我校校园网是为学校教育、科研和管理建立的计算机信息网络,其目的是利用先进实用的计算机技术和网络通信技术,实现校园内计算机连网,并与国际互联网连接,实现信息资源共享。为预防和及时处置校园网络突发事件,保证网络信息安全,维护学校稳定,特制定校园网信息安全、网络安全突发事件应急处置预案。
一、总则
(一)目的
为了及时、有效预防和遏制网上突发事件的发生,提高应对突发事件的组指挥能力和应急处置能力,最大限度降低和消除突发事件造成的经济损失和社会影响,确保敏感时期网上秩序平稳,切实维护好我校的网上稳定工作,特制定本预案。
(二)工作原则
坚持校党委、校长室统一领导、统一指挥、分级负责。贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,维护社会和学校稳定,尽快使网络和系统恢复正常,做好网络运行和信息安全保障工作。
1.统一指挥,整体作战。各部门要树立全局观念和大局意识,在应急处置领导小组的统一指挥下,认真履行各自职责,积极配合,协同作战,充分发挥整体效能。
2.反应迅速,高效灵敏。要准确确定事件发生的时间、地点、部位,判断事件的类型、性质、危害,及时实施处置措施。
3.控制事态,先期处置。当遇有网络突发事件、情况特别紧急、事态急剧恶化时,有关部门负责人要在本预案总的原则下,先期开展工作,边处置,边报告,及时控制事态,防止扩大蔓延,减少和降低危害。
4.严格执法,依法办事。在处置网络突发事件中,要严格执行国家有关法律法规,以事实为依据,以法律为准绳,判明性质,分清责任,依法行政,依法处理。
(三)编制依据
依据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》,《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》和《计算机病毒防治管理办法》等法律法规,制定本预案。
(四)适用范围
1.在网上利用各种手段大肆制作、传播各类有害信息,破坏社会稳定、危及国家安全的;
2.网络遭受大规模计算机病毒感染和黑客攻击,导致网络不能正常运行的;
3.敏感时期,利用计算机网络大肆扩散、制造事端,掀起舆论炒作,组织集会、上访、游行、示威的;
4.其它网上重大突发事件。
(五) 信息网络安全事件定义
1.校园网网站受到黑客攻击,主页被恶意篡改、交互式栏目里发表煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行 政法规的实施;捏造或者歪曲事实,故意散布谣言,扰乱社会秩序;公然侮辱他人或者捏造事实诽谤他人;宣扬封建迷信、淫秽色情、暴力、凶杀、恐怖;发送危害 国家安全、宣扬“法轮功”等邪教及宗教极端势力的信息;破坏社会稳定的信息及损害国家、学校声誉和稳定的谣言。
2.校园网内网络应用服务器被非法入侵,应用服务器上的数据被非法拷贝、修改、删除,发生泄密事件。
3.在校内网站上发布的内容违反国家的法律法规、侵犯知识产权等,已经造成严重后果。
4.计算机、网络等设备发生病毒感染。
5.网络设备发生硬件故障。
6.发生火灾、水灾等灾害。
二、组织指挥体系及职责
(一)应急组织机构
发生信息安全、网络安全重大突发事件和敏感时期出现紧急情况的应急处置工作在校党委、校长室的统一领导下由网络与信息中心具体负责。成立甘肃省理工中等专业学校信息安全、网络安全突发事件应急处置领导小组(以下简称应急处置领导小组),由学校校长组长,副校长任副组长。成员由各个部门负责人和网络与信息中心负责人组成。应急处置领导小组办公室设在学校党政办公室。党政办公室主任任办公室主任,办公室具体负责应急处置工作的方案制定、各部门的指挥协调,及时汇总上报有关信息,对发现的紧急案事件进行处置。
(二)组织分工和职责
领导小组办公室下设7个专门工作小组,负责以下具体工作任务:1.指挥联络小组。由领导小组办公室负责指挥协调全校应急处置机构和专门工作小组制定应急处置具体方案,启动应急处置工作。2.情报信息小组。由领导小组办公室负责启动秘密力量,运用科技手段,及时发现和掌握有关情报信息,通过加强信息监控,掌握互联网突发事件动态,及时为应急处置工作提供决策依据;通过对有害信息的封堵和过滤,有效控制有害信息的传播和舆论炒作。3.管理控制小组。由网络中心负责协调互联网运营单位、网站栏目负责人和联网用户,加强对网络和信息的安全管理,及时落实必要的安全保护措施。4.应急救援小组。由网络中心负责协调,调动由学校和社会网络安全专家共同构成的网上应急救援队伍,实施对突发事件的诊断、技术分析、故障排除、灾难恢复等应急处置工作。5.案件查处小组。由案件查处小组负责对突发事件中发现的网络案件及时查处。6.技术制约小组。由网络中心负责协调相关单位,充分利用社会网络安全技术资源,通过多层次的网络安全和信息安全的技术防护体系,确保网络正常运行。7.新闻宣传小组。由学校党政办公室负责协调各新闻单位,确保对重大、敏感突发事件的报道渠道和舆论导向的控制。
三、预防和预警机制
(一)预警监测
应急处置机构要加强对信息监测工作的指导、管理和监督,建立和完善可能造成重大信息网络安全事件的信息收集、分析和报告制度,及时收集和上报预警信息,要落实各项安全管理制度和安全技术措施,实现对信息网络运行状况的实时监测分析,及时发现预警信息,建立网上突发事件的快速处置工作机制。
(二)预警措施
获得预警信息后,应急处置机构应立即分析和研究应对措施,及时启动应急处置预案,并通知相关部门做好预防和保障应急处置的各项准备工作。发现预警信息后,应对预警信息加以分析,按照早发现、早报告、早处置的原则,对可能演变为重大信息网络安全事件的情况,及时报告网络中心。网络中心应急处置机构接到预警信息后,应立即进行分析核实,经确认后,按照预警级别及时报告上级部门或通知可能受到影响的相关部门,做好预防和应急处置准备工作。
(三)预警分级和发布
1.预警分级
预警划分为3个等级。
Ⅰ级:因特别重大突发事件引发的,可能造成全校大面积网络和计算机信息系统瘫痪;有害信息严重泛滥,可能引发网上舆论大肆炒作,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的。
Ⅱ级:因重大突发事件引发的,可能造成某部门或者某个网段网络和计算机信息系统瘫痪;有害信息泛滥,可能引发网上舆论炒作,会对当地社会秩序、经济建设和公共利益造成较大损害的。
Ⅲ级:因突发事件引发的,可能造成部分网络和计算机信息系统不能正常运行;有害信息在一定范围内传播,可能会对社会秩序、经济建设和公共利益造成较小损害的。
2.预警发布
应急处置领导小组可以确认并发布Ⅰ级预警信息;网络管理中心应急处置机构可以确认并发布Ⅱ级、Ⅲ级预警信息。
四、应急响应
(一)响应分级
突发事件发生时,按照分级负责、快速反应的原则,应急响应工作划分为3个等级:
Ⅰ级:突发事件造成全校大面积网络和计算机信息系统瘫痪;有害信息严重泛滥,可能引发网上舆论大肆炒作,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害时,由应急处置领导小组负责组织和协调,启动本预案,同时报公安部门网上突发事件应急处置机构。
Ⅱ级:突发事件造成某部门或者某个网段网络和计算机信息系统瘫痪;有害信息泛滥,可能引发网上舆论炒作,会对当地社会秩序、经济建设和公共利益造成较大损害时,由应急处置机构负责组织和协调,启动重大突发事件应急处置预案。同时报市应急处置领导小组。
Ⅲ级:突发事件造成部分网络和计算机信息系统不能正常运行;有害信息在一定范围内传播,对社会秩序、经济建设和公共利益造成较小损害时,由应急处置机构负责组织和协调,启动相关部门的应急处置预案,同时报学校应急处置机构。
(二)应急响应程序
1.发现受理,启动预案。发现或受理突发事件后应急处置领导小组要根据掌握的情报信息,判明突发事件的性质、类型、时间、地点等要素,经向有关领导上报并获得批准后,制定具体措施,启动应急处置预案。2.现场控制,实施保护。应急处置领导小组根据事件的类型,指挥调度有关部门和相关应急处置人员进入现场,查明突发事件发生的具体情况,保全原始数据,清除有害信息,并采取相应防范措施,控制事态的发展。3.发布预警,落实防控。应急处置领导小组根据现场处置进展情况,要向有关部门通告突发事件的性质、类型、处置方法,以及可能会造成的危害等预警性信息,要求迅速落实防控措施。对事态急剧恶化一时难以控制的,经有关领导批准后,可以暂时关闭网站和网络。对与突发事件有关联的网络和网站,要重点控制。4.应急救援,恢复运行。对严重危害网络安全的突发事件,应急处置领导小组要立即派出应急救援人员,在保证突发事件的发展势头已得到有效遏制的前提下,采取有效措施,恢复网络正常秩序。5.追查来源,消除隐患。案件侦查人员要查明有害信息和网络攻击的来源,查明违法犯罪人员进行非法活动的证据,挖出作案嫌疑人,依法给予打击处理。
