《网络安全事件应急预案.docx》由会员分享,可在线阅读,更多相关《网络安全事件应急预案.docx(16页珍藏版)》请在课桌文档上搜索。
1、网络安全事件应急预案一、总则(一)编制目的根据教育厅湖南省教育系统网络安全事件应急预案的要求,为预防和减少网络安全事件的发生,控制、减轻和消除网络安全事件引起的危害和造成的损失,规范网络安全事件预防和应对处置能力,维护学院网络安全的稳定(二)编制依据根据中华人民共和国突发事件应对法、中华人民共和国网络安全法、中华人民共和国电信条例等法律法规,国家突发公共事件总体应急预案、国家网络安全事件应急预案、湖南省教育系统网络安全事件应急预案及信息安全技术-信息安全事件分类分级指南(GB/Z209862007)等文件,结合学院实际制定。(三)适应范围本预案适用于长沙环境保护职业技术学院(以下简称学院)的网
2、络安全事件的应对与处置工作。本预案所指网络全事件是指由于自然灾害、设备软硬件故障、人为因素等原因,对网络和信息系统或者其中的数据造成危害,对社会和学院造成造成负面影响的事件。(四)事件分类根据网络安全事件的起因、表现、结果等,主要分为以下6类:1.设备设施故障事件由于计算机及辅助设备、网络设备、通讯设备等自身故障,或者其他原因有意、无意地造成网络、信息系统出现数据破坏、通讯中断等,引起两台计算机以上或网络故障的安全事件;2 .网络攻击事件通过网络或者其它技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷等手段或使用暴力手段对网络、服务器、信息系统实施攻击,并造成网络、服务器、信息系统等异常,
3、或造成潜在危害的安全事件。3 .信息破坏事件通过网络或者其它技术手段,造成信息系统中的信息被篡改、假冒、泄露、窃取等而导致的信息安全事件。4 .灾害性事件由于不可抗力对网络、服务器、信息系统造成物理破坏而导致的安全事件。5 .病毒事件大面积病毒爆发、蠕虫、木马程序、有害移动代码等;6.其它事件以上没有包括的其它信息安全事件(五)事件分级根据可能造成的危害,可能发展蔓延的趋势,将学院网络安全事帮划分为重大网络安全事件,较大网络安全事件和一般网络安全事件。1、重大网络安全事件:学院核心应用系统2个以上(含2个)遭到破坏性攻击而瘫痪。黑客利用信息网络进行有组织、大规模反动宣传和攻击活动,出现大量危害
4、学院教学、管理机密等犯罪行为。其它造成特别严重社会影响或巨大经济损失的网络与信息安全事件。2、较大网络安全事件:(1)面向学院的核心服务崩溃。(2)直属学院的服务器、核心路由器、交换机等关键设备3个以上(含3个)损坏。(3)受到外部潜在的重大网络安全隐患或可能遭受的网络病毒影响。(4)涉及上级单位通报的网络信息安全事件。3、一般网络安全事件:由各系部、处室认定,有可能对本单位造成重大影响,但不会影响本单位以外的学院范围内的网络安全事件。(2)面向学院的非核心服务异常停止。(六)工作原则1.统一指挥,密切协同。学院网络安全与信息化领导小组统筹协调学院的网络安全事件的应急指挥工作,建立与教育厅、环
5、保厅、省委省政府安全职能部门、专业机构、供应商等多方参与的协调联动机制,做到快速响应,正确应对,果断处理。2 .预防为主,常备不懈,超前预想。坚持“安全第一、预防为主”的方针。做好应对各种网络安全事件的预防、预判、预警工作,加强应急支撑保障能力建设,提高种网络安全事件的快速响应和科学处置能力,降低网络安全事件的风险范围,严控网络安全事件的影响范围。3 .提高技术,健全机制。在充分利用现有信息资源、系统和设备的基础上,采用先进适用的预测、预防、预警和应急处置技术,改进和完善网络安全方案,提升网络安全事件处理装备、设施和手段,切实提高应急处理人员的业务素质、安全防护意识,建立健全应对网络安全突发事
