一、总则
为加强我校网络安全工作,及时掌握和处置各类网络安全事件动态,协调各部门做好应急响应处理,降低安全事件带来的影响与损失,维护正常工作与教学秩序和营造健康的网络环境制定本预案。
根据《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术 信息安全应急响应计划规范》(GB/T 24363-2009)、《信息安全事件分类分级指南》(GB/Z 20986-2007)、《教育系统突发公共事件应急预案》、教育部《信息技术安全事件报告与处理流程(试行)》(以下简称《报告与处理流程》)。
本预案为我校网络安全事件应急预案的总则,具有普适性,适用于中国药科大学校园网与学校级的信息系统,以及各二级单位与职能部门(以下简称“各单位”)建设的网络与信息系统的信息技术突发安全事件处置。各单位应根据自己信息系统的情况,制订更为详细的子预案作为补充。
根据《信息安全事件分类分级指南》(GB/Z 20986-2007)网络安全事件(以下简称“安全事件”或“信息安全事件”)有以下6类:
1.有害程序事件,包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件 7 个子类。
2.网络攻击事件,包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件 7 个子类。
3.信息破坏事件,包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件 6 个子类。
4.设备设施故障,包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障 4 个子类。
5.灾害性事件,包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的安全事件。
6.其他信息安全事件,其他事件类别是指不能归为上述5 个基本分类的非信息内容事件。
参照《信息安全事件分类分级指南》(GB/Z 20986-2007)事件分级方法,将安全事件划分为四个等级: 特别重大事件(Ⅰ级)、重大事件(Ⅱ级)、较大事件(Ⅲ级)和一般事件(Ⅳ级)。根据我校的特点,对四个级别的安全事件定义作了更为详细定义。
1.特别重大事件(Ⅰ级)
特别重大事件是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:
(1)由于重要信息系统服务或重要数据(配置)损毁、丢失、泄露,或遭受系统损失,造成学校整体业务的特别严重混乱或产生特别重大的直接经济损失,或对公众利益造成特别严重损害;
(2)由于核心网络、互联网连接中断对学校整体正常业务造成影响持续时间超过 48 小时;
(3)符合教育部《教育系统突发公共事件应急预案》及校内相关应急预案特别重大事件(Ⅰ级)标准,需要图书与信息中心协同处置的突发事件。
2.重大事件(Ⅱ级)
重大事件是指能够导致严重影响或破坏的网络安全事件,包括以下情况:
(1)由于重要信息系统服务中断或重要数据(配置)损毁、丢失、泄露,或遭受系统损失,造成学校整体业务的严重混乱或产生重大的直接经济损失,或对公众利益造成严重损害;
(2)由于核心网络、互联网连接中断对学校整体正常业务造成影响持续时间超过 24小时,或对单个校区正常业务造成影响持续时间超过 48 小时。
(3)符合教育部《教育系统突发公共事件应急预案》及校内相关应急预案重大事件(Ⅱ级)标准,需要图书与信息中心协同处置的突发事件。
3.较大事件(Ⅲ级)
较大事件是指能够导致较严重影响或破坏的网络安全事件,包括以下情况:
(1)由于重要信息系统服务中断(或性能严重下降)或重要数据(配置)损毁、丢失、泄露,或遭受系统损失,造成学校整体业务的混乱或产生较大直接经济损失,或一般信息信息系统遭受严重(含)以上的损失,对学校的部分业务产生严重影响;
(2)由于核心网络、互联网连接中断(或性能严重下降)对学校整体正常业务造成影响持续时间超过 12小时;或对单个校区的业务造成严重影响,持续时间超过 24 小时;或互联网单条链路中断超过24小时。
(3)符合教育部《教育系统突发公共事件应急预案》及校内相关应急预案较大事件(Ⅲ级)标准,需要图书与信息中心协同处置的突发事件。
4.一般事件(Ⅳ级)
一般事件是指不满足Ⅰ至Ⅲ级事件条件的网络安全事件,包括以下情况:
