珠海市理工職業(yè)技術(shù)學(xué)校網(wǎng)絡(luò)安全管理制度
?
珠海市理工職業(yè)技術(shù)學(xué)校
網(wǎng)絡(luò)安全管理制度匯編
?
?
?
目錄
?
3.5?用戶訪問權(quán)限復(fù)查各系統(tǒng)16
3.7?各系統(tǒng)維護部門建立信息處理設(shè)施的監(jiān)視使用程序17
?
第一章信息機房管理制度
1.1認真執(zhí)行《珠海市信息網(wǎng)絡(luò)運行管理暫行辦法》和《珠海市信息網(wǎng)絡(luò)安全保密管理暫行辦法》的各項規(guī)定。保證信息網(wǎng)絡(luò)的可靠運行與信息的安全保密。
1.2中心機房的管理由管理人員負責(zé),非機房工作人員未經(jīng)允許不準(zhǔn)進入。未經(jīng)許可不得擅自連接U盤等便攜存儲設(shè)備,以及不得上機操作和對運行設(shè)備及各種配置進行更改。
1.3外來檢修人員、外來公務(wù)人員等進入中心機房必須由機房管理人員全程陪同,并做好相關(guān)日志記錄。
1.4機房管理人員應(yīng)認真履行各項機房監(jiān)控職責(zé),定期按照規(guī)定對機房內(nèi)各類設(shè)備進行檢查和維護,及時發(fā)現(xiàn)、報告、解決硬件或軟件系統(tǒng)出現(xiàn)的故障,保障系統(tǒng)的正常運行。
1.5對可能對網(wǎng)絡(luò)造成影響的重大網(wǎng)絡(luò)操作(如系統(tǒng)升級、系統(tǒng)更換、數(shù)據(jù)轉(zhuǎn)儲等)應(yīng)事先書面提出報告,采取妥善措施系統(tǒng)和數(shù)據(jù)保護性備份后,經(jīng)相關(guān)領(lǐng)導(dǎo)批準(zhǔn),方可實施操作,并填寫操作記錄。
1.6保持機房內(nèi)清潔衛(wèi)生,禁止將食物、飲料帶入機房,禁止在機房內(nèi)吸煙,進入機房必須穿鞋套或換穿拖鞋,對于意外或工作過程中弄污機房地板和其它物品的,必須及時采取措施清理干凈,保持機房無塵潔凈環(huán)境。
1.7未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn),禁止將機房相關(guān)的鑰匙、密碼透露給其它人員:對于遺失物品的情況要即時上報,并積極主動采取措施保證機房安全。
1.8保證機房用電安全,不得亂接電線,定期檢查供電、用電設(shè)備、設(shè)施,如發(fā)現(xiàn)用電安全隱患,應(yīng)立即采取措施解決,不能解決的必須及時向相關(guān)負責(zé)人員匯報。
1.9機房管理人員應(yīng)熟悉機房內(nèi)部消防安全操作和規(guī)則,了解消防設(shè)備操作原理、掌握消防應(yīng)急處理步驟、措施和要領(lǐng)。定期檢查消防設(shè)備工作狀態(tài),排查消防隱患。
1.10未經(jīng)許可任何人不得挪用和外借機房內(nèi)的各類設(shè)備、資料及物品。機房器材、配件、軟件、工具外借須遵照《資產(chǎn)管理制度》。
1.11相關(guān)數(shù)據(jù)、文檔、資料應(yīng)及時存檔、定期備份,重要資料、文檔、數(shù)據(jù)應(yīng)采取對應(yīng)的技術(shù)手段進行加密、存儲和備份。對于加密的數(shù)據(jù)應(yīng)保證其可還原性,防止遺失重要數(shù)據(jù)。
1.12機房管理人員暫時離開應(yīng)將相關(guān)電腦切換至鎖屏狀態(tài),并關(guān)好門窗;下班離開時應(yīng)檢查門、窗、水、電等是否關(guān)好,應(yīng)做好防火、防盜、防潮、防塵等措施。
?
?
