第一章 总则
第一条为提高学校应对突发网络与信息安全公共事件的能力,形成快速、高效、有序的网络与信息安全应急响应机制,有效预防、及时控制和最大限度地消除各类网络与信息安全事件的危害和影响,确保我校基础信息网络和重要信息系统安全运行,根据《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》和《计算机病毒防治管理办法》等相关规定,结合学校实际情况,特制定本应急预案。
第二章 适用范围
第二条本应急预案适用于学校网络系统在使用过程中发生的I级及II级信息安全事件的应对工作。
第三章 组织和职责
第三条发生III级及IV级信息安全事件后,由图文信息中心自行处理;发生I级及II级信息安全事件后,图文信息中心负责日常联络、事务处理、应急处置技术支持与服务等工作。主要职责:
(一)贯彻国家、省、市信息安全应急法律法规、方针政策和标准规范,研究提出学校信息安全应急管理的政策和规划建议,组织编制并不断完善学校网络与信息安全应急预案;
(二)建立健全信息安全应急资源共享机制,组织协调学校信息安全应急体系建设,加强与信息安全应急处置机构等单位合作,为解决信息安全事件提供技术支持;
(三)负责督促信息安全应急处置工作,实施信息安全应急保障调度;
(四)接收并处理信息安全应急信息报告,会同相关专家及必要部门,研判或提出安全事件等级或预警级别的建议;
(五)收集信息安全事件报告统计数据,定期编制事件统计报告,汇总信息安全应急工作情况,撰写应急工作总结;
(六)建立和完善学校网络与信息安全事件监测预警网络,建立和维护管理信息安全应急资源数据库,组织开展信息安全应急处置技术培训;
(七)协调指导信息安全事件的预防预警、应急处置、调查评估、信息发布、应急保障和应急演练等工作。
第四章 工作原则
第四条应急预案工作按照五项基本原则执行。
(一)预防为主。立足安全防护,加强预警,重点保护基础信息网络和关系社会安全、经济命脉、社会稳定的重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,全社会共同构筑网络与信息安全保障体系。
(二)快速反应。在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。
(三)以人为本。把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公民财产遭受损失。
(四)分级负责。按照“谁主管谁负责、谁运营谁负责”以及“条块结合,以条为主”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强部门间、地区间的协调与配合,形成合力,共同履行应急处置工作的管理职责。
(五)常备不懈。加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。
第五章 应急事件分级分类
第五条根据网络信息安全突发公共事件的可控性、严重程度和影响范围,一般分为四级:Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)、Ⅳ级(一般)。
(一)Ⅰ级(特别重大)
重要网络与信息系统发生全校性大规模瘫痪,事态发展超出学校和主管部门的控制能力,对社会安全、社会秩序、经济建设和公共利益造成特别严重损害的突发公共事件。
(二)Ⅱ级(重大)
重要网络与信息系统造成全校性瘫痪,对社会安全、社会秩序、经济建设和公共利益造成严重损害,需要跨部门协同处置的突发公共事件。
(三)Ⅲ级(较大)
某一区域的网络与信息系统瘫痪,对社会安全、社会秩序、经济建设和公共利益造成一定损害,但不需要跨部门协同处置的突发公共事件。
(四)Ⅳ级(一般)
网络与信息系统受到一定程度的损坏,对公民、法人和其他组织的权益有一定影响,但不危害社会安全、社会秩序、经济建设和公共利益的突发公共事件。
第六条根据信息安全事件的起因、表现、结果等,信息安全事件主要分为以下六类:
(一)危害程序事件。是指蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件,包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其他有害程序事件。
(二)网络攻击事件。是指通过网络或者其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力手段对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件,包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(三)信息破坏事件。是指通过网络或者其他技术手段,造成信息系统中的信息被篡改、假冒、泄露、窃取等而导致的信息安全事件,包括信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(四)设备设施故障。是指由于信息系统自身故障或外围保障措施故障而导致的信息安全事件,以及人为地使用非技术手段有意或无意地造成信息系统破坏而导致的信息安全事件,包括软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(五)灾害性事件。是指由于不可抗力对网络和信息系统造成物理破坏而导致的信息安全事件,包括水灾、雪灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件