6、件的有效机制。二、组织机构与职责(一)组织机构1、长沙环境保护职业技术学院网络安全与信息化领导小组组长:吕文明,副组长:刘益贵组员:各副院长及二级单位负责人。2、工作小组:组长:陈喜红,副组长:杨光祖组员:信息中心全体人员,各二级单位的信息员(二)工作职责领导小组负责全院网络安全事件的应急工作,负责与上级相关部门沟通协调,负责指导学院和各系、部、处、室的网络安全事件的处置。包括:A贯彻落实相关网络安全法规、规定;A研究信息系统重大应急决策和部署;A宣布进入和解除应急状态,决定实施和终止信息系统应急预案;A统一领导重大网络安全事件的应急处置工作;工作小组在领导小组的领导下开展工作,主要职责有执行
7、应急领导小组下达的应急指令和各项任务;掌握应急处理情况,及时报告应急处置过程中的重大问题;监督落实应急预案,协调有关部门和单位;A对网络安全事件的有关信息进行汇总和整理;A组织制定网络安全相关制度、标准、规范和预案,定期组织评估和复核。A在领导小组的指导下,负责重大网络安全事件的应急处置工作,领导并负责较大安全事件的应急处置工作,指导学院各二级单位对一般网络安全事件的处置工作。各二级部门在领导小组的领导下,工要作小组的指导下,配合开展网络安全事件的相关处置工作,主要工作职责有:A积极认真落实应急预案,紧密配合执行各项指令和任务;A及时报告应急处置过程中发现的各类问题;A负责一般网络安全事件的应
8、急处置工作。三、监测与预警(一)预警分级根据湖南省教育系统网络安全事件应急预案的分级标准,学院的的三级中一级对应在省教育厅的一级和二级网络安全事件,学院三级就分别用红色、橙色和黄色表示。(一)安全监测学院网络与信息中心,建立多方协作信息共享机制,通过多种渠道,采用先进技术,及时发现网络安全隐患,包括病毒瘾、木马、漏洞、敏感日期的安全攻击等,将情况及时通知发布到学院各相关单位,并对各应用系统、服务器、网络进行密切监测,一旦发现网络安全事件或威胁,及时处置和通报。(三)预警研判和发布院领导小组对监测信息进行研判,对发生网络安全事件的可能性和危害程度、影响进行分析评估,可能发生网络安全事件,根据事件
9、等级,及时发而预警信息,上报省厅,做好相关防护应急措施和预案。预警信息包括:预警级别、起始时间、影响范围、警示内容、应对措施、技术支持人员和机构、发布机关等。(四)预警响应1、红色预警响应信息中心在院领导小组的领导下,组织预警工作;联系组织相关部门、专业机构和专家,对事态进行进一步分析研判,制订防范和应急措施、方案;A协调各方资源,做好各项应急准备;A实行24小组值班,相关人员保持通讯畅通;A技术部门和技术人员进行待命状态;2、橙色预警响应A信息中心启动应急预案,做好应急准备、风险评估和风险控制工作;A及时通报预警进展情况;及时向领导小组发现的重大问题;A技术部门和技术人员进行待命状态。3、黄
10、色预警响应A,各二级单位做好应急预案和应对措施;A及时向信息中心通报相关情况;(五)预警解除预警发布部门,根据实际情况,及时发布解除信息。四、应急处置(一)发生网络安全事件后,立即启动应急预案,本着尽量减少损失的原则,将应急事件尽快隔离,在不影响正常教学、办公、管理秩序的情况下,保护现场。(二)应急领导小组和工作小组接到网络安全突发事件的应急报告后,根据事件情况,启动网络安全事件应急预案。(三)重大网络事件,根据事件的性质和影响向应急领导小组报告,对需要上级归口管理部门和地方政府有关部门应急支持的事件,由领导小组开展应急协调。(四)根据网络安全事件程度对应的预警响应方式,各级单位、部门开展工作
11、。(五)对应不同的网络安全事件,根据附件一的应急处置规程进行处置。(六)应急结束在同时满足下列条件下,可决定宣布解除应急状态:1 .网络安全事件已得到有效控制,情况趋缓。2 .网络安全事件处理已经结束,设备、系统已经恢复运行。3 .上级发布解除应急响应状态的指令。4 .事件相关单位报告应急处理已经结束,恢复正常秩序。五、后期处置(一)后期观察不同网络安全事件应急处理结束后,需关注、监测一段时间,确认无异常现象。重大网络安全事件:1周;较大网络安全事件:3天;一般网络安全事件:1天。(二)调查与评估1 .网络安全事件应急处理结束后,影响到公众利益和国家安全的事件,按照国家相关部门的要求配合进行事
