内蒙古建筑职业技术学院
网络安全事件应急处置预案(修订)
为建立健全我校网络安全事件应急工作机制,规范网络安全工作流程,提高网络安全事件应急处置能力,预防和减少网络安全事件造成的损失和危害,维护我校网络系统安全稳定,制定本预案。
一、总则
依据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》等法律法规,和《国家突发公共事件总体应急预案》《突发事件应急预案管理办法》《国家网络安全事件应急预案》《关于加强教育行业网络与信息安全工作的指导意见》《信息安全技术信息安全事件分类分级指南》
(GB/Z20986-2007)等文件制定。
本预案适用于学校各部门、各单位网络安全事件的应急处置。
按照《国家网络安全事件应急预案》《教育系统网络安 全事件应急预案》相关规定,本预案中的网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和
信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、 设备设施故障、灾害性事件和其他事件。信息内容安全事件的应对,参照有关规定和办法。
1. 有害程序事件分为计算机病毒事件、蠕虫事件、特洛 伊木马事件、僵户网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其它有害程序事件。
2. 网络攻击事件分为拒绝服务攻击事件、后门攻击事件、 漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事 件和其它网络攻击事件。
3. 信息破坏事件分为信息篡改事件、信息假冒事件、信 息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件。
4. 信息内容安全事件是指通过网络传播法律法规禁止 信息,组织非法串联、煽动集会游行或炒作敏感问题并危害校园安全、学校稳定和师生权益的事件。
5. 设备设施故障分为软硬件自身故障、外围保障设施故 障、人为破坏事故和其它设备设施故障。
6. 灾害性事件是指由自然灾害等其他突发事件导致的 网络与信息安全事件。
1. 统一指挥,快速反应。学校网络安全和信息化领导小 组负责统一指挥、协调学校各部门、各单位对各类网络安全 事件的应急处置工作。建立健全处置网络安全事件的快速反应机制,确保预警、发现、报告、指挥、处置等环节的紧密衔接,做到快速反应,正确应对,果断处置,防止事态升级和蔓延扩大。
2. 分级负责,属地管理。按照属地管理原则,各部门、各单位要在学校网络安全和信息化领导小组统一领导下,积极开展网络安全类事件的预防和处置工作。按照“谁主管谁负责”“谁经营谁负责”“谁审批谁监管”“谁办网谁管网”的原则,压实各部门、各单位主体责任,强化各部门、各单位党政“一把手”职责和教职工相关职责。
3. 预防为本,及时控制。立足于防范,抓早抓小,认真 开展日常情况下事件排查调处工作,强化信息的广泛收集和深层次研判,争取早发现、早报告、早控制、早解决,把网 络安全事件风险控制在一定范围内。
4. 系统联动,密切协同。发生网络安全事件后,各相关部门、单位负责人要立即深入第一线,掌握情况、开展工作、 控制局面。形成各部门、各单位系统联动、密切协同的处置工作格局。
5. 依法办事,科学处置。在处置网络安全事件过程中,
要做到合情合理、依法办事,切实维护师生合法权益。处置工作要自觉维护法律法规的权威性和政策的严肃性,注意工作方式方法,防止矛盾激化和事态扩大。根据事件发展情况, 必要时采取果断措施,坚决制止违法犯罪行为。
6. 加强保障,重在建设。从法规上、制度上、组织上、物质上、技术上全面加强保障措施。在经费保障和力量部署等方面加强硬件和软件建设,增强工作实力,提高工作效率。
二、事件分级
校园网内信息系统中的数据丢失或被窃取、篡改、假冒, 主页出现反动、煽动民族分裂、破坏稳定等政治信息及链接, 对校园网络安全和稳定构成特别严重威胁;出现关系稳定事件的讨论已成为网络论坛最热点问题,引发校内大范围聚集或其它形式聚集;校园网发现泄密、失密事件;国际国内主要互联、国内主干网络中断甚至全部中断超过 8 小时;其它对校园网安全稳定构成特别严重威胁、造成特别严重影响的网络安全事件。
校园网内信息系统中的数据丢失或被窃取、篡改、假冒, 主页出现淫秽等有害信息及链接,对校园网络安全和稳定构成特别重大威胁;出现关系稳定事件的讨论已成为网络论坛
最热点问题,引发校内局部聚集或其它形式聚集;国际国内主要互联、国内主干网络中断甚至是全部中断超过 2 小时、
小于 8 小时;其它对校园网安全稳定构成重大威胁、造成重大影响的网络与信息安全事件。
校园网出现可能会影响稳定的苗头性信息;校园网主页或部门网站上出现不良信息及链接,对学校稳定构成较大危害;出现关系稳定事件的讨论,可能引发校内局部聚集或其 他形式聚集;国际国内主要互联、国内主干网络中断甚至是全部中断超过 30 分钟、小于 2 小时;其它对校园安全稳定构成较大威胁、造成较大影响的网络安全事件。
除上述情况外,校园网内出现对校园安全稳定构成一定威胁,对学校教学、科研和生活秩序产生一定影响的网络安全事件。
三、组织机构与职责
网络安全事件应急处置工作小组成员由学校网络安全 和信息化领导小组成员兼任。
工作小组主要职责:负责统一指挥学校网络安全事件的 预防与处置;协调、指导各部门、各单位网络安全事件的预
防与处置;研究确定事件性质、类型和级别,确定与其他类特定事件应急处置预案的联动,下达应急处置任务;决定必要时成立处置学校重大网络安全事件专项工作组或调查组, 适时开展应急处置和善后恢复工作;决定信息报送的标准、内容以及请求上级部门指示,联系相关单位协助;督查事发地部门、单位以及相关部门、单位的处置工作;组织评估重大网络安全事件所产生的损失并处理相关情况。
工作组成员要积极参与本部门、本单位工作业务范畴内有关问题引发的社会安全类事件的应急处置工作。根据本部门、本单位职责和业务工作开展情况,制定本部门、本单位参与处置学校网络安全事件的工作预案或方案。如遇人事变动或干部调整,新任校领导或部门、单位相关负责人自然接替领导小组相应职务。
网络安全事件应急处置工作小组下设办公室,设在网络信息与数据管理中心,办公室主任由网络信息与数据管理中心主任兼任。
工作小组办公室主要职责:负责组织修订和完善本预案; 指导、督查各部门、各单位落实学校网络安全事件预案,并 按照预案开展工作;组织监测、收集和分析学校网络安全相 关数据和工作情况,研判形势,提出预防、预警和处理网络
安全事件的指导意见和具体措施报领导小组;组织成立网络安全应急处置专家组,提供技术咨询、指导和技术支持;协调安全事发部门、单位对网络安全事件进行处置,并在授权 的前提下对网络安全事件进行取证、追溯攻击源,联系具有公安部颁发的网络事件取证资质的机构,对需要纳入法律程序的网络安全事件进行取证,以保证事件按照法定程序处理的证据有效性。督查对各部门、各单位网络安全事件有关责任人进行责任追究,承担工作小组交办的其他工作。
负责学校网络安全事件应急处置工作,并负责学校全域检测、报告网络安全事件和预警信息,督查各部门、各单位完成网络安全检查和隐患处理,为全校网络安全事件应对提供决策支持和技术支撑。
按照“谁主管,谁负责;谁运营,谁负责”的原则,参 照本预案制定本部门应急工作预案,承担各自网络安全责任。
四、预防预警
各部门、各单位应做好网络安全事件的风险评估和隐患排查工作,制定完善相关应急预案,及时采取有效措施,避 免发生影响网络安全的事件。
1. 加强教育引导。全面加强本部门、本单位人员的思想 政治教育工作,掌握思想动态。按照“早发现、早报告、早 控制、早解决”的要求,把问题解决在萌芽状态,把风险控 制在尽可能小的范围内。
