经济与工商管理学部《实验中心信息网络安全应急预案》

 一、编制目的

为预防和减少学部实验中心网络与信息安全突发事件的发生,控制、减轻和消除突发事件引起的危害及造成的损失，规范突发事件预防和应对活动，所保护的网络与信息安全，防止重要信息泄密，保障网络业务与信息传输安全通畅的运行，提高应对重大事故的应急能力，把损失降到最低程度，特制定本预案。

二、基本原则

1.加强预防原则。实验中心要随时注意信息网络系统的运行情况，密切关注学校网络信息中心发布的病毒预告，及时安装补丁，增强系统的防护能力，防患于未然。

2.快速反应原则。发现实验中心网络异常要迅速上报，并立即切断风险源，防止事故进一步蔓延。

3.统一指挥原则。实验中心要统一服从校保密工作领导小组和校网络管理中心的指挥，在处置过程中，及时关注领导小组发布的公告和通知。

4.依法处置原则。在处置信息网络安全事故的过程中，要坚持依法有序处置、积极稳妥缜密的原则，防止危害进一步扩散和蔓延，避免对实验中心、学校及社会造成严重的负面影响。

 

三、 预案的适用范围及启动条件

1.本预案适用于经济与工商管理学部实验中心网络与信息系统安全事件的应对与处置工作。本预案所称网络与信息安全事件是指由于自然灾害、设备软硬件故障、人为失误、黑客攻击，以及敌对势力破坏等原因，对网络信息系统造成危害，对正常教学、管理工作和声誉造成不利影响的信息安全事件。

2.本预案启动条件：上述范围内发生的重大信息安全突发事故。

 

四、 网络安全引发原因

网络一旦出现安全事件，信息系统运行受到威胁;将给学校和实验中心造成不可估量的损失。网络与信息安全事件主要由以下三个方面的影响因素引起:

1.网络安全防护体系风险

网络和信息技术发展日新月异，信息技术安全产品发展也很快，目前信息安全保障产品还不够完备。

2.操作系统固有缺陷

目前常用的操作系统都存在一定的安全漏洞，随着各种需求和应用的不断增加，网络和系统管理变得越来越复杂。

3.接入终端多样复杂

接入网络的终端，由不同厂家在不同年代生产，目前没有纳入统一的防病毒、系统补丁和更新程序管理，致使接入终端可能成为病毒或黑客攻击网络的切入点。

 

五、网络安全的主要类别 

根据网络与信息安全事件的起因、表现、结果等，网络与信息安全事件主要分为以下六类:

1.危害程序事件：蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的网络与信息安全事件。

2.网络攻击事件：通过网络或者其它技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力手段对信息系统实施攻击，并造成信息系统异常，或对信息系统当前运行造成潜在危害的信息安全事件。

3.信息破坏事件：一般为信息篡改、信息假冒、信息泄露、信息窃取、信息丢失和其他信息破坏等信息安全事件。如发现网络上存在与系统数据高度雷同的数据，或发现业务数据被篡改。

4.信息内容安全事件：通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。如网站被悬挂反动标识，或有人在网站互动区发布非法内容等。

5.设备设施故障：分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。如服务器硬件故障，机房供电中断等。

6.灾害性事件：是指由自然灾害等其他突发事件导致的网络安全事件。如机房遭遇地震、火灾等。

 

六、组织机构设置：

　（一）.设立预防网络信息安全突发事件应急工作领导小组，负责网络信息安全事故应急指挥。

 

　　组长：杨波  

 

　　副组长：李剑荣  李斌

 

　　组成员： 邹峰  邹良洁  杨红伟  杨玉华  章铖红 郑腾腾

（二）. 领导小组职责：

　　1.强化组织机构，加强管理控制：

组织机构是预案组织实施的有力保障，根据组织架构、岗位特点、工作分工、职责要求形成灵活联动且強有力的应急管理实施小组。强化安全意识，明确工作职责，落实安全责任，加强全面管控，落实日常监管，把网络安全管理落到实处。确保网络安全应急预案能快速反应并快速组织和启动实施。

