山东服装职业学院网络安全
应急预案
二〇一九年六月
目录
山东服装职业学院网络安全应急预案
一、总则
1.1 目的
为了完善网络安全事件应急响应机制,规范网络安全应急响应工作内容和流程,科学应对网络安全突发事件,有效预防、及时控制和最大限度地消除网络安全突发事件的危害和影响,保障信息系统的运行安全和数据安全。
1.2 应急响应需求
山东服装职业学院是一所经山东省政府批准、教育部备案的国办普通高等学校,信息具有安全保密的需要,存在发生入侵、篡改、泄露等突发事件的可能性,会对社会秩序、公共利益造成严重影响和损害。
1.3 基本原则
1、统一领导,分级负责。按照“谁主管谁负责,谁运行谁负责”的原则,建立和完善责任制度、协调管理机制和联动工作机制。
2、快速反应,积极应对。一旦发生信息系统环境和业务系统突发事件,应迅速启动应急处置预案,明确职责,层层落实,采取有力措施积极应对,及时控制处理,防止产生连带风险。
3、加强沟通,有效传递。建立有效的信息传递机制,各部门之间加强共同协作,确保信息畅通;加强与新闻媒体等外部单位的沟通协调,做好宣传解释工作,全面争取突发事件的内部处置和外部舆论主动权。
4、保密数据,严格管理。在应急准备和应急预案正式启动期间,各级要做好数据资料的保密工作,明确数据资料保管责任人,资料接触人员要严格保密,决不随意向任何人泄漏,应急期间结束后,统一销毁备用数据资料。
5、严格自律,防范风险。突发事件应急处置期间,各级应急处置机构应加强宣传教育和检查监督,引导员工严格自律,遵守内控制度和业务操作要求,向社会作正面解释、宣传,不得散播影响单位形象和社会稳定的言论,严密防范内、外部潜在风险。
6、准确判断,及时响应。安全事件发生后,及时确定事件分类、级别,启动对应的响应措施。
1.4 适用范围
本预案适用于山东服装职业学院网络安全事件应急处理工作。各部门各系应参照本预案制各单位的应急预案。
1.5 相关预案
《山东服装职业学院机房火灾事件应急预案》
《山东服装职业学院机房漏水事件应急预案》
《山东服装职业学院机房电力故障应急预案》
《山东服装职业学院网络事件应急预案》
《山东服装职业学院关键应用安全事件应急预案》
《山东服装职业学院数据泄露事件应急预案》
二、应急处理组织结构与分工
网络安全事件应急救援组织体系由院长、分管副院长、党委(院长)办公室、图书馆(信息中心)、总务处、应急响应日常运行小组(简称日常运行小组)、应急响应技术保障小组、应急响应信息通报小组、应急响应事件调查处理小组、专家组组成。
2.1院长
其主要职能包括:
1) 组织、指导和督促重大安全事件的应急响应工作;
2) 现场指挥重大安全事件应急响应;
3) 审定、批准应急方案的启用;
4) 组织协调各部门的应急合作、资源调配等工作;
5) 审定重大安全事件处理和分析报告。
2.2分管副院长
其主要职能包括:
负责全院应急预案的审核与组织实施及实施过程中的监督检查。
2.3网络安全事件应急响应日常运行小组
网络安全应急响应日常运行小组主要由图书馆(信息中心)人员组成。
其主要职能包括:
1) 负责及时向分管院领导、相关技术支持人员、关联单位和各应急小组通知事件的发生时间、影响范围、应急响应等情况;
2) 组织、协调、督促相关的支持人员及时到场开展应急处理工作;
3) 现场参与和跟踪重大运行事件的应急处理全过程;
4) 通过电话会议等方式,牵头组织相关各部门对重大运行故障进行诊断和恢复,提出启用应急预案建议;
5) 负责对应急预案进行评审,检查应急预案的更新情况和内容有效性;
6) 现场或电话授权值班人员通过短信平台,定时向所有相关人员报告事件内容、目前事件进展和应急响应日常运行小组关于此事件跟踪联系人,以便各方与之联系;
7) 负责应急预案的培训组织;
8) 负责制订应急演练方案,组织各相关小组进行应急演练。
2.4网络安全事件应急响应技术保障小组
主要由技术人员(包括专家组成员、信息中心技术人员、相关软硬件提供商及集成商技术人员)、业务人员组成。
主要职能包括:
1) 编写应急处理方案;
2) 设计、实施应急技术方案;
3) 组织应急处理方案的测试、更新;
4) 应急响应过程中技术问题的解决;
5) 组织应急处理方案的演练和培训组织应急处理方案的实施;
6) 及时向应急响应日常运行小组报告进展情况;
7) 及时提出资源申请。
2.5网络安全事件应急响应信息通报小组
信息通报小组主要由图书馆(信息中心)成员组成。
主要职能包括:
1) 上层指令的传达,各个应急小组进度汇总上报及内部通报,资料整理,对内、外的信息的整理;
2) 事件资料的整理及提交;
2.6网络安全事件应急响应事件调查组
事件调查组主要由图书馆(信息中心)成员组成。
主要职能包括:
1) 事件发生原因分析,协助技术小组进行技术方案设计及实施评估;
2) 跟踪改善措施的实施情况,避免防止再次发生。
2.7总务处
主要职能包括:
负责整个系统的设施用电供给。
2.8组织的外部协助
外部组织机构主要包括:信息系统服务提供商。
三、预防和预警机制
3.1信息监测及报告
建立网络安全监测机制,单位内信息事件的发现者及发生网络安全事件的部门应立即向应急响应日常运行小组报告。
3.2预防
积极推行网络安全等级保护制度,基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复。
