学校网络安全工作的应急预案

　　学校网络安全工作的应急预案1

　　为确保发生学校网络安全问题时各项应急工作高效、有序的进行，最大限度的减少损失，根据互联网网络安全相关条例及区教育和体育局文件精神，结合我校校园网实际，特制定本预案。

　　（一）预防措施

　　1.加强领导，健全组织，强化工作职责，完善各项应急预案的制定和各项措施的落实。

　　2.充分利用各种渠道进行网络安全知识的宣传教育，组织、指导全校网络安全常识的普及教育，广泛开展网络安全和有关技能训练，不断提高广大师生的防范意识和基本技能。

　　3.认真搞好各项物资保障，严格按照预案要求积极配备网络安全设施设备，落实网络线路、交换设备、网络安全设备等物资，强化管理，使之保持良好工作状态。

　　4.采取一切必要手段，组织各方面力量全面进行网络安全事故处理工作，把不良影响与损失降到最低点。

　　5.调动一切积极因素，全面保证和促进学校网络安全稳定地运行。

　　（二）现场处置及救援措施

　　1.发现出现网络恶意攻击，立刻确定该攻击来自校内还是校外;受攻击的设备有哪些;影响范围有多大。并迅速推断出此次攻击的最坏结果，判断是否需要紧急切断校园网的服务器及公网的网络连接，以保护重要数据及信息;

　　2.如果攻击来自校外，立刻从防火墙中查出对方IP地址并过滤，同时对防火墙设置对此类攻击的过滤，并视情况严重程度决定是否报警。

　　3.如果攻击来自校内，立刻确定攻击源，查出该攻击出自哪台交换机，出自哪台电脑，出自哪位教师或学生。接着立刻赶到现场，关闭该计算机网络连接，并立刻对该计算机进行分析处理，确定攻击出于无意、有意还是被利用。暂时扣留该电脑。

　　4.重新启动该电脑所连接的网络设备，直至完全恢复网络通信。

　　5.对该电脑进行分析，清除所有病毒、恶意程序、木马程序以及垃圾文件，测试运行该电脑5小时以上，并同时进行监控，无问题后归还该电脑。

　　6.从事故一发生到处理事件的整个过程，必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。

　　（三）事故报告及现场保护

　　1.确保WEB网站信息安全为首要任务:关闭WEB服务器的外网连接、学校公网连接。迅速发出紧急警报，所有相关成员集中进行事故分析，确定处理方案。

　　2.分析网络，确定事故源:使用各种网络管理工具，迅速确定事故源，按相关程序进行处理。

　　3.事故源处理完成后，逐步恢复网络运行，监控事故源是否仍然存在。

　　4.针对此次事故，进一步确定相关安全措施、总结经验，加强防范。

　　5.从事故一发生到处理的整个过程，必须及时向领导小组组长以及教务处以及校长汇报，听从安排，注意做好保密工作。

　　（四）事故调查及处理

　　1.在应急行动中，各部门要密切配合，服从指挥，确保政令畅通和各项工作的落实。

　　2.事后迅速查清事件发生原因，查明责任人，并报领导小组根据责任情况进行处理。

　　学校网络安全工作的应急预案2

　　为建立学校网络与信息安全应急响应工作机制，有效预防并科学应对网络与信息安全突发事件，确保校园网络与信息系统正常运行，结合我校实际，特制定本预案。

　　一、适用范围

　　本预案适用于全校范围内自建自管的网络与信息系统，尤其是校园网主干设施和重要信息系统安全突发事件的应急处置。

　　二、工作原则

　　统一领导，快速反应，密切配合，科学处置。坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，充分发挥各方面力量，共同做好网络与信息安全事件的应急处置工作。

　　三、网络与信息安全事件分类分级

　　（一）网络与信息安全事件分类

　　网络与信息安全突发事件依据发生过程、性质和特征的不同，可分为以下四类：

　　1.网络攻击事件：校园网络与信息系统因病毒感染、非法入侵等造成学校门户网站或部门二级网站主页被恶意篡改，应用系统数据被拷贝、篡改、删除等。

　　2.设备故障事件：校园网络与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪。

　　3.灾害性事件：因洪水、火灾、雷击、地震、台风、非正常停电等外力因素导致网络与信息系统损毁，造成业务中断、系统宕机、网络瘫痪。

　　4.信息内容安全事件：利用校园网络在校内外传播法律法规禁止的信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益等。

