1.总则
1.1编制目标
健全完善学校网络安全事件应急工作机制,规范网络安全事件处置工作流程,提高校园网安全应急处置能力,预防和减少网络安全事件造成的损失和危害,维护校园网安全稳定。
1.2政策依据
教育部《教育系统网络安全事件应急预案》(教技〔2018〕8 号)、《信息技术安全事件报告与处置流程》(教技厅函[2014]75号)等文件。
1.3网络安全事件定义与分类
本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件。可分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他事件。信息内容安全事件的应对不属于本预案范围,请参照有关规定和办法处置。
1.4工作原则
应急处置遵循“统一指挥、密切协同,分级管理、强化责任,预防为主、平战结合”的原则,提高网络安全事件快速响应和科学处置能力,严控网络安全事件风险和影响范围。
2.网络安全事件分级
教育系统网络安全事件分为四级:特别重大网络安全事件(Ⅰ级)、重大网络安全事件(Ⅱ级)、 较大网络安全事件(Ⅲ级)、一般网络安全事件(Ⅳ级)。
2.1符合下列情形之一的,为特别重大网络安全事件(Ⅰ级)
①教育网全国或多省份范围大量用户无法正常上网。
②.edu.cn 域名的权威系统解析效率大幅下降。
③关键信息基础设施或统一运行的核心业务信息系统(网站)遭受特别严重损失,造成系统大面积瘫痪,丧失业务处理能力。
④网络病毒在全国教育系统或多省教育系统大面积爆发。
⑤关键信息基础设施或统一运行的核心业务信息系统(网站)的重要敏感信息或关键数据丢失或被窃取、篡改。
⑥其他对教育系统安全稳定和正常秩序构成特别严重威胁,造成特别严重影响的网络安全事件。
2.2符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件(Ⅱ级)
①教育网一个省份大量用户无法正常上网。
②关键信息基础设施或核心业务信息系统(网站)遭受严重系统损失,造成系统瘫痪,业务处理能力受到重大影响。
③网络病毒在一个省的教育系统范围内大面积爆发。
④核心业务信息系统(网站)的重要敏感信息或关键数据发生丢失或被窃取、篡改。
⑤其他对教育系统安全稳定和正常秩序构成严重威胁,造成严重影响的网络安全事件。
2.3符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件(Ⅲ级)
①教育网一个单位大量用户无法正常上网。
②重要业务信息系统(网站)遭受较大系统损失,明显影响系统效率,业务处理能力受到影响。
③网络病毒在教育系统多个单位范围内广泛传播。
④重要业务信息系统(网站)的信息或数据发生丢失或被窃取、 篡改、假冒。
⑤其他对教育系统安全稳定和正常秩序构成较大威胁,造成较 大影响的网络安全事件。
2.4一般网络安全事件(Ⅳ级)
除上述情形外,对教育系统安全稳定和正常秩序构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
3.组织机构及职责
3.1领导机构及职责
学校网络安全和信息化领导小组是学校网络安全事件应急处理的领导机构。其职责主要包括:统筹协调学校网络安全事件应急工作,指导相关单位网络安全事件应急处置;发生I级、Ⅱ级重大网络安全事件时,成立学校网络安全事件应急工作组,负责指挥和协调事件处置。
3.2工作机构与职责
信息化管理处负责学校网络安全事件应急处置具体工作,其职责主要包括:组织协助涉事单位做好网络安全事件应急处置与报告,保障网络安全事件处置的技术支持;对接教育部网络安全主管部门,按要求报告网络安全事件及其处置情况;提出重大网络安全事件应对措施建议;组织网络安全监测工作。
3.3其他单位职责
党委校长办公室牵头组织重大敏感时期、重要活动、重要会议期间发生的网络安全事件的协调处置。保卫处负责联系公安部门,协助对涉及人为主观破坏类事件开展调查。各院系、职能部门负责本单位建管网站和信息系统安全事件的处置。
4.网络安全事件处置与报告
4.1事件自主判定
一旦发生安全事件,涉事单位根据本预案“2. 网络安全事件分级”,按信息系统重要程度、损失情况以及对工作和社会造成的影响,初步判定安全事件等级。
4.2I至Ⅲ级安全事件的报告与处置
报告与处置分为三个步骤:事发紧急报告与处置、事中情况报告与处置、事后整改报告与处置。
第一:事发紧急报告与处置
