应急预案的制定需要全员参与,确保每个人都了解自己的应急职责和行动方案。以下是一些针对不同类型突发事件的应急预案案例,供大家参考和借鉴,希望能够提高大家应对突发事件的能力。
学校网络与信息安全管理的应急预案
一、发现学校自来水,开水器的饮用水有异常现象(如有异味、有颜色等),按以下应急方案处置。
二、安全工作组织机构:
组长:校长。
副组长:副校长。
三、应急方案:。
1、总务处每日巡视发现、教师职工、学生发现应立即报告总务处。总务处与校医、办公室专职安全员到场查看。如果属实,立即报告分管校长,启动应急方案。办公室向都成市教育局、公安局报告,校医向都成市疾病控制中心报告。
2、总务处配合办公室,立即封锁现场,等待主管部门处理。
3、校长立即主持学校安全工作领导小组会议,布置实施应急方案。
4、教育处通知各班;教务处通知各教研组;总务处通知食堂、学生公寓、教师宿舍、以及相关部门,停止使用饮用水。
5、学校各部门按照政府主管部门制定方案,配合实施处理方案,直至恢复正常供应饮用水。
6、教育处立即组织做好学生的思想稳定工作,保持学校良好秩序。
7、学校“安全事故应急处置小组”召集有关人员布置任务,迅速投入到抢险、救护和善后工作的处理等各工作之中。
8、由办公室负责及时向上级汇报突发事件的进展情况。接待媒体、学生家长和教职工家属,处理善后工作。
四、发生饮用水安全事故,如果有人员伤害时,按以下程序实施:
1、事发现场组织活动的负责人或任课老师要迅速组织学生自救互救,能到学校医务室治疗的,迅速送达,由校医诊治。
2、受伤学生、教职工不能移动或情况不明的,要立即通知校医迅速到达现场实施救治。根据病情及时拨打“120”请求医疗救助。
3、总务处筹措资金,安排车辆由校医护送到医院救治。
4、由办公室负责及时向上级汇报事件的进展情况,立即通知学生家长、教职工家属,接待媒体和学生家长、教职工家属。
五、学生撤离校舍安全事故现场以后,总务处配合安全保卫小组保护事故现场等待事故分析。
将本文的word文档下载到电脑,方便收藏和打印。
网络与信息安全应急预案
第一条本预案所称突发性事件,是指自然因素或者人为活动引发的危害学校校园网网络设施及信息安全等有关的灾害。
第二条本预案的指导思想是湖北师范学院有关计算机网络及信息安全基本要求。
第三条本预案适用于湖北师范学院内所有个人和办公用计算机以及各研究所、实验室(中心)、教学机房、多媒体教室、电子阅览室等计算机和网络硬件、软件,以及学校门户网站和下属各部门网站内容发生突发性事件的应急处置。
第四条应急处置工作原则:统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。
第五条学校成立网络与信息安全应急处置工作小组,工作小组的主要职责与任务是统一领导全校信息网络的灾害应急工作,在校领导组织指挥下,全面负责学校信息网络可能出现的各种突发事件处置工作,协调解决灾害处置工作中的重大问题等。
第六条现代信息技术中心(以下简称“信息中心”)负责日常信息网络安全事件的具体处理,其中信息中心是信息网络安全事件处置控制中心,负责服务器端和网络层面的安全事件处置,并为各部门、院(系)做好部门办公用机和个人用机的安全处置提供技术指导。
第七条处置措施。
处置的基本措施分灾害发生前与灾害发生后两种情况。
加强信息网络安全常识普及,使教职工掌握信息网络安全常识,并具备一定防范处理突发事件的基本知识。
建立健全灾情速报制度,保障突发性灾害紧急信息报送渠道畅通。属于重大灾害的,在向工作领导小组报告的同时,还应向黄石市公安局网络监察部门报告。
(二)灾害发生后,立即启动应急预案,采取应急处置程序,判定灾害级别,并立即将灾情向工作小组报告,在处置过程中,应及时报告处置工作进展情况,直至处置工作结束。
第八条处置程序。
现代信息技术中心要严格执行值班制度,做好校园网信息系统安全的日常巡查及其日志保存工作,以保障最先发现灾害并及时处置此突发性事件。
一旦灾害发生,立即启动应急预案,进入应急预案的处置程序。
在灾害发生时,首先应区分灾害发生是否为自然灾害与人为破坏两种情况,根据这两种情况把应急处置方法分为两个流程。
流程一:当发生的灾害为自然灾害时,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
流程二:当人为或病毒破坏的灾害发生时,具体按以下顺序进行:判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的ip或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照灾害发生的性质分别采用以下方案:
1、病毒传播:针对这种现象,要及时断开传播源,判断病毒的性质、采用的端口,然后关闭相应的端口,在网上公布病毒攻击信息以及防御方法。
2、入侵:对于网络入侵,首先要判断入侵的来源,区分外网与内网。入侵来自外网的,定位入侵的ip地址,及时关闭入侵的端口,限制入侵地ip地址的访问,在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的,查清入侵来源,如ip地址、上网帐号等信息,同时断开对应的交换机端口。然后针对入侵方法建设或更新入侵检测设备。
3、信息被篡改:这种情况,要求一经发现马上断开相应的信息上网链接,并尽快恢复。
4、网络故障:一旦发现,可根据相应工作流程尽快排除。
5、其它没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体的情况,做出相应的处理。不能处理的可以请示相关的专业人员。
灾害发生时,一方面按照应急处置方法进行处置,同时需要判定灾害的级别,首先向学校网络与信息安全应急处置工作小组汇报。在重大灾害发生时,可以同时向市公安局网络监察部门汇报。中、小型级别的灾害,可以只向学校的网络与信息安全应急处置工作小组汇报,并及时报告处置工作进展情况,直至处置工作结束。情况报告内容包括:灾害发生的时间、地点,灾害的级别,灾害造成的后果,应急处置的过程、结果,灾害结束的时间,以后如何防范类似灾害发生的建议与方案等。
灾害发生时,可根据灾害的危害程度适当地发布预警,特别是一些在其它地方已经出现,或在安全相关网站发布了预警而学校信息网络还没有出现相应的灾害,除了在技术上进行防范以外,还应当向网络信息用户发布预警,直至灾害警报解除。
经专家组鉴定,灾害险情或灾情已消除,或者得到有效控制后,由学校的网络与信息安全应急处置工作小组宣布险情或灾情应急期结束,并予以公告,同时预案终止。
灾害应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作,是有组织的科学与社会行为,必须做好应急保障工作。
第九条人员保障。
重视人员的建设与保障,确保在灾害发生前的.人员值班,灾害处置过程和灾后重建中的人员在岗与战斗力。
第十条技术保障。
重视网络信息技术的建设和升级换代,在灾害发生前确保网络信息系统的强劲与安全,灾害处置过程中和灾后重建中的相关技术支撑。
第十一条物资保障。
建立应急物资储备制度,保证应急抢险救灾队伍技术装备的及时更新,以确保灾害应急工作的顺利进行。
第十二条训练和演练。
加强全校网络信息用户的防灾、减灾知识的宣传普及,增强这些用户的防灾意识和自救互救能力。有针对性地开展应急抢险救灾演练,确保发灾后应急救助手段及时到位和有效。
第十三条本预案由现代信息技术中心负责解释。
第十四条本预案自发布之日起施行。
学校网络与信息安全管理的应急预案
一、校园网络安全事件定义。
1、校园网内网站主页被恶意纂改、交互式栏目里发表反政府、分裂国家和色情资料的信息及损害国家、校园声誉的谣言。
2、校园网内网络被非法入侵,应用服务器上的数据被非法拷贝、修改、删除。
3、在网站上发布的资料违反国家的法律法规、侵犯知识版权,已经造成严重后果。
1、设立信息网络安全事件应急处理小组,负责信息网络安全事件的组织指挥和应急处置工作。组长由校园主要负责人担任,成员由分管领导、网络中心等负责人组成。具体承办有关工作组织协调、调查取证、应急处理和对外信息发布等工作。
2、领导机构。
网络安全管理中心组员:王园一、陈慕君、秦锋、俞晓波。
三、网络安全事件报告与处置。
事件发生并得到确认后,网络中心或相关科室人员应立即将状况报告有关领导,由领导(组长)决定是否启动该预案,一旦启动该预案,有关人员应及时到位。网络中心在事件发生后24小时内写出事件书面报告。报告应包括以下资料:事件发生时间、地点、单位、事件资料,涉及计算机的ip地址、管理人、操作系统、应用服务,损失,事件性质及发生原因,事件处理状况及采取的措施;事故报告人、报告时间等。网络中心人员进入应急处置工作状态,阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作。对相关事件进行跟踪,密切关注事件动向,协助调查取证。有关违法事件移交公安机关处理。
四、一般性安全隐患处理。
校园网络信息中心配备了相应的防火墙软件和瑞星防病毒软件,及时升级,及时清除杀灭网络病毒,检测黑客入侵事件,将向管理员发出警报,管理员将在第一时间处理黑客入侵事件,并报有关部门。对来往电子邮件及网络下载文件用防病毒软件软件过滤,确保不被木马类黑客病毒侵入并在无意中协助传播病毒。
管理员对定期检查设备的运转状况,做好设备维护记录,保证设备高效稳定的'运行。一旦主服务出现硬件设备故障,管理员将在第一时间启用备份服务器,保证网络的正常运行,并对原服务器进行及时的检修,在修复后将替换备份服务器继续运行,保证网络的正常运行。凡是上网人员,都能透过防火墙记录在日志里,日志的保留时间为3个月。关掉一些反动、不健康的网站,保障了校园网文化的干净。信息中心对服务器重要信息定时做好备份,提高信息存储安全应急响应潜力。并定期检查设备的运转状况,做好设备维护记录,保证设备高效稳定的运行。
网络信息安全应急预案
一、为提高发生失泄密事件应急处置能力,最大限度地减少失泄密事件所造成的损害,根据《中华人民共和国保守国家秘密法》,制定本预案。
二、我司设置失泄密事件工作领导小组,组长由xx担任,副组长由xx担任,成员由各部门助理组成。失泄密事件工作领导小组主要职责:
(一)制定和修改我所失泄密事件应急处置预案;
(二)接收突发失泄密事件情况报告,并向管理层报告;
(三)负责失泄密事件应急处置的组织领导工作;
(四)对应急处置过程进行监督;
(五)必要时,联系国家保密、国家安全和公安部门对事件进行查处;
(六)根据调查结果,对事件发生单位和责任人提出处理意见。
三、发生失泄密事件的单位或发现失泄密事件的个人,应当在8小时内,以书面或其他形式向失泄密事件工作领导小组报告。报告的内容包括:
(一)发生失泄密事件的部位;
(二)被泄露的公司信息的主要内容、密级、数量及载体形式;
(三)失泄密事件发现(生)的时间、地点、简要过程等;
(四)已造成或可能造成的危害;
(五)事件责任人的基本情况;
(六)已采取或拟采取的查处办法和补救措施。
四、失泄密事件工作领导小组在接到有关部门或个人报告失泄密事件后,应立即进行调查核实,决定是否启动本预案。
五、失泄密事件工作领导小组应根据初步调查结果,决定是否向国家保密、国家安全或公安部门报案。
六、失泄密事件的查处
(六)对出现在公共网络、出版物、广播、电视等媒体上的泄密信息,协调相关职能部门,责令有关单位立即删除、收缴、停播、销售,并收缴有关涉密载体。
网络与信息安全应急预案
为了切实做好网络与信息安全突发事件的防范和应急处理工作,进一步提高我院预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,保证网络的正常运行,结合本院实际,制定本预案。
一、应急处置工作的目标。
在最短时限内,及时、果断处理在本院范围内发生的危害网络与信息安全的突发性事件,维护网络信息安全与稳定。
1、网站、网页出现非法言论;
2、网络遭受黑客攻击;
3、计算机网络出现病毒;
4、软件系统遭受破坏性攻击;
5、数据库系统出现故障;
6、广域网外部线路中断;
7、局域网大范围中断;
8、服务器等关键网络设备故障;
9、网络中心机房外电中断。
三、组织领导成立网络与信息安全领导小组,领导小组的主要职责与任务是统一领导全院网络与信息安全的应急工作,全面负责院内网络与信息安全可能出现的各种突发事件处置工作,协调解决灾害处置工作中的重大问题等。下设网络与信息安全应急处置工作组,由办公室、医务科、保健部成员组成,具体负责网络与信息安全应急处置工作。
四、应急预案启动时的应急处理措施。
1、网站、网页出现非法言论时的紧急处置措施。
(1)网站、网页由各相关使用部门的具体负责人员随时密切监视信息内容。每天不少于5次;非常时期,每半小时监控一次,必要时,24小时监控。
(2)发现网上出现非法信息时,负责人员应立即向应急处置工作组通报情况;情况紧急的应先及时采取删除等处理措施,再按程序报告。
(3)应急处置工作组人员应在接到通知后十分钟内进行处理,作好必要的记录,清理网站上的非法信息,强化安全防范措施后方可将网站网页重新投入使用。
(4)应急处置人员应妥善保存有关记录及日志或审计记录。
(5)应急处置人员应立即追查非法信息来源,若非法信息来源于院内,则由本院保卫处和网络技术人员进行处理,同时报告网络与信息安全领导小组负责人,根据管理制度对非法传播者及时处置,并报知上级公安部门备案;若非法信息来自于院外,则立即报知上报公安部门,并由技术人员将这些信息保存、记录ip地址,以备上级公安部门互联网突发事件处置行动组调用。
2、黑客攻击时的紧急处置措施。
(1)当有关负责人员发现网页内容被篡改,或通过防火墙、入侵检测系统发现有黑客正在进行攻击时,应立即向应急处置工作组通报情况。
(2)应急处置人员应在十分钟内进行处理,首先应将被攻击的服务器等设备从网络中隔离出来,保护现场,同时向网络与信息安全领导小组汇报情况。(3)应急处置人员负责被破坏系统的恢复与重建工作,修补漏洞、强化安全措施后方可将被攻击的服务器设备接入网络。
(4)应急处置人员追查非法信息来源。
(5)网络与信息安全领导小组会商后,如认为情况严重,则立即向公安部门汇报。
(1)当发现网络上出现病毒,并影响网络的正常运行后,应立即找出感染病毒机器。
(2)将感染病毒机器和网络隔离,待病毒彻底清除后方允许再次接入网络。
(3)网络中心技术人员要针对该款病毒进行研究,做好相应的病毒发作特征及解决方案。
4、软件系统遭受破坏性攻击的紧急处置措施。
(1)重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日备份,并将它们保存于安全处。
(2)一旦软件遭到破坏性攻击,应立即停止软件系统。
(3)网络管理人员负责软件系统和数据的恢复。
(4)网络管理人员检查日志等资料,确认攻击来源。
(5)安全领导小组认为情况极为严重的,应立即向公安部门报告。
5、数据库安全紧急处置措施。
(1)各数据库系统要至少准备两个以上数据库备份,平时一份放在机房,另一份放在另一安全的建筑物中。
(2)一旦数据库崩溃,应急处置组人员应对主机系统进行维修,如遇无法解决的问题,立即向上级单位或软硬件提供商请求支援。(3)系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。
(4)如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库备份加以恢复。
(5)如果两个备份均无法恢复,应立即向有关厂商请求紧急支援,并向网络与信息安全领导小组汇报。
6、广域网外部线路中断紧急处置措施。
(1)广域网线路中断后,网络管理员接到报告后,应迅速判断故障节点,查明故障原因。
(2)如属我院管辖范围,由网络管理员予以恢复。如遇无法恢复情况,立即向有关厂商请求支援。
(3)如属电信部门管辖范围,立即与电信维护部门联系,请求修复。
7、局域网大范围中断紧急处置措施。
(1)局域网出现大范围中断现象后,网络管理员应立即判断故障节点,查明故障原因。
(2)如属线路故障,应重新安装线路。
(3)如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试畅通。
(4)如属路由器、交换机等网络设备故障,应立即调换备机,如无备机,立即向设备提供商联系更换设备,并调试畅通;并向网络与信息安全领导小组领导汇报。
8、服务器等关键网络设备故障安全紧急处置措施。
(1)服务器等关键设备损坏后,网络管理人员应立即查明原因。
(2)如果能够自行恢复,应立即用备件替换受损部件。
(3)如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。
9、网络中心机房外电中断后的处置措施。
(1)外电中断后,机房会自动切换到备用电源。
(2)检查断电原因,如因内部线路故障,请总务科协助迅速恢复。
(3)如果是供电局的原因,应立即与供电局联系,请供电局迅速恢复供电。
(4)如果供电局告知需长时间停电,应做如下安排:
a)预计停电1小时以内,由ups供电。
