各处室、中心、系部、馆、研究院、附小、附幼：

现将《澳门862727关于印发网络安全事件应急预案的通知》印发给你们，请结合实际贯彻落实。

澳门862727

2017年4月24日

为切实做好本校网络信息安全工作，确保信息系统的安全、稳定和业务的连续性，依据国家和有关法律、法规、相关政策和突发事件总体应急预案及教育系统突发公共事件应急管理的意见，制定本应急预案。

一、信息安全保障措施

要定期进行风险评估，了解网络系统目前可能存在的安全隐患和所面临的安全威胁，并针对学校的电子政务、电子校务、系统应用的实际情况，从物理、网络、系统、应用和数据等多个层面实施网络安全保障工作，并做好文字记录。

要定期对网络系统的运行状态、系统日志和安全日志等进行检查，对重要信息系统如核心数据库等要定期进行运行检查，对重要数据要实时和定时进行备份，对核心网络设备定期检查和维护，避免或减少发生安全事件所造成的损失。

要定期或不定期组织预案演练，进一步明确应急响应各岗位责任，检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求，对预案中存在的问题和不足及时补充、完善，并做好检查记录。

二、应急事件预防体系

预防供电故障：网络机房均要配置防雷击、防静电设备和长延时不间断电源。

预防火险：每天下班前要检查电源接插件，如有烧焦现象，要立即更换。灭火器要保证在保质期内，并放置于机房入口处，所有的工作人员都要学会正确使用灭火器。

预防水渗故障：机房要采取防水渗措施。

预防设备丢失：学校的网络及信息设备均要采取防盗措施。

预防黑客病毒：在网络出口设置防火墙、防病毒系统。在网络设备和服务器上采用安全策略，安装相应的补丁程序、关闭不用的端口、启动日志纪录。

预防数据丢失：学校对重要数据要定期进行备份，并将备份数据与源数据分开存放。

预防设备故障：对于易损件，准备必要的备品、备件。

三、应急事件处理流程

出现应急事件后值班人员要及时通过电话等方式通知现代教育技术中心负责人，出现重大事故的需上报校领导。

值班人员根据应急情况信息，初步判断应急事件程度。能够自行解决的，要及时加以解决；如果不能自行解决故障，由现代教育技术中心组织相关技术人员进入应急程序处理，并及时上报校网络安全领导小组，出现网络安全事故的按相关规定上报。

（一）病毒爆发处理流程

学校对外服务信息系统一旦发现感染病毒，执行以下应急处理流程：

1. 立即切断感染病毒计算机与网络的连接。

2. 对该计算机的重要数据进行数据备份。

3. 启用防病毒软件对该计算机进行杀毒处理，同时通过防病毒 软件对其他计算机进行病毒扫描和清除工作。

4. 如果满足下列情况之一的，要立即向现代教育技术中心负责人通报情况。

（1）现行防病毒软件无法清除该病毒的。

（2）网站在1小时内无法处理完毕的。

（3）局域网络系统或办公系统在3小时内无法处理完毕的。

5、恢复系统和相关数据，检查数据的完整性。

6、病毒爆发事件处理完毕，将计算机重新接入网络。

7、总结防范，安全加固，备案。

（二）网页非法篡改处理流程

对外服务网站一旦发现网页被非法篡改，执行以下应急处理流程：

1、发现网站网页出现非法信息时，值班人员要先及时采取断网等处理措施，立即向现代教育技术中心负责人通报情况，并立即校网络安全领导小组报告。

2、现代教育技术中心负责人要在接到通知后立即组织技术人员处理，做好必要记录，妥善保存有关记录及日志或审计纪录。

3、通过技术手段进行分析，追查非法信息来源，提取相关数据样本后，清理网站非法信息，强化安全防范措施，然后将网站重新投入使用。如情节严重，构成违法犯罪的，必须上报公安机关立案侦查。

4、总结防范，安全加固，备案。

（三）非法入侵处理流程。

对外服务信息系统一旦发现被远程控制等非法入侵行为，执行以下应急处理流程。

1、发现系统服务器被远程控制、植入后门程序，或发现有黑客正在进行攻击时，要立即向现代教育技术中心负责人通报情况，并立即向校网络安全领导小组报告。

2、如服务器已被入侵，将被攻击的服务器等设备从网络中隔离出来，保护现场。

3、现代教育技术中心负责人要在接到通知后立即组织技术人员处理，做好必要记录，妥善保存有关记录及日志或审计纪录。

4、通过技术手段进行分析，追查攻击源，修改防火墙等设备的安全配置阻断黑客继续入侵。分析后台数据操作日志，判断是否发生数据失窃。检查与重建被攻击或破坏的系统，重新将恢复后的服务系统接入网络。如情节严重，构成违法犯罪的，由公安机关立案侦查。

5、总结防范，安全加固，备案。

（四）拒绝服务攻击处理流程

对外服务信息系统一旦发现遭受Ddos等拒绝服务攻击，无法正常访问时执行以下应急处理流程。

1、发现对外服务系统访问流量异常、无法正常访问，可能遭受拒绝服务攻击时，要立即向现代教育技术中心负责人通报情况，并立即向网络安全领导小组报告。

2、现代教育技术中心负责人要在接到通知后立即组织技术人员处理，做好必要记录，妥善保存有关记录及日志或审计纪录。

3、通过技术手段进行分析，追查攻击源，修改路由器、防火墙等设备的安全配置，缓解、消除拒绝服务攻击的影响。提取相关数据样本后，恢复对外系统正常运行。如情节严重，构成违法犯罪的，上报公安机关立案侦查。

（五）机房物理环境事故应急处理流程

供电故障：如果出现短路，采取切断电源、更换短路器件方法恢复供电；如果出现断路，采取切断电源、连接断开线路方法恢复供电；防雷防静电设备故障，采取切断电源跳过防雷防静电设备直接供电的方法，及时维修损坏设备并更换；UPS故障，采取跳过逆变输出的方法，及时维修损坏设备并更换。

火灾：切断电源，使用灭火器灭火；向119指挥中心报告火警，请求支援；如有人遇险，应先救人后救物。

水渗故障：切断电源，更换浸水设备，采取防水措施。

澳门862727

2017年4月24日

澳门862727办公室 2017年4月24日印发