為加強(qiáng)我校信息技術(shù)安全工作,及時(shí)掌握和處置信息技術(shù)安全事件,協(xié)調(diào)相關(guān)力量做好應(yīng)急響應(yīng)處理,降低安全事件帶來(lái)的損失與影響,維護(hù)正常工作秩序和營(yíng)造健康的網(wǎng)絡(luò)環(huán)境,根據(jù)《河南省教育廳關(guān)于印發(fā)信息技術(shù)安全事件報(bào)告與處置流程的通知》(教科技【2017】438號(hào))《教育部進(jìn)一步加強(qiáng)直屬高校直屬單位信息技術(shù)安全工作的通知》(教技〔2015〕1號(hào))、教育部《信息技術(shù)安全事件報(bào)告與處置流程》(教技廳函〔2014〕75號(hào))以及學(xué)校實(shí)際,制定本流程。
第一章 總則
第一條 信息技術(shù)安全事件的定義。根據(jù)《信息安全事件分類分級(jí)指南》(GB/T20986-2007,以下簡(jiǎn)稱《指南》,摘錄部分見(jiàn)附件1),本流程中所稱的信息技術(shù)安全事件(以下簡(jiǎn)稱安全事件)是指除信息內(nèi)容安全事件以外的有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、設(shè)備設(shè)施故障、災(zāi)害事件和其他信息安全事件,詳見(jiàn)附件1。
第二條 適用范圍。本流程適用于我校各單位發(fā)生的信息技術(shù)安全事件的報(bào)告與處置工作。涉及信息內(nèi)容安全事件的報(bào)告與處置工作按其相關(guān)規(guī)定執(zhí)行。
第二章 安全事件等級(jí)劃分與判定
第三條 安全事件等級(jí)劃分。根據(jù)《指南》,將安全事件劃分為四個(gè)等級(jí):特別重大事件(I級(jí))、重大事件(Ⅱ級(jí))、較大事件(Ⅲ級(jí))和一般事件(Ⅳ級(jí)),詳見(jiàn)附件1。
第四條 安全事件判定。我校各單位一旦發(fā)生安全事件,應(yīng)根據(jù)《指南》,視信息系統(tǒng)重要程度、損失情況以及對(duì)工作和社會(huì)造成的影響迅速自主判定安全事件等級(jí)。現(xiàn)代教育信息中心在接到報(bào)告后,根據(jù)事件情況,進(jìn)一步做出判定。必要時(shí),現(xiàn)代教育信息中心組織專家組進(jìn)行判定或報(bào)告學(xué)校網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組判定。
第三章 安全事件的報(bào)告與處置
第五條 I至Ⅲ級(jí)信息安全事件的報(bào)告與處置。報(bào)告與處置分為三個(gè)步驟:事發(fā)緊急報(bào)告與處置、事中情況報(bào)告與處置和事后整改報(bào)告與處置。
一、事發(fā)緊急報(bào)告與處置
1、網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)維操作人員一旦發(fā)現(xiàn)上述安全事件,應(yīng)根據(jù)實(shí)際情況第一時(shí)間采取斷網(wǎng)等有效措施進(jìn)行處置,將損害和影響降到最小范圍,保留現(xiàn)場(chǎng),并報(bào)告本單位安全責(zé)任人和主要負(fù)責(zé)人。
2、本單位安全責(zé)任人接到報(bào)告后,應(yīng)立即組織相關(guān)人員趕赴現(xiàn)場(chǎng)進(jìn)行緊急處置,同時(shí)以口頭通訊的方式將相關(guān)情況通報(bào)至現(xiàn)代教育信息中心,并書面記錄安全事件發(fā)現(xiàn)過(guò)程及口頭匯報(bào)過(guò)程。涉及人為主觀破壞事件應(yīng)同時(shí)報(bào)告學(xué)校保衛(wèi)科。
3、現(xiàn)代教育信息中心接到報(bào)告后,應(yīng)做好書面記錄,并進(jìn)一步判定安全事件等級(jí),對(duì)確認(rèn)屬I至Ⅲ級(jí)安全事件的,應(yīng)報(bào)告學(xué)校網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組。
4、緊急報(bào)告內(nèi)容包括:時(shí)間地點(diǎn)、簡(jiǎn)要經(jīng)過(guò)、事件類型與分級(jí)、影響范圍、危害程度、初步原因分析、已采取的應(yīng)急措施。
5、對(duì)確認(rèn)屬I至Ⅲ級(jí)安全事件的, 現(xiàn)代教育信息中心應(yīng)立即組織相關(guān)技術(shù)力量趕赴現(xiàn)場(chǎng)進(jìn)行協(xié)助處置工作。涉及人為主觀破壞事件的,學(xué)校保衛(wèi)科應(yīng)組織人員赴現(xiàn)場(chǎng)協(xié)助處置,并協(xié)助公安機(jī)關(guān)做好相關(guān)取證和處置工作。
