预案

附件1

附件2

附件3

附件4

预案

为了切实做好教育系统网络安全突发事件的防范和应急处理工作，进一步提高教育系统预防和控制网络突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保教育系统网络与信息安全，结合工作实际，制定本预案。

第一章　总则

第一条　 本预案所称突发性事件，是指自然因素或者人为活动引发的危害教育系统网络设施及信息安全等有关的灾害。

第二条　 本预案的指导思想是确保黄埔区教育系统网络、学校计算机网络及信息安全。

第三条　 本预案适用于发生在广州市黄埔区教育系统网络上的突发性事件应急工作。

第四条　 应急处置工作原则：统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。

第二章　组织指挥和职责任务

第五条　 教育局、学校成立网络与信息安全应急处置工作小组，办公室设在网络信息中心。工作小组的主要职责与任务是统一领导全校信息网络的灾害应急工作，全面负责学校信息网络可能出现的各种突发事件处置工作，协调解决灾害处置工作中的重大问题等。

第三章　处置措施和处置程序

第六条　 处置措施。

处置的基本措施分灾害发生前与灾害发生后两种情况。

（一）灾害发生前，区教育网络、学校网络与信息安全主管部门及网络信息中心要预先对灾害预警预报体系进行建设，开展灾害调查，编制灾害防治规划，建设专业监测网络，并规划建设灾害信息管理系统，及时处理灾害讯情信息。

加强灾害险情巡查。网络信息中心要充分发挥专业监测的作用，进行定期和不定期的检查，加强对灾害重点部位的监测和防范，发现有不良险情时，要及时处理并向工作领导小组报告。

建立健全灾情速报制度，保障突发性灾害紧急信息报送渠道畅通。属于大型灾害的，在向工作领导小组报告的同时，还应向黄埔区公安局计算机信息安全监察处、广州市教育信息中心报告。

（二）灾害发生后，立即启动应急预案，采取应急处置程序，判定灾害级别，并立即将灾情向工作小组报告，在处置过程中，应及时报告处置工作进展情况，直至处置工作结束。

第七条　 处置程序。

（一）发现情况。

教育信息中心、学校网络信息中心要严格执行网络巡检制度，做好教育信息网、校园网信息系统安全的日常巡查及其日志保存工作，以保障最先发现灾害并及时处置此突发性事件。

（二）预案启动。

一旦灾害发生，立即启动应急预案，进入应急预案的处置程序。

（三）应急处置方法。

在灾害发生时，首先应区分灾害发生是否为自然灾害与人为破坏两种情况，根据这两种情况把应急处置方法分为两个流程。

流程一：当发生的灾害为自然灾害时，应根据当时的实际情况，在保障人身安全的前提下，首先保障数据的安全，然后是设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。

流程二：当人为或病毒破坏的灾害发生时，具体按以下顺序进行：判断破坏的来源与性质，断开影响安全与稳定的信息网络设备，断开与破坏来源的网络物理连接，跟踪并锁定破坏来源的IP或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照灾害发生的性质分别采用以下方案：

1．病毒传播：针对这种现象，要及时断开传播源，判断病毒的性质、采用的端口，然后关闭相应的端口，在网上公布病毒攻击信息以及防御方法。

2．入侵：对于网络入侵，首先要判断入侵的来源，区分外网与内网。入侵来自外网的，定位入侵的IP地址，及时关闭入侵的端口，限制入侵地IP地址的访问，在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的，查清入侵来源，如IP地址、上网帐号等信息，同时断开对应的交换机端口。然后针对入侵方法建设或更新入侵检测设备。

3．信息被篡改：这种情况，要求一经发现马上断开相应的信息上网链接，并尽快恢复。

4．网络故障：一旦发现，可根据相应工作流程尽快排除。

5．其它没有列出的不确定因素造成的灾害，可根据总的安全原则，结合具体的情况，做出相应的处理。不能处理的可以请示相关的专业人员。

（四）情况报告。

灾害发生时，一方面按照应急处置方法进行处置，同时需要判定灾害的级别，首先向黄埔区教育信息中心、学校网络与信息安全应急处置工作小组汇报。在大型灾害发生时或上级领导通知的特殊时间内发生的灾害，可以同时向黄埔区公安局计算机信息系统安全监察处、广州市教育信息中心汇报。中、小型级别的灾害，可以只向广州市黄埔区教育信息中心及学校的网络与信息安全应急处置工作小组汇报，并及时报告处置工作进展情况，直至处置工作结束。

情况报告内容包括：灾害发生的时间、地点，灾害的级别，灾害造成的后果，应急处置的过程、结果，灾害结束的时间，以后如何防范类似灾害发生的建议与方案等。

（五）发布预警。

灾害发生时，可根据灾害的危害程度适当地发布预警，特别是一些在其它地方已经出现，或在安全相关网站发布了预警而学校信息网络还没有出现相应的灾害，除了在技术上进行防范以外，还应当向网络信息用户发布预警，直至灾害警报解除。

