信息安全应急预案

网络与信息安全应急预案

作者： 信息管理中心 | 2019-06-11

一 总则

1、编制目的

建立健全的学校网络与信息安全事件的预防和应急处理工作机制，提高网络与信息安全事件能力，保证学校网络和重要信息安全的运行，编制本预案。

2、工作原则

统一领导，分级负责，以人为本，预防为主，加强管理，依靠科技，资源整合，快速反应，协同合作。

二 预警防御机制

1、事件分类及等级

根据网络与信息安全突发事件的性质，机理和发生过程，学校网络与信息安全事件分为有害程序事件，网络攻击事件，信息破坏事件，信息内容安全事件，设备设施故障和灾害性事件。

根据网络与信息安全突发事件的可控性，严重程度和影响范围，分为四级：I级（特别重大网络与安全事件），II级，III级（较大网络与信息安全事件）,IV级（一般网络与信息安全事件）。

2、监控与预警信息报送

信息管理中心承担学校网络与信息安全检测工作。发现网络与信息安全预警信息，应及时通知网络中心，协同网络中心进行判定，提出预警等级建议，遇到可能造成严重后果的I至III级信息安全预警事件，应按相关规定提报领导审查后发出预警。

3、预警响应

网络中心主管安全人员应保持24小时通信畅通，接到预警信息后，应立即启动应急预案，进入预警状态，做好应急处理各项准备工作。

4、预警解除

I至III级预警解除后根据要求，经向领导请示同意后，及时进行解除安全事件预警。

三 应急措施

1、信息报告

发生网络与信息安全事件后，网络中心应立即通知部门负责人，并通知相关业务部门，经和有关部门进行研判后，保存证据，检查影响范围和危害程度，提出应急处理建议，报领导同意后，启动应急预案。

2、先期处理

当发生网络与信息安全突发事件时，相关工作人员做好前期处理工作，采取措施控制事态，必要时采取断网，关闭服务器等方式防止事态进一步扩大。

3、应急处理

（1）网络中断紧急处理流程

1）故障排除。网络中断后，技术部技术人员要迅速判断故障节点，查明故障原因。

①如属于新路故障，应重新安装线路。

②如属于路由器，交换机等网络设备故障，技术部应立即检修并调试畅通。如路由器、交换机配置文件损坏，网络技术人员应迅速安装并按要求重新配置并调试畅通，必要时请有关技术支持部门协助调测畅通。

③如需更换设备应报上级领导，经批准后马上更换故障设备，尽快回复系统运行。

④如服务器属于租赁其他厂商的服务器，需要迅速与运营商取得联系，敦促尽快恢复线路故障。

⑤技术部门无法及时修理，应立即通知相关供应商及维护人员，在最短时间内安排修理。

（2）黑客攻击的应急处理流程

①当发现网络上有黑客攻击行为，应立即向领导汇报，并且将被攻击的服务器设备从网络中隔离出来，保护现场。

②如事态较为严重，经向分管领导请示后，立即向公安部门报警，配合公安部门展开调查。

③技术人员做好被攻击或破坏系统的恢复与重建工作。

④技术部门组织技术力量追查非法信息来源。

⑤信息安全员将实施事件处理的过程和结果进行备案存档。

（3）大规模病毒（含恶意软件）攻击的应急处理

当发现有计算机被感染病毒后，计算机使用人员应立即使用杀毒软件对计算机杀毒，并将该计算机从网络上隔离开来，避免内网感染。

（4）应用程序故障的应急处理流程

①应用程序平时必须存有备份，与软件系统相对应的数据必须有最近几次的备份，并将保留在安全区域。

②应用程序发生故障后，操作人员应立即向上级进行汇报，经确认后停止该系统，并切换至备份系统保证业务正常进行。

③技术人员应检查日志等资料，确定故障原因。

④处理完毕后将处理过程及结果备案存档。

（5）数据库系统故障的应急处理流程

①数据库系统每日都必须备份，与软件相对应的数据必须有进几日的备份，并且保存至安全服务器。

②数据库发生故障后，应立即向上级汇报，经同意后采用重启或者其他手段尽快回复数据库运行，保证业务不中断。

③技术部门应及时的做好数据库系统的切换和有关数据的恢复工作。

④检查日志等资料，确定故障原因。

⑤解决后，将处理过程及结果备案存档。

---