定期进行网络安全等级保护评测,对于不符合项目制定改善计划;组织网络安全培训,能够使系统相关人员了解等级保护的规定和要求,确保信息系统符合安全等级防护要求。
定期进行相关预案的演练,保证各相关人员清晰掌握应急过程及个人职责。
3.3预警
应急响应日常运行小组接到网络安全事件报告后,经初步核实后,将有关情况向分管副院长汇报,并进一步进行情况综合,研究分析可能造成损害的程度,提出初步行动对策。分管副院长根据情况召开协调会,决策行动方案,发布指示和命令。
四、应急响应流程
安全事件的应急响应一般包括事件通告、事件分类与定级、应急启动、应急处置、后期处置几个程序。
4.1事件通告
4.1.1信息通报
信息事件发生后,由由信息通报小组负责内部信息通报。
4.1.2信息上报
信息事件发生后,应按照各个级别的应急响应策略,由图书馆(信息中心)负责及时上报上级主管部门单位。
4.1.3信息披露
由分管副院长负责进行信息的批露。单位其他成员、各应急小组未经允许,不得擅自发布任何消息,共同做好维护稳定工作。
4.2事件分类与定级
4.2.1概述
信息事件发生后,应急响应日常运行小组对事件进行评估,确定事件的类别和级别。
4.2.2事件的分类
山东服装职业学院网络安全事件主要分为以下几类:
1)物理环境事件
主要包括机房设备盗窃事件、机房火灾事件、机房漏水事件、机房电力事件等。
2)网络事件
主要包括网络攻击和网络故障等。
3)应用事件
主要包括网站攻击事件、网站内容安全事件、关键应用故障事件等。
4)数据事件
主要包括数据损害、数据泄露事件。
4.2.3事件的定级
实施预警信息等级制度,按照系统重要程度、系统损失和社会影响,分为三个级别:重大事件、较大事件和一般事件:
特别重大事件(I级):本级网络安全事件对信息系统、单位利益以及社会公共利益有灾难性的影响或破坏,在全省甚至全国范围内产生特别严重的危害或影响;
重大事件(II级):本级网络安全事件对信息系统、单位利益以及社会公共利益有较大的影响或破坏,在行业内部产生一定的危害或影响;
较大事件(III级):本级网络安全事件对信息系统、单位利益以及社会公共利益没有的影响,在院内个别区域范围内产生一定影响。
4.3应急启动
按照安全事件的可控性、严重程度和影响范围,应急响应级别原则上分为I级响应、II级响应和III级响应。
Ⅰ级响应时,由分管副院长指挥协调,并及时向上级主管单位报告;超出单位处置能力时,应及时向上级网络安全应急组织请求协助;要求各应急小组成员10分钟内赶赴单位;
Ⅱ级响应时,由日常运行小组指挥协调;超出图书馆(信息中心)处置能力时,应及时向分管副院长报告,请求协助;要求各应急小组成员30分钟内赶赴单位;
III级响应时,不需要启动应急预案,由图书馆(信息中心)直接协调解决事件。
4.4应急处置
4.4.1 概述
由日常运行小组初步确定应急处理方式,确定是否存在针对该事件的特定系统预案。如有,则启动相关预案;如果事件涉及多个专项预案,应同时启动所有涉及的专项预案。
如果没有针对该事件的专项预案,应根据事件具体情况由分管副院长指挥采取抑制措施,抑制事件进一步扩散,并根除事件影响,恢复系统运行。
如果以自身力量无法处理的事件,应提出应急支援请求,由日常运行小组邀请专家、外部协助组织、上级主管单位派出应急支援技术人员进行网络安全应急支援。
及时采取行动遏制事件发展的同时,限制潜在的损失与破坏,同时要确保对涉及相关业务影响最小。
4.4.2恢复顺序
系统恢复时首先确保数据的完整性和安全性。
当恢复复杂系统是,恢复进程应按照《业务系统重要度排序表》的优先顺序进行恢复。以避免对相关系统及业务产生重大影响。
4.4.3恢复规程
为了进行恢复操作,针对关键系统应制定详细的业务恢复规程。应急响应技术小组应熟练掌握恢复规程,恢复规程应包括以下行动:
1) 获得访问受损设施或区域的授权;
2) 通知相关系统的内部和外部业务伙伴;
3) 获取所需的硬件环境和网络环境;
4) 获得装载备份的介质;
5) 恢复关键操作系统和应用软件;
6) 恢复系统数据;
7) 进行系统测试;
8) 测试通过后,通知相关人员开展工作。
4.5后期处置
4.5.1系统重建
1) 在应急处置工作结束后,应由图书馆(信息中心)制定重建方案,尽快抢修受损的基础设施、减少损失,尽快恢复正常工作。
2) 应急过程如果涉及到涉密数据的使用,在重建过程需遵照涉密要求进行数据的删除。
4.5.2应急响应总结
响应总结是应急处置之后应进行的工作,由事件调查小组负责,具体包括:
1) 分析和总结事件发生的原因;
2) 分析和总结事件发生的现象;
3) 评估系统的损害程度;
4) 评估事件导致的损失;
5) 分析和总结应急处置过程;
6) 评审应急响应措施的效果和效率,并提出改进意见;
7) 评审应急响应方案的效果和效率,并提出改进意见。
五、应急保障措施
5.1概述
应急响应保障措施是应急响应工作的重要组成部分,是保障网络安全事件发生后能够快速有序的实施响应计划的关键因素,需要从人力、资源、技术这三大方面进行保障。
5.2人力保障
5.2.1管理人力保障
日常运行小组组长应由院长担任,确保应急响应组织机构人员到位,职责清晰,能够完成日常管理工作。
5.2.2 技术人力保障
由日常运行小组应根据应急响应技术需要,定期组织进行技术培训;如本单位特殊情况,无法实现技术的全面掌握,可聘请外部专家或技术供应商,作为技术保障小组成员,定期进行交流、演练。确保各应急技术岗位人员分工清晰,职责明确。
