长治医学院网络与信息安全应急预案
(试行)
为贯彻落实《中华人民共和国网络安全法》,提高学校处理网络与信息安全突发事件的能力,有效应对学校网络与信息安全各种突发事件,形成科学、有效、反应迅速的应急工作机制,确保学校网络硬件和软件的实体安全、运行安全和数据安全,最大限度地减少网络与信息安全突发公共事件的危害,特制定本预案。
一、工作原则
(一)预防为主。立足安全防护,加强预警,重点保护基础信息网络和重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,采取多种措施,共同构筑网络与信息安全保障体系。
(二) 快速反应。在网络与信息安全突发公共事件发生时, 按照快速反应机制,及时获取充分而准确的信息,迅速处置,最大程度地减少危害和影响。
(三)以人为本。把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公民财产遭受损失。
(四)分级负责。按照“谁主管谁负责、谁使用谁负责”以及“条块结合”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强协调与配合,形成合力,共同履行应急处置工作的管理职责。
二、组织机构
(一)成立网络与信息安全突发事件应急处置工作领导小组(以下简称“领导组”),人员构成如下:
组 长:党委书记、校长
副组长:分管思政和意识形态工作的副书记
分管网络和信息化建设的副校长
成 员:校办公室、宣传部、学生处、保卫处、团委、后勤保障处、基建处、资产 管理处、人事处、财务处、纪检委、信息网络中心和各院系(部) 的负责人,及信息网络中心其他人员和各二级单位(部门)信息管理员。
(二)“领导组”职责:
1.负责编制、修订所辖范围内突发网络与信息安全应急预案;
2.通过学校信息网络中心及国内外网络与信息安全组织交流等手段获取安全预警信息, 周期性或即时性地向校园网管理中心和各二级单位(部门) 及用户发布;对异常流量来源进行监控,并妥善处理各种异常情况;
3.及时组织专业技术人员对所辖范围内突发网络信息事件进行应急处置;负责调查和处置突发网络信息事件,及时上报并按照相关规定作好善后工作;
4.负责组建网络信息安全应急救援队伍并组织培训和演练。
三、应急准备
信息网络中心和各单位信息系统管理员明确职责和管理范围, 根据实际情况, 安排应急值班,确保到岗到人,联络畅通,处理及时准确。
(一)建立安全、可靠、稳定运行的机房环境,防火、防盗、防雷电、防水、防静电、防尘;建立备份电源系统;加强所有人员防火、防盗等基本技能培训。
(二)实行实时监视和监测,采用账户认证方式接入,避免非法接入和虚假路由信息。
(三) 重要系统采用可靠、稳定硬件,落实数据备份机制,遵守安全操作规范;安装有效的防病毒软件,及时更新升级扫描引擎;加强对校园网内所有用户和信息系统管理员的安全技术培训。
(四) 安装具有入侵检测功能的硬件防火墙,监测恶意攻击、病毒等非法侵入,控制有害信息经过网络的传播,建立网关控制、内容过滤等控制手段。
四、应急处置措施
(一)网站、网页出现非法言论时的紧急处置措施
1.网站、网页由信息网络中心具体负责人员随时密切监视信息内容。每天早、中、晚三次不少于一小时。
2.发现网上出现非法信息时,负责人员应立即向“领导组”副组长通报情况;情况紧急的应先及时采取删除等处理措施,再按程序报告。
3.网络与信息安全组具体负责的技术人员应在接到通知后 1 小时内赶到现场,作好必要的记录,清理非法信息,强化安全防范措施,并将网站网页重新恢复启用。
4.网站维护员应妥善保存有关记录及日志或审计记录。
5.网站维护员应立即追查非法信息来源。
6.技术和工作人员会商后,将有关情况向安全领导组领导汇报。
7.“领导组”召开应急处置会议,如认为情况严重,应及时向上级机关和公安部门报警。
(二)黑客攻击时的紧急处置措施
1.当网站管理人员发现网页内容被篡改,或通过入侵检测系统发现有黑客正在进行 攻击时,应立即向网络安全员通报情况。
2.网络安全员应在 1 小时内赶到现场,并首先应将被攻击的服务器等设备从网络中隔离出来,保护现场,同时向“领导组”副组长汇报情况。
3.网络安全员和网络管理员负责被破坏系统的恢复与重建工作。
