湖南省教育厅、省委教育工委网络和信息安全类突发事件应急处置

转自：湖南教育网

网络和信息安全类突发事件应急处置

预警机制措施

预警信息

各级教育网络中心[中国教育和科研计算机网(CERNET)湖南主节点，省教育网络中心，省教育厅直属单位网络中心 (局域网)，各市州县级网络中心(局域网)，各学校网络中心(校园网)，各级各类教育网站]通过实时监测，及时与省内外网络信息安全机构，特别是 CERNET紧急响应组(CCERT)交流，收集安全信息等手段获得安全预警信息，周期性或即时性地向各教育单位网络中心发布主要异常流量来源单位、可能招致攻击的网络互联设备和计算机的安全漏洞、网络蠕虫病毒的动态变化趋势统计及有害信息传播等预警信息。

10.1.2 预警行动

网络和信息安全预防措施包括分析安全风险，准备应急处理措施，建立网络与信息系统的监测体系，控制有害信息的传播，预先制定信息安全重大事件的通报机制。

(1)网络和信息安全风险

各级教育网络中心面临着共同的网络和信息安全风险，一般包括：

关键设备或系统的故障，自然灾害(水、火、电等)造成的物理破坏；人为失误造成的安全事件；病毒蠕虫等恶意代码危害；人为的恶意攻击 (包括拒绝服务、系统入侵、篡改主页、窃取敏感信息、散布有害信息等)

(2)应急准备

各网络或信息中心明确职责和管理范围，做出被管对象和相应风险列表文档。

CERNET湖南主节点的网络和信息安全由湖南主节点负责，省教育网络中心及教育门户网站由省教育管理信息中心负责，省教育厅直属单位及各市州县市区、学校教育网络中心 (校园网、局域网、教育网站)的网络和信息安全由各单位负责。各级教育网络中心按要求安排应急值班，并将值班安排逐级上报上级主管部门，确保到岗到位，联络畅通，处理及时准确。

(3)具体实施

A、物理环境 建立落实管理制度和技术防范措施，建立安全、可靠、稳定运行的机房环境，并落实以下预防措施：

●防火、防盗、防雷电、防水、防静电、防尘，对运行关键部位实施7×24小时保卫。禁止任何非授权人员进入；

●建立备份电源系统，并定期检查系统是否能正常工作；

●建立重大安全事件发生时的人员疏散机制；

●对所有人员进行防火、防盗等基本技能进行培训。

B、网络设备和通信线路

●核心设备和线路备份，避免单点故障；

●核实路由器操作系统安全、打过补丁；

●禁止未授权访问，授予管理员不同权限，关闭非必要服务；

●采用认证方式避免非法接入和虚假路由信息；

●实时监视和入侵监测，及时排除故障、处理攻击；

●保证足够带宽，防止突发流量造成拥塞导致网络瘫痪。

C、计算机系统

重要系统采用高可靠硬件、稳定软件、备份等措施，落实数据备份机制，遵守安全操作规范：

●安装稳定的操作系统和最新补丁，并定期更新；

●关闭所有不必要的服务、帐号；

●安装有效的防病毒软件，并及时更新病毒定义码；

● 严格限制内部用户的访问权限；

● 对用户和管理员进行安全技术培训；

● 对关键系统实施全时动态监测；

●对重要的数据定期备份。

D、重要的信息系统

● 重要的信息服务实行登记备案制度;

●建立严格的信息上网审查制度，发表在BBS 、聊天室、留言板、论坛等交互性栏目上的信息，必须执行先审后发的制度；

●为避免域名系统的单点故障，建立至少主辅备份，并分布在不同的子网网络，并严格配置主机系统安全；

●对于单位或部门的网页服务器，除了严格配置主机系统安全以外，还应该建立防火墙保护主机的安全；

●对有重大影响的信息系统，除采取安全技术手段外，还应建立 7×24的全天监控机制，及时发现并解决问题；

●不具备建立网络及软硬件环境条件的单位，应将信息系统托管到有条件的教育网络中心。

E、各级网络边界控制

●在各单位局域网边界建立防火墙，在重大安全事件爆发时可以实施访问控制；

●在邮件服务器前配置反病毒和反垃圾邮件网关；

●安装入侵检测系统，监测攻击、病毒和蠕虫的发展，及时发现重大安全攻击事件；

●采用信息网关控制、内容过滤等技术手段，控制有害信息经过网络的传播。

(4)报告

在所管辖范围内的管理对象发生事件后，立即启动安全事件处理流程，分析、定位事件的来源和危害程度。

出现单位内所管辖的网络和信息安全事件时，一般事件在单位内报警并作相关处理。重大事件和影响超出本单位管辖范围时，向上级管理部门紧急报警。必要时逐级上报。

一般安全事件，可向入侵者所在的网络管理员投诉。严重安全危害事件(如造成重大经济损失、涉及破坏国家信息安全的反动政治言论)，应当及时消除、保留证据，并按应急组织体系向上一级报告，请示进一步处理的决策； CERNET湖南主节点报省教育网络和信息安全突发事件应急处置工作领导小组办公室及CERNET华中地区主节点，其它教育网络按属地原则逐级上报，同时根据需要依法向其它部门报告。

应急响应

网络安全事件分级

对已经发生或可能发生的教育网络信息安全突发事件，按照可预计的严重程度及影响范围分为以下级别：

(1)Ⅰ级事件

CERNET湖南省主节点及省内主干网络中断甚至是全部中断超过8 小时；省教育网络中心及教育门户网站中断甚至是全部中断超过12小时；教育单位管辖内的教育网络物理环境、基础设施、数据资源等发生严重损失，5个工作日内无法完全恢复；大范围、长时间公开发布(获取)对教育单位内部或社会稳定造成严重不良影响的信息；发布 (获取)触犯国家法律的信息构成犯罪的。

(2)Ⅱ级事件

CERNET湖南省主节点及省内主干网络中断甚至是全部中断超过2 小时，小于8小时；省教育网络中心及教育门户网站中断甚至是全部中断超过4小时，小于12小时；教育单位管辖内的教育网络物理环境、基础设施、数据资源等发生重大损失，2个工作日内无法完全恢复；公开发布( 获取)对教育单位内部或社会稳定造成不良影响的信息；发布(获取)触犯国家法律的信息但尚未构成犯罪的。

(3)Ⅲ级事件

CERNET湖南省主节点及省内主干网络中断甚至是全部中断超过30 分钟，小于2小时；省教育网络中心及教育门户网站中断甚至是全部中断超过1小时，小于4小时；教育单位管辖内的教育网络物理环境、基础设施、数据资源等发生较大故障，1个工作日内无法完全恢复；公开发布( 获取)不良信息但未造成较大不良影响；发布(获取)可能触犯国家法律的信息得到及时处理的。

(4)Ⅳ级事件

CERNET湖南省主节点及省内主干网络中断甚至是全部中断小于30 分钟；省教育网络中心及教育门户网站中断甚至是全部中断超过小于l小时；教育单位管辖内的教育网络物理环境、基础设施、数据资源等发生故障，1个工作日内可以完全恢复；发布(获取)不良信息得到及时处理的。

网络环境安全事件的应急处置

对火灾、盗窃、破坏等紧急事件按照国家有关法律法规、单位有关规定处理。影响全省网络运行和信息安全的重大事件由省教育网络和信息突发事件应急处置工作领导小组统一指挥处置。影响CERNET湖南网络运行和信息安全的重大事件由省主节点统一指挥处置。

遇供电相关紧急事件，由单位网络信息安全责任人作紧急现场处置，根据停电时间、用电功耗、电池电能储备、供电管理部门信息、网络和信息运行情况等条件作调度，包括次要系统停电减轻负载等措施，密切跟踪参数变化并反馈调整控制，联系相关公司和人员作现场维护。

网络运行事件处置

网络运行相关事件由各级教育网络中心运行部门负责，遇重大事件时应立即向相应网络中心负责人报告。事件包括：线路中断、路由故障、流量异常、域名系统故障等；

网络攻击事件处置

由所属各级教育网络中心按部门分工和应急流程处置。对于大规模、影响较大的恶意移动代码、拒绝服务攻击、系统入侵和端口扫描等攻击行为作如下处置：

（1）通知应急负责人和网络中心负责人，并由其决定上报或通报；

（2）按预案通知相关管理员采取措施，在紧急情况下，可直接实施控制；

（3）处置人员记录事件处理步骤和结果，总结报告上交上级主管部门。

信息安全事件处置

发生信息安全事件应紧急通知信息主管负责人，及时消除非法信息，恢复系统。在无法迅速恢复系统，而且影响较大时，应实施紧急中断连网，并紧急上报。

应急保障

组织保障

(1)省教育厅网络和信息安全突发事件应急处置工作小组，统一协调处理CERNET 和省内各级教育网络信息安全事件。

(2)CERNET湖南主节点下设网络与信息安全类突发事件应急处置响应组 (HNCERT)，在CERNET和省教育厅的领导下，统一协调CERNET湖南主节点和各入网高校校园网网络中心处理信息安全突发事件。

(3)CERNET湖南主节点负责本地的安全运行保障，建立本地区的安全运行保障体系。并按国家法律法规和安全管理规定，明确与当地公安部门、教育行政部门、通信管理局等国家安全管理相关部门的衔接，明确与当地电信运营商、供电公司等运行安全相关单位的责任划分和应急协调机制。

(4)CERNET接入单位(主要为高校 )负责本单位局域网(主要为校园网)的网络与信息安全保障工作。各CERNET接入单位应成立网络和信息安全突发事件应急处理工作组，并将工作组名单与联系方式报省教育厅和CERNET湖南主节点备案。

(5)其它教育单位均应成立相应组织机构，制定应急处置预案，并按行政隶属逐级上报上级主管部门。

通信保障

省教育网络和信息安全突发事件应急处置工作领导小组办公室负责建立全省各级教育单位之间的应急处置联系信息。

CERNE湖南主节点负责建立各入网单位网络中心的通信联络信息，以及与 CERNET国家网络中心之间的业务联系信息。

上述联络信息需及时更新，确保应急联络渠道24小时畅通。

环境保障

各级教育网络管理中心负责建立并保持本单位的电力、空调、机房等网络安全运行基本环境。省教育网络和信息安全突发事件应急处置工作领导小组办公室负责周期性检查省内各级教育网络中心对运行安全环境要求的落实情况。

技术保障

各级教育网络中心应建立起符合要求的网络和信息安全保障技术支持力量，并对接入单位或下级单位的网络和信息安全保障工作提供力所能及的技术支持。各单位应重视人员队伍的建设，安排专职网络信息安全员，参加省教育厅培训取得"湖南省教育网络信息安全管理培训合格证"后方可上岗。

流程保障

各单位应建立起所管辖范围的网络和信息安全事件应急处置处理流程，负责应急处置各类网络和信息安全突发事件。安全事件处置根据事件出现的位置和范围按分级原则进行。出现本层次应急处理流程中断，应急处置无法进行，或者事态范围扩大，超出本管理区域时，按照事件升级的原则向更高层次紧急通报处理，避免延误（见附图一）。

善后和恢复

各类教育网络和信息安全突发事件除在处置过程中进行阶段性分析外，处置工作结束后应重新评估事件级别，对三级以上的突发事件应做出应急处置总结报告，及时上报上级教育网络和信息安全事件应急处置工作部门及单位领导。在征得上级部门及单位领导同意后，可根据需要向其他有关部门和社会通报事件情况。

各级教育单位应对每次网络信息安全突发事件应急处置过程中暴露的管理、协调和技术等问题加以改进和完善，并实施针对性演练，进一步提升应急处置的能力和水平。