三明学院网络安全应急处置预案
一、 总则
(一)指导思想
减轻和消除网络安全突发时间造成的危害和影响,维护学校的安全和稳定,按照“统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全”原则,完善网络安全工作的制度化、科学化和规范化的轨道,提高快速反应和应急处理能力。
适用范围
本应急处置预案适用于三明学院校园网的网络安全应急处置。根据网络安全事件分级原则,我校网络安全事件分为四级:一般(IV级)、较大(III级)、重大(II级)和特别重大(I级)。
处置原则
1.预防为主:建立健全网络安全管理制度,开展网络安全日常监测,组织网络安全设施建设,加强信息系统安全教育,预防网络信息系统安全事故的发生。
2.分级负责:学校网络安全实行“统一领导、分级负责、各司其职”,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的要求,各级组织、管理人员、岗位员工履行各自的网络安全职责。
3.果断处置:一旦发生网络安全事故,应迅速启动应急措施,尽最大努力减少损失,尽最快速度恢复网络与信息系统的安全运行。
二、组织指挥和职责任务
(一)组织指挥
由三明学院网络安全与信息化领导小组统一组织指挥,统筹安排网络安全事件应急处置工作,建立健全全校联动处置机制。信息化建设办公室和相关部门按照职责分工负责相关网络安全事件的应对工作。
组长:网络安全与信息化领导小组组长
副组长:网络安全与信息化领导小组其他成员
成员:信息化建设办公室、各学院(部门)网络安全员及其他相关人员。
(二)职责任务
各学院、部门职责任务如下:
1.落实学校网络安全与信息化领导小组的决定和措施。
2.全面开展网络安全事件的预防、监测、报告、应急准备、应急处置和事后恢复与重建工作。
3.拟订本学院(部门)网络安全事件相关工作规划和应急预案。
4.针对本学院(部门)网络安全情况,并提出分析和建议。
5.若有网络安全事件发生,各学院(部门)网络安全员应尽快配合信息化建设办公室技术人员进行处理,无法处理的应尽可能完整地保护现场并及时通知有关部门。
三、预警与预防机制
加强信息安全监测、分析和预警工作,积极推行信息安全等级保护,逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定并不断完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程和网络安全事件报告制度。
四.应急处置程序
(一)网络安全事件分级
网络安全事件分级的参考要素包括:信息密级、公众影响和资产损失三项。各参考要素分别说明如下:
1.信息密级是衡量因信息失窃或泄密所造成的网络安全事件中涉及信息的重要程度的要素。
2.公众影响是衡量网络安全事件所造成的负面影响范围和程度的要素。
3.资产损失是衡量网络安全事件造成的资产损失和恢复系统正常运行、消除网络安全事件负面影响所需付出资金代价的要素。
网络安全事件级别分为四级:特别重大事件(I级)、重大事件(II级)、较大事件(III级)和一般事件(IV级)。
特别重大事件I级:
(1)学校各校区范围多地点或多地区基础网络、重要信息系统、重点网站遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
(2)国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
(3)其他对社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的。
重大事件II级:
(1)学校各校区范围多地点或多地区基础网络、重要信息系统、重点网站遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
(2)国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
(3)其他对、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的。
较大事件(III级):
(1)学校各校区范围多地点或多地区基础网络、重要信息系统、重点网站遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。
(2)国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。
(3)其他对、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的。
一般事件(IV级):
除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
(二)预案启动
发生网络安全事件(I级~IV级)后,相关部门立即上报网络安全与信息化领导小组,同时通知信息化建设办公室,网络安全与信息化领导小组即时启动相应预案,并负责指挥和组织开展应急处置工作。
(三)现场应急处理
事件发生单位和现场应急处理部门,应尽最大可能收集事件相关信息,区别事件类别,确定事件来源,保护证据,缩短应急响应时间,在30分钟内按规定的处置措施进行处理。
抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路,提高系统或网络行为的监控级别等。
1.学校重要信息系统或重点网站出现异常,由值班人员(或发现人员)立即通知信息化建设办公室进行处理。(信息化建设办公室联系电话:0898-8397213)。
2.门户网站、微信公众号等对外媒体出现非法信息或无法正常运行等异常,由值班人员(或发现人员)立即通知信息化建设办公室。紧急情况下,可在保全证据的前提下,采取先删除非法信息,再按程序报告的处置措施。
(四)后续处理
1.网络安全事件进行最初的应急处置以后,应及时采取行动,抑制其影响的进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。
2.网络安全事件被抑制之后,通过对有关事件或行为的分析结果,找出其根源,明确相应的补救措施并彻底清除。
3.在确保网络安全事件解决后,要及时清理系统、恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。
4.检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性,检查攻击者是否侵入了系统,以后是否能再次随意进入,损失的程度,确定暴露出的主要危险等。
(五)记录上报
网络安全事件发生时,应及时向网络安全工作领导小组汇报,并在事件处置工作中作好完整的过程记录,及时报告处置工作进展情况,保存各相关系统日志,直至处置工作结束。
处置结束后及时将备案汇总向校党政办报告。校办根据实际情况,向当日值班校领导、主管校领导汇报或向省教育厅主管部门及省公安厅主管部门汇报。
(六)结束响应
系统恢复运行后,网络安全及信息化领导小组组织对事件造成的损失、事件处理流程和应急预案进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告,同时确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料;属于重大事件或存在非法犯罪行为的,第一时间向公安机关相关部门报案。
五、保障措施
(一)人员保障
网络安全保障期间,安排24小时专人值班。各学院、部门所安排网络安全员24小时监控重要信息系统、重点网站等。
(二)技术保障
防火墙系统、WAF、IPS、漏洞扫描、数据库安全审计、抗拒绝服务产品系统、运维安全管理产品系统(堡垒机)、入侵防护产品系统。信息化建设办公室人员可通过远程环境或现场操作及时反应,并由网络安全产品厂家的技术支持。网页的互动栏目采用先审后发机制。
(三)物质保障
关键岗位配备有移动电话,保证24小时开机。
(四)训练和演练
通过校内各种宣传形式对师生员工进行正面引导、宣传并落实我校园关于网络安全的各项规章制度。各学院、处、所安排人员参加公安部门的网络安全培训。敏感时期之前,在校园网络安全领导小组统一部署下,安排全校范围演练。
六、工作要求
网络安全保障期间,所有值班人员必须坚持在岗、保证通讯畅通、工作认真负责。如在网络安全突发事件出现擅自离岗、脱岗的行为,造成学校不可挽回的损失,学校将按相关规定对其进行处理。
三明学院网络安全与信息化领导小组
2020年8月
附件一:三明学院网络安全事件处理流程图
