校园网络安全应急预案

莉落

  校园网络安全应急预案1

  为有效制止各种网络安全事件的发生,最大地减少各种网络安全事件所造成的破坏和负面影响,特制定本预案。

  一、坚持以预防、监控为主的原则,做到响应快、定位准、控制及时、措施有力,在网络安全上把握主动权。

  二、学校保卫处对校园网内容进行24小时专人监控,信息与网络中心对网络安全技术问题进行24小时应急响应,结合严格的规章制度,确保网络安全的监控随时处于有序、有效状态。

  三、实行多部门协作机制,发现网络安全事件的苗头后,网络中心、保卫处、学工部,必要时联合当地公安派出所,对安全事件当事人进行快速准确的目标定位、对象确定,并在适当时机实地控制当事人和相关设备等。

  四、严格上网实名制,所有校园网用户均采取有详细记录的、由学校统一管理的身份认证措施;学校论坛必须实名注册。

  五、重视服务器日志的保存和使用,确保发现问题时能够有效追查定位。

  六、对校园网内各单位或个人因特殊需要而开设的服务采取登录备案制度,各单位服务器要求有专人负责管理,并且对管理员的联系信息进行详细备案。

  七、网络安全事件处置流程:

  网络事件的处置遵从负面影响最小化的原则。

  网络内容相关事件的处理,必须遵从先固定证据、再保留证据、然后再采取措施消除影响的基本流程。

  1、责任到人

  事件发生将直接追究部门主要负责人及分管领导和技术负责人的责任。

  2、跟踪监控

  发生安全事件后,保卫处、信息与网络中心通过一定的技术手段,立即保持对事件的全程跟踪,同时根据事件的表现和程度,及时通知有关部门协同处理。

  3、内容取证

  在采取跟踪监控措施的同时,立即对安全事件的内容进行取证,必要时请公安部门出面同时控制当事者的.机器和当事人。有关通过网络远程取证的内容要注意时间、位置、涉及人员等尽量全面,注意证据保存位置可靠;现场取证的内容在必要时要求在当事人现场参与的情况下截图,并打印、签字确认。

  4、切断服务

  对安全事件进行证据保全后,应当第一时间根据事件性质,分别采取勒令改正、删除内容、停止服务等果断措施。必要时学校可强行断开相关区域的网络或与安全事件相关的服务。

  5、追查定位

  结合事件发生日期时间、服务器日志、用户账户等信息,对事件当事人进行快速定位,以便能够在必要时进行责任追查。

  6、调查处理

  确定事件的当事人后,根据国家有关法规和学校网络管理和安全、保密要求,根据当事人的事件性质和危害程度,分别采取学院或单位内部处置、全校通报处理等措施。学生当事人联合学工部按有关规定进行处置;其他教工则联系人事处、保卫处、纪委等单位,根据有关规定给予当事人适当的处分。

  7、漏洞补救

  对安全事件采取适当处置后,有关单位和个人必须认真检讨其所存在的疏忽,找出事件发生的原因,查找存在的安全漏洞,并立即采取有效的补救措施。对于某些事件,必要时必须由相关部门研究后给出适当的回应,以最快地消除负面影响。

  八、网络紧急响应小组成员:

  由分管校长及校办、党办、信息与网络中心、人事处、保卫处、学工部、团委各部门负责人组成。

  校园网络安全应急预案2

  为提高应对网络与信息安全类公共事件的处理能力,预防和减少网络与信息安全类社会性公共事件造成的损失和危害,确保校园网安全、稳定运行,最大限度地减少损失,根据《国家网络与信息安全事件应急预案》和互联网网络安全相关条例,结合我校校园网工作实际,特制订本预案。

