目的
本文件介绍了个人报告应遵循的程序 与信息技术资源相关的事件。发生有效的事件 响应对于减轻信息安全造成的损害和损失至关重要 事件。妥善处理此类事件可以保护大学的信息 防止未来未经授权的访问、使用或损坏技术资源。
范围
任何报告事件的用户(包括外部用户)都可以使用此程序 适用时的来源。
什么是事件?
安全事件是指违反计算机安全政策、可接受的使用政策、 或标准计算机安全实践。 “IT 安全事件”可能:
- 导致滥用机密信息(社会安全号码、成绩、健康状况 个人的记录、财务交易等)。
- 危及大学 IT 基础设施的功能。
- 提供对大学资源或信息的未经授权的访问。
信息安全事件的示例包括:
- 入侵大学系统
- 利用大学 IT 资源侵入任何非大学计算机系统
- 利用大学 IT 资源骚扰或威胁某人
- 怀疑计算机感染了病毒或蠕虫,可能会导致 数据泄露(击键记录器、密码破解器等)
- 包含大学数据的笔记本电脑丢失或被盗
为什么报告事件很重要?
IT 相关事件可能会给大学带来多种后果。例如:
- 大学持有的大部分个人信息均受外部法律管辖 以及要求适当事件响应的法规,以确保个人的 数据不会受到损害。
- 大学的知识产权非常宝贵。
- 需要维持大学资源的总体健康状况
如果您怀疑发生了事件该怎么办
请记住:我们要努力完成的主要响应任务 事件的关键在于保留尽可能多的不稳定证据。因为 为此,我们希望在我们能够之前对受影响的系统做尽可能少的事情 对内存进行成像以进行分析。
事件响应步骤
- 请勿关闭计算机。
- 请勿尝试登录计算机。
- 如果可能,请让计算机保持在线状态,除非:
- 您认为正在主动从系统中获取数据。
- 您认为该系统正在攻击或被用来对其他系统进行攻击 系统。
- 联系您的支持人员以协助处理该事件。
- 可以拨打 7-1111 联系服务台。
- 可拨打 IT 安全热线 7-0099。
- 报告事件的个人或支持人员需要发送尽可能多的信息
可以收集以下信息incident@mtu.edu。所有信息可能不容易识别,在这种情况下,您可以
将其列为 N/A,响应团队将努力确定它。
- 事件检测者的姓名以及联系方式
- 参与该事件的任何其他个人的姓名和联系信息
- 计算机的名称和IP地址
- 系统的物理位置
- 据信发生的事件类型。
- 拒绝服务
- 未经授权的使用或访问
- 大学数据的泄露
- 滥用 IT 资源
- 恶意代码(病毒或蠕虫)
- 其他
- 有关如何检测到该事件的简要说明
- 系统的用途(台式机、实验室计算机、网络服务器等)
- 该系统被认为对大学业务有多重要
- 如果系统包含“私人”数据,则其包含的数据类型(SSN、信用 卡信息、学生成绩/地址、医疗信息、政府研究 数据等)
报告事件后,响应团队可能会与您联系以获取更多信息。 他们将被派去分析系统以确定受损的程度, 潜在的数据泄露,并解决问题。
文档结束。
修订版 2016 年 9 月 20 日