一、依据
(一)《信息安全等级保护制度》,公安部公通字[2007]43号。(https://wenku.baidu.com/view/11ebd38a4793daef5ef7ba0d4a7302768e996feb.html)
(二)《浙江省教育信息化建设工程实施办法》,百度文库【2018.10.7】。(https://wenku.baidu.com/view/c077f58448649b6648d7c1c708a1284ac9500517.html)
(三)《宁波职业技术学院信息化建设管理办法》。
二、目的
提高处置网络与信息安全突发公共事件能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络与信息安全突发公共事件的危害。
三、适用范围
学校范围内或归属学校管理的网络与信息系统,发生安全突发公共事件的情况,需要应急响应。
四、分类分级
网络与信息安全突发公共事件分为网络安全突发事件和信息安全突发事件两类,根据事件的可控性、严重程度和影响范围,分四个等级:1级(特别重大)、2级(重大)、3级(较大)、4级(一般)。
五、工作原则
(一)积极防御、综合防范。立足安全防护,加强巡查预警,重点保护基础信息网络和重要信息系统。
(二)明确责任、分级负责。按照“谁主管谁负责、谁运营谁负责”的原则,落实应急处置工作责任。
(三)以人为本、快速反应。把保护信息系统数据作为处置重点,防止师生个人信息遭窃或数据资料丢失,应果断决策,迅速处置。
(四)依靠科学、平战结合。加强技术储备、规范应急处置操作,定期进行预案演练,确保应急预案切实可行。
六、应急响应
(一)信息资源中心接到网络与信息安全突发公共事件报告,应迅速收集事件相关信息,分析研判,鉴别事件性质,判断事件来源,评估影响范围和损害程度,确定分类定级,对3级或4级事件,通知各单位自行处置。对1级或2级事件,应立即报告上级,迅速组织力量,开展应急处置工作。同时应作好过程记录,保存好相关系统日志。
(二)在进行最初的应急处置后,应及时采取行动,抑制安全事件影响的进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。在发生网络故障时,优先保证相关重要部门的网络畅通。
(三)应急处置工作结束后,信息资源中心应尽快恢复系统正常工作,同时统计各种数据,对事件造成的损失和影响分析评估,查明原因,研究防范措施,并组织实施。同时,以发生的事件为案例,开展网络与信息安全教育培训,提高防范意识与应对技能。同时加强针对性演练,提高再发生类似事件的应急处置能力。
七、应急处置办法
(一)灾害类:根据实际情况,在保障人身安全的前提下,首先保障数据安全,然后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
(二)故障类、攻击类或信息安全类:判断故障或攻击的来源与性质,断开影响安全与稳定的信息网络设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP或其它网络用户信息,修复被破坏的信息,恢复信息系统。
(三)病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,寻找并公布病毒攻击信息,以及杀毒、防御方法。
(四)外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵不成功、未造成损害的,且评价威胁很小的外网入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和带来恶劣影响。
(五)内部入侵:查清入侵来源,如IP地址、所在办公室等信息,同时断开对应的交换机端口。然后针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。
(六)网络故障:判断故障发生点和故障原因,能够迅速解决的尽快排除故障,优先保证主要应用系统的运转。
八、附則
(一)本方案经校长办公会审议通过后公告实施,修正时亦同。
(二)本方案解释权归信息资源中心,此前的相关规定如与本方案发生矛盾,按本方案执行。