第二章網(wǎng)絡(luò)安全管理制度
2.1職責(zé)
- 負責(zé)制定和管理本文件;
- 負責(zé)制定網(wǎng)絡(luò)訪問控制策略;
- 負責(zé)受理對網(wǎng)絡(luò)的訪問申請和授權(quán);
- 負責(zé)對網(wǎng)絡(luò)設(shè)備狀態(tài)、網(wǎng)絡(luò)運行狀況的日常檢查工作;
- 負責(zé)維護網(wǎng)絡(luò)運行記錄。
- 負責(zé)對網(wǎng)絡(luò)安全管理工作進行監(jiān)督和檢查。
2.2網(wǎng)絡(luò)安全規(guī)劃
- 教育信息化辦公室在網(wǎng)絡(luò)系統(tǒng)規(guī)劃、升級、改造建設(shè)過程中,應(yīng)組織相關(guān)人員對網(wǎng)絡(luò)建設(shè)方案進行評審,使方案滿足網(wǎng)絡(luò)安全管理要求。
2.3網(wǎng)絡(luò)接入控制
- 各部門對涉及到網(wǎng)絡(luò)變更方面的需求(如網(wǎng)絡(luò)結(jié)構(gòu)變更、終端網(wǎng)絡(luò)需求變更(如Hub的接入))、非常規(guī)性網(wǎng)絡(luò)訪問(如外來人員臨時性訪問),需向辦公室提出書面申請,辦公室對變更申請進行評審?fù)ㄟ^后,方可進行操作;
- 無線網(wǎng)絡(luò)由辦公室進行統(tǒng)一部署和管理,如其他部門(單位)需要接入無線網(wǎng)絡(luò)或部署無線網(wǎng)絡(luò)設(shè)備時,需向辦公室提出申請,經(jīng)審批后方可接入。
- 辦公室負責(zé)網(wǎng)絡(luò)與其他外部單位網(wǎng)絡(luò)的安全防護,在網(wǎng)絡(luò)邊界處采取安全措施進行有效隔離防護,并對違規(guī)行為進行檢查和阻斷;
- 辦公室負責(zé)網(wǎng)絡(luò)的VLAN和安全域劃分,不同業(yè)務(wù)應(yīng)用系統(tǒng)盡量安排在不通的安全域中,各VLAN和安全域間應(yīng)采取有效的訪問控制措施;
- 辦公室對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)設(shè)備之間的連接線纜進行標(biāo)識,重要網(wǎng)絡(luò)端口也須進行詳細標(biāo)識;
2.4網(wǎng)絡(luò)安全審計
- 辦公室采取開啟網(wǎng)絡(luò)設(shè)備日志,記錄與網(wǎng)絡(luò)安全相關(guān)的操作與活動,并定期對記錄進行評審,將評審結(jié)果進行記錄。
- 日志保存時間應(yīng)至少保證在一個月以上。
- 辦公室在網(wǎng)絡(luò)關(guān)鍵位置采取網(wǎng)絡(luò)審計手段,對網(wǎng)絡(luò)訪問操作行為進行記錄,定期對記錄進行評審,將評審結(jié)果進行記錄。
2.5網(wǎng)絡(luò)設(shè)備管理
- 辦公室制定網(wǎng)絡(luò)備份策略(如網(wǎng)絡(luò)配置備份、硬件備份),并做好相應(yīng)備案;
- 辦公室每月對網(wǎng)絡(luò)配置、網(wǎng)絡(luò)設(shè)備日志進行備份,并做好備份記錄;
- 辦公室做好網(wǎng)絡(luò)配置、網(wǎng)絡(luò)設(shè)備日志及網(wǎng)絡(luò)設(shè)備備件的保存與管理,保證備份的安全性;
- 辦公室定期對配置備份及設(shè)備備件進行測試,保證其可用性,并對測試結(jié)果進行記錄;
- 根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進行更新,并在更新前對現(xiàn)有的重要文件進行備份;
- 建立日志服務(wù)器,保存日志時間要求超過6個月;
- 定期對設(shè)備口令進行更新。
2.6網(wǎng)絡(luò)安全檢查
- 辦公室制定詳細的網(wǎng)絡(luò)檢查項目,負責(zé)進行網(wǎng)絡(luò)系統(tǒng)運行的日常檢查工作,將檢查結(jié)果進行記錄。
