法规制度

湖北工业职业技术学院网络与信息系统安全应急预案

发布时间:2019-11-20点击数:

为进一步做好我校网络和信息系统安全事件应急处置工作,健全完善我校网络与信息系统安全事件应急工作机制,提高我校网络安全应急处置能力,预防和减少网络安全事件造成的损失和危害,维护学校安全稳定,特制订本预案。

一、工作原则

坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主、应急兜底,“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,充分发挥各单位(部门)力量共同做好网络和信息系统安全事件的预防和处置工作。

二、适用范围和依据

本预案适用于我校所属部门(单位)及直属单位。网络与信息安全突发事件依据发生过程、性质和特征的不同,分为以下四类:

1.网络攻击事件:校园网络与信息系统因病毒感染、非法入侵等造成学校网站页面被恶意篡改,信息系统数据被篡改、删除、泄露等。

2.设备故障事件:校园网络与信息系统因设备故障、人为误操作等导致业务中断、系统宕机、网络瘫痪。

3.灾害性事件:因洪水、火灾、雷击、地震、非正常停电等外力因素导致网络与信息系统损毁,造成业务中断、系统宕机、网络瘫痪。

4.信息内容安全事件:利用校园网络在校内外传播法律法规禁止的信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益等。

信息内容安全事件应对,参照《湖北工业职业技术学院网站群管理办法》(暂行)执行。

网络和信息安全事件定性及处置应遵循《中华人民共和国网络安全法》《国家突发公共事件总体应急预案》《湖北省教育系统网络安全事件应急预案》《湖北省党委(党组)网络安全和信息化责任实施细则》等相关规定。

三、事件分级

网络与信息安全突发事件依据可控性、严重程度和影响范围的不同,可分为以下四级:

Ⅰ级(特别重大):学校网络与信息系统发生全校性大规模瘫痪,对学校正常工作造成特别严重损害,且事态发展超出学校控制能力的安全事件;

Ⅱ级(重大):学校网络与信息系统造成全校性瘫痪,对学校正常工作造成严重损害,事态发展超出图文信息中心控制能力,需学校各部门协同处置的安全事件;

Ⅲ级(较大):学校某一区域的网络与信息系统瘫痪,对学校正常工作造成一定损害,图文信息中心可自行处理的安全事件;

IV级(一般):某一局部网络或信息系统受到一定程度损坏,对学校某些工作有一定影响,但不危及学校整体工作的安全事件。

四、工作流程

(一)监测

按照“谁主管谁负责,谁运维谁负责、谁使用谁负责”的原则,各业务部门要加强所使用信息系统安全情况的监测。当发生网络安全事件时,向校网信办报告。

(二)研判分级

校网信办根据网络安全事件报告,组织研判分级。特别重大网络安全事件、重大网络安全事件向校网信委报告,并根据校网信委指示向市网信办和省教育厅网安办报告相关情况。较大网络安全事件、一般网络安全事件由校网信办组织专业技术人员或指导相关业务部门处理。

(三)应急响应

1.校网信办在研判或接到省市网络安全应急办公室发布的红色(Ⅰ级)或橙色(Ⅱ级)预警后,启动24小时值班,按照湖北省网络安全应急工作办公室制定的防范措施和应急工作方案,加强网络安全事件监测和事态发展信息搜集,在校网信委的领导下组织指导学校各单位(部门)开展应急处置工作,并及时将重要情况上报市网信办及省教育厅网安办。

2.黄色、蓝色预警响应

网络安全事件始发单位(部门)启动应急预案,组织开展预警响应,同时报校网信办。

3.应急处理方式

根据网络与信息安全事件分类采取不同应急处置方式。

(1)网络攻击事件:判断攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质采取以下方案:

病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助,寻找并公布病毒攻击信息以及杀毒、防御方法。

外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外网入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和影响。

内部入侵:查清入侵来源,如IP地址、所在办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。

(2)设备故障事件:判断故障发生点和故障原因,迅速抢修故障设备,优先保证校园网主干网络和主要应用系统的运转。

(3)灾害性事件:根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。

(4)信息内容安全事件:接到校内网站出现不良信息的报案后,应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息的传播,根据网站相关日志记录查找信息发布人并做好善后处理;对公安机关要求我校协查的外网不良信息事件,根据校园网上网相关记录查找信息发布人。

(5)其它不确定安全事件:可根据总的安全原则,结合具体情况,做出相应处理。不能处理的及时咨询信息安全公司。

3.响应的结束

Ⅰ、Ⅱ级响应,由校网信办根据湖北省网络安全应急办公室通报或市网信办、省教育厅网安办的通知,报校网信委同意后,结束应急响应。

Ⅲ、Ⅳ级响应,由校网信办根据网络安全事件处置情况,适时结束响应。

五、调查与评估

校网信办在校网信委的领导下,对特别重大、重大网络安全事件及处置情况进行调查处理和总结评估,并按相关程序上报市网信办和省教育厅网安办。

较大和一般网络安全事件由始发单位(部门)组织调查处理和总结评估,总结调查报告报校网信办备案。总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。事件的调查处理和总结评估工作原则上在应急响应结束30天内完成。

六、组织机构与责任分工

湖北工业职业技术学院网络安全和信息化委员会为网络安全事件应急处置的领导机构,校网络安全和信息化委员会办公室为网络安全事件应急处置的统筹协调机构,负责日常工作和综合协调。校网信委成员单位按照职责分工负责相关网络安全事件的应对工作。必要时成立学校网络安全事件应急指挥部,负责特别重大网络安全事件处置的组织指挥和协调。

各职能部门、二级学院和直属单位,负责本单位(部门)及合作企业的网络(网站)和信息系统网络安全事件的预防、监测、报告和应急处置工作。

七、保障措施

(一)落实责任

各单位(部门)要把网络安全工作责任压实到具体岗位和个人。对不按照规定制定预案和组织开展演练,迟报、谎报、瞒报、漏报网络安全事件或在网络安全应急工作中有其他失职、渎职行为的,依照《湖北省党委(党组)网络安全工作责任制实施细则》追究责任。

(二)技术保障

各单位(部门)要着力提升网络安全应急响应能力、速度和水平,做到早发现、早报告、早响应、早恢复。强化网络安全应急响应技术队伍建设。

(三)重大活动保障

在国家、省、市重大活动、会议期间,按照上级要求,加强网络安全事件的防范和应急响应,视情况实现24小时值班制度。

(四)宣传教育

采取形式多样开展网络安全事件预防和处置相关法律、法规和政策宣传,开展网络安全事件应急知识和技能培训。

(五)经费保障

学校为网络安全应急工作提供必要的经费保障,包括网络安全应急支撑技术队伍建设、技术平台建设、教育培训等。

本预案由校网信办负责解释,自应发之日起实施。

附件:湖北工业职业技术学院网络与信息安全事件报告表

上一条: 湖北工业职业技术学院网络信息安全监测预警通报工作流程

下一条: 湖北工业职业技术学院网络与信息系统安全管理办法