(六)其他信息安全事件。不能归为以上5个基本分类的信息安全事件。
第六章 预防与预警
第七条图文信息中心和信息系统运营单位从技术实现、制度建立、业务管理等方面建立健全信息安全的预防和预警机制。
第八条大力推进等级保护制度,积极推进信息安全风险评估工作,将风险评估工作制度化。图文信息中心和运营单位要认真落实信息安全等级保护制度,按照信息安全等级保护要求进行系统防护;要在本系统积极开展信息安全风险评估,通过评估查找薄弱环节和面临的威胁,消除安全隐患和安全漏洞,提高预防信息安全事件发生的能力。针对基础信息网络和重要信息系统的突发大规模安全事件,要建立制度化、程序化的处理流程。
(一)技术方面。安装防火墙、入侵监测、计算机杀毒软件、内容过滤工具、安全审计系统、隔离网闸、监控设施和网页防篡改系统等设备,建立身份认证和授权管理机制,对主机、网络设备、安全设备与软件和网络边界进行必要配置,及时安装、升级应用软件和操作系统补丁,对重要数据定时进行备份,定期进行漏洞扫描等。
(二)管理方面。建立健全信息安全各项管理制度,制定信息安全保护策略,落实信息安全管理责任制,落实信息安全等级保护制度,定期开展信息安全风险评估,加强信息安全培训。
第七章 应急处置
第九条图文信息中心及运营单位要落实责任,制定学校信息通报制度,加强信息沟通。信息来源主要包括分析预警系统监测到的信息安全事件信息、上级机构或其他职能部门通报的信息安全事件信息、接到来自各信息安全事件事发部门和社会的报告信息。
第十条发生信息安全事件后,事发部门按照下列顺序进行通报:
(一)相关人员把信息安全事件有关信息报告本校图文信息中心人员。
(二)图文信息中心负责人接到报告后,将事件情况通知到所有相关人员,相关人员做好应急处置的准备,并报告相关领导。
第十一条图文信息中心接到信息安全事件报告信息后,按照以下程序进行处理:
(一)了解事件信息。详细记录事件的细节信息,全面了解事件造成的损失、影响以及现场控制情况等有关信息。
(二)确认事件性质。在汇总相关信息的基础上,及时判断事件性质,确认属于信息安全事件的,进入事件分析流程;经核实属于误报的,应对该事件进行记录并结案。
(三)评估事件级别。信息安全事件确认后,根据掌握的信息,判断事件类型、评估事件的范围、损失、影响和可能波及的范围、事件的严重程度和扩散性等情况,初步确定事件级别,根据问题的性质、危害程度,提出信息安全事件级别建议。
第十二条发生I级、II级信息安全事件后,由图文信息中心统一指挥,负责启动本预案,同时立即组织有关人员赶赴事发部门督促、指导和协调处置工作。学校及时增派专家和应急支援单位,协调制定应急处置方案,防止引发次生、衍生事件。
第十三条根据信息安全事件的分类分级状况,信息安全事件响应等级分为I级、II级、III级和IV级。发生信息安全事件后,一般按下列规定进行分级响应:
(一)发生 Ⅲ、IV级信息安全事件后,由图文信息中心安全责任人批准,启动专项应急预案,及时有效地进行处置,并进行报告。
(二)发生Ⅰ级、Ⅱ级信息安全事件后,由图文信息中心负责人批准,启动本预案,图文信息中心通知各相关人员、事发部门做好应急准备。
第十四条发生Ⅰ级、Ⅱ级信息安全事件时,按以下程序进行响应:
(一)图文信息中心在第一时间向上级主管单位报告,并会同有关单位迅速到达现场了解情况进行处理。
(二)调配应急保障资源。图文信息中心负责组织协调信息安全应急咨询专家,并明确和协调处置机构或人员在应急响应过程中的权限,及时组织抽调安全技术力量和资源, 如网络与通讯资源、计算机软硬件设备、安全设备、处置案例、解决方案等,为应急处置提供保障。
(三)制定应急处置方案。现场指挥部组织制定具体应急处置方案,交由图文信息中心进行评估,经小组成员单位会商通过后批准实施。应急处置方案须优先考虑以下两个内容:
1.应急处置目标:
(1)尽快使网络或系统恢复正常操作;
(2)尽量减轻该次信息安全事件对其他网络或系统的影响,防止衍生或次生其他信息安全事件;
(3)避免发生同类信息安全事件;
(4)避免使信息安全事件升级;
(5)找出引发信息安全事件的主要原因;
(6)评估信息安全事件的影响和破坏;
(7)收集证据为日后立案调查提供证明。
2.应急处置优先顺序:
(1)保障人身生命安全;
(2)保护涉及国家秘密或敏感数据等关键资源;
(3)保护遗失或损毁后造成严重损失的数据;
(4)防止停顿后造成严重损失及恢复成本较高的系统受到损坏;
