校园安全应急管理方案

　　网络和信息安全事件定义

　　网络和信息安全事件根据其发生原因、性质和机理可分为攻击类事件、故障类事件和灾害类事件三类。攻击类事件指网络和信息系统被非法入侵、计算机病毒感染等，导致业务中断、系统宕机、网络瘫痪等情况。故障类事件是指网络和信息系统因软硬件故障、误操作等原因导致业务中断。灾害类事件是指自然灾害等外力因素导致网络和信息系统损坏。

　　组织机构

　　学校设立校园网网络安全事件应急处置小组，由校长、分管校长和网管员组成。该小组负责及时协调各种事件或事故的处理，响应市、县教育信息网管中心的预警和问题通报，安排专职人员值班，如遇特殊时期则安排专人24小时值班，并在每个年级设立信息联络员。

　　预防措施

　　1、对校园网络现有与今后新建设的信息系统，应参照国家有关信息安全等级保护的要求，按照最终确定的保护等级采取相应的安全保障措施。

　　2、建设安全事件预警预报体系和校园网络安全工作值班制度，加强对学校网站和应用服务器的监测、监控和管理，并及时处理可能引发网络和信息安全事件的有关信息。

　　3、当发生网络和信息安全事件时，应及时启动应急预案并采取应急处置措施，判定事件危害程度并向有关领导报告情况，直至处置工作结束。重大事件或存在非法犯罪行为的应立即向公安机关报告。

　　4、特殊时期，学校可根据统一要求和部署，由网络管理中心组织专业技术人员对网络和信息数据采取加强保护措施，不间断对网络进行监控。

　　处置程序

　　在发生网络和信息安全事件时，应及时启动预案并按照预案程序进行处置。首先确认事件的危害程度，并将情况向相关领导报告。在处置过程中，应及时报告工作进展情况，直至处置工作结束。

　　网络管理中心在发生网络与信息安全事件后应尽可能收集事件相关信息来确定事件的来源、范围和带来的影响和损害，并确认为网络与信息安全事件后进行处置和上报。

　　应急处置分为灾害类和故障或攻击类两种情况，应根据事件引发原因进行区别对待。

　　对于灾害类的事件，网络管理中心应在保障人身安全的前提下，首先保障数据安全，然后保护设备安全。具体方法包括拔出并保存硬盘，断电、拆卸、搬迁设备等。

　　对于故障或攻击类的事件，应判断其来源和性质，断开影响安全与稳定的信息网络设备，断开信息系统与攻击来源之间的网络物理连接，跟踪并锁定攻击来源的IP或网络用户信息，修复被破坏的信息，恢复信息系统。网络管理中心应该定期备份服务器重要信息，提高信息存储安全应急响应能力，并检查设备的运转情况，记录设备维护情况，保证设备高效稳定地运行。

　　对于病毒传播类事件，要求所有接入校园网的计算机安装杀毒软件，及时升级系统补丁，能够清除病毒。一旦发现有病毒大面积传播应及时寻找并断开传播源，判断病毒类型、性质、可能的危害范围。

　　对于外部入侵类事件，应判断入侵来源，区分外网与内网，评价威胁及可能已经造成的危害，然后断开入侵来源与网络的连接。

　　对于内部入侵类事件，通过上网安全认证系统查清入侵来源的IP地址、MAC地址、使用人、所在办公室等信息，并及时断开对应的交换机端口并通报相关科室负责人。

　　对于网络故障类事件，网络管理员需要定期检查设备运转情况，记录设备维护情况，并在主服务出现硬件设备故障时第一时间启用备份服务器保证网络正常运行。如有必要，可向计算机网络公司求助技术援助，并优先保证主要应用系统的运转。

（5）未列出的因素引发的事件，应结合总体安全原则及具体情况进行相应的处理。

　　3、应急处置之后的跟进工作

（1）在完成应急处置措施后，应采取措施及时抑制安全事件的扩大影响，限制潜在的损失和破坏，同时确保应急处置措施最小限度地影响相关业务。当网络出现故障时，要优先保障关键部门网络的通畅。

（2）在事件得到控制后，通过对相关事件或操作进行分析，找出事件的根源并明确相应的补救措施，并彻底消除事件影响。

（3）在确保安全问题解决后，应及时清理系统，恢复数据、程序和服务，避免由于误操作导致的数据丢失。

　　4、记录和上报

　　在网络与信息安全事件发生时，应及时向校领导汇报，记录完整的处置过程，并及时报告处置工作的进展情况，保存相关系统日志，直到处置工作结束。

　　5、结束响应

　　在系统恢复运行后，网络管理中心会对事件引起的损失、处置流程和应急预案进行评估，提出相应的修改意见，总结事件处理经验和教训，并撰写事件处理报告。同时，必要时需要上报事件及其处理过程的相关材料，由办公室协调解决与公安部门相关的问题。