一、总则
1.1编制目的
落实教育厅制定的《湖北省教育系统网络安全事件应急预案》要求,健全完善学院网络安全事件应急工作机制,规范网络安全事件工作流程,提高网络安全应急处置能力,预防和减少网络安全事件造成的损失和危害,维护学院安全稳定。
1.2 编制依据
《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》等法律法规、《信息安全技术信息安全事件分类分级指南>(GB/Z 20986-2007)、《湖北省教育系统网络安全事件应急预案》、《省教育厅省公安厅关于加强全省教育行业网络与信息安全工作的指导意见》等文件。
1.3 适用范围
本预案适用于我院各职能部门及附属单位。按照《湖北省教育系统网络安全事件应急预案》规定,本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他事件。信息内容安全事件的应对,参照有关规定和办法。
1.4事件分级
参照《湖北省教育系统网络安全事件应急预案》事件分级规定,结合我院实际,将网络安全事件划分为四个等级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
(1)符合下列情形之一的,为特别重大网络安全事件(I级):
1.关键信息基础设施或统一运行的核心业务信息系统(网站)遭受特别严重损失,造成系统大面积瘫痪,丧失业务处理能力。
2.网络病毒在全院大面积爆发。
3.关键信息基础设施或统一运行的核心业务信息系统(网站)的重要敏感信息或关键数据发生丢失或被窃取、篡改、假冒。
4.其他对学院安全稳定和正常秩序构成特别严重威胁,造成特别严重影响的网络安全事件。
(2)符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件(Ⅱ级):
1.www.szvtc.cn域名的权威解析效率大幅下降。
2.关键信息基础设施或核心业务信息系统(网站)遭受严重系统损失,造成系统瘫痪,业务处理能力受到重大影响。
3.网络病毒在全院范围内大面积爆发。
4.核心业务信息系统(网站)的重要敏感信息或关键数据发生丢失或被窃取、篡改、假冒。
5.其他对学院安全稳定和正常秩序构成严重威胁,造成严重影响的网络安全事件。
(3)符合下列情形之一且未达到重大网络安全事件的为较大网络安全事件(Ⅲ级):
1.重要业务信息系统(网站)遭爱较大系统损失,明显影响系统效率,业务处理能力受到影响。
2.网络病毒在全院范围内广泛传播。
3.重要业务信息系统(网站)的信息或数据发生丢失或被窃取、篡改、假冒。
4.其他对学院安全稳定和正常秩序构成较大威胁,造成较大影响的网络安全事件。
(4)一般网络安全事件(Ⅳ级):
除上述情形外,对学院安全稳定和正常秩序构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
1.5 工作原则
(1)统一指挥、密切协同。学院网络安全和信息化建设领导小组(以下简称学院网信领导小组)统筹协调全院网络安全应急指挥工作,建立与省教育厅、市网络安全职能部门、专业机构等多方参与的协调联动机制,加强预防、监测、报告和应急处置等环节的紧密衔接,做到快速响应,正确应对,果断处置。
(2)分级管理、强化责任。按照“谁主管谁负责、谁运维谁负责”的原则,学院党委、各党总支(直属支部)对学院、所辖本部门网络安全工作负主体责任。领导班子主要负责人是网络安全工作第一责任人。
(3)预防为主、平战结合。坚持事件处置和预防工作相结合,做好事件预防、预判、预警工作,加强应急支撑保障能力和安全态势感知能力建设。提高网络安全事件快速响应和科学处置能力,抓早抓小,争取早发现、早报告、早控制、早解决,严控网络安全事件风险和影响范围。
二、组织机构与职责
2.1领导机构与职责
学院网信领导小组统筹协调学院全局性网络安全事件应急工作,指导各部门网络安全事件应急处置;发生特别重大网络安全事件时,成立学院网络安全事件应急工作组(以下简称工作组),负责组织指挥和协调事件处置,并根据实际情况吸纳专业机构等参加应对工作。
2.2 办事机构与职责
在学院网信领导小组领导下,学院网络安全与信息中心(以下简称学院网信中心)负责网络安全应急管理的统筹协调工作,对接省教育厅网络安全应急办公室和市网络安全职能部门,向学院网信领导小组报告网络安全事件情况,提出特别重大网络安全事件应对措施建议,统筹组织网络安全监测工作,指导网络安全支撑单位做好应急处置的技术支撑工作。
三、监测与预警
3.1预警分级
建立学院网络安全事件预警制度。按照紧急程度、发展态势和可能造成的危害程度,学院网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。
