| 索引号 | 113309210026411518/2024-96870 | 生成日期 | 2024-11-18 |
| 发布机构 | 县教育局 | 文号 | |
| 组配分类 | 应急预案 | 主题分类 |
1 总则
1.1 编制目的
为提高全县教育系统网络安全事件的应对能力,形成科学、有效、反应迅速的应急工作机制,规范网络安全事件处置工作流程,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络安全事件造成的损失和危害,维护全县教育系统信息工作安全稳定。
1.2 编制依据
《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》等法律法规,《关于加强教育行业网络与信息安全工作的指导意见》《教育系统网络安全事件应急预案》《浙江省网络安全事件应急预案》《浙江省教育系统网络安全事件应急预案》《舟山市突发公共事件总体应急预案》《舟山市网络与信息安全应急预案》等文件,结合我县教育系统实际,制定本预案。
1.3 适用范围
本预案适用于全县各级教育行政部门及其直属单位(以下简称教育行政部门)、各级各类学校(含幼儿园)。
1.4 事件分类
按照《教育系统网络安全事件应急预案》《浙江省网络安全事件应急预案》《浙江省教育系统网络安全事件应急预案》等规定,本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他事件。信息内容安全事件应对,参照有关规定和办法。
(1)有害程序事件分为计算机病毒事件、蠕虫事件、 特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击 事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、 信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(5)灾害性事件是指由于自然灾害等其他突发事件导致的网络安全事件。
(6)其他事件是指不能归为以上分类的网络安全事件。
1.5 事件分级
参照《教育系统网络安全事件应急预案》《浙江省网络安全事件应急预案》《浙江省教育系统网络安全事件应急预案》等事件分级规定,结合全县教育系统实际,可能造成的危害,可能发展蔓延的趋势等,全县教育系统网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
(1)符合下列情形之一的,为特别重大网络安全事件
(Ⅰ级):
①国家关键信息基础设施或统一运行的核心业务系统 (网站) 遭受特别严重的系统损失,造成系统大面积瘫痪, 丧失业务处理能力,对全省教育系统正常秩序构成特别严重威胁。
②国家关键信息基础设施或统一运行的核心业务系统 (网站) 的重要敏感信息或关键数据丢失或被窃取、篡改,对全省教育系统安全稳定和正常秩序构成特别严重威胁。
③网络病毒在全国教育系统大面积爆发,并严重影响全省教育系统。
④其他对教育系统安全稳定和正常秩序构成特别严重威胁,造成特别严重影响的网络安全事件。
(2)符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件(Ⅱ级):
①国家关键信息基础设施或统一运行的核心业务系统 (网站) 在全省长时间中断,业务处理能力受到极大影响。省级重要信息系统(网站)瘫痪, 丧失业务处理能力。
②国家关键信息基础设施或统一运行的核心业务系统(网站) 以及省级重要信息系统(网站) 重要敏感信息或关键数据丢失或被窃取、篡改,对全省教育系统安全稳定和正常秩序构成严重威胁。
③全省教育计算机网全省或多地区大量用户无法正常上网。
④网络病毒在全省教育系统范围内大面积爆发。
⑤其他对教育系统安全稳定和正常秩序构成严重威胁,造成严重影响的网络安全事件。
(3)符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件(Ⅲ级):
①全市教育计算机网一个县区或高校校园网大量用户无法正常上网。
②县级以上重要信息系统(网站) 遭受系统损失, 造成系统中断,明显影响系统效率,业务处理能力受到较大影响。
③网络病毒在全市教育系统广泛传播。
④重要信息系统(网站) 的数据发生丢失或被窃取、篡改。
⑤其他对教育系统安全稳定和正常秩序构成较大威胁,造成较大影响的网络安全事件。
(4)除上述情形外,对市、县(区)教育行政部门和学校安全稳定和正常秩序构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件(Ⅳ级)。
1.6 工作原则
(1)统一指挥、密切协同。岱山县教育系统网络安全和信息化工作领导小组(以下简称县教育网信领导小组) 统筹协调全县教育系统网络安全应急指挥工作, 建立与省教育厅、市教育局及县网络安全职能部门、专业机构等多方参与的协调联动机制,加强预防、监测、报告和应急处置等环节的紧密衔接,做到快速响应、正确应对、果断处置。
(2)分级管理、强化责任。按照属地化管理原则,各级各类学校在本地党委和政府领导下,负责本地区教育系统网络安全应急工作。按照“谁主管谁负责、谁运维谁负责”的原则, 各级党委(党组织) 对本地区本单位网络安全工 作负主体责任。领导班子主要负责人是网络安全工作第一责任人。
(3)预防为主、平战结合。坚持事件处置和预防工作相结合, 做好事件预防、预判、预警工作,加强应急支撑保障能力和安全态势感知能力建设。提高网络安全事件快速响应和科学处置能力,抓早抓小,争取早发现、早报告、早控制、早解决,严控网络安全事件风险和影响范围。
2 组织体系
2.1 领导机构与职责
县教育网信领导小组统筹协调全县教育系统网络安全 事件应急工作,指导全县各级学校网络安全事件应急处置。发生Ⅳ级及以上网络安全事件时,成立县教育网络安全事件应急处置工作组(以下简称县教育网安应急 工作组),负责组织指挥和协调事件处置,并根据实际情况吸纳相关教育行政部门、业务主管单位和技术支撑单位等参加应对工作。发生Ⅲ级及以上网络安全事件时, 在市教育局、县委统一指挥下开展应急处置工作,具体参照有关规定执行。
2.2 办事机构与职责
在县教育网信领导小组的领导下, 县教育网络安全应急办公室(以下简称县教育网安应急办) 负责网络安全应急管理事务性工作, 对接市教育网络安全应急办公室(以下简称市教育网安应急办)、县委网络安全应急办公室(以下简称县网安应急办) 等网络安全职能部门,向县教育网信领导小组报告网络安全事件情况,提出一般网络安全事件应对措施建议,统筹组织网络安全监测工作,指导网络安全支撑单位做好应急处置的技术支撑工作。县教育网络安全应急办的工作由县教育系统网络安全和信息化工作领导小组办公室承担。
2.3 教育行政部门和学校职责
各级各类学校负责统筹协调组织本地区网络安全事件应急工作,做好网络安全事件的预防、监测、报告和应急工作。各级各类学校按照“谁主管谁负责、谁运维谁负责”的原则,参照本预案制订应急预案, 承担各自网络安全责任,全面落实各项工作。
3 监测与预警
3.1 预警分级
建立全县教育系统网络安全事件预警制度。按照紧急程 度、发展态势和可能造成的危害程度,全县教育系统网络安 全事件预警等级分为四级: 由高到低依次用红色、橙色、黄色和蓝色表示, 分别对应发生或可能发生的特别重大、重大、较大和一般网络安全事件。
3.2 安全监测
3.2.1 事件监测
全县教育系统网络安全事件监测主要依托省教育厅、市教育局、市县网安部门的监测渠道,局本级在收到上级网安部门系统网络安全事件通知后,应立即通知相关学校和单 位。各学校和单位对网络和信息系统(网站) 的运行状态进行密切监测、一旦发生网络安全事件,应当立即通过电话等式向上级教育行政部门报告,不得迟报、谎报、瞒报、漏报。
3.2.2 威胁监测
