校園網(wǎng)安全應急預案

1、校園校園網(wǎng)安全應急預案為了切實做好我校校園網(wǎng)絡突發(fā)事件的防范和應急處理工 作，進一步提高我校預防和控制網(wǎng)絡突發(fā)事件的能力和水平， 減輕或消除突發(fā)事件的危害和影響，確保我校校園網(wǎng)絡與信息 安全，網(wǎng)絡管理中心結(jié)合我校工作實際，制定本預案。一、網(wǎng)絡與信息安全事件定義根據(jù)網(wǎng)絡與信息安全事件的發(fā)生原因、性質(zhì)和機理，網(wǎng) 絡與信息安全事件主要分為以下三類：攻擊類事件：指網(wǎng)絡與 信息系統(tǒng)因計算機病毒感染、非法入侵等造成校園網(wǎng)網(wǎng)站主頁 被惡意篡改、交互式欄目里發(fā)表不良信息；應用服務器（如辦 公系統(tǒng)、財務系統(tǒng)等）被非法入侵，應用服務器上的數(shù)據(jù)被非 法拷貝、修改、刪除；在網(wǎng)站上發(fā)布的內(nèi)容違反國家的法律法 規(guī)、侵犯知

2、識版權(quán)并已造成嚴重后果等，由此導致的業(yè)務中 斷、系統(tǒng)宕機、網(wǎng)絡癱瘓等情況。故障類事件：指網(wǎng)絡與信息系統(tǒng)因計算機軟硬件故障、 人為誤操作等導致業(yè)務中斷、系統(tǒng)死機、網(wǎng)絡癱瘓等情況。災害類事件：指因洪水、火災、雷擊、地震、臺風等外 力因素導致網(wǎng)絡與信息系統(tǒng)損毀，造成業(yè)務中斷、系統(tǒng)死機、 網(wǎng)絡癱瘓等情況。二、組織機構(gòu)學校成立校園網(wǎng)網(wǎng)絡安全事件應急處置小組，負責及時， 快速地協(xié)調(diào)，處理各種事件或者事故；及時響應，處置市、縣 教育信息網(wǎng)管中心的預警和問題通報，每天工作時間安排專職 人員值班，如遇特殊時期安排專人24小時值班。處置小組由學 校校長，分管校長和網(wǎng)管員組成，校長任組長，分管校長任副 組長，網(wǎng)管員

3、為組員，同時在每個年級設(shè)立信息聯(lián)絡員。二、預防措施對校園網(wǎng)絡現(xiàn)有信息系統(tǒng)和今后新建設(shè)的信息系統(tǒng)，參 照國家有關(guān)信息安全等級保護的要求，按照最終確定的保護等 級采取相應的安全保障措施。建設(shè)安全事件預警預報體系和校園網(wǎng)絡安全工作值班制 度，加強對學校網(wǎng)站和應用服務器的監(jiān)測、監(jiān)控，加強安全管 理，對可能引發(fā)網(wǎng)絡與信息安全事件的有關(guān)信息，要認真收 集、分析判斷，發(fā)現(xiàn)有異常情況時，及時處理并逐級報告。一旦發(fā)生網(wǎng)絡與信息安全事件，立即啟動應急預案，采 取應急處置措施，判定事件危害程度，并立即將情況向有關(guān)領(lǐng) 導報告，在處置過程中，應及時報告處置工作進展情況，直至 處置工作結(jié)束。屬于重大事件或存在非法犯罪行為

4、的，還應立 即向公安機關(guān)報告。特殊時期，可根據(jù)學校的統(tǒng)一要求和部署，由網(wǎng)絡管理 中心進行統(tǒng)一安排，組織專業(yè)技術(shù)人員對網(wǎng)絡和信息數(shù)據(jù)采取 加強保護措施，對網(wǎng)絡進行不間斷的監(jiān)控。三、處置程序預案啟動在發(fā)生網(wǎng)絡與信息安全事件后，網(wǎng)絡管理中心應盡最大可 能收集事件相關(guān)信息，鑒別事件性質(zhì)，確定事件來源，以確定 事件范圍和評估事件帶來的影響和損害，確認為網(wǎng)絡與信息安 全事件后，對事件進行處置和上報。應急處置初步確定應急處置方式，根據(jù)事件引發(fā)原因分為災害類、 故障或攻擊類兩種情況，區(qū)別對待。災害類：根據(jù)實際情況，在保障人身安全的前提下，首先 保障數(shù)據(jù)安全，然后是設(shè)備安全。具體方法包括：硬盤的拔出 與保存，設(shè)

