学校网络与信息安全事件应急预案(试行)
发布时间: 2021-06-04 16:24:05
来源:
图文:
审核:管理员
一、目标:
(一)编制目的
为提高学校应对突发网络与信息安全事件能力,保障基础信息网络和重要信息系统安全运行,促进学校教育信息化可持续发展,编制本预案。
(二)编制依据
依据《中华人民共和国国家安全法》、《中华人民共和国电信条例》、《中华人民共和国无线电管理条例》、《中华人民共和国计算机信息系统安全保护条例》、《国家通信保障应急预案》等。
(三)分类分级
根据网络与信息安全事件的发生原因、性质和机理,网络与信息安全事件主要分为以下三类:
1、攻击类事件:指网络与信息系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。
2、故障类事件:指网络与信息系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。
3、灾害类事件:指因爆炸、火灾、雷击、地震、台风等外力因素导致网络与信息系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。
二、组织体系
(一)领导机构
学校成立网络安全和信息化领导小组。其日常事务由学校网络安全和信息化领导小组负责,提供网络与信息安全事件应急处置技术支持和服务,建设和完善学校教育系统网络与信息安全事件监测预警网络。
(二)学校网络安全和信息化领导小组
组 长:沐扬
副组长:杨克贵、汪鹤来、吕建国、瞿大寨
成 员:陈光、吴成兵、薛乾乾、周仁林、徐蛟龙、江嘉琪、周成兵、王毛毛、刘希望、秦德齐
三、预防机制
1、学校要根据实际情况建立和完善信息安全监测系统,制定应急预案,提高防范网络攻击、病毒入侵、网络窃密等的能力,防止有害信息传播。
2、学校根据实际情况和需要制定基本的安全管理制度,对重要网络设备、软件和业务数据的安全性进行规范、可靠的管理,提高本单位网络系统的安全防护能力。
3、学校针对内部网络系统制定安全运行管理流程,制定安全事件应急预案,以提高本单位网络安全应急响应能力。
4、学校应定期进行网络与信息安全自查,并针对本单位的实际情况,从物理、网络、系统、应用和数据等多个层面实施网络安全保障工作。
5、学校应大力宣传网络安全常识、安全事件的预防措施和应急处理的基本知识,提高本单位人员的网络安全意识水平。
四、应急处置
(一)临时处理
在突发事件发生后,维护人员应做好临时应急处置工作,立即采取措施控制事态,同时向领导小组报告。并在事件处置结束前进行动态监测、评估,及时将事件现状及处置工作等情况进行汇报,不得隐瞒、缓报、谎报。
(二)预案实施
领导小组接到突发事件报告后,根据事件严重程度,进行不同的处置。对于重大突发事件,应当向上级主管部门、相关安全部门上报并给出处置建议。对于一般事件,按照已有的预案实施应急处置。同时相关人员保持联系,及时了解当前状况,组织预案的实施工作。
(三)信息发布
当突发事件发生时,网络安全和信息化领导小组应及时做好信息发布工作,通过仍然正常工作的应用系统或者其他渠道发布当前网络安全突发事件处置的相关信息,引导舆论和公众行为,避免影响社会或学校秩序。
领导工作小组要密切关注国内外关于当前网络安全突发事件的新闻报道,及时采取措施,对媒体关于事件以及处置工作的不正确信息,进行澄清、纠正影响,接受群众咨询,释疑解惑,稳定人心。
(四)应急支援
经实施应急预案后,事态难以控制或有扩大发展趋势时。要迅速召开应急处置会议,研究采取有利于控制事态的非常措施,并向相关技术部门或公安部门请求援助。
(五)应急结束
当突发事件的影响效果大幅度减小或消失,校园网恢复正常时,由相关人员根据监控数据给出应急结束的建议,由网络安全和信息化领导小组宣布应急结束,对于重大事件应急结束时应汇报教体局信息中心。
五、事后处置
在应急处置工作结束后,要迅速采取措施,抓紧组织抢修受损的基础设施或对存在问题的应用系统进行维护,以减少损失,尽快恢复正常工作。对于信息安全突发事件中的不良信息,做好日志记录,保存好证据以备日后审查。统计各种数据,查明事件原因,对事件造成的损失和影响以及恢复能力进行分析评估,认真制定恢复计划,并迅速组织实施。事后处置过程应向网络安全和信息化领导小组汇报。
六、应急保障
1.硬件和网络设施保障。事先预留一定的应急硬件设备或网络设施。在突发事件发生时,可以及时替换使用。
2.重要应用系统、信息和数据均应建立异地容灾备份系统和相关工作机制,保证系统或数据在受到破坏后,可紧急恢复。
3.应急队伍保障。建立网络安全应急保障队伍,选择第三方技术能力较强的人员作为应急支援力量。
4.经费保障。优先考虑经费投入,纳入学校年度预算。
七、具体预案措施
1.自然灾害紧急处置措施,校园网中心机房和核心交换节点因自然灾害(如潮湿、雷电等)导致设备损害无法正常工作时,信息中心人员应立即报告分管领导,并检查损坏程度,找出事故原因加以处理,联系设备供应商进行维修,并通知用户相关服务暂停以及预计恢复时间。
2.被盗和人为损坏紧急处置措施,校园网中心机房和核心交换节点设备被盗或者人为原因导致损坏时,信息中心人员应立即报告分管领导,并保护好现场,第一时间收集证据,以备公安部门进行调查或追究损坏设备的相关责任,并进行后续处理。
3.网络基础平台设备自然损坏紧急处置措施,服务器等关键设备因老化等原因自然损坏后,相关负责人员应立即查明原因。如果能够自行恢复,应立即用备件替换受损部件。如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。如果设备一时不能修复,应向领导汇报。
4.停电紧急处置措施,机房长时间停电发生时,如果能事先从学校后勤部门或供电部门得知停电信息,应做好应用系统备份工作,及时通过学校各部门用户暂停部分服务的信息,提醒用户保存数据,停止网络传输。准备备用电源保障最重要的设备和应用系统继续运作,关闭次要的设备和系统。保持和后勤或供电部门的联系,以期尽快恢复供电。
5.通信故障紧急处置措施,当校内网络出现严重通信故障时,网络安全和信息化领导小组立即组织排除故障,同时通知网络受到影响的校园网用户。校外网络出现通信故障时,应及时通知校园网用户,并积极联系网络服务提供商,敦促排除故障。
6.黑客攻击时的紧急处置措施,当有应用系统或者信息被篡改,或通过应用系统日志和访问记录发现有黑客正在进行攻击时,首先应将被攻击的系统和设备等从网络中隔离出来,同时向领导汇报情况。技术人员立即进行被破坏系统的恢复与重建工作。
7.病毒安全紧急处置措施,当发现计算机感染有病毒后,应立即将该机从网络上隔离出来。对该设备的硬盘进行数据备份。启用杀毒软件对该机进行杀毒处理。如发现杀毒软件无法清楚该病毒,应立即向实验实训中心领导报告。经技术人员确认确实无法查杀该病毒后,应作好相关记录,同时立即向信息技术人员报告,并迅速研究解决办法。
8.应用系统遭受破坏性攻击的紧急处置措施,重要的应用系统平时必须存有备份,与应用系统相对应的数据必须有多日备份,并将它们保存于安全处。一旦系统遭到破坏性攻击,应立即向领导报告,并将系统停止运行。网站维护员立即进行软件系统和数据的恢复。
9.关键人员不在岗的紧急处置措施。对于关键岗位平时应做好人员储备,确保一项工作有两人能操作。一旦发生关键人员不在岗的情况,首先应向领导汇报情况。经领导批准后,由备用人员上岗操作。
10.其他未列出的突发事件,一律需首先汇报给网络安全和信息化领导小组,并遵照领导指示进行应急处置。
(一)编制目的
为提高学校应对突发网络与信息安全事件能力,保障基础信息网络和重要信息系统安全运行,促进学校教育信息化可持续发展,编制本预案。
(二)编制依据
依据《中华人民共和国国家安全法》、《中华人民共和国电信条例》、《中华人民共和国无线电管理条例》、《中华人民共和国计算机信息系统安全保护条例》、《国家通信保障应急预案》等。
(三)分类分级
根据网络与信息安全事件的发生原因、性质和机理,网络与信息安全事件主要分为以下三类:
1、攻击类事件:指网络与信息系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。
2、故障类事件:指网络与信息系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。
3、灾害类事件:指因爆炸、火灾、雷击、地震、台风等外力因素导致网络与信息系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。
二、组织体系
(一)领导机构
学校成立网络安全和信息化领导小组。其日常事务由学校网络安全和信息化领导小组负责,提供网络与信息安全事件应急处置技术支持和服务,建设和完善学校教育系统网络与信息安全事件监测预警网络。
(二)学校网络安全和信息化领导小组
组 长:沐扬
副组长:杨克贵、汪鹤来、吕建国、瞿大寨
成 员:陈光、吴成兵、薛乾乾、周仁林、徐蛟龙、江嘉琪、周成兵、王毛毛、刘希望、秦德齐
三、预防机制
1、学校要根据实际情况建立和完善信息安全监测系统,制定应急预案,提高防范网络攻击、病毒入侵、网络窃密等的能力,防止有害信息传播。
2、学校根据实际情况和需要制定基本的安全管理制度,对重要网络设备、软件和业务数据的安全性进行规范、可靠的管理,提高本单位网络系统的安全防护能力。
3、学校针对内部网络系统制定安全运行管理流程,制定安全事件应急预案,以提高本单位网络安全应急响应能力。
4、学校应定期进行网络与信息安全自查,并针对本单位的实际情况,从物理、网络、系统、应用和数据等多个层面实施网络安全保障工作。
5、学校应大力宣传网络安全常识、安全事件的预防措施和应急处理的基本知识,提高本单位人员的网络安全意识水平。
四、应急处置
(一)临时处理
在突发事件发生后,维护人员应做好临时应急处置工作,立即采取措施控制事态,同时向领导小组报告。并在事件处置结束前进行动态监测、评估,及时将事件现状及处置工作等情况进行汇报,不得隐瞒、缓报、谎报。
(二)预案实施
领导小组接到突发事件报告后,根据事件严重程度,进行不同的处置。对于重大突发事件,应当向上级主管部门、相关安全部门上报并给出处置建议。对于一般事件,按照已有的预案实施应急处置。同时相关人员保持联系,及时了解当前状况,组织预案的实施工作。
(三)信息发布
当突发事件发生时,网络安全和信息化领导小组应及时做好信息发布工作,通过仍然正常工作的应用系统或者其他渠道发布当前网络安全突发事件处置的相关信息,引导舆论和公众行为,避免影响社会或学校秩序。
领导工作小组要密切关注国内外关于当前网络安全突发事件的新闻报道,及时采取措施,对媒体关于事件以及处置工作的不正确信息,进行澄清、纠正影响,接受群众咨询,释疑解惑,稳定人心。
(四)应急支援
经实施应急预案后,事态难以控制或有扩大发展趋势时。要迅速召开应急处置会议,研究采取有利于控制事态的非常措施,并向相关技术部门或公安部门请求援助。
(五)应急结束
当突发事件的影响效果大幅度减小或消失,校园网恢复正常时,由相关人员根据监控数据给出应急结束的建议,由网络安全和信息化领导小组宣布应急结束,对于重大事件应急结束时应汇报教体局信息中心。
五、事后处置
在应急处置工作结束后,要迅速采取措施,抓紧组织抢修受损的基础设施或对存在问题的应用系统进行维护,以减少损失,尽快恢复正常工作。对于信息安全突发事件中的不良信息,做好日志记录,保存好证据以备日后审查。统计各种数据,查明事件原因,对事件造成的损失和影响以及恢复能力进行分析评估,认真制定恢复计划,并迅速组织实施。事后处置过程应向网络安全和信息化领导小组汇报。
六、应急保障
1.硬件和网络设施保障。事先预留一定的应急硬件设备或网络设施。在突发事件发生时,可以及时替换使用。
2.重要应用系统、信息和数据均应建立异地容灾备份系统和相关工作机制,保证系统或数据在受到破坏后,可紧急恢复。
3.应急队伍保障。建立网络安全应急保障队伍,选择第三方技术能力较强的人员作为应急支援力量。
4.经费保障。优先考虑经费投入,纳入学校年度预算。
七、具体预案措施
1.自然灾害紧急处置措施,校园网中心机房和核心交换节点因自然灾害(如潮湿、雷电等)导致设备损害无法正常工作时,信息中心人员应立即报告分管领导,并检查损坏程度,找出事故原因加以处理,联系设备供应商进行维修,并通知用户相关服务暂停以及预计恢复时间。
2.被盗和人为损坏紧急处置措施,校园网中心机房和核心交换节点设备被盗或者人为原因导致损坏时,信息中心人员应立即报告分管领导,并保护好现场,第一时间收集证据,以备公安部门进行调查或追究损坏设备的相关责任,并进行后续处理。
3.网络基础平台设备自然损坏紧急处置措施,服务器等关键设备因老化等原因自然损坏后,相关负责人员应立即查明原因。如果能够自行恢复,应立即用备件替换受损部件。如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。如果设备一时不能修复,应向领导汇报。
4.停电紧急处置措施,机房长时间停电发生时,如果能事先从学校后勤部门或供电部门得知停电信息,应做好应用系统备份工作,及时通过学校各部门用户暂停部分服务的信息,提醒用户保存数据,停止网络传输。准备备用电源保障最重要的设备和应用系统继续运作,关闭次要的设备和系统。保持和后勤或供电部门的联系,以期尽快恢复供电。
5.通信故障紧急处置措施,当校内网络出现严重通信故障时,网络安全和信息化领导小组立即组织排除故障,同时通知网络受到影响的校园网用户。校外网络出现通信故障时,应及时通知校园网用户,并积极联系网络服务提供商,敦促排除故障。
6.黑客攻击时的紧急处置措施,当有应用系统或者信息被篡改,或通过应用系统日志和访问记录发现有黑客正在进行攻击时,首先应将被攻击的系统和设备等从网络中隔离出来,同时向领导汇报情况。技术人员立即进行被破坏系统的恢复与重建工作。
7.病毒安全紧急处置措施,当发现计算机感染有病毒后,应立即将该机从网络上隔离出来。对该设备的硬盘进行数据备份。启用杀毒软件对该机进行杀毒处理。如发现杀毒软件无法清楚该病毒,应立即向实验实训中心领导报告。经技术人员确认确实无法查杀该病毒后,应作好相关记录,同时立即向信息技术人员报告,并迅速研究解决办法。
8.应用系统遭受破坏性攻击的紧急处置措施,重要的应用系统平时必须存有备份,与应用系统相对应的数据必须有多日备份,并将它们保存于安全处。一旦系统遭到破坏性攻击,应立即向领导报告,并将系统停止运行。网站维护员立即进行软件系统和数据的恢复。
9.关键人员不在岗的紧急处置措施。对于关键岗位平时应做好人员储备,确保一项工作有两人能操作。一旦发生关键人员不在岗的情况,首先应向领导汇报情况。经领导批准后,由备用人员上岗操作。
10.其他未列出的突发事件,一律需首先汇报给网络安全和信息化领导小组,并遵照领导指示进行应急处置。
