出现网络和信息安全事件时,应报告学院信息安全领导小组,并在学院内报警并作相关处理。一般安全事件,可向所在的网络管理员投诉;严重安全危害事件(如造成重大经济损失、涉及破坏国家信息安全的反动政治言论),应当及时消除,保留证据,并向公安等相关部门报告,请示进一步的决策、措施。
应急响应 :
1. 网络环境安全事件的应急处置
网络环境安全相关事件由信息中心负责处置。对火灾、盗窃、破坏等紧急事件按照国家消防、公安有关法律法规的有关规定处理。
2. 网络运行事件处置
网络运行相关事件由信息中心负责,重大事件立即向学院信息安全领导小组报告。事件包括:
1)电力中断。对于接到预报的电力中断,进行正常系统关闭步骤。
(1)首先按以下顺序关闭重要的服务器和设备:网站服务器、数据库服务器、DNS服务器、SAN存储。
(2)依次关闭其他服务器、路由器和交换机。
(3)关闭各个分支电路的开关。
(4)关闭UPS,关闭总开关。
对于意外电力中断,在UPS电池耗尽前尽量按正常系统关闭步骤关闭服务器、存储设备、网络设备。
电力恢复时按正常系统恢复操作步骤:
(1)打开总开关;
(2)启动UPS;
(3)逐个打开分支电路开关;
(4)启动防火墙、核心路由、交换机;
(5)启动SAN存储;
(6)依次启动各服务器;
(7)检查各个服务器的启动状态,启动相应的服务系统;
2)线路中断。网络出口的光纤线路故障,一旦发觉出现故障,信息中心及时通知cernet地区节点及通信公司。
3)流量异常。通过检测,确定流量异常来源,通过关闭端口、关闭服务器、隔离子网等方式关闭流量传播通道。
3. 网络攻击事件处置
由信息中心按应急流程处置。对于大规模、影响较大的恶意代码、拒绝服务攻击、系统入侵和端口扫描处置:
(1)隔离受影响网络;
(2)通知中心负责人,决定上报或通报;
(3)分析攻击原因和方式,并采取相应的措施;
(4)处置人员记录事件处理步骤和结果,总结报告。
4. 信息安全事件处置
发生信息安全事件应及时通知信息中心负责人,及时消除非法信息,恢复系统。步骤:
(1) 断开受影响的服务器;
(2) 分析事件原因;
(3) 恢复系统;
(4) 上报公安部等有关部门。