6、各單位應(yīng)及時(shí)跟進(jìn)事件發(fā)展情況,出現(xiàn)新的重大情況應(yīng)及時(shí)補(bǔ)報(bào)。
二、事中情況報(bào)告與處置
1、事中情況報(bào)告應(yīng)在安全事件發(fā)現(xiàn)后5小時(shí)內(nèi)以書面報(bào)告的形式進(jìn)行報(bào)送,報(bào)送內(nèi)容和格式見(jiàn)附件2。
2、事中情況報(bào)告由單位安全負(fù)責(zé)人組織編寫,由本單位主要負(fù)責(zé)人審核后,簽字并加蓋公章報(bào)送現(xiàn)代教育信息中心。涉及人為主觀破壞事件的,事中情況報(bào)告應(yīng)抄送給保衛(wèi)科。
3、安全事件的事中處置包括:及時(shí)掌握損失情況、查找和分析事件原因、修復(fù)系統(tǒng)漏洞、恢復(fù)系統(tǒng)服務(wù)、盡可能減少安全事件對(duì)正常工作帶來(lái)的影響。如果涉及人為主觀破壞的安全事件應(yīng)由保衛(wèi)科聯(lián)系,配合公安部門開(kāi)展調(diào)查。
三、事后整改報(bào)告與處置
1、事后整改報(bào)告應(yīng)在安全事件處置完畢后4個(gè)工作日內(nèi)以書面報(bào)告的形式進(jìn)行報(bào)送,報(bào)送內(nèi)容和格式見(jiàn)附件3。
2、事后情況報(bào)告由單位安全負(fù)責(zé)人組織編寫,由本單位主要負(fù)責(zé)人審核后,簽字并加蓋公章報(bào)送現(xiàn)代教育信息中心。
3、安全事件事后處置包括:進(jìn)一步總結(jié)事件教訓(xùn)、研判安全現(xiàn)狀、排查安全隱患、進(jìn)一步加強(qiáng)制度建設(shè)、提升安全防護(hù)能力。如涉及人為主觀破壞的安全事件應(yīng)繼續(xù)配合公安部門和學(xué)校保衛(wèi)科開(kāi)展調(diào)查。
第六條 一般安全事件(Ⅳ級(jí))報(bào)告與處置。各單位發(fā)生一般安全事件,應(yīng)及時(shí)、自主組織應(yīng)急處置工作;需要現(xiàn)代教育信息中心協(xié)助的,聯(lián)系現(xiàn)代教育信息中心予以協(xié)助。在事件處置完畢后6天內(nèi)向現(xiàn)代教育信息中心報(bào)送整改報(bào)告,報(bào)告內(nèi)容和格式見(jiàn)附件3。
第七條 預(yù)警類信息的報(bào)告與處置。各單位要按時(shí)、按要求完成國(guó)家、地方有關(guān)信息安全部門以及學(xué)?,F(xiàn)代教育信息中心等部門通報(bào)的預(yù)警類信息的處置工作,并按要求形成書面報(bào)告,報(bào)送現(xiàn)代教育信息中心。
第四章 配套制度與問(wèn)責(zé)
第八條 人事變更報(bào)告。為保障聯(lián)絡(luò)通暢,各單位的信息技術(shù)安全工作主管領(lǐng)導(dǎo)、聯(lián)絡(luò)員、聯(lián)絡(luò)方式發(fā)生變更的,應(yīng)及時(shí)向現(xiàn)代教育信息中心報(bào)備。
第九條 相關(guān)配套機(jī)制。各單位應(yīng)根據(jù)實(shí)際建立本單位的值守制度,做到安全事件早預(yù)警、早發(fā)現(xiàn)、早報(bào)告、早控制、早解決。各單位應(yīng)建立健全本單位安全事件應(yīng)急處置機(jī)制,制定安全事件應(yīng)急預(yù)案,定期組織應(yīng)急演練。
第十條 問(wèn)責(zé)制度。各單位應(yīng)按照流程及時(shí)、如實(shí)地報(bào)告和妥善處置安全事件。如有瞞報(bào)、緩報(bào)、處置和整改不力等情況,學(xué)校將對(duì)相關(guān)單位進(jìn)行約談或通報(bào);情況嚴(yán)重的,追究責(zé)任問(wèn)責(zé)處理。
第十一條 整改落實(shí)機(jī)制。發(fā)生I至Ⅲ級(jí)安全事件后,要認(rèn)真做好整改落實(shí)工作,堅(jiān)持做到事故原因不查清不放過(guò)、整改措施未落實(shí)不放過(guò)、責(zé)任人員未受到教育或處理不放過(guò),盡力杜絕類似事件再次發(fā)生。
周口幼兒師范學(xué)校現(xiàn)代教育技術(shù)信息中心
二〇一九年一月八日
附件一
信息技術(shù)安全事件分類與等級(jí)劃分
《信息安全事件分類分級(jí)指南》(GB/Z 20986-2007)根據(jù)信息技術(shù)安全事件的起因、表現(xiàn)、結(jié)果等,將信息技術(shù)安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、設(shè)備設(shè)施故障、災(zāi)害事件和其他信息安全事件6個(gè)基本分類,每個(gè)基本分類分別包括若干個(gè)子類;根據(jù)信息系統(tǒng)重要程度、系統(tǒng)損失和社會(huì)影響,將信息技術(shù)安全事件劃分為4個(gè)等級(jí)。