4.网络安全员协同有关部门共同追查非法信息来源。
5.“领导组”召开应急处置会议,如认为情况严重,应及时向上级机关和公安部门报警。
(三)病毒安全紧急处置措施
1.当发现计算机感染病毒后,应立即将该机从网络上隔离出来。
2.对该设备的硬盘进行数据备份。
3.启用反病毒软件对该机进行杀毒处理,同时用病毒检测软件对其他机器进行病毒扫描和清除。
4.如发现反病毒软件无法查杀该病毒,应立即向信息网络中心负责人报告。
5.信息网络中心负责人在接到通报后,应在十分钟内赶到现场。
6.经技术人员确认确实无法查杀该病毒后,应做好相关记录, 同时立即向“领导组”副组长报告,并迅速联系有关产品商研究解决。
7.“领导组”召开应急处置会议,如认为情况严重,应及时向上级机关和公安部门报警。
8.如果感染病毒的设备是服务器或者主机系统,经“领导组”组长同意,应立即告知各下属单位做好相应的清查工作。
(四)软件系统遭受破坏性攻击的紧急处置措施
1.重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日备份,并将它们保存于安全处。
2.一旦软件遭到破坏性攻击,应立即向网络安全员、网络管理员报告,并将系统停止运行。
3.网络安全员和网站维护员负责软件系统和数据的恢复。
4.网络安全员和网络管理员检查日志等资料,确认攻击来源。
5.“领导组”认为情况极为严重的,应立即向上级机关或公安部门报告。
(五)数据库安全紧急处置措施
1.各数据库系统要至少准备两个以上数据库备份,平时一份放在机房,另一份放在另一安全的建筑物中。
2.一旦数据库崩溃,应立即向网络安全员报告,同时通知各下属单位暂缓上传上报数据。
3.信息安全员应对主机系统进行维修,如遇无法解决的问题,立即向上级单位或软硬件提供商请求支援。
4.系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。
5.如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库备份加以恢复。
6.如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
(六)校园网外部线路中断紧急处置措施
1.校园网外部线路若发生中断故障,网管人员应立即向网络安全员汇报,并尽快判断故障节点,查明故障原因,与相关负责人和工作人员研究恢复措施。
2.网络安全员及时将故障原因和采取措施向“领导组”副组长报告,经“领导组” 同意后,通过校园媒体向全校各二级单位(部门)及用户发布通告,说明相关原因,并暂缓上传上报数据。
3.线路中断故障如属我方管辖范围,由网络管理员协同网络安全员立即予以恢复。如遇无法恢复情况,立即向有关厂商请求支援。
4.线路中断故障如属带宽供应商管辖范围,立即与供应商线路运维部门联系,请求修复。
(七)校园网内部线路中断紧急处置措施
1.校园网内部线路若发生中断故障,网络管理员和网络安全员应立即判断故障节点,查明故障原因,并向“领导组”副组长汇报。
2.如属线路故障,应重新安装线路。
3.如属路由器、交换机等网络设备故障,应立即与设备提供商联系更换设备,并调试畅通。
4.如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试畅通。如遇无法解决的技术问题,立即向上级单位或有关厂商请求支援。
5.如有必要,应向“领导组”组长汇报。
(八)设备安全紧急处置措施
1.核心机、服务器等关键设备损坏后,有关人员应立即向网络管理员和网络安全员汇报。
2.网络管理员和网络安全员应立即查明原因。
3.如果能够自行恢复,应立即用备件替换受损部件。
4.如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。
5.如果设备一时不能修复,应向“领导组”汇报,并告知各二级单位(部门),暂缓上传上报数据。
(九)人员疏散与机房灭火预案
1.一旦机房发生火灾,应遵照下列原则:首先保证人员安全;其次保证关键设备和数据安全;三是保证一般设备安全。
