學校網絡與信息安全事件應急預案(試行）

一、目標：
（一）編制目的
為提高學校應對突發(fā)網絡與信息安全事件能力，保障基礎信息網絡和重要信息系統(tǒng)安全運行，促進學校教育信息化可持續(xù)發(fā)展，編制本預案。
（二）編制依據
依據《中華人民共和國國家安全法》、《中華人民共和國電信條例》、《中華人民共和國無線電管理條例》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《國家通信保障應急預案》等。
（三）分類分級
根據網絡與信息安全事件的發(fā)生原因、性質和機理，網絡與信息安全事件主要分為以下三類:
1、攻擊類事件：指網絡與信息系統(tǒng)因計算機病毒感染、非法入侵等導致業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓等情況。
2、故障類事件：指網絡與信息系統(tǒng)因計算機軟硬件故障、人為誤操作等導致業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓等情況。
3、災害類事件：指因爆炸、火災、雷擊、地震、臺風等外力因素導致網絡與信息系統(tǒng)損毀，造成業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓等情況。
二、組織體系
（一）領導機構
學校成立網絡安全和信息化領導小組。其日常事務由學校網絡安全和信息化領導小組負責，提供網絡與信息安全事件應急處置技術支持和服務，建設和完善學校教育系統(tǒng)網絡與信息安全事件監(jiān)測預警網絡。
（二）學校網絡安全和信息化領導小組
組 長：沐揚 
副組長：楊克貴、汪鶴來、呂建國、瞿大寨
成 員：陳光、吳成兵、薛乾乾、周仁林、徐蛟龍、江嘉琪、周成兵、王毛毛、劉希望、秦德齊
三、預防機制
1、學校要根據實際情況建立和完善信息安全監(jiān)測系統(tǒng)，制定應急預案，提高防范網絡攻擊、病毒入侵、網絡竊密等的能力，防止有害信息傳播。
2、學校根據實際情況和需要制定基本的安全管理制度，對重要網絡設備、軟件和業(yè)務數(shù)據的安全性進行規(guī)范、可靠的管理，提高本單位網絡系統(tǒng)的安全防護能力。
3、學校針對內部網絡系統(tǒng)制定安全運行管理流程，制定安全事件應急預案，以提高本單位網絡安全應急響應能力。
4、學校應定期進行網絡與信息安全自查，并針對本單位的實際情況，從物理、網絡、系統(tǒng)、應用和數(shù)據等多個層面實施網絡安全保障工作。
5、學校應大力宣傳網絡安全常識、安全事件的預防措施和應急處理的基本知識，提高本單位人員的網絡安全意識水平。
四、應急處置
（一）臨時處理
在突發(fā)事件發(fā)生后，維護人員應做好臨時應急處置工作，立即采取措施控制事態(tài)，同時向領導小組報告。并在事件處置結束前進行動態(tài)監(jiān)測、評估，及時將事件現(xiàn)狀及處置工作等情況進行匯報，不得隱瞞、緩報、謊報。
（二）預案實施
領導小組接到突發(fā)事件報告后，根據事件嚴重程度，進行不同的處置。對于重大突發(fā)事件，應當向上級主管部門、相關安全部門上報并給出處置建議。對于一般事件，按照已有的預案實施應急處置。同時相關人員保持聯(lián)系，及時了解當前狀況，組織預案的實施工作。
（三）信息發(fā)布
當突發(fā)事件發(fā)生時，網絡安全和信息化領導小組應及時做好信息發(fā)布工作，通過仍然正常工作的應用系統(tǒng)或者其他渠道發(fā)布當前網絡安全突發(fā)事件處置的相關信息，引導輿論和公眾行為，避免影響社會或學校秩序。
領導工作小組要密切關注國內外關于當前網絡安全突發(fā)事件的新聞報道，及時采取措施，對媒體關于事件以及處置工作的不正確信息，進行澄清、糾正影響，接受群眾咨詢，釋疑解惑，穩(wěn)定人心。
（四）應急支援
經實施應急預案后，事態(tài)難以控制或有擴大發(fā)展趨勢時。要迅速召開應急處置會議，研究采取有利于控制事態(tài)的非常措施，并向相關技術部門或公安部門請求援助。
（五）應急結束
當突發(fā)事件的影響效果大幅度減小或消失，校園網恢復正常時，由相關人員根據監(jiān)控數(shù)據給出應急結束的建議，由網絡安全和信息化領導小組宣布應急結束，對于重大事件應急結束時應匯報教體局信息中心。
五、事后處置
在應急處置工作結束后，要迅速采取措施，抓緊組織搶修受損的基礎設施或對存在問題的應用系統(tǒng)進行維護，以減少損失，盡快恢復正常工作。對于信息安全突發(fā)事件中的不良信息，做好日志記錄，保存好證據以備日后審查。統(tǒng)計各種數(shù)據，查明事件原因，對事件造成的損失和影響以及恢復能力進行分析評估，認真制定恢復計劃，并迅速組織實施。事后處置過程應向網絡安全和信息化領導小組匯報。
六、應急保障
1.硬件和網絡設施保障。事先預留一定的應急硬件設備或網絡設施。在突發(fā)事件發(fā)生時，可以及時替換使用。
2.重要應用系統(tǒng)、信息和數(shù)據均應建立異地容災備份系統(tǒng)和相關工作機制，保證系統(tǒng)或數(shù)據在受到破壞后，可緊急恢復。
3.應急隊伍保障。建立網絡安全應急保障隊伍，選擇第三方技術能力較強的人員作為應急支援力量。
4.經費保障。優(yōu)先考慮經費投入，納入學校年度預算。
七、具體預案措施
1.自然災害緊急處置措施，校園網中心機房和核心交換節(jié)點因自然災害（如潮濕、雷電等）導致設備損害無法正常工作時，信息中心人員應立即報告分管領導，并檢查損壞程度，找出事故原因加以處理，聯(lián)系設備供應商進行維修，并通知用戶相關服務暫停以及預計恢復時間。
2.被盜和人為損壞緊急處置措施，校園網中心機房和核心交換節(jié)點設備被盜或者人為原因導致?lián)p壞時，信息中心人員應立即報告分管領導，并保護好現(xiàn)場，第一時間收集證據，以備公安部門進行調查或追究損壞設備的相關責任，并進行后續(xù)處理。
3.網絡基礎平臺設備自然損壞緊急處置措施，服務器等關鍵設備因老化等原因自然損壞后，相關負責人員應立即查明原因。如果能夠自行恢復，應立即用備件替換受損部件。如果不能自行恢復的，立即與設備提供商聯(lián)系，請求派維修人員前來維修。如果設備一時不能修復，應向領導匯報。
4.停電緊急處置措施，機房長時間停電發(fā)生時，如果能事先從學校后勤部門或供電部門得知停電信息，應做好應用系統(tǒng)備份工作，及時通過學校各部門用戶暫停部分服務的信息，提醒用戶保存數(shù)據，停止網絡傳輸。準備備用電源保障最重要的設備和應用系統(tǒng)繼續(xù)運作，關閉次要的設備和系統(tǒng)。保持和后勤或供電部門的聯(lián)系，以期盡快恢復供電。
5.通信故障緊急處置措施，當校內網絡出現(xiàn)嚴重通信故障時，網絡安全和信息化領導小組立即組織排除故障，同時通知網絡受到影響的校園網用戶。校外網絡出現(xiàn)通信故障時，應及時通知校園網用戶，并積極聯(lián)系網絡服務提供商，敦促排除故障。
6.黑客攻擊時的緊急處置措施，當有應用系統(tǒng)或者信息被篡改，或通過應用系統(tǒng)日志和訪問記錄發(fā)現(xiàn)有黑客正在進行攻擊時,首先應將被攻擊的系統(tǒng)和設備等從網絡中隔離出來，同時向領導匯報情況。技術人員立即進行被破壞系統(tǒng)的恢復與重建工作。
7.病毒安全緊急處置措施，當發(fā)現(xiàn)計算機感染有病毒后，應立即將該機從網絡上隔離出來。對該設備的硬盤進行數(shù)據備份。啟用殺毒軟件對該機進行殺毒處理。如發(fā)現(xiàn)殺毒軟件無法清楚該病毒，應立即向實驗實訓中心領導報告。經技術人員確認確實無法查殺該病毒后，應作好相關記錄，同時立即向信息技術人員報告，并迅速研究解決辦法。
8.應用系統(tǒng)遭受破壞性攻擊的緊急處置措施，重要的應用系統(tǒng)平時必須存有備份，與應用系統(tǒng)相對應的數(shù)據必須有多日備份，并將它們保存于安全處。一旦系統(tǒng)遭到破壞性攻擊，應立即向領導報告，并將系統(tǒng)停止運行。網站維護員立即進行軟件系統(tǒng)和數(shù)據的恢復。
9.關鍵人員不在崗的緊急處置措施。對于關鍵崗位平時應做好人員儲備，確保一項工作有兩人能操作。一旦發(fā)生關鍵人員不在崗的情況，首先應向領導匯報情況。經領導批準后，由備用人員上崗操作。
10.其他未列出的突發(fā)事件，一律需首先匯報給網絡安全和信息化領導小組，并遵照領導指示進行應急處置。