网络与信息安全突发事件专项应急方案.docx

网络与信息安全突发事件专项应急方案1总则1.1 编制目的1.1.1 目的为了提高学院应对网络与信息突发安全事件能力，保障基础信息网络和重要信息系统安全运行，创造良好的企业网络运行环境，预防、制止以及及时、果断处置网上重大事件，减少危害，消除影响，确保计算机网络系统的安全运行，最大限度地遏制有害信息在企业网上传播,特制定本预案。1.2 编制依据本预案依据如下条例及文件：中华人民共和国计算机信息系统安全保护条例计算机信息网络国际联网安全保护管理条例国家突发公共事件总体应急预案信息安全事件分类分级指南（国家标准）中国石油天然气集团公司突发事件信息报送办法（中油办字（2006）375号）中国石油天然气集团公司突发事件总体应急预案某某石油管理局突发事件总体应急预案某某师范学院突发事件总体应急预案13适用范围本预案适用于大学师范学院网络与信息安全突发事件的应急处置。1.4 编制原则以人为本，预防为主；统一领导，分级负责；依法规范，加强管理;快速反应，协同应对;依靠科技，资源整合。1.5 概要随着学院信息化建设的不断发展,信息网络和信息系统的广泛应用已经成为学院教学和发展不可缺少的有力支撑。我院历来重视校园网络与信息安全工作，并不断加强基础保障工作，明确技术保障措施,使之有了长足的进步；同时我们也清醒的认识到校园网络存在着安全隐患，以及遭受更大威胁的风险。因此我们结合当前校园信息化的基本情况，重点针对基础网络和重要信息系统中可能发生的重大突发性安全事件，编制了此应急处置预案。在编制过程中，重点研究了当前学院信息化建设和网络与信息安全的现状及发展趋势，是保障我院网络与信息安全的重要工作手册。2应急组织机构和职责2.1 组织机构2.1.1 学院网络与信息安全应急领导小组组长：副组长：成员：机科学与信息技术系主任2.1.2 校园网信息安全应急办公室院应急领导小组下设应急办公室,设在信息中心。主任：胡海洋副主任：张海琦成员：2.2 应急职责2.2.1 校园网与信息安全应急领导小组职责应急领导小组组长是应急预案实施的负责人，在紧急情况下有权作出有利于应急预案实施的决策；负责组织对突发事件实施应急预案；负责与相关部门和单位应急处置的协调工作,组织开展处置和防范控制工作；落实应急人员和应急设备、器材及其它应急物资，并做到专物专用；负责组织应急程序的修订。2.2.2 校园网与信息安全应急办公室职责负责校园网络与信息的监控,迅速了解、掌握信息安全事件及其事态进展情况,报告上级应急处置工作组，通报相关部门；及时制定我院网络和信息安全事件处置工作方案，并且提出相关单位配合处置工作建议,上报上级应急处置工作组，同时迅速开展各项处置工作；负责对我院网络和信息安全事件的调查,必要时成立专家小组进行调查；组织现场处置组和技术专家组进行现场处置，控制事态发展；负责对整个应急行动跟踪记录并编写最终报告；向有关部门通报情况，与有关部门配合，组织指导联网单位、接入服务和信息服务单位采取防范控制措施,并对措施落实情况进行监督检查；负责组织员工进行应急程序培训，不定期举行应急演习；执行上级领导的处置决策，完成交办的其他任务。3分类分级3.1 事件类型根据网络与信息安全事件的发生原因、性质和机理，网络与信息安全事件主要分为以下三类：攻击类事件：指网络与信息系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况；故障类事件:指网络与信息系统因设备软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况；灾害类事件：指因爆炸、火灾、雷击、地震、台风等外力因素导致网络与信息系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。3.2 分级按照网络与信息安全事件的性质、严重程度、可控性和影响范围，将其分为I级应急事件、H级应急事件、In级应急事件。I级网络与信息安全事件。指重要网络与信息安全事件发生，造成全局性大规模瘫痪,对全院的生产经营、公共安全和利益造成特别严重损害的突发公共事件。