一、总则
(一)编制目的
健全完善乌兰察布职业学院网络与信息安全事件应急工作机制,规范网络与信息安全事件工作流程,提高应对网络与信息安全事件能力,预防和减少网络与信息安全事件造成的损失和危害,维护学院安全稳定和教学工作秩序。
(二)编制依据
《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》、《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)、《内蒙古自治区突发公共事件总体应急预案》、《内蒙古自治区突发事件应急预案管理办法》、《乌兰察布市突发公共事件总体应急预案》、《乌兰察布市突发事件应急预案管理办法》等相关规定。
(三)适用范围
本预案所指网络与信息安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他事件。
本预案适用于学院的网络与信息安全事件,指导全院网络与信息安全事件的应对处置工作。
(四)事件分类
网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障事件和灾害性事件等。
1、有害程序事件
分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
2、网络攻击事件
分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
3、信息破坏事件
分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
4、信息内容安全事件
是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
5、设备设施故障事件
是指由软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障导致的网络与信息安全事件。
6、灾害性事件
是指由自然灾害等其他突发事件导致的网络与信息安全事件。
(五)事件分级
网络与信息安全事件分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。
1、特别重大(I级)
网络与信息系统发生全局性大规模瘫痪,事态发展超出学院的控制能力,对国家安全、社会秩序、学院利益造成特别严重损害的突发事件。
2、重大(II级)
网络与信息系统造成全局性瘫痪,对国家安全、社会秩序、学院利益造成严重损害,需要上级相关部门协同处置的突发事件。
3、较大(III级)
某一部分的网络与信息系统瘫痪,对学院的网络安全、教育教学秩序、教师和学生的权益造成一定损害,但可以在一定时间内通过相应技术手段进行重建和恢复,不需要跨部门协同处置的突发事件。
4、一般(IV级)
单一网络与信息系统受到一定程度的损坏,对教师和学生的教育教学、办公及宣传工作有一定影响,但不危害学院的网络整体安全和秩序的突发事件。
(六)工作原则
1、统一指挥、密切协同
网络信息中心负责统筹学院网络安全应急指挥工作,建立与学院各部门、专业机构等多方参与的协调联动机制,加强预防、监测、报告和应急处置等环节的紧密衔接,做到快速响应、正确应对、果断处置。
2、分级管理、强化责任
按照“谁主管谁负责、谁运维谁负责”的原则,各二级单位负责人是网络安全工作第一责任人。
3、预防为主、平战结合
坚持事件处置和预防工作相结合,做好事件预防、预判、预警工作,加强应急支撑保障能力和安全态势感知能力建设。提高网络与信息安全事件快速响应和科学处置能力,抓早抓小,争取早发现、早报告、早控制、早解决,严控网络与信息安全事件风险和影响范围。
二、组织机构与职责
网络与信息安全事件应急处置工作组织机构由领导小组和领导小组办公室构成。
(一)应急处置工作领导小组
组长:党委书记、院长
副组长:分管网络信息中心、宣传部、保卫处工作的院领导,发生网络与信息安全事件的二级单位分管院领导
成 员:各部门主要负责人
主要职责:
1、贯彻落实国家、自治区、本市及上级单位有关网络与信息安全的方针政策和法律法规,组织制定《乌兰察布职业学院网络与信息安全事件应急预案》。
2、领导统筹网络与信息安全事件应对工作,建立健全联动处置机制,启动应急预案,负责网络与信息安全事件处置的组织指挥。
3、审定、部署、检查网络与信息安全事件的预防预警、应急处置、调查评估、信息发布、应急保障等工作,研究解决处置工作中的问题。
