附件2-广东财经大学网络信息安全应急响应预案.doc
广东财经大学网络信息安全应急处理预案 为加强我校网络信息安全,提高各单位和个人的网络安全防范意 识,规范对网络信息安全紧急事件的处理,切实做好校园网网络信息 安全突发事件的防范和应急处理工作,进一步提高预防和控制网络与 信息安全突发事件的能力和水平, 减轻或消除突发事件的危害和影响, 确保校园网络信息安全,根据《中华人民共和国网络安全法》、 《国家 网络安全事件应急预案》、 《信息安全技术信息安全事件分类分级指 南》(GB/Z 20986-2007)、 《广东财经大学校园网管理办法》、 《广东 财经大学网络信息安全管理办法》等相关规定,结合我校实际工作情 况,制定本预案。 第一章 第一条 总则 本预案所指网络信息安全事件是指由于人为原因、软硬 件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成 危害,对学校造成负面影响的事件,可分为有害程序事件、网络攻击 事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事 件和其他事件。 第二条 本预案适用于发生在校园网上的网络信息安全事件应 急工作。 第三条 应急处置工作原则:坚持统一领导、分级负责;坚持统 一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应 急相结合;坚持谁主管谁负责、谁运行谁负责,充分发挥各方面力量 共同做好网络安全事件的预防和处置工作。 共 11 页 1 第二章 组织指挥和职责任务 第四条 学校成立网络信息安全应急响应小组。 网络信息安全应急响应小组: 组长:网络安全与信息化领导小组组长 组员:网络安全与信息化领导小组成员和各二级网站信息安全负 责人组成。 工作职责: (1)指导学校各个二级部门建立预警监控和防控机制,并定时 检查信息安全工作。 (2)收集和统计事件信息,适时向上级部门汇报,并提出相应 对策和措施。 (3)协助有关部门采取有效措施妥善处置,控制事态发展。 第三章 事件分级标准 针对校园网内各种网络安全事件的类型及其涉及的设备系统进 行定义。在该定义范围内的事件一旦发生,即必须对这些事件采取应 急的办法加以处理 。 第五条 安全事件类型 (1)应用系统安全事件 该事件主要涉及运行在校园网上的各种应用系统,包括拒绝服务 攻击、后门攻击、漏洞攻击事件等安全事件。 (2)主页及二级网站的网络信息安全 该事件主要涉及对外信息发布窗口的学校主页,以及我校所有二 共 11 页 2 级网站上的信息安全事件。 (3)学生、教师在校外网站发布有害信息 该事件主要是我校学生、教师员工在校外网站发布有害信息,对 他人或社会造成影响的事件。 (4)网络病毒入侵 网络病毒入侵事件主要是出现各种计算机网络病毒的发作、传播 和破坏等事件。 (5)其它网络安全事件 该事件是指学校网络中其它不可预测的、与校园网络相关的网络 信息安全事件。 第六条 事件级别划分 网络信息安全事件划分为四个级别:特别重大事件、重大事件、 较大事件和一般事件。 1、特别重大事件(Ⅰ级) 特别重大事件是指能够导致特别严重影响或破坏的信息安全事 件,包括以下情况: (1)会使特别重要信息系统遭受特别严重的系统损失; (2)产生特别重大的社会影响。 2、重大事件(Ⅱ级) 重大事件是指能够导致严重影响或破坏的信息安全事件,包括以 下情况: 共 11 页 3 (1)会使特别重要信息系统遭受严重的系统损失、或使重要信 息系统遭受特别严重的系统损失; (2)产生的重大的社会影响。 3、 较大事件(Ⅲ级) 较大事件是指能够导致较严重影响或破坏的信息安全事件,包括 以下情况: (1)会使特别重要信息系统遭受较大的系统损失、或使重要信 息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统 损失; (2)产生较大的社会影响。 4、一般事件(Ⅳ级) 一般事件是指不满足以上条件的信息安全事件,包括以下情况: (1)会使特别重要信息系统遭受较小的系统损失、或使重要信 息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别 的系统损失; (2)产生一般的社会影响。 第四章 预防预警 第七条 网络信息中心设立网络信息安全岗,由专人负责学校网 络信息安全规划、日常管理;加强与上级主管部门沟通,把握政策动 态;加强网络安全设备和制度建设,确保网络运行、基础实施和网络 信息安全;加强人员培训,提高专业技术水平。 第八条 各二级单位应建立健全网络信息安全管理员制度,负责 共 11 页 4 日常网络信息安全工作,责任到人、落实到人,加强学生的政治思想 教育和培养,并及时与网络信息中心沟通联系。 第五章 第九条 应急处置措施 具体响应流程 针对不同的安全事件,采取不同的响应办法。对本预案内未能涉 及的事件,可以根据实际情况,按本预案的精神加以灵活处理和应对。 1、应用系统被攻击 (1)发现应用系统被攻击,应马上断开服务器的网络连接,即可 先拔掉其网络线,切断与其它机器和网络的联系,以停止应用系统被 进一步攻击。 (2)启用备用系统。使备份应用系统先运行起来,恢复业务; (3)查看被攻击系统的日志文件,并把被攻击的服务器里日常数 据拷贝出来或备份出来,可以用移动硬盘保存被入侵的证据; (4)如有必要,需保存被攻击机器的现场,不能马上对被攻击机 器进行格式化等简单化操作; (5)联系专业技术人员,咨询合理的处理意见,并向部门主管领 导汇报情况; (6)如有必要,由保卫处向公安机关报案,提交被攻击机器的备 份数据,协助公安机关追查; (7)执行后续处理,把旧系统恢复或重新安装系统并恢复配置; 恢复系统原状后确保一切正常,再接入网络,使系统正常运行并对外 提供服务。 共 11 页 5 (8)分析查找安全漏洞,采取有效措施及时进行系统加固,消除 安全隐患。 (9)具体情况报告学校网络安全与信息化领导小组。 表 3-1 应用服务器受到攻击的应急响应流程 日常工作: 发布系统漏洞、 补丁等提示 用户发现非法 否 攻击或入侵? 是 拔下网络线断开网络 向网络信息中心领导汇报请示 保留入侵证据, 启用备用设备 进行事件登记、备份数据、 重新配置设备、更改账号密码等 网络信息中心向网络安全与信息化领 导小组汇报处理结果并进行整改 系统恢复正常,接入网络 共 11 页 6 2、学校主页及二级网站发生信息安全事件 (1)一经发现二级网站上有有害信息、不良信息或者内容被篡 改,网络信息中心应先做好有害信息现场留存,然后删除有害信息或 封闭出现有害信息的二级网站,并立即与二级网站所属单位负责人, 学校主页被篡改应立即上报学校网络安全与信息化领导小组成员。 (2)网络信息中心会同二级网站所属单位负责人对该网站进行 调查。情节严重的,由保卫处向公安机关报案。 (3)任何单位和个人不得对已出现的有害或不良信息进行传播 和造谣。 (4)建设单位分析查找安全漏洞,采取有效措施,及时进行系 统安全加固,消除安全隐患后才能重新开通。 (5)对事件中发生过失、伤害、损坏或其它损失的,进行必要 的善后工作。 共 11 页 7 表 3-2 学校主页及二级网站有害信息的应急响应流程 日常工作: 网络行为系统检测、浏览主页及 二级网站信息,搜索有害信息 发现有害信息 或被篡改? 否 是 断开网站与网络的连接 向网络信息中心领导 请示报告 网络信息中心进行处理,保存现场数据、 删除有害信息、恢复上线 网络信息中心向学校网络安全与信息化领 导小组汇报处理结果 共 11 页 8 3、学生、教师在校外网站发布有害信息 (1)若发现本校师生在校外网站上以学校或个人名义发表有害 信息,网络信息中心应先做好备份工作,以便备查,并尽快通知宣传 部(新闻中心),如事件影响较大,还需向学校网络安全与信息化领 导小组报告。 (2)网络信息中心联合宣传部(新闻中心)对其进行调查,并 联系相关网站删除不实信息,校长办公室提供删除不实信息所需的学 校证明材料。情节严重的,由保卫处向公安机关报案。 (3)学校网络安全与信息化领导小组视事件情况,进入应急响 应的相应状态。任何知情单位和个人不得对已出现的有害信息进行传 播。 共 11 页 9 表 3-3 学生、教师在校外网站发布有害信息防治管理流程 日常工作: 网络行为系统检测、浏览网站信息 搜索校外网站有关我校信息 用户/工作人员 发现涉及我校的有害信息? 否 是 向网络信息中心领导报告 网络信息中心作出响应, 并进行处理,保存现场数据 联系对方网站,协助处理 网络信息中心向学校网络安全与信息化领 导小组汇报处理结果 共 11 页 10 第六章 第十条 善后与恢复工作 应急结束后,做好善后与恢复工作,相关职能部门总结 经验。事件说明由宣传部(新闻中心)统一对外发布。 第七章 保障措施 第十一条 人员保障 确保在事件发生前的人员值班或手机保持畅通,事件处置过程中 的相关人员在岗。 第十二条 物资保障 资产与实验室管理处提供相应的物资保障,购买相应的应急设施, 以确保应急工作顺利进行。 第十三条 训练和演练 有针对性地开展应急演练,确保发生应急事件后救助手段及时到 位和有效。 共 11 页 11