第一章 总则
第一条为了加强学校网络与信息安全保障能力,提高安全水平,保证网络通信畅通和业务系统的正常运营,提高网络与信息服务质量。在学校安全体系框架下,规范安全事件的响应和操作流程,加强对学校网络与信息安全事件处置的规范化管理。
第二条本办法适用于学校校园网内所承载的所有信息系统。
第二章 安全事件定义
第三条学校网络与信息安全事件是指校园网中所有硬件、软件及数据,因被非法攻击或被病毒入侵等原因而遭到破坏、更改、泄漏,造成系统不能正常运行,影响正常业务开展的事件。
安全事件主要可以分为以下几大类:
(一)有害程序事件:有害程序事件包括计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等;
(二)网络攻击事件:网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件造成学校网站或部门二级网站主页被恶意篡改,应用系统数据被拷贝、篡改、删除等等;
(三)信息破坏事件:信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等;
(四)信息内容安全事件:信息内容安全事件是指利用校园网络在校内外传播法律法规禁止的信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益等安全事件。
(五)设备设施故障:设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障等导致业务中断、系统宕机、网络瘫痪;
(六)灾害性事件:灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、非正常停电、恐怖袭击等不可抗力导致的网络与信息系统损毁,造成业务中断、系统宕机、网络瘫痪等;
(七)其他信息安全事件:其他信息安全事件类别是指不能归为以上六个基本分类的信息安全事件。
第三章 安全事件分级
第四条根据安全事件对业务可能造成的影响或已经造成影响的严重程度并结合资产的重要程度把安全事件分为四个级别。
(一)一般安全事件(IV级)
校内单位的网络与信息系统发生安全事件,造成本地系统瘫痪,或对部分用户的业务有影响,但不危害全校用户业务的事件,并能够通过本单位教育信息技术助理员进行协调处理,在短期内发现并解决的安全问题,称为一般安全事件。
(二)较大安全事件(III级)
校内某一区域的网络与信息系统瘫痪,对学校正常工作造成一定损害,信息化办公室可自行处理的安全事件,称为较大安全事件。
(二)重大安全事件(II级)
学校网络与信息系统造成全校性瘫痪,对学校正常工作造成严重损害,事态发展超出信息化办公室控制能力,需学校各部门协同处置的安全事件,称为重大安全事件。
(二)特大安全事件(I级)
重要网络与信息系统发生安全事件,造成全校范围内大规模瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,使重要信息系统遭受重大的系统损失,且事态发展超出学校控制能力的安全事件,称为特大安全事件。
第四章组织机构和工作职责
第五条信息安全管理遵循“谁主管谁负责、谁主办谁负责、谁运维谁负责、谁使用谁负责”的原则,各单位要明确工作职责,建立工作责任制和责任追究制,明确分工,强化管理。学校各单位网络信息安全员和分管信息化工作的院(处)领导负责安全事件的判断、报告和安全事件应急恢复流程的启动申请,并负责组织协调和处理本单位的一般安全事件。
第六条信息化办公室作为学校信息化建设的主管部门,承担学校信息安全管理的总体职责,负责校园主干网络与主要信息系统安全事件的预防、监测、报告和应急处置;对学校其他部门主管的网络信息系统的安全防护情况进行日常检查、督促、指导、考核和审批,必要时协助相关主管部门完成突发事件的技术处理;在网络与信息资产暴露于重大威胁时,信息化办公室监督控制可能发生的重大变化;指挥、协调、督促并审查较大安全事件(III级)的处理。
第七条学校信息化领导小组负责全校网络与信息安全的全面领导工作,全面负责和统一指挥校园网络与信息安全重大、特大突发事件的应急处置工作。
第五章工作要求
第八条各单位分管信息化的院(处)领导和网络信息安全员应根据安全事件的类型和级别定义判断安全事件,及时处理已经发生的安全事件,并控制其危害蔓延。
第九条各单位分管信息化的院(处)领导和网络信息安全员应对一般安全事件的发生、处理办法进行记录,并将《安全事件记录单》(附件3)及相关文档提交信息化办公室进行备案;处理和汇报流程参见《安全事件处理流程》(附件1)。
第十条各单位分管信息化的院(处)领导和网络信息安全员在处理一般安全事件过程中,需要判断事件的严重程度,如果已经上升到重大、特大安全事件,应启动《应急响应流程》(附件2)。
第六章 预防措施
第十一条按照国家网络与信息安全通报中心《信息安全事件分类分级指南》,对校园网络通信平台、应用平台和信息系统采取相应安全保障措施,并全面实施信息安全等级保护制度。一是要按照教育行业有关规范准确定级和备案,对新建系统要在系统规划、设计阶段同步确定安全保护等级;对于已建系统要按照系统所定级别进行安全整改。二是按照国家和教育行业有关标准规范要求进行等级测评。
第十二条建立健全安全事件预警预报体系,严格执行校园网络与信息安全管理制度,常年坚持校园网络安全工作值班制度。加强对校园网络与学校网站等重点信息系统的监控和安全管理,做好相关数据日志记录,确定合理规则,对校园网络进出信息实行过滤及预警。实行信息网上发布审批制度,对可能引发校园网络与信息安全事件的信息,要认真收集、分析、判断,发现有异常情况时,及时防范处理并逐级报告。
