为规范学院网络安全事件应急处置流程,提高应急处置能力,防范和降低网络安全事件风险,维护学院网络安全稳定,根据《教育部关于印发<教育系统网络安全事件应急预案>的通知》(教技〔2018〕8号)及湖北工业大学相关应急处置预案的要求,结合学院实际,特制定本预案。
一、网站安全
(一)网站出现安全风险(包括但不限于暗链、黑链、非法信息、网页篡改),实验与信息中心应及时向分管领导汇报,启动应急处置预案,并截屏取证、下线网站,并联系涉事单位。
(二)实验与信息中心指导涉事单位将网站限制在私网环境下清理风险隐患,分析审计日志并研判原因,采取安全防范措施阻断入侵。
(三)网站恢复上线后,对涉事网站实行为期一个月的强安全策略防护和监控。重大节日、重要活动等特殊时期,涉事网站关停至特殊时期结束后方可上线。
二、服务器安全
(一)服务器存在安全风险(包括但不限于蠕虫、木马、病毒、非法扫描、僵尸主机等),实验与信息中心应及时向分管领导汇报,启动应急处置预案,并立即切断服务器所有网络连接,并联系涉事单位。
(二)实验与信息中心指导涉事单位在离线条件下,对该服务器进行病毒查杀和补丁升级处理,并做好数据备份工作,必要情况下重新部署服务器。
(三)服务器恢复上线后,对涉事服务器实行为期一个月的强安全策略防护和监控。重大节日、重要活动等特殊时期,涉事服务器关停至特殊时期结束后方可上线。
三、业务系统安全
(一)业务系统(含数据库)遭到入侵或破坏,实验与信息中心应及时向分管领导汇报,启动应急处置预案,并立即下线业务系统,并联系涉事单位。
(二)实验与信息中心指导涉事单位在隔离环境下进行软件系统和数据的恢复,并研判数据是否遭到窃取、篡改、破坏等侵害,核查侵害范围和程度。
(三)业务恢复后,实行为期一个月的内网防护,仅允许校内指定IP访问业务系统,待稳定后逐渐开放外网服务,并实行为期两个月的强安全策略防护。
四、设备故障
服务器等关键设备发生故障后,应立即查明原因并向分管院领导报告,具有备份服务器的立即启用备份服务,并使用备件替换受损部件,及时解决故障,恢复正常服务。确不能自行处理的,应立即与设备提供商联系获取支持。
五、网络中断
发现网络中断应立即查明受影响区域及中断原因,启用备份设备或链路。因物理链路中断的,应立即查明断点并组织抢修。网络故障中断时间超4小时以上的,需立即向分管院领导汇报,并以适当方式向公众做说明(因安全需要主动管制除外)。
六、机房火灾
机房发生火灾或机房火灾报警,应立即打开机房安全门,使用机房内备用灭火器灭火。如遇火情严重的,应迅速从机房中撤出,并拨打119电话向消防人员请求支援,并立即向分管院领导汇报。
七、电力中断
学院电力中断后,应立即观察不间断电源的运行情况,并联系后勤部门知悉停电原因及恢复时间。如停电时间较长,应立即向分管领导汇报,做好备份数据、正常关机及供电后的启动工作。
八、善后处置
(一)网络安全事件解决后,应及时检查、清理系统,并恢复数据、程序、服务,实验与信息中心与涉事单位在5个工作日内以书面形式撰写《网络安全事件整改报告》,详细记录网络安全事件的风险点、处置过程、技术方案、处置结果、损失估算和安全控制措施。
(二)网络安全事件涉及违反国家法律法规的,移交司法机关依法依规予以处理。
本预案由实验与信息中心负责解释,自发布之日起实施。