一、 预防和预警机制措施
网络和信息安全预防措施包括分析安全风险、准备应急处理措施,建立网络和信息系统的监测体系,控制有害信息的传播,预先制定信息安全重大事件的通报机制。
1. 信息安全风险分类
校园网面临着网络和信息安全风险,一般包括:关键设备或系统的故障;自然灾害(水、火电等)造成的物理破坏;人为失误造成的安全事件;蠕虫病毒等恶意代码危害;人为的恶意攻击(包括拒绝服务、系统入侵、改主页、窃取敏感信息、散布有害信息等)
2. 应急准备
网络信息员、安全负责人明确职责和管理范围,按要求安排应急值班,并将值班安排上报。确保到岗到位,联络畅通,处理及时准确。
3. 具体措施
A、物理环境
建立落实管理制度和技术防范措施,建立安全、可靠、稳定运行的机房环境,并落实以下预防措施:
防火、防盗、防雷电、防水、防静电、防尘,对运行关键部位实施24小时保卫。禁止任何非授权人员进入;建立备份电源系统,并定期检查系统是否能够正常工作;对所有人员进行防火、防盗等基本技能培训。
B、网络设备和通信线路
核心设备和线路备份,避免单点故障;核实操作系统安全、及时安装补丁程序;禁止未授权访问,授予管理员不同权限,关闭非必要服务;实时监视和监测,及时排除故障、处理入侵攻击;保证足够带宽,防止突发流量造成拥塞导致网络瘫痪。
C、计算机系统
重要系统采用高性能可靠硬件、稳定软件、进行备份等措施,落实数据备份机制,遵守安全操作规范;安装稳定的操作系统和最新补丁,并定期更新;关闭所有不必要端口、服务;安装有效的防病毒软件,并及时更新病毒特征库、升级扫描引擎。严格限制内部用户的访问权限;对用户和管理员进行安全技术培训;对关键系统实施全时动态监测;对重要的数据定期备份。
D、重要的信息系统
重要的信息服务实行登记备案制度,除了严格设置主机系统安全以外,建立硬件或软件防火墙保护主机的安全;对有重大影响的信息系统,建立7*24的全时监控机制,及时发现并解决问题。
4. 报告
所管辖范围内的管理对象发生事件后,立即启动安全事件处理流程,分析、定位事件的来源和危害程度。
出现网络和信息安全事件时,一般事件报告应急处置工作组,并在学校内报警并作相关处理。重大事件和影响超出本单位管辖范围时,向上级紧急报告。必要时逐级上报。
一般安全事件,可向入侵者所在的网络管理员投诉;严重安全危害事件(如造成重大经济损失、涉及破坏国家信息安全的反动政治言论),应当及时消除,保留证据,并向公安等相关部门报告,请示进一步的决策、措施。
二 、应急响应
1. 网络环境安全事件的应急处置
网络环境安全相关事件网络安全负责人处置。对火灾、盗窃、破坏等紧急事件按照国家消防、公安有关法律法规的有关规定处理。影响网络运行和信息安全的重大事件由学校领导统一指挥处置。
2. 网络运行事件处置
网络运行相关事件由网络部负责,重大事件立即向应急处置工作组负责人报告。事件包括:
1)电力中断。对于接到预报的电力中断,进行正常系统关闭步骤。
(1)依次关闭局域网内计算机、路由器和交换机。
(2)关闭各个分支电路的开关。
(3)关闭UPS,关闭总开关。
对于意外电力中断,在UPS电池耗尽前尽量按正常系统关闭步骤关闭服务器、存储设备、网络设备。
电力恢复时按正常系统恢复操作步骤:
(1)打开总开关;
(2)启动UPS;
(3)逐个打开分之电路开关;
(4)启动防火墙、核心路由、交换机;
(5)依次启动各个计算机;
(7)检查各个计算机的启动状态,启动相应的服务系统;
2)线路中断。学校网络出口的线路故障,一旦发觉出现故障,网络部及时通知联通通信公司。
3)核心路由故障。一旦机房核心交换机出现硬件故障,启用备用的路由交换机,保障主要部门的网络畅通。
4)流量异常。通过检测,确定流量异常来源,通过关闭端口、关闭服务器、隔离子网等方式关闭流量传播通道。
3. 网络攻击事件处置
由网络部按应急流程处置。对于大规模、影响较大的恶意代码、拒绝服务攻击、系统入侵和端口扫描处置:
(1)隔离受影响网络;
(2)通知网络安全负责人,决定上报或通报;
(3)分析攻击原因和方式,并采取相应的措施;
(4)处置人员记录事件处理步骤和结果,总结报告。
4. 信息安全事件处置
发生信息安全事件应及时通知网络部安全负责人,及时消除非法信息,恢复系统。步骤:
(1) 断开受影响的计算机;
(2) 分析事件原因;
(3) 恢复系统;
(4) 上报公安部等有关部门。
三 、应急保障
1. 组织保障
(1)学校突发公共事件网络安全负责人和学校相关领导统一协调处理校园网的信息安全突发事件。
(2)信息与教育技术中心网络部负责校园网络的安全运行保障,建立安全运行保障体系。网络部应按国家法律法规和安全管理规定,明确与当地公安部门、教育行政部门、通信管理局等安全管理相关部门的衔接。
2. 环境保障
学校负责电力、机房等网络安全运行基本环境。网络安全负责人负责周期性检查网络运行安全环境要求的落实情况。
3. 技术保障
学校应建立起符合要求的网络与信息安全保障技术支持力量,并对接入各部门的网络与信息安全保障工作提供相关的技术支持和培训服务。
四、 善后和恢复
网络安全负责人对网络和信息应急事件,除在事发时按安全管理要求报告学校领导小组外,应急处置后还要对重大事件作总结报告,上报学校领导小组,经学校领导小组批准后,酌情向相关部门通报情况。