?

?

?

目錄

?

第一章 信息機(jī)房管理制度3

第二章 網(wǎng)絡(luò)安全管理制度6

2.1?職責(zé)6

2.2?網(wǎng)絡(luò)安全規(guī)劃6

2.3?網(wǎng)絡(luò)接入控制6

2.4?網(wǎng)絡(luò)安全審計(jì)7

2.5?網(wǎng)絡(luò)設(shè)備管理8

2.6?網(wǎng)絡(luò)安全檢查8

2.7?網(wǎng)絡(luò)訪問(wèn)控制9

2.8?附表一10

第三章 系統(tǒng)安全管理制度12

3.1?系統(tǒng)維護(hù)管理12

3.2?系統(tǒng)訪問(wèn)控制12

3.3?系統(tǒng)用戶安全管理14

3.4?系統(tǒng)用戶口令管理14

3.5?用戶訪問(wèn)權(quán)限復(fù)查各系統(tǒng)16

3.6?系統(tǒng)審計(jì)16

3.7?各系統(tǒng)維護(hù)部門(mén)建立信息處理設(shè)施的監(jiān)視使用程序17

第四章?安全事件管理制度19

4.1?信息安全事件分類(lèi)19

4.2?信息安全事件分級(jí)20

4.3?信息安全事件的預(yù)防21

4.4?信息安全事件的報(bào)告21

4.5?信息安全事件應(yīng)急響應(yīng)22

4.6?信息安全事件的調(diào)查處理23

4.7?信息安全事件的整改24

4.8?獎(jiǎng)懲與備案24

4.9?附表1：《信息安全事件報(bào)告》25

?

第一章信息機(jī)房管理制度

1.1認(rèn)真執(zhí)行《珠海市信息網(wǎng)絡(luò)運(yùn)行管理暫行辦法》和《珠海市信息網(wǎng)絡(luò)安全保密管理暫行辦法》的各項(xiàng)規(guī)定。保證信息網(wǎng)絡(luò)的可靠運(yùn)行與信息的安全保密。

1.2中心機(jī)房的管理由管理人員負(fù)責(zé)，非機(jī)房工作人員未經(jīng)允許不準(zhǔn)進(jìn)入。未經(jīng)許可不得擅自連接U盤(pán)等便攜存儲(chǔ)設(shè)備，以及不得上機(jī)操作和對(duì)運(yùn)行設(shè)備及各種配置進(jìn)行更改。

1.3外來(lái)檢修人員、外來(lái)公務(wù)人員等進(jìn)入中心機(jī)房必須由機(jī)房管理人員全程陪同，并做好相關(guān)日志記錄。

1.4機(jī)房管理人員應(yīng)認(rèn)真履行各項(xiàng)機(jī)房監(jiān)控職責(zé)，定期按照規(guī)定對(duì)機(jī)房?jī)?nèi)各類(lèi)設(shè)備進(jìn)行檢查和維護(hù)，及時(shí)發(fā)現(xiàn)、報(bào)告、解決硬件或軟件系統(tǒng)出現(xiàn)的故障，保障系統(tǒng)的正常運(yùn)行。

1.5對(duì)可能對(duì)網(wǎng)絡(luò)造成影響的重大網(wǎng)絡(luò)操作（如系統(tǒng)升級(jí)、系統(tǒng)更換、數(shù)據(jù)轉(zhuǎn)儲(chǔ)等）應(yīng)事先書(shū)面提出報(bào)告，采取妥善措施系統(tǒng)和數(shù)據(jù)保護(hù)性備份后，經(jīng)相關(guān)領(lǐng)導(dǎo)批準(zhǔn)，方可實(shí)施操作，并填寫(xiě)操作記錄。

1.6保持機(jī)房?jī)?nèi)清潔衛(wèi)生，禁止將食物、飲料帶入機(jī)房，禁止在機(jī)房?jī)?nèi)吸煙，進(jìn)入機(jī)房必須穿鞋套或換穿拖鞋，對(duì)于意外或工作過(guò)程中弄污機(jī)房地板和其它物品的，必須及時(shí)采取措施清理干凈，保持機(jī)房無(wú)塵潔凈環(huán)境。

1.7未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)，禁止將機(jī)房相關(guān)的鑰匙、密碼透露給其它人員：對(duì)于遺失物品的情況要即時(shí)上報(bào)，并積極主動(dòng)采取措施保證機(jī)房安全。

1.8保證機(jī)房用電安全，不得亂接電線，定期檢查供電、用電設(shè)備、設(shè)施，如發(fā)現(xiàn)用電安全隱患，應(yīng)立即采取措施解決，不能解決的必須及時(shí)向相關(guān)負(fù)責(zé)人員匯報(bào)。

1.9機(jī)房管理人員應(yīng)熟悉機(jī)房?jī)?nèi)部消防安全操作和規(guī)則，了解消防設(shè)備操作原理、掌握消防應(yīng)急處理步驟、措施和要領(lǐng)。定期檢查消防設(shè)備工作狀態(tài)，排查消防隱患。

1.10未經(jīng)許可任何人不得挪用和外借機(jī)房?jī)?nèi)的各類(lèi)設(shè)備、資料及物品。機(jī)房器材、配件、軟件、工具外借須遵照《資產(chǎn)管理制度》。

1.11相關(guān)數(shù)據(jù)、文檔、資料應(yīng)及時(shí)存檔、定期備份，重要資料、文檔、數(shù)據(jù)應(yīng)采取對(duì)應(yīng)的技術(shù)手段進(jìn)行加密、存儲(chǔ)和備份。對(duì)于加密的數(shù)據(jù)應(yīng)保證其可還原性，防止遺失重要數(shù)據(jù)。

1.12機(jī)房管理人員暫時(shí)離開(kāi)應(yīng)將相關(guān)電腦切換至鎖屏狀態(tài)，并關(guān)好門(mén)窗；下班離開(kāi)時(shí)應(yīng)檢查門(mén)、窗、水、電等是否關(guān)好，應(yīng)做好防火、防盜、防潮、防塵等措施。

?

?

第二章網(wǎng)絡(luò)安全管理制度

2.1職責(zé)

1. 負(fù)責(zé)制定和管理本文件；
2. 負(fù)責(zé)制定網(wǎng)絡(luò)訪問(wèn)控制策略；
3. 負(fù)責(zé)受理對(duì)網(wǎng)絡(luò)的訪問(wèn)申請(qǐng)和授權(quán)；
4. 負(fù)責(zé)對(duì)網(wǎng)絡(luò)設(shè)備狀態(tài)、網(wǎng)絡(luò)運(yùn)行狀況的日常檢查工作；
5. 負(fù)責(zé)維護(hù)網(wǎng)絡(luò)運(yùn)行記錄。
6. 負(fù)責(zé)對(duì)網(wǎng)絡(luò)安全管理工作進(jìn)行監(jiān)督和檢查。

2.2網(wǎng)絡(luò)安全規(guī)劃

1. 教育信息化辦公室在網(wǎng)絡(luò)系統(tǒng)規(guī)劃、升級(jí)、改造建設(shè)過(guò)程中，應(yīng)組織相關(guān)人員對(duì)網(wǎng)絡(luò)建設(shè)方案進(jìn)行評(píng)審，使方案滿足網(wǎng)絡(luò)安全管理要求。

2.3網(wǎng)絡(luò)接入控制

1. 各部門(mén)對(duì)涉及到網(wǎng)絡(luò)變更方面的需求（如網(wǎng)絡(luò)結(jié)構(gòu)變更、終端網(wǎng)絡(luò)需求變更（如Hub的接入））、非常規(guī)性網(wǎng)絡(luò)訪問(wèn)（如外來(lái)人員臨時(shí)性訪問(wèn)），需向辦公室提出書(shū)面申請(qǐng)，辦公室對(duì)變更申請(qǐng)進(jìn)行評(píng)審?fù)ㄟ^(guò)后，方可進(jìn)行操作；
2. 無(wú)線網(wǎng)絡(luò)由辦公室進(jìn)行統(tǒng)一部署和管理，如其他部門(mén)（單位）需要接入無(wú)線網(wǎng)絡(luò)或部署無(wú)線網(wǎng)絡(luò)設(shè)備時(shí)，需向辦公室提出申請(qǐng)，經(jīng)審批后方可接入。
3. 辦公室負(fù)責(zé)網(wǎng)絡(luò)與其他外部單位網(wǎng)絡(luò)的安全防護(hù)，在網(wǎng)絡(luò)邊界處采取安全措施進(jìn)行有效隔離防護(hù)，并對(duì)違規(guī)行為進(jìn)行檢查和阻斷；
4. 辦公室負(fù)責(zé)網(wǎng)絡(luò)的VLAN和安全域劃分，不同業(yè)務(wù)應(yīng)用系統(tǒng)盡量安排在不通的安全域中，各VLAN和安全域間應(yīng)采取有效的訪問(wèn)控制措施；
5. 辦公室對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)設(shè)備之間的連接線纜進(jìn)行標(biāo)識(shí)，重要網(wǎng)絡(luò)端口也須進(jìn)行詳細(xì)標(biāo)識(shí)；

2.4網(wǎng)絡(luò)安全審計(jì)

1. 辦公室采取開(kāi)啟網(wǎng)絡(luò)設(shè)備日志，記錄與網(wǎng)絡(luò)安全相關(guān)的操作與活動(dòng)，并定期對(duì)記錄進(jìn)行評(píng)審，將評(píng)審結(jié)果進(jìn)行記錄。
2. 日志保存時(shí)間應(yīng)至少保證在一個(gè)月以上。
3. 辦公室在網(wǎng)絡(luò)關(guān)鍵位置采取網(wǎng)絡(luò)審計(jì)手段，對(duì)網(wǎng)絡(luò)訪問(wèn)操作行為進(jìn)行記錄，定期對(duì)記錄進(jìn)行評(píng)審，將評(píng)審結(jié)果進(jìn)行記錄。

2.5網(wǎng)絡(luò)設(shè)備管理

1. 辦公室制定網(wǎng)絡(luò)備份策略（如網(wǎng)絡(luò)配置備份、硬件備份），并做好相應(yīng)備案；
2. 辦公室每月對(duì)網(wǎng)絡(luò)配置、網(wǎng)絡(luò)設(shè)備日志進(jìn)行備份，并做好備份記錄；
3. 辦公室做好網(wǎng)絡(luò)配置、網(wǎng)絡(luò)設(shè)備日志及網(wǎng)絡(luò)設(shè)備備件的保存與管理，保證備份的安全性；
4. 辦公室定期對(duì)配置備份及設(shè)備備件進(jìn)行測(cè)試，保證其可用性，并對(duì)測(cè)試結(jié)果進(jìn)行記錄；
5. 根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份；
6. 建立日志服務(wù)器，保存日志時(shí)間要求超過(guò)6個(gè)月；
7. 定期對(duì)設(shè)備口令進(jìn)行更新。

2.6網(wǎng)絡(luò)安全檢查

1. 辦公室制定詳細(xì)的網(wǎng)絡(luò)檢查項(xiàng)目，負(fù)責(zé)進(jìn)行網(wǎng)絡(luò)系統(tǒng)運(yùn)行的日常檢查工作，將檢查結(jié)果進(jìn)行記錄。
2. 辦公室定期對(duì)網(wǎng)絡(luò)設(shè)備配置進(jìn)行檢查和評(píng)估，確保網(wǎng)絡(luò)配置與安全策略保持一致，并對(duì)檢查結(jié)果進(jìn)行記錄。
3. 定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)；

2.7網(wǎng)絡(luò)訪問(wèn)控制

1. 辦公室制定網(wǎng)絡(luò)訪問(wèn)控制策略，并做好相應(yīng)備案。
2. 訪問(wèn)控制策略內(nèi)容應(yīng)包括：根據(jù)業(yè)務(wù)、管理等情況，對(duì)不同的部門(mén)接入進(jìn)行劃分；明確各部門(mén)只能訪問(wèn)被允許訪問(wèn)的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)；規(guī)定各部門(mén)訪問(wèn)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)使用的手段(如，撥號(hào)、VPN等)。
3. 辦公室基于網(wǎng)絡(luò)訪問(wèn)控制策略進(jìn)行網(wǎng)絡(luò)路由控制；
4. 如有用戶需要接入網(wǎng)絡(luò)，需要向辦公室提出書(shū)面申請(qǐng)，由辦公室審核開(kāi)通，確保網(wǎng)絡(luò)用戶的訪問(wèn)權(quán)限符合網(wǎng)絡(luò)訪問(wèn)控制策略；
5. 辦公室制定遠(yuǎn)程設(shè)備維護(hù)的管理職責(zé)與制度，交信息安全管理小組備案，以保證遠(yuǎn)程維護(hù)人員的操作符合信息安全管理策略，防止由于疏忽、密碼賬戶泄漏造成未授權(quán)訪問(wèn)連接網(wǎng)絡(luò)設(shè)備與服務(wù)器。
6. 辦公室應(yīng)確保維護(hù)廠商的遠(yuǎn)程維護(hù)連接只允許訪問(wèn)指定的設(shè)備和服務(wù)，由辦公室負(fù)責(zé)審批、開(kāi)啟和關(guān)閉，保持每次遠(yuǎn)程連接記錄備查，并對(duì)遠(yuǎn)程訪問(wèn)帳號(hào)定期進(jìn)行審核。
7. 辦公室對(duì)遠(yuǎn)程診斷和配置端口采取技術(shù)手段與管理措施進(jìn)行保護(hù)，如無(wú)必要，禁止使用遠(yuǎn)程診斷和配置端口。
8. 辦公室應(yīng)對(duì)遠(yuǎn)程用戶進(jìn)行身份鑒別（如回?fù)艹绦?、證書(shū)、密鑰、口令等），若系統(tǒng)的遠(yuǎn)程訪問(wèn)無(wú)法提供用戶鑒別措施時(shí)，禁止使用遠(yuǎn)程訪問(wèn)功能。

2.8附表一

珠海市教育信息網(wǎng)業(yè)務(wù)登記表

登記編號(hào)：?????????????????????????????????????????登記日期：??????年???月???日

?

?

?

注：此表一式三份

?

第三章系統(tǒng)安全管理制度

3.1系統(tǒng)維護(hù)管理

1. 系統(tǒng)操作人員上崗前必須經(jīng)過(guò)上崗前的專業(yè)知識(shí)培訓(xùn)，包括專門(mén)的信息安全培訓(xùn)，能正確地執(zhí)行本崗位操作工作。
2. 定期對(duì)系統(tǒng)使用中的信息安全管理情況進(jìn)行檢查。
3. 在制定的所有系統(tǒng)外包服務(wù)協(xié)議中，必須包括網(wǎng)絡(luò)的安全特性、服務(wù)級(jí)別以及所有系統(tǒng)服務(wù)的管理要求等內(nèi)容。
4. 在系統(tǒng)服務(wù)過(guò)程中，應(yīng)根據(jù)系統(tǒng)服務(wù)協(xié)議中規(guī)定的安全條款、安全特性、服務(wù)級(jí)別管理等要求對(duì)服務(wù)提供商的服務(wù)進(jìn)行定期評(píng)審和監(jiān)督。
5. 應(yīng)對(duì)系統(tǒng)中運(yùn)行的軟件版本進(jìn)行嚴(yán)格控制，對(duì)系統(tǒng)軟件版本升級(jí)、補(bǔ)丁更新、安全加固等活動(dòng)組織評(píng)審和測(cè)試，防止因上述變更影響到應(yīng)用系統(tǒng)的正常運(yùn)行。
6. 定期對(duì)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)。

3.2系統(tǒng)訪問(wèn)控制 基于業(yè)務(wù)和訪問(wèn)的安全要求，建立各應(yīng)用系統(tǒng)的訪問(wèn)控制策略，作為系統(tǒng)維護(hù)保養(yǎng)手冊(cè)的一部分。?

1. 訪問(wèn)控制策略應(yīng)考慮到下列內(nèi)容：各個(gè)業(yè)務(wù)應(yīng)用的安全要求；業(yè)務(wù)應(yīng)用中工作角色和用戶訪問(wèn)需求；網(wǎng)絡(luò)環(huán)境中的訪問(wèn)權(quán)限的管理要求；訪問(wèn)控制角色的分離，例如訪問(wèn)請(qǐng)求、訪問(wèn)授權(quán)、訪問(wèn)管理；用戶訪問(wèn)請(qǐng)求的正式授權(quán)管理要求；用戶訪問(wèn)控制的定期檢查與評(píng)審要求；用戶訪問(wèn)權(quán)的取消。
2. 基于訪問(wèn)控制策略，對(duì)操作系統(tǒng)的登錄程序加以控制： 不顯示系統(tǒng)或應(yīng)用標(biāo)識(shí)符，直到登錄過(guò)程已成功完成為止；顯示只有已授權(quán)的用戶才能訪問(wèn)計(jì)算機(jī)的告警通知；在登錄過(guò)程中，不提供對(duì)未授權(quán)用戶的幫助消息；限制所允許的不成功登錄嘗試的次數(shù);記錄不成功的嘗試和成功的嘗試；如果達(dá)到登錄的最大嘗試次數(shù)，向系統(tǒng)控制臺(tái)發(fā)送警報(bào)消息。
3. 系統(tǒng)管理員應(yīng)限制用戶對(duì)應(yīng)用系統(tǒng)遠(yuǎn)程訪問(wèn)的范圍和內(nèi)容，在遠(yuǎn)程訪問(wèn)過(guò)程結(jié)束后應(yīng)確保斷開(kāi)連接；
4. 系統(tǒng)管理員負(fù)責(zé)記錄用戶遠(yuǎn)程訪問(wèn)操作過(guò)程，包括訪問(wèn)時(shí)間、連接方式、訪問(wèn)用戶、操作過(guò)程等。

3.3系統(tǒng)用戶安全管理

(1)系統(tǒng)用戶注冊(cè)與注銷(xiāo)程序在服務(wù)器和系統(tǒng)進(jìn)行安裝時(shí)，要改變默認(rèn)的操作系統(tǒng)管理員賬號(hào)名稱和數(shù)據(jù)庫(kù)賬號(hào)名稱；

(2)系統(tǒng)管理員應(yīng)檢查所授予的訪問(wèn)級(jí)別是否與業(yè)務(wù)目的相適合，是否與組織的安全方針保持一致，例如，它沒(méi)有違背責(zé)任分割原則；

