粤交职院〔2012〕86号

关于印发《广东交通职业技术学院信息安全应急响应预案（试行）》的通知

学院各部门：

根据广东省公安厅网络信息系统安全管理的有关规定，结合学院实际，学院制定了《广东交通职业技术学院信息安全应急响应预案（试行）》，现印发你们，请遵照执行。

附件：广东交通职业技术学院信息安全应急响应预案（试行）

                                                                                                                                                        二〇一二年七月三日

主题词：信息 安全  应急预案

广东交通职业技术学院

信息安全应急响应预案（试行）

第一章 总 则

  一、编制目的

为了全面加强和完善广东交通职业技术学院网络信息系统安全管理，有效应对信息安全突发事件，提高信息安全应急处置能力，保证网络与信息安全指挥协调工作能够迅速、高效、有序地进行，及时控制和最大限度地消除信息安全各类突发事件的危害和影响。根据国家和广东省的有关规定，制定本预案。

二、编制依据

根据《信息安全应急响应计划规范GB/T24363-2009》、《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《广东交通职业技术学院加强校园网络安全管理暂行规定》等有关法规、规定，制定本预案。

三、适用范围

 本预案适用于广东交通职业技术学院计算机网络及各类信息应用系统安全突发事件的应急响应。

四、工作原则

1.明确责任、分级负责。按照“谁主管谁负责，谁运行谁负责”的要求，逐级建立信息系统责任制和应急机制。

2.加强领导、分工合作。按照规定的职责和流程，实施统计信息系统的应急处理工作。

3.积极预防、及时预警。及早发现安全事件，及时进行预警和信息通报。

4.协作配合、确保恢复。要协同配合，确保在最短的时间内完成系统的恢复。

五、组织机构和职责

1、组织机构

广东交通职业技术学院信息安全应急工作由学院档案信息中心统一领导，每个部门设立一名信息安全员，具体负责信息安全日常事务处理、应急处理及安全通报等事务。

2、工作职责

档案信息中心关于信息安全方面的主要职责具体如下：

(1)制定学院校园网络与信息安全应急处置预案。

(2)做好学院校园网络与信息安全应急工作。

(3)协调校内各相关部门之间的网络与信息安全应急工作，协调与中国电信、中国教育网运营商之间的信息安全应急工作。

(4)发生网络与信息安全突发公共事件时， 应及时向学院分管领导、相关部门和上级信息安全监管部门报告。

(5)组织学院内部及校外的网络安全技术支持力量，做好应急处置工作。

信息安全员的职责：

（1）加强与相关部门联系，综合整治本部门的网络与信息安全工作。

（2）做好学院档案信息中心下达的关于信息安全方面的任务。

第二章 安全预防与预警机制

一、预防预警信息

1、预防预警信息的来源

 (1)来自于上级安全管理部门预防预警信息。包括上级教育部门、上级公安网监分局等。

 (2)互联网上国内外安全网站上的预警信息。跟踪国内外关于网络攻击和病毒发布的预警信息，得到最新的安全预警信息。

 (3)日常网络状况的监测和分析。利用现有的网络运营监控系统，对网络中的流量进行统计分析，通过对异常状况进行分析实现网络安全预警。

(4)用户的投诉。通过对用户投诉的处理，分析是否由安全漏洞或安全攻击引起，若具有普遍性，进行预警。

 2、预防预警的处置原则

 按照“早发现、早报告、早处置”的原则，明确影响范围、了解信息渠道、加强监督与管理、落实责任机制建设。

二、预防预警信息处理

 1.根据上述的预防预警信息来源，采取相应的方式、方法予以处理，包括：

 (1)及时传达上级部门的预防预警信息；

 (2)分析日常网络运行状况，对于可能存在安全隐患的节点，要求涉及人员对其进行重点监控；

 (3)对于各种最新的系统安全漏洞、黑客攻击手段和病毒发布情况，在办公系统进行发布，并给出应急处理办法。

 2. 通过定期对网络安全状况进行安全审计和漏洞扫描监督检查措施。

第三章 应急响应

一、响应级别划分

 网络与信息安全突发事件响应级别按可控性、严重程度和影响范围分为四级，紧急程度由高到低分别为：

 1、一级应急响应（特别重大）

 事件描述：校园网络发生全网性瘫痪，数字化校园应用平台受攻击失去正常功能，对正常教学、科研等活动造成重大危害的突发事件。

档案信息中心主要职责：请求上级部门支持，协调学院各相关部门，指挥、组织技术力量做好应急处置工作，并负责及时向公安的相关部门进行报告。

2、二级应急响应（重大）

事件描述：办公系统、学院门户网站等重要信息系统发生系统性瘫痪，对社会秩序、公共利益等造成一定损害，无法短时间内恢复，需要跨部门协同处置的突发事件。

档案信息中心主要职责：协调各相关部门，指挥、组织技术力量做好应急处置工作，并负责按时向分管领导相关部门和公安部门进行报告。

3、三级应急响应（较大）

事件描述：局部网络及各类业务管理信息系统发生瘫痪，对学院主要业务活动造成影响，但无需跨部门协同处置的突发事件。

档案信息中心主要职责：组织技术力量做好应急处置工作，并负责按时向学院分管领导进行报告。

4、四级应急响应（一般）

局部网络及各类业务管理信息系统发生一定程度损坏，对学院一般业务活动造成轻微影响，可由相应技术人员单独处置的突发事件。

档案信息中心主要职责：组织相关技术人员做好应急处置工作。

突发事件发生后，档案信息中心要根据突发事件的响应级别及时上报和处置，并做好相应记录。一级应急事件需即时上报，二级应急事件在1小时内上报，三级应急事件在2小时内上报。

二、应急响应及处置程序

（一）网络和主机系统安全应急处理

1、应急措施

(1)网络设备和主机系统安全策略实施情况定期自查。

(2)重新设置网络设备和主机系统的口令，删除不需要的账号，并严格检查网络设备和主机系统的登录记录。

(3)启动网络设备和主机系统的日志功能，日志必须能够准确记录设备故障、系统用户的登录和操作等内容。

(4)系统管理员应提前做好网络设备和主机系统数据的备份。

(5)发现有用户存在危害安全的行为时，通知用户限期进行整改，对于警告后仍不予以改正的用户可以采用封堵端口和切断网络的措施加以纠正，对于情节特别严重的报公安部门。

(6)及时向上级领导汇报网络安全情况，遇到重大安全事件需在1小时内上报，并在事件处理后3个工作日内上报事件处理情况。

2、应急处理流程

(1)系统管理员或者普通用户发现安全问题，应向信息安全员报告，并保留有关原始记录。

(2)信息安全员在系统管理员或者普通用户的协助下进行安全问题的诊断和分析，确定安全问题的类型。

(3)对于网络攻击应及时判断攻击源，同时将攻击源报告市公安局网监支队，请求网络安全管理机构进行协调解决。攻击针对于非业务端口，则关闭这些端口，攻击针对于业务端口，则调整主机系统本身和防火墙系统的设置，尽量降低攻击的危害。

(4)对于系统入侵，应采取紧急消除和恢复的方法。

(5)在进行网络设备和主机系统恢复和安全漏洞修补之前必须对入侵事件影响到的所有文件和日志进行备份，以免入侵的特征、证据和日志在入侵事件处理中丢失。

(6)在系统恢复和安全漏洞修补之后，还应分析入侵事件对被入侵系统和相关系统的影响，如果入侵事件可能导致系统文件被非法修改，必须在紧急消除和恢复之后尽快进行全系统的重新安装和配置，以防止系统被安装木马程序。如果由于客观原因，系统不允许重新安装，必须对系统进行全面的安全扫描以检查系统中潜在的安全漏洞。如果入侵事件可能影响到网络中其它系统，必须对相应系统作安全检查。

(7)在安全问题处理完毕后，必须进一步分析安全问题产生的原因和条件，并检查网络中其它系统是否也存在导致类似安全问题的漏洞，若存在，应尽快进行修补。

(8)对于信息安全员无法处理的安全问题，应逐级上报。

(9)信息安全员负责对安全问题的处理过程和结果进行备案。对于重大的安全事件（指由安全问题引起的系统崩溃、宕机等），应在半小时内上报档案信息中心，并在处理后3个工作日之内写出书面的处理报告，将事件的现象、原因、处理过程、处理结果以及经验教训逐级上报。

（二）计算机病毒应急处理

1、应急措施

(1)对服务器系统病毒防治系统，保证计算机病毒防治软件的可用性，并及时升级到目前最新版本。

(2)定期对服务器系统进行病毒的检测和清除。

(3)严格检查电子邮件，先进行邮件病毒的检测和清除。

(4)信息安全员密切关注最新病毒和处理手段的发布，并做好对已知重大病毒的防范。

2、应急处理流程

(1)系统管理员或者普通用户发现安全问题，应向信息安全员报告，并保留有关原始记录。

(2)信息安全员在系统管理员或者普通用户的协助下进行安全问题的诊断和分析，确定安全问题的类型。

(3)如果安全问题是由计算机病毒引起的，应使用杀毒软件对计算机病毒进行消除。

(4)若计算机病毒已造成文件或数据损坏或者丢失，且使用杀毒软件或者其它手段无法进行修复，则使用备份进行恢复；如果被感染计算机已无法正常启动或操作系统无法正常运行，应重新安装操作系统和应用软件，并调用备份进行恢复。

(5)对无法清除的计算机病毒，信息安全员应保留原始记录后及时向公安部门报告，并采取隔离、控制等措施。在公安部门确认病毒类型、查明传入途径并彻底清除病毒后，方可重新投入使用。

(6)信息安全员负责对计算机病毒的处理过程和结果进行备案。对于重大的计算机病毒事件（指由计算机病毒问题引起的系统崩溃、宕机等），应在半小时内上报档案信息中心，并在处理后3个工作日之内写出书面的处理报告，将事件的现象、原因、处理过程、处理结果以及经验教训逐级上报。

（三）信息内容安全应急处理

(1)网站管理员应加强对网络信息监控。

(2)发现网络不良信息，应首先切断信息源的网络连接，对现场进行备份取证。

(3)在半小内上报档案信息中心，由档案信息中心根据不良信息危害程度及不良信息来源情况，决定是否报上级部门。

(4)不需报上级部门的事件，由系统管理员负责清除不良信息，并由内容管理员和信息安全员进行检查，检查范围包括WEB服务器、DNS服务器、FTP服务器、邮件服务器及其它负责信息传播及存储的设备，确保已彻底清除不良信息。

(5)需报上级部门的事件，积极配合公安部门或在公安部门指导下进行处理和检查。

(6)在清理不良信息后，信息安全员要及时分析日志，找出不良信息来源，并形成事件报告。

（四）网络应用安全措施

目前网络应用主要有WEB、FTP、E-mail及DNS等，因此在保证操作系统可靠性的基础上，对这些应用服务的安全性应重点关注。

1、WEB服务器管理原则

(1)信息管理员要定期对WEB服务器上的内容进行检查。

(2)系统管理员做好WEB服务器数据的备份工作，以便在出现问题时给予及时恢复。

(3)不得以系统最高权限用户运行WEB服务进程。

(4)将Web文档根据类型分别存放于不同的目录下，并对目录权限作相应的设置。对于存放静态页面、图片的目录应设置为只读，对于存放脚本、CGI程序的目录应该设置为只执行。

(5)禁止对Web目录的索引。

(6)删除Web站点上默认安装的Web文档。

(7)删除Web站点上默认安装的不需要的组件和CGI程序。

(8)如果Web服务需要用户输入进行交互，对于用户的输入应该做严格的检查，避免用户通过设计输入的内容来破坏系统的安全。

(9)如果Web服务需要与后台数据库连接，在数据库用户权限设置时应该遵循最小权限原则。

(10)如果需提供数据库查询服务，应加强应用程序的安全性检查，杜绝SQL注入漏洞。

(11)重新设置日志文件的存放位置和访问权限，防止网络入侵者通过修改日志来隐藏行踪。

(12)一般不提供外部用户上载文件的手段，如果必需，必须对上载文件的存放位置做严格的规定并对文件类型进行检查。

2、FTP服务器的管理原则

(1)一般情况下不允许为外部用户提供匿名的FTP服务，如果必需，信息管理员要定期对FTP服务器上的内容进行检查。

(2)为匿名FTP用户建立专门的用户组，并通过设置对禁止该组用户执行系统Shell命令。

(3)正确设置FTP主目录的属主和权限进行设置。

(4)为FTP用户建立专门的Shell命令目录及运行环境。

(5)为FTP用户建立公共目录。

(6)需要外部用户上载文件，则在公共目录中建立上载目录，并禁止匿名FTP用户在该目录中建立子目录。

(7)关注FTP软件漏洞发布的情况，及时进行修补。

3、DNS服务器的管理原则

(1)采用发放时间较长，相对稳定安全的软件版本进行安装。

(2)做好DNS数据的备份工作。

(3)DNS服务器之间的域信息传递应加地址限制。

(4)关闭DNS服务器的递归查询功能。

4、邮件服务器的管理原则

(1)信息安全员要经常关注邮件软件的漏洞发布情况，及时修补。

(2)关闭邮件服务软件的OpenRelay功能，禁用邮件的Relay功能。

(3)开启邮件过滤功能，对不良的邮件内容进行过滤。

(4)开启smtp发信认证功能。

（五）信息系统电力故障的应急处理流程

(1)报告。任何部门和人员发现本部门信息系统用电出现异常情况时，都应及时向档案信息中心报告。

(2)处理流程。信息中心立即启动电力系统故障应急处理流程，尽快查清故障原因，提出解决办法，确定故障排除可能需要的时间，协调各相关部门。

(3)中心机房停电的处理。网络运行负责人应根据停电时间和UPS电池的供电能力，在保证重点网络关键设备用电的前提下，提出机房设备部分关机或全部关机方案。经认可后，安排相关人员按照规定的流程操作实施。

(4)电力系统恢复供电后的处理流程。电力系统恢复供电后，信息中心应在第一时间恢复关闭的网络应用。

（六）黑客入侵的应急处理

(1)报告和简单处理。发现网络上有黑客攻击行为，任何人员都有义务向信息中心报告。中心立即启动应急响应，切断受攻击计算机与网络的连接，停止一切操作、保护现场，并上报有关领导。

(2)处理和恢复使用。对于黑客攻击，由信息中心组织专家查找入侵踪迹，分析入侵方式和原因。由信息安全员根据对入侵事件的分析，组织相关人员对内部网计算机整改，防止黑客用同样的手段再次入侵其他系统。信息安全员检查确定无安全隐患后，才可将受攻击计算机重新连接网络，或启用备份计算机来恢复应用。

(3)应急响应。信息安全员应做好记录，保护现场，进行日志收集等工作。如果能追查到攻击者的相关信息，可以对其发出警告，必要时可以采取进一步的行动，乃至采取法律手段。根据破坏程度，经有关领导同意后，上报公安部门。若系统已被黑客破坏，无法恢复，应将受黑客攻击的计算机上的重要数据备份到其他存储介质，确保计算机内重要的数据不丢失；如果数据无法恢复，经有关领导同意后，可与国家指定的部门联系，由他们来协助恢复，为保证数据信息安全，需在安全管理部门作记录。

 三、应急结束

当应急响应涉及的事件结束后，在征得档案信息中心上级领导同意后，通知应急结束。

第四章 应急保障

一、平时网络与信息安全的防护

1、组织管理措施。档案信息中心对各部门负责信息安全的人员及联系方式，要做到及时更新，并进行定期的安全知识培训。

2、技术保障。一方面进行网络设备的安全加固，例如增加防火墙、入侵监测设备等，对已知的系统漏洞及时安装补丁程序；另一方面要进行技术储备，对内部进行人员定期培训，同时采取通过向专业网络安全公司购买安全服务的方式，加强处理互联网紧急情况的能力和效率。

3、在网络工程建设和规划方面，要切实加强网络安全方面考虑，设计时要考虑设备的冗余备份，信息存储的异地备份等。

二、应急预案演练

应急小级要定期进行应急预案的演练，增强应急响应的能力和意识，内容涉及网络设备和主机系统防护、计算机病毒处理、垃圾邮件封堵、不良信息的查处等。