為加強(qiáng)天津醫(yī)科大學(xué)信息技術(shù)安全工作�����,及時(shí)掌握和處置信息技術(shù)安全事件����,協(xié)調(diào)相關(guān)力量做好應(yīng)急響應(yīng)處理�����,降低安全事件帶來的損失與影響�,維護(hù)正常工作秩序和營(yíng)造健康的網(wǎng)絡(luò)環(huán)境,根據(jù)國(guó)家有關(guān)法律法規(guī)�����,以及標(biāo)準(zhǔn)文件�����,結(jié)合我校實(shí)際情況�����,制定本預(yù)案。
第一條 信息技術(shù)安全事件定義���。根據(jù)《信息安全事件分類分級(jí)指南》(GB/T 20986-2007����,以下簡(jiǎn)稱《指南》)��,本流程中所稱的信息技術(shù)安全事件(以下簡(jiǎn)稱安全事件)是指除信息內(nèi)容安全事件以外的有害程序事件�����、網(wǎng)絡(luò)攻擊事件�����、信息破壞事件��、設(shè)備設(shè)施故障�����、災(zāi)害事件和其他信息安全事件���。
第二條 適用范圍���。本預(yù)案適用于在天津醫(yī)科大學(xué)發(fā)生的網(wǎng)絡(luò)與信息安全類事件的報(bào)告與處置工作。涉及信息內(nèi)容安全事件的報(bào)告與處置工作需按信息內(nèi)容安全相關(guān)規(guī)定執(zhí)行�。
第三條 安全事件等級(jí)劃分。根據(jù)《指南》并結(jié)合我校實(shí)際情況��,將安全事件劃分為四個(gè)等級(jí)�。
(一)特別重大事件(I級(jí))
信息系統(tǒng)發(fā)生大規(guī)模癱瘓,信息泄漏或損壞��,事態(tài)發(fā)展超出管理單位的控制范圍����,對(duì)國(guó)家安全、社會(huì)秩序�、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害的突發(fā)公共事件,超過24小時(shí)不能恢復(fù)��。
(二)重大事件(Ⅱ級(jí))
業(yè)務(wù)系統(tǒng)發(fā)生較大規(guī)模癱瘓����,信息泄漏或損壞,對(duì)國(guó)家安全�、社會(huì)秩序�、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害�����,超過12小時(shí)未能恢復(fù)��,需要跨部門協(xié)同處置的突發(fā)公共事件�����。
(三)較大事件(Ⅲ級(jí))
業(yè)務(wù)系統(tǒng)發(fā)生癱瘓���,信息泄漏或損壞���,對(duì)國(guó)家安全、社會(huì)秩序����、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害,但在8小時(shí)內(nèi)可以恢復(fù)���,不需要跨部門協(xié)同處置的突發(fā)公共事件��。
(四)一般事件(Ⅳ級(jí))
業(yè)務(wù)系統(tǒng)部分癱瘓���,信息泄漏或損壞��,對(duì)系統(tǒng)用戶的權(quán)益有一定影響,但在4小時(shí)內(nèi)可以恢復(fù)��,不危害國(guó)家安全�����、社會(huì)秩序�����、經(jīng)濟(jì)建設(shè)和公共利益的突發(fā)公共事件����。
第四條 安全事件自主判定。一旦發(fā)生安全事件�����,應(yīng)根據(jù)第三條所述���,視信息系統(tǒng)重要程度����、損失情況以及對(duì)工作和社會(huì)造成的影響自主判定安全事件等級(jí)。
第五條 I至Ⅲ級(jí)安全事件的報(bào)告與處置�����。報(bào)告與處置分為三個(gè)步驟:事發(fā)緊急報(bào)告與處置�����、事中情況報(bào)告與處置和事后整改報(bào)告與處置����。
(一)事發(fā)緊急報(bào)告與處置
1.網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)維操作人員一旦發(fā)現(xiàn)上述安全事件,應(yīng)根據(jù)實(shí)際情況第一時(shí)間采取有效措施進(jìn)行處置��,將損害和影響降到最小范圍��,保留現(xiàn)場(chǎng)�,并報(bào)告本單位主管領(lǐng)導(dǎo)和網(wǎng)絡(luò)信息聯(lián)絡(luò)員。
2.上述人員接到報(bào)告后����,應(yīng)立即組織技術(shù)人員趕赴現(xiàn)場(chǎng)進(jìn)行緊急處置,并將相關(guān)情況通報(bào)至網(wǎng)絡(luò)安全和信息化辦公室(以下簡(jiǎn)稱“網(wǎng)信辦”)。涉及人為主觀破壞事件應(yīng)同時(shí)報(bào)告學(xué)校保衛(wèi)處�。
3.網(wǎng)信辦接到報(bào)告后,負(fù)責(zé)組織技術(shù)人員協(xié)同報(bào)告單位人員進(jìn)行應(yīng)急處置���。同時(shí)�����,應(yīng)進(jìn)一步判定安全事件等級(jí),對(duì)確認(rèn)屬I至Ⅲ級(jí)安全事件的����,應(yīng)報(bào)告學(xué)校網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,由其負(fù)責(zé)向上級(jí)報(bào)告�����。
4.緊急報(bào)告內(nèi)容包括:(1)時(shí)間地點(diǎn)�����;(2)簡(jiǎn)要經(jīng)過����;(3)事件類型與分級(jí);(4)影響范圍;(5)危害程度�����;(6)初步原因分析�����;(7)已采取的應(yīng)急措施�。
5.網(wǎng)信辦應(yīng)及時(shí)跟進(jìn)事件發(fā)展情況,出現(xiàn)新的重大情況應(yīng)及時(shí)補(bǔ)報(bào)����。
(二)事中情況報(bào)告與處置
1.事中情況報(bào)告應(yīng)在安全事件發(fā)現(xiàn)后6小時(shí)內(nèi)以書面報(bào)告的形式進(jìn)行報(bào)送,報(bào)送內(nèi)容和格式見附表1���。
2.事中情況報(bào)告由事件發(fā)生單位組織相關(guān)人員和運(yùn)維單位共同填寫���,由單位主管領(lǐng)導(dǎo)審核后,簽字并加蓋公章報(bào)送網(wǎng)信辦和黨委宣傳部���。
3.安全事件的事中處置包括:及時(shí)掌握損失情況�、查找和分析事件原因�,修復(fù)系統(tǒng)漏洞���,恢復(fù)系統(tǒng)服務(wù),盡可能減少安全事件對(duì)正常工作帶來的影響�。如果涉及人為主觀破壞的安全事件應(yīng)積極配合保衛(wèi)處和公安部門開展調(diào)查。
(三)事后整改報(bào)告與處置
1.事后整改報(bào)告應(yīng)在安全事件處置完畢后5個(gè)工作日內(nèi)以書面報(bào)告的形式進(jìn)行報(bào)送����,報(bào)送內(nèi)容和格式見附表2。
2.事后情況報(bào)告由事件發(fā)生單位組織相關(guān)人員和運(yùn)維單位共同填寫�,由單位主管領(lǐng)導(dǎo)審核后,簽字并加蓋公章報(bào)送網(wǎng)信辦和黨委宣傳部�。
3.安全事件事后處置包括:進(jìn)一步總結(jié)事件教訓(xùn),研判安全現(xiàn)狀�����、排查安全隱患��,進(jìn)一步加強(qiáng)制度建設(shè)�,提升安全防護(hù)能力�����。如涉及人為主觀破壞的安全事件應(yīng)繼續(xù)配合保衛(wèi)處和公安部門開展調(diào)查�。
第六條 一般安全事件報(bào)告與處置�����。各單位發(fā)生一般安全事件���,應(yīng)及時(shí)、自主組織應(yīng)急處置工作���,在事件處置完畢后7天內(nèi)將整改報(bào)告保送網(wǎng)信辦和黨委宣傳部��,報(bào)告內(nèi)容和格式見附表2��。
第七條 安全事件參考處置方案�����。當(dāng)發(fā)生網(wǎng)絡(luò)與信息安全事件時(shí)����,首先應(yīng)區(qū)分事件性質(zhì)�����,然后再根據(jù)不同情況分別進(jìn)行處置�。
(一)根據(jù)事件性質(zhì)�����,網(wǎng)絡(luò)與信息安全事件可劃分為三類
1.自然災(zāi)害�。指地震�、雷電、火災(zāi)���、洪水等災(zāi)害引起的計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)的損壞�。
2.事故損毀��。指電力中斷����、網(wǎng)絡(luò)損壞或是軟件、硬件設(shè)備故障等引起的計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)的損壞��。
3.人為破壞���。指人為破壞網(wǎng)絡(luò)線路、通信設(shè)施�,黑客攻擊、病毒攻擊���、恐怖襲擊等引起的計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)的損壞��。
(二)針對(duì)上述事件的處置辦法
1.屬自然災(zāi)害類事件時(shí)����,應(yīng)根據(jù)實(shí)際情況,在保障人身安全的前提下����,首先保障數(shù)據(jù)安全,然后再保障設(shè)備安全(包括硬盤拔出與保存����、設(shè)備斷電與拆卸、搬遷設(shè)備等)���。
2.屬事故損毀類事件時(shí)�,應(yīng)迅速分析故障特征�����,查明原因�����,若事件發(fā)生單位不能獨(dú)立處理,必須立刻通知相關(guān)單位(供電局����、網(wǎng)絡(luò)運(yùn)營(yíng)商、軟硬件產(chǎn)品維護(hù)單位等)�,馬上組織人員進(jìn)行系統(tǒng)修復(fù)。
(1)外電中斷處置��。外電中斷后�,立即切換到備用電源;迅速查明斷電原因����,如因內(nèi)部線路故障,馬上組織恢復(fù)����;如因供電部門原因,立即與供電單位聯(lián)系����,盡快恢復(fù)供電�����;如被告知將長(zhǎng)時(shí)間停電,應(yīng)做好以下工作:(a)預(yù)計(jì)停電1小時(shí)以內(nèi)的����,由UPS供電;(b)預(yù)計(jì)停電1-4小時(shí)的�����,關(guān)掉非關(guān)鍵設(shè)備��,確保各主機(jī)����、路由器、交換機(jī)供電��;(c)預(yù)計(jì)停電超過4小時(shí)的���,做好數(shù)據(jù)備份工作����,及時(shí)關(guān)閉有關(guān)設(shè)備��。
(2)機(jī)房火災(zāi)處置。一旦機(jī)房發(fā)生火災(zāi):首先切斷所有電源�����,按響火警警報(bào)����;其次,通過119電話向公安消防部門請(qǐng)求支援����;最后,如果需要����,可使用滅火器進(jìn)行滅火。
(3)網(wǎng)絡(luò)線路中斷處置��。網(wǎng)絡(luò)線路中斷后:首先����,應(yīng)迅速判斷故障節(jié)點(diǎn),查明原因���、盡快修復(fù)����。如屬網(wǎng)絡(luò)運(yùn)營(yíng)商負(fù)責(zé)維護(hù)運(yùn)營(yíng)的線路����,立即與運(yùn)行商維護(hù)部門聯(lián)系,及時(shí)進(jìn)行修復(fù)����。如屬局域網(wǎng)內(nèi)部線路故障,應(yīng)立即判斷故障節(jié)點(diǎn)����,查明故障原因,迅速組織修復(fù)���;如屬路由器�、交換機(jī)等網(wǎng)絡(luò)設(shè)備故障���,立即與設(shè)備供應(yīng)商聯(lián)系修復(fù)�����;如屬路由器�����、交換機(jī)配置文件破壞���,迅速按照要求重新配置�;其次�,如遇本地技術(shù)無(wú)法解決的技術(shù)問題,應(yīng)立即向廠商請(qǐng)求支援��。
(4)設(shè)備故障處置�����。發(fā)現(xiàn)服務(wù)器等關(guān)鍵設(shè)備損壞�,應(yīng)立即查明設(shè)備故障原因;能自行恢復(fù)的����,立即用備件替換受損部件;難以自行恢復(fù)的��,立即與設(shè)備供應(yīng)商聯(lián)系��,請(qǐng)求派維修人員前來維修�����;若設(shè)備一時(shí)不能修復(fù),應(yīng)及時(shí)采取必要措施����,并發(fā)布通知告知有關(guān)單位暫緩上傳����、上報(bào)數(shù)據(jù)。
3.屬人為破壞類事件時(shí)�,應(yīng)首先判斷破壞來源與性質(zhì),然后斷開影響安全的網(wǎng)絡(luò)設(shè)備���,斷開與破壞來源的網(wǎng)絡(luò)連接�,跟蹤并鎖定破壞來源IP地址或其它用戶信息����,修復(fù)被破壞的信息,恢復(fù)信息系統(tǒng)�。
(1)有害信息處置。首先��,盡快采取屏蔽��、刪除等有效措施對(duì)有害信息進(jìn)行清理,并做好相關(guān)記錄��;其次�,指派專人對(duì)存在問題的網(wǎng)站、網(wǎng)頁(yè)及郵件信息等進(jìn)行全時(shí)監(jiān)控����;再次,采取技術(shù)手段追查有害信息來源�;最后,如發(fā)現(xiàn)涉及國(guó)家安全�、穩(wěn)定的重大有害信息,還要及時(shí)向保衛(wèi)處或公安局網(wǎng)警支隊(duì)報(bào)告���。
(2)黑客攻擊處置�����。當(dāng)發(fā)現(xiàn)網(wǎng)頁(yè)內(nèi)容被篡改或通過入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)黑客攻擊時(shí):首先,將被攻擊服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離�����;其次����,組織相關(guān)人員對(duì)事件進(jìn)行安全評(píng)估,評(píng)估破壞程度����,并視其嚴(yán)重程度對(duì)事件進(jìn)行定級(jí)并上報(bào)相關(guān)部門;再次���,采取技術(shù)手段追查非法攻擊來源�;最后����,恢復(fù)或重建被破壞的系統(tǒng)�����。
(3)病毒侵入處置���。當(dāng)發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)感染病毒后:首先�,立即將該計(jì)算機(jī)從網(wǎng)絡(luò)上物理隔離�����,同時(shí)備份硬盤數(shù)據(jù)��;其次,啟用防病毒軟件進(jìn)行殺毒處理�����,并使用病毒檢測(cè)軟件對(duì)其他機(jī)器進(jìn)行病毒掃描和清除�����;再次��,一時(shí)無(wú)法查殺的新病毒����,要迅速與相關(guān)病毒軟件供應(yīng)商聯(lián)系解決;最后�,如感染病毒的是服務(wù)器或主機(jī)系統(tǒng),要立即告知使用部門并做好相應(yīng)清查工作��。
(4)數(shù)據(jù)庫(kù)安全防范處置�����。一旦發(fā)生數(shù)據(jù)庫(kù)崩潰:首先��,應(yīng)關(guān)停服務(wù)�����,立即通知有關(guān)單位暫緩上傳、上報(bào)數(shù)據(jù)���;其次����,組織技術(shù)人員對(duì)主機(jī)系統(tǒng)進(jìn)行維修����;再次,如遇本地技術(shù)人員無(wú)法解決的問題����,應(yīng)立即請(qǐng)求軟硬件供應(yīng)商協(xié)助解決���;最后��,系統(tǒng)修復(fù)啟動(dòng)后�,將最新的備份數(shù)據(jù)恢復(fù)到數(shù)據(jù)庫(kù)中�����。
第八條 相關(guān)配套機(jī)制。各單位應(yīng)根據(jù)實(shí)際建立本單位值守制度����,做到安全事件早發(fā)現(xiàn)、早報(bào)告���、早控制�����、早解決�。各單位應(yīng)建立健全本單位安全事件應(yīng)急處置機(jī)制����,制定安全事件應(yīng)急預(yù)案,定期組織應(yīng)急演練�����。
第九條 問責(zé)制度���。各單位應(yīng)按照流程及時(shí)����、如實(shí)地報(bào)告和妥善處置安全事件。如有瞞報(bào)���、緩報(bào)����、處置和整改不力等情況����,將對(duì)責(zé)任人員進(jìn)行約談,對(duì)單位予以通報(bào)��,必要時(shí)給予進(jìn)一步處罰��。
天津醫(yī)科大學(xué)網(wǎng)絡(luò)安全和信息化辦公室
2021年 9 月 22 日
附表1
天津醫(yī)科大學(xué)信息技術(shù)安全事件情況報(bào)告
單位名稱:(加蓋公章) 事發(fā)時(shí)間: 年 月 日
聯(lián)系人姓名 | | 手機(jī) | |
電子郵箱 | |
事件分類 | □ 有害程序事件 □ 網(wǎng)絡(luò)攻擊事件 □ 信息破壞事件 □ 設(shè)備設(shè)施故障 □ 災(zāi)害事件 □其他____________________ |
事件分級(jí) | □Ⅰ級(jí) □Ⅱ級(jí) □Ⅲ級(jí) □Ⅳ級(jí) |
事件概況 | |
信息系統(tǒng)的基本情況(如涉及請(qǐng)?zhí)顚懀?/span> | 1.系統(tǒng)名稱:_______________________________ 2.系統(tǒng)網(wǎng)址和IP地址:_______________________ 3.系統(tǒng)主管單位/部門:_______________________ 4.系統(tǒng)運(yùn)維單位/部門:_______________________ 5.系統(tǒng)使用單位/部門:_______________________ 6.系統(tǒng)主要用途:___________________________ _________________________________________ 7.是否定級(jí) □是 □否���,所定級(jí)別:_____ 8.是否備案 □是 □否���,備案號(hào):__________ 9.是否測(cè)評(píng) □是 □否 10. 是否整改 □是 □否 |
事件發(fā)現(xiàn)與處置的簡(jiǎn)要經(jīng)過 | |
事件初步估計(jì)的危害和影響 | |
事件原因的初步分析 | |
已采取的應(yīng)急措施 | |
是否需要應(yīng)急支援及需支援事項(xiàng) | |
信息聯(lián)絡(luò)員意見 (簽字) | |
主管領(lǐng)導(dǎo)意見 (簽字) | |
附表2
天津醫(yī)科大學(xué)信息技術(shù)安全事件整改報(bào)告
單位名稱:(加蓋公章) 報(bào)告時(shí)間: 年 月 日
聯(lián)系人姓名 | | 手機(jī) | |
電子郵件 | |
事件分類 | □ 有害程序事件 □ 網(wǎng)絡(luò)攻擊事件 □ 信息破壞事件 □ 設(shè)備設(shè)施故障 □ 災(zāi)害事件 □其他____________________ |
事件分級(jí) | □Ⅰ級(jí) □Ⅱ級(jí) □Ⅲ級(jí) □Ⅳ級(jí) |
事件概況 | |
信息系統(tǒng)的基本情況(如涉及請(qǐng)?zhí)顚懀?/span> | 1.系統(tǒng)名稱:_______________________________ 2.系統(tǒng)網(wǎng)址和IP地址:_______________________ 3.系統(tǒng)主管單位/部門:_______________________ 4.系統(tǒng)運(yùn)維單位/部門:_______________________ 5.系統(tǒng)使用單位/部門:_______________________ 6.系統(tǒng)主要用途:___________________________ ________________________________________ 7.是否定級(jí) □是 □否����,所定級(jí)別:_____ 8.是否備案 □是 □否,備案號(hào):__________ 9.是否測(cè)評(píng) □是 □否 10.是否整改 □是 □否 |
事件發(fā)生的最終判定原因(可加頁(yè)附文字、圖片以及其他文件) | |
事件的影響與恢復(fù)情況 | |
事件的安全整改措施 | |
存在問題及建議 | |
信息聯(lián)絡(luò)員意見 (簽字) | |
主管領(lǐng)導(dǎo)意見 (簽字) | |
