廣州市黃埔區(qū)教育系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急處置工作預(yù)案

1、廣州市黃埔區(qū)教育系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急處置工作預(yù)案為了切實(shí)做好教育系統(tǒng)網(wǎng)絡(luò)安全突發(fā)事件的防范和應(yīng)急處理工作，進(jìn)一步提高教育系統(tǒng)預(yù)防和控制網(wǎng)絡(luò)突發(fā)事件的能力和水 平，減輕或消除突發(fā)事件的危害和影響，確保教育系統(tǒng)網(wǎng)絡(luò)與信 息安全，結(jié)合工作實(shí)際，制定本預(yù)案。總則第一條 本預(yù)案所稱突發(fā)性事件，是指自然因素或者人為活動 引發(fā)的危害教育系統(tǒng)網(wǎng)絡(luò)設(shè)施及信息安全等有關(guān)的災(zāi)害。第二條本預(yù)案的指導(dǎo)思想是確保黃埔區(qū)教育系統(tǒng)網(wǎng)絡(luò)、學(xué)校 計(jì)算機(jī)網(wǎng)絡(luò)及信息安全。第三條 本預(yù)案適用于發(fā)生在廣州市黃埔區(qū)教育系統(tǒng)網(wǎng)絡(luò)上的突發(fā)性事件應(yīng)急工作。第四條 應(yīng)急處置工作原則：統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一指揮、各司其職、 整體作戰(zhàn)、發(fā)揮優(yōu)勢、保障安全。第二章

2、組織指揮和職責(zé)任務(wù)第五條教育局、學(xué)校成立網(wǎng)絡(luò)與信息安全應(yīng)急處置工作小 組，辦公室設(shè)在網(wǎng)絡(luò)信息中心。工作小組的主要職責(zé)與任務(wù)是統(tǒng) 一領(lǐng)導(dǎo)全校信息網(wǎng)絡(luò)的災(zāi)害應(yīng)急工作，全面負(fù)責(zé)學(xué)校信息網(wǎng)絡(luò)可 能出現(xiàn)的各種突發(fā)事件處置工作，協(xié)調(diào)解決災(zāi)害處置工作中的重 大問題等。第三章處it措施和處置程序第六條處置措施。處置的基本措施分災(zāi)害發(fā)生前與災(zāi)害發(fā)生后兩種情況。(-)災(zāi)害發(fā)生前，區(qū)教育網(wǎng)絡(luò)、學(xué)校網(wǎng)絡(luò)與信息安全主管部 門及網(wǎng)絡(luò)信息中心要預(yù)先對災(zāi)害預(yù)警預(yù)報(bào)體系進(jìn)行建設(shè)，開展災(zāi) 害調(diào)查，編制災(zāi)害防治規(guī)劃，建設(shè)專業(yè)監(jiān)測網(wǎng)絡(luò)，并規(guī)劃建設(shè)災(zāi) 害信息管理系統(tǒng)，及時(shí)處理災(zāi)害訊情信息。加強(qiáng)災(zāi)害險(xiǎn)情巡查。網(wǎng)絡(luò)信息中心要充分發(fā)揮專業(yè)監(jiān)

3、測的作用，進(jìn)行定期和不定期的檢查，加強(qiáng)對災(zāi)害重點(diǎn)部位的監(jiān)測和防 范,發(fā)現(xiàn)有不良險(xiǎn)情時(shí)，要及時(shí)處理并向工作領(lǐng)導(dǎo)小組報(bào)告。建立健全災(zāi)情速報(bào)制度，保障突發(fā)性災(zāi)害緊急信息報(bào)送渠道暢通。屬于大型災(zāi)害的，在向工作領(lǐng)導(dǎo)小組報(bào)告的同時(shí)，還應(yīng)向黃 埔區(qū)公安局計(jì)算機(jī)信息安全監(jiān)察處、廣州市教育信息中心報(bào)告。（二）災(zāi)害發(fā)生后，立即啟動應(yīng)急預(yù)案，采取應(yīng)急處置程序, 判定災(zāi)害級別，并立即將災(zāi)情向工作小組報(bào)告，在處置過程中， 應(yīng)及時(shí)報(bào)告處置工作進(jìn)展情況，直至處置工作結(jié)束。第七條處置程序。（一）發(fā)現(xiàn)情況。教育信息中心、學(xué)校網(wǎng)絡(luò)信息中心要嚴(yán)格執(zhí)行網(wǎng)絡(luò)巡檢制度,做好教育信息網(wǎng)、校園網(wǎng)信息系統(tǒng)安全的日常巡查及其日志保存 工作，以保

