广东省外语艺术职业学院网络与信息安全事件管理办法
第一章 总则
第一条 为落实国家、省、市关于网络信息安全与等级保护的政策和规定,严格执行信息安全管理体系标准,提高学校网络与信息安全事件管理水平,规范和加强网络与信息安全事件报告和处置管理流程,建立适当的网络与信息安全事件的报告与处理机制,明确安全事件的现场处理、事件报告和后期恢复的管理职责,保障信息系统的安全稳定可控,实现业务信息和系统服务的网络安全保护等级,根据《中华人民共和国网络安全法》(中华人民共和国主席令第五十三号)、《信息安全技术网络安全等级保护基本要求》GBT22239-2019等法规,结合学校实际,制订本办法。
第二条 本办法适用于学校网络与信息安全事件处理流程管理。
第三条 学校网络与信息安全工作领导小组(以下简称“领导小组”)负责网络与信息安全事件的管理工作,通过网络与信息安全工作领导小组办公室(以下简称“领导小组办公室”)协调网络与信息安全事件处理的具体工作。
第二章 网络与信息安全事件定义
第四条 网络与信息安全事件是指对计算机系统或网络系统的可用性、完整性、保密性造成危害的事件,或者是在计算机系统或网络系统中发生的对社会造成负面影响的其他事件。
第五条 网络与信息安全事件的主体是指网络与信息安全事件的制造者或造成网络与信息安全事件的最终原因。
第六条 网络与信息安全事件的客体是指受网络与信息安全事件影响或发生网络与信息安全事件的计算机系统或网络系统。依据计算机系统和网络系统的特点,网络与信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。
第三章 网络与信息安全事件分类与定级
第七条 网络与信息安全事件发生时应明确本系统已发生的和需要防止发生的安全事件类型。网络与信息安全事件分为7类:有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件。
(一)有害程序事件:指蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。有害程序事件包括计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个子类。
(二)网络攻击事件:指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子类。
(三)信息破坏事件:指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等6个子类。
(四)信息内容安全事件:指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。信息内容安全事件包括以下4个子类,违反宪法和法律、行政法规的信息安全事件;针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件;组织串连、煽动集会游行的信息安全事件;其他信息内容安全事件。
(五)设备设施故障:指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事件和其它设备设施故障等4个子类。
(六)灾害性事件:指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。
(七)其他网络与信息安全事件:指不能归为以上6个基本分类的网络与信息安全事件。
第八条 网络与信息安全突发事件定级
根据可控性、严重程度和影响范围,学校将网络与信息安全事件分为四级:特别重大(I级)、重大(II级)、较大(III级)、一般(IV级)。
特别重大 (I级):指规模大、范围广、影响持续时间长的网络与信息安全事件,包括以下情况:使特别重要的信息系统遭受特别严重的系统损失;产生特别重要社会影响。如:机房发生火灾或遭不可抗拒力破坏造成机房损毁及人员伤害,如:火灾、水灾和地震等。
重大(II级):指规模较大、范围较广、影响持续时间较长的网络与信息安全事件,包括以下情况:使特别重要的信息系统遭受严重的系统损失,或使重要的信息系统遭受特别严重的系统损失;产生严重的社会影响。如:发生大规模或整体性网站瘫痪、个别硬件设备损坏或被窃、数据丢失或网站遭恶意篡改破坏等。
