41
一、总则
(一)编制目的
为提高中原科技学院应对网络信息安全突发事件的能力,形成快速、高效、有序的网络信息安全应急响应机制,有效预防、及时控制和最大限度地减少各类网络信息安全突发事件造成的损失和影响,确保信息网络和信息系统安全稳定运行,特编制本预案。
(二)编制依据
依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《河南省网络安全事件应急预案(2021 修订版)》《教育系统网络安全事件应急预案》《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986—2007)等相关规定。
(三)工作原则
坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持属地管理,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。
按照统一指挥、分级负责的原则,遵循“谁主管谁负责、谁运行谁负责、谁使用谁负责”的处理方式,实行责任分工制和责任追究制。
条块结合,整合资源。充分利用现有信息安全应急支援服务设施,整合学校信息安全工作力量,完善应急响应服务体系,形成信息安全保障工作合力。
防范为主,加强监控。宣传普及信息安全防范知识,牢固树立“预防为主、常抓不懈”的意识,经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,提高公共防范意识以及网络和信息系统的信息安全综合保障水平。
加强对信息安全隐患的日常监测,发现和防范重大信息安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。
(四)适用范围
本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他事件,信息内容安全事件的预防和处置按照《河南省互联网信息内容管理应急预案》执行。
本预案适用于学校网络和信息系统安全突发事件的应急处置。
二、事件分类分级
(一)事件分类
网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个类别。
1.有害程序事件分为蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
2.网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件
3.信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
4.信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
5.设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
6.灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
7.其他事件是指不能归为以上分类的网络安全事件。
(二)事件分级
按照网络信息安全事件的性质、严重程度、可控性和影响范围,将其分为特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)和一般(Ⅳ级)四级。
1.特别重大网络信息安全事件(Ⅰ级)
符合下列情形之一的,为Ⅰ级网络与信息安全事件:
全网瘫痪;
网站群、一站式服务大厅等核心系统瘫痪;
学校网站出现反动内容;
师生信息大量泄漏并传播;
网络传播涉及学校机密、影响社会形象的言论;
物理机房发生火灾等自然灾害;
信息系统遭攻击至无法提供服务。
2.重大网络信息安全事件(Ⅱ级)
符合下列情形之一的,为Ⅱ级网络与信息安全事件:
单体建筑以下所有用户网络中断时限≤1时;
门户网站服务中断时限≤1小时或网页内容异常时限≤30分钟;
物理机房硬件设施停止工作时限≤1小时;
信息系统遭受攻击、入侵,数据未泄漏。
3.较大网络信息安全事件(Ⅲ级)
符合下列情形之一的,为III级网络与信息安全事件:
某个部门网络中断时限≤2小时;
其他信息系统服务中断时限≤2小时;
物理机房硬件设施停止工作时限≤3小时或设备不正常工作时限≤3小时。
4.一般网络信息安全事件(Ⅳ级)
某个办公室网络中断时限≤3小时;
其他信息系统服务中断时限≤1小时;
物理机房硬件设施停止工作时限≤2小时或设备不正常工作时限≤2小时。
三、组织机构与职责