(二)应急处置工作领导小组办公室
网络安全与信息化领导小组下设办公室,办公室设在网络信息中心。
主 任:网络信息中心主任
副主任:宣传部、保卫处主要负责人,发生网络与信息安全事件的二级单位主要负责人
成 员:网络信息中心、宣传部、保卫处相关工作人员,发生网络与信息安全事件的二级单位网络信息安全联络员、系统负责人
主要职责:
1、组织起草《乌兰察布职业学院网络与信息安全事件应急预案》等相关规定。
2、承担值守应急工作,指导各部门网络与信息安全事件的预警和防控工作。
3、接收并处理网络与信息安全应急信息报告,配合相关部门积极开展应对处置工作。
4、负责网络与信息安全事件的预防预警、应急处置、调查评估、信息发布、应急保障、隐患排查整改等工作。
5、组织开展网络与信息安全培训,定期组织演练。
6、收集信息安全事件报告统计数据、编制统计报告、汇总工作情况、撰写工作总结。
7、负责与上级网络与信息安全应急协调机构的沟通联络工作。
8、负责完成应急处置工作领导小组交办的其它工作。
(三)各部门职责
乌兰察布职业学院各部门按照职责和权限,负责本部门网络和信息系统网络与信息安全事件的预防、监测、报告和应急处置工作。
三、信息监测与报告
(一)明确网络与信息安全监测责任
1、宣传部、网络信息中心负责互联网舆情监测,以及学院官网、官方新媒体平台的信息监控。
2、网络信息中心负责监测网络和信息系统的通信和资源使用异常,网络和信息系统瘫痪,应用服务中断或数据 篡改、丢失等情况。
3、保卫处负责外围设施的安保以及事件发生后与公安 机关相关部门的联系协调工作。
4、各二级部门负责本单位管理的二级网站、应用信息系统、动态性专题网站和新媒体平台的信息审核与监测。
(二)落实监测报告责任制
各二级部门要指定网络信息安全联络员负责信息监测工作,要落实责任制,按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全事件和可能引发突发事件的有关信息的收集、分析判断和持续监测。
当发生网络与信息安全事件时,按规定及时向应急处置工作领导小组办公室报告,重大的网络与信息安全事件要有日报告和态势进程报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。重要敏感时期要实行日报告制度,各二级部门按照应急办要求的报告频度及时上报监测情况。
(三)报告流程
1、如发现网络与信息安全事件,应立即采取措施控制事态,及时进行风险评估,并向应急领导小组办公室报告。
2、对于发生一般(IV级)级别的网络与信息安全事件,由应急处置工作领导小组办公室处理。
3、对于发生较大(III级)、重大(II级)、特大(I级)的网络与信息安全事件,由应急处置工作领导小组办公室第一时间向应急处置工作领导小组报告,按照本预案处置。
应急处置工作领导小组组织对监测信息进行研判,认为需要立即采取防范措施的,应当及时通知有关部门,对可能发生重大(II级)及以上网络与信息安全事件的信息及时间自治区教育厅、市委网信办和市公安局报告。
四、事件应急处置
(一)事件报告
网络与信息安全事件发生后,学院应立即启动应急预案,实施处置并及时报送信息。
1、控制事态发展,防控蔓延。事发部门先期处置,采用各种技术措施,及时控制事态,最大限度地防止事件蔓延。
2、快速判断事件性质和危害程度。尽快分析事件发生原因,根据网络和信息系统运行和承载业务情况,初步判断事件的影响、危害和可能波及到的范围,提出应对措施。
3、及时报告信息。事发部门在先期处置的同时要按照预案要求,及时向应急处置工作领导小组办公室和安全保卫处报告事件信息。对于初判为特别重大、重大网络事件的,应在规定时间内报告自治区教育厅、市委网信办和市公安局。
报告信息应包含网络与信息安全事件发生的时间、单位、影响人数、预计涉及损失及发生网络与信息安全事件的系统概况。
4、做好事件发生、发展、处置的记录和证据留存。
(二)应急响应
网络与信息安全事件应急响应分为四级,分别对应特别重大、重大、较大和一般网络与信息安全事件。I级为最高响应级别。
1、Ⅰ级响应、Ⅱ级响应
应急处置工作领导小组进入应急状态,在市委网信办的统一领导、指挥、协调下,负责我院应急处置工作或支援保障工作,24小时值班。应急处置工作领导小组跟踪事态发展,检查影响范围,及时将事态发展变化情况、处置进展情况报自治区教育厅、市委网信办。
2、Ⅲ级、Ⅳ级响应
学院按应急响应预案进行应急响应。