较大(III级):指范围较小、突然发生、影响持续时间较短的网络与信息安全事件,包括以下情况:使特别重要的信息系统遭受较大的系统损失,或使重要的信息系统遭受严重的系统损失、一般信息系统遭受特别严重系统损失;产生较大的社会影响。如:严重影响门户网站正常运行。
一般(IV级):指范围小、持续时间短、区域性网站安全事件的网络与信息安全事件,包括以下情况:使特别重要的信息系统遭受较小的系统损失,或使重要的信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失;产生一般的社会影响,如:局部网络瘫痪、个别设备死机、网站服务器停止工作等。
第四章 网络与信息安全事件管理要求
第九条 网络与信息安全事件报告和处置管理工作坚持“统一领导、归口负责”的原则。
第十条 发生网络与信息安全事件的部门应当首先以口头方式立即向领导小组办公室报告,同时立即对发生的事件进行调查核实、保存相关证据,并报至领导小组办公室。不得瞒报、缓报或者授意他人瞒报、缓报。
第十一条 对于特别重大和重大的网络与信息安全事件,领导小组办公室接到报告后,应当立即汇报领导小组,并负责组织协调相关专家、技术队伍对事件进行调查和处理。
第十二条 发生网络与信息安全事件的部门应当在事件处理完毕后5个工作日内填写《网络与信息安全事件报告》上报领导小组办公室备案。
第十三条 任何部门或个人发现有瞒报、缓报、谎报网络与信息安全事件情况时,有权直接向领导小组举报。
第十四条 发生特别重大和重大的网络与信息安全事件,有关责任部门、责任人有瞒报、缓报和漏报等失职情况的,学校将予以通报批评;对造成严重不良后果的,将视情节由有关部门追究责任领导和责任人的行政责任;构成违法犯罪的,由有关部门依法追究其法律责任。
第十五条 网络与信息安全事件恢复重建工作按照“谁主管谁负责,谁运行谁负责”的原则,由领导小组办公室负责组织制定恢复、整改或重建方案,报领导小组审核并组织实施。
第五章 网络与信息安全事件处理流程
第十六条 事件发现与报告
各个信息管理系统使用者,在使用过程中如果发现安全事件和漏洞,必须立即向所在部门领导报告。如故障、事件会影响或已经影响业务系统的使用,系统所在部门负责人必须立即报告领导小组办公室,采取必要措施,保证对业务系统的影响降至最低。领导小组办公室处理之前,事发部门应保护好故障、事件的现场,并采取适当的应急措施,防止事态的进一步扩大。
(一)发现安全事件所在部门领导根据事件和漏洞的性质向领导小组办公室报告事件情况,先填写《网络与信息安全事件报告》中的“事件描述及处理经过”的相关内容,后续处理情况由领导小组办公室共同填写完成。在紧急情况下可以先用电话报告,随后再附上报告。
(二)涉及国家秘密、学校机密泄露、丢失的,发现安全事件所在部门领导应直接向领导小组报告。
第十七条 事件分析与响应
安全事件发生后,根据事件响应的级别由相关机构、部门启动响应处置,组成处置小组,快速判断事件性质和危害程度,尽快分析事件发生原因,根据网络与信息系统运行和承载业务情况,初步判断事件的影响、危害和可能波及的范围,提出应对措施建议。具体的响应处置流程详见安全事件响应级别处置流程。
(一)安全事件处置小组必须做好事件发生、发展、处置的记录和证据留存。
(二)事件信息一般包括以下要素:事件发生时间、发生事故业务系统名称及业务部门、地点、原因、信息来源、事件类型及性质、危害和损失程度、影响部门及业务、事件发展趋势、采取的处置措施等。
(三)安全事件响应级别处置流程
1. I级和II级响应:由领导小组启动,统一指挥、协调、组织应急处置工作。
(1)启动指挥体系。领导小组办公室组织专家顾问、专业技术人员研究对策,提出处置方案建议,为领导决策提供支撑。
(2)掌握事件动态。事发部门及时上报事态发展变化情况和处置进展情况,领导小组办公室全面了解网络与信息系统运行情况,及时汇报有关情况报领导小组。
(3)处置实施。控制事态防止蔓延,一旦发生紧急网络与信息安全事件,系统负责人在接获事件报告后三十分钟内实施断网处置。领导小组办公室组织事发部门及应急队伍,采取各种技术措施、管理手段,快速制定具体的解决方案,组织实施处置,最大限度地阻止和控制事态发展,对业务连续性要求高的受破坏网络与信息系统要及时组织恢复。
2. III级响应:由领导小组办公室启动,按照网络与信息安全应急响应预案进行事件处置,根据需要指导、检查、协助应急处置工作。