（六）预案终止。

经专家组鉴定，灾害险情或灾情已消除，或者得到有效控制后，由广州市黄埔区教育信息中心及学校的网络与信息安全应急处置工作小组宣布险情或灾情应急期结束，并予以公告，同时预案终止。

第四章　保障措施

灾害应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作，是有组织的科学与社会行为，而不是随每次灾害的发生而开始和结束的活动。因此，必须做好应急保障工作。

第八条　 人员保障。

重视人员的建设与保障，确保在灾害发生前的人员值班，灾害处置过程和灾后重建中的人员在岗与战斗力。

第九条　 技术保障。

重视网络信息技术的建设和升级换代，在灾害发生前确保网络信息系统的强劲与安全，灾害处置过程中和灾后重建中的相关技术支撑。

第十条　 物资保障。

区教育信息中心、各学校要根据近三年全国网络信息系统安全防治工作所需经费情况，将本年度灾害应急经费纳入年度财政计划和预算，购买相应的应急设施。建立应急物资储备制度，保证应急抢险救灾队伍技术装备的及时更新，以确保灾害应急工作的顺利进行。

第十一条　 训练和演练

加强教育信息网络用户的防灾、减灾知识的宣传普及，增强这些用户的防灾意识和自救互救能力。有针对性地开展应急抢险救灾演练，确保发灾后应急救助手段及时到位和有效。

第五章　附则

第十二条　 本预案由黄埔区教育局教育信息中心负责解释。

第十三条　 本预案自发布之日起施行。

附件：

1.学校网络与信息安全应急工作小组责任人登记表

2.单位自行应急处理措施指南

3.重大信息安全事故报告表

4.重大信息安全事件处理结果报告表

附件1

学校网络与信息安全应急工作小组责任人登记表

责任人　姓名　职务　办公电话　手机/住宅电话

第一责任人(法人代表)　　　　　　　　

第二责任人　　　　　　　　

第三责任人　　　　　　　　

单位邮箱　　　传真电话　　　　注：表中所列事项发生变更时，先发邮件通知广州市黄埔区教育信息中心,电子邮箱：略。

责任单位：（盖章）

法人代表签字：

年　　 月　　　 日

附件2

单位自行应急处理措施指南

一、网站、网页出现非法言论事件紧急处置措施

1.网站、网页由主办部门的值班人员负责随时密切监视信息内容。

2.发现在网上出现非法信息时，值班人员应立即向本单位信息安全负责人通报情况；情况紧急的，应先及时采取删除等处理措施，再按程序报告。

3.信息安全相关负责人应在接到通知后立即赶到现场，作好必要记录，清理非法信息，妥善保存有关记录及日志或审计记录，强化安全防范措施，并将网站网页重新投入使用。

4.追查非法信息来源，并将有关情况向黄埔区教育局网络信息安全工作小组汇报。

5.各单位网络信息安全工作小组组长召开小组会议，如认为事态严重，则立即向黄埔区公安局网监科报告。

二、黑客攻击事件紧急处置措施

1.当有关值班人员发现网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时，应立即向信息安全负责人通报情况。

2.信息安全相关负责人应在接到通知后立即赶到现场，并首先将被攻击的服务器等设备从网络中隔离出来，保护现场，并将有关情况向本单位网络信息安全工作小组汇报。

3.对现场进行分析，并写出分析报告存档，必要时上报主管部门。

4.恢复与重建被攻击或破坏系统。

5.各单位网络信息安全工作小组组长召开小组会议，如认为事态严重，则立即向黄埔区公安局网监科报告。

三、病毒事件紧急处置措施

1.当发现有计算机被感染上病毒后，应立即向信息安全负责人报告，将该机从网络上隔离开来。

2.信息安全相关负责人员在接到通报后立即赶到现场。

3.对该设备的硬盘进行数据备份。

4.启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。

5.如果现行反病毒软件无法清除该病毒，应立即向本单位网络信息安全工作小组报告，并迅速联系有关产品商研究解决。

6.各单位网络信息安全工作小组组长召开小组会议，如认为事态严重，则立即向黄埔区公安局网监科报告。

7.如果感染病毒的设备是主服务器，经本单位网络信息安全工作小组同意，应立即告知各下属单位做好相应的清查工作。

四、软件系统遭破坏性攻击的紧急处置措施

1.重要的软件系统平时必须存有备份，与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份，并将它们保存于安全处。

2.一旦软件遭到破坏性攻击，应立即向信息安全负责人报告，并将该系统停止运行。

3.检查信息系统的日志等资料，确定攻击来源，并将有关情况向本单位网络信息安全工作小组汇报，再恢复软件系统和数据。

4.各单位网络信息安全工作小组组长召开小组会议，如认为事态严重，则立即向黄埔区公安局网监科报告。

五、数据库安全紧急处置措施

1.在有条件的地区，主要数据库系统应按双机热备设置，并至少要准备两个以上数据库备份，平时一个备份放在机房，另一个备份放在另一安全的建筑物中。

2.一旦数据库崩溃，值班人员应立即启动备用系统，并向信息安全负责人报告。

3.在备用系统运行期间；信息安全工作人员应对主机系统进行维修并作数据恢复。

4.如果两套系统均崩溃而无法恢复，应立即向有关厂商请求紧急支援。

六、广域网外部线路中断紧急处置措施

1.广域网主、备用线路中断一条后，值班人员应立即启动备用线路接续工作，同时向信息安全负责人报告。

2.信息安全相关负责人员接到报告后，应迅速判断故障节点，查明故障原因。

3.如属我方管辖范围，由信息安全工作人员立即予以恢复。

4.如属电信部门管辖范围，立即与电信维护部门联系，要求修复。

5.如果主、备用线路同时中断，信息安全相关负责人应在判断故障节点，查明故障原因后，尽快研究恢复措施，并立即向本单位网络信息安全工作小组汇报。

6.如有必要，应向黄埔区公安局网监科及黄埔区教育信息中心报告。

七、局域网中断紧急处置措施

1.设备管理部门平时应准备好网络备用设备，存放在指定的位置。

2.局域网中断后，信息安全相关负责人员应立即判断故节点，查明故障原因，并向网络信息安全工作小组组长汇报。

3.如属线路故障，应重新安装线路。

4.如属路由器、交换机等网络设备故障，应立即从指定位置将备用设备取出接上，并调试通畅。

5.如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调测通畅。

6.如有必要，应向黄埔区公安局网监科及黄埔区教育信息中心报告。

八、设备安全紧急处置措施

1.小型机：服务器等关键设备损坏后，值班人员应立即向信息安全负责人报告。

2.信息安全相关负责人员立即查明原因。

3.如果能够自行恢复，应立即用备件替换受损部件。

4.如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修。

5.如果设备一时不能修复，应向黄埔区教育信息中心及本单位网络信息安全工作小组汇报。

附件3

重大信息安全事故报告表

报告时间：　年　月　日　时　分 (注：单位名称需加盖公章)

备案编号：　年　月　日　第　号　总第　号

单位名称：　　　　　　　　　　　　　　　　　　　　　　　　　　 报告 人：

联系电话：　　　　　　　　　　　　　　　　　　　　　　　　　　 通讯地址：

传　　　 真：　　　　　　　　　　　　　　　　　　　　　　　　　　 电子邮件：

负责部门：　　　　　　　　　　　　　　　　　　　　　　　　　　 负责 人：

发生重大信息安全事件的网络与信息系统名称及用途：

　重大信息安全事件的简要描述(如以前出现过类似情况也应加以说明)：

初步判定的事故原因：

当前采取的确应对措施：

本次重大信息安全事件的初步影响状况（事件后果）：

业务中断　　　 □系统破坏　　　 □数据丢失　　　 □其他

影响范围：

单台主机　　　 □　台主机　 □整个信息系统　　　　　 □整个个局域网

严重程度：

极严重　　 □很严重　　 □严重　　　　 □一般　　　　 □不严重

联系部门：广州市黄埔区教育信息中心　 联系电话：略

附件4

重大信息安全事件处理结果报告表

原报告时间：　年　月　日　时　分 (注：单位名称需加盖公章)

备案编号：　年　月　日　第　号　总第　号

单位名称：　　　　　　　　　　　　　　　　　　　　　　　　　　 报 告 人：

联系电话：　　　　　　　　　　　　　　　　　　　　　　　　　　 通讯地址：

传　　　 真：　　　　　　　　　　　　　　　　　　　　　　　　　　 电子邮件：

负责部门：　　　　　　　　　　　　　　　　　　　　　　　　　　 负 责 人：

发生重大信息安全事件的网络与信息系统名称及用途：

操作系统:

UNIX　　　　 □Windows　　　　 □BSD 系列　　　 □Linux

数据库使用情况:

无　　　 □Oracie　　 □MS SQL　　 □MySQL　　　 □其他

系统是否经过安全测评:

是　　　　 □否

已采用的安全措施:

防火墙 □入侵检测系统　　 　 □其他

目前系统安全评测:　□是，已经通过安全评测　　 □是，但未通过安全评测　□否，未经过安全评测

重大信息安全事件的补充描述及最后判定的事故原因:

对本次重大信息安全事件的事后影响状况事件后果:

业务中断　　　 □系统破坏　　　 □数据破坏　　　 □其他

影响范围:

单台主机　　　 □　台主机　 □整个信息系统　　　　　 □整个局域网

严重程度:

极严重　　 □很严重　　 □严重　　　　 □一般　　　　 □不严重

本次重大信息安全事件的主要处理过程与结果 (必要时可附文字、图片 等材料) (可增页):

针对此类事件应采取的保障网络与信息系统安全的措施和建议 (可增页):

报告人签章: