为加强我校网络系统的安全管理与运行维护,提高处理突发性网络异常事件的能力,确保网络应用系统的稳定运行,根据《中华人民共和国网络安全法》、《互联网信息内容管理行政执法程序规定》、《网络安全等级保护实施指南》、《网络安全等级保护基本要求》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国突发事件应对法》、《国家突发公共事件总体应急预案》、《国家网络与信息安全事件应急预案》、《信息安全事件分类分级指南》(GB/Z20986-2007)、《计算机病毒防治管理办法》、《计算机信息网络国际联网管理暂行规定》以及《黄淮学院信息化建设管理办法》、《黄淮学院网络与信息安全管理办法》、《黄淮学院校园网入网及管理暂行规定》、《黄淮学院网络安全及信息保密管理规定》等文件精神,结合我校网络系统建设和运行情况,特制订本应急预案。
一、总则
(一)目的
为科学应对网络系统突发事件,建立健全网络系统的应急响应机制,有效预防、及时控制和最大限度地消除各类突发事件的危害和影响,制订本应急预案。
(二)工作原则
1. 统一领导
遇到重大网络异常情况,应及时向有关领导报告,以便于统一调度、减少损失。
2. 综合协调
明确综合协调的职能机构和人员,做到职能间的相互衔接。
3. 重点突出
应急处理的重点放在运行着重要业务系统或可能导致严重事故后果的关键网络系统上。
4. 集中备份
通过网络设备备份和配置参数备份等措施,提高通信网络系统的安全系数。应以必要的投资,购置必要的备用设备,并在备用设备上按要求预先配置好各种参数,当发生故障时能直接上线运行。
5. 快速恢复
网络管理人员在坚持快速恢复系统的原则下,根据职责分工,加强团结协作,必要情况下与设备供应商以及系统集成商共同谋求问题的快速解决。
6. 及时反应,积极应对
出现网络故障时,网络维护人员应及时发现、及时报告、及时抢修、及时控制,积极对业务网络突发事件进行防范、监测、预警、报告、响应。
7. 防范为主,加强监控
经常性地做好应对网络突发事件的思想准备、预案准备、机制准备和工作准备,提高基础网络和重要信息系统的综合保障水平。加强对网络应用的日常监视,及时发现网络突发性事件并采取有效措施,迅速控制事件影响范围,力争将损失降到最低程度。
二、应急工作小组机构及职责
 |
(一) 应急处理领导小组
及时掌握网络故障事件的发展动态,向上级部门报告事件动态;对有关事项做出重大决策;启动应急预案;组织和调度必要的人、财、物等资源。
领导小组组长:党委书记 校长
领导小组成员:各分管副书记、副校长
(二) 应急处理工作小组
负责定期了解外部支持人员的变动情况,及时更新其技术人员及联系方式等信息;快速响应网管系统发现的网络故障事件、业务部门对网络故障的申告;执行网络故障的诊断、排查和恢复操作;定期通过网管软件、网络运行报告等工具对网络的使用情况进行分析,尽早发现网络的异常状况,排除网络隐患。
工作小组组长:宣传部、网络信息管理中心主要负责同志
工作小组成员:宣传部、网络信息管理中心、保卫处、学生处相关工作人员
(三)外部支持人员
包括电信运营商、设备供应商以及系统集成商。负责事先向网络信息管理中心提供紧急情况下的应急技术方案和应急技术支援体系;积极配合网络信息管理中心应急人员进行故障处理。
人员名单:设备供应商、系统集成商、电信运营商等。
三、预警和预防机制
(一)信息监测及报告
1.网络的日常管理和维护
加强网络应用的监测、分析和预警工作。
2.建立网络故障事故报告制度
发生网络故障时,值班人员应当立即向网络信息管理中心负责人报告,并及时进行故障处理、调查核实、保存相关证据等。
(二)预警
在接到突发事件报告后,应当经初步核实之后,将有关情况及时向网络信息管理中心、保卫处等部门报告,进一步进行情况综合,研究分析可能造成损害的程度,提出初步行动对策。由上级领导视情况紧急程度召集协调会,决策行动方案,发布指示和实施命令等。
