教育数字化知识图谱

第一章  总 则

第一条 目的

为提高我校系统处置网络安全突发事件能力，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地消除计算机网络及信息的各类突发事件的危害和影响,根据沙坪坝区公安分局关于加强校园网安全管理的通知和《网络安全等级保护条例》、《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护定级指南》、《信息安全技术网络安全等级保护安全设计技术要求》等法律和规定，特制订本预案。

第二条 适用范围

本预案适用于我校发生的网络安全突发事件的组织指挥、应急行动、后期处置。

第二章 组织机构及职责

第三条 领导机构

网络安全与信息化建设领导小组是网络安全事件（故）应急计划实施的指挥机构。

组长 : 党委书记 院长

副组长 : 分管院长

成员 : 部门（院系）负责人。

第四条 领导小组主要职能

（一）领导并监督学校网络安全事件（故）应急准备和应急执行，并提供行政及费用上的支持。

（二）指挥和协调网络安全事件（故）应急处理工作，在应急程序启动期间，指挥调动本单位资源，保证扩大化网络故障处理的联动机制，实现互相间的协调和配合。

（三）定期对应急工作小组成员进行有针对性的培训及应急演练。

（四）负责应急方案更新及修订的审定。

（五）决定重大、较大的计算机网络及信息突发事件应急预案的启动，组织力量对突发事件进行处置。

第五条 应急工作小组

网络安全事件（故）应急领导小组下设应急工作小组。

组长：图情信息中心负责人

副组长：党委宣传部、 保卫处负责人

成员：网络安全员、网络管理员、系统管理员、数据库管理员、网站管理员、保卫处干事。

第六条 应急工作小组主要职责

（一）按照应急领导小组及相关规定的要求开展工作。

（二）根据事件危害情况，向应急领导小组提供应急方案，供领导决策。

（三）决定一般性突发事件的应急预案启动，组织力量对突发事件进行处置。在应急事件发生后根据实际情况全面或部分的接管应用系统操作，并及时向领导小组汇报工作进展情况。

第三章 应急事件分类及等级

根据应急事件的特点及实发事件所产生的损失程度，将应急事件分为三级：

第七条 一般应急事件

单一地点的网络故障或服务器系统受损，对该地点的系统运行及业务运作造成严重损害，持续时间小于 24 小时的事件。仅对公民、法人和其他组织的合法权益造成损害。

第八条 较大应急事件

两个及以上地点的网络故障或服务器系统受损，对系统运行及业务运作造成严重损害，对公民、法人和其他组织的合法权益造成严重损害，持续时间小于 24 小时的事件。超过 24 小时的升级到重大应急事件。

第九条 重大应急事件

多个（两个及以上）地点系统瘫痪，对业务运作造成巨大损失。对社会秩序和公共利益造成损害的安全事件。

第四章 应急保障措施

第十条 数据备份

学校数据中心建立数据备份中心，并做好备份中心的维护及保养工作。

第十一条 技术储备与保障

网络安全事件（故）应急领导小组在平时加强技术储备与保障管理工作，建立通信保障应急管理机构与专家的日常联系和信息沟通机制，适时组织相关专家和机构分析当前网络安全，对网络应急预案及实施进行评估，开展现场研究，加强技术储备。

第十二条 宣传、培训和演习

学校应急管理部门应加强对普通人员安全使用计算机的宣传教育工作，全面提高网络使用人员的安全意识；定期或不定期地对有关应急领导小组和应急工作小组成员进行技术培训和应急演练，保证应急预案的有效实施，提高通信保障应急的能力。

第十三条 应急文档的备存

（一）各类网络设备和服务器、计算机及其附属设备的型号、序列号等。

（二）硬件设备供应商、生产厂商的电话、联系人、网址。

（三）操作系统、关键业务应用软件开发商或供应商的电话、联系人。

（四）网络拓朴图。

（五）路由器、防火墙的配置文档，服务器登陆用户及原始密码文档。

（六）各类软件的技术文档及其他需要保存的文档。

第十四条 应急设备及软件备存

（一）操作系统启动盘、安装盘。

（二）防病毒软件（注明安装及升级序列号）。

（三）数据库管理系统软件，数据库备份软件及最近完整的数据备份存储介质。

（四）相关的设备驱动程序（含主板、显卡、网卡等）及更新到最新的服务器注册表文件。

（五）备用网线，万用表、测网仪、螺丝刀等必要工具。

（六）其它必备的应急工具。

第五章 预防和预警机制

第十五条 日常预防管理

（一）定期检查服务器及重要网络设备。

（二）及时更新服务器的防病毒软件病毒库。

（三）定期对所有服务器进行漏洞扫描、补丁修复。

（四）定时备份重要数据。

（五）特殊时期实行值班制度。

第十六条 预警机制

预警信息分为外部预警信息和内部预警信息两类。外部预警信息指本单位外突发的可能破坏网络或者最新病毒等可能产生重大影响的事件警报；内部预警信息指单位内通信网络的中断或部分网络崩溃对业务操作有影响的事件警报。

应急工作小组获得外部预警信息后，对预警信息加以分析，通知各部门做好预防和网络保障应急准备工作，并报备应急领导小组；通过监测或普通操作人员报告获得内部预警信息，分析后按照早发现、早报告、早处置的原则，避免出现应急事件的升级情况。

第六章 应急事件处理

第十七条 确定事件类型

（一）应急工作小组应及时判断事件的类型和紧急程度。

（二）确定事件范围（多少地点发生事件），分析攻击来源及侵入点。

（三）判断事件危害性及损失程度，分析人为原因、事件潜在危害性。

（四）确定事件发生时间及延续时间。

（五）判断需采用的手段及准备处理事件需要的必备资源。

（六）根据损失程度及延续时间等情况确定等级，较大、重大信息险情需报应急领导小组，决策后启动相关应急预案。

第十八条 事件报告

（一）根据事件的类型及紧急程度及时向网络安全与信息化建设领导小组报告（口头或者书面报告），并制定具体措施。

（二）网络安全与信息化建设领导小组确定事件为较大（重大）信息险情时，报本单位应急领导小组同时报沙区应急工作小组备案。

第十九条 现场处理

抑制事件的影响进一步扩大，限制潜在的损失与破坏，对事件分类进行如下处理。

第二十条 网站、网页

（一）网站、网页由网站管理员和相关人员随时密切监视信息内容。每天早、中、晚三次不少于一小时。

（二）发现网上出现非法信息时，负责人员应立即向信息安全小组组长通报情况；情况紧急的应先及时采取删除等处理措施，再按程序报告。

（三）信息安全组具体负责的技术人员应在接到通知后十分钟内赶到现场，作好必要的记录，清理非法信息，强化安全防范措施，并将网站网页重新投入使用。

（四）网站管理员应妥善保存有关记录及日志或审计记录。

（五）网站管理员和相关工作人员应立即追查非法信息来源。

（六）工作人员会商后，将有关情况向安全领导小组领导汇报。

（七）安全领导小组召开安全领导小组会议，如认为情况严重，应及时向有关上级机关和公安部门报警。

第二十一条 黑客攻击

（一）当发现网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时 , 应立即向网络安全员通报情况。

（二）网络安全员应在十分钟内赶到现场，并首先将被攻击的服务器等设备从网络中隔离出来，保护现场，同时向信息安全领导小组办公室汇报情况。

（三）网络安全员和网络管理员负责被破坏系统的恢复与重建工作。

（四）网络安全员协同有关部门共同追查非法信息来源。

（五）安全领导小组会商后，如认为情况严重，则立即向公安部门或上级机关报警。

第二十二条 病毒入侵

（一）当发现计算机感染有病毒后，应立即将该机从网络上隔离出来。

（二）对该设备的硬盘进行数据备份。

（三）启用反病毒软件对该机进行杀毒处理，同时使用病毒检测软件对其他机器进行病毒扫描和清除工作。

（四）如发现反病毒软件无法清除该病毒，应立即向安全小组负责人报告。

（五）信息安全小组相关人员在接到通报后，应在十分钟内赶到现场。

（六）经技术人员确认确实无法查杀该病毒后，应作好相关记录，同时立即向信息安全领导小组组长报告，并迅速联系有关产品商研究解决。

（七）安全领导小组经会商后，认为情况极为严重，应立即向公安部门或上级机关报告。

（八）如果感染病毒的设备是服务器或主机系统，经领导小组组长同意，应立即告知各部门做好相应的清查工作。

第二十三条 软件系统

（一）重要的软件系统平时必须存有备份，与软件系统相对应的数据必须有多日备份，并将它们保存于安全处。

（二）一旦软件遭到破坏性攻击，应立即向网络安全员、网络管理员报告，并将系统停止运行。

（三）网络安全员和网站维护员负责软件系统和数据的恢复。

（四）网络安全员和网络管理员检查日志等资料，确认攻击来源。

（五）安全领导小组认为情况极为严重的，应立即向公安部门或上级机关报告。

第二十四条 数据库安全紧急处置措施

（一）各数据库系统至少准备两个以上数据库备份，平时一份放在机房，另一份放在另一安全的建筑物中。

（二）一旦数据库崩溃，应立即向网络安全员报告，同时通知各下属单位暂缓上传上报数据。

（三）信息安全员应对主机系统进行维修，如遇无法解决的问题，立即向软硬件提供商请求支援。

（四）系统修复启动后，将第一个数据库备份取出，按照要求将其恢复到主机系统中。

（五）如因第一个备份损坏，导致数据库无法恢复，则应取出第二二数据库备份加以恢复。

（六）如果两个备份均无法恢复，应立即向有关厂商请求紧急支援。

第二十五条 广域网

（一）广域网线路中断后，有关人员应立即向网络管理员报告。

（二）网络管理员接到报告后，应迅速判断故障节点，查明故障原因。

（三）如属我方管辖范围，由网络管理员协同网络安全员立即予以恢复。如遇无法恢复情况，立即向有关厂商请求支援。

（四）如属接入商管辖范围，立即与接入商维护部门联系，请求修复。

（五）经网络安全领导小组同意后，应通告各部门相关原因，并暂缓上传上报数据。

第二十六条 局域网

（一）局域网中断后，网络管理员和网络安全员应立即判断故障节点，查明故障原因，并向网络安全领导小组办公室主任汇报。

（二）如属线路故障，应立即修复或重新安装线路。

（三）如属路由器、交换机等网络设备故障，应立即与设备提供商联系更换设备，并调试畅通。

（四）如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调试畅通。如遇无法解决的技术问题，立即向有关厂商请求支援。

（五）如有必要，应向安全领导小组组长汇报。

第二十七条 计算机设备

（一）小型机、服务器等关键设备损坏后，有关人员应立即向网络管理员和网络安全员汇报。

（二）网络管理员和网络安全员应立即查明原因。

（三）如果能够自行恢复，应立即用备件替换受损部件。

（四）如果不能自行恢复的，立即与设备提供商联系，请求派维修人员前来维修。

（五）如果设备一时不能修复，应向安全领导小组领导汇报，并告知各下属单位，暂缓上传上报数据。

第二十八条 火灾

（一）一旦机房发生火灾，应遵照下列原则：首先保人员安全；其次保关键设备、数据安全；三是保一般设备安全。

（二）人员疏散的程序是：机房值班人员立即进行火警警报，并通过 119 电话向公安消防请求支援，所有人员应进行防毒处置，所有不参与灭火的人员按照预先确定的线路，迅速从机房中撤出。

（三）人员灭火的程序是：首先切断所有电源，然后从指定位置取出灭火器进行灭火。

第二十九条 外电中断

（一）外电中断后，机房值班人员应立即查明原因，并向值班领导小组办公室主任汇报。

（二）立即通知后勤部门处置（修复或做好发电准备）。

第三十条  发生自然灾害后的紧急处置措施

（一）一旦发生自然灾害，导致设备损坏，由灾害发生部门向计算机网络与信息安全领导小组办公室请求支援。

（二）计算机网络与信息安全领导小组接到受灾部门的支援请求后，应立即派人赶到现场并进行应急处理工作。

第三十一条 关键人员不在岗的紧急处置措施

（一）对于关键岗位平时应做好人员储备，确保一项工作有两人能操作。

（二）一旦发生关键人员不在岗的情况，首先应向值班领导汇报情况。

（三）经值班领导批准后，由备用人员上岗操作。

（四）如果备用人员无法上岗，则请求相关厂商支援。