学校网络安全事件应急预案.doc

学校网络安全事件应急预案 学校网络安全事件应急预案（精选篇1）一、应急预案适用范围：1、计算机专用教室、多媒体专用教室及其它配有计算机设备的教室、办公室。2、闭路电视系统。3、广播播音系统。二、应急预案启动有下列情况应启动应急预案：1、计算机专用教室、多媒体专用教室及其他场所发生火灾。2、设备发生被盗或人为损坏。3、发现利用网络传播不良信息现象。4、计算机网络出现病毒。三、应急预案启动程序。1、网络设备使用者或管理者发现上述所列情况之一时，应立即报告网络安全领导小组负责人(网管)，同时控制好现场，火灾时，还要组织学生有序地撤离现场。2、网络安全领导小组接报后，立即向有关部门报告，同时组织有关人员对现场进行施救或控制，直至问题解决。四、应急预案启动实施办法。(一)火灾发生时处理办法：1、当火灾发生时，立即切断电源，同时组织学生有序疏散，并将火情通知领导小组。2、领导小组接报后，立即向有关部门报告，同时组织校内有关人员灭火、疏散学生，并派人到校门口引领消防部门或上级有关人员到火灾现场，直至火势扑灭。3、领导小组配合有关部门调查分析火灾原因，进行防火措施改进。(二)设备发生被盗或人为损害处理办法：1、发生上述情况时，使用者或管理者应立即告知学校，同时封闭现场。2、学校领导小组接报后，立即报告相关部门，并组织相关人员配合有关部门进行调查，直至问题解决，恢复设备使用。(三)不良信息和网络病毒处理办法：1、发现不良信息或网络病毒，网络管理员应立即终止不良信息或网络病毒的传播，同时将情况告知学校机关负责人。2、学校接报后，一方面向学校信息中心报告，请示处理意见。另一方面通告全校计算机用户防病毒方法，并督促网管员进行杀毒处理，直至网络处于安全状态。对不良信息追查信息*，对未经学校同意，擅自发布信息而造成不良影响者，由学校校务会讨论后给予一定的处分。触犯法律者交执法部门追究法律责任。学校网络安全事件应急预案（精选篇2）为及时处置校园网信息网络安全事件，保障校园网作用的正常发挥，特制定本预案。一、校园网络安全事件定义1、校园网内网站主页被恶意纂改、交互式栏目里发表反政府、分裂国家和色情内容的信息及损害国家、学校声誉的谣言。2、校园网内网络被非法入侵，应用服务器上的数据被非法拷贝、修改、删除。3、在网站上发布的内容违反国家的法律法规、侵犯知识版权，已经造成严重后果。二、网络安全事件应急处理机构及职责1、设立信息网络安全事件应急处理小组，负责信息网络安全事件的组织指挥和应急处置工作。组长由学校主要负责人担任，成员由分管领导、网络中心等负责人组成。具体承办有关工作组织协调、调查取证、应急处理和对外信息发布等工作。2、领导机构学校负责人兼网络安全管理中心组长：焉永红分管领导兼网络安全管理中心副组长：吕倩网络安全管理中心组员：吕倩、隋文静、张文欣三、网络安全事件报告与处置事件发生并得到确认后，网络中心或相关科室人员应立即将情况报告有关领导，由领导（组长）决定是否启动该预案，一旦启动该预案，并报有关部门。对来往电子邮件及网络下载文件用防病毒软件软件过滤，确保不被木马类黑客病毒侵入并在无意中协助传播病毒。 管理员对定期检查设备的运转情况，做好设备维护记录，保证设备高效稳定的运行。一旦主服务出现硬件设备故障，管理员将在第一时间启用备份服务器，保证网络的正常运行，并对原服务器进行及时的检修，在修复后将替换备份服务器继续运行，保证网络的正常运行。凡是上网人员，都能通过防火墙记录在日志里，日志的保留时间为3个月。关闭一些反动、不健康的网站,保障了校园网文化的干净。信息中心对服 务器重要信息定时做好备份，提高信息存储安全应急响应能力。并定期检查设备的运转情况，做好设备维护记录，保证设备高效稳定的运行。学校网络安全事件应急预案（精选篇3）为提高我校校园网应对网络与信息安全突发事件的能力，加强校园网安全保障工作，形成科学、有效、快速的应急机制，确保校园网的实体安全、运行安全和数据安全，最大限度地减轻网络基础平台与信息安全突发事件造成的危害，特制定此应急预案。制定依据根据中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际联网管理暂行规定、计算机信息网络国际联网安全保护管理办法、桐城师专校园计算机网络管理暂行办法制定本预案。二、 适用范围本预案适用的网络和信息安全突发事件包括如下几方面。1、网络基础平台突发事件。网络基础平台突发事件是指由自然灾害、其他事故和人为破坏引起的网络硬件设备和基础设施损坏的事件。2、应用系统和信息安全突发事件。应用系统和信息安全突发事件是指因为黑客攻击或病毒等导致的应用系统故障、异常或拒绝服务、信息泄露或被篡改、或利用校园网传播危害国家安全、社会秩序及影响我校正常学习工作的事件。三、 组织体系在学校信息化工作小组的领导下，以实验实训中心为执行部门，按照“分级负责、责任到人”的原则，组织实施具体的应急预案。信息化工作小组负责监督实验实训中心制定及实施应急预案。实验实训中心领导负责研究制定校园网基础平台、应用系统和信息安全突发事件应急处置工作的规划、计划和政策，不断推进网络应急机制和工作体系的建设;在发生以上网络安全突发事件后，决定启动应急预案，组织实施应急处置工作。并在发生重大突发事件时汇报信息化工作小组。四、 应急流程1、 临时处理在突发事件发生后，值班维护人员应做好临时应急处置工作，立即采取措施控制事态，同时向实验实训中心领导报告。并在事件处置结束前进行动态监测、评估，及时将事件现状及处置工作等情况进行汇报，不得隐瞒、缓报、谎报。2、 预案实施实验实训中心领导接到突发事件报告后，根据事件严重程度，进行不同的处置。对于重大突发事件，实验实训中心领导应当汇报信息化工作小组，并给出处置建议。对于一般事件，按照已有的预案实施应急处置。同时相关人员保持联系，及时了解当前状况，组织预案的实施工作。3、 信息发布。当突发事件发生时，实验实训中心应及时做好信息发布工作，通过仍然正常工作的应用系统或者其他渠道发布当前网络安全突发事件处置的相关信息，引导舆论和公众行为，避免影响社会或学校秩序。实验实训中心要密切关注国内外关于当前网络安全突发事件的新闻报道，及时采取措施，对媒体关于事件以及处置工作的不正确信息，进行澄清、纠正影响，接受群众咨询，释疑解惑，稳定人心。4、 应急支援经实施应急预案后，事态难以控制或有扩大发展趋势时。要迅速召开应急处置会议或由信息化工作小组根据事态情况，研究采取有利于控制事态的非常措施，并向相关技术部门或公安部门请求援助。5、 应急结束当突发事件的影响效果大幅度减小或消失，校园网恢复正常时，由实验实训中心相关人员根据监控数据给出应急结束的建议，由实验实训中心领导宣布应急结束，对于重大事件应急结束时应汇报信息化工作小组。五、 事后处置在应急处置工作结束后，要迅速采取措施，抓紧组织抢修受损的基础设施或对存在问题的应用系统进行维护，以减少损失，尽快恢复正常工作。对于信息安全突发事件中的不良信息，做好日志记录，保存好证据以备日后审查。统计各种数据，查明事件原因，对事件造成的损失和影响以及恢复能力进行分析评估，认真制定恢复计划，并迅速组织实施。事后处置过程应向实验实训中心领导汇报或上报信息化工作小组。六、 应急保障1、 硬件和网络设施保障。事先预留一定的应急硬件设备或网络设施。在突发事件发生时，可以及时替换使用。2、 重要应用系统、信息和数据均应建立异地容灾备份系统和相关工作机制，保证系统或数据在受到破坏后，可紧急恢复。3、 应急队伍保障。建立网络安全应急保障队伍。同时由实验实训中心选择技术能力较强的人员作为网站应急支援力量。4、 经费保障。优先考虑经费投入，纳入学校年度预算。七、 具体预案措施1、 自然灾害紧急处置措施，校园网中心机房和核心交换节点因自然灾害(如潮湿、雷电等)导致设备损害无法正常工作时，值班人员应立即报告实验实训中心领导，并检查损坏程度，找出事故原因加以处理，联系设备供应商进行维修，并通知用户相关服务暂停以及预计恢复时间。2、 被盗和人为损坏紧急处置措施，校园网中心机房和核心交换节点设备被盗或者人为原因导致损坏时，值班人员应立即报告信息管理中心领导，并保护好现场，第一时间收集证据，以备公安部门进行调查或追究损坏设备的相关责任。实验实训中心应报告学校总务处或公安部门进行后续处理。