學(xué)院網(wǎng)絡(luò)安全事件應(yīng)急處理預(yù)案

學(xué)院網(wǎng)絡(luò)安全事件應(yīng)急處理預(yù)案第一章總則第一條編制目的根據(jù)《網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，為加強(qiáng)我校網(wǎng)絡(luò)信息安全，提高各單位和個(gè)人的網(wǎng)絡(luò)安全防范意識(shí)，規(guī)范對網(wǎng)絡(luò)安全漏洞的處理，提高我校處置網(wǎng)絡(luò)與信息安全突發(fā)公共事件的能力，形成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機(jī)制，確保重要計(jì)算機(jī)信息系統(tǒng)的實(shí)體安全、運(yùn)行安全和數(shù)據(jù)安全，最大限度地減輕網(wǎng)絡(luò)安全事件造成的危害，維護(hù)學(xué)校正常的教學(xué)、科研和管理秩序，促進(jìn)網(wǎng)絡(luò)與信息安全建設(shè)，特制訂本預(yù)案。第二條編制依據(jù)根據(jù)《突發(fā)事件應(yīng)對法》《網(wǎng)絡(luò)安全法》《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《突發(fā)事件應(yīng)急預(yù)案管理辦法》《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》《教育系統(tǒng)網(wǎng)絡(luò)與信息安全類突發(fā)公共事件應(yīng)急預(yù)案》《教育系統(tǒng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》《信息安全事件分類分級指南》(GB/Z20986-2007)《信息技術(shù)安全事件報(bào)告與處理流程》。第三條適用范圍本預(yù)案適用于XX學(xué)院網(wǎng)絡(luò)信息系統(tǒng)、網(wǎng)站上的網(wǎng)絡(luò)安全隱患修復(fù)工作及發(fā)生在XX學(xué)院校園網(wǎng)上的突發(fā)性事件應(yīng)急工作。按照《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》規(guī)定，網(wǎng)絡(luò)安全事件是指由于人為原因、軟硬件缺陷或故障、自然災(zāi)害等，對網(wǎng)絡(luò)和信息系統(tǒng)或者其中的數(shù)據(jù)造成危害，對社會(huì)造成負(fù)面影響的事件，具體分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他事件。有害程序事件分為計(jì)算機(jī)病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其它有害程序事件。如系統(tǒng)感染勒索病毒、網(wǎng)站被上傳Webshell、系統(tǒng)被**或控制等。網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件，網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。如系統(tǒng)遭DDOS攻擊、SQL注入攻擊、嘗試爆破密碼等。信息破壞事件分為信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其它信息破壞事件。如發(fā)現(xiàn)網(wǎng)絡(luò)上存在與系統(tǒng)數(shù)據(jù)高度雷同的數(shù)據(jù)，或發(fā)現(xiàn)業(yè)務(wù)數(shù)據(jù)被篡改。信息內(nèi)容安全事件是指通過網(wǎng)^發(fā)布、傳播法律法規(guī)禁止信息，組織非法串聯(lián)、煽動(dòng)集會(huì)游行或炒作敏感問題并危害**安全、社會(huì)穩(wěn)定和公共利益的事件。如網(wǎng)站被懸掛反動(dòng)標(biāo)識(shí)，或有人在網(wǎng)站互動(dòng)區(qū)發(fā)布非法內(nèi)容等。