信办通(2013)1号 北京交通大学网络与信息安全事件管理办法

 

北京交通大学院(系)、部、处文件
发文编号:信办通(2013)1                    签发人:贾卓生
 
北京交通大学网络与信息安全事件管理办法
第一章 总则
第1条     目标:为了加强学校网络与信息安全保障能力,提高安全水平,保证网络通信畅通和业务系统的正常运营,提高网络与信息服务质量。在学校安全体系框架下,规范安全事件的响应和操作流程,加强对学校网络与信息安全事件处置的规范化管理。
第2条     本办法适用于学校校园网内所承载的所有信息系统。
第3条     学校网络与信息安全事件是指校园网中所有硬件、软件及数据,因被非法攻击或被病毒入侵等原因而遭到破坏、更改、泄漏,造成系统不能正常运行,影响正常业务开展的事件。
安全事件主要可以分为以下几大类:
(一)有害程序事件:有害程序事件包括计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等;
(二)网络攻击事件:网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等;
(三)信息破坏事件:信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等;
(四)信息内容安全事件:信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件;
(五)设备设施故障:设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障等;
(六)灾害性事件:灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击等不可抗力导致的信息安全事件;
(七)其他信息安全事件:其他信息安全事件类别是指不能归为以上六个基本分类的信息安全事件。
第三章 安全事件分级
第4条     根据安全事件对业务可能造成的影响或已经造成影响的严重程度并结合资产的重要程度把安全事件分为一般和重大两个级别。
(一)一般安全事件
校内单位的网络与信息系统发生安全事件,造成本地系统瘫痪,或对部分用户的业务有影响,但不危害全校用户业务的事件,并能够通过本单位系统(安全)管理员进行协调处理,在短期内发现并解决的安全问题,称为一般安全事件。
(二)重大安全事件
重要网络与信息系统发生安全事件,造成全校范围内大规模瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,使重要信息系统遭受重大的系统损失,称为重大安全事件。
第5条     信息安全管理遵循“谁主管,谁主办,谁负责”的原则,各单位要明确工作职责,建立工作责任制和责任追究制,明确分工,强化管理。学校各单位系统管理员和分管信息化工作的院(处)领导负责安全事件的判断、报告和安全事件应急恢复流程的启动申请,并负责组织协调和处理本单位的一般安全事件。
第6条     信息化办公室承担学校信息安全管理的总体职责,在网络与信息资产暴露于重大威胁时,监督控制可能发生的重大变化;指挥、协调、督促并审查重大安全事件的处理。信息化办公室负责落实学校信息安全的各项工作,对学校各单位信息安全工作进行监督、考核、指导及审批。
第7条     各单位分管信息化的院(处)领导和信息系统管理员应根据安全事件的类型和级别定义判断安全事件,及时处理已经发生的安全事件,并控制其危害蔓延。
第8条     各单位分管信息化的院(处)领导和信息系统管理员应对一般安全事件的发生、处理办法进行记录,并将《安全事件记录单》(附件3)及相关文档提交信息化办公室进行备案;处理和汇报流程参见《安全事件处理流程》(附件1)。
第9条     各单位分管信息化的院(处)领导和信息系统管理员在处理一般安全事件过程中,需要判断事件的严重程度,如果已经上升到重大安全事件,应启动《应急响应流程》(附件2)。
第六章 附则
本办法自发布之日起实行。
本办法的解释权归校信息化办公室。
附件:
附件1:北京交通大学网络与信息安全事件处理流程
附件2:北京交通大学网络与信息安全事件应急响应流程
附件3:安全事件记录单
 
 
 
 
 
 
 
 
 
 
 

 

附件 1:北京交通大学网络与信息安全事件处理流程
安全事件处理流程信息表
流程名称
安全事件处理流程
流程编码
 
流程负责人
28365-365
流程起点:发现安全问题或异常现象
流程目的:提高对事件的响应能力,最大限度地减小异常事件给学校带来的损失。
流程终点:安全事件备案
步骤编号
操作步骤
操作描述
操作岗位
1
发现安全问题或异常现象
§   系统管理员通过日常例行检查发现系统异常可疑
§   处理问题
§   判断是否是安全事件或安全问题
§   记录安全事件情况
§   上报本单位分管信息化的领导
系统管理员
2
判断安全事件的程度
§   判断安全事件的程度
n  一般安全事件
n  重大安全事件
§   判断安全事件是否跨各单位
§   如果跨各单位或安全事件程度严重,上报28365-365
分管信息化的领导
3
协调处理
§负责协调各单位之间的安全事件
§负责启动应急响应
28365-365
4
备案
§安全事件备案
28365-365
 
 
 
 
 
附件2:北京交通大学网络与信息安全事件应急响应流程
应急响应流程信息表
流程名称
安全事件应急响应流程
流程编码
 
流程负责人
28365-365
流程起点:发现安全问题或异常现象
流程目的:提高对事件的响应能力,最大限度地减小异常事件给学校带来的损失。
流程终点:组织总结工作
步骤编号
操作步骤
操作描述
操作岗位
1
发现
§   系统管理员/各单位分管信息化的领导发现并判断为重大安全事件
§   判断条件如下:
n  系统管理员通过日常巡检发现重要资产存在可疑事件(启动不正常的服务、非法访问、异常进程等情况),分析判断可能为安全事件,且对网络、主机或系统已经造成影响的情况下,可以启动重大安全事件的响应流程;
n  系统管理员通过评估、检查等方式发现了安全问题(主机被入侵、系统有后门、网络蠕虫正在蔓延等情况),且可能对业务造成影响的情况下,可以启动重大安全事件的响应流程;
n  系统安全管理员在解决一般安全事件的过程中,由于处理不当或无法解决,造成安全事件的影响扩大或蔓延,在一定时间内没有解决的情况下,可以启动重大安全事件的响应流程。
系统管理员/各单位分管信息化的领导
2
报告
§   上报各单位分管信息化的领导
§   上报信息化办公室
各单位分管信息化的领导
28365-365
3
分析
§   各单位分管信息化的领导分析/记录安全事件
§   信息化办公室协助安全分析
§   组织专业安全厂商分析安全事件
各单位分管信息化的领导
28365-365
4
处理
§   信息化办公室判断安全事件是否能够被处理
§   信息化办公室判断安全事件的影响程度
§   如果判断为重大安全事件,应报告学校稳定办决策和指挥
各单位分管信息化的领导
28365-365
5
恢复/总结
§   信息化办公室判断网络/系统是否恢复
§   信息化办公室负责组织总结
28365-365
 

 

记录人
 
记录时间
 
安全事件发生起始时间
        
联系电话(市话)
(手机)
 
直接汇报人
 
 
安全事件发生地点
 
记录单位
 
安全事件涉及设备
 
安全事件涉及业务系统
 
安全事件现象描述
 
安全事件影响范围(业务和网络系统)
 
安全事件处理情况记录
 
 
时间
 
报告人
 

 

相关附件
信办通2013-01北京交通大学网络与信息安全事件管理办法.doc