(1)由于重要信息系统服务中断或重要数据(配置)损毁、丢失、泄露,或遭受系统损失,造成学校整体业务的短暂影响或产生轻微直接经济损失;或一般信息系统遭受一般的损失,对学校的部分业务产生一定影响;
(2)由于核心网络、互联网连接中断对学校整体正常业务造成影响持续时间超过6小时不足 12小时,或对单个校区的业务造成严重影响,持续时间超过24小时不足 48 小时;或互联网单条链路中断超过12小时不足 24 小时。
(3)符合教育部《教育系统突发公共事件应急预案》及校内相关应急预案一般事件(Ⅳ级)标准,需要图书与信息中心协同处置的突发事件。
学校网络安全和信息化领导小组统筹协调中国药科大学全局性网络安全事件应急工作,指导校属各单位网络安全事件应急处置。发生特别重大网络安全事件时,成立学校网络安全事件应急工作组(以下简称工作组),负责组织指挥和协调事件处置,并根据实际情况取得教育部上级主管部门、教育网网络中心、社会技术支撑力量等的支持参加应对工作。
信息化建设管理处(以下简称“信息化处”)在网络安全应急预案中的职责包括:
1.负责与图书与信息中心共同制订网络安全事件应急预案。
2.统筹我校的网络安全应急预案的宣传教育工作。
3.组织我校的应急预案演练工作。
4.负责网络安全事件定级、处置、报告工作。
图书与信息中心(以下简称“信息中心”)在网络安全应急预案中的职责包括:
1.负责与信息化建设管理处共同制定网络安全应急预案。
2.负责边界网、主干网、园区网,以及数据中心、学校级信息系统的各类型网络安全应急预案的制定,与安全事件的定级、处置、报告工作。
3.负责我校各单位的网络安全事件处置技术支持工作、核定安全事件等级,及时收集、通报和上报安全事件处置情况。
4.网络安全的监测、预警、态势分析。
5.校内网络安全事件应急响应协调工作,并由图书与信息中心负责人担任网络安全事件应急响应协调人(以下简称“应急响应协调人”)。
6.负责我校网络安全应急预案的教育培训工作。
7.负责我校的网络安全应急预案演练指导工作。
8.负责协助信息内容类安全事件的技术处置工作。
保卫处在处理网络安全事件时负责:
1.协助图书信息中心及各单位进行现场取证的工作。
2.协助图书信息中心与公安机关的联系。
3.下达来自公安机关网络安全事件处置要求等。
后勤服务集团有责任全天候保证图书信息中心机房的供水供电,以及协调各楼宇物业管理公司保障接入机房的物理安全。
学校各单位在处理网络安全事件时负责,包括:
1.资产或使用权属于本单位的网络、设备、信息系统的应急预案制定。
2.网络安全事件定级、处置及上报图书信息中心,配合图书信息中心做更加深入的处置。
3.负责组织本单位的网络安全应急预案的培训教育工作。
4.负责组织本单位的网络安全应急预案演练,并参与全校范围内的网络安全事件预案演练。
1.管理部门
包括教育部科技司、江苏省教育厅教育技术中心、江苏省公安厅网警总队、南京市公安局网警支队、江苏互联网应急中心,分别为教育行业、公安机关以及本地区互联网的网络安全监管、监测、预警、协调部门,主要负责:
(1)当发现我校存在网络安全事件,将以电话、电子邮件、公文等各种形式通知我校,并通过网络安全管理平台对有关事件进行管理。
(2)接收我校在事发、事中、事后处理报告及整改结果。
2.服务商
包括网络和信息系统的运维外包商、云服务商、物业公司等,应签订安全责任书,在应急处置过程中提供相应协助。
3.供应商
包括设备提供商、软件厂商、运营商、电力等,应保持经常联络与协作,在应急处置过程中提供相应协助。
1.应立足于以防为主策略,完善机房管理制度,对关键机房实施7×24小时监控,实施进入登记制度,禁止任何非授权人员进入,每天定期巡检。落实防火、防水、防盗、防雷电、防静电等技术防范措施,建设安全、可靠、稳定运行的机房环境。电力、UPS、电池、空调等动环设备必需定期巡检、检修。定期针对防火、动环故障处置、人员疏散进行培训及演练。
2.核心设备和互联网、校区/校园互联线路应有备份,避免单点故障。保证核心网络设备安全,及时升级固件。禁止未授权访问,不同层次的管理员实行分权管理。设备系统日志、操作日志必需符合法律、法规要求。实时监控核心设备及通讯链路,及时发现并排除故障。
3.做好系统及设备的配置管理,配置管理应遵循“最小配置”原则,定期对系统及应用进行病毒扫描、漏洞扫描,及时修复系统及应用安全漏洞,做好数据备份,对关键的系统需要建立灾难性数据备份与恢复机制。操作系统及应用系统日志必需符合法律、法规要求。实行网站备案制度,重要网站及重要信息系统必须要有防火墙(网络防火墙、应用防火墙)、入侵防护系统的保护。定期对系统账号权限、数据库访问进行审计。
4.对重要信息系统必须实行7×24小时监控机制,及时发现并解决问题。定期对网站及信息系统应用扫描及渗透测试,及时发现安全漏洞并修补。
5. 图书信息中心应加强对校园网络与应用的监控和安全管理。在一般时候,图书信息中心应有7×8小时的预防值班。特定时期,可根据需要进行统一部署,加大对校园网及信息系统监控力度,及对网络和信息系统采取加强性保护措施。
1.高级预警(Ⅰ级预警)
当出现以下情况时,应进入Ⅰ级预警状态:
(1)当IT基础设施、应用系统等被披露出现高危安全漏洞,极有可能会引致较为严重程度的影响;
根据其他安全势态情况判断,极有可能需要启动安全应急预案。
(2)当进入Ⅰ级预警状态时,网络安全事件应急响应小组(以下简称“安全响应小组成员”)不少于2人7×24小时在岗轮值。应急响应协调人应该发出召集指示,所有安全应急响应小组人员应取消休假(指年假、寒暑假、公众节假日)、终止差旅,在24小时内启程返回工作岗位所在校区/校园的城市。所有在岗的安全应急响应小组人员必须进入24小时候命状态,如不能按时返回岗位者应向应急响应协调人请假。
2.初级预警(Ⅱ级 预警)
当出现以下情况时,应进入Ⅱ级预警状态:
(1)当IT基础设施、应用系统等被披露出现高危安全漏洞,可能会引致一定程度的影响;
(2)根据其他安全势态情况判断,有一定可能需要启动安全应急预案。
当进入Ⅱ级预警状态时,安全响应小组成员不少于2人7×8小时在岗轮值。在岗位的安全响应小组成员,须进入24小时候命状态,处于休假(指年假、寒暑假、公众节假日)及差旅状态的安全响应小组人员必须报告当前所在位置并保持通讯畅通,随时等候召集指示。
应急响应流程是网络安全事件应急预案的核心部分,中国药科大学网络安全事件应急响应流程图见附录二。
1.事件发现
部分网络安全事件具有非常高的隐蔽性,及时发现网络安全事件是非常重要的,网络安全事件的发现可分:从内部发现及外部发现两种情况。所谓内部发现,就是由校内的用户、网络与信息系统管理员或各种安全管理监测系统(监控系统、防火墙、入侵保护系统、反病毒系统)发现。外部发现通常由外部安全管理监测系统发现,并通过网络安全紧急响应机制通知信息中心。
2.事件判定
根据《报告与处理流程》的要求,安全事件采取自主判定原则,按“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,由信息资产的管理、运维单位根据事件类型、网络、信息系统重要程度、损失情况以及对本校和社会造成的影响程度判定安全事件。各单位可提请信息中心提供技术支持,对疑似的安全事件进行判定。
1.事件的分类
网络安全事件分类遵照本预案的第2.1节 事件分类。
2.事件的定级
网络安全事件定级遵照本预案的第2.2节 事件分级。
根据《报告与处理流程》报告与处置分为三个步骤:事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置。事件等相关信息未经学校领导小组许可不得向媒体及社交媒体披露。
(1)Ⅰ至Ⅲ级安全事件报告流程
①事发紧急报告
A.我校各单位系统运维人员一旦发现疑似安全事件,应根据实际情况第一时间采取各种有效措施,将损害和影响降到最小范围,并尽可能保留截屏、日志、运行状态等现场信息,并报告本单位网络安全责任人。本单位安全责任人接到报告后,应立即组织技术人员赶赴现场进行紧急处置,同时以口头通讯的方式将相关情况通报至信息中心。涉及明显人为破坏事件应同时报告当地公安部门。
B.根据外部协作单位情报发现我校出现安全事件,由图书信息中心进行统一协调处理,按“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则通知相关单位处置。
C.图书信息中心应根据信息系统的重要性、危害程度、影响范围、成因等判定安全事件等级,对确认属Ⅰ至Ⅱ级安全事件的必须在2小时内先以口头通讯方式通知学校领导小组办公室。对确认属Ⅰ至Ⅲ级安全事件的图书信息中心应除了向信息化建设管理处及网络安全和信息化领导小组口头通知外,还应按《报告与处理流程》中的第五条规定,以口头通讯方式向教育部紧急报告。
D.紧急报告内容包括:a.时间、地点;b.简要经过;c.事件类型与分级;d.影响范围;e.危害程度;f.初步原因分析;g.已采取的应急措施。
②事中情况报告
对确认属I至Ⅲ级安全事件的,应按《报告与处理流程》中的规定,由图书信息中心填写事中情况报告后,提交信息化建设管理处、学校网络安全和信息化领导小组及教育部。事中情况报告应在安全事件发现后 8 小时内以书面报告的形式进行报送,报告填写要求、报告内容和格式见《报告与处理流程》附录三。
对确认属I至Ⅲ级安全事件的,应按《报告与处理流程》中的规定,由图书信息中心填写事后整改情况报告后,提交信息化建设管理处、学校网络安全和信息化领导小组及教育部。事后整改报告应在安全事件处置完毕后 5 个工作日内以书面报告的形式进行报送,报告填写要求、报告内容和格式见《报告与处理流程》附录四。
(2)Ⅳ级的安全事件报告流程
Ⅳ级的安全事件使用事后整改报告方法,在事件处置完毕后 7 天内应按《报告与处理流程》中的规定,由图书与信息中心填写事后整改情况报告后,报信息化建设管理处备案。报告填写要求、报告内容和格式见《报告与处理流程》附录四。
(1)应急(事中)处置
安全事件应急(事中)处置包括:及时掌握损失情况、查找和分析事件原因、修复系统漏洞、恢复被篡改的信息、恢复服务,尽可能减少安全事件对正常工作带来的影响。如果涉及人为主观破坏的安全事件应积极配合公安部门开展调查。应针对不同的安全事件才去不同的应急处置措施。
①有害程序事件处置
当发生此类事件时,应使用反病毒软件及时查出隔离病毒切断传播源。如反病毒软件不能有效发现并隔离病毒,应对疑似感染存在现实威胁或潜在威胁的计算机或网络采取物理隔离方法,并及时通知安全响应小组处理,取样分析病毒的类型、性质、危害范围,以有效寻找杀毒及防御方法。如现有反病毒软件不能有效查杀病毒,图书与信息中心应及时将病毒样本提交反病毒软件厂家进行分析,并一直跟进直到问题得到确认可以有效查杀病毒为止。
②网络攻击事件处置
当发生此类事件时,应首先判断攻击的来源与性质,尽可能迅速跟踪、定位攻击来源的 IP 地址、收集攻击的特征信息,并在防火墙上部署拦截。如涉及后门攻击及漏洞攻击的,应及时清除后门及进行漏洞修补。对于网络钓鱼事件,应评估影响范围、及时通知受影响者,并向师生员工发布公告防止受欺骗的面继续扩大。对于大规模DDOS攻击,可关闭边界网络连接并通知上一级网络运营商协助。
③信息破坏事件处置
当发生此类事件时,应尽可能迅速跟踪、定位入侵者的 IP 地址或其他特征信息,并对已被入侵的设备、系统采取隔离措施,避免造成更大损失和影响。对于外部入侵,使用边界防火墙进行拦截;对于来自校内网络的入侵,应在靠近被入侵端的防火墙上进行拦截(如果有),尽快查清攻击来源的使用人登记信息,并联系有关当事人协查。并评判信息被篡改、假冒、泄漏、窃取的范围。
④设备设施故障处置
对于IT设备及软件故障,应首先判断故障发生点和故障原因,以优先保证主干网络及基础应用、关键信息系统的运行,可尝试采取降低设备性能或减少功能的方法保证最基本的服务需求,或使用备用设备尽快恢复服务,并迅速联系设备运维公司尽快判明故障原因及修复故障设备。对于空调、UPS、电力等外围保障设施故障,容易致使IT设备出现的连带性故障或无法运行的情况,此时应快速定位并采取紧急处置措施,尽可能保证关键设备、基础应用、关键信息系统运行,并迅速联系有关方面尽快维修或恢复动力供给。
⑤灾害性事件处置
当发生此类事件时,在保障人身安全的前提下,如有必要可采取切断设备供电、拔出磁盘、转移磁带、搬迁设备等方法,尽可能保障数据和设备的完好。对于信息技术基础设施设备的灭火应使用气体灭火法,应禁止使用喷水、泡沫及粉末灭火。对于安装有监控系统及自动消防灭火系统的机房,如开启自动灭火功能,当发生火警消防警铃响起时人员应迅速撤离,如自动消防灭火系统自动功能失效,在确保人员完全撤离的情况下,手动启动灭火功能。
⑥其它事件处置
当发生此类事件时,根据情况加强内部、外部沟通,随机应变。及时咨询资深技术人员或咨询网络安全公司、顾问,判断事件成因并果断阻止事态的扩大。
(2)事后处置
安全事件事后处置包括:进一步恢复与重建系统,并总结事件教训,研判安全现状、排查安全隐患,进一步加强制度建设,提升安全防护能力。如涉及人为主观破坏的安全事件应继续配合公安部门开展调查。
校园网络与网络安全应急处置是一项长期的工作,基于工作常态化的要求,必须做好各项保障工作。
应加强人员队伍建设,定期对相关工作人员进行意识与技术培训,提高工作人员的安全意识及忧患意识,提高处置紧急事件的技术水平,确保安全事件应急处置快速、科学、合理。应根据《网络安全技术 网络安全应急响应计划规范》(GB/T 24363-2009),建立应急预案联系人清单。
应根据工作需要,每年申报工作所需要设备及软件采购及运行维护资金,由学校给予资金保障。
