为进一步规范网络安全事件报告与处置工作,提高校园网络的安全管理水平和安全事件应急处置能力,根据教育部办公厅《信息技术安全事件报告与处置流程(试行)》(教技厅函〔2014〕75号)的相关规定,结合学校实际情况,特制定本流程。
第一条 本流程中所称的网络安全事件(以下简称安全事件)是指网络攻击事件、设备故障事件、灾害性事件、信息内容安全事件和其他不确定的安全事件。
第二条 本流程适用于学校和各二级部门发生的网络安全事件的报告与处置工作。
第三条 安全事件等级划分。安全事件依据可控性、严重程度和影响范围的不同划分为四个等级:特别重大事件(I级)、重大事件(Ⅱ级)、较大事件(Ⅲ级)和一般事件(Ⅳ级)。
第四条 安全事件的报告与处置分为三个步骤:预案启动、事中处置、事后整改。
第五条 预案启动
发生安全事件后,学校网络安全与信息化领导小组办公室、网络信息中心和突发安全事件的部门应尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围,评估事件带来的影响和损害,确认事件的类别和等级,并参照下述工作要求进行处置:
(一)应急响应
1、各部门网络与信息系统管理员一旦发现安全事件,应根据实际情况采取包括立即断网等有效措施进行处置,将损害和影响降到最小范围,保留现场,并报告本部门主管领导及网络信息中心协助处理。
2、本部门主管领导接到报告后,应立即组织技术人员赶赴现场进行紧急处置,同时以口头通讯的方式将相关情况报告学校网络与信息安全工作领导小组办公室。紧急报告内容包括:①时间地点;②简要经过;③事件类型与分级;④影响范围;⑤危害程度;⑥初步原因分析;⑦已采取的应急措施。
3、学校网络安全与信息化领导小组办公室接到报告后,应进一步判定安全事件的等级,启动对应等级预案响应。
(二)事中处置
1、应急处置
根据网络安全事件,分类采取不同的应急处置方式。事件处置过程中要及时掌握损失情况,查找和分析事件原因,修复系统漏洞,恢复系统服务,尽可能减少安全事件对正常工作带来的影响。如果涉及人为故意破坏,应同时报告公安机关,积极配合公安机关开展调查。
(1)网络攻击事件:判断攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质采取以下方案:
①病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助,寻找并公布病毒攻击信息,以及杀毒、防御方法。
②外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外网入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和影响。
③内部入侵:查清入侵来源,如IP地址、所在办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。
(2)设备故障事件:判断故障发生点和故障原因,尽快抢修故障设备,优先保证校园网主干网络和主要应用系统的运转。
(3)灾害性事件:根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
(4)信息内容安全事件:接到校内网站出现不良信息的报告后,应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息的传播,根据网站相关日志记录查找信息发布人并做好善后处理;对公安机关要求我校协查的外网不良信息事件,根据校园网上网相关记录查找信息发布人。
(5)其它不确定安全事件:可根据总的安全原则,结合具体情况做出相应处理。
2、后续处置
(1)安全事件进行最初的应急处置后,应及时采取行动,抑制其影响进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。
(2)安全事件被抑制后,通过对有关事件或行为的分析结果,找出问题根源,明确相应补救措施并彻底清除。
(3)在确保安全事件解决后,要及时清理系统,恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。
3、结果上报
安全事件的处置过程,应及时向学校网络与信息安全工作领导小组汇报,并在事件处置工作中作好完整的过程记录,及时报告处置工作进展情况,保存各相关系统日志,直至处置工作结束。
第六条 事后整改
1、安全事件整改报告应在安全事件处置完毕后2个工作日内,以书面报告的形式进行报送。
2、安全事件整改报告由发生安全事件的部门负责编写,由本部门主管领导审核后,签字并加盖公章报送学校网络与信息安全工作领导小组。
3、学校网络与信息安全工作领导小组办公室对安全事件造成的损失、处理流程和应急预案进行评估,对响应流程、预案提出修改意见;总结安全事件处理的经验和教训,撰写事件处理报告,同时确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料;属于重大事件或存在非法犯罪行为的,第一时间向公安机关网络监察部门报案。
第七条 学校各部门要按照本流程的要求,及时、如实报告和妥善处置安全事件。如有瞒报、漏报、缓报、处置和整改不力等情况,将对相关部门进行约谈或通报。
第八条 本流程自发布之日起施行。
附表1
湖南工程学院网络安全事件(风险)处理单
情况说明 |
单位名称 |
|
网站或系统名称 |
|
域名/IP |
|
受理人员 |
|
受理时间 |
|
安全情况 |
级别 |
□I级□II级 □III级□IV级 |
描述:(可附页) |
紧急程度 |
□紧急□一般 |
处理建议 |
□修复系统漏洞□修复程序漏洞□增加密码强度 □其他_______________________________________________________ |
用户单位处理信息(用户单位填写) |
单位负责人 |
|
单位电话 |
|
系统管理员 |
姓名 |
|
E-mail |
|
电话 |
|
手机 |
|
处理方式 |
□修复系统漏洞□修复程序漏洞□增加密码强度 □其他_______________________________________________________ |
处理细节 (含修复时间) |
(高级别事件需单独撰写事件处理工作报告) |
处理结果 |
□已处理□忽略安全风险□其他__________________ |
上线申请 |
在应用系统遭遇攻击、暴露漏洞之时,网络信息中心会根据风险级别和紧急程度对系统进行关停或者禁止访问等安全措施,以保证数据安全、并防止影响扩散。 完成处置后,填写本单,并完成相关签字、盖章流程,提交纸质档到网络信息中心。 网络信息中心收到此单后,协助恢复单位的应用系统或者网站的正常服务。 |
□申请上线□申请临时上线__________至___________ 我单位已阅读上述说明,并已完成处置,现申请系统上线,并愿意承担相关后果。 单位系统管理员签字:单位负责人签字:
单位盖章: 年月日 |
修复检查(网络信息中心填写) |
修复检测 |
检测人 |
|
检测时间 |
|
检测结果 |
□已修复□未修复□其他___________________________________ |
检测人签字:
□同意上线□暂缓上线 □临时上线__________至___________
年月日 |
网络信息安全主管签字:
□同意上线□暂缓上线 □临时上线__________至___________
年月日 |
|
|
|
|
|
|
|
|
|
|
|
附表2
湖南工程学院网络安全事件情况报告
单位名称:(加盖公章) 事发时间:年 月 日 时 分
联系人姓名 |
|
手机 |
|
电子邮箱 |
|
事件分类 |
□网络攻击事件 □设备故障事件 □灾害性事件 □信息内容安全事件 □其他安全事件 |
事件分级 |
□I级 □II级 □III级 □IV级 |
事件概况 |
|
信息系统基本情况(如涉及请填写) |
1.系统名称: 2.系统网址和IP地址: 3.系统主管单位/部门: 4.系统运维单位/部门: 5.系统使用单位/部门: 6.系统主要用途: 7.是否定级 □是 □否,所定级别: 8.是否备案 □是 □否,备案号: 9.是否测评 □是 □否 10.是否整改 □是 □否 |
事件发现与处置的简要经过 |
|
事件初步估计的危害和影响 |
|
事件原因的初步分析 |
|
已采取的应急措施 |
|
是否需要应急支援及需支援事项 |
|
网络与信息安全分管负责人意见(签字) |
|
主要负责人意见(签字) |
|
附表3
湖南工程学院网络安全事件整改报告
单位名称:(加盖公章) 报告事件: 年 月 日
联系人姓名 |
|
手机 |
|
电子邮箱 |
|
事件分类 |
□网络攻击事件 □设备故障事件 □灾害性事件 □信息内容安全事件 □其他安全事件 |
事件分级 |
□I级 □II级 □III级 □IV级 |
事件概况 |
|
信息系统基本情况(如涉及请填写) |
1.系统名称: 2.系统网址和IP地址: 3.系统主管单位/部门: 4.系统运维单位/部门: 5.系统使用单位/部门: 6.系统主要用途: 7.是否定级 □是 □否,所定级别: 8.是否备案 □是 □否,备案号: 9.是否测评 □是 □否 10.是否整改 □是 □否 |
事件发生的最终判定原因(可加页附文字、图片及其他说明) |
|
事件的影响及恢复情况 |
|
事件的安全整改措施 |
|
存在问题与建议 |
|
网络与信息安全分管负责人意见(签字) |
|
单位主要负责人意见(签字) |
|