(1)各单位信息系统(网站)管理人员一旦发现上述安全事件,应第一时间报告信息化管理处网络技术安全管理科(以下简称“网络安全科”)(电话87082057或西农安全运维群),并报告本单位分管领导(网络安全直接责任人)和主要负责人(网络安全第一责任人)。
(2)网络安全科接到报告后立即“一键断网”,保留现场,将损害和影响降到最小范围,同时将相关情况报告信息化处主管领导和主要领导。
(3)信息化管理处和事发单位主管领导接到报告后应立即到数字化楼,组织有关人员进行现场紧急处置,初步分析事件的影响范围、危害程度及引发原因,进一步判定事件等级,针对性采取应急处置措施,必要情况下可联系网络安全机构到校协助处置。
(4)对确认属于Ⅰ至Ⅲ级的安全事件,应向学校网络安全和信息化领导小组报告,同时由事发单位分管领导组织本单位系统管理员和网络安全科共同编写紧急报告(报送格式见附件1),报告上级主管单位。涉及人为主观破坏事件应同时报告保卫处和当地公安机关。
(5)紧急报告内容包括:①时间地点;②简要经过;③事件类型与分级;④影响范围;⑤危害程度;⑥初步原因分析;⑦已采取的应急措施。
(6)事发单位应及时跟进事件进展情况,出现新的重大情况应及时补报。
第二:事中情况报告与处置
(1)事中情况报告应在安全事件发现后8小时内以书面报告的形式进行报送(报送内容和格式见附件2)。
(2)事中情况报告由事发单位分管领导组织本单位系统管理员和网络安全科共同编写,事发单位主要负责人审签、加盖公章报送信息化处,信息化处协助事发单位上报上级主管部门。
(3)安全事件的事中处置包括:及时掌握损失情况、查找和分析事件原因,修复系统漏洞,恢复系统服务,尽可能减少安全事件对正常工作带来的影响。如果安全事件涉及人为主观破坏,相关单位应积极配合公安部门开展调查。
第三:事后整改报告与处置
(1)事后整改报告应在安全事件处置完毕后5个工作日内以书面报告的形式进行报送(报送内容和格式见附件3)。
(2)事后整改报告由事发单位分管领导组织本单位系统管理员和网络安全科共同编写,由本单位主要负责人审签、加盖公章后报送信息化管理处,信息化管理处协助事发单位上报上级主管部门。
(3)安全事件事后处置包括:进一步总结事件教训、研判信息安全现状、排查安全隐患、进一步加强制度建设、提升安全防护能力。
4.3Ⅳ级安全事件报告与处置
发生一般安全事件(Ⅳ级),由事发单位自行及时、自主组织应急处置工作,也可报告网络安全科协助处置,在事件处置完毕后5个工作日内向信息化管理处报送整改报告。(报告内容和格式见附件3)
5.预防工作
5.1日常运维管理
加强校园网信息系统的日常运维管理,按照网络安全等级保护相关要求,健全网络安全管理制度,完善技术防护措施,做好安全运维、安全检查、风险评估和容灾备份等工作,提高安全保障能力,避免和减少网络信息安全事件发生。
5.2安全监测
建立校园网安全监测和通报处置工作机制,提高发现和应对网络安全事件的能力。信息化管理处负责定期对校园网设备及运行系统进行安全隐患排查、安全漏洞扫描、网络攻击分析,及时发现并指导督促各单位修复安全威胁。各单位应按要求积极进行修复加固工作。
5.3预警通报
信息化管理处应加强与国家网络安全机构、教育部“网络安全工作管理平台”及相关网络安全企业的联系合作,多途径跟踪、收集网络安全预警信息和有关我校的网络安全威胁信息,及时向校内有关单位和师生通报,组织做好预防工作。
5.4基础平台
加强学校网络安全工作管理平台建设,并与教育部网络安全工作管理平台联通共享,通过平台通报网络安全事件和网络安全威胁信息,增强校园网安全预警和态势感知能力,做到早发现、早预警、早响应,提高应急处置能力。
5.5应急演练
信息化管理处应每年至少组织一次应急演练,检验和完善预案,提高实战能力,年底前将本年度演练情况上报上级主管部门,各相关单位应积极配合、参与应急演练。
5.6安全培训
学校应定期组织各单位信息化主管领导和工作人员网络安全培训,将网络安全事件应急预案及相关知识列为培训内容,提高从业人员网络安全防范意识与应急处理技能。
5.7人员变更报告
各单位的网络安全第一责任人(主要负责人)、直接责任人(信息化工作分管领导)、系统(网站)管理员及其联系方式发生变更的,应及时将变更情况报网络安全科。
6.附则
6.1责任追究
各单位应按本预案及相关制度及时、如实地报告和妥善处置安全事件,如有迟报、谎报、瞒报、漏报或者在应急处理过程中有其他失职、渎职行为的,依照相关规定追究有关责任人责任,构成犯罪的,依法追究刑事责任。
6.2预案解释
由信息化处负责解释。
6.3预案执行
本预案自发布之日起施行,原《西北农林科技大学网络信息安全事件应急预案》(校办发﹝2015﹞173号)同时废止。