3.2 安全监测
3.2.1事件监测
学院网信中心对学院网络和信息系统(网站)的运行状况进行密切监测,一旦发生网络安全事件,应当立即通过电话等方式向省教育厅网安办报告,不得迟报、谎报、瞒报、漏报。
3.2.2威胁监测
接受省教育厅网安办对学院网络安全威胁进行的监测,加强对学院网络和信息系统(网站)的网络安全威胁监测,对发生的威胁及时进行处置和上报。
3.3 预警研判和发布
学院对监测信息进行研判,对发生网络安全事件的可能性及其可能造成的影响进行分析评估,认为需要立即采取防范措施的及时通知相关部门; 认为可能发生重大以上(含重大)网络安全事件的信息,应立即向省教育厅网安办报告。
学院根据监测研判情况,发布橙色以下(含橙色)预警。对达不到预警级别但又需要发布警示信息的,可发布风险提示信息。
预警信息包括预警级别、起始时间、可能影响范围、警示事项、应采取的措施、时限要求和发布部门等。
3.4预警响应
3.4.1红色预警响应
(1)学院网信中心组织预警响应工作,联系有关部门、专业机构和专家,组织对事态发展情况进行跟踪研判,研究制定防范措施和应急工作方案,协调调度各方资源,做好各项准备,重要情况报省教育厅网安办。
(2)组织跟踪和分析研判,密切关注事态发展,做好监测分析和信息搜集工作; 开展应急处置或准备、风险评估;密切关注舆情动态,加强教育引导,采取有效措施管控风险。
(3)实行24小时值守,相关人员保持通信联络畅通。
(4)学院网信中心做好与专业机构沟通协调的准备工作;安全技术支撑部门进入待命状态,研究制定应对方案,检查设备、软件工具等,确保处于良好状态。
3.4.2橙色预警响应
(1)学院网信中心启动相应应急预案,组织开展预警响应工作,做好风险评估、应急准备和风险控制工作。
(2)学院及时将事态发展情况报厅网安办。
(3)相关应急技术支撑队伍保持联络畅通,检查应急设备、软件工具等,确保处于良好状态。
3.4.3黄色、蓝色预警响应
学院根据预案,及时做好应急处置与预警响应工作。
3.5 预警解除
学院网信中心根据实际情况,确定是否解除预警,及时发布预警解除信息。
四、应急处置
4.1初步处置
网络安全事件发生后,学院应立即启动应急预案,立即组织应急队伍和工作人员根据不同的时间类型和事件原因,采取科学有效的应急处置措施,尽最大努力将影响降到最低,并注意保存网络攻击、网络入侵或网络病毒等证据。经分析研判,初判为特别重大、重大网络安全事件的,应立即报告省教育厅网安办;对于人为破坏活动,应同时报市网信部门和公安机关。
4.2应急响应
网络安全事件应急响应分为Ⅰ级,Ⅱ级,Ⅲ级,Ⅳ级等四级,分别对应教育系统特别重大、重大、较大和一般网络安全事件。
4.2.1Ⅰ级响应
发生特别重大网络安全事件由学院网信中心向学院网信领导小组提出启动Ⅰ级响应的建议,经批准后,成立工作组。
(1)启动指挥体系
1工作组进入应急状态,履行应急处置工作统一领导、指挥、协调的职责。工作组成员保持24小时联络畅通,学院网信中心24小时值守。
2相关部门进入应急状态,在工作组的统一领导、指挥、协调下,组织人员开展应急处置和支援保障工作,启动24小时值守,并派员参加学院网信中心工作。
(2)掌握事件动态
1跟踪事态发展。学院与省教育厅网安办保持联系,及时《填写教育系统网络安全事件情况报告》,将事态发展变化情况和处置进展情况上报省教育厅网安办。
2检查影响范围。学院立即全面了解网络和信息系统(网站)是否受到事件的波及和影响,并将有关情况及时报省教育厅网安办。
(3)决策部署
工作组组织有关单位、专家组、应急技术支撑队伍等方面及时研究对策意见,对处置工作进行决策部署。
(4)处置实施
1控制事态防止蔓延。采取各种技术措施、管控手段,最大限度阻止和控制事态蔓延。
2消除隐患恢复系统。根据事件发生原因,针对性制定解决方案,备份数据、保护设备、排查隐患。对业务连续性要求高的受破坏网络与信息系统(网站)要及时组织恢复。
3调查取证。学院在保留相关证据的基础上,开展问题定位和朔源追踪工作,积极配合市网信部门和公安机关开展调查取证工作。
4协调支持。处置中需要技术及工作支持的,根据实际,报请省教育厅网安办、市网络安全职能部门予以支持。
5次生事件处置。对于引发或可能引发其他安全事件的,学院网信中心应及时按程序上报,配合相关部门作好应急处置。
4.2.2 Ⅱ级响应
网络安全事件的Ⅱ级响应,由学院确定并发布。
(1)响应发布单位进入应急状态,按照相关应急预案做好应急处置工作。
(2)学院填写《教育系统网络安全事件情况报告》上报省教育厅网安办。
(3)接受省教育厅网安办指导与技术支持,做好事件应急处置。
