为了切实做好我院校园网络突发事件的防范和应急处理工作,进一步提高我院预防和控制网络突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保我院校园网络与信息安全,制定本预案。
一、总则
(一)工作目标
保障信息的合法性、完整性、准确性,保障网络中心机房UPS供电系统、交换设备、防火墙、上网行为管理设备、服务器、存储设备等设备设施安全,重点维护学院门户网站、OA系统、教务系统、财务系统等业务系统。
(二)编制依据
根据《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《计算机病毒防治管理办法》等相关法规、规定、陕西省教育厅关于网络及信息系统安全的文件精神,制定本预案。
(三)基本原则
1、预防为主。根据《校园网管理工作条例》的要求,建立、健全我院计算机网络安全管理制度,有效预防网络与网络安全事故的发生。
2、分级负责。按照“谁主管谁负责,谁运营谁负责”的原则,建立和完善安全责任制。各部门应积极支持和协助应急处置工作。
3、果断处置。一旦发生网络与网络安全事故,应迅速反应,及时启动应急处置预案,尽最大力量减少损失,尽快恢复网络与系统运行。
(四)网络与信息安全事件定义
根据网络与信息安全事件的发生原因、性质和机理,网络与信息安全事件主要分为以下三类:
攻击类事件:指网络与信息系统因计算机病毒感染、非法入侵等造成校园网网站主页被恶意篡改、交互式栏目里发表不良信息;应用服务器(如办公系统、财务系统等)被非法入侵,应用服务器上的数据被非法拷贝、修改、删除;在网站上发布的内容违反国家的法律法规、侵犯知识版权并已造成严重后果等,由此导致的业务中断、系统宕机、网络瘫痪等情况。
故障类事件:指网络与信息系统因计算机软硬件故障、人为误操作、网络设备故障等导致业务中断、系统死机、网络瘫痪等情况。
灾害类事件:指因洪水、火灾、雷击、地震、台风等外力因素导致网络与信息系统损毁,造成业务中断、系统死机、网络瘫痪等情况。
(五)适用范围
本预案适用于陕西国防工业职业技术学院。
二、组织体系
学校成立网络信息安全领导小组。组长为院长,副组长为学院各主管院长,成员为各业务部门负责人。办公室设在信息处。主要职责与任务是统一领导全校信息网络的灾害应急工作,全面负责学校信息网络可能出现的各种突发事件处置工作,协调解决灾害处置工作中的重大问题等。
三、预防措施
(一)对校园网络现有信息系统和今后新建设的信息系统,参照国家有关信息安全等级保护的要求,按照最终确定的保护等级采取相应的安全保障措施。
(二)建设安全事件预警预报体系和校园网络安全工作值班制度,加强对校园网络和重点信息系统的监测、监控,加强安全管理,对可能引发网络与信息安全事件的有关信息,要认真收集、分析判断,发现有异常情况时,及时处理并逐级报告。
(三)一旦发生网络与信息安全事件,立即启动应急预案,采取应急处置措施,判定事件危害程度,及时上报信息处,并立即将情况向有关领导报告。在处置过程中,应及时报告处置工作进展情况,直至处置工作结束。属于重大事件或存在非法犯罪行为的,还应向公安机关报告。
(四)特殊时期,可根据学校的统一要求和部署,由信息处进行统一安排,组织专业技术人员对网络和信息数据采取加强保护措施,对网络进行不间断的监控。
四、处置程序
(一)预案启动
在发生网络与信息安全事件后,信息处网络中心应尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,以确定事件范围和评估事件带来的影响和损害,确认为网络与信息安全事件后,对事件进行处置和上报。
(二)应急处置
初步确定应急处置方式,根据事件引发原因分为灾害类、故障或攻击类两种情况,区别对待。
1、灾害类
根据实际情况,在保障人身安全的前提下,首先保障数据安全,然后是设备安全。机房火灾,应急处理程序如下:
(1)一旦机房发生火灾,应遵循下列原则:首先保证人员安全;其次保证关键设备、数据安全;三是保证一般设备安全。
(2)人员灭火和疏散的程序是:值班人员应首先切断所有电源,同时通过119电话报警。值班人员从最近的位置取出灭火器进行灭火,其他人员按照预先确定的路线,迅速从机房中有序撤出。
2、故障或攻击类
判断故障或攻击的来源与性质,断开影响安全与稳定的信息网络设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP或其它网络用户信息,修复被破坏的信息,恢复信息系统。信息处网络中心应对服务器重要信息定时做好备份,提高信息存储安全应急响应能力。并定期检查设备的运转情况,做好设备维护记录,保证设备高效稳定的运行。按照事件发生的性质分别采用以下方案:
(1)、病毒传播:要求所有接入校园网的计算机都要安装正版杀毒软件,并及时升级打系统补丁,确保能够清除病毒。一旦发现有病毒大面积传播应及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围。为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的接入层交换机。
(2)网络入侵:分为外部入侵及内部入侵两种情况。
1)外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵不成功、未造成损害的,且评价威胁很小的外网入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和带来恶劣影响。
2)内部入侵:可通过上网行为管理系统查清入侵来源,如IP地址、MAC地址、使用人、所在办公室等信息,同时断开对应的交换机端口并及时通报相关单位主要负责人。
3)网络入侵应急处理
a.重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日的备份,并将它们保存于安全处。