　　（二）网络与信息安全分级

　　网络与信息安全突发事件依据可控性、严重程度和影响范围的不同，可分为以下四级：

　　I级（特别重大）：学校网络与信息系统发生全校性大规模瘫痪，对学校正常工作造成特别严重损害，且事态发展超出学校控制能力的安全事件；

　　II级（重大）：学校网络与信息系统造成全校性瘫痪，对学校正常工作造成严重损害，事态发展超出信息化办公室和信息网络中心控制能力，需学校各部门协同处置的安全事件；

　　III级（较大）：学校某一区域的网络与信息系统瘫痪，对学校正常工作造成一定损害，信息化办公室和信息网络中心可自行处理的安全事件；

　　IV级（一般）：某一局部网络或信息系统受到一定程度损坏，对学校某些工作有一定影响，但不危及学校整体工作的安全事件。

　　四、应急组织领导体系及职责任务

　　（一）组织机构

　　全校网络与信息安全防范及应急处置工作由学校网络安全与信息化领导小组统一领导、指挥、协调。

　　学校网络安全与信息化领导小组组成：

　　组长：分管副院长

　　成员：党委办公室（院长办公室）、宣传部、保卫处及其它各部门、单位主要负责人

　　网络安全与信息化领导小组下设信息化办公室，办公室

　　设在党委办公室（院长办公室），党委办公室（院长办公室）主任兼任信息化办公室主任，党委办公室（院长办公室）信息网络中心主任兼任信息化办公室副主任。

　　（二）职责及任务

　　1.校网络与信息安全工作领导小组：①决定I级和II级网络与信息安全事件应急预案的启动，督促检查安全事件处置情况及各有关单位在安全事件处置工作中履行职责情况；②对全校各单位贯彻执行应急处置预案、应急处置准备情况进行督促检查。

　　2.党委办公室（院长办公室）：①组织协调有关部门查处利用计算机网络泄密的违法行为；②牵头组织重大敏感时期、重要活动、重要会议期间发生的信息安全事件的协调处置。

　　3.网络安全与信息化领导小组信息化办公室（以下简称信息化办公室）：①负责网络信息安全工作的组织、协调和监督，制定相关制度和应急预案；②根据校内发生的网络信息安全事件程度提出相应级别预案的启动，组织协调信息网络中心等单位落实应急预案，共同做好处置工作；③负责及时收集、通报和上报网络信息安全事件处置的有关情况。

　　4.党委办公室（院长办公室）信息网络中心：①负责校园基础网络系统安全，保证校园网络服务不中断。②负责计算机病毒疫情和大规模网络攻击事件的处置；③负责全校网络信息安全事件处置的技术支持工作。

　　5.党委宣传部：负责学校舆情监测工作，对于涉及师生政治思想方面的预警性、倾向性、苗头性的问题加强分析研判，制订工作方案，并妥善有效应对。

　　6.保卫处：密切联系公安部门，配合信息化办公室做好网络信息安全事件的处置工作。

　　7.各单位负责本单位内部的网络信息安全管理和突发事件应急处置工作，应对照本预案，建立本部门应急处置机制。

　　五、预防措施

　　1.学校建立健全安全事件预警预报体系。各单位严格执行校园网络与信息系统安全各项管理制度，按照本文件要求对本部门所负责管理的校园网络通信平台、应用平台和信息系统采取相应安全保障措施。

　　2.学校实行信息网上发布审批制度。信息化办公室与党委办公室（院长办公室）信息网络中心对可能引发校园网络与信息安全事件的信息，要认真收集、分析判断，发现有异常情况时，及时防范处理并逐级报告。

　　3.党委办公室（院长办公室）信息网络中心加强对校园网络的监控和安全管理，做好相关数据日志记录，同时做好数据中心的数据备份及登记工作，建立灾难性数据恢复机制。

　　4.特殊时期，根据工作需要，由信息化办公室和党委办公室（院长办公室）信息网络中心进行统一部署和安排，组织专业技术人员对校园网络和信息系统采取加强性保护措施，对校园网络通信及信息系统进行不间断监控。

　　六、处置流程

　　（一）预案启动

　　发生校园网络与信息安全事件后，信息化办公室、党委办公室（院长办公室）信息网络中心和突发安全事件的信息系统建管部门应尽最大可能收集事件相关信息，鉴别事件性质，确定事件来源，弄清事件范围，评估事件带来的影响和损害，确认突发事件的类别和等级，并参照下述响应机制对突发事件进行处置。

　　（二）应急响应

　　1.应急响应机制

　　III级或IV级突发事件响应：信息化办公室、党委办公室（院长办公室）信息网络中心和突发安全事件的信息系统建管部门自行负责应急处置工作，有关情况报分管校领导。

　　II级突发事件响应：信息化办公室和党委办公室（院长办公室）信息网络中心立即上报分管校领导和校网络与信息安全工作领导小组，由领导小组统一组织、协调指挥进行应急处置。

　　I级突发事件响应：信息化办公室和党委办公室（院长办公室）信息网络中心立即上报分管校领导和校网络与信息安全工作领导小组，领导小组再上报至市公安局等相关部门，由泰安市相关部门会同我校网络与信息安全工作领导小组统一组织、协调指挥应急处置。

　　2.应急处理方式

　　根据网络与信息安全事件分类采取不同应急处置方式。

　　（1）网络攻击事件：判断攻击的来源与性质，关闭影响安全与稳定的网络设备和服务器设备，断开信息系统与攻击来源的网络物理连接，跟踪并锁定攻击来源的IP地址或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照事件发生的性质采取以下方案：

　　病毒传播：及时寻找并断开传播源，判断病毒的类型、性质、可能的危害范围；为避免产生更大的损失，保护健康的计算机，必要时可关闭相应的端口，甚至相应楼层的网络，及时请有关技术人员协助，寻找并公布病毒攻击信息，以及杀毒、防御方法。

　　外部入侵：判断入侵的来源，区分外网与内网，评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的，且评价威胁很小的外网入侵，定位入侵的IP地址，及时关闭入侵的端口，限制入侵的IP地址的访问。对于已经造成危害的，应立即采用断开网络连接的方法，避免造成更大损失和影响。

　　内部入侵：查清入侵来源，如IP地址、所在办公室等信息，同时断开对应的交换机端口，针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的，应及时关闭被入侵的服务器或相应设备。

　　（2）设备故障事件：判断故障发生点和故障原因，迅速联系IT运维公司尽快抢修故障设备，优先保证校园网主干网络和主要应用系统的运转。

　　（3）灾害性事件：根据实际情况，在保障人身安全的前提下，保障数据安全和设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。

　　（4）信息内容安全事件：接到校内网站出现不良信息的报案后，应迅速屏蔽该网站的网络端口或拔掉网络连接线，阻止有害信息的传播，根据网站相关日志记录查找信息发布人并做好善后处理；对公安机关要求我校协查的外网不良信息事件，根据校园网上网相关记录查找信息发布人。

　　（5）其它不确定安全事件：可根据总的安全原则，结合具体情况，做出相应处理。不能处理的及时咨询信息安全公司或顾问。

　　（三）后续处理

　　1.安全事件进行最初的应急处置后，应及时采取行动，抑制其影响进一步扩大，限制潜在的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响最小。

　　2.安全事件被抑制后，通过对有关事件或行为的分析结果，找出问题根源，明确相应补救措施并彻底清除。

　　3.在确保安全事件解决后，要及时清理系统，恢复数据、程序、服务，恢复工作应避免出现误操作导致的数据丢失。

　　（四）记录上报

　　网络与信息系统安全事件发生时，应及时向校领导和校网络与信息安全工作领导小组汇报，并在事件处置工作中作好完整的过程记录，及时报告处置工作进展情况，保存各相关系统日志，直至处置工作结束。

　　（五）结束响应

　　系统恢复运行后，信息化办公室和党委办公室（院长办公室）信息网络中心对事件造成的损失、事件处理流程和应急预案进行评估，对响应流程、预案提出修改意见，总结事件处理经验和教训，撰写事件处理报告，同时确定是否需要上报该事件及其处理过程，需要上报的应及时准备相关材料；属于重大事件或存在非法犯罪行为的，第一时间向公安机关网络监察部门报案。

　　七、保障措施

　　校园网络与信息安全应急处置是一项长期的、随时可能发生的工作，必须做好各项应急保障工作。

　　（一）队伍保障

　　加强队伍建设，不断提高工作人员的信息安全防范意识和技术水平，确保安全事件应急处置科学得当。

　　（二）技术保障

　　不断完善网络安全整体方案，加强技术管理，确保信息系统的稳定与安全。根据工作需要聘请信息安全顾问为应急处置过程和重建工作提供咨询和技术支持。

　　（三）资金保障

　　信息化办公室和信息网络中心应根据校园网络与信息系统安全预防和应急处置工作的实际需要，申报网络与信息系统关键设备及软件的运行维护专项资金，提出本年度应急处置工作相关设备和工具所需经费，并上报至财务处纳入年度财政预算，由学校给予资金保障。

　　（四）安全培训和演练

　　信息化办公室和党委办公室（院长办公室）信息网络中心定期对相关工作人员进行网络与信息系统安全知识培训，增强预防意识和应急处置能力。有针对性地开展应急抢险救灾演练，确保相关措施的有效落实。

　　八、本预案自公布之日起施行，由信息化办公室负责解释。

　　学校网络安全工作的应急预案3

　　第一章总则

　　第一条为完善学校网络安全事件应急工作机制，规范网络安全事件工作流程，提高我校网络安全应急处置能力，预防和减少网络安全事件造成的损失和危害，维护学校安全稳定和健康发展，特编制本预案。

　　第二条本预案编制依据为《中华人民共和国网络安全法》《教育系统网络安全事件应急预案》等文件。

　　第三条本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件，可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。其中信息内容安全事件，应参照有关规定和办法。

　　第四条结合我校实际，以及网络安全事件可能造成的'危害、可能发展蔓延的趋势等，网络安全事件分为特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。

　　第五条为保障网络安全事件应急预案有效实施，确定以下工作原则。

　　1.统一指挥、密切协同。学校网络安全工作领导小组统筹协调全校网络安全应急指挥工作，建立与省市网络安全职能部门、专业机构等多方参与的协调联动机制，加强预防、监测、报告和应急处置等环节的紧密衔接，做到快速响应、正确应对、果断处置。

　　2.分级管理、强化责任。按照“谁主管谁负责、谁使用谁负责、谁运维谁负责”的原则，信息处对全校网络安全工作负主体责任。

　　3.预防为主、防战结合。坚持事件处置和预防工作相结合，做好事件预防、预判、预警工作，加强应急支撑保障能力和安全态势感知能力建设。提高网络安全事件快速响应和科学处置能力，争取早发现、早报告、早控制、早解决，严控网络安全事件风险和影响范围。

　　第二章组织机构与职责

　　第六条学校网络安全工作领导小组负责统筹协调全校网络安全事件应急工作，指导网络安全事件应急处置。当发生特别重大网络安全事件、重大网络安全事件时，在上级统一指挥下开展应急处置工作，具体参照相关规定执行。

　　第七条信息化处负责网络安全事件应急管理事务性工作，向学校网络安全工作领导小组报告网络安全事件情况，提出较大网络安全事件、一般网络安全事件的应对措施、建议和意见，统筹组织学校网络安全监测工作，做好应急处置的技术支撑工作。

　　第三章监测与预警

　　第八条安全监测工作包括事件监测、威胁监测。信息处通过多种渠道对学校网络进行监测，发现已经发生的学校网络安全事件；通过多种途径监测、汇聚漏洞、病毒、网络攻击等网络安全威胁信息，应及时上报学校网络安全工作领导小组。

　　第九条建立学校网络安全事件预警制度。按照紧急程度、发展态势和可能造成的危害程度，网络安全事件预警等级分为四级：特别重大、重大、较大和一般预警。

　　第四章应急响应及事件处置

　　第十条网络安全事件发生后，应立即启动专项应急预案，根据不同的事件类型和事件原因，采取科学有效的应急处置措施，尽最大努力将影响降到最低，并注意保存网络攻击、网络入侵或网络病毒等证据。同时，应立即向学校信息处报告，不得迟报、谎报、瞒报、漏报。信息处组织研判，认定为网络安全事件的，须立即向学校网络安全工作领导小组报告；初判为重大及以上网络安全事件的，经学校网络安全与信息化领导小组批准后，立即向上级网络安全部门报告。

　　第十一条网络安全事件应急响应分为Ⅰ级、Ⅱ级、Ⅲ级、Ⅳ级等四级，分别对应特别重大、重大、较大和一般网络安全事件。I级为最高响应级别。

　　1.Ⅰ级和Ⅱ级响应

　　由上级网络安全部门统一组织应急处置工作，具体要求以上级网络安全部门部署为准。

　　(1)掌握事态及时上报。跟踪事态发展情况，及时向学校网络安全与信息化领导小组报告，经批准后按要求将事态发展变化情况和处置进展情况上报上级网络安全部门。

　　(2)控制事态防止蔓延。根据事件发生原因，结合相应专项应急预案，采取各种技术措施，管控手段，最大限度阻止和控制事态蔓延。

　　(3)消除隐患恢复系统。针对性制定解决方案，及时组织恢复受破坏的网络和信息系统。

　　(4)取证溯源协调配合。在保留相关证据的基础上，开展问题定位和溯源追踪工作。积极协调配合上级部门和当地公安机关开展调查取证工作。

　　2.Ⅲ级响应

　　发生较大网络安全事件，由学校网络安全工作领导小组确认并启动Ⅲ级响应。学校网络安全工作领导小组履行应急处置工作统一领导、指挥、协调的职责。

　　(1)信息处负责整理、汇总相关信息、掌握事态发展变化情况和处置进展情况，掌握全校网络和信息系统受到事件涉及或影响的情况，随时向学校网络安全工作领导小组报告相关重要事项。

　　(2)及时形成网络安全事件情况报告，经学校网络安全工作领导小组同意后报上级网络安全部门。

　　(3)根据事件发生原因，结合相应专项应急预案，采取各种技术措施，管控手段，最大限度阻止和控制事态蔓延。

　　(4)消除隐患恢复系统。针对性制定解决方案，及时组织恢复受破坏的网络和信息系统。

　　(5)取证溯源协调配合。在保留相关证据的基础上，开展问题定位和溯源追踪工作。积极协调配合上级部门和当地公安机关开展调查取证工作。

　　3.Ⅳ级响应

　　由信息化处确认并启动Ⅳ级响应。信息处履行应急处置工作领导、协调的职责。

　　(1)整理、汇总相关信息，掌握事态发展变化情况和处置进展情况，及时向学校网络安全工作领导小组报告相关重要事项。

　　(2)开展应急处置工作，采取各种技术措施、管控手段，最大限度阻止和控制事态蔓延。

　　(3)消除隐患，恢复遭受破坏的网络和信息系统，开展问题定位和溯源追踪工作。

　　第十二条各级响应按照以下权限和流程，确定响应的结束。

　　1.Ⅰ级和Ⅱ级响应结束，以上级网络安全部门部署为准。

　　2.Ⅲ级响应结束，经学校网络安全工作领导小组同意后，根据实际决定Ⅲ级响应的结束，并通报有关情况。

　　3.Ⅳ级响应结束，由事发单位完成应急处置后，报学校处同意后，根据实际决定Ⅳ级响应的结束。

　　第五章调查与评估

　　第十三条特别重大网络安全事件和重大网络安全事件的调查处理和总结评估工作根据上级有关规定执行。

　　较大网络安全事件由信息化处组织开展调查处理和总结评估工作，并将调查评估结果报学校网络安全工作领导小组。

　　一般网络安全事件由信息处组织开展调查处理和总结评估工作，在每年的网络安全工作总结中向学校网络安全工作领导小组汇总报告调查评估结果。

　　网络安全事件的调查处理和总结评估工作应在应急响应结束后5天内完成，应对事件的起因、性质、影响、责任等进行分析评估，提出处理意见和改进措施。

　　第六章预防工作

　　第十四条做好网络安全事件日常预防工作，进一步细化应急操作流程，按照网络安全等级保护等相关要求，落实各项防护措施，做好网络安全检查、风险评估和数据备份，加强信息系统的安全保障能力。

　　第十五条加强网络安全监测预警，及时发现并处置安全威胁，全面掌握全校网站和业务信息系统情况，建立全校网络安全监测预警和通报机制，并指导监督各年级、各处室及时修复安全威胁，全面排查安全隐患，提高发现和应对网络安全事件的能力。

　　第十六条学校将网络安全教育作国家安全教育的重要内容，加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传教育。信息处应充分利用网络安全宣传周等各种活动，开展网络安全基本知识和技能的宣传活动，提高师生的网络安全意识。

　　第七章工作保障

　　第十七条按照“谁主管谁负责，谁使用谁负责”的原则，落实网络安全应急工作责任制，明确具体岗位和人员，建立健全应急工作机制。

　　第十八条信息处作为全校网络安全应急技术支撑单位，应加强网络安全技术队伍建设，提升网络安全技术能力，做好网络安全事件的监测预警、预防防护、应急处置、应急技术等支撑工作。

　　第十九条学校保障每年用于网络安全等级保护测评、网络安全监测和检测评估、信息系统安全升级改造和防护加固、网络安全教育培训、网络安全事件处置和安全运维等5项重点工作的经费。

　　第二十条学校对网络安全事件应急管理工作中作出突出贡献的先进集体和个人给予表彰；对不按照规定制定预案和组织开展演练、迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职、渎职行为的，依照有关规定对有关责任人给予处分；构成犯罪的，依法追究刑事责任。

　　第八章附则

　　第二十一条本预案应根据实际情况适时修订，修订工作由学校网络安全工作领导小组组织。

　　第二十二条本预案由学校网络安全工作领导小组负责解释。

　　第二十三条本预案自印发之日起试行。