为确保发生网络安全事件时各项应急工作高效、有序地进行,最大限度地减少损失,根据互联网网络安全相关法律法规及教育厅文件精神,在“锦州医科大学网络信息安全领导小组”的统一领导下,结合我校工作实际,特制定本预案。
一、安全事件范围与等级划分
(一)安全事件范围
根据网络与信息安全事件的发生原因、性质和机理,网络与信息安全事件主要分为以下四类:
1.故障类事件
指网络与信息系统因计算机软硬件故障、人为误操作等导致业务中断、系统死机、网络瘫痪等情况。
2.不良信息发布事件
指人为在校园网网站发表不良信息,发布的内容违反国家的法律法规、侵犯知识产权并已造成严重后果,由此导致业务中断、系统死机、网络瘫痪等情况。
3.攻击类事件
指网络与信息系统因计算机病毒感染、非法入侵等造成校园网网站主页被恶意篡改;应用服务器(如办公系统、财务系统等)被非法入侵,应用服务器上的数据被非法复制、修改、删除;由此导致的业务中断、系统死机、网络瘫痪等情况。
4.突发类事件
指因光缆损坏、洪水、火灾、雷击、地震、台风等外力因素导致网络与信息系统损毁,造成业务中断、系统死机、网络瘫痪等情况。
(二)安全事件等级划分
1.安全事件指一切影响网络安全运行的事件,其中包括设备软硬件事件、网络事件、管理事件和环境安全事件等;
2.安全事件划分为一般事件、紧急事件、特别紧急事件、重大故障(瘫痪)等四个等级;
3.根据事件时间的长短确定事件的等级,一般事件如果24小时无法解决可以升级为紧急事件,紧急事件超过12小时的解决时限升级为特别紧急事件,特别紧急事件超过6个小时解决时限升级为重大故障;
4.事件发生的原因分为自身、外来攻击以及系统漏洞三个方面原因。
二、预防措施
(一)采取完善的安全保障措施
对校园网络现有的信息系统和今后新建设的信息系统,参照国家有关信息安全等级保护的要求,按照最终确定的保护等级采取相应的安全保障措施。
(二)健全制度、加强管理
建立安全事件预警预报体系和校园网络安全工作值班制度,加强对校园网络和重点信息系统的监测、监控,加强安全管理,对可能引发网络与信息安全事件的有关信息,要认真收集、分析判断,发现有异常情况时,及时处理并逐级报告。
(三)对事件的处理应迅速、合理
一旦发生网络与信息安全事件,各部门应立即启动应急预案,第一时间报送学校宣传部和网络信息中心,由宣传部进行备案,由网络信息中心采取应急处置措施,判定事件危害程度,即时向“锦州医科大学网络信息安全领导小组”报告。在处置过程中,网络信息中心应及时报告处置工作进展情况,直至处置工作结束。属于重大事件或存在非法犯罪行为的,还应向公安机关报告。
(四)做好数据备份
各部门信息管理员应定期对本部门涉及的网站及数据资料进行备份。特殊时期,可根据学校的统一要求和部署,由网络信息中心统一进行安排,组织专业技术人员对网络和信息数据采取加强保护措施,对网络进行不间断的监控。
(五)招生保障
招生期间,网络信息中心应确保出口线路带宽畅通,确保招生工作正常开展,同时为防止突发事件对招生工作造成影响,招生部门应根据实际情况自行准备4G上网卡等备份接入,确保网络畅通,保证招生工作正常进行。
三、应急保障
(一)电力保障:采取外电接入、UPS短时应急供电保障相结合的电力保障措施。应急电力保障产品输出功率必须为实际消耗功率的1-1.5倍。定期检查电力保障设备运行状况,定期更换过期UPS蓄电电池(3-5年使用期限),以确保超时断电情况的数据安全。
(二)设备保障:做好信息安全应急物资保障,确保必要的备机、备件等资源到位;应根据业务实际需要对重要数据和业务系统进行备份;
(三)人员保障:明确应急情况处理人员与应急处理流程。应明确应急技术支援队伍,做好应急技术支援准备;及时更新应急管理人员通讯录,其中包括设备厂家联系人、联系方式等相关信息;
(四)经费保障:将应急保障费用列入年度经费预算,每年安排适当的资金用于应急演练及应急设备易损、易耗品更新与维护。
四、应急处理方案
(一)故障类事件,由网络信息中心核心机房或卓智公司技术管理人员采取技术措施,监控校园网出口及各支干的网络流量。若发现校园网出口流量异常,由网络信息中心或卓智公司组织专业人员进行检测和解决。
1、网络出口中断
(1)若运营商网络出口中断,检查本地接口是否可Ping通,若能Ping通,可判定为对端故障,应联系对端负责人,同时通知线路运营商检查线路;若不能Ping通本地接口地址,则逐级检查各个路由交换设备,确定故障位置,予以排除。及时完成日志记录工作。