5.3物质保障
5.3.1基础物质保障
建立应急响应设备库,包括信息系统的备用设备、应急响应过程所需要的工具。由运行小组进行保管,并确保能够正常使用,由日常运行小组每季度进行定期检查。
5.3.2应急响应物质保障
根据需要由总务处提供保障。
5.4技术保障
5.4.1应急响应技术服务
技术保障由应急响应技术小组负责,技术小组应制定网络安全事件技术应对表,全面考察和管理技术基础,选择合适的技术服务人员,明确职责和沟通方式。
5.4.2日常技术保障
日常技术保障包括事件监控与预警的技术保障和应急技术储备两部分。
1)事件监控与预警的技术保障
由应急响应技术小组采取监控技术对整个系统进行安全监控,通过及时预警,尽早发现安全事件。
2)应急技术储备
由应急响应技术小组分析应急过程所需有的各项技术,针对各项技术形成培训方案或操作手册。
六、应急演练及维护
6.1建立定期演练制度
每年应当至少组织一次应急演练,模拟处置影响较大的网络安全事件,发现并解决应急工作体系和工作机制存在的问题,检验物资器材的完好情况,提高应急处理能力。
6.2预案的修订完善
网络安全应急响应日常运行小组负责应急预案的修订完善。应急响应技术小组和专家组成员应针对应急响应工作中遇到的问题,分析预案的科学性和合理性,及时向网络安全应急响应日常运行小组提出修改建议。在上级预案或相关的法律法规修改后,本预案应进行调整与其保持一致。
山东服装职业学院机房火灾事件应急预案
一、总则
1.1目的
为加强数据中心机房的安全管理,确保单位能够迅速有效地处理起火事件,将事件对数据、设备和环境等造成的损失降到最小程度,最大限度的保障信息系统的整体安全。
1.2适用范围
本规范适用于山东服装职业学院数据中心机房火灾事件的应急处理。
1.3相关预案
《山东服装职业学院网络安全应急预案》
二、应急处理组织结构与分工
2.1常设组织机构
具体组织架构及职责参照《山东服装职业学院网络安全应急预案》的应急处理组织结构与分工部分。
2.2应急响应消防小组
1) 负责机房火灾的应急响应处置;
2) 事件发生后,机房内气体灭火设备的开启;
3) 负责消防通道的日常检查及事件发生后消防车到达现场通道的畅通;
4) 负责维护事故现场秩序,防止无关人员接近事故现场;
5) 事故发生后,采取抑制措施,避免火灾进一步扩大;
6) 负责日常消防安全检查;负责组织日常消防演练;
7) 负责安全消防知识宣传。
2.3组织的外部协助
外部组织机构主要包括:泰安市公安局消防分局、泰安市急救中心。
三、预防和预警机制
3.1信息监测及报告
使用机房消防系统进行实时监控。发生报警后,收到报警信息的人员应立即向应急响应日常运行小组报告。
3.2预防
1) 定期对气体灭火系统、消防栓、灭火器等进行检查、更换,避免消防器材过期;保障消防通道畅通,保障应急照明灯可用;
2) 定期对机房电路进行检查,及时更换,防止线路老化引起火灾;
3) 机房严禁放置易燃易爆物品;
4) 保持机房内适当的湿度;
5) 严禁携带易燃品进入机房;
6) 组织相关人员进行消防安全培训,学习消防知识,学会正确使用灭火器材,定期进行相关应急演练。
3.3预警
应急响应日常运行小组接到火灾报警后,应通知应急响应消防小组赶赴现场,查看现场情况。初步核实是否发火灾情况;如果为误报,则通知应急响应日常运行小组,解除警报。如发生了火灾,应将有关情况向应急响应日常运行小组汇报,最大限度实施遏制措施。应急响应日常运行小组根据事情的情况,汇总后上报分管副院长。
四、应急响应流程
4.1事件通告
遵循《山东服装职业学院网络安全应急预案》信息通告规定。
4.2事件定级
实施预警信息等级制度,按照系统重要程度、系统损失和社会影响,分为两个级别:重大事件和一般事件。
重大事件(I级):机房内部出现大面积燃烧,机房内消防设施无法开启或开启后火势不能得到有效控制;发生人员严重烧伤或死亡情况。
一般事件(II级):机房有出现冒烟或零星火苗,机房内消防设施开启后火势得到有效控制;机房边缘区域易燃物燃烧,使用消防器材可以进行控制。
4.3应急启动
按照安全事件的可控性、严重程度和影响范围,应急响应级别原则上分为I级响应、II级响应。
Ⅰ级响应时,由单位分管副院长亲自组织救援,各单位全力做好救援工作,要求各小组在10分钟内到达现场开展救援。超出单位处置能力时,立即拨打119,事态无法控制必要时单位应及时请求地方政府协调。
Ⅱ级响应时,由日常运行小组协调;应急响应消防小组组织灭火,降低火灾损失;若5分钟内扑灭火源,10分钟内确认不会再次出现复燃情况,可考虑终止扑救工作;超出10分钟未解决时或火势有恶化趋势,应及时向分管副院长报告,请求协助。
4.4应急处置
4.4.1. 应急处置
机房火灾处置应遵循以下原则:首先保证人员安全,其次关键设备安全,最后为一般设备安全。
4.4.1.1. 一级响应
1)分管副院长指挥,确定是否向上级主管单位报告;
2)应急响应消防小组及时拨打119,汇报火势情况,请求消防队尽快支援;
3)技术保障小组负责尽快按照合理顺序远程关闭设备;
4)应急响应消防小组确定若是由电器原因导致的火灾,应立刻切断区域供电;
4.4.1.2. 二级响应
1)日常运行小组及时开启机房内消防设备;
2)若由电路原因发生火灾,则日常运行小组应立刻切断区域供电电源;
3)日常运行小组联系应急响应消防小组,携带消防器材到达现场,在火势不受控情况下,准备进一步扑救;电源未切断前,严禁用水扑救;
4)10分钟内火势仍然扩大趋势,则升级为一级响应,向分管副院长指挥汇报,由分管副院长指挥协调指挥,并拨打119,联系消防队支援。
4.4.2. 恢复顺序
系统恢复时首先确保数据的完整性和安全性。
当恢复复杂系统是,恢复进程应按照《业务系统重要度排序表》的优先顺序进行恢复,以避免对相关系统及业务产生重大影响。
4.5后期处置
山东服装职业学院机房漏水事件应急预案
一、总则
1.1目的
为加强数据中心机房的安全管理,确保单位能够迅速有效地处理漏水事件,将事件对数据、设备和环境等造成的损失降到最小程度,最大限度的保障信息系统的整体安全。
1.2适用范围
本规范适用于山东服装职业学院数据中心机房漏水事件应急处理工作。
1.3相关预案
《山东服装职业学院网络安全应急预案》
二、应急处理组织结构与分工
2.1常设组织结构
具体组织架构及职责参照《山东服装职业学院网络安全应急预案》的应急处理组织结构与分工部分。
2.2应急响应防水小组
1) 定期检查机房区域水管的密封性,发现有泄露处应及时修理;
2) 定期检查机房区域有无渗水漏水的情况;
3) 定期检查防止雨水从门窗渗入;
4) 防止设备冷凝水渗漏;
5) 定期检查环境监测系统可用性,确保漏水监测正常运行。
2.3组织的外部协调
外部组织机构主要包括:空调维保单位
三、预防和预警机制
3.1信息监测及报告
使用机房安全防漏水报警监控系统进行实时监控。发生报警后,收到报警信息的人员应立即向应急响应日常运行小组报告。
3.2预防
部署环境监控系统,针对以下情况分别采取措施:
1)针对空调可能发生的漏水:
采用防水墙、防水盘,双层水管保护、一台空调一路供水管道方法,同时注意降低进入机房供水管道的压强和有效控制水源;
2)针对屋顶、墙壁、门窗等可能发生的凝露、渗漏:
进入机房水管进行保温处理,防止由于温差形成凝露;屋顶、墙壁进行防水处理,增加过渡区域。
3)上层建筑、附近办公室的暖气、水管等进行定期检查,定期更换。
4)上层建筑、附件办公室的暖气、水管的总开关应有明确标识。
3.3预警
应急响应日常运行小组接到防水报警后,应通知防水应急响应小组赶赴现场,查看现场情况。初步核实是否发生漏水、积水情况;如果为误报,则通知应急响应日常运行小组,解除警报。如发生了漏水、积水事件,则应将有关情况向应急响应日常运行小组汇报。应急响应日常运行小组根据事情的情况,汇总后上报分管副院长。
四、应急响应流程
4.1事件的通告
4.2事件定级
实施预警信息等级制度,按照系统重要程度、系统损失和社会影响,分为二个级别:重大事件和一般事件。
重大事件(I级):机房产生积水或预计10分钟内积水深度达到5厘米;
一般事件(II级):空调排水管(槽)轻微渗漏,机柜、墙壁水珠凝结等情况,机房发生漏水或预计30分钟内不会产生积水。
4.3应急启动
按照漏水事件的可控性、严重程度和影响范围,应急响应级别原则上分为I级响应、II级响应。
Ⅰ级响应时,由单位应急响应日常运行小组协调,防水小组实施救援,要求防水小组成员20分钟内到达现场。
Ⅱ级响应时,由图书馆(信息中心)协调组织解决事件,并通知应急响应日常运行小组;要求图书馆(信息中心)成员90分钟内赶赴单位。
4.4应急处置
4.4.1应急处置
4.4.1.1 一级响应
1)日常运行小组协调防水小组查找漏水原因,若为空调漏水,则关闭空调;若为管道漏水,则关闭漏水点阀门;
2)日常运行小组应尽快关闭关键设备的电源,然后切断区域供电,包括UPS电源;
3)确保机房内电源全部切断后,防水小组进入机房使用抽水设备进行排水;
4)确保不再漏水后,技术保障小组进行系统的恢复;
5)若为管道漏水,防水小组则进行维修;若为空调故障,由图书馆(信息中心)联系空调维保厂商进行维修,确保不再漏水。
4.4.1.2二级响应
1)日常运行小组协调防水小组查找漏水原因,若为空调漏水,则关闭空调;若为管道漏水,则关闭漏水点阀门;
2)开启空调除湿功能,使用干布擦出水珠;
3)若为管道漏水,防水小组则进行维修;若为空调故障,由图书馆(信息中心)联系空调维保厂商进行维修,确保不再漏水。
4.4.2恢复顺序
系统恢复时首先确保数据的完整性和安全性。
当恢复复杂系统时,恢复进程应按照《业务系统重要度排序表》的优先顺序进行恢复。以避免对相关系统及业务产生重大影响。
4.5后期处置
具体处置措施按照综合预案的后期处置进行。
山东服装职业学院机房电力故障应急预案
一、总则
1.1目的
为加强数据中心机房的安全管理,确保单位能够迅速有效地处理电力故障事件,将事件对数据、设备和环境等造成的损失降到最小程度,最大限度的保障信息系统的整体安全。
1.2适用范围
本规范适用于山东服装职业学院数据中心机房电力故障事件应急处理工作。
1.3相关预案
《山东服装职业学院网络安全应急预案》
二、应急处理组织结构与分工
具体组织架构及职责参照《山东服装职业学院网络安全应急预案》的应急处理组织结构与分工部分。
2.2应急响应电力小组
1) 机房电路及供电的设计优化;
2) 电力故障的原因查找及解决;
3) 应急方案的设计、审核及修订。
2.3组织的外部协调
外部组织机构主要包括:泰安供电公司。
三、预防和预警机制
3.1信息监测及报告
使用环境监控系统进行实时监控。发生报警后,收到报警信息的人员应立即向应急响应日常运行小组报告。
3.2预防
