网络数据安全预案

网络数据安全预案为维护中小学正常工作秩序，营造健康的网络环境，进一步健全网络安全事件应急工作机制，规范网络安全事件工作流程，提高高校网络安全应急处置能力，降低网络安全事件带来的损失和不良影响，根据《中华人民共和国网络安全法》《教育系统网络安全事件应急预案》《xx教育系统网络安全应急预案》等相关法律法规和文件，并参照教育部办公厅关于印发《信息技术安全事件报告与处置流程(试行)》(教技厅函〔2014〕75号)、《信息安全事件分类分级指南》等，结合中小学实际情况，特制定本预案。信息安全事件是指由于自然或人为以及软硬件本身缺陷或故障等原因，对信息系统造成危害或对社会造成负面影响的事件。1.2信息安全事件的分类根据信息安全事件性质分为信息内容安全事件和信息技术安全事件两大类。信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。除信息内容安全事件外的其它信息安全事件为信息技术安全事件。1.3信息安全事件分级根据信息安全事件所危害信息系统的重要程度不同、损失程度不同以及社会影响程度不同，对信息安全事件进行分级管理。1.3.1信息系统的重要程度划分信息系统等级保护定级为三级的信息系统为特别重要信息系统，定级为二级信息系统为重要信息系统，其它为一般信息系1.3.2信息系统的损失程度划分根据信息安全事件对信息系统业务信息和系统服务能力的破坏程度划分信息系统损失程度。造成信息系统大面积瘫痪、业务全面中断、系统关键数据遭到严重破坏、恢复系统运行和消除负面影响的代价非高校能够承受的为特别重大系统损失；造成系统长时间中断或局部瘫痪、业务处理能力受到极大影响、系统关键数据遭到破坏、恢复系统运行和消除负面影响的代价较大的为重大系统损失；造成系统暂时中断，业务处理能力受到影响、系统重要数据遭到破坏，恢复系统运行和消除负面影响的代价不大的为一般系统损失。1.3.3信息系统的社会影响程度划分极大威胁国家安全、引起社会动荡、对经济建设有极其恶劣的负面影响、或者严重损害公众利益的为特别重大社会影响；威胁到国家安全、引起社会恐慌或对经济建设有重大负面影响、或损害到公众利益的为重大社会影响；可能影响到国家安全、社会秩序、经济建设或公众利益，或对学校及师生利益造成损害或影响学校工作秩序的为一般社会影响。1.4安全事件四个等级根据《信息安全事件分类分级指南》将安全事件划分为四个等级：特别重大事件(I级)、重大事件(Ⅱ级)、较大事件(Ⅲ特别重大事件(I级)：对特别重要信息系统造成特别重大损失，或造成特别重大社会影响。重大事件(Ⅱ级)：对特别重要信息系统造成重大损失、或对重要信息系统造成特别重大损失、或造成重大社会影响。较大事件(Ⅲ级)：对重要信息系统造成一般损失、或对一般信息系统重大损失、或造成一般社会影响的。一般事件(Ⅳ级)：对一般信息系统产生一般系统损失且不造成社会影响的。统筹协调学校网络安全应急指挥工作，建立与国家网络安全职能部门、专业机构等多方参与的协调联动机制，加强预防、监测、报告和应急处置等环节的紧密衔接，做到快速响应、正确应对、果断处置。二是分级管理、强化责任。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，各单位是本单位网络安全工作的责任主体，单位主要负责人是本单位网络安全工作第一责任人。三是预防为主、平战结合。坚持事件处置和预防工作相结合，做好事件预防、预判、预警工作，加强应急支撑保障能力和安全态势感知能力建设。提高网络安全事件快速响应和科学处置能力，抓早抓小，争取早发现、早报告、早控制、早解决，严控网络安全事件风险和影响范围。2组织机构与职责一是学校网络数据安全领导小组主要职责与任务是统一领导全校信息网络的管理和应急工作，全面负责学校信息网络可能出现的各种突发事件处置工作，协调解决网络安全事件处置工作中的重大问题等。二是校内各单位按照“谁主管谁负责、谁运维谁负责”的原则，承担各自网络安全责任，全面落实各项工作。3应急处理预案安全事件自主判定。一旦发生安全事件，各相关单位应根据《信息安全事件分类分级指南》，按信息系统重要程度、损失情况以及对工作和社会造成的影响，自主判定安全事件等级，安全事件的最终等级由学校网络数据安全领导小组核定。Ⅰ至Ⅲ级安全事件的报告与处置分为三个步骤：事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置。3.1事发紧急报告与处置一旦发现上述安全事件，各单位系统管理人员应根据实际情况第一时间采取断网等有效措施进行处置，将损害和影响降到最小范围，保留现场，并报告本单位网络与信息安全联络员和安全第一责任人。本单位网络与信息安全联络员接到报告后，应立即组织本单位技术人员赶赴现场进行紧急处置，同时将相关情况报告网络数据安全领导小组。网络数据安全领导小组了解信息安全事件基本情况后，应进一步判定安全事件等级，对确认属于Ⅰ至Ⅲ级安全事件的，应组织力量开展应急处置，同时协助事发单位将有关情况通报上级主管单位。事发单位应及时跟进事件进展情况。如出现新的重大情况应及时补报。涉及人为主观破坏事件应同时报告当地公安机关。情况通报内容包括：(1)时间地点；(2)简要经过；(3)事件类型与分级；(4)影响范围；(5)危害程度；(6)初步原因分析； (7)已采取的应急措施。按照安全事件分类具体可分别采用以下处置方案：(1)有害程序事件(包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件)：及时断开传播源，判断事件的性质、关闭涉及的校内IP和端口，必要时公布安全事件信息以及防御方法。