b)预计停电1-3小时,关掉非关键设备,确保各主机、路由器、交换机供电。
c)预计停电超过3小时,关掉非关键设备,确保各主机、路由器、交换机供电。ups使用4小时后,关闭所有的设备。
五、保障措施。
网络与信息安全的防治工作是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作,是有组织的科学与社会行为,而不是随着每次灾害的发生而开始和结束的活动。因此,必须做好应急保障工作。
1、人员保障。
重视网络管理人员队伍的建设与保障,确保在灾害发生前的人员值班,灾害处置过程和灾后重建中的人员在岗与战斗力。
2、技术保障。
重视网络信息技术的建设和升级换代,在灾害发生前确保网络信息系统的安全与稳定,灾害处置过程中和灾后重建中的相关技术支撑。
3、物资保障网络与信息安全应急处置工作组,报请领导小组批准后,根据院财力情况及网络管理的实际需要,适当购入一些网络与信息安全保障设备。
4、训练和演练。
加强全院网络信息用户的防灾、减灾知识的宣传普及,增强这些用户的防灾意识和自救互救能力。有针对性地开展应急抢险救灾演练,确保发生灾害时的应急救助手段及时到位和有效。
组长:xxx副组长:xxx组员:xxx。
组长:xxx副组长:xxx组员:xxx。
网络与信息安全应急预案
为提高我校处理网络与信息安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保我校校园网络重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络信息安全突发事件的危害,保护师生权益,维护正常社会秩序、教学秩序,促进学校的和谐发展。
2、编制依据。
根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等有关法规、规定,制定本预案。
3、适用范围。
本预案适用于我校校园网络发生与本预案定义的i-iv级网络与信息安全突发事件和可能导致i-iv级的网络与信息安全突发事件的应对处置工作。
本预案启动后,我校以前制定的网络与信息安全应急预案与本预案相冲突的,按照本预案执行。而法律、法规和规章另有规定的从其规定。
4、分类分级。
本预案所指的网络信息安全突发事件,是指我校校园网等重要网络信息系统突然遭受不可预知外力的破坏、毁损或故障,不良信息在我校校园网乃至整个互联网的传播,发生对国家、社会、公众、学院造成或者可能造成危害的紧急网络安全事件。
事件分类根据网络信息安全突发事件的发生过程、性质和特征,网络信息安全突发事件划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有目的或有组织的反动宣传、煽动和歪曲事理的不良活动或违法活动。
(1)自然灾害是指地震、台风、雷电、火灾、洪水等。
(2)事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。
(3)人为破坏是指人为破坏网络线路、通信设施,互联网攻击、病毒攻击、恐怖主义活动等事件。
事件分级。
根据我省对网络信息安全突发事件的可控性、严重程度和影响范围,将网络信息安全突发事件分为四级:i级(特别重大)、ii级(重大)、iii级(较大)、iv级(一般)。具体级别定义如果国家有关法律法规有明确规定的,按国家有关规定执行。
(1)i级(特别重大):造成我校网络与信息系统发生大规模瘫痪,事态的发展超出区一级相关主管部门的控制能力,对国家安全、社会秩序、公共利益或教育形象造成特别严重损害的突发事件。
(2)ii级(重大):造成我校或其它上一级部门重要网络与信息系统瘫痪,对国家安全、社会秩序、公共利益或教育形象造成严重损害,需要上级政府或公安部门协助,乃至需跨地区协同处置的突发事件。
(3)iii级(较大):造成我校网络与信息系统瘫痪,对国家安全、社会秩序、公共利益或教育形象造成一定损害,但只需在本区政府或区信息中心协同处置的突发事件。
(4)iv级(一般):造成我校校园网络重要网络与信息系统受到一定程度的损坏,对师生、家长或其他人员和单位的权益有一定影响,但不危害国家安全、社会秩序和公共利益,可由我区教育主管部门或学校处置的突发事件。
二、工作原则。
1、积极防御、综合防范。立足安全防护,加强预警,重点保护重要信息网络和关系社会稳定的重要信息系统;从预防、监控、应急处理、应急保障和打击不法行为等环节,在管理、技术、宣传等方面,采取多种措施,充分发挥各方面的作用,构筑我校网络与信息安全保障体系。
2、明确责任、分级负责。按照“谁主管、谁负责”的原则,加强网络安全管理,认真落实各项安全管理制度和措施。加强计算机信息网络安全的宣传和教育,进一步提高师生的信息安全意识。
3、落实措施、确保安全。要对机房、网络设备、服务器等设施定期开展安全检查,对发现安全漏洞和隐患的进行及时整改;在国际互联网上已建立网站的分院单位,要实行网站的巡察制度,密切关注互联网信息动态,要按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。
4、依靠科学、平战结合。各办学单位应根据本预案的标准,建立本单位的应急处置预案,并加强技术储备、规范应急处置措施与操作流程,树立常备不懈的观念,定期进行预案演练,确保应急预案切实可行。
5、事故上报。
网络与信息安全应急预案
为妥善应对和处置学校网站信息安全突发事件、确保学校网站正常运行,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理方法》、信息产业部《互联网信息服务管理方法》及国家教育部、省教育厅有关文件精神,结合我校网站实际情况,特指定本应急预案。
应急措施如下:
1、网站、网页出现非法言论事件紧急处置措施。
(1)网站、网页由主办部门的信息员负责随时密切监视信息内容。
(2)发现在网上出现违反国家的法律法规、侵犯知识版权、反政府、分裂国家和色情内容的信息及损害国家、学校声誉的谣言信息时,信息员应立即向本单位信息安全负责人通报情况;情况紧急的,应先及时采取删除等处理措施,再按程序报告。
(3)信息安全相关负责人应在接到通知后作好必要记录,指导信息员清理非法信息、妥善保存有关记录并将网站网页重新投入使用。
(4)追查非法信息来源,并将有关情况向学校信息化工作领导小组汇报。
(5)向区电教中心汇报,取得支持、帮助与指导。
(6)事态严重的,应及时向公安部门报警。
2、黑客攻击事件紧急处置措施。
(1)备份正确网站文件,保障网站及时恢复。
(2)当信息员发现网站遭到黑客攻击、主页内容被恶意篡改时,立即停止主页服务并恢复正确内容。检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放主页服务;同时向信息安全负责人通报情况。
(3)黑客攻击程度较大情况下(如破坏了服务器上文件),修复网站文件较为麻烦;为使网站尽快能正常访问,使用网站的备份文件或者临时找其他服务器替代,如事先有这些准备,一般在发现被攻击后的一到两个小时即可修复。
(4)恢复与重建被攻击或破坏的网站。
(5)对现场进行分析,并写出分析报告存档。
(6)向区电教中心汇报,取得支持、帮助与指导。
(7)学校信息化工作领导小组召开小组会议,如认为事态严重,则立即向公安部门报警。
做好校园网站信息的安全管理,核心工作就是定期备份网站,保存好网站的备份文件,以备应急使用。
网络信息安全应急预案
在本单位的计算机网络发生安全事件或者事故的情况下,采取应急处置方案,保障计算机网络的安全。
组长:xxx
副组长:xxx
成员:xxx
计算机网络网络安全紧急响应小组及时、快速地协调、处各种事件或者事故。特殊时期安排专人24小时值班。
计算机网络安全事件报告程序
工作人员与管理人员发现或获知计算机网络发生安全事件,应立即通知站计算机网络安全紧急响应小组,由站计算机网络安全紧急小组通知公司计算机网络安全紧急响应小组,同时迅速关闭问题设备,由公司紧急响应小组技术人员分析原因,解决问题。
1、垃圾邮件过滤器
响应公安部、信息产业部和国务院新闻办公室的要求,购置、安装垃圾邮件过滤器,预防和控制垃圾邮件的攻击和破坏。该设备各项指标均达到或超过上述领导部门制定的标准。
2、日志服务器
对网络及服务器设备的日常运行日志进行收集和统一管理工作,防止不法分子入侵某个具体的设备,同时撰改日志记录,从而影响对问题的了解和解决。
3、入侵检测服务器
购置入侵检测设施,能根据网络内各具体真实ip地址的流量情况作出相应响应,特别是流量异常等情况。(被防火墙屏蔽的ip地址除外)
4、数据备份系统
可以将有重要资料的服务器设备数据进行备份处理,从而在相应服务器设备出现问题时能及时修复,保证重要数据的安全。
5、网页防篡改
采用人工和技术处理相结合的方式,对公司网站的内容进行浏览和检查,防止网页被篡改。
1、及时更新服务器的防病毒软件病毒库。
2、定期对所有服务器进行漏洞扫描、补丁修复。
3、对网络中心服务器网段上联交换机开放的软端口进行严格控制。
4、实行分级管理体制,落实管理责任。
网络与信息安全应急预案
为了切实做好学校校园网络突发事件的防范和应急处理工作,进一步提高我校预防和控制网络突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保我校校园网络与信息安全,妥善处理危害网络与信息安全的突发事件,最大限度地遏制突发事件的影响和有害信息的扩散。结合学校工作实际,制定本预案。
第一章总则。
第一条本预案所称突发性事件,是指自然因素或者人为活动引发的危害学校校园网网络设施及信息安全等有关的灾害。
第二条本预案的指导思想是湖北师范学院有关计算机网络及信息安全基本要求。
第三条本预案适用于湖北师范学院内所有个人和办公用计算机以及各研究所、实验室(中心)、教学机房、多媒体教室、电子阅览室等计算机和网络硬件、软件,以及学校门户网站和下属各部门网站内容发生突发性事件的应急处置。
第四条应急处置工作原则:统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。
第二章组织指挥和职责任务。
第五条学校成立网络与信息安全应急处置工作小组,工作小组的主要职责与任务是统一领导全校信息网络的灾害应急工作,在校领导组织指挥下,全面负责学校信息网络可能出现的各种突发事件处置工作,协调解决灾害处置工作中的重大问题等。
第六条现代信息技术中心(以下简称“信息中心”)负责日常信息网络安全事件的具体处理,其中信息中心是信息网络安全事件处置控制中心,负责服务器端和网络层面的安全事件处置,并为各部门、院(系)做好部门办公用机和个人用机的安全处置提供技术指导。
第三章处置措施和处置程序。
第七条处置措施。
处置的基本措施分灾害发生前与灾害发生后两种情况。
加强信息网络安全常识普及,使教职工掌握信息网络安全常识,并具备一定防范处理突发事件的基本知识。
建立健全灾情速报制度,保障突发性灾害紧急信息报送渠道畅通。属于重大灾害的,在向工作领导小组报告的同时,还应向黄石市公安局网络监察部门报告。
(二)灾害发生后,立即启动应急预案,采取应急处置程序,判定灾害级别,并立即将灾情向工作小组报告,在处置过程中,应及时报告处置工作进展情况,直至处置工作结束。
第八条处置程序。
(一)发现情况。
现代信息技术中心要严格执行值班制度,做好校园网信息系统安全的日常巡查及其日志保存工作,以保障最先发现灾害并及时处置此突发性事件。
(二)预案启动。
一旦灾害发生,立即启动应急预案,进入应急预案的处置程序。
(三)应急处置方法。
在灾害发生时,首先应区分灾害发生是否为自然灾害与人为破坏两种情况,根据这两种情况把应急处置方法分为两个流程。
流程一:当发生的灾害为自然灾害时,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
流程二:当人为或病毒破坏的灾害发生时,具体按以下顺序进行:判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的ip或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照灾害发生的性质分别采用以下方案:
1、病毒传播:针对这种现象,要及时断开传播源,判断病毒的性质、采用的端口,然后关闭相应的端口,在网上公布病毒攻击信息以及防御方法。
2、入侵:对于网络入侵,首先要判断入侵的来源,区分外网与内网。入侵来自外网的,定位入侵的ip地址,及时关闭入侵的端口,限制入侵地ip地址的访问,在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的,查清入侵来源,如ip地址、上网帐号等信息,同时断开对应的交换机端口。然后针对入侵方法建设或更新入侵检测设备。
3、信息被篡改:这种情况,要求一经发现马上断开相应的信息上网链接,并尽快恢复。
4、网络故障:一旦发现,可根据相应工作流程尽快排除。
5、其它没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体的情况,做出相应的处理。不能处理的可以请示相关的专业人员。
(四)情况报告。
灾害发生时,一方面按照应急处置方法进行处置,同时需要判定灾害的级别,首先向学校网络与信息安全应急处置工作小组汇报。在重大灾害发生时,可以同时向市公安局网络监察部门汇报。中、小型级别的灾害,可以只向学校的网络与信息安全应急处置工作小组汇报,并及时报告处置工作进展情况,直至处置工作结束。情况报告内容包括:灾害发生的时间、地点,灾害的级别,灾害造成的后果,应急处置的过程、结果,灾害结束的时间,以后如何防范类似灾害发生的建议与方案等。
(五)发布预警。
灾害发生时,可根据灾害的危害程度适当地发布预警,特别是一些在其它地方已经出现,或在安全相关网站发布了预警而学校信息网络还没有出现相应的灾害,除了在技术上进行防范以外,还应当向网络信息用户发布预警,直至灾害警报解除。
(六)预案终止。
经专家组鉴定,灾害险情或灾情已消除,或者得到有效控制后,由学校的网络与信息安全应急处置工作小组宣布险情或灾情应急期结束,并予以公告,同时预案终止。
第四章保障措施。
灾害应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作,是有组织的科学与社会行为,必须做好应急保障工作。
第九条人员保障。
重视人员的建设与保障,确保在灾害发生前的人员值班,灾害处置过程和灾后重建中的人员在岗与战斗力。
第十条技术保障。
重视网络信息技术的建设和升级换代,在灾害发生前确保网络信息系统的强劲与安全,灾害处置过程中和灾后重建中的相关技术支撑。
第十一条物资保障。
建立应急物资储备制度,保证应急抢险救灾队伍技术装备的及时更新,以确保灾害应急工作的顺利进行。
第十二条训练和演练。
加强全校网络信息用户的防灾、减灾知识的宣传普及,增强这些用户的防灾意识和自救互救能力。有针对性地开展应急抢险救灾演练,确保发灾后应急救助手段及时到位和有效。
第五章附则。
第十三条本预案由现代信息技术中心负责解释。
第十四条本预案自发布之日起施行。
网络与信息安全应急预案
为保证我局网络与信息系统安全,防范蓄意攻击、破坏网络系统及传播、粘贴非法信息等紧急突发事件的发生,结合我局网络信息化工作实际情况,特制定本应急预案。
一、工作目标。
保障网络信息的合法性、完整性、准确性,保障计算机及相关配套设备、设施的安全及运行环境的安全,保障网络与信息系统的安全运行。
二、组织机构。
(一)黑客攻击时的紧急处置措施;
1、当有关人员发现网页内容被篡改,或发现有黑客正在攻击时,应立即向局信息安全领导小组办公室通报情况。
2、日常应急办公室网络安全管理人员应及时赶到现场,并首先将被攻击的服务器等设备从网络中隔离出来,保护现场,并同时向局信息安全领导小组通报情况。
3、网络管理员负责被攻击或破坏系统的恢复与重建工作,并及时追查非法信息来源。
(二)病毒安全紧急处置措施;
1、当发现有计算机被感染上病毒后,应立即向局信息安全小组办公室报告,并及时将该机器从网络上隔离开来。
2、接到通报后,应及时赶到现场,对该设备的硬盘进行数据备份,并启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
3、如果现行反病毒软件无法清除该病毒,应立即向局信息安全领导小组报告,并迅速联系相关反病毒软件商研究解决。
(三)软件系统遭破坏性攻击的紧急处置措施;
1、重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日的备份,并将他们保存于安全处。
2、一旦软件遭到破坏性攻击,应立即向局信息安全领导小组日常应急办公室报告,并将该系统停止运行。
3、日常应急信息安全岗人员负责软件系统和数据的恢复,并检查日志等资料,确定攻击来源。
4、事态严重的,立即向局信息安全领导小组组长报告,并根据组长指示向公安部门或上级机关报警。
(四)数据库安全紧急处置措施;
1、主要数据库系统应及时进行数据库备份。
2、一旦数据库崩溃,值班人员应立即向局信息安全领导小组日常应急办公室报告,并由日常应办共室信息安全人员组织力量对主机系统进行恢复。
3、系统修复启动后,按照要求将数据库备份恢复到主机系统中。
(五)广域网断线故障紧急处置措施;
1、广域网发生断线故障后,使用或管理人员应向及时局信息安全领导小组报告。
2、日常应急办公室网络安全人员接到报告后,应迅速判断故障节点,查明故障原因。
3、如属我方管辖范围,由网络安全人员立即予以恢复。
4、如属联通部门管辖范围,立即与联通维护部门联系,要求修复。
5、如果恢复时间预计超过两小时,应立即向局信息安全领导小组汇报。经领导小组同意后,应通知各部门相关原因,暂缓上传上报数据,并向办公室报告相关情况。
(六)局域网中断紧急处置措施;
1、设备管理部门平时应准备好网络备用设备,存放在指定的位置。
2、局域网中断后,应立即判断故障节点,查明故障原因,并向办公室汇报。
3、如属线路故障,应重新修复线路。
4、如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。
5、如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调测通畅。
6、如有必要,应向局信息安全领导小组汇报。
(七)设备安全紧急处置措施;
1、服务器等关键设备损坏后,网络管理人员应立即向日常应急办公室报告。
2、日常应急办公室网络安全人员立即查明原因。
3、如果能够自行修复,应立即排除故障,恢复服务器的正常运行。
4、如属不能自行修复的,立即与设备提供商联系,请求派维护人员前来维修。
5、如果设备一时不能修复,应向局信息安全领导小组汇报,并告知相关部门,暂缓上传上报数据。
(八)供电中断后的设备运行紧急处置措施;
1、供电中断后,机房管理人员应立即查明原因,向日常应急办公室汇报。
2、如因局内线路故障,请局办公室迅速恢复。
3、如果是供电局的原因,应立即与供电局联系,请供电局迅速恢复供电。
4、如果供电局告知需长时间停电,应做好以下安排:
(1)预计停电1小时以内,由ups供电,网络继续运行。
(2)预计停电超过1小时,按正常关机程序关闭所有机房运行设备。
(九)关键人员不在岗的紧急处置措施;
1、对于关键岗位平时应做好人员储备,确保一项工作有两人能够操作。
2、一旦发生关键人员不在岗的情况,首先应向值班领导汇报情况。
3、经值班领导批准后,由备用人员上岗操作。
4、如果备用人员无法上岗,请求上级单位支援。
(十)发生自然灾害后紧急处置措施;
1、一旦发生自然灾害,导致设备损坏,向县网络与信息安全事件应急指挥部办公室请求支援。
2、协助上级派遣人员寻找安全可靠的地点,重新构建新的系统和网络,并将相关数据予以恢复。
3、协助上级派遣人员做好测试工作。
网络安全应急预案
为提高我校校园网应对网络与信息安全突发事件的能力,加强校园网安全保障工作,形成科学、有效、快速的应急机制,确保校园网的实体安全、运行安全和数据安全,最大限度地减轻网络基础平台与信息安全突发事件造成的危害,特制定此应急预案。
一、制定依据。
根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《桐城师专校园计算机网络管理暂行办法》制定本预案。
二、适用范围。
本预案适用的网络和信息安全突发事件包括如下几方面。
1、网络基础平台突发事件。网络基础平台突发事件是指由自然灾害、其他事故和人为破坏引起的网络硬件设备和基础设施损坏的事件。
2、应用系统和信息安全突发事件。应用系统和信息安全突发事件是指因为黑客攻击或病毒等导致的应用系统故障、异常或拒绝服务、信息泄露或被篡改、或利用校园网传播危害国家安全、社会秩序及影响我校正常学习工作的事件。
三、组织体系。
在学校信息化工作小组的领导下,以实验实训中心为执行部门,按照“分级负责、责任到人”的原则,组织实施具体的应急预案。
实验实训中心领导负责研究制定校园网基础平台、应用系统和信息安全突发事件应急处置工作的规划、计划和政策,不断推进网络应急机制和工作体系的建设;在发生以上网络安全突发事件后,决定启动应急预案,组织实施应急处置工作。并在发生重大突发事件时汇报信息化工作小组。
四、应急流程。
1、临时处理。
在突发事件发生后,值班维护人员应做好临时应急处置工作,立即采取措施控制事态,同时向实验实训中心领导报告。并在事件处置结束前进行动态监测、评估,及时将事件现状及处置工作等情况进行汇报,不得隐瞒、缓报、谎报。
2、预案实施。
实验实训中心领导接到突发事件报告后,根据事件严重程度,进行不同的处置。对于重大突发事件,实验实训中心领导应当汇报信息化工作小组,并给出处置建议。对于一般事件,按照已有的预案实施应急处置。同时相关人员保持联系,及时了解当前状况,组织预案的实施工作。
3、信息发布。
当突发事件发生时,实验实训中心应及时做好信息发布工作,通过仍然正常工作的应用系统或者其他渠道发布当前网络安全突发事件处置的相关信息,引导舆论和公众行为,避免影响社会或学校秩序。
实验实训中心要密切关注国内外关于当前网络安全突发事件的新闻报道,及时采取措施,对媒体关于事件以及处置工作的不正确信息,进行澄清、纠正影响,接受群众咨询,释疑解惑,稳定人心。
4、应急支援。
经实施应急预案后,事态难以控制或有扩大发展趋势时。要迅速召开应急处置会议或由信息化工作小组根据事态情况,研究采取有利于控制事态的非常措施,并向相关技术部门或公安部门请求援助。
5、应急结束。
当突发事件的影响效果大幅度减小或消失,校园网恢复正常时,由实验实训中心相关人员根据监控数据给出应急结束的建议,由实验实训中心领导宣布应急结束,对于重大事件应急结束时应汇报信息化工作小组。
五、事后处置。
在应急处置工作结束后,要迅速采取措施,抓紧组织抢修受损的基础设施或对存在问题的应用系统进行维护,以减少损失,尽快恢复正常工作。对于信息安全突发事件中的不良信息,做好日志记录,保存好证据以备日后审查。统计各种数据,查明事件原因,对事件造成的损失和影响以及恢复能力进行分析评估,认真制定恢复计划,并迅速组织实施。事后处置过程应向实验实训中心领导汇报或上报信息化工作小组。
1、硬件和网络设施保障。事先预留一定的应急硬件设备或网络设施。在突发事件发生时,可以及时替换使用。
2、重要应用系统、信息和数据均应建立异地容灾备份系统和相关工作机制,保证系统或数据在受到破坏后,可紧急恢复。
3、应急队伍保障。建立网络安全应急保障队伍。同时由实验实训中心选择技术能力较强的人员作为网站应急支援力量。
4、经费保障。优先考虑经费投入,纳入学校年度预算。
七、具体预案措施。
1、自然灾害紧急处置措施,校园网中心机房和核心交换节点因自然灾害(如潮湿、雷电等)导致设备损害无法正常工作时,值班人员应立即报告实验实训中心领导,并检查损坏程度,找出事故原因加以处理,联系设备供应商进行维修,并通知用户相关服务暂停以及预计恢复时间。
2、被盗和人为损坏紧急处置措施,校园网中心机房和核心交换节点设备被盗或者人为原因导致损坏时,值班人员应立即报告信息管理中心领导,并保护好现场,第一时间收集证据,以备公安部门进行调查或追究损坏设备的相关责任。实验实训中心应报告学校总务处或公安部门进行后续处理。
3、网络基础平台设备自然损坏紧急处置措施,服务器等关键设备因老化等原因自然损坏后,相关负责人员应立即查明原因。如果能够自行恢复,应立即用备件替换受损部件。如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。如果设备一时不能修复,应向领导汇报,并告知用户受到影响的网站服务。
4、停电紧急处置措施,机房长时间停电发生时,如果能事先从学校后勤部门或供电部门得知停电信息,应做好应用系统备份工作,通过学校网站通知用户暂停部分服务的信息,提醒用户保存数据,停止网络传输。准备备用电源保障最重要的设备和应用系统继续运作,关闭次要的设备和系统。并及时报告给实验实训中心领导,保持和后勤或供电部门的联系,以期尽快恢复供电。
5、通信故障紧急处置措施,当校内网络出现严重通信故障时,信息管理中心网络管理部应立刻报告实验实训中心领导,并立即组织排除故障,同时通知网络受到影响的校园网用户。校外网络出现通信故障时,应及时通知校园网用户,并积极联系网络服务提供商,敦促排除故障。
6、校园网网站、公共资源等信息窗口和平台出现非法言论或不良信息时,网站、网页和该公共资源由值班人员随时密切监视。如果多次出现,应结合发布人和身份认证系统定位到人,并向信息管理中心领导汇报。技术人员应在接到通知后立即对非法信息进行日志记录,保留证据后进行清除。网站维护员应将记录及日志上报备案。
7、黑客攻击时的紧急处置措施,当有应用系统或者信息被篡改,或通过应用系统日志和访问记录发现有黑客正在进行攻击时,首先应将被攻击的系统和设备等从网络中隔离出来,同时向领导汇报情况。技术人员立即进行被破坏系统的恢复与重建工作。
8、病毒安全紧急处置措施,当发现计算机感染有病毒后,应立即将该机从网络上隔离出来。对该设备的硬盘进行数据备份。启用杀毒软件对该机进行杀毒处理。如发现杀毒软件无法清楚该病毒,应立即向实验实训中心领导报告。经技术人员确认确实无法查杀该病毒后,应作好相关记录,同时立即向信息技术人员报告,并迅速研究解决办法。如果感染病毒的设备是托管服务器,经领导同意,应立即告知各下属单位做好相应的清查工作。
9、应用系统遭受破坏性攻击的紧急处置措施,重要的应用系统平时必须存有备份,与应用系统相对应的数据必须有多日备份,并将它们保存于安全处。一旦系统遭到破坏性攻击,应立即向领导报告,并将系统停止运行。网站维护员立即进行软件系统和数据的恢复。
10、数据库安全紧急处置措施,各数据库系统要至少准备一个以上数据库备份,每日进行增量备份。一旦数据库崩溃,应立即向领导报告,并立即进行备份恢复。
11、关键人员不在岗的紧急处置措施。对于关键岗位平时应做好人员储备,确保一项工作有两人能操作。一旦发生关键人员不在岗的情况,首先应向领导汇报情况。经领导批准后,由备用人员上岗操作。
其他未列出的突发事件,一律需首先汇报给实验实训中心领导或信息化工作小组,并遵照领导指示进行应急处置。
网络安全应急预案
为深入贯彻落实党的十八大和十八届三中、-精神,学习贯彻主席-讲话精神,增强广大师生的网络安全意识,提高自我保护意识,维护国家网络安全。
二、工作领导小组。
组长:__。
副组长:__。
组员:信息中心德育处年级班主任。
三、活动主题。
四、活动时间。
_年-月-日至_日。
五、活动内容。
采用多种形式进行网络安全宣传,普及基本的网络安全知识,使教师、学生增强网络安全防范意识,具备识别和应对网络危险的能力。
六、活动形式。
本次网络安全宣传月活动拟采取以下形式开展:
1、在led屏幕上发布"网络安全月活动"相关内容。
2、在学校网站上开办网络安全宣传专栏。
在学校网站上开辟网络安全宣传专栏,以宣传该活动的方案、计划等相关资料以及宣传活动所取得的成果。
3、在学校微信公众号上发布"网络安全月活动"相关内容。
4、利用学校广播站积极宣传网络安全相关知识。
6、开展征文活动。
根据网络安全宣传的内容征集学生们的心得体会,并遴选出优秀作品发表在学校网站相关栏目上并报送教育局信息中心。
网络安全应急预案
为科学应对网络与信息安全突发事件,建立健全我校网络与信息安全应急响应工作机制,有效预防、及时控制和最大限度消除我校信息安全各类突发事件的危害和影响,确保校园网络和重要信息系统安全,特制定本预案。
本预案适用于全校范围内自建自管的网络和信息系统,尤其是校园网主干设施和重要信息系统的突发信息安全事件的应急处置。
按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,防范为主,加强监控,统一领导,快速反应,协同工作,科学处置。采取全校统一管理和各部门分级负责的管理体制,学校主要负责人是信息技术安全工作的第一责任人,主管信息化工作的校领导为信息技术安全工作的分管责任人,各部门负责人为其部门信息安全工作的第一责任人。
遇突发的网络与信息安全事件,应及时控制事态,限制在最短时间、最小范围内,使影响和损失减少到最低程度,并尽快恢复学校正常的教学、科研和生活秩序。落实工作责任和责任追究制。凡在执行本预案过程中,因工作延误、渎职或不服从指挥、不及时处理,产生严重后果的,要追究相关人员责任。
网络与信息安全突发事件依据发生过程、性质和特征的不同,可分为以下四类:
1.网络攻击事件:校园网络与信息系统因病毒感染、非法入侵等造成学校网站或部门二级网站主页被恶意篡改,应用系统数据被拷贝、篡改、删除等。
2.设备故障事件:校园网络与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪。
3.灾害性事件:因洪水、火灾、雷击、地震、台风、非正常停电等外力因素导致网络与信息系统损毁,造成业务中断、系统宕机、网络瘫痪。
4.信息内容安全事件:利用校园网络在校内外传播法律法规禁止的信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益等。
网络与信息安全突发事件依据可控性、严重程度和影响范围的不同,可分为以下四级:
iv级(一般):某一局部网络或信息系统受到一定程度损坏,对学校某些工作有一定影响,但不危及学校整体工作的安全事件。
(一)学校成立网络与信息安全事件应急处置工作组(以下简称工作组),工作组在网络安全与信息化领导小组指导下工作。全面负责和统一指挥校园网络与信息安全重大突发事件的应急处置工作。工作组组长由主管信息化工作的副校长和主管宣传的副书记担任,小组成员由党政机关及有关单位部门负责人和各学院主管网络安全与信息化的负责人组成。工作组下设办公室,设在网络与信息中心,办公室主任由网络与信息中心主任担任。
(二)网络与信息中心作为学校校园网建设运行的主管部门,负责校园主干网络与主要信息系统安全事件的预防、监测、报告和应急处置,负责对学校其他部门主管的网络信息系统的安全防护情况进行日常检查、指导和督促,必要时网络与信息中心协助相关主管部门完成突发事件的技术处理。
(一)按照《信息安全事件分类分级指南》,对校园网络通信平台、应用平台和信息系统采取相应安全保障措施。
(二)建立健全安全事件预警预报体系,严格执行校园网络与信息系统安全管理制度,常年坚持校园网络安全工作值班制度。加强对校园网络与学校网站等重点信息系统的监控和安全管理,做好相关数据日志记录,确定合理规则,对校园网络进出信息实行过滤及预警。实行信息网上发布审批制度,对可能引发校园网络与信息安全事件的信息,要认真收集、分析、判断,发现有异常情况时,及时防范处理并逐级报告。
(三)做好服务器的数据备份及登记工作,建立灾难性数据恢复机制。
(四)特殊时期,根据学校要求和部署,由网络与信息中心进行统一安排,组织专业技术人员对校园网络和信息系统采取加强性保护措施,对校园网络通信及信息系统进行不间断监控。
(一)预案启动。
发生校园网络与信息安全事件后,网络与信息中心和突发安全事件的信息系统建管部门应尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围,评估事件带来的影响和损害,确认突发事件的类别和等级,并参照下述响应机制对突发事件进行处置。
(二)应急响应。
1、应急响应机制。
iii级或iv级突发事件响应:网络与信息中心和突发安全事件的信息系统建管部门自行负责应急处置工作,有关情况报分管校领导。
ii级突发事件响应:网络与信息中心立即上报分管校领导和校园网络与信息安全事件应急处置领导小组,由领导小组统一组织、协调指挥进行应急处置。
i级突发事件响应:网络与信息中心立即上报分管校领导和校园网络与信息安全事件应急处置领导小组,领导小组再上报至市公安局等相关部门,由北京市相关部门会同我校校园网络与信息安全事件应急处置领导小组统一组织、协调指挥应急处置。
2、应急处理方式。
(1)网络攻击事件:判断攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的ip地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质采取以下方案:
病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助,寻找并公布病毒攻击信息,以及杀毒、防御方法。
外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外网入侵,定位入侵的ip地址,及时关闭入侵的端口,限制入侵的ip地址的访问。对于已经造成危害的,应立即采用断开网络连接的'方法,避免造成更大损失和影响。
内部入侵:查清入侵来源,如ip地址、所在办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。
(2)设备故障事件:判断故障发生点和故障原因,迅速抢修故障设备,优先保证校园网主干网络和主要应用系统的运转。
(3)灾害性事件:根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
(4)信息内容安全事件:接到校内网站出现不良信息的报案后,应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息的传播,根据网站相关日志记录查找信息发布人并做好善后处理;对公安机关要求我校协查的外网不良信息事件,根据校园网上网相关记录查找信息发布人。
(5)其它不确定安全事件:可根据总的安全原则,结合具体情况,做出相应处理。不能处理的及时咨询信息安全公司或顾问。
(三)后续处理。
1、安全事件进行最初的应急处置后,应及时采取行动,抑制其影响进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。
2、安全事件被抑制后,通过对有关事件或行为的分析结果,找出问题根源,明确相应补救措施并彻底清除。
3、在确保安全事件解决后,要及时清理系统,恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。
(四)记录上报。
网络与信息系统安全事件发生时,应及时向校领导和校园网络与信息安全事件应急处置领导小组汇报,并在事件处置工作中作好完整的过程记录,及时报告处置工作进展情况,保存各相关系统日志,直至处置工作结束。
(五)结束响应。
系统恢复运行后,网络与信息中心对事件造成的损失、事件处理流程和应急预案进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告,同时确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料;属于重大事件或存在非法犯罪行为的,第一时间向公安机关网络监察部门报案。
校园网络与信息安全应急处置是一项长期的、随时可能发生的工作,必须做好各项应急保障工作。
(一)人员保障。
重视信息系统安全队伍建设,不断提高工作人员的信息安全防范意识和技术水平,确保安全事件应急处置过程和重建工作中技术人员的在岗与防护能力。
(二)技术保障。
重视信息系统的建设和升级换代,重视网络安全整体方案的不断完善,加强技术管理,确保信息系统的稳定与安全,聘请信息安全顾问为应急处置过程和重建工作提供咨询和技术支持。
(三)资金保障。
网络与信息中心应根据校园网络与信息系统安全预防和应急处置工作的实际需要,申报网络与信息系统关键设备及软件的运行维护专项资金,提出本年度应急处置工作相关设备和工具所需经费,并上报至财务处纳入年度财政预算,由学校给予资金保障。
(四)安全培训和演练。
举办教职工网络与信息系统安全知识培训,加强对教职工和学员的计算机操作、信息技能、网络和信息系统安全等相关知识的宣传普及,增强预防意识和简单应急处置能力。有针对性地开展应急抢险救灾演练,确保发灾后应急救助手段及时到位和有效。
网络安全应急预案
为切实维护校园和谐稳定,加强我校重大突发舆情网络文化建设与管理,最大限度地避免、减少和消除因网络舆情造成的各种负面影响,营造良好的学校舆论环境,根据学校工作实际,特制定本预案。
1.准确把握、快速反应。网络舆情事件发生后,力争在第一时间发布准确、权威信息,稳定公众情绪,最大限度地避免或减少公众猜测和新闻媒体的不准确报道,掌握新闻舆论的主动权。
2.加强引导、注重效果。提高正确引导舆论的意识和工作水平,使突发事件的新闻发布有利于学校工作大局,有利于维护全体师生的切身利益,有利于社会稳定和人心安定,有利于事件的妥善处置。
3.讲究方法、提高效能。坚持网络舆情突发事件处置与新闻发布同时布置、同时落实,新闻发布依托主流强势媒体、积极引导和应用好外来媒体,处置舆情突发事件的各行政部门密切配合新闻发布工作等行之有效的做法,确保以最短的时间、最快的速度,发布最新消息,正确引导舆论。
4.严格制度、明确职责。完善新闻发布制度,加强组织协调和归口管理,健全制度,明确责任,严明纪律,严格奖惩。
1.加大学校网站,增强校园网的吸引力和感染力。配合上级部门做好网上正面宣传,唱响主旋律,打好主动仗。
2. 加强对校内网络信息内容管理,对各科室采写的信息,在负责人审核通过后,由各单位网络信息员通过学校网络信息处理平台报送,党支部进行文字审核。
3. 围绕网上热点问题,在师生访问频繁、关注度高的新闻网站、门户网站以及互动类网站等,撰写正面评论文章;对涉及本校工作的网上不实言论,适时以论坛贴文的形式主动进行引导,消除负面影响。
4. 围绕学校改革发展的重点、难点问题以及重大突发事件,在校园网上主动导贴,积极跟贴,及时发布正面观点,做好正面引导工作。
5. 针对别有用心的造谣、歪曲和攻击,开展理直气壮的舆论斗争,发表即时性评论,及时跟贴,批驳反面声音,澄清事实,抵御负面言论的渗透和传播。
一旦发生网络舆情突发事件,学校应根据网络舆情的`发生发展启动应急预案,决定各相关部门介入突发事件的处置。审定网络舆情应对方案,决定新闻发布的口径、原则和内容,确定负责新闻发布、审定新闻发布稿和接受记者采访的领导和相关部门负责人。对网络舆情处置过程中出现的新情况、新问题及时进行会商,提出解决方案及处置措施,确定相关部门进行处置。遵纪依法对当事人、责任人、责任单位提出处理和责任追究意见建议,并按有关程序移交相关部门处理。具体应对机制如下:
1. 建立网络舆情监控信息员机制。各二级学院和职能部处应确定政治素质好、责任心强、反映机敏、熟悉网络的师生担任网络舆情监控信息员,对涉及上海电力学院的网络舆情实行监控和引导,特殊时期安排专人24小时监控,加强网上舆情监测和应对。重点加强对学生、家长关心、群众关注的重点论坛的实时监控,及时了解社情民意,监测舆情发展动向。
2.建立快速报告机制。舆情监控信息员发现有关学校的不良舆情信息后要立即向主管领导汇报,经批准后,根据事件进展情况适时采取应对措施。
3. 建立网络舆情研判机制。要通过跟踪分析,把握舆论发展走向,分析判断突发及重大舆情的程度,提出合理化建议。根据事件严重程度决定是否召开会议和向上级领导汇报。
4. 建立快速查核机制。对网络反映的情况,需要调查的,要迅速组织力量开展调查,与网络抢时间,并注重周密谋划,妥善处置、严控因处置不当造成不良后果。经查证属实,并构成违纪的,按照有关规定严肃查处;与事实不符或者出入较大的,及时予以澄清。对恶意造谣、干扰学校正常学习生活开展的,依法送交有关部门处理。
5. 建立信息发布机制。加大在学校微信群有关热点事件的进展情况,完善新闻发布制度,形成权威、畅通的信息发布渠道。如发生舆情突发事件,校级领导同党办、校办迅速拟定新闻发布内容和方案,经领导小组审定后,按照统一的口径,选择合适的时机发布,并组织媒体进行报道,让正面信息先声夺人,为网民提供权威声音,营造有利舆论。按照“及时、准确、公开、透明”的原则,不论是网络舆情初步形成,还是网络舆论已成热点,都主动澄清事实真相,争取网民理解支持。
6. 学校档案馆要做好舆情突发事件的全程处置工作的文字材料、声音、影像的记录和保存保管工作。
网络安全应急预案
为有效制止各种网络安全事件的发生,最大地减少各种网络安全事件所造成的破坏和负面影响,特制定本预案。
一、坚持以预防、监控为主的原则,做到响应快、定位准、控制及时、措施有力,在网络安全上把握主动权。
二、学校保卫处对校园网内容进行24小时专人监控,信息与网络中心对网络安全技术问题进行24小时应急响应,结合严格的规章制度,确保网络安全的监控随时处于有序、有效状态。
三、实行多部门协作机制,发现网络安全事件的苗头后,网络中心、保卫处、学工部,必要时联合当地公安派出所,对安全事件当事人进行快速准确的目标定位、对象确定,并在适当时机实地控制当事人和相关设备等。
四、严格上网实名制,所有校园网用户均采取有详细记录的、由学校统一管理的身份认证措施;学校论坛必须实名注册。
五、重视服务器日志的保存和使用,确保发现问题时能够有效追查定位。
六、对校园网内各单位或个人因特殊需要而开设的服务采取登录备案制度,各单位服务器要求有专人负责管理,并且对管理员的联系信息进行详细备案。
网络事件的处置遵从负面影响最小化的原则。
网络内容相关事件的处理,必须遵从先固定证据、再保留证据、然后再采取措施消除影响的基本流程。
1、责任到人。
事件发生将直接追究部门主要负责人及分管领导和技术负责人的责任。
2、跟踪监控。
发生安全事件后,保卫处、信息与网络中心通过一定的技术手段,立即保持对事件的全程跟踪,同时根据事件的表现和程度,及时通知有关部门协同处理。
3、内容取证。
在采取跟踪监控措施的同时,立即对安全事件的内容进行取证,必要时请公安部门出面同时控制当事者的机器和当事人。有关通过网络远程取证的内容要注意时间、位置、涉及人员等尽量全面,注意证据保存位置可靠;现场取证的内容在必要时要求在当事人现场参与的情况下截图,并打印、签字确认。