一、信息技術(shù)安全事件分類
1、有害程序事件
有害程序事件是指蓄意制造、傳播有害程序,或是因受到有害程序的影響而導(dǎo)致的信息安全事件。有害程序事件包括計(jì)算機(jī)病毒事件、蠕蟲(chóng)事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件、網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件和其它有害程序事件等7個(gè)子類。
2、網(wǎng)絡(luò)攻擊事件
網(wǎng)絡(luò)攻擊事件是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段,利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對(duì)信息系統(tǒng)實(shí)施攻擊,并造成信息系統(tǒng)異?;?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件。網(wǎng)絡(luò)攻擊事件包括拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽(tīng)事件、網(wǎng)絡(luò)釣魚(yú)事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件等7個(gè)子類。
3、信息破壞事件
信息破壞事件是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段,造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全事件。信息破壞事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其它信息破壞事件等6個(gè)子類。
4、設(shè)備設(shè)施故障
設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件,以及人為的使用非技術(shù)手段有意或無(wú)意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。設(shè)備設(shè)施故障包括軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故、和其它設(shè)備設(shè)施故障等4個(gè)子類。
5、災(zāi)害性事件
災(zāi)害性事件是指由于不可抗力對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。災(zāi)害性事件包括水災(zāi)、臺(tái)風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭(zhēng)等導(dǎo)致的信息安全事件。
6、其他事件
其他事件是指不能歸為以上基本分類的信息技術(shù)安全事件。
二、信息技術(shù)安全事件等級(jí)劃分
1、特別重大事件(Ⅰ級(jí))
特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件,包括以下情況:
⑴ 會(huì)使特別重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失;
⑵ 產(chǎn)生特別重大的社會(huì)影響。
2、重大事件(Ⅱ級(jí))
重大事件是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件,包括以下情況:
⑴ 會(huì)使特別重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失;
⑵ 產(chǎn)生的重大的社會(huì)影響。
3、較大事件(Ⅲ級(jí))
較大事件是指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件,包括以下情況:
⑴ 會(huì)使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、一般信息信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失;
⑵ 產(chǎn)生較大的社會(huì)影響。
4、一般事件(Ⅳ級(jí))
一般事件是指不滿足以上條件的信息安全事件,包括以下情況:
⑴ 會(huì)使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失、或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失,一般信息系統(tǒng)遭受嚴(yán)重或嚴(yán)重以下級(jí)別的系統(tǒng)損失;
⑵ 產(chǎn)生一般的社會(huì)影響。
附件2