第一章 总 则
第一条 为建立健全我校校园网安全应急处理工作机制,提高应对校园网安全突发事件的应急处置能力,及时、有效预防和遏制网上突发事件的发生,最大限度降低和消除突发事件造成的损失和影响,确保敏感时期网上秩序平稳,切实维护好学校信息安全和网络安全,依据《中华人民共和国电信条例》、信息产业部《互联网网络安全应急预案》,结合我校实际,制定本预案。
第二条 校园网安全应急处理工作坚持统一领导、分工负责、及时预警、协作配合、快速处理、确保恢复的原则。
第三条 本预案适用于发生下述重大突发事件时的校园网安全应急工作。
(一)校园网发生或可能发生的重大安全事件。
(二)在校内发生重大突发公共事件或自然灾害,接上级部门通知时启动校园网安全应急预案。
(三)自治区党委、政府和教育厅交办的重要校园网通信保障任务。
第四条 本预案立足校园网现有设备、人员、技术条件制定,并根据我校校园网建设的实际情况及时进行修改与更新。
第二章 组织机构和职责
第五条 学校设立校园网安全应急领导小组(以下简称应急领导小组),负责领导、组织和协调全校校园网安全应急工作。
校园网安全应急领导小组下设校园网安全应急办公室(以下简称应急办公室),办公室设在教务处,负责处理日常事务。
各二级学院(部)和相关职能部门设立相应的校园网安全应急工作管理机构和技术队伍,分别负责组织本部门的校园网安全应急工作和具体开展校园网安全应急工作。
第六条 应急领导小组组长由学校党政一把手担任,成员由分管副校长、各二级学院(部)、教务处及相关职能部门负责人组成,其职责如下:
(一)贯彻自治区党委、政府和教育厅有关方针政策,审定校园网安全应急工作的相关政策及规定。
(二)组织审定学校校园网安全应急预案,监督和指导各项措施的落实。
(三)在发生重大突发事件情况下,依据自治区党委、政府和教育厅的校园网安全应急指示和要求,启动校园网安全应急预案,并向各二级学院(部)和各职能部门下达校园网安全保障应急任务。当事件解决后,终止网络安全应急预案。
(四)结合重大突发事件的实际情况,组织、协调学校各单位、各部门做好校园网安全保障和通信恢复工作,决定校内通信网络重大调整方案,并向自治区党委、政府和教育厅汇报实施和进展情况。
(五)完成自治区党委、政府和教育厅交办的其它事项。
第七条 应急办公室主任由教务处主管领导担任,成员由教务处(含现代教育技术中心)、党办、校办、纪检、人事、宣传、后勤、基建和保卫等部门相关人员组成,其职责如下:
(一)承担领导小组的日常事务处理,负责与自治区党委、政府和教育厅等有关部门的协调和联络工作。
(二)组织起草、修改学校校园网安全应急预案及相关规定。
(三)按照应急领导小组下达的命令和指示,具体协调处理校园网安全应急工作。
(四)充分利用各种渠道进行网络安全知识的宣传教育,组织、指导全校网络安全常识的普及教育,广泛开展网络安全和有关技能训练,不断提高广大师生的防范意识和基本技能。
(五)认真搞好各项物资保障,立足现有条件,积极落实网络线路、交换设备、网络安全设备等,强化管理,使之保持良好工作状态。
(六)采取一切必要手段,组织各方面力量全面进行网络安全事故处理工作,把不良影响与损失降到最低点。
第三章 网络安全事件应急响应
第八条 为便于预案的实施操作,根据网络安全事件预计或已经引发的危害程度和影响范围,将网络安全事件分为四级:I级(特别重大)事件、Ⅱ 级(重大)事件、Ⅲ级(较大级)事件、Ⅳ级(一般)事件。
I级(特别重大)事件指造成校园网核心级设备、系统或线路大规模毁灭性瘫痪,超出学校控制能力,短期内无法恢复的安全事件。如各种因素引发的核心控制机房设备损毁等。
