文案.png

 教绍 

网络与信息安全事件应急预案
来源:yb           :2020-06-18 08:57:56

 

为做好应对网络与信息安全事件的各项准备工作,提高应急处理能力,结合学院实际,制定本预案。

一、事件分类分级

1.事件分类

根据网络与信息安全事件的起因、表现、结果等,网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。

(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓角事件、干扰事件和其他网络攻击事件。

(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

(6)灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。

各基本分类事件和子类事件的定义参见《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)。

2.事件分级

根据网络与信息安全突发事件的可控性、严重程度和影  响范围,将网络与信息安全突发事件分为四级:I级(特别重大),Ⅱ级《重大)。Ⅲ级(较大)、Ⅳ级(一般)。具体级别定义如果国家有关法律法规有明确规定,按国家有关规定执行。

(1)Ⅰ级(特别重大):事件导致学院网络与信息系统发生全院性大规模瘫痪,对学院正常工作造成特别严重损害,且事态发展超出学院控制能力的安全事件。

(2)Ⅱ级(重大):事件导致校园网络与信息系统发生全校性瘫痪,对学院正常工作造成严重损害,事态发展超出单一部门的控制能力,需要学院网络与信息安全工作领导小组统一组织协调,跨部门协同处置。

(3)Ⅲ级(较大):事件导致校园某一区域的网络与信息应用系统瘫痪,对学院正常工作造成一定损害。

(4)Ⅳ级(一般):事件导致某一局部网络或信息应用系统受到一定程度损坏,但不危害学院整体工作。

二、应急预案

1.有害程序事件

应首先将受侵害的系统设备从网络上断开,并备份系统数据,防止信息泄露或丢失。及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助,寻找并公布病毒攻击信息,以及杀毒、防御方法。

2.网络攻击事件

判断攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统及网络设施。

3.信息破坏事件

应迅速确定信息破坏程度和影响范围,快速恢复备份信息,对被泄露和被窃取的信息要组织相关部门追回,避免信息继续流失。如造成严重影响应,及时向所属公安机关报案,必要时,对事件进行公开说明或澄清。

4.信息内容安全事件

应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息的传播,必要时,对事件进行公开说明或澄清。同时根据网站相关日志记录查找信息发布人并妥善保存有关记录及日志或审计记录,强化安全防范措施,做好善后处理:对公安机关要求我院协查的外网不良信息事件,根据校园网上网相关记录查找信息发布人。

5.设备设施故障事件

判断故障发生点和故障原因,迅速联系运维公司及ISP服务商尽快抢修故障设备,优先保证校园网主干网络和主要应用系统的运转。

(1)数据库异常应急处置

各数据库系统要至少准备两个以上数据库备份,平时一份放在机房,另一份放在另一安全的建筑物中。

一旦数据库崩溃,应立即向网络安全分管领导报告,数据库安全员应排查问题,如遇无法解决的问题,立即向上级单位或软硬件提供商请求支援。

(2)局域网中断应急处置

局域网中断后,网络管理员应立即判断故障节点,查明故障原因,并向网络安全分管领导汇报。

如属线路故障,应重新安装线路。

如属路由器、交换机等网络设备故障,应立即与设备提供商联系更换设备,并调试畅通。

如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试畅通。如遇无法解决的技术问题,立即向上级单位或有关厂商请求支援。

(3)广域网外部线路中断紧急处置

广域网中断后,有关人员应立即启动备用线路接续工作,同时向网络管理员报告。

网络管理员接到报告后,应迅速判断故障节点,查明故障原因。

如属我方管辖范围,网络管理员要立即予以恢复。如遇无法恢复情况,立即向有关厂商请求支援。

如属电信部门管辖范围,立即与电信维护部门联系,请求修复。

6.灾害性事件

根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的技出与保存,设备的断电与拆卸、搬迁等。

(1)机房断电应急处置

断电前:

机房内所有电器设备均在运行,突然接到停电通知,若不采取措施,断电后服务器内数据有丢失可能,将造成损失。

发现情况后首先向机房负责人报告;负责人接到报告后做出判断,视其严重程度决定是否向学院安全防范与突发事件应急工作领导小组报告;必须断电处理的情况,与有关部门联系,决定是否关闭设备。

断电后:

查询断电时间、何时恢复等,根据断电时间长短、负载情况、计算机房室温等因素,与机房负责人联系决定是否需关闭计算机设备;断电期间,随时注意检查尚在运行的计算机设备和机房室温;注意检查供电恢复情况。

来电后:

恢复房间空调配电柜电源;恢复机房内空调、新风电源柜;检查空调机启动运行情况;恢复机房内断电监视器;确认供电是否稳定、正常等;在一段时间内,注意检查UPS指示情况、空调机运行情况、机房温度情况等与断电情况有关的设备运行情况,做出记录,及时向机房负责人报告。

(2)消防应急处置

火情发生时,立即组织机房内工作人员撤离机房区域,并关闭机房区域的所有房门;尽快确定火情的真伪和具体位置;立即通知学院消防中控值班室及机房负责人。与消防中控人员共同对火情进行再次确认;由消防中控人员决定是否启动灭火系统;配合相关部门做好其他善后工作;总结事故原因及经验教训,杜绝隐患。

 

 

 

 

                           2020.6.


Article details

dancer.png