b.当发现有黑客正在进行攻击时,应立即向信息处网络中心报告。软件遭破坏性攻击(包括严重病毒)时要将系统停止运行。
c.信息处网络中心首先要将被攻击(或病毒感染)的服务器等设备从网络中隔离出来,保护现场,边处置边向信息处负责人报告情况。
d.网络中心负责恢复与重建被攻击或被破坏的系统,恢复系统数据,并及时追查非法信息来源。
e.事态严重的,立即向网络安全领导小组报告,并向公安机关报案。将相关情况汇报陕西省教育厅。
(3)网络故障
信息处网络中心定期检查设备的运转情况,做好设备维护记录,保证设备高效稳定的运行。一旦主服务出现硬件设备故障,应及时检修,以保证网络的正常运行。必要时向设备供应商等寻求技术援助,并优先保证主要应用系统的运转。常见故障如下:
1)数据库发生故障时的应急处理
a.主要数据库系统应定时进行数据库备份。
b.一旦数据库崩溃,应立即进行数据及系统修复。
c.在此情况下无法修复的,应向信息处负责人报告。信息处上报主管领导,由主管领导协调相关业务部门负责人,在征得许可的情况下,可立即向软硬件提供商请求支援。
d.在取得相应技术支援也无法修复的,应向信息处负责人报告。信息处上报主管领导,由主管领导协调相关业务部门负责人,在征得许可并在业务操作可弥补的情况下,利用最近备份的数据进行恢复。
2)设备发生故障时的应急处理
a.服务器等关键设备损坏后,信息处网络中心应立即向信息处负责人报告。
b.网络管理人员应立即查明原因。
c.如果能够自行恢复,应立即用备件替换受损部件。
d.如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。
e.如果设备一时不能修复,应向信息处负责人汇报,并告知相关业务部门,直到故障排除设备恢复正常使用。
3)内部局域网故障中断时的应急处理
a.局域网中断后,网络管理人员应立即判断故障节点,查明故障原因,排出故障。
b.如属线路故障,应重新安装线路。
c.如属路由器、交换机等网络设备故障,应立即使用备用设备更换,并调试通畅。
d.如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调测通畅。
e.如有必要,应向网络安全领导小组汇报。
4)广域网外部线路中断时的应急预案
a.广域网线路中断后,管理员应向信息处负责人报告。
b.网络管理人员应迅速判断故障节点,查明故障原因。
c.如属可即时恢复范围,由网络管理人员立即予以恢复。
d.如属运营商管辖范围,应立即与运营商的维护部门联系,要求尽快修复。
e.如果恢复时间预计超过两小时应立即向网络安全领导小组汇报。
(4)其它没有列出的不确定因素造成的突发事件
可根据总的安全原则,结合具体的情况,做出相应的处理。
1)网站、网页出现非法言论时的应急处理
A.网站、网页由负责网站维护的管理员随时监控信息内容。宣传处负责对学院主站维护、监管,各院部负责对自建网站维护、监管。
b.发现在网上出现非法信息时,网站管理员立即向信息处通报情况,并作好记录。清理非法信息,采取必要的安全防范措施,将网站、网页重新投入使用;情况紧急的,应先及时采取删除等处理措施,再按程序报告。若无法及时清理,应停用网站,直到非法信息清理完成后,方可恢复。
c.网站管理员应妥善保存有关记录、日志或审计记录,将有关情况向安全领导小组汇报,并及时追查非法信息来源。
d.事态严重的,立即向网络安全领导小组报告,并向相关部门进行汇报。
2)外部电中断后的应急处理
a.外部电中断后,值班人员立即向网络中心主任、网络管理员汇报情况。
b.如因院内线路故障,由网络中心主任报物业中心派遣维修人员迅速恢复。
c.如果是外部的原因,供电局告知需长时间停电,应做如下安排:
预计停电2小时以内,由UPS供电;预计停电2小时,关闭非关键设备,确保各主要服务器、路由器、交换机供电;预计停电超过2小时,所有设备停机。来电后恢复。
五、应急处置后续处理
(一)在进行最初的应急处置以后,应及时采取行动,抑制安全事件影响的进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。在发生网络故障时,优先保证要害部门的网络畅通。
(二)在事件被抑制之后,通过对有关事件或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。
(三)在确保安全事件解决后,要及时清理系统、恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。
(四)记录和上报
网络发生故障时,应及时向信息处网络中心报告,由网络中心及时处理。重大网络与信息安全事件发生时,应及时向信息处及网络安全领导小组汇报。并在事件处置工作中作好完整的过程记录,及时报告处置工作进展情况,保存各相关系统日志,直至处置工作结束。
(五)结束响应
系统恢复运行后,信息处对事件造成的损失、事件处理流程和应急预案进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告,同时确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料;根据情况上报公安部门及陕西省教育厅。
六、保障措施
(一)数据保障。
重要信息系统均应建立备份系统和相关工作机制,保证重要数据在受到破坏后,可紧急恢复。
(二)应急队伍保障。
按照一专多能的要求建立网络安全应急保障队伍。
(三)联系电话
网络中心:北校区81480049南校区84968624
宣传处:81480012 81480013
信息处:81480046
省教育厅:88668906 88668904(传真) 尚卫锋
七、本预案由信息处制定。
八、本预案由信息处网络中心负责解释与实施。
信息处
二〇一四年十月二十日