1)定期检查电路线缆、插排、开关等,发现老化情况应及时更换。
2)定期进行UPS检查,确保UPS主机正常运行,电池工作正常。
3.3预警
应急响应日常运行小组接到电力故障报警后,应通知电力应急响应小组赶赴现场,查看现场情况。初步核实是否发生断电、短路等电力故障;如果为误报,则通知应急响应日常运行小组,解除警报。如发生了断电、短路等事件,则应将有关情况向应急响应日常运行小组汇报。应急响应日常运行小组根据事情的情况,汇总后上报分管副院长。
四、应急响应流程
4.1事件通告
4.1.1遵循《山东服装职业学院网络安全应急预案》信息通告规定。
4.2事件定级
4.2.1 事件的定级
实施预警信息等级制度,按照系统重要程度、系统损失和社会影响,分为三个级别:特别重大事件、重大事件和一般事件:
特别重大事件(I级):机房核心、关键业务系统包含的主要设备所在机柜出现断电、短路情况,造成工作日上班时间关键业务无法开展且预计2小时内无法恢复运转;因电力故障造成人员重伤或死亡;因电力故障发生严重火灾。
重大事件(II级):机房核心、关键业务系统包含的一般设备所在机柜出现断电、短路情况,造成核心、关键业务的部分流程、功能造成影响且预计8小时内无法恢复运转,但不影响整体业务开展;因电力故障造成人员受轻微伤;因电力故障发生小型火灾。
一般事件(III级):机房出现断电情况但时间较短,关键业务系统未受到影响,或预计电力恢复供应时间不超过1小时。
按照安全事件的可控性、严重程度和影响范围,应急响应级别原则上分为I级响应、II级响应、和III级响应。
Ⅰ级响应时,由单位分管副院长亲自组织救援,各单位全力做好救援工作,要求各小组在30分钟内到达现场展开救援。若发生火灾,则同时启动机房火灾应急响应。
Ⅱ级响应时,由日常运行小组指挥协调应急响应电力小组实施救援。要求各小组在60分钟内到达现场展开救援。
III级响应时,由值班人员协调组织解决事件,并通知应急响应日常运行小组、电力小组;要求图书馆(信息中心)成员90分钟内赶赴单位。
4.4应急处置
4.4.1.1 一级响应
1)分管副院长指挥,及时向上级主管单位报告;
2)若有人员伤亡,则及时拨打120进行人员抢救;
3)若发生火灾,则必须在保障人员生命安全的情况下优先保护存储数据的设备,其次是关键应用的设备,然后是其他设备,尽量减少财产损失;
4)应急响应电力小组进行故障的排查。UPS故障,联系维保厂家,并切换到旁路供电状态;单位线路线缆故障,现场进行更换维修;外部供电故障,则联系供电公司进行故障解决;
5)外部供电故障,且1小时内无法修复,则应联系相关单位、公司,借用或租用柴油发电机进行内部供电;
4.4.1.2二级响应
1)日常运行小组指挥,协调应急响应电力小组进行故障的排查;若为UPS故障,联系维保厂家,并切换到旁路供电状态;单位线路线缆故障,则现场进行更换维修;外部供电故障,则联系供电公司进行故障解决;
2)若有人员受轻微伤,则由物资保障小组安排车辆送往就近医院;
3)若发生火灾,则必须在保障人员生命安全的情况下优先保护存储数据的设备,其次是关键应用的设备,然后是其他设备,尽量减少财产损失。
4.4.1.3三级响应
值班人员协调指挥。UPS故障,联系维保厂家,并切换到旁路供电状态;单位线路线缆故障,联系应急响应电力小组现场进行更换维修;外部供电故障,联系供电公司进行故障解决。
4.4.2恢复顺序
系统恢复时首先确保数据的完整性和安全性。
当恢复复杂系统时,恢复进程应按照《业务系统重要度排序表》的优先顺序进行恢复,以避免对相关系统及业务产生重大影响。
4.5后期处置
具体处置措施按照综合预案的后期处置进行。
山东服装职业学院网络事件应急预案
一、总则
1.1 目的
为加强数据中心机房的安全管理,确保单位能够迅速有效地处理网络事件,将事件对数据、设备和环境等造成的损失降到最小程度,最大限度的保障信息系统的整体安全。
1.2 适用范围
本规范适用于山东服装职业学院图书馆(信息中心)针对内部及外部网络攻击及网络故障应急处理工作。
1.3 相关预案
《山东服装职业学院网络安全应急预案》
二、应急处理组织结构与分工
2.1常设组织机构
具体组织架构及职责参照《山东服装职业学院网络安全应急预案》的应急处理组织结构与分工部分。
2.2组织的外部协助
外部组织机构主要包括:运营商、山东省公安厅(公共信息网络监察处)、网络安全服务机构。
三、预防和预警机制
3.1信息监测及报告
使用网络监控系统进行实时监控。发生报警后,收到报警信息的人员应立即向应急响应日常运行小组报告。
3.2预防
部署网络监控平台,设置网络攻击声音、邮件、短信报警,日常运行小组每日对关键业务系统包含的网络设备、安全设备巡检,定期分析设备运行日志,及早发现网络隐患。
3.3预警
应急响应日常运行小组接到网络事件报警后,应通知技术保障小组赶赴现场,查看现场情况。初步核实是否发生网络事件;如果为误报,则通知应急响应日常运行小组,解除警报。如发生了网络事件,则应将有关情况向应急响应日常运行小组汇报。应急响应日常运行小组根据事情的情况,汇总后上报分管副院长。
四、应急响应流程
4.1事件通告
遵循《山东服装职业学院网络安全应急预案》信息通告规定。
4.2事件定级
实施预警信息等级制度,按照系统重要程度、系统损失和社会影响,分为三个级别:特别重大事件、重大事件和一般事件:
特别重大事件(I级):核心、关键业务系统使用的主干网络、设备因遭受网络攻击或故障出现宕机或无法访问,导致业务中断且2小时内无法恢复正常工作;
重大事件(II级):核心、关键业务系统使用的主干网络、关键设备运转异常,业务系统整体运行缓慢,遭受攻击的设备资源利用率超过80%或网络设备出现异常;
一般事件(III级):对一般业务系统造成轻微影响或无影响,安全设备检测到攻击行为或网络监控平台监控到重要设备发生异常;
4.3应急启动
按照安全事件的可控性、严重程度和影响范围,应急响应级别原则上分为I级响应、II级响应、和III级响应。
Ⅰ级响应时,由单位分管副院长指挥协调,并及时向上级主管单位报告;超出单位处置能力时,应及时向上级网络安全应急组织请求协助位;必要时由上级应急组织指挥应急响应;要求各应急小组成员20分钟内赶赴单位。
Ⅱ级响应时,由日常运行小组指挥协调;超出8小时未解决时,应及时向上级网络安全应急领导小组报告,请求协助;要求各应急小组成员40分钟内赶赴单位。
III级响应时,由值班人员协调组织解决事件,要求图书馆(信息中心)成员120分钟内赶赴单位或登录到相关设备。
4.4应急处置
4.4.1 应急处置
4.4.1.1 一级响应
1)分管副院长指挥,及时向上级主管单位报告;
2)技术保障小组搜集、分析相关日志。若为安全事件,则进一步确认攻击类型、攻击源;向公安部门报警;若为设备或线路故障,则使用备用设备、线路或根据实际情况制定方案;必要时,设备故障联系厂商进行应急支援,同时做好配合工作;安全事件向联系省公安厅网络安全保卫总队需求支援,同时做好配合工作;
3)技术保障小组制定解决实施方案,邀请专家进行审核;
4)技术保障小组根据库存情况,列清应急所需物资清单;
4.4.1.2 二级响应
1)应急响应日常运行小组指挥;
2)技术保障小组搜集、分析相关日志。若为安全事件,则进一步确认攻击类型、攻击源;向公安部门报警;若为设备或线路故障,则使用备用设备、线路或根据实际情况制定方案;必要时,设备故障联系厂商进行应急支援,同时做好配合工作;安全事件向联系省公安厅网络安全保卫总队需求支援,同时做好配合工作;
3)技术保障小组制定解决实施方案;
4)技术保障小组根据库存情况,列清应急所需物资清单;
4.4.1.3 三级响应
1)图书馆(信息中心)协调进行网络攻击类型分析或网络故障原因分析;
2)若为安全事件则进行安全设备策略,对攻击源进行限制;若为网络故障,则通过使用备用设备、线路或根据实际情况制定方案;
3)若为安全事件则及时升级安全设备版本,防范更高级别的攻击行为;若为故障则尽快联系厂家进行设备维修或更换。
4.4.2恢复顺序
系统恢复时首先确保数据的完整性和安全性。
当恢复复杂系统时,恢复进程应按照《业务系统重要度排序表》的优先顺序进行恢复。以避免对相关系统及业务产生重大影响。
4.5后期处置
具体处置措施按照综合预案的后期处置进行。
山东服装职业学院关键应用安全事件应急预案
一、总则
1.1 目的
为加强单位关键应用的安全管理,确保单位能够迅速有效地处理应用安全事件,将事件对数据、设备和环境等造成的损失降到最小程度,最大限度的保障信息系统的整体安全。
1.2 适用范围
本规范适用于山东服装职业学院网站等关键应用安全攻击事件应急处理工作。
1.3 相关预案
《山东服装职业学院网络安全应急预案》
二、应急处理组织结构与分工
2.1常设组织机构
具体组织架构及职责参照《山东服装职业学院网络安全应急预案》的应急处理组织结构与分工部分。
2.2组织的外部协助
外部组织机构主要包括:公安机关、应用开发方、安全服务机构。
三、预防和预警机制
3.1信息监测及报告
建立网站安全监测系统,对于敏感字、网页篡改进行实时监控。发生报警后,收到报警信息的人员应立即向应急响应日常运行小组报告。
3.2预防
1) 定期进行渗透测试,根据测试结果进行安全加固;
2) 定期进行风险评估,针对风险因素进行风险降低;
3) 定期进行漏洞扫描,定期进行系统升级及补丁更新;
4) 使用网站防篡改措施,对于防止网页被恶意篡改;
5) 部署实时监控系统,对于可用性、敏感字、网页篡改进行实时监控。
3.3预警
应急响应日常运行小组接到应用故障报警后,应通知技术保障小组登录网站及网站程序管理平台,查看情况。初步核实是否发生安全事件;如果为误报,则通知应急响应日常运行小组,解除警报。如发生安全事件,则应将有关情况向应急响应日常运行小组汇报。应急响应日常运行小组根据事情的情况,汇总后上报分管副院长。
四、应急响应流程
4.1事件通告
遵循《山东服装职业学院网络安全应急预案》信息通告规定。
4.2事件定级
实施预警信息等级制度,按照系统重要程度、系统损失和社会影响,分为两个级别:特别重大事件、重大事件和一般事件。
特别重大事件(I级):网站等关键应用出现违法或恶意信息;涉及所辖的保密信息;对单位、社会造成恶劣形象的信息;安全事件发生超过1小时,已经产生了巨大不良影响。
重大事件(II级):网站等关键应用出现不良信息;对单位、社会造成不良形象的信息;内容安全事件发生超过2小时,已经产生了不良影响。
一般事件(III级):网站等关键应用遭受攻击导致无法访问或访问速度缓慢,预计4小时内无法恢复。
4.3应急启动
按照安全事件的可控性、严重程度和影响范围,应急响应级别原则上分为I级响应、II级响应和III级响应。