Ⅱ 级(重大)事件指造成校园网关键区域、关键应用大规模中断,对学校的正常工作秩序或学校形象造成严重影响的安全事件。如各种因素引发的办公区网络瘫痪、教务等关键应用非技术型中断、主干光缆被挖断、损害学校声誉的有害信息事件等。
Ⅲ级(较大)事件指造成校园网非关键区域、非关键应用中断,对学校的正常工作秩序损害较小的安全事件。如各种因素引发的学生区网络瘫痪、非关键楼宇网络中断等。
Ⅳ级(一般)事件指未达到Ⅲ级事件的程度,对学校的正常工作秩序影响甚小,尚未证明可能造成严重危害的安全事件。如个别职工区用户网络故障等。
第九条 应急响应
(一)事件发现。校园网用户发现安全事件应立即上报现代教育技术中心,经中心网络技术人员核实后备案;中心网络技术人员独自发现安全事件应立即做好记录工作,情况紧急时,可先行处置,事后补记。
(二)分级响应界定。现代教育技术中心初步判断事件类型,评估事件影响,结合现场处置结果对安全事件做如下分级响应界定:
1.对于校园网非关键区域、非关键应用中断,直接到现场予以处置,如能在4小时内解决问题,可认定为Ⅳ级(一般)事件,不启动预案,处置完毕后撰写情况简报,并向应急办公室上报;不能在4小时内解决问题的,可认定为Ⅲ级(较大)事件上报应急办公室,并由应急办公室上报领导小组启动预案。
2.对由软硬件故障、病毒木马、入侵攻击、电力故障、电信故障等因素引发的我校校园网核心级设备、系统、线路大规模中断或关键区域、关键应用大规模中断,但尚未造成严重后果的事件,采取边汇报边处置的方式,先行采取技术手段进行应急处置,同时上报应急办公室,如在2小时内予以恢复的不启动应急预案,处置结束后,撰写情况简报并向应急办公室上报;如在2小时内无法恢复的按照事件影响范围和后果认定为相应I级(特别重大)事件或Ⅱ 级(重大)事件直接上报应急办公室,并由应急办公室上报领导小组启动预案。
3.对于校园网核心级设备、系统、线路大规模中断或关键区域、关键应用大规模中断并已造成严重后果以及预判短时限(2小时)内不可恢复的事件,按照事件影响范围和后果认定为相应I级(特别重大)事件或Ⅱ 级(重大)事件直接上报应急办公室,并由应急办公室上报领导小组启动预案。在上述各种情况下,根据事件情况,需要采取紧急技术措施的,可采取先进行紧急处理后汇报,或边处理边汇报的方式。
(三)分级响应行动。领导小组宣布启动预案后,根据事件等级,采取分级响应行动。
1.I级(特别重大)事件应急响应行动
(1)由应急领导小组授权应急办公室启动I级事件应急响应预案,同时向全区教育系统网络管理工作领导小组上报事件的发生和影响情况。
(2)应急办公室根据初步判断提出处理事件的应急响应方案,经应急领导小组批准后实施。
(3)应急办公室开通与自治区、地方有关部门和学校各级应急处置机构的通信联系通道,随时掌握并上报事件处置情况,必要时请求上级支援。
(4)应急办公室通知校内外有关专家对应急响应方案提供咨询意见,派出有关专家和技术人员赶赴现场参加、指导应急处置工作。协调现场专家提出的各项支援请求。
(5)应急办公室通知宣传、人事、学工、后勤、保卫等职能部门做好维稳、后勤保障、安保及对外宣传等工作。
2.Ⅱ级(重大)事件应急响应行动
(1)应急领导小组授权应急办公室启动Ⅱ级应急响应预案。
(2)应急办公室根据初步判断提出处理事件的应急响应方案,经应急领导小组批准后实施。
(3)应急办公室开通与地方有关部门和学校各级应急处置机构的通信联系通道,随时掌握并上报事件处置情况,必要时请求上级支援。
(4)应急办公室通知有关专家对应急响应方案提供咨询意见,派出有关专家和技术人员赶赴现场参加、指导应急处置工作。协调现场专家提出的各项支援请求。
(5)应急办公室通知宣传、人事、学工、后勤、保卫等职能部门做好维稳、后勤保障、安保及宣传等工作。
3.Ⅲ级(较大)事件应急响应行动
(1)Ⅲ级应急响应由应急办公室启动。
(2)应急办公室开通与学校各级网络安全应急处置机构的通信联系通道,随时掌握并上报事件处置情况。
(3)学校应急办公室通知现代教育技术中心派出有关专家和技术人员赶赴现场参加、指导应急处置工作。协调现场专家提出的各项支援请求。
(四)当国家、自治区召开重要会议、举行重大活动或发生重大突发事件时,接上级特别指示,应急领导小组通知应急办公室和网络安全应急小组人员要做好应急准备,以应对突发校园网安全事件。若没有发生Ⅲ级以上事件则按Ⅲ级事件做好应急准备,若发生或可能发生Ⅲ级及以上安全事件时,则按高一级事件要求进行各项应急处理。
(五)事件处置与升级。应急领导小组下达启动预案指令,应急办公室负责组织协调相关部门合作、人员配备和物资供应,现代教育技术中心负责提出应急处置方案和建议。处置过程中,采取边处置、边记录、边汇报的方式。处置措施执行完毕,若事态仍不能恢复正常或得到有效控制,需立即上报应急办公室,由应急办公室上报领导小组,决定并宣布事件响应升级。
(六)信息发布。应急领导小组授权应急办公室负责信息发布工作,对影响较大的事件要及时发布准确、权威的信息,正确引导舆论。要指定专人负责信息舆论工作,迅速拟订信息发布方案,确定发布内容,及时采用适当方式发布信息,并组织好相关报道。
(七)应急结束。根据各部门上报的安全事件发展和应急处理效果,应急办公室对网络安全状况进行分析,判断事件影响已降低到Ⅳ级安全事件影响水平之下时,经报应急领导小组批准后,应急办公室宣布终止预案。
(八)事件总结。校园网安全事件应急处置结束后,由现代教育技术中心撰写事件评估报告并上报应急办公室,评估报告内容包括:突发性事件发生的时间、地点、级别、造成的后果、直接经济损失,应急处置的过程、结果,结束的时间,以及今后如何防范类似突发性事件发生的建议等。应急办公室负责向应急领导小组提交事件总结报告,总结报告内容包括:分析事件的原因和后果,总结事件处置的经验和教训,对预案的不足之处提出修改意见或建议等,必要时向领导小组提出修订预案申请。
第十条 应急响应流程图
第十一条 根据校园网安全事件性质,网络安全事件类型划分为五种,包括:有害信息事件、入侵攻击事件、病毒木马事件、软硬件故障事件、自然灾害事件。
第十二条 对于情况明确且单一的事件,现代教育技术中心和相关人员根据事件类型和具体情况采取相应事件的处置措施;对于情况复杂的事件,现代教育技术中心和相关人员根据领导小组指示或会议研究的处置措施进行处置。
(一)有害信息事件
1.如果网页上出现有害信息则先保留现场证据,然后采用技术手段删除或屏蔽有害信息。
2.检查系统日志和服务器日志,分析系统状况,保留相关证据。
3.追查有害信息发布源,若来自校内,则清查非法信息的传播者,根据影响,由领导小组确认是否向有关上级部门和公安机关报警并提供证据。
4.根据非法信息的不良影响程度,必要时关闭部分服务器及网络设备,以控制非法信息的传播途径。
(二)入侵攻击事件
1.如果遭受强攻击而无法阻止,则应断开攻击来源方向的网络连接(如果来自校外,则断开入口线路,必要时联系电信部门,请求技术支援,在电信端过滤该攻击源;如果来自校内,则断开相应的楼宇或片区)。
2.登陆入侵检测系统和防火墙,查看入侵记录,追查入侵来源。
3.检查系统日志和服务器日志,分析系统状况,保留相关证据。
4.根据影响和损失,由领导小组确认是否向有关上级部门和公安机关报警。
5.根据分析结果进行相应的技术处理,采取相应的安全措施(如过滤攻击地址对本单位网络的访问),提高安全级别,恢复提供服务。