設(shè)備設(shè)施故障分為軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其它設(shè)備設(shè)施故障。如服務(wù)器硬件故障，機(jī)房供電中斷等災(zāi)害性事件是指由于自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)安全事件。如機(jī)房遭遇地震、火災(zāi)等。其他事件是指不能歸為以上分類的網(wǎng)絡(luò)安全事件。第四條工作原則統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一指揮、整體**學(xué)校網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組同時(shí)也是學(xué)校網(wǎng)絡(luò)安全事件應(yīng)急處置工作組，負(fù)責(zé)我校網(wǎng)絡(luò)安全事件應(yīng)急處置工作，建立健全處置網(wǎng)絡(luò)安全類突發(fā)公共事件的快速反應(yīng)機(jī)制，確保預(yù)警、發(fā)現(xiàn)、報(bào)告、指揮、處置等環(huán)節(jié)的緊密銜接，做到快速反應(yīng)，正確應(yīng)對，果斷處置，防止事態(tài)升級和蔓延擴(kuò)大。同時(shí)成立網(wǎng)絡(luò)安全應(yīng)急處置專家咨詢組，提高應(yīng)急保障能力。學(xué)校網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)和協(xié)調(diào)，督促相關(guān)部門協(xié)同配合、具體實(shí)施，完善應(yīng)急工作體系和機(jī)制，最大限度地避免學(xué)校及師生員工遭受損失。各司其職，明確責(zé)任按照“誰主管誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，建立和完善安全責(zé)任制及聯(lián)動(dòng)工作機(jī)制。根據(jù)部門職能，各司其職，加強(qiáng)學(xué)校學(xué)院間、部門間、學(xué)院與部門間的協(xié)調(diào)與配合，共同履行網(wǎng)絡(luò)安全事件應(yīng)急處置工作的管理職責(zé)。防范為主，加強(qiáng)監(jiān)控堅(jiān)持事件處置和預(yù)防工作相結(jié)合，宣傳普及網(wǎng)絡(luò)安全防范知識(shí)，貫徹預(yù)防為主的思想，樹立常備不懈的觀念，做好應(yīng)對網(wǎng)絡(luò)安全突發(fā)事件的思想準(zhǔn)備、預(yù)案準(zhǔn)備、機(jī)制準(zhǔn)備和工作準(zhǔn)備，從法律、管理、技術(shù)、人才等方面，采取多種措施，提高公共防范意識(shí)以及網(wǎng)絡(luò)安全綜合保障水平。加強(qiáng)對網(wǎng)絡(luò)安全隱患的日常監(jiān)測，發(fā)現(xiàn)和防范重大網(wǎng)絡(luò)安全突發(fā)性事件，及時(shí)采取有效的可控措施，迅速控制事件影響范圍，力爭將損失降到最低程度。加強(qiáng)保障，重在建設(shè)加強(qiáng)技術(shù)儲(chǔ)備，規(guī)范應(yīng)急處置措施與操作流程，定期進(jìn)行預(yù)案演練，確保應(yīng)急預(yù)案切實(shí)有效，實(shí)現(xiàn)網(wǎng)絡(luò)安全事件應(yīng)急處置的快速化、科學(xué)化、規(guī)范化。第二章組織機(jī)構(gòu)和職責(zé)任務(wù)第五條組織機(jī)構(gòu)學(xué)校網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組同時(shí)作為網(wǎng)絡(luò)安全事件應(yīng)急處置工作組網(wǎng)絡(luò)安全應(yīng)急處置咨詢專家組由黨委宣傳部、網(wǎng)絡(luò)安全與信息化中心負(fù)責(zé)組織成立網(wǎng)絡(luò)安全應(yīng)急處置咨詢專家組。第六條工作職責(zé)工作組主要職責(zé)（1）統(tǒng)一指揮學(xué)校網(wǎng)絡(luò)安全事件的預(yù)防和處置。（2）組織網(wǎng)絡(luò)安全事件預(yù)警演練和培訓(xùn)。指導(dǎo)學(xué)校各個(gè)二級部門建立預(yù)警監(jiān)控和防控機(jī)制，并定期檢查信息安全工作。（3）收集和統(tǒng)計(jì)網(wǎng)絡(luò)系統(tǒng)安全漏洞信息，適時(shí)向上級部門匯報(bào)。（4）指導(dǎo)有關(guān)單位及部門處置突發(fā)性網(wǎng)絡(luò)安全事件，協(xié)助有關(guān)部門采取有效措施妥善處置、消除漏洞。（5）研究確定網(wǎng)絡(luò)安全事件性質(zhì)、類型和級別，下達(dá)應(yīng)急處置任務(wù)。（6）督查事發(fā)單位或相關(guān)部門開展應(yīng)急處置和善后恢復(fù)工作。（7）組織評估重大網(wǎng)絡(luò)安全事件所產(chǎn)生的損失與相關(guān)的處置情況。專家組的主要職責(zé)：（1）在出現(xiàn)重大網(wǎng)絡(luò)安全事件時(shí)提供處置指導(dǎo)意見。（2）在處置完重大網(wǎng)絡(luò)安全事件后對事件的后果與損失、事件處置情況進(jìn)行評估指導(dǎo)。（3）對所提出的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)、系統(tǒng)、具體方案、建議等進(jìn)行評估，并提出推廣建議。在網(wǎng)絡(luò)安全應(yīng)急處置演練中對演練預(yù)案提出指導(dǎo)意見，對演練結(jié)果提出評價(jià)意見。在網(wǎng)絡(luò)安全應(yīng)急處置人員培訓(xùn)方面發(fā)揮作用。第三章網(wǎng)絡(luò)安全事件處置方法第七條事件監(jiān)測與預(yù)警學(xué)校網(wǎng)絡(luò)安全事件應(yīng)急處置工作組要預(yù)先建設(shè)網(wǎng)絡(luò)安全事件預(yù)警預(yù)報(bào)體系，開展事件調(diào)查，編制事件防治規(guī)劃，建設(shè)專業(yè)監(jiān)測網(wǎng)絡(luò)，及時(shí)處理網(wǎng)絡(luò)安全事件。網(wǎng)絡(luò)安全與信息化中心要充分發(fā)揮專業(yè)監(jiān)測的作用，進(jìn)行定期和不定期的檢查，加強(qiáng)對網(wǎng)絡(luò)重點(diǎn)部位的監(jiān)測和防范，必要時(shí)發(fā)布網(wǎng)絡(luò)安全預(yù)警信息。按照緊急程度、發(fā)展態(tài)勢和可能造成的危害程度，教育系統(tǒng)網(wǎng)絡(luò)安全事件預(yù)警等級分為四級：由高到低依次用紅色、橙色、黃色和藍(lán)色表示，分別對應(yīng)發(fā)生或可能發(fā)生的特別重大、重大、較大和一般網(wǎng)絡(luò)安全事件。事件預(yù)警研判和發(fā)布參照《教育系統(tǒng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》執(zhí)行，學(xué)校按照預(yù)案做好預(yù)警響應(yīng)工作。第八條處置流程發(fā)現(xiàn)情況學(xué)校二級學(xué)院及其他部門嚴(yán)格執(zhí)行值班制度，做好校園網(wǎng)絡(luò)信息系統(tǒng)安全的日常巡查及其日志保存工作。確保如果有網(wǎng)絡(luò)安全事故發(fā)生，第一時(shí)間發(fā)現(xiàn)并向?qū)W校網(wǎng)絡(luò)安全事件應(yīng)急處置工作組匯報(bào)。事件定級：網(wǎng)絡(luò)安全與信息化中心和相關(guān)部門在網(wǎng)絡(luò)安全事件發(fā)生后，立即切斷問題設(shè)備與其它設(shè)備的網(wǎng)絡(luò)連接并組織工作人員盡最大可能收集事件相關(guān)信息，鑒別事件性質(zhì)，確定事件來源，弄清事件范圍，評估事件帶來的影響和損害，確認(rèn)事件的類別和等級。