为了加强对学校校园网络的安全保护,防止个别用户利用非法手段进行不正当的网上行为,维护学校的正常教学秩序和校园稳定,确保发生网上突发安全紧急事件时,能够及时发现、预警并准确判断、快速反应,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和其他法律、行政法规的规定,特制定安徽城市管理职业学院网络安全技术突发事件应急处理暂行办法。
一、应急处理工作的目标、原则和基本方法
(一)以建立运转灵活、反应灵敏的网络突发事件应急处理协调机制为目标。
(二)应急处理的基本原则是防止事态进一步扩大,避免重大的经济损失和政治影响。
(三)应急处理的基本方法:
1.应急处置。发生网络突发事件时,网管人员应迅速到岗,及时采取措施进行处置,必要时暂停联网、停机检查,以避免事态扩大。
2.保留现场。通知领导、保卫等部门,共同决定采取的进一步措施。
3.追查来源。来源于校内用户的,要通过日志记录等方式展开调查,追查出责任人并报学校处理;来源于校外的,应对事故原因进行认真分析,采取相应的预防措施,避免类似事件的再次发生,必要时通知公安机关。
4.加强监管。敏感时期各级网站责任部门安排专人进行网络监控,发现和上报网络安全事故。
二、应急处理的对象
校园网络突发事件是指突然发生的并且影响范围广泛、影响性质恶劣的事件。具体指针对计算机或网络所存储、传输、处理的信息安全事件,事件的主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。主要包括:
1.破坏保密性的安全事件:如入侵系统并读取信息、搭线窃听、远程探测网络拓扑结构和计算机系统配置等。
2.破坏完整性的安全事件:如入侵系统并篡改数据、劫持网络连接并篡改或插入数据、安装特洛伊木马、计算机病毒等。
3.破坏可用性的安全事件:如系统故障、拒绝服务攻击、计算机蠕虫等。
4.扫描:包括地址扫描和端口扫描等,为了侵入系统寻找系统漏洞等。
三、监控方法
(一)设立举报电话、举报邮箱。敏感时期举报电话24小时值班,其它时段8小时工作值班,电子邮箱每天由专人接收举报信息。
(二)定期检查重要的日志文件。日志文件包括认证计费网关日志、代理服务器日志、防火墙日志、服务器日志等,每类日志由相关的系统管理员负责检查。
(三)对网络信息严格审查、把关。
(四)落实责任人制度,坚持网站页面的日常监控工作。
四、应急处理措施
应急处理一般按准备、检测、抑制、根除、恢复、报告6个阶段进行。
1.准备:
在事件真正发生之前应该为事件处理作好准备,主要工作包括建立合理的防御、控制措施、建立适当的策略和程序、获得必要的资源和组建响应队伍等。
2.检测:
检测阶段要做出初步的动作和响应,要由信息及系统安全技术人员根据获得的初步材料和分析结果,估计事件的影响范围,制订进一步的响应战略,并且保留可能用于司法程序的证据。
3.抑制:
可采取的抑制策略包括关闭或从网络上断开相关系统;修改防火墙和路由器的过滤规则;封锁或删除被攻破的登录账号;提高系统或网络行为的监控级别;设置陷阱;关闭服务;反击攻击者的系统等。抑制的目的是限制攻击的范围。
4.根除:
在事件被抑制之后,通过对有关恶意代码或行为的分析,找出事件根源并彻底清除。
5.恢复:
恢复阶段的目标是把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心,避免出现误操作导致数据的丢失。如果攻击者获得了超级用户的访问权,一次完整的恢复应该强制性地修改所有的口令。
6.报告和总结:
回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。值班网管员须立即向主管领导报告,必要时向公安机关报告。
五、本办法自发布之日起执行。