Ⅰ级响应时,由单位分管副院长指挥协调,及时向上级主管单位报告,同时要求技术保障小组立即处理相关信息;超出单位处置能力时,应及时向上级网络安全应急组织请求协助位;必要时由上级应急组织指挥应急响应;要求技术保障小组成员5分钟内到达现场或登录网站、关键应用平台处理。
Ⅱ级响应时,由日常运行小组指挥协调;超出2小时未解决时,应及时向上级网络安全应急领导小组报告,请求协助;要求技术保障小组成员10分钟内到达现场或登录网站、关键应用平台处理。
III级响应时,由值班人员协调组织解决事件,并通知应急响应日常运行小组;要求技术保障小组成员60分钟内到达现场或登录网站、关键应用平台处理。
4.4应急处置
4.4.1 应急处置
4.4.1.1 一级响应
1)分管副院长指挥,及时向上级主管单位报告;
2)技术保障小组立即停止原服务器网站、关键应用服务,使用备用服务器提供服务;
3)技术保障小组使用物理隔离方法保护被入侵服务器不受再次破坏,搜集、分析相关日志、数据,确定入侵来源,通知公安机构协助追查;
4)技术保障小组尽快设计加固方案,并邀请专家进行审核;
5)技术保障小组根据库存情况,列清应急所需物资清单;
6)备用网站服务期间,由值班人员进行实时监控,避免二次攻击;
7)超出单位处置能力时,应及时向上级或外界网络安全应急组织请求协助;
4.4.1.2 二级响应
1)应急响应日常运行指挥,将事件通知领导小组;
2)技术保障小组立即停止原服务器网站服务,使用备用服务器提供网站服务;
3)技术保障小组使用物理隔离方法保护被入侵服务器不受再次破坏,搜集、分析相关日志、数据,确定入侵来源,通知公安机构协助追查;
4)技术保障小组尽快设计加固方案,并邀请专家进行审核;
5)技术保障小组根据库存情况,列清应急所需物资清单;
6)备用网站服务期间,由值班人员时刻进行实时监控,避免二次入侵;
7)超出单位处置能力时,应及时向上级或外界网络安全应急组织请求协助;
4.4.1.3 三级响应
1)图书馆(信息中心)协调技术保障小组进行攻击类型分析;
2)技术保障小组调整安全设备策略,对攻击源进行限制;
3)及时升级安全设备版本,防范更高级别的攻击行为;
4.4.2恢复顺序
网站内容恢复时首先确保数据的完整性和安全性。
当恢复复杂网站系统时,恢复进程应按照《业务系统重要度排序表》的优先顺序进行恢复。以避免对相关系统及业务产生重大影响。
4.5后期处置
具体处置措施按照综合预案的后期处置进行。
山东服装职业学院数据泄露事件应急预案
一、总则
1.1 目的
为加强单位数据的安全管理,确保单位能够迅速有效地处理数据安全事件,将事件对数据、设备和环境等造成的损失降到最小程度,最大限度的保障信息系统的整体安全。
1.2 适用范围
本规范适用于山东服装职业学院信数据泄露事件应急处理工作。
1.3 相关预案
《山东服装职业学院网络安全应急预案》
二、应急处理组织结构与分工
2.1常设组织机构
具体组织架构及职责参照《山东服装职业学院网络安全应急预案》的应急处理组织结构与分工部分。
2.2组织的外部协助
外部组织机构主要包括:省公安厅、网络安全服务机构
三、预防和预警机制
3.1信息监测及报告
应急响应技术保障小组通过在线监控系统检测网络中是否存在敏感信息关键字,配合审计系统用户行为分析确定是否存在泄密事件。若存在泄密事件,应及时汇报给应急领导小组。
3.2预防
部署数据防护体系,在关键区域部署审计系统,涉密信息按照涉密网要求建立独立专网,重要数据进行数据加密和访问身份鉴别,涉密设备控制信息输出,加强敏感介质废弃销毁管理,同时加强人员安全意识教育。
3.3预警
数据泄露应急小组接到泄密报警信息后,应对泄密发生部门、个人做初步调查。初步核实是否发泄密情况;如果为误报,则解除警报。如泄密事件,则应将有关情况上报分管副院长。
四、应急响应流程
4.1事件通告
遵循《山东服装职业学院网络安全应急预案》信息通告规定。
4.2事件定级
实施预警信息等级制度,按照系统重要程度、系统损失和社会影响,分为3个级别:特别重大事件、重大事件和一般事件:
特别重大事件(I级):泄露数据属于国家绝密、机密、秘密内容;泄露数据属于单位关键、核心内容,对单位关键业务造成重大影响;产生连锁反应,将对上、下级单位造成重大影响;
重大事件(II级):泄露数据属于单位重要内容,对单位一般业务造成重大影响,不会对外部单位造成影响;
一般事件(III级):单位一般性内部数据泄露,不会对正常业务开展造成影响;
4.3应急启动
按照安全事件的可控性、严重程度和影响范围,应急响应级别原则上分为I级响应、II级响应、和III级响应。
Ⅰ级响应时,由单位分管副院长指挥协调,并及时向上级主管单位报告;超出单位处置能力时,应及时向上级网络安全应急组织请求协助位;必要时由上级应急组织指挥应急响应;要求各应急小组成员30分钟内进行到达现场。
Ⅱ级响应时,由日常运行小组指挥协调;超出24小时未解决时,应及时向上级网络安全应急领导小组报告,请求协助;要求各应急小组成员60分钟内进行响应。
III级响应时,由日常运行小组协调组织解决事件,并通知应急响应日常运行小组;要求图书馆(信息中心)成员90分内赶赴现场,开展调查。
4.4应急处置
4.4.1 应急处置
4.4.1.1 一级响应
1)分管副院长指挥,及时向上级主管单位报告;
2)技术保障小组防收集审计记录、维持现场状况,禁止无关人员进出,减少对现场的破坏;
3)技术保障小组协助公安机关取证;
4)技术保障小组尽快设方案,减少数据泄露带来的影响,并邀请专家进行审核;