網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)分為I級、II級、III級、W級等四級，分別對應(yīng)教育系統(tǒng)特別重大、重大、較大和一般網(wǎng)絡(luò)安全事件。I級為最高響應(yīng)級別。應(yīng)急響應(yīng)啟動(dòng)應(yīng)急處置預(yù)案，根據(jù)事件等級采取相應(yīng)的響應(yīng)方式：I級立即上報(bào)教育網(wǎng)絡(luò)安全和信息化小組辦公室，按照教育部網(wǎng)絡(luò)安全應(yīng)急辦、省網(wǎng)絡(luò)安全應(yīng)急辦的統(tǒng)一部署開展應(yīng)急處置工作。全面掌握學(xué)院各級各類網(wǎng)絡(luò)和信息系統(tǒng)受事件影響的程度，迅速控制事態(tài)防止蔓延，并隨時(shí)向上級網(wǎng)絡(luò)安全應(yīng)急辦上報(bào)事態(tài)發(fā)展變化情況和處置進(jìn)展情況。II級立即啟動(dòng)立即上報(bào)教育廳網(wǎng)信辦，在工作組的統(tǒng)一領(lǐng)導(dǎo)、指揮、協(xié)調(diào)下組織人員開展應(yīng)急處置。在啟動(dòng)應(yīng)急處理預(yù)案的同時(shí)，全面做好事件調(diào)查、跟蹤及事態(tài)控制。III級立即啟動(dòng)III級響應(yīng)，做好應(yīng)急處置工作。同時(shí)，及時(shí)填寫《教育系統(tǒng)網(wǎng)絡(luò)安全事件情況報(bào)告》，逐級上報(bào)省教育廳網(wǎng)信辦。W級立即啟動(dòng)W級響應(yīng)，做好應(yīng)急處置工作。具體處置辦法如下：（1）網(wǎng)絡(luò)出口和核心交換機(jī)遭受損壞的，有關(guān)人員立即到現(xiàn)場查明事故原因并盡快修復(fù)或啟動(dòng)備用設(shè)備和出口，同時(shí)及時(shí)通報(bào)有關(guān)情況。（2）光纜系統(tǒng)受到損壞的，立即組織人員修復(fù)，并視影響范圍大小決定通報(bào)范圍。（3）校園網(wǎng)服務(wù)器被攻占，立即停止該服務(wù)器對外發(fā)布信息，恢復(fù)正常的信息并查找攻擊來源。（4）由于病毒或網(wǎng)絡(luò)攻擊造成網(wǎng)絡(luò)癱瘓的，及時(shí)與上級有關(guān)部門和相關(guān)專業(yè)公司保持聯(lián)系，針對具體情況拿出修復(fù)方案，恢復(fù)正常運(yùn)行。（5）學(xué)校主要信息系統(tǒng)受到損害的，立即將有關(guān)服務(wù)器脫離網(wǎng)絡(luò)，并查找損害原因，根據(jù)不同情況制定恢復(fù)辦法。（6）對發(fā)現(xiàn)利用校園網(wǎng)發(fā)布、傳播法律法規(guī)禁止信息及影響政治穩(wěn)定的有害信息的，會(huì)同黨委宣傳部組織人員實(shí)行24小時(shí)網(wǎng)絡(luò)監(jiān)控，并開通網(wǎng)絡(luò)監(jiān)控電話，發(fā)現(xiàn)學(xué)校范圍內(nèi)的電子公告欄、留言板等交互欄目和網(wǎng)站、網(wǎng)頁、個(gè)人主頁上有發(fā)布、傳播可能影響政治穩(wěn)定的有害信息的，立即予以處置：保存信息證據(jù)，刪除或隱藏相關(guān)信息，以最快速度縮小影響面，并通知相關(guān)管理部門或個(gè)人進(jìn)行處理。情況嚴(yán)重的，立即關(guān)閉上述有關(guān)網(wǎng)絡(luò)欄目或網(wǎng)站、主頁，以待作進(jìn)一步處理。（7）對利用校園網(wǎng)傳播不良信息、泄漏機(jī)密的，一旦發(fā)現(xiàn)，立即保存信息證據(jù)，刪除或隱藏相關(guān)信息，消除影響，并對相關(guān)管理部門或個(gè)人進(jìn)行批評教育，責(zé)令改正；情況嚴(yán)重的，按照有關(guān)網(wǎng)絡(luò)信息管理的規(guī)定進(jìn)行處理，直至追究有關(guān)責(zé)任人的法律責(zé)任。