(三)应急处置
1、有害程序事件处置
(1)各二级部门网络信息安全联络员发现有害程序事件后,应立即将感染有害程序的办公电脑断网,在有害程序彻底清除干净前禁止连接到网络,并对该设备的硬盘进行数据备份。启用反有害程序软件对该机进行杀毒处理,同时通过有害程序检测软件对其他机器进行有害程序扫描和清除工作。
(2)如果感染有害程序的设备是服务器,网络信息安全联络员应立即联系有关产品厂商研究解决并上报本部门负责人和网络信息中心具体负责人。网络信息中心负责人组织相关技术人员研究采取恢复备份等措施,并立即告知各相关二级部门做好相应的清查工作。
2、网络攻击事件处置
(1)网络信息中心接到网络攻击事件后,应组织相关技术人员进行研究分析,制定解决方案。
(2)需要在核心网络安全设备和服务器进行封闭协议及端口、停止服务的操作,由网络信息中心在24小时内完成
处理。
(3)需要通过更新操作系统补丁的操作由网络信息中心协助使用部门尽快完成。
(4)需要应用软件进行升级更新处理的,网络信息中心通知使用部门联系软件厂商及时完成处理,在没有处理完成前关闭服务器外网访问。
(5)需要在办公电脑进行升级补丁的,由网络信息中心在校园网及时发布漏洞情况和处理步骤的通知,各二级部门组织进行升级维护工作。
3、信息破坏事件处置
(1)网络信息中心接到网络攻击事件后,应组织相关人员研判确定该攻击来源和影响范围。根据需要可以紧急切断中心网络的服务器及公网的网络连接,以保护重要数据及信息。
(2)如果攻击来自学院外,通过网络安全防护设备对此类攻击进行阻拦和过滤,组织技术人员并联系专家进行分析研究应对措施,并视情况严重程度决定是否关闭外网访问。
(3)如果攻击来自学院内,网络信息中心查找确定攻击源,切断攻击源相关设备网络连接。查到攻击源计算机IP
地址后,关闭该计算机校园网络连接,通知电脑使用者需清除病毒、恶意程序、木马程序或重装操作系统,运行2小时以上没有问题后提出联网申请,网络信息中心测试无问题后再接入校园网。
如果查明是学院内人员主观恶意网络攻击,应急处置工作领导小组视情节轻重,提交学院相关部门按学院规定进行处理,涉嫌触犯法律的移送公安机关依法处理。
4、学院内信息内容处置
(1)各二级部门网络信息安全联络员发现信息内容事件后,应及时删除不良信息,并清查整个网站所有内容,确保没有任何其它不良信息。
(2)网络信息安全联络员应将事件具体情况以书面形式上报至宣传部及网络信息中心。
(3)网络信息中心组织相关工作人员立即通过内网防火墙切断网站服务器外网连接。备份不良信息的相关目录、日志。隔离出现不良信息的目录,进行安全性检测,去除不安全隐患,关闭不安全栏目。如果服务器遭到破坏则恢复备份数据。恢复正常后重新连接网站服务器及防火墙外网网络连接,并测试网站运行。
5、互联网信息内容处置
(1)由于没有互联网信息内容处置的直接处理权限,要按以下流程应急响应。
(2)宣传部、网络信息中心负责指定专人进行互联网信息内容监测,定时搜索、收集负面信息内容信息,重要敏感时期提高搜索次数。突发事件发生后,立刻向应急处置工作领导小组报告,并组织人员24小时收集信息,做到第一时间监测、收集、研判信息内容发展走向,及时上报信息内容动态。信息内容监测及信息收集人员要及时监看网络、广播、电视、报刊等媒体,实时收集核查信息来源、扩散情况(转载转播频率、点击率、收视率)等相关指标,跟踪掌握信息内容发展、衍变、处置成效等情况,为应急处置工作领导小组提供参考意见。
(3)在处置负面互联网信息时,坚决维护党和国家权威,维护社会稳定,维护学院形象。应急处置工作领导小组办公室负责及时展开事件调查,快速形成报告,为澄清事实、消除影响提供有力证据。针对调查情况,及时研究并向应急处置工作领导小组提出事件应急处置的对策和建议。由应急处置工作领导小组根据事件性质及严重程度决定是否向上级主管部门报告、请求支援、删除网上负面信息。
(4)充分发挥团结协作精神,上下沟通、左右协调,步调统一、各司其职,形成强大的工作合力。实事求是、循序渐进地发布信息,统一发布口径,报请应急处置工作领导小组审定,根据事件性质和演变情况决定是否组织新闻发布会。宣传部负责组织做好相关网络、报刊、广播、电视等媒体的联络沟通及接待工作。如校园内发生网络与信息安全事件,需进行信息发布与新闻报道的,参考上述办法。
6、设备设施故障事件处置
(1)各二级部门网络信息安全联络员发现有害程序事件后,应对事件分析、确认故障设备,准确定位设备位置。切换备用设备,验证切换后的设备设施正常运行情况。
