厦门华厦学院网络安全事件应急处置和报告制度
为了保证我校网站及网络畅通,安全运行,保证网络信息安全,特制定网络和信息安全事件应急处置和报告制度。
一、 在校领导下,贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规;落实贯彻公安部门和省、市相关部门关于网络和信息安全管理的有关文件精神,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,尽快使网络和系统恢复正常,做好网络和信息安全保障工作。
二、 针对信息系统特点,主管单位应事先制定突发安全事件的应急处置方案。当发生信息系统安全事件时,信息系统主管单位做好先期应急处置工作,按相应的应急预案处置规程,立即采取措施控制事态,同时立即向上级安全部门报告。
三、 信息系统安全事件的分为如下五类:
(一)有害程序事件:计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合攻击程序、网页内嵌恶意代码和其它有害程序事件等。
(二)网络攻击事件:拒绝服务攻击(DOS)、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、通过Syn flood和ARP欺骗等进行网络干扰和网络攻击事件等。
(三)信息破坏事件:在恶意非授权情形下篡改网络配置、系统配置和安全配置信息;伪造用户或管理员身份破坏系统数据;非法泄露内部信息化系统的数据;利用侦听、密码猜测等非正常手段获取数据;因保管不当或恶意攻击造成的数据丢失和其他信息破坏事件。
(四)信息内容安全事件:是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容,违反宪法和法律、行政法规的信息安全事件。包括针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件;组织串连、煽动集会游行的信息安全事件及其他信息内容安全事件。
(五)灾害性事件:由水灾、火灾、台风、地震、雷击等自然灾害和因施工或其他突发事件引发的大规模或局部网络瘫痪、数据破坏或丢失等。
四、 学校的信息系统安全事件的分为如下四级:
(一)I级,特别重大的信息系统安全事件:能够导致特别严重影响或破坏的信息安全事件,包括会使特别重要的信息系统遭受特别严重的系统损失,产生特别重大的工作和社会影响。
(二)II级,重大信息系统安全事件:能够导致严重影响或破坏的信息安全事件,包括会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失,产生的重大的工作和社会影响。
(三)III级,较大信息系统安全事件:指能够导致较严重影响或破坏的信息安全事件,包括会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失,产生较大的工作和社会影响。
(四)IV级,一般信息系统安全事件:不满足以上条件的信息安全事件,包括以下会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失,产生一般的工作和社会影响。
五、 对IV级信息系统安全事件,由信息中心负责应急处置,并将有关情况向校办公室和信息中心报告,必要时可请求协助。对有可能演变为III级、II级、I级的信息系统安全事件,由信息中心上报至学校信息化工作领导小组,按需调配应急资源进行处置。发生II级、I级的信息系统安全事件,由学校信息化工作领导小组向上级安全部门报告,并请示处置方案。
六、 将信息收集、记录和分析贯穿于事件应急处置全过程。当接到校园网络与信息安全事件报警后,信息中心需尽可能全面、准确地收集与事件相关信息,如采取现场快照或设备日志快照等方式,详细记录事件细节信息,了解事件造成的损失和影响。
七、 各信息系统责任单位要积极配合学校信息化工作领导小组对安全事件的起因、性质、影响、责任、经验教训和恢复重建等问题进行调查评估,根据暴露的问题和调查评估的结果,对系统应急预案进行相应的修改和维护。
八、信息网络安全事件定义
(一)网络突然发生中断,如停电、线路故障、网络通信设备损 坏等。
(二)网站受到黑客攻击,主页被恶意篡改、交互式栏目里发表有煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实,故意散布谣言,扰乱秩序;破坏社会稳定的信息及损害国家、公司声誉和稳定的谣言等。
(三)单位内网络服务器及其他服务器被非法入侵,服务器上的数据被非法拷贝、修改、删除,发生泄密事件。
九、设置网络应急小组,组长由单位有关领导担任,成员由技术部门人员组成。采取统一管理体制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法。设置网络运行维护小组,成员由信息中心人员组成,确保网络畅通与信息安全。
十、加强网络信息审查工作,若发现主页被恶意更改,应立即停止主页服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放主页服务。信息发布服务,必须落实责任人,实行先审后发,并具备相应的安全防范措施(如:日志留存、安全认证、实时监控、防黑客、防病毒等)。建立有效的网络防病毒工作机制,及时做好防病毒软件的网上升级,保证病毒库的及时更新。
十一、信息部对公司网络实施24小时值班责任制,开通值班电话,保证与上级主管部门、电信部门和当地公安单位的热线联系。若发现异常应立即向应急小组及有关部门、上级领导报告。
十二、加强突发事件的快速反应。运行维护小组具体负责相应的网络安全和信息安全工作,网络管理员具体负责相应的网络安全和信息安全工作,不允许有任何触犯国家网络管理条例的网络信息,对突发的信息网络安全事件应做到:
(一)及时发现、及时报告,在发现后在第一时间向上一级领导或部门报告。
(二)保护现场,立即与网络隔离,防止影响扩大。
(三)及时取证,分析、查找原因。
(四)消除有害信息,防止进一步传播,将事件的影响降到最低。
(五)在处置有害信息的过程中,任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。
(六)追究相关责任。根据实际情况提出口头警告、书面警告、停止使用网络,情节严重和后果影响较大者,提交公司及国家司法机关处理,追究部门负责人和直接责任人的行政或法律责任。
十三、做好准备,加强防范。应急小组各部门成员对相应工作要有应急准备。针对网络存在的安全隐患和出现的问题,及时提出整治方案并具体落实到位,创造良好的网络环境。
十四、加强网络用户的法律意识和网络安全意识教育,提高其安全意识和防范能力;净化网络环境,严禁用于上网浏览与工作无关的网站。
十五、做好网络机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故,应立即组织人员自救,并报警。
十六、网络安全事件报告与处置。
事件发生并得到确认后,有关人员应立即将情况报告有关领导,由领导指挥处理网络安全事件。应及时向当地公安单位报案。阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作,有关违法事件移交公安单位处理。
信息中心
2021年3月15日