汕尾职业技术学院网络与信息安全
应急预案
为有效预防、及时控制和妥善处理网络和信息安全类突发事件,建立健全应急机制,提高快速反应和应急处理能力,保证正常的教学、科研、生活秩序,维护学校稳定,特制定本预案。
一、适用范围
我校校园网运行及网络信息方面发生的有可能影响学校、社会和国家安全稳定的紧急事件;由于其他重大事件的发生影响到我校校园网正常运行或校园网络信息安全,并由此可能影响到学校、社会、国家安全稳定的事件。
影响或破坏网络运行及网络信息安全的事件可分为校园网络安全事件和网络信息安全事件两类:校园网络安全事件主要指校园网络实体中线路、网络设备、服务器设备等出现的被病毒和恶意攻击带来的安全事件;网络信息安全事件主要指校园网络中各信息服务设备中出现的信息安全事件,如非法信息、泄密事件等。
二、编制依据
(一)《中华人民共和国计算机信息系统安全保护条例》
(二)《中华人民共和国计算机信息网络国际互联网管理暂行规定》
(三)《汕尾职业技术学院网络与信息安全工作责任制实施细则》
(四)《汕尾职业技术学院网络安全与舆情管控制度》
(五)《汕尾职业技术学院校园APP管理办法》
(六)《汕尾职业技术学院校园网中心机房管理办法》
三、工作原则
按照“预防为主,积极处置”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,加强信息的审查和备案工作,确保网络与信息安全。预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,维护社会和学校稳定,尽快使网络和系统恢复正常,做好网络运行和信息安全保障工作,提高突发事件的应急处置能力。
四、组织结构与职责分工
网络与信息安全应急处置工作组人员由汕尾职业技术学院网络安全与信息化专家组校内专家5人组成。
人员职责:当校园网中出现危害国家安全、社会稳定和学校正常教学秩序的非法信息时,负责及时清理,会同有关部门积极查找非法信息的来源,并按照有关的法律法规及学校的规章制度进行处理。当由于系统崩溃、病毒攻击、非法入侵等原因造成校园网运行异常或瘫痪时,负责及时发现并找出原因,尽快恢复网络的正常运行。
五、预防措施与应急处置
(一)网络信息安全事件的预警和处置办法
1.网络信息安全事件分类
网络信息安全事件可分为:(1)特别重大的事件:校园网上出现大面积的串联、煽动和蛊惑信息;主页出现反动、煽动分裂、破坏稳定等反动政治信息及链接的,出现较大的泄、失密事件。(2)重大事件:校园网BBS上出现不良信息、主页出现淫秽信息及链接的。(3)较大事件:校园网用户邮箱出现大量非法宣传邮件;校园网用户未经审批在校园网上私自设立网站并提供非法信息。
2.预防措施
(1)对校园网实施动态监控,做好工作日志,加强防范,监视事件的发展动态,争取主动,控制事件升级。针对校内外校园网发生的信息安全事件,如发表不正当言论,应及时通知有关部门做好思想政治工作,正面宣传争取主动,做到“可散不可聚,可顺不可激,可分不可结”。
(2)启动过滤措施,提高信息安全级别;提高各服务器的安全级别与安全级别设置。
(3)追查非法信息的发布源,及早按照学校有关规定严肃处理;控制非法信息传播区域。
(4)根据需要购置网络监控系统,更新网络设备,以提高技术监控能力。
(5)当发现或接到举报,对于大量接受和发送有害信息邮件的邮件账户,进行临时关闭,并将用户情况报指挥组。
3.处置办法
(1)立即定位有害信息,对有害信息立即备份留查,然后删除有害信息并立即报告学校党委和市委网信办。
(2)服务器大面积甚至全部出现有害信息时,应立即停止服务器的网路连接或网络服务,进行隔离,做好善后处理工作,待问题解决后恢复网络服务。
(3)特殊情况下,进行单机或区域隔离。
(二)校园网运行安全事件预警和处置办法
1.网络运行安全事件分类
网络运行安全事件分类可分为:(1)由于病毒攻击、非法入侵等原因,校园网部分楼宇或整个校园网出现网络瘫痪。(2)由于病毒攻击、非法入侵等原因,FPT及部分网站服务器不能响应用户请求。(3)由于病毒攻击、非法入侵等原因,校园网络中心全部DNS、主WEB服务器不能正常工作。(4)由于病毒攻击、非法入侵、人为破坏或不可抗力等原因,造成校园网出口中断。
2.预防措施
(1)网络管理员对校园内外所属网络硬件软件设备及接入网络的计算机设备定期进行全面检查,封堵、更新有安全隐患的设备及网络环境。
(2)加强对校园网内计算机设备的管理,加强对重要网络设备的软件防护以及硬件防护,确保正常的运行软件硬件环境。
(3)节假日、举行重大活动和发生重大事件时,安排专人对网络的运行进行监控并及时删除各类有害信息。
(4)切实做好计算机网络设备的防雷、防盗和防信号非法接入。若有以上情况发生,在向相关领导及时报告的同时,还应向公安网监部门报告。
3.处置办法
(1)针对校园网内发生的网络运行安全事件,及时公布检查办法、补丁下载,做好重要信息备份。同时做好技术防范,避免损失。
(2)对于病毒传播,病毒性恶意攻击,在校园网上公布病毒攻击的情况、病毒特征以及相应的处理办法和工具。同时要求相关用户进行病毒清除工作,对于置之不理的用户或部门,将关闭其网络连接,孤立病毒攻击,将危害减少到最小。
(3)启动过滤措施,提高校园网安全级别。更改防火墙的安全设置,提高各服务器的安全级别设置,增强安全过滤级别。
(4)对于来自校园网络外的攻击,首先确定攻击源地址,在出口防火墙上过滤该攻击源,并请求网络运行商进行技术支援,联合监控和过滤该攻击。
(5)对来自校内的攻击,确定攻击源,进行个体隔离,如果不能进行个体隔离,将实行区域隔离,直至大面积关闭相关网络。
(6)对于大量接收和发送垃圾邮件、病毒邮件的邮件账户,进行临时关闭,防止导致邮件服务器负荷过重而瘫痪。通知用户进行个人计算机的病毒清除工作,待系统恢复正常后,再申请开通。
(7)根据对校园网运行安全的影响,关闭部分服务器和网络设备,甚至临时关闭全网进行短暂的休眠疗法;然后逐个子网试验性开通,查出导致全网瘫痪的病毒或攻击源。
(8)在服务器系统崩溃时,起用备用服务器。在病毒攻击或其他原因造成网络管理设备处理能力不足或网络设备损坏时,用备用网络设备替换损坏设备。
(9)校园网络的接入单位和个人,必须服从应急工作组的安排,积极配合工作,排查病毒和恶意攻击,配合追查恶意攻击者。
六、善后处理
对突发的信息网络安全事件应做到:
(一)及时发现、及时报告,在发现后及时向学校党委和市委网信办报告。
(二)保护现场,立即与网络隔离,防止影响扩大。
(三)及时取证,分析、查找原因。
(四)消除有害信息,防止进一步传播,将事件的影响降到最低。
(五)在处置有害信息的过程中,任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。
(六)追究相关责任。根据实际情况提出口头警告、书面警告、停止使用网络,情节严重和后果影响较大者,提交学校及国家司法机关处理,追究单位负责人和直接责任人的行政或法律责任。
七、信息报告
除第一时间向学校党委、市委网信办报告,还需立即通知网络运行商,并向省市业务主管部门、省市公安部门报告。
八、应急演练
按照《网络与实训中心网络安全应急演练实施方案》,每年至少组织二次应急演练。
