(3)如果感染病毒的设备是主服务器,经上级网络领导小组同意,应立即告知学校各单位做好相应的清查工作。
4、软件系统遭破坏性攻击的紧急处置措施
(1)重要的软件系统平时必须存有备份,与软件系统相对应的数据必须定期按时进行备份,并将它们保存于安全处。
(2)一旦软件遭到破坏性攻击,应立即向上级网络领导小组报告,并停止运行该系统。
(3)检查信息系统的日志等资料,确定攻击来源,并将有关情况向上级网络领导小组汇报,恢复软件系统和数据。
5、数据库安全紧急处置措施
(1)定期按时对数据库进行备份,并将它们保存于安全处。
(2)一旦数据库崩溃,网络技术部工作人员应立即启动备用系统。若无备用系统可用,则停止运行该系统,对主机系统进行维修并作数据恢复。同时向上级网络领导小组汇报相关情况。
6、广域网外部线路中断紧急处置措施
(1)广域网线路中断后,网络技术部应在判断故障节点,查明故障原因后,尽快研究恢复措施。
(2)如属我校管辖范围,由网络技术部工作人员立即予以恢复。如属网络运营商管辖范围,立即与相关部门联系,要求修复。
(3)向上级网络领导小组汇报相关情况。
7、局域网中断紧急处置措施
(1)局域网中断后,网络技术部工作人员应立即判断故障节点,查明故障原因,并向上级网络领导小组汇报。
(2)如属线路故障,应重新安装线路。
(3)如属路由器、交换机等网络设备故障,应立即更换、维修相关设备,并调试通畅。
(4)如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试通畅。
(5)向上级网络领导小组汇报相关情况。
8、设备安全紧急处置措施
(1)服务器等关键设备损坏后,网络技术部应向上级网络领导小组汇报相关情况。
(2)立即组织技术人员,查明故障原因。如果能够自行恢复,应立即用备件替换受损部件。如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。
(3)如果设备一时不能修复,应向上级网络领导小组汇报。
(三)报告
当发生校园网络与信息安全突发事件时,校园网络与信息监控人员应按规定及时向学校网络和信息安全事件应急领导小组办公室报告,初次报告最迟不得超过1小时,重大和特别重大的校园网络与信息安全突发事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
四、应急响应
(一)应急响应分级
本预案所指的信息安全突发事件,是指校园网网络基础设施、重要网站与信息系统突然遭受不可预知外力的破坏、毁损和故障,发生对学校造成或者可能造成重大影响,损害学校声誉的紧急事件。
1.事件分类
根据信息安全突发公共事件的发生过程、性质和特征,信息安全突发公共事件可划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害、事故灾难或人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有组织的大规模的反动宣传、煽动和渗透、捏造或者歪曲事实,故意散布谣言,扰乱社会秩序,公然侮辱他人或者捏造事实诽谤他人、宣扬封建迷信、淫秽色情、暴力、凶杀、恐怖等违法破坏活动。
自然灾害是指地震、台风、雷电、火灾、洪水等。
事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。
人为破坏是指人为破坏网络线路、交换设备、黑客攻击、病毒攻击、恐怖袭击等事件。
2.事件分级
网络与信息安全事件根据危害和紧急程度分为Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)、Ⅳ级(一般),分别用红、橙、黄、蓝四种颜色表示。
Ⅰ级(特别重大):导致校园网络瘫痪的安全事件;通过监测发现有网络设备出现总流量或者某个协议数据流量严重异常;某个承担汇聚的骨干网网络设备失去控制。
Ⅱ级(重大):出现一种新的利用主流操作系统和应用程序漏洞的网络蠕虫;蠕虫(或病毒)导致Ⅱ级以上安全事件爆发并留下后门,其后一年内出现了针对该后门的攻击程序;导致我校骨干网络总流量在24小时内异常增加50%的安全事故。
Ⅲ(较大):出现针对两个月内发布的可能被利用侵入并控制主机(及网络设备)的主流操作系统和应用程序漏洞的攻击方法;导致校内某单位网络瘫痪的事件。
Ⅳ(一般):发生一般性信息安全事件;出现新的漏洞,尚未发现利用方法或者被利用迹象;出现新的蠕虫(或病毒)或者其他恶意代码,尚未证明可能造成严重危害;可能造成较大损害的其他信息安全事件。
(二)应急响应行动
1.信息的报送和处理