(2)校园网内部网络接口中断,若检查本地接口不能Ping通,可判断故障在校园网内部。先查其线路与防火墙连接是否正常,确认线路正常情况下,则可确定为防火墙问题,应立即联系设备提供商进行维修。
2、流量异常
使用网络分析工具对教育网接口进行捕包分析,查找引起流量异常的原因。若确定流量异常是由于内部用户终端导致,及时通知用户并隔离该用户;若确定流量异常是由于外部网络导致,直接封锁相应源网络。及时完成日志记录工作。
(二)攻击类事件
1、网络病毒爆发
对于网络病毒大规模爆发的情形,一经确认,网络信息中心应立即针对不同情形的病毒爆发采取相应处理:
(1)校园网部分区域爆发病毒。
应尽快确认病毒源,同时断开相应子网络;根据病毒可能造成的危害,采取由相应单位自行处理病毒或网络信息中心协助处理的具体措施。确认病毒威胁消除后方可重新开通该子网络。
(2)全网爆发病毒,校园网主干受影响的情形。
通过网络监控措施,分析并确认病毒网络范围,同时断开相应子网络。确认病毒爆发严重的具体范围后,通过检查接入层交换设备逐步缩小病毒源的范围,直到查出病毒的真正位置。对于已有具体解决方案的病毒,由终端主机负责人自行处理,消除病毒影响后方可重新开通网络。
(3)对新发现的病毒,网络信息中心在确认病毒特征后,及时拿出针对该病毒的技术解决方案并通知校园网用户,同时,对发现的网内病毒源通过关闭端口的手段及时进行隔离。对病毒的检测和处理及时完成日志记录工作。对于由外网进入的网络病毒应在边界路由器上做针对性地访问控制,对已实施的访问控制要做好日志和备案工作。
2、网络攻击
网络技术管理人员一旦发现网络攻击事件,包括各类网络路由交换设备受到攻击导致不能正常运行、校园网各类信息服务受到攻击不能正常提供服务等,应在第一时间采取措施:
(1)校园网路由交换设备受到攻击不能正常运行,导致网络中断,按“流量异常”的处理步骤进入应急处理步骤。
(2)若校园网网站受到攻击,不能正常提供服务:
①学校主网页受到恶意攻击,信息被恶意篡改,网络信息中心应在第一时间断开服务器的物理网络连接(若未造成恶劣影响的,且在服务恢复过程中需要使用网络的,可不断开网络连接),保存系统日志;尽快恢复该信息服务的正常运行;分析攻击事件,修正安全策略。分析查找攻击来源,配合保卫处查找责任人。
②各院、部、处、中心负责管理和运行的信息服务站点受到攻击,信息被篡改,各部门应在第一时间通知网络信息中心阻断该服务器的网络(封锁IP),并通知本单位网络信息安全员。待站点信息恢复正常,并修复站点被攻击漏洞后,站点管理单位申请重新开放服务,由网络信息中心重新开放该站点。
(三)突发类事件
根据实际情况,在保障人身安全的前提下,首先保障数据安全,然后是设备安全。具体包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。如果发生光缆损坏,网络信息中心应及时联系运营商或合作方进行抢修。
五、后续处理
在进行最初的应急处理以后,网络信息中心及各部门应及时采取行动,尽可能减少事件造成的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小:
(一)在发生网络故障时,优先保证机关各部、处重要部门的网络畅通。
(二)在事件处理之后,及时对有关事件或行为进行分析,找出事件根源,明确相应的补救措施并彻底清除。
(三)在确保安全事件解决后,要及时清理系统、恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。
六、记录和上报
网络与信息安全事件发生时,各部门应及时报送学校宣传部和网络信息中心,进一步向主管领导汇报,并在事件处置工作中作好完整的过程记录,及时报告处置工作进展情况,保存各相关系统日志,直至处置工作结束。
七、事后评估
系统恢复运行后,网络信息中心对事件造成的损失、事件处理流程和应急预案进行评估,对处理方案提出修改意见,总结事件处理经验和教训,撰写事件处理报告,同时确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料,及时上报相关的网络安全管理部门。
八、网络应急联络员
为了及时发现和处理网络与信息安全事件,由宣传部和网络信息中心各设1名网络应急联络员。一旦发生网络与信息安全事件,各单位、部门应第一时间通过网络应急联络员向宣传统战部和网络信息中心报送。联系方式如下:
|
姓 名 |
部 门 |
手机号 |
集团小号 |
|
姜圆 |
宣传统战部 |
|
68103 |
|
田继红 |
网络信息中心 |
|
68063 |
位置: