中央民族大学网站和信息系统安全突发事件应急预案

发布时间:2017-03-03 23:29:29

    1.    总则

    1.1   编制目的

    为了切实做好中央民族大学(以下简称我校)网站和信息系统安全事件的防范和应急响应工作,进一步提高我校预防和控制网站和信息系统安全事件的能力和水平,减轻或消除网站和信息系统安全事件的危害和影响,确保我校校园网信息安全,结合学校工作实际,制定本应急响应预案。

    1.2   编制依据

    为了贯彻落实《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》、《国家信息化工作领导小组关于加强信息安全保障工作的意见》和公安部、国务院信息化办公室等4部门《关于信息安全等级保护工作的实施意见》,依据GB/T 24364-2009 《信息安全技术 信息安全应急响应计划规范》,制定《中央民族大学网站和信息系统安全突发事件应急预案》(以下简称预案)。

    1.3   适用范围

    本预案适用于我校网站和信息系统安全方面发生的有可能影响学校、社会和国家安全稳定的突发事件。

    1.4   工作原则

    a) 依法管理:即坚决贯彻落实《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》、《国家信息化工作领导小组关于加强信息安全保障工作的意见》和公安部、国务院信息化办公室等4部门《关于信息安全等级保护工作的实施意见》等文件精神;
    b) 分级负责、责任到头:学校一级由网站与信息系统安全应急响应领导小组负责,系处部门一级由系处部门主管领导负责,切实做到“责任落实,层层负责”;
    c) 谁主管,谁负责:各系处部门除确定一名党政负责人主管网站与信息系统安全外,必须确定一名专、兼职的网络信息及技术管理员,具体负责本部门网站与信息系统安全,及时掌握信息动态,清除各类不良信息,营造健康文明的网络环境,将有害信息造成的不良影响减小到最低限度。
    d) 快速反应。在网站与信息系统安全突发事件发生时,按照快速反应机制,及时获取充分和准确的信息,迅速处置,最大程度地减少危害和影响。
 

    2.    角色及职责

     2.1   角色的划分及职责

    我校应急响应工作机构按角色划分为3个功能小组:应急响应领导小组,应急响应实施小组,应急响应日常运行小组。网站与信息系统安全事件发生后,在应急响应领导小组的统一部署下,工作人员各司其职,并严格按照应急响应预案组织实施如下应急响应工作:
    a) 应急响应领导小组:在校党委和行政的领导下对学校的网站与信息系统安全工作进行全面的分析研究,制定工作方案,提供人员和物质保证,指导和协调校内各单位实施网站与信息系统安全工作预案,处置各类突发事件。具体职责包括制定工作方案,提供人员和物质保证,审核批准应急响应策略,审核批准应急响应预案,批准和监督应急响应预案的执行,指导应急响应实施小组的应急处置工作,启动定期评审、修订应急响应预案以及负责组织的外部协作。
    b) 应急响应实施小组(网络中心):当由于系统崩溃、病毒攻击、非法入侵等原因造成网站与信息系统运行异常或瘫痪时,根据网站与信息系统安全事件的发展态势和实际控制需要,具体负责现场应急处置工作,尽快恢复网站与信息系统的正常运行。
    c) 应急响应日常运行小组(网络中心):负责做好学校网站与信息系统安全的日常巡查及日志保存工作,以确保及早发现异常。同时负责网站与信息系统安全事件发生后的损失控制和损害评估,并协助应急响应实施小组实施应急响应工作。
应急响应工作机构具体设置见附件一。

    2.2   组织的外部协作

     依据学校网站与信息系统安全事件的影响程度,如需向上级部门及时通报准确情况或向其他单位寻求支持时,应与相关管理部门以及外部组织机构保持联络和协作。外部组织和机构主要为北京市公安局文保总队。
 

    3.    预防和预警机制

    3.1   等级保护

     学校网站和信息系统,参照国家有关信息安全等级保护的要求,按照最终确定的保护等级采取相应的安全保障措施。不断完善网站安全防御系统,包括防火墙、入侵检测系统、网络杀毒软件等,并对网络设备的安全性进行合理配置,根据实际需要做好升级更新工作。

    3.2   预警预报

    建立健全安全事件预警预报体系,加强对学校网站和信息系统的监测、监控和安全管理,做好相关数据日志记录,对可能引发学校网站和信息系统安全事件的有关信息,要认真收集、分析、判断,发现有异常情况时,及时处理并逐级报告。

    3.3   数据备份

    做好服务器及数据中心的数据备份及登记工作,建立灾难性数据恢复机制。一旦发生学校网站和信息系统安全事件,立即启动应急预案,采取应急处置措施,判定事件危害程度,并立即将情况向有关领导报告。在处置过程中,应及时报告处置工作进展情况,直至处置工作结束。