学校网络安全和信息化领导小组(以下简称领导小组)负责网络与信息安全突发事件和发生突发事件时的应对指挥工作。领导小组组成及分工参照中原科技学院网络安全和信息化领导小组构成。
(一)现场指挥部
发生网络与信息安全突发事件时,领导小组根据事件严重程度、应急处置工作涉及的区域范围,经专家组研判为Ⅰ级网络与信息安全突发事件时,组建现场指挥部。现场指挥部由首席信息官CIO负责现场指挥工作,现代教育技术中心负责人协助开展工作。
(二)指挥机构主要职责
1.贯彻落实《中华人民共和国突发事件应对法》等法律和文件。
2.研究制定网络与信息安全突发事件应急工作的政策措施和指导意见。
3.负责按照国家应急相关部门的部署,开展Ⅰ级网络与信息安全突发事件应急处置工作;按照市应急相关部门的部署,开展Ⅱ级网络与信息安全突发事件应急处置工作;依法指挥、协调各部门做好Ⅲ级、Ⅳ级网络与信息安全突发事件应急处置工作。
4.分析总结中心网络与信息安全突发事件应急工作,制定工作规划和年度工作计划。
5.按照国家、省、市应急相关部门的要求,发布相关预警、预测信息。
6.负责网络应急指挥部所属应急专业技术队伍的建设管理以及应急物资的储备保障等工作。
(三)专家组
成立网络安全与信息化专家组,建立网络与信息安全突发事件应急处置咨询机制,专家组成员由学校进行聘任。
专家组主要职责:对预防发生网络与信息安全突发事件和相关应急处置工作提供咨询与建议;对与预案相关的规章制度的制定和项目建设提供参考意见;对应急工作中存在的问题和不足提出改进建议;参与相关应急培训和教材编审工作。
(四)应急处置专业技术队伍
现代教育技术中心专业技术人员、信息服务安全公司工程师、业务系统运维工程师、信息安全设备厂家工程师组织成立网络与信息安全突发事件应急处置专业技术队伍(以下简称专业技术队伍),作为网络与信息安全突发事件应急处置常设专业技术队伍。专业技术队伍人员根据应急工作的开展情况,每年进行一次评估,适时调整。
四、监测与预警
(一)监测
学校网络与信息系统运行,按照国家和河南省信息安全等级保护工作要求,重点做好风险漏洞隐患排查、监测预警、信息安全事件报送、信息通报等工作。
(二)风险漏洞监测
每年进行风险评估,定期开展重要网络与信息系统检查,了解掌握重要网络与信息系统的风险现状,加强风险管理,提高重要网络与信息系统抗风险能力。
(三)网络与信息安全事件信息接收方式
领导小组通过媒体、网络等途径,面向公众公布网络与信息安全突发事件接收电话、传真、电子邮箱等信息。
(四)预警
领导小组对网络与信息系统的安全事件进行监测预警,组织专家组对预警信息进行研判,对可能发生的网络与信息安全事件,及时处理。
网络安全事件预警等级分为四级,由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。
五、应急响应
(一)一级响应
当发生特别重大网络信息安全事件时立即启用第一级响应,及时处置事件。
1.信息安全保障团队立刻到位,对信息安全事件进行处置,力求将影响控制在最小范围,保障网络和信息系统24小时运行。
2.如果现代教育技术中心无法解决所发生的信息安全事件,应在1小时内向外部技术支撑单位寻求支援,力求将影响控制在最小范围。
3.事后,应在一个工作日内填写《信息安全事件处置报告》。
(二)二级响应
当发生重大网络信息安全事件时立即启用第二级响应,及时处置事件。
1.信息安全保障团队立刻到位,对信息安全事件进行处置,力求将影响控制在最小范围,保障网络和信息系统24小时运行。
2.如果现代教育技术中心无法解决所发生的网络信息安全事件,应在2小时内向外部技术支撑单位寻求支援。力求将影响控制在最小范围。
3.针对信息系统出现的信息安全事件且在1小时内无法完成,则应立即启用备份系统等措施。
4.事后,应在一个工作日内填写《信息安全事件处置报告》。
(三)三级响应
当发生较大网络信息安全事件时立即启用第三级响应,及时处置事件。
1.信息安全保障团队立刻到位,对信息安全事件进行处置,力求将影响控制在最小范围,保障网络和信息系统24小时运行。
2.如果现代教育技术中心无法解决所发生的网络信息安全事件,应在4小时以内向外部技术支撑单位寻求支援,力求将影响控制在最小范围。
3.针对门户网站发生的安全事件且在2小时内无法完成,则应立即启用备份系统,如对应措施无效则采取断网措施。
4.事后,应在一个工作日内填写《信息安全事件处置报告》。
(四)四级响应
当发生一般网络信息安全事件时立即启用第四级响应,及时处置事件。
1.信息安全保障团队立刻到位,对信息安全事件进行处置,力求将影响控制在最小范围,保障网络和信息系统24小时运行。
2.如果现代教育技术中心无法解决所发生的网络信息安全事件,应5小时内向外部技术支撑单位寻求支援,力求将影响控制在最小范围。
3.针对门户网站发生的安全事件在4小时内无法完成,则应立即启用备份系统,如对应措施无效则采取断网措施。
4.事后,应在一个工作日内填写《信息安全事件处置报告》。
(五)响应升级
应急响应过程中,指挥部办公室、现场指挥人员应密切关注突发事件事态发展和响应工作进展情况,根据事态变化和响应效果及专家组建议,适时调整响应级别。超出自身应急处置能力的,应及时报告上一级部门,建议变更响应级别,开展相关处置工作。
(六)应急结束
网络与信息安全突发事件应急处置工作基本完成,次生、衍生灾害和事件危害基本消除,风险得到控制后,终止应急处置工作。
六、后期处置
(一)情况汇报和经验总结
网络与信息安全突发事件应急任务结束后,现代教育技术中心做好事件中网络与信息系统、网络设施损失情况的统计、汇总及任务完成情况的总结汇报,不断改进网络与信息安全突发事件应急管理工作。组织专家成立调查组,对事件发生原因及处置过程进行全面调查,查清事件发生的原因及财产损失状况等,总结经验教训,进行存档。
(二)善后处置
应急处置工作结束后,深入细致地做好善后处置工作,及时处理征用的物资和设备。对参与处置的工作人员以及紧急调集、征用的物资,按照规定给予补助或补偿。
(三)恢复重建
应急处置工作结束后,按照风险评估结果,迅速组织人员制订网络、信息系统的重建和恢复计划,尽快恢复受损网络和信息系统,降低对正常工作业务的影响。
(四)表彰与惩处
领导小组对在网络与信息安全突发事件应急工作中表现突出的单位和个人给予表彰;对保障不力,瞒报、漏报突发事件,给社会利益组织造成严重损失的单位和个人,依法追究行政责任;涉嫌犯罪的,依法移送司法机关处理。
七、应急保障
(一)通信与信息保障
现代教育技术中心负责建立健全应急通信保障工作体系,完善公用通信网络,确保通信畅通。
(二)应急专业技术队伍保障
应急专业技术队伍由中心专业技术人员、信息安全服务工程师、设备厂家安全工程师组成(见附表1)
(三)应急物资保障
中原科技学院配备必要的信息网络硬件、软件、应急救援设备等应急物资。专业技术队伍须储备相应的应急设备、软件。
(四)技术资料保障
应急技术资料,包括网络拓扑结构、重要系统或设备的型号及配置(操作系统及版本号、应用软件及版本号等)、主要设备厂商信息、设备使用人员的详细信息等,建立技术档案并及时更新,以保证与实际系统的一致性。还应根据需要对信息系统进行风险评估,随时掌握信息系统安全状况和存在的风险。
(五)建立健全和完善技术支撑体系
1.建设应急指挥平台
建设网络与信息安全应急指挥平台,实现应急信息快速获取、实时传递、会商研判、科学决策、统一指挥、快速响应、协调处置、统计分析等功能,提高学校应对网络和信息安全突发事件的响应能力。
2.充分发挥容灾备份中心作用
充分发挥备份系统作用,为重要数据备份服务,提升重要信息系统数据安全和抵抗灾难打击的能力。
3.开展网络与信息系统普查
根据应急工作需要,定期开展网络与信息系统普查工作,根据等级保护要求,确定核心业务系统为重点保障对象,对网络设备使用层次进行分级、分类,并根据不同的类别,制定相应的应急处置方案。
4.开展网络与信息安全技术研究
现代教育技术中心定期和安全服务公司工程师进行安全技术交流和研究,制定相关网络与信息系统的应急处置事件库、应急处置方案库,为信息安全应急管理提供技术保障。
八、预防工作
(一)日常管理
现代教育技术中心应做好网络安全事件日常预防工作,根据本预案制定完善相关的应急预案,明确职责分工,落实网络安全等级保护义务,及时更新网络安全和信息化部门人员信息,做好网络安全检查自查,落实各项防护措施,提高应对网络安全事件的能力。
(二)宣传
现代教育技术中心应充分利用网络安全宣传周、网络安全攻防大赛、学术研讨会、安全培训会、应急演练等各种形式,加大对有关法律、法规和政策的宣传力度,深入宣传《网络安全法》《数据安全法》《密码法》《个人信息保护法》,普及网络安全预防、预警、救助和减灾等基本知识,提高各级教育行政部门、各级各类学校的安全防护意识和应急处置能力。
(三)培训
现代教育技术中心应定期组织网络安全培训,将网络安全事件的应急知识列为领导干部和有关人员的培训内容,加强网络安全特别是网络安全事件应急预案的学习,提高网络安全管理和技术人员的防范意识及安全技能。
(四)演练