(2)尽可能备份当前系统和数据。
(3)分析设备故障原因,及时进行修理。或购置新设备进行替换。涉敏感数据、设备需要外送修理时,应按国家法规寻找有资质的单位进行修理。
(4)对于无法修理的应清理数据、消磁处理,采购新的设备,保证设备冗余状态。
7、灾害性事件和其他事件处置
(1)各二级部门网络信息安全联络员发现灾害性事件后,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
(2)其它没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体的情况,做出相应的处理。不能处理的可以向相关专业安全机构请求帮助。
(四)应急结束
1、Ⅰ级、Ⅱ级响应结束
市委网信办提出建议,报应急处置工作领导小组决定后,及时通报有关部门。
2、Ⅲ级、Ⅳ级响应结束
学院应急办决定,报应急处置工作领导小组。
五、后期处置
(一)恢复重建
恢复重建工作按照“谁主管谁负责,谁运行谁负责”的原则,由事发部门负责组织制定恢复、整改或重建方案,报应急处置工作领导小组审核实施。
(二)调查与评估
应急处置工作领导小组办公室组织调查处理和总结评估,其中重大网络与信息安全事件相关总结调查报告报自治区教育厅、市委网信办。总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。事件的调查处理和总结评估工作原则上在应急响应结束后5天内完成。
(三)经验总结
网络与信息安全突发事件应急处置工作结束后,发生网络与信息安全事件的责任部门应分析应急经验教训,提出改进应急处置工作的建议,于应急终止后3个工作日内,完成应急总结报告并提交《网络与信息安全事件整改报告单》至应急处置工作领导小组办公室存档。
六、预防工作
(一)日常管理
各部门按职责做好网络与信息安全事件日常预防工作,制定完善相关应急预案,做好网络安全检查、隐患排查、风险评估和容灾备份,健全网络安全信息通报机制,及时采取有效措施,减少和避免网络与信息安全事件的发生及危害,提高应对网络与信息安全事件的能力。
(二)应急演练
应急处置工作领导小组办公室协调有关部门定期组织演练,检验和完善预案,提高实战能力。每年至少组织一次预案演练。
(三)宣传培训
每年定期对全院师生,宣传网络与信息安全事件预防和处置的有关法律、法规和政策,开展网络安全基本知识和技能的宣传活动。对各部门负责人及网络信息安全联络员定期培训网络与信息安全事件的应急知识相关内容,加强网络与信息安全应急预案的培训,提高防范意识及技能。
(四)重要敏感时期的预防措施
在国家、自治区、我市、学院重要活动、会议期间,应急处置工作领导小组办公室要加强网络与信息安全事件的防范和应急响应,确保网络安全。加强网络安全监测和分析研判,及时预警可能造成重大影响的风险和隐患,重点部门、重点岗位保持24小时值班,及时发现和处置网络与信息安全事件隐患。
七、保障措施
(一)信息保障
建立健全并落实网络与信息安全事件信息收集、传递、报送、处理等各环节运行机制,完善信息传输渠道,确保信息报送渠道的安全畅通。
(二)物资保障
应储备充足物资和备用设备,保障应对网络与信息安全事件的需求。
(三)资金保障
将应急资金纳入财务预算,为突发事件舆情处置工作提供必要的财力支持。
(四)人员保障
其他二级部门相关人员作为网络与信息安全事件应急预备队,可根据工作需要,安排应急工作。
(五)责任与奖惩
1、网络与信息安全事件应急处置工作实行责任追究制。
2、应急处置工作领导小组办公室应急处置工作办对网络与信息安全事件应急管理工作中作出突出成绩的先进集体和个人给予表彰和奖励。
3、应急处置工作领导小组办公室对不按照规定制定预案和组织开展演练,迟报、谎报、瞒报和漏报网络与信息安全事件重要情况或者应急管理工作中有其他失职、渎职行为的,依照相关规定对有关责任人给予处分;构成犯罪的,依法追究刑事责任。
八、附则
(一)预案管理
本预案原则上每年评估一次,根据实际情况适时修订,修订工作由应急处置工作领导小组办公室负责。
(二)预案解释
本预案由应急处置工作领导小组办公室负责解释。
(三)预案实施时间
本预案自印发之日起实施。
附件: 1、网络与信息安全事件应急处置流程图
2、网络与信息安全事件报告单
3、网络与信息安全事件整改报告单
4、网络与信息安全风险隐患整改通知单
5、网络与信息安全风险隐患整改报告单
6、重要敏感信息定义
