网络信息安全事件分类分级及应急处置预案
一、事件报告
发生安全事件后,信息技术中心和涉事单位应第一时间采取断网等有效措施,将损害和影响降低到最小范围,保留现场,并报告本单位分管领导和信息办负责人。
二、事件定级
信息办组织有关单位,尽最大可能收集安全事件相关信息,鉴别性质,确定来源,弄清范围,评估安全事件带来的影响和损害,确认安全事件的类别和等级。
三、网络信息安全事件分类分级标准
(一)网络信息安全事件分类
网络信息安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。信息内容安全事件包括以下4个子类:
1.违反宪法和法律、行政法规的信息安全事件;
2.针对社会事项进行讨论、评论,形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件;
3.组织串连、煽动集会游行的信息安全事件;
4.其他信息内容安全事件。
(二)网络信息安全事件分级
I级(特别重大):安全等级保护定为三级以上(含三级)的系统,包括学校门户网站,出现被恶意篡改、数据泄漏,发布危害国家安全、社会稳定和公共利益的内容,造成特别重大的社会影响。
II级(重大):校内各部门二级网站被恶意篡改,发布危害国家安全、社会稳定和公共利益的内容,造成重大的社会影响。
III级(较大):依托学校发布的其它访问量较小的信息系统被恶意篡改,通过其发布危害国家安全、社会稳定和公共利益的内容,造成较大的社会影响。
四、应急处置预案
(一)I级(特别重大)处置预案
1.处置
①断开网络连接,保护取证现场,并对被篡改页面或发布不良信息的页面进行截图留存。
②发现学校主页被恶意篡改或发布不良信息,应立刻通报学校网络信息安全类突发事件应急处置工作组相关人员。同时逐级上报至省教育网络安全信息化领导小组办公室(河南省教育信息中心)。
③恢复被篡改网页或删除不良信息。
④要求信息系统维护人员备份被篡改网页或不良信息出现目录、信息系统的事件出现一个星期内的HTTP连接日志、应用防火墙的事件出现一个星期内的网络连接日志。
2.后续处置
①全面查对HTTP日志,防火墙网络连接日志,确定该不良信息的源IP地址,并向网络信息安全类突发事件应急处置工作领导小组组长汇报,视情节严重程度领导小组可决定是否向公安机关报案。
②信息安全事件进行最初的应急处置后,应及时采取行动,抑制其影响进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。
③信息安全事件被抑制后,通过对有关事件或行为的分析结果,找出问题根源,明确相应补救措施并彻底清除。
④在确保安全事件解决后,要及时清理系统,恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。
3.整改报告
责任单位应在安全事件处置完毕后5个工作日内填报《焦作工贸职业学院网络安全事件整改报告》,提交工作组,并总结事件教训,排查安全隐患。
(二)II级(重大)处置预案
1.处置
①发现校内各单位信息系统、二级网站主页被恶意篡改或发布不良信息,应立即断网,通报学校网络信息安全领导小组。
②通知相关信息系统、二级网站网管员和主管领导,恢复被篡改网页或删除不良信息,对于未能及时恢复和删除的,应该立刻关闭相关二级网站。
③对被篡改页面或发布不良信息的页面进行截图留存。
④要求信息系统维护人员备份被篡改网页或不良信息出现目录、信息系统的事件出现一个星期内的HTTP连接日志、应用防火墙的事件出现一个星期内的网络连接日志。
2.后续处置
①全面查对HTTP日志,防火墙网络连接日志,确定该不良信息的源IP地址,并向学校网络信息安全领导小组汇报,视情节严重程度决定是否向公安机关报案。
②信息安全事件进行最初的应急处置后,应及时采取行动,抑制其影响进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。
③信息安全事件被抑制后,通过对有关事件或行为的分析结果,找出问题根源,明确相应补救措施并彻底清除。
④在确保安全事件解决后,要及时清理系统,恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。
3.整改报告
责任单位应在安全事件处置完毕后5个工作日内填报《焦作工贸职业学院网络安全事件整改报告》报告,提交学校网络信息领导小组,并总结事件教训,排查安全隐患。
(三)III级(较大)处置预案
1.处置
①发现依托学校访问量较小的信息系统被恶意篡改或发布不良信息,应立即断网,通报学校网络信息安全领导小组,并立刻关闭相关网站。
②对被篡改页面或发布不良信息的页面进行截图留存。
③要求信息系统维护人员备份被篡改网页或不良信息出现目录、信息系统的事件出现一个星期内的HTTP连接日志、应用防火墙的事件出现一个星期内的网络连接日志。
2.后续处置
①全面查对HTTP日志,防火墙网络连接日志,确定该不良信息的源IP地址,并向学校网络信息安全领导小组汇报。
②信息安全事件进行最初的应急处置后,应及时采取行动,抑制其影响进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。
③信息安全事件被抑制后,通过对有关事件或行为的分析结果,找出问题根源,明确相应补救措施并彻底清除。
④在确保安全事件解决后,要及时清理系统,恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。
3.整改报告
责任单位应在安全事件处置完毕后5个工作日内填报《焦作工贸职业学院网络安全事件整改报告》,提交学校网络信息安全领导小组,并总结事件教训,排查安全隐患。
网络信息中心
2018年5月12日
附件1
网络安全事件情况报告
单位名称: (加盖公章)
事发时间: 年 月 日 分
联系人 姓名 |
| 手机 |
| |
电子邮箱 |
| |||
事件分类 | □有害程序事件 □网络攻击事件 □信息破坏事件 □设备设施故障 □灾害事件 □其他 | |||
事件分级 | □I级 □II级 □III级 □IV级 | |||
事件概况 |
| |||
信息系统基本情况(如涉及请填写) | 1.系统名称: 2.系统网址和IP地址: 3.系统主管单位/部门: 4.系统运维单位/部门: 5.系统使用单位/部门: 6.系统主要用途: 7.是否定级 □是 □否,所定级别: 8.是否备案 □是 □否,备案号: 9.是否测评 □是 □否 10.是否整改 .是 □否 | |||
事件发现与处置的简要经过 |
| |||
事件初步估计的危害和影响 |
| |||
事件原因的初步分析 |
| |||
已采取的应急措施 |
| |||
是否需要应急支援及需支援事项 |
| |||
网络安全分管负责人意见 | (签字) | |||
主要负责人意见 | ||||
附件2 : 网络安全事件整改报告
单位名称: (加盖公章)
报告事件: 年 月 日
联系人姓名
手机
电子邮箱
事件分类
□有害程序事件 □网络攻击事件
□信息破坏事件 □设备设施故障
□灾害事件 □其他
事件分级
□I级 □II级 □III级 □IV级
事件概况
信息系统基本情况(如涉及请填写)
1.系统名称:
2.系统网址和IP地址:
3.系统主管单位/部门:
4.系统运维单位/部门:
5.系统使用单位/部门:
6.系统主要用途:
7.是否定级 □是 □否,所定级别:
8.是否备案 □是 □否,备案号:
9.是否测评 □是 □否
10.是否整改 .是 □否
事件发生的最终判定原因(可加页附文字、图片及其他说明)
事件的影响及恢复情况
事件的安全整改措施
存在问题
与建议
网络安全
分管负责
人意见
(签字)
单位主要
负责人意见
(签字)
附件3 : 网络安全隐患整改报告
单位名称:
报告时间: 年 月 日
联系人姓名 |
| 手机 |
| |
电子邮箱 |
| |||
网络安全隐患 名称 |
| |||
网络安全隐患类别 | □安全漏洞 全暗链 □网页篡改 □弱口令 □信息泄露 □系统后门 □网页挂马 □其它 | |||
隐患级别 | □高危 中危 □低危 | |||
接收到整改通知时间 |
| |||
信息系统基本情况(如涉及请填写) | 1.系统名称: 2.系统网址和IP地址: 3.系统主管单位/部门: 4.系统运维单位/部门: 5.系统使用单位/部门: 6.系统主要用途: 7.是否定级 □是 □否,所定级别: 8.是否备案 □是 □否,备案号: 9.是否测评 □是 □否 10.是否整改 .是 □否 | |||
存在隐 患主要 原因 | ||||
简要处置过程 | ||||
处置结果 | ||||
网络安全部门负责人审核意见 | (签字) | |||