2. 完善应急管理制度。建立严格的应急管理制度,制定本部门、本单位的应急预案、网络管理、机房管理、保密管理等规定,通过培训等手段不断提高管理人员的技术水平、责任意识和安全意识。
3. 加强技术防范措施。建立安全稳定的网络运营环境, 加强网络安全技术防护。加强网络系统监测,定期进行漏洞扫描,实时监测局域网和关键信息系统。重要信息系统要使 用成熟稳定的系统与应用软件,定期对重要数据进行必要的 备份,采取有效的安全保护手段,及时进行系统更新和打补 丁。遵守安全操作规范,关闭所有不必要的服务、账号,严 格限制内部用户的访问权限,对关键系统实施全时动态监测。 建立严格的上网审查制度,有效阻止不良信息网上传播。主要环节包括:网络边界的访问控制,防垃圾邮件措施,Web 和 FTP 服务器 24 小时实时监控;网站内容过滤机制等。严禁各部门、各单位和个人利用校园网私搭网络服务,实施学校网络服务备案制度。
1. 预警分级
建立学校网络安全事件预警制度。按照紧急程度、发展态势和可能造成的危害程度,学校网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分 别应对可能发生的学校特别重大、重大、较大和一般网络安全事件。
(1) 事件检测:网络信息与数据管理中心通过多种渠 道监测、发现已经发生的学校网络安全问题,将掌握的情况通知相关部门、单位。各部门、各单位要对本部门、本单位 网站和信息系统的运行状况进行密切监测,一旦发生网络安全事件,应立即断网取证并通过电话等方式向网络信息与数据管理中心报告,不得迟报、谎报、瞒报、漏报。
(2) 威胁检测:网络信息与数据管理中心对学校网络 安全威胁进行检测,建立多方协调的信息共享机制,通过多种途径监测、汇聚漏洞、病毒、网络攻击等网络安全威胁信息,依托学校网络安全管理平台实现安全威胁信息收集、校 验、发布、跟踪。各部门、各单位加强对本部门、本单位网络和信息系统(含网站)的网络安全威胁监测,对发生的威胁及时进行处置和上报。
各部门、各单位对监测信息进行研判,对发生网络安全事件的可能性及可能造成的影响进行分析评估,认为需要立即采取防范措施的,要及时通知网络安全事件应急处置工作小组办公室;认为可能发生重大以上(含重大)网络安全事件的信息,应立即向网络安全事件应急处置工作小组报告, 由网络安全事件应急处置工作小组视安全等级向自治区教 育系统信息安全工作组办公室报告。
网络安全事件应急处置工作小组可根据监测研判情况, 发布本校蓝色预警,对达不到预警级别的信息可发布警示信息。
预警信息包括预警级别、起始时间、可能影响的范围、警示事项、应采取的措施、时限要求等。
(1) 红色预警响应由国家部委发布。
(2) 橙色预警响应由自治区级网络信息安全部门发布。网络安全事件应急处置工作小组办公室启动相应应急
预案,组织开展预警响应工作,做好风险评估、应急准备和 风险控制;网络安全事件应急处置工作小组办公室要及时将 事态发展情况上级网络安全管理部门并通报有关单位;相关 应急技术支撑队伍保持联络畅通,检查应急设备软件工具等, 确保处于良好稳定状态。
(3) 蓝色预警响应由网络安全事件应急处置工作小组根
据预案,组织好预警响应跟踪,及时将情况上报自治区教育系统信息安全工作组办公室。
5. 预警解除
预警发布部门根据实际情况,确定是否解除预警,及时发布解除信息。
建立严格的信息报送制度,完善快速应急处置机制。发生网络安全事件时,应及时清除障碍、保留证据,按应急程序请示进一步处置方案;按照“先口头、后书面”的原则, 第一时间向网络安全事件应急处置工作小组办公室报告,首报不得超过 3 小时,在事件处置过程中再跟踪、续报。报告的信息内容要客观详实,不得漏报、瞒报和谎报。网络安全事件一般采用分级报送原则,发生 I、Ⅱ级事件,学校网络安全事件应急处置工作小组应直接报自治区教育系统信息 安全工作组办公室。
(1) 首报信息应包括事件的基本情况,含时间、地点、 规模、涉及人员、单位、设备受损、人员受伤情况、对国家 安全与社会安全的威胁程度以及事件发展趋势等;
