为进一步落实学校有关网络安全工作的精神,加强我院网络安全管理,防范网络安全事故的发生,全力确保网络环境安全,维持正常教学与生活秩序,防止和处置网络突发事件,不断提高我院处置实网络安全事故的能力和水平,特制订本应急预案。
一、 制定依据
本应急预案根据《中华人民共和国网络安全法》《数据安全法》《网络安全责任书》《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际互联网管理暂行规定》和坚持“安全第一、预防为主”的原则制定本应急预案。对实验室发生的各类突发网络安全事件做出及时的响应和处理,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害。
二、 应急预案编制和应急管理的工作原则
坚持预防为主,预防和应急相结合;相关处室按职责做好网络安全事件日常预防管理工作,做好网络安全检查、隐患排查、风险评估和容灾备份,及时采取有效措施,减少和避免网络安全事件的发生及危害,提高应对能力。
三、 网络安全事件处置领导机构及工作职责
学院成立实验室网络安全事件应急处置领导小组,负责组织指挥网络安全事件的应急处置工作。组长由行政副院长担任,成员由实验中心主任、院办主任、全体实验室管理人员组成。
坚持“谁运行,谁管理,谁负责”的原则,实行各实验室负责,职责分工到人的管理模式。实验室安全工作领导小组应为网络安全事件应急处置的第一负责人,实验室房间责任人都是网络安全事件处置的责任人。
四、 适用范围
本预案所称突发性事件,是指自然因素或人为活动引发的危害网络设施及信息安全等有关的灾害,实施预警信息等级制度,按照事件可控性、严重程度和影响范围,将网络与信息安全突发事件分为四级:
I级(特别重大)、II级(重大)、III级(较大)、IV级(一般)。具体级别定义如果国家有关法律法规有明确规定的,按国家有关规定执行:
(一)I级(特别重大):造成网络与信息系统发生大规模瘫痪,事态的发展超出区一级相关主管部门的控制能力,对国家安全、社会秩序、公共利益造成特别严重损害的突发事件。
(二)II级(重大):造成网站或其它上一级部门重要网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成严重损害,需要上级政府或公安部门协助,乃至需跨地区协同处置的突发事件。
(三)III级(较大):造成网站网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成一定损害,但只需在本区政府或区信息中心协同处置的突发事件。
(四)IV级(一般):造成网站网络重要网络与信息系统受到一定程度的损坏,但不危害国家安全、社会秩序和公共利益,可由我主管部门处置的突发事件。
五、 监测与预警
(一) 预警监测
信息化建设与管理处组织对本单位建设运行的网络和信息系统开展网络安全监测工作,及时将网络安全隐患报院网络安全事件应急处置领导小组。
(二) 预警研判
院网络安全事件应急处置领导小组组织对监测信息进行研判,认为需要立即采取防范措施的,应当及时处置,对可能发生较大及以上网络安全事件的信息及时向信息化建设与管理处报告。
(三) 预警响应
(1) 红色预警响应
在信息化建设与管理处组织指导下响应国家网络安全应急办公室红色预警,开展应急处置或准备、风险评估和控制工作
(2) 橙色预警响应
响应信息化建设与管理处橙色预警,院应急指挥组实行24小时值班,相关人员保持通信联络畅通。加强网络安全事件监测和事态发展信息搜集工作,组织指导应急处置力量开展应急处置或准备、风险评估和控制工作,重要情况报信息化建设与管理处。
(3) 黄色预警响应
院应急指挥组启动应急预案,组织开展预警响应工作,做好风险评估、应急准备和风险控制工作,及时将事态发展情况报信息化建设与管理处。
(4) 蓝色预警响应
院应急指挥组启动应急预案,组织开展预警响应工作。
六、 应急处置
(一) 事件报告
网络安全事件发生后,应立即启动应急预案,实施处置并及时报送信息。院网络安全事件应急处置领导小组立即组织先期处置,控制事态,消除隐患,同时组织研判,注意保存证据,做好信息通报工作。对于初判为特别重大、重大、较大网络安全事件的,立即报告信息化建设与管理处。
(二) 应急响应
(1) I级响应
由信息化建设与管理处组织实施。
(2) II级响应
1. 院应急指挥组进入应急状态,24小时值班,在信息化建设与管理处的统一领导、指挥、 协调下,负责本部门应急处置工作或支援保障工作。
2. 院应急指挥组进入应急状态,24小时值班,在信息化建设与管理处的统一领导、指挥、 协调下,负责本部门应急处置工作或支援保障工作。
3. 根据事件发生原因,有针对性地采取措施,备份数据、保护设备、排查隐患,恢复受破坏的网络和信息系统正常运行。
4. 协调配合引发的其他突发事件的应急处置。
(3) III级响应
1. 院应急指挥组进入应急状态,按照相关应急预案做好应急处置工作。
2. 及时将事态发展变化情况报信息化建设与管理处。
(4) IV级响应
按相关预案处置实施。
七、 预防工作
(一)应急处置领导小组加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传,开展网络安全基本知识和技能的宣传活动,依法发布有关消息和警报。
(二)配合信息技术处做好网络安全事件日常预防工作,做好网络安全检查、隐患排查、风险评估和容灾备份,健全网络安全信息通报机制,及时采取有效措施,减少和避免网络安全事件的发生和危害,提高应对网络安全事件的能力。
(三)加强对院网内计算机设备的管理,加强对院网络的使用者的网络安全教育。加强对重要网络设备的软件防护以及硬件防护,确保正常的运行软件硬件环境。
(四)加强各类值班值勤,保持通讯畅通,及时掌握院情况,全力维护正常工作秩序。
八、 网络攻击事件应急处理
(一) 网站事故处理预案
(1)网站值守人员及网络管理员一旦发现院网站上出现重大不良信息(或者被黑客攻击修改了网页),立刻关闭网站。
(2)打印不良信息页面留存。
(3)完全隔离出现不良信息的目录,使其不能再被访问。
(4)清查整个网站所有内容,确保没有任何不良信息,重新开通网站服务,并测试网站运行。
(5)修改该目录名,对该目录进行安全性检测,升级安全级别,升级程序,去除不安全隐患,关闭不安全栏目,重新开放该目录的网络连接,并进行测试,正常后,重新修改该目录的上级链接。
(6)全面查对HTTP日志,防火墙网络连接日志,确定该不良信息的源IP地址,如果来自院外,则立刻全面升级此次事件为最高紧急事件,向处置小组副组长汇报,视情节严重程度领导小组可决定是否向信息化建设与管理处及公安机关报告。
(7)从事故发生到处理事件的整个过程,必须保持向应急处置领导小组副组长、组长汇报、报告此次事故的发生情况、发生原因、处理过程。
(二) 网络恶意攻击事故处理预案
(1)出现网络恶意攻击,立刻确定该攻击来自院内还是院外;受攻击的设备有哪些; 影响范围有多大。并迅速推断出此次攻击的最坏结果,判断是否需要紧急切断服务器及外网的网络连接,以保护重要数据及信息。
(2)如果攻击来自院外,立刻从防火墙中查出对方IP地址并过滤,同时对防火墙设置对此类攻击的过滤,并视情况严重程度决定是否报警。
(3)如果攻击来自院内,立刻确定攻击源,关闭该计算机网络连接,并查找分析原因,做出相应处理。
(4)从事故发生到处理事件的整个过程,必须保持向应急处置领导小组副组长、组长汇报、解释此次事故的发生情况、发生原因、处理过程。
九、 本预案由校保卫处会和设备处制定的预案为指导,自发布之日起实施。
新闻传播实验中心
2022年07月15日