4、障最先發(fā)現(xiàn)災(zāi)害并及時(shí)處置此突發(fā)性事件。（二）預(yù)案啟動。一旦災(zāi)害發(fā)生，立即啟動應(yīng)急預(yù)案 進(jìn)入應(yīng)急預(yù)案的處置程序。（三）應(yīng)急處置方法。在災(zāi)害發(fā)生時(shí)，首先應(yīng)區(qū)分災(zāi)害發(fā)生是否為自然災(zāi)害與人為破 壞兩種情況，根據(jù)這兩種情況把應(yīng)急處置方法分為兩個(gè)流程。流程一：當(dāng)發(fā)生的災(zāi)害為自然災(zāi)害時(shí)，應(yīng)根據(jù)當(dāng)時(shí)的實(shí)際情況， 在保障人身安全的前提下，首先保障數(shù)據(jù)的安全，然后是設(shè)備安 全。具體方法包括：硬盤的拔出與保存，設(shè)備的斷電與拆卸、搬 遷等。流程二：當(dāng)人為或病毒破壞的災(zāi)害發(fā)生時(shí)，具體按以下順序進(jìn) 行：判斷破壞的來源與性質(zhì)，斷開影響安全與穩(wěn)定的信息網(wǎng)絡(luò)設(shè)備，斷開與破壞來源的網(wǎng)絡(luò)物理連接，跟蹤并鎖定破壞來源的ip 或其它網(wǎng)

5、絡(luò)用戶信息，修復(fù)被破壞的信息，恢復(fù)信息系統(tǒng)。按照 災(zāi)害發(fā)生的性質(zhì)分別采用以下方案：1病毒傳播：針對這種現(xiàn)象，要及時(shí)斷開傳播源，判斷病毒 的性質(zhì)、采用的端口，然后關(guān)閉相應(yīng)的端口，在網(wǎng)上公布病毒攻擊信息以及防御方法。2入侵：對于網(wǎng)絡(luò)入侵，首先要判斷入侵的來源，區(qū)分外網(wǎng) 與內(nèi)網(wǎng)。入侵來自外網(wǎng)的，定位入侵的ip地址，及時(shí)關(guān)閉入侵的 端口，限制入侵地ip地址的訪問，在無法制止的情況下可以采用 斷開網(wǎng)絡(luò)連接的方法。入侵來自內(nèi)網(wǎng)的，查清入侵來源，如ip地 址、上網(wǎng)帳號等信息，同時(shí)斷開對應(yīng)的交換機(jī)端口。然后針對入 侵方法建設(shè)或更新入侵檢測設(shè)備。3信息被篡改：這種情況，要求一經(jīng)發(fā)現(xiàn)馬上斷開相應(yīng)的信息上網(wǎng)鏈接，并

