北京交通大学院(系)、部、处文件发文编号:信办通(2013) 1号 签发人:贾卓生北京交通大学网络与信息安全事件管理办法第一章总则第1条 目标:为了加强学校网络与信息安全保障能力,提高安全 水平,保证网络通信畅通和业务系统的正常运营, 提高网络与信息服务质量在学校安全体系框架下, 规范安全事件的响应和操作流程, 加强对学校网络与信息安全事件处置的规范化管理第2条 本办法适用于学校校园网内所承载的所有信息系统第二章安全事件定义第3条 学校网络与信息安全事件是指校园网中所有硬件、软件及 数据,因被非法攻击或被病毒入侵等原因而遭到破坏、更改、泄漏,造 成系统不能正常运行,影响正常业务开展的事件安全事件主要可以分为以下几大类:(一) 有害程序事件:有害程序事件包括计算机病毒事件、蠕虫事 件、木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等;(二) 网络攻击事件:网络攻击事件包括拒绝服务攻击事件、 后门 攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事 件和其他网络攻击事件等;(三) 信息破坏事件:信息破坏事件包括信息篡改事件、信息假冒 事件、 信息泄漏事件、 信息窃取事件、 信息丢失事件和其它信息破坏事 件等;(四)信息内容安全事件: 信息内容安全事件是指利用信息网络发 布、传播危害国家安全、社会稳定和公共利益的内容的安全事件;(五) 设备设施故障: 设备设施故障包括软硬件自身故障、 外围保 障设施故障、人为破坏事故、和其它设备设施故障等;(六)灾害性事件:灾害性事件包括水灾、台风、地震、雷击、坍 塌、火灾、恐怖袭击等不可抗力导致的信息安全事件;(七)其他信息安全事件: 其他信息安全事件类别是指不能归为以 上六个基本分类的信息安全事件。
第三章 安全事件分级第 4条 根据安全事件对业务可能造成的影响或已经造成影响的严 重程度并结合资产的重要程度把安全事件分为一般和重大两个级别一)一般安全事件校内单位的网络与信息系统发生安全事件, 造成本地系统瘫痪, 或 对部分用户的业务有影响, 但不危害全校用户业务的事件, 并能够通过 本单位系统 (安全) 管理员进行协调处理, 在短期内发现并解决的安全 问题,称为一般安全事件二)重大安全事件 重要网络与信息系统发生安全事件,造成全校范围内大规模瘫痪, 使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、 可用性遭到破坏, 使重要信息系统遭受重大的系统损失, 称为重大安全事件第四章 工作职责第5条 信息安全管理遵循“谁主管,谁主办,谁负责”的原则, 各单位要明确工作职责, 建立工作责任制和责任追究制, 明确分工, 强 化管理 学校各单位系统管理员和分管信息化工作的院 (处)领导负责 安全事件的判断、报告和安全事件应急恢复流程的启动申请 , 并负责组织协调和处理本单位的一般安全事件第6条 信息化办公室承担学校信息安全管理的总体职责,在网络 与信息资产暴露于重大威胁时,监督控制可能发生的重大变化;指挥、 协调、 督促并审查重大安全事件的处理。
信息化办公室负责落实学校信 息安全的各项工作, 对学校各单位信息安全工作进行监督、 考核、 指导 及审批第五章 工作要求第7条 各单位分管信息化的院(处)领导和信息系统管理员应根 据安全事件的类型和级别定义判断安全事件, 及时处理已经发生的安全 事件,并控制其危害蔓延第8条 各单位分管信息化的院(处)领导和信息系统管理员应对 一般安全事件的发生、 处理办法进行记录, 并将《安全事件记录单》 (附 件 3)及相关文档提交信息化办公室进行备案; 处理和汇报流程参见 《安 全事件处理流程》 (附件 1)第9条 各单位分管信息化的院(处)领导和信息系统管理员在处 理一般安全事件过程中, 需要判断事件的严重程度, 如果已经上升到重大安全事件,应启动《应急响应流程》 (附件 2)第六章 附则 本办法自发布之日起实行 本办法的解释权归校信息化办公室附件:附件 1:北京交通大学网络与信息安全事件处理流程附件 2:北京交通大学网络与信息安全事件应急响应流程 附件 3:安全事件记录单附件1 :北京交通大学网络与信息安全事件处理流程安全事件处理流程信息表流程名称 安全事件处理流程 流程编码流程负责人 北京交通大学信息化办公室流程起点:发现安全问题或异常现象流程目的:提高对事件的响应能力,最大限度地减小异常 事件给学校带来的损失。
流程终点:安全事件备案步骤编 号操作步骤操作描述操作岗位1发现安全问题或异常现象? 系统管理员通过日常例行检查发现系统异常可疑 ? 处理问题? 判断是否是安全事件或安全问题? 记录安全事件情况? 上报本单位分管信息化的领导系统管理员2判断安全事件的程度? 判断安全事件的程度一般安全事件重大安全事件? 判断安全事件是否跨各单位? 如果跨各单位或安全事件程度严重,上报北京交通大学信息化办公室分管信息化的领导3协调处理?负责协调各单位之间的安全事件 ?负责启动应急响应北京交通大学信息化办公室4备案?安全事件备案北京交通大学信息化办公室安全事件处理流程图安全事件处理流程员理管统系位单各发现问题或异 常现象导领的化息信管分位单各单位内部组织人员 进行处理室公办化息信重大跨部门上报信息化办公室*协调处理备案启动应急处理流程附件2:北京交通大学网络与信息安全事件应急响应流程应急响应流程信息表流程名称 安全事件应急响应流程 流程编码流程负责人北京交通大学信息化办公室流程起点:发现安全问题或异常 现象流程目的:提高对事件的响应能力,最大限度地减小异常事件给学校 带来的损失流程终点:组织总结工作步骤编号操作步骤操作描述操作岗位1发现? 系统管理员/各单位分管信息化的领导发现并判断为重大安全事件? 判断条件如下:系统管理员通过日常巡检发现重要资产存在可疑事件(启动不正常的服务、非法访问、异常进程等情况),分析判断可能为安全事件,且对网络、主机或 系统已经造成影响的情况下,可以启动重大安全事件的响应流程;系统管理员通过评估、检查等方式发现了安全问题(主机被入侵、系统有后 门、网络蠕虫正在蔓延等情况),且可能对业务造成影响的情况下,可以启动 重大安全事件的响应流程;系统安全管理员在解决一般安全事件的过程中,由于处理不当或无法解决, 造成安全事件的影响扩大或蔓延,在一定时间内没有解决的情况下,可以启 动重大安全事件的响应流程。
系统管理员/各单位分管信息化 的领导2报告? 上报各单位分管信息化的领导 ? 上报信息化办公室各单位分管信息化的领导 北京交通大学信息化办公室3分析? 各单位分管信息化的领导分析 /记录安全事件? 信息化办公室协助安全分析? 组织专业安全厂商分析安全事件各单位分管信息化的领导 北京交通大学信息化办公室4处理? 信息化办公室判断安全事件是否能够被处理? 信息化办公室判断安全事件的影响程度? 如果判断为重大安全事件,应报告学校稳定办决策和指挥各单位分管信息化的领导 北京交通大学信息化办公室5恢复/总结? 信息化办公室判断网络/系统是否恢复? 信息化办公室负责组织总结北京交通大学信息化办公室应急响应流程图重大安全事件应急响应流程发现报告分析■化自信管 为员瞿各判断安全事件是否重大导的化心信^管^位报告部门分管信~ 息化的领导1r报告信息化办公室分析记录安全事件情况室公办自息B管理协调应急t响应工作~1到达现场 /协调:广响应通知/协调相关单位■ir全安=业^到达现场 /分析解决问题指挥重大安全事件 应急响应否附件3 :安全事件记录单安全事件记录单记录人记录时间安全事件发生起始时间月曰 时分联系(市话)()直接汇报人安全事件发生地点记录单位安全事件涉及设备安全事件涉及业务系统安全事件现象描述安全事件影响范围(业务和网络系统)安全事件处理情况记录时间 报告人。