(三)预警支持系统
建立和完善信息监测、消息传递和指挥决策支持系统,保证突发事件处理过程中的资源共享、运转正常、指挥有力。
(四)预防机制
重要网络和信息系统建设要充分考虑抗毁性与灾难恢复,制定并不断完善应急处理预案。针对基础信息网络的突发性、大规模异常事件,各相关部门建立制度化、程序化的处理流程。
四、应急处理程序
(一)网络突发事件分类分级的说明
根据网络突发事件的发生原因、性质和机理,网络突发事件主要分为以下三类:
1.攻击类事件:指互联网网络系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。
2.信息破坏事件:指信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
3.信息内容安全事件:指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
4.故障类事件:指互联网网络系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。
5.灾害类事件:指因爆炸、火灾、雷击、地震、台风等外力因素导致互联网网络系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。
按照突发事件的性质、严重程度、可控性和影响范围,将其分为一般故障、严重故障、重大故障、特级故障四级。
1.一般故障
网络系统中单个系统故障,但未影响应用系统运行,也未造成社会影响或经济损失的突发事件。
2.严重故障
网络系统中个别节点故障(主要是分布层交换节点)而导致服务中断,可能造成严重社会影响或较大经济损失的突发事件。
3.重大故障
网络系统中多个节点故障(包括核心层和分布层)引起的多个基础网络设施损坏,导致应用系统长时间中断,可能造成重大社会影响和巨大经济损失的突发事件。
4.特级故障
特指发生不可预见的灾难性事故,如火灾、水灾和地震等。
(二)网络应急预案启动
根据以上定义的故障分级,当网络事件的要素满足启动应急预案要求时,进入相应的应急启动流程,实施处置并及时报送信息。
1.应急处理工作小组从业务人员的故障申告、网管系统的故障告警中得知网络异常事件后,应在第一时间赶赴网络故障现场,控制事态发展,防控蔓延。与业务人员一起进行先期处置,采取各种技术措施,及时控制事态发展,最大限度地防止事件蔓延。
1.应急处理工作小组应快速判断事件性质和危害程度,尽快分析事件发生原因。若是电源接触不好、物理连线松动或者能在最短时间内自行解决的网络问题,及时按照有关操作规程进行故障处理,并报领导小组备案;否则,应急处理工作小组应根据网络与信息系统运行和承载业务情况,初步判断事件的影响、危害和可能波及的范围,提出应对措施建议,及时告知领导小组。
2.应急处理工作小组向领导小组报告,在领导小组的授权后启动相应的应急预案。针对灾难事件和影响重要业务运行的重大事件,还要及时向上级机关进行报告。
3.应急处理工作小组根据故障类型及时与外部支持人员取得联系。其中,设备故障的,可与设备供应商和集成商联系;软件故障的,可与系统集成商联系,由系统集成商进行现场或远程技术支持;线路故障的,可与电信运营商联系,三方密切协作力求通信线路在短时间内恢复正常。
4.应急处理工作小组在上级机构或外部支持人员的配合下,充分利用应急预案的资源准备,采取有力措施进行故障处理,及时恢复网络的正常通信状态。
5.应急处理工作小组通知业务部门网络恢复正常,并向领导小组报告故障处理的基本情况。在事件处理过程中,应急处理工作小组应做好事件发生、发展、处置的记录和证据留存。重大事件应形成文字资料,以书面形式向上级报告。
6.总结整个处理过程中出现的问题,并及时改进应急预案。
(三)现场应急处理
