天津大学仁爱学院处理网上突发事件工作预案

为科学应对学校网络与信息安全突发事件,建立健全网络与信息安全应急机制,以遏制网上有害信息的产生和传播,确保学校校园网络的正常运转,保障校园网络的信息安全,根据《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《计算机信息网络国际联网管理暂行规定》等法律法规,结合我校实际情况,特制订本预案。

一、适用范围

本预案适用于:我校校园网运行及网络信息方面发生的有可能影响学校、社会和国家安全稳定的突发事件;由于其他重大事件的发生影响到我校校园网正常运行或校园网络信息安全,并由此可能影响到学校、社会和国家安全稳定的突发事件。

二、工作原则

(一)防范为主,加强监控。宣传普及信息安全防范知识,贯彻预防为主的思想,树立常备不懈的观念,做好应对信息安全突发事件的准备,采取多种措施,提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测,发现和防范重大信息安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。

(二)以人为本,协同作战。把保障公共利益以及师生的合法权益作为首要任务,由网络与信息安全应急处置领导小组统一领导和协调,督促相关部门协同配合、具体实施,完善应急工作体系和机制,最大限度地避免学校及师生员工遭受损失。

(三)明确责任、分级负责。按照“谁主管谁负责、谁运营谁负责”以及“分级负责、责任到头”的原则,建立和完善各级安全责任制及联动工作机制。根据各级和各部门职能各司其职,同时加强学校各部门、各系之间的协调与配合,共同履行应急处置工作的管理职责。

(四)加强储备,常备不懈。加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现信息安全突发公共事件应急处置的科学化、进程化与规范化。

三、学校网络与信息安全突发事件的级别划定

(一)校园网络信息安全突发事件分为三个等级:

Ⅰ级:在校园网提供的有信息交互能力的服务中出现非法信息,在校内外造成实质性危害或利用校园网组织危害国家和社会的行动;校外互联网上出现非法信息,经查非法信息确来自学校IP地址机器,在社会上造成实质性危害的,或利用校园网组织危害国家和社会的行动;校园网用户邮箱出现大量煽动性宣传邮件,在社会上造成实质性危害的,或者利用校园网组织危害国家和社会的行动;校园网用户在校园网内建立非法网站,提供危害国家和社会安全的信息,在社会上造成实质性危害的,或者利用校园网组织危害国家和社会的行动。

Ⅱ级:在校园网提供的有信息交互能力的服务中出现非法信息,在校内外有一定影响,但未造成实质性危害的;校外互联网上出现非法信息,经查非法信息确来自学校IP地址机器,在社会上造成一定影响但未造成实质性危害的;校园网用户未经审批在校园网上私自设立网站,提供危害国家和社会安全的信息,在校园内造成危害的,或者利用校园网散布信息,煽动危害国家和社会的行动,尚未造成实质性危害的。

Ⅲ级:在校园网提供的有信息交互能力的服务中出现非法信息,但尚未在学校和社会造成广泛影响的;校外互联网上出现少量非法信息,经查非法信息确来自学校IP地址机器,但未造成严重影响的;校园网用户邮箱出现大量非法宣传邮件,但未造成严重影响的;校园网用户未经审批在校园网上私自设立网站并提供非法信息,但尚未在校内造成影响的。

(二)校园网络安全突发事件也分为三个等级:

Ⅰ级:由于病毒攻击、非法入侵等原因,校园网整体瘫痪,或者校园网络中心全部DNS,主WEB服务器不能正常工作;由于病毒攻击、非法入侵、人为破坏或不可抗力等原因造成校园网出口中断。

Ⅱ级:由于病毒攻击、非法入侵等原因,校园网部分园区出现网络瘫痪,或者邮件、计费服务器不能正常工作。

Ⅲ级:由于病毒攻击、非法入侵等原因,校园网部分楼宇出现网络瘫痪,或者:FTP及部分网站服务器不能响应用户请求;200台以内的用户主机由于病毒攻击或非法入侵不能正常工作。

四、应急组织机构及职责

   (一)学校成立网络与信息安全应急处置领导小组(后简称为应急处置领导小组)。

  长:党委书记

副组长:主管安全副院长

  员:两办、学工部、教务处、保卫处部门负责人,其他相关部门协助。

下设办公室,设在信息与网络中心,负责日常工作。

(二)应急处置领导小组的主要职责为:负责组织、指挥学校网络与信息安全突发事件的响应行动,即对学校的信息安全工作进行全面的分析研究,制定工作方案,提供人员和物质保证,指导和协调校内各单位实施信息安全工作预案,处置各类危害校园信息安全的突发事件;研究确定网络突发事件的类型和级别,确定与其他类特定事件应急处置预案的联系,分配应急处置任务;督促相关单位开展事件处置工作;决定信息报送上级相关部门指示、救援等事项;决定对外公布、公开与事件有关信息的口径及发布时间、方式等;总结经验和教训,追究有关责任人的责任。

(三)根据校园网络突发事件的类型,应急处置领导小组又下设两个工作小组。当突发事件发生后,在应急处置领导小组的领导和统一布置下,各应急工作小组进入指挥状态,工作人员各司其职,严格按照应急预案组织实施。

1、网络信息安全应急工作小组。其职责是:当校园网网站上出现危害国家安全、社会稳定及学校正常教学秩序的非法信息时,负责及时清理,会同有关部门积极查找非法信息的来源,并按照有关法律法规及学校的规章制度进行处理。(负责部门为两办、学工部、保卫处)

2、校园网络运行安全应急工作小组。其职责是:当由于系统崩溃、病毒攻击、非法入侵等原因造成校园网运行异常或瘫痪时,负责及时发现并找出原因、尽快恢复网络的正常运行。(负责部门为信息与网络中心)

五、预警机制

(一)建立网络信息安全突发事件预警系统

由网络信息安全应急工作小组负责具体监控和处理,主要是应对校园网内可能出现的非法信息的传播。

(二)          建立校园网络运行安全突发事件预警系统

由校园网络运行安全应急工作小组负责监测、通告和处理。主要应对校园网可能会遭受的由于病毒非法攻击而影响网络正常工作的事件。

六、应急响应

(一)网络信息安全突发事件的响应

工作小组发现或得到举报后,立即定位有害信息并对其备份留查,然后删除有害信息并立即报告应急处置工作组和有关单位。对于不能立即删除或服务器大面积甚至全部出现有害信息时,应立即通知服务器管理单位和管理人员马上停止服务器的网络连接或网络服务,对有害信息进行隔离,然后由管理人员进行善后处理,待问题解决后再恢复网络服务。特殊情况下,工作小组将责成网络中心进行单机或区域隔离,然后通知服务器管理单位和管理人员进行善后处理。针对不同级别的突发事件,应采取不同的响应措施:

1、对Ⅰ级突发事件的响应:

工作小组组长负责组织实施应急措施,定时向指挥组和有关部门通告最新情况,并按照有关规定上报上级机关;根据非法信息所产生不良影响的程度,关闭部分服务器及网络设备,以阻断非法信息的传播途径;根据需要购置网络安全系统,更新网络安全设备,以提高技术监控能力,清查非法信息的传播者,并上报学校及相关部门,按照国家有关法律政策进行处理。

2、对Ⅱ级突发事件的响应:

启动过滤措施,提高信息安全级别,提高各服务器的安全级别,更改安全级别设置;追查非法信息的发布源,及早按照学校有关规定严肃处理;控制非法信息传播区域,当发现或接到举报后,应对大量接受和发送有害信息邮件的邮件账户进行临时关闭,并将用户情况上报应急处置领导小组。

3、对Ⅲ级突发事件的响应:

对校园网实施动态监控,做好工作日志记录工作,加强防范,监控事件的发展动态,争取主动,控制事件升级;针对外校校园网发生的信息安全事件,诸如“法轮功”言论传播等,提早进行舆论宣传,以正视听;校园网内可能发生的信息安全事件,诸如破坏稳定言论、“法轮功”等应及时通知有关部门做好思想政治工作,正面宣传、争取主动。

