郑州师范学院网络安全事件应急预案
作者: 网络管理中心 发布时间:2017/9/1 10:00:00 来源:网络管理中心 评论:(0)
为确保我校网络安全,保证各项工作高效有序进行,最大限度减少损失,根据互联网网络安全相关条例及上级相关部门文件精神,结合我校实际,特制定本预案。
一、工作原则
统一领导,快速反应,密切配合,科学处置。坚持“谁主管谁负责、谁使用谁负责、谁运维谁负责”的原则,充分发挥各方面力量,共同做好网络与信息安全事件的应急处置工作。
二、网络安全领导小组
学校设置网络安全领导小组,其主要职责如下:
(一)负责贯彻落实上级网络安全与信息化工作的部署和要求,依据“谁主管谁负责、谁运行谁负责、谁使用谁负责、谁发布谁负责”的原则,加强网络安全与信息化工作的领导,落实工作责任。
(二)负责组织学习国家网络安全与信息化工作的法律法规,对相关人员进行安全教育培训,分析研究网络安全的形势与对策。
(三)负责研究确定网络安全与信息化建设的工作制度、安全防范措施、年度工作计划以及网络安全与信息化建设相关的重要设备投入。
(四)负责开展网络安全隐患的排查和工作检查,建立信息安全应急相应机制,制定网络安全重大突发事件应急预案,组织应急反应演练。
(五)负责研究决定对违反网络安全规定的行为、泄密事故、信息安全事故的责任人和相关负责人的责任追究和处理意见。
三、应急准备
(一)建立安全、可靠、稳定运行的机房环境,实现防火、防盗、防雷电、防水、防静电、防尘;建立备份电源系统;加强所有人员防火、防盗等基本技能培训。
(二)实行实时监控,对所有系统实现全监控,远程管理采用VPN方式进行。
(三)重要系统采用可靠的集群部署方案,实现业务容灾;落实数据备份机制,严格遵守安全操作规范。
(四)安装具有入侵检测功能的硬件防火墙,监测恶意攻击等非法侵入,控制有害信息经过网络的传播。
四、应急预案
(一)网站不良信息事故应急预案
1.一旦发现学校网站上出现不良信息(或者被黑客攻击修改了网页),立刻关闭网站并同时向上级报告。
2.完全隔离出现不良信息的目录,使其不能再被访问。
3.备份不良信息出现的目录、备份不良信息出现时间前后一个星期内的HTTP连接日志、备份防火墙中不良信息出现时间前后一个星期内的网络连接日志。
4.删除不良信息,并清查整个网站所有内容,确保没有任何不良信息,重新开通网站服务,并测试网站运行。
5.修改该目录名,对该目录进行安全性检测,升级安全级别,升级程序,去除不安全隐患,关闭不安全栏目,重新开放该目录的网络连接,并进行测试,正常后,重新修改该目录的上级链接。
6.全面检查HTTP日志,防火墙网络连接日志,确定该不良信息的源IP地址。立刻向领导小组组长汇报,视情节严重程度领导小组可决定是否向公安机关报案。
7.从事故一发生到处理事件的整个过程,必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。
(二)网络恶意攻击事故应急预案
1.发现出现网络恶意攻击,立刻确定该攻击来自校内还是校外;受攻击的设备有哪些;影响范围有多大。并迅速推断出此次攻击的最坏结果,判断是否需要紧急切断校园网的服务器及公网的网络连接,以保护重要数据及信息。
2.如果攻击来自校外,立刻从防火墙中查出对方IP地址并过滤,同时对防火墙设置对此类攻击的过滤,并视情况严重程度决定是否报警。
3.如果攻击来自校内,立刻确定攻击源,查出该攻击出自哪台交换机,出自哪台电脑,出自哪位教师或学生。应立刻赶到现场,关闭该计算机网络连接,并立刻对该计算机进行分析处理,确定攻击出于无意、有意还是被利用,并暂时扣留该设备。
4.重新启动攻击设备所连接的网络设备,直至完全恢复网络通信。