(2) 跟报信息应包括事件起因分析、性质判断和影响程 度评估;事发部门及相关部门拟采取的措施。
(3) 续报信息应包括本部门内部、外部公众等方面的反
应;事件发展状态跟踪、处置过程和结果;在事件处置完后 报送事件的评估结果与处置总结。
(4) 需要报送的其他事项。8.信息处理机制
(1) 网络安全事件应急处置工作小组办公室负责汇总、 分析和研判网络安全事件发生后具体情况及各方面的反应, 掌握发展态势;接报网络安全事件信息后,立即报学校网络安全事件应急处置工作小组,并抄报自治区教育系统信息安全工作组办公室,联系协调处理突发安全事件。
(2) 对于网络安全类重大事件信息,由网络安全事件应 急处置工作小组办公室报请学校网络安全事件应急处置工 作小组,并根据工作小组意见,报告自治区教育系统信息安全工作组办公室。
(3) 根据工作需要,由工作小组指定有关部门及时向自 治区教育系统信息安全工作组办公室通报信息,请其在宣传教育、互联网监管等方面予以协助和支持,阻止不良信息传播,正确引导社会舆论。
五、应急处置
网络安全事件发生后,事发部门应立即启动应急预案, 组织本部门、本单位的应急队伍和工作人员根据不同的事件类型和事件原因,采取科学有效的应急处置措施,尽最大努
力将影响降到最低,并注意保存网络攻击、网络入侵或网络 病毒等证据。经分析研判,初判为特别重大、重大、较大网 络安全事件的,应立即报告网络安全事件应急处置工作小组, 对于人为破坏活动,应同时报学校党委安全管理部(安全管 理处)及当地网信部门和公安机关,自治区教育系统信息安 全工作组组织进行研判认定。
网络安全事件应急响应共分为I 级、II 级、Ⅲ级、Ⅳ级四级,分别对应教育系统特别重大、重大、较大和一般网络安全事件。国家级特别重大网络安全事件由国家网络安全应急办公室研判确定,学校按照国家网络安全应急办公室统一组织应急处置工作,具体要求以国家网络安全应急办公室部署为准。
发生特别重大网络安全事件,由学校网络安全事件应急处置工作小组报自治区教育系统信息安全工作组办公室,再由自治区教育系统信息安全工作组办公室向教育部网络安全应急办提出启动 I 级响应的建议,经批准后,成立工作组。
(1) 启动指挥体系
工作组进入应急状态,履行应急处置工作统一领导、指挥、协调的职责。工作组成员需保持 24 小时联络畅通,信
息化工作领导小组办公室 24 小时值守。
相关网络安全职能部门进入应急状态,在工作小组的统一领导、指挥、协调下组织人员开展应急处置或支援保障工作,启动 24 小时值守,并适时增派人员参加学校应急办工作。
(2) 掌握事件动态
跟踪事态发展。事发部门、网络安全事件应急处置工作小组与教育系统信息安全工作组办公室保持联系,及时填写学校网络安全事件情况报告,将事态发展变化情况和处置进展情况上报上级网络安全管理部门。
检查影响范围。各部门、各单位应立即全面了解本部门、 本单位主管的网络和信息系统是否受到事件的波及或影响, 并将有关情况及时报网络安全事件应急处置工作小组办公室。
及时通报情况。网络安全事件应急处置工作小组办公室将情况整理上报上级网络安全管理部门,并通报事发部门。
(3) 决策部署
网络安全事件应急处置工作小组应组织相关部门、专家组、应急技术支撑队伍等及时研究对策措施,对处置工作进 行决策部署。
(4) 处置实施
控制事态防止蔓延。采取各种技术措施、管控手段,最 大限度阻止和控制事态蔓延。
消除隐患恢复系统。根据事件发生原因,针对性制定解 决方案,备份数据、保护设备、排查隐患。对业务连续性要 求高的受破坏网络与信息系统要及时组织恢复。
调查取证事发部门应在保留相关证据的基础上,开展问 题定位和溯源追踪工作。积极配合当地网信部门和公安机关开展调查取证工作。
信息发布。由学校网络安全事件应急处置工作小组按照自治区教育系统信息安全工作组办公室的要求,通过国家或自治区级新闻媒体进行发布,未经批准,其他部门、单位不得擅自发布相关信息。
