依据《中华人民共和国网络安全法》要求,参照《国家网络安全事件应急预案》《陕西省教育系统网络安全事件应急预案》相关流程,为建立健全我校网络与信息安全事件应急工作机制,规范事件处置流程,切实做好学校网络与信息安全事件的防范和应急处置工作,结合学校网络与信息安全工作实际情况,制定本预案。
第一章 总则
第一条 本预案所指网络与信息安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对我校网络与信息系统或者数据资产造成危害,对学校造成负面影响的事件。
第二条 各二级学院、各部门要做好网络与信息安全事件的隐患排查工作,对于事件处置要遵循“统一领导、预防为主、快速反应、科学处置”的原则,最大可能降低危害和影响。
第二章 工作原则
第三条 网络与信息安全工作原则
(一)统一领导、密切协同。学校网络安全与信息化领导小组(以下简称网信领导小组)统筹协调全校网络与信息安全应急指挥工作,建立与省教育厅、市网信安全相关部门、专业机构等多方参与的协调联动机制,加强预防、监测、报告和应急处置等环节的紧密衔接,做到快速反应、正确应对、果断处置。
(二)分级管理,明确责任。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,各二级学院、各部门主要负责人为本单位网络安全工作第一责任人,对本单位网络与信息安全应急处置工作承担主体责任。各单位要建立健全本单位网络与信息安全协调管理和联动处置机制。
(三)预防为主,科学处置。坚持事件处置和预防工作相结合,做好事件预防、预判、预警工作,加强应急支撑保障能力和安全态势感知能力建设,提高网络与信息安全事件快速响应和科学处置能力,规范应急处置措施与操作流程,争取早发现、早报告、早控制、早解决,严控网络与信息安全事件风险和影响范围。
第三章 组织机构
第四条 学校网信领导小组为网络与信息安全事件应急处置的领导机构,全面负责全校网络与信息安全事件的应急处置工作和应急预案的启动与解除,协调解决处置重大问题等。
第五条 网信领导小组办公室
(网信领导小组办公室下设在信息化建设与管理处,办公室主任由信息化建设与管理处处长兼任)
(一)负责网络与信息安全工作的组织、协调和监督,拟制、修订相关制度和应急预案。
(二)根据研判的风险级别,提出相应级别应急响应的启动,报请网信领导小组批准。
(三)组织协调各单位落实应急预案,及时收集、通报和上报网络与信息安全事件处置的有关情况。
(四)对全校各单位贯彻执行预案以及在事件处置工作中履行职责情况进行检查督办。
第六条 党政办公室
牵头负责重大敏感时期、重要活动、重要会议期间发生的网络与信息安全事件和涉密事件的协调处置。
第七条 党委宣传部
牵头负责学校舆情监测和信息内容的安全事件处置,对于涉及师生意识形态方面的倾向性、苗头性的问题,要加强研判,妥善应对。
第八条 保卫处
牵头负责涉及人为破坏的网络与信息安全事件的处置,协调公安、国安等部门,配合重大安全事件的处置。
第九条 信息化建设与管理处
负责对网络与信息安全重点部位进行监测和技术防范;牵头负责涉及学校基础网络与公共服务系统的安全事件的处置;负责全校网络与信息安全事件处置的技术支持工作。
第十条 各二级学院、各部门
负责本单位网络与信息系统的安全事件的处置工作,对照本预案做好应急处置工作。
第四章 分类分级
第十一条 网络与信息安全事件依据发生过程、性质和特征不同,可分为以下五类
(一)网络攻击事件:由于遭受有害程序感染、非法入侵或其他技术手段攻击,造成校园网络与信息系统运行异常或存在潜在危险,或造成信息被篡改、假冒、泄漏、窃取等而导致的网络与信息安全事件。
(二)设备故障事件:由于网络设备或信息系统软硬件故障、人为误操作等,造成网络瘫痪、信息系统宕机、业务中断等网络与信息安全事件。
(三)灾害性事件:因洪水、火灾、雷击、地震、台风、非正常停电等外力因素造成网络设备或信息系统损毁,导致网络瘫痪、系统宕机、业务中断等网络与信息安全事件。