现代教育技术中心每年组织一次针对重大网络安全事件的应急演练,模拟处置影响较大的网络与信息安全突发事件,检验和完善应急预案,提高应急水平,锻炼应急队伍,完善应急机制。通过演练,及时发现和改进应急体系和工作机制存在的问题,完善应急预案,提高应急处置能力。
(五)应急演练主要开展以下工作
领导小组确定应急响应演练的目标和范围,主要开展信息系统的应急演练;按领导小组要求,成立应急演练小组,制订应急演练方案;领导小组调配应急演练所需的各项资源,负责组织应急演练,对应急演练进行评估,并通报应急演练结果,总结经验,分析应急预案的科学性和合理性,针对预案中的问题进行修订完善。
(六)重要时期的预防措施
在国家和我省重大活动、重要会议、招生录取期间,现代教育技术中心要加强网络安全事件的防范和应急响应,加强网络安全监测和分析研判,及时预警可能造成重大影响的风险和隐患,重点岗位保持 24 小时值班,制定专门的应急预案,及时发现和处置网络安全事件和隐患。
九、处理流程
(一)预案体系
本预案是《事件处置预案》的专项预案,本预案指导学校网络与信息安全突发事件应急处置工作。
(二)典型安全事件分类
安全事件一般分为两种情况:第一种是病毒与蠕虫事件;第二种是黑客攻击事件。
(三)隔离系统
迅速将受到病毒感染的系统和网络中的其他系统隔离开,如果怀疑是蠕虫事件,则应断开其网络与外网的连接。
网络隔离是防止蠕虫扩散的一种方法,但由于网络管理员可能需要到相应网站下载杀毒软件升级包或者专杀工具,因此与外网隔离后网络管理员可通过其它途径连接外网,获取相关杀毒软件升级包或者专杀工具。
不要将系统断电,不要重新引导系统,有些病毒会在系统重启时破坏磁盘中的数据,同时也可能破坏有用的信息或者消除一些证据。
(四)识别问题
尽量找出病毒或者蠕虫文件和进程并将其隔离。在删除文件和杀掉进程之前,先做一个系统快照并妥善保存。
如果找到了病毒或蠕虫代码,将其移到安全的地方或者用光盘将其保存,然后删除中毒的文件。列出所有活动的网络连接,在技术人员的帮助下对系统做快照。
在被感染的系统上运行主机系统检查工具以检查其他可能发生的问题,如系统文件被改动,出现了新的特殊程序或者隐藏了一些特殊文件。注意检查软件的清洁,必要时从原始介质重新安装检查工具。
如果中心信息系统存在类似事件的处理历史,可以参考以前的处理方法,并记录所有的行为。
(五)消除病毒或蠕虫
关闭所有可疑的进程,删除所有怀疑中毒的文件或病毒文件,对于蠕虫事件,只有所有系统都处理完毕并采取了防护措施后才能重新恢复与外网的连接。
(六)加固系统
加固系统或者升级杀毒软件使系统免受进一步的破坏,在采用这些措施之前,有必要对系统的损坏程度进行评估,并对恶意代码进行分析。
一旦系统恢复到安全状态,任何的修复措施和升级包都应先做试验,证明安全后才能采用,并记录所有的行为。
(七)恢复到日常状态
恢复后,通知用户。最好要求所有用户都改变口令,在恢复和外部的连接之前,确定所有受到影响的地方都成功地恢复到正常状态,同时记录所有工作活动。
网络信息科对安全解决过程文档归档。
(八)备份审计信息
通过系统日志文件和活动的网络连接来识别入侵者的来源,备份所有审计信息,如:系统日志文件,root 的history文件,utmp 和wtmp文件,并妥善保存这些文件。列出进程状态信息,并将其存在文件中妥善保存。
(九)识别攻击源
如果能够找到攻击的来源,尽量找出攻击的发起者。如果找到攻击者,应把相关信息通知相关领导或者郑州市公安局网安大队,并根据要求进行处理。同时记录所有工作活动。
如果不能找到攻击者,阻断该次攻击,同时记录所有工作活动。
(十)事后处理
在调查之后,相关人员对此次事件写一份报告,针对事件和采取的行为进行描述,并执行事后分析,填写《安全故障处理报告》。
(十一)系统快照
获取所有进程的状态信息并将其存在一个文件里,安全存放文件。
所有可疑的文件都应先转移到安全的地方或在光盘里存档,然后将其删除。
列出所有活动的网络连接,获得系统的快照,记录所有的行为。
(十二)驱逐黑客
杀掉所有活动的黑客进程,并删除黑客在系统中留下的文件和程序。改变所有黑客访问过的帐户的口令,删除黑客自己开的帐号。
如果能够找到攻击的来源,尽量找出攻击的发起者。如果找到攻击者,应该把相关信息通知相关领导或者郑州市公安局网安大队,并根据要求进行处理。同时记录所有工作活动。
(十三)恢复系统
将系统恢复到日常运行状态,恢复被黑客修改的数据和文件;安装系统patch,修补系统漏洞,通知相应的人员;此次事件所有恢复系统的行为都应该记录在案。
(十四)事后分析
在进行调查之后,相关人员提交一份对事件全过程的总结报告,并填写《安全故障处理报告》。
(十五)门户网站安全应急处理流程
网站、网页由信息系统科随时密切监视信息内容,以及密切监视网页防篡改系统的报警信息,处理步骤:
1.发现网页出现非法信息时,应立即向现代教育技术中心负责人通报情况;情况紧急的应先采取停止网站的对外服务(可通过拔服务器网线、在防火墙上配置阻断any访问公众服务系统的IP地址或者远程桌面连接公众服务系统的服务器进行禁用网卡操作)等处理措施,再按程序报告。
2.信息安全应急小组具体负责的技术人员应在接到通知后30分钟内赶到现场,做好必要的记录,清理非法信息,强化安全防范措施,并将网站页面重新投入使用。
3.网站维护人员应妥善保存有关记录及日志审计记录。
4.网站维护工作人员应立即追查非法信息来源,分析页面被非法篡改的原因。
5.信息安全应急小组会商后,将有关情况向安全领导小组领导汇报有关情况。
6.安全领导小组召开安全领导小组会议,如认为情况严重,应及时向有关上级机关和公安部门报警。
7.在查明网站页面被非法篡改的原因后,针对存在的问题进行整改。
(十六)网站暗链、网站挂马情况处理步骤
1.门户网站由信息系统科系统管理员定期进行网站暗链、网站挂马检查。
2.发现网站暗链或者网站挂马时,管理员应立即向网络信息科通报情况;情况紧急的应先采取停止网站的对外服务(可通过拔服务器网线、在防火墙上配置阻断any访问公众服务系统的IP地址或者远程桌面连接公众服务系统的服务器进行禁用网卡操作)等处理措施,再按程序报告。
3.信息安全应急小组具体负责的技术人员应在接到通知后一个小时内赶到现场,做好必要的记录,首先对网站暗链或者网站挂马的源文件进行保存以便于后续取证,其次清理非法信息,分析此安全事件的原因,强化安全防范措施,并将网站重新投入使用。
4.网站维护人员应及时导出并保存网站服务器、数据库、中间件等相关设备的日志审计信息和记录。
5.网络管理人员应及时导出并保存相关网络和安全设备的日志审计信息和记录。
6.应急小组人员应立即追查非法信息来源,分析出现网站暗链或者网站挂马的原因。
7.信息安全应急小组会商后,将有关情况向安全领导小组领导汇报有关情况。
8.安全领导小组召开安全领导小组会议,如认为情况严重,应及时向有关上级机关和公安部门报警。
9.在查明网站暗链或者网站挂马的原因后,针对存在的问题进行整改。
(十七)黑客攻击应急的处理步骤
1.当系统管理员或者相关人员发现网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向安全管理员通报情况。
2.安全管理员应在30分钟内赶到现场,并首先将被攻击的服务器等设备从网络中隔离出来,保护现场,同时向信息安全领导小组汇报情况。
3.安全管理员和公众服务系统管理员负责被破坏系统的恢复与重建工作。
4.安全管理员协同有关部门追查非法信息来源。
5.安全领导小组召开安全领导小组会议,如认为情况严重,应及时向有关上级机关和公安部门报警。
(十八)系统崩溃/数据丢失处理步骤
1.当系统管理员或者相关人员发现业务系统的服务器崩溃或者数据库损坏时,应立即向现代教育技术中心负责人通报情况。
2.现代教育技术中心协调应急支撑小组成员进行安全应急。
3.应用系统工程师需要确认设备的服务器目前运行是否正常,系统能否正常提供服务。
4.系统管理员需要确认系统的系统级备份(GHOST)和数据库备份正常可用,能够用于快速恢复。
5.安全服务厂商工程师负责查看相关的防火墙日志、入侵检测日志、网页防篡改日志分析是否是攻击行为导致。
6.系统管理员通过系统级备份/数据库备份快速的对崩溃的系统/数据库进行恢复。
7.安全服务厂商工程师确认恢复后的系统/数据库是否有最新补丁或者安全配置没有更新,并进行更新。
8.信息安全应急小组会商后,将有关情况向安全领导小组领导汇报有关情况。
十、附则
(一)预案制定、发布及解释
本预案由现代教育技术中心负责制定、发布及解释。
(二)预案审批
本预案由现代教育技术中心初审,经领导小组审定。
(三)预案修订
有下列情形之一的,应当及时修订应急预案:
1.有关法律、行政法规、规章、标准、上位预案中的有关规定发生变化的;
2.应急指挥机构及其职责发生重大调整的;
3.面临的风险发生重大变化的;
4.重要应急资源发生重大变化的;
5.预案中的其他重要信息发生变化的;
6.在突发事件实际应对和应急演练中发现问题需要作出重大调整的;
7.相关单位名称或职能发生变化的;
8.应急预案制定单位认为应当修订的其他情况。
(四)预案实施
本预案自发布之日起正式实施。