- 辦公室定期對網(wǎng)絡(luò)設(shè)備配置進行檢查和評估,確保網(wǎng)絡(luò)配置與安全策略保持一致,并對檢查結(jié)果進行記錄。
- 定期對網(wǎng)絡(luò)系統(tǒng)進行漏洞掃描,對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進行及時的修補;
2.7網(wǎng)絡(luò)訪問控制
- 辦公室制定網(wǎng)絡(luò)訪問控制策略,并做好相應(yīng)備案。
- 訪問控制策略內(nèi)容應(yīng)包括:根據(jù)業(yè)務(wù)、管理等情況,對不同的部門接入進行劃分;明確各部門只能訪問被允許訪問的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù);規(guī)定各部門訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)使用的手段(如,撥號、VPN等)。
- 辦公室基于網(wǎng)絡(luò)訪問控制策略進行網(wǎng)絡(luò)路由控制;
- 如有用戶需要接入網(wǎng)絡(luò),需要向辦公室提出書面申請,由辦公室審核開通,確保網(wǎng)絡(luò)用戶的訪問權(quán)限符合網(wǎng)絡(luò)訪問控制策略;
- 辦公室制定遠程設(shè)備維護的管理職責(zé)與制度,交信息安全管理小組備案,以保證遠程維護人員的操作符合信息安全管理策略,防止由于疏忽、密碼賬戶泄漏造成未授權(quán)訪問連接網(wǎng)絡(luò)設(shè)備與服務(wù)器。
- 辦公室應(yīng)確保維護廠商的遠程維護連接只允許訪問指定的設(shè)備和服務(wù),由辦公室負責(zé)審批、開啟和關(guān)閉,保持每次遠程連接記錄備查,并對遠程訪問帳號定期進行審核。
- 辦公室對遠程診斷和配置端口采取技術(shù)手段與管理措施進行保護,如無必要,禁止使用遠程診斷和配置端口。
- 辦公室應(yīng)對遠程用戶進行身份鑒別(如回撥程序、證書、密鑰、口令等),若系統(tǒng)的遠程訪問無法提供用戶鑒別措施時,禁止使用遠程訪問功能。
2.8附表一
珠海市教育信息網(wǎng)業(yè)務(wù)登記表
登記編號:?????????????????????????????????????????登記日期:??????年???月???日
?
申請項目 | □?新開戶 ??□?改地址 ?□?暫停 □ 改接入電路方式?□改名 □虛擬主機 ?□主機托管?□其他????????????????? | ||||||||
學(xué)校名稱 | ? ? | ||||||||
? 通信地址 ? | 原址: | 郵編 | ? | ||||||
新址: | ? | ||||||||
聯(lián) 系 人 | ? | 聯(lián)系電話 | ? | 手機 | ? | ||||
學(xué)校代碼 | ? | ? | ? | ? | |||||
內(nèi)網(wǎng)IP地址段 | 教師 | ? | |||||||
學(xué)生 | ? | ||||||||
業(yè)務(wù)應(yīng)用 | ? | ||||||||
高考考場監(jiān)控 | ? | ||||||||
接入點對點 | ? | ||||||||
網(wǎng)絡(luò)設(shè)備 | ? | ||||||||
接入教育網(wǎng)計算機數(shù)量 | 臺 | ||||||||
接入設(shè)備 | 路由器型號 | ? | |||||||
網(wǎng)絡(luò)核心交換機型號 | ? | ||||||||
電路類別 | □光纖?????速率: □10M ???????□100M □ADSL | ||||||||
托管服務(wù)器型號或 虛擬主機空間 | ? | ||||||||
單位簽名蓋章 | ? ? ? 年 ??月 ??日 | 區(qū)教育局信息中心審批意見 | ? ? ? 年 ??月 ??日 | ||||||
市教育局裝備信息中心審批意見 | ? ? ? ??????????????????????????????????????????年 ??月 ??日 | ||||||||
備 ?注 | ? | ||||||||
?
?
注:此表一式三份
?
第三章系統(tǒng)安全管理制度
3.1系統(tǒng)維護管理
- 系統(tǒng)操作人員上崗前必須經(jīng)過上崗前的專業(yè)知識培訓(xùn),包括專門的信息安全培訓(xùn),能正確地執(zhí)行本崗位操作工作。
- 定期對系統(tǒng)使用中的信息安全管理情況進行檢查。
- 在制定的所有系統(tǒng)外包服務(wù)協(xié)議中,必須包括網(wǎng)絡(luò)的安全特性、服務(wù)級別以及所有系統(tǒng)服務(wù)的管理要求等內(nèi)容。
- 在系統(tǒng)服務(wù)過程中,應(yīng)根據(jù)系統(tǒng)服務(wù)協(xié)議中規(guī)定的安全條款、安全特性、服務(wù)級別管理等要求對服務(wù)提供商的服務(wù)進行定期評審和監(jiān)督。
- 應(yīng)對系統(tǒng)中運行的軟件版本進行嚴格控制,對系統(tǒng)軟件版本升級、補丁更新、安全加固等活動組織評審和測試,防止因上述變更影響到應(yīng)用系統(tǒng)的正常運行。
- 定期對系統(tǒng)進行漏洞掃描,對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補。
3.2系統(tǒng)訪問控制 基于業(yè)務(wù)和訪問的安全要求,建立各應(yīng)用系統(tǒng)的訪問控制策略,作為系統(tǒng)維護保養(yǎng)手冊的一部分。?
- 訪問控制策略應(yīng)考慮到下列內(nèi)容:各個業(yè)務(wù)應(yīng)用的安全要求;業(yè)務(wù)應(yīng)用中工作角色和用戶訪問需求;網(wǎng)絡(luò)環(huán)境中的訪問權(quán)限的管理要求;訪問控制角色的分離,例如訪問請求、訪問授權(quán)、訪問管理;用戶訪問請求的正式授權(quán)管理要求;用戶訪問控制的定期檢查與評審要求;用戶訪問權(quán)的取消。
- 基于訪問控制策略,對操作系統(tǒng)的登錄程序加以控制: 不顯示系統(tǒng)或應(yīng)用標(biāo)識符,直到登錄過程已成功完成為止;顯示只有已授權(quán)的用戶才能訪問計算機的告警通知;在登錄過程中,不提供對未授權(quán)用戶的幫助消息;限制所允許的不成功登錄嘗試的次數(shù);記錄不成功的嘗試和成功的嘗試;如果達到登錄的最大嘗試次數(shù),向系統(tǒng)控制臺發(fā)送警報消息。
- 系統(tǒng)管理員應(yīng)限制用戶對應(yīng)用系統(tǒng)遠程訪問的范圍和內(nèi)容,在遠程訪問過程結(jié)束后應(yīng)確保斷開連接;
- 系統(tǒng)管理員負責(zé)記錄用戶遠程訪問操作過程,包括訪問時間、連接方式、訪問用戶、操作過程等。
3.3系統(tǒng)用戶安全管理
(1)系統(tǒng)用戶注冊與注銷程序在服務(wù)器和系統(tǒng)進行安裝時,要改變默認的操作系統(tǒng)管理員賬號名稱和數(shù)據(jù)庫賬號名稱;
(2)系統(tǒng)管理員應(yīng)檢查所授予的訪問級別是否與業(yè)務(wù)目的相適合,是否與組織的安全方針保持一致,例如,它沒有違背責(zé)任分割原則;
(3)當(dāng)用戶的工作角色或崗位發(fā)生變更,或離職時,員工所在單位(部門)應(yīng)立刻填寫《訪問授權(quán)異動申請表》,并報相關(guān)系統(tǒng)管理員批準(zhǔn);系統(tǒng)管理員根據(jù)新的《訪問授權(quán)異動申請表》取消或封鎖該用戶的訪問權(quán);系統(tǒng)用戶標(biāo)識和鑒別,所有用戶擁有唯一指定標(biāo)識,如員工工號;用戶ID是應(yīng)用系統(tǒng)中用戶唯一的、專供其使用的標(biāo)識符,系統(tǒng)管理員應(yīng)配置系統(tǒng),使用戶的各個活動能追蹤到責(zé)任者;當(dāng)需要采用一組用戶或一項特定作業(yè)使用一個共享的用戶ID時,應(yīng)遵照組ID管理進行控制,具體參見“用戶注冊及注銷程序”的組ID條款;