(四)信息内容安全事件:利用校园网络在校内外传播法律法规禁止的信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的网络与信息安全事件。
(五)其它网络与信息安全事件。
第十二条 网络与信息安全事件按照可控性、严重程度和影响范围不同,可划分为四级
(一)Ⅳ级(一般):事件导致校园某一局部网络或信息系统受到一定程度损坏,学校受到较轻影响。
(二)Ⅲ级(较大):事件导致校园某一区域的重要网络与信息系统瘫痪,或由于网站敏感信息、谣言等,对学校造成一定损害,但未造成社会影响。
(三)Ⅱ级(重大):事件导致发生全校性网络或信息系统瘫痪,或由于网站非法信息引发师生反应强烈并有过激行为,对学校造成严重损害,并造成一定社会影响。
(四)Ⅰ级(特别重大):事件导致发生全校性大规模网络与信息系统瘫痪,或由于网站非法信息引发学校大规模群体性事件,对学校造成特别严重损害,造成严重社会影响,事态发展超出学校控制能力。
第五章 监测预警
第十三条 预警等级
按照紧急程度、发展态势和可能造成的危害程度,网络与信息安全事件预警等级分为四级:由低到高依次为蓝色、黄色、橙色和红色,分别对应发生或可能发生的IV级、III级、II级和I级网络与信息安全事件。
第十四条 安全监测
各二级学院、各部门应对本单位网络与信息系统运行状况进行密切监测,一旦发生安全事件,应当立即上报网信领导小组办公室,不得迟报、谎报、瞒报、漏报。
第十五条 预警发布
各二级学院、各部门对本单位监测信息进行研判,对发生网络与信息安全事件的可能性及其可能造成的影响进行分析评估,立即采取防范措施;认为可能发生较大以上(含较大)网络与信息安全事件的,应立即向网信领导小组办公室报告。网信领导小组办公室根据监测研判情况,报请网信领导小组发布预警信息。对达不到预警级别但又需要发布警示信息的,可发布风险提示信息。预警信息包括预警级别、起始时间、可能影响范围、警示事项、应采取的措施、时限要求等。
在突发事件即将发生或发生的可能性增大时,网信领导小组办公室应及时报请网信领导小组发布相应级别的预警警报,并根据情况变化适时调整预警级别。
第十六条 预警响应
网信领导小组办公室根据研判情况报请网信领导小组,发布相应预警信息。相关应急队伍实行24小时值班,相关人员保持通信联络畅通,跟踪和分析研判,密切关注事态发展,做好监测分析和信息搜集工作,开展应急准备或处置、风险评估等工作。相关情况由网信领导小组办公室汇总报网信领导小组。
第六章 处置程序
第十七条 启动预案
发生网络与信息安全事件后,涉事单位应立即采取相应措施,将损害和影响降低到最小范围,保护现场。
第十八条 事件定级
网信领导小组办公室组织有关单位,收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围,评估事件带来的影响,确认事件的类别和等级,以及牵头处置此事件的部门。
第十九条 应急响应
根据事件等级采取相应的响应方式
(一)IV级:事件发生单位按相关预案进行应急响应,自主进行应急处置,做好处置记录,并及时将情况上报网信领导小组办公室。
(二)III至II级:
学校进入应急状态,在网信领导小组的统一领导、指挥、协调下组织人员开展应急处置工作,启动24小时值守。事发单位要跟踪事态发展,检查影响范围,及时将事态发展及处置情况上报网信领导小组办公室。网信领导小组办公室负责整理上述情况,重大事项及时报网信领导小组,并组织有关单位、专家组、应急技术支撑队伍等及时研究对策意见,报请领导小组对处置工作进行决策部署。
采取各种技术管控措施,最大限度控制事态蔓延。根据事件发生原因,针对性制定解决方案,备份数据、保护设备、排查隐患。对业务连续性要求高的网络与信息系统要及时组织恢复。应在保留相关证据的基础上,开展问题定位和溯源追踪工作,积极配合公安部门开展调查取证工作。
(三)I级:网信领导小组办公室立即上报领导小组,由学校报告上级网信安全应急部门,服从上级网信安全应急部门统一领导、指挥、协调、处置和调查评估等工作。
