南通理工学院网络安全事件应急预案
发布人:信息化建设管理办公室  发布时间:2021-01-09  动态浏览次数:2298

为提高学校处理突发信息网络事件的能力,形成科学、有效、反应迅速的应急工作机制,确保学校重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减少网络与信息安全突发公共事件的危害,特制定本预案。

一、工作原则

1.预防为主。立足安全防护,加强预警,重点保护基础信息网络和重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,采取多种措施,共同构筑网络与信息安全保障体系。

2.快速反应。在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,迅速处置,最大程度地减少危害和影响。

3.以人为本。把保障学校、师生利益的合法权益的安全作为首要任务,及时采取措施,最大限度地避免各类有形、无形财产遭受损失。

4.分级负责。按照“谁主管谁负责、谁使用谁负责”以及“条块结合”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强协调与配合,形成合力,共同履行应急处置工作的管理职责。

二、组织机构

南通理工学院网络安全领导小组。

  长:王宝根

副组长:李晏墅、陈勇

  员:王振兴、韩小祥、张鹏飞、王卫星、王佳

网络安全领导小组职责

1.负责编制、修订突发网络安全事件应急预案。

2.通过各种渠道和技术手段获取安全预警信息,周期性或即时性地向校园网用户发布安全预警;对异常流量来源进行监控,并妥善处理各种异常情况。

3.及时组织专业技术人员突发网络安全事件进行应急处置;负责调查和处置突发网络安全事件,及时上报并按照相关规定作好善后工作。

4.负责组建网络安全事件应急队伍并组织培训和演练。

三、应急准备

学校信息化建设管理办公室和各学院、各部门信息系统管理员明确职责和管理范围,根据实际情况,建立多角度的网络安全防护体系,安排应急值班,确保到岗到人,联络畅通,处理及时准确。

1.建立安全、可靠、稳定运行的机房环境,防火、防盗、防雷电、防水、防静电、防尘;建立备份电源系统;加强所有人员防火、防盗等基本技能培训。

2.实行实时监视和监测,采用堡垒机账户认证等方式接入,避免非法接入和虚假路由信息。

3.重要系统采用可靠、稳定的硬件和冗余机制,落实数据备份机制,遵守安全操作规范;安装有效的防病毒软件,及时更新升级扫描引擎;及时更新操作系统补丁;加强对校园网内所有用户和信息系统管理员的安全技术培训。