5.对攻击源设备进行分析,清除所有病毒、恶意程序、木马程序以及垃圾文件,测试运行该电脑5小时以上,并同时进行监控,无问题后归还该设备。
6.从事故一发生到处理事件的整个过程,必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。
(三)学校重大事件网络应急预案
1.对学校重大事件进行评估、确定所需的网络设备及环境。
2.关闭其它与该网络相连,有可能对该网络造成不利影响的一切网络设备及计算机设备,保障该网络的畅通。
3.对重要网络设备提供备份,出现问题需尽快更换设备。
4.对外网连接进行监控,清除非法连接。
5.事先应向领导小组汇报本次事件中所需调整的设备、环境,以及可能出现的事故及影响,在事件过程中出现任何问题应立刻向领导小组组长汇报。
(四)应用信息系统遭受破坏性攻击应急预案。
1.信息系统管理员对重要的应用信息系统必须存有软件备份,与应用系统相对应的数据必须有多日备份,并将它们脱机保存于安全处。
2.一旦应用系统遭到破坏性攻击,信息系统管理员应立即向领导小组报告,并将系统停止运行。
3.信息系统管理员负责软件系统和数据的恢复或联系网络信息中心信息部成员技术辅助。
4.网络管理中心信息部成员负责检查日志等资料,确认攻击来源。
5.领导小组认为情况极为严重的,应立即向上级机关或公安部门报告。
(五)广域网外部线路中断应急预案
1.广域网线路中断一条后,有关人员应立即隔离中断线路,并由其他广域网线路继续工作,同时向领导小组报告。
2.网络管理中心网络部成员接到报告后,应迅速判断故障节点,查明故障原因。
3.如属我方管辖范围,由网络管理中心网络部人员立即予以恢复。如遇无法恢复情况,立即向有关厂商请求支援。
4.如属带宽供应商管辖范围,立即与供应商维护部门联系,请求修复。
5.如果所有的广域网线路同时中断,网络管理中心网络部成员应在判断故障节点,查明故障原因后,尽快与其他相关工作人员研究恢复措施,并立即向领导小组组长汇报。
6.经领导小组同意后,应通告全校故障情况和处理进度。
(六)局域网中断应急预案
1.局域网中断后,网络管理中心网络部成员应立即判断故障节点,查明故障原因,并向领导小组汇报。
2.如属线路故障,应重新安装线路。
3.如属路由器、交换机等网络设备故障,应立即与设备提供商联系更换设备,并调试畅通。
4.如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试畅通。如遇无法解决的技术问题,立即向有关厂商请求支援。
5.如有必要,应向领导小组组长汇报。
(七)设备安全应急预案
1.发现服务器、网络存储、防火墙、UPS等关键设备损坏后,应立即向网络管理中心信息部成员汇报。
2.网络管理中心信息部成员应立即查明原因。
3.如果能够自行恢复,应立即用备件替换受损部件。
4.如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。
5.如果设备一时不能修复,应向领导小组汇报,并通告全校故障情况和处理进展。
(八)人员疏散与机房灭火应急预案
1.一旦机房发生火灾,应遵照下列原则:首先保人员安全;其次保关键设备、数据安全;然后保证一般设备安全。
2.人员疏散的程序是:工作人员立即按响火警警报,并通过119电话向公安消防请求支援,所有不参与灭火的人员按照预先确定的线路,迅速从机房中撤出。
3.人员灭火的程序是:首先切断所有电源,从指定位置取出泡沫灭火器进行灭火。
(九)外电中断应急预案
1.外电中断后,网络管理中心机房值班成员应立即查看是否切换到备用UPS电源,并关闭不重要的服务器和网络设备,以减少机房用电量,保证UPS给主要设备和服务器供电。
2.网络管理中心机房值班成员应立即查明原因,并向领导小组组长汇报,并发布相关公告通知校园网用户。
3.如果是市供电局的原因,应立即与后勤总公司联系,了解具体情况。
4.如果市供电局告知需长时间停电,应做如下安排:1.预计停电2小时以内,由UPS供电。2.预计停电2小时以上,关掉设备。
(十)发生自然灾害后应急预案
1.中心平时应储备一些关键设备的备件,在发生意外时能及时更换。
2.一旦发生自然灾害,导致设备损坏,发现部门应立即向领导小组汇报。
3.领导小组接到汇报后,应在2小时内安排相关负责人赶到现场指挥处置。
4.相关负责人到达现场后,应在24小时内联系技术人员和供应商售后服务部门,寻找安全可靠的地点,重新构建新的系统和网络,并将相关数据予以恢复。
5.经测试符合要求后,向领导小组汇报处置结果。
(十一)关键人员不在岗应急预案
1.对于关键岗位平时应做好人员储备,确保一项工作有两人能操作。
2.一旦发生关键人员不在岗的情况,首先应向领导小组组长汇报情况。
3.经领导小组组长批准后,由备用人员上岗操作。
(十二)机房漏水应急预案
1.发生机房漏水时,第一目击者应立即通知工作人员,并及时报告领导小组,并由工作人员接报后应立即前往事发地。
2.若空调系统出现渗漏水,工作人员应立即通知空调售后和维保公司进行处理,并及时清除机房积水。
3.若墙体或窗户渗漏水,应立即采取有效措施确保机房安全,及时清除积水,维修墙体或窗户,消除渗漏水隐患,并联系后勤集团进行协助处理。
4.技术工作人员接报后应立即前往事发地,在判断会发生对信息设备存在硬件影响的前提下,紧急关闭机房内所有通电设备。
五、日常管理
(一)领导小组依法发布有关消息和警报,全面组织各项网络安全防御、处理工作。各有关组员随时准备执行应急任务。
(二)网络管理中心工作人员对校园内外所属网络硬件软件设备及接入网络的计算机设备定期进行全面检查,封堵、更新有安全隐患的设备及网络环境。
(三)加强对校园网内计算机设备的管理,加强对学校网络的使用者(学生和教师)的网络安全教育。加强对重要网络设备的软件防护以及硬件防护,确保正常的运行软件硬件环境。
(四)加强各类值班值勤,保持通讯畅通,及时掌握学校情况,全力维护正常教学、工作和生活秩序。
(五)按预案落实各项物资准备。
六、网络安全事件发生后有关行动
(一)领导小组得悉消防紧急情况后立即赶赴本级指挥中心,应急小组成员集结待命。
(二)应急小组成员听从组织指挥,迅速组织本级抢险防护,抢险防护工作如下。
1.确保网络信息安全为首要任务,应迅速发出紧急警报,所有相关成员集中进行事故分析,确定处理方案。
2.确保校内其它接入设备的信息安全:经过分析,可以迅速关闭、切断其他接入设备的所有网络连接,防止滋生其他接入设备的安全事故。
3.分析网络,确定事故源:使用各种网络管理工具,迅速确定事故源,按相关程序进行处理。
4.事故源处理完成后,逐步恢复网络运行,监控事故源是否仍然存在。
5.针对此次事故,进一步确定相关安全措施、总结经验,加强防范。
6.从事故一发生到处理的整个过程,必须及时向领导小组组长汇报,听从安排,并做好保密工作。
(三)积极做好教职工生的思想宣传教育工作,迅速恢复正常秩序,全力维护校园网安全稳定。
(四)迅速了解和掌握事故情况,及时汇总上报。
(五)事后迅速查清事件发生原因,查明责任人,并报领导小组根据责任情况进行处理。
七、其他
(一)在应急行动中,学校各部门要密切配合,服从指挥,确保政令畅通和各项工作的落实。
(二)各部门应根据本预案,结合本部门实际情况,认真制定本部门的应急预案,并切实落实各项组织措施。
(三)本预案从发布之日起正式施行。
网络管理中心
二〇一七年九月一日