北海中学校园网络信息安全事件应急预案.doc

第 页 PAGE \* Arabic 1 北海中学校园网络信息安全事件应急预案 一、目标： ㈠、编制目的 为提高学校应对突发网络与信息安全事件的能力，保障基础信息网络和重要信息系统安全运行，编制本预案。 ㈡、编制依据 依据《中华人民共和国国家安全法》、《中华人民共和国电信条例》、《中华人民共和国无线电管理条例》、《中华人民共和国计算机信息系统安全保护条例》和《国家通信保障应急预案》等。 ㈢、分类分级 1、根据网络与信息安全事件的发生原因、性质和机理，网络与信息安全事件主要分为以下三类: 攻击类事件：指网络与信息系统因计算机病毒感染、非法入侵 等导致业务中断、系统死机、网络瘫痪等情况。 故障类事件：指网络与信息系统因计算机软硬件故障、人为误 操作等导致业务中断、系统死机、网络瘫痪等情况。 灾害类事件：指因爆炸、火灾、水灾、雷击、地震、台风等外 力因素导致网络与信息系统损毁，造成业务中断、系统死机、网络瘫痪等情况。 2、按照网络与信息安全事件的性质、严重程度、可控性和影响范围，将其分为特别重大(一级)、重大(二级)、较大(三级)和一般(四级)四种。 特别重大网络与信息安全事件(一级)：指扩散性很强，并可能 衍生其他重大安全事件，或造成整个校园网络或重要信息系统长时间(4天以上)大面积瘫痪(20台以上)。 重大网络与信息安全事件(二级)：指扩散性强，或造成整个校 园网络或重要信息系统短期内(8小时—4天)大面积瘫痪(15台以上)。 较大网络与信息安全事件(三级)：指基本无扩散性，或发生在 校园网络的局部区域(5—15台)。 一般网络与信息安全事件(四级)：指无扩散性，或发生在个别 部室(5台以下)。 ㈣、工作原则 以人为本，预防为主；统一领导，分级负责；依法规范，加强管理；快速反应，协同应对；依靠科技，资源整合。 二、组织体系 ㈠、网络与信息安全事故处理工作小组 组 长：邹玲嫦 副组长：洪月璋 成 员：屠宏毅（网管）、吴国明 主要职责： ⒈不良信息处理 一旦发现学校网站上出现不良信息(或者被黑客攻击修改了 网页)，立刻切断防火墙以及网站服务器外网网络连接。 备份不良信息出现的目录、备份不良信息出现时间前后一个 星期内的HTTP连接日志、备份防火墙中不良信息出现时间前后一个星期内的网络连接日志。 打印不良信息页面留存。 完全隔离出现不良信息的目录，使其不能再被访问。 删除不良信息，并清查整个网站所有内容，确保没有任何不 良信息，重新连接网站服务器及防火墙外网网络连接，并测试网站运行。 修改该目录名，对该目录进行安全性检测，升级安全级别， 升级程序，去除不安全隐患，关闭不安全栏目，重新开放该目录的网络连接，并进行测试，正常后，重新修改该目录的上级链接。 全面查对HTTP日志，防火墙网络连接日志，确定该不良信 息的源IP地址，如果来自校内，则立刻全面升级此次事件为最高紧急事件，立刻向领导小组组长汇报，并协助向公安机关报案。 从事故一发生到处理事件的整个过程，必须保持向领导小组 组长汇报、解释此次事故的发生情况、发生原因、处理过程。 ⒉网络恶意攻击事故处理 发现出现网络恶意攻击，立刻确定该攻击来自校内还是校 外；受攻击的设备有哪些；影响范围有多大。并迅速推断出此次攻击的最坏结果，判断是否需要紧急切断校园网的服务器及公网的网络连接，以保护重要数据及信息； 如果攻击来自校外，立刻从防火墙中查出对方IP地址并过 滤，同时对防火墙设置对此类攻击的过滤，并视情况严重程度决定是否报警。 如果攻击来自校内，立刻确定攻击源，查出该攻击出自哪台 交换机，出自哪台电脑，出自哪位教师或学生。接着立刻赶到现场，关闭该计算机网络连接，并立刻对该计算机进行分析处理，确定攻击出于无意、有意还是被利用。暂时扣留该电脑。 重新启动该电脑所连接的网络设备，直至完全恢复网络通 信。 对该电脑进行分析，清除所有病毒、恶意程序、木马程序以 及垃圾文件，测试运行该电脑5小时以上，并同时进行监控，无问题后归还该电脑。 从事故一发生到处理事件的整个过程，必须保持向领导小组 组长汇报、解释此次事故的发生情况、发生原因、处理过程。 ⒊网络硬件故障处理 发现网络硬件故障，必须立刻向领导小组组长汇报 通知各办公室无法上网的情况 启用备用设备，替代故障设备 及时通知设备厂商（或联系第三方）并配合厂商技术人员按 售后服务条款完成设备的修理或更换。 从事故一发生到处理事件的整个过程，必须保持向领导小组 组长汇报、解释此次事故的发生情况、发生原因、处理过程。 4．学校重大事件网络安全处理 对学校重大事件(如全员培训、评估等对网络安全有特别要 求的事件)进行评估、确定所需的网络设备及环境。 关闭其它与该网络相连，有可能对该网络造