学校网络信息安全事件应急预案

xxxx学校网络信息安全事件应急预案一、总则（一）目的。为提高学校网络与信息安全突发公共事件的应对能力，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响，保障信息系统的实体安全、运行安全和数据安全，尤其保障学校信息工作的安全稳定。总体要求是在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动预案的条件、应急处理流程、系统恢复流程、事后教育等内容。（二）编制依据。《中华人民共和国计算机信息系统安全保护条例》《计算机病毒防治管理办法》《政府信息系统安全检查办法》。（三）工作原则。1.积极防御，综合防范。立足安全防护，加强预警，抓好预防、监控、应急处理、应急保障和打击犯罪环节，在管理、技术、人才等方面，采取各种措施，充分发挥各方面作用，共同构筑学校网络与信息安全保障体系。2.明确责任，分级负责。按照“谁管理谁负责，谁运维谁负责”的原则，分级分类建立和完善安全责任制度、协调管理机制和联动机制。3.科学决策，快速反应。加强技术储备，规范应急处理措施和操作流程，网络与信息安全突发公共事件发生时，要快速反应，及时获取准确信息，跟踪研判，及时报告，果断决策，迅速处理，最大限度地减少危害和影响。二、组织体系（一）应急领导小组组长：xxx副组长：xxxxxxxxx成员：xxxxxxxxxxxxxxxxxx（二）应急领导小组职责研究制定学校网络与信息安全应急处置工作规划和政策措施，协调推进网络与信息安全应急机制和工作体系建设。发生网络与信息安全突发公共事件，应及时启动本预案，组织应急处置。（三）应急处突队伍组长：xxx副组长：xxxxxxxxxxxx成员：xxxxxxxxxxxxxxx（四）应急处突队伍职责1.负责和处理应急领导小组的日常工作，检查督促应急领导小组决定事项的落实。2.研究和制订网络与信息安全应急处置的技术方案，检查、指导和督促各单位的网络与信息安全工作，组织开展相关演练。3.建立网络信息监测制度。及时判断网络运行状态，监看是否发生攻击行为，是否存在病毒传播，网络设备是否正常。4.建立网上舆情监测机制，一旦发现不良信息或异常舆情，在第一时间关闭服务器，然后报告工作组组长，组织相关人员在内部查找原因，寻求解决办法。5.及时收集网络与信息安全突发公共事件相关信息，分析重要信息并向应急领导小组提出处置建议。对可能演变的网络与信息安全突发公共事件应及时向应急领导小组提出启动本应急预案的建议。三、应急响应流程（一）预防预警1.落实工作责任制，按照“早发现、早报告、早处置”的原则，加强对各类网络与信息安全突发公共事件和可能引发突发公共事件的有关信息的收集、分析、判断和持续监测。当发生网络与信息安全突发公共事件时，应立即向应急领导小组报告。领导小组根据事件的严重程度，组织指定小组及时控制信息外漏，按重要程度进行信息控制。2.发现下列情况应及时向应急领导小组报告：利用网络从事违法犯罪活动；网络或信息系统通信和资源使用异常；网络或信息系统瘫痪；应用服务中断或数据篡改、丢失；网络恐怖活动的嫌疑和预警信息；其它影响网络与信息安全的信息。3.预警处理与发布，对可能发生或已经发生的网络与信息安全突发公共事件，立即采取措施控制事态，必要时启动相应的预案，同时向应急领导小组报告。应急领导小组接到报告后，对发生和可能发生的网络与信息安全事件，应迅速召开应急领导小组会议，研究确定处置意见，决定启动本预案。（二）事件分类与定级1.事件分类：（1）有害程序事件，指蓄意制造、传播有害程序，或是因受到有害程序的影响导致信息安全事件。（2）网络攻击事件，指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷用暴力攻击对信息系统进行攻击。（3）信息破坏事件，指通过网络或其他手段造成信息被篡改、假冒、泄露、窃取等而导致的信息破坏事件。（4）信息内容安全事件，指利用信息网络发布、传播危害国家社会稳定和公共利益的内容安全事件。2.信息安全事件分级：（1）特别重大事件，指会使特别重要信息系统遭受特别严重的损失，产生特别重大的社会影响。（2）重大事件，指特别重要信息系统遭受严重损失，产生重大社会影响。（3）较大事件，指能够导致较严重影响的信息安全事件，产生较大社会影响。（4）一般事件，指不满足以上条件的信息安全事件，产生一般的社会影响。（三）应急响应1.网站、网页出现非法言论时的处置流程。（1）学校网站、新媒体由办公室负责随时密切监视信息内容。（2）发现网上出现非法信息时，派专人处理，做好必要记录，清除非法信息，确认后，再重新启动网站。（3）服务器责任人妥善保存有关记录及日志。（4）信息安全员通过技术手段追查非法信息来源。（5）向领导小组汇报处理情况。（6）如果非法信息不能自行处理或属严重事件的，应保留记录资料并立即向公安部门报警。2.黑客攻击的紧急处置流程。（1）当发现网页内容被篡改或通过入侵检测系统发现网络正被攻击时，应立即将被攻击的服务器等设备从网络中隔离出来，保护现场并立刻向领导通报情况。（2）进行被攻击、破坏系统的恢复、重建工作。（3）追查非法来源。（4）向上级领导汇报处理情况。（5）如果不能自行处理或属严重事件的，应保留记录资料并立即向公安部门报警。3.病毒安全紧急处置流程。（1）当发现计算机被感染上病毒后，将该机从网络上隔离开来。（2）对该设备的硬盘进行数据备份。（3）启用杀病毒软件对该机器进行杀毒处理工作。（4）如果现行反病毒软件无法清除该病毒，在确认数据完全备份后，征求使用人同意重装系统。4.软件系统遭破坏性攻击的紧急处置流程。（1）重要的软件平时做好备份，并异地存储。（2）一旦软件遭到破坏性攻击，应及时采取相应措施减少或降低损害，并立刻向领导报告。（3）网络安全人员检查日志等资料，确定攻击来源。（4）向上级领导汇报处理情况。（5）事态严重，应保留记录资料并立即向公安部门报警。5.数据库安全紧急处置流程。（1）主要数据库系统应做双机热备设置，至少准备两个以上数据库备份，并存于异地。（2）一旦数据库崩溃，应立即启动备用系统，并立刻向领导报告。（3）在备用系统运行的同时，应对主机系统进行修复工作。（4）如果两套系统均崩溃，信息安全小组人员应立即向软硬件提供商请求支援。（5）系统修复启动后，将数据库备份取出，按照要求将其恢复到主机系统中。（6）如果两个备份均无法恢复，应立即向有关厂商请求紧急支援。6.广域网线路中断紧急处置流程。（1）广域网线路中断后，应立即启动线路接续工作，同时向领导报告。（2）迅速判断故障节点，查明故障原因及时恢复网络。（3）如故障节点属电信部门管辖范围，立即与电信维护部门联系，要求修复。7.局域网中断紧急处置流程。（1）配置好备用网络设备，存放在指定的地方。（2）局域网中断后，网络维护人员应立即判断故障节点，查明原因。（3）如属线路故障，应重新安装线路。（4）如属路由器、交换机等网络设备硬件故障，应立即使用备用设备，并调试通畅。（5）如属路由器、交换机配置文件破坏等软件故障，应迅速按照要求重新导入备份配置。（6）向上级领导汇报处理情况。8.设备安全紧急处置流程。（1）小型机、服务器关键设备损坏后，应及时向领导报告。（2）如果能够自行恢复，应立即使用备用部件更换受损部件。（3）如不能自行恢复的，立即与设备提供商联系，请求前来维修。9.机房灭火流程。一旦发生火灾，应遵循下列原则：（1）首先确保人员安全；其次保证关键设备、数据的安全；第三确保一般设备安全。（2）人员疏散程序是：按响火警警报，并通过119电话向消防请求支援，所有不参与灭火的人员按照预先确定的路线撤离。（3）人员灭火程序是：首先切断电源，启动自动灭火系统。（4）向上级领导汇报处理情况。10.电源中断后的处置流程。（1）停电发生后，由UPS供电，密切监察UP