3、 网络基础平台设备自然损坏紧急处置措施，服务器等关键设备因老化等原因自然损坏后，相关负责人员应立即查明原因。如果能够自行恢复，应立即用备件替换受损部件。如果不能自行恢复的，立即与设备提供商联系，请求派维修人员前来维修。如果设备一时不能修复，应向领导汇报，并告知用户受到影响的网站服务。4、 停电紧急处置措施，机房长时间停电发生时，如果能事先从学校后勤部门或供电部门得知停电信息，应做好应用系统备份工作，通过学校网站通知用户暂停部分服务的信息，提醒用户保存数据，停止网络传输。准备备用电源保障最重要的设备和应用系统继续运作，关闭次要的设备和系统。并及时报告给实验实训中心领导，保持和后勤或供电部门的联系，以期尽快恢复供电。5、 通信故障紧急处置措施，当校内网络出现严重通信故障时，信息管理中心网络管理部应立刻报告实验实训中心领导，并立即组织排除故障，同时通知网络受到影响的校园网用户。校外网络出现通信故障时，应及时通知校园网用户，并积极联系网络服务提供商，敦促排除故障。6、 校园网网站、公共资源等信息窗口和平台出现非法言论或不良信息时，网站、网页和该公共资源由值班人员随时密切监视。如果多次出现，应结合发布人和身份认证系统定位到人，并向信息管理中心领导汇报。技术人员应在接到通知后立即对非法信息进行日志记录，保留证据后进行清除。网站维护员应将记录及日志上报备案。7、 黑客攻击时的紧急处置措施，当有应用系统或者信息被篡改，或通过应用系统日志和访问记录发现有黑客正在进行攻击时,首先应将被攻击的系统和设备等从网络中隔离出来，同时向领导汇报情况。技术人员立即进行被破坏系统的恢复与重建工作。8、 病毒安全紧急处置措施，当发现计算机感染有病毒后，应立即将该机从网络上隔离出来。对该设备的硬盘进行数据备份。启用杀毒软件对该机进行杀毒处理。如发现杀毒软件无法清楚该病毒，应立即向实验实训中心领导报告。经技术人员确认确实无法查杀该病毒后，应作好相关记录，同时立即向信息技术人员报告，并迅速研究解决办法。如果感染病毒的设备是托管服务器，经领导同意，应立即告知各下属单位做好相应的清查工作。9、 应用系统遭受破坏性攻击的紧急处置措施，重要的应用系统平时必须存有备份，与应用系统相对应的数据必须有多日备份，并将它们保存于安全处。一旦系统遭到破坏性攻击，应立即向领导报告，并将系统停止运行。网站维护员立即进行软件系统和数据的恢复。10、 数据库安全紧急处置措施，各数据库系统要至少准备一个以上数据库备份，每日进行增量备份。一旦数据库崩溃，应立即向领导报告，并立即进行备份恢复。11、 关键人员不在岗的紧急处置措施。对于关键岗位平时应做好人员储备，确保一项工作有两人能操作。一旦发生关键人员不在岗的情况，首先应向领导汇报情况。经领导批准后，由备用人员上岗操作。其他未列出的突发事件，一律需首先汇报给实验实训中心领导或信息化工作小组，并遵照领导指示进行应急处置。学校网络安全事件应急预案（精选篇4）第一章 总则第一条为完善学校网络安全事件应急工作机制，规范网络安全事件工作流程，提高我校网络安全应急处置能力，预防和减少网络安全事件造成的损失和危害，确保学校校园网络及信息系统正常运行，维护学校安全稳定和健康发展，根据中华人民共和国网络安全法国家网络安全事件应急预案（中网办发文_4号）教育系统网络安全事件应急预案（教技_8号）四川省教育系统网络安全应急预案（暂行）（川教_93号）信息安全事件分类分级指南（_）西华大学网络信息安全管理办法等文件，结合我校实际情况，特制定本预案。第二条参照相关规定，本预案所指网络安全事件是指由于人为破坏、软硬件缺陷或故障、自然灾害等，对校园网络和系统（网站）或系统中的数据造成危害，对学校甚至社会造成负面影响的事件，结合学校实际情况，本预案将校内网络安全事件分为特别重大网络安全事件（级）、重大网络安全事件（级）、较大网络安全事件（级）、一般网络安全事件（级）四级。分级依据如下：1.特别重大网络安全事件（级）：（1）因发生网络攻击、病毒感染或由于软硬件故障、灾害性事件导致学校大规模网络与系统（网站）瘫痪；（2）校内重要基础设施（如：网站群、信息门户、移动端门户等）、校内核心业务系统或网站（如：学校主页、一卡通系统等）遭受特别严重损失，丧失业务处理能力；（3）校内重要基础设施、校内核心业务系统（网站）的重要敏感信息或关键数据丢失，或被窃取、篡改、假冒，对学校安全稳定和正常秩序造成特别严重影响；（4）其他对学校安全稳定和正常秩序造成特别严重影响的网络安全事件。因上述网络安全事件发生，致使事态发展超出学校控制能力。2.重大网络安全事件（级）：（1）因发生网络攻击、病毒感染或由于软硬件故障、灾害性事件导致学校区域性网络与系统（网站）瘫痪；（2）校内重要基础设施（如：网站群、信息门户、移动端门户等）、校内核心业务系统或网站（如：学校主页、一卡通系统等）遭受严重损失，业务处理能力受到严重影响；（3）校内重要基础设施、校内核心业务系统（网站）的重要敏感信息或关键数据丢失，或被窃取、篡改、假冒，对学校安全稳定和正常秩序造成严重影响；（4）上级主管或监管部门要求立即整改的网络安全事件；（5）其他对学校安全稳定和正常秩序造成严重影响的网络安全事件。因上述网络安全事件发生，致使事态发展超出信息与网络管理中心处置能力，需协同相关部门进行处置。3.较大网络安全事件（级）：（1）因发生网络攻击、病毒感染或由于软硬件故障、灾害性事件导致学校小范围网络与系统（网站）瘫痪；（2）重要业务系统（如校内二级单位重要系统）或网站（如校内二级单位主页）遭受较大损失，造成系统中断，明显影响系统效率，业务处理能力受到影响；（3）重要业务系统（网站）的数据丢失，或被窃取、篡改、假冒，对学校安全稳定和正常秩序造成较严重影响；（4）其他对学校正常工作造成不利影响的网络安全事件。4.一般网络安全事件（级）：除上述情况外，其他对学校网络或系统（网站）造成一定影响的网络安全事件，包括但不限于校内个人计算机感染病毒、三级单位信息系统（网站）发生软硬件故障等，定义为一般网络安全事件。第三条根据“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，坚持在学校网络安全与信息化工作委员会统筹协调下切实落实网络安全应急处置工作，充分发挥各单位力量共同做好网络安全事件的预防和处置。为保障网络安全事件应急预案有效实施，确定以下工作原则。1.统一指挥、密切协同。学校网络安全与信息化工作委员会统筹协调全校网络安全应急指挥工作，建立与省教育厅、市/区级网络安全职能部门、专业机构等多方参与的协调联动机制，加强预防、监测、报告和应急处置等环节的紧密衔接，做到快速响应、正确应对、果断处置。2.分级管理、强化责任。按照“谁主管谁负责、谁使用谁负责、谁运维谁负责”的原则，信息与网络管理中心对全校网络安全工作负主体责任，各单位、各部门对所属网站和业务信息系统的安全工作负直接责任。各部门领导班子主要负责人是网络安全工作第一责任人。3.预防为主、防战结合。坚持事件处置和预防工作相结合，做好事件预防、预判、预警工作，加强应急支撑保障能力和安全态势感知能力建设。提高网络安全事件快速响应和科学处置能力，争取早发现、早报告、早控制、早解决，严控网络安全事件风险和影响范围。第四条本预案是西华大学网络安全事件的专项预案，适用于西华大学IP公网地址及域名包含（_._._后缀）的所有网络资源发生、或可能发生网络安全事件情况下的应急处置工作。第二章 组织机构与职责第五条网络安全与信息化工作委员会是学校网络安全与信息化工作的决策机构，在网络安全应急工作中的职责：1.统筹指导学校网络安全应急体系建设；2.决定、级网络安全事件应急响应启动，组织成立网络安全事件应急小组；3.统筹指导、指挥学校网络安全事件应急响应工作；4.督促全校各单位贯彻执行应急预案，并对相关单位在网络安全事件处置全过程中的表现进行评估考核。第六条党委宣传部为网络安全与信息化工作委员会牵头单位，在网络安全应急工作中的职责：1.负责学校舆情监测，对于涉及师生政治思想方面的倾向性、苗头性问题加强分析研判；2.负责舆情突发事件的处置；3.负责学校信息发布系统被违规发布信息后的应急处置工作，妥善有效应对并做好善后工作;4.负责各类信息内容安全事件发生后，以及安全事件处置前后，校内外舆论的正确引导等工作。第七条信息与网络管理中心为网络安全与信息化工作委员会技术支撑单位，在网络安全应急工作中的职责：1.制定学校网络安全相关制度和应急响应预案；2.统筹组织学校的网络安全监测工作，接收处理网络安全通报，保障校内网络与系统（网站）正常运行；3.及时响应各种网络安全事件，协助各单位完成网络安全事件应急处置程序。4.在应急演练与响应中提供技术咨询与支持、保障和培训工作；5.在网络安全应急处置工作中组织应急技术支撑队伍，提供技术支持与保障，并及时向网络安全与信息化工作委员会汇报；6.定期对学校网络及信息系统进行整体的安全扫描，并及时向网络安全与信息化工作委员会报告学校网络安全自查工作中发现的威胁情况，包括网络与系统（网站）安全形势分析预测、网络与系统（网站）异常或瘫痪、应用服务中断或数据篡改、丢失等情况。第八条保卫处在网络安全应急工作中的职责：联系公安部门，协助排查信息内容安全事件相关责任人，配合信息网络中心做好各类网络与信息安全事件的处置工作。第九条学校各单位在网络安全应急工作中的职责：1.负责本单位网站及应用系统的网络安全事件预防、监测、报告及应急处置工作；2.建立健全本单位网络安全应急响应机制，制定单位内网络安全应急响应预案，定期进行网络安全事件应急演练；3.明确本单位应急响应负责人，应急响应负责人负责本单位网络安全应急具体工作，并负责与信息与网络管理中心对接。应急响应负责人默认为该本单位在信息与网络管理中心机房托管了服务器或备案了应用系统的相关人员。应急响应负责人员发生变动时，需及时报送信息与网络管理中心备案，若未及时备案，则默认为本单位一把手；4.积极支持配合网络安全与信息化工作委员会及信息与网络管理中心进行的网络安全应急响应处置工作。第三章 监测预警第十条建立健全校内网络与系统（网站）监测预警机制，加强对可能引发网络信息安全事件相关信息的收集、分析与持续监测，加强相关网络安全设备和监测预警系统的配置及升级换代，实现“早发现、早报告、早处置”。第十一条信息与网络管理中心负责进行全校范围内网络与系统（网站）实施安全监测，在收到相关部门预警及主动扫描发现安全风险后应及时发布安全通报；各单位收到信息与网络管理中心发布的通报后及时按要求整改并提交文档；各单位负责实施本单位网络与系统（网站）的安全监测，一旦发现网络安全威胁应立即上报信息与网络管理中心，并及时完成预警报告。第十二条收到网络安全威胁预警后，由信息与网络管理中心进行取证以及风险评估，若存在紧急风险，信息与网络管理中心根据监测与评估结果情况发布预警信息并向网络安全与信息化工作委员会进行汇报，根据威胁情况启动相应预案，必要时执行断网、关闭服务器等措施防止事态扩大。第十三条发布预警信息后，信息与网络管理中心与相关技术支撑队伍对预警现场情况进行跟踪和态势分析与分级预判。根据预判，若可能发生级及以下网络安全事件，由信息与网络管理中心组织技术支撑队伍做好应急准备或处置；若可能发生级及以上网络安全事件，信息与网络管理中心应及时上报网络安全与信息化工作委员会，研究制订应对方案，积极做好应急处置准备或保障，在处置期间实行24小时值守，若事态发展可能超过学校控制能力，应及时上报上级部门。第四章 应急响应及处置第十四条各单位落实网络安全应急工作。在国家重大活动、会议期间，各单位实行24小时值守制，确保网络安全事件发生时能及时联系、及时处置。第十五条网络安全事件发生后，事发单位应及时通知信息与网络管理中心并启动预案，保留相关证据，不得迟报、谎报、瞒报、漏报。信息与网络管理中心组织现场搜集相关信息，分析安全事件态势，若初判为级以上网络安全事件，及时报告网络安全与信息化工作委员会，由网络安全与信息化工作委员会启动级、级应急响应，成立应急小组，组织研究处置方案并进行指挥协调工作。信息与网络管理中心及相关技术支撑队伍进行具体工作推进实施，提供现场安全保障，控制事态蔓延。应急小组在网络安全与信息化工作委员会指挥下，根据具体情况调动相关物资、设备，必要情况下请求校外应急支援。第十六条若初判为级网络安全事件，应急小组应及时上报上级部门；对于人为破坏活动，同时报公安机关。第十七条应急处置过程中，信息与网络管理中心及相关技术支撑队伍持续跟踪事态发展、检查影响范围，若为级事件，或级及以下事件有转化为级事件的趋势，信息与网络管理中心应及时将事件危害程度、损失情况及现场处置情况上报网络安全与信息化工作委员会；若为级事件，或级事件有转化为级事件的趋势，学校应及时将事件危害程度、损失情况及现场处置情况上报上级部门。第十八条网络安全事件应急响应分为级、级、级、级等四级，分别对应特别重大、重大、较大和一般网络安全事件。I级为最高响应级别。1.级和级响应由上级网络安全应急办统一组织应急处置工作，具体要求以上级网络安全应急办部署为准。(1)掌握事态及时上报。跟踪事态发展情况，及时向学校网络安全与信息化工作委员会报告，经批准后按要求将事态发展变化情况和处置进展情况上报上级网络安全应急办。(2)控制事态防止蔓延。根据事件发生原因，结合相应专项应急预案，采取各种技术措施，管控手段，最大限度阻止和控制事态蔓延。(3)消除隐患恢复系统。针对性制定解决方案，及时组织恢复受破坏的网络和信息系统。(4)取证溯源协调配合。在保留相关证据的基础上，开展问题定位和溯源追踪工作。积极协调配合上级部门和当地公安机关开展调查取证工作。2.级响应发生较大网络安全事件，由学校网络安全与信息化工作委员会确认并启动级响应。学校网络安全与信息化工作委员会履行应急处置工作统一领导、指挥、协调的职责。(1)信息与网络管理中心负责整理、汇总相关信息、掌握事态发展变化情况和处置进展情况，掌握全校网络和信息系统受到事件涉及或影响的情况，随时向学校网络安全与信息化工作委员会报告相关重要事项。(2)及时形成教育系统网络安全事件情况报告，经学校网络安全与信息化工作委员会同意后报上级网络安全应急办。(3)根据事件发生原因，结合相应专项应急预案，采取各种技术措施，管控手段，最大限度阻止和控制事态蔓延。(4)消除隐患恢复系统。针对性制定解决方案，及时组织恢复受破坏的网络和信息系统。(5)取证溯源协调配合。在保留相关证据的基础上，开展问题定位和溯源追踪工作。积极协调配合上级部门和当地公安机关开展调查取证工作。3.级响应由信息与网络管理中心确认并启动级响应。信息与网络管理中心履行应急处置工作领导、协调的职责。(1)协助事发单位整理、汇总相关信息，掌握事态发展变化情况和处置进展情况，及时向学校网络安全与信息化工作委员会报告相关重要事项。(2)事发单位根据专项应急预案开展应急处置工作，采取各种技术措施、管控手段，最大限度阻止和控制事态蔓延。(3)协助事发单位消除隐患，恢复遭受破坏的网络和信息系统，开展问题定位和溯源追踪工作。第十九条各级响应按照以下权限和流程，确定响应的结束。1.级和级响应结束，以上级部门部署为准。2.级响应结束，经应急工作组批准报学校网络安全与信息化工作委员会同意后，根据实际决定级响应的结束，并通报有关情况。3.级响应结束，由事发单位完成应急处置后，报学校信息与网络管理中心同意后，根据实际决定级响应的结束。第二十条应急响应工作结束后，相关单位迅速执行整改计划，采取措施修整受损设施、数据，减少损失，消除隐患，恢复网络或系统（网站）至突发事件前状态，同时对事件损失进行统计、记录、分析。第二十一条整改工作结束后，信息与网络管理中心组织技术人员与专家对事件发生及处置进行全面调查，实施取证工作，定位溯源，总结经验教训，修订完善应急响应体系。由网络安全事件发生的单位出具相关事件的情况说明及整改报告，完成安全事件总结报告。第五章 应急演练第二十二条信息与网络管理中心应组织校级层面演练；各单位应建立健全网络安全事件应急演练机制，制定详细演练方案，明确演练目标、参加演练的系统、涉及的形式、层次和范围，设定灾难情况、演练流程、操作内容、业务验证测试、应急资源、职责分工、进度安排、演练的风险及其应对措施，确保应急预案内容切实可行。第二十三条加强演练工作风险管理，谨慎开展应急演练。确保演练前组织、人员、资源到位。严格控制应急演练引起的系统变更风险，避免因演练导致服务中断、各项资源不可恢复。认真评估演练本身可能带来的风险和对业务的影响，制定完善的保障措施和应急回退方案。第二十四条记录演练开展的全过程和发现的问题，对演练的组织、过程、效果进行评估，编写应急演练总结报告。根据演练结果完善应急响应体系，维护更新防护设施。第六章 预防工作第二十五条做好网络安全日常预防与监测工作，根据学校工作实际开展情况，逐渐更新、完善应急管理体制。做好网络安全检查与监测、风险评估和容灾备份，加强校内网络及系统（网站）的安全保障能力与监测预警能力。第二十六条将网络安全教育作为国家安全教育的重要内容，充分利用网络安全宣传周等各种活动形式及多种传播媒介，加强对突发网络安全事件预防与应急处置相关法律、法规和政策的宣传，积极开展网络安全基本知识和技能的宣传活动，提升学校师生网络安全防范意识。第二十七条定期对学校各单位网络安全相关负责人进行网络安全事件应急知识集中培训，使相关人员熟悉应急方案流程、应急设备的操作方法等，增强各单位防范意识和应急处置能力。第七章 工作保障第二十八条按照“谁主管谁负责，谁使用谁负责”的原则，各单位、各部门应落实网络安全应急工作责任制，明确具体岗位和人员，建立健全应急工作机制。第二十九条加强我校网络安全应急保障队伍与专家队伍建设，与机关团体、企事业单位等力量形成良好合作与互动。通过推动等级保护等工作提升学校对于网络安全事件的监测预警、安全防护、应急处置能力。第三十条建立监督检查机制。按预案的规定不定期进行检查，对未有效落实预案各项规定的部门进行通报批评，责令限期改正。第三十一条学校保障每年用于网络安全等级保护测评、网络安全监测和检测评估、信息系统安全升级改造和防护加固、网络安全教育培训、网络安全事件处置和安全运维等5项重点工作的经费。第三十二条学校对网络安全事件应急管理工作中作出突出贡献的先进集体和个人给予表彰；对不按照规定制定预案和组织开展演练、迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职、渎职行为的，依照学校有关规定对有关责任人给予处分；构成犯罪的，由公安机关依法追究刑事责任。第八章 附则第三十三条本预案原则上每年评估一次，根据实际情况适时修订。修订工作由学校网络安全与信息化工作委员会办公室组织。第三十四条本预案由学校网络安全与信息化工作委员会办公室负责解释。第三十五条本预案自印发之日起实施。附件1：网络安全事件分类网络安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件。如系统感染勒索病毒、网站被上传webshell、系统被渗透或控制等。(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。如系统遭DDOS攻击、SQL注入攻击、尝试爆破密码等。(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件。如发现网络上存在与系统数据高度雷同的数据，或发现业务数据被篡改。(4)信息内容安全事件是指通过网络发布、传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公共利益的事件。如网站被悬挂反动标识，或有人在网站互动区发布非法内容等。(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其它设备设施故障。如服务器硬件故障，机房供电中断等。(6)灾害性事件是指由于自然灾害等其他突发事件导致的网络安全事件。如机房遭遇地震、火灾等。(7)其他事件是指不能归为以上分类的网络安全事件。学校网络安全事件应急预案（精选篇5）一、网络异常情况处理办法：(一)网站不良信息事故处理：1、一旦发现学校网站上出现不良信息(或者被黑客攻击修改了网页)，立刻切断防火墙以及网站服务器外网网络连接。2、备份不良信息出现的目录、备份不良信息出现时间前后一个星期内的HTTP连接日志、备份防火墙中不良信息出现时间前后一个星期内的网络连接日志。3、完全隔离出现不良信息的目录，使其不能再被访问。4、删除不良信息，并清查整个网站所有内容，确保没有任何不良信息，重新连接网站服务器及防火墙外网网络连接，并测试网站运行。5、检查该目录名，对该目录进行安全性检测，升级安全级别，升级程序，去除不安全隐患，关闭不安全栏目，重新开放该目录的网络连接，并进行测试，正常后，重新修改该目录的上级链接。6、从事故一发生到处理事件的整个过程，必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。(二)网络恶意攻击事故处理1、发现出现网络恶意攻击，立刻确定该攻击来自校内还是校外;受攻击的设备有哪些;影响范围有多大。并迅速推断出此次攻击的最坏结果，判断是否需要紧急切断校园网的服务器及公网的网络连接，以保护重要数据及信息。2、如果攻击来自校外，立刻从防火墙中查出对方IP地址并过滤，同时对防火墙设置对此类攻击的过滤，并视情况严重程度决定是否报警。3、如果攻击来自校内，立刻确定攻击源，查出该攻击出自哪台交换机，出自哪台电脑，出自哪位教师或学生。接着立刻赶到现场，关闭该计算机网络连接，并立刻对该计算机进行分析处理，确定攻击出于无意、有意还是被利用。暂时扣留该电脑。重新启动该电脑所连接的网络设备，直至完全恢复网络通信。对该电脑进行分析，清除所有病毒、恶意程序、木马程序以及垃圾文件，测试运行该电脑5小时以上，并同时进行监控，无问题后归还该电脑。4、从事故一发生到处理事件的整个过程，必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。(三)学校重大事件网络安全处理：1、对学校重大事件(如校庆、高考、评估等对网络安全有特别要求的事件)进行评估、确定所需的网络设备及环境。2、关闭其它与该网络相连，有可能对该网络造成不利影响的一切网络设备及计算机设备，保障该网络的畅通。3、对重要网络设备提供备份，出现问题需尽快更换设备。4、对外网连接进行监控，清除非法连接，出现重大问题立刻向电信部门求救。5、事先应向领导小组汇报本次事件中所需用到的设备、环境，以及可能出现的事故及影响，在事件过程中出现任何问题应立刻向领导小组组长汇报。二、网络突发事件应急行动1、领导小组依法发布有关消息和警报，全面组织各项网络安全防御、处理工作。各有关组织随时准备执行应急任务。2、组织有关人员对校园内外所属网络硬件软件设备及接入网络的计算机设备进行全面检查，封堵、更新有安全隐患的设备及网络环境。3、加强对校园网内计算机设备的管理，加强对学校网络的使用者(学生和教师)的网络安全教育。加强对重要网络设备的软件防护以及硬件防护，确保正常的运行软件硬件环境。4、加强各类值班值勤，保持通讯畅通，及时掌握学校情况，全力维护正常教学、工作和生活秩序。5、按预案落实各项物资准备。三、网络安全事故发生后有关行动1、领导小组得悉消防紧急情况后立即赶赴本级指挥所，各种网络安全事故处理小组迅速集结待命。2、各级领导小组在上级统一组织指挥下，迅速组织本级抢险防护。3、确保WEB网站信息安全为首要任务：关闭WEB服务器的外网连接、学校公网连接。迅速发出紧急警报，所有相关成员集中进行事故分析，确定处理方案。4、确保校内其它服务器的信息安全：经过分析，可以迅速关闭、切断其他服务器的所有网络连接，防止滋生其他服务器的安全事故。5、分析网络，确定事故源：使用各种网络管理工具，迅速确定事故源，按相关程序进行处理。6、事故源处理完成后，逐步恢复网络运行，监控事故源是否仍然存在。7、针对此次事故，进一步确定相关安全措施、总结经验，加强防范。8、从事故一发生到处理的整个过程，必须及时向领导小组组长以及教务处以及校长汇报，听从安排，注意做好_。9、积极做好广大师生的思想宣传教育工作，迅速恢复正常秩序，全力维护校园网安全稳定。四、其他1、在应急行动中，各部门要密切配合，服从指挥，确保政令畅通和各项工作的落实。2、各部门应根据本预案，结合本部门实际情况，认真制定本部门的应急预案，并切实落实各项组织措施。3、本预案从发布之日起正式施行。学校网络安全事件应急预案（精选篇6）为确保发生学校网络安全问题时各项应急工作高效、有序的进行，最大限度的减少损失，根据互联网网络安全相关条例及区教育和体育局文件精神，结合我校校园网实际，特制定本预案。(一)预防措施1、加强领导，健全组织，强化工作职责，完善各项应急预案的制定和各项措施的落实。2、充分利用各种渠道进行网络安全知识的宣传教育，组织、指导全校网络安全常