H级网络与信息安全事件。指较大的网络与信息安全事件的发生，影响到院属各单位的网络和信息系统的运行,扩散性强。山级网络与信息安全事件。指一般的网络与信息安全事件的发生，影响到基层单位的网络和信息系统的运行，基本无扩散性。4应急报告4.1 报告程序4.1.1 信息监测与报告4.1.1.1 各重要信息系统主管部门和运行维护单位要进一步完善网络与信息安全突发事件监测、预测、预警制度。要落实责任,制定本单位信息通报工作制度。按照“早发现、早报告、早处置”的原则，加强对各类网络与信息安全突发事件和可能引发网络与信息安全突发公共事件的有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发事件时，事发单位在按规定向有关部门报告的同时，按紧急信息报送的规定及时向校园网络和信息安全办公室报告。初次报告最迟不得超过1小时，重大和特别重大的网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。4.1.1.2 各重要信息系统主管部门及相关负责人员应确立2个以上的即时联系方式，事发单位通过固定电话、移动电话、互联网等多种联系方式进行报警，避免因信息网络突发公共事件发生后,必要的信息通报与指挥协调通信渠道中断。4.1.2 预警处理与预警发布4.1.2.1 对于可能发生或已经发生的网络与信息安全突发事件，事发单位应立即采取措施控制事态，并在2小时内进行风险评估,判定事件等级并在本系统发布预警。必要的应启动相应的预案，同时向学院应急办公室通报。4.1.2.2 学院应急办公室接到报告后，应及时向相关部门（单位）通报情况。各部门（单位）接到通报后应立即组织现场救助，查明事件状态及原因，并反馈给学院应急办公室。4.1.23学院应急办公室接到报告后应及时组织有关专家对信息进行技术分析、研判，根据问题的性质、危害程度，提出安全警报级别，并及时向学院应急领导小组报告。4.1.2.4各相关应急联动机构应根据发布的预警信息,做好相应的网络与信息安全应急保障准备工作。4.2报告内容事发单位需要报告事件的细节信息，包括事件造成的损失、影响以及现场控制情况,并尽可能全面了解与事件有关的信息。5应急准备全院有关部门和重点单位要按照职责分工和相关预案，切实做好应对网络与信息安全事件的人力、物力、财力、通讯等保障工作，保证应急救援工作和恢复重建工作的顺利进行。5.1 应急队伍保障5.1.1 应急救援队伍以信息中心的应急救援队伍为主，队伍应满足人员整齐、训练有素、应急救援能力强的条件，其他各单位的应急救援队伍在校园网与信息安全应急领导小组的统一指挥和调配下，做好随时增援的准备。5.1.2 校园网安全应急防范中心负责组建全局网络与信息安全事件应急响应专业队伍，培养骨干力量。5.2 经费保障网络安全应急领导小组负责落实网络与信息安全事件应急管理工作专项经费预算。校园网络安全应急办公室负责落实网络与信息安全事件应急管理工作的日常运作、应急处置和基础设施运维等应急管理经费预算。5.3 物资保障53.1 应急救援物资的储备以信息中心为主，由学院负责统一采买。物资储备做到种类齐全、保质保量。在特殊条件下，应急安全小组将统一调拨其他单位储备的应急救援物资。53.2 信保障校园网络安全应急办公室负责建立、健全应急通信保障工作体系，根据需要配备通讯设备和交通工具，确保通信畅通。53.3 他储备根据突发网络信息安全事件实际情况，由校园网应急领导小组临时调拨和协调。6启动条件6.1 记录与了解接到网络与信息安全事件报告后，要先详细记录该事件的细节信息，了解事件造成的损失、影响以及现场控制情况,并尽可能全面了解与事件有关的信息。6.2 事件确认与判断在汇总相关信息的基础上，及时判断事件性质，并根据判定结果，开展下一步的工作O6.2.1 属于网络与信息安全事件的，应参考数据库对该次事件做进一步的事件验证,确认属于网络与信息安全事件的，应进入事件分析流程。6.2.2 属于误报的,值班人员应对该事件进行记录和处理。