學(xué)校網(wǎng)絡(luò)信息安全事件應(yīng)急預(yù)案

xxxx學(xué)校網(wǎng)絡(luò)信息安全事件應(yīng)急預(yù)案一、總則（一）目的。為提高學(xué)校網(wǎng)絡(luò)與信息安全突發(fā)公共事件的應(yīng)對(duì)能力，有效預(yù)防、及時(shí)控制和最大限度地消除信息安全各類突發(fā)事件的危害和影響，保障信息系統(tǒng)的實(shí)體安全、運(yùn)行安全和數(shù)據(jù)安全，尤其保障學(xué)校信息工作的安全穩(wěn)定?？傮w要求是在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育等內(nèi)容。（二）編制依據(jù)。《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《計(jì)算機(jī)病毒防治管理辦法》《政府信息系統(tǒng)安全檢查辦法》。（三）工作原則。1.積極防御，綜合防范。立足安全防護(hù)，加強(qiáng)預(yù)警，抓好預(yù)防、監(jiān)控、應(yīng)急處理、應(yīng)急保障和打擊犯罪環(huán)節(jié)，在管理、技術(shù)、人才等方面，采取各種措施，充分發(fā)揮各方面作用，共同構(gòu)筑學(xué)校網(wǎng)絡(luò)與信息安全保障體系。2.明確責(zé)任，分級(jí)負(fù)責(zé)。按照“誰(shuí)管理誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)維誰(shuí)負(fù)責(zé)”的原則，分級(jí)分類建立和完善安全責(zé)任制度、協(xié)調(diào)管理機(jī)制和聯(lián)動(dòng)機(jī)制。3.科學(xué)決策，快速反應(yīng)。加強(qiáng)技術(shù)儲(chǔ)備，規(guī)范應(yīng)急處理措施和操作流程，網(wǎng)絡(luò)與信息安全突發(fā)公共事件發(fā)生時(shí)，要快速反應(yīng)，及時(shí)獲取準(zhǔn)確信息，跟蹤研判，及時(shí)報(bào)告，果斷決策，迅速處理，最大限度地減少危害和影響。二、組織體系（一）應(yīng)急領(lǐng)導(dǎo)小組組長(zhǎng)：xxx副組長(zhǎng)：xxxxxxxxx成員：xxxxxxxxxxxxxxxxxx（二）應(yīng)急領(lǐng)導(dǎo)小組職責(zé)研究制定學(xué)校網(wǎng)絡(luò)與信息安全應(yīng)急處置工作規(guī)劃和政策措施，協(xié)調(diào)推進(jìn)網(wǎng)絡(luò)與信息安全應(yīng)急機(jī)制和工作體系建設(shè)。發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)公共事件，應(yīng)及時(shí)啟動(dòng)本預(yù)案，組織應(yīng)急處置。（三）應(yīng)急處突隊(duì)伍組長(zhǎng)：xxx副組長(zhǎng)：xxxxxxxxxxxx成員：xxxxxxxxxxxxxxx（四）應(yīng)急處突隊(duì)伍職責(zé)1.負(fù)責(zé)和處理應(yīng)急領(lǐng)導(dǎo)小組的日常工作，檢查督促應(yīng)急領(lǐng)導(dǎo)小組決定事項(xiàng)的落實(shí)。2.研究和制訂網(wǎng)絡(luò)與信息安全應(yīng)急處置的技術(shù)方案，檢查、指導(dǎo)和督促各單位的網(wǎng)絡(luò)與信息安全工作，組織開展相關(guān)演練。3.建立網(wǎng)絡(luò)信息監(jiān)測(cè)制度。及時(shí)判斷網(wǎng)絡(luò)運(yùn)行狀態(tài)，監(jiān)看是否發(fā)生攻擊行為，是否存在病毒傳播，網(wǎng)絡(luò)設(shè)備是否正常。4.建立網(wǎng)上輿情監(jiān)測(cè)機(jī)制，一旦發(fā)現(xiàn)不良信息或異常輿情，在第一時(shí)間關(guān)閉服務(wù)器，然后報(bào)告工作組組長(zhǎng)，組織相關(guān)人員在內(nèi)部查找原因，尋求解決辦法。5.及時(shí)收集網(wǎng)絡(luò)與信息安全突發(fā)公共事件相關(guān)信息，分析重要信息并向應(yīng)急領(lǐng)導(dǎo)小組提出處置建議。對(duì)可能演變的網(wǎng)絡(luò)與信息安全突發(fā)公共事件應(yīng)及時(shí)向應(yīng)急領(lǐng)導(dǎo)小組提出啟動(dòng)本應(yīng)急預(yù)案的建議。三、應(yīng)急響應(yīng)流程（一）預(yù)防預(yù)警1.落實(shí)工作責(zé)任制，按照“早發(fā)現(xiàn)、早報(bào)告、早處置”的原則，加強(qiáng)對(duì)各類網(wǎng)絡(luò)與信息安全突發(fā)公共事件和可能引發(fā)突發(fā)公共事件的有關(guān)信息的收集、分析、判斷和持續(xù)監(jiān)測(cè)。當(dāng)發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)公共事件時(shí)，應(yīng)立即向應(yīng)急領(lǐng)導(dǎo)小組報(bào)告。領(lǐng)導(dǎo)小組根據(jù)事件的嚴(yán)重程度，組織指定小組及時(shí)控制信息外漏，按重要程度進(jìn)行信息控制。2.發(fā)現(xiàn)下列情況應(yīng)及時(shí)向應(yīng)急領(lǐng)導(dǎo)小組報(bào)告：利用網(wǎng)絡(luò)從事違法犯罪活動(dòng)；網(wǎng)絡(luò)或信息系統(tǒng)通信和資源使用異常；網(wǎng)絡(luò)或信息系統(tǒng)癱瘓；應(yīng)用服務(wù)中斷或數(shù)據(jù)篡改、丟失；網(wǎng)絡(luò)恐怖活動(dòng)的嫌疑和預(yù)警信息；其它影響網(wǎng)絡(luò)與信息安全的信息。3.預(yù)警處理與發(fā)布，對(duì)可能發(fā)生或已經(jīng)發(fā)生的網(wǎng)絡(luò)與信息安全突發(fā)公共事件，立即采取措施控制事態(tài)，必要時(shí)啟動(dòng)相應(yīng)的預(yù)案，同時(shí)向應(yīng)急領(lǐng)導(dǎo)小組報(bào)告。應(yīng)急領(lǐng)導(dǎo)小組接到報(bào)告后，對(duì)發(fā)生和可能發(fā)生的網(wǎng)絡(luò)與信息安全事件，應(yīng)迅速召開應(yīng)急領(lǐng)導(dǎo)小組會(huì)議，研究確定處置意見，決定啟動(dòng)本預(yù)案。（二）事件分類與定級(jí)1.事件分類：（1）有害程序事件，指蓄意制造、傳播有害程序，或是因受到有害程序的影響導(dǎo)致信息安全事件。（2）網(wǎng)絡(luò)攻擊事件，指通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷用暴力攻擊對(duì)信息系統(tǒng)進(jìn)行攻擊。（3）信息破壞事件，指通過網(wǎng)絡(luò)或其他手段造成信息被篡改、假冒、泄露、竊取等而導(dǎo)致的信息破壞事件。（4）信息內(nèi)容安全事件，指利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國(guó)家社會(huì)穩(wěn)定和公共利益的內(nèi)容安全事件。2.信息安全事件分級(jí)：（1）特別重大事件，指會(huì)使特別重要信息系統(tǒng)遭受特別嚴(yán)重的損失，產(chǎn)生特別重大的社會(huì)影響。（2）重大事件，指特別重要信息系統(tǒng)遭受嚴(yán)重?fù)p失，產(chǎn)生重大社會(huì)影響。（3）較大事件，指能夠?qū)е螺^嚴(yán)重影響的信息安全事件，產(chǎn)生較大社會(huì)影響。（4）一般事件，指不滿足以上條件的信息安全事件，產(chǎn)生一般的社會(huì)影響。（三）應(yīng)急響應(yīng)1.網(wǎng)站、網(wǎng)頁(yè)出現(xiàn)非法言論時(shí)的處置流程。（1）學(xué)校網(wǎng)站、新媒體由辦公室負(fù)責(zé)隨時(shí)密切監(jiān)視信息內(nèi)容。（2）發(fā)現(xiàn)網(wǎng)上出現(xiàn)非法信息時(shí)，派專人處理，做好必要記錄，清除非法信息，確認(rèn)后，再重新啟動(dòng)網(wǎng)站。（3）服務(wù)器責(zé)任人妥善保存有關(guān)記錄及日志。（4）信息安全員通過技術(shù)手段追查非法信息來源。（5）向領(lǐng)導(dǎo)小組匯報(bào)處理情況。（6）如果非法信息不能自行處理或?qū)賴?yán)重事件的，應(yīng)保留記錄資料并立即向公安部門報(bào)警。2.黑客攻擊的緊急處置流程。（1）當(dāng)發(fā)現(xiàn)網(wǎng)頁(yè)內(nèi)容被篡改或通過入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)正被攻擊時(shí)，應(yīng)立即將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來，保護(hù)現(xiàn)場(chǎng)并立刻向領(lǐng)導(dǎo)通報(bào)情況。（2）進(jìn)行被攻擊、破壞系統(tǒng)的恢復(fù)、重建工作。（3）追查非法來源。（4）向上級(jí)領(lǐng)導(dǎo)匯報(bào)處理情況。（5）如果不能自行處理或?qū)賴?yán)重事件的，應(yīng)保留記錄資料并立即向公安部門報(bào)警。3.病毒安全緊急處置流程。（1）當(dāng)發(fā)現(xiàn)計(jì)算機(jī)被感染上病毒后，將該機(jī)從網(wǎng)絡(luò)上隔離開來。（2）對(duì)該設(shè)備的硬盤進(jìn)行數(shù)據(jù)備份。（3）啟用殺病毒軟件對(duì)該機(jī)器進(jìn)行殺毒處理工作。（4）如果現(xiàn)行反病毒軟件無法清除該病毒，在確認(rèn)數(shù)據(jù)完全備份后，征求使用人同意重裝系統(tǒng)。4.軟件系統(tǒng)遭破壞性攻擊的緊急處置流程。（1）重要的軟件平時(shí)做好備份，并異地存儲(chǔ)。（2）一旦軟件遭到破壞性攻擊，應(yīng)及時(shí)采取相應(yīng)措施減少或降低損害，并立刻向領(lǐng)導(dǎo)報(bào)告。（3）網(wǎng)絡(luò)安全人員檢查日志等資料，確定攻擊來源。（4）向上級(jí)領(lǐng)導(dǎo)匯報(bào)處理情況。（5）事態(tài)嚴(yán)重，應(yīng)保留記錄資料并立即向公安部門報(bào)警。5.數(shù)據(jù)庫(kù)安全緊急處置流程。（1）主要數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)做雙機(jī)熱備設(shè)置，至少準(zhǔn)備兩個(gè)以上數(shù)據(jù)庫(kù)備份，并存于異地。（2）一旦數(shù)據(jù)庫(kù)崩潰，應(yīng)立即啟動(dòng)備用系統(tǒng)，并立刻向領(lǐng)導(dǎo)報(bào)告。（3）在備用系統(tǒng)運(yùn)行的同時(shí)，應(yīng)對(duì)主機(jī)系統(tǒng)進(jìn)行修復(fù)工作。（4）如果兩套系統(tǒng)均崩潰，信息安全小組人員應(yīng)立即向軟硬件提供商請(qǐng)求支援。（5）系統(tǒng)修復(fù)啟動(dòng)后，將數(shù)據(jù)庫(kù)備份取出，按照要求將其恢復(fù)到主機(jī)系統(tǒng)中。（6）如果兩個(gè)備份均無法恢復(fù)，應(yīng)立即向有關(guān)廠商請(qǐng)求緊急支援。6.廣域網(wǎng)線路中斷緊急處置流程。（1）廣域網(wǎng)線路中斷后，應(yīng)立即啟動(dòng)線路接續(xù)工作，同時(shí)向領(lǐng)導(dǎo)報(bào)告。（2）迅速判斷故障節(jié)點(diǎn)，查明故障原因及時(shí)恢復(fù)網(wǎng)絡(luò)。（3）如故障節(jié)點(diǎn)屬電信部門管轄范圍，立即與電信維護(hù)部門聯(lián)系，要求修復(fù)。7.局域網(wǎng)中斷緊急處置流程。（1）配置好備用網(wǎng)絡(luò)設(shè)備，存放在指定的地方。（2）局域網(wǎng)中斷后，網(wǎng)絡(luò)維護(hù)人員應(yīng)立即判斷故障節(jié)點(diǎn)，查明原因。（3）如屬線路故障，應(yīng)重新安裝線路。（4）如屬路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備硬件故障，應(yīng)立即使用備用設(shè)備，并調(diào)試通暢。（5）如屬路由器、交換機(jī)配置文件破壞等軟件故障，應(yīng)迅速按照要求重新導(dǎo)入備份配置。（6）向上級(jí)領(lǐng)導(dǎo)匯報(bào)處理情況。8.設(shè)備安全緊急處置流程。（1）小型機(jī)、服務(wù)器關(guān)鍵設(shè)備損壞后，應(yīng)及時(shí)向領(lǐng)導(dǎo)報(bào)告。（2）如果能夠自行恢復(fù)，應(yīng)立即使用備用部件更換受損部件。（3）如不能自行恢復(fù)的，立即與設(shè)備提供商聯(lián)系，請(qǐng)求前來維修。9.機(jī)房滅火流程。一旦發(fā)生火災(zāi)，應(yīng)遵循下列原則：（1）首先確保人員安全；其次保證關(guān)鍵設(shè)備、數(shù)據(jù)的安全；第三確保一般設(shè)備安全。（2）人員疏散程序是：按響火警警報(bào)，并通過119電話向消防請(qǐng)求支援，所有不參與滅火的人員按照預(yù)先確定的路線撤離。（3）人員滅火程序是：首先切斷電源，啟動(dòng)自動(dòng)滅火系統(tǒng)。（4）向上級(jí)領(lǐng)導(dǎo)匯報(bào)處理情況。10.電源中斷后的處置流程。（1）停電發(fā)生后，由UPS供電，密切監(jiān)察UP