第二十条 处置方式
根据网络与信息安全事件分类采取不同应急处置方式
(一)网络攻击事件:判断攻击的来源与性质,关闭影响安全的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息文件,恢复信息系统。按照事件发生的性质采取以下方案:
1.病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时协调有关技术人员协助进行病毒查杀。
2.外部入侵:对入侵未遂、未造成损害的,且评估威胁很小的外网入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和影响。
3.内部入侵:查清入侵来源,如IP地址、所在办公室等信息,同时断开对应的交换机端口,针对入侵方法调整安全防护策略。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。
(二)设备故障事件:判断故障发生点和故障原因,迅速联系设备厂家或运维公司尽快抢修故障设备,优先保证校园网主干网络与主要应用系统的运转。
(三)灾害性事件:根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
(四)信息内容安全事件:接到校内网站出现不良信息的报案后,应迅速关停该网站,阻止有害信息传播,查找信息发布人并做好善后处理。对公安机关要求我校协查的外网不良信息事件,协助查找信息发布人。
(五)其它网络与信息安全事件:可根据总的安全原则,结合具体情况,做出相应处理,不能处理的及时咨询上级网信安全部门。
第二十一条 后续处理
(一)网络与信息安全事件经过应急处置后,应及时采取措施,控制影响进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。
(二)网络与信息安全事件被有效控制后,通过对有关事件或行为的分析结果,找出问题根源,明确相应补救措施并彻底清除。
(三)网络与信息安全事件处置完成后,要及时清理系统,恢复数据,恢复工作应避免出现误操作导致的数据丢失。
第二十二条 应急解除
网信领导小组办公室经报请网信领导小组鉴定,事件已消除或已有效控制,由领导小组宣布解除预警,并予以公告,同时应急状态终止。
第二十三条 总结上报
网络与信息系统恢复运行后,网信领导小组办公室对事件造成的损失、事件处理流程等进行分析评估,总结经验教训,撰写事件处理报告,报网信领导小组。情况报告内容包括:事件发生的时间、地点、级别、后果,应急处置的过程、结果,以及如何防范此类事件的建议等。
第七章 工作保障
第二十四条 制度落实
各二级学院、各部门应落实网络与信息安全主体责任,将网络与信息安全工作做为重点工作予以部署,把责任落实到具体岗位和个人,建立健全应急工作机制。
第二十五条 重保措施
在国家重要活动、会议等敏感时期,各二级学院、各部门要加强网络与信息安全事件的防范和应急响应,确保学校网络与信息系统安全。各单位应加强网络安全监测、分析研判和预警工作,及时发现和处置网络与信息安全事件隐患。
第二十六条 技术支撑
加强网络与信息安全应急技术支撑队伍建设,做好网络与信息安全事件的应急技术支撑工作,并加强与其他网络安全相关技术单位的沟通,建立必要的信息共享机制。
第二十七条 经费保障
加强网络与信息安全应急物资与经费保障,支持网络与信息安全人才队伍建设、基础平台建设、宣传教育培训、应急演练等工作开展。
第二十八条 奖励惩罚
对在网络与信息安全事件应急工作中做出突出贡献的集体和个人给予表彰和奖励;对在网络与信息安全事件应急工作中有失职、渎职的,依照相关规定对有关责任人给予处分,构成犯罪的,依法追究刑事责任。
第八章 附则
第二十九条 本预案将根据网络与信息安全工作实际情况适时修订。
第三十条 本预案由网络安全与信息化领导小组办公室负责解释,自印发之日起施行。
附件:1.安康学院网络与信息安全事件情况报告表
2.安康学院网络与信息安全事件处置反馈表