(三)病毒木马事件
1.定位病毒木马来源位置,若来自校内某子网,则断开该局部网络,若来自校外,对能定位到机器的,屏蔽该机地址,不能判断来源的,必要时可先断开外网,并联系电信部门技术支援或处理。
2.对来自校内某子网的,通过数据包流量检查定位可疑机器。
3.通知该局部网络用户对其机器进行杀毒处理,尤其是可疑机器。
4.处理完成经杀毒软件扫描无毒后恢复网络连接。
5.根据对校园网运行安全的影响,必要时可关闭部分服务器和网络设备,甚至临时关闭全网进行短暂的休眠疗法;然后逐个子网试验性开通,查出导致全网瘫痪的病毒或攻击源,并进行全网杀毒,无毒后准许入网。
(四)软硬件故障(包括软件、硬件、光纤通信、电力)事件
1.初步判断故障原因,对于能及时修复的,修复后立刻恢复。
2.对于不能及时修复的硬件,有备用硬件情况下及时替用备用硬件,能直接替换的予以直接替换,需要配置后替换的配置后替换,需要安装部署后替换的安装部署后替换。
3.对于不能及时修复的重要服务,在有备用系统情况下及时替用备用系统,需要重新安装操作系统、配置环境、部署应用程序的安装配置部署后恢复服务。
4.对于电力故障,必要时紧急关闭全部设备,并与电力技术人员一起研判故障并采取措施恢复。
5.对于软硬件故障,如果现代教育技术中心不能修复,则上报领导小组,开会研究处置措施,如对于光缆挖断问题,联系电信部门予以熔接,软件系统或硬件问题则向软硬件或电信服务提供商请求服务。
(五)自然灾害事件
1.搜集有关信息,判断灾害情况。
2.根据灾害情况,在确保人身安全前提下首先确保数据存储设备安全,对硬盘拔出、妥善保存,其次确保核心设备安全和其它设备安全,对设备进行断电与拆卸、搬迁。
3.根据损失情况,制定恢复措施。
第四章 应急保障准备
第十三条 学校加强技术储备与保障管理工作,加强技术人才引进和培训工作。由现代教育技术中心,各单位、各部门网络建设、管理和运行维护部门组成校园网安全应急队伍。各单位、各部门应不断加强校园网安全应急队伍建设,以适应校园网安全应急工作需要。
第十四条 有关部门要不定期对校园网安全应急队伍的工作人员进行应急处理的相关培训,熟悉工作原则、工作流程,具备必要的技能,确保应急预案正常实施。
第十五条 网络安全应急经费由学校划拨专项应急经费,各经营性互联单位上缴学校的收入中亦可由学校划拨一部分纳入专项应急经费,用于校园网安全应急工作。
现代教育技术中心要认真搞好各项物资保障,严格按照预案要求积极配备网络安全设施设备,落实网络线路、交换设备、网络安全设备等物资,强化管理,使之保持良好工作状态。
第十六条 各有关单位应根据校园网安全应急预案,定期或不定期组织应急演练。校园网安全应急工作办公室原则上每年根据本预案组织现代教育技术中心和各相关单位进行应急演练。
第十七条 现代教育技术中心须储备一定数量的应急处理时需要使用的通信器材和设备,作为战略储备物资,在自然灾害、突发事件等情况下抢险救灾用。应急管理必备资料:
(一)校园网络组网结构、IP地址分配、域名、关键网络服务设备和系统的备品备件等物品、资料;
(二)各种应急处理预案和异常情况处理流程图;
(三)应急处理需要的保障物资储备器材的型号、数量、存放地点等清单;
(四)应急文档储备:包括IP地址文档、设备配置文件、软件配置文档等。
(五)应急设备及软件备用:如备用网线,备用路由器,备用交换机,备用数据库,重要业务备用系统,以及数据库文件备份等。
(六)相关单位、部门及主管领导联系方式(见附件)。
第五章 附则
第十八条 本预案由教务处负责解释。
第十九条 本预案自印发之日起实施。 |
