广州市黄埔区教育系统网络安全应急处置工作预案.doc

附件越秀区教育系统网络与信息安全应急预案为切实做好我区教育系统网络与信息安全突发事件的防范和应急处理工作，进一步提高应对网络与信息安全事件的能力，减轻或消除突发事件的危害和影响，确保我区教育系统网络稳定及信息安全，尤其是保障亚运期间的网络和信息安全，结合我区实际，制定本预案。 第一章总 则第一条本预案所称突发性事件，是指自然因素或者人为活动引发的危害校园网络设施及信息安全等有关的灾害。第二条本预案的指导思想是确保越秀区教育城域网网络、学校校园网网络正常运行及信息安全。 第三条本预案适用于在越秀区教育系统发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。 第四条 本预案编制依据：中华人民共和国计算机信息系统安全保护条例计算机病毒防治管理办法政府信息系统安全检查办法广州市教育系统网络与信息安全应急预案。第五条 应急处置工作原则：统一领导、分级负责、协同应对、快速反应、科学处置。第二章组织机构及职责第六条区教育局成立网络及信息安全应急领导小组和应急工作小组。（一）应急领导小组：组 长：蔡定基（区教育局局长） 邹春燕（区教育局党委书记）副组长：张远木（区教育局副局长）成 员：陈伟强（局行政办公室主任）郑穗文（局人事保卫科科长）王 东（局教育发展科科长）钟志涛（局财务基建科科长）毛桂华（区招生考试委员会办公室主任）刘其祥（区教师进修学校校长）刘小莲（区教育信息中心主任）（二）应急工作小组：组 长：王 东（局教育发展科科长）副组长：郑穗文（局人事保卫科科长） 高 云（局行政办公室副主任） 刘小莲（区教育信息中心主任）成 员：黄佩仪（区教育信息中心副主任） 李广文（区教育信息中心副主任） 高 俊（区教育信息中心技术人员） 丁奕刚（区教育信息中心技术人员） 冯巨恒（区教育信息中心技术人员） 李 静（区教育信息中心技术人员）第七条 应急领导小组职责：研究制定我区教育局网络与信息安全应急处置工作规划、年度计划和政策措施，协调推进区教育系统网络与信息安全应急机制和工作体系建设。发生网络与信息安全突发公共事件时，启动本预案，组织应急处置。第八条 应急工作小组职责：（一）负责和处理应急领导小组的日常工作，检查督促应急领导小组决定事项的落实。（二）研究和制订网络与信息安全应急处置的技术方案，检查、指导和督促局属各单位的网络与信息安全工作，组织开展相关演练。（三）建立区教育城域网网络中心网络信息监看制度。每天定期（不少于三次）监看入侵监测系统和流量监测系统等，及时判断网络运行状态，监看是否发生攻击行为、是否存在病毒传播、网络设备是否正常等，每天做好监看记录，每周做好汇总和上报工作。（四）建立越秀教育网网上舆情监看机制，一旦发现不良信息或异常舆情，在第一时间关闭服务器，然后报告工作组组长，组织相关人员在内部查找原因，寻求解决办法。（五）及时收集网络与信息安全突发公共事件相关信息，分析重要信息并向应急领导小组提出处置建议。对可能演变的网络与信息安全突发公共事件，应及时向应急领导小组提出启动本预案的建议。（六）在亚运期间（2010年10月28日2010年12月19日），区教育城域网络中心实施24小时值班。区属各单位应参照区教育局的做法，成立相关的机构负责网络与信息安全应急处置工作。 第三章处置措施和处置程序 第九条 处置措施。处置的基本措施分灾害发生前与灾害发生后两种情况。 （一）灾害发生前，学校校园网络与信息安全主管部门及区教育信息中心要预先对灾害预警预报系统进行建设，开展灾害调查，编制灾害防治规划，建设和完善信息安全监测系统，提高防范网络攻击、病毒入侵、网络窃密等能力，防止有害信息传播。 1.加强灾害险情巡查。区教育信息中心、学校要安排专业人员充分发挥专业监测的作用，进行定期和不定期的检查，加强对灾害重点部位的监测和防范，发现有不良险情时，要及时处理并向工作小组和领导小组报告。 2.建立健全灾情速报制度，确保突发性灾害紧急信息报送渠道畅通。属于大型灾害的，在向工作领导小组报告的同时，还应向区公安分局、广州市教育信息中心报告。 （二）灾害发生后，立即启动应急预案，采取应急处置程序，判定灾害级别，并立即将灾情向应急领导小组报告，在处置过程中，应及时报告处置工作进展情况，直至处置工作结束。 第十条 处置程序。 （一）发现情况。 区教育信息中心、学校要严格执行网络巡检制度，做好教育信息网、校园网信息系统安全的日常巡查及其日志保存工作，以便最先发现灾害并及时处置突发性事件。 （二）启动预案。 一旦灾害发生，立即启动应急预案，进入应急预案的处置程序。 （三）应急处置方法。 在灾害发生时，首先应区分灾害发生是否为自然灾害与人为破坏两种情况，根据这两种情况把应急处置方法分为两个流程。 流程一：当发生的灾害为自然灾害时，应根据当时的实际情况，在保障人身安全的前提下，首先保障数据的安全，然后是设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等，如为光纤线路的中断，则应立即通知光纤线路的出租方中国电信广州分公司及时进行抢修及维护。流程二：当人为或病毒破坏的灾害发生时，具体按以下顺序进行：判断破坏的来源与性质，断开影响安全与稳定的信息网络设备，断开与破坏来源的网络物理连接，跟踪并锁定破坏来源的IP或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照灾害发生的性质分别采用以下方案： 1病毒传播：针对这种现象，要及时断开传播源，判断病毒的性质、采用的端口，然后关闭相应的端口，在网上公布病毒攻击信息以及防御方法。 2.黑客入侵：对于网络入侵，首先要判断入侵的来源，区分外网与内网。入侵来自外网的，定位入侵的IP地址，及时关闭入侵的端口，限制入侵地IP地址的访问，在无法制止的情况下可以采用断开网络连接的方法；入侵来自内网的，查清入侵来源，如IP地址、上网帐号等信息，同时断开对应的交换机端口。然后针对入侵方法建设或更新入侵检测设备。3信息被篡改：当有网页内容被篡改，应立即将网站服务器从网络中隔离出来，保护现场，并向网站管理员报告，如学校网站放置于其他公司的服务器上，应立即通知该公司断开网站相应的上网链接，并尽快恢复。 4网站系统遭破坏性攻击：一旦网站系统（程序与数据库）遭到破坏性攻击，学校网络中心应立即向网站管理员报告，同时通知网站建设方上门尽快恢复。网站建设方负责检查系统日志等资料，确定攻击来源，恢复系统和数据。如认为事态严重，应急工作小组应向公安部门报警。5其它没有列出的不确定因素造成的灾害，可根据总的安全原则，结合具体的情况，做出相应的处理。不能处理的可以请示相关的专业人员。 （四）情况报告。 灾害发生时，一方面按照应急处置方法进行处置，同时需要判定灾害的级别，首先向越秀区教育信息中心、信息安全应急工作小组汇报，如发现下列情况则应及时向应急领导小组报告：利用网络从事违法犯罪活动；网络或信息系统通信和资源使用异常，网络或信息系统瘫痪，应用服务中断或数据篡改、丢失；网络恐怖活动的嫌疑和预警信息；其他影响网络与信息安全的信息。并及时报告处置工作进展情况，直至处置工作结束。情况报告内容包括：灾害发生的时间、地点，灾害的级别，灾害造成的后果，应急处置的过程、结果，灾害结束的时间，以后如何防范类似灾害发生的建议与方案等。 （五）发布预警。 灾害发生时，可根据灾害的危害程度适当地发布预警，特别是一些在其它地方已经出现，或在安全相关网站发布了预警而学校信息网络还没有出现相应的灾害，除了在技术上进行防范以外，还应当向网络信息用户发布预警，直至灾害警报解除。 （六）预案终止。 经专家组鉴定，灾害险情或灾情已消除，或者得到有效控制后，由越秀区教育信息中心及网络与信息安全应急处置工作小组宣布险情或灾情应急期结束，并予以公告，同时预案终止。 第四章保障措施灾害应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作，是有组织的科学与社会行为，而不是随每次灾害的发生而开始和结束的活动。因此，必须做好应急保障工作。 第十一条 应急装备保障。重要网络与信息系统在建设系统时应事先预留一定的应急设备，建立信息网络硬件、软件、应急救援设备等应急物资库。在网络与信息安全突发公共事件发生时，报应急领导小组同意后，由应急工作小组负责统一调用。第十二条 数据保障。重要信息系统均应建立容灾备份系统和相关工作机制，保证重要数据在受到破坏后，可紧急恢复。各容灾备份系统应具有一定的兼容性，在特殊情况下各系统间可互为备份。第十三条队伍保障。 区教育信息中心是区教育城域网络与信息安全的主要技术支持机构，各单位的网络管理人员是各单位网络与信息安全的技术支持人员，应加强这支队伍建设，提高网络与信息安全的保障能力。第十三条经费保障。网络与信息安全突发公共事件应急处置专项经费，应列入年度财政计划和预算，切实予以保障。 第十四条 培训与演练。 加强宣传信息安全相关法律法规和信息安全基础知识，提高师生信息安全应急防范意识，对各单位应急管理人员和基层处置人员进行相应的技能培训；有针对性地开展应急抢险救灾演练，增强师生的自救互救能力，确保发生灾害后应急救助手段及时到位和有效实施。 第十五条 相关责任。网络与信息安全事件应急处置工作实行行政领导负责制和责任追究制。对于迟报、谎报、瞒报、漏报网络与信息安全事件重要情况或者应急处置工作中有其他失职、渎职行为的，依法对有关责任人给予行政处分。 第五章附 则第十六条本预案自发布之日起实施。附件： 1.学校网络与信息安全应急工作小组责任人登记表 2.重大信息安全事故报告表 3.重大信息安全事件处理结果报告表 附件1学校网络与信息安全应急工作小组责任人登记表 责任人姓名职务办公电话手机/住宅电话第一责任人（法人代表）第二责任人第三责任人单位邮箱传真电话注：表中所列事项发生变更时，先发邮件通知越秀区教育信息中心。 责任单位：（盖章） 法人代表签字： 年 月 日 附件2重大信息安全事故报告表报告时间年月日时 分 备案编号年月日第号总第 号单位名称（盖公章)报告人联系电话通讯地址负责部门负责人发生重大信息安全事件的网络与信息系统名称及用途：重大信息安全事件的简要描述(如以前出现过类似情况也应加以说明)： 初步判定的事故原因：当前采取的确应对措施：本次重大信息安全事件的初步影响状况（事件后果）：业务中断 系统破坏 数据丢失 其他影响范围： 单台主机 台主机 整个信息系统 整个局域网严重程度： 极严重 很严重 严重 一般 不严重联系部门：越秀区教育信息中心 联系人：黄佩仪 87614850 高 俊 37650976 附件3重大信息安全事件处理结果报告表原报告时间年月日时 分 备案编号年月日第号总第 号单位名称（盖公章)报告人联系电话通讯地址负责部门负责人发生重大信息安全事件的网络与信息系统名称及用途：操作系统: UNIX Windows BSD 系列 Linux 数据库使用情况: 无 Oracie MS SQL MySQL 其它系统是否经过安全测评: 是 否 已采用的安全措施: 防火墙 入侵检测系统 其他 目前