(4)学院结合自身实际,有针对性地加强防范,防止造成更大范围影响和损失。
4.2. 3 Ⅲ级和Ⅳ级响应
学院按照相关预案进行应急响应。
4.3应急结束
4.3.1 Ⅰ级响应结束
根据省教育厅网安办的通报,结束响应。
4.3. 2 Ⅱ级响应结束
根据省教育厅网安办的通报,或学院根据实际决定Ⅱ级响应的结束。由学院决定的响应结束,同时向省教育厅网安办报告。
4.3.3 Ⅲ级和Ⅳ级响应结束
学院完成应急处置后,自行解除Ⅲ级和Ⅳ级响应状态。
五、调查与评估
特别重大网络安全事件,学院接受省教育厅网安办组织的调查处理和总结评估工作;重大网络安全事件由省教育厅网安办、学院组织开展调查处理和总结评估工作,学院将调查评估结果汇总上报省教育厅网安办;较大和一般网络安全事件,由学院自行组织开展调查处理和总结评估工作。网络安全事件总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。网络安全事件的调查处理和总结评估工作应在应急响应结束后五天内完成。
六、预防工作
6.1 日常管理
学院及各部门应做好网络安全事件日常预防工作,根据本预案,制定完善相关的专项应急预案和配套的管理制度,建立完善的应急管理体制。按照网络安全等级保护、关键信息基础设施防护等相关要求,落实各项防护措施,做好网络安全检查、风险评估和容灾备份,加强信息系统(网站)的安全保障能力。
6.2 监测预警和通报
学院应加强网络安全监测预警和通报,及时发现并处置安全威胁,全面掌握本地区,本单位信息系统(网站)情况。建立网络安全监测预警和通报机制,并指导监督有关部门及时修复安全威胁,全面排查安全隐患,提高发现和应对网络安全事件的能力。
6.3应急演练
在省教育厅网安办的指导下,学院针对特别重大网络安全事件,每年至少组织一次应急演练,检验和完善预案,提高实战能力,每年年底前将本年度演练情况报省教育厅网安办。
6.4 宣传教育
学院将网络安全教育作为国家安全教育的重要内容,加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传教育,同时充分利用网络安全周等各种活动形式和传播媒介,开展网络安全基本知识和技能的宣传活动,提高在校师生的网络安全意识。
6.5工作培训
学院定期组织网络安全培训,将网络安全事件的应急知识列为领导干部和有关人员的培训内容,加强网络安全特别是网络安全事件应急预案的学习,提高网络安全管理和技术人员的防范意识及安全技能。
七、工作保障
7.1 机构和人员
学院要落实网络安全应急工作责任制,明确网络安全职能部门,并将网络安全应急工作作为重点工作予以部署,按照“谁主管,谁负责”的原则,把网络安全应急工作责任落实到具体部门、具体岗位和个人,建立健全应急工作机制。
7.2 技术支持
学院要确立网络安全技术支撑部门,加强网络安全应急技术支撑队伍建设和网络安全物资保障,做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。
7.3 专家队伍
学院建立网络安全专家咨询队伍,接受省教育厅教育系统网络安全专家组指导,完善专家研判分析与支撑保障机制,为网络安全事件的预防和处置提供技术咨询和决策建议,提高应急保障能力。
7.4 基础平台
学院应加强监测通报和应急管理信息化平台建设,并与省教育厅网络安全工作管理平台实现数据双向共享,融入全省教育系统网络安全态势感知体系,做到早发现、早预警、早响应,提高应急处置能力。
7.5 信息共享与应急合作
学院要加强与网络安全职能部门、网络安全专业机构和行业学会等单位的合作,建立网络安全威胁的信息共享机制和网络安全事件的快速发现和协同处置机制。
7.6 经费保障
学院要为网络安全应急工作提供必要的经费保障,利用现有政策和资金渠道,支持网络安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、监测通报、宣传教育培训、预案演练、物资保障等工作开展。
7.7 责任与奖惩
学院对网络安全事件应急管理工作中作出突出贡献的先进集体和个人给予表彰和奖励;对不按照规定制定预案和组织开展演练,迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职、渎职行为的,依照相关规定对有关责任人给予处分;构成犯罪的,依法追究刑事责任。
八、附则
8.1 预案管理
学院根据《湖北省教育系统网络安全事件应急预案》制定本预案,并依据实际情况适时进行修订,并报省教育厅网安办备案。
8.2 预案解释
本预案由学院网信中心负责解释。
8.3 预案实施时间
本预案自印发之日起实施。
2019年5月8日
