小学校园网络安全应急预案

小学校园网络安全应急预案一、编制目的校园网络已深度融入教学、办公、家校沟通与后勤管理，一旦遭受病毒勒索、数据泄露、钓鱼邮件、DDoS攻击或人为误操作，轻则课堂卡顿，重则学籍、成绩、财务信息外泄，甚至触发舆情。本预案把“零事故”作为最高追求，把“快速止损”作为最低底线，通过场景化、流程化、角色化、工具化、化五维设计，让每位教职工、学生、家长都能像“随手关灯”一样“随手应急”，在5分钟内完成发现—报告—隔离—取证—恢复—复盘闭环，最大限度降低网络事件对正常教学秩序的干扰。二、风险清单与分级标准1.特别重大（Ⅰ级）：省级以上统建系统瘫痪4小时及以上；10万条以上敏感数据泄露；勒索病毒横向感染超过60%终端。2.重大（Ⅱ级）：校级核心业务系统中断2—4小时；1—10万条数据泄露；病毒横向感染30%—60%终端。3.较大（Ⅲ级）：单栋教学楼或部门网络中断1—2小时；1000—1万条数据泄露；病毒横向感染10%—30%终端。4.一般（Ⅳ级）：单台终端或单个账号异常；1000条以下数据泄露；病毒控制在10%终端以内。三、应急组织架构1.领导小组：校长任组长，分管信息化副校长、法治副校长任副组长，职责是决策、对外发声、资源调配。2.指挥调度中心（EDR大屏+钉钉群）：信息中心主任任总指挥，统一发布指令、同步进度。3.技术处置组：由网络管理员、系统管理员、安全运维公司、运营商驻校工程师组成，负责封禁、打补丁、取证、恢复。4.业务保障组：教务处、德育处、总务处、年级组长，负责调整课表、疏导师生、启用纸质备用流程。5.家校沟通组：家委会秘书长、班主任、校公众号运营老师，负责15分钟内拟好统一话术，避免家长恐慌。6.舆情监测组：大队辅导员+学生会新媒体部，用“舆情机器人+人工巡查”双轨制，30分钟内完成首轮舆情截图存档。7.考核组：由教科室与信息中心联合命题，每学期两次“盲演+笔试”，确保预案不是“墙上挂挂”。四、预防阶段“八个一”常态化机制1.每天一次全盘杀毒+增量备份：21:30自动启动，备份到本地NAS与阿里云OSS双节点，保留30个还原点。2.每周一次漏洞扫描：使用绿盟RSAS扫描，高危漏洞24小时内闭环。3.每月一次钓鱼演练：随机抽取10%教职工，模拟“教育局通知”“工资补发”等主题，点击率高于5%即重新培训。4.每学期一次应急盲演：不提前打招呼，模拟“期末考试前1天统考网瘫痪”，检验真实抗压能力。5.每季度一次权限审计：用Python脚本比对“人事花名册—AD账号—应用系统账号”，僵尸账号即刻冻结。6.每年一次等保测评：邀请省内具备国家资质的机构做三级等保测评，报告向全体教师大会通报。7.每年一次“网络安全文化周”：手绘海报、短视频、情景剧、知识竞赛四联动，评选“安全小卫士”班级流动红旗。8.每年一次保险购买：投保“网络安全责任险”，保额300万元，用于事件响应、数据恢复、律师费及舆情公关。五、监测与预警1.流量基线：使用开源Ntopng对教学区、办公区、宿舍区分别建立“周一—周日24小时”动态基线，偏差超50%触发短信。2.日志汇聚：防火墙、IDS、WAF、Windows事件、DNS、VPN、上网行为管理7类日志统一送到Graylog，保留180天。3.告警分级：Graylog内置120条SIGMA规则，匹配即自动打标签“高可疑”“中可疑”“低可疑”，高可疑5分钟内电话通知值班老师。4.家长端预警：企业微信家校群内置“异常登录通知”机器人，学生账号在非上课时间、非学校IP登录，家长即刻收到带定位的小程序卡片。六、事件发现与初判流程1.任何人在30秒内发现异常，可拨打“666666”短号或钉钉“一键应急”小程序，系统自动拉群@所有人。2.值班老师（持证上岗，每学年通过40题线上）5分钟内完成“三步初判”：①看：大屏流量曲线是否陡增；②问：随机抽3名同事是否同样掉线；③切：远程登录核心交换机，查看CPU、内存、端口错误包。3.初判结果在群里发布“颜色代码”：绿色—误报；黄色—Ⅳ级；橙色—Ⅲ级；红色—Ⅱ级及以上。七、分级响应动作清单（一）Ⅳ级事件1.技术处置组10分钟内隔离该终端，拔掉网线或关闭对应交换机端口；2.使用火绒或EDR工具全盘查杀，生成MD5哈希值截图上传群文件；3.业务保障组同步通知任课教师，临时调整至备用机房或纸质作业；4.30分钟内填写《事件报告简表》，由领导小组副组长签字闭环。（二）Ⅲ级事件1.启动“局部网段隔离”脚本，一键封锁涉事VLAN；2.通知总务处关闭该栋楼电子班牌、IP广播、监控存储，防止交叉传播；3.技术组30分钟内完成内存镜像、硬盘克隆，走司法取证流程；4.教务处启用“离线准考证”模式，考试系统切换到PDF打印；5.家校沟通组在15分钟内推送模板短信：“网络临时维护，教学正常，无信息泄露，勿信谣言”；6.2小时内提交《完整事件报告》给区教育局，同时抄送区公安分局网安大队。（三）Ⅱ级事件1.领导小组组长10分钟内到指挥大厅，区教育局视频连线；2.技术组启用“一键断网”按钮，保留一条SSLVPN加密隧道供远程专家接入；3.业务保障组启动“无网络教学预案”：①一年级—三年级：纸质绘本阅读+口算卡片；②四年级—六年级：教师手提扩音器+移动小黑板；4.德育处组织“网络安全特别班会”，用5分钟动画讲解“什么是勒索病毒”；5.家委会代表30分钟内到校，与法治副校长一起接待媒体，统一口径；6.24小时内完成灰度恢复：先恢复DNS、AD、打印服务器，再依次恢复教务、评价、档案系统；7.48小时内邀请省级应急专家做“事后复盘沙龙”，形成PPT在全体教师大会分享。（四）Ⅰ级事件1.立即报告省教育厅、省公安厅、省委网信办，同步申请国家级应急支撑队伍入场；2.学校进入“战时值班”：所有中层以上干部24小时驻校，信息中心铺行军床；3.技术组配合网安部门做全流量镜像，封存防火墙、服务器、UPS日志硬盘；4.业务保障组启动“学区联动”：相邻小学接纳本校50%学生借读，校车统一调度；5.舆情监测组5分钟内开启7×24小时“人工+机器人”双巡，热搜出现校名即启动“正面话题对冲”预案；6.72小时内完成系统重建，采用“裸金属+容器”新架构，数据库改用主备只读集群；7.事件结束后10个工作日，邀请家长代表、人大代表、媒体记者进校观摩新架构演示，恢复社会信任。八、数据恢复与重建1.恢复顺序：AD域控→DNS→DHCP→打印→教务→评价→档案→其他；2.恢复验证：每条业务至少成功跑3条真实交易，教务处、财务处、教师代表三方签字；3.恢复后24小时内，技术组再次全盘杀毒，确认无同一家族病毒；4.使用HashDeep生成系统文件哈希库，与事故前比对，不一致文件人工逐条复核；5.重建完成当天，领导小组发布“绿色信号”，教学秩序全面恢复正常。九、应急通讯表（节选）校长666001 副校长666002 信息中心主任666003 网安大队长138xxxx1111 运营商驻校经理139xxxx2222 安全公司应急经理137xxxx3333 省教育厅值班区疾控中校车队长159xxxx4444 家委会秘书长138xxxx5555。十、物资清单1.应急U盘30个（只读锁+杀毒软件+取证工具）；2.移动热点20台，流量卡100G/月；3.对讲机40部，配充电座与耳机；4.手写“断网”警示牌50张，磁贴式，30秒可贴满交换机机柜；5.纸质《学籍花名册》《成绩册》各2套，密封存放总务处保险柜；6.应急电源2台，可满负载2小时；7.一次性防静电手套100副，硬盘封存袋50个，封条100张。十一、化考核（样题，共100分，60分合格）【单选】1.发现同事电脑弹出“勒索提示”第一步应：A.拍照发微信群B.立即拔网线C.用U盘备份重要文件D.关机重启。正确答案：B【单选】2.学校核心交换机CPU突然99%，最优先查看：A.日志服务器时间同步B.端口广播包C.机房温度D.UPS负载。正确答案：B【单选】3.以下哪项属于Ⅲ级事件：A.教师个人邮箱被盗B.一栋楼网络中断1.5小时C.学生误删自己作文D.官网主页被篡改10分钟。正确答案：B【多选】4.启动Ⅱ级响应后必须同步通知：A.区教育局B.区公安分局网安大队C.省电视台D.相邻小学。正确答案：ABD【多选】5.以下哪些属于“八个一”机制：A.每天一次备份B.每月一次钓鱼演练C.每年一次春游D.每年一次等保测评。正确答案：ABD【判断】6.Ⅳ级事件需要校长签字才能闭环。正确答案：错误【判断】7.恢复业务时，教务系统应优先于AD域控。正确答案：错误【简答】8.简述“颜色代码”在初判环节的作用。参考答案：用绿、黄、橙、红四色快速传递事件级别，减少文字误读，5秒内让全体值班人员知晓响应规模。【简答】9.说明家校沟通组15分钟话术三大原则。参考答案：①事实透明但不过度技术化；②安抚情绪承诺教学正常；③提醒勿信谣言并给出官方查询渠道。【案例分析】10.某日14:00，四年级组8台电脑同时弹出“你的文件已加密，需0.5比特币”。请写出从发现到恢复的关键时间节点与动作。评分要点：①5分钟内拔网线、封VLAN；②10分钟内通知校长、区教育局；③30分钟内完成内存镜像；④2小时内启用纸质；⑤24小时内灰度恢复；⑥48小时内复盘。每点2分，共12分。十二、盲演脚本（上学期实例）背景：期末考试前1天，区统考网被“黑”，教师无法下载准考证。时间线：09:00演练开始，信息中心悄悄关闭统考网虚拟机；09:03六年级年级组长第一个发现，拨打666666；09:05值班老师发布红色代码；09:07技术组一键断网，保留VPN；09:10教务处启用“离线准考证PDF”；09:15家校沟通群推送统一话术；09:30德育处召开特别班会；10:00网安大队到校；12:00系统恢复，验证1000条准考证打印；14:00复盘沙龙，现场打分，教师平均得分92分，达到优秀。十三、法律责任与保险理赔1.数据泄露超1万条，学校在24小时内向省级监管部门提交《个人信息泄露报告表》；2.安全责任险理赔流程：出险→报保险公司→第三方鉴定→赔付，最长15个工作日到账；3.因值班老师故意瞒报导致事故扩大，按《教职工处分条例》给予记过以上处分；4.因厂商未在SLA时间内到场，按合同每小时扣减10%服务费，上限30%。十四、持续改进1.每学期末召开“网络安全民主生活会”，邀请随机10名学生、10名家长、5名教师现场质询信息中心；2.建立“漏洞银行”积分，师生发现高中危漏洞经确认后，一条积10分，可兑换书籍、文具、研学旅行名额；3.技术组每月在GitHub发布去敏感化脚本，接受社区监督；4.将演练视频剪辑成3分钟微课，纳入四年级信息技术课必学资源；5.每年升级一次预案版本号，采用“年+月”格式，如202409，确保教师手中永远是最新版。十五、常用命令与脚本速查1.Windows快速关闭445端口：netshadvfirewallfirewalladdrulename=block445dir=inaction=blockprotocol=TCPlocalport=4452.Linux一键备份MySQL：mysqldump-uroot-p'Pass'--all-databases|gzip>/backup/all_$(date+%F).sql.gz3.Cisco交换机关闭端口：interfacegi1/0/5→shutdown4.Graylog查询勒索病毒特征：source:AND("decrypt"OR"bitcoin")ANDfull_message:encrypt5.批量修改AD用户密码：Import-ModuleActiveDirectory;Get-ADUser-Filter-SearchBase"OU=Teachers,DC=school,DC=cn"|Set-ADAccountPassword-NewPassword(ConvertTo-SecureString-String"NewPass@2024"-AsPlainText