（8）對利用校園網(wǎng)從事非法網(wǎng)上聚集或其他非法活動(dòng)的，本著“誰主管、誰負(fù)責(zé)”的原則，上述情況一經(jīng)出現(xiàn)，立即關(guān)閉相應(yīng)信息應(yīng)用系統(tǒng)或網(wǎng)站，通知相關(guān)單位主要負(fù)責(zé)人，果斷采取強(qiáng)制性措施，進(jìn)行緊急處置，堅(jiān)決予以制止。（9）對利用校園網(wǎng)電子郵件系統(tǒng)和其他途徑發(fā)送危害**安全、宣揚(yáng)**和擾亂社會(huì)秩序的各種謠言的，及時(shí)掌握情況，并立即通過刪除、隱藏、整理等辦法處理信息；通過降低用戶等級、封殺用戶帳號(hào)、批評教育網(wǎng)絡(luò)用戶、隱藏相關(guān)版面乃至按照有關(guān)紀(jì)律處理相關(guān)用戶等，及時(shí)消除可能導(dǎo)致不良后果的信息。發(fā)布預(yù)警網(wǎng)絡(luò)安全事件發(fā)生時(shí)，可根據(jù)事件等級適當(dāng)?shù)匕l(fā)布預(yù)警，特別是一些在其它地方已經(jīng)出現(xiàn)，或在安全相關(guān)網(wǎng)站發(fā)布了預(yù)警而學(xué)校信息網(wǎng)絡(luò)還沒有出現(xiàn)相應(yīng)的網(wǎng)絡(luò)安全事件，除在技術(shù)上進(jìn)行防范以外，還應(yīng)當(dāng)向網(wǎng)絡(luò)信息用戶發(fā)布預(yù)警，直至事件警報(bào)解除。預(yù)案終止I級響應(yīng)終止以教育部網(wǎng)絡(luò)安全應(yīng)急辦或省網(wǎng)絡(luò)安全應(yīng)急辦部署為準(zhǔn)。II級響應(yīng)終止以省教育廳網(wǎng)信辦安排為準(zhǔn)。III級、W級響應(yīng)終止以學(xué)院網(wǎng)絡(luò)安全事件應(yīng)急處置工作組鑒定為準(zhǔn)，并予以公告。后續(xù)處理安全事件應(yīng)急處置后，應(yīng)及時(shí)采取措施，抑制其影響進(jìn)一步擴(kuò)大，限制潛在的損失與破壞，同時(shí)要確保應(yīng)急處置措施對涉及的相關(guān)業(yè)務(wù)影響最小。安全事件被抑制后，通過對有關(guān)事件或行為的分析結(jié)果，找出問題根源，明確相應(yīng)補(bǔ)救措施并徹底清除。安全事件解決后，要及時(shí)清理系統(tǒng)，恢復(fù)數(shù)據(jù)、程序、服務(wù)，恢復(fù)工作應(yīng)避免出現(xiàn)誤操作導(dǎo)致的數(shù)據(jù)丟失。第九條總結(jié)上報(bào)特別重大網(wǎng)絡(luò)安全事件和重大網(wǎng)絡(luò)安全事件的總結(jié)上報(bào)由國家及省一級相關(guān)部門完成。較大網(wǎng)絡(luò)安全事件在系統(tǒng)恢復(fù)運(yùn)行后，由學(xué)校網(wǎng)絡(luò)安全事件應(yīng)急處置工作組對事件造成的損失、事件處理流程等開展調(diào)查及分析評估，總結(jié)經(jīng)驗(yàn)教訓(xùn)，提出處理意見和改進(jìn)措施，填報(bào)《教育系統(tǒng)網(wǎng)絡(luò)安全事件整改報(bào)告》，將調(diào)查評估結(jié)果匯總逐級上報(bào)省教育廳網(wǎng)信辦。一般網(wǎng)絡(luò)安全事件由學(xué)校網(wǎng)絡(luò)安全事件應(yīng)急處置工作組對事件造成的損失、事件處理流程等開展調(diào)查處理和總結(jié)評估。網(wǎng)絡(luò)安全事件的調(diào)查處理和總結(jié)評估工作在應(yīng)急響應(yīng)結(jié)束后5天內(nèi)完成，應(yīng)對事件的起因、性質(zhì)、影響、責(zé)任等進(jìn)行分析評估，提出處理意見和改進(jìn)措施，處理結(jié)果上報(bào)上級主管部門，屬于重大事件或存在非法犯罪行為的，還須第一時(shí)間向公安機(jī)關(guān)報(bào)案。第四章保障措施網(wǎng)絡(luò)安全處置是一項(xiàng)長期的、持續(xù)的、跟蹤式的、深層次的和各階段相互