份工作,通过学校网站通知用户暂停部分服务的信息,提醒用户保存数据,停止网络传输。准备备用电源保障最重要的设备和应用系统继续运作,关闭次要的设备和系统。同时技术人员要及时报告领导,保持和后勤或供电部门的联系,以期尽快恢复供电。
5.通信故障紧急处置措施。当校内网络出现严重通信故障时,技术人员应立刻报告信息技术中心领导,并立即组织排除故障,同时通知网络受到影响的校园网用户。校外网络出现通信故障时,应及时通知校园网用户,并积极联系网络服务提供商,敦促排除故障。
6.校园网网站、公共资源等信息窗口和平台出现非法言论或不良信息时,该网站、网页和公共资源由值班人员随时密切监视。如果多次出现,应结合发布人和身份认证系统定位到人,并向信息技术中心领导汇报。技术人员应在接到通知后立即对非法信息进行日志记录,保留证据后进行清除。网站维护人员应将记录及日志上报备案。
7.黑客攻击时的紧急处置措施。当有应用系统或者信息被篡改,或通过应用系统日志和访问记录发现有黑客正在进行攻击时,首先应将被攻击的系统和设备等从网络中隔离出来,同时向领导汇报情况。技术人员立即进行被破坏系统的恢复与重建工作。
8.病毒安全紧急处置措施。当发现计算机感染有病毒后,应立即将该机从网络上隔离出来。对该设备的硬盘进行数据备份。启用杀毒软件对该机进行杀毒处理。如发现杀毒软件无法清除该病毒,应立即向信息技术中心领导报告。经技术人员确认确实无法查杀该病毒后,应作好相关记录,并迅速研究解决办法。如果感染病毒的设备是托管服务器,经领导同意,应立即告知各下属单位做好相应的清查工作。
9.应用系统遭受破坏性攻击的紧急处置措施。重要的应用系统平时必须存有备份,与应用系统相对应的数据必须有多日备份,并将它们保存于安全处。一旦系统遭到破坏性攻击,应立即向领导报告,并将系统停止运行。网站维护人员立即进行软件系统和数据的恢复。
10.数据库安全紧急处置措施。各数据库系统要至少准备一个以上数据库备份,每日进行增量备份。一旦数据库崩溃,应立即向领导报告,并立即进行备份恢复。
11.关键人员不在岗的紧急处置措施。对于关键岗位平时应做好人员储备,确保一项工作有两人能操作。一旦发生关键人员不在岗的情况,首先应向领导汇报情况。经领导批准后,由备用人员上岗操作。
其他未列出的突发事件,一律需首先汇报给信息技术中心领导,并遵照领导指示进行应急处置。
七、应急保障
1.硬件和网络设施保障。事先预留一定的应急硬件设备或网络设施。在突发事件发生时,可以及时替换使用。
2.重要应用系统、信息和数据均应建立异地容灾备份系统和相关工作机制,保证系统或数据在受到破坏后,可紧急恢复。
3.应急队伍保障。建立网络与信息安全应急保障队伍,同时由信息技术中心选择技术能力较强的人员或部门作为应急支援力量,确保事件发生前的人员值班、事件处置过程和事后重建中的人员保障力量。