(1)启动指挥体系。领导小组办公室组织相关专家指导现场处置。
(2)领导小组办公室及时了解事发部门主管范围内的系统是否受到事件的波及或影响,并及时上报有关情况。
(3)处置实施。一旦发生紧急信息安全事件,系统负责人在接获事件报告后三十分钟内实施断网处置。领导小组办公室及时采取技术措施阻止事件蔓延;事发部门向学校其他部门、单位发布预警信息,督促、指导相关部门有针对性地加强防范。
(4)尽快分析事件发生原因,并根据原因有针对性地采取措施,恢复受破坏信息系统,使其正常运行。
3.IV级响应:由事发部门启动,参考《附件1:网络与信息安全事件应急处理措施指南》进行事件处置。
(1)启动指挥体系。事发部门负责人及时赶赴现场,组织协调、指挥所属技术力量进行事件处置工作,必要时请求领导小组办公室支援处置。
(2)掌握事件动态。事发部门负责将事件信息、处置进展情况及时向领导小组办公室报告。
(3)处置实施。必要时领导小组办公室指派人员赶赴现场,指导、检查事发部门开展事件处置工作,协调相关专家、技术队伍参加事件处置。
(4)尽快分析事件发生原因,并根据原因有针对性地采取措施,恢复受破坏信息系统,使其正常运行。
第六章 信息安全事件的预防
第十八条 领导小组办公室必须积极贯彻预防为主、严格管理的原则,评估事件发生的潜在因素和可能的程度;组织制定和监督实施预防措施、操作规程或工作标准;配置必要的资源;开展教育培训、检查、考核和整改活动,控制或消除可能导致事件发生的各种因素。预防措施应下达至直接相关的层次和岗位。
第十九条 领导小组办公室应根据事件发生可能造成的危害、损失,组织制定不同级别的应急预案,并对应急预案的可行性进行评价。应急预案应当切实可行并向领导小组备案,经论证后,发放至直接相关部门和负责的岗位人员,并保存相关记录。领导小组办公室应定期按照应急预案进行演练和培训,必要时组织对预案进行修订。
第七章 信息安全事件的整改
第二十条 领导小组办公室应在事件调查结束后迅速组织制定和下达事件整改措施,明确措施内容、完成期限、责任部门和检查方式,并监督实施。
第二十一条 信息系统使用单位负责组织事件整改措施的落实,在规定的期限内,完成相应的整改工作,防止同类事件的再次发生。
第八章 附则
第二十二条 本办法自印发之日起施行,由现代教育技术中心负责解释。
附件:1.网络与信息安全事件应急处理措施指南
2.网络与信息安全事件报告
附件1
网络与信息安全事件应急处理措施指南
当人为、病毒破坏或设备损坏的灾害发生时,具体按以下顺序进行:判断破坏的来源与性质,断开影响安全不稳定的信息系统的网络,同时断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的IP或其它网络用户信息,修复被破坏的信息,恢复信息系统。
按照灾害发生的性质分别采用以下方案:
1.网站、网页遭受攻击紧急处置措施
发现网络恶意攻击,立刻确定该攻击来自单位内还是单位外,受攻击的设备有哪些,影响范围有多大。判断是否需要紧急切断单位的服务器及公网的网络连接以保护重要数据及信息。
(1)备份网站的数据和系统上的重要数据,提取网站、系统和数据库等日志。
(2)如果攻击来自单位外,立刻从防火墙中查出对方IP 地址并过滤,同时对防火墙设置对此类攻击的过滤,并视情况严重程度决定是否报警。
(3)如果攻击来自单位内,立刻确定攻击源,查出该攻击出自哪台交换机,出自哪台电脑。接着立刻赶到现场,关闭该计算机网络连接,拍照做现场记录,并立刻对该计算机进行分析处理,确定攻击出于无意、有意还是被利用,暂时扣留该电脑。
(4)汇报相关领导,由领导小组办公室召开会议,如认为事态严重,则立即向领导小组、上级部门和公安部门报警。
(5)对该电脑进行分析清除所有病毒、恶意程序、木马程序以及垃圾文件,测试运行该电脑12小时以上,并同时进行监控,无问题后归还该电脑。
(6)对网站进行风险漏洞修复,开展渗透测试、代码审计工作,清除攻击者遗留的后门。测评系统运行正常,且无风险漏洞后,在接入到网络。
(7)分析溯源攻击过程、还原攻击链路、攻击方法、攻击路径、攻击者使用的IP。
2.病毒事件紧急处置措施
(1)当发现有计算机被感染上病毒后,马上查找出感染主机,将该机从网络上隔离开,并立即向网络安全负责人报告。
(2)应急小组在接到通报后立即赶到现场, 对该设备的硬盘进行数据备份。
(3)对系统、数据库、网站等日志分析,判断攻击者的攻击链路、攻击方式、攻击IP、病毒名称等。
(4)强制关闭病毒执行程序,启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作;使用漏洞检测工具对所有主机进行检测安装安全补丁。
(5)对该电脑进行分析清除所有病毒、恶意程序、木马程序以及垃圾文件测试运行该电脑12小时以上,并同时进行监控,无问题后归还该电脑。
(6)分析溯源攻击过程、还原攻击链路、攻击方法、攻击路径、攻击者使用的IP。
(7)应急小组召开会议,如认为事态严重,则立即向市政府信息化办公室和公安部门报警。
3.软件系统遭破坏性攻击的紧急处置措施
(1)重要的软件系统平时必须存有备份,与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份,并将它们保存。
(2)一旦软件遭到破坏性攻击,应立即向网络安全负责人报告,并将该系统停止运行。
(3)检查信息系统的日志等资料,确定攻击来源,并将有关情况向本单位分管信息化工作的领导汇报,再恢复软件系统和数据。
4.数据库安全紧急处置措施
(1)对于重要的信息系统,主要数据库系统应按双机设备设置,并至少要准备两个以上数据库备份,平时一个备份放在机房,另一个备份放在另一安全的建筑物中。
(2)一旦数据库崩溃,值班人员应立即启动备用系统,并向网络安全负责人报告。
(3)在备用系统运行期间,应急小组应对主机系统进行维修并作数据恢复。
(4)如果两套系统均崩溃而无法恢复,应立即向有关厂商请求紧急支援。
5.广域网外部线路中断紧急处置措施
(1)广域网线路中断后,值班人员应立即向网络安全负责人报告。
(2)应急小组接到报告后,应迅速判断故障节点,查明故障原因。
(3)如属我方管辖范围,由应急小组立即予以恢复。
(4)如属电信部门管辖范围,立即与电信维护部门联系,要求尽快修复。
(5)如有必要,向分管信息化工作的校领导汇报。
6.局域网中断紧急处置措施
(1)设备管理部门平时应准备好网络备用设备,存放在指定的位置。
(2)局域网中断后,应急小组应立即判断故障节点,查明故障原因,并向领导小组办公室汇报。
(3)如属线路敀障,应重新安装线路。
(4)如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出,配置好检测无误后接上,并调试通畅。
(5)如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调测通畅。
(6)如有必要,向分管信息化工作的校领导汇报。
7.设备安全紧急处置措施
(1)服务器等关键设备损坏后,值班人员应立即向网络安全负责人报告。
(2)应急小组应立即查明原因。
(3)如果能够自行恢复,应立即用备件替换受损部件。
(4)如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。
(5)如果设备一时不能修复,应向分管信息化工作的领导汇报。
8.电源断电紧急处置措施
(1)查明故障原因。
(2)检查 UPS和市电是否正常供电。
(3)打开机房门,保持通风,保证密切关注UPS变化和机房温度变化。
(4)汇报相关领导,确认市电恢复时间,评估 UPS供电能力。
(5)通知后勤部进行电源维修,做好事件记录。
(6)在UPS供电期间,做好服务器数据和交换机配置的备份。
(7)根据来电时间,逐步关闭设备,确保设备的安全。
(8)必要时请示部门负责人及校领导,主动关闭非重要服务器、交换机、存储等设备,以免设备损坏或数据损失。
9.人员疏散与机房灭火预案
(1)当班人员发现机房内有起火、冒烟现象或闻到烧焦气味时,应立即查明原因和地点,及时上报并针对不同情况,采取关闭电源总开关、隔离火源附近易燃物、用消防栓、灭火器等器材灭火等措施,组织本单位、部门在场的人员有序地投入扑救工作,将火扑灭或控制火势蔓延。
(2)当无法及时将火扑灭时,一是指定专人立即拨打“119”火警电话报警和向上级保卫部门报告,并打破报警器示警;二是组织周围人员迅速撤离。
(3)在保障人员安全的情况下,立即组织人员疏散和转移重要物品,特别是易燃、易爆物品和重要的机器、数据要及时转移到安全地点,并派人员守护,确保安全。
(4)火情结束之后,组织相关人员及时进行网络系统恢复,及时向上级有关部门和领导汇报,并做好现场保护工作和防止起火点复燃。
