beat365官方网站

数据安全事件应急预案及处置情况

第一章 总则

为了加强学校数据中心信息安全保障能力，建立健全安全管理体系，提高整体的信息安全水平，保证网络通信畅通和业务系统的正常运营，提高网络服务质量，在学校网络安全体系框架下，有效开展运维工作，进行日常运维工作内容计划说明。

第二章 事件类型确定

一、启动预案

当监控到以下情况时，启动本预案。

数据篡改、数据丢失、数据泄露。数据库审计出现告警，经排查后发现数据库重要数据被异常篡改或删除；数据库审计系统有相关安全事件报警；外界传出数据泄露相关的新闻。

1.确定等级

按照数据安全事件对于业务系统的影响范围和危害程度，确定事件等级。

一级：核心业务系统的重要敏感数据或关键数据发生数据安全事件，数目达到10万条以上。

二级：一般业务系统的重要敏感数据或关键数据发生数据安全事件，数目达到10万条以上；核心业务系统的重要敏感数据或关键数据发生数据安全事件，数目达到1万条以上。

三级：一般业务系统的重要敏感数据或关键数据发生数据安全事件，数目达到1万条以上。

四级：除上述情形外，对教育系统安全稳定和正常秩序构成一定威胁、造成一定影响的数据安全事件。

第三章 应急措施

一、准备阶段

应急协调小组通知系统业务系统研发人员进行数据备份.包括日志、网站或业务系统的根目录、数据库、虚拟机做快照。

应急协调小组与安全小组、系统网络小组、业务小组沟通解决方案、准备相关工具。

二、处置流程

数据泄露事件：系统由于受到外部攻击或者内部人员故意泄密等原因，造成的数据泄露事件。当发现有数据泄露时，应报告数据安全事件应急响应领导小组，由应急响应领导小组组织协调人员进行检查，及时防止数据泄露范围扩大影响。

数据篡改事件：如业务系统不具有数据完整性保护能力，无法确保重要数据不被篡改，从而可能导致的重要数据被篡改的安全事件。发现核心数据库数据或业务系统大规模被篡改后，应立即报送数据安全事件应急响应领导小组，由应急响应领导小组指定数据库管理员或运维人员进行检查确认，同时启动应急预案，暂停相关业务服务，并通知相关业务处室。

数据丢失事件：比如业务系统数据库或业务系统文件、办公文件数据等被非法删除。当发现数据丢失时，由应急领导响应小组统一指挥，组织协调相关部门进行检查，排查数据丢失影响范围，评估对业务的影响。

当发生一级数据安全事件时，由网络安全与信息化领导小组上报公安、网信部门进行协调处置。

三、抑制根除措施

1.清除攻击者留下的后门程序。

2.修补漏洞。根据检测阶段定位的攻击路径，对攻击者利用的漏洞进行修复。

四、运行恢复措施

利用备份文件恢复篡改数据库。

优化数据库审计、数据库审计等安全防护策略。

五、预防保障措施

1.对设备、中间件及系统按相关安全配置规范进行配置安全加固，操作系统、中间件及应用软件及时升级系统版本。

2.定期进行系统风险评估，针对可以获取系统权限的高危漏洞进行及时修补，避免被利用

3.对设备及系统的配置和数据进行定期备份；

4.定期对业务系统进行渗透，深度挖掘业务系统中存在的漏洞。

第四章 总结上报

对事件的整个过程进行完整的记录和分析，如有必要可优化、调整应急预案。按照应急响应的制度要求，应急协调小组将应急处理分析报告上报应急指挥小组。

记录下整个应急响应的报告，上报应急事件过程并归档，报告内容至少应包括安全事件的类型、时间、检测方法、抑制方法、根除方法、事件影响范围等，如果属于新型安全事件，应纳入案例或者经验库中。

1.事件类型：事件类型是对事件的定性，包括的信息有攻击的来源（内部/外部，国内/国外）、攻击的方法、攻击导致的后果等。

2.时间：不能简单的记录下计算机的时间，还要记录下当前标准时间以及受攻击的系统同标准时间的误差。

3.检测方法：记录下采用了什么检测方法，检测到了什么结果。

4.抑制方法：记录下采用了什么抑制方法，抑制的效果如何。

5.根除方法：记录下采用了什么根除方法，根除效果如何。

6.事件影响：估计和总结事件的影响范围，总结在事件整个过程中的成功经验。

                                                     2024年5月