随着学校信息化建设的不断深入,加强信息与网络安全突发事件应急处理能力建设是我校目前面临的一项重要任务。从目前我校实际情况看,问题最突出,影响大涉及面广的是校园网网络中断、数据库出错、主页出错、信息系统无法正常运行等方面,如何在突发事件发生后迅速恢复业务和工作数据,已经成为反映学校信息化建设的应变能力,能否保障用户利益的一项重要考察指标。在我校,随着信息化建设的推进,各个部门所建的信息系统都已经从单一的“各自为政”,逐步开始整合成了一个有机的整体。某些系统或设备的故障往往能够导致全局的信息网络瘫痪。另外由于计算机病毒爆发、设备硬件故障等不可控因素对学校的信息网络环境也时刻构成威胁。当一切的预防措施和技术手段都未能阻止突发事件的发生时,我们也无可避免地需要面对事件的发生,在保障人身安全的前提条件下,必须尽一切可能快速恢复运行环境和数据。
一、信息与网络安全突发事件分类
根据信息与网络安全突发事件的发生过程、性质和机理,我们对信息与网络安全突发事件进行分类,主要分为以下三类:
1.自然灾害:指地震、台风、火灾、洪水等引起的网络与信息系统的损坏。
2.事故灾难:指电力中断、网络损坏、软件、硬件设备故障等引起的网络与信息系统的 损坏。
3.人为破坏:指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统的损坏。
1.自然灾害:指地震、台风、火灾、洪水等引起的网络与信息系统的损坏。
2.事故灾难:指电力中断、网络损坏、软件、硬件设备故障等引起的网络与信息系统的 损坏。
3.人为破坏:指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统的损坏。
二、信息与网络安全突发事件分级
根据我校信息与网络安全突发事件的可控性、严重程度和影响范围,结合我校的实际情况,我们将它分为四级:Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般)。
1.Ⅰ级(特别重大)。重要网络与信息系统发生全校性大规模瘫痪,事态发展超出学校信息化工作办公室的控制能力,对学校安全、学校秩序和学校公共利益造成特别严重损害的突发事件。
2.Ⅱ级(重大)。重要网络与信息系统造成全校性瘫痪,对学校安全、学校秩序和学校公共利益造成严重损害,需要跨部门协同处置的突发事件。
3.Ⅲ级(较大)。某一区域的重要网络与信息系统瘫痪,对学校安全、学校秩序和学校公共利益造成一定损害,但不需要跨部门协同处置的突发事件。
4.Ⅳ级(一般)。重要网络与信息系统受到一定程度的损坏,对学校师生员工和一些部门的权益有一定影响,但不危害学校安全、学校秩序、学校公共利益的突发事件。
1.Ⅰ级(特别重大)。重要网络与信息系统发生全校性大规模瘫痪,事态发展超出学校信息化工作办公室的控制能力,对学校安全、学校秩序和学校公共利益造成特别严重损害的突发事件。
2.Ⅱ级(重大)。重要网络与信息系统造成全校性瘫痪,对学校安全、学校秩序和学校公共利益造成严重损害,需要跨部门协同处置的突发事件。
3.Ⅲ级(较大)。某一区域的重要网络与信息系统瘫痪,对学校安全、学校秩序和学校公共利益造成一定损害,但不需要跨部门协同处置的突发事件。
4.Ⅳ级(一般)。重要网络与信息系统受到一定程度的损坏,对学校师生员工和一些部门的权益有一定影响,但不危害学校安全、学校秩序、学校公共利益的突发事件。
三、信息与网络安全事件应急处理机构及职责
设立信息与网络安全突发事件应急小组,负责信息网络安全事件的组织指挥和应急处置
设立信息与网络安全突发事件应急小组,负责信息网络安全事件的组织指挥和应急处置
工作。总指挥由学院领导担任,副总指挥由分管领导担任,指挥部成员由信息办、宣传部、
各学院办公室、学工办、研究生部、保卫处等部门人员组成。指挥部下设办公室,信息办、
宣传部、各学院办公室、学工办、研究生部、保卫处等有关人员具体承办有关工作组织协调、
调查取证、应急处理和对外信息发布等工作。
四、信息与网络安全突发事件处理原则
1.预防为主。立足安全防护,加强预警,重点保护基础信息网络和关系学校安全、学校
1.预防为主。立足安全防护,加强预警,重点保护基础信息网络和关系学校安全、学校
稳定的重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,在管理、技
术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑全校信息与网络安全保
障体系。
2.快速反应。在信息与网络安全突发事件发生时,按照快速反应机制,及时获取充分而
2.快速反应。在信息与网络安全突发事件发生时,按照快速反应机制,及时获取充分而
