pc28加拿大信息安全應急預案
江科大校〔2014〕260号
第一章總則
第一條為提高我校網絡與信息系統處理突發事件的能力,形成科學、有效、反應迅速的應急工作機制,減輕或消除突發事件的危害和影響,确保我校信息系統安全運行,最大限度地減少網絡與信息安全突發公共事件的危害,特制定本預案。
第二章 适用範圍
第二條本預案适用于學校信息系統安全突發事件的應急響應。當發生重大信息安全事件時,啟動本預案。
第三章編制依據
第三條《國家通信保障應急預案》、《中華人民共和國計算機信息系統安全保護條例》、《計算機病毒防治管理辦法》、《信息安全應急響應計劃規範》、《信息安全技術信息安全事件分類分級指南》。
第四章組織機構與職責
第四條學校信息系統網絡與信息安全事件應急響應由pc28加拿大信息安全領導小組統一領導,負責全校系統信息安全應急工作的領導、決策和重大工作部署。
第五條信息安全領導小組組長由校長擔任,副組長由分管信息安全工作的校領導擔任,成員由各部門主要負責人組成。
第六條應急領導小組下設應急響應工作小組,承擔領導小組的日常工作。應急響應工作小組辦公室設在信息化建設與管理中心,主要負責綜合協調網絡與信息安全保障工作,并根據網絡與信息安全事件的發展态勢和實際控制需要,具體負責現場應急處置工作。工作小組應當經常召開會議,對近期發生的事故案例進行研究、分析,并積極開展應急響應具體實施方案的研究、制定和修訂完善。
第五章預防與預警機制
第七條學校應從制度建立、技術實現、業務管理等方面建立健全網絡與信息安全的預防和預警機制。
第八條信息監測及報告
1.應加強網絡與信息安全監測、分析和預警工作。學校應每天定時利用自身監測技術平台實時監測和彙總重要系統運行狀态相關信息,如:路由器、交換機、小型機、存儲設備、安全設備、應用系統、數據庫系統、機房系統的訪問、運行、報錯及流量等日志信息,分析系統安全狀況,及時獲得相關信息。
2. 建立網絡與信息安全事件通報機制。發生網絡與信息安全事件後應及時處理,并視嚴重程度向各自網絡與信息安全事件的應急響應執行負責人及上級主管部門報告。
第九條預警
應急響應工作小組成員在發生網絡與信息安全事件後,應當進行初步核實及情況綜合,快速研究分析可能造成損害的程度,提出初步行動對策,并視事件的嚴重程度決定是否及時報各自應急響應執行負責人。
應急響應執行負責人在接受嚴重事件的報告後,應及時發布應急響應指令,并視事件嚴重程度向各自信息安全領導小組彙報。
1.預警範圍:
(1)易發生事故的設備和系統;
(2)存在事故隐患的設備和系統;
(3)重要業務使用的設備和系統;
(4)發生事故後可能造成嚴重影響的設備和系統。
2.預防措施:
(1)建立完善的管理制度,并認真實施;
(2)設立專門機構或配備專人負責安全工作;
(3)适時分析安全情況,制定、完善應急響應具體實施方案。
第十條預防機制
積極推行信息系統安全等級保護,逐步實行網絡與信息安全風險評估。基礎信息網絡和重要信息系統建設要充分考慮抗毀性與故障恢複,制定并不斷完善網絡與信息安全應急響應具體實施方案;及早發現事故隐患,采取有效措施防止事故發生,逐步建立完善的監控系統,保證預警的信息傳遞準确、快捷、高效。
第六章事件分類與分級
第十一條事件分類
pc28加拿大系統網絡與信息安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息内容安全事件、設備設施故障、災害性事件和其他信息安全事件等7個基本分類。
有害程序事件:蓄意制造、傳播有害程序,或是因受到有害程序的影響而導緻的網絡與信息安全事件。
網絡攻擊事件:通過網絡或其他技術手段,利用信息系統的配置缺陷、協議缺陷、程序缺陷或使用暴力攻擊對信息系統實施攻擊,并造成信息系統異常或對信息系統當前運行造成潛在危害的網絡與信息安全事件。
信息破壞事件:通過網絡或其他技術手段,造成信息系統中的信息被篡改、假冒、洩漏、竊取等而導緻的網絡與信息安全事件。
信息内容安全事件:利用信息網絡發布、傳播危害國家安全、社會穩定和公共利益的内容的安全事件,利用網絡從事違法犯罪活動的情況,網絡恐怖活動的嫌疑情況和預警信息。
設備設施故障:由于信息系統自身故障或外圍保障設施故障而導緻的網絡與信息安全事件,以及人為的使用非技術手段有意或無意的造成信息系統破壞而導緻的網絡與信息安全事件。
災害性事件:由于不可抗力對信息系統造成物理破壞而導緻的網絡與信息安全事件。
其他信息安全事件:不能歸為以上6個基本分類的網絡與信息安全事件。
第十二條事件定級
pc28加拿大系統網絡與信息安全事件級别分為四級:一級(特别重大)、二級 (重大)、三級 (較大)和四級 (一般)。
一級(特别重大):指能夠導緻特别嚴重影響或破壞的網絡與信息安全事件。
二級 (重大):指能夠導緻嚴重影響或破壞的網絡與信息安全事件。
三級 (較大):指能夠導緻相對嚴重影響或破壞的網絡與信息安全事件。
四級 (一般):指能夠導緻較小影響或破壞的網絡與信息安全事件。
第七章應急響應的流程
第十三條在發生信息安全事件時,啟動下列應急響應流程,應急響應流程下圖所示。
1.事件分析
事件分析主要完成如下工作:
(1)在發生信息安全事件後,應急響應工作小組對事件進行确認。
(2)确認為信息安全事件後,根據應急處理事件分類規則對事件進行定性、定級和上報。
(3)根據對事件的初步分析,确定應急處理方式,如果應急響應工作組以自身力量無法處理的事件,由應急工作小組向上級領導或上級機關提出應急支援請求。
2.事件處理
事件處理主要包括以下内容:
(1)洩密安全事件發生時,要及時的用口頭或書面的形式向保密工作部門如實報告并上報上級主管部門的保密機構,同時采取斷開網絡、改變或終止用戶權限等措施切斷洩密源頭,控制洩密範圍,并及時對系統隐患進行修補。在對系統的洩漏隐患或風險進行重新評估,确認安全後,系統方能重新運行,對事件類型、發生原因、影響範圍、補救措施和最終結果進行詳細紀錄。
(2)系統運行安全事件發生時,應分析是否存在針對該事件的特定系統預案,如果存在則啟動特定系統應急預案,如果涉及多個特定系統預案,應同時啟動所有涉及的特定系統預案。分析是否存在針對該事件的專題預案,如果存在則啟動專題預案,如果事件涉及多個專題預案,應同時啟動所有涉及的專題預案。
(3)如果沒有針對該事件的應急預案,應根據事件具體情況,采取抑制措施,抑制事件進一步擴散,并根除事件影響,恢複系統運行;
3.結束響應
系統恢複運行後,應急響應工作組對事件造成的損失、事件處理流程、應急預案進行評估,對響應流程、預案提出修改意見,撰寫事件處理報告。應急響應工作組應根據《信息安全應急預案》要求,确定是否需要上報該事件及其處理過程,需要上報的應及時準備相關材料,上報上級機關。
對于蠕蟲、病毒等易造成大範圍傳播的信息安全事件,應及時向應急工作小組提交預警信息。
應急響應流程結束。
第十四條應急處置演練制度
為保證應急行動的能力,應每年至少組織一次應急行動演練,以提高處理應急事件的能力,檢驗物資器材的完好情況。
應急響應演練按如下步驟進行:
(1)由信息安全應急響應領導小組确定應急響應演練的目标和應急響應演練的範圍;
(2)按信息安全應急響應領導小組的要求,由應急響應工作小組制定應急響應演練的方案;
(3)應急響應工作小組調配應急響應演練所需的各項資源,并協調應急響應演練過程中涉及的部門和單位;
(4)應急響應工作小組組織進行應急演練;
(5)信息安全應急響應領導小組總結經驗,根據演練結果對應急預案進行更新,并對本單位的應急工作整改。
在應急響應演練結束之後,應急響應工作小組應針對應急響應工作過程中遇到的問題,分析應急響應預案的科學性和合理性,針對預案中的問題向應急工作小組提出修改建議。應急工作小組組織對修改意見進行評估,修改後的預案應經評估通過後,上報領導小組,經批準後發布實施。
在上級機關預案或相關的法律标準修改後,本預案應進行調整與其保持一緻。調整後,應急工作小組應組織專家組對其評審,評審通過後上報領導小組,經批準後發布實施。
第十五條應急響應總結制度
應急處置結束後,須進行以下工作:
(1)召開應急事件總結會議。
(2)分析異常事件發生的原因,形成信息安全事件原因分析報告。
(3)有關人員編制安全事件處置報告。報告内容包括事件發生事件、地點,監測到時間的事件、地點,事件的處理過程,事件的處理方法,事件造成的影響,可吸取的經驗報告。
(4)對相關責任人員進行嚴肅的批評和教育,指出其工作中的缺陷,并讓其提供總結報告。情節嚴重的,給予書面警告、除名等處罰措施。
(5)針對發生的事件的起因,分析改進的措施和補救方法,從技術和管理上加以改進,堅決杜絕類似事件在今後發生。
(6)技術改進措施:
①針對脆弱性或漏洞,檢查涉密信息系統的其他位置,找出并進行改進或加固;
②改進應急方案内容,使應急方案滿足今後的日常監測和應急需要;
③增加可能出現故障設備的備份設備,增加單點設備的備份設備;
④更換或升級經常出故障的産品;
⑤對本次應急處理的處理方法進行歸檔,作為知識庫進行保管。
(7)管理改進措施:
①修改相關制度和崗位工作任務和職責;
②落實人員的崗位職責;
③進一步做好系統的日常運維工作;
④加強教育,培養人員的安全意識;
⑤進一步加強安全檢查,以檢查促安全。
第八章附 則
第十六條本預案由信息化建設與管理中心負責解釋,自發布之日起施行。