5、備的斷電與拆卸、搬遷等。故障或攻擊類：判斷故障或攻擊的來源與性質(zhì)，斷開影響 安全與穩(wěn)定的信息網(wǎng)絡設(shè)備，斷開信息系統(tǒng)與攻擊來源的網(wǎng)絡 物理連接，跟蹤并鎖定攻擊來源的IP或其它網(wǎng)絡用戶信息，修 復被破壞的信息，恢復信息系統(tǒng)。網(wǎng)絡管理中心應對服務器重 要信息定時做好備份，提高信息存儲安全應急響應能力。并定 期檢查設(shè)備的運轉(zhuǎn)情況，做好設(shè)備維護記錄，保證設(shè)備高效穩(wěn) 定的運行。按照事件發(fā)生的性質(zhì)分別采用以下方案：（1）病毒傳播：要求所有接入校園網(wǎng)的計算機都要安裝殺 毒軟件，并及時升級打系統(tǒng)補丁，確保能夠清除病毒。一旦發(fā) 現(xiàn)有病毒大面積傳播應及時尋找并斷開傳播源，判斷病毒的類 型、性質(zhì)、可能的危害范圍。為避

6、免產(chǎn)生更大的損失，保護健 康的計算機，必要時可關(guān)閉相應的端口，甚至相應樓層的接入 層交換機。（2）外部入侵：判斷入侵的來源，區(qū)分外網(wǎng)與內(nèi)網(wǎng)，評價 入侵可能或已經(jīng)造成的危害。對入侵不成功、未造成損害的， 且評價威脅很小的外網(wǎng)入侵，定位入侵的IP地址，及時關(guān)閉入 侵的端口，限制入侵的IP地址的訪問。對于已經(jīng)造成危害的， 應立即采用斷開網(wǎng)絡連接的方法，避免造成更大損失和帶來惡 劣影響。（3）內(nèi)部入侵：通過上網(wǎng)安全認證系統(tǒng)查清入侵來源，如 IP地址、MAC地址、使用人、所在辦公室等信息，同時斷開對 應的交換機端口并及時通報相關(guān)科室負責人。（4）網(wǎng)絡故障：管理員對定期檢查設(shè)備的運轉(zhuǎn)情況，做好 設(shè)備維護記

7、錄，保證設(shè)備高效穩(wěn)定的運行。一旦主服務出現(xiàn)硬 件設(shè)備故障，管理員將在第一時間啟用備份服務器，保證網(wǎng)絡 的正常運行，并對原服務器進行及時的檢修，在修復后將替換 備份服務器繼續(xù)運行，以保證網(wǎng)絡的正常運行。必要時向計算 機網(wǎng)絡公司求助技術(shù)援助，并優(yōu)先保證主要應用系統(tǒng)的運轉(zhuǎn)。（5）其它沒有列出的不確定因素造成的事件，可根據(jù)總的 安全原則，結(jié)合具體的情況，做出相應的處理。應急處置后續(xù)處理（1）在進行最初的應急處置以后，應及時采取行動，抑制 安全事件影響的進一步擴大，限制潛在的損失與破壞，同時要 確保應急處置措施對涉及的相關(guān)業(yè)務影響最小。在發(fā)生網(wǎng)絡故 障時，優(yōu)先保證關(guān)鍵部門的網(wǎng)絡暢通。（2）在事件被抑制之后，通過對有關(guān)事件或行為的分析結(jié) 果，找出事件根源，明確相應的補救措施并徹底清除。（3）在確保安全事件解決后，要及時清理系統(tǒng)、恢復數(shù) 據(jù)、程序、服務，恢復工作應避免出現(xiàn)誤操作導致的數(shù)據(jù)丟 失。記錄和上報網(wǎng)絡與信息安全事件發(fā)生時，應及時向校領(lǐng)導匯報，并在 事件處置工作中作好完整的過程記錄，及時報告處置工作進展 情況，保存各相關(guān)系統(tǒng)日志，直至處置工作結(jié)束。結(jié)束響應系統(tǒng)恢復運行后，網(wǎng)絡管理中心對事