(三)应急响应措施
1.利用网络传播有害信息的应急处置
(1)查明有害信息发生的来源和传播范围,分析判断事件嫌疑人采用的技术手段,制定应急处置技术方案。
一是对利用电子邮件传播的,要查明发送邮件的源地址和中间传播环节以及用户登录、退出网络地址的时间,对有害邮件提取特征,进行分析。
二是对利用网上短信息传播的,要查明发送、接收手机号码、用户登录、退出的时间。
三是制定应急处置技术方案。
(2)落实有效措施,控制网络有害信息的传播。
一是对涉及本地的电子邮件服务器,采用基于关键词,群发电子邮件行为特征的邮件过滤技术措施,清除残留在服务器中的有害邮件并进行证据保存。情况严重的要关闭电子邮件服务,直至关闭服务器。
二是对涉及外地的电子邮件服务器,在查明服务器地址后报告公安部门网警总队,由网警总队进一步处置。
三是对涉及传播有害短消息的服务器,要采用关键词进行信息过滤,情况严重时关闭其短信息服务功能,情况特别严重的要关闭移动业务服务商短信服务功能。
四是对向社会提供邮件服务和短信息服务的单位发出预警,并要求其落实相应措施。
(3)开展案件侦查,消除突发事件隐患。
一是通过技术手段对涉及的对象进行侦控,分析嫌疑人的网络信息和作案手法。定位作案嫌疑人的具体位置。
二是启用秘密力量和行政管理手段,分析掌握突发事件发生的社会背景和动机目的。
三是确定作案嫌疑人的真实身份信息,密切注视有关对象的活动。进一步加强监控并固定作案证据。
四是挖出非法活动的骨干和幕后操纵者,搜集证据后,依法采取措施,打击违法犯罪分子。
2.利用网站传播有害信息的应急处置
(1)查明有害信息的来源,确定其传播范围。对涉及的网站进行分析、查明特定用户登录、退出网络地址、时间以及相应的信息,分析和判断有害信息的网络来源和传播范围。(2)提取和固定有关电子数据,一时无法提取的可暂时扣押其数据存储设备,送公安机关进行技术分析。(3)全面清除网站内的有害信息,采取相应过滤措施,恢复网络正常秩序。(4)暂时关闭存在安全隐患的网站或服务栏目,待落实安全技术措施后再开放。(5)继续加强监控,采取搜索方式发现同类信息或关联向社会其他相关网站发布预警,并要求其落实相应安全技术措施。(6)依法追查组织有害信息传播扩散的骨干和幕后策划者。
3.对互联网病毒和黑客攻击的应急处置
(1)根据实际情况,通过物理限制、网络限制、主机限制和应用限制等方法,限制安全事件对受保护信息系统造成影响的范围和程度。
(2)通过技术分析判断攻击者的来源和病毒的传播方式,根据IP地址等分析判断,逐步确定攻击者的物理位置,内部的由网络中心控制,不属于内部的的要及时报告公安部门。
(3)在对网络攻击和病毒传播方式的技术分析基础上,研究制定防范攻击和清除病毒的解决方法、制定具体操作方案,并将有关情况通报上级公安机关。
4.对火灾或水灾等应急处置
(1)根据实际情况及时采取相应的措施控制灾害,对有可能造成人员伤亡及重大财产损失的要及时通知消防部门协助处理。
(2)通过现场分析判断灾害的来源,如果是人为的因素引起的要追究责任,如果是不可避免的自然因素引起的,要加强监控,避免再次发生。
5.对硬件故障等应急处置
(1)根据发生故障现象判断发生故障的设备,及时采取措施减少损失。对于急需使用的而维修时间又较长的设备,应采取替代设备使用。对出现故障的设备要及时报修。
(2)通过故障的现象寻找原因,采取措施防止类似问题。
五、宣传、培训、审查、监控
1.加大培训和宣传力度,加强和完善校园网安全管理,设置专门管理部门,采取统一管理和各部门分级负责的管理体制,落实各部门负责人和直接责任人,签定安全责任书。各部门要建立健全内部安全保障制度,按照“谁主管、谁负责”、“谁主办、谁负责”的 原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,加强信息的审查和备案工作,确保网络与信息安全。各部门的负责人 为第一责任人,实验室(计算机房)管理人为具体责任人。积极贯彻中共中央《关于严禁用涉密计算机上国际互联网的通知》精神,加强我校校园网络信息安全管 理。所有涉密计算机一律不许外接国际互联网,必须做好物理隔离。连接国际互联网的计算机用户绝对不能存储涉及国家秘密、学校内部机密的文件。
2.加强信息审查工作,若发现主页被恶意更改,应立即停止主页服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放主页服务。各级各类服务器提供信息服务,必须事先登记、审批,建立使用规范,落实责任人,并具备相应的安全防范措施(如:日志留存、安全认证、实时监控、防黑客、防病毒等),加强网络设备日志分析,及时收集信息,排查不安定因素。加强BBS、留言板等交互式栏目的专人管理,交互式栏目内容发布实行审核制度,未经审核不得发布,实行版块负责制,由版主负责本版块的信息安全,以预防万一有绕过审核的信息被发布,若出现未经审核信息发布情况,应立即关闭信息发布功能,直至找到原因并排除为止。交互式栏目应具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。对于非法网站要做到:发现一个,禁止一个,并及时向主管领导汇报,杜绝其蔓延。建立有效的网络防病毒工作机制,及时做好防病毒软件的网上升级,保证病毒库的及时更新。
3.网管中心对校园网实施24小时监控,必要时实行远程控制。网络管理人员应定期对校园网的硬件设备进行一次状态检查。对用户上网实行实时监控,若发现有异常行为应立即关闭该用户的网络 连接,及时记录在案,并对其警告和批评教育,严重违法行为立即上报有关部门。所有服务器的相关责任人要做到天天检查,认真做好检查记录,了解服务器的服务 水平,对异常现象和事故及时处理并做好记录。
4.加强突发事件的快速反应。网管中心作为校园网的管理部门,要有严格的网络信息监管,有必要对所有用户输入而且有可能显示给其他用户的信息进行内容检测和严 格过滤。网络管理员具体负责相应的网络安全和信息安全工作,不允许有任何触犯国家网络管理条例的网络信息,对突发的信息网络安全事件应做到:
(1)及时发现、及时报告,在发现后及时向上一级领导或部门报告。
(2)保护现场,立即与网络隔离,防止影响扩大。
(3)及时取证,分析、查找原因。
(4)消除有害信息,防止进一步传播,将事件的影响降到最低。
(5)在处置有害信息的过程中,任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。
(6)追究相关责任。根据实际情况提出口头警告、书面警告、停止使用网络,情节严重和后果影响较大者,提交学校及国家司法机关处理,追究部门负责人和直接责任人的行政或法律责任。
5. 及时整顿,加强防范。各单位要积极配合上级网络安全管理部门的例行检查,并接受其技术指导。针对网络存在的安全隐患和出现的问题,及时提出整治方案并具体 落实到位,完善网络安全机制,防范网络安全事件再度发生。逐步建立网络信息安全管理长效工作机制,实现校园信息安全管理,创造良好的网络环境。
6.在重要、敏感时期,加大网络安全教育宣传力度,加强青少年学生的法律意识和安全意识教育,提高其安全意识和防范能力;开展安全文明上网的教育引导工作,净化校园网网上环境,及时收集信息,排查不安定因素;坚持24小时值班制度,开通值班电话,保证与上级主管部门、电信部门和当地公安机关的热线联系,积极做好预防工作,发现问题及时处理,防患于未然。
7.做好机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故,应立即组织人员自救,并报警。
六、附则
(一)制定与解释
本预案由甘肃省理工中等专业学校网络管理中心负责管理和更新,并根据应急处置工作领导小组的指示启动。预案坚持周期性的评审原则,每年一次,根据需要及时进行修订。
(一) 预案生效
本预案自发布之日起实施。