6.2.3 对于与网络与信息安全无关的事件，值班人员也应做好记录，并将事件转交给相关主管机构处理。6.3 事件分析事件确认后，根据掌握的信息,分析事件已经造成的损失和预计损失、事件的严重程度和扩散性等情况。6.4 启动应急预案校园网络和信息安全事件应急办公室根据事件分析的结果，按照网络与信息安全事件等级判断标准拟定事件等级校园网络和信息安全事件应急领导小组，由领导小组组长宣布启动预案。7应急处置7.1 应急上报7.1.1 当网络与信息安全事件发生后，事发单位、责任单位和相关工作机构要按照相关应急预案和报告制度，在立即组织抢险救援的同时，及时汇总信息并迅速报告上级主管部门和校园网络与信息安全应急办公室。按照事件的严重程度、事态发展和控制情况进行续报和终报。报告必须及时、真实,任何人不得隐瞒、缓报、谎报。7.1.2 发生一般网络与信息安全事件,事发单位必须在半小时内向校园网络与信息安全应急办公室口头报告，在1小时内向校园网络与信息安全应急办公室书面报告；较大以上网络与信息安全事件或特殊情况，立即报告。7.1.3 发生重大网络与信息安全事件，校园网络与信息安全应急办公室、责任单位等必须在接报后1小时内分别向院应急领导小组书面报告;特别重大网络与信息安全事件或特殊情况，立即报告。7.2 救援队伍的组织校园网络与信息安全应急办公室根据具体的网络与信息安全事件，负责组织协调信息安全专家、网络专家、信息系统专家等各类应急响应技术人员。校园网络与信息安全应急领导小组负责明确和协调处置机构或人员在应急响应过程中所需的权限。7.3 救援物资的组织校园网络与信息安全应急办公室根据应急数据库中的信息获取处置事件所必需的资源，如网络与通讯资源、计算机设备、网络设备、网络安全设备与软件、处置案例等，为应急事件的处置提供物资保障。7.4 现场应急处置7.4.1 事件发生单位和现场应急处理工作组尽最大可能收集事件相关信息，辨别事件类别，确定事件来源,保护证据，以便缩短应急响应时间。7.4.2 检查威胁造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性，检查攻击者是否侵入了系统，以后是否能再次随意进入，损失的程度，确定暴露出的主要危险等。7.4.3 抑制事件的影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略一般包括：关闭服务器或关闭所有的系统,从网络上断开相关系统，修改防火墙和路由器的过滤规贝L封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路，提高系统或网络行为的监控级别，设置陷阱,启用紧急事件下的接管系统，实行特殊“防卫状态”安全警戒,反击攻击者的系统等。7.43.1 网站、网页出现非法言论事件紧急处置措施网站、网页由主办部门的值班人员负责随时密切监视信息内容；发现在网上出现非法信息时，值班人员应立即向本单位信息安全负责人通报情况;情况紧急的,应先及时采取删除等处理措施，再按程序报告；信息安全相关负责人应在接到通知后立即赶到现场,做好必要记录,清理非法信息，妥善保存有关记录及日志或审计记录，强化安全防范措施，并将网站网页重新投入使用；追查非法信息来源,并将有关情况向本单位网络领导小组汇报。7.43.2 黑客攻击事件紧急处置措施当有关值班人员发现网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时,应立即向信息安全负责人通报情况；信息安全相关负责人应在接到通知后立即赶到现场，并首先将被攻击的服务器等设备从网络中隔离出来,保护现场,并将有关情况向本单位信息化领导小组汇报；对现场进行分析，并写出分析报告存档,必要时上报主管部门；恢复与重建被攻击或破坏的系统。