沂源县西里镇金星完全小学网络突发事件应急处置预案

沂源县西里镇金星完全小学网络突发事件应急处置预案

金星完全小学网络突发事件应急处理预案

　　为规范我校网络突发事件处理的方式，及时处置校园网信息网络安全事件，保障校园网作用的正常运行，特制定本预案。

　　一、校园网络突发事件分类

　　校园网络突发事件是指校内互联网络遭受破坏、损坏等意外因素导致重点网络系统瘫痪，大面积网络不能正常运行，大量用户数据丢失或修改，机密大量外泄等案件、事件或灾害。互联网突发事件可分为以下三类：

　　1、政治类突发事件：指境内外敌对势力、敌对分子和一些政治上别有用心的人利用互联网进行反动宣传渗透、造谣惑众，煽动制造政治动暴乱，以实现其破坏国家稳定、破坏社会主义制度、破坏经济建设、推翻党的领导的企图。

　　（1）社会发生局部动暴乱情况下，敌对分子利用互联网发布反动言论，甚至组织指挥对抗政府、危及国家安全的；

　　（2）制作、传播攻击党和国家领导人、损害国家声誉的政治谣言，大面积污染网络及用户的。

　　2、攻击类突发事件：指因计算机系统病毒感染、非法入侵计算机系统（黑客攻击）导致计算机网络大面积不能正常运行，重点网络系统瘫痪，机密大量外泄等情况。

　　（1）校园网络遭受大规模病毒感染或黑客攻击，导致网络不能正常运行的；

　　（2）设备发生被盗或人为损坏的；

　　（3）非法侵入国家事务、国防建设、尖端科学技术领域等重要计算机信息系统，导致国家秘密、情报或军事秘密大量泄露，或不能正常运行的；

　　（4）非法侵入导致应用服务器上的数据被非法拷贝、修改、删除的；

　　（5）网站页面被恶意纂改、交互式栏目里发表反政府、分裂国家和色情内容的信息及违反国家法律法规、侵犯知识版权或损害学校声誉的谣言。

　　3、灾害类突发事件：指因爆炸、火灾、雷击等外力因素或自然因素导致机器设备损毁，系统瘫痪，网络无法运行。

　　（1）爆炸、火灾及其他破坏案件、事件导致网络不能正常运行的；

　　（2）遭受雷击等自然灾害，导致重要网络不能正常运行的；

　　其他因素导致重要网络不能正常运行，甚至瘫痪的案件、事件。

　　二、突发事件应急处置的职责分工

　　当遇有校园网络突发事件，情况特别紧急，事态急剧恶化时，信息管理中心负责人应按相关法律法规和制度，先期开展工作，边处置，边报告，及时控制事态，防止扩大蔓延，尽可能减少和降低危害造成的损失。

　　1、信息管理中心安全管理人员必须对突发事件现场的保护措施实施以及对敏感地带的防控，并落实加强对重要网站和网络系统的安全保护。

　　2、信息管理中心网络管理人员开展对网络的修复救援工作，加强对网络有害信息的封堵和过滤，通过多层次的网络安全和信息安全的技术防护体系，尽量确保突发事件期间网络正常运行。

　　三、突发事件应急处置流程

　　1、如发生火灾等自然灾害时，应立即切断电源，同时组织学生有序疏散，并将火情立即报告分管领导和相关部门。如发生互联网信息安全和网络安全突发事件，应立即报告上级主管部门，同时保护现场，留存有关记录；

　　2、突发事件发生后，信息管理中心立即启动预案，中心人员进入应急处置工作状态，阻断网络连接，进行现场保护，协助调查取证和系统恢复等工作，并对相关事件进行跟踪，密切关注事件动向，协助调查取证。

　　3、上级主管部门认为有必要时将组织相关部门人员立即赶赴现场，按照职责分工，与公安、安全等机关配合，对突发事件进行应急处理。

　　4、信息管理中心在事件发生后24小时内写出事件书面报告。有关违法事件移交公安机关处理。

　　四、突发事件应急处置措施

　　1、政治类突发事件的应急处置：配合国家公安、安全机关迅速查明这类有害信息的来源，根据掌握的各种情报信息，分析判断敌对分子采用的技术手段，落实有效技术手段，切断其传播有害信息的渠道；同时要在取证后立即清除有害信息，必要时关闭有关网站、网络，进行全面清理，并尽快恢复网络的正常秩序。事件处理过程中，积极做好广大师生的思想宣传教育工作，全力维护校园网安全稳定。

　　2、攻击类突发事件的应急处置：立即采取技术防范措施阻止攻击行为进一步造成危害，保护受攻击的网络现场，判断破坏的来源与性质，断开影响安全与稳定的信息网络设备，断开与破坏来源的网络物理连接，跟踪并锁定破坏来源的IP或其它网络用户信息，修复被破坏的信息，恢复信息系统；配合相关部门通过入侵检测和安全审计等方法确定病毒和黑客攻击使用的攻击技术方法，配合相关部门通过技术分析判断攻击者的来源，通过处置网络确定攻击者的地理位置，配合查找破案线索。按照灾害发生的性质分别采用以下方案： 

　　（1）病毒传播：针对这种现象，要及时断开传播源，判断病毒的性质、采用的端口，然后关闭相应的端口，在网上公布病毒攻击信息以及防御方法。 

　　（2）网络入侵：首先要判断入侵的来源，区分外网与内网。入侵来自外网的，定位入侵的IP地址，及时关闭入侵的端口，限制入侵地IP地址的访问，在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的，查清入侵来源，如攻击产生的交换机、电脑、IP地址、上网帐号等信息，同时断开对应的交换机端口，然后针对入侵方法建设或更新入侵检测设备。确定来源后，调查攻击出于无意、有意还是被利用，并将全过程形成事件报告交分管领导做进一步处理。

　　（3）信息篡改：一经发现马上删除不良信息，断开相应信息的上网链接，备份不良信息出现的目录、一周内的连接日志和审计记录，并对该目录进行安全性检测，升级安全级别，清查整个信息系统所有内容，确保没有任何不良信息后测试系统运行，正常后再重新开通服务。

　　（4）网络故障：应迅速判断故障节点，查明故障原因，再根据相应工作流程尽快解决或采用备用设备。如故障短期内不能解决，应及时向学校分管领导汇报。

　　（5）其它没有列出的不确定因素造成的灾害，可根据总的安全原则进行相应处置。

　　3、灾害类突发事件的应急处置：单位信息安全负责人要立即赶赴现场处置，配合相关部门实行现场控制。在保护人员生命安全的前提下，控制对网络安全危害行为的进一步发展，抢救的顺序依次是重要数据、重要设备、重要设施，尽快将它们转移到最安全的地方；启动网络安全应急设备和备份设备，组织技术人员和相关人员恢复网络工作环境，尽快使网络恢复正常秩序；配合相关部门查明灾难事故发生的原因，要尽快排除可能继续发生灾难事故的安全隐患，采取补救措施，保障网络安全。

　　4、事件报告应包括以下内容：事件发生时间、地点、单位、事件内容，涉及计算机的IP地址、管理人、操作系统、应用服务，损失，事件性质及发生原因，事件处理情况及采取的措施；事故报告人、报告时间等。

　　五、在应急处理过程中，学校各部门要密切配合，服从指挥，确保政令畅通和各项工作的落实。 各部门应根据本预案，结合本部门实际情况，认真制定本部门的应急预案，并切实落实各项组织措施。

　　六、本制度自公布之日起执行，由信息管理中心负责解释。