协调自治区教育系统信息安全工作组支持。处置中需要技术及工作支持的,由学校信息化工作领导小组报请自治区教育系统信息安全工作组予以支持。
次生事件处置。对于引发或可能引发其他安全事件的, 学校网络安全事件应急处置工作小组要及时上报自治区教 育系统信息安全工作组办公室。在应急处置工作中,学校网络安全和信息化领导小组和学校各部门、各单位要做好协调配合工作。
发生 I 级事件的部门、单位要立即将有关情况向学校网络安全事件应急处置工作小组报告,在学校网络安全事件应急处置工作小组的统一领导和指挥下,启动 I 级响应,并采取处置措施。同时将情况及时报上级网络安全管理部门协助
处置。事发部门指挥机构进入应急状态,实行 24 小时值班, 负责本部门或本单位应急处置工作和支援保障工作,处理时间按限时要求执行,处理事件过程中要及时通报情况并根据本预案要求组织上报。
网络安全事件的 II 级响应,由自治区级网络信息安全部门发布。
(1) 事发后立即进入应急状态,接照相关应急预案做好 应急处置工作。
(2) 及时填写网络安全事件情况报告,报自治区教育系 统网络与信息安全事件突发事件领导小组以及有关单位。
(3) 处置中需要其他单位和网络安全应急技术支撑队伍 配合支持的,报请自治区教育系统网络与信息安全事件突发事件领导小组办公室予以协调。
(4) 有关部门根据通报,结合各自实际有针对性地加强 防范,防止造成更大范围影响和损失。
(5) 发生II 级事件时要立即将有关情况向学校网络安全事件应急处置工作小组报告,学校要及时向自治区教育系统网络与信息安全事件突发事件领导小组汇报,指挥机构进入应急状态,及时做好取证工作并删除有害信息。同时积极做 好本部门、本单位人员的思想工作,稳定情绪,并有针对性 地加强防范,防止造成更大范围的影响和损失。
事件发生部门按相关预案进行应急响应。发生 III、IV 级事件时,要立即启动本部门应急响应,并做好取证工作, 删除有害信息,并通报学校网络安全事件应急处置工作小组办公室采取有效措施,在学校网络安全事件应急处置工作小组统一领导下,协调各有关部门、单位有针对性地严加防范、 有针对性地做好师生的思想工作,防止造成更大范围的影响和损失。及时将有关情况报自治区教育系统网络与信息安全事件突发事件领导小组。
1.I 级响应结束
由学校网络安全事件应急处置工作小组提出建议,报自治区教育系统信息安全工作组办公室批准后及时通报安全 事发部门或单位,方可结束应急响应。
由学校网络安全事件应急处置工作小组根据实际决定 II 级响应的结束,结束应急响应报自治区教育系统信息安全工作组办公室。
由事发部门完成应急处置后,自行解除 III 级、IV 级响应状态。应急响应流程见应急处置流程图:
图 1 应急处置流程图
六、调查与评估
特别重大网络安全事件学校网络安全事件应急处置工 作小组报请自治区教育系统信息安全工作组办公室开展调 查处理和总结评估工作。重大网络安全事件根据事发部门属性,由学校网络安全事件应急处置工作小组开展调查处理和 总结评估工作,将调查评估结果向自治区教育系统信息安全工作组汇报。较大和一般网络安全事件由事发部门自行组织开展调查处理和总结评估工作,并报学校网络安全事件应急 处置工作小组办公室,同时对网络安全事件总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处 理意见和改进措施。网络安全事件的调查处理和总结评估工作应在应急响应结束后 5 天内完成。
七、善后和恢复
系统恢复正常运行后,应急响应小组对事件造成的损失、事件处理流程和应急预案进行评估,对响应流程、预案提出 修改意见,总结事件处理经验和教训,对事件的起因、性质、影响、责任等进行调查,撰写事件处理报告,并追究相关单 位和个人的责任,同时确定是否需要上报该事件及其处理过 程,需要上报的应及时准备相关材料,上报相关部门。
