济源职业技术学院网络与信息安全应急预案
为提高应对网络与信息安全类公共事件的处理能力,预防和减少网络与信息安全类社会性公共事件造成的损失和危害,确保校园网安全、稳定运行,最大限度地减少损失,根据《国家网络与信息安全事件应急预案》和互联网网络安全相关条例,结合我校校园网工作实际,特制订本预案。
一.网络与信息安全组织机构
校园网络建设和管理实行统筹规划、统一标准、分级管理的原则。
一是学院领导高度重视信息化建设工作,成立了主管院领导为组长的信息化建设领导小组。学院信息化领导小组为校园网最高决策机构,负责对校园网络的规划、建设和发展提出指导和咨询意见。
二是信息化工作领导小组下设办公室,办公室设在实验实训中心。信息化建设小组为学院信息化领导小组下属组,统一协调全院信息化建设工作,制定加强信息化建设的方案、措施。
三是各部门确定一名部门领导分管子网工作,对本级子网进行监督管理。确定本级子网的信息管理员,加强信息安全工作,形成完善的内部监督制约机制,定期开展网络安全检查、检测工作,积极做好安全检查工作,堵塞漏洞,减少安全隐患。
网络技术人员和信息管理员负责对网站内容维护和更新,为校园网安全、稳定运行提供技术支撑。严格按照教育部《教育系统网络与信息安全类突发公共事件应急预案》实施。
二.应急处置措施
(一)网站不良信息处理预案
1.一旦发现学校网站(包括论坛)上出现不良信息(或者被黑客攻击修改了网页),立刻关闭网站。
2.备份不良信息出现的目录、备份不良信息出现时间前后一个星期内的HTTP连接日志、备份防火墙中不良信息出现时间前后一个星期内的网络连接日志。
3.截图并打印不良信息页面留存。
4.完全隔离出现不良信息的目录,使其不能再被访问。
5.删除不良信息,并清查整个网站所有内容,确保没有任何不良信息,重新开通网站服务,并测试网站运行。
6.修改该目录名,对该目录进行安全性检测,升级安全级别,升级程序,去除不安全隐患,关闭不安全栏目,重新开放该目录的网络连接,并进行测试,正常后,重新修改该目录的上级链接。
7.全面查对HTTP日志,防火墙网络连接日志,确定该不良信息的源IP地址,如果来自校内,则立刻全面升级此次事件为最高紧急事件,立刻向领导小组组长汇报,视情节严重程度领导小组可决定是否向公安机关报案。
8.从事故发生到处理事件的整个过程,必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。
(二)网络恶意攻击事故处理预案
1.发现网络恶意攻击,立刻确定该攻击来自校内还是校外;受攻击的设备有哪些;影响范围有多大。并迅速推断出此次攻击的最坏结果,判断是否需要紧急切断校园网的服务器及公网的网络连接,以保护重要数据及信息;
2.如果攻击来自校外,立刻从防火墙中查出对方IP地址并过滤,同时对防火墙设置对此类攻击的过滤,并视情况严重程度决定是否报警。
3.如果攻击来自校内,立刻确定攻击源,查出该攻击出自哪台交换机,出自哪台电脑,出自哪位教师或学生。接着立刻赶到现场,关闭该计算机网络连接,并立刻对该计算机进行分析处理,确定攻击出于无意、有意还是被利用。
4.重新启动该电脑所连接的网络设备,直至完全恢复网络通信。
5.对该电脑进行分析,清除所有病毒、恶意程序、木马程序以及垃圾文件,测试运行该电脑5小时以上,并同时进行监控,无问题后归还该电脑。
6.从事故一发生到处理事件的整个过程,必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。
(三)重大安全事件紧急处置措施
1.发现论坛上的非法帖子已经广为传播阅读、病毒大面积感染、黑客入侵无法阻止或已经造成不良后果、系统的安全漏洞被多次利用等影响面大的事件,网络中心负责人必须在接到值班员的报告后立即向网络安全领导小组组长汇报并一起赶到现场。
2.保存、分析日志文件等线索,判断故障类型、故障影响面,追踪故障源,采取措施消除影响,并为协助公安机关调查、取证做准备。
3.网络安全领导小组办公室应立即向向公安部门及省教育厅报案。并及时向中国教育科研网紧急响应组求助(http://www.ccert.edu.cn),根据上级安排进行处理。
(四)软件系统遭受破坏性攻击的紧急处置措施