1.如遇到预知外界因素(如定时、定点停电)影响网络系统的正常运行,将根据有关部门的通知,提前安排技术人员到实地关闭网络设备并进行现场维护,直至外界因素消除。
2.如遇到不可抗力因素(如火灾)造成的网络系统故障时,接到通知的值班人员要快速到达现场,果断切断相关设备配电柜的电源,积极参与消除不可抗力因素,并及时将情况上报局领导。
3.如遇到一般故障、严重故障和重大故障,影响校园网络系统的正常运行,值班人员要迅速、及时地赶到现场,进行相应突发事件的应急处理。
五、保障措施
(一)应急演练
为提高网络系统突发事件应急响应水平,网络信息管理中心及有关单位应定期或不定期组织应急预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。
(二)人员培训
为确保本应急预案有效运行,应定期或不定期地举办不同层次、不同类型的技术讲座或研讨会,以便不同岗位的应急人员能全面熟悉并熟练掌握突发事件的应急处理知识和技能。
(三)硬件资源保障
为了在网络设备发生故障时能够尽量降低业务系统的受影响程度,须为相应的核心网络系统提供必要的备份设备与线缆等硬件资源,并且配备与现有设备兼容的设备,确保相似或兼容的设备可以在应急情况下调配使用。这些备份设备需预先采购并保存在专门位置。
(四)文档资料准备
包括网络系统工程文档、网络系统维护手册、网络系统操作手册、网络设备配置参数、网络系统拓扑图以及IP地址规范及分布情况等。
(五)技术支持保障
建立预警与应急处理的技术平台,进一步提高网络突发事件的发现和分析能力,从技术上逐步实现发现、预警、处理、通报等多个环节和不同的业务网络、系统以及相关部门之间应急处理的联动机制。
(六)公众信息交流
在应急预案修订、演练的前后,应利用各种信息渠道进行宣传,并不定期的利用各种活动,宣传网络等突发事件的应急处理规程及其预防措施等应急常识。
六、网络安全防范措施
(一)建立健全网络与信息安全职责体系和规章制度。
逐步建立健全各种安全制度,包括(1)运行审批制度;(2)日志管理制度;(3)安全审计制度;(4)数据保护、安全备份、灾难恢复计划;(5)计算机机房及其他重要区域的出入制度;(6)硬件、软件、网络、媒体的使用及维护制度;(7)账户、密码、通信保密的管理制度;(8)有害数据及计算机病毒预防、发现、报告及清除管理制度。
(二)明确信息安全等级、信息安全保护等级
根据信息的性质和重要程度划分为四级:(1)A级,高敏感信息,实行绝对强制保护;(2)B级,敏感信息,实行强制保护;(3)C级,内部管理信息,实行自主安全保护;(4)D级,公共信息,实行一般安全保护。根据确立的信息安全等级,依据国家颁布的《计算机信息系统安全保护等级划分准则》,确立计算及系统安全保护的五个等级,具体为:第一级,用户自主保护级;第二级,系统审计保护级;第三级,安全标记保护级;第四级,结构化保护级;第五级,访问验证保护级。
(三)网络安全防范
严格执行《中华人民共和国网络安全法》、《黄淮学院网络与信息安全管理办法》和《黄淮学院网络安全及信息保密管理规定》,对各类网络接入设备采取具体严格的安全控制措施;在网络建设和改造时优先考虑网络的安全性和冗余;未经网络信息管理中心许可,严禁将外来的网络或终端设备接入我校网络系统中;各类网络设备及关键主机设备的密码要有专人保管并有定期的变更机制;在未采取相应的加密措施之前,不得利用电子邮件传递涉及机密的信息。
(四)病毒安全防范
入网计算机设备,应配备正版的防病毒软件,所有的外来软件或数据,必须先进行病毒检查才能安装和使用。
(五)软件系统安全防范
学校各部门要杜绝使用盗版软件;各类业务和应用软件要充分考虑到软件安全的要求,并进行安全性能的评估。
(六)数据安全防范
学校各部门要按照《黄淮学院信息化建设管理办法》统一规划和部署使用相关软硬件产品,要逐步建立相应的数据备份、恢复机制;原则上备份介质的存储不能与主机系统在同一地域。
(七)设备安全防范
