第1篇:网络安全应急处置预案
私渡镇九年制学校
校园网络与信息安全应急处置工作预案
为了切实做好学院校园网络突发事件的防范和应急处理工作,进一步提高预防和控制网络突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保校园网络与信息安全,结合学院工作实际,制定本预案。
第一章 总则
第一条 本预案所称突发性事件,是指自然因素或者人为活动引发的危害学院校园网网络设施及信息安全等有关的灾害。
第二条 本预案的编制依据是学院有关计算机网络及信息安全基本要求。
第三条 本预案适用于发生在学院校园网络上的突发性事件应急工作。
第四条 应急处置工作原则:统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。
第二章 组织机构和主要职责
第五条 学院成立网络与信息安全应急处置工作领导小组。组长由学院行政主要负责人担任,副组长由学院办公室、图文信息中心和保卫处的主要负责人担任,成员由各副组长部门的副职及相关技术骨干组成。领导小组的主要职责是统一领导全校信息网络的灾害应急工作,全面负责学院信息网络可能出现的各种突发事件处置工作,协调解决灾害处置工作中的重大问题等。
第三章 处置措施和处置程序
第六条 处置措施
处置的基本措施分灾害发生前与灾害发生后两种情况。
(一)灾害发生前,学院网络与信息安全应急处置工作小组要预先对灾害预警预报体系进行建设,开展灾害调查,编制灾害防治规划,建设专业监测网络,并规划建设灾害信息管理系统,及时处理灾害讯情信息。
加强灾害险情巡查。图文信息中心要充分发挥专业监测的作用,进行定期和不定期的检查,加强对灾害重点部位的监测和防范,发现有不良险情时,要及时处理并向工作领导小组报告。
建立健全灾情速报制度,保障突发性灾害紧急信息报送渠道畅通。
(二)灾害发生后,立即启动应急预案,按第七条拟定的应急处置程序进行处理。
第七条 处置程序
(一)发现情况
学院图文信息中心要认真做好校园网信息系统安全的日常巡查及其日志保存工作,以保障最先发现灾害并及时处置突发性事件。
(二)预案启动
一旦灾害发生,立即启动应急预案,进入应急预案的处置程序。
(三)应急处置方法
在灾害发生时,首先应区分灾害发生是否为自然灾害与人为破坏两种情况,根据这两种情况把应急处置方法分为两个流程。
流程一:当发生的灾害为自然灾害时,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
流程二:当人为或病毒破坏的灾害发生时,具体按以下顺序进行:判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的IP或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照灾害发生的性质分别采用以下方案:
1.病毒传播:针对这种现象,要及时断开传播源,判断病毒的性质、采用的端口,然后关闭相应的端口,在网上公布病毒攻击信息以及防御方法。
2.入侵:对于网络入侵,首先要判断入侵的来源,区分外网与内网。入侵来自外网的,定位入侵的IP地址,及时关闭入侵的端口,限制入侵地IP地址的访问,在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的,查清入侵来源,如IP地址、上网账号等信息,同时断开对应的交换机端口。然后针对入侵方法加强入侵检测设备的建设或更新。
3.信息被篡改:这种情况,要求一经发现马上断开相应的信息上网链接,并尽快恢复。
4.网络故障:一经发现,即根据相应工作流程尽快排除。
5.其它没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体的情况,做出相应的处理。不能处理的可以向相关专业安全机构请求帮助。
(四)情况报告
灾害发生时,一方面按照应急处置方法进行处置,同时需要判定灾害的级别,首先向学院网络与信息安全应急处置工作领导小组汇报,并及时报告处置工作进展情况,直至处置工作结束。
情况报告内容包括:灾害发生的时间、地点,灾害的级别,灾害造成的后果,应急处置的过程、结果,灾害结束的时间,以后如何防范类似灾害发生的建议与方案等。
(五)发布预警
