校園網(wǎng)絡與信息安全突發(fā)事件應急預案及處置流程

校園網(wǎng)絡與信息安全突發(fā)事件應急預案及處置流程為提高校園網(wǎng)絡與信息安全突發(fā)公共事件的能力，確保重要計算機信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全，最大限度地杜絕或減輕網(wǎng)絡與信息安全突發(fā)公共事件的危害，確保校園網(wǎng)絡與信息安全，維護正常的教育教學秩序，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機病毒防治管理辦法》等法律法規(guī)，結(jié)合校園實際，制定本預案。一、信息網(wǎng)絡安全事件定義（一）學校網(wǎng)站主頁被惡意纂改、交互式欄目里發(fā)表反政府、分裂國家和色情內(nèi)容的信息及損害國家、學校聲譽的謠言。（二）校園網(wǎng)內(nèi)網(wǎng)絡被非法入侵，應用計算機上的數(shù)據(jù)被非法拷貝、修改、刪除。（三）在網(wǎng)站上發(fā)布的內(nèi)容違反國家的法律法規(guī)、侵犯知識版權(quán)，已經(jīng)造成嚴重后果。二、組織機構(gòu)及職責

（一）成立網(wǎng)絡安全突發(fā)事件應急領(lǐng)導工作小組

職責：強化工作職責，完善網(wǎng)絡、信息安全突發(fā)事件應急預案的制定和各項措施的落實。及時妥善處理重大有害信息網(wǎng)上傳播事件以及各類泄密事件。充分利用各種渠道進行網(wǎng)絡安全知識的宣傳教育，組織、指導校園網(wǎng)絡安全常識的普及教育，提高廣大師生的防范意識和基本技能。

1、監(jiān)督檢查各科室、教研組、辦公室網(wǎng)絡信息安全措施的落實情況。

2、加強網(wǎng)上信息監(jiān)控巡查，重點監(jiān)控可能出現(xiàn)有害信息的網(wǎng)站、網(wǎng)頁。

3、及時組織有關(guān)部門和專業(yè)技術(shù)人員對校園網(wǎng)上出現(xiàn)的突發(fā)事件進行處理并根據(jù)情況的嚴重程度上報有關(guān)部門。

4、與區(qū)公安局網(wǎng)絡安全監(jiān)察部門和區(qū)教育局信息中心保持熱線聯(lián)系，確保反應迅速，做好有關(guān)案件的調(diào)查、取證等工作。

組長：XXX

副組長：XXXXXXX

各部門及各學院負責人（二）成立網(wǎng)絡安全突發(fā)事件應急工作小組：

職責：及時收集信息，進行分析研究。爭取早發(fā)現(xiàn)、早報告、早控制、早解決。網(wǎng)絡安全突發(fā)事件發(fā)生時應及時報告校（園）應急領(lǐng)導小組。處置工作期間，建立24小時值班值勤和每日情況報告制度。事故發(fā)生時，針對情況，迅速采取措施，控制事態(tài)蔓延。保障數(shù)據(jù)及設(shè)備安全，修復被破壞的信息，恢復信息系統(tǒng)。負責事故現(xiàn)場的警戒，維護現(xiàn)場秩序，阻止無關(guān)人員進入現(xiàn)場，防止事態(tài)擴大。認真搞好各項物資保障，積極配備網(wǎng)絡安全設(shè)施設(shè)備，網(wǎng)絡線路、交換設(shè)備、網(wǎng)絡安全設(shè)備等物資，保證應急搶險隊伍的技術(shù)設(shè)備及時更新。強化管理，使之保持良好工作狀態(tài)，全面促進和保證學校網(wǎng)絡與信息安全穩(wěn)定地運行。

組長：XXX

成員：XXXXX

各部門及各學院信息員三、安全預防措施1、要充分利用各種傳播媒介及有效的形式，加強網(wǎng)站信息突發(fā)事件應急和處置的有關(guān)法律法規(guī)和政策的宣傳，加強對網(wǎng)站網(wǎng)絡與信息安全等方面的知識培訓，提高防范意識及技能，指定專人負責安全技術(shù)工作。并將網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件的應急管理、工作流程等列為培訓內(nèi)容，增強應急處置工作的組織能力。

2、建立應急預案定期演練制度。通過演練，發(fā)現(xiàn)應急工作體系和工作機制存在的問題，不斷完善應急預案，提高應急處置能力。3、按照一專多能的要求建立網(wǎng)站應急保障隊伍。由應急領(lǐng)導小組選擇若干經(jīng)國家有關(guān)部門資質(zhì)認可的、管理規(guī)范、服務能力較強的人員作為校園網(wǎng)站網(wǎng)絡與信息安全的應急支援，提供技術(shù)支持與服務。4、進一步完善網(wǎng)站網(wǎng)絡信息安全事件監(jiān)測、預測、預警制度。要落實責任制，按照“早發(fā)現(xiàn)、早報告、早處置”的原則，加強對各類網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件和可能引發(fā)突發(fā)公共事件的有關(guān)信息的收集、分析判斷和持續(xù)監(jiān)測。當發(fā)生網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件時，按規(guī)定及時向應急領(lǐng)導小組報告。四、應急處置流程（1）發(fā)現(xiàn)情況

