1、总则

1.1编制目的

为防止因网络信息系统出现故障而影响学校正常教学管理秩序，通过编制和实施安全事故应急预案，提高网络信息系统安全事故应急响应和处置能力，对于可能发生的各种网络信息安全事故或灾害，能够在第一时间做出快速反应并采取应对措施，及时恢复网络和系统运行，减少损失，降低负面影响，确保各部门在特殊情况下能够及时、有效地处理各类突发事件。结合我院实际，特制定本预案，各部门在应急情况下遵照执行。

 

1.2指导思想

认真贯彻落实安全机制，坚持“积极防御、综合防范”的方针，重点保障基础信息网络和重要信息系统的安全运行，为学校各应用平台的应用和维护提供有力保障。

 

1.3目标

建立健全网络信息安全事故应急处置策略和分级实施的应急预案体系；建立分离管理、分级负责、技术服务结合、属地为主的应急管理体制；建立统一指挥、反应灵敏、协调有序、运转高效的应急协调机制；健全专业化和规范化相结合的应急保障体系，实现全方位、实用的、快捷的网络信息安全事故应急处置手段和能力。

 

 

2、预案的适用范围及启动条件

本预案适用范围：公安科技研发中心负责开发、维护或运营的对内（外）服务系统。

本预案启动条件：上述范围内发生的重大信息安全突发事故。

 

 

3、网络信息安全职能管理组织体系

3.1网络信息安全事故应急领导小组

网络信息安全事故应急领导小组（以下简称应急领导小组），为非常设领导机构，统一领导学校信息安全突发事故的应急处理工作。下设网络信息安全事故应急管理小组。

主要职责：

（1）组织和领导重大信息安全事故的应急处置，并决定网络信息安全事故应急工作重大决策；

（2）贯彻落实管理部门或上级领导的交办的有关任务，并及时报告重要情况并提出建议；

（3）督导网络信息安全事故应急管理小组依照有关要求，做好网络信息安全事故预案的编制、修订和组织实施工作；

（4）突发网络信息安全事故发生后，根据需要，迅速设立现场领导小组；

（5）督导相关部门做好突发信息安全事故的预防、应急准备、应急处置和恢复重建等工作；

（6）督导所属专业应急队伍做好应急响应有关软件工具和技术准备。

 

3.2网络信息安全事故应急管理小组主要职责：

（1）贯彻落实应急领导小组的指示和决定，及时向应急领导小组报告情况并提出建议；

（2）起草修订《网络信息系统安全事故应急预案》，检查网络信息安全事故应急预案的执行工作，并对预案进行评估和评价；

（3）突发事故发生后，组织技术人员和服务人员，调动全部门力量，具体实施应急处置工作；

（4）组织协调网络信息安全事故应急小组做好应急处置对策研究；

（5）网络信息安全事故应急管理小组内部分工：

1）服务人员负责重大信息安全事故的预警、预报的汇报，为信息安全事故应急领导小组和管理小组提供启动或终止重大信息安全应急预案的说明；

2）技术人员负责网络信息安全事故的事故分析评估、应急方案制定及实施等工作，准确有效地完成信息安全事故应急响应和处置；

3）组长负责重大信息安全事故信息的收集、分析和评估工作；负责重大信息安全事故应急预案的发布；并负责重大信息安全事故的调查、责任界定和处理通报。

 

 

4、事故等级及故障分级

4.1安全事故等级：

本预案所称网络信息安全突发事故，依据其性质、危害程度、涉及范围、影响大小等情况，由高到低划分为三个等级，即：重大事故（I级）、较大事故（II级）、一般事故（III级）。

（1）重大突发信息安全事故（I级）：

事故发生后，主要信息网络或信息系统受到重大破坏、甚至部分瘫痪，对重要要害部门或大范围用户造成重大损失，严重地影响数据安全、业务工作和公共利益，需要调动全校技术力量、资源开展应急处置的信息安全事故。

（2）较大突发信息安全事故（II级）：

事故发生后，主要信息网络或信息系统出现较大事故，不能正常运行，未对重要要害部门或大范围用户造成重大损失，但对三分之一以下用户有较大危害，较大地影响业务工作、数据传递和公共利益，需要动员相关部门力量和资源进行处置的信息安全事故。

（3）一般突发信息安全事故（III级）：

事故发生后，不影响主要信息网络或信息系统运行，不涉及重要要害部门或大范围用户，仅对个别用户造成较小损失和危害，较小地影响业务工作、数据传递和部分利益，且动员自身力量可以处置的信息安全事故。

 

4.2信息系统故障分级

根据故障发生的原因和性质不同分为三类：

（1）一类故障：

由于服务器不能正常工作、光纤损坏、主服务器数据丢失、备份硬盘损坏、服务器工作不稳定、局部网络不通、基础数据目录被人删除或修改、重点终端故障、规律性的整体、局部软件和硬件发生故障等造成的网络瘫痪。

（2）二类故障：

由于单一终端软、硬件故障，单一用户信息丢失、偶然性的数据处理错误、某些部门或用户违反工作流程引起系统故障。

（3）三类故障：

由于各终端操作不熟练或使用不当造成的错误。

 

 

5、应急协调机制

5.1基本原则

（1）加强预防原则。

技术部门要随时注意校内各应用服务平台的运行情况，密切关注各级管理中心或互联网发布的病毒预告，及时安装补丁，增强系统的防护能力，防患于未然。

（2）快速反应原则。

发现网络或系统异常的各级部门或个人要迅速上报，并立即切断风险源，防止事故进一步蔓延。

（3）统一指挥原则。

各部门必须统一服从网络信息安全工作领导小组的指挥，在处置过程中，及时关注领导小组发布的公告和通知。

（4）依法处置原则。

在处置信息网络安全事故的过程中，要坚持依法有序处置、积极稳妥缜密的原则，防止危害进一步扩散和蔓延，避免对公众造成严重的负面影响。

 

5.2工作协调机制

网络信息安全职能管理部门，针对网络信息安全事故应急处置工作，建立一定的协调和联动机制，发挥各自优势，组织相关应急资源，完成信息安全事故的应急处置和救助。

 

5.3事故通报机制

各级部门之间、上下级之间、工作小组之间，建立网络信息安全事故通报机制，开展横向、纵向间的事故通报；对于事故隐患、苗头、潜在威胁以及可能发生的事故发出预警预报；对于已经发生的事故及时通报，采取有效措施，防止类似事故发生；对于事故处置的情况进行通报，用以警示。

网络信息系统出现故障报告程序：

（1）当接到用户反馈或发现计算机访问数据库速度迟缓、不能进入相应程序、不能保存数据、不能访问网络、应用程序非连续性工作时，且一个小时内无法解决时，要立即向技术部门负责人报告。

（2）技术部门负责人对反馈的问题必须高度重视，做好记录，经核实后及时向技术负责人反馈故障信息，必要时召集有关人员进行讨论，如果故障原因明确，可以立刻恢复的，应尽快恢复工作；如故障原因不明、情况严重、不能在短期内排除的，应立即报告部门主管领导。针对上述故障分类等级，处理原则如下：

一类故障——由技术部门负责人上报应急领导小组组长，由应急领导小组组织协调恢复工作。

二类故障——由技术部门负责人上报应急领导小组组长，由应急管理小组组织技术和服务人员解决。

三类故障——由技术部门负责解决，并详细登记维护情况，及时将处理结果提报技术部门负责人。

 

5.4网络信息交流机制各部门之间建立信息交流机制，对信息安全知识、技术、应用以及成功案例以及国内外信息安全发展趋势、最新解决方案、工作和经验等情况进行交流，实现网络信息资源共享，促进网络信息安全工作。

 

 

6、预警和报警

6.1预警主要包括三个方面：

一是各技术部门通过安全日志管理和安全审计等手段实施监控，发现漏洞和隐患及时提出预警报告；

二是网络管理部门加强监管，做好网络信息安全事故预防工作，同时，收集和发布国内外网络信息安全事故预警预测信息；

三是加强网络信息安全的普及推广和宣传，发挥全校力量，发现问题及时向技术部门报告，以便及时开展预防。

 