灾害发生时,可根据灾害的危害程度适当地发布预警,特别是一些在其它地方已经出现,或在相关安全网站发布了预警而学院信息网络还没有出现的灾害,除了在技术上进行防范以外,还应当向网络信息用户发布预警,直至灾害警报解除。
(六)预案终止
经专家组鉴定,灾害险情或灾情已消除,或者得到有效控制后,由学院网络与信息安全应急处置工作领导小组宣布险情或灾情应急期结束,并予以公告,同时预案终止。
第四章 保障措施
灾害应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作,是有组织的科学与社会行为,而不是随每次灾害的发生而开始和结束的活动。因此,必须做好应急保障工作。
第八条 人员保障
重视人员的建设与保障,确保灾害处置和灾后重建中相关人员持续在岗,并保持战斗力。
第九条 技术保障
重视网络信息安全系统的建设和更新,确保灾害发生前网络信息系统符合安全规范,信息中心和相关安全设备厂商提供灾害处置过程中和灾后重建的相关技术支撑。
第十条 物资保障
学院要根据近三年全国甚至全世界网络信息系统安全防治工作所需经费情况,购买相应的应急设施。建立应急物资储备制度,保证应急抢险救灾队伍技术装备的及时更新,以确保灾害应急工作的顺利进行。
第十一条 训练和演练
加强学院网络信息用户的防灾、减灾知识的宣传普及,增强用户的防灾意识和自救互救能力。有针对性地开展应急抢险救灾演练,确保发灾后应急救助手段及时到位和有效。
第五章 附则
第十二条 本预案由学院网络与信息安全应急处置工作领导小组负责解释。
第十三条 本预案自发布之日起施行。
第2篇:某网络安全应急处置预案
XX网络安全应急预案
第一部分 总则
本预案的适用围为由信息管理中心负责建设管理的、网络安全事件应急处理。
(一)日常安全工作职责
信息管理中心工作人员根据分工、做好以下工作:
1.对、网络进行日常检查、分析风险、排除隐患、做好数据备份,形成日常工作机制,预防安全事故发生。
2.制定相关安全事件的预警方案和解决方案。
3.掌握网络技术发展趋势,不断提升安全防水平。
4.及时处置各类突发安全事件。
(二)安全应急处置原则
1.报告原则:发生突发安全事件,第一时间向政务信息中心负责人报告,同时积极进行处置,处置全程要及时汇报工作进展。
2.安全原则:处置安全事件时,要科学客观,首先保证人员安全,其次保证设备数据安全。
3.效率原则:处置突发事件要及时迅速,讲究方法,善于协调,争取在最短时间解决问题。
4.协调配合原则:出现大规模故障后,根据工作需要,积极配合,协同处理,提高工作质量与效率。(三)安全应急事件处置
1.安全事件定义分类
一般故障:指区域性网络安全事件,具体包括:局部网 络瘫痪、个别设备死机、服务器停止工作等。
重大故障:指发生大规模或整体性网络瘫痪、个别硬件 设备损坏或被窃、数据丢失或遭恶意篡改破坏等。
特大故障:指机房发生火灾或遭可抗拒力破坏造成机房 损毁及人员伤害等。
2.处置时限
发生突发安全事件,一般故障 2 小时解决,重大故障 24 小时解决,特大故障 48 小时解决。
3.处置措施
(1)发生突发事件,工作人员第一时间报告领导并进行处置。
(2)迅速准确判断事件原因,在保证人员、设备、数据安全的前提下,进行针对性处置。
(3)属一般性故障的,信息中心工作人员及时进行处置;属设备损坏的,要及时报告中心主任根据领导安排进行合理处置;属系统故障的,要及时联系维护公司进行处置;属遭受攻击的,要及时取证留存,并由维护公司进行处置。
(4)必要时,通知有关单位做好应对。
(5)事后总结本次事件处置情况,形成分析报告。第二部分 安全应急处置(一)日常维护
1.中心人员每天对进行查看,密切监视信息容。每天上午和下午 各切换 网一次,查看网运行情况。
2.检查各服务器杀毒软件及防火墙升级情况,及时 给系统打补丁。
3.每月对、外及数据进行光盘备份,并由专 人归档保存。
(二)安全事件分类及应急处置办法
1.硬件故障
指因自然灾害、供电不正常、人为因素等造成的服务器 硬件损坏、丢 失情况。
(1)"网办公系统"服务器中心工作人员每月对其 进行硬件检测,"迎泽之窗"服务器由维护公司每月进行软 硬件检测,并填写记录,每年度进行汇报。(2)发生硬件损坏或丢失后要立即报告中心主任,并联 系设备供应商及有关单位处理。
2.攻击、篡改类故障
指系统遭到网络攻击不能正常运作,或出现非法信息、页面被篡改。
(1)发现出现非法信息或页面被篡改,要第一时间对 其进行删除,恢复相关信息及页面,同时报告中心主任,必要时可对服务器进行关闭,待检测无故障后再开启服务。
(2)维护员要妥善保存有关记录及日志或审计记录,并立即追查非法信息来源,将有关情况进行上报,情况非常严重的要向公安部门报案。3.病毒木马类故障 指服务器感染病毒木马,存在安全隐患。
(1)每周对服务器杀毒安全软件进行系统升级,并进行病毒木马扫描,封堵系统漏洞。
(2)发现服务器感染病毒木马,要立即对其进行查杀,报告中心主任,根据具体情况,酌情发布公告通知联网的相关单位进行终端的病毒木马查杀。
(3)由于病毒木马入侵服务器造成数据丢失或系统崩溃的,要第一时间 报告中心主任,并联系相关单位进行数据恢复。
4.系统类故障
指系统由于长时间运行或系统存在的 bug 造成 不能正常运行。
(1)相关负责人要每月对数据进行备份,并刻录光盘 进行存档。
(2)发现此类问题,要报告中心主任,并联系维护单 位进行检测修复。
(三)应急保障
1.记录门户 IDC 托管机房、运营商大客户经理、服务器供应商及维护公司,出现问题能及时联络处 理。
2.中心人员应掌握应急笔记本电脑、数据备份光盘的 存放和使用。
3.中心人员应学习各类软硬件知识,提高应对和处理 突发网络故障的能力。第三部 网络安全应急处置(一)适用围
信息中心负责建设管理的网络安全事件
(二)、日常维护
1、每季度对设备进行例行检查及卫生保洁,检查项目包括设备运行状态、温度、供电及设备周边环境是否安全。 2、每年对区属驻地外各单位进行实地走访,查看实际情况。
(三)、应急处置
1、发生故障后,首先排查故障围,确定是软件故障 还是硬件故障,是光路故障还是以太网故障。
2、对于大面积网络故障或硬件线路设备损坏,要第一时间报告中心主任。
3、如发生光路设备故障,及时联络联通公司客户经理协调处理。
4、如发生以太网故障,要及时进行处理,必要时联系 设备供应商及相关单位联合处理。
第四部分 中心机房及办公区安全应急处置
(一)、用电安全
(1)坚持正确的用电规。
(2)不使用超负荷电器设备。
(3)不随意改变工程设计的供电线路。
(4)每天下班,最后离开办公室的人员关闭办公区主 电源。
(5)每两个月对中心机房各电源设备进行检查。遇节假日,除关闭办公区主电源外,检查中心机房电源和线路,确保设备安全稳定运行。
(6)外电中断后,应立即查明原因,并向中心主任汇报。
(7)如因机关部线路故障,请机关物业公司迅速恢复。
(8)如果是供电局的原因,应立即与供电局联系,请供电局迅速恢复供电。
(9)如果供电局告知需长时间停电,应做如下安排:
1、预计停电 4 小时以,由 UPS 供电。
2、预计停电 24 小时,请示中心主任,关掉非关键设备,确保关键设备供电。
3、预计停电超过 24 小时的,关闭中心机房所有管辖设 备,并通知托管服务器的相关单位进行设备停机。
(10)中心机房及各设备恢复供电时,执行以下步骤:
1、机房恢复供电前,首先确认各设备的电源态处于下 电状态,以防止电源柜加电对设备的冲击。
2、等待 10--20 分钟后,开始给电源柜加电,以防止供 电不稳或再次掉电。
3、供电正常后,确定设备处于下电状态后,打开电力柜的总控开关。
4、根据设备加电顺序,启动分项控开。
5、启动数据库及各项应用程序。
(11)发生火警事件发生后,机房人员应根据所属区域和现场情况,判断和选择正确的方法,及时上报中心领导,同时配合相关人员处置,降低事件带来的影响。1、对于设备发生烟雾,机房主管人员协同相关人员寻找烟雾点并切断相关区域电源。
2、当设备发生可以控制火情时,机房主管人员应协同相关人员进行灭火工作。
3、当主机房发生火灾而无法控制,应采取施救方法等措施。
(二)、空调及通风设备
正常情况:
温度:冬季: 18℃-20℃±2℃ 夏季: 18℃-23℃±2℃
温度变化≤5℃/H 湿度: 40%-50%±5% 每周对中心机房温湿度进行监控,防患于未然。
空调系统故障导致机房温度、湿度升高或设备出现温度告警等异常现象时,执行以下步骤:
(1)首先查看故障空调的位置和现象,联系空调厂家加紧维修。
(2)如果故障较为严重,影响围大,则立即汇报给中心主任。
(3)启用备用风扇、加湿器等设备降低室温度、湿 度,并打开机柜门和房间门,以便于设备散热和空气流通。
(4)相关工作人员要密切注意各设备的运行情况,如出现告警,查看日志了解情况,必要时请设备厂家派人立即赶到现场进行技术支持。
(5)相关负责人员对各个维护业务进行检查,如已经影响到系统和业务的正常运行,尤其是一些重要业务,应立即汇报中心主任,做进一步处理。
(6)若此时空调已修好,室温度、湿度恢复正常或在下降中,相关负责人员对各个设备的运行情况详细检查,确保恢复正常。
(7)待室温度、湿度恢复正常并监控一段时间后无异常,将备用风扇、加湿器关闭并放回原位,保持机房卫生和整洁。
(8)相关负责人员对此次故障做好记录。
(三)、核心设备安全
(1)根据实际情况对核心设备进行检查,确保设备安全稳定运行。
(2)发生核心设备硬件故障后,工作人员应及时报告中心主任,并查找、确定故障设备及故障原因,进行先期处置。同时联系设备提供商共同检测并排除故障。
(3)若故障设备在短时间无法修复,应启动备份设备,保持系统正常运行;将故障设备脱离网络,进行故障排除工作。(4)故障排除后,在网络空闲时期,替换备用设备;若故障仍然存在,立即联系厂商进行返厂维修或调换设备。
(四)、数据安全与恢复
(1)日常维护参照《安全应急预案》中"一、日常维护"各项进行。
(2)发生业务数据损坏时,工作人员应及时报告中心主任,检查、备份系统当前数据。
(3)信息中心负责调用备份服务器备份数据,若备份数据损坏,则调用异地光盘备份数据。
(4)数据损坏事件较严重无法保证正常工作的,经部门领导同意,及时通知各部门以手工方式开展工作。
(5)中心应待数据系统恢复后,检查基础数据的完整性;重新备份数据,并写出故障分析报告。
五、其他事项
(一)无关人员未经中心主任批准不得进入中心机房。
(二)对各设备和线路进行维护或改造,需经中心主任批准,由中心工作人员陪同进行。
(三)使用充分控干水份的抹布及拖把进行保洁,尽量不使用干布或扫帚,避免扬尘。
(四)保洁时,注意不要触碰电源接口及网络接口等,以免漏电或导致线路接触不良。
第3篇:网络与信息安全应急处置预案
XXXX单位网络与信息安全应急处置预案
为保证本单位系统网络与信息安全,有效地防范蓄意攻击、破坏网络信息系统及传播、粘贴非法信息等突发紧急事件的发生,保障信息的合法性、完整性、准确性,保障网络、计算机及相关配套设备、设施的安全及运行环境的安全,保障网络与信息系统的安全运行。根据本单位系统网络和信息系统建设及应用的现状,并针对存在的问题与风险,特制定本预案。
一、安全防范措施
(一)建立健全网络与信息安全组织机构
成立本单位网络与信息安全领导小组,由单位领导担任组长、副组长,成员由信息中心、办公室、后勤中心、人事监督科、财务部门等组成。
领导小组下设办公室,具体负责日常工作,主任由信息中心主任担任,副主任由办公室和财务部门有关负责人担任。
办公室设在信息中心,下设两个工作小组:综合协调组,信息网络安全组。
各工作小组工作责任分解并落实到个人。
(二)建立健全单位网络与信息安全岗责体系和规章制度
办公室负责以单位名义在内、外网站上的信息发布、审查和监控;后勤中心协同信息中心负责电力、空调、防火、防雷、防盗、防电磁干扰等基础设施的监控和维护;信息中心负责网络的维护和技术支持以及其他各类应用信息系统的监控和维护。
-1 内、外部WEB网站、交互式论坛、电子公告版、聊天室等信息发布系统,必须有专门的信息监控人员、系统管理人员随时监控维护,坚决杜绝含有反动政治内容、淫秽内容等有害信息的出现。任何以单位名义在网站或主页上发布的信息,必须经办公室指定人员或其他指定人员的审查,才能发布。一旦发现非法内容,应立即按紧急处置预案处置。国家法定长假期间,无安全防护措施或监控处置措施的各类信息发布网站应关闭。
(五)网络安全防范
与外部相关部门联网必须采用单独的网络设备和通信线路,必须采用物理隔离或防火墙逻辑隔离的方式交换数据,采取严格的通信控制策略并具备审计、记录等功能;内部计算机网络应与因特网物理隔离;与电信部门签定网络通畅安全保障协议,确保在网络线路故障的情况下能够得到及时恢复;必须对主机或网络设备中不使用或较少使用的、存在安全隐患的服务进行关闭;对各类拨号接入设备要采取具体严格的安全控制措施;在网络建设和改造时必须优先考虑到网络的安全性,要有相应的备份设备,一旦局域网、广域网出现故障能够及时更换或维护;未经上级信息中心许可,严禁将采用规定范围以外IP地址的计算机接入本单位系统网络;各类网络设备及关键主机设备的密码要有专人保管备案并有定期变更机制;在未采取相应的加密措施之前,不利用电子邮件传递涉及机密的信息。
(六)病毒安全防范
计算机设备,应配备正版的防病毒软件,所有的外来软件或盘
-3 再按程序报告。
3、信息网络安全组具体负责的技术人员应在接到通知后及时赶到现场,做好必要记录,清理非法信息,强化安全防范措施,并将网站网页重新投入使用。
4、信息网络安全组将有关情况向综合协调组通报,妥善保存有关记录、日志或审计记录。
5、信息网络安全组会同综合协调组共同追查非法信息来源。 6、综合协调组组织会商后,将有关情况向安全领导小组办公室汇报有关情况。安全领导小组办公室如认为情况严重,则立即向安全领导小组汇报。安全领导小组组长组织召开安全领导小组会议,如认为事态严重,则立即向公安部门或上级机关报警。(二)黑客攻击时的紧急处置措施
1、当有关责任人员发现网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击内部网络时,应立即向信息网络安全组组长通报情况。
2、信息网络安全组相关负责人员应及时赶到现场,并首先应将被攻击的服务器等设备从网络中隔离出来,保护现场,同时向综合协调组通报情况。综合协调组组织会商后,向安全领导小组办公室汇报有关情况,安全领导小组办公室如认为情况严重,应立即向安全领导小组汇报。安全领导小组组长组织召开安全领导小组会议,如认为事态严重,则立即向公安部门或上级机关报警。3、信息网络安全组负责被攻击或破坏系统的恢复与重建工作,负责追查非法信息来源。
-5 情况极为严重,应立即向公安部门或上级机关报告。(五)数据库安全紧急处置措施
1、有条件时,对主要数据库系统按双机热备设置,并至少要准备两个以上数据库备份,平时一个备份放在机房,另一个备份放在另一安全的建筑物中。
2、一旦数据库崩溃,责任人应立即启动备用系统,并向信息网络安全组组长报告。
3、在备用系统运行期间,信息网络安全组人员应对主机系统进行维修。
4、两套系统均崩溃时,信息网络安全组人员应立即向软硬件提供商或专业人员请求支援,同时通知各单位暂缓数据处理工作。 5、系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库备份加以恢复。如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
(六)广域网外部线路中断紧急处置措施
1、广域网主、备用线路中断一条后,责任人员应立即启动备用线路接续工作,同时向信息网络安全组组长报告。无备用线路的,立即与线路运营商及外联单位联系确定解决方案。
2、信息网络安全组相关负责人接到报告后,应迅速判断故障节点,查明故障原因。
3、属我方管辖范围的,由信息网络安全组人员立即予以恢复;属线路运营商管辖范围的,立即与电信等维护部门联系,要求修复。
-7 1、紧急处置措施应遵循三个原则:首先保人员安全;其次保关键设备、数据安全;三是保一般设备安全。
2、机房发生火灾,火势较小且有能力控制时,机房管理人员首先应切断所有电源,启动自动喷淋系统,灭火人员戴好防毒面具,从指定位置取出泡沫灭火器进行灭火;火势较大且无法控制时,应立即按响火警警报,并通过119电话向公安消防请求支援,按照预先确定的安全撤离路线,迅速从机房中有序撤出。(十)外电中断后的设备运行预案
1、外电中断后,机房管理人员应立即切换到备用电源。 2、机房管理人员应立即查明原因,并向领导汇报。属单位内线路故障的,请后勤中心迅速恢复;属供电局的原因,应立即与供电局联系,请供电局迅速恢复供电。
3、如果供电局告知需长时间停电,应做如下安排:
(1)预计停电4小时以内,由UPS供电;
(2)预计停电4-24小时,关掉非关键设备,确保各主机、路由器、交换机供电;
(3)预计停电24-72小时,白天工作时间关键设备运行,晚上所有设备停机;
(4)预计停电超过72小时,应联系小型发电机自行发电。(十一)发生自然灾害后的紧急处置措施
1、一旦发生自然灾害,导致设备损坏,由信息中心向上级网络与信息安全领导小组请求支援。
2、按上级单位规定,上级网络与信息安全领导小组接到下级
网络安全应急预案
应急处置预案
网络安全事件应急预案
网络安全应急预案(精选12篇)
学校网络安全应急预案