網(wǎng)絡與信息安全應急處置工作組及網(wǎng)管中心要嚴格執(zhí)行值班制度，做好校園網(wǎng)信息系統(tǒng)安全的日常巡查及日志保存工作，以保障最先發(fā)現(xiàn)災害。事件發(fā)生并得到確認后，學校信息管理中心或相關(guān)科室人員應立即將情況報告應急領(lǐng)導小組，由組長決定是否啟動該預案，一旦啟動該預案，有關(guān)人員應及時到位。（2）預案啟動

一旦災害發(fā)生啟動應急預案后，進入應急預案的處置程序。學校應急領(lǐng)導小組再根據(jù)災害情況確定是否向上級主管部門及公安部門網(wǎng)監(jiān)處匯報。學校網(wǎng)絡安全領(lǐng)導小組成員承擔校內(nèi)外的工作聯(lián)系，防止事態(tài)通過網(wǎng)絡在國內(nèi)外蔓延。

學校信息管理中心在事件發(fā)生后24小時內(nèi)寫出事件書面報告。報告應包括以下內(nèi)容：事件發(fā)生時間、地點、事件內(nèi)容，涉及計算機的IP地址、管理人、操作系統(tǒng)、應用服務，損失，事件性質(zhì)及發(fā)生原因，事件處理情況及采取的措施；事故報告人、報告時間等。學校信息管理中心人員進入應急處置工作狀態(tài)，阻斷網(wǎng)絡連接，進行現(xiàn)場保護，協(xié)助調(diào)查取證和系統(tǒng)恢復等工作。對相關(guān)事件進行跟蹤，密切關(guān)注事件動向，協(xié)助調(diào)查取證。有關(guān)違法事件移交公安機關(guān)處理。（3）應急處置方法

在災害發(fā)生時，首先應區(qū)分災害發(fā)生屬自然災害或人為破壞，根據(jù)這具體情況把應急處置方法分為兩個流程。

流程一：當發(fā)生的災害為自然災害時，應根據(jù)當時的實際情況，在保障人身安全的前提下，首先保障數(shù)據(jù)的安全，然后是設(shè)備安全。具體方法包括：硬盤的拔出與保存，設(shè)備的斷電與拆卸、搬遷等。

流程二：當人為或病毒破壞的災害發(fā)生時，具體按以下順序進行：判斷破壞的來源與性質(zhì)，斷開影響安全與穩(wěn)定的信息網(wǎng)絡設(shè)備，斷開與破壞來源的網(wǎng)絡物理連接，跟蹤并鎖定破壞來源的IP或其它網(wǎng)絡用戶信息，修復被破壞的信息，恢復信息系統(tǒng)。按照災害發(fā)生的性質(zhì)分別采用以下方案：a.病毒傳播：針對這種現(xiàn)象，要及時斷開傳播源，判斷病毒的性質(zhì)、采用的端口，然后關(guān)閉相應的端口，在網(wǎng)上公布病毒攻擊信息以及防御方法。

b.入侵：對于網(wǎng)絡入侵，首先要判斷入侵的來源，區(qū)分外網(wǎng)與內(nèi)網(wǎng)。入侵來自外網(wǎng)的，定位入侵的IP地址，及時關(guān)閉入侵的端口，限制入侵的IP地址的訪問，在無法制止的情況下可以采用斷開網(wǎng)絡連接的方法，如無法自行解決可請求網(wǎng)絡接入部門的技術(shù)支持。入侵來自內(nèi)網(wǎng)的，查清入侵來源，如IP地址、上網(wǎng)賬號等信息，同時斷開對應的交換機端口，然后針對入侵方法建設(shè)或更新入侵檢測設(shè)備。c.信息被篡改：這種情況要求一經(jīng)發(fā)現(xiàn)馬上斷開相應的信息網(wǎng)上鏈接，并盡快進行數(shù)據(jù)恢復。d.網(wǎng)絡故障：一旦發(fā)現(xiàn)，可根據(jù)相應的網(wǎng)絡故障排除流程，盡快解決。e.其它沒有列出的不確定因素造成的災害，可根據(jù)總的安全原則，結(jié)合具體的情況，做出相應的處理。不能處理的可以請示相關(guān)的專業(yè)人員。四、注意事項1、要認真貫徹落實預案的各項要求與任務，建立監(jiān)督檢查和獎懲機制。應急領(lǐng)導小組應不定期進行檢查，對各項制度、計劃、方案、人員、物資等進行實地驗證，并以演練的評定結(jié)果作為是否有效落實預案的依據(jù)。2、平時應注意應急物資的準備，以確保在事發(fā)時能夠在第一時間進行更替。