组织体系
成立今晚看图中一肖一特信息网络安全领导小组,组长由党委书记担任,副组长由院长担任。成员包括:学院办公室、宣传部、信息化办公室。
二、工作职责
1.研究提出信息网络安全应急机制建设规划,检查、指导和督促网络与信息安全应急机制建设。指导督促重要信息系统应急预
案的修订和完善,检查落实预案执行情况。
2.发生I级、II级、Ⅲ级信息网络安全突发事件后,决定启动本预案,组织应急处置工作。如信息网络安全突发事件属于I级、II级的,向省教育厅有关部门通报并协调配合处理。
3.指导应对信息网络安全突发事件的科学研究、预案演习、宣传培训,督促应急保障体系建设。
4.及时收集信息网络安全突发事件相关信息,分析重要信息并提出处置建议。对可能演变为I级、II级、Ⅲ级的网络与信息安全突发事件,应及时向领导小组提出启动本预案的建议。
5.负责提供技术咨询、技术支持,参与重要信息的研判,信息网络安全突发事件的调查和总结评估工作,进行应急处置工作。
第三章监测、预警和先期处置
一、信息监测与报告
1.要进一步完善信息网络安全突发事件监测、预测、预警制度。按照“早发现、早报告、早处置”的原则,加强对各类信息网络安全突发事件和可能引发信息网络安全突发事件的有关信息的收集、分析判断和持续监测。当发生信息网络安全突发事件时,在按规定向有关部门报告的同时,按紧急信息报送的规定及时向矿领导汇报,汇报内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
2.建立24小时值班制度,避免因信息网络安全突发事件发生后,必要的信息通报与指挥协调通信渠道中断。
3.每周应总结信息网络安全自查工作情况:
(1)恶意人士利用我校网络从事违法犯罪活动的情况。
(2)网络或信息系统通信和资源使用异常,网络和信息系统瘫痪、应用服务中断或数据篡改、丢失等情况。
(3)网络恐怖活动的嫌疑情况和预警信息。
(4)网络安全状况、安全形势分析预测等信息。
(5)其他影响网络与信息安全的信息。
二、预警处理与预警发布
1.对于可能发生或已经发生的信息网络安全突发事件,系统管理员应立即采取措施控制事态,并在2小时内进行风险评估,判定事件等级并发布预警。必要时应启动相应的预案,同时向信息安全领导小组汇报。
2.领导小组接到汇报后应立即组织现场救援,查明事件状态及原因,技术人员应及时对信息进行技术分析、研判,根据问题的性质、危害程度,提出安全警报级别。
三、先期处置
1.当发生信息网络安全突发事件时,及时做好先期应急处置工作并立即采取措施控制事态,必要时采用断网、关闭服务器等方式防止事态进一步扩大,同时向信息网络安全领导小组通报。
2.信息网络安全领导小组在接到信息网络安全突发事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势。对有可能演变为Ⅲ级信息网络安全突发事件技术人员提出建议方案,并作好启动本预案的各项准备工作。信息安全领导小组根据网络与信息安全突发事件发展态势,视情况决定现场指导、组织设备厂商或系统集成商应急支援力量,做好应急处置工作。对有可能演变为II级或I级的信息网络安全突发事件,要根据省教育厅的要求上报省教育厅有关部门赶赴现场指挥、组织应急支援力量,积极做好应急处置工作。
第四章 应急处置
一、应急指挥
1.本预案启动后,领导小组要迅速建立与现场通讯联系。抓紧收集相关信息,掌握现场处置工作状态,分析事件发展趋势,研究提出处置方案,调集和配置应急处置所需要的人、财、物等资源,统一指挥信息网络安全应急处置工作。
2.需要成立现场指挥部的,立即在现场开设指挥部,并提供现场指挥运作的相关保障。现场指挥部要根据事件性质迅速组建各类应急工作组,开展应急处置工作。
二、应急处置
在信息安全事件发生时技术人员应对事件进行动态监测、评估,及时将事件的性质、危害程度和损失情况及处置工作等情况及时报领导小组,属于I级、II级信息安全事件的,同时报矿调度。
根据自然事件或人为破坏这两种情况把应急处置方法分为两个流程。
流程一:当发生的信息安全事件为自然安全事件时,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
流程二:当人为或病毒破坏的信息安全事件发生时,具体按以下顺序进行:判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的IP或其它网络用户信息,修复被破坏的信息,恢复信息系统。
按照信息安全事件发生的性质分别采用以下方案:
(1)病毒传播:针对这种现象,要及时断开传播源,判断病毒的
性质、采用的端口,然后关闭相应的端口,公布病毒攻击信息以及防御方法。
(2)入侵:对于网络入侵,首先要判断入侵的来源,区分外网与内网。入侵来自外网的,定位入侵的IP地址,及时关闭入侵的端口,限制入侵地IP地址的访问,在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的,查清入侵来源,如IP地址、上网帐号等信息,同时断开对应的交换机端口。然后针对入侵方法建设或更新入侵检测设备。
(3)信息被篡改:这种情况,要求一经发现马上断开相应的信息上网链接,并尽快恢复。
(4)网络故障:一旦发现,可根据相应工作流程尽快排除。
(5)其它没有列出的不确定因素造成的网络安全事件,可根据总的安全原则结合具体的情况,做出相应的处理。不能处理的可以请示相关的专业人员。
三、扩大应急
经应急处置后,事态难以控制或有扩大发展趋势时,应实施扩大应急行动。要迅速召开信息安全工作领导小组会议,根据事态情况,研究采取有利于控制事态的非常措施,并向省教育厅信息网络安全应急小组请求支援。
四、应急结束
信息网络安全突发事件经应急处置后,得到有效控制,将各监测统计数据报信息安全工作领导小组,提出应急结束的建议,经领导批准后实施。
五、后期处置
在应急处置工作结束后,信息安全工作领导小组应立即组织有关人员和专家组成事件调查组,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失状况和总结经验教训,写出调查评估报告。
第五章 应急保障
一、通信与信息保障
领导小组各成员应保证电话24小时开机,以确保发生信息安全事故时能及时联系到位。
二、应急装备保障
各重要信息系统在建设系统时应事先预留出一定的应急设备,做好信息网络硬件、软件、应急救援设备等应急物资储备工作。在网络与信息安全突发事件发生时,由领导小组负责统一调用。
三、数据保障
重要信息系统建立容灾备份系统和相关工作机制,保证重要数据在受到破坏后,可紧急恢复。
四、应急队伍保障
按照一专多能的要求建立网络与信息安全应急保障队伍。由省教育厅监测中心、省教育科研网信息中心与我校有密切业务联系且服务能力较强的单位作为我校网络与信息安全的社会应急支援单位,提供技术支持与服务。
五、交通运输保障
确定信息网络安全突发事件应急交通工具确保应急期间人员、物资、信息传递的需要,并根据应急处置工作需要,由领导小组统一调配。