2.人员疏散的程序是:机房值班人员立即按响火警警报,并通过 119 电话向公安消防请求支援,所有不参与灭火的人员按照预先确定的线路,迅速从机房中撤出。
3.人员灭火的程序是:首先切断所有电源,启动自动气体灭火系统,从指定位置取出泡沫灭火器进行灭火。
(十)外电中断后的设备
1.外电中断后,机房值班人员应立即查看是否切换到备用 UPS 电源,并关闭不重要的服务器和网络设备,以减少机房用电量,保证 UPS 给主要设备和服务器供电。
2.机房值班人员应立即查明原因,并向值班领导汇报,并在学校主站和公众布告栏发布相关公告通知校园网用户。
3.如果是学校内部供电线路故障引起,请值班人员立即联系学校动力部门电工组迅速恢复。
4.如果是市供电局的原因,请值班人员立即联系学校动力部门电工组,了解具体情况。
5.如果市供电局告知需长时间停电,应做如下安排:
(1)预计停电 2 小时以内,由 UPS 供电。
(2)预计停电 2 小时以上,关掉网络设备。
(十一)发生自然灾害后的紧急处置措施
1.信息网络中心平时应储备一些关键设备的备件,在发生意外时能及时更换。
2.一旦发生自然灾害,导致设备损坏,发现人员或部门应立即向“领导组”组长汇报。
3.组长接到汇报后,应在 2 小时内安排相关负责人赶到现场指挥处置。
4.相关负责人到达现场后,应在 24 小时内联系技术人员和供应商售后服务部门,寻找安全可靠的地点,重新构建新的系统和网络,并将相关数据予以恢复。
5.经测试符合要求后,向“领导组”组长汇报处置结果。
(十二)关键人员不在岗的紧急处置措施
1.对于关键岗位平时应做好人员储备,确保一项工作有两人能操作。
2.一旦发生关键人员不在岗的情况,首先应向值班领导汇报情况。
3.经值班领导批准后,由备用人员上岗操作。
(十三)机房漏水应急预案
1.发生机房漏水时,第一目击者应立即通知机房管理部门,并及时报告分管领导,分管领导接到报告后应立即前往事发地。
2.若空调系统出现渗漏水,分管应立即通知空调售后和维保公司进行处理,并及时清除机房积水。
3.若墙体或窗户渗漏水,现场领导小组应立即采取有效措施确保机房安全,同时通知后勤管理处及时清除积水,维修墙体或窗户,消除渗漏水隐患。
五、善后处置
应急处置工作结束后,分管领导组织有关人员和技术专家组成事件调查组,对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估, 根据应急处置中暴露出的管理、协调和技术问题,改进和完善预案,实施针对性演练,总结经验教训,整改存在隐患,组织恢复正常工作秩序。
六、应急保障
(一)通信保障
信息网络中心负责收集、建立各自业务范围内突发事件应急处置领导组内部及其他相关部门的应急联络信息。分管领导应在重要部位醒目位置公布报警电话,分管领导保持全天 24 小时通讯畅通。
(二)装备保障
机房管理部门负责建立并保持电力、空调、机房等网络安全运行基本环境,信息网络中心预留一定数量的信息网络硬件和软件设备,指定专人保管和维护。
(三)数据保障
重要信息系统均建立备份系统,保证重要数据在受到破坏后可紧急恢复。
(四)队伍保障
建立符合要求的网络与信息安全保障技术支持力量,对网络接入单位的网络与信息安全保障工作人员提供技术支持和培训服务。
七、监督管理
(一)宣传教育和培训
将网络与信息安全突发事件的应急管理、工作流程等列为培训内容,增强应急处置能力。加强对信息网络突发事件的技术准备培训,提高技术人员的防范意识及技能。“领导组”每年至少开展一次全中心范围内的信息网络安全教育,提高信息安全防范意识和能力。
(二)预案演练
“领导组”每年至少安排一次演练,建立应急预案定期演练制度。通过演练,发现和解决应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。
(三)责任与奖惩
“领导组”不定期组织对各项制度、计划、方案、人员及物资等进行检查,对在信息网络突发事件应急处置中做出突出贡献的集体和个人,提出表彰奖励建议;对玩忽职守,造成不良影响或严重后果的,依法依规提出处理意见,追究其责任。
八、附则
(一)预案更新
随着校园网的建设和发展,结合网络信息技术的快速发展, 配合相关法律法规的制定、修改和完善,适时修订本预案。
(二)预案实施
本预案自发布之日起施行。