  一、网络与信息安全组织机构

  为统一指挥,快速反应,成立我校网络信息安全管理领导小组。

  网络技术人员和管理员负责对网站内容维护和更新,为校园网安全、稳定运行提供技术支持。严格按照教育部《教育系统网络与信息安全类突发公共事件应急预案》实施。

  二、应急处置措施

  (一)网站不良信息处理预案

  1.一旦发现学校网站(包括论坛)上出现不良信息(或者被黑客攻击修改了网页),立刻关闭网站。

  2.备份不良信息出现的目录、备份不良信息出现时间前后一个星期内的HTTP连接日志、备份防火墙中不良信息出现时间前后一个星期内的网络连接日志。

  3.截图并打印不良信息页面留存。

  4.完全隔离出现不良信息的目录,使其不能再被访问。

  5.删除不良信息,并清查整个网站所有内容,确保没有任何不良信息,重新开通网站服务,并测试网站运行。

  6.修改该目录名,对该目录进行安全性检测,升级安全级别,升级程序,去除不安全隐患,关闭不安全栏目,重新开放该目录的网络连接,并进行测试,正常后,重新修改该目录的上级链接。

  7.全面查对HTTP日志,防火墙网络连接日志,确定该不良信息的源IP地址,如果来自校内,则立刻全面升级此次事件为最高紧急事件,立刻向领导小组组长汇报,视情节严重程度领导小组可决定是否向公安机关报案。

  8.从事故发生到处理事件的整个过程,必须保持向领导小组组长汇报、解释此次事故的发生原因、发生情况和处理过程。

  (二)网络恶意攻击事故处理预案

  1.一旦发现网络恶意攻击,立刻确定攻击来源;受攻击的设备有哪些;影响范围有多大。并迅速推断出此次攻击的最坏结果,判断是否需要紧急切断校园网的服务器及公网的网络连接,以保护重要数据及信息。

  2.如果攻击来自校外,立刻从防火墙中查出对方IP地址并过滤,同时对防火墙设置对此类攻击的过滤,并视情况严重程度决定是否报警。

  3.如果攻击来自校内,立刻确定攻击源,查出该攻击来自哪台交换机,哪台电脑,哪位教师或学生。接着立刻赶到现场,关闭该计算机网络连接,并立刻对该计算机进行分析处理,确定攻击出于无意、有意还是被利用。暂时扣留该电脑。

  4.重新启动该电脑所连接的网络设备,直至完全恢复网络通信。

  5.对该电脑进行分析,清除所有病毒、恶意程序、木马程序以及垃圾文件,测试运行该电脑5小时以上,并同时进行监控,无问题后归还该电脑。

  6.从事故发生到处理事件的整个过程,必须保持向领导小组组长汇报、解释此次事故的发生原因、发生情况和处理过程。

  (三)重大安全事件紧急处置措施

  1.发现论坛上的非法帖子已经广为传播阅读、病毒大面积感染、黑客入侵无法阻止或已经造成不良后果、系统的安全漏洞被多次利用等影响面大的事件,网络管理中心负责人必须在接到值班员的报告后立即向领导小组组长汇报并一起赶到现场。

  2.保存、分析日志文件等线索,判断故障类型、故障影响面,追踪故障源,采取措施消除影响,并为协助公安机关调查、取证做准备。

  3.网络信息安全管理领导小组办公室应立即向公安部门及省教育厅报案。并及时向中国教育科研网紧急响应组求助。根据上级安排进行处理。

  (四)软件系统遭受破坏性攻击的紧急处置措施

  1.重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日备份,并将它们保存于安全处。

  2.一旦发现软件遭到破坏性攻击,应立即向相关技术网络管理员报告,并将系统停止运行。

  3.网络管理员负责软件系统和数据的恢复。

  4.网络管理员检查日志等资料,确定攻击来源。

  5.网络信息安全管理领导小组认为情况极为严重的,应立即向公安部门或上级机关报告。

  (五)数据库安全紧急处置措施

  1.各数据库系统要至少准备两个以上数据库备份,一份放在本机,另一份放在存储设备中。

  2.一旦数据库崩溃,应立即向网络管理中心主任报告,同时通知各单位暂缓上传上报数据。

  3.网络管理员应对主机系统进行维修,如遇无法解决的问题,立即向上级单位或软硬件提供商请求支援。

  4.系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。

  5.如因第一个备份损坏,导致数据库无法恢复,则应取出第二个数据库备份加以恢复。

  6.如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。

  (六)广域网外部线路中断紧急处置措施

  1.发现广域网任何线路中断后,值班人员应立即上报。

  2.网络管理员接到报告后,应迅速判断故障节点,查明故障原因。

  3.如属我校管辖范围,由值班人员协同网络管理员立即予以恢复。如遇无法恢复情况,立即向有关技术人员请求支援。

  4.如属运营商或教育网管辖范围,立即与运营商维护部门或省教科网联系,请求修复。

  5.如果两条线路同时中断,网络管理员应在判断故障节点、查明故障原因后,尽快与其他相关领导和技术人员研究恢复措施,并立即向校网络信息安全管理领导小组汇报。

  6.经校网络信息安全管理领导小组同意后,在学校新闻网上发出公告,通知各单位故障原因。

  (七)局域网中断紧急处置措施

  1.局域网中断后,值班人员和网络管理员应立即判断故障节点,查明故障原因,并向领导小组副组长汇报。

  2.如属线路故障,应查找故障点并联系施工人员尽快恢复故障线路。

  3.如属路由器、交换机等网络设备故障,应立即与设备提供商联系更换设备,并调试畅通,然后商谈维修事宜。

  4.如属路由器、交换机配置文件破坏,应迅速利用备份文件重新配置,并调试畅通。如遇无法解决的技术问题,立即向上级单位或有关厂商技术工程师请求支援。

  5.如有必要,应向领导小组组长汇报。

  (八)设备安全紧急处置措施

  1.小型机、服务器等关键设备损坏后,有关人员应立即向网络管理员汇报。

  2.网络管理员应立即查明原因。

  3.如果能够自行恢复,应立即用备件替换受损部件。

  4.如果不能自行恢复,立即与设备提供商联系,请求派维修人员前来维修。

  5.如果设备暂时不能修复,应向领导小组汇报,并告知各单位,暂缓上传上报数据。

  (九)人员疏散与机房灭火预案

  1.一旦机房发生火灾,应遵照下列处理原则:首先确保人员安全;其次确保关键设备、数据安全;三是确保一般设备安全。

  2.紧急处理程序是:机房值班人员立即按响火警警报,并通过119电话向公安消防请求支援,同时上报校保卫处和网络信息安全管理领导小组。

  3.灭火的程序是:首先切断所有电源,启动自动喷淋系统,值班人员及工作人员从指定位置取出灭火器进行灭火。

  (十)市电中断后的应急预案

  1.已确定时间的通知停电

  (1)值班人员接到停电通知后,应第一时间将停电时间和恢复供电时间等情况告知办公室和相关管理人员,并发布校园网网络中断通知。

  (2)值班人员做好停电来电安排。

  2.突发停电

  (1)在突发停电情况下,发现者应第一时间通知值班人员马上到场;

  (2)值班人员应立即将电源切换至备用电源,并联系后勤服务中心或电工,确认是内部故障停电还是外部停电,将停电时间和恢复供电时间记录下来,并将结果告知网络管理中心负责人。

  n若确认为外部突发停电时:

  ①如果停电时间在两个小时以内,密切关注UPS的负载情况及剩余供电时间;

  ②如果停电时间在两个小时及以上,值班人员通知办公室,由办公室发布校园网中断通知;

  ③值班人员关闭除WWW、WWW2、WWW3、DNS1、DNS2、邮件、颍川弦歌外的其它服务器和备用核心交换机;

  ④值班人员查看UPS持续时间;如果UPS剩余电量仍然无法坚持到恢复供电时间,关闭除路由器外的其他交换机和服务器,并切断这些设备的电源;

  ⑤值班人员再次查看UPS持续时间;如果UPS剩余电量仍然无法坚持到恢复供电时间,关闭路由器和光放大器,并切断电源;

  ⑥关闭UPS所有开关。

  n当判断为内部(楼内)故障突发停电时:

  ①值班人员应在第一时间对故障原因进行排查,如判断是一楼电源房供电问题,应立即报修,并把UPS市电切断,改为UPS供电;如判断是机房内部故障导致停电的,应在第一时间切断机房电源和UPS供电,并通知后勤服务中心电工到机房排查;

  ②如发现有火灾迹象,先关闭中心机房西墙配电柜所有开关,保障设备安全;

  ③值班人员停电期间加强巡逻,排除隐患。

  3.来电处理流程

  (1)打开UPS电源市电开关。

  (2)打开路由电源、光放大器电源、核心交换机电源。

  (3)打开两台汇聚交换机电源、所有服务器电源。

  (4)测试教育网线路、运营商线路是否畅通。

  (5)测试首页、新闻网、www2、www3、教务系统、招生就业网站、颖川弦歌网站等能否正常访问。

  (十一)关键人员不在岗的紧急处置措施

  1.对于关键岗位平时应做好人员储备,确保一项工作至少有两人能熟练操作。

  2.一旦发生关键人员不在岗的情况,首先应向值班领导汇报情况。

  3.经值班领导批准后,由备用人员上岗操作。

  4.如果备用人员无法上岗,请求上级单位支援或要求关键人员立刻返岗。

  三、网络安全事故发生后的行动指南

  1.确保学校公网连接和WEB网站信息安全为首要任务。迅速发出安全警报,所有相关人员集中进行事故分析,确定处理方案。

  2.确保校内其它接入设备的信息安全:经过分析排查,可以迅速关闭、切断其他不安全接入设备的所有网络连接,防止滋生其他接入设备的安全事故。

  3.分析网络现状,确定故障来源:使用各种网络管理工具,迅速确定故障源,按相关程序进行处理。

  4.故障源处理完成后,逐步恢复网络运行,监控故障源是否仍然存在。

  5.针对此次安全事件,进一步确定相关安全措施,总结经验,加强防范。

  6.从事件发生到处理完成的整个过程,必须及时向领导小组组长汇报,听从安排,注意做好保密工作。

  7.事后迅速查清件发生原因,查明责任人,并报领导小组,根据责任情况进行处理。

  校园网络安全应急预案3

  为确保发生网络安全问题时各项应急工作高效、有序地进行,最大限度地减少损失,根据互联网网络安全相关条例及徐汇区教育信息中心工作要求,结合我校校园网工作实际,特制定本预案。

  一、 应急机构组成

  1、 领导小组及职责

  组长:马卫东

  副组长:杨海涛

  成员:王春凤、江静虹、俞莹、范显涛

  主要职责:

  (1)加强领导,健全组织,强化工作职责,完善各项应急预案的制定和各项措施的落实。

  (2)充分利用各种渠道进行网络安全知识的宣传教育,组织、指导全校网络安全常识的普及教育,广泛开展网络安全和有关技能训练,不断提高广大师生的防范意识和基本技能。

  (3)认真搞好各项物资保障,严格按照预案要求积极配备网络安全设施设备,落实网络线路、交换设备、网络安全设备等物资,强化管理,使之保持良好工作状态。

  (4)采取一切必要手段,组织各方面力量全面进行网络安全事故处理工作,把不良影响与损失降到最低点。

  (5)调动一切积极因素,全面保证和促进学校网络安全稳定地运行。

  2、 网站不良信息事故处理行动小组及职责

  组长:江静虹

  成员:姚雪青、卢婷芳

  主要职责:

  (1)一旦发现学校网站上出现不良信息(或者被黑客攻击修改了网页),立刻关闭网站。

  (2)备份不良信息出现的目录、备份不良信息出现时间前后一个星期内的HTTP连接日志、备份防火墙中不良信息出现时间前后一个星期内的网络连接日志。

  (3)打印不良信息页面留存。

  (4)完全隔离出现不良信息的目录,使其不能再被访问。

  (5)删除不良信息,并清查整个网站所有内容,确保没有任何不良信息,重新开通网站服务,并测试网站运行。

  (6)修改该目录名,对该目录进行安全性检测,升级安全级别,升级程序,去除不安全隐患,关闭不安全栏目,重新开放该目录的网络连接,并进行测试,正常后,重新修改该目录的上级链接。

  (7)全面查对HTTP日志,防火墙网络连接日志,确定该不良信息的源IP地址,如果来自校内,则立刻全面升级此次事件为最高紧急事件,立刻向领导小组组长汇报,并协助向公安机关报案。

  (8)从事故一发生到处理事件的整个过程,必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。

  3、 网络恶意攻击事故处理行动小组及职责

  组长:俞莹

  成员:陈帅奇、陈洁

  主要职责:

  (1)发现出现网络恶意攻击,立刻确定该攻击来自校内还是校外;受攻击的设备有哪些;影响范围有多大。并迅速推断出此次攻击的最坏结果,判断是否需要紧急切断校园网的服务器及公网的网络连接,以保护重要数据及信息;

  (2)如果攻击来自校外,立刻从防火墙中查出对IP地址并过滤,同时对防火墙设置对此类攻击的过滤,并视情况严重程度决定是否报警。

  (3)如果攻击来自校内,立刻确定攻击源,查出该攻击出自哪台交换机,出自哪台电脑,出自哪位教师或学生。接着立刻赶到现场,关闭该计算机网络连接,并立刻对该计算机进行分析处理,确定攻击出于无意、有意还是被利用。暂时扣留该电脑。

  (4)重新启动该电脑所连接的网络设备,直至完全恢复网络通信。

  (5)对该电脑进行分析,清除所有病毒、恶意程序、木马程序以及垃圾文件,测试运行该电脑5小时以上,并同时进行监控,无问题后归还该电脑。

  (6)从事故一发生到处理事件的整个过程,必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。

  4、 学校重大事件网络安全处理小组:

  组长:范显涛

  成员:孙鑫、陈帅奇

  主要职责:

  (1)对学校重大事件(如校庆、评估等对网络安全有特别要求的事件)进行评估、确定所需的网络设备及环境。

  (2)关闭其它与该网络相连,有可能对该网络造成不利影响的一切网络设备及计算机设备,保障该网络的畅通。

  (3)对重要网络设备提供备份,出现问题需尽快更换设备。

  (4)对外网连接进行监控,清除非法连接,出现重大问题立刻向上级部门求救。

  (5)事先应向领导小组汇报本次事件中所需用到的设备、环境,以及可能出现的事故及影响,在事件过程中出现任何问题应立刻向领导小组组长汇报。

  5、 通讯联络小组及职责

  组长:王春凤

  成员:孙鑫、陈洁

  主要职责:迅速与学校领导、各相关处室以及相关部门取得联系,引导人员和设施进入事件地;联络有关部门、个人,组织调遣人员;负责对上、对外联系及报告工作。

  二、 应急行动

  1、领导小组依法发布有关消息和警报,全面组织各项网络安全防御、处理工作。各有关组织随时准备执行应急任务。

  2、组织有关人员对校园内外所属网络硬件软件设备及接入网络的计算机设备进行全面检查,封堵、更新有安全隐患的设备及网络环境。加强对校园网内计算机3、设备的管理,加强对学校网络的使用者(学生和教师)的网络安全教育。

  4、加强对重要网络设备的软件防护以及硬件防护,确保正常的运行软件硬件环境。

  5、加强各类值班值勤,保持通讯畅通,及时掌握学校情况,全力维护正常教学、工作和生活秩序。

  6、按预案落实各项物资准备。

  三、 网络安全事故发生后有关行动

  1、领导小组得悉消防紧急情况后立即赶赴本级指挥所,各种网络安全事故处理小组迅速集结待命。

  2、各级领导小组在上级统一组织指挥下,迅速组织本级抢险防护。

  (1)确保WEB网站信息安全为首要任务,保证学校公网连接。迅速发出紧急警报,所有相关成员集中进行事故分析,确定处理方案。

  (2)确保校内其它接入设备的信息安全:经过分析,可以迅速关闭、切断其他接入设备的所有网络连接,防止滋生其他接入设备的安全事故。

  (3)分析网络,确定事故源,按相关程序进行处理。

  (4)事故源处理完成后,逐步恢复网络运行,监控事故源是否仍然存在。

  (5)针对此次事故,进一步确定相关安全措施、总结经验,加强防范从事故一发生到处理的整个过程,必须及时向领导小组组长汇报,听从安排,注意做好保密工作。

  3、积极做好广大师生的思想宣传教育工作,迅速恢复正常秩序,全力维护校园网安全稳定。

  4、迅速了解和掌握事故情况,及时汇总上报。

  5、事后迅速查清事件发生原因,查明责任人,并报领导小组根据责任情况进行处理。

  四、 其他

  1、在应急行动中,各部门要密切配合,服从指挥,确保政令畅通和各项工作的落实。

  2、各部门应根据本预案,结合本部门实际情况,认真制定本部门的应急预案,并切实落实各项组织措施。

  3、本预案从发布之日起正式施行。