郑州大学信息化办公室文件
信息办【2021】 03号
第一章 总则
1.1 编制目的
建立健全郑州大学网络安全事件应急工作机制,有效预防并科学应对网络安全突发事件,提高网络安全事件处置能力,最大限度地预防和减少网络安全事件造成的损失和危害,确保校园网络和信息系统的正常运行和安全稳定,维护校园正常秩序,保护公众利益,维护国家安全、公共安全和社会秩序。
1.2 编制依据
《中华人民共和国网络安全法》、《国家网络安全事件应急预案》、《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986-2007)、《信息技术安全事件报告与处理流程》、《教育系统网络与信息安全类突发公共事件应急预案》等国家、教育行业有关法律法规和标准规范。
1.3 适用范围
本预案适用于学校范围内网络安全事件的应急处置。
1.4 工作原则
坚持统一领导、分级负责;积极防御、综合防范;快速响应、密切协同;强化能力、科学处置;定期演练、常备不懈;坚持“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。
第二章 网络安全事件分级
2.1 事件分类
根据《信息安全技术 信息安全事件分类分级指南》(GB/T 20986-2007,以下简称《指南》,见附件1),本预案中所指网络安全事件是指由于人为原因、软硬件本身缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件。网络安全事件可划分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件七个基本分类。
2.2 事件分级
根据《指南》,将安全事件划分为四个等级:特别重大事件(I级)、重大事件(Ⅱ级)、较大事件(Ⅲ级)和一般事件(Ⅳ级),详见附件1。
第三章 组织机构与职责
3.1 领导机构与职责
郑州大学网络安全和信息化领导小组(以下简称“领导小组”)是网络安全事件应急处置领导机构,郑州大学网络安全和信息化领导小组办公室(以下简称“网信办”)统筹协调组织校内网络安全事件应对工作,建立健全跨部门联动处置机制,校党委办公室、校党委宣传部、网络管理中心等相关单位按照职责分工负责相关网络安全事件应对工作。必要时成立郑州大学网络安全事件应急办公室(以下简称“应急办”),负责特别重大事件(I级)、重大事件(Ⅱ级)和较大事件(Ⅲ级)处置的组织指挥和协调。
3.2 各部门职责
学校各单位按照职责和权限,负责本单位网络和信息系统安全事件的预防、监测、报告和应急处置工作。
(1) 网信办职责:
① 负责网络安全工作的组织、协调和监督,制定相关制度和应急方案;
② 根据网络安全事件等级制定相应级别的处理方案,组织协调责任单位落实,共同做好处置工作;
③ 负责及时收集、通报和上报网络安全事件处置的有关情况;
④ 对校内各单位贯彻执行预案以及在事件处置工作中履行职责情况进行检查督办。
(2) 校党委办公室职责:
① 牵头组织重大敏感时期、重要活动、重要会议期间发生的网络安全事件的协调处置;
② 负责涉密级网络信息泄密类事件的处理。
(3) 校党委宣传部职责:
负责学校信息内容安全类事件的处置,对于涉及师生政治思想方面的倾向性、苗头性的问题,加强分析研判,妥善有效应对。
(4) 网络管理中心职责:
① 负责校园基础网络设施安全;
② 负责网络管理中心运维管理的信息系统安全;
③ 负责学校网络和信息系统的舆情监测;
④ 负责为全校网络安全事件处置提供技术支持。
(5) 其他部门职责:
各院系、职能单位、附属单位负责本单位所运维管理的网络和信息系统网络安全事件的处置,对照本预案,建立本单位应急处置机制。
第四章 监测与预警
4.1 预警分级
网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。
4.2 预警监测
各单位按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,组织对本单位建设运行的网络和信息系统开展网络安全监测工作。网信办结合本校实际,统筹组织开展对学校网络和信息系统的安全监测工作,各单位要将重要监测信息及时报网信办。
4.3 预警研判和发布
各单位组织对监测信息进行研判,认为需要立即采取防范措施的,应当及时通知网信办,网信办可根据监测研判情况,发布蓝色预警。对可能发生较大及以上等级的网络安全事件情况,网信办应向领导小组报告,并由学校相关部门将有关情况向省教育厅网信办、省公安厅、市公安局等部门通报。
预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。
4.4 预警响应
(1) 红色、橙色、黄色预警响应
网信办组织预警响应工作,启动相应应急预案,加强网络安全事件监测,对事态发展情况进行跟踪研判,组织指导应急支撑队伍、相关运行单位开展应急准备、风险评估和控制工作,研究制定防范措施和应急工作方案,并根据需要实行24小时值班,保持通信联络畅通。重要情况报省教育厅网信办、省公安厅、市公安局等部门。
(2) 蓝色预警响应
各单位启动相应应急预案,组织开展预警响应。
4.5 预警解除
网信办根据实际情况,确定是否解除预警,及时发布预警解除信息。
第五章 应急处置
5.1 启动预案
网络安全事件发生后,网信办应立即启动应急预案,组织指导实施处置并及时报送信息。校党委宣传部、网络管理中心、责任单位领导及相关人员应第一时间到达现场,采取断网等先期应急处置措施,控制事态,消除隐患,将损害和影响降到最低,同时组织研判,保存证据,做好信息通报工作。对于初判为较大及以上等级的网络安全事件,信息化办应立即报告领导小组,并由学校相关部门将相关情况向省教育厅网信办、省公安厅、市公安局等部门报告。
5.2 应急响应
网信办组织有关单位尽最大可能收集网络安全事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围,评估事件带来的影响和损害,确认事件的类别和等级,并根据事件等级采取相应的应急响应。
(1) Ⅰ级、Ⅱ级、Ⅲ级响应
学校成立应急办,进入应急状态,按照相关应急预案做好应急处置工作,履行应急处置工作的统一领导、指挥、协调职责。应急办24小时值班。