(3)當(dāng)用戶的工作角色或崗位發(fā)生變更，或離職時(shí)，員工所在單位（部門(mén)）應(yīng)立刻填寫(xiě)《訪問(wèn)授權(quán)異動(dòng)申請(qǐng)表》，并報(bào)相關(guān)系統(tǒng)管理員批準(zhǔn)；系統(tǒng)管理員根據(jù)新的《訪問(wèn)授權(quán)異動(dòng)申請(qǐng)表》取消或封鎖該用戶的訪問(wèn)權(quán)；系統(tǒng)用戶標(biāo)識(shí)和鑒別，所有用戶擁有唯一指定標(biāo)識(shí)，如員工工號(hào)；用戶ID是應(yīng)用系統(tǒng)中用戶唯一的、專供其使用的標(biāo)識(shí)符，系統(tǒng)管理員應(yīng)配置系統(tǒng)，使用戶的各個(gè)活動(dòng)能追蹤到責(zé)任者；當(dāng)需要采用一組用戶或一項(xiàng)特定作業(yè)使用一個(gè)共享的用戶ID時(shí)，應(yīng)遵照組ID管理進(jìn)行控制，具體參見(jiàn)“用戶注冊(cè)及注銷(xiāo)程序”的組ID條款；

3.4系統(tǒng)用戶口令管理

(1)在用戶初次使用應(yīng)用系統(tǒng)時(shí)，系統(tǒng)管理員應(yīng)提供給一個(gè)安全的臨時(shí)口令，并強(qiáng)制其立即修改；臨時(shí)口令應(yīng)以安全的方式給予用戶，不得使用第三方或未保護(hù)的（明文）電子郵件消息；

(2)系統(tǒng)管理員應(yīng)對(duì)用戶口令設(shè)置進(jìn)行指導(dǎo)和要求，如口令長(zhǎng)度和復(fù)雜性、定期更換等；

(3)系統(tǒng)管理員應(yīng)確保口令不以未保護(hù)的形式存儲(chǔ)在計(jì)算機(jī)系統(tǒng)內(nèi)； 各系統(tǒng)管理員應(yīng)在系統(tǒng)或軟件安裝后改變提供商的默認(rèn)口令；

(4)各信息系統(tǒng)管理人員根據(jù)已審核批準(zhǔn)的《訪問(wèn)授權(quán)異動(dòng)申請(qǐng)表》為用戶進(jìn)行正確的授權(quán)，使得用戶與其行為相連接；

(5)特殊權(quán)限管理應(yīng)遵守用戶注冊(cè)和注銷(xiāo)管理程序的規(guī)定，特殊權(quán)限包括操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和每個(gè)應(yīng)用程序，特殊權(quán)限應(yīng)被分配一個(gè)不同于正常業(yè)務(wù)用途所用的用戶ID；

3.5用戶訪問(wèn)權(quán)限復(fù)查各系統(tǒng)管理員負(fù)責(zé)定期（每年）或在有任何變更之后（如人員提升、降級(jí)或雇用終止）清查并填寫(xiě)《訪問(wèn)授權(quán)一覽表》；對(duì)于特定的特殊權(quán)限的訪問(wèn)權(quán)的授權(quán)，系統(tǒng)管理員應(yīng)每6個(gè)月進(jìn)行一次訪問(wèn)權(quán)復(fù)查，填寫(xiě)《訪問(wèn)授權(quán)一覽表》；具有特殊權(quán)限的帳戶的變更應(yīng)在周期性復(fù)查時(shí)記入日志。

3.6系統(tǒng)審計(jì)

(1)系統(tǒng)日志包含的內(nèi)容：

??????1、用戶ID；日期、時(shí)間和關(guān)鍵事件的細(xì)節(jié)，例如登錄和退出; 終端身份或位置；成功的和被拒絕的對(duì)系統(tǒng)嘗試訪問(wèn)的記錄；成功的和被拒絕的對(duì)數(shù)據(jù)以及其他資源嘗試訪問(wèn)的記錄; 系統(tǒng)配置的變化；特殊權(quán)限的使用；系統(tǒng)實(shí)用工具和應(yīng)用程序的使用;訪問(wèn)的文件和訪問(wèn)類(lèi)型；網(wǎng)絡(luò)地址和協(xié)議；訪問(wèn)控制系統(tǒng)引發(fā)的警報(bào)；防惡意代碼系統(tǒng)等防護(hù)設(shè)施的激活和停用。

2、各系統(tǒng)管理員必須將系統(tǒng)所有服務(wù)器、應(yīng)用軟件等等系統(tǒng)審核、帳號(hào)審核和應(yīng)用審核的日志系統(tǒng)的功能打開(kāi)，如有警報(bào)其功能也必須打開(kāi)。

3、日志必須保存一定的期限，任何個(gè)人和部門(mén)不得以任何理由刪除保存期之內(nèi)的日志。

4、日志必須由系統(tǒng)管理員定期檢查，特權(quán)使用、非授權(quán)訪問(wèn)、系統(tǒng)故障和異常等條目必須進(jìn)行評(píng)審，以查找影響信息安全的風(fēng)險(xiǎn)來(lái)源和事實(shí)。

5、各系統(tǒng)維護(hù)部門(mén)負(fù)責(zé)人應(yīng)定期評(píng)審系統(tǒng)管理員和系統(tǒng)操作員的活動(dòng)日志。

6、各系統(tǒng)維護(hù)部門(mén)確保入侵檢測(cè)系統(tǒng)和安全審計(jì)系統(tǒng)處于啟動(dòng)狀態(tài)，日志需保存一定期限，定期評(píng)審異常事件，對(duì)所有可疑或經(jīng)確認(rèn)的入侵行為或入侵企圖需及時(shí)匯報(bào)并采取相應(yīng)的響應(yīng)措施。

7、信息中心負(fù)責(zé)記錄、分析故障日志，并對(duì)其采取適當(dāng)?shù)拇胧?/strong>

8、信息中心負(fù)責(zé)評(píng)審故障日志，以確保已滿意地解決故障。

9、信息中心負(fù)責(zé)評(píng)審糾正措施，以確保沒(méi)有危及控制措施的安全，以及所采取的措施給予了充分授權(quán)。監(jiān)視系統(tǒng)的使用

3.7各系統(tǒng)維護(hù)部門(mén)建立信息處理設(shè)施的監(jiān)視使用程序，并定期評(píng)審監(jiān)視活動(dòng)的結(jié)果。各個(gè)設(shè)施的監(jiān)視級(jí)別由風(fēng)險(xiǎn)評(píng)估決定。要考慮的監(jiān)視范圍包括：

3.7.(1)授權(quán)訪問(wèn)的細(xì)節(jié)：

(1).用戶ID；

(2).關(guān)鍵事件的日期和時(shí)間；

(3).事件類(lèi)型；

(4).訪問(wèn)的文件；

(5).使用的程序/工具。

3.7.(2)所有特殊權(quán)限操作：

(1).特殊權(quán)限帳戶的使用，例如監(jiān)督員、根用戶、管理員；

(2).系統(tǒng)的啟動(dòng)和終止；

(3).I/O設(shè)備的裝配/拆卸。

3.7.(3)未授權(quán)的訪問(wèn)嘗試：

(1).失敗的或被拒絕的用戶活動(dòng)；

(2).失敗的或被拒絕的涉及數(shù)據(jù)和其他資源的活動(dòng)；

(3).違反訪問(wèn)策略或網(wǎng)關(guān)和防火墻的通知；

(4).私有入侵檢測(cè)系統(tǒng)的警報(bào)。

3.7.(4)系統(tǒng)警報(bào)或故障：

(1).控制臺(tái)警報(bào)或消息；

(2).系統(tǒng)日志異常；

(3).網(wǎng)絡(luò)管理警報(bào)；

(4).訪問(wèn)控制系統(tǒng)引發(fā)的警報(bào)。

改變或企圖改變系統(tǒng)的安全設(shè)置和控制措施的活動(dòng)。

?

?

?

?

?

?

?

第四章安全事件管理制度

4.1信息安全事件分類(lèi)

網(wǎng)絡(luò)與信息安全事件一般可以分為攻擊類(lèi)、故障類(lèi)和災(zāi)害類(lèi)等，可能造成的后果是業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓、信息破壞等。根據(jù)學(xué)校網(wǎng)絡(luò)與信息安全事件的發(fā)生原因、性質(zhì)和機(jī)理，網(wǎng)絡(luò)與信息安全事件主要分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、設(shè)備設(shè)施故障和災(zāi)害性事件五類(lèi):

有害程序事件分為計(jì)算機(jī)病毒事件、蠕蟲(chóng)事件、特洛伊木馬、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件和其他有害程序事件。

網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門(mén)攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽(tīng)事件、網(wǎng)絡(luò)釣魚(yú)事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。

信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。

設(shè)備設(shè)施故障分為軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。

災(zāi)害性事件是指自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)和信息系統(tǒng)故障。

4.2信息安全事件分級(jí)

根據(jù)信息安全事件的分級(jí)考慮要素，將信息安全事件劃分為四個(gè)級(jí)別：特別重大事件、重大事件、較大事件和一般事件。

特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件，包括以下情況：會(huì)使特別重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；產(chǎn)生的社會(huì)影響會(huì)波及到全市的大部分地區(qū)，威脅到國(guó)家安全，引起社會(huì)動(dòng)蕩，對(duì)經(jīng)濟(jì)建設(shè)有極其惡劣的負(fù)面影響，或者嚴(yán)重?fù)p害公眾利益。

重大事件是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件，包括以下情況：會(huì)使特別重要信息系統(tǒng)遭受?chē)?yán)重的系統(tǒng)損失；或使重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；產(chǎn)生的社會(huì)影響波及到全區(qū)的大部分地區(qū)，對(duì)經(jīng)濟(jì)建設(shè)有重大的負(fù)面影響，或者損害到公眾利益。

較大事件是指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件，包括以下情況：會(huì)使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失；或使重要信息系統(tǒng)遭受?chē)?yán)重的系統(tǒng)損失、一般信息信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；擾亂社會(huì)秩序，對(duì)經(jīng)濟(jì)建設(shè)有一定的負(fù)面影響，或者影響到公眾利益。

一般事件是指能夠?qū)е螺^小影響或破壞的信息安全事件，包括以下情況：會(huì)使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失；或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息系統(tǒng)遭受?chē)?yán)重的系統(tǒng)損失；對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益基本沒(méi)有影響，但對(duì)個(gè)別公民、法人或其他組織的利益會(huì)造成損害。

4.3信息安全事件的預(yù)防

信息中心必須積極貫徹預(yù)防為主、嚴(yán)格管理的原則，評(píng)價(jià)事件發(fā)生的潛在因素和可能的程度；組織制定和監(jiān)督實(shí)施預(yù)防措施、操作規(guī)程或工作標(biāo)準(zhǔn)；配置必要的資源；開(kāi)展教育培訓(xùn)、檢查、考核和整改活動(dòng)，控制或消除可能導(dǎo)致事件發(fā)生的各種因素。預(yù)防措施應(yīng)下達(dá)至直接相關(guān)的層次和崗位。

信息中心應(yīng)根據(jù)事件發(fā)生可能造成的危害、損失，組織制定不同級(jí)別的應(yīng)急預(yù)案，并對(duì)應(yīng)急預(yù)案的可靠性進(jìn)行評(píng)價(jià)。應(yīng)急預(yù)案應(yīng)當(dāng)受控和備案，并發(fā)放至直接相關(guān)層次和崗位，保存相關(guān)記錄。應(yīng)急預(yù)案應(yīng)定期進(jìn)行演練和培訓(xùn)，必要時(shí)組織修訂。

4.4信息安全事件的報(bào)告

4.4.(1)事件通知

（1）當(dāng)信息系統(tǒng)發(fā)生事件時(shí)，信息系統(tǒng)使用或維護(hù)部門(mén)（單位）應(yīng)立即在第一時(shí)間向上級(jí)部分、學(xué)校領(lǐng)導(dǎo)口頭通知事件情況，說(shuō)明事件發(fā)生的時(shí)間、部位、表象、程度和影響；

（2）信息中心接到口頭通知后立即組織人員開(kāi)展搶修工作，根據(jù)事件嚴(yán)重程度，直接向?qū)W校主管領(lǐng)導(dǎo)報(bào)告。

4.4.(2)事件調(diào)查報(bào)告

（1）發(fā)生重大信息安全事件，信息系統(tǒng)維護(hù)單位應(yīng)在3個(gè)有效工作日內(nèi)將書(shū)面《信息安全事件報(bào)告》報(bào)信息中心，由辦公室負(fù)責(zé)人審定后，在1個(gè)有效工作日內(nèi)，將審核意見(jiàn)及報(bào)告上報(bào)教育局局主管領(lǐng)導(dǎo)審批。

（2）較大信息安全事件，信息系統(tǒng)維護(hù)單位應(yīng)在2個(gè)有效工作日內(nèi)將書(shū)面《信息安全事件報(bào)告》報(bào)信息中心，由辦公室負(fù)責(zé)人審定后在1個(gè)有效工作日內(nèi)，將審核意見(jiàn)及報(bào)告上報(bào)主管領(lǐng)導(dǎo)審批。

（3）一般信息安全事件，信息系統(tǒng)維護(hù)單位應(yīng)在1個(gè)有效工作日內(nèi)將書(shū)面《信息安全事件報(bào)告》報(bào)信息中心，由辦公室負(fù)責(zé)人審定后在1個(gè)有效工作日內(nèi)，將審核意見(jiàn)及報(bào)告上報(bào)主管領(lǐng)導(dǎo)。

（4）信息系統(tǒng)故障，信息系統(tǒng)維護(hù)單位應(yīng)在當(dāng)天將故障情況登記在冊(cè)，內(nèi)容包括故障發(fā)生、處理經(jīng)過(guò)和簡(jiǎn)要原因分析。在一個(gè)月內(nèi)同一部位連續(xù)發(fā)生同一故障3次，按一般信息安全事件處理。

4.5信息安全事件應(yīng)急響應(yīng)

（1）當(dāng)事件發(fā)生時(shí)，信息中心應(yīng)當(dāng)立即啟動(dòng)應(yīng)急預(yù)案或采取有效措施，全力而有序地組織搶救搶修，防止事件擴(kuò)大，消除各種危險(xiǎn)，盡快恢復(fù)系統(tǒng)，將各種損失減到最低程度。

（2）信息系統(tǒng)維護(hù)單位的相關(guān)人員應(yīng)在事發(fā)或接到事發(fā)報(bào)告1小時(shí)內(nèi)到達(dá)事發(fā)現(xiàn)場(chǎng)，開(kāi)展事件處理工作。

（3）發(fā)生重大信息安全事件，在迅速進(jìn)行應(yīng)急處理或者請(qǐng)求其他力量支援進(jìn)行應(yīng)急處理的同時(shí)，應(yīng)當(dāng)立即報(bào)告區(qū)信息辦，并盡可能保存好原始證據(jù)，保護(hù)好現(xiàn)場(chǎng)；如涉及違法犯罪的，還應(yīng)當(dāng)同時(shí)依法報(bào)告公安、安全等部門(mén)。

（4）在應(yīng)急處理過(guò)程中，應(yīng)當(dāng)采取手工記錄、截屏、文件備份和影像設(shè)備記錄等多種手段，對(duì)應(yīng)急處理的步驟和結(jié)果進(jìn)行詳細(xì)記錄。

4.6信息安全事件的調(diào)查處理

1、對(duì)于信息安全事件，在故障排除或采取必要措施后，由學(xué)校召集、成立事件調(diào)查組，必要時(shí)，可邀請(qǐng)委托維護(hù)單位以外有能力的機(jī)構(gòu)做出技術(shù)鑒定。

2、事件調(diào)查組利用合法手段在事件現(xiàn)場(chǎng)收取證據(jù)；向信息系統(tǒng)使用或維護(hù)單位了解事件發(fā)生經(jīng)過(guò)，收集相關(guān)資料，查明事件發(fā)生的原因、危害程度及造成的損失等情況，檢查預(yù)防和控制事件發(fā)生的措施以及事件發(fā)生后應(yīng)急預(yù)案是否得當(dāng)并得到落實(shí)，確定事件的級(jí)別和性質(zhì)，查明相關(guān)責(zé)任并提出處理建議，提出防止類(lèi)似事件再次發(fā)生的措施和建議。

3、信息系統(tǒng)使用或維護(hù)部門(mén)（單位）應(yīng)協(xié)助、配合調(diào)查組完成調(diào)查工作；保護(hù)事件現(xiàn)場(chǎng)、向調(diào)查組提供相關(guān)資料、接受調(diào)查組的詢問(wèn)等，并對(duì)其真實(shí)性負(fù)責(zé)。

4.7信息安全事件的整改

學(xué)校應(yīng)在事件調(diào)查結(jié)束后迅速組織制定和下達(dá)事件整改措施，明確措施內(nèi)容、完成期限、責(zé)任單位和檢查方式，并監(jiān)督實(shí)施。

信息系統(tǒng)使用和維護(hù)單位負(fù)責(zé)組織事件整改措施的落實(shí)，在規(guī)定的期限內(nèi)，完成相應(yīng)的整改工作，防止同類(lèi)事件的再次發(fā)生。

4.8獎(jiǎng)懲與備案
???1、（獎(jiǎng)勵(lì)）對(duì)獲取關(guān)鍵證據(jù)和確定事件發(fā)生原因做出特殊貢獻(xiàn)的人員，給予表彰獎(jiǎng)勵(lì)。

2、（懲戒）發(fā)生信息安全事件，有關(guān)責(zé)任人有瞞報(bào)、緩報(bào)和漏報(bào)等失職情況，給予通報(bào)批評(píng)；對(duì)造成嚴(yán)重不良后果的，將視情節(jié)輕重追究責(zé)任人的行政責(zé)任；構(gòu)成犯罪的，由有關(guān)部門(mén)依法追究其法律責(zé)任。

3、（懲戒）在重大信息安全事件的調(diào)查處理中，對(duì)于有銷(xiāo)毀、篡改、藏匿證據(jù)，或者提供虛假證據(jù)，干擾、阻礙調(diào)查以及授意他人干擾、阻礙調(diào)查行為的人員，給予通報(bào)批評(píng)，對(duì)造成嚴(yán)重不良后果的，將視情節(jié)輕重追究責(zé)任人的行政責(zé)任；構(gòu)成犯罪的，由有關(guān)部門(mén)依法追究其法律責(zé)任。

4、（備案）對(duì)信息安全事件報(bào)告以日期為索引進(jìn)行分類(lèi)、編號(hào)、歸檔，長(zhǎng)期保存，以供借鑒。

4.9附表1：《信息安全事件報(bào)告》

信息安全事件報(bào)告(樣式)

?

?

?

?

?