第十三条做好服务器及数据中心的数据备份及登记工作,建立灾难性数据恢复机制。
第十四条特殊时期,根据学校要求和部署,由信息化办公室进行统一安排,组织专业技术人员对校园网络和信息系统采取加强性保护措施,对校园网络通信及信息系统进行不间断监控。
第七章 处置流程
第十五条预案启动
发生校园网络与信息安全事件后,信息化办公室和突发安全事件的信息系统建管部门应尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围,评估事件带来的影响和损害,确认突发事件的类别和等级,并参照下述响应机制对突发事件进行处置。
第十六条应急响应
1.应急响应机制
III级或IV级突发事件响应:信息化办公室和突发安全事件的信息系统建管部门自行负责应急处置工作,有关情况报分管校领导。
II级突发事件响应:信息化办公室立即上报分管校领导和校园网络与信息安全事件应急处置领导小组,由领导小组统一组织、协调指挥进行应急处置。
I级突发事件响应:信息化办公室立即上报分管校领导和校园网络与信息安全事件应急处置领导小组,领导小组再上报至市公安局等相关部门,由吉林市相关部门会同我校校园网络与信息安全事件应急处置领导小组统一组织、协调指挥应急处置。
2.应急处理方式
根据网络与信息安全事件分类采取不同应急处置方式。
(1)有害程序事件、网络攻击事件:判断攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质采取以下方案:
病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助,寻找并公布病毒攻击信息,以及杀毒、防御方法。
外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外网入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和影响。
内部入侵:查清入侵来源,如IP地址、所在办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。
(2)信息内容安全事件:接到校内网站出现不良信息的报案后,应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息的传播,根据网站相关日志记录查找信息发布人并做好善后处理;对公安机关要求我校协查的外网不良信息事件,根据校园网上网相关记录查找信息发布人。
(3)设备设施故障事件:判断故障发生点和故障原因,迅速联系IT运维公司尽快抢修故障设备,优先保证校园网主干网络和主要应用系统的运转。
(4)灾害性事件:根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
(5)其它不确定安全事件:可根据总的安全原则,结合具体情况,做出相应处理。不能处理的及时上报网络与信息安全领导小组,请示下一步的工作方法。
第十七条后续处理
1.安全事件进行最初的应急处置后,应及时采取行动,抑制其影响进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。
2.安全事件被抑制后,通过对有关事件或行为的分析结果,找出问题根源,明确相应补救措施并彻底清除。
3.在确保安全事件解决后,要及时清理系统,恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。
第十八条记录上报
网络与信息系统安全事件发生时,应及时向校领导和校园网络与信息安全事件应急处置领导小组汇报,并在事件处置工作中作好完整的过程记录,及时报告处置工作进展情况,保存各相关系统日志,直至处置工作结束。
第十九条结束响应
系统恢复运行后,信息化办公室对事件造成的损失、事件处理流程和应急预案进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告,同时确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料;属于重大事件或存在非法犯罪行为的,第一时间向公安机关网络监察部门报案。
第八章 保障措施
第二十条校园网络与信息安全应急处置是一项长期的、随时可能发生的工作,必须做好各项应急保障工作。
第二十一条队伍保障
重视信息系统安全队伍建设,不断提高工作人员的信息安全防范意识和技术水平,确保安全事件应急处置过程和重建工作中技术人员的在岗与防护能力。
第二十二条技术保障
重视信息系统的建设和升级换代,重视网络安全整体方案的不断完善,加强技术管理,确保信息系统的稳定与安全,聘请信息安全顾问或安全公司为应急处置过程和重建工作提供咨询和技术支持。
第二十三条资金保障
信息化办公室应根据校园网络与信息系统安全预防和应急处置工作的实际需要,申报网络与信息系统关键设备及软件的运行维护专项资金,提出本年度应急处置工作相关设备和工具所需经费,并上报至学校纳入年度财政预算,由学校给予资金保障。
第二十四条安全培训和演练
举办面向全校师生网络与信息系统安全知识培训,加强对教职工和学员的计算机操作、信息技能、网络和信息系统安全等相关知识的宣传普及,增强预防意识和简单应急处置能力。有针对性地开展应急抢险救灾演练,确保发灾后应急救助手段及时到位和有效。
第九章 附则
第二十五条本办法自发布之日起实行。
第二十六条本办法的解释权归信息化办公室。
附件:
附件1:东北电力大学网络与信息安全事件处理流程
附件2:东北电力大学网络与信息安全事件应急响应流程
附件3:安全事件记录单