6、盡快恢復(fù)。4網(wǎng)絡(luò)故障：一旦發(fā)現(xiàn)，可根據(jù)相應(yīng)工作流程盡快排除。5其它沒有列出的不確定因素造成的災(zāi)害，可根據(jù)總的安全 原則，結(jié)合具體的情況，做出相應(yīng)的處理。不能處理的可以請示 相關(guān)的專業(yè)人員。情況報(bào)告。災(zāi)害發(fā)生時(shí)，一方面按照應(yīng)急處置方法進(jìn)行處置，同時(shí)需要判 定災(zāi)害的級別，首先向黃埔區(qū)教育信息中心、學(xué)校網(wǎng)絡(luò)與信息安 全應(yīng)急處置工作小組匯報(bào)。在大型災(zāi)害發(fā)生時(shí)或上級領(lǐng)導(dǎo)通知的 特殊時(shí)間內(nèi)發(fā)生的災(zāi)害，可以同時(shí)向黃埔區(qū)公安局計(jì)算機(jī)信息系 統(tǒng)安全監(jiān)察處、廣州市教育信息中心匯報(bào)。中、小型級別的災(zāi)害， 可以只向廣州市黃埔區(qū)教育信息中心及學(xué)校的網(wǎng)絡(luò)與信息安全應(yīng) 急處置工作小組匯報(bào)，并及時(shí)報(bào)告處置工作進(jìn)展情況，直至處

7、置 工作結(jié)束。情況報(bào)告內(nèi)容包括：災(zāi)害發(fā)生的時(shí)間、地點(diǎn)，災(zāi)害的級別，災(zāi) 害造成的后果，應(yīng)急處置的過程、結(jié)果，災(zāi)害結(jié)束的時(shí)間，以后 如何防范類似災(zāi)害發(fā)生的建議與方案等。（五）發(fā)布預(yù)警。災(zāi)害發(fā)生時(shí)，可根據(jù)災(zāi)害的危害程度適當(dāng)?shù)匕l(fā)布預(yù)警，特別是一些在其它地方已經(jīng)出現(xiàn)，或在安全相關(guān)網(wǎng)站發(fā)布了預(yù)警而學(xué)校 信息網(wǎng)絡(luò)還沒有出現(xiàn)相應(yīng)的災(zāi)害，除了在技術(shù)上進(jìn)行防范以外， 還應(yīng)當(dāng)向網(wǎng)絡(luò)信息用戶發(fā)布預(yù)警，直至災(zāi)害警報(bào)解除。（六）預(yù)案終止。經(jīng)專家組鑒定，災(zāi)害險(xiǎn)情或?yàn)?zāi)情已消除，或者得到有效控制后, 由廣州市黃埔區(qū)教育信息中心及學(xué)校的網(wǎng)絡(luò)與信息安全應(yīng)急處置 工作小組宣布險(xiǎn)情或?yàn)?zāi)情應(yīng)急期結(jié)束，并予以公告，同時(shí)預(yù)案終 止。第四章保

8、障措施災(zāi)害應(yīng)急防治是一項(xiàng)長期的、持續(xù)的、跟蹤式的、深層次的和 各階段相互聯(lián)系的工作，是有組織的科學(xué)與社會行為，而不是隨 每次災(zāi)害的發(fā)生而開始和結(jié)束的活動。因此，必須做好應(yīng)急保障 工作。第八條人員保障。重視人員的建設(shè)與保障，確保在災(zāi)害發(fā)生前的人員值班，災(zāi)害處置過程和災(zāi)后重建中的人員在崗與戰(zhàn)斗力。第九條技術(shù)保障。重視網(wǎng)絡(luò)信息技術(shù)的建設(shè)和升級換代，在災(zāi)害發(fā)生前確保網(wǎng)絡(luò) 信息系統(tǒng)的強(qiáng)勁與安全，災(zāi)害處置過程中和災(zāi)后重建中的相關(guān)技 術(shù)支撐。第十條物資保障。區(qū)教育信息中心、各學(xué)校要根據(jù)近三年全國網(wǎng)絡(luò)信息系統(tǒng)安全防治工作所需經(jīng)費(fèi)情況將本年度災(zāi)害應(yīng)急經(jīng)費(fèi)納入年度財(cái)政計(jì)劃和預(yù)算，購買相應(yīng)的應(yīng)急設(shè)施。建立應(yīng)急物資儲