4.安装具有入侵检测功能的硬件防火墙,监测恶意攻击、病毒等非法侵入,控制有害信息经过网络的传播,建立网关控制、内容过滤等控制手段。

5.信息系统上线前应由安全领导小组、系统供应商或网络安全评估单位对信息系统进行安全评估,评估合格后再予上线,评估不合格的应进行整改后再上线。

四、应急处置措施

1.学校网站、网页被篡改或出现非法言论时的紧急处置措施

1)网站、网页由具体负责人员随时密切监视信息内容。每天早、晚两次不少于一小时。

2)发现学校网页出现非法信息时,负责人员应立即关闭学校网站,并向网络安全领导小组组长通报情况。

3)具体负责的技术人员应在接到通知后30分钟内赶到现场,作好必要的记录,清理非法信息,强化安全防范措施,并将网站网页重新恢复启用。

4)网站维护员应妥善保存有关记录及日志或审计记录。

5)网站维护员应立即追查非法信息来源。

6)工作人员会商后,将有关情况向安全领导小组领导汇报。

7)安全领导组召开安全领导组会议,如认为情况严重,应及时向上级机关和公安部门报警。

2.黑客攻击时的紧急处置措施

1)当系统管理人员通过入侵检测系统发现有黑客正在进行攻击时,应立即从网络中隔离被攻击的系统,并向网络安全员通报情况。

2)网络管理员应在30分钟内赶到现场,收集被攻击系统的日志等资料,保护现场,同时向网络安全领导小组副组长汇报情况。

3)网络管理员和网络安全员负责被破坏系统的恢复与重建工作。

4)网络管理员协同有关部门共同追查非法攻击来源,评估攻击危害性。

5)网络安全领导小组会商后,如认为情况严重,则立即向校保卫处或公安部门报警。

3.病毒安全紧急处置措施

1)当发现计算机感染病毒后,应立即将该机从网络上隔离出来。

2)对该设备的硬盘进行数据备份。

3)启用反病毒软件对该机进行杀毒处理,同时用病毒检测软件对其他机器进行病毒扫描和清除。

4)如发现反病毒软件无法处理该病毒,应对中毒系统进行评估后格式化该系统硬盘,重做系统后进行数据恢复。

4.数据库安全紧急处置措施

1)数据库系统要至少准备两个以上数据库备份,备份的数据做到异地存储。

2)一旦数据库崩溃,应立即向网络安全员报告,同时通知学校各部门暂缓上传上报数据。

3)系统管理员应对主机系统进行维修,如遇无法解决的问题,应立即向小组领导报告,并向软硬件提供商请求支援。

4)系统修复启动后,使用最近的数据库备份,按照要求将其恢复到主机系统中。

5)如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库备份加以恢复。

6)如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。

5.广域网外部线路中断紧急处置措施

1)广域网线路中断后,有关人员应立即调整出口策略,启动备用线路接续工作,同时向网络安全员报告。

2)网络管理员接到报告后,应迅速判断故障节点,查明故障原因。

3)如属我方管辖范围,由网络管理员立即予以恢复。如遇无法恢复情况,立即向有关厂商请求支援。

4)如属运营商管辖范围,立即与运营商维护部门联系,请求修复。

5)如果多条线路同时中断,网络管理员应在判断故障节点,查明故障原因后,尽快与其他相关领导和工作人员研究恢复措施,并立即向安全领导小组组长汇报。

6)经安全领导小组同意后,应通告各下属单位相关原因,并暂缓使用网络服务。

6.局域网中断紧急处置措施

1)局域网中断后,网络管理员应立即判断故障节点,查明故障原因,并向网络安全领导小组副组长汇报。

2)如属线路故障,应第一时间恢复链路通信,然后按照布线标准重新安装线路。

3)如属路由器、交换机等网络设备故障,应立即与设备提供商联系更换设备,并调试畅通。

4)如属路由器、交换机配置文件破坏,应迅速按照根据备份配置重新配置,并调试畅通。如遇无法解决的技术问题,立即向有关厂商请求支援。

5)如有必要,应向安全领导组组长汇报。

7.设备安全紧急处置措施

1)小型机、服务器等关键设备损坏后,有关人员应立即向网络管理员和网络安全员汇报。

2)网络管理员和网络安全员应立即查明原因。

3)如果能够自行恢复,应立即用备件替换受损部件。

4)如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。

5)如果设备一时不能修复,应向安全领导小组领导汇报,并告知学校各部门、学院,暂停相关服务。

8.人员疏散与机房灭火预案

1)一旦机房发生火灾,应遵照下列原则:首先保人员安全;其次保关键设备、数据安全;三是保一般设备安全。

2)人员疏散的程序是:机房值班人员立即按响火警警报,并通过119电话向公安消防请求支援,所有不参与灭火的人员按照预先确定的线路,迅速从机房中撤出。

3)人员灭火的程序是:首先切断所有电源,启动自动气体灭火系统,从指定位置取出泡沫灭火器进行灭火。

9.供电中断后的应急措施

1)供电中断后,机房值班人员应立即查看是否切换到备用UPS电源,并关闭不重要的服务器和网络设备,以减少机房用电量,保证UPS给主要设备和服务器供电。

2)机房值班人员应立即查明原因,并向值班领导汇报,并通过学校主要通知渠道发布相关公告通知校园网用户。

3)如因学校内部线路故障,应及时联系后勤值班电工迅速恢复。

4)如果是市电供应的原因,应立即与后勤部门联系,了解具体情况。

5)如果后勤部门预先告知需长时间停电,应做如下安排:

预计停电2小时以内,由UPS供电。

预计停电2小时以上,4小时以内,关闭非关键设备。

预计停电超过4小时,关闭所有设备,待供电恢复后再开机。

10.发生不可抗力事件的紧急处置措施

1)信息办平时应储备一些关键设备的备件,在发生意外时能及时更换。

2)一旦发生故障,导致设备损坏,应立即向组长汇报。

3)组长接到汇报后,应在30分钟内安排相关负责人赶到现场指挥处置。

4)相关负责人到达现场后,经检测无法自行恢复的情况下,应在立即联系技术人员和供应商售后服务部门,寻找安全可靠的地点,重新构建新的系统和网络,并将相关数据予以恢复。

11.关键人员不在岗的紧急处置措施

1)对于关键岗位平时应做好人员储备,确保一项工作有两人能操作。

2)一旦发生关键人员不在岗的情况,首先应向值班领导汇报情况。

3)经值班领导批准后,由备用人员上岗操作。

五、善后处置

应急处置工作结束后,分管领导组织有关人员和技术专家组成事件调查组,对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估,根据应急处置中暴露出的管理、协调和技术问题,改进和完善预案,实施针对性演练,总结经验教训,整改存在的隐患,组织恢复正常工作秩序。

六、应急保障

(一)通信保障

信息办值班人员应在值班期间保持24小时通讯畅通。

(二)装备保障

信息办负责建立并保持电力、空调、机房等网络安全运行基本环境,并预留一定数量的信息网络硬件和软件设备,指定专人保管和维护。

(三)数据保障

重要信息系统均建立备份系统,保证重要数据在受到破坏后可紧急恢复。

(四)队伍保障

建立符合要求的网络与信息安全保障技术支持力量,对学校的网络与信息安全保障工作人员提供技术支持和培训服务。

七、监督管理

(一)宣传教育和培训

将信息网络突发事件的应急管理、工作流程等列为培训内容,增强应急处置能力。加强对信息网络突发事件的技术准备培训,提高技术人员的防范意识及技能。信息办每年至少开展一次部门范围内的信息网络安全教育,提高信息安全防范意识和能力。

(二)预案演练

网络安全领导小组每年至少安排一次演练,建立应急预案定期演练制度。通过演练,发现和解决应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。

(三)责任与奖惩

网络安全领导小组不定期组织对各项制度、计划、方案、人员及物资等进行检查,对在网络安全事件应急处置中做出突出贡献的集体和个人,提出表彰奖励建议;对玩忽职守,造成不良影响或严重后果的,按学校相关规定提出处理意见,追究其责任。

八、附则

(一)预案更新

结合信息网络快速发展和经济社会发展状况,配合相关法律法规的制定、修改和完善,适时修订本预案。

(二)制定和解释

本预案由信息化建设管理办公室制定并解释。