湖南大學(xué)信息系統(tǒng)安全事件管理制度

1、湖南大學(xué)信息系統(tǒng)安全事件管理制度第一章總則第一條為加強(qiáng)學(xué)校內(nèi)部管理，規(guī)范信息安全事件處理流程，提高安全事件發(fā)生時的應(yīng)變能力，做到快速反應(yīng)，正確應(yīng)對，最大程度地降低安全事件帶來的負(fù)面影響，確保信息系統(tǒng)業(yè)務(wù)正常、穩(wěn)定開展，特制定本制度。第二條本制度適用對象為信息安全事件處置過程，包括事件分類、分級、報(bào)告以及處置流程等，管理對象為湖南大學(xué)相關(guān)各部門。第二章組織職責(zé)第三條信息化辦是主要安全事件受理、解決部門，負(fù)責(zé)受理信息安全事件，協(xié)調(diào)組織安全事件解決方案或措施，并反饋處理結(jié)果；安全管理員是安全事件具體受理人員，并協(xié)調(diào)組織相關(guān)人員處理安全事件。第四條湖南大學(xué)相關(guān)部門應(yīng)配合信息化辦做好安全事件的解決，如發(fā)

2、現(xiàn)安全事件，由各部門安全聯(lián)絡(luò)員及時上報(bào)信息化辦。第三章事件分類第五條信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件等7個基本分類。(一)有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的信息安全事件。有害程序是指插入到信息系統(tǒng)中的一段程序，有害程序危害系統(tǒng)中數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)的保密性、完整性或可用性，或影響信息系統(tǒng)的正常運(yùn)行；包括計(jì)算機(jī)病毒事件、蠕蟲事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件以及其他有害事件。(二)網(wǎng)絡(luò)攻擊事件是指通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用

3、暴力攻擊對信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件。包括拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。(三)信息破壞事件是指通過網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全事件。信息破壞事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其它信息破壞事件。(四)信息內(nèi)容安全事件是指利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內(nèi)容的安全事件。信息內(nèi)容安全事件包括違反憲法和法律、行政法規(guī)的信息安全事件；針對社會事項(xiàng)進(jìn)行討論

4、、評論形成網(wǎng)上敏感的輿論熱點(diǎn)，出現(xiàn)一定規(guī)模炒作的信息安全事件；組織串連、煽動集會游行的信息安全事件；其他信息內(nèi)容安全事件等。(五)設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件，以及人為的使用非技術(shù)手段有意或無意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。設(shè)備設(shè)施故障包括軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故、和其它設(shè)備設(shè)施故障。(六)災(zāi)害性事件是指由于不可抗力對信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。災(zāi)害性事件包括水災(zāi)、臺風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭等導(dǎo)致的信息安全事件。(七)其他事件類別是指不能歸為以上6個基本分類的信息安全事件。第四章事件分

5、級第六條根據(jù)信息安全事件的分級考慮要素，將信息安全事件劃分為四個級別：特別重大事件、重大事件、較大事件和一般事件。第七條特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件，包括以下情況：(一)會使特別重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；(二)產(chǎn)生特別重大的社會影響。第八條重大事件是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件，包括以下情況：(一)會使特別重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；(二)產(chǎn)生的重大的社會影響第九條較大事件是指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件，包括以下情況：(一)會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受嚴(yán)重的系

6、統(tǒng)損失、一般信息信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；(二)產(chǎn)生較大的社會影響。第十條一般事件是指不滿足以上條件的信息安全事件，包括以下情況：(一)會使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失、或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息系統(tǒng)遭受嚴(yán)重或嚴(yán)重以下級別的系統(tǒng)損失；(二)產(chǎn)生一般的社會影響。第五章事件監(jiān)控第十一條各系統(tǒng)管理員、網(wǎng)絡(luò)管理員以及設(shè)備管理員應(yīng)對各自負(fù)責(zé)的系統(tǒng)、網(wǎng)絡(luò)和設(shè)備進(jìn)行日志監(jiān)控，如發(fā)現(xiàn)安全事件及時填寫異?，F(xiàn)象報(bào)告單，并通知安全管理員。第十二條各部門應(yīng)負(fù)責(zé)轄區(qū)內(nèi)的安全事件監(jiān)控，發(fā)現(xiàn)安全事件由各部門安全聯(lián)絡(luò)員及時填寫異?，F(xiàn)象報(bào)告單，并通知信息化辦安全管理員。第十三條發(fā)現(xiàn)系統(tǒng)安全弱點(diǎn)的相