9、備制度，保證 應(yīng)急搶險(xiǎn)救災(zāi)隊(duì)伍技術(shù)裝備的及時(shí)更新，以確保災(zāi)害應(yīng)急工作的 順利進(jìn)行。第十一條訓(xùn)練和演練 加強(qiáng)教育信息網(wǎng)絡(luò)用戶的防災(zāi)、減災(zāi)知識的宣傳普及，增強(qiáng)這些用戶的防災(zāi)意識和自救互救能力。有針對性地開展應(yīng)急搶險(xiǎn)救 災(zāi)演練，確保發(fā)災(zāi)后應(yīng)急救助手段及時(shí)到位和有效。第五章附則第十二條本預(yù)案由黃埔區(qū)教育局教育信息中心負(fù)責(zé)解釋。第十三條 本預(yù)案自發(fā)布之日起施行。附件：1 學(xué)校網(wǎng)絡(luò)與信息安全應(yīng)急工作小組責(zé)任人登記表2單位自行應(yīng)急處理措施指南3重大信息安全事故報(bào)告表4 重大信息安全事件處理結(jié)果報(bào)告表附件1學(xué)校網(wǎng)絡(luò)與信息安全應(yīng)急工作小組責(zé)任人登記表責(zé)任人姓名職務(wù)辦公電話手機(jī)/住宅電話第一責(zé)任人（法人代表）第二

10、責(zé)任人第三責(zé)任人單位郵箱傳真電話注:表中所列事項(xiàng)發(fā)生變更時(shí)，先發(fā)郵件通知廣州市黃埔區(qū)教育信息中心，電子郵箱:hpedu163. com。責(zé)任單位：（蓋章）法人代表簽字：附件2單位自行應(yīng)急處理措施指南%1. 網(wǎng)站.網(wǎng)頁出現(xiàn)非法言論事件緊急處置措施1網(wǎng)站、網(wǎng)頁由主辦部門的值班人員負(fù)責(zé)隨時(shí)密切監(jiān)視信息內(nèi) 容。2發(fā)現(xiàn)在網(wǎng)上出現(xiàn)非法信息時(shí) 值班人員應(yīng)立即向本單位信息安全負(fù)責(zé)人通報(bào)情況；情況緊急的，應(yīng)先及時(shí)采取刪除等處理措 施，再按程序報(bào)告。3信息安全相關(guān)負(fù)責(zé)人應(yīng)在接到通知后立即趕到現(xiàn)場，作好必 要記錄，清理非法信息，妥善保存有關(guān)記錄及日志或?qū)徲?jì)記錄， 強(qiáng)化安全防范措施，并將網(wǎng)站網(wǎng)頁重新投入使用。4追查非

11、法信息來源，并將有關(guān)情況向黃埔區(qū)教育局網(wǎng)絡(luò)信息安全工作小組匯報(bào)。5各單位網(wǎng)絡(luò)信息安全工作小組組長召開小組會議，如認(rèn)為事 態(tài)嚴(yán)重，則立即向黃埔區(qū)公安局網(wǎng)監(jiān)科報(bào)告。%1. 黑客攻擊事件緊急處置措施1 當(dāng)有關(guān)值班人員發(fā)現(xiàn)網(wǎng)頁內(nèi)容被篡改 或通過入侵檢測系統(tǒng)發(fā)現(xiàn)有黑客正在進(jìn)行攻擊時(shí)，應(yīng)立即向信息安全負(fù)責(zé)人通報(bào)情況。2信息安全相關(guān)負(fù)責(zé)人應(yīng)在接到通知后立即趕到現(xiàn)場，并首先將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來，保護(hù)現(xiàn)場，并將有 關(guān)情況向本單位網(wǎng)絡(luò)信息安全工作小組匯報(bào)。3對現(xiàn)場進(jìn)行分析，并寫出分析報(bào)告存檔，必要時(shí)上報(bào)主管部門。4 恢復(fù)與重建被攻擊或破壞系統(tǒng)。5各單位網(wǎng)絡(luò)信息安全工作小組組長召開小組會議，如認(rèn)為