1.重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日备份,并将它们保存于安全处。
2.一旦发现软件遭到破坏性攻击,应立即向相关技术网络管理员报告,并将系统停止运行。
3.网络管理员负责软件系统和数据的恢复。
4.网络管理员检查日志等资料,确认攻击来源。
5.安全领导小组认为情况极为严重的,应立即向公安部门或上级机关报告。
(五)数据库安全紧急处置措施
1.各数据库系统要至少准备两个以上数据库备份,平时一份放在机房,另一份放在另一安全的建筑物中。
2.一旦数据库崩溃,应立即向网络中心主任报告,同时通知各单位暂缓上传上报数据。
3.网络管理员应对主机系统进行维修,如遇无法解决的问题,立即向上级单位或软硬件提供商请求支援。
4.系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。
5.如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库备份加以恢复。
6.如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
(六)广域网外部线路中断紧急处置措施
1.发现广域网任何线路中断后,值班人员应立即上报。
2.网络管理员接到报告后,应迅速判断故障节点,查明故障原因。
3.如属我校管辖范围,由值班人员协同网络管理员立即予以恢复。如遇无法恢复情况,立即向有关技术人员请求支援。
4.如属中国联通、中国电信或教育网管辖范围,立即与对应维护部门或省教科网联系,请求修复。
5.如果三条线路同时中断,网络管理员应在判断故障节点、查明故障原因后,尽快与其他相关领导和技术人员研究恢复措施,并立即向安全领导小组汇报。
6.经安全领导小组同意后,应通告各单位相关原因,并发出通知公告到学校新闻网上。
(七)局域网中断紧急处置措施
1.局域网中断后,值班人员和网络管理员应立即判断故障节点,查明故障原因,并向网络安全领导小组副组长汇报。
2.如属线路故障,应查找故障点并联系施工人员尽快恢复故障线路。
3.如属路由器、交换机等网络设备故障,应立即与设备提供商联系更换设备,并调试畅通,然后商谈维修事宜。
4.如属路由器、交换机配置文件破坏,应迅速利用备份文件重新配置,并调试畅通。如遇无法解决的技术问题,立即向上级单位或有关厂商技术工程师请求支援。
5.如有必要,应向安全领导小组组长汇报。
(八)设备安全紧急处置措施
1.小型机、服务器等关键设备损坏后,有关人员应立即向网络管理员汇报。
2.网络管理员应立即查明原因。
3.如果能够自行恢复,应立即用备件替换受损部件。
4.如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。
5.如果设备暂时不能修复,应向安全领导小组领导汇报,并告知各单位,暂缓上传上报数据。
(九)人员疏散与机房灭火预案
1.一旦机房发生火灾,应遵照下列处理原则:首先保人员安全;其次保关键设备、数据安全;三是保一般设备安全。
2.紧急处理程序是:机房值班人员立即按响火警警报,并通过119电话向公安消防请求支援,同时上报校保卫处和安全领导小组领导。
3.灭火的程序是:首先切断所有电源,启动自动喷淋系统,值班人员及工作人员从指定位置取出灭火器进行灭火。
(十)外电中断后的应急预案
1.已确定时间的通知停电
(1)值班人员接到停电通知后,应第一时间将停电时间、电源切换时间、恢复供电时间等情况告知办公室和相关管理人员,并发布校园网网络中断通知;
(2)值班人员做好停电来电安排。
2.突发停电
(1)在突发停电情况下,发现者应第一时间通知值班人员马上到场;
(2)值班人员应立即将电源切换至备用电源,并联系后勤服务中心或电工房,确认是内部故障停电还是外部停电,将停电时间、电源切换时间、恢复供电时间记录下来,并将结果告知网络中心负责人;
(3)若确认为外部突发停电时:
①如果停电时间在两个小时以内,密切关注UPS的负载情况及剩余供电时间;
②如果停电时间在两个小时及以上,值班人员通知办公室,由办公室发布校园网中断通知;
③然后值班人员关闭除WWW、DNS、邮件、OA、教务管理外的其他服务器;
