为提高我院应对网络与信息安全突发事件的能力,形成科学、有效、快速的应急机制,最大限度地减轻网络基础平台与信息安全突发事件造成的危害,确保校园网的实体安全、运行安全和数据安全,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《中国教育和科研计算机网管理办法》、《郑州工程技术学院校园网络系统安全管理制度》,制定本预案。
一、适用范围
本预案适用的网络和信息安全突发事件(以下简称“突发事件”)包括网络基础平台突发事件、应用系统和信息安全突发事件。
网络基础平台突发事件是指由自然灾害、其他事故和人为破坏引起的网络硬件设备和基础设施损坏的事件。
应用系统和信息安全突发事件是指因为黑客攻击或病毒等导致的应用系统故障、异常或拒绝服务、信息泄露或被篡改、利用校园网传播危害国家安全及影响我校正常学习工作的事件。
二、应急流程
(一)临时处理
突发事件发生后,网络值班人员要做好临时应急处置工作,立即采取措施控制事态,并在事件处置结束前进行动态监测、评估,及时将事件现状及处置工作等情况向办公室负责人进行汇报,不得隐瞒、缓报、谎报。
(二)预案实施
办公室负责人接到突发事件报告后,根据事件严重程度,进行相应处置。对于重大突发事件,应及时报告院领导;对于一般事件,按照已有的预案实施应急处置。同时与对应的责任部门和学校信息中心保持联系,及时了解当前状况,组织预案的实施工作。
(三)应急支援
实施应急预案后,如事态难以控制或有扩大趋势,要迅速召开应急处置会议并根据事态情况,研究采取有利于控制事态的非常措施,并向相关技术部门或公安部门请求援助。
(四)应急结束
当突发事件带来的影响大幅度减小或消失,校园网恢复正常时,工作人员要根据监控数据提出应急结束的建议,由办公室负责人宣布应急结束,重大事件应急结束时应报告院领导。
(五)事后处置
应急处置工作结束后,要迅速采取措施,抓紧组织抢修受损的基础设施或对存在问题的应用系统进行维护,减少损失,尽快恢复正常工作。对于信息安全突发事件中的不良信息,做好日志记录,保存好证据以备日后审查。要及时统计各种数据,查明事件原因,对事件造成的损失和影响以及恢复能力进行分析评估,认真制定恢复计划,并迅速组织实施。
三、应急保障
(一)做好硬件和网络设施保障,要预留一定的应急硬件设备或网络设施,以便在突发事件发生时及时替换使用。
(二)重要应用系统、信息和数据均应建立异地容灾备份系统和相关工作机制,保证系统或数据在受到破坏后,可紧急恢复。
(三)做好应急队伍保障,建立网络安全应急保障队伍。
四、具体措施(包括学校、学院网络机房设备等)
(一)自然灾害紧急处置措施。校园网中心机房和核心交换节点因自然灾害(如潮湿、雷电等)导致设备损害无法正常工作时,值班人员应立即报告办公室负责人并检查设备损坏程度,找出事故原因,及时进行处理或联系设备供应商进行维修,并告知用户暂停相关服务以及预计恢复时间。
(二)被盗和人为损坏紧急处置措施。校园网中心机房和核心交换节点设备被盗或因人为原因导致损坏时,网络值班人员应立即报告办公室负责人并保护好现场,第一时间收集证据,以备公安部门调查或追究损坏设备的相关责任,同时报告学校保卫部门或公安部门进行后续处理。
(三)网络基础平台设备自然损坏紧急处置措施。服务器等关键设备因老化等原因自然损坏后,相关负责人员应立即查明原因。如能自行恢复,应立即替换受损部件;如不能自行恢复,应立即与设备提供商联系,请求派人前来维修;如设备一时不能修复,应向校领导汇报,并告知用户受到影响的网络服务。
(四)停电紧急处置措施。机房发生长时间停电时,应做好应用系统备份工作,使用备用电源保障重要设备和应用系统继续运作,关闭其它设备和系统;通过学校网站通知用户暂停部分服务,提醒用户保存数据,停止网络传输。
(五)通信故障紧急处置措施。当校内网络出现严重通信故障时,应立即报告校领导并组织排除故障,同时通知网络受到影响的校园网用户。当外连线路出现通信故障时,应及时通知校园网用户,并积极联系网络服务提供商,敦促排除故障。
(六)校园网信息发布紧急处理措施。当校园网网站、公共资源等信息窗口和平台出现非法言论或不良信息时,网络值班人员应立刻向办公室负责人汇报并进行密切监视。技术人员在接到通知后应立即对非法信息进行日志记录,保留证据后进行清除,并上报办公室备案。
(七)黑客攻击时的紧急处置措施。当应用系统、信息被篡改或通过应用系统日志和访问记录发现黑客攻击时,首先应将被攻击的系统和设备等从网络中隔离出来,并立即对被破坏系统进行恢复与重建。
(八)病毒安全紧急处置措施。当发现计算机感染病毒后,应立即将该机从网络隔离,对该设备硬盘进行数据备份,启用杀毒软件对该机进行杀毒处理。如果感染病毒的设备是托管服务器,经办公室负责人同意,立即告知托管单位做好相应的清查工作。
(九)应用系统遭受破坏性攻击的紧急处置措施。重要的应用系统平时必须存有备份,与应用系统相对应的数据必须有多日备份。一旦系统遭到破坏性攻击,应立即停止运行系统,并向办公室负责人报告,网站维护员立即对软件系统和数据进行恢复。
其他未列出的突发事件,须先报告办公室负责人,并遵照指示进行应急处置。