八、预防工作
各部门、各单位应做好网络安全事件日常预防工作,根据本预案制定完善相关的专项应急预案和配套的管理制度,
建立完善的应急管理体制。按照网络安全等级保护、关键信息和基础设施防护等相关要求落实各项防护措施,做好网络安全检查、风险评估,加强信息系统的安全保障能力。
各部门、各单位应加强网络安全监测预警和通报,及时发现并处置安全威胁。建立本部门、本单位的网络安全监测预警和通报机制,并指导、监督本部门、本单位下属机构及 时修复安全威胁,全面排查安全隐患,提高发现和应对网络 安全事件的能力。
网络安全事件应急处置工作小组按照自治区教育系统 信息安全工作组办公室的要求,每年组织开展网络安全事件应急演练,检验和完善预案,提高实战能力。各部门、各单 位每年至少组织一次应急演练,每年年底前将本年度演练情况报学校信息化工作领导小组,并由网络安全事件应急处置 工作小组办公室审核后报自治区教育系统信息安全工作组 办公室。
各部门、各单位应将网络安全教育作为国家安全教育的重要内容,加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传教育。同时,充分利用网络安全周等各种 活动形式和传播媒介,开展网络安全基本知识和技能的宣传 活动,提高在校师生的网络安全意识。
网络安全事件应急处置工作小组定期组织网络安全培训,将网络安全事件应急知识列为领导干部和有关人员的培 训内容,加强网络安全特别是网络安全事件应急预案的学习, 提高网络安全管理和技术人员的防范意识及安全技能。
九、工作保障
各部门、各单位应落实网络安全应急工作责任制,明确网络安全责任人,并将网络安全应急工作作为重点工作予以部署。按照“谁主管谁负责”的原则,把网络安全应急工作 责任落实到具体部门、具体岗位和个人,建立健全应急工作机制。
各部门、各单位应明确网管员或网络安全保障人员,加强网络安全应急人员和网络安全物资保障,做好网络安全事件的监测预警和应急处置。
学校网络安全事件应急处置工作小组以网络信息与数 据管理中心为依托,建立我校的网络安全专家咨询队伍,提高应急保障能力。
网络信息与数据管理中心要加强校园网络安全管理平 台建设,通过平台通报网络安全事件信息和网络安全威胁信息,增强校园网络安全预警和态势感知能力。网络信息与数据管理中心加强监测通报和应急管理信息化平台建设,并与教育厅平台实现数据的双向共享,建立校园网络安全态势感知体系,做到早发现、早预警、早响应,提高应急处置能力。
加强与网络安全职能部门、网络安全专业机构和行业学会等单位的合作,建立网络安全信息共享机制和网络安全事件的快速发现协同处置机制。
各部门、各单位安全事件应急联系人原则上为本部门、本单位主要负责人,联系人须确保 24 小时通讯畅通,联系人及联系方式发生变化的要提前一周报网络安全事件应急 处置工作小组办公室。使用电子邮件沟通涉及安全事件时, 要做好保密工作。
学校要建立网络安全应急工作经费保障,各部门、各单位应为网络安全应急工作提供必要的经费保障,支持网络安全应急技术保障队伍建设、专家队伍建设、基础平台建设、监测通报、宣传教育培训、预案演练等工作的开展。
学校要建立网络安全工作的奖惩机制,各部门、各单位可对网络安全事件应急管理工作中做出突出贡献的先进集体和个人给子表彰和奖励;对不按照规定制定预案开展演练、
迟报、瞒报、漏报网络安全事件的情况或在应急管理工作中有其他失职、渎职行为的,依照相关规定对有关责任人给子处分;构成犯罪的,依法追究刑事责任。
十、附则
本预案将根据上级或学校实际情况适时修订,修订工作由网络安全事件应急处置工作小组办公室组织,各部门、各单位根据本预案制定或修订本部门、本单位的网络安全事件应急预案,并报网络安全事件应急处置工作小组办公室。
本预案由学校网络安全事件应急处置工作小组负责解 释,自发布之日起实施。
上一条:内蒙古建筑职业技术学院 网络安全管理办法(试行) 下一条:校园网络应急处理预案