12、件调查。2 .网络安全事件应急处理结束后,由工作小组组织成立调查组,对事件产生的原因、影响进行调查和评估,对责任进行认定,提出整改建议,形成调查报告,需要上报的及时上报。(三)改进措施1 .网络安全事件应急处理结束后,工作小组或相关单位应组织研究事件发生的原因和特点、分析事件发展过程,总结应急处理过程中的经验和教训,进行应急处置知识积累,进一步补充、完善和修订应急预案。2 .网络安全事件应急处理结束后,工作小组或相关单位应结合网络安全事件过程中的异常和事件,综合分析信息系统中存在的关键点和薄弱点,提出对该类事件的整改措施,制定整改实施方案并予以落实,整改措施和方案报信息中心备案。六、应急保障(
13、一)通信保障:应急期间,指挥、通信联络和信息交换的渠道主要有系统程控电话、手机、传真、电子邮件等方式。有关应急联系的手机应保持24小时开机状态。(二)物资保障:应急物资装备主要有车辆、备品备件、常用工具和常用工具软件。应急行动所需的物资器材应予以充分保障,以确保应急预案落到实处。应坚持对应急行动的设备器材进行定期维护保养,保证完好率达到95%以上,所需的物资应坚持定期补充和更换,始终保持其有效性(三)技术保障:A.基础管理1 .各信息系统应具备详细的基础资料:设备清单、资源分配方案、服务器情况、网络情况、供应商情况、系统情况等。2 .做好计算机设备的检查工作,如电源、防雷、接地、操作系统、应用
14、软件、防病毒、设备台帐等。3 .建立完善的计算机管理网络,对计算机设备的运行状况及时跟踪、维护。4 .信息管理部门应配置相应的网络协议分析、测试工具。5 .各单位、部门负责本单位、部门计算机的安全稳定运行,熟悉相关应用系统的运行状况。B.运行管理1 .加强对系统资源、应用平台运行情况的监视,要做好软、硬件等可能出现的异常情况的预控,发现异常情况要及时汇报。2 .各单位、部门计算机设备的运行工作,出现异常和故障及时向信息中心反映,在故障的排除过程中起监督作用。3 .值班人员应加强对信息网络各系统巡视,记录完整,对异常情况正确判断,及时联系专业技术人员进行故障排除。(四)资金保障:各单位应保障应急
15、培训、演练、添置应急装备物资等所需经费。(五)人员保障:加强网络安全突件应急技术支持队伍的建设,提高人员的业务素质、技术水平和应急处置能力。七、预防工作(一)宣传各部门应加强应急工作的宣传和教育,提高各级人员对应急预案重要性的认识,加强各部门之间的协调与配合。(二)培训1.在网络安全事件应急预案编制完成和修订后,要组织对应急预案涉及的组织、指挥、操作人员进行培训,使有关人员熟练掌握应急处理的程序和应急处理技能。遇有可预见的应急情况,应在事前组织演练,以提高处理应急事件的能力。4 .涉及预案的各级人员应结合本岗位安全职责和应急预案的要求应熟练掌握本单位应急预案中有关报警、应急、处置、观察、评估分
16、析、指挥应急响应的程序等内容。(三)演练1.应急预案在制定、修订后,要组织相应的演练,每年应至少组织一次事故演习。5 .要通过演练验证本单位应急预案和各专项应急预案的合理性,及时修订和完善。6 .在做应急演练前要做好相关准备工作,合理安排、精细组织,确保演练工作的安全。7 .要明确演练目的和要求,记录演练过程,对演练结果进行评估和总结。8 .应根据信息系统的关键点和薄弱点,根据系统和设备的重要程度有针对性地开展演练,演练应突出重点和关键。附件1:网络安全事件应急处置规程一、网站出现非法信息的应急处置规程(一)发现网站出现非法信息时,网站内容管理部门应按规定向院主管领导报告,并立即采取技术手段屏
