《工程学院网络安全事件报告与处置流程.docx》由会员分享,可在线阅读,更多相关《工程学院网络安全事件报告与处置流程.docx(11页珍藏版)》请在三一办公上搜索。
1、工程学院网络安全事件报告与处置流程为进一步规范网络安全事件报告与处置工作,提高校园网络的安全管理水平和安全事件应急处置能力,根据教育部办公厅信息技术安全事件报告与处置流程(试行)的相关规定,结合学校实际情况,特制定本流程。第一条本流程中所称的网络安全事件(以下简称安全事件)是指网络攻击事件、设备故障事件、灾害性事件、信息内容安全事件和其他不确定的安全事件。第二条本流程适用于学校和各二级部门发生的网络安全事件的报告与处置工作。第三条安全事件等级划分。安全事件依据可控性、严重程度和影响范围的不同划分为四个等级:特别重大事件(I级)、重大事件(级)、较大事件(In级)和一般事件(IV级)。第四条安全
2、事件的报告与处置分为三个步骤:预案启动、事中处置、事后整改。第五条预案启动发生安全事件后,学校网络安全与信息化领导小组办公室、网络信息中心和突发安全事件的部门应尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围,评估事件带来的影响和损害,确认事件的类别和等级,并参照下述工作要求进行处置:(一)应急响应1、各部门网络与信息系统管理员一旦发现安全事件,应根据实际情况采取包括立即断网等有效措施进行处置,将损害和影响降到最小范围,保留现场,并报告本部门主管领导及网络信息中心协助处理。2、本部门主管领导接到报告后,应立即组织技术人员赶赴现场进行紧急处置,同时以口头通讯的方式将相关情况报
3、告学校网络与信息安全工作领导小组办公室。紧急报告内容包括:时间地点;简要经过;事件类型与分级;影响范围;危害程度;初步原因分析;已采取的应急措施。3、学校网络安全与信息化领导小组办公室接到报告后,应进一步判定安全事件的等级,启动对应等级预案响应。(二)事中处置1、应急处置根据网络安全事件,分类采取不同的应急处置方式。事件处置过程中要及时掌握损失情况,查找和分析事件原因,修复系统漏洞,恢复系统服务,尽可能减少安全事件对正常工作带来的影响。如果涉及人为故意破坏,应同时报告公安机关,积极配合公安机关开展调查。(1)网络攻击事件:判断攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息
4、系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质采取以下方案:病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助,寻找并公布病毒攻击信息,以及杀毒、防御方法。外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外网入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方
5、法,避免造成更大损失和影响。内部入侵:查清入侵来源,如IP地址、所在办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。(2)设备故障事件:判断故障发生点和故障原因,尽快抢修故障设备,优先保证校园网主干网络和主要应用系统的运转。(3)灾害性事件:根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。(4)信息内容安全事件:接到校内网站出现不良信息的报告后,应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息的传播,根据网站相关日志
6、记录查找信息发布人并做好善后处理;对公安机关要求我校协查的外网不良信息事件,根据校园网上网相关记录查找信息发布人。(5)其它不确定安全事件:可根据总的安全原则,结合具体情况做出相应处理。2、后续处置(1)安全事件进行最初的应急处置后,应及时采取行动,抑制其影响进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。(2)安全事件被抑制后,通过对有关事件或行为的分析结果,找出问题根源,明确相应补救措施并彻底清除。(3)在确保安全事件解决后,要及时清理系统,恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。3、结果上报安全事件的处置过程,应及时向学校网络与信息
7、安全工作领导小组汇报,并在事件处置工作中作好完整的过程记录,及时报告处置工作进展情况,保存各相关系统日志,直至处置工作结束。第六条事后整改1、安全事件整改报告应在安全事件处置完毕后2个工作日内,以书面报告的形式进行报送。2、安全事件整改报告由发生安全事件的部门负责编写,由本部门主管领导审核后,签字并加盖公章报送学校网络与信息安全工作领导小组。3、学校网络与信息安全工作领导小组办公室对安全事件造成的损失、处理流程和应急预案进行评估,对响应流程、预案提出修改意见;总结安全事件处理的经验和教训,撰写事件处理报告,同时确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料;属于重大事件或存在
8、非法犯罪行为的,第一时间向公安机关网络监察部门报案。第七条学校各部门要按照本流程的要求,及时、如实报告和妥善处置安全事件。如有瞒报、漏报、缓报、处置和整改不力等情况,将对相关部门进行约谈或通报。第八条本流程自发布之日起施行。附表1XX工程学院网络安全事件(风险)处理单情况说明单位名称网站或系统名称域名/IP受理人员受理时间安全情况级别口1级口口级III级口v级描述:(可附页)紧急程度口紧急口一般处理建议口修复系统漏洞口修复程序漏洞口增加密码强度口其他用户单位处理信息(ffl户单位填单位负责人单位电话系统管理员姓名E-mail电话手机处理方口修复系统漏洞口修复程序漏洞口增加密码强度口其他写)式处
9、理细节给修复时间(高级别事件需单独撰写事件处理工作报告)理结已处理口忽略安全风险口其他上线在应用系统遭遇攻击、暴露漏洞之时,网络信息中心会根据风险级别和紧急程度对系统进行关停或者禁止访问等安全措施,以保证数据安全、并防止影响扩散。完成处置后,填写本单,并完成相关签字、盖章流程,提交纸质档到网络信息中心。网络信息中心收到此单后,协助恢复单位的应用系统或者网站的正常服务。1口申请上线口申请临时上线至请我单位已阅读上述说明,并已完成处置,现申请系统上线,并愿意承担相关后果。单位系统管理员签字:单位负责人签字:单位ig盖章:E月日修复检测检测人检测时间检测结口已修复口未修复口其他检测人签字网络信息安全
10、主管签字:口同意上线口暂缓上线临时上线至口同意上线口暂缓上线临时上线至年月日年月日附表2联系人姓名手机电子邮箱事件分类网络攻击事件设备故障事件口灾害性事件口信息内容安全事件其他安全事件事件分级口1级口口级口口1级IV级事件概况信息系统基本情况(如涉及请填写)1 .系统名称:2 .系统网址和IP地址:3 .系统主管单位/部门:4 .系统运维单位/部门:5 .系统使用单位/部门:6 .系统主要用途:7 .是否定级口是口否,所定级别:8 .是否备案是口否,备案号:9 .是否测评是口否10 .是否整改口是口否XX工程学院网络安全事件情况报告事发时间:单位名称:(加盖公章)年月日时分事件发现与处置的简要
11、经过事件初步估计的危害和影响事件原因的初步分析已采取的应急措施是否需要应急支援及需支援事项联系人姓名手机电子邮箱事件分类口网络攻击事件口设备故障事件口灾害性事件口信息内容安全事件口其他安全事件事件分级口1级口口级口口1级口IV级事件概况网络与信息安全分管负责人意见(签字)主要负责人意见(签字)1 .系统名称:2 .系统网址和IP地址:3 .系统主管单位/部门:4 .系统运维单位/部门:信息系统基本情况(如涉及请填写)5 .系统使用单位/部门:6 .系统主要用途:7 .是否定级口是口否,所定级别:8 .是否备案口是口否,备案号:9 .是否测评是口否10 .是否整改口是口否附表3XX工程学院网络安全事件整改报告单位名称:(加盖公章)报告事件:年月日事件发生的最终判定原因(可加页附文字、图片及其他说明)事件的影响及恢复情况事件的安全整改措施存在问题与建议网络与信息安全分管负责人意见(签字)单位主要负责人意见(签字)