学校各部门的计算机设备都必须有较高的可靠性。中心机房的服务器和中心网络设备、网络安全设备等关键设备要严格按照国家计算机信息系统安全相关标准进行采购,从源头上把好设备的性能安全关。各关键设备都要有冗余备份或相应配件,一旦设备出现故障能够及时维护、更换,确保不影响正常的开展和系统的运行。
(八)机房安全防范
各网络机房应符合国家标准和国家规定。必须具备放火、防雷、防静电、防电磁干扰设备;要有完备的环境控制设备和电源供应设备;要有严格的管理制度和值班制度,确保各类设备有一个良好的运行环境。
七、分类突发事件应急处理措施
(一)黑客攻击时的紧急处置措施
1.当有关值班人员发现业务系统或网站内容被纂改,或通过入侵监测系统发现有黑客正在进行攻击时,要第一时间对其进行删除,恢复相关信息及页面,同时应立即向网络管理技术人员和相关责任领导通报情况。
2.网络管理技术人员应在十分钟内赶到现场,并首先应将被攻击的服务器等设备从网络中隔离出来,保护现场,必要时可对网站服务器进行关闭,待检测无故障后再开启服务,并同时向应急处理领导小组通报情况。
3.网络管理技术人员负责被攻击或破坏系统的恢复与重建工作。
4.网络管理技术人员会同相关支持人员追查非法信息来源。
5.网络管理技术人员组织相关支持人员会商后,向应急处理工作小组组长汇报有关情况。
6.应急处理工作小组组长如认为情况严重,应立即向应急处理领导小组组长汇报。
7.应急处理领导小组组长组织应急处理领导小组召开会议,如认为事态严重,则立即向公安部门或上级机关报警。
(二)病毒安全紧急处置措施
1.当发现有计算机被感染上病毒后,要立即对其进行查杀,并立即向网络管理技术人员报告,将该机从网络上隔离开来。
2.网络管理技术人员在接到通知后,应在十分钟内赶到现场。
3.对该设备的硬盘进行数据备份。用反病毒软件对该机再次进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
4.如果现行反病毒软件无法清除该病毒,应立即向应急处理工作小组组长报告,并迅速联系有关产品商研究解决。
5.应急处理工作小组经会商,认为情况严重的,应立即向应急处理领导小组组长汇报。
6.应急处理领导小组经会商后,认为情况极为严重的,应立即向公安部门或上级机关报告。
7.如果感染病毒的设备是中心服务器系统,经领导小组同意,应立即告知各部门做好相应的清查工作。
(三)软件系统遭破坏性攻击的紧急处置措施
重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日的备份,并保存在安全处。
1.一旦软件遭到破坏性攻击,应立即向网络管理技术人员、业务系统技术人员报告,并将该系统停止运行。
2.业务系统技术人员软件系统和数据的恢复。
3.网络管理技术人员检查日志等资料,确定攻击来源。
4.由业务系统技术人员向应急处理工作小组组长汇报。
5.应急处理工作小组组长认为情况严重的,应立即向应急处理领导小组汇报。
6.应急处理领导小组认为情况极为严重的,应立即向公安部门或上级机关报告。
(四)数据库安全紧急处置措施
1.主要数据库应按双机热备设置,并至少要准备两个以上数据库备份,平时一个备份放在机房,另一个备份放在另一个安全的场所。
2.一旦数据库崩溃,值班人员应立即启动备用系统,并向业务系统技术人员报告。
3.在备用系统运行期间,业务系统技术人员应对主机系统进行维修。
4.如果两套系统均崩溃,业务系统技术人员应立即向软硬件提供商请求支援,同时通知相关科室部门暂缓使用业务系统和上传上报数据。
5.系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。
6.如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库加已恢复。
7.如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
