預案
為了切實做好教育系統網路安全突發事件的防範和應急處理工作,進一步提高教育系統預防和控制網路突發事件的能力和水平,減輕或消除突發事件的危害和影響,確保教育系統網路與信息安全,結合工作實際,制定本預案。
第一章 總則
第一條 本預案所稱突發性事件,是指自然因素或者人為活動引發的危害教育系統網路設施及信息安全等有關的災害。
第二條 本預案的指導思想是確保黃埔區教育系統網路、學校計算機網路及信息安全。
第三條 本預案適用於發生在廣州市黃埔區教育系統網路上的突發性事件應急工作。
第四條 應急處置工作原則:統一領導、統一指揮、各司其職、整體作戰、發揮優勢、保障安全。
第二章 組織指揮和職責任務
第五條 教育局、學校成立網路與信息安全應急處置工作小組,辦公室設在網路信息中心。工作小組的主要職責與任務是統一領導全校信息網路的災害應急工作,全面負責學校信息網路可能出現的各種突發事件處置工作,協調解決災害處置工作中的重大問題等。
第三章 處置措施和處置程式
第六條 處置措施。
處置的基本措施分災害發生前與災害發生後兩種情況。
(一)災害發生前,區教育網路、學校網路與信息安全主管部門及網路信息中心要預先對災害預警預報體系進行建設,開展災害調查,編制災害防治規劃,建設專業監測網路,並規劃建設災害信息管理系統,及時處理災害訊情信息。
加強災害險情巡查。網路信息中心要充分發揮專業監測的作用,進行定期和不定期的檢查,加強對災害重點部位的監測和防範,發現有不良險情時,要及時處理並向工作領導小組報告。
建立健全災情速報制度,保障突發性災害緊急信息報送渠道暢通。屬於大型災害的,在向工作領導小組報告的同時,還應向黃埔區公安局計算機信息安全監察處、廣州市教育信息中心報告。
(二)災害發生後,立即啟動應急預案,採取應急處置程式,判定災害級別,並立即將災情向工作小組報告,在處置過程中,應及時報告處置工作進展情況,直至處置工作結束。
第七條 處置程式。
(一)發現情況。
教育信息中心、學校網路信息中心要嚴格執行網路巡檢制度,做好教育信息網、校園網信息系統安全的日常巡查及其日誌保存工作,以保障最先發現災害並及時處置此突發性事件。
(二)預案啟動。
一旦災害發生,立即啟動應急預案,進入應急預案的處置程式。
(三)應急處置方法。
在災害發生時,首先應區分災害發生是否為自然災害與人為破壞兩種情況,根據這兩種情況把應急處置方法分為兩個流程。
流程一:當發生的災害為自然災害時,應根據當時的實際情況,在保障人身安全的前提下,首先保障數據的安全,然後是設備安全。具體方法包括:硬碟的拔出與保存,設備的斷電與拆卸、搬遷等。
流程二:當人為或病毒破壞的災害發生時,具體按以下順序進行:判斷破壞的來源與性質,斷開影響安全與穩定的信息網路設備,斷開與破壞來源的網路物理連線,跟蹤並鎖定破壞來源的IP或其它網路用戶信息,修復被破壞的信息,恢覆信息系統。按照災害發生的性質分別採用以下方案:
1.病毒傳播:針對這種現象,要及時斷開傳播源,判斷病毒的性質、採用的連線埠,然後關閉相應的連線埠,在網上公布病毒攻擊信息以及防禦方法。
2.入侵:對於網路入侵,首先要判斷入侵的來源,區分外網與區域網路。入侵來自外網的,定位入侵的IP位址,及時關閉入侵的連線埠,限制入侵地IP位址的訪問,在無法制止的情況下可以採用斷開網路連線的方法。入侵來自區域網路的,查清入侵來源,如IP位址、上網帳號等信息,同時斷開對應的交換機連線埠。然後針對入侵方法建設或更新入侵檢測設備。
3.信息被篡改:這種情況,要求一經發現馬上斷開相應的信息上網連結,並儘快恢復。
4.網路故障:一旦發現,可根據相應工作流程儘快排除。
5.其它沒有列出的不確定因素造成的災害,可根據總的安全原則,結合具體的情況,做出相應的處理。不能處理的可以請示相關的專業人員。
(四)情況報告。
災害發生時,一方面按照應急處置方法進行處置,同時需要判定災害的級別,首先向黃埔區教育信息中心、學校網路與信息安全應急處置工作小組匯報。在大型災害發生時或上級領導通知的特殊時間內發生的災害,可以同時向黃埔區公安局計算機信息系統安全監察處、廣州市教育信息中心匯報。中、小型級別的災害,可以只向廣州市黃埔區教育信息中心及學校的網路與信息安全應急處置工作小組匯報,並及時報告處置工作進展情況,直至處置工作結束。
情況報告內容包括:災害發生的時間、地點,災害的級別,災害造成的後果,應急處置的過程、結果,災害結束的時間,以後如何防範類似災害發生的建議與方案等。
(五)發布預警。
災害發生時,可根據災害的危害程度適當地發布預警,特別是一些在其它地方已經出現,或在安全相關網站發布了預警而學校信息網路還沒有出現相應的災害,除了在技術上進行防範以外,還應當向網路信息用戶發布預警,直至災害警報解除。
(六)預案終止。
經專家組鑑定,災害險情或災情已消除,或者得到有效控制後,由廣州市黃埔區教育信息中心及學校的網路與信息安全應急處置工作小組宣布險情或災情應急期結束,並予以公告,同時預案終止。
第四章 保障措施
災害應急防治是一項長期的、持續的、跟蹤式的、深層次的和各階段相互聯繫的工作,是有組織的科學與社會行為,而不是隨每次災害的發生而開始和結束的活動。因此,必須做好應急保障工作。
第八條 人員保障。
重視人員的建設與保障,確保在災害發生前的人員值班,災害處置過程和災後重建中的人員在崗與戰鬥力。
第九條 技術保障。
重視網路信息技術的建設和升級換代,在災害發生前確保網路信息系統的強勁與安全,災害處置過程中和災後重建中的相關技術支撐。
第十條 物資保障。
區教育信息中心、各學校要根據近三年全國網路信息系統安全防治工作所需經費情況,將本年度災害應急經費納入年度財政計畫和預算,購買相應的應急設施。建立應急物資儲備制度,保證應急搶險救災隊伍技術裝備的及時更新,以確保災害應急工作的順利進行。
第十一條 訓練和演練
加強教育信息網路用戶的防災、減災知識的宣傳普及,增強這些用戶的防災意識和自救互救能力。有針對性地開展應急搶險救災演練,確保發災後應急救助手段及時到位和有效。
第五章 附則
第十二條 本預案由黃埔區教育局教育信息中心負責解釋。
第十三條 本預案自發布之日起施行。
附屬檔案:
1.學校網路與信息安全應急工作小組責任人登記表
2.單位自行應急處理措施指南
3.重大信息安全事故報告表
4.重大信息安全事件處理結果報告表
附屬檔案1
學校網路與信息安全應急工作小組責任人登記表
責任人 | 姓名 | 職務 | 辦公電話 | 手機/住宅電話 |
第一責任人(法人代表) | ||||
第二責任人 | ||||
第三責任人 | ||||
單位信箱 | 傳真電話 |
責任單位:(蓋章)
法人代表簽字:
年 月 日
附屬檔案2
單位自行應急處理措施指南
一、網站、網頁出現非法言論事件緊急處置措施
1.網站、網頁由主辦部門的值班人員負責隨時密切監視信息內容。
2.發現在網上出現非法信息時,值班人員應立即向本單位信息安全負責人通報情況;情況緊急的,應先及時採取刪除等處理措施,再按程式報告。
3.信息安全相關負責人應在接到通知後立即趕到現場,作好必要記錄,清理非法信息,妥善保存有關記錄及日誌或審計記錄,強化安全防範措施,並將網站網頁重新投入使用。
4.追查非法信息來源,並將有關情況向黃埔區教育局網路信息安全工作小組匯報。
5.各單位網路信息安全工作小組組長召開小組會議,如認為事態嚴重,則立即向黃埔區公安局網監科報告。
二、黑客攻擊事件緊急處置措施
1.當有關值班人員發現網頁內容被篡改,或通過入侵檢測系統發現有黑客正在進行攻擊時,應立即向信息安全負責人通報情況。
2.信息安全相關負責人應在接到通知後立即趕到現場,並首先將被攻擊的伺服器等設備從網路中隔離出來,保護現場,並將有關情況向本單位網路信息安全工作小組匯報。
3.對現場進行分析,並寫出分析報告存檔,必要時上報主管部門。
4.恢復與重建被攻擊或破壞系統。
5.各單位網路信息安全工作小組組長召開小組會議,如認為事態嚴重,則立即向黃埔區公安局網監科報告。
三、病毒事件緊急處置措施
1.當發現有計算機被感染上病毒後,應立即向信息安全負責人報告,將該機從網路上隔離開來。
2.信息安全相關負責人員在接到通報後立即趕到現場。
3.對該設備的硬碟進行數據備份。
4.啟用反病毒軟體對該機進行防毒處理,同時通過病毒檢測軟體對其他機器進行病毒掃描和清除工作。
5.如果現行反病毒軟體無法清除該病毒,應立即向本單位網路信息安全工作小組報告,並迅速聯繫有關產品商研究解決。
6.各單位網路信息安全工作小組組長召開小組會議,如認為事態嚴重,則立即向黃埔區公安局網監科報告。
7.如果感染病毒的設備是主伺服器,經本單位網路信息安全工作小組同意,應立即告知各下屬單位做好相應的清查工作。
四、軟體系統遭破壞性攻擊的緊急處置措施
1.重要的軟體系統平時必須存有備份,與軟體系統相對應的數據必須按本單位容災備份規定的間隔按時進行備份,並將它們保存於安全處。
2.一旦軟體遭到破壞性攻擊,應立即向信息安全負責人報告,並將該系統停止運行。
3.檢查信息系統的日誌等資料,確定攻擊來源,並將有關情況向本單位網路信息安全工作小組匯報,再恢復軟體系統和數據。
4.各單位網路信息安全工作小組組長召開小組會議,如認為事態嚴重,則立即向黃埔區公安局網監科報告。
五、資料庫安全緊急處置措施
1.在有條件的地區,主要資料庫系統應按雙機熱備設定,並至少要準備兩個以上資料庫備份,平時一個備份放在機房,另一個備份放在另一安全的建築物中。
2.一旦資料庫崩潰,值班人員應立即啟動備用系統,並向信息安全負責人報告。
3.在備用系統運行期間;信息安全工作人員應對主機系統進行維修並作數據恢復。
4.如果兩套系統均崩潰而無法恢復,應立即向有關廠商請求緊急支援。
六、廣域網外部線路中斷緊急處置措施
1.廣域網主、備用線路中斷一條後,值班人員應立即啟動備用線路接續工作,同時向信息安全負責人報告。
2.信息安全相關負責人員接到報告後,應迅速判斷故障節點,查明故障原因。
3.如屬我方管轄範圍,由信息安全工作人員立即予以恢復。
4.如屬電信部門管轄範圍,立即與電信維護部門聯繫,要求修復。
5.如果主、備用線路同時中斷,信息安全相關負責人應在判斷故障節點,查明故障原因後,儘快研究恢復措施,並立即向本單位網路信息安全工作小組匯報。
6.如有必要,應向黃埔區公安局網監科及黃埔區教育信息中心報告。
七、區域網路中斷緊急處置措施
1.設備管理部門平時應準備好網路備用設備,存放在指定的位置。
2.區域網路中斷後,信息安全相關負責人員應立即判斷故節點,查明故障原因,並向網路信息安全工作小組組長匯報。
3.如屬線路故障,應重新安裝線路。
4.如屬路由器、交換機等網路設備故障,應立即從指定位置將備用設備取出接上,並調試通暢。
5.如屬路由器、交換機配置檔案破壞,應迅速按照要求重新配置,並調測通暢。
6.如有必要,應向黃埔區公安局網監科及黃埔區教育信息中心報告。
八、設備安全緊急處置措施
1.小型機:伺服器等關鍵設備損壞後,值班人員應立即向信息安全負責人報告。
2.信息安全相關負責人員立即查明原因。
3.如果能夠自行恢復,應立即用備件替換受損部件。
4.如屬不能自行恢復的,立即與設備提供商聯繫,請求派維護人員前來維修。
5.如果設備一時不能修復,應向黃埔區教育信息中心及本單位網路信息安全工作小組匯報。
附屬檔案3
重大信息安全事故報告表
報告時間: 年 月 日 時 分 (註:單位名稱需加蓋公章)
備案編號: 年 月 日 第 號 總第 號
單位名稱: 報告 人:
聯繫電話: 通訊地址:
傳 真: 電子郵件:
負責部門: 負責 人:
發生重大信息安全事件的網路與信息系統名稱及用途:
重大信息安全事件的簡要描述(如以前出現過類似情況也應加以說明):
初步判定的事故原因:
當前採取的確應對措施:
本次重大信息安全事件的初步影響狀況(事件後果):
□業務中斷 □系統破壞 □數據丟失 □其他
影響範圍:
□單台主機 □ 台主機 □整個信息系統 □整個個區域網路
嚴重程度:
□極嚴重 □很嚴重 □嚴重 □一般 □不嚴重
聯繫部門:廣州市黃埔區教育信息中心 聯繫電話:略
附屬檔案4
重大信息安全事件處理結果報告表
原報告時間: 年 月 日 時 分 (註:單位名稱需加蓋公章)
備案編號: 年 月 日 第 號 總第 號
單位名稱: 報 告 人:
聯繫電話: 通訊地址:
傳 真: 電子郵件:
負責部門: 負 責 人:
發生重大信息安全事件的網路與信息系統名稱及用途:
作業系統:
□UNIX □Windows □BSD 系列 □Linux
資料庫使用情況:
□無 □Oracie □MS SQL □MySQL □其他
系統是否經過安全測評:
□是 □否
已採用的安全措施:
□防火牆 □入侵檢測系統 □其他
目前系統安全評測:□是,已經通過安全評測 □是,但未通過安全評測□否,未經過安全評測
重大信息安全事件的補充描述及最後判定的事故原因:
對本次重大信息安全事件的事後影響狀況事件後果:
□業務中斷 □系統破壞 □數據破壞 □其他
影響範圍:
□單台主機 □ 台主機 □整個信息系統 □整個區域網路
嚴重程度:
□極嚴重 □很嚴重 □嚴重 □一般 □不嚴重
本次重大信息安全事件的主要處理過程與結果 (必要時可附文字、圖片 等材料) (可增頁):
針對此類事件應採取的保障網路與信息系統安全的措施和建議 (可增頁):
報告人簽章: