关于成立安徽建筑大学城市建设学院计算机网络与信息安全领导小组的通知

_{院函【2016】073号}

为了加强安徽建筑大学城市建设学院网络与信息安全工作的领导，决定成立安徽建筑大学城市建设学院网络与信息安全领导小组。

    一、领导小组主要职责

    （一）根据国家、省、市网络与信息安全协调小组的总体要求，统一领导安徽建筑大学城市建设学院网络与信息安全监督管理工作。

    （二）组织落实国家、省、市网络与信息安全协调小组关于国家基础信息网络和重要信息系统安全保障工作的方针、政策和各项重大部署。

    （三）组织审定安徽建筑大学城市建设学院网络与信息安全的发展战略、总体规划、重大政策、管理规范和技术标准。

（四）组织审定《安徽建筑大学城市建设学院网络与信息安全事件管理办法及应急预案》（详见附件）。

（五）承担计算机系统应急领导小组的职能。

（六）完成上级交办的有关事项。

    二、领导小组组成

组 长：张伟林

成 员：赵治滨  王志建  魏宪友  吴约 胡晓锋

    三、领导小组办公室

领导小组下设办公室，作为其办事机构，具体组成为：

主任：魏宪友

成员：胡晓锋  陈大伟  张敬知 王俊松 项鑫  张丰全

领导小组办公室的主要职责是：

（一）具体承担安徽建筑大学城市建设学院网络与信息安全监督管理的日常工作。

（二）研究提出安徽建筑大学城市建设学院网络与信息安全的发展战略、总体规划、重大政策、管理规范和技术标准。

（三）组织开展管理网络与信息安全信息通报工作。

（四）组织编制安徽建筑大学城市建设学院网络与信息安全重大突发事件应急预案，并督促落实。

（五）承担网络与信息安全应急工作小组的职能。

（六）承办领导小组召开的会议和重要活动，落实领导小组的议定事项。

（七）完成领导小组交办的有关事项。

附件：《安徽建筑大学城市建设学院网络与信息安全事件管理办法及应急预案》

二〇一六年十二月六日

安徽建筑大学城市建设学院

网络与信息安全事件管理办法及应急预案

一、总则

为保障安徽建筑大学城市建设学院计算机系统运行安全，正确、迅速和有效地处置可能发生的网络通讯故障，最大限度地消除计算机网络及信息的各类突发事件的危害和影响,制订本预案。

二、 组织机构及职责

2.1领导机构

安徽建筑大学城市建设学院计算机网络与信息安全领导小组是计算机系统应急计划实施的指挥机构。由院长担任组长，相关部门负责人及院办公室工作人员担任应急领导小组成员。应急领导小组主要职能：

（1）领导并监督本单位计算机系统应急准备和应急执行，并提供行政及费用上的支持。

（2）指导下级部门的计算机应急领导小组工作，保证扩大化网络故障处理的联动机制，实现互相间的协调和配合。

（3）指挥和协调计算机系统应急处理工作，在应急程序启动期间，指挥调动本单位资源。

（4）负责应急方案更新及修订的审定。

（5）决定重大、较大的计算机网络及信息突发事件应急预案的启动，组织力量对突发事件进行处置。

2.2应急工作小组

计算机系统应急领导小组下设应急工作小组，由各部门信息化管理及相关部门人员组成，组长由信息管理负责人担任。应急工作小组主要职能：

（1）按照应急领导小组及相关规定的要求开展工作。

（2）根据事件危害情况，向应急领导小组提供应急方案，供领导决策。

（3）决定一般性突发事件的应急预案启动，组织力量对突发事件进行处置。在应急事件发生后根据实际情况全面或部分的接管应用系统操作，并及时向领导小组汇报工作进展情况。

三、应急事件分类及等级

  根据应急事件的特点及实发事件所产生的损失程度，将应急事件分为三级：

3.1一般应急事件

单一地点的网络故障或服务器系统受损，对该地点的系统运行及业务运作造成严重损害，持续时间小于24小时的事件。超过24小时的升级到较大应急事件。

3.2 较大应急事件

两个及以上地点的网络故障或服务器系统受损，对该地点的系统运行及业务运作造成严重损害，持续时间小于24小时的事件。超过24小时的升级到特大应急事件。

3.3重大应急事件

多个（两个及以上）地点系统瘫痪，对审判及相关业务运作造成巨大损失的安全事件。

四、应急保障措施

4.1 数据备份

关键系统和数据应建立异地数据备份，并做好备份的维护及保养工作。

4.2技术储备与保障

计算机系统应急领导小组在平时应加强技术储备与保障管理工作，建立通信保障应急管理机构与专家的日常联系和信息沟通机制， 适时组织相关专家和机构分析当前网络安全，对网络应急预案及实施进行评估，开展现场研究，加强技术储备。

4.3宣传、培训和演习

各级应急管理部门应加强对普通人员安全使用计算机的宣传教育工作，全面提高网络使用人员的安全意识；定期或不定期地对有关应急领导小组和应急工作小组成员进行技术培训和应急演练，保证应急预案的有效实施，提高通信保障应急的能力。

4.4 应急文档的备存

（1）各类网络设备和服务器、计算机及其附属设备的型号、序列号等。

（2）硬件设备供应商、生产厂商的电话、联系人、网址。

（3）操作系统、关键业务应用软件开发商或供应商的电话、联系人。

（4）路由器、防火墙、入侵检测设备的配置文档，服务器登陆用户及原始密码文档。

（5）各类软件的技术文档及其他需要保存的文档。

五、预防和预警机制

5.1日常预防管理

（1）定期检查服务器及重要网络设备。

（2）及时更新服务器的防病毒软件病毒库。

（3）定期对所有服务器进行漏洞扫描、补丁修复。

（4）定时备份重要数据。

（5）特殊时期实行值班制度。

5.2预警机制

预警信息分为外部预警信息和内部预警信息两类。外部预警信息指本管理中心外突发的可能破坏网络或者最新病毒等可能产生重大影响的事件警报;内部预警信息指校内通信网络的中断或部分计算机系统崩溃对业务操作有影响的事件警报。

应急工作小组获得外部预警信息后，对预警信息加以分析，通知各单位做好预防和网络保障应急准备工作，并报备应急领导小组；通过监测或普通操作人员报告获得内部预警信息，分析后按照早发现、早报告、早处置的原则，解决可能演变为严重应急事件的情况。   

六、 应急事件处理

6.1确定事件类型

（1）应急工作小组应及时判断事件的类型和紧急程度。

（2）确定事件范围（多少地点发生事件），检查敏感信息失密情况及其程度，分析攻击来源及侵入点。

（3）判断事件危害性及损失程度，分析人为原因、事件潜在危害性。

（4）确定事件发生时间及延续时间。

（5）判断需采用的手段及准备处理事件需要的必备资源。

（6）根据损失程度及延续时间等情况确定等级，较大、重大信息险情需报应急领导小组，决策后启动相关应急预案。

6.2事件报告

事件的基本信息（故障发生的时间、故障点、故障情况）、事件的类型、表现出来的现象、涉及的网络，事件当前的状态及可能造成的后果，以及事件解决的建议和措施。

6.3现场处理

抑制事件的影响进一步扩大，限制潜在的损失与破坏，对事件分类进行如下处理。

6.3.1计算机病毒

（1）断网、升级系统补丁及防病毒软件，查找病毒源，进行杀毒。

（2）一时不能查，应向有关部门进行报告，提供病毒样本。

（3）查找计算机病毒感染的存储介质。

6.3.2黑客入侵

采取必要措施抵御入侵行为，保护系统和数据安全，利用完整性检查工具进行检查，必要时向公安机关报告并申请技术协助。

（1）记录系统状况。

（2）立即复制系统登录文件、历史文件、日志文件等重要文件。

（3）修改防火墙、路由器等网络安全设备的过滤规则。

（4）断开被攻主机、关闭不需要的服务。

（5）处理可疑的文件和程序。

（6）修改不安全的帐号和口令。

（7）安装相应的补丁程序，填补安全漏洞。

6.3.3网络中断

（1）路由器、交换机、防火墙等硬件故障： 使用备份端口或备份硬件，并检查或配置相关内容，与供应商联系，尽早解决问题。

（2）通信线路故障：关键业务使用应急通信线路，向受影响的单位发出通报，立即与线路供应商联系，在线路供应商承诺的时间内解决问题。

（3）网络带宽阻塞：通过网管软件，判断阻塞原因及阻塞包发包点，再按情况逐个断网排查，直至网络恢复正常。对已断网计算机进行系统补丁升级、查毒等方式，找到原因并恢复正常后方能接入网络。

6.3.4数据库无法正常使用

（1）记录故障情况。

（2）检查数据库服务是否启动，若未起，则重启数据库服务。

（3）检查文件系统，若有问题则在备份重要数据文件后用文件修复软件修复。

（4）与数据库供应商联系，取得技术支持。

（5）重装数据库。

（6）分析原因，编写报告，详述事件过程及处理步骤。

6.3.5断电

（1）使用备用UPS进行供电。

（2）与相关部门联系，尽快恢复供电。

（3）若在UPS供电时间范围内不能恢复供电，要在UPS能正常供电的时间段内进行对主要系统及数据进行备份工作，备份工作完毕后，对主要设备进行系统关闭。

七、事件后期恢复及评估

1.清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心，避免出现误操作导致数据的丢失。另外，恢复工作中如果涉及到机密数据，需要额外遵照机密系统的恢复要求。

2.备份硬件设备或配件代替使用后，应及时将损坏设备进行维修或者更新。

3.检查威胁造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性，检查攻击者是否侵入了系统，以后是否能再次随意进入，损失的程度，确定暴露出的主要危险等。

八、附则

1.本预案院办公室负责编制解释。

2.本预案自发布之日起实施。