12、事態(tài)嚴(yán)重，則立即向黃埔區(qū)公安局網(wǎng)監(jiān)科報(bào)告。%1. 病毒事件緊急處置措施1 當(dāng)發(fā)現(xiàn)有計(jì)算機(jī)被感染上病毒后 應(yīng)立即向信息安全負(fù)責(zé)人 報(bào)告，將該機(jī)從網(wǎng)絡(luò)上隔離開來。2 信息安全相關(guān)負(fù)責(zé)人員在接到通報(bào)后立即趕到現(xiàn)場。3 對該設(shè)備的硬盤進(jìn)行數(shù)據(jù)備份。4啟用反病毒軟件對該機(jī)進(jìn)行殺毒處理，同時(shí)通過病毒檢測軟 件對其他機(jī)器進(jìn)行病毒掃描和清除工作。5如果現(xiàn)行反病毒軟件無法清除該病毒 應(yīng)立即向本單位網(wǎng)絡(luò) 信息安全工作小組報(bào)告，并迅速聯(lián)系有關(guān)產(chǎn)品商研究解決。6各單位網(wǎng)絡(luò)信息安全工作小組組長召開小組會議，如認(rèn)為事態(tài)嚴(yán)重，則立即向黃埔區(qū)公安局網(wǎng)監(jiān)科報(bào)告。7如果感染病毒的設(shè)備是主服務(wù)器經(jīng)本單位網(wǎng)絡(luò)信息安全工作小組同意，應(yīng)

13、立即告知各下屬單位做好相應(yīng)的清查工作。%1. 軟件系統(tǒng)遭破壞性攻擊的緊急處置措施重要的軟件系統(tǒng)平時(shí)必須存有備份，與軟件系統(tǒng)相對應(yīng)的數(shù) 據(jù)必須按本單位容災(zāi)備份規(guī)定的間隔按時(shí)進(jìn)行備份，并將它們保 存于安全處。2 旦軟件遭到破壞性攻擊，應(yīng)立即向信息安全負(fù)責(zé)人報(bào)告, 并將該系統(tǒng)停止運(yùn)行。3檢查信息系統(tǒng)的日志等資料，確定攻擊來源，并將有關(guān)情況 向本單位網(wǎng)絡(luò)信息安全工作小組匯報(bào)，再恢復(fù)軟件系統(tǒng)和數(shù)據(jù)。4各單位網(wǎng)絡(luò)信息安全工作小組組長召開小組會議，如認(rèn)為事態(tài)嚴(yán)重，則立即向黃埔區(qū)公安局網(wǎng)監(jiān)科報(bào)告。%1. 數(shù)據(jù)庫安全緊急處置措施1 在有條件的地區(qū)，主要數(shù)據(jù)庫系統(tǒng)應(yīng)按雙機(jī)熱備設(shè)置，并至 少要準(zhǔn)備兩個(gè)以上數(shù)據(jù)庫備份

14、，平時(shí)一個(gè)備份放在機(jī)房，另一個(gè) 備份放在另一安全的建筑物中。2 旦數(shù)據(jù)庫崩潰，值班人員應(yīng)立即啟動備用系統(tǒng)，并向信息安全負(fù)責(zé)人報(bào)告。3在備用系統(tǒng)運(yùn)行期間 信息安全工作人員應(yīng)對主機(jī)系統(tǒng)進(jìn)行 維修并作數(shù)據(jù)恢復(fù)。4如果兩套系統(tǒng)均崩潰而無法恢復(fù) 應(yīng)立即向有關(guān)廠商請求緊 急支援。六、廣域網(wǎng)外部線路中斷緊急處置措施1廣域網(wǎng)主、備用線路中斷一條后，值班人員應(yīng)立即啟動備用 線路接續(xù)工作，同時(shí)向信息安全負(fù)責(zé)人報(bào)告。2信息安全相關(guān)負(fù)責(zé)人員接到報(bào)告后，應(yīng)迅速判斷故障節(jié)點(diǎn)， 查明故障原因。3如屬我方管轄范圍，由信息安全工作人員立即予以恢復(fù)。4如屬電信部門管轄范圍，立即與電信維護(hù)部門聯(lián)系，要求修 復(fù)。5如果主、備用線路同

