1 总则
1.1 编制目的
根据《国家网络安全事件应急预案》和《教育系统网络安全事件应急预案》要求,建立健全河南水利与环境职业学院网络安全事件应急工作机制,有效预防并科学应对网络安全突发事件,提高网络安全事件处置能力,最大限度地预防和减少网络安全事件造成的损失和危害,确保校园网络和信息系统的正常运行和安全稳定,维护校园正常秩序,保护公众利益,维护国家安全、公共安全和社会秩序。
1.2 编制依据
《中华人民共和国网络安全法》《中华人民共和国数据安全法》《河南省网络安全事件应急预案(2021 修订版)》《教育系统网络安全事件应急预案》《信息安全技术信息安全事件分类分级指南》(GB/Z 20986—2007)等相关规定。
1.3 适用范围
本预案适用于河南水利与环境职业学院校内各单位。按照《国家网络安全事件应急预案》规定,本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他事件。信息内容安全事件的应对,参照有关规定和办法。
1.4 事件分级
结合我校网络情况,可能造成的危害,可能发展蔓延的趋势等,网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。适用于全省教育系统网络安全事件为三级:重大网络安全事件、较大网络安全事件、一般网络安全事件。
(1)符合下列情形之一的为重大网络安全事件
①全校大量用户无法正常上网,不包括因升级改造、施工、停电或其它特殊情况引起的网络中断。
②重要业务信息系统(网站)遭受重大系统损失或非法篡改等,明显影响系统效率和业务处理能力,或造成重大不良社会影响。
③网络病毒在全校范围内广泛传播。
④重要业务信息系统(网站)的信息或数据发生丢失或被窃取、篡改、假冒。
⑤其他对学校网络安全稳定和正常秩序构成较大威胁,造成重大影响的网络安全事件。
(2)一般网络安全事件
除上述情形外,对学校网络安全稳定和正常秩序构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
1.5 工作原则
坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持属地管理,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。
2 组织机构与职责
2.1 领导机构与职责
河南水利与环境职业学院网络安全和信息化领导小组(以下简称“领导小组”)是网络安全事件应急处置领导机构,河南水利与环境职业学院网络安全和信息化领导小组办公室(以下简称“网信办”)统筹协调组织校内网络安全事件应对工作,建立健全跨部门联动处置机制,校党委办公室、校党委宣传部、信息化管理办公室等相关单位按照职责分工负责相关网络安全事件应对工作。必要时成立河南水利与环境职业学院网络安全事件应急办公室(以下简称“应急办”),负责特别重大事件(I级)、重大事件(Ⅱ级)和较大事件(Ⅲ级)处置的组织指挥和协调。
2.2 信息化管理办公室职责
负责全校网络安全事件应急工作,做好网络安全事件的预防、监测、报告和应急工作,指导各二级单位做好应急处置的技术支撑工作;
负责对接教育部网络安全应急办公室,向教育部网络安全应急办公室报告重大网络安全事件情况,提出重大网络安全事件应对措施建议;
每年组织一次应急演练,每年年底前将本年度演练情况报教育部网络安全应急办公室,同时根据演练情况对预案进行修改完善;
定期组织网络安全培训或学习,提高网络安全管理人员和技术人员的防范意识及安全技能。
2.3 各二级单位职责
严格遵照“谁主管谁负责、谁运维谁负责”的原则,承担本单位网络安全责任;
负责本单位信息系统(网站)的安全管理和运维,全面落实各项网络安全相关工作。
3 监测与预警
3.1 预警分级
网络安全事件预警等级分为四级,由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。
3.2 预警监测
各单位按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,组织对本单位建设运行的网络和信息系统开展网络安全监测工作。网信办结合本校实际,统筹组织开展对学校网络和信息系统的安全监测工作,各单位要将重要监测信息及时报网信办。
3.3 预警研判和发布
各单位组织对监测信息进行研判,认为需要立即采取防范措施的,应当及时通知网信办,网信办可根据监测研判情况,发布蓝色预警。对可能发生较大及以上等级的网络安全事件情况,网信办应向领导小组报告,并由学校相关部门将有关情况向省教育厅信息化管理办公室、省公安厅、市公安局等部门通报。
预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。
3.4 预警响应
(1) 红色、橙色、黄色预警响应
网信办组织预警响应工作,启动相应应急预案,加强网络安全事件监测,对事态发展情况进行跟踪研判,组织指导应急支撑队伍、相关运行单位开展应急准备、风险评估和控制工作,研究制定防范措施和应急工作方案,并根据需要实行24小时值班,保持通信联络畅通。重要情况报省教育厅信息化管理办公室、省公安厅、市公安局等部门。
(2) 蓝色预警响应
各单位启动相应应急预案,组织开展预警响应。
3.5 预警解除
网信办根据实际情况,确定是否解除预警,及时发布预警解除信息。
4 应急处置
4.1 事件报告
网络安全事件发生后,网信办应立即启动应急预案,组织指导实施处置并及时报送信息。校党委宣传部、信息化管理办公室、责任单位领导及相关人员应第一时间到达现场,采取断网等先期应急处置措施,控制事态,消除隐患,将损害和影响降到最低,同时组织研判,保存证据,做好信息通报工作。对于初判为较大及以上等级的网络安全事件,信息化管理办公室应立即报告领导小组,并由学校相关部门将相关情况向省教育厅信息化管理办公室、省公安厅、市公安局等部门报告。
事件报告信息需包括以下要素:报告时间、单位、报告人及联系方式,发生事件的网络与信息系统名称及运营使用管理单位、简要过程、采取的措施与效果等。《网络安全事件情况报告》样式详见附件1。
4.2 应急响应
网信办组织有关单位尽最大可能收集网络安全事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围,评估事件带来的影响和损害,确认事件的类别和等级,并根据事件等级采取相应的应急响应。
(1) Ⅰ级、Ⅱ级、Ⅲ级响应