7、關(guān)人員，必須及時上報(bào)，但不得嘗試驗(yàn)證該弱點(diǎn)。第六章事件受理第十四條安全管理員接到異常報(bào)告單后，進(jìn)行判斷是否為安全事件。第十五條如果確認(rèn)為安全事件，則根據(jù)事件類型和分級要求對安全事件進(jìn)行定義并初步填寫信息安全事件報(bào)告單。第十六條對于較大及以上級別安全事件，由安全管理員在一小時內(nèi)上報(bào)給信息化辦負(fù)責(zé)人。第七章事件處置第十七條一般安全事件處置流程(一)一般安全事件統(tǒng)一由安全管理員接口受理，并由相關(guān)系統(tǒng)管理員配合安全管理員對事件進(jìn)行統(tǒng)籌管理和跟蹤。(二)一般安全事件的處理流程由安全管理員負(fù)責(zé)協(xié)調(diào)處理，如涉及到生產(chǎn)環(huán)境系統(tǒng)的變更，按照湖南大學(xué)信息系統(tǒng)變更管理規(guī)定進(jìn)行處理。(三)一般安全事件處理完成后，由安

8、全管理員組織相關(guān)人員對事件進(jìn)行分析完成信息安全事件報(bào)告，并將結(jié)果通知相關(guān)事件發(fā)起人以及相關(guān)系統(tǒng)管理員，并因安全事件產(chǎn)生的各類系統(tǒng)漏洞，應(yīng)明確表示相關(guān)人員不得嘗試驗(yàn)證該漏洞。第十八條較大及以上安全事件處置流程(一)現(xiàn)場保護(hù)：如果信息安全事件與數(shù)據(jù)和程序相關(guān)，則要求對存有數(shù)據(jù)和程序的存儲介質(zhì)進(jìn)行備份，以保護(hù)數(shù)據(jù)和證據(jù)的安全、完整；(二)防止擴(kuò)散：如果發(fā)生信息安全事件設(shè)備或人員會影響系統(tǒng)其它設(shè)備和人員，則應(yīng)立即采取隔離措施，如發(fā)現(xiàn)有設(shè)備感染網(wǎng)絡(luò)病毒，則使設(shè)備從網(wǎng)絡(luò)上斷開。(三)應(yīng)急恢復(fù)處理：1)如果發(fā)生信息安全事件的設(shè)備或人員不工作時會影響到業(yè)務(wù)運(yùn)行，則要求盡快采用應(yīng)急措施，啟動備用資源；2)在應(yīng)急

9、恢復(fù)處理時，必須保證不產(chǎn)生二次損壞或丟失證據(jù)。(四)分析事件原因：1)調(diào)查分析是安全事件處理的核心，其主要目的在于找到發(fā)生安全事件的原因和相關(guān)解決方案；2)如果調(diào)查過程中，發(fā)現(xiàn)安全事件涉及竊取學(xué)校經(jīng)濟(jì)利益或者損害學(xué)校名譽(yù)的行為，安全事件的處理報(bào)告給學(xué)校相關(guān)部門處理；對于觸犯法律法規(guī)的行為，由學(xué)校相關(guān)部門決定是否移交公安部門進(jìn)行調(diào)查處理。(五)制定解決方案：根據(jù)信息安全事件的情況，由信息化辦組織學(xué)校相關(guān)部門討論、制定安全事件的解決方案，必要時聯(lián)系相關(guān)的第三方服務(wù)商協(xié)助處理。(六)實(shí)施解決方案：確定解決方案后，相關(guān)人員進(jìn)行方案實(shí)施，恢復(fù)系統(tǒng)的正常運(yùn)作狀態(tài)包括對遭受安全事件影響的系統(tǒng)進(jìn)行恢復(fù)和安全修

10、復(fù)兩方面的工作，并作必要的技術(shù)處理，以保證不再發(fā)生相同的信息安全事件。(七)實(shí)施檢查：信息化辦應(yīng)組織對事件的處理結(jié)果進(jìn)行驗(yàn)證、回顧，對于處理結(jié)果是否達(dá)到預(yù)期效果進(jìn)行評審，并且對事件的處理過程進(jìn)行記錄，保留相關(guān)文檔。(八)總結(jié)反饋：1)信息化辦應(yīng)定期審閱所有安全事件報(bào)告，分析安全事件并總結(jié)經(jīng)驗(yàn)教訓(xùn)；2)確認(rèn)其它資產(chǎn)是否受到類似的威脅，并采取預(yù)防措施；3)審查安全事件涉及的安全策略、標(biāo)準(zhǔn)和程序，確定是否需要更新相關(guān)的文件；4)對安全事件進(jìn)行總結(jié)，并將總結(jié)反饋給相關(guān)部門；5)從安全事件中汲取的經(jīng)驗(yàn)教訓(xùn)。6)由安全管理員根據(jù)實(shí)際情況完成信息安全事件報(bào)告，并發(fā)送給所有相關(guān)部門或個人。(九)對于重大以及特

