为了切实做好对学校校园网络及信息系统突发事件的防范和应急处理工作,进一步提高我校预防和控制网络及信息系统突发事件的能力和水平,减轻或消除突发事件的危害和影响,保证网络信息安全,维护学校稳定,特制定此预案。
一、信息网络安全事件的定义
(一)校园网网站受到病毒、黑客攻击,主页被恶意篡改;
(二)校园网内应用服务器被非法入侵,应用服务器上的数据被非法拷贝、修改、删除,发生泄密事件;
(三)在校内网站上发布的内容违反国家的法律法规、侵犯知识产权等,造成严重后果;
(四)校园网络机房发生盗窃、破坏、火灾、水淹或其它自然灾害等。
二、校园网信息安全事件应急处置预案
(一)领导机构和责任分工
学校“网络安全与信息化工作领导小组”是实施校园网信息安全事件应急处置预案的领导机构,网络与信息中心负责牵头协调工作,小组各成员单位按照责任分工具体负责相关处置工作的实施。
(二)加强信息审查
1.学校各部门要加强其运行管理的信息系统(含部门网站)的信息审查工作。若发现系统内容被恶意更改,或被嵌入恶意代码,应立即恢复正确内容,同时联系网络与信息中心,共同分析查找被更改的原因,修复漏洞。
2.学校各部门所属独立物理服务器在对外提供信息服务时,必须经过网络与信息中心的审核批准,并建立相关管理制度和安全防范措施,如:日志留存(6个月)、安全认证、实时监控、防黑客、防病毒、防篡改等。落实管理责任人,加强对网络设备日志的分析,及时收集信息,排查不安定因素。
(三)加强实时监控,坚持科学处置
网络与信息中心对校园网用户上网实行实时监控,若发现有异常行为应立即关闭该用户的网络连接,及时记录在案,并对其警告和批评教育,严重违法行为应立即上报有关部门。
(四)加强技术防范措施
1.网络与信息中心负责建立安全、稳定的校园网络运行环境,加强网络与信息安全的防范措施,根据上级要求和实际需要,在校园网出入口安装监测设备,定期对校园网进行网络漏洞扫描,增强网络的安全性。
2.学校各部门所属信息系统要采用可靠设备和成熟软件,进行必要的数据备份,严格遵守安全操作规范,严格限制内部用户的访问权限,加强密码强度和管理,采取有效保护措施,构建安全的防护体系。
(五)突发事件的处置
当事件发生时,立即保护现场,及时向上一级领导或部门报告,同时向网络与信息中心报告,网络与信息中心将配合相关部门按照事件发生的性质分别采用以下处置措施:
1.病毒传播:针对这种现象,要及时断开传播源,判断病毒的性质、采用的端口,然后关闭相应的端口,在网上公布病毒攻击信息以及防御方法。
2.入侵:对于网络入侵,首先要判断入侵的来源,区分外网与内网。入侵来自校园网外的,定位入侵的IP地址,及时关闭入侵的端口,限制入侵地IP地址的访问,在无法制止的情况下可以采用暂时断开网络连接的方法。入侵来自校园网内的,查清入侵来源,如IP地址、MAC地址、上网用户账号等信息,同时断开对应的交换机端口。然后针对入侵方法建设或更新入侵检测设备。
3.信息被篡改:一经发现马上断开相应的信息上网链接,并尽快恢复。
4.网络故障:一旦发现,根据相应工作流程确定故障点,并尽快排除。
5.其它没有列出的不确定因素造成的灾害,可结合具体的情况,做出相应的处理。不能处理的网络与信息中心将请示相关机构的专业人员尽快进行修复,根据保留的取证,进行分析、查找原因。
(六)上级通报信息安全事件处置
对于国家网监或上级部门通报的有关我校信息安全事件,按相关程序要求由网络与信息中心牵头,校内相关部门配合进行处置。
(七)严重信息安全事件紧急处置
对于严重的信息安全事件,网络与信息中心管理人员可视情况直接采取关闭相关应用系统、关闭服务器(含虚拟机)、断网、断电等紧急处置手段,同时向学校“网络安全与信息化工作领导小组”汇报事故情况和处理措施,并按相关程序向上级有关部门通报情况。