(5)将服务中断的影响减到最小。
(四)实施应急处置。对于Ⅰ级、Ⅱ级信息安全事件,图文信息中心按照应急处置方案,对信息安全事件实施应急处置,限制事件范围、损失和影响程度。在实施应急处置前,首先做好以下几方面工作:
1.评估信息安全事件对网络或系统数据的影响,确定有关数据是否已被信息安全事件破坏或感染;
2.保护敏感或关键数据和系统。例如将关键数据转移至其他介质(该介质应与发生信息安全事件的系统或网络相对分离);
3.决定是否需要暂时断开发生信息安全事件的网络或暂停系统操作;
4.保留发生信息安全事件系统的当前记录,以供调查,并作为日后采取跟进行动的证据;
5.记录这一阶段采取的行动;
6.检查通过共享网络服务或任何可信赖关系与发生信息安全事件的系统连接的系统;
7.在完成上述工作内容后,按处置方案,采取相应技术和管理措施消除信息安全事件。
第十五条应急处置工作结束或者相关危险因素消除后,图文信息中心提出应急处置结束建议,经领导批准后,终止本预案,并向社会公布相关信息。
第八章 后期处理
第十六条图文信息中心和其他相关应急管理工作机构要积极稳妥、深入细致地搞好善后处置,及时返还调用的物资和装备。相关部门请保险监管机构督促有关保险公司及时做好有关部门和个人损失的理赔。
第十七条应急处置工作结束后,图文信息中心和相关部门对信息安全事件的起因、性质、影响、责任、经验教训和恢复重建等问题进行调查和评估。
(一)责任确定。分析产生事件发生的原因,对事件进行总结,确定责任人。如果涉及违法犯罪行为,由图文信息中心及时向公安机关报案,由司法机关及时追究当事人的法律责任。
(二)分析总结。对事件进行总结,评估系统的损害程度,估计事件损失,并对应急处置纪录进行分析总结,为日后工作提供参考。
(三)事后报告。图文信息中心在系统恢复后7天内提交事后分析报告。
(四)安全评估。对发生信息安全事件的网络或系统进行风险评估,及时发现可能存在的安全漏洞、安全隐患和安全风险,根据评估结果,检验事件发生后采取措施的有效性。
(五)预案维护。应急处置工作结束后,根据应急过程中暴露的问题和调查评估结果,对预案进行相应的修改和维护。
第十八条恢复重建工作由图文信息中心负责。在应急处置工作结束后,按照业务影响分析结果,确定优先顺序,迅速恢复网络和系统的正常运行。抓紧组织恢复受损网络或系统,减少损失,尽快恢复正常工作。
第九章 保障措施
第十九条通信与信息保障:建立健全应急通信保障工作体系,完善公用通信网,建立有线和无线相结合、基础电信网络与机动通信系统相配套的应急通信系统,确保通信畅通。
第二十条应急队伍保障:图文信息中心、运营单位应当根据实际情况,配备相应的应急力量或引进专业化、社会化信息安全应急服务。
第二十一条应急设备保障:图文信息中心及运营单位在建设系统时应统筹考虑适当配备必要的信息网络硬件、软件、应急救援设备等应急物资,必要时,可进行统一调用。
第二十二条技术资料保障:应急技术资料是网络和信息系统重要技术信息;包括网络拓扑结构、重要信息系统或设备的型号及配置、主要设备厂商信息、设备使用人员的详细信息等,各基础信息网络、重要信息系统运营单位应将这些信息建立技术档案并及时更新,以保证与实际情况的一致性。根据需要对系统进行风险评估,随同掌握系统安全状况和存在的风险隐患。
第十章 宣传和培训
第二十三条学校应利用各种新闻媒介进行宣传,编制、出版宣传材料,宣传信息安全相关法律法规和信息安全基础知识,开展信息安全事件应急预防、预警、自救、互救和减灾等知识的宣传活动,普及信息安全应急处置的基本知识,普遍开展信息安全教育,提高信息安全防范意识和应急处置能力。
第二十四条图文信息中心组织开展信息安全应急管理、应急处置及组织指挥等培训,对各部门领导干部、管理人员进行应急管理培训,对应急处置人员进行技能培训,提高防范意识及技能。
第二十五条图文信息中心定期组织网络与信息安全应急演练,模拟处置影响较大的信息安全事件,组织重点部门参加,检验预案的可执行性。通过演练,及时发现和改进应急体系和工作机制存在的问题和不足,完善应急预案,提高应急处置能力。应急响应演练按以下步骤进行:
(一)图文信息中心确定应急响应演练的目标和范围;
(二)按图文信息中心的要求,成立应急演练小组,制定应急响应演练方案;
(三)应急演练小组调配应急响应演练所需的各项资源,并作好应急响应演练过程中相关部门的协调;
(四)应急演练小组组织相关部门进行应急响应演练;
(五)应急演练小组对应急演练进行评估,并通报应急响应演练结果;
(六)应急演练小组总结经验,分析应急响应预案的科学性和合理性,针对预案中的问题进行修订完善,报图文信息中心审定后发布实施。
第十一章 监督检查
第二十六条图文信息中心要按预案的规定不定期对各项制度、计划、方案、人员、物资等信息安全应急工作情况进行监督和检查,做到居安思危、常备不懈。
第十二章 附则
第二十七条本预案由图文信息中心编制和解释。本预案实施中发现的问题,由图文信息中心适时进行修订。
第二十八条本预案自公布之日起实施。
