大连艺术学院校园网络应急处置工作预案
第一章 总 则
第一条 编制目的
为了提高学院应对网络与信息突发安全事件能力,保障基础信息网络和重要信息系统安全运行,创造良好的校园网络运行环境,预防、制止以及及时、果断处置网上重大事件,减少危害,消除影响,确保校园网络的安全运行,最大限度地遏制有害信息在校园网上传播,特制定本预案。
第二条 编制依据
依据《中华人民共和国国家安全法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理条例》《国家突发公共事件总体应急预案》等文件精神,制定大连艺术学院校园网络应急处理工作预案。
第三条 适用范围
校园网络与信息安全的突发事件主要有:
1、攻击事件:指校园网络与信息系统因病毒感染、非法入侵等造成学校网站或部门二级网站主页被恶意篡改,应用服务器与相关应用系统被非法入侵,应用服务器上的数据被非法拷贝、篡改、删除,由此导致的业务中断、系统宕机、网络瘫痪等情况。
2、故障事件:指校园网络与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。
3、灾害事件:指因爆炸、火灾、雷击、地震、台风等外力因素导致网络与信息系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。
第二章 应急组织机构
第四条大连艺术学院网络安全与信息化建设委员会统一领导全校网络与信息灾害应急工作,全面负责学校信息网络可能出现的各种突发事件处置工作,协调解决灾害处置工作中的重大问题等。
第三章 应急处置流程
第五条 启动应急预案
在发生校园网络与信息安全事件后,应尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围和评估事件带来的影响和损害,确认为校园网络与信息安全事件后,对事件进行处置和上报。
第六条 应急处理
当发生校园网络与信息安全事件后,首先要区分自然灾害事件和故障和攻击事件两种情况。
当发生自然灾害事件时,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后设备安全。具体的方法可以有:硬盘的拔出与保存,设备的断电与拆卸、搬迁。
当发生故障和攻击事件时,具体可以按以下顺序进行。判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的IP或其它网络用户信息,修复被破坏的信息,恢复信息系统,必要时与技术支持厂商联系。
具体按照灾害发生的性质分别采用如下方案:
1、病毒传播:针对这种现象,要及时断开传播源,判断病毒的性质、采用的端口,然后关闭相应的端口,在网上公布病毒攻击信息以及防御方法。
2、入侵:对于网络入侵,首先要判断入侵的来源,区分外网与内网。外网的,定位入侵的IP地址,及时关闭入侵的端口,限制入侵地IP地址的防问,在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的,查清入侵来源,如IP地址、上网账号等信息,同时断开其网络连接,经检查已经清除黑客软件、补全系统漏洞后,将其重新接入网络。
3、信息被篡改:一经发现应该立即停止网站服务并恢复正确内容。检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放网站服务;同时向信息安全负责人通报情况。具体处理步骤:首先,将出现网页被篡改的页面抓屏,保存所抓取的屏幕信息。其次,打印屏幕信息后修复网页内容、删除网站上的非法言论。再次,网页修复后,对网站全部内容进行一次查看,确保没有被篡改的或非法的言论后解除站点服务器的隔离。最后,会同相关部门共同追查非法篡改、非法言论来源,尽可能确定信息发布者。
4、网络故障:判断故障发生点和故障原因,能够迅速解决的尽快排除故障;必要时向技术支持厂商请求技术援助,并优先保证主要应用系统的运转。
5、其它没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体的情况,做出相应的处理。不能处理的可以请示相关的专业人员。
第七条 后续处理
1、安全事件进行最初的应急处置以后,应及时采取行动,抑制其影响的进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。
2、安全事件被抑制之后,通过对有关事件或行为的分析结果,找出其根源,明确相应的补救措施并彻底清除。
3、在确保安全事件解决后,要及时清理系统、恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。
第八条 详细备案
应在网络与信息安全事件处置工作中作好完整的过程记录,保存各相关系统日志,直至处置工作结束。系统恢复运行后,网络信息处对事件造成的损失、事件处理流程和应急预案进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告。
第九条 记录上报
网络与信息安全事件发生时,应及时向校大连艺术学院网络安全与信息化建设委员会汇报,并在处置工作结束后上报相关材料,属于重大事件或存在非法犯罪行为的,第一时间向公安机关网络监察部门报案。
第四章 应急防护保障
校园网络与信息安全应急处置是一项长期的、持续的、跟踪式的、发展变化的工作,是有组织的科学与社会行为,必须做好各项应急保障工作。
第十条 队伍保障
重视信息安全队伍的建设,并不断提高工作人员的信息安全防范意识和技术水平,确保安全事件应急处置过程和重建工作中技术人员的在岗与防护能力。
第十一条 技术保障
重视网络信息系统的建设和升级换代,重视网络安全整体方案的不断完善,加强技术管理,确保网络信息系统的稳定与安全,聘请信息安全顾问为应急处置过程和重建工作提供咨询和技术支持。
第十二条 资金保障
网络信息处应根据校园网络与信息系统安全预防和应急处置工作的实际需要,提出本年度应急处置工作相关设备和工具软件所需经费,并上报财务处纳入年度财政预算,给予资金保障。
第十三条 安全培训
加强教职工的计算机操作、信息技能、网络和信息安全等相关知识的宣传普及,增强用户的防灾意识和自救互救能力。有针对性地开展应急抢险救灾演练,确保发灾后应急救助手段及时到位和有效。
二О二三年七月