为及时处置校园网网络与信息安全突发事件,保障校园网作用的正常发挥,特制定本预案。
一、网络与信息安全突发事件的定义
1、校园网内网站主页被恶意纂改、交互式栏目里出现反政府、分裂国家和色情内容的信息及损害国家、学校声誉的谣言。
2、校园网内网络应用服务器被非法入侵,应用服务器上的数据被非法拷贝、修改、删除。
3、在网站上发布的内容违反国家的法律法规、侵犯知识版权,已经造成严重后果。
4、病毒的大规模爆发和异常的网络攻击。
5、因各种原因导致关键应用(教务系统、一卡通、数据共享中心等)数据丢失、损坏、非法拷贝、修改、删除、篡改。
二、网络与信息安全突发事件应急处理机构及职责
1、学校设立网络与信息安全事件应急工作指挥部(以下简称指挥部),负责网络与信息安全事件的组织指挥和应急处置工作。总指挥由学校党委书记、校长担任,副总指挥由分管安全、信息安全的副书记、副校长担任,指挥部成员由网络与教育信息技术中心、宣传部、党办校办、学工部、保卫处主要负责人组成。
2、指挥部下设网络与信息安全事件应急工作办公室(以下简称办公室),负责应急事件处置工作。办公室主任由网络与教育信息技术中心主任担任,成员由网络与教育信息技术中心、党办校办、宣传部、学工部、保卫处、各学院负责学生工作的有关工作人员组成,主要负责网络安全事件处置、协调、调查取证和对外信息发布等工作。
三、网络信息安全监测与报告
1、各部门要落实责任制,制定本部门的信息通报制度。按照“早发现、早报告、早处置”的原则,加强对各类网络信息安全突发事件和网络与信息系统要进一步完善网络与信息安全突发事件监测、预测、预警制度,对可能引发突发事件的有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发事件时,事发部门应及时按规定向办公室报告。初次报告最迟不得超过网络信息安全突发事件发生 2 小时,重大和特别重大网络与信息安全突发事件必须实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
2、学办公室应整合现有的应急服务报警、接警途径,比如固定电话、移动电话、短信、邮件等,实行网络与信息安全突发事件的统一接警,保证信息通报和联系渠道畅通。
四、网络与信息安全突发事件的报告与处置
1、事件发生并得到确认后,办公室应立即将情况报告指挥部,由总指挥或副总指挥决定是否启动该预案,一旦启动该预案,有关人员应及时到位。
2、办公室应在事件发生24 小时内写出事件书面报告报指挥部。报告应包括以下内容:事件发生时间、地点、单位、事件内容,涉及计算机的 IP 地址、管理人、操作系统、应用服务,损失,事件性质及发生原因,事件处理情况及采取的措施;事故报告单位/人、报告时间等。
3、宣传部负责事件的宣传和舆论引导等工作,并承担国内其他重要新闻网站工作联系,防止事态通过网络蔓延,避免引起重大舆情。
4、办公室人员进入应急处置工作状态,对相关事件进行跟踪,密切关注事件动向,协助调查取证并阻断网络连接,进行现场保护,系统恢复等工作。
5、对发现的内网计算机网络病毒源通过关闭端口等措施及时进行隔离,并通知有病毒的计算机负责人进行处理。对外网进入的计算机网络病毒应在边界路由器上做针对性地访问控制。对发现的攻击事件,及时分析,当人为或病毒破坏的事件发生时,具体按以下顺序进行:判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的IP或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质分别采用以下方案:
(1)病毒传播:针对这种现象,要及时断开传播源,判断病毒的性质、使用的端口,然后关闭相应的端口,在网上公布病毒攻击信息以及防御方法。
(2)入侵:对于网络入侵,首先要判断入侵的来源,区分外网与内网。入侵来自外网的,定位入侵IP地址,及时关闭入侵的端口号,限制入侵IP地址的访问,在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的,查清入侵来源,如IP地址、上网帐号等信息,同时断开对应的交换机端口。然后针对入侵方法建设或更新入侵检测设备。
(3)信息被篡改:一经发现马上断开相应的信息上网链接,做好日志备份,删除被篡改内容,并尽快恢复。
(4)网络故障:一旦发现,可根据相应工作流程尽快排除。
(5)其它没有列出的不确定因素造成的事件,可根据总的安全原则,结合具体的情况,做出相应的处理。
6、情况报告
网络与信息安全突发事件发生时,一方面按照应急处置方法进行处置,同时需要判定事件的级别,按照《广东石油化工学院信息技术安全事件报告与处置流程》,进行处置和报告。在重大事件发生时,可以同时向省教育厅相关部门汇报,上级主管部门联系方式:省公安厅网警、等保办7*24小时巡查值班电话:020-83881089,联系邮箱:gdwa9k@gdga.gov.cn;省教育厅值班室电话:020-37626346,值班传真:020-37626613。
7、发布预警
网络与信息安全事件发生时,可根据网络信息安全事件的危害程度适当地发布预警。特别是在其它地方已经出现,或在相关安全网站发布了预警而学校信息网络还没有出现相应的网络信息安全事件,除了在技术上进行防范以外,应当通过学校网站向用户发布预警,直至事件警报解除。
8、预案终止
经办公室鉴定,网络信息安全事件已消除、或得到有效控制后,经指挥部同意,由办公室宣布网络信息安全事件应急期结束,本次预案终止。
广东石油化工学院
网络安全与信息化工作领导小组
2019年9月25日