一、总则
(一)编制目的
建立健全我校网络与信息安全突发事件应急机制,提高网络与信息安全突发事件应急处置能力,确保重要计算机信息系统的实体安全、运行安全和数据安全,维护学校和师生利益,保障学校和师生正常的教学、科研、工作及生活秩序。
(二)编制依据
根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《国家网络与信息安全事件应急预案》《浙江省网络与信息安全应急预案》、《浙江师范大学突发事件总体应急预案》等有关法律、法规及规定,制定本预案。
(三)适用范围
本预案适用于校园网络与信息安全突发事件的应急处置。具体包括:利用校园网络发布有害信息,造成或可能造成危害国家安全、社会稳定、公共利益和学校正常秩序的事件;窃取国家及学校的保密信息,造成或可能造成严重后果的事件;各种破坏校园网络安全运行的事件等。
(四)工作原则与要求
1.防范为主,加强监控。宣传普及网络与信息安全防范知识,树立预防为主的观念,做好应对网络与信息安全突发事件的预案准备,加强对网络与信息安全隐患的日常监测,发现和防范重大网络与信息安全突发性事件,及时采取措施,迅速控制事件影响范围,力争将危害、损失降到最低程度。
2.以人为本,协同作战。把保障公共利益以及师生的合法权益作为首要任务,由校网络与信息安全应急工作组统一领导和协调,督促相关学院、部门(单位)协同配合、具体实施,完善应急工作体系和机制,最大限度地避免学校及师生遭受损失。
3.明确责任,条块结合。按照“谁主管谁负责、谁运营谁负责”以及“条块结合,以条为主”的原则,建立和完善网络与信息安全责任制及联动工作机制。根据部门职能,各司其职,加强学校与学院、部门(单位)等的协调与配合,共同履行应急处置工作的管理职责。
4.加强储备,常备不懈。加强技术储备,规范应急处置措施与操作流程,适时开展预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。
二、事件分级
1.重大网络与信息安全突发事件(Ⅰ级)
校园网络遭受病毒攻击陷入瘫痪48小时;校园网络大面积被攻击、篡改并发布危害国家安全、社会稳定、公共利益和学校正常秩序等有害信息;学校的保密信息被大量窃取;大量用户数据丢失、泄露(影响用户10000人以上)等,事态发展超出学校的控制能力,对学校安全和正常的教学、科研、工作和生活秩序造成重大影响的突发事件。
2.较大网络与信息安全突发事件(Ⅱ级)
校园网络遭受病毒攻击陷入瘫痪24小时;校园网络局部被攻击、篡改并发布危害国家安全、社会稳定、公共利益和学校正常秩序等有害信息;学校的保密信息被部分窃取;较大用户数据丢失、泄露(影响用户5000人以上)等,对学校安全和正常的教学、科研、工作和生活秩序造成较大影响的突发事件。
3.一般网络与信息安全突发事件(Ⅲ级)
重要网络受到一定程序的损害,非重要区域局部网络无法访问互联网1小时以上,造成信息系统少量用户数据丢失、泄露(影响用户500人以下),对学校师生和其他组织的权益有一定的影响,但不危害学校安全和正常的教学、科研、工作和生活秩序的突发事件。
三、组织机构与职责
(一)组织机构
在校领导小组下,成立网络与信息安全突发事件应急工作组(以下简称工作组)。组长由分管校领导担任;副组长由学校办公室、宣传部、保卫处、信息技术中心主要负责人担任;成员由学校各学院、部门(单位)有关负责人组成。
在校党委、行政的统一领导下,工作组随时掌握事态发生、发展的情况,随时汇总、分析、上报情况,确保校园网络的安全,尽快平息事态,恢复正常的教学、科研、工作和生活秩序。
(二)职责
宣传部负责网站管理和网络舆情监控,开展网络与信息安全防范宣传,做好对外新闻联络工作。
保卫处负责对网络违规行为进行查处,根据相关证据及事态影响或破坏程度,对违规者按照相应制度进行惩处。必要时与有关人员深入现场了解情况并开展工作。
信息技术中心负责校园网的软硬件系统管理以及日常的网络监督,做好校园网信息系统安全的日常巡查及其日志保存工作,以保证及时发现并处置突发性事件。
四、应急处置措施
(一)校园网络遭受病毒攻击陷入瘫痪处置办法
1.校园网络上出现遭受黑客攻击或计算机病毒爆发的情况,任何师生都有义务向信息技术中心报告。信息技术中心立即启动应急响应,切断受攻击计算机与网络的连接,停止一切操作、保护现场,并根据事件破坏程度和影响大小决定上报工作组。
2.网络管理人员应立即查找黑客攻击或病毒入侵踪迹,分析入侵方式和原因,组织相关人员对内部网计算机整改,防止黑客用同样的手段再次入侵其他系统。网络管理员检查确定无安全隐患、查杀病毒和排除安全漏洞后,才可将受攻击计算机重新连接网络,或启用备份计算机来恢复应用。
3.网络管理人员做好记录,保护现场,进行日志收集等工作。如果能追查到攻击者的相关信息,可以对其发出警告,必要时可采取进一步的行动乃至法律手段。根据破坏程度,经工作组同意后,上报公安部门。
4.网络管理人员根据攻击行为或病毒爆发性特征,在校园网出口安全设备、行为管理设备、核心交换机、汇聚层交换机上建立相关访问控制条目,关闭相关端口通讯,以阻断病毒传播。
5.被入侵或感染病毒的服务器或计算机应在断网后检查操作系统、应用软件系统的漏洞,查杀病毒和木马,经清理整顿后,修改系统、应用、数据库等管理员的帐号密码后,方可接入网络重新运行。
6.学校主页外网无法访问时,应及时检查防火墙、网络出口链路、域名有效期、域名服务器配置和WEB服务器配置是否正常,及时恢复访问。
(二)校园网络被攻击篡改并发布危害国家安全、社会稳定、公共利益和学校正常秩序等有害信息的处置办法
1.加强对网络信息的日常监控,要及时发现校园网络上发布和传播的危害国家安全、社会稳定、公共利益和学校正常秩序等有害信息内容。
2.本着“谁主管,谁负责”的原则,一旦发现有害信息,应立即予以处置。对有害信息,要保存信息证据,删除或隐藏相关信息,以最快速度缩小影响面,并通知相关管理部门或个人进行处理。要即刻关闭相应网站,立即通过删除、隐藏、整理等办法采取强制性措施进行紧急处置;通过降低用户等级、封杀用户帐号、批评教育网络用户、隐藏相关版面乃至按照有关规定处理相关用户等,及时消除可能导致不良后果的信息。
3.在校园网受到敌对势力的破坏性攻击或上级部门提出明确要求以及其他确有必要的“特殊时期”,实施严格管理制度,直至“特殊时期”结束。
(三)学校保密信息被窃取处理办法
当发生泄密事件时,应及时向上级领导报告,通过删除、隔离等方法及时采取补救措施,避免或减轻损害后果。对泄密事件故意隐匿不报或延误报告时间,影响查处工作正常进行或影响及时补救措施的,要根据其造成的后果,追究其责任及有关领导的责任。
(四)校园主干网络故障处置办法
1.因线路故障导致学校网络出口中断的,应立即联系相应管理机构,确认故障原因和时长,督促其尽快恢复,同时在信息门户上发布通知告知用户。
2.因核心网络设备如交换机、路由器、防火墙等故障导致校园主干网络中断的,应立即联系硬件供货商进行更换或维修,同时启用备用设备,导入最新的备份配置,尽快恢复网络通讯。
3.校内主干光缆因各种原因(如鼠咬、野蛮施工等)毁损的,应立即联系光缆熔接单位进行施工恢复,并视影响范围大小决定通报范围。事后按照损坏程度进行相关索赔。
(五)服务器故障处置办法
服务器故障后应立即与设备管理人员联系报修工作,其中:
1.非关键硬件组件故障的,应先进行数据备份,再更换故障组件,确认无误后重新启动服务器运行服务。
2.关键硬件组件、操作系统、应用系统故障的:如重启无效,应立即联系相关管理人员、软硬件厂商维护人员对服务器及应用系统进行检查,同时,有冷(热)备份服务器的,立即启动备份服务器,否则,应立即申请服务器进行重新部署安装,以最新的备份数据启动应用服务。
3.因软件设计缺陷、设计漏洞等引起的故障,应通知相关软件公司研发部门在期限内查明原因,解决问题。
(六)机房断电处置办法
常规停电,应提前2个工作日通知信息技术中心。突发的断电,应在第一时间通知信息技术中心,并尽快恢复供电。其中:
1.断电两小时以内的,安排人员值班,以确保断电及来电后发电机、UPS及空气开关等正常工作。
2.断电两小时至六小时的,安排人员值班,关闭不重要的应用系统的服务器,以节约UPS电能,确保重要应用不间断运行,并在来电后,启动被关闭的服务器,检查运行情况。
3.断电六小时以上的,相关设备管理人员到机房值守,做好数据备份后,按正确操作顺序,关闭各服务器、SAN存储设备、交换机、路由器、防火墙等网络设备。来电后经确认供电平稳正常后,再依次开机,检查各软硬件设备的运行情况,确保校园网络的通畅。
(七)存储设备故障处置办法
存储设备故障后应立即与设备厂家售后工程师联系,根据故障情况分别进行:相关应用系统管理人员采用异机备份数据先恢复应用系统运行;存储设备对故障组件进行更换,做好数据恢复工作。
(八)校园一卡通系统故障处置办法
1.服务器端出现故障后应立即与设备管理人员联系进行报修工作,同时迅速通知需要应用到校园一卡通系统的各个部门,包括后勤保障部、校医院、图文信息中心、各类机房、保卫处等。
2.关键硬件组件、操作系统、应用系统故障的:如重启无效,应立即联系相关管理人员、软硬件厂商维护人员对服务器及应用系统进行检查,同时,立即启动备份服务器,以最新的备份数据启动应用服务。服务器端运行后,通知需要应用到校园一卡通系统的各个部门,测试各应用端服务运行是否正常。
3.校园一卡通系统发生故障,导致其他应用系统不能正常工作时,如是可短时间暂停服务的,先暂停服务,待系统恢复正常后,再开始服务。
五、预案启动和中止
(一)预案启动
发生Ⅱ级及以上网络与信息安全突发事件后,即启动本应急预案。
(二)预案中止
网络与信息安全突发事件应急处理后,事态得到恢复或得到有效控制,经工作组讨论决定结束应急状态,并上报有关领导和部门。
六、善后处理及调查评估
在应急处置工作结束后,信息技术中心要迅速采取措施,抓紧抢修,维护受损的基础设施,减少损失,尽快恢复正常工作。统计各种数据,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,并迅速组织实施,并将善后处置的有关情况上报上级领导。
信息技术中心将损失情况汇总统计后,根据具体情况制订设施、设备、软件、服务等项目的紧急采购方案上报学校负责采购的责任部门,由学校统一进行紧急采购。
工作组就应急工作体系和工作机制存在的问题,修正和完善应急预案,提高应急处置能力。
本预案信息技术中心负责解释,自发布之日起实施。
附录:网络与信息安全突发事件应急工作流程图
网络与信息安全突发事件应急工作流程图
