《西北农林科技大学网络安全事件应急预案.docx》由会员分享,可在线阅读,更多相关《西北农林科技大学网络安全事件应急预案.docx(14页珍藏版)》请在第一文库网上搜索。
1、西北农林科技大学网络安全事件应急预案1 .总则1.1 1编制目标健全完善学校网络安全事件应急工作机制,规范网络安全事件处置工作流程,提高校园网安全应急处置能力,预防和减少网络安全事件造成的损失和危害,维护校园网安全稳定。1.2 政策依据教育部教育系统网络安全事件应急预案(教技(2018)8号)、信息技术安全事件报告与处置流程(教技厅函201475号)等文件。1.3 网络安全事件定义与分类本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件。可分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和
2、其他事件。信息内容安全事件的应对不属于本预案范围,请参照有关规定和办法处置。1.4 工作原则应急处置遵循“统一指挥、密切协同,分级管理、强化责任,预防为主、平战结合”的原则,提高网络安全事件快速响应和科学处置能力,严控网络安全事件风险和影响范围。2 .网络安全事件分级教育系统网络安全事件分为四级:特别重大网络安全事件(I级)、重大网络安全事件(II级)、较大网络安全事件(I级)、一般网络安全事件(IV级)。2.1 符合下列情形之一的,为特别重大网络安全事件(I级)教育网全国或多省份范围大量用户无法正常上网。域名的权威系统解析效率大幅下降。关键信息基础设施或统一运行的核心业务信息系统(网站)遭受
3、特别严重损失,造成系统大面积瘫痪,丧失业务处理能力。网络病毒在全国教育系统或多省教育系统大面积爆发。关键信息基础设施或统一运行的核心业务信息系统(网站)的重要敏感信息或关键数据丢失或被窃取、篡改。其他对教育系统安全稳定和正常秩序构成特别严重威胁,造成特别严重影响的网络安全事件。2.2符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件(II级)教育网一个省份大量用户无法正常上网。关键信息基础设施或核心业务信息系统(网站)遭受严重系统损失,造成系统瘫痪,业务处理能力受到重大影响。网络病毒在一个省的教育系统范围内大面积爆发。核心业务信息系统(网站)的重要敏感信息或关键数据发生丢失或被
4、窃取、篡改。其他对教育系统安全稳定和正常秩序构成严重威胁,造成严重影响的网络安全事件。2. 3符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件(III级)教育网一个单位大量用户无法正常上网。重要业务信息系统(网站)遭受较大系统损失,明显影响系统效率,业务处理能力受到影响。网络病毒在教育系统多个单位范围内广泛传播。重要业务信息系统(网站)的信息或数据发生丢失或被窃取、篡改、假冒。其他对教育系统安全稳定和正常秩序构成较大威胁,造成较大影响的网络安全事件。3. 4一般网络安全事件(IV级)除上述情形外,对教育系统安全稳定和正常秩序构成一定威胁、造成一定影响的网络安全事件,为一般网络安全
5、事件。3.组织机构及职责3. 1领导机构及职责学校网络安全和信息化领导小组是学校网络安全事件应急处理的领导机构。其职责主要包括:统筹协调学校网络安全事件应急工作,指导相关单位网络安全事件应急处置;发生I级、级重大网络安全事件时,成立学校网络安全事件应急工作组,负责指挥和协调事件处置。3. 2工作机构与职责信息化管理处负责学校网络安全事件应急处置具体工作,其职责主要包括:组织协助涉事单位做好网络安全事件应急处置与报告,保障网络安全事件处置的技术支持;对接教育部网络安全主管部门,按要求报告网络安全事件及其处置情况;提出重大网络安全事件应对措施建议;组织网络安全监测工作。4. 3其他单位职责党委校长
6、办公室牵头组织重大敏感时期、重要活动、重要会议期间发生的网络安全事件的协调处置。保卫处负责联系公安部门,协助对涉及人为主观破坏类事件开展调查。各院系、职能部门负责本单位建管网站和信息系统安全事件的处置。4.网络安全事件处置与报告5. 1事件自主判定一旦发生安全事件,涉事单位根据本预案“2.网络安全事件分级”,按信息系统重要程度、损失情况以及对工作和社会造成的影响,初步判定安全事件等级。6. 2I至I11级安全事件的报告与处置报告与处置分为三个步骤:事发紧急报告与处置、事中情况报告与处置、事后整改报告与处置。第一:事发紧急报告与处置(1)各单位信息系统(网站)管理人员一旦发现上述安全事件,应第一
7、时间报告信息化管理处网络技术安全管理科(以下简称“网络安全科”)(电话87082057或西农安全运维群),并报告本单位分管领导(网络安全直接责任人)和主要负责人(网络安全第一责任人)。(2)网络安全科接到报告后立即“一键断网”,保留现场,将损害和影响降到最小范围,同时将相关情况报告信息化处主管领导和主要领导。(3)信息化管理处和事发单位主管领导接到报告后应立即到数字化楼,组织有关人员进行现场紧急处置,初步分析事件的影响范围、危害程度及引发原因,进一步判定事件等级,针对性采取应急处置措施,必要情况下可联系网络安全机构到校协助处置。(4)对确认属于I至HI级的安全事件,应向学校网络安全和信息化领导
8、小组报告,同时由事发单位分管领导组织本单位系统管理员和网络安全科共同编写紧急报告(报送格式见附件1),报告上级主管单位。涉及人为主观破坏事件应同时报告保卫处和当地公安机关。(5)紧急报告内容包括:时间地点;简要经过;事件类型与分级;影响范围;危害程度;初步原因分析;已采取的应急措施。(6)事发单位应及时跟进事件进展情况,出现新的重大情况应及时补报。第二:事中情况报告与处置(1)事中情况报告应在安全事件发现后8小时内以书面报告的形式进行报送(报送内容和格式见附件2)。(2)事中情况报告由事发单位分管领导组织本单位系统管理员和网络安全科共同编写,事发单位主要负责人审签、加盖公章报送信息化处,信息化
9、处协助事发单位上报上级主管部门。(3)安全事件的事中处置包括:及时掌握损失情况、查找和分析事件原因,修复系统漏洞,恢复系统服务,尽可能减少安全事件对正常工作带来的影响。如果安全事件涉及人为主观破坏,相关单位应积极配合公安部门开展调查。第三:事后整改报告与处置(1)事后整改报告应在安全事件处置完毕后5个工作日内以书面报告的形式进行报送(报送内容和格式见附件3)。(2)事后整改报告由事发单位分管领导组织本单位系统管理员和网络安全科共同编写,由本单位主要负责人审签、加盖公章后报送信息化管理处,信息化管理处协助事发单位上报上级主管部门。(3)安全事件事后处置包括:进一步总结事件教训、研判信息安全现状、
10、排查安全隐患、进一步加强制度建设、提升安全防护能力。4. 3IV级安全事件报告与处置发生一般安全事件(IV级),由事发单位自行及时、自主组织应急处置工作,也可报告网络安全科协助处置,在事件处置完毕后5个工作日内向信息化管理处报送整改报告。(报告内容和格式见附件3)5.预防工作5. 1日常运维管理加强校园网信息系统的日常运维管理,按照网络安全等级保护相关要求,健全网络安全管理制度,完善技术防护措施,做好安全运维、安全检查、风险评估和容灾备份等工作,提高安全保障能力,避免和减少网络信息安全事件发生。5. 2安全监测建立校园网安全监测和通报处置工作机制,提高发现和应对网络安全事件的能力。信息化管理处
11、负责定期对校园网设备及运行系统进行安全隐患排查、安全漏洞扫描、网络攻击分析,及时发现并指导督促各单位修复安全威胁。各单位应按要求积极进行修复加固工作。5. 3预警通报信息化管理处应加强与国家网络安全机构、教育部“网络安全工作管理平台”及相关网络安全企业的联系合作,多途径跟踪、收集网络安全预警信息和有关我校的网络安全威胁信息,及时向校内有关单位和师生通报,组织做好预防工作。5. 4基础平台加强学校网络安全工作管理平台建设,并与教育部网络安全工作管理平台联通共享,通过平台通报网络安全事件和网络安全威胁信息,增强校园网安全预警和态势感知能力,做到早发现、早预警、早响应,提高应急处置能力。5.5应急演
12、练信息化管理处应每年至少组织一次应急演练,检验和完善预案,提高实战能力,年底前将本年度演练情况上报上级主管部门,各相关单位应积极配合、参与应急演练。5.6安全培训学校应定期组织各单位信息化主管领导和工作人员网络安全培训,将网络安全事件应急预案及相关知识列为培训内容,提高从业人员网络安全防范意识与应急处理技能。5.7人员变更报告各单位的网络安全第一责任人(主要负责人)、直接责任人(信息化工作分管领导)、系统(网站)管理员及其联系方式发生变更的,应及时将变更情况报网络安全科。6.附则6.1责任追究各单位应按本预案及相关制度及时、如实地报告和妥善处置安全事件,如有迟报、谎报、瞒报、漏报或者在应急处理
13、过程中有其他失职、渎职行为的,依照相关规定追究有关责任人责任,构成犯罪的,依法追究刑事责任。6.2预案解释由信息化处负责解释。6.3预案执行本预案自发布之日起施行,原西北农林科技大学网络信息安全事件应急预案(校办发(2015)173号)同时废止。网络安全事件紧急报告单位名称:(加盖公章)事发时间:年月日时分联系人姓名手机电子邮箱事件分类口有害程序事件网络攻击事件口信息破坏事件口设备设施故障口灾害事件口其他事件分级口1级口11级口I级口IV级影响范围危害程度事件简要经过(描述事件发生时间、地点及简要经过)事件原因的初步分析已采取的应急措施安全负责人意见(签字)单位主要负责人意见(签字)网络安全事
14、件情况报告联系人姓名手机电子邮箱事件分类口有害程序事件网络攻击事件口信息破坏事件口设备设施故障口灾害事件口其他事件分级口1级口11级口I级口IV级事件概况信息系统基本情况(如涉及请填写)1系统名称:2 .系统网址和IP地址:3 .系统主管单位/部门:4 .系统运维单位/部门:5 .系统使用单位/部门:6 .系统主要用途:7 .是否定级口是口否,所定级别:8 .是否备案口是口否,备案号:9 .是否测评是口否10 .是否整改口是口否单位名称:(加盖公章)事发时间:年月日时分事件发现与处置的简要经过事件初步估计的危害和影响事件原因的初步分析已采取的应急措施是否需要应急支援及需支援事项安全负责人意见(
15、签字)单位主要负责人意见(签字)网络安全事件整改报告联系人姓名手机电子邮箱事件分类口有害程序事件网络攻击事件口信息破坏事件口设备设施故障口灾害事件口其他事件分级口1级口级口口1级口IV级事件概况信息系统基本情况(如涉及请填写)1 .系统名称:2 .系统网址和IP地址:3 .系统主管单位/部门:4 .系统运维单位/部门:5 .系统使用单位/部门:6 .系统主要用途:7 .是否定级口是口否,所定级别:8 .是否备案口是口否,备案号:9 .是否测评是口否10 .是否整改口是口否单位名称:(加盖公章)事发时间:年月日时分事件发生的最终判定原因(可加页附文字、图片及其他说明)事件的影响及恢复情况事件的安全整改措施存在问题与建议安全负责人意见(签字)