(二)校园网运行安全突发事件的响应

针对不同级别的突发事件,采取不同的响应措施。

1、对Ⅰ级突发事件的响应:

根据对校园网运行安全的影响,关闭部分服务器和网络设备,甚至临时关闭全网进行短暂的“休眠”;然后逐个子网实验性开通,查出导致全网瘫痪的病毒或攻击源;对于来自校园网络外的强大攻击,首先确定攻击源地址,在出口防火墙上过滤该攻击源,并请求专业单位进行技术支援,在地区网络中心处过滤该攻击,以减低我校外部通道的负荷;对来自校内的攻击,确定攻击源,进行个体隔离,如果不能进行个体隔离,将实施区域隔离,直至大面积关闭相关网络;对于大量接收和发送垃圾邮件、病毒邮件的邮件账户进行临时关闭,防止导致邮件服务器负荷过重而瘫痪,通知用户进行个人计算机的病毒和攻击清除工作,待系统回复后再申请开通。

2、对Ⅱ级突发事件的响应:

对于病毒传播、病毒性恶意攻击,在校园网上公布病毒攻击的情况、病毒特征以及相应的处理办法和工具,同时要求相关用户进行病毒清除工作。对于置之不理的用户或单位,将关闭其网络连接,孤立病毒或攻击,将危害减到最小;启动过滤措施,提高校园网安全级别,更改防火墙的安全设置和各服务器的安全级别设置,提高安全过滤级别;对于来自校园网络外的攻击,首先确定攻击源地址,在出口防火墙上过滤该攻击源,并请求专业单位进行技术支援,联合监控和过滤该攻击;对于来自校内的攻击,确定攻击源,进行个体隔离,如果不能进行个体隔离,将实行区域隔离,直至大面积关闭相关网络;对于大量接收和发送垃圾邮件、病毒邮件的邮件账户,进行临时关闭,防止导致邮件服务器负荷过重而瘫痪。通知用户进行个人计算机的病毒清除工作,待系统恢复正常后再申请开通。

3、对Ⅲ级突发事件响应:

针对校园网内发生的网络运行安全事件,诸如内部病毒泛滥、恶意攻击、服务器及网络设备的运行状况不佳等,及时公布检查办法、补丁下载,做好重要信息备份。同时做好技术防范,避免损失;在校园网上公布病毒特征,提供相应的处理办法和工具(如果可能的话)给全校用户。

4、为了隔离病毒和恶意入侵攻击,保证网络其他区域的正常工作,工作小组有权关闭部分网络设备或相关服务器,待攻击被解决后,再回复关闭的网络。校园网络的接入单位和个人必须服从应急工作小组的领导工作安排,积极配合应急工作小组进行工作,排查病毒和恶意攻击,配合追查恶意攻击者。在服务器系统崩溃时,用备用服务器替换崩溃服务器。在病毒攻击或其他原因造成网络管理设备处理能力不足或网络设备损坏时,用备用网络设备替换损坏设备。

七、应急终止

根据校园网运行及信息安全突发事件的发展,当该突发事件结束并且不会对国家安全、社会稳定及学校正常教学秩序造成影响时,由应急处置领导小组组长签字认可后,正式终止应急措施。

八、应急保障

(一)内部保障

建立校园网专项资金用于校园网紧急事件的处置。同时应储备必须的有关物资、设备,避免时间拖延过长造成不必要的损失。

(二)外部支持

依据校园网络及信息安全突发事件的影响程度,如需上级部门或其他单位支持时,应启动外部支持,寻求帮助。

版权所有@2014 天津大学仁爱学院 地址:天津市团泊新城博学苑 邮编:301636
天津大学仁爱学院电话:022-68579990 建设维护:天津大学仁爱学院网络信息中心 电子邮箱: webmaster@tjrac.edu.cn