为了贯彻执行《中华人民共和国网络安全法》《云顶yd222线路检测中心地址网络安全工作责任制实施细则(试行)》,严格落实网络安全责任,有效应对各类网络安全事件,有效降低网络安全事件影响,按照《教育系统网络安全事件应急预案》和《信息技术安全事件报告与处置流程(试行)》的要求,制定本应急预案。
1 总 则
1.1 编制目的
建立健全学校网络安全事件应急工作机制,规范网络安全事件工作流程,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保障学校网络与信息系统正常运行。
1.2 编制依据
《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《国家突发公共事件总体应急预案》《国家网络安全事件应急预案》《江西省教育厅教育系统突发事件总体应急预案》《吉安市网络安全事件应急预案》等相关规定。
1.3 适用范围
本预案适用于学校网络与信息系统,尤其是学校关键网络设施和重要信息系统安全突发事件的应急处置。
1.4 事件分类
本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、网络攻击、自然灾害等,对网络和信息系统或其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。有关信息内容安全事件的应对,参照有关规定和办法。
(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
(7)其他事件是指不能归为以上分类的网络安全事件。
1.5事件分级
根据网络安全事件的严重程度和影响范围,分为四级:Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)、Ⅳ级(一般)。国家有关法律法规有明确规定的,按国家有关规定执行。
Ⅰ级(特别重大):网络与信息系统发生全局性大规模瘫痪,事态发展超出自己的控制能力,对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发事件。
Ⅱ级(重大):网络与信息系统造成全局性瘫痪,对国家安全、社会秩序、经济建设和公共利益造成严重损害需要跨部门协同处置的突发事件。
Ⅲ级(较大):某一部分的网络与信息系统瘫痪,对国家安全、社会秩序、经济建设和公共利益造成一定损害,但不需要跨部门、跨地区协同处置的突发事件。
Ⅳ级(一般):网络与信息系统受到一定程度的损坏,对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益的突发事件。
1.6 工作原则
依照“统一领导、快速反应、密切配合、科学处置”的组织原则和“谁主管谁负责、谁运行谁负责、谁使用谁负责”的协调原则,充分发挥各方面力量,共同做好网络与信息安全事件的应急处置工作。
2 组织体系
2.1 领导机构
在网络信息安全工作领导小组的统一领导下,成立网络信息安全应急处置工作领导小组,组长由分管校领导担任,成员由有关部门相关人员组成,负责网络与信息安全应急响应工作的整体规划、组织协调和决策指挥。
2.2职责任务
学校网络信息安全应急处置工作领导小组办公室设在网络信息中心,办公室主任由网络信息中心主要负责人担任。领导小组办公室主要负责学校网络信息安全应急处置工作领导小组的日常工作,负责建立健全协调机制和信息通报机制,制定相应的应急处理工作流程,明确各部门在应急协调工作中的任务和责任;负责协调组织各项应急准备工作,主要包括应急响应规划制定、应急队伍建设、应急资源准备、灾难恢复准备、发布预警信息、应急响应培训和演练及其他应急响应相关工作;按照网络信息安全应急处置工作领导小组的命令和指示,组织协调各有关部门,落实网络与信息安全应急保障工作。
3 监测与预警
3.1预警分级
网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。
3.2预警监测
建立多方协作的信息共享机制,通过多种渠道监测、汇集漏洞、病毒、网络攻击、弱口令、暗链等网络安全威胁信息,并及时进行校内通报。各部门对本部门网络和信息系统的运行状况进行密切监测,一旦发生网络安全事件,应当立即通过电话等方式向网络信息中心报告,不得迟报、谎报、瞒报、漏报。
3.3预警研判和发布
对监测发现的网络安全信息进行研判,认为需要立即采取防范措施的及时通知有关部门;对可能发生较大及以上网络安全事件的信息及时向上级网络安全应急部门报告。学校网络信息安全应急处置工作领导小组可根据监测研判情况,发布蓝色预警。
预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机构等。
3.4预警响应
根据预警指令,启动应急预案,组织开展预警响应工作,做好应急准备、风险评估和控制工作。
3.5 预警解除
预警发布机构根据实际情况,确定是否解除预警,及时发布预警解除信息。
4 应急处置
4.1事件报告
网络安全事件发生后,事发部门应立即启动应急预案,组织相关人员根据不同的事件类型和事件原因,采取断网等有效措施进行处置,尽最大努力将损害和影响降到最低,保留网络攻击、网络入侵或网络病毒等证据,并电话报告网络信息中心。经网络信息中心分析研判,初判为特别重大、重大、较大网络安全事件的,应立即报告应急领导小组。对于认定为特别重大、重大、较大网络安全事件的,根据应急领导小组意见,报告上级主管部门与当地网信部门,涉及人为主观破坏事件,构成违法犯罪的,报当地公安机关。
报告流程如下:
(1)事发紧急报告:事件发生后立即以口头通讯方式上报,报告内容包括:时间地点、简要经过、事件类型与分级、影响范围、危害程度、初步原因分析、已采取的紧急措施。
(2)事中处置报告:应在事件发生后8小时内以书面报告形式上报。(格式见附件1)
(3)事后整改报告:应在事件处置完毕后5个工作日内以书面报告形式上报。(格式见附件2)
4.2应急响应
网络安全事件应急响应分为四级,分别对应特别重大、重大、较大和一般网络安全事件。I级为最高响应级别。
学校网络信息安全应急处置工作领导小组对事件信息进行研判,属于较大及以上网络安全事件,逐级及时上报,提出启动响应建议。
接上级网络安全应急部门通知要求启动响应的,学校网络信息安全应急处置工作领导小组立即进入应急状态,做好应急处置工作或支撑保障工作。
学校网络信息安全应急处置工作领导小组根据研判可以自行决定启动Ⅳ级响应,并及时上报事态发展变化情况和处置进展情况。
4.3应急结束
网络安全事件应急结束由学校网络信息安全应急处置工作领导小组决定。
4.4常规事件处置措施
4.4.1有害程序事件
及时查清并断开传播源,判断病毒的性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,关闭相应的传播端口,必要时甚至关闭网络设备的连接端口,及时对受感染计算机进行杀毒处理,并公布病毒攻击信息以及杀毒、防御方法。
4.4.2网络攻击事件
判断入侵来源的IP地址,区分外网与内网,对于外网入侵,限制对方IP地址的访问,对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和影响。对于内网入侵,查清入侵来源,查找相应的计算机和上网用户,同时断开对应的交换机端口。最后针对入侵方法调整或更新入侵防御设备规则。
4.4.3信息破坏事件
重要信息系统的数据应提前做好数据备份,一旦数据遭到破坏性攻击,应立即断开网络连接,进行数据恢复。
4.4.4设备设施故障
判断故障发生点和故障原因,如有备用设备,立即替换受损设备,否则联系供货厂商尽快抢修故障设备,优先保证校园网主干网络和重要信息系统的运转。如遇停电紧急事件,根据停电时间、UPS电池的供电能力保障最重要的设备和信息系统继续运行,关闭次要的设备和信息系统,供电恢复后,及时恢复关闭的网络设备。
4.4.5灾害性事件
根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
4.4.6其它不确定安全事件
可根据总的安全原则,结合具体情况,做出相应处理。
4.5典型事件处置流程
典型应急事件处置方法及流程如下:
4.5.1病毒爆发事件处理流程
一旦发现系统感染病毒,应执行以下应急处理流程:
(1)立即切断感染病毒设备与网络的连接;
(2)对事件进行初步定级,立即通知网络信息中心,同时进行事发紧急报告;
(3)对该设备的重要数据进行数据备份;
(4)启用防病毒软件对该设备进行杀毒处理,通过防病毒软件对其他计算机进行病毒扫描和清除工作,同时进行事中情况报告;
(5)如果出现现有防病毒软件无法清除该病毒的、病毒在1小时内无法处理完毕的、病毒不断通过网络扩散的,事件应升级响应;
(6)恢复系统和相关数据,检查数据的完整性;
(7)病毒事件处理完毕,安全隐患消除后将设备重新接入网络;
(8)进行事后整改报告,总结防范经验,进行安全加固。
4.5.2 非法入侵事件处理流程
信息系统一旦发现被远程控制等非法入侵行为,应执行以下应急处理流程:
(1)发现系统服务器被远程控制、植入后门程序,或发现有黑客正在进行攻击时,首先应立即断开服务器与网络的连接,保护好现场;
(2)对事件进行初步定级,立即通知网络信息中心,同时进行事发紧急报告;
(3)技术人员对入侵行为进行鉴定,做好必要的记录,妥善保存有关日志和审计信息;
(4)通过技术手段进行分析,追查攻击源,修改防火墙等设备的安全配置阻断黑客继续入侵,分析后台数据操作日志,判断是否发生数据失窃,检查、校验数据的完整性和有效性,同时进行事中情况报告;
(5)事态无法控制或造成严重后果,事件应升级响应;
(6)修复或重建被攻击或破坏的系统,重新将恢复后的系统接入网络;
(7)进行事后整改报告,强化安全防范措施,总结防范经验,进行安全加固。
4.5.3 拒绝服务攻击事件处理流程
系统一旦发现遭受拒绝服务攻击而无法正常访问时,应执行以下应急处理流程:
(1)发现系统访问流量异常、无法正常访问,可能遭受拒绝服务攻击时,对事件进行初步定级,立即通知网络信息中心,同时进行事发紧急报告;
(2)技术人员对攻击行为进行鉴定,做好必要记录,妥善保存有关日志和审计信息;
(3)通过技术手段进行分析,追查攻击源,修改路由器、防火墙等设备的安全配置,缓解、消除事件的影响,同时进行事中情况报告;
(4)事态无法控制或持续造成影响,事件应升级响应;
(5)提取相关数据样本后,恢复系统正常运行;
(7)进行事后整改报告,强化安全防范措施,总结防范经验。
4.5.4 数据泄露事件处理流程
系统一旦发现敏感的、受保护的或机密的数据泄露时,应执行以下应急处理流程:
(1)发现系统存放的敏感数据出现至互联网或内网终端对系统进行漏洞攻击获取数据时,首先应立即断开服务器与网络的连接,保护好现场;
(2)查看数据审计与日志内容,确定数据泄露的严重程度;
(3)对事件进行初步定级,立即通知网络信息中心,同时进行事发紧急报告;
(4)通过技术手段进行分析,追查泄露方式,修改防火墙等设备的安全配置,出现内部人员有意泄露机密信息需立即限制其权限,同时进行事中情况报告;
(5)事态无法控制或造成严重后果,事件应升级响应;
(6)修补安全薄弱环节和漏洞,重新将漏洞修复后的系统接入网络;
(7)进行事后整改报告,强化安全防范措施,总结防范经验,进行安全加固。
4.5.5 网页非法篡改事件处理流程
对外服务网站一旦发现网页被非法篡改,应执行以下应急处理流程:
(1)发现网站网页出现非法信息时,管理员应及时采取断网等处理措施;
(2)对事件进行初步定级,立即通知网络信息中心,同时进行事发紧急报告;
(3)技术人员对事件进行勘察和记录,妥善保存有关日志和审计信息;
(4)技术人员通过技术手段进行分析,追查非法信息来源,提取相关数据样本后,清理网站非法信息,同时进行事中情况报告;
(5)事态无法控制或造成严重后果,事件应升级响应;
(6)处理完毕后,恢复网站运行;
(7)进行事后整改报告,强化安全防范措施,总结防范经验,进行安全加固。
5 调查与评估
网络安全事件总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。事件的调查处理和总结评估工作应在应急响应结束后20天内完成,并报送上级网络安全应急部门。
6 预防工作
6.1日常管理
应组织开展网络安全事件日常预防工作,建立完善的应急管理体制,做好网络安全检查、隐患排查、风险评估和数据备份,健全网络安全信息通报机制,及时采取有效措施,减少和避免网络安全事件的发生及危害,提高发现和应对网络安全事件的能力。
6.2应急演练
每年组织应急演练,检验和完善预案,提高实战能力。
6.3培训宣传
不定期组织网络安全培训,利用网络安全宣传周进行网络安全基本知识和技能的宣传教育,提高师生的网络安全意识。
6.4重要敏感时期的预防措施
在重大活动、会议期间,加强网络安全事件的防范和应急响应,确保网络安全。重点岗位安排人员24小时值班,及时发现和处置网络安全事件隐患。
7 保障措施
7.1技术支撑
加强网络安全应急技术支撑队伍建设和网络安全物资保障,做好网络安全事件的监测预警、预防防护、应急处置工作。
7.2资金保障
根据网络安全防护和应急处置工作的实际需要,申报网络安全设备、安全服务等专项资金,纳入年度预算。
8 附则
本预案由网络信息安全工作领导小组负责解释。
本预案自发布之日起施行。
附件:1.事中处置报告
2.事后整改报告
云顶yd222线路检测中心地址网络信息安全工作领导小组(代章)
2022年10月10日
附件1
安全事件情况报告
单位名称:(需加盖公章) 事发时间: 年 月 日 分
联系人姓名 |
|
手机 |
|
电子邮箱 |
|
事件分类 |
□有害程序事件 □网络攻击事件 □信息破坏事件 □设备设施故障 □灾害事件 □其他事件 |
事件分级 |
□Ⅰ级 □Ⅱ级 □Ⅲ级 □Ⅳ级 |
事件概况 |
|
攻击信息 |
1.攻击源: 2.攻击源端口: 3.被攻击IP: 4.被攻击端口: |
信息系统的基本情况(如涉及请填写) |
1.系统名称: 2.系统网址和IP地址: 3.系统主管单位/部门: 4.系统运维单位/部门: 5.系统使用单位/部门: 6.系统主要用途: 7.是否定级 □是 □否,所定级别: 8.是否备案 □是 □否,备案号: 9.是否测评 □是 □否 10.是否整改 □是 □否 |
事发单位及事发网络和信息系统功能描述 |
|
事件发现、事态发展与处置的简要经过 |
|
事件初步估计的危害和影响(影响程度、影响人数、紧急损失等情况) |
|
事件原因的初步分析 |
|
已采取的应急措施和效果 |
|
是否需要应急支援及需支援事项和工作建议 |
|
安全负责人意见(签字) |
|
主要负责人意见(签字) |
|
附件2
安全事件整改报告
单位名称:(需加盖公章) 事发时间: 年 月 日 分
联系人姓名 |
|
手机 |
|
电子邮箱 |
|
事件分类 |
□有害程序事件 □网络攻击事件 □信息破坏事件 □设备设施故障 □灾害事件 □其他事件 |
事件分级 |
□Ⅰ级 □Ⅱ级 □Ⅲ级 □Ⅳ级 |
事件概况 |
|
信息系统的基本情况(如涉及请填写) |
1.系统名称: 2.系统网址和IP地址: 3.系统主管单位/部门: 4.系统运维单位/部门: 5.系统使用单位/部门: 6.系统主要用途: 7.是否定级 □是 □否,所定级别: 8.是否备案 □是 □否,备案号: 9.是否测评 □是 □否 10.是否整改 □是 □否 |
事件发生的最终判定原因(可加页附文字、图片以及其他文件) |
|
事件的影响与恢复情况 |
|
事件的安全整改措施 |
|
存在的问题及建议 |
|
安全负责人意见(签字) |
|
主要负责人意见(签字) |
|
