为了建立健全我院校园网络与信息安全应急响应工作机制,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》等有关法规文件精神,结合我院实际情况,特制定本预案。
一、指导思想
网络与信息安全事关国家的政治稳定、社会安定和校园稳定,我们必须按照网络与信息安全工作“谁主办、谁负责”和“属地管理”的原则,维护安全、健康、有序的网络环境,保证网络平台和信息技术支撑学院教学、科研、管理的各项工作正常高效的运行。
二、适用范围
有效预防、科学应对、及时处置校园网络与信息安全的突发事件。主要有:
1、攻击事件:指校园网络与信息系统因病毒感染、非法入侵等造成学院网站或部门二级网站主页被恶意篡改、交互式栏目发布有害信息;应用服务器与相关应用系统被非法入侵,应用服务器上的数据被非法拷贝、篡改、删除;在网站上发布的内容违反国家的法律法规、侵犯知识版权并造成严重后果等,由此导致的业务中断、系统宕机、网络瘫痪等情况。
2、故障事件:指校园网络与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。
3、灾害事件:指因洪水、火灾、雷击、地震、台风等外力因素导致网络与信息系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。
三、应急预案启动程序
在发生校园网络与信息安全事件后,现代教育技术中心和宣传部应尽最大可能收集事件相关信息,确定事件来源,弄清事件范围,鉴别事件性质并评估事件带来的影响和损害,确认为校园网络与信息安全事件后,组织相关部门对现场进行控制或维修恢复,直至问题解决。
五、应急预案响应措施
1、应急处置
根据事件引发原因分为网络攻击类、故障类、灾害类三情况,初步确定应急处置方式,区别对待。
(1)攻击类:由现代教育技术中心根据情况关闭影响安全与稳定的网络设备和服务器设备,断开网站、信息系统与攻击来源的网络物理连接;由受攻击的网站和信息系统所属部门负责恢复数据、消除影响并完善安全措施,现代教育技术中心技术配合。
按照攻击类事件发生的性质分别采用以下方案:
(a)病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,必要时请有关技术人员协助,寻找并公布病毒攻击信息,以及杀毒、防御方法。
(b)外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外网入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和带来恶劣影响。
(c)内部入侵:查清入侵来源,如IP地址、所在办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。
(d)非法篡改网页:网站一旦发现网页被非法篡改,立即关闭该网站,组织技术人员查找漏洞,打好补丁,恢复网页,然后重新开放网站。
(e)其它未列出的不确定因素造成的攻击类事件,根据“谁主办、谁负责”的原则,结合具体的情况,做出相应的处理。
(2)故障类:由现代教育技术中心判断故障发生点和故障原因,能够迅速解决的尽快排除故障;必要时向计算机网络公司求助技术援助,并优先保证主要应用系统的运转。
(3)灾害类:考虑实际情况,在保障人身安全的前提下,保障数据安全和设备安全,实施相应的措施。
2、后续处理
(1)安全事件进行最初的应急处置以后,应及时采取行动,抑制其影响的进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。
(2)安全事件被抑制之后,通过对有关事件或行为的分析结果,找出其根源,明确相应的补救措施并彻底清除。
(3)在确保安全事件解决后,要及时清理系统、恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。
3、记录上报
网络与信息安全事件发生时,及时向学院领导汇报,并在事件处置工作中作好完整的过程记录,及时报告处置工作进展情况,直至处置工作结束。
4、结束响应
系统恢复运行后,对事件造成的损失、事件处理流程和应急预案进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告,同时确定是否需要上报上级部门该事件及其处理过程,需要上报的应及时准备相关材料;涉嫌犯罪的,第一时间向公安机关网络监察部门报案。