    3.4   应急部署

    特殊时期,可根据应急响应领导小组的统一要求和部署,由网络中心进行统一安排,组织专业技术人员对学校网站和信息系统数据采取加强性保护措施,对学校网站和信息系统进行不间断的监控。
 

    4.    事件分类与定级 

    4.1   事件的分类

    网站和信息系统安全事件可分为三类:
    a) 攻击事件:指学校网站与信息系统因病毒感染、非法入侵等造成学校网站或部门二级网站主页被恶意篡改、交互式栏目和邮件系统发布有害信息;应用服务器与相关应用系统被非法入侵,应用服务器上的数据被非法拷贝、篡改、删除;在网站上发布的内容违反国家的法律法规、侵犯知识版权并造成严重后果等,由此导致的业务中断、系统宕机、网络瘫痪等。
    b) 故障事件:指学校网站与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等。
    c) 灾害事件:指因洪水、火灾、雷击、地震、台风等外力因素导致网站与信息系统损毁,造成业务中断、系统宕机、网络瘫痪等。

    4.2   事件的定级

    学校网站与信息系统安全事件分为三级:一般(III级)、重大(II级)和特别重大(I级),对应颜色依次为蓝色、黄色和红色。
    一般事件(III级):
    a) 学校网站或信息系统页面出现非法信息,但尚未在学校和社会造成广泛影响的;
    b) 校外网站上出现少量非法信息,经查非法信息确来自学校IP地址机器,但未造成严重影响的;
    c) 校园网用户未经审批在校园网上私自设立网站并提供非法信息,但尚未在校内造成影响的;
    d) 由于病毒攻击、非法入侵等原因,学校网站服务器不能响应用户请求。
   重大事件(II级)
    a) 学校网站或信息系统页面出现非法信息,在校内外有一定影响,但未造成实质性危害的;
    b) 校外网站上出现非法信息,经查非法信息确来自学校IP地址机器,在社会上造成一定影响但未造成实质性危害的;
    c) 校园网用户未经审批在校园网上私自设立网站,提供危害国家和社会安全信息,在校园内造成危害的;
    d) 由于病毒攻击、非法入侵等原因,学校部分网站和信息系统服务器不能正常工作。
    特别重大事件(I级)
    a) 学校网站或信息系统页面出现非法信息,在校内外造成实质性危害或利用学校网站或信息系统组织危害国家和社会的行动;
    b) 校外网站上出现非法信息,经查非法信息确来自学校IP地址机器,在社会上造成实质性危害的,或利用学校网站或信息系统组织危害国家和社会的行动;
    c) 校园网用户在校园网内建立非法网站提供危害国家和社会安全的信息,在社会上造成实质性危害的,或者利用学校网站或信息系统组织危害国家和社会的行动;
    d) 由于病毒攻击、非法入侵等原因,学校全部网站和信息系统服务器不能正常工作;
 

    5.    应急响应流程

 
    根据学校网站与信息系统安全事件级别不同,可将应急响应流程分为一般事件(III级)响应流程和重要事件(II级和I级)响应流程。流程图如下:
一般事件应急响应流程图
                           
 
重要事件应急响应流程图
                                                  

    5.1   一般事件应急响应流程

    5.1.1   值班人员响应

    学校网站和信息系统安全事件发生后,网络中心值班人员立即切断相关服务器与外网的物理连接,对于运行在虚拟服务器上的网站,立即停止网站服务,并及时通知应急响应领导小组。相关人员的联系方式在附件中的联系人清单中标明,详见附件二。

    5.1.2   应急响应领导小组响应

    应急响应领导小组接到通知后,通知网站或信息系统所属系部处责任人,并组织应急响应实施小组做好应急响应准备工作。

    5.1.3   应急处置

    应急响应预案启动后,应急响应实施小组应立即采取相关措施抑制网站和信息系统安全事件的影响,避免造成更大损失。
    根据网站和信息系统安全事件的分类,初步确定应急处置方式,区别对待。
灾害事件:根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
    故障或攻击事件:判断故障或攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开网站或信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其他网络用户信息,修复被破坏的信息,恢复网站或信息系统。按照网站或信息系统安全事件的性质分别采用以下方案:
    a) 病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,及时请有关技术人员协助,寻找并公布病毒攻击信息,以及杀毒、防御方法。
    b) 外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外网入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和带来恶劣影响。
    c) 内部入侵:查清入侵来源,如IP地址、所在地点等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。
    d) 网络故障:判断故障发生点和故障原因,能够迅速解决的尽快排除故障;必要时向计算机网络公司求助技术援助,并优先保证主要网站和信息系统的运转。
    e) 其他没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体的情况,做出相应的处理。不能处理的可以请示相关的专业人员。

    5.1.4   后期处置。

    (1)根据安全事件反映的问题对网站或信息系统进行安全整改。通过统计各种数据,查明原因,对安全事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,迅速组织实施网站和信息系统重建。
    (2)网站或信息系统整改完毕之后,进行上线前的安全测试。
    (3)经测试没有问题的网站或信息系统,网络中心安排其上线。
    (4)回顾并整理已发生网站和信息系统安全事件的各种相关信息,尽可能地把所有情况记录到文档中。发生重大网站和信息系统安全事件时,应急响应实施小组应当在事件处理完毕后一个工作日内,将处理结果备案。通过对网站和信息系统安全事件进行统计、汇总以及任务完成情况总结,不断改进网站和信息系统安全应急响应预案。网站和信息系统安全事件应急响应结果报告表见附件四。
 

    5.2   重要事件应急响应流程

    5.2.1   值班人员响应

    学校网站和信息系统安全事件发生后,网络中心值班人员立即切断相关服务器与外网的物理连接,对于运行在虚拟服务器上的网站,立即停止网站服务,并及时通知应急响应领导小组。相关人员的联系方式在附件中的联系人清单中标明,详见附件二。

    5.2.2   应急响应领导小组响应

    应急响应领导小组接到通知后,通知网站或信息系统所属系部处责任人,上报学校领导,同时向北京市公安局文保总队汇报。

    5.2.3   应急处置

    l  应急响应领导小组组织实施小组对现场进行保护,包括网站和信息系统服务器、日志服务器、WAF等设备。
    l  应急响应领导小组组织实施小组配合文保总队进行现场处置。
    l  根据文保总队的处置结果和报告,督促网站或信息系统所属部门进行后续整改。

    6.    应急响应保障措施

    6.1   通信保障

    网络中心负责收集、建立网站与信息系统安全突发事件应急处置工作小组内部及其他相关部门的应急联络信息,网站与信息系统安全突发事件应急处置工作组全体人员保证全天24小时通讯畅通。

    6.2   装备保障

    网络中心负责建立并保持电力、空调、机房等网络安全运行基本环境,预留一定数量的信息网络硬件和软件设备,指定专人保管和维护。

    6.3   数据保障

    网站和信息系统应建立备份系统,保证重要数据在受到破坏后可紧急恢复。
 

   附件

   附件一       中央民族大学网站与信息系统安全应急响应工作机构
   中央民族大学网站与信息系统安全应急响应工作机构
   一 应急响应领导小组

   组长:                            副组长:
   二 应急响应实施小组
   组长:                            副组长:
   成员:
   三 应急响应日常运行小组
   组长:                            副组长:
   成员:
 

   附件二 联系人清单表
   联系人清单表
小组名称 姓名 角色 所属单位 联络信息
工作电话 手机
应急响应领导小组          
         
         
应急响应实施(日常运行)小组          
         
         
         
         
         
 
   A.6.3          附件三 信息安全事件报告表
   信息安全事件报告表
报告时间       年     月     日     时     分
发生事件的时间       年     月     日     时     分
发现事件的时间       年     月     日     时     分
单位名称  
报告人  
联系电话  
传真  
电子邮件  
通信地址  
信息系统名称  
主要用途  
信息安全事件的简要描述(如以前出现过类似情况也应加以说明) █ 发生了什么:
█ 如何发生的:
█ 为什么会发生:
█ 受影响的部分:
信息安全事件的类型 □ 攻击事件      □ 故障事件      □ 灾害事件
信息安全事件的级别 □ 一般          □ 重大          □ 特别重大
受影响的资产(提供受事件影响或与事件有关的资产的描述,包括相关序号、许可证和版本号) █ 信息/数据:
█ 硬件:
█ 软件:
█ 通信设施:
█ 文档:
影响范围  
攻击者的描述(实际的或察觉的动机) □ 犯罪/经济收益        □ 消遣/黑客攻击
□ 政治/恐怖主义        □ 报复
□ 其他
已采取的解决事件行动(例如,“无行动”、“内部行动”、“内部调查”、“由……进行外部调查”)  
计划采取的解决事件行动  
 

   A.6.4          附件四 信息安全事件应急响应结果报告表
   信息安全事件应急响应结果报告表                              
事件报告时间      年     月     日     时     分
原事件报告时间      年     月     日     时     分
单位名称  
报告人  
联系电话  
通信地址  
信息系统名称  
主要用途  
已采用的安全措施  
信息安全事件的补充描述  
信息安全事件
最后判定的事故原因
 
本次信息安全事件的影响状况  
影响范围  
事件后果  
严重程度  
本次信息安全事件的
主要处理过程及结果
 
针对此类信息安全事件应采取的
保障信息系统安全的措施和建议