7.4.33病毒事件紧急处置措施当发现有计算机被感染上病毒后，应立即向信息安全负责人报告，将该机从网络上隔离开来；信息安全相关负责人员在接到通报后立即赶到现场；对该设备的硬盘进行数据备份；启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描和清除工作；如果现行反病毒软件无法清除该病毒，应立即向本单位信息化领导小组报告，并迅速联系相关产品商研究解决；信息化领导小组经会商，认为情况严重的,应立即向管理信息化主管部门和市公安部门报警；如果感染病毒的设备是主服务器，经本单位信息化领导小组同意，应立即告知各下属单位做好相应的清查工作。7.43.4 软件系统遭破坏性攻击的紧急处置措施重要的软件系统平时必须存有备份，与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份，并将它们保存于安全处；一旦软件遭到破坏性攻击,应立即向信息安全负责人报告，并将该系统停止运行;检查信息系统的日志等资料，确定攻击来源，并将有关情况向院信息化领导小组汇报,再恢复软件系统和数据。7.43.5 数据库安全紧急处置措施在有条件的地区，主要数据库系统应按双机预备设置，并至少要准备两个以上数据库备份,平时一个备份放在机房，另一个备份放在另一安全的建筑物中；一旦数据库崩溃,值班人员应立即启动备用系统,并向信息安全负责人报告；在备用系统运行期间，信息安全工作人员应对主机系统进行维修并作数据恢复；如果两套系统均崩溃而无法恢复,应立即向有关厂商请求紧急支援。7.4.3.6广域网外部线路中断紧急处置措施广域网主、备用线路中断一条后，值班人员应立即启动备用线路接续工作，同时向信息安全负责人报告；信息安全相关负责人员接到报告后,应迅速判断故障节点，查明故障原因；如属我院管辖范围，由信息安全工作人员立即予以恢复；如属电信部门管辖范围，立即与电信维护部门联系，要求修复；如果主、备用线路同时中断，信息安全相关负责人应在判断故障节点，查明故障原因后，尽快研究恢复措施，并立即向本单位信息化领导小组汇报。7.43.7 局域网中断紧急处置措施设备管理部门平时应准备好网络备用设备，存放在指定的位置；局域网中断后，信息安全相关负责人员应立即判断故障点，查明故障原因，并向网络安全组组长汇报；如属线路故障,应重新安装线路； 如属路由器、交换机等网络设备故障，应立即从指定位置将备用设备取出接上，并调试通畅； 如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调测通畅。7.43.8 设备安全紧急处置措施小型机:服务器等关键设备损坏后，值班人员应立即向信息安全负责人报告；信息安全相关负责人员立即查明原因；如果能够自行恢复，应立即用备件替换受损部件；如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修；如果设备一时不能修复，应向本单位信息化领导小组汇报。7.4.4 根除。在事件被抑制之后，通过对有关恶意代码或行为的分析结果,找出事件根源，明确相应的补救措施并彻底清除。与此同时，执法部门和其他相关机构将对攻击源进行定位并采取合适的措施将其中断。7.4.5 清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心,避免出现误操作导致数据的丢失。另外,恢复工作中如果涉及到机密数据，需要额外遵照机密系统的恢复要求。对不同任务的恢复工作的承担单位，要有不同的担保。如果攻击者获得了超级用户的访问权，一次完整的恢复应该强制性地修改所有的口令。8应急终止8.1 对于重要和较大的网络与信息安全事件，在应急处置工作结束，或者相关危险因素消除后，根据校园网络和信息安全应急领导小组的建议,决定终止实施应急措施，转入常态管理。8.2 对于一般的网络与信息安全事件,应急结束的判断标准为信息系统和业务恢复正常，由该事件衍生的其它事件已经消失,安全隐患已经消除。由校园网络和信息安全应急领导小组宣布应急结束，转入常态管理。9附则9.1 本预案由某某师范学院网络与信息安全应急办公室组织制定、负责解释。根据实际情况的变化,及时进行修订。9.2 本预案依据某某石油管理局突发事件总体应急预案的相关规定进行管理9.3 院属各单位及相关部门按照预案规定，履行各自职责，落实各项规定。