星空平台网络与信息安全事件应急预案
为贯彻落实《中华人民共和国网络安全法》、国家教育部星空(中国)教育网络与信息安全工作的总体部署以及河南省教育厅《星空(中国)印发〈信息技术安全事件报告与处置流程(试行)〉的通知》精神,妥善处理危害网络与信息安全的突发事件,遏制突发事件的影响和有害信息的扩散,保障校园网络与信息安全,维护校园和社会的稳定,现结合我校工作实际,制订本预案。
一、校园网络与信息安全事件定义
1.信息技术安全事件定义。根据《信息安全事件分类分级指南》(GB/T20986-2007,以下简称《指南》),本预案中所称的信息技术安全事件(以下简称安全事件)是指除信息内容安全事件以外的有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害事件和其他信息安全事件。
2.适用范围。本预案适用于我校信息技术安全事件的报告与处置工作,涉及信息内容安全事件的报告与处置工作仍按相关规定执行。
3.安全事件等级划分。根据《指南》将安全事件划分为四个等级:特别重大事件(I级)、重大事件(Ⅱ级)、较大事件(Ⅲ级)和一般事件(Ⅳ级)。
4.安全事件自主判定。一旦发生安全事件,应根据《指南》,视信息系统重要程度、损失情况以及对工作和社会造成的影响,自主判定安全事件等级。
二、组织机构及工作职责
(一)网络安全与信息化领导小组
网络安全与信息化领导小组直接负责学校网络与信息安全工作,对学校的网络与信息安全工作进行全面的分析研究,制定工作方案,提供人员和物质保证,指导和协调校内各单位实施网络与信息安全工作预案,处置各类危害校园网络与信息安全的突发事件。
(二)领导小组下设两个工作组
1.网络安全协调组
由宣传部、信息化技术中心、相关部门负责人组成。其职责是:当校园网中出现网络与信息安全事件时,负责组织协调有关部门及时清理有害信息,会同有关部门积极查找非法信息的来源,关注事件处置动向,及时上报处置情况,完成事件处置工作报告。
2.网络安全技术组
由信息化技术中心、有关部门的技术人员组成。其职责是:当发生网络安全事件时,做到及时发现并紧急处置,保留事件现场及记录,尽快查出原因和处理问题,尽早恢复网络正常运行。
三、应急处理流程
紧急事件发生后,在领导小组的统一领导下,各应急工作小组迅速到位并进入工作状态,按照以下应急处置流程开展工作。
(一)在确认发生网络与信息安全事件后,第一时间向学校网络安全与信息化领导小组(以下简称领导小组)汇报。
(二)领导小组获悉网络与信息安全事件后迅速了解和掌握事件情况,根据情况确定事件的性质,启动相应的工作机制。
(三)在领导小组的统一指挥下,各网络安全处置小组按职责分工和工作程序迅速开展工作:
1.网络安全技术组
(1)断开网络连接。如在学校的网站、邮件等服务器上发现有害信息或其数据被篡改,要立即切断服务器的网络连接,防止有害信息的扩散。
(2)保留有关记录。对事件现场进行保护,完整保留有关记录内容。
(3)查找根源,解决问题。使用各种网络管理工具对事件原因进行分析,确定事故产生的根源,按相关程序进行处理,彻底清除网络安全问题。
(4)恢复系统运行。采取措施尽快恢复系统的正常运行,有条件的启用备用服务系统,没有条件的一定要等解决问题后才可以做系统恢复。
(5)恢复网络运行。在网络安全问题解决后,逐步恢复网络运行,监控安全问题是否彻底解决,直至网络运行正常。
(6)提升网络安全防护能力。针对此次事件总结经验,采取相应网络安全措施,提升网络安全防御能力。
2.网络安全协调组
(1)迅速掌握情况。协调组人员应迅速赶到现场,了解事情的详细情况。情况内容包括:时间地点、简要经过、事件类型与分级、影响范围、危害程度、初步原因和已采取的应急措施。
(2)紧急报告。协调组把掌握的情况如实向领导小组汇报,领导小组认为情况严重时,应立即向教育厅科技处进行口头报告,涉及人为主观破坏事件时,应同时报告当地公安机关。
(3)关注处置进程。对事件的处置过程进行跟踪,密切关注事件发展动向,出现新的重大情况及时补报。进一步掌握事件造成损失情况、查找和分析事件原因,修复系统漏洞,恢复系统服务,尽可能减少安全事件对正常工作带来的影响。
(4)写出事中报告。在安全事件发现后8小时内,以书面报告的形式向教育厅科技处进行报送(报送内容和格式见附件1)。报告由学校信息技术安全分管责任人组织信息技术安全管理部门、系统使用单位和运维单位共同编写,由学校主要负责人审核后,签字并加盖公章报送省教育厅科技处。
(5)协助调查取证。如果涉及人为主观破坏的安全事件应积极配合公安部门开展调查。高度重视事件的调查取证,协调有关部门供必要的保障条件,协助公安部门开展事件调查和取证工作。
(6)提出整改措施。进一步总结事件教训,研判信息安全现状、排查安全隐患,进一步加强制度建设,提升学校网络与信息安全防护能力。
(7)写出整改报告。事后整改报告应在安全事件处置完毕后5个工作日内,以书面报告的形式进行报送(报送内容和格式见附件2)。事后整改报告由学校信息技术安全分管责任人组织信息技术安全管理部门、系统使用单位和运维单位共同编写,由本单位主要负责人审核后,签字并加盖公章报送省教育厅科技处。
四、一般安全事件报告与处置
发生一般安全事件时,应在学校领导小组领导下,及时开展应急处置工作。在事件处置完毕后5日内向省教育厅科技处报送整改报告(报告内容和格式见附件2)
五、整改类安全问题的报告与处置
在接收到教育部、省教育厅、省公安厅、省工业和信息化委员会、省互联网应急办公室等信息安全部门发布的漏洞整改类信息问题时,应在学校领导小组指导下,由信息技术安全主管部门及时组织开展应急处置工作,并按要求将整改报告同时报送省教育厅科技处和省教育信息安全监测中心。(报送内容和格式见附件3)
六、工作要求
在安全事件应急行动中,各有关部门和人员要服从指挥,密切配合,确保政令畅通和各项工作的落实。
附件:1.信息技术安全事件情况报告
2.信息技术安全事件整改报告
3.信息安全隐患整改报告
附件1
信息技术安全事件情况报告
单位名称:(加盖公章) 事发时间: 年 月 日 分
联系人姓名 |
|
手机 |
|
|
电子邮箱 |
|
|
事件分类 |
□有害程序事件 □网络攻击事件 □信息破坏事件 □设备设施故障 □灾害事件 □其他 |
|
事件分级 |
□I级 □II级 □III级 □IV级 |
|
事件概况 |
|
|
信息系统基本情况(如涉及请填写) |
1.系统名称: 2.系统网址和IP地址: 3.系统主管单位/部门: 4.系统运维单位/部门: 5.系统使用单位/部门: 6.系统主要用途: 7.是否定级 □是 □否,所定级别: 8.是否备案 □是 □否,备案号: 9.是否测评 □是 □否 10.是否整改 □是 □否 |
|
事件发现与处置的简要经过 |
|
事件初步估计的危害和影响 |
|
事件原因的初步分析 |
|
已采取的应急措施 |
|
是否需要应急支援及需支援事项 |
|
信息技术安全分管负责人意见(签字) |
|
主要负责人意见(签字) |
|
|
|
|
|
|
|
附件2
信息技术安全事件整改报告
单位名称:(加盖公章) 报告事件: 年 月 日
联系人姓名 |
|
手机 |
|
|
电子邮箱 |
|
|
事件分类 |
□有害程序事件 □网络攻击事件 □信息破坏事件 □设备设施故障 □灾害事件 □其他 |
|
事件分级 |
□I级 □II级 □III级 □IV级 |
|
事件概况 |
|
|
信息系统基本情况(如涉及请填写) |
1.系统名称: 2.系统网址和IP地址: 3.系统主管单位/部门: 4.系统运维单位/部门: 5.系统使用单位/部门: 6.系统主要用途: 7.是否定级 □是 □否,所定级别: 8.是否备案 □是 □否,备案号: 9.是否测评 □是 □否 10.是否整改 □是 □否 |
|
事件发生的最终判定原因(可加页附文字、图片及其他说明) |
|
事件的影响及恢复情况 |
|
事件的安全整改措施 |
|
存在问题与建议 |
|
信息技术安全分管负责人意见(签字) |
|
单位主要负责人意见(签字) |
|
|
|
|
|
|
|
附件3
信息技术安全隐患整改报告
单位名称:(加盖公章) 报告时间: 年 月 日
联系人姓名 |
|
手机 |
|
|
电子邮箱 |
|
|
信息安全隐患 名称 |
|
|
信息安全隐患类别 |
□安全漏洞 □暗链 □网页篡改 □弱口令 □信息泄露 □系统后门 □网页挂马 □其它 |
|
隐患级别 |
□高危 □中危 □低危 |
|
接收到整改通知时间 |
|
|
信息系统基本情况(如涉及请填写) |
1.系统名称: 2.系统网址和IP地址: 3.系统主管单位/部门: 4.系统运维单位/部门: 5.系统使用单位/部门: 6.系统主要用途: 7.是否定级 □是 □否,所定级别: 8.是否备案 □是 □否,备案号: 9.是否测评 □是 □否 10.是否整改 □是 □否 |
|
存在隐患主要原因 |
|
简要处置过程 |
|
处置结果 |
|
信息技术安全主管部门审核意见(签字) |
|
信息技术安全分管负责人审定意见(签字) |
|
|
|
|
|
|
|