6.2报警

信息安全事故发生后，及时报技术部门负责人，根据事故等级逐级上报至上级主管部门。

 

 

7、启动和实施

7.1启动应急预案

（1）重大事故，事故发生后紧急启动应急预案开展补救，迅速控制或切断反应途径，防止次生、衍生事故的连锁反应，同时，报应急管理小组和应急领导小组；根据应急领导小组指示，启动应急预案，协调动员相关部门和有关技术力量，共同开展应急救助工作。

（2）较大事故，事故发生后启动本级应急预案，应急管理小组，动员内部力量，做好应急处置。

（3）一般事故，事故发生后报部门负责领导直接启动应急预案，争取在第一时间内恢复运行。

 

7.2实施应急预案的技术处置方案

7.2.1黑客攻击事故应急处置措施

（1）隔离被攻击服务器或关闭网站；

（2）更改密码，改变安全策略；

（3）清查系统，防止黑客留下后门程序。

 

7.2.2病毒大规模爆发事故应急处置措施

（1）锁定病毒源或病毒发作区域，并及时对病毒发作区域进行隔离，防止病毒扩散；

（2）启动查杀病毒系统。

 

7.2.3应用软件安全事故的应急处置措施

（1）立即停止应用软件运行；

（2）联系应用软件开发商，研究解决问题。

 

7.2.4数据库（中心）安全事故应急处置措施

（1）立即关闭主机系统，启动备用系统；

（2）如果两套系统均崩溃而无法恢复，应立即向技术部门请求紧急支援；

（3）必要时可以启动数据手工记录方式，待数据库修复后，重新录入系统。

 

7.2.5信息失密、泄密事故应急处置措施

（1）暂停涉密系统及有关设备运行；

（2）向相关管理部门报案。

 

7.2.6网络线路突然中断事故应急处置措施

（1）判断事故节点，查明故障原因；

（2）启动备用线路或搭建临时线路；

（3）抢修线路。

 

7.2.7不可抗拒因素引发的重大、特大事故应急处置措施

不可抗拒因素引发的事故主要指因地震、台风、雷电、火灾、水灾等不可预测的自然力导致的信息安全事故。

（1）对网络与系统进行必要物理加固，增强对事故的抵抗能力；

（2）可以按先重要、后次要，先数据、后硬件的顺序将网络和系统撤离危险区域。

 

7.2.8其它原因引发的重大、特大网络信息安全事故应急处置措施

按照当时最先进的技术、救助方式和手段实施应急处置。

 

7.3发生网络系统整体故障时的主要工作

7.3.1当技术部门负责人确定为网络系统整体故障时，首先是立刻报告上级领导，同时组织恢复工作，并充分考虑到特殊情况如节假日、学生流量大、人员外出及管理部门有重大活动等对故障恢复带来的时间影响。

 

7.3.2当发现网络整体故障时，各部门根据故障恢复时间的程度做好应急措施，具体时限明确如下：

（1）1小时内不能恢复——网络信息部立即报告部门负责人，说明故障可恢复的时间，提供相关支持或协助。

（2）4小时内不能恢复——网络信息部立即报告部门负责人，并提交书面故障通告，请其协调校内各部门工作，故障消除后立即发布通报。

（3）8小时以上不能恢复——技术部门提供临时解决方案，网络信息部立即报告部门负责人，并提交书面故障通告，请其协调校内各部门工作，确保不影响用户正常业务开展，故障消除后网络信息部立即发布通报。

 

7.3.3应急数据恢复工作规定

（1）当服务器确认出现故障时，由系统网络维护管理员按《数据备份恢复方案》进行系统恢复。

（2）系统网络维护管理员由网络信息部指定专人负责恢复。当人员变动时应有交接手续。

（3）当网络线路不通时，网络维护管理员应立即到场进行维护，当光纤损坏时应立即使用备用光纤进行恢复，交换机出现故障时，应使用备用交换机。

（4）网络维护管理员对每次的恢复细节应做好详细记录。

（5）网络维护管理员每月对全系统备份数据进行模拟恢复一次，以检查数据的可用性。

 

7.3.4网络服务器故障应急处理规程网络服务器故障是因硬件或软件原因致使系统运行停止，一旦发生故障，按下列规程处理。

（1）网络信息部与软件研发中心应设24小时专人值班，监控网络运行。发现问题，在及时处理的同时迅速向主管领导汇报。故障排除后，应完成故障报告，在技术讨论会上汇报。

（2）遇到较大故障，应急管理小组组长应迅速集合相关人员，集体攻关。具体分为3个组做以下工作：

1）故障检修组：集中系统分析故障、查找原因、修复系统。

2）技术联络组：迅速与软、硬件供应商取得联系，采取有效手段获得技术支持。

3）内部协调组：通知主管领导和技术部门故障情况，并到技术部门协助关键数据保存。

（3）各部门制定相应的系统故障数据保护措施，并建立数据抢录小组，发现停机，应保存断点，保护原始数据，断点前后表单分开存放。

（4）在停机期间，相关部门负责人应组织数据抢录小组在岗待命，一旦系统恢复，当日应立即完成对重要数据的录入，第二天完成全部数据补录。

（5）故障排除后，技术部门负责人应按制定方案分片包干，协助部门进行数据补录工作。

（6）故障排除后2天内，技术部门负责人应组织技术人员召开技术研讨会，分析故障原因，制定预防措施，完成故障排除报告上级领导。

 

7.4各部门的具体协调安排

所有重大故障通报和应急措施的统一启动时间须由技术部门负责人通知，相关部门严格按照通知时间协调各项工作，在未接到新的指示前不准擅自变更。

（1）由网络信息部负责人负责总体联络协调，要与技术部门负责人保持联系，及时反馈沟通最新消息；

（2）网络故障发生和处理期间，服务人员应做好外部沟通，详细记录所有问题和执行情况，提报网络信息部负责人；

（3）当系统恢复正常时，由网络系统技术人员负责对网络运行稳定性进行监测，如不稳定，及时向技术部门负责人反馈情况；

（4）系统恢复后，由网络系统技术人员严格按照服务器数据管理要求进行恢复工作；

（5）当系统停止运行超过24小时，由网络信息部追查是否还有其他影响，并向技术部门负责人提供核实情况报告（上级管理部门确认）后，方可结案。

 

 

8、应急结束

8.1重大事故结束后，由应急管理小组宣布结束应急处置，恢复正常状态；

8.2一般事故和较大事故结束后，由分管领导或部门负责人宣布结束紧急状态，恢复正常工作；

8.3应急处置结束后，技术部门负责人组织事故发生单位、主管部门对事故进行调查，同时上报上级主管领导同意后予以处理。同时，提出恢复方案和整改措施，修订应急预案，防止再次发生类似事故。

 

 

9、信息发布

需要向社会和公众发布信息的重大、特大事故，由网络信息安全事故应急管理小组根据事故影响程度和类型，拟写报告统发稿或事故通报，经学校领导审批后发布。

 

 

10、预案演练

要定期、不定期组织应急处置演练，并根据演练中发现的问题，及时修改完善预案，用以确保应急预案的有效实施。同时，还要做好涉及预案实施人员的技术、应用等方面的培训。

 

 

11、应急保障

11.1应急装备保障重要网络信息系统在建设时应预留一定的应急设备，建立硬件、软件、救援设备等应急物资库。

 

11.2数据保障重要网络信息系统均应建立异地容灾备份系统和相关工作机制，保证重要数据在受到破坏后，可紧急恢复，各容灾备份系统应具有一定兼容性，在特殊情况下各系统间可互为备份。

 

11.3应急队伍保障选择经学校考评资质认可的、管理规范、具有较高技术能力的技术人员，作为网络信息安全事故应急支撑和技术支持，保证应急队伍的需要。

 

11.4经费保障信息安全事故应急处置资金，应列入部门预算。

 

 

12、附则

12.1预案管理本预案将根据学校网络信息安全事故应急工作实际需求适时进行修订和完善。

 

12.2制定与解释本预案由校网络信息安全事故应急管理小组制定，并负责解释。

 

12.3预案实施时间本预案自发布之日起实施。