教育系统网络安全事件应急预案.docx

1、县教育系统网络安全事件应急预案为提高县教育系统校园网应对网络与信息安全突发事件的能力，加强校园网安全保障工作，形成科学、有效、快速的应急机制，确保网络的实体安全、运行安全和数据安全，最大限度地减轻网络基础平台与信息安全突发事件造成的危害，特制定此应急预案。一、制定依据根据中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际联网管理暂行规定、县教育系统网络安全工作责任制实施细则制定本预案。二、适用范围本预案适用的网络和信息安全突发事件包括如下几方面。（一）网络基础平台突发事件。网络基础平台突发事件是指由自然灾害、其他事故和人为破坏引起的网络硬件设备和基础设施损坏的事件。（二

2、）应用系统和信息安全突发事件。应用系统和信息安全突发事件是指因为黑客攻击或病毒等导致的应用系统故障、异常或拒绝服务、信息泄露或被篡改、或利用校园网传播危害国家安全、社会秩序及影响学校、部门正常学习工作的事件。三、组织体系在县教育局信息化安全工作小组的领导下，以县教育局电教站及全县各学校网络安全工作小组为执行部门，按照“分级负责、责任到人”的原则，组织实施具体的应急预案。县教育局信息化安全工作小组负责监督县各学校制定及实施应急预案。各学校网络安全工作小组领导负责研究制定校园网基础平台、应用系统和信息安全突发事件应急处置工作的规划、计划和实施，不断推进网络应急机制和工作体系的建设。在发生网络安全突

3、发事件后，启动应急预案，组织实施应急处置工作。四、应急流程（一）临时处理在突发事件发生后，值班维护人员应做好临时应急处置工作，立即采取措施控制事态，同时向县教育局信息化安全工作小组报告。并在事件处置结束前进行动态监测、评估，及时将事件现状及处置工作等情况进行汇报，不得隐瞒、缓报、谎报。（二）预案实施县教育局信息化安全领导小组接到突发事件报告后，根据事件严重程度，进行不同的处置。对于重大突发事件，县教育局信息化安全领导小组应当汇报上一级信息化安全工作领导小组，并给出处置建议。对于一般事件，按照已有的预案实施应急处置。同时与相关人员保持联系，及时了解当前状况，组织预案的实施工作。（三）信息发布当突

4、发事件发生时，县教育局信息化安全工作领导小组应及时做好信息发布工作，通过仍然正常工作的应用系统或者其他渠道发布当前网络安全突发事件处置的相关信息，引导舆论和公众行为，避免影响社会或学校秩序。县教育局信息化安全领导小组要密切关注国内外关于当前网络安全突发事件的新闻报道，及时采取措施，对媒体关于事件以及处置工作的不正确信息，进行澄清、纠正影响，接受群众咨询，释疑解惑，稳定人心。（四）应急支援经实施应急预案后，事态难以控制或有扩大发展趋势时。要迅速召开应急处置会议或县教育局信息化安全工作领导小组根据事态情况，研究采取有利于控制事态的非常措施，并向相关技术部门或公安部门请求援助。（五）应急结束当突发事

5、件的影响效果大幅度减小或消失，网络恢复正常时，由各学校网络安全工作小组相关人员根据监控数据给出应急结束的建议，由县教育局信息化安全工作领导小组领导宣布应急结束，对于重大事件应急结束时应汇报上级信息化安全工作领导小组。五、事后处置在应急处置工作结束后，要迅速采取措施，抓紧组织抢修受损的基础设施或对存在问题的应用系统进行维护，以减少损失，尽快恢复正常工作。对于信息安全突发事件中的不良信息，做好日志记录，保存好证据以备日后审查。统计各种数据，查明事件原因，对事件造成的损失和影响以及恢复能力进行分析评估，认真制定恢复计划，并迅速组织实施。事后处置过程应向实验实训中心领导汇报或上报信息化工作小组。六、应

6、急保障（一）硬件和网络设施保障。事先预留一定的应急硬件设备或网络设施。在突发事件发生时，可以及时替换使用。（二）系统备份保障。重要应用系统、信息和数据均应建立异地容灾备份系统和相关工作机制，保证系统或数据在受到破坏后，可紧急恢复。（三）应急队伍保障。建立网络安全应急保障队伍。同时由各学校网络安全工作小组选择技术能力较强的人员作为网站应急支援力量。（四）经费保障。优先考虑经费投入，纳入学校年度预算。七、具体预案措施（一）自然灾害紧急处置措施，校园网中心机房和核心交换节点因自然灾害（如潮湿、雷电等）导致设备损害无法正常工作时，值班人员应立即报告县教育局信息化安全工作领导小组，并检查损坏程度，找出事

7、故原因加以处理，联系设备供应商进行维修，并通知用户相关服务暂停以及预计恢复时间。（二）被盗和人为损坏紧急处置措施，校园网中心机房和核心交换节点设备被盗或者人为原因导致损坏时，值班人员应立即报告信息管理中心领导，并保护好现场，第一时间收集证据，以备公安部门进行调查或追究损坏设备的相关责任。学校网络安全工作小组应报告学校总务处或公安部门进行后续处理。（三）网络基础平台设备自然损坏紧急处置措施，服务器等关键设备因老化等原因自然损坏后，相关负责人员应立即查明原因。如果能够自行恢复，应立即用备件替换受损部件。如果不能自行恢复的，立即与设备提供商联系，请求派维修人员前来维修。如果设备一时不能修复，应向领导

8、汇报，并告知用户受到影响的网站服务。（四）停电紧急处置措施，机房长时间停电发生时，如果能事先从学校后勤部门或供电部门得知停电信息，应做好应用系统备份工作，通过学校网站通知用户暂停部分服务的信息，提醒用户保存数据，停止网络传输。准备备用电源保障最重要的设备和应用系统继续运作，关闭次要的设备和系统。并及时报告给学校领导，保持和后勤或供电部门的联系，以期尽快恢复供电。（五）通信故障紧急处置措施，当校内网络出现严重通信故障时，信息管理中心网络管理部应立刻报告学校领导，并立即组织排除故障，同时通知网络受到影响的校园网用户。校外网络出现通信故障时，应及时通知校园网用户，并积极联系网络服务提供商，敦促排除故

9、障。（六）黑客攻击时的紧急处置措施，当有应用系统或者信息被篡改，或通过应用系统日志和访问记录发现有黑客正在进行攻击时，首先应将被攻击的系统和设备等从网络中隔离出来，同时向领导汇报情况。技术人员立即进行被破坏系统的恢复与重建工作。（七）病毒安全紧急处置措施，当发现计算机感染有病毒后，应立即将该机从网络上隔离出来。对该设备的硬盘进行数据备份。启用杀毒软件对该机进行杀毒处理。如发现杀毒软件无法清楚该病毒，应立即向学校领导报告。经技术人员确认确实无法查杀该病毒后，应作好相关记录，同时立即向信息技术人员报告，并迅速研究解决办法。如果感染病毒的设备是托管服务器，经领导同意，应立即告知各下属单位做好相应的清查工作。（八）应用系统遭受破坏性攻击的紧急处置措施，重要的应用系统平时必须存有备份，与应用系统相对应的数据必须有多日备份，并将它们保存于安全处。一旦系统遭到破坏性攻击，应立即向领导报告，并将系统停止运行。网站维护员立即进行软件系统和数据的恢复。（九）数据库安全紧急处置措施，各数据库系统要至少准备一个以上数据库备份，每日进行增量备份。一旦数据库崩溃，应立即向领导报告，并立即进行备份恢复。（十）关键人员不在岗的紧急处置措施。对于关键岗位平时应做好人员储备，确保一项工作有两人能操作。一旦发生关键人员不在岗的情况，首先应向领导汇报情况。经领导批准后，由备用人员上岗操作。