郑州市第十二中学网络安全应急预案

为确保网络正常使用，充分发挥网络在信息时代的作用，促进教育信息化健康发展，根据国务院《互联网信息服务管理办法》和有关规定，切实做好学校校园网络突发事件的防范和应急处理工作，进一步提高我校预防和控制网络突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保我校校园网络与信息安全，结合学校实际工作，特制订本预案，妥善处理危害网络与信息安全的突发事件，最大限度地遏制突发事件的影响和有害信息的扩散。

第一章　总则

第一条　本预案所称突发性事件，是指自然因素或人为活动引发的危害校园网络设施及信息安全等有关的灾害。

第二条　本预案的指导思想是确保我校有关计算机网络及信息的安全。

第三条　本预案适用于发生在校园网上的突发性事件应急工作。

第四条　应急处置工作原则：统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。

第二章　组织指挥和职责任务

第五条  成立网络与信息安全领导小组，办公室设在信息中心。工作小组的主要职责与任务是统一领导全校信息网络的灾害应急工作，全面负责学校信息网络可能出现的各种突发事件处置工作，协调解决灾害处置工作中的重大问题等。

网络与信息安全领导小组人员组织：

总指挥：校长

副总指挥：分管副校长、分管安全的副校长

办公室主任：教务主任、信息中心主任

成员：各处室中层正职、信息中心网络管理员

第三章　处置措施和处置权限

第六条　处置措施  处置的基本措施分灾害发生前与灾害发生后两种情况。

一、网络信息安全事件分类分级

（一）网络信息安全事件分类

网络信息安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。信息内容安全事件包括以下4个子类：

1．违反宪法和法律、行政法规的信息安全事件；

2．针对社会事项进行讨论、评论，形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件；

3．组织串连、煽动集会游行的信息安全事件；

4．其他信息内容安全事件。

（二）网络信息安全事件分级

I级（特别重大）：安全等级保护定为三级以上（含三级）的系统，包括学校门户网站，出现被恶意篡改、数据泄漏，发布危害国家安全、社会稳定和公共利益的内容，造成特别重大的社会影响。

II级（重大）：校内各部门二级网站被恶意篡改，发布危害国家安全、社会稳定和公共利益的内容，造成重大的社会影响。

III级（较大）：依托学校发布的其它访问量较小的信息系统被恶意篡改，通过其发布危害国家安全、社会稳定和公共利益的内容，造成较大的社会影响。

二、应急处置预案

（一）I级（特别重大）处置预案

1．处置

①断开网络连接，保护取证现场，并对被篡改页面或发布不良信息的页面进行截图留存。

②发现学校主页被恶意篡改或发布不良信息，应立刻通报教育局信息中心网络信息安全类突发事件应急处置工作组相关人员。

③恢复被篡改网页或删除不良信息。

④要求信息系统维护人员备份被篡改网页或不良信息出现目录、信息系统的事件出现一个星期内的HTTP连接日志、应用防火墙的事件出现一个星期内的网络连接日志。

2．后续处置

①全面查对HTTP日志，防火墙网络连接日志，确定该不良信息的源IP地址，并向网络信息安全类突发事件应急处置工作领导小组组长汇报，视情节严重程度领导小组可决定是否向公安机关报案。

②信息安全事件进行最初的应急处置后，应及时采取行动，抑制其影响进一步扩大，限制潜在的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响最小。

③信息安全事件被抑制后，通过对有关事件或行为的分析结果，找出问题根源，明确相应补救措施并彻底清除。

④在确保安全事件解决后，要及时清理系统，恢复数据、程序、服务，恢复工作应避免出现误操作导致的数据丢失。

（二）II级（重大）处置预案

1．处置

①发现校内各单位信息系统、二级网站主页被恶意篡改或发布不良信息，应立即断网，通报学校网络信息安全领导小组。

②通知主管领导，恢复被篡改网页或删除不良信息，对于未能及时恢复和删除的，应该立刻关闭相关网站。

③对被篡改页面或发布不良信息的页面进行截图留存。

④要求信息系统维护人员备份被篡改网页或不良信息出现目录、信息系统的事件出现一个星期内的HTTP连接日志、应用防火墙的事件出现一个星期内的网络连接日志。

2．后续处置

①全面查对HTTP日志，防火墙网络连接日志，确定该不良信息的源IP地址，并向学校网络信息安全领导小组汇报，视情节严重程度决定是否向公安机关报案。

②信息安全事件进行最初的应急处置后，应及时采取行动，抑制其影响进一步扩大，限制潜在的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响最小。

③信息安全事件被抑制后，通过对有关事件或行为的分析结果，找出问题根源，明确相应补救措施并彻底清除。

④在确保安全事件解决后，要及时清理系统，恢复数据、程序、服务，恢复工作应避免出现误操作导致的数据丢失。

（三）III级（较大）处置预案

1．处置

①发现依托学校访问量较小的信息系统被恶意篡改或发布不良信息，应立即断网，通报学校网络信息安全领导小组，并立刻关闭相关网站。

②对被篡改页面或发布不良信息的页面进行截图留存。

③要求信息系统维护人员备份被篡改网页或不良信息出现目录、信息系统的事件出现一个星期内的HTTP连接日志、应用防火墙的事件出现一个星期内的网络连接日志。

2．后续处置

①全面查对HTTP日志，防火墙网络连接日志，确定该不良信息的源IP地址，并向学校网络信息安全领导小组汇报。

②信息安全事件进行最初的应急处置后，应及时采取行动，抑制其影响进一步扩大，限制潜在的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响最小。

③信息安全事件被抑制后，通过对有关事件或行为的分析结果，找出问题根源，明确相应补救措施并彻底清除。

④在确保安全事件解决后，要及时清理系统，恢复数据、程序、服务，恢复工作应避免出现误操作导致的数据丢失。

三、情况报告

灾害发生时，一方面按照应急处置方法进行处置，同时需要判定灾害的级别，首先向学校网络与信息安全领导小组汇报。在大型灾害发生时或上级领导通知的特殊时间内发生的灾害，可以同时向市公安局计算机信息系统安全监察处汇报。中、小型级别的灾害，可以只向学校的网络与信息安全领导小组汇报，并及时报告处置工作进展情况，直至处置工作结束。

情况报告内容包括：灾害发生的时间、地点，灾害的级别，灾害造成的后果，应急处置的过程、结果，灾害结束的时间，以后如何防范类似灾害发生的建议与方案等。

四、发布预警

灾害发生时，可根据灾害的危害程度适当地发布预警，特别是一些在其它地方已经出现，或在安全相关网站发布了预警而学校信息网络还没有出现相应的灾害，除了在技术上进行防范以外，还应当向网络信息用户发布预警，直至灾害警报解除。

五、预案终止

经专家组鉴定，灾害险情或灾情已消除，或者得到有效控制后，由学校网络与信息安全领导小组宣布险情或灾情应急期结束，并予以公告，同时预案终止。

第四章　保障措施

灾害应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作，是有组织的科学与社会行为，而不是随每次灾害的发生而开始和结束的活动。因此，必须做好应急保障工作。

第八条　人员保障

重视人员的建设与保障，确保在灾害发生前的人员值班，灾害处置过程和灾后重建中的人员在岗与战斗力。

第九条　技术保障

重视网络信息技术的建设和升级换代，在灾害发生前确保网络信息系统的强劲与安全，灾害处置过程中和灾后重建中的相关技术支撑。

第十条　物资保障

中心应根据近期网络信息系统安全防治工作所需经费情况，将本年度灾害应急经费纳入年度财务计划和预算，购买相应的应急设施。建立应急物资储备制度，保证应急抢险救灾队伍技术装备的及时更新，以确保灾害应急工作的顺利进行。

第十一条　训练和演练

加强全校网络信息用户的防灾、减灾知识的宣传普及，增强这些用户的防灾意识和自救互救能力。有针对性地开展应急抢险救灾演练，确保发灾后应急救助手段及时到位和有效。

第五章　附则

第十三条　本预案由郑州市第十二中学信息中心解释。

第十四条　本预案自发布之日起施行。