(五)广域网外部线路中断紧急处置措施
1.广域网主、备用线路中断一条后,值班人员应立即启动备用线路接续工作,同时向网络管理技术人员报告。
2.网络管理技术人员接到报告后,应迅速判断故障节点,查明故障原因。
3.如属我校管辖范围,由网络管理技术人员立即予以恢复。
4、如属电信部门管辖范围,立即与电信维护部门联系,要求恢复。
5、如果主、备用线路同时中断,网络管理技术人员应在判断故障节点,查明故障原因后,尽快研究恢复措施,并立即向应急领导小组汇报。
(六)局域网中断紧急处置措施
1.应急处理工作小组平时应准备好网络备用设备,存放在指定的位置。
2.局域网中断后,网络管理技术人员应立即判断故障节点,查明故障原因,并向应急处理工作小组组长汇报。
3.如属线路故障,应重新安装线路。
4.如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。
5.如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试通畅。
6.如有必要,应向应急处理领导小组汇报。
(七)设备安全紧急处置措施
服务器、存储设备等关键设备损坏后,值班人员应立即向网络管理技术人员报告。
1.网络管理技术人员立即查明原因。
2.如果能够自行恢复,应立即用备件替换受损部件。
3.如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。
(八)人员疏散与机房灭火预案
1.一旦机房发生火灾,应遵循下列原则:首先保人员安全;其次保关键设备、数据安全;三是保一般设备安全。
2.人员疏散的程序是:机房值班人员立即按响火警警报,并通过119电话向公安消防请求支援,所有不参与灭火的人员按照预定的路线,迅速从机房中有序撤出。
3.人员灭火的程序是:首先切断所有电源,启动自动气体灭火装置,灭火值班人员戴好防毒面具,从指定位置取出气体灭火器进行灭火。
(九)供电中断后的设备运行预案
1.外电中断后,机房值班人员应立即切换到备用电源。
2.机房值班人员应立即查明原因,并向值班领导汇报。
3.如因内部线路故障,请后勤服务部门迅速恢复。
4.如果是供电局的原因,应立即与供电局联系,请供电局迅速恢复供电。
5.如果供电局告知需长时间停电,应作如下安排。
(1)停电2小时以内,由UPS供电;
(2)停电2-8小时,关掉非关键设备,确保关键服务器、核心网络设备由UPS供电;
(3)停电8小时以上,启动小型发电机自行发电。
(十)关键人员不在岗的紧急处置措施
1.对于关键岗位平时应做好人员储备,确保一项工作由两人能够操作。
2.一旦发生关键人员不在岗的情况,首先应向处理工作小组组长汇报情况。
3.经处理工作小组组长批准后,由备用人员上岗操作。
4.如果备用人员无法上岗,请求上级单位或外部支持技术人员支援。
八、应急保障
(一)内部保障:学校针对校园网紧急事件的发生,建立校园网专项资金用于校园网紧急事件的处置。同时,应储备必须的有关物资、设备,避免时间拖延造成不必要的损失。
(二)外部支援:依据校园网及信息安全紧急事件的影响程度;如需上级部门或其他单位支持时,应启动外部支援,寻求帮助。外部支援主要包括河南教科网网络中心、中国教育科研网络中心、中国联通驻马店分公司网管中心以及主要相关设备供应商。
九、附则
(一)本预案所称网络突发事件,是指由于自然灾害、设备软硬件故障、内部人为失误或破坏等原因,网络系统及其他重要信息系统的正常运行受到严重影响,出现业务中断、系统破坏、数据破坏等现象,造成不良影响以及造成一定程度直接或间接经济损失的事件。
(二)本预案通过演习、实践检验,以及根据应急力量变更、新技术、新资源的应用和应急事件发展趋势,及时进行修订和完善;所附的成员、联系方式等发生变化时也随时修订。
(三)本预案自发布之日起实施。
黄淮学院信息化办公室
2017年7月6日
