上海外国语大学数据安全事件应急预案(试行)
第一章、总则
根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《中华人民共和国突发事件应对法》、《国家网络安全事件应急预案》等相关规定。认真贯彻《安全生产法》、《突发事件应对法》等相关法律法规和国家、省、市关于加强数据安全管理工作的决策部署,按照“分类管理、分级负责、属地为主”的原则,依靠信息技术,依托网络平台,尽快建立我校数据安全应急预案,夯实数据安全应急管理基础,实现应急预案的动态管理和应急救援队伍、应急专家和装备等应急资源信息的动态更新。提高应对数据安全事件的应急处置能力,预防和减少数据安全事件造成的损失和危害,最大限度地减少数据安全泄露所带来的财产损失及社会舆论的不利影响。全面提升我校的数据安全事件应急管理水平,保障学校数据资产安全和用户合法权益,特制定本预案。
第二章、组织机构与职责(应急响应组织机构)
数据安全事件应急响应领导小组由学校网络安全和信息化领导小组兼任,统筹领导上海外国语大学数据安全事件的预防、应对和处置工作,负责建立与完善信息安全应急预案体系,建立健全跨部门不同层级联动处置机制。并可根据工作需要设定综合协调组、专家咨询组、技术保障组、数据恢复组、后勤保障组等组织机构。
数据安全事件应急响应领导小组,组织构成与职责如下:
(一)数据安全事件应急响应领导小组组长由信息技术中心负责人担任,组长的职责主要有:
1、负责学校应急响应的整体协调、指挥和领导工作。
2、监督学校总体应急管理流程的有效执行。
3、负责学校应急响应处置总体决策。
4、负责学校数据安全应急事件的上报。
(二)由信息技术中心负责人担任安全应急响应技术专家,职责主要有:
1、对重大数据安全事件进行评估,提出启动应急响应的建议。
2、研究分析数据安全事件的相关情况及发展趋势,为应急响应提供咨询或提出建议。
3、分析数据安全事件原因及造成的危害,为应急响应实施提供建议支持。
4、数据安全事件的统筹协调工作,组建网络数据安全专家库和技术支持队伍。
(三)由信息技术中心安全技术人员和第三方专家库成立应急响应安全技术小组,其职责主要有:
1、进行业务系统的灾难恢复。
2、分析应急响应需求(如风险评估、扩散影响分析等)。
3、数据安全事件发生时的损失控制和损害评估。
4、编制应急预案文档。
5、实施应急响应,如应急事件的分析排查、溯源等。
6、进行应急预案测试、培训、演练等。
7、总结应急响应工作,提交应急响应总结报告。
第三章、数据安全事件应急处置
(一)网络数据安全事件应急处置工作流程
1、数据安全事件预判。学校在遇到突发网络安全事件时,要即刻启动应急预案,对事件进行等级预判,较大网络安全事件及以上,必须立即向应急响应领导小组报告有关情况。
2、采取应急技术措施。数据安全事件突发时,可立即向数据安全事件应急响应领导小组发出技术支持请求。对于产生较为严重负面影响的网站,采取断网等方式,及时停止对外服务;对于遭受破坏的信息系统,要做好现场保护、数据备份等工作。
3、统筹开展应急处置。各部门在出现应急情况时,立即通报其他部门,切断传播途径,按照应急响应领导小组部署逐步恢复系统应用。
4、预警发布。对大面积的攻击破坏、病毒爆发等情形,应急响应领导小组会同有关部门开展数据安全事件预警等级发布、新闻报道等相关工作。
(二)安全事件处理
1、数据泄露事件
数据泄露事件,系统由于受到外部攻击或者内部人员故意泄密等原因,造成的数据泄露事件。
(1)紧急措施:当发现有数据泄露时,应报告数据安全事件应急响应领导小组,由应急响应领导小组组织协调人员进行检查,及时防止数据泄露范围扩大影响。
(2)抑制处理:由应急响应领导小组组织协调人员排查系统及数据库、应用系统等相关日志,及时下线或切断相关业务系统外联网络,并保留证据,必要时公安机关介入。
(3)根除:应急响应领导小组组织协调相关部门、厂商工作人员对业务系统和相关日志进行检查,分析事件原因,并进行总结。
2、数据篡改事件
数据篡改事件,如业务系统不具有数据完整性保护能力,无法确保重要数据不被篡改,从而可能导致的重要数据被篡改的安全事件。
(1)紧急措施:发现核心数据库数据或业务系统大规模被篡改后,应立即报送数据安全事件应急响应领导小组,由应急响应领导小组指定数据库管理员或运维人员进行检查确认,同时启动应急预案,暂停相关业务服务,并通知相关业务处室。
(2)抑制处理:使用备份数据恢复数据后重新启动服务,并立即追查原因。如属外部攻击原因的,应立即通过日志等分析攻击来源,必要时请公安机关介入。
(3)根除:总结经验教训,分析具体原因,加固核心数据库系统安全,并报应急响应领导小组。
3、数据丢失事件
数据丢失事件,比如业务系统数据库或业务系统文件、办公文件数据等被非法删除。
(1)紧急措施:当发现数据丢失时,应立即报告数据安全事件应急响应领导小组,由应急响应领导小组统一指挥,组织协调相关部门进行检查,排查数据丢失影响范围,评估对业务的影响。
(2)抑制处理:应急响应领导小组立即组织协调相关业务部门、数据安全工程师等进行解决,从最近的有效备份中恢复数据及业务系统服务。
(3)根除:总结经验,分析具体原因,加固涉敏数据安全处理,并报告应急响应领导小组。
(三)数据泄露事件应急响应距离
敏感数据包括:教师学生个人信息相关数据、部门业务系统服务内容相关数据、学校运营管理相关数据等,当发生数据泄露事件时,各系统应组织人员对事件进行确认,评估事实与事件影响范围,并启动应急处置措施。
1、敏感数据泄露事件应急流程如下:
(1)确认数据泄露途径;
如内部人员泄密、终端木马窃取、业务系统或基础平台泄密。
(2)外部影响调查反馈告知;
通过互联网、第三方机构和人员投诉等获取数据泄露事项影响范围。
(3)监管通报;
依法向数据泄露展示平台所属权力部门和监管机构沟通撤销和禁止未授权或意外披露机密数据信息源的行为。
(4)防范进一步的数据泄露;
采取必要的措施以预防进一步的数据泄露。包括移除含有安全漏洞的第三方软件等。
2、应急工具:
数据备份还原工具、数据恢复工具、日志分析工具、数据库审计系统等。
3、应急步骤:
( 1 )应急启动,当发现黑客通过网络攻击窃取学校核心信息、内部员工或合作伙伴人员利用职务之便窃取机密信息、监控部门发现内部数据泄露等情况时,启动应急预案。
( 2 )数据泄露确认,当发现数据泄露时,立即组织人员核实数据泄露情况,确认数据泄露影响范围,并定位数据库IP、关联业务等,根据泄密的用户信息判断哪些业务的用户信息被泄露。
( 3 )应急处置:
1 )如有备份系统,应迅速切换到备用系统,并将在线设备脱网,作好安全审计及系统恢复的准备;
2 )若无备份系统,则请示应急响应领导小组组长将相关系统进行下线处理,防止数据进一步泄露。
( 4 )事件排查分析:
1 )通过将遭受攻击的主机系统日志、应用日志等导出备份,并加以分析判断。
2 )进一步分析系统日志、数据库日志等,确定安全事件发生的原因、窃取过程及可能造成的影响。
3 )若发现是内部员工或支撑厂商人员造成数据泄露,必要情况下,立即组织人员现场开展调查,通过分析内部员工或支撑厂商计算机的系统痕迹记录(浏览器痕迹、软件使用痕迹、U 盘使用痕迹等),进一步收集和分析相关证据。
4)日志分析外,还应分析数据收集链路、数据下载、数据分发等情况的审批记录,进一步分析处置措施,确认安全事件发生的原因、窃取过程及可能造成的影响。
( 5 )风险消除:
1 )及时修复发现的安全漏洞。
2 )对数据进行加密传输,根据数据敏感级别进行加密存储,并对前台敏感数据进行脱敏处理。
3 )定期开展数据安全流程制度落实情况安全检查及漏洞检查。
4 )定期组织内部员工、支撑厂商人员开展安全意识培训。
5 )定期开展安全合规检查和安全审计工作。
(四)典型数据安全事件分类及应对措施
1、大规模病毒爆发。当网络遭遇大规模病毒攻击时(如勒索病毒),要第一时间切断局域网,拔出网线,防止病毒进一步扩散;请专业技术人员对局域网内每一台计算机进行病毒查杀,修补漏洞,待彻底清理干净,确保计算机安全时在接入网络;要尽量避免开放打印机共享、远程桌面等高风险端口。
2、网页内数据被篡改。所属网站遭篡改时,要第一时间终止互联网服务,拔出网线,防止攻击者再次恶意破坏系统日志、数据等,不要关闭服务器,为公安部门取证、追踪提供依据;在完成取证、保存系统日志等工作以后,即刻开展与网站建设相关软硬件系统的修复工作,包括修补操作系统漏洞、网站开发中间件漏洞、网站自身漏洞,加强系统口令、关闭共享端口、加固安全策略等内容;问题网站责任单位应当邀请安全事件应急响应技术专家对问题网站进行风险评估,确保没有高危漏洞并具备上线条件时再投入运行。
3、信息系统瘫痪。信息系统遭攻击时,要切断信息系统与互联网的连接,防止系统遭受进一步的破坏,同步做好信息系统数据备份工作;邀请应急响应技术专家支撑队伍,开展系统漏洞排查、整改工作。重点排查信息系统是否存在弱口令、安全策略不生效、软件系统漏洞、病毒库不升级、访问控制不全面、边界防护失效等问题;系统在上线运行前,应当进行风险评估。
第五章、安全事件应急保障
应急响应保障是数据安全应急预案的重要组成部分,是保证数据安全事件发生后能够快速有效地实施应急预案的关键要素。
(一)人力保障:人力保障由数据安全事件应急响应领导小组统一规划和管理。
(二)技术保障:通过建立应急响应安全技术小组来为应急响应提供技术保障,应急响应领导小组应依据应急响应的需要,制定数据安全事件技术应对表,全面考察和管理相关技术基础,选择合适的技术服务者,明确职责和沟通方式。定期开展数据安全相关技术研究,不断完善“事前可防范、事中可阻断、事后可追溯”的数据安全技术保障体系,开展对数据安全事件的预警、预测、预防和应急处理的技术研究,加强技术储备。
(三)物质保障:包括通信保障、资金保障等,应急响应工作中产生的所有物质、资金需求由应急响应领导小组统一统筹提供。
第六章、附则
本预案自发布之日起施行,由上海外国语大学数据安全事件应急响应领导小组负责解释。