准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。
3.分级负责。按照“谁主管,谁负责”的原则,建立和完善安全责任制及联动工作机制。
3.分级负责。按照“谁主管,谁负责”的原则,建立和完善安全责任制及联动工作机制。
根据部门职能,各司其职,加强学校各部门间的协调与配合,形成合力,共同履行应急处置
工作的管理职责。
4.以人为本。把保障公共利益以及全校师生员工地的合法权益的安全作为首要任务,及
4.以人为本。把保障公共利益以及全校师生员工地的合法权益的安全作为首要任务,及
时采取措施,最大限度地避免学校和师生员工所遭受的损失。
5.常备不懈。加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保
5.常备不懈。加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保
应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。
五、信息与网络安全突发事件的报告与处置
1.对于Ⅰ级(特别重大)事件,须直接向学校校长报告;对于Ⅱ级(重大)须直接向主管信息与网络安全校长报告;对于Ⅲ级(较大)事件,须向校长办公室主任报告;对于Ⅳ级(一般)事件须向信息化工作办公室领导报告。
2. 事件发生并得到确认后,有关人员应立即将情况报告学校有关领导,由领导决定是否启动该预案,一旦启动该预案,有关人员应及时到位。
3.信息办相关工作人员进入应急处置工作状态,对相关事件进行跟踪,密切关注事件动向,协助调查取证,进行现场保护,系统恢复等工作。
4. 宣传部负责事件的宣传和报道等工作,并承担国内其他重要新闻网站工作联系,防止事态通过网络向外蔓延。
5.对发现的网内病毒源通过关闭端口等措施及时进行隔离,并通知有病毒的计算机负责人进行处理。对于外网进入的网络病毒应在边界路由器上做针对性地访问控制。对发现的攻击事件应及时进行处理。
6.信息办负责在事件发生后 24 小时内写出突发事件的书面报告报指挥部。报告应包括以下内容:事件发生时间、地点、事件内容、事件发生原因、事件处理情况及采取的措施、事故报告部门、报告时间等。
6.信息办负责在事件发生后 24 小时内写出突发事件的书面报告报指挥部。报告应包括以下内容:事件发生时间、地点、事件内容、事件发生原因、事件处理情况及采取的措施、事故报告部门、报告时间等。
六、突发事件应急处置具体措施
1. 网站、网页出现异常的紧急处置措施。
(1)各网站、网页由各部门的管理员随时密切监视信息内容。每天早、中、晚三次不少于一小时。
(2)发现网上出现异常或非法信息时,负责人员应立即向信息办领导通报情况;情况紧急的应先及时采取删除非法信息等处理措施,再按程序报告。
(3)信息办具体负责的技术人员应在接到通知后立即赶到现场,作好必要的记录,清理非法信息,强化安全防范措施,并将网站网页重新投入使用。
(4)网站管理员应妥善保存有关记录及日志或审计记录。
(5)网站管理员应立即追查非法信息来源。
(6)情况严重的,根据突发事件级别应及时向有关上级部门汇报。
2. 黑客攻击时的紧急处置措施
(1)当有关网站管理员发现网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向信息办通报情况。
(2)信息办工作人员应立即将被攻击的服务器等设备从网络中隔离出来,保护现场,同时向信息办领导汇报情况。
(3)凡加入学校CMS系统建站的部门,信息办有关技术员负责被破坏系统的恢复与重建工作。
(4)信息办网络技术员协同有关部门共同追查非法信息来源。
(5)情况严重的,根据突发事件级别应及时向有关上级部门汇报。3. 病毒安全紧急处置措施
(1)当发现计算机感染有病毒后,应立即将该机从网络上隔离出来。
(1)当发现计算机感染有病毒后,应立即将该机从网络上隔离出来。
(2)对该设备的硬盘进行数据备份。
(3)启用反病毒软件对该机进行杀毒处理,同时进行病毒检测软件对其他机器进行病毒扫描和清除工作。
(4)如发现反病毒软件无法清除该病毒,应立即向信息办负责人报告。
(5)经信息办技术人员确认确实无法查杀该病毒后,应作好相关记录,并迅速联系有关产品商研究解决。
(6)信息办经会商后,认为情况极为严重,根据突发事件级别应及时向有关上级部门汇报。
4. 软件系统遭受破坏性攻击的紧急处置措施
(1)重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日备份,并将它们保存于安全处。
(2)一旦软件遭到破坏性攻击,应立即向信息办工作人员报告,并将系统停止运行。
