第一章 总则
第一条 为了切实做好网络与信息安全突发事件的防范和应急处理工作,建立健全蚌埠工商学院网络安全事件应急工作机制,有效预防并科学应对网络安全突发事件,提高网络安全事件处置能力,最大限度地预防和减少网络安全事件造成的损失和危害,确保重要计算机信息系统的实体安全、运行安全和数据安全,维护校园正常秩序,保护公众利益,维护国家安全、公共安全和社会秩序。结合本校实际,制定本预案。
第二条 本预案适用于全校范围内网络与信息系统,尤其是校园网关键网络设施和重要信息系统安全突发事件的应急处置。按照《国家网络安全事件应急预案》《教育系统网络安全事件应急预案》规定,本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他事件。
第三条 网络安全事件依据影响范围、严重程度,可分为以下四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
一、符合下列情形之一的,为特别重大网络安全事件(I级):
(一)关键网络基础设施出现故障,故障时间超过36小时,全校师生用户无法正常上网。
(二)网络病毒在全校范围内大面积爆发。
(三)学校主页、财务等核心业务信息系统(网站)遭受特别严重损失,造成系统大面积瘫痪,丧失业务处理能力。
(四)学校主页、财务等核心业务信息系统(网站)的重要敏感信息或关键数据丢失或被窃取、篡改。
(五)其他对学校安全稳定和正常秩序构成特别严重威胁,造成特别严重影响的网络安全事件。
二、符合下列情形之一的,为重大网络安全事件(II级):
(一)关键网络基础设施出现故障,故障时间超过24小时,全校师生用户无法正常上网。
(二)网络病毒在学校多个单位范围内大面积爆发。
(三)教务系统等核心业务信息系统(网站)遭受严重系统损失,造成系统长时间中断瘫痪,业务处理能力受到重大影响。
(四)教务系统等核心业务信息系统(网站)的重要敏感信息或关键数据发生丢失或被窃取、篡改。
(五)其他对学校安全稳定和正常秩序构成严重威胁,造成严重影响的网络安全事件。
三、符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件(III级):
(一)关键网络基础设施出现故障,故障时间超过12小时,全校师生用户无法正常上网或访问校内网站。
(二)网络病毒在学校某一个单位范围内广泛传播。
(三)后勤、学院等重要业务信息系统(网站)遭受较大系统损失,明显影响系统效率,业务处理能力受到影响。
(四)后勤、学院等重要业务信息系统(网站)的信息或数据发生丢失或被窃取、篡改、假冒。
(五)其他对教育系统安全稳定和正常秩序构成较大威胁,造成较大影响的网络安全事件。
四、一般网络安全事件(Ⅳ级):除上述情形外,对学校安全稳定和正常秩序构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
第四条 工作原则
(一)防范为主,加强监控
宣传普及信息安全防范知识,贯彻预防为主的思想,树立常备不懈的观念,做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,从法律、管理、技术、人才等方面,采取多种措施,提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测,发现和防范重大信息安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。
(二)以人为本,协同作战
把保障公共利益以及师生的合法权益作为首要任务,由校网络与信息安全领导小组统一领导和协调,督促相关部门协同配合、具体实施,完善应急工作体系和机制,最大限度地避免学校及师生员工遭受损失。
(三)明确责任,条块结合
按照“谁主管谁负责、谁运营谁负责”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强学校部门间、系部与部门间的协调与配合,共同履行应急处置工作的管理职责。
(四)加强储备,常备不懈
加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现信息安全突发公共事件应急处置的科学化、程序化与规范化。
第二章 组织机构与职责
