文摘:  JSU必须保证快速, 有效的, 有序响应网络安全事件，建立事件响应的组织架构, 定义角色和职责, 并列出了报告事件的要求. 保单号码: 50000.022 有效日期: 5/20/2020 审查/修改日期: 4/20/2023 类别: 信息技术 政策的所有者: CIO /信息技术 政策联系: CISO /信息技术

政策声明

此政策的目的是为了确保快速, 有效的, 有序应对安全事件. 它定义了什么是网络事件，什么是网络事件, 建立事件响应的组织结构, 定义角色和职责, 并列出了报告事件的要求.

 

定义

• • 网络事件-事件是指尚未评估的可能影响JSU信息系统和/或网络性能的事件. 事件的例子包括计划外的系统重新启动, 系统崩溃, 以及网络内的包泛洪.
  • 网络事件-事件是经评估的对JSU关键信息系统有潜在或实际不利影响的事件. 网络事件是违反安全策略的一个事件或一系列事件. 安全事件可能包括但不限于以下一般类别的不良事件:

 

• • • 数据泄露:  公开学生记录或个人身份信息
    • 数据泄露和数据泄漏: 将信息暴露给未被授权访问该信息的人，无论是通过许可级别还是正式授权
    • 数据破坏或损坏: 更改文件的权限，使非特权用户可以写入文件, 删除数据文件和/或程序
    • 恶意代码: 电脑病毒、蠕虫、特洛伊木马、逻辑炸弹、间谍软件、广告软件和后门程序
    • 恶意攻击: DDOS, SQL注入攻击，勒索软件
    • 特权用户误用: 受信任的JSU员工试图破坏系统或破坏其包含的信息
    • 系统污染: 将PII数据放入未经批准的系统中
    • 网站事件: 网站上乱涂, 插入有潜在危险的内容, 图片, 恶意代码, 甚至是删除

员工坚持

这项政策适用于所有JSU员工, 承包商, 咨询顾问, 临时工和其他工人, 包括所有与使用JSU信息系统和服务的第三方相关的人员.

 

政策

一般网络事件响应政策

• • • 应尽快通过适当的管理渠道报告安全事件.
    • 所有使用JSU信息系统和服务的人员和承包商都必须注意并报告JSU系统或服务中任何观察到的或怀疑的安全弱点或漏洞.
    • 应建立管理角色、职责和程序，以确保快速, 有效的, 以及对网络事件和突发事件的有序反应. 角色分配如下表所示:
    • JSU的网络安全事件响应小组(CSIRT)由其指定的网络安全官员或适当的网络安全人员领导，负责检测和调查安全事件，以确定事件是否已经发生, 在多大程度上, 事故的原因和损害.
    • JSU的CSIRT可以在必要时与外部方协调其网络事件响应工作，并且当现有协议将事件调查责任置于外部方时.
    • 进行网络安全事件调查时, JSU CSIRT被授权监控JSU相关IT资源，并检索JSU IT资源特定用户的通信和其他相关记录, 包括登录会话数据和个人通信内容，无需通知或进一步批准，并符合IT资源监控政策.

 

网络事件应变流程

为了快速有效地处理网络事件(如表1所示), JSU的网络安全事件响应团队将根据NIST和SANS Institute的事件管理最佳实践概述的以下事件管理阶段来管理每个事件:

 

过程操作	责任
准备	编制一份清单或盘点所有JSU资产, 包括但不限于:服务器, 网络, 应用程序, 和关键的端点，并制定一个沟通计划
检测 & 分析	监控流量模式是否异常，配置安全工具/IDS,IPS识别异常并发送警报
容器	系统管理员，主管和管理团队计算 & 通讯，网络管理员，电子邮件管理员
根除	更改文件的权限，使非特权用户可以写入文件, 删除数据文件和/或程序
复苏	电脑病毒、蠕虫、特洛伊木马、逻辑炸弹、间谍软件、广告软件和后门程序

 

准备阶段

• • 为网络事件做准备JSU的CISO, 网络安全官或一名合格的指定员工应确保CSIRT成员至少每年接受一次培训，了解他们在JSU事件响应政策中提到的数据泄露事件中的事件响应角色和责任.
  • 事件响应演练场景和/或桌面演习或其他适当形式的模拟数据泄露将用于至少每年评估一次事件响应计划和员工应对网络事件的知识.

 

检测 & 分析阶段

• JSU CISO的, 网络安全官或JSU CSIRT的合格员工将审查可用日志, 电子邮件, 错误信息等，以确定是否发生了事件. 如果CISO, 网络安全官员或JSU CSIRT团队的其他成员已确定或怀疑发生了事件，表1中列出的第一个联系人将是JSU的CIO和CTO. 然后，首席信息官和/或首席技术官将通知并与适当的内部和外部各方或利益相关者沟通事件的细节. JSU主席(媒体、执法).
• JSU CISO的, 网络安全官和/或JSU CSIRT成员不得传达有关数据泄露的信息, 或与任何内部或外部方(例如. 媒体平台, 第三方供应商)不是协助根除的关键人物, 识别, 调查事件.
• JSU CISO的, 网络安全官员和/或JSU CSIRT成员应在进行遏制过程和根除阶段之前，尽快捕获并保存用于检测和调查的证据.
• JSU CISO的, 网络安全官和/或JSU CSIRT成员应尽快采取适当行动. JSU CSIRT可以使用以下一些行动作为遏制补救措施的起点:
  • • 禁用或删除受损帐户访问权限.
    • 阻断恶意IP地址或网络.
    • 从网络中删除关键或受损的系统.
    • 联络供应商寻求协助(g.、互联网服务供应商、软件即服务供应商)
    • 将关键服务器和服务的网络连接加入白名单.
    • 杀死或禁用进程或服务.
    • 阻止或删除对外部供应商和合作伙伴的访问，特别是特权访问.

 

表1:JSU网络事件的联络点

根除阶段

• JSU CISO的, 网络安全官和/或JSU CSIRT成员应及时采取适当的必要行动, 取决于事件的严重程度和类型, 消除或根除对大学资产和系统的威胁, 理想情况下，尽量减少数据丢失.
• 根除工作可由JSU CSIRT执行, CISO, 在可能的情况下，可与网络安全官或授权第三方供应商达成协议，以消除威胁并将受影响的系统恢复到以前的状态. JSU CSIRT可以使用以下一些行动作为其根除工作的起点:
  • • 重建或恢复受损的系统和数据到已知良好状态.
    • 重置帐户密码.
    • 删除恶意帐户或凭据.
    • 删除或移除特定恶意软件(可能使用第三方供应商).
    • 激活并迁移到备用位置、服务或服务器.

 

恢复阶段

• JSU CISO的, 网络安全官或CSIRT的合格指定员工应进行测试, 监控, 验证被感染的系统, 应用程序, 等. 同时将它们重新投入生产，以验证它们不会再次感染或受损.

 

经验教训

• • JSU CISO的, 网络安全官员或合格的指定员工或CSIRT成员将使用事件报告表格中记录的经验教训，继续更新必要的政策, 教育和提高未来事件的应对能力.

 

政策合规

• 任何被发现违反此政策的JSU员工都可能受到纪律处分, 直至并包括撤销访问权限, 或终止雇佣关系. 除了大学纪律, 使用者可能会受到联邦法律的刑事起诉, state or local laws; civil liability; or both for unlawful use of any IT System. 

相关标准、政策和流程

• 密码策略50000.016
• 信息安全事件响应计划(IRP)策略50000.013