(2)网络攻击事件(包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件入侵)：对于网络攻击事件，首先要判断攻击或入侵的来源，区分校内与校外。攻击或入侵来自校外的，及时关闭入侵的IP和端口，在无法制止的情况下可以采用断开网络连接的方法，将被攻击或入侵的服务限制为校内访问。攻击或入侵来自校内网络的，查清入侵来源，断开对应的交换机端口。(3)信息破坏事件(包括信息篡改事件、信息假冒事件、信要求一经发现立即断开相应的信息服务的上网链接，限制校外访问，保留现场，整改完成后经申请方可恢复校外访问。(4)信息内容安全事件(通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件)：要求一经发现立即断开相应的信息服务的上网链接，限制校外访问，保留现场，整改完成后经申请方可恢复校外访问。(5)设备设施故障(包括软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障)：一旦发现，可根据相应工作流程尽快排除。其它没有列出的不确定因素造成的灾害性事件，可根据总的安全原则，结合具体的情况，做出相应的处理。不能处理的应第一时间请示上一级主管领导。3.2事中情况报告与处置一是事中情况报告应在安全事件发现后8小时内以书面报信息内容安全事件报送内容和格式。二是事中情况报告由事发单位网络与信息安全联络员组织本单位技术人员和运维单位共同编写，由本单位主要负责人审核后，签字并加盖公章报送网络数据安全领导小组，网络数据安全领导小组协助事发单位将事中情况通报上级主管部门。三是安全事件的事中处置包括：及时掌握损失情况、查找和分析事件原因，修复系统漏洞，恢复系统服务，尽可能减少安全事件对正常工作带来的影响。如果涉及人为主观破坏的安全事件应积极配合公安部门开展调查。3.3事后整改报告与处置一是事后整改报告应在安全事件处置完毕后5-7个工作日内以书面报告的形式进行报送，信息技术安全事件报送内容和格式，信息内容安全事件报送内容和格式。二是事后整改报告由事发单位网络与信息安全联络员组织本单位技术人员和运维单位共同编写，由本单位主要负责人审核后，签字并加盖公章报送网络数据安全领导小组，网络数据安全领导小组协助事发单位将事后整改报告同时报送上级主管部门。三是信息安全事件事后处置包括：进一步总结事件教训，研判安全现状、排查安全隐患，进一步加强制度建设，提升安全防护能力。如涉及人为主观破坏的安全事件应继续配合公安部门开展调查。根据事件的影响程度开展责任追究。处置工作，在事件处置完毕后5个工作日内向网络数据安全领导小组报送整改报告，报告内容和格式。预警类信息的报告与处置。预警类信息包括校内网络病毒、木马集中爆发，校内主机遭受入侵或发生向外攻击等事件。网络数据安全领导小组会根据需要发布安全预警类信息和通知，各单位要按时、按要求完成预警类信息的处置工作，并及时将执行情况报告网络数据安全领导小组。4日常管理与工作保障信息中心定期对学校网站及信息系统进行安全漏洞扫描测试工作，并对新建上线或变更的网络信息服务进行安全准入测试工作，学校网络信息服务安全准入要求。针对测试结果有信息安全隐患的网站及信息系统，将第一时间关闭相关网络信网访问端口，通知相关单位信息安全联络员进行整改并发送整改信息。信息中心负责跟踪上级主管部门公布的涉及学校的信息安全隐患及相关问题，在收到上级部门通报后，将在第一时间关闭问端口，通知相关单位信息安全联络员进行整改并发送通报整改信息。各单位要认真做好通报信息安全隐患的整改工作，并将整改报告报送至信息中心，报送内容和格式。属于上级主管部门通报的安全问题，须于三个工作日内完成整改；其他问题，须于七个工作日内完成整改。信息中心收到各单位的整改报告后，对其整改后的网站及信息系统重新进行安全漏洞扫描和测试。针对已做过网络安全等级保护的网站及信息系统，测试结果没有安全隐患的，将重新开放其外网访问端口，保留整改报告备案；属于上级主管部门通报的安全问题，信息中心将协助整改单位将整改报告同时报送上级主管部门；针对未做过网络安全等级保护备案且未进入学校Web统一发布管理平台(反向代理)的网站及信息系统，将不口，待其达到信息系统等级保护相关标准要求将继续关闭外网访问端口，通知相关单位继续进行整改。逾期未完成整改的网络信息服务，信息中心将在七个工作日后关停其网站及信息系统的校内访问服务，并上报上级主管部门。人事变更报告。各单位的信息安全工作主管领导、主管部门负责人、信息安全联络员、联系方式发生变更的，应及时将变更情况报信息中心。相关配套机制。各单位应建立健全本单位安全事件应急处置机制，制定安全事件应急预案，定期组织应急演练。责任追究。各单位应按照流程及时、如实地报告和妥善处置安全事件。如有瞒报、缓报、处置和整改不力等情况，将对相关单位予以通报并追究相关人员的责任。校内各单位每年至少参与一次应急演练，及时将演练情况报网络信息安全办公室，并进一步报有关部门。校内各单位应将网络安全教育作为安全教育的重要内容，加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传教育。同时，充分利用各种活动形式(网络安全周等)和传播媒介，开展网络安全基本知识和技能的宣传活动，提高在校师生的网络安全意识。学校定期组织网络安全培训，将网络安全事件的应急知识列为领导于部和有关人员的培训内容，加强网络安全特别是网络安全事件应急预案的学习，提高网络安全管理和技术人员的防范意识及安全技能。学校为网络安全应急工作提供必要的经费保障，支持网络安物资保障等工作开展。对不按照规定组织开展演练，迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职、渎职行为