第五条 成立网络安全和信息化工作领导小组,领导小组的主要职责与任务是统一领导全校网络与信息安全的应急工作,全面负责学校网络与信息安全可能出现的各种突发事件处置工作,协调解决灾害处置工作中的重大问题等。网络安全和信息化工作领导小组(以下简称网信办)负责网络安全应急管理事务性工作,及时收集网络安全事件情况,并向网络安全和信息化工作领导小组报告,提出网络安全事件应对措施建议,由现代教育技术中心、党委宣传部、后勤部、学生处、教务处、安全管理处等部门成员,具体负责学校网络与信息安全应急处置工作。
第六条 现代教育技术中心负责学校网络安全工作统筹规划、建设、管理,做好网络安全事件的预防、监测预警、报告和应急工作,为学校网络安全事件应急处置提供决策支持和技术支撑。
第七条 党委宣传部负责学校舆情监测工作,对于涉及师生政治思想方面的预警性、倾向性、苗头性的问题加强分析研判,并妥善有效应对。
第八条 安全管理处密切联系公安部门,配合现代教育技术中心做好网络信息安全事件的处置工作。
第九条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,参照本预案制定单位内部应急预案,承担本单位网络安全主体责任,全面落实各项工作。
第三章 监测与预警
第十条 按照紧急程度、发展态势和可能造成的危害程度,学校网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。
第十一条 现代教育技术中心建立多方协作的信息共享机制,通过多种渠道监测、汇集漏洞、病毒、网络攻击、弱口令、暗链等网络安全威胁信息,并及时通报相关单位。各单位对本单位网络和信息系统(网站)的运行状况进行密切监测,一旦发生网络安全事件,应当立即通过电话等方式向网信办报告,不得迟报、谎报、瞒报、漏报。
第十二条 现代教育技术中心对监测信息进行研判,对发生网络安全事件的可能性及其可能造成的影响进行分析评估,认为需要立即采取防范措施的及时通知有关单位;认为可能发生重大以上(含重大)网络安全事件的信息,应立即向网络安全和信息化工作领导小组报告。网络安全和信息化工作领导小组可根据监测研判情况,发布黄色、蓝色预警。预警信息包括预警级别、起始时间、可能影响范围、警示事项、应采取的措施、时限要求和发布机关等。
第十三条 预警响应
一、红色、橙色预警响应
(一)现代教育技术中心组织预警响应工作,联系有关部门、专业机构和专家,组织对事态发展情况进行跟踪研判,研究制定防范措施和应急工作方案,协调调度各方资源,做好各项准备,重要情况报网络安全和信息化工作领导小组。
(二)组织跟踪和分析研判,密切关注事态发展,做好监测分析和信息搜集工作;开展应急处置或准备、风险评估;密切关注舆情动态,加强教育引导,采取有效措施管控风险。
(三)有关单位实行24小时值守,相关人员保持通信联络畅通。
(四)党委宣传部做好与专业机构沟通协调的准备工作;安全技术支撑部门进入待命状态,研究制定应对方案,检查设备、软件工具等,确保处于良好状态。
二、黄色预警响应
(一)网信办启动相应应急预案,组织开展预警响应工作,做好风险评估、应急准备和风险控制工作。
(二)网信办及时将事态发展情况报学校主要领导。
(三)相关应急技术支撑队伍保持联络畅通,检查应急设备、软件工具等,确保处于良好状态。
三、蓝色预警响应事发单位启动相应应急预案,组织开展预警响应工作,做好风险评估、应急准备和风险控制工作。
第十四条 预警解除预警发布机构根据实际情况,确定是否解除预警,及时发布预警解除信息。
第四章 应急处置
第十五条 网络安全事件发生后,事发单位应立即启动应急预案,立即组织本单位的相关人员根据不同的事件类型和事件原因,采取断网等有效措施进行处置,尽最大努力将损害和影响降到最低,保留网络攻击、网络入侵或网络病毒等证据,并电话报告本单位责任人和网信办。对于人为破坏活动,应同时报当地网信部门和公安机关。经网信办分析研判,初判为特别重大、重大网络安全事件,应立即报告网络安全和信息化工作领导小组。对于认定为特别重大、重大网络安全事件的,根据校领导意见,报告部市网信办、省级教育行政部门。
第十六条 网络安全事件应急响应分为Ⅰ级、Ⅱ级、Ⅲ级、Ⅳ级等四级,分别对应特别重大、重大、较大和一般网络安全事件。
一、Ⅰ级、Ⅱ级响应
(一)启动指挥体系
1.网信办进入应急状态,履行应急处置工作统一领导、指挥、协调的职责。网信办成员保持24小时联络畅通,校网信办24小时值守。
2.相关单位进入应急状态,在网信办的统一领导、指挥、协调下组织人员开展应急处置或支援保障工作,启动24小时值守。
(二)掌握事件动态
1.跟踪事态发展。事发单位与校网信办保持联系,及时填写《教育系统网络安全事件情况报告》,将事态发展变化情况和处置进展情况上报校网信办。
2.检查影响范围。各单位立即全面了解本单位主管的网络和信息系统是否受到事件的波及或影响,并将有关情况及时报校网信办。
3.及时通报情况。校网信办负责整理上述情况,重大事项及时报网络安全和信息化工作领导小组。
(三)决策部署。网络安全和信息化工作领导小组组织有关单位、专家组、应急技术支撑队伍等方面及时研究对策意见,对处置工作进行决策部署。
(四)处置实施
1.控制事态防止蔓延。采取各种技术措施、管控手段,最大限度阻止和控制事态蔓延。
2.消除隐患恢复系统。根据事件发生原因,针对性制定解决方案,备份数据、保护设备、排查隐患。对业务连续性要求高的受破坏网络与信息系统要及时组织恢复。
3.调查取证。事发单位应在保留相关证据的基础上,开展问题定位和溯源追踪工作。积极配合当地网信部门和公安机关开展调查取证工作。
4.信息发布。党委宣传部根据实际,组织网络安全突发事件的应急新闻工作,指导协调开展新闻发布和舆论引导工作。未经批准,其他单位不得擅自发布相关信息。
5.协调上级支持。处置中需要技术及工作支持的,由校网信办根据实际,报请领导批准后,商蚌埠市网信办、公安部门予以支持。
6.次生事件处置。对于引发或可能引发其他安全事件的,校网信办应及时按程序上报。在相关单位应急处置中,校网信办做好协调配合工作。
二、Ⅲ级响应
(一)网络安全应急工作组进入应急状态,进行应急处置工作,处置情况及时向学校主要领导报告。
(二)事发单位及时填写《教育系统网络安全事件情况报告》,报市网安、网信办。
(三)处置中需要其他单位和网络安全应急技术支撑队伍配合和支持,由网络与信息安全领导小组统一指挥、协调。
(四)有关单位根据通报,结合各自实际有针对性地加强防范,防止造成更大范围影响和损失。
三、Ⅳ级响应
(一)事发单位进入应急状态,进行应急处置工作,处置情况及时向分管校领导报告。
(二)事发单位及时填写《教育系统网络安全事件情况报告》,报市网安、网信办。
第五章 具体处置措施
第十七条 应急预案启动
有下列情况应启动应急预案:
一、网站、网页出现非法言论;
二、网络遭受黑客攻击;
三、计算机网络出现病毒;
四、软件系统遭受破坏性攻击;
五、数据库系统出现故障;
六、广域网外部线路中断;
七、局域网大范围中断;
八、服务器等关键网络设备故障;
九、网络中心机房外电中断。
第十八条 应急预案启动时的应急处理措施
一、网站、网页出现非法言论时的紧急处置措施
(一)网站、网页由各相关使用部门的具体负责人员随时密切监视信息内容。每天不少于5次;非常时期,每小时监控一次,必要时,24小时监控。
(二)发现网上出现非法信息时,负责人员应立即向网络与信息安全领导小组通报情况;情况紧急的应先及时采取删除等处理措施,再按程序报告。
(三)网络与信息安全领导小组人员应在接到通知后十分钟内进行处理,作好必要的记录,通知网信办人员清理网站上的非法信息,强化安全防范措施后方可将网站网页重新投入使用。
(四)网信办人员应妥善保存有关记录及日志或审计记录。
(五)网信办人员应立即追查非法信息来源,若非法信息来源于校内,则由本院安全管理处和网络技术人员进行处理,同时报告校网络与信息安全领导小组负责人,根据管理制度对非法传播者及时处置,并报知上级公安部门备案;若非法信息来自于校外,则立即上报公安部门,并由技术人员将这些信息保存、记录IP地址,以备上级公安部门互联网突发事件处置行动组调用。
二、黑客攻击时的紧急处置措施
(一)当有关负责人员发现网页内容被篡改,或通过防火墙、入侵检测系统发现有黑客正在进行攻击时,应立即向网络安全和信息化工作领导小组通报情况。
(二)网信办人员应在十分钟内进行处理,首先应将被攻击的服务器等设备从网络中隔离出来,保护现场,同时向网络安全和信息化工作领导小组汇报情况。
(三)网信办人员负责被破坏系统的恢复与重建工作,修补漏洞、强化安全措施后方可将被攻击的服务器设备接入网络。
(四)网信办人员追查非法信息来源。
(五)网络安全和信息化工作领导小组会商后,如认为情况严重,则立即向省教育厅和公安部门汇报。
三、计算机网络病毒安全紧急处置措施
(一)当发现网络上出现病毒,并影响网络的正常运行后,应立即找出感染病毒机器。
(二)将感染病毒机器和网络隔离,待病毒彻底清除后方允许再次接入网络。
(三)技术人员要针对该款病毒进行研究,做好相应的病毒发作特征及解决方案。
四、软件系统遭受破坏性攻击的紧急处置措施
(一)重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日备份,并将它们保存于安全处。
(二)一旦软件遭到破坏性攻击,应立即停止软件系统。
(三)系统管理人员负责软件系统和数据的恢复。
(四)系统管理人员检查日志等资料,确认攻击来源。
(五)安全领导小组认为情况极为严重的,应立即向省教育厅和公安部门报告。
五、数据库安全紧急处置措施
(一)各数据库系统要至少准备两个以上数据库备份,平时一份放在机房,另一份放在另一安全的建筑物中。
(二)一旦数据库崩溃,应急处置组人员应对主机系统进行维修,如遇无法解决的问题,立即向上级单位或软硬件提供商请求支援。
(三)系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。
(四)如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库备份加以恢复。
(五)如果两个备份均无法恢复,应立即向有关厂商请求紧急支援,并向网络安全和信息化工作领导小组汇报。
六、广域网外部线路中断紧急处置措施
(一)广域网线路中断后,网络管理员接到报告后,应迅速判断故障节点,查明故障原因。
(二)如属我校管辖范围,由网络管理员予以恢复。如遇无法恢复情况,立即向有关厂商请求支援。
(三)如属电信部门管辖范围,立即与电信维护部门联系,请求修复。
七、局域网大范围中断紧急处置措施
(一)局域网出现大范围中断现象后,网络管理员应立即判断故障节点,查明故障原因。
(二)如属线路故障,应重新安装线路。
(三)如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试畅通。
(四)如属路由器、交换机等网络设备故障,应立即调换备机,如无备机,立即向设备提供商联系更换设备,并调试畅通;并向网络安全和信息化工作领导小组领导汇报。
八、服务器等关键网络设备故障安全紧急处置措施
(一)服务器等关键设备损坏后,管理人员应立即查明原因。
(二)如果能够自行恢复,应立即用备件替换受损部件。
(三)如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。
(四)如果设备一时不能修复,应向网络与信息安全领导小组汇报。
九、中心机房外电中断后的处置措施
(一)外电中断后,机房会自动切换到备用电源。
(二)检查断电原因,如因内部线路故障,请综合管理处协助迅速恢复。
(三)如果是供电局的原因,应立即与供电局联系,请供电局迅速恢复供电。
(四)如果供电局告知需长时间停电,应做如下安排:
1.预计停电1小时以内,由UPS供电。
2.预计停电1-3小时,关掉非关键设备,确保各主机、路由器、交换机供电。
3.预计停电超过3小时,关掉非关键设备,确保各主机、路由器、交换机供电。UPS使用4小时后,关闭所有的设备。
第六章 应急结束
第十九条 网络信息安全突发事件应急处理后,情况得到恢复或得到有效控制,经网络安全和信息化工作领导小组讨论决定结束应急状态,并上报有关领导和部门。
发生Ⅲ级至I级事件时,应按照《信息技术安全事件报告与处置流程(试行)》报告,报告流程如下:
事发紧急报告:事件发生后立即以口头通讯方式报现代教育技术中心,涉及人为主观破坏事件应同时报当地公安机关。报告内容包括:时间地点,简要经过,事件类型与分级,影响范围,危害程度,初步原因分析,已采取的紧急措施。
事中处置报告:应在事件发生后8小时内以书面报告形式报送学校。
事后整改报告:应在事件处置完毕后5个工作日内以书面报告形式报送学校。
第七章 工作保障
第二十条 网络与信息安全的防治工作是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作,是有组织的科学与社会行为,而不是随着每次灾害的发生而开始和结束的活动。因此,必须做好应急保障工作。
(一)人员保障
重视网络管理人员队伍的建设与保障,确保在灾害发生前的人员值班,灾害处置过程和灾后重建中的人员在岗与战斗力。
(二)技术保障
重视网络信息技术的建设和升级换代,在灾害发生前确保网络信息系统的安全与稳定,灾害处置过程中和灾后重建中的相关技术支撑。
(三)训练和演练
加强全校网络信息用户的防灾、减灾知识的宣传普及,增强这些用户的防灾意识和自救互救能力。有针对性地开展应急抢险救灾演练,确保发生灾害时的应急救助手段及时到位和有效。
第八章 附则
第二十一条 本预案原则上每年评估一次,根据实际情况适时修订。修订工作由网络安全和信息化工作领导小组办公室组织。
第二十二条 本预案由网络安全和信息化工作领导小组办公室负责解释。
第二十三条 本预案自发布之日起实施。