5)泄露信息调查取证完成前,由技术保障小组对现场进行不间断保护;
4.4.1.2 二级响应
1)日常运行小组指挥;
2)技术保障小组防收集审计记录、维持现场状况,禁止无关人员进出,减少对现场的破坏;
3)数据泄露应急小组协助公安机关取证;
4)技术保障小组尽快设方案,减少数据泄露带来的影响;
5)泄露信息调查取证完成前,由技术保障小组对现场进行不间断保护;
4.4.1.3 三级响应
1)图书馆(信息中心)对整体泄露事件进行评估;
2)图书馆(信息中心)收集审计记录、维持现场状况,禁止无关人员进出,减少对现场的破坏;
3)图书馆(信息中心)查找泄密途径和人员;
4)泄露信息调查取证完成前,由图书馆(信息中心)对现场进行不间断保护;
4.4.2恢复顺序
系统恢复时首先确保数据的完整性和安全性。
当恢复复杂系统时,恢复进程应按照《业务系统重要度排序表》的优先顺序进行恢复。以避免对相关系统及业务产生重大影响。
4.5后期处置
具体处置措施按照综合预案的后期处置进行。
图书馆(信息中心)
二〇一九年六月
附件
附件一
关于成立学院网络安全和信息化领导小组的通知
各系、各部门:
为进一步加强学院网络安全工作,预防和减少网络安全事件给学院造成的损失和危害,根据《网络安全法》《2019 年教育信息化和网络安全工作要点》等相关法律法规,及省教育厅《关于开展网络安全隐患专项排查整改工作的通知》、泰安市网络与信息安全信息通报中心《关于进一步加强重大活动期间网络安全保护工作的通知》等上级有关文件精神和学院安全专项工作要求,全面统筹学院网络安全和信息化工作,提升网络安全保障能力,经研究,决定成立山东服装职业学院网络安全和信息化领导小组。现将领导小组组成人员及工作分工通知如下:
一、人员组成
组 长:闫恂秋 戴 磊
副 组 长:侯长城 王建洪 刘光珍 刘贞锋
成 员:董少宏 张鲁玉 董贻顺 殷广胜 辛成富
王建平 王 强 李金强 尚 丽 侯家华
孙雪梅 宋民华 刘范生 侯华东 潘恒清
王凌云 胡作林 李 伟 赵异民
领导小组下设办公室,办公室设在信息中心,胡作林兼任办公室主任,负责做好网络安全和信息化工作的日常组织、指导、协调、督促、检查等工作。
二、主要职责
网络安全和信息化领导小组是学院网络安全与信息化工作的领导机构,负责领导、统筹、决策学院在网络安全和信息化领域的重大工作事项,督查网络安全和信息化发展规划与项目实施,研究制定网络安全和信息化管理相关制度及相应标准,制定网络安全事件和舆情热点的应对策略、突发事件预案,增强网络安全保障能力,提升信息化的服务水平。
三、工作分工
1.信息中心负责全院网络安全和信息化工作的总体规划、建设、运行,负责制定信息化建设管理规范,并为网络安全提供技术保障。
2.党委(院长)办公室负责各部门工作信息沟通,统筹管理保密相关工作。
3.宣传处负责校园网络文化机制建设、阵地建设、内容建设、队伍建设,网络宣传和舆论引导,网络信息安全管理和网络舆情管控。
4.教务处负责教学管理中的网络安全与信息化发展工作。
5.学工处(团委)负责学生网络文明和网络安全的教育与管理,学生事务管理中的信息化发展工作。
6.保卫处负责网络与信息安全相关的保卫与消防工作,做好与公安机关的沟通、联络工作。
7.各系、其它部门根据本单位职责,做好网络安全与信息化发展相关工作。
中共山东服装职业学院委员会
2019年6月5日
附件二应急物资清单
应急物资清单
| ||||
序号 | 物品名称 | 存放位置 | 负责人 | 备注 |
1. | 灭火器 | 中心机房 |
|
|
2. | 消防栓 | 中心机房 |
|
|
3. | 交换机 | 中心机房 |
|
|
4. | 服务器 | 中心机房 |
|
|
5. | 消防毯 | 中心机房 |
|
|
6. |
|
|
|
|
7. |
|
|
|
|
8. |
|
|
|
|
9. |
|
|
|
|
10. |
|
|
|
|
11. |
|
|
|
|
12. |
|
|
|
|
13. |
|
|
|
|
14. |
|
|
|
|
15. |
|
|
|
|
16. |
|
|
|
|
17. |
|
|
|
|
18. |
|
|
|
|
附件三应急事件处理报告单
应急事件处理报告单 | |
应急事件类型: | |
发生事件的时间: 年 月 日 时 分 | |
发现事件的时间: 年 月 日 时 分 | |
事件发现人: | 事件发现地点: |
报告编制人: | 联系电话: |
事件发现过程描述:
事件处理过程描述:
| |
启动的应急响应级别: □一级 □二级 □三级 □四级 | |
事件原因:
| |
受影响的资产: □信息/数据 □硬件 □软件 □通信设施 □文档 | |
影响范围和严重程度:
| |
已经采取的措施:
| |
计划采取的措施:
| |
日常运行小组意见:
| |
专家意见:
| |
分管副院长意见:
| |
附件四业务系统重要度排序表
序号 | 业务系统名称 | 影响部门 | 重要程度 (关键、重要、一般) | 故障处理顺序 |
1 |
| 全校 | 关键 | 1 |
2 |
| 全校 | 关键 | 2 |
3 |
| 全校 | 关键 | 3 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
说明:1、故障处理顺序用阿拉伯数字表示,数值越小表示故障恢复时优先级越高。