　　2.加强业务培训，提高防范水平：

积极开展相关培训提高网管员的网络管理水平，定期对师生开展互联网安全和文明上网的宣传教育，提高全体师生网落信息的法制意识、责任意识、政治意识、自律意识和安全意识，形成广大师生共同抵制网上有害信息的良好氛围，保证实验中心网络系统安全运行，更好地为实验教学服务。

加强网络安全建设，实验室管理员加强检查，及时发现网络本身的安全漏洞，保证软件防火墙和防病毒软件的及时有效的更新，提高网络系统防御攻击的能力，尽量避免网络、病毒等的攻击事件。

 

七、应急处置程序及办法

  （一）、 事件的检测及通报

 实验中心信息管理员通过杀毒软件、互联网搜索、远程漏洞扫描等手段发现信息安全事件，第一时间赶赴现场做好记录，并向实验中心主任、应急小组领导和校网管中心逐级进行通报。

（二）、 事件处置

 1. 紧急处置 对于突发的信息安全事件须控制事态发展，最大限度地防止事件蔓延。具体抑制措施应包含但不限于以下方面：

 （1） 确定被破坏系统的范围后，将被破坏系统和正常的系统进行隔离，断开或暂时关闭被破坏系统；

 （2） 持续监视系统和网络状态，记录异常流量的远程IP、域名和端口；

 （3） 停止或删除系统异常账号，重置口令，提升口令的复杂度；

（4） 挂起和结束未被授权的、可疑的应用程序和进程；

 （5） 关闭不必要的服务；

（6） 删除系统各种用户“启动”目录下未被授权自行启动程序。

 2. 证据留存

 通过查看被攻击系统的硬件、软件配置参数、审计、记录，以及从安全管理制度和人员状况等方面进行取证调查，通过截图、拍照、备份等方式收集被攻击证据，应包含但不限于以下方面：

 （1） 查找信息系统异常现象并对异常现象进行拍照或截图；

 （2） 留存当前信息系统网络拓扑图；

 （3） 系统硬件设备及其配置参数清单；

（4） 系统软件、应用软件的配置参数清单；

（5） 应用程序文件列表及源代码；

 （6） 系统运维记录、系统审计日志；

 （7） 网络、操作系统、数据库、中间件、应用程序操作等账号权限的分配列表。

 3. 恢复服务

信息安全事件的恢复工作应避免出现误操作导致数据的丢失，对于不能彻底恢复配置和清除系统上的恶意文件，或不能肯定系统在根除处理后是否已恢复正常时，应选择彻底重建系统。

（1） 利用正确的备份恢复手段恢复用户数据和配置信息；

（2） 开启系统和应用服务，将受到入侵或者怀疑存在漏洞而关闭的服务，修改后重新开启；

（3） 连接网络，恢复业务，并持续监控并汇总分析，了解各网络的运行情况。

4. 成因分析

 在信息安全事件发生后，应确定被破坏系统的范围。通过对证据的汇总和归纳、现象的推演和还原来论证事件产生的原因，回溯事件发生的过程。

 （1） 了解事件破坏方法、破坏类型、破坏者或恶意程序的标识和特征，对异常文件进行备份；

（2） 明确破坏所跨越网络路径，涉及网络区域；

（3） 破坏者取得何种权限；

（4） 对所留存的证据进行合理的汇总和归纳。

 5. 系统加固

 系统加固应制定相应的系统加固方案，针对不同目标系统，通过打补丁、修改安全配置和增加系统带宽等方法，对系统的安全性进行合理的增强，以达到消除与降低安全风险的目的。此外，在进行系统加固操作前应做好充分的风险规避措施，加固工作应有跟踪记录，以确保系统的可用性。

 6. 事件总结及通报

在信息安全事件得到基本处置后，实验中心管理员应及时对信息安全事件的经过、成因、影响及整改情况进行总结并对其所造成的损失进行评估，上报应急小组和校网络信息管理中心。  

 

（六）应急程序实施流程图

 

事件的检测及通报    紧急处置     证据留存     恢复服务     成因分析

 

系统加固     事件总结及通报

 

 

 

 

 

 

 

经济与工商管理学部

2022年3月