网信办应跟踪事态发展,检查影响范围,及时将事态发展变化情况、处置进展情况报应急办,应急办将有关重大事项及时通报省教育厅网信办、省公安厅、市公安局等部门。处置中需要上级部门网络安全应急技术支撑队伍配合和支持的,应急办予以协调。各单位根据应急办的通报信息,结合各自实际有针对性地加强防范,防止造成更大范围影响和损失。
(2) Ⅳ级响应
各单位及时、自主按相关预案进行应急处置,做好处置记录,并报网信办。
5.3 应急处置
根据网络安全事件分类采取不同的应急处置方式:
(1) 网络攻击事件:判断攻击的来源与性质,关闭影响安全的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质采取以下方案:
① 病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助进行杀毒处理。
② 外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外网入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和影响。
③ 内部入侵:查清入侵来源,如IP地址、所在办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。
(2) 信息内容安全事件:检测或接到校内网站出现不良信息报告后,应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息传播,查找信息发布人并做好善后处理。对上级部门或公安机关要求我校协查的外网不良信息事件,根据校园网上网相关记录查找信息发布人。
(3) 设备故障事件:判断故障发生点和故障原因,迅速联系网络管理中心尽快抢修故障设备,优先保证校园网主干网络和主要应用系统的运转。
(4) 灾害性事件:根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
5.4 应急结束
(1) Ⅰ级、Ⅱ级、Ⅲ级响应结束
应急办提出建议,报领导小组批准后,及时通报省教育厅网信办、省公安厅、市公安局等部门。
(2) Ⅳ级响应结束
由事发单位决定,报网信办。
第六章 调查与评估
较大、重大和特别重大网络安全事件由应急办组织协调有关部门进行调查处理和总结评估,并按程序上报。一般网络安全事件由事发单位自行组织调查处理和总结评估,并将相关总结调查报告报网信办。总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。
事件的调查处理和总结评估工作原则上在应急响应结束后30天内完成。
第七章 预防工作
7.1 日常管理
(1) 加强校园网络与信息系统安全管理,建立预警监测体系,健全网络安全信息通报机制,及时采取有效措施,减少和避免网络安全事件的发生及危害,提高网络安全事件的应对能力;
(2) 不断健全学校网络和信息系统的技术防护体系,在校园网出口、数据中心、重要信息系统等边界,加强安全防御,发现异常及时处置并逐级报告;
(3) 学校各单位按职责做好网络安全事件日常预防工作,加强各单位的网络和信息系统安全管理,制定完善的相关应急预案,做好网络安全检查、隐患排查、风险评估和容灾备份;
(4) 建立安全巡查制度。党委宣传部、网络管理中心及各单位网络安全负责人应密切监视信息系统内容,执行值班制度,做好校园网络与信息系统安全的日常巡查及日志保存等工作,以便及时应对突发性事件。
7.2 预案演练
建立应急预案定期演练制度。通过定期组织演练,发现应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置实战能力。
7.3 宣传
充分利用各种传播媒介及其他有效的宣传形式,加强网络安全突发事件预防和处置的有关法律、法规和政策宣传,开展网络安全基本知识和技能的宣传活动。
7.4 培训
加强学校各单位和相关人员的网络安全事件应急知识特别是网络安全应急预案的培训,提高防范意识及技能。
7.5 重要活动期间的预防措施
在国家重要活动、会议期间,加强网络安全事件的防范和应急响应,确保校园网络安全。领导小组统筹协调网络安全保障工作,加强校园网络安全监测,及时预警可能造成重大影响的风险和隐患,重点部门、重点岗位保持24小时值班,及时发现和处置网络安全事件隐患。
第八章 保障措施
8.1 机构和人员
各单位要落实网络安全应急工作责任制,把责任落实到具体部门、具体岗位和个人,并建立健全应急工作机制。
8.2 技术支撑队伍
加强网络安全应急技术支撑队伍建设,不断提高信息安全防范意识和技术水平,提高应急处置能力,做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。
8.3 专家队伍
建立学校网络安全应急专家组,为网络安全事件的预防和处置提供技术咨询和决策建议。加强专家队伍建设,充分发挥专家在应急处置工作中的作用。
8.4 社会资源
从教育科研机构、企事业单位、协会中选拔网络安全人才,汇集技术与数据资源,建立网络安全事件应急服务体系,提高应对特别重大、重大网络安全事件的能力。
8.5 基础平台
加强网络安全应急基础平台和管理平台建设,做到早发现、早预警、早响应,提高应急处置能力。
8.6 物资保障
加强对网络安全应急装备、工具的储备,及时调整、升级软件硬件工具,不断增强应急技术支撑能力。
8.7 经费保障
为网络安全事件应急处置提供必要的资金保障,支持网络安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、预案演练、物资保障等工作开展。
8.8 责任与奖惩
网络安全事件应急处置工作实行责任追究制。要求各单位认真贯彻落实预案的各项要求与任务,对未有效落实预案各项规定(如迟报、谎报、瞒报、漏报网络安全事件重要情况或者应急管理工作中有失职、渎职行为等)的单位进行通报批评,相关责任人给予处分,责令限期改正,对落实到位的给予相应的奖励。
第九章 附则
9.1 预案管理
本预案原则上每年评估一次,根据实际情况适时修订。修订工作由学校网信办负责。
9.2 预案解释
预案由学校网信办负责解释。
9.3 预案实施时间
本预案自印发之日起实施。
附件1:GBZ 20986-2007 信息安全技术 信息安全事件分类分级指南.pdf