学校成立应急办,进入应急状态,按照相关应急预案做好应急处置工作,履行应急处置工作的统一领导、指挥、协调职责。应急办24小时值班。
网信办应跟踪事态发展,检查影响范围,及时将事态发展变化情况、处置进展情况报应急办,应急办将有关重大事项及时通报省教育厅网信办、省公安厅、市公安局等部门。处置中需要上级部门网络安全应急技术支撑队伍配合和支持的,应急办予以协调。各单位根据应急办的通报信息,结合各自实际有针对性地加强防范,防止造成更大范围影响和损失。
(2) Ⅳ级响应
各单位及时、自主按相关预案进行应急处置,做好处置记录,并报网信办。
4.3 应急处置
根据网络安全事件分类采取不同的应急处置方式:
(1) 网络攻击事件:判断攻击的来源与性质,关闭影响安全的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质采取以下方案:
① 病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助进行杀毒处理。
② 外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外网入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和影响。
③ 内部入侵:查清入侵来源,如IP地址、所在办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。
(2) 信息内容安全事件:检测或接到校内网站出现不良信息报告后,应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息传播,查找信息发布人并做好善后处理。对上级部门或公安机关要求我校协查的外网不良信息事件,根据校园网上网相关记录查找信息发布人。
(3) 设备故障事件:判断故障发生点和故障原因,迅速联系网络管理中心尽快抢修故障设备,优先保证校园网主干网络和主要应用系统的运转。
(4) 灾害性事件:根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
4.4 应急结束
(1) Ⅰ级、Ⅱ级、Ⅲ级响应结束
应急办提出建议,报领导小组批准后,及时通报省教育厅网信办、省公安厅、市公安局等部门。
(2) Ⅳ级响应结束
由事发单位决定,报网信办。
5 调查与评估
较大、重大和特别重大网络安全事件由应急办组织协调有关部门进行调查处理和总结评估,并按程序上报。一般网络安全事件由事发单位自行组织调查处理和总结评估,并将相关总结调查报告报网信办。总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。
网络安全事件总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。网络安全事件的调查处理和总结评估工作应在应急响应结束后 30 天内完成。相关总结调查报告按照要求上报。
6 预防工作
6.1 日常管理
(1) 加强校园网络与信息系统安全管理,建立预警监测体系,健全网络安全信息通报机制,及时采取有效措施,减少和避免网络安全事件的发生及危害,提高网络安全事件的应对能力;
(2) 不断健全学校网络和信息系统的技术防护体系,在校园网出口、数据中心、重要信息系统等边界,加强安全防御,发现异常及时处置并逐级报告;
(3) 学校各单位按职责做好网络安全事件日常预防工作,加强各单位的网络和信息系统安全管理,制定完善的相关应急预案,做好网络安全检查、隐患排查、风险评估和容灾备份;
(4) 建立安全巡查制度。党委宣传部、网络管理中心及各单位网络安全负责人应密切监视信息系统内容,执行值班制度,做好校园网络与信息系统安全的日常巡查及日志保存等工作,以便及时应对突发性事件。
6.2 演练
建立应急预案定期演练制度。通过定期组织演练,发现应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置实战能力。
6.3 宣传教育
充分利用网络安全宣传周、网络安全攻防大赛、学术研讨会、安全培训会、应急演练等各种形式,加大对有关法律、法规和政 策的宣传力度,深入宣传《网络安全法》《数据安全法》《密码法》《个人信息保护法》,普及网络安全预防、预警、救助和减灾等基本知识。
6.4 工作培训
定期组织网络安全培训,将网络安全事件的应急知识列为领导干部和有关人员的培训内容,加强学校各单位和相关人员的网络安全事件应急知识特别是网络安全应急预案的培训,提高网络安全管理和技术人员的防范意识及技能。
6.5 重要时期预防措施
在国家重要活动、会议期间,加强网络安全事件的防范和应急响应,确保校园网络安全。领导小组统筹协调网络安全保障工作,加强校园网络安全监测,及时预警可能造成重大影响的风险和隐患,重点部门、重点岗位保持24小时值班,及时发现和处置网络安全事件隐患。
7 工作保障
7.1 机构和人员
各单位应落实网络安全应急工作责任制,明确网络安全职能部门,按照“谁主管谁负责、谁使用谁负责、谁运维谁负责 ”的原则,把网络安全应急工作责任落实到具体部门、具体岗位和个人,健全应急工作机制。
7.2 技术支撑
加强网络安全应急技术支撑队伍建设,不断提高信息安全防范意识和技术水平,提高应急处置能力,做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。
7.3 基础平台
加强网络安全应急基础平台和管理平台建设,做到早发现、早预警、早响应,提高应急处置能力。
7.4 物资保障
加强对网络安全应急装备、工具的储备,及时调整、升级软硬件工具,不断增强应急技术支撑能力。
7.5 经费保障
为网络安全事件应急处置提供必要的资金保障,支持网络安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、预案演练、物资保障等工作开展。
7.6 责任与奖惩
网络安全事件应急处置工作实行责任追究制。要求各单位认真贯彻落实预案的各项要求与任务,对未有效落实预案各项规定(如迟报、谎报、瞒报、漏报网络安全事件重要情况或者应急管理工作中有失职、渎职行为等)的单位进行通报批评,相关责任人给予处分,责令限期改正,对落实到位的给予相应的奖励。
8 附则
8.1 预案管理
本预案原则上每年评估一次,根据实际情况适时修订。修订工作由学校信息化管理办公室负责。
8.2 预案解释
本预案由网信办负责解释。
8.3 预案实施时间
本预案自印发之日起实施。