4、切断服务。
对安全事件进行证据保全后,应当第一时间根据事件性质,分别采取勒令改正、删除内容、停止服务等果断措施。必要时学校可强行断开相关区域的网络或与安全事件相关的服务。
5、追查定位。
结合事件发生日期时间、服务器日志、用户账户等信息,对事件当事人进行快速定位,以便能够在必要时进行责任追查。
6、调查处理。
确定事件的当事人后,根据国家有关法规和学校网络管理和安全、保密要求,根据当事人的事件性质和危害程度,分别采取学院或单位内部处置、全校通报处理等措施。学生当事人联合学工部按有关规定进行处置;其他教工则联系人事处、保卫处、纪委等单位,根据有关规定给予当事人适当的处分。
7、漏洞补救。
对安全事件采取适当处置后,有关单位和个人必须认真检讨其所存在的疏忽,找出事件发生的原因,查找存在的安全漏洞,并立即采取有效的补救措施。对于某些事件,必要时必须由相关部门研究后给出适当的回应,以最快地消除负面影响。
八、网络紧急响应小组成员:
由分管校长及校办、党办、信息与网络中心、人事处、保卫处、学工部、团委各部门负责人组成。
网络安全应急预案
为切实做好学校网络突发事件的防范和应急处理工作,进一步提高预防和控制网络突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保网络与信息安全,结合我校网络实际工作,特制定本预案。
第一条本预案所称突发性事件,是指自然因素或人为活动引发的危害我校网络设施及信息安全等有关的灾害。包括校园网运行及网络信息方面发生的有可能影响学校、社会和国家安全稳定的紧急事件;由于其他重大事件的发生影响到我校校园网正常运行或校园网络信息安全,并由此可能影响到学校、社会、国家安全稳定的事件。
影响或破坏网络运行及网络信息安全的事件可分为校园网络安全事件和网络信息安全事件两类:校园网络安全事件主要指校园网络实体中线路、网络设备、服务器设备等出现的被病毒和恶意攻击带来的安全事件;网络信息安全事件主要指校园网络中各信息服务设备中出现的信息安全事件,如非法信息、泄密事件等。
第二条本预案所称网络信息安全事件与网络运行事件类型
(一)网络信息安全事件:
1、特别重大的事件: 校园网上出现大面积的串联、煽动和蛊惑信息;主页出现反动、煽动分裂、破坏稳定等反动政治信息及链接的,出现较大的泄、失密事件。
2、重大事件: 校园网上出现不良信息、主页出现淫秽信息及链接的。
3、较大事件: 校园网用户邮箱出现大量非法宣传邮件;校园网用户未经审批在校园网上私自设立网站并提供非法信息 。
(二)网络运行安全事件:
1、由于病毒攻击、非法入侵等原因,校园网部分楼宇或整个校园网出现网络瘫痪。
2、由于病毒攻击、非法入侵等原因, 部分网站服务器不能响应用户请求。
3、由于病毒攻击、非法入侵等原因,校园网络中心全部dns、主web服务器不能正常工作。
4、由于病毒攻击、非法入侵、人为破坏或不可抗力等原因,造成校园网出口中断。
第三条本预案的指导思想是确保我校相关计算机网络及信息的安全。
第四条本预案适用于发生在我校网络的突发性事件应急工作。
第五条应急处置工作原则:统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。
第六条成立学校网络信息安全管理领导小组,由分管安全与分管信息化工作领导任组长,成员包括办公室负责人、教务处负责人、思政部负责人、总务后勤负责人、网络信息中心负责人。
成立网络信息安全应急处置工作小组,工作小组办公室设在网络信息中心。工作小组的主要职责与任务是统筹全校网络信息的灾害应急工作,全面负责学校网络可能出现的各种突发事件处置工作,协调解决问题处置工作中的重大问题等。
第七条处置措施
处置的基本措施分灾害发生前与灾害发生后两种情况。
(一)灾害发生前,网络信息中心要预先对灾害预警预报体系进行建设,开展灾害调查,编制灾害防治规划,建设专业监测网络,并规划建设灾害信息管理系统,及时处理灾害讯情信息。
加强灾害险情巡查。网络信息中心要充分发挥专业监测的.作用,进行定期和不定期的检查,加强对灾害重点部位的监测和防范,发现有不良险情时,要及时处理并向网络信息安全管理领导小组报告。
建立健全灾情速报制度,保障突发性灾害紧急信息报送渠道畅通。属于大型灾害的,在向领导小组报告的同时,还应向公安局网监部门报告。
(二)灾害发生后,立即启动应急预案,采取应急处置程序,判定灾害级别,并立即将灾情向网络信息安全管理领导小组报告,在处置过程中,应及时报告处置工作进展情况,直至处置工作结束。
第八条处置程序
(一)发现情况
网络信息中心要严格执行值班制度,做好校园网信息系统安全的日常巡查及其每周访问记录的备份和90天访问日志保存工作,以保障最先发现灾害并及时处置此突发性事件。
(二)预案启动
一旦灾害发生,立即启动应急预案,进入应急预案的处置程序。
(三)应急处置方法
在灾害发生时,首先应区分灾害发生是否为自然灾害与人为破坏两种情况,根据这两种情况把应急处置方法分为两个流程。
流程一:当发生的灾害为自然灾害时,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
流程二:当人为或病毒破坏的灾害发生时,具体按以下顺序进行:判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的ip或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照灾害发生的性质分别采用以下方案:
1.病毒传播:针对这种现象,要及时断开传播源,判断病毒的性质、采用的端口,然后关闭相应的端口,在网上公布病毒攻击信息以及防御方法。
2.入侵:对于网络入侵,首先要判断入侵的来源,区分外网与内网。入侵来自外网的,定位入侵的ip地址,及时关闭入侵的端口,限制入侵地ip地址的访问,在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的,查清入侵来源,如ip地址、上网账号等信息,同时断开对应的交换机端口。然后针对入侵方法建设或更新入侵检测设备。
3.信息被篡改:这种情况,要求一经发现马上断开相应的信息上网链接,并尽快恢复。
4.网络故障:一旦发现,可根据相应工作流程尽快排除。
5.其它没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体的情况,做出相应的处理。不能处理的可以请教相关的专业人员。
(四)情况报告
灾害发生时,一方面按照应急处置方法进行处置,同时需要判定灾害的级别,首先向学校网络信息安全管理领导小组汇报。在大型灾害发生时或上级领导通知的特殊时间内发生的灾害,同时向上级主管部门报告,向公安局网监部门汇报。中、小型级别的灾害,可以只向网络信息安全管理领导小组汇报,并及时报告处置工作进展情况,直至处置工作结束。
情况报告内容包括:灾害发生的时间、地点,灾害的级别,灾害造成的后果,应急处置的过程、结果,灾害结束的时间,以后如何防范类似灾害发生的建议与方案等。
(五)发布预警
灾害发生时,可根据灾害的危害程度适当地发布预警,特别是一些在其它地方已经出现,或与安全相关网站发布了预警而教育网络还没有出现相应的灾害,除了在技术上进行防范以外,还应当向网络信息用户发布预警,直至灾害警报解除。
(六)预案终止
经专家组鉴定,灾害险情或灾情已消除,或者得到有效控制后,由网络信息安全管理领导小组宣布险情或灾情应急期结束,并予以公告,同时预案终止。
第四章保障措施
灾害应急防治是一项长期的、持续的、跟踪式的.、深层次的和各阶段相互联系的工作,是有组织的科学与社会行为,而不是随每次灾害的发生而开始和结束的活动。因此,必须做好应急保障工作。
第九条人员保障
重视人员的建设与保障,确保在灾害发生前的人员值班,灾害处置过程和灾后重建中的人员的战斗力。
第十条技术保障
重视网络信息技术的建设和升级换代,在灾害发生前确保网络信息系统的强劲与安全,灾害处置过程中和灾后重建中的相关技术支撑。
第十一条物资保障
要根据近年网络信息系统安全防治工作所需经费情况,将本年度灾害应急经费纳入年度计划和预算,购买相应的应急设施。建立应急物资储备制度,保证应急抢险救灾队伍技术装备的及时更新,以确保灾害应急工作的顺利进行。
第十二条训练和演练
加强校园网络信息用户的防灾、减灾知识的宣传普及,增强用户的防灾意识和自救互救能力。有针对性地开展应急抢险救灾演练,确保发灾后应急救助手段及时到位和有效。