17、蔽、删除等处理措施,防止信息扩散。(二)网站管理部门追查非法信息来源,确定相关责任人。(三)网站管理部门在查清事件发生原因的基础上,及时总结经验教训,提出强化安全防范的措施,撰写事件调查报告,报信息中心及领导小组。(四)领导小组根据调查报告,决定是否追究相关责任人责任。二、黑客攻击的紧急处置规程(一)发现网页内容被篡改,或通过入侵检测手段等发现有黑客正在对校园网络进行攻击时,应立即向网络和信息安全应急领导小组报告。(二)信息中心首先应将被攻击的服务器等设备从网络中隔离出来,保护现场。(三)恢复或重建被破坏的系统。(四)追查黑客攻击来源。(五)情况严重时,召开网络和信息安全应急领导小组会议,经会
18、议批准,可向公安部门报警。(六)总结经验教训,采取有效的防范措施。三、病毒防治应急处置规程(一)当计算机使用人员发现其计算机被感染上病毒后,若无法清除该病毒,应第一时间将计算机从网络上物理断开。(二)向信息中心报告,信息中心及时确定病毒的性质和危害,对病毒进行查杀。(三)若该病毒已经在局域网内扩散,并严重影响日常办公及网络安全,应立即向领导小组报告。(四)领导小组根据报告,确定具体的处置方式,保证网络畅通和计算机安全。(五)总结经验教训,采取有效的防范措施。四、软件系统异常应急处置规程(一)对发现系统软件和应用软件响应异常的,应立即向信息中心报告。(二)信息中心对系统软件和应用软件进行检查,视
19、情况采取停用、修复、向建设方寻求支持等手段。(三)信息中心检查访问各类日志记录等资料,确认分析异常原因。(四)情况严重的,召开网络和信息安全应急领导小组会议;(五)总结经验教训,采取有效的防范措施。五、广域网外部线路中断应急处置规程(一)广域网线路若中断30分钟以上,应立即向领导小组报告。(二)信息中心应迅速判断故障节点,查明故障原因。(三)如属学院内部管辖范围,由系统管理员立即予以恢复。如遇无法恢复情况,立即向有关厂商请求支援。(四)如属通信部门管辖范围,立即与通信维护部门联系,请求及时修复。(五)总结经验教训,采取有效的防范措施。六、局域网中断应急处置规程(一)局域网中断后,信息中心应判断
20、故障节点,查明故障原因。(二)如属线路故障,应立即抢修线路。(三)如属路由器、交换机等网络设备故障,应立即与设备提供商联系更换设备,并调试畅通。(四)如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试畅通。如遇无法解决的技术问题,立即报告领导小组,向厂方专家支援。(五)总结经验教训,采取有效的防范措施。七、设备故障应急处置规程(一)发现服务器等关键设备损坏后,应立即开展设备故障排查原因,应立即向信息中心负责人报告。(二)如果能够自行恢复,应立即用备件替换受损部件。(三)如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。(四)如果设备一时不能修复,应向领导小组汇报,视
21、情决定是否启动应急预案。(五)总结经验教训,采取有效的防范措施。八、机房着火应急处置规程(一)一旦机房发生火灾,应遵照下列原则:首先保证人员安全;其次保证关键设备和数据安全;三是保证一般设备安全。(二)人员疏散程序:机房值班人员立即按响火警警报,并通过119电话向消防部门请求支援,所有不参与灭火的人员按照预先确定的线路,迅速从机房中撤出。(三)灭火程序:规范化的机房启动气体灭火系统,没有气体灭火系统的机房,首先切断所有电源,取出泡沫灭火器进行灭火。(四)灭火后,迅速组织抢修受损的基础设施,减少损失,尽快恢复正常工作。(五)总结经验教训,采取有效的防范措施。九、电力中断应急处置规程(一)发生电力中断,应立即向领导小组报告。(二)属内部电力线路故障的,后勤服务处应迅速组织力量恢复电力。(三)属供电局供电故障的,应立即与供电局联系,请供电局迅速恢复供电。(四)如供电局告知需长时间停电,应由UPS供电,视情关闭一些服务器等设备,涉及业务中断的,通知相关业务部门;如区域内全部停电,则关掉所有关键设备,暂停一切业务。(五)电力恢复后,信息中心应重新启动设备,恢复业务运行。
