北海中学校园网络信息安全事件应急预案.doc

北海中学校园网络信息安全事件应急预案一、目标： 、编制目的为提高学校应对突发网络与信息安全事件的能力，保障基础信息网络和重要信息系统安全运行，编制本预案。 、编制依据 依据中华人民共和国国家安全法、中华人民共和国电信条例、中华人民共和国无线电管理条例、中华人民共和国计算机信息系统安全保护条例和国家通信保障应急预案等。 、分类分级 1、根据网络与信息安全事件的发生原因、性质和机理，网络与信息安全事件主要分为以下三类: (1) 攻击类事件：指网络与信息系统因计算机病毒感染、非法入侵等导致业务中断、系统死机、网络瘫痪等情况。 (2) 故障类事件：指网络与信息系统因计算机软硬件故障、人为误操作等导致业务中断、系统死机、网络瘫痪等情况。 (3) 灾害类事件：指因爆炸、火灾、水灾、雷击、地震、台风等外力因素导致网络与信息系统损毁，造成业务中断、系统死机、网络瘫痪等情况。 2、按照网络与信息安全事件的性质、严重程度、可控性和影响范围，将其分为特别重大(一级)、重大(二级)、较大(三级)和一般(四级)四种。 (1) 特别重大网络与信息安全事件(一级)：指扩散性很强，并可能衍生其他重大安全事件，或造成整个校园网络或重要信息系统长时间(4天以上)大面积瘫痪(20台以上)。 (2) 重大网络与信息安全事件(二级)：指扩散性强，或造成整个校园网络或重要信息系统短期内(8小时4天)大面积瘫痪(15台以上)。 (3) 较大网络与信息安全事件(三级)：指基本无扩散性，或发生在校园网络的局部区域(515台)。 (4) 一般网络与信息安全事件(四级)：指无扩散性，或发生在个别部室(5台以下)。、工作原则 以人为本，预防为主；统一领导，分级负责；依法规范，加强管理；快速反应，协同应对；依靠科技，资源整合。 二、组织体系 、网络与信息安全事故处理工作小组组 长：邹玲嫦 副组长：洪月璋成 员：屠宏毅（网管）、吴国明主要职责：不良信息处理(1) 一旦发现学校网站上出现不良信息(或者被黑客攻击修改了网页)，立刻切断防火墙以及网站服务器外网网络连接。 (2) 备份不良信息出现的目录、备份不良信息出现时间前后一个星期内的HTTP连接日志、备份防火墙中不良信息出现时间前后一个星期内的网络连接日志。 (3) 打印不良信息页面留存。 (4) 完全隔离出现不良信息的目录，使其不能再被访问。 (5) 删除不良信息，并清查整个网站所有内容，确保没有任何不良信息，重新连接网站服务器及防火墙外网网络连接，并测试网站运行。 (6) 修改该目录名，对该目录进行安全性检测，升级安全级别，升级程序，去除不安全隐患，关闭不安全栏目，重新开放该目录的网络连接，并进行测试，正常后，重新修改该目录的上级链接。 (7) 全面查对HTTP日志，防火墙网络连接日志，确定该不良信息的源IP地址，如果来自校内，则立刻全面升级此次事件为最高紧急事件，立刻向领导小组组长汇报，并协助向公安机关报案。 (8) 从事故一发生到处理事件的整个过程，必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。 网络恶意攻击事故处理(1) 发现出现网络恶意攻击，立刻确定该攻击来自校内还是校外；受攻击的设备有哪些；影响范围有多大。并迅速推断出此次攻击的最坏结果，判断是否需要紧急切断校园网的服务器及公网的网络连接，以保护重要数据及信息； (2) 如果攻击来自校外，立刻从防火墙中查出对方IP地址并过滤，同时对防火墙设置对此类攻击的过滤，并视情况严重程度决定是否报警。 (3) 如果攻击来自校内，立刻确定攻击源，查出该攻击出自哪台交换机，出自哪台电脑，出自哪位教师或学生。接着立刻赶到现场，关闭该计算机网络连接，并立刻对该计算机进行分析处理，确定攻击出于无意、有意还是被利用。暂时扣留该电脑。 (4) 重新启动该电脑所连接的网络设备，直至完全恢复网络通信。 (5) 对该电脑进行分析，清除所有病毒、恶意程序、木马程序以及垃圾文件，测试运行该电脑5小时以上，并同时进行监控，无问题后归还该电脑。 (6) 从事故一发生到处理事件的整个过程，必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。 网络硬件故障处理(1) 发现网络硬件故障，必须立刻向领导小组组长汇报(2) 通知各办公室无法上网的情况(3) 启用备用设备，替代故障设备(4) 及时通知设备厂商（或联系第三方）并配合厂商技术人员按售后服务条款完成设备的修理或更换。(5) 从事故一发生到处理事件的整个过程，必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。4学校重大事件网络安全处理(1) 对学校重大事件(如全员培训、评估等对网络安全有特别要求的事件)进行评估、确定所需的网络设备及环境。 (2) 关闭其它与该网络相连，有可能对该网络造成不利影响的一切网络设备及计算机设备，保障该网络的畅通。 (3) 对重要网络设备提供备份，出现问题需尽快更换设备。 (4) 对外网连接进行监控，清除非法连接，出现重大问题立刻向电信部门求救。 (5) 事先应向领导小组汇报本次事件中所需用到的设备、环境，以及可能出现的事故及影响，在事件过程中出现任何问题应立刻向领导小组组长汇报。 三、预防机制 1. 要根据实际情况建立和完善信息安全监测系统，制定应急预案，提高防范网络攻击、病毒入侵、网络窃密等的能力，防止有害信息传播。 2. 根据实际情况和需要制定基本的安全管理制度，对重要网络设备、软件和业务数据的安全性进行规范、可靠的管理，提高校园网络系统的安全防护能力。 3. 针对内部网络系统制定安全运行管理流程，制定安全事件应急预案，以提高校园网络安全应急响应能力。 4. 应定期进行网络与信息安全自查，并针对学校的实际情况，从物理、网络、系统、应用和数据等多个层面实施网络安全保障工作。 5. 应配备至少一套网络硬件备用设备（防火墙、路由器、交换机等），定期检查网络硬件备用设备，确保能正常使用6. 应定期或不定期组织预案演练，检验应急预案中存在的问题和不足，并及时补充、完善。 7. 应大力宣传网络安全的基本原理、安全事件的预防措施和应急处理的基本知识，提高全校师生员工的网络安全意识水平。 四、应急处置 、信息报告 学校网络与信息安全事件发生后，各组员要按照应急预案和报告制度，在立即组织处置的同时，及时汇总信息并迅速报告上级主管部门。 发生一般网络与信息安全事件，必须在1小时内向上级主管部门报告；较大以上网络与信息安全事件或特殊情况，立即报告。 、应急响应 根据网络与信息安全事件的可控性、严重程度和影响范围，应急响应级别分为四级：一级、二级、三级和四级，分别应对特别重大、重大、较大和一般网络与信息安全事件。 一、二级应急响应，由安全小组组员向组长报告，确定应急响应等级和范围，启动相应应急预案，协调有关部室实施应急处置。 三、四级响应，由上级主管部门组织协调具有处置网络与信息安全事件职责的职能部门，调度所需应急资源，协助学校开展应急处置。 、应急结束 对于重大和特别重大的网络与信息安全事件，在应急处置工作结束，或者相关危险因素消除后，网络与信息安全领导小组根据网络与信息安全工作小组的建议，决定终止实施应急措施，转入常态管理。 五、后期处置 、善后处置网络与信息安全工作小组要积极稳妥、深入细致地搞好善后处置。、调查与评估网络与信息安全工作小组和相关部门对网络与信息安全事件的起因、性质、影响、责任、经验教训和恢复重建等问题进行调查和评