3.4系統(tǒng)用戶口令管理
(1)在用戶初次使用應(yīng)用系統(tǒng)時,系統(tǒng)管理員應(yīng)提供給一個安全的臨時口令,并強制其立即修改;臨時口令應(yīng)以安全的方式給予用戶,不得使用第三方或未保護的(明文)電子郵件消息;
(2)系統(tǒng)管理員應(yīng)對用戶口令設(shè)置進行指導(dǎo)和要求,如口令長度和復(fù)雜性、定期更換等;
(3)系統(tǒng)管理員應(yīng)確保口令不以未保護的形式存儲在計算機系統(tǒng)內(nèi); 各系統(tǒng)管理員應(yīng)在系統(tǒng)或軟件安裝后改變提供商的默認口令;
(4)各信息系統(tǒng)管理人員根據(jù)已審核批準(zhǔn)的《訪問授權(quán)異動申請表》為用戶進行正確的授權(quán),使得用戶與其行為相連接;
(5)特殊權(quán)限管理應(yīng)遵守用戶注冊和注銷管理程序的規(guī)定,特殊權(quán)限包括操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和每個應(yīng)用程序,特殊權(quán)限應(yīng)被分配一個不同于正常業(yè)務(wù)用途所用的用戶ID;
3.5用戶訪問權(quán)限復(fù)查各系統(tǒng)管理員負責(zé)定期(每年)或在有任何變更之后(如人員提升、降級或雇用終止)清查并填寫《訪問授權(quán)一覽表》;對于特定的特殊權(quán)限的訪問權(quán)的授權(quán),系統(tǒng)管理員應(yīng)每6個月進行一次訪問權(quán)復(fù)查,填寫《訪問授權(quán)一覽表》;具有特殊權(quán)限的帳戶的變更應(yīng)在周期性復(fù)查時記入日志。
3.6系統(tǒng)審計
(1)系統(tǒng)日志包含的內(nèi)容:
??????1、用戶ID;日期、時間和關(guān)鍵事件的細節(jié),例如登錄和退出; 終端身份或位置;成功的和被拒絕的對系統(tǒng)嘗試訪問的記錄;成功的和被拒絕的對數(shù)據(jù)以及其他資源嘗試訪問的記錄; 系統(tǒng)配置的變化;特殊權(quán)限的使用;系統(tǒng)實用工具和應(yīng)用程序的使用;訪問的文件和訪問類型;網(wǎng)絡(luò)地址和協(xié)議;訪問控制系統(tǒng)引發(fā)的警報;防惡意代碼系統(tǒng)等防護設(shè)施的激活和停用。
2、各系統(tǒng)管理員必須將系統(tǒng)所有服務(wù)器、應(yīng)用軟件等等系統(tǒng)審核、帳號審核和應(yīng)用審核的日志系統(tǒng)的功能打開,如有警報其功能也必須打開。
3、日志必須保存一定的期限,任何個人和部門不得以任何理由刪除保存期之內(nèi)的日志。
4、日志必須由系統(tǒng)管理員定期檢查,特權(quán)使用、非授權(quán)訪問、系統(tǒng)故障和異常等條目必須進行評審,以查找影響信息安全的風(fēng)險來源和事實。
5、各系統(tǒng)維護部門負責(zé)人應(yīng)定期評審系統(tǒng)管理員和系統(tǒng)操作員的活動日志。
6、各系統(tǒng)維護部門確保入侵檢測系統(tǒng)和安全審計系統(tǒng)處于啟動狀態(tài),日志需保存一定期限,定期評審異常事件,對所有可疑或經(jīng)確認的入侵行為或入侵企圖需及時匯報并采取相應(yīng)的響應(yīng)措施。
7、信息中心負責(zé)記錄、分析故障日志,并對其采取適當(dāng)?shù)拇胧?/strong>
8、信息中心負責(zé)評審故障日志,以確保已滿意地解決故障。
9、信息中心負責(zé)評審糾正措施,以確保沒有危及控制措施的安全,以及所采取的措施給予了充分授權(quán)。監(jiān)視系統(tǒng)的使用
3.7各系統(tǒng)維護部門建立信息處理設(shè)施的監(jiān)視使用程序,并定期評審監(jiān)視活動的結(jié)果。各個設(shè)施的監(jiān)視級別由風(fēng)險評估決定。要考慮的監(jiān)視范圍包括:
3.7.(1)授權(quán)訪問的細節(jié):
(1).用戶ID;
(2).關(guān)鍵事件的日期和時間;
(3).事件類型;
(4).訪問的文件;
(5).使用的程序/工具。
3.7.(2)所有特殊權(quán)限操作:
(1).特殊權(quán)限帳戶的使用,例如監(jiān)督員、根用戶、管理員;
(2).系統(tǒng)的啟動和終止;
(3).I/O設(shè)備的裝配/拆卸。
3.7.(3)未授權(quán)的訪問嘗試:
(1).失敗的或被拒絕的用戶活動;
(2).失敗的或被拒絕的涉及數(shù)據(jù)和其他資源的活動;
(3).違反訪問策略或網(wǎng)關(guān)和防火墻的通知;
(4).私有入侵檢測系統(tǒng)的警報。
3.7.(4)系統(tǒng)警報或故障:
(1).控制臺警報或消息;
(2).系統(tǒng)日志異常;
(3).網(wǎng)絡(luò)管理警報;
(4).訪問控制系統(tǒng)引發(fā)的警報。
改變或企圖改變系統(tǒng)的安全設(shè)置和控制措施的活動。
?
?
?
?
?
?
?
第四章安全事件管理制度
4.1信息安全事件分類
網(wǎng)絡(luò)與信息安全事件一般可以分為攻擊類、故障類和災(zāi)害類等,可能造成的后果是業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓、信息破壞等。根據(jù)學(xué)校網(wǎng)絡(luò)與信息安全事件的發(fā)生原因、性質(zhì)和機理,網(wǎng)絡(luò)與信息安全事件主要分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、設(shè)備設(shè)施故障和災(zāi)害性事件五類:
有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。
網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。
信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。
設(shè)備設(shè)施故障分為軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。
災(zāi)害性事件是指自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)和信息系統(tǒng)故障。
4.2信息安全事件分級
根據(jù)信息安全事件的分級考慮要素,將信息安全事件劃分為四個級別:特別重大事件、重大事件、較大事件和一般事件。
特別重大事件是指能夠?qū)е绿貏e嚴重影響或破壞的信息安全事件,包括以下情況:會使特別重要信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失;產(chǎn)生的社會影響會波及到全市的大部分地區(qū),威脅到國家安全,引起社會動蕩,對經(jīng)濟建設(shè)有極其惡劣的負面影響,或者嚴重損害公眾利益。
重大事件是指能夠?qū)е聡乐赜绊懟蚱茐牡男畔踩录ㄒ韵虑闆r:會使特別重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失;或使重要信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失;產(chǎn)生的社會影響波及到全區(qū)的大部分地區(qū),對經(jīng)濟建設(shè)有重大的負面影響,或者損害到公眾利益。
較大事件是指能夠?qū)е螺^嚴重影響或破壞的信息安全事件,包括以下情況:會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失;或使重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失、一般信息信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失;擾亂社會秩序,對經(jīng)濟建設(shè)有一定的負面影響,或者影響到公眾利益。
一般事件是指能夠?qū)е螺^小影響或破壞的信息安全事件,包括以下情況:會使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失;或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失,一般信息系統(tǒng)遭受嚴重的系統(tǒng)損失;對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益基本沒有影響,但對個別公民、法人或其他組織的利益會造成損害。
4.3信息安全事件的預(yù)防
信息中心必須積極貫徹預(yù)防為主、嚴格管理的原則,評價事件發(fā)生的潛在因素和可能的程度;組織制定和監(jiān)督實施預(yù)防措施、操作規(guī)程或工作標(biāo)準(zhǔn);配置必要的資源;開展教育培訓(xùn)、檢查、考核和整改活動,控制或消除可能導(dǎo)致事件發(fā)生的各種因素。預(yù)防措施應(yīng)下達至直接相關(guān)的層次和崗位。
信息中心應(yīng)根據(jù)事件發(fā)生可能造成的危害、損失,組織制定不同級別的應(yīng)急預(yù)案,并對應(yīng)急預(yù)案的可靠性進行評價。應(yīng)急預(yù)案應(yīng)當(dāng)受控和備案,并發(fā)放至直接相關(guān)層次和崗位,保存相關(guān)記錄。應(yīng)急預(yù)案應(yīng)定期進行演練和培訓(xùn),必要時組織修訂。
4.4信息安全事件的報告
4.4.(1)事件通知
(1)當(dāng)信息系統(tǒng)發(fā)生事件時,信息系統(tǒng)使用或維護部門(單位)應(yīng)立即在第一時間向上級部分、學(xué)校領(lǐng)導(dǎo)口頭通知事件情況,說明事件發(fā)生的時間、部位、表象、程度和影響;
(2)信息中心接到口頭通知后立即組織人員開展搶修工作,根據(jù)事件嚴重程度,直接向?qū)W校主管領(lǐng)導(dǎo)報告。
4.4.(2)事件調(diào)查報告
(1)發(fā)生重大信息安全事件,信息系統(tǒng)維護單位應(yīng)在3個有效工作日內(nèi)將書面《信息安全事件報告》報信息中心,由辦公室負責(zé)人審定后,在1個有效工作日內(nèi),將審核意見及報告上報教育局局主管領(lǐng)導(dǎo)審批。
(2)較大信息安全事件,信息系統(tǒng)維護單位應(yīng)在2個有效工作日內(nèi)將書面《信息安全事件報告》報信息中心,由辦公室負責(zé)人審定后在1個有效工作日內(nèi),將審核意見及報告上報主管領(lǐng)導(dǎo)審批。
(3)一般信息安全事件,信息系統(tǒng)維護單位應(yīng)在1個有效工作日內(nèi)將書面《信息安全事件報告》報信息中心,由辦公室負責(zé)人審定后在1個有效工作日內(nèi),將審核意見及報告上報主管領(lǐng)導(dǎo)。
(4)信息系統(tǒng)故障,信息系統(tǒng)維護單位應(yīng)在當(dāng)天將故障情況登記在冊,內(nèi)容包括故障發(fā)生、處理經(jīng)過和簡要原因分析。在一個月內(nèi)同一部位連續(xù)發(fā)生同一故障3次,按一般信息安全事件處理。
4.5信息安全事件應(yīng)急響應(yīng)
(1)當(dāng)事件發(fā)生時,信息中心應(yīng)當(dāng)立即啟動應(yīng)急預(yù)案或采取有效措施,全力而有序地組織搶救搶修,防止事件擴大,消除各種危險,盡快恢復(fù)系統(tǒng),將各種損失減到最低程度。