(3)信息办技术员尽快负责负责软件系统和数据的恢复。
(4)信息办技术员检查日志等资料,确认攻击来源。
(5)情况极为严重的,根据突发事件级别应及时向有关上级部门汇报。
5. 数据库安全紧急处置措施
(1)各数据库系统要至少准备两个以上数据库备份。
(1)各数据库系统要至少准备两个以上数据库备份。
(2)一旦发现数据库崩溃,应立即向信息办技术员报告。
(3)信息办技术员应对主机系统进行维修,如遇无法解决的问题,立即向软硬件提供商请求支援。
(4)系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。
(5)如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库备份加以恢复。
(6)如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
6. 广域网外部线路中断紧急处置措施
(1)广域网主、备用线路中断一条后,网路管理员应立即启动备用线路接续工作,同时向信息办领导报告。
(2)网络管理员接到报告后,应迅速判断故障节点,查明故障原因。
(3)如属我方管辖范围,由网络管理员立即予以恢复。如遇无法恢复情况,立即向有关厂商请求支援。
(4)如属电信部门管辖范围,立即与电信维护部门联系,请求修复。
(5)如果主、备用线路同时中断,网络管理员应在判断故障节点,查明故障原因后,尽快研究恢复措施,根据突发事件级别应及时向有关上级部门汇报。。
(6)经信息办领导同意后,应通告各下属单位相关原因。
7. 局域网中断紧急处置措施
(1)局域网中断后,网络管理员应立即判断故障节点,查明故障原因,并向信息办领导汇报。
(2)如属线路故障,应重新安装线路。
(3)如属路由器、交换机等网络设备故障,应立即与设备提供商联系更换设备,并调试畅通。
(4)如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试畅通。如遇无法解决的技术问题,立即向有关厂商请求支援。
(5)情况严重的,根据突发事件级别应及时向有关上级部门汇报。。
8. 设备安全紧急处置措施
(1)小型机、服务器等关键设备损坏后,有关管理人员应立即向信息办领导汇报。
(2)信息办技术员应立即查明原因。
(3)如果能够自行恢复,应立即用备件替换受损部件。
(4)如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。
(5)如果设备一时不能修复,应向安全领导小组领导汇报,并告知各下属单位,暂缓上传上报数据。
9. 人员疏散与机房灭火预案
(1)一旦机房发生火灾,应遵照下列原则:首先保人员安全;其次保关键设备、数据安全;三是保一般设备安全。
(2)人员疏散的程序是:机房工作人员立即按响火警警报,并通过119电话向公安消防请求支援,所有人员戴上防毒面具,所有不参与灭火的人员按照预先确定的线路,迅速从机房中撤出。
(3)人员灭火的程序是:首先切断所有电源,启动自动喷淋系统,灭火值班人员戴好防毒面具,从指定位置取出泡沫灭火器进行灭火。
10. 外电中断后的设备
(1)外电中断后,机房管理员应立即切换到备用电源。
(2)机房管理员员应立即查明原因,并向领导汇报。
(3)如因学校内部线路故障,请学校有关服务部门迅速恢复。
(4)如果是供电局的原因,应立即与供电局联系,请供电局迅速恢复供电。
(5)如果由供电局告知需停电的,预计停电45分钟以内,由UPS供电。时间长的,应向有关上级部门汇报。
11. 发生自然灾害后的紧急处置措施
(1)一旦发生自然灾害,导致设备损坏,由灾害发生单位向信息办请求支援。
(2)信息办接到有关部门的支援请求后,应在24小时内派遣人员携带有关设备赶到现场。
(3)到达现场后,寻找安全可靠的地点,重新构建新的系统和网络,并将相关数据予以恢复。
(4)经测试符合要求后,信息办人员才能撤离。
12. 关键人员不在岗的紧急处置措施
(1)对于关键岗位平时应做好人员储备,确保一项工作有两人能操作。
(2)一旦发生关键人员不在岗的情况,由备用人员上岗操作,并向领导汇报情况。
突发事件应急处理包含多个知识领域,具有一定的技巧性和艺术性。在实际的应急事故处理过程中应注重创新及实效,切实加强我校信息与网络安全突发事件应急处理机制建设。通过建立信息与网络安全突发事件的应急处理机制,提高处置信息与网络安全突事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻信息与网络安全突发事件的危害,保障学校安全,保护学校的公共利益,维护正常的学校秩序。
时间:Apr 17, 2012 9:47:00 AM
录入者:张文湃