15、時(shí)中斷，信息安全相關(guān)負(fù)責(zé)人應(yīng)在判斷 故障節(jié)點(diǎn)，查明故障原因后，盡快研究恢復(fù)措施，并立即向本單 位網(wǎng)絡(luò)信息安全工作小組匯報(bào)。6如有必要向黃埔區(qū)公安局網(wǎng)監(jiān)科及黃埔區(qū)教育信息中心 報(bào)告。七、局域網(wǎng)中斷緊急處置措施設(shè)備管理部門平時(shí)應(yīng)準(zhǔn)備好網(wǎng)絡(luò)備用設(shè)備 存放在指定的位置。2 局域網(wǎng)中斷后，信息安全相關(guān)負(fù)責(zé)人員應(yīng)立即判斷故節(jié)點(diǎn), 查明故障原因，并向網(wǎng)絡(luò)信息安全工作小組組長匯報(bào)。3如屬線路故障，應(yīng)重新安裝線路。4如屬路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備故障，應(yīng)立即從指定位置將 備用設(shè)備取出接上，并調(diào)試通暢。5如屬路由器、交換機(jī)配置文件破壞，應(yīng)迅速按照要求重新配 置，并調(diào)測通暢。6如有必要向黃埔區(qū)公安局網(wǎng)監(jiān)科及黃埔區(qū)教育

16、信息中心報(bào)告。%1. 設(shè)備安全緊急處置措施小型機(jī)：服務(wù)器等關(guān)鍵設(shè)備損壞后，值班人員應(yīng)立即向信息 安全負(fù)責(zé)人報(bào)告。2 信息安全相關(guān)負(fù)責(zé)人員立即查明原因。3如果能夠自行恢復(fù)，應(yīng)立即用備件替換受損部件。4如屬不能自行恢復(fù)的，立即與設(shè)備提供商聯(lián)系，請求派維護(hù) 人員前來維修。5如果設(shè)備一時(shí)不能修復(fù) 應(yīng)向黃埔區(qū)教育信息中心及本單位網(wǎng)絡(luò)信息安全工作小組匯報(bào)。附件3重大信息安全事故報(bào)告表報(bào)告時(shí)間年月日時(shí)分（注：單位名稱需加蓋公章）備案編號年月日第號總第號單位名稱報(bào)告人：聯(lián)系電話通訊地址：傳真電子郵件：負(fù)責(zé)部門負(fù)責(zé)人：發(fā)生重大信息安全事件的網(wǎng)絡(luò)與信息系統(tǒng)名稱及用途:重大信息安全事件的簡要描述（如以前出現(xiàn)過類似情

17、況也應(yīng)加以說明）： 初步判定的事故原因：當(dāng)前采取的確應(yīng)對措施：本次重大信息安全事件的初步影響狀況（事件后果）：業(yè)務(wù)中斷系統(tǒng)破壞數(shù)據(jù)丟失其他影響范圍：單臺主機(jī)臺主機(jī)整個(gè)信息系統(tǒng)整個(gè)個(gè)局域網(wǎng)嚴(yán)重程度：極嚴(yán)重很嚴(yán)重嚴(yán)重一般不嚴(yán)重聯(lián)系部門：廣州市黃埔區(qū)教育信息中心 聯(lián)系電話：82494900傳真：82397025電子郵件：hpedu附件4重大信息安全事件處理結(jié)果報(bào)告表原報(bào)告時(shí)間：年 月日時(shí)分（注：單位名稱需加蓋公章）備案編號：年月日第丐 總第冇單位名稱：報(bào)告人：聯(lián)系電話：通訊地址：傳真：電子郵件：負(fù)責(zé)部門：負(fù)責(zé)人：發(fā)生重大信息安全事件的網(wǎng)絡(luò)與信息系統(tǒng)名稱及用途：操作系統(tǒng)：unix awindows °bsd 系列 nlinux數(shù)據(jù)庫使用情況：無 dora