④值班人员查看UPS持续时间;如果UPS剩余电量仍然无法坚持到恢复供电时间,关闭除路由器外的其他交换机和服务器,并切断这些设备的电源;
⑤值班人员再次查看UPS持续时间;如果UPS剩余电量仍然无法坚持到恢复供电时间,关闭路由器,然后关闭光放大器,并切断电源;
⑥关闭UPS所有开关。
(4)当判断为内部(楼内)故障突发停电时:
①值班人员应在第一时间对故障原因进行排查,如判断是电源房供电问题,应立即报修,并把UPS市电切断,改为UPS供电;如判断是机房内部故障导致停电的,应在第一时间切断机房电源和UPS供电,并通知后勤服务中心电工到机房排查;
②如发现有火灾迹象,先关闭中心机房西墙配电柜所有开关,保障设备安全;
③值班人员停电期间加强巡逻,排除隐患。
3.来电处理流程
(1)打开UPS电源市电开关。
(2)打开路由电源,光放大器电源、核心交换机电源。
(3)打开两台汇聚交换机电源、所有服务器电源。
(4)测试教育网线路、测试网通线路是否畅通。
(5)测试首页、教务系统、招生就业网站、OA等能否正常访问。
(十一)关键人员不在岗的紧急处置措施
1.对于关键岗位平时应做好人员储备,确保一项工作有两人能操作。
2.一旦发生关键人员不在岗的情况,首先应向值班领导汇报情况。
3.经值班领导批准后,由备用人员上岗操作。
4.如果备用人员无法上岗,请求上级单位支援或要求关键人员立刻返岗。
三.网络安全事故发生后的行动指南
1.确保学校公网连接和WEB网站信息安全为首要任务。迅速发出安全警报,所有相关人员集中进行事故分析,确定处理方案。
2.确保校内其它接入设备的信息安全:经过分析排查,可以迅速关闭、切断其他不安全接入设备的所有网络连接,防止滋生其他接入设备的安全事故。
3.分析网络现状,确定故障来源:使用各种网络管理工具,迅速确定故障源,按相关程序进行处理。
4.故障源处理完成后,逐步恢复网络运行,监控故障源是否仍然存在。
5.针对此次安全事件,进一步确定相关安全措施,总结经验,加强防范。
6.从事件发生到处理完成的整个过程,必须及时向领导小组组长汇报,听从安排,注意做好保密工作。
7.事后迅速查清事件发生原因,查明责任人,并报领导小组,根据责任情况进行处理。
实验实训中心
附件
1
重大信息安全事故报告表
报告时间: 年 月 日 时 分
备案编号: 年 月 日 第 号 总第 号
单位名称: 报 告 人:
联系电话: 通讯地址:
电子邮件: 负 责 人:
发生重大信息安全事件的网络与信息系统名称及用途:
重大信息安全事件的简要描述(如以前出现过类似情况也应加以说明):
初步判定的事故原因:
当前采取的确应对措施:
本次重大信息安全事件的初步影响状况
事件后果:
□业务中断 □系统破坏 □数据丢失 □其他
影响范围:
□单台主机 □ 台主机 □整个信息系统 □整个个局域网
严重程度:
□极严重 □很严重 □严重 □一般 □不严重
联系部门:现代技术教育与信息中心 联系电话:0391-6626066
注:单位名称需加盖公章
附件
2
重大信息安全事件处理结果报告表
原报告时间: 年 月 日 时 分
备案 编号: 年 月 日 第 号 总第 号
单位 名称: 报 告 人:
联系 电话: 通讯地址:
电子邮件: 负 责 人:
发生重大信息安全事件的网络与信息系统名称及用途:
操作系统:
□UNIX □Windows □BSD 系列 □Linux
数据库使用情况:
□无 □Oracie □MS SQL □MySQL □其他
系统是否经过安全测评:
□是 □否
已采用的安全措施:
□防火墙 □入侵检测系统 □其他
目前系统安全评测:
□是,已经通过安全评测 □是,但未通过安全评测 □否,未经过安全评测
重大信息安全事件的补充描述及最后判定的事故原因
:
对本次重大信息安全事件的事后影响状况事件后果:
□业务中断 □系统破坏 □数据破坏 □其他
影响范围:
□单台主机 □ 台主机 □整个信息系统 □整个局域网
严重程度:
□极严重 □很严重 □严重 □一般 □不严重
本次重大信息安全事件的主要处理过程与结果 (必要时可附文字、图片 等材料) (可增页):
针对此类事件应采取的保障网络与信息系统安全的措施和建议 (可增页):
注:单位名称需加盖公章
上一篇:
下一篇: