学院校园网络和信息安全应急预案.docx

XXXX学院校园网络和信息安全应急预案为切实做好学校校园网络和信息安全类突发事件的防范和应急处理工作，进一步提高预防和控制校园网络和信息安全类突发事件的能力和水平，减轻或消除网络和信息安全事件的危害和影响，确保网络与信息安全，根据XX省教育系统安全风险防控应急预案，结合我校校园网络和信息安全工作实际，特制定本预案。第一章总则第一条本预案所称安全事件，是指自然因素或人为活动引发的危害我校网络设施和信息安全等有关的事件。包括校园网运行及信息安全方面发生的有可能影响学校、社会和国家安全稳定的紧急事件；由于其他重大事件的发生影响到我校校园网正常运行或信息安全，并由此可能影响到学校、社会、国家安全稳定的事件。第二条事件等级确认与划分（一）特别重大安全事件（I级）：校园网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，失去业务处理能力；校园网络和信息系统发生的国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁；其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络和信息安全事件。（二）重大安全事件（II级）：符合下列情形之一且未达到特别重大安全事件的，包括：全省性网络和信息系统中学校部分遭受严重的系统损失，造成系统长时间中断或瘫痪,失去业务处理能力；学校大部分网络和信息系统遭受严重的系统损失，造成系统长时间、大面积中断或瘫痪，业务处理能力受到极大影响；学校系统发生的国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁；其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络和信息安全事件。（三）较大安全事件（In级）：符合下列情形之一且未达到重大安全事件的，包括：教育系统部分地市学校部分教育系统重要网络和信息系统遭受较大的系统损失，造成系统中断或瘫痪，失去业务处理能力；学校教育系统发生的国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁；其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络和信息安全事件。（四）一般安全事件（IV级）：除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络和信息安全事件，为一般安全事件。第三条本预案的指导思想是确保我校相关校园网络和信息的安全。第四条本预案适用于发生在我校网络和信息安全的突发性事件应急工作。第五条应急处置工作原则：统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。第二章组织指挥和职责任务第六条成立学校网络和信息安全领导小组，由分管安全与分管信息化工作领导任组长，成员包括学校办公室、网络信息中心、保卫处、宣传处、教务处、学生处、人事处、招生办、就业办、科技处、教师发展中心、图书馆、财务处、资产处、总务处、各教学单位等处室（单位）主要负责人为成员。领导小组的主要职责：突发事件发生后，负责统一领导、组织、指挥全校校园网络和信息安全风险防控的应急行动,下达应急处置工作任务；根据“一岗双责”的要求和“谁主管、谁负责，谁主办、谁负责，谁审批、谁负责，谁检查、谁负责”的原则，落实工作责任，一把手负总责，分管领导具体负责；负责向相应主管部门和单位通报情况，协调协助上级相应部门和单位开展应急处置工作；重大问题及时向上级相应部门和单位请示报告。成立校园网络和信息安全应急处置工作小组，工作小组办公室设在网络信息中心。工作小组的主要职责与任务是统筹全校网络和信息安全的灾害应急工作，全面负责学校网络和信息安全可能出现的各种突发事件处置工作，协调解决问题处置工作中的重大问题等。第三章处置措施和处置程序第七条处置措施处置的基本措施分安全事件发生前与安全事件发生后两种情况。（一）安全事件发生前，网络信息中心要预先对安全事件预警预报体系进行建设，开展安全事件调查，编制安全事件防治规划，建设专业监测网络，并规划建设安全事件信息管理系统，及时处理安全事件信息。加强安全事件险情巡查。网络信息中心要充分发挥专业监测的作用，进行定期和不定期的检查，加强对易发生安全事件重点部位的监测和防范，发现有安全事件险情时，要及时处理并向网络和信息安全领导小组报告。建立健全安全事件速报制度，保障安全事件紧急信息报送渠道畅通。属于较大及以上安全事件的，在向学校网络和信息安全领导小组报告的同时，还应向上级相应部门和单位报告。（二）安全事件发生后，立即启动应急预案，采取应急处置程序，判定安全事件级别，并立即将事件向网络和信息安全领导小组报告，在处置过程中，应及时报告处置工作进展情况，直至处置工作结束。第八条处置程序（一）发现情况网络信息中心要严格执行值班制度，做好校园网络和信息系统安全的日常巡查及其每周访问记录的备份和180天访问日志保存工作，以保障最先发现安全事件并及时处置。（二）预案启动一旦安全事件发生，立即启动应急预案，进入应急预案的处置程序。（三）应急处置方法在安全事件发生时，首先应区分安全事件发生是否为自然灾害与人为破坏两种情况，根据这两种情况把应急处置方法分为两个流程。流程一：当发生的安全事件为自然灾害时，应根据当时的实际情况，在保障人身安全的前提下，首先保障数据的安全，然后是设备安全。具体方法包括：硬盘的拔出与保存,设备的断电与拆卸、搬迁等。流程二：当人为或病毒破坏的安全事件发生时，具体按以下顺序进行：判断破坏的来源与性质，断开影响安全与稳定的信息网络设备，断开与破坏来源的网络物理连接，跟踪并锁定破坏来源的IP或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照安全事件发生的性质分别采用以下方案：1 .网站、网页出现有害信息事件：网站、网页由宣传处的值班人员负责随时密切监视信息内容，发现在网上出现有害信息时，值班人员应立即向学校网络和信息安全领导小组通报情况，情况紧急的，应先及时采取断开网络、断开电源等物理隔离处理措施，防止有害信息的扩散，再按程序报告。网络信息中心在接到通知后立即赶到现场，作好必要记录，清理有害信息，妥善保存有关记录及日志或审计记录，在确保安全问题解决后将网站网页重新投入使用。事后，配合相关部门做好有害信息来源追查工作。2 .黑客攻击事件：当有关值班人员发现网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时，应立即向网络和信息安全领导小组通报情况。网络信息中心应在接到通知后立即赶到现场，并首先将被攻击的服务器等设备从网络中隔离出来，并清除木马、系统漏洞、后门，检查系统所有密码，关闭不必要的端口。对现场进行分析，并写出分析报告存档，及时恢复与重建被攻击或破坏系统，学校网络和信息安全领导小组在3个工作日内向上级主管部门汇报。3 .病毒事件：用户发现有计算机被感染上病毒后，应立即向网络和信息安全领导小组报告，将该机从网络上隔离开来。网络信息中心在接到通报后立即赶到现场，对该设备的硬盘进行数据备份，启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。如果现行反病毒软件无法清除该病毒，应立即联系有关产品商研究解决，并向上级有关部门汇报。4 .软件系统遭破坏性攻击：学校重要的软件系统平时必须存有备份，与软件系统相对应的数据必须按学校容灾备份规定的间隔按时进行备份，并将它们保存于安全处。一旦遭到破坏性攻击，应立即向网络和信息安全领导小组报告,并停止该系统运行。检查信息系统的日志等资料，确定攻击来源，再恢复软件系统和数据。如认为事态严重，则立即向省信息办和公安部门报警。5 .网络中断：网络信息中心平时应准备好网络备用设备，存放在指定的位置。网络中断后，网络信息中心应立即判断故障节点，查明故障原因。如属线路故障，应及时检查线路，调整或重新安装线路。如属网络设备故障，应及时恢复或更换设备，并调试通畅。6 .设备安全：小型机、服务器等关键设备损坏后，值班人员应立即向网络和信息安全领导小组报告。网络信息中心立即查明原因，如果能够自行恢复，应立即用备件替换受损部件，如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修；如果设备一时不能修复，应向主管部门汇报。（四）情况报告安全事件发生时，一方面按照应急处置方法进行处置,同时需要判定安全事件的级别，首先向学校网络和信息安全领导小组汇报。学校网络和信息安全领导小组同时将相关情况电话通报至上级主管部门。涉及人为恶意破坏事件的，应同时报告当地公安机关。安全事件发现后8小时内，填写信息技术安全事件情况报告，以书面报告的形式报送上级主管部门。报告由安全负责人组织相关部门和运维单位共同编写，审核后，签字并加盖公章逐级上报至省教育厅，在安全事件处置完毕后5个工作日内，填写信息技术安全事件整改报告以书面报告的形式报送上级主管部门，报告由网络和信息安全领导小组组织相关部门和运维单位共同编写，审核后，签字并加盖公章逐级上报至省教育厅。报告内容包括事件发生时间地点、简要经过、事件类型与分级、影响范围、危害程度、原因分析、采取的应急措施及整改情况。（五）发布预警发现有危害网络和信息安全的信息和情况时，学校网络和信息安全领导小组应立即组织对监测信息进行研判，认为需要立即采取防范措施的，应当及时通知有关部门和单位,对可能发生重大及以上网络安全事件的信息及时向上级部门报告。（六）预案终止突发事件相关危险源得到控制，网络和信息系统恢复或重大险情已经解除，突发事件处置工作基本完成，善后工作已有序展开，应急处置工作即告结束，由应急响应签发人宣布解除应急响应。第四章保障措施网络和信息安全应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作，是有组织的科学与社会行为，而不是随每次安全事件的发生而开始和结束的活动。因此，必须做好应急保障工作。第九条人员保障重视人员的建设与保障，确保在安全事件发生前的人员值班，安全事件处置过程和安全事件结束后重建中的人员的战斗力。第十条技术保障重视网络信息技术的建设和升级换代，在安全事件发生前确保网络和信息系统的强劲与安全，安全事件处置过程中和处置后重建中的相关技术支撑。第十一条物资保障要根据近年网络和信息系统安全防治工作所需经费情况，将本年度安全事件应急经费纳入年度计划和预算，购买相应的应急设施。建立应急物资储备制度，保证应急处置队伍技术装备的及时更新，以确保安全事件应急工作的顺利进行。第十二条训练和演练加强校园网络和信息安全用户的防范、处置知识的宣传普及，增强用户的安全事件防范意识和安全事件处置能力。有针对性地开展安全事件应急处置演练，确保安全事件应急处置手段及时到位和有效。