(2)信息系統(tǒng)維護單位的相關(guān)人員應(yīng)在事發(fā)或接到事發(fā)報告1小時內(nèi)到達事發(fā)現(xiàn)場,開展事件處理工作。
(3)發(fā)生重大信息安全事件,在迅速進行應(yīng)急處理或者請求其他力量支援進行應(yīng)急處理的同時,應(yīng)當(dāng)立即報告區(qū)信息辦,并盡可能保存好原始證據(jù),保護好現(xiàn)場;如涉及違法犯罪的,還應(yīng)當(dāng)同時依法報告公安、安全等部門。
(4)在應(yīng)急處理過程中,應(yīng)當(dāng)采取手工記錄、截屏、文件備份和影像設(shè)備記錄等多種手段,對應(yīng)急處理的步驟和結(jié)果進行詳細記錄。
4.6信息安全事件的調(diào)查處理
1、對于信息安全事件,在故障排除或采取必要措施后,由學(xué)校召集、成立事件調(diào)查組,必要時,可邀請委托維護單位以外有能力的機構(gòu)做出技術(shù)鑒定。
2、事件調(diào)查組利用合法手段在事件現(xiàn)場收取證據(jù);向信息系統(tǒng)使用或維護單位了解事件發(fā)生經(jīng)過,收集相關(guān)資料,查明事件發(fā)生的原因、危害程度及造成的損失等情況,檢查預(yù)防和控制事件發(fā)生的措施以及事件發(fā)生后應(yīng)急預(yù)案是否得當(dāng)并得到落實,確定事件的級別和性質(zhì),查明相關(guān)責(zé)任并提出處理建議,提出防止類似事件再次發(fā)生的措施和建議。
3、信息系統(tǒng)使用或維護部門(單位)應(yīng)協(xié)助、配合調(diào)查組完成調(diào)查工作;保護事件現(xiàn)場、向調(diào)查組提供相關(guān)資料、接受調(diào)查組的詢問等,并對其真實性負責(zé)。
4.7信息安全事件的整改
學(xué)校應(yīng)在事件調(diào)查結(jié)束后迅速組織制定和下達事件整改措施,明確措施內(nèi)容、完成期限、責(zé)任單位和檢查方式,并監(jiān)督實施。
信息系統(tǒng)使用和維護單位負責(zé)組織事件整改措施的落實,在規(guī)定的期限內(nèi),完成相應(yīng)的整改工作,防止同類事件的再次發(fā)生。
4.8獎懲與備案
???1、(獎勵)對獲取關(guān)鍵證據(jù)和確定事件發(fā)生原因做出特殊貢獻的人員,給予表彰獎勵。
2、(懲戒)發(fā)生信息安全事件,有關(guān)責(zé)任人有瞞報、緩報和漏報等失職情況,給予通報批評;對造成嚴重不良后果的,將視情節(jié)輕重追究責(zé)任人的行政責(zé)任;構(gòu)成犯罪的,由有關(guān)部門依法追究其法律責(zé)任。
3、(懲戒)在重大信息安全事件的調(diào)查處理中,對于有銷毀、篡改、藏匿證據(jù),或者提供虛假證據(jù),干擾、阻礙調(diào)查以及授意他人干擾、阻礙調(diào)查行為的人員,給予通報批評,對造成嚴重不良后果的,將視情節(jié)輕重追究責(zé)任人的行政責(zé)任;構(gòu)成犯罪的,由有關(guān)部門依法追究其法律責(zé)任。
4、(備案)對信息安全事件報告以日期為索引進行分類、編號、歸檔,長期保存,以供借鑒。
4.9附表1:《信息安全事件報告》
信息安全事件報告(樣式)
?
事件發(fā)生部門: | 事件發(fā)生時間: |
事件調(diào)查處理部門: | 調(diào)查人員: |
事件類型: | |
事件級別: ????□重大 ????□較大 ????□一般 ? | |
事件描述及處理經(jīng)過 ? ? | |
調(diào)查負責(zé)人: | 日期: |
事件影響及原因分析 ? ? | |
調(diào)查負責(zé)人: | 日期: |
處理意見 ? ? | |
批準(zhǔn)人: | 日期: |
糾正預(yù)防措施 ? ? | |
責(zé)任部門: | 日期: |
糾正預(yù)防措施的驗證 ? ? | |
驗證人: | 日期: |
?
?
?
?
