1、1附:广西广播电视大学突发公共时间应急预案第十条:网络和信息安全类突发事件应急处置101 预防和预警机制措施1011 预防预警信息及时与相关国家安全组织、各级公安部门和教育厅保持密切交流,同时通过网上收集安全信息等手段获得安全预警信息,协助上述相关部门周期性或即时性地向各网络中心和用户网络管理部门发布主要异常流量来源单位、可能招致攻击的网络互联设备和计算机的安全漏洞、网络蠕虫病毒的动态变化趋势统计等预警信息。网络运行中心(NOC) 、网络信息中心(NIC) 、重要主页等管理部门通过监测及时发现异常状态和发展趋势,给出预警信息并及时处理。1012 预防预警行动网络和信息安全预防措施包括分析安全风
2、险、准备应急处理措施,建立网络和信息系统的监测体系,控制有害信息的传播,预先制定信息安全重大事件的通报机制。(1)网络和信息安全风险分类中国教育和科研计算机网(CERNET)全国网、地区网和校园网面临着共同的网络和信息安全风险。一般包括:关键设备或系统的故障;自然灾害(水、火、电等)造成的物理破坏;人为失误造成的安全事件;病毒蠕虫等恶意代码危害;人为的恶意攻击(包括拒绝服务、系统入侵、篡改主页、窃取敏感信息、散布有害信息等) 。(2)应急准备教学资源与技术中心明确职责和管理范围,做出被管对象和相应风险列表文档。教学资源与技术中心按要求安排应急值班,并将值班安排上报。确保到岗到位,联络畅通,处理
3、及时准确。(3)具体措施A.物理环境。建立落实管理制度和技术防范措施,建立安全、可靠、稳定运行的机房环境,并落实以下预防措施:防火、防盗、防雷电、防水、防静电、防尘,对运行关键部位实施 724 小时保卫。禁止任何非授权人员进入;建立备份电源系统,并定期检查系统是否能够正常工作;建立重大安全事件发生时的人员疏散机制;2对所有人员进行防火、防盗等基本技能进行培训。B网络设备和通信线核心设备和线路备份,避免单点故障;核实路由器操作系统安全、打过补丁;禁未授权访问,授予管理员不同权限,关闭非必要服务;采用认证方式避免非法接入和虚假路由信息;实时监视和入侵监测,及时排除故障、处理攻击;保证足够带宽,防止
4、突发流量造成拥塞导致网络瘫痪。C计算机系统重要系统采用高可靠性硬件、稳定软件、备份等措施,落实数据备份机制,遵守安全操作规范;安装稳定的操作系统和最新补丁,并定期更新;关闭所有不必要服务、帐号;安装有效的防病毒软件,并及时更新病毒定义码;严格限制内部用户的访问权限;对用户和管理员进行安全技术培训;对关键系统实施全时动态监测;对重要的数据定期备份。D.重要的信息系统重要的信息服务实行登记备案制度;建立严格的信息上网审查制度;为避免域名系统的单点故障,建立至少主辅备份,并分布在不同的子网网络,并严格配置主机系统安全;对于学校或部门的主页,除了严格配置主机系统安全以外,应该建立防火墙保护主机的安全;
5、对有重大影响的信息系统,建立 7X24 的全时监控机制,及时发现并解决问题。E网络边界控制在学校局域网边界建立防火墙,在重大安全事件爆发时可以实施访问控制;在邮件服务器前配置反病毒和反垃圾邮件网关;安装入侵检测系统,监测攻击、病毒和蠕虫的发展,及时发现重大安全攻击事件;控制有害信息经过网络的传播,建立网关控制、内容过滤等控制手段。3(4)报告在学校所管辖范围内的管理对象发生事件后,立即启动安全事件处理流程,分析、定位事件的来源和危害程度。出现部门内所管辖的网络和信息安全事件时,一般事件在部门内报警并作相关处理。重大事件和影响超出学校管辖范围时,向管理上级紧急报警。必要时逐级上报。一般安全事件,
6、可向入侵者所在的网络管理员投诉;严重安全危害事件(如造成重大经济损失、涉及破坏国家信息安全的反动政治言论) ,应当及时消除、保留证据,并按应急组织体系向上一级教育部门报告,请示进一步处理的决策。102 应急响应1021 分级响应程序网络和信息安全类突发事件的严重等级可分为下列等级:(1)I 级事件长时间的全局性重大事件。即国际国内主要互联、国内主干网络中断甚至是全部中断超过 8 小时。(2)II 级事件较长时间的全局性事件。即国际国内主要互联、国内主干网络中断甚至是全部中断超过 2 小时,小于 8 小时。(3)III 级事件全局性事件。即国际国内主要互联、国内主干网络中断甚至是全部中断超过 3
7、0 分钟,小于 2 小时。(4)级事件短时全局性事件。即国际国内主要互联、国内主干网络中断甚至是全部中断小于 30分钟。1022 网络环境安全事件的应急处置网络环境安全相关事件由各网络或信息中心行政负责处置。对火灾、盗窃、破坏等紧急事件按照国家消防有关法律法规、单位有关规定处理。影响教育系统网络运行和信息安全的重大事件由教育厅乃至教育部应急工作组统一指挥处置。遇供电相关紧急事件,根据停电时间、用电功耗、电池电能储备、供电管理部门信息、网络和信息运行情况等条件作调度,包括次要系统停电减轻负载等措施,密切跟踪参数变化并反馈调整控制,联系相关公司和人员作现场维护。4总指挥及时与网络和信息主管部门协商
8、,协调处置事件。1023 网络运行事件处置网络运行相关事件由学校教学资源与技术中心负责。重大事件立即向信息中心应急工作组负责人报告。事件包括:线路中断、路由故障、流量异常、域名系统故障等;1024 网络攻击事件处置由所属各级网络或信息中心按部门分工和应急流程处置。对于大规模、影响较大的恶意移动代码、拒绝服务攻击、系统入侵和端口扫描处置:(1)通知应急负责人和中心主管,决定上报或通报;(2)按预案通知相关管理员采取措施,或直接实施控制;(3)处置人员记录事件处理步骤和结果,总结报告。1025 信息安全事件处置发生信息安全事件应紧急通知信息主管负责人,及时消除非法信息,恢复系统。无法迅速消除或恢复
9、系统、影响较大时实施紧急关闭,并紧急上报。103 应急保障1031 组织保障自治区教育厅突发事件应急处置工作领导小组下设网络与信息安全类突发事件应急处置工作组,统一协调处理高校校园网络与信息安全突发事件。同时,与信息产业局、公安厅等机关之间保持密切配合和协作。学校网络与信息安全类突发事件应急处置工作组负责处理校园网络与信息安全突发事件。1032 通信保障学校教学资源与技术中心负责收集、建立网络与信息安全类突发事件应急处置工作组内部及与自治区教育厅的应急联络信息,以及与安全管理部门、公安部门之间的业务联系信息。上述联络信息需及时更新,确保应急联络渠道畅通。1033 环境保障学校教学资源与技术中心负责建立并保持中心的电力、空调、机房等网络安全运行基本环境。1034 技术保障学校教学资源与技术中心应建立起符合要求的网络与信息安全保障技术支持力量,并对接入单位的网络与信息安全保障工作提供力所能及的技术支持和培训服务。51035 流程保障安全事件处置根据事件出现的位置和范围按分级原则进行。出现本层次应急处理流程中断、应急处置无法进行,或者事态范围扩大超出本管理区域时,按照事件升级的原则向更高层次紧急通报处理,避免延误。104 善后和恢复学校及时作好应急处置后的设备、网络恢复、及时总结经济教训,采取补救整改措施,并酌情向自治区教育厅汇报。