11、別重大的事件，由應(yīng)急指揮組組長決定是否啟動相關(guān)應(yīng)急預(yù)案。(十湖南大學(xué)信息系統(tǒng)安全事件管理制度第一章 總則第一條 為加強(qiáng)學(xué)校內(nèi)部管理，規(guī)范信息安全事件處理流程，提高安全事件發(fā)生時的應(yīng)變能力，做到快速反應(yīng)，正確應(yīng)對，最大程度地降低安全事件帶來的負(fù)面影響，確保信息系統(tǒng)業(yè)務(wù)正常、穩(wěn)定開展，特制定本制度。第二條 本制度適用對象為信息安全事件處置過程，包括事件分類、分級、報(bào)告以及處置流程等，管理對象為湖南大學(xué)相關(guān)各部門。第二章 組織職責(zé)第三條 信息化辦是主要安全事件受理、解決部門，負(fù)責(zé)受理信息安全事件，協(xié)調(diào)組織安全事件解決方案或措施，并反饋處理結(jié)果；安全管理員是安全事件具體受理人員，并協(xié)調(diào)組織相關(guān)人員處理

12、安全事件。第四條 湖南大學(xué)相關(guān)部門應(yīng)配合信息化辦做好安全事件的解決，如發(fā)現(xiàn)安全事件，由各部門安全聯(lián)絡(luò)員及時上報(bào)信息化辦。第三章 事件分類第五條 信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件等7個基本分類。(一) 有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的信息安全事件。有害程序是指插入到信息系統(tǒng)中的一段程序，有害程序危害系統(tǒng)中數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)的保密性、完整性或可用性，或影響信息系統(tǒng)的正常運(yùn)行；包括計(jì)算機(jī)病毒事件、蠕蟲事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件以及其他有害事件。(二) 網(wǎng)絡(luò)攻擊

13、事件是指通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件。包括拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。(三) 信息破壞事件是指通過網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全事件。信息破壞事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其它信息破壞事件。(四) 信息內(nèi)容安全事件是指利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內(nèi)容的安全事

14、件。信息內(nèi)容安全事件包括違反憲法和法律、行政法規(guī)的信息安全事件；針對社會事項(xiàng)進(jìn)行討論、評論形成網(wǎng)上敏感的輿論熱點(diǎn)，出現(xiàn)一定規(guī)模炒作的信息安全事件；組織串連、煽動集會游行的信息安全事件；其他信息內(nèi)容安全事件等。(五) 設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件，以及人為的使用非技術(shù)手段有意或無意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。設(shè)備設(shè)施故障包括軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故、和其它設(shè)備設(shè)施故障。(六) 災(zāi)害性事件是指由于不可抗力對信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。災(zāi)害性事件包括水災(zāi)、臺風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭等導(dǎo)致的

15、信息安全事件。(七) 其他事件類別是指不能歸為以上6個基本分類的信息安全事件。第四章 事件分級第六條 根據(jù)信息安全事件的分級考慮要素，將信息安全事件劃分為四個級別：特別重大事件、重大事件、較大事件和一般事件。第七條 特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件，包括以下情況：(一) 會使特別重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；(二) 產(chǎn)生特別重大的社會影響。第八條 重大事件是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件，包括以下情況：(一) 會使特別重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；(二) 產(chǎn)生的重大的社會影響第九條 較大事件是指能夠?qū)е螺^嚴(yán)重影響或

16、破壞的信息安全事件，包括以下情況：(一) 會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、一般信息信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；(二) 產(chǎn)生較大的社會影響。第十條 一般事件是指不滿足以上條件的信息安全事件，包括以下情況：(一) 會使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失、或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息系統(tǒng)遭受嚴(yán)重或嚴(yán)重以下級別的系統(tǒng)損失；(二) 產(chǎn)生一般的社會影響。第五章 事件監(jiān)控第十一條 各系統(tǒng)管理員、網(wǎng)絡(luò)管理員以及設(shè)備管理員應(yīng)對各自負(fù)責(zé)的系統(tǒng)、網(wǎng)絡(luò)和設(shè)備進(jìn)行日志監(jiān)控，如發(fā)現(xiàn)安全事件及時填寫異?，F(xiàn)象報(bào)告單，并通知安全管理員。第十二條 各部門應(yīng)負(fù)責(zé)轄區(qū)內(nèi)

