濮阳市教育局

网络与信息安全事件应急预案

 

一、 总则

1、编制目的

为提高处置突发事件的能力，建立健全濮阳市教育局网络和信息安全应急响应机制，有效预防、及时控制和最大限度地消除教育局网络与信息安全各类突发事件的危害和影响，维护公共利益和社会秩序，创造安全稳定的教育环境。

2、编制依据

根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中共中央办公厅国务院办公厅关于转发〈国家信息化领导小组关于我国电子政务建设指导意见〉的通知》（中办发〔2002〕17 号）、《中共中央办公厅国务院办公厅关于转发〈国家信息化领导小组关于推进国家电子政务网络建设的意见〉的通知》（中办发〔2006〕18号）和《国家电子政务总体框架》（国信〔2006〕2号）制定本应急预案。

3、适用范围

本预案适用于：教育局计算机网络与信息系统运行时发生的并有可能影响到国家和社会安全稳定的紧急事件；对教育局正常工作发生影响的网络与信息安全事件。

影响或破坏网络与信息系统安全运行的突发事件可分为网络运行安全事件和网络信息安全事件。网络运行安全事件主要指内外网的线路、网络设备、服务器设备等出现的被病毒和恶意攻击带来的安全事件；网络信息安全事件主要指教育网中各类信息系统中出现的信息安全事件，如数据窃取、数据破坏等。

4、工作原则

（1）积极防御、综合防范。立足安全防护，加强预警，重点保护基础信息网络和关系到社会稳定、教育局机关网络安全的重要信息系统；从预防、监控、应急处理、应急保障和打击破坏等多个环节予以重视，在规范管理、技术人才等方面采取多种措施，充分发挥各方面的作用，共同构筑教育局网络与信息安全保障体系。

（2）明确责任、分级负责。按照“谁主管谁负责、谁上网谁负责、谁使用谁负责”以及“条块结合、以条为主”的原则，建立和完善安全责任制、协调管理机制和联动工作机制，形成合力，共同履行应急处置工作的管理职责。

（3）以人为本、快速反应。把保障社会公众利益以及教育局机关网络安全作为首要任务，及时采取措施，最大限度地避免公共财产遭受损失。网络与信息安全突发公共事件发生时，要按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。

（4）依靠科学、平战结合。加强技术储备、规范应急处置措施与操作流程，实现网络与信息安全突发公共事件应急处置工作的科学化、程序化与规范化，树立常备不懈的观念。

二、组织机构及职责

教育局网络与信息安全突发事件防范及应急处置工作在教育局网络安全和信息化领导小组统一领导、组织和协调下，由信息中心具体承担，在对教育局网络与信息安全工作进行全面分析研究的基础上，制定工作方案，提供人员和物质保证，及时处理各类危害网络与信息安全的突发事件。

其主要职责及任务：

1、组织制定教育局网络与信息安全事件应急预案；

2、统筹规划建立应急处理技术平台，会同相关单位制定相关应急措施；

3、协调处理各科室及学校共同做好网络与信息安全突发事件的处置工作；

4、加强网络与信息安全的监测与监控；

5、负责及时收集、上报和通报应急事件的有关情况。

6、对由于系统崩溃，病毒攻击，非法入侵等原因造成网络运行异常或瘫痪时，负责及时发现并找出原因，尽快恢复网络与信息系统的正常运行。

三、预警和预防机制

1、信息系统概况

濮阳教育网是市教育局的门户网站，是濮阳市教育局实现政务公开、新闻宣传、资源共享、网上办事及网上咨询的重要平台，网站服务器位于市教育局科研楼四楼网络中心机房。

2、风险点及事故分析

影响濮阳教育网正常运行存在的风险点及可能出现的安全事件有：中心机房供电系统故障、消防系统故障、网络系统故障、服务器硬件系统故障、黑客入侵攻击、大规模病毒（恶意软件）攻击等。

3、监控及信息预防

对于濮阳教育网存在的风险点及安全隐患，我局采取人防和机防相结合。机房内装有后备 UPS 电源和消防设施；在服务器上装有查杀病毒和木马的软件，利用防火墙关掉一些不必要的端口；建立值班制度，认真记录网络和服务器的运行状况，有效预防潜在风险的发生；对于网站运行过程中发生的一些未造成后果的事件，及时分析原因，认真总结；每年至少开展一次网络安全应急实战演练，切实提高网络管理人员应急处置能力。

4、预警响应

针对各等级预警信息，将迅速组织相关人员认真对照预警信息，明确预警内容及处理的关键技术，在细心疏理、逐条对照解决方案，查找濮阳教育网潜在的漏洞和风险，通过系统升级以及安全规则来堵漏洞和排风险，加强24小时值班管理，并形成预警响应方案报领导审定。

四、应急响应

1、级别的确定

网络与信息安全事件分级的参考要素包括信息密级、公众影响、业务影响和资产损失等四项。各参考要素分别说明如下：

（1）信息密级是衡量因信息失窃或泄密所造成的信息安全事件中所涉及信息重要程度的要素；

（2）公众影响是衡量信息安全事件所造成负面影响范围和程度的要素；

（3）业务影响是衡量信息安全事件对机关正常业务开展所造成负面影响程度的要素；

（4）资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。

信息安全突发事件级别分为四级：一般（IV 级）、较大（III 级）、重大（II 级）和特别重大（I 级）。

IV级：较大范围出现并可能造成较大损害的信息安全事件。

III级：重要网络与信息系统、重点网站或者关系到本地区社会事务或经济运行的其他网络与信息系统受到大面积严重冲击。

II级：重要基础网络、重要信息系统、重点网站瘫痪，导致业务中断，纵向或横向延伸可能造成严重社会影响或较大经济损失。

I级：破坏分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动，或者多地点或多个基础网络、重要信息系统、重点网站瘫痪，导致业务中断，造成或可能造成严重社会影响或巨大经济损失的信息安全事件。

2、信息报告

发生网络与信息安全事件后，由濮阳教育网值班人员第一时间内 向有关领导汇报，局网络安全和信息化领导小组启动相应应急预案，并由信息中心负责应急处理工作，有关技术人员的手机必须保持 24小时开机。如经初步研判属于特大或重大事件的，局网络安全和信息化工作领导小组办公室应在2小时内上报市公安局和省教育厅。

3、先期处置

信息中心在事件发生现场应及时处理各项工作，尽最大可能收集事件相关信息，判别事件类别，确定事件来源，保护证据，以便缩短应急响应时间，对级别较小的突发事件应当场处理。

检查威胁造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性；检查攻击者是否侵入了系统；以后是否能再次随意进入等。

抑制事件的影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统的物理链接，修改防火墙和路由器的过滤规则；封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路；提高系统或网络行为的监控级别等。

4、应急处置

4.1、电力系统故障的应急处理流程

(1)装备办技术人员根据停电时间和 UPS 电池的供电能力，在保证网络关键设备用电的前提下，提出机房设备部分关机或全部关机方案。报领导认可后，安排相关人员按照规定的流程操作实施。

(2)电力系统恢复供电后，局机关电力设备维修人员应在第一时间通知信息中心，以便尽快恢复关闭的网络设备。信息中心技术人员在接到通知后，按照规定流程开启相关设备。

(3)网络设备恢复运行后，应继续观察中心机房电压情况。

4.2、消防系统故障的应急处理流程

当出现火情、火灾时，濮阳教育网值班人员应在最短时间内报告领导。若火情严重时，应迅速拨打119电话报警，并尽可能采取一些简单可行的方法作初步处理，如：使用周围的灭火器或采用其他灭火措施、手段。在灭火的同时，立即疏散灾情范围的工作人员。进展情况随时向有关领导报告。

4.3、网络系统故障的应急处理流程

(1)故障排查。网络设备或应用系统故障应由发现人通知信息中心领导，并立即检查故障，进行初步故障定位，预测可能出现的影响；如果网络、应用系统出现的问题影响业务正常运行，需立即向有关领导报告并组织设备、系统、网络的相关技术人员及时快速到达第一现场，对故障进行准确定位。

(2) 故障排除。对系统故障，维护人员应迅速排除，解决问题后记录备案。如果是软件故障，通过相应技术手段，如检查路由表和路由配置、检查端口设置状况、检查协议进程等来加以排除，同时可以联系相关供应商和开发商配合解决。

如果需要更换设备，应上报有关领导，经批准后马上更换故障设备，尽快恢复系统运行。装备办无法及时修理时，应立即通知相关供应商及维护人员，在最短的时间内安排修理。

4.4、服务器硬件系统故障的应急处理

濮阳教育网值班人员应在最短时间内报告信息中心领导，并及时分析硬件系统的故障所在，如果是整个服务器硬件系统损坏，可立即使用备份服务器来安装系统，恢复备份数据，保证在最短的时间内，让网站正常运行；如果是其中部分硬盘损坏，但没有影响系统的运行，可经领导批准后立即更换新硬盘，做好数据的备份工作。

4.5、黑客入侵的应急处理

(1)发现网络上有黑客攻击行为，任何人员都有义务向信息中心报告。信息中心立即启动应急响应，切断受攻击计算机与网络的连接，停止一切操作、保护现场，并上报有关领导。

(2)对于黑客攻击，由信息中心负责查找入侵踪迹，分析入侵方式和原因。由安全管理员根据对入侵事件的分析，组织相关人员对内部网计算机整改，防止黑客用同样的手段再次入侵其他系统。安全管理员检查确定无安全隐患后，才可将受攻击计算机重新连接网络，或启用备份计算机来恢复应用。

(3)若通信系统已被黑客破坏，无法恢复，应立即联系通信系统维护商立即更新程序。

(4) 将发现与处理的情况向公安部门报告。

4.6、大规模病毒(含恶意软件) 攻击的应急处理

(1)在发现病毒(含恶意软件) 侵害时，应立即发布紧急通知，告知机关工作人员，停止数据的网上传播。改用手工导入数据或等病毒(含恶意软件)爆发期过后再行传输。

(2)认真检查病毒(含恶意软件) 对各系统的破坏情况，爆发期过后使用最新版本杀毒软件对染毒计算机进行全面杀毒，并对染毒计算机系统进行漏洞修补或替换。

5、应急行动结束

根据网络与信息安全事件的处置进展情况和现场应急处理工作组意见，信息中心组织相关单位及专家组对信息安全事件处置情况进行综合评估，如安全事件属于较大、一般的，由局网络安全和信息化领导小组作出应急响应结束的决定，较大（以上）事件应急结束后应及时报市公安局和省教育厅。

五、后期处置

1、恢复与重建

教育局网络与信息安全事件之后系统的恢复与重建是在局网络安全和信息化领导小组指挥下，信息中心会同有关部门，通力合作，对事故原因认真总结排查，在最短的时间内恢复系统运行，把损失减少到最小。

2、总结评估

回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。发生重大网络与信息安全事件后，信息中心应当在事件处理完毕后及时将有关情况向局网络安全和信息化领导小组汇报并备案。

3、奖惩与责任

（1）对下列情况可以经局网络安全和信息化领导小组评估审核准后予以奖励：在应急行动中做出特殊贡献的个人或集体；在应急行动中提出重要建议方案，节约大量应急资源或避免重大损失的人员；在应急行动第一线做出重大成绩的现场作业人员。

（2）在发生重大网络与信息安全事件后，有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的，局网络安全和信息化领导小组将予以通报批评；对造成严重不良后果的，将视情节追究有关负责人的责任。

六、网络与信息安全主要负责人

王振琦，信息中心负责人。