不断完善应急预案及技术架构,加强技术管理,确保网络与信息系统的稳定与安全。有必要时,可聘请网络安全顾问公司审核、优化应急预案及操作流程,增强应急处置能力。定期开展应急演练,提高应对安全事件的水平和协同配合能力,确保本条例得到有效落实。
为了检验预案的有效性,是参与应急预案人员了解网络安全应急预案的目标、流程,熟悉应急响应的操作规范,应组织对预案进行测试。根据测试的结果与预期的差别,对预案进行修订。
信息化处协同信息中心共同组织与举办全校范围的宣传,加强相关人员网络安全意识以及对网络安全应急的法律、法规和政策的理解。开展网络安全应急预案的培训,提高应对网络安全事件应急处置能力、协同能力。
信息化建设管理处协同图书与信息中心共同每年定期组织与举办网络安全事件应急的演练,模拟处置各种不同类型、级别的网络安全事件,提高实战能力、检验完善预案。应该对演练过程详细记录并形成报告,为预案的修订提供详实的依据。
八、附则
本预案是中国药科大学处置网络安全事件应急准备和响应的工作文件,由信息化建设管理处与图书与信息中心共同制订并负责解释。
本应急预案自公布之日起开始施行。
附录二 中国药科大学网络安全事件应急响应流程图
单位名称:(需加盖公章) 事发时间:年月日时分
联系人姓名 | 手机 | ||
电子邮箱 | |||
事件分类 | □有害程序事件 □ 网络攻击事件 □信息破坏事件 □ 设备设施故障 □灾害事件 □其他____________________ | ||
事件分级 | □Ⅰ级 □Ⅱ级 □Ⅲ级 □Ⅳ级 | ||
事件概况 | |||
信息系统的基本情况(如涉及请填写) | 1.系统名称:_______________________________ 2.系统网址和IP地址:_______________________ 3.系统主管单位/部门:_______________________ 4.系统运维单位/部门:_______________________ 5.系统使用单位/部门:_______________________ 6.系统主要用途:___________________________ ________________________________________ 7.是否定级 □是 □否,所定级别:_____ 8.是否备案 □是 □否,备案号:__________ 9.是否测评 □是 □否 10.是否整改 □是 □否 | ||
事件发现与处置的简要经过 | |||
事件初步估计的危害和影响 | |||
事件原因的初步分析 | |||
已采取的应急措施 | |||
是否需要应急支援及需支援事项 | |||
安全负责人意见 | |||
主要负责人意见 | |||
附录四 网络安全事件整改报告
单位名称:(需加盖公章) 报告时间:年月日时分
联系人姓名 | 手机 | ||
电子邮件 | |||
事件分类 | □有害程序事件 □ 网络攻击事件 □信息破坏事件 □ 设备设施故障 □灾害事件 □其他____________________ | ||
事件分级 | □Ⅰ级 □Ⅱ级 □Ⅲ级 □Ⅳ级 | ||
事件概况 | |||
信息系统的基本情况(如涉及请填写) | 1.系统名称:_______________________________ 2.系统网址和IP地址:_______________________ 3.系统主管单位/部门:_______________________ 4.系统运维单位/部门:_______________________ 5.系统使用单位/部门:_______________________ 6.系统主要用途:___________________________ ________________________________________ 7.是否定级 □是 □否,所定级别:_____ 8.是否备案 □是 □否,备案号:__________ 9.是否测评 □是 □否 10.是否整改 □是 □否 | ||
事件发生的最终判定原因(可加页附文字、图片以及其他文件) | |||
事件的影响与恢复情况 | |||
事件的安全整改措施 | |||
存在问题及建议 | |||
安全负责人意见 | |||
主要负责人意见 | |||
应急组织
联络信息
姓名
工作电话
手机
电子邮件
学校网络信息安全工作领导小组办公室
信息化建设管理处
应急处理及协调中心
图书与信息中心
校内协作机构
保卫处
后勤服务集团
校外管理机构
教育部科技司
江苏省教育厅教育技术中心
江苏省公安厅网警总队
江苏省南京市公安局网警支队
服务商
供应商