17、的安全事件監(jiān)控，發(fā)現(xiàn)安全事件由各部門安全聯(lián)絡(luò)員及時填寫異?，F(xiàn)象報(bào)告單，并通知信息化辦安全管理員。第十三條 發(fā)現(xiàn)系統(tǒng)安全弱點(diǎn)的相關(guān)人員，必須及時上報(bào)，但不得嘗試驗(yàn)證該弱點(diǎn)。第六章 事件受理第十四條 安全管理員接到異常報(bào)告單后，進(jìn)行判斷是否為安全事件。第十五條 如果確認(rèn)為安全事件，則根據(jù)事件類型和分級要求對安全事件進(jìn)行定義并初步填寫信息安全事件報(bào)告單。第十六條 對于較大及以上級別安全事件，由安全管理員在一小時內(nèi)上報(bào)給信息化辦負(fù)責(zé)人。第七章 事件處置第十七條 一般安全事件處置流程(一) 一般安全事件統(tǒng)一由安全管理員接口受理，并由相關(guān)系統(tǒng)管理員配合安全管理員對事件進(jìn)行統(tǒng)籌管理和跟蹤。(二) 一般安全事

18、件的處理流程由安全管理員負(fù)責(zé)協(xié)調(diào)處理，如涉及到生產(chǎn)環(huán)境系統(tǒng)的變更，按照湖南大學(xué)信息系統(tǒng)變更管理規(guī)定進(jìn)行處理。(三) 一般安全事件處理完成后，由安全管理員組織相關(guān)人員對事件進(jìn)行分析完成信息安全事件報(bào)告，并將結(jié)果通知相關(guān)事件發(fā)起人以及相關(guān)系統(tǒng)管理員，并因安全事件產(chǎn)生的各類系統(tǒng)漏洞，應(yīng)明確表示相關(guān)人員不得嘗試驗(yàn)證該漏洞。第十八條 較大及以上安全事件處置流程(一) 現(xiàn)場保護(hù)：如果信息安全事件與數(shù)據(jù)和程序相關(guān)，則要求對存有數(shù)據(jù)和程序的存儲介質(zhì)進(jìn)行備份，以保護(hù)數(shù)據(jù)和證據(jù)的安全、完整；(二) 防止擴(kuò)散：如果發(fā)生信息安全事件設(shè)備或人員會影響系統(tǒng)其它設(shè)備和人員，則應(yīng)立即采取隔離措施，如發(fā)現(xiàn)有設(shè)備感染網(wǎng)絡(luò)病毒，則

19、使設(shè)備從網(wǎng)絡(luò)上斷開。(三) 應(yīng)急恢復(fù)處理：1) 如果發(fā)生信息安全事件的設(shè)備或人員不工作時會影響到業(yè)務(wù)運(yùn)行，則要求盡快采用應(yīng)急措施，啟動備用資源；2) 在應(yīng)急恢復(fù)處理時，必須保證不產(chǎn)生二次損壞或丟失證據(jù)。(四) 分析事件原因：1) 調(diào)查分析是安全事件處理的核心，其主要目的在于找到發(fā)生安全事件的原因和相關(guān)解決方案；2) 如果調(diào)查過程中，發(fā)現(xiàn)安全事件涉及竊取學(xué)校經(jīng)濟(jì)利益或者損害學(xué)校名譽(yù)的行為，安全事件的處理報(bào)告給學(xué)校相關(guān)部門處理；對于觸犯法律法規(guī)的行為，由學(xué)校相關(guān)部門決定是否移交公安部門進(jìn)行調(diào)查處理。(五) 制定解決方案：根據(jù)信息安全事件的情況，由信息化辦組織學(xué)校相關(guān)部門討論、制定安全事件的解決方案，必要時聯(lián)系相關(guān)的第三方服務(wù)商協(xié)助處理。(六) 實(shí)施解決方案：確定解決方案后，相關(guān)人員進(jìn)行方案實(shí)施，恢復(fù)系統(tǒng)的正常運(yùn)作狀態(tài)包括對遭受安全事件影響的系統(tǒng)進(jìn)行恢復(fù)和安全修復(fù)兩方面的工作，并作必要的技術(shù)處理，以保證不再發(fā)生相同的信息安全事