全县教育系统网络威胁监测主要依托省教育厅、市教育局、市县网安部门的监测渠道, 对上级网安部门发布的漏洞、病毒、网络 攻击等网络安全威胁信息,局本级应立即通知相关学校和单位,各单位要加强对本地区、本单位网络和信息系统(网站) 的网络安全威胁监测,对发现的威胁及时进行处置和上报。
3.3 预警研判和发布
县教育网安应急办要对监测信息进行研判,对发生网络安全事件的可能性及其可能造成的影响进行分析评估,认为需要立即采取防范措施的及时通知有关单位(学校);认为可能发生较大及以上网络安全事件的信息,应当立即向市教育网安应急办报告。红色预警统一由教育部网安应急办或省网安应急办发布,橙色及以下预警由省教育网安应急办发布, 市、县(区)教育行政部门可根据监测研判情况发布本地区黄色及以下预警。对达不到预警级别但又要发布警示信息的,可发布风险提示信息。预警信息包括预警级别、起始时间、可能影响范围、警示事项、应采取的措施、时限要求和发布机关等。
3.4 预警响应
(1)红色、橙色预警响应
局本级及全县各级各类学校应按照省教育网安应急办的要求,开展应急响应工作,及时落实相关工作任务。
(2)黄色预警响应
应配合上级网安应急部门组织开展 预警响应工作,做好风险评估、应急准备和风险控制工作, 将事态发展情况上报市教育网安应急办。相关应急技术支撑 队伍保持联络畅通,检查应急设备、软件工具等,确保处于良好状态。
(3)蓝色预警响应
各单位、学校根据预案,组织做好预警响应工作。
3.5 预警解除
预警发布部门根据实际情况,确定是否解除预警,及时发布预警解除信息。
4 应急响应
4.1 初步处置
网络安全事件发生后,事发单位、学校应当立即启动应急预案,并由县教育网安应急办立即组织应急队伍和工作
人员根据不同的事件类型和事件原因,采取科学有效的应急 处置措施,尽最大努力将影响降到最低,并注意保存网络攻 击、网络入侵或网络病毒等证据。经分析研判,初判为较大 及以上网络安全事件的, 应当立即报告市教育网安应急办;对于人为破坏活动,应当同时报当地网信部门和公安机关。
1.网站、网页出现非法信息言论时的处置流程
(1)网站、网页由实际使用单位(部门)负责随时密切监视信息内容。
(2)发现网上出现非法信息言论时,相关单位需派专 人处理,作好必要记录,清除非法信息,确认后,再重新启动网站。
(3)服务器责任人妥善保存有关记录及日志。
(4)单位安全管理员通过技术手段追查非法信息来源。
(5)向上级教育行政部门汇报处理情况。
(6)如果非法信息不能自行处理或属严重事件的,应保留记录资料并立即向公安部门报警。
2.黑客攻击网站网页的紧急处置流程
当发现网站网页内容被篡改或通过入侵检测系统发现 网络正被攻击时,应立即将被攻击的服务器等设备从网络中 隔离出来,保护现场和保留记录资料,并立即向上级教育行政部门汇报情况,向所属公安部门报警。
3.病毒安全紧急处置流程
(1)当发现计算机被感染上病毒后,将该机从网络上隔离开来。
(2)对该设备的硬盘进行数据备份。
(3)启用杀病毒软件对该机器进行杀毒处理工作。
(4)如果现行反病毒软件无法清除该病毒,在确认数据完全备份后,征求使用人同意重装系统。
4.软件系统遭破坏性攻击的紧急处置流程
(1)一旦软件遭到破坏性攻击,应及时采取相应措施减少或降低损害。
(2)网络安全人员检查日志等资料,确定攻击来源。
(3)从平时备份中恢复数据,软件系统快速恢复使用。
(4)向上级教育行政部门汇报处理情况。
(5)事态严重,应保留记录资料并立即向上级教育行政部门和公安部门报告。
5.数据库安全紧急处置流程
(1)一旦数据库崩溃,应立即启动备用系统。
(2)在备用系统运行的同时,应对主机系统进行修复工作。
(3)如果两套系统均崩溃,单位安全管理员应立即向软硬件提供商请求支援。
(4)系统修复启动后,将数据库备份取出,按照要求将其恢复到主机系统中。
(5)如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
6.单位网络出口线路中断紧急处置流程出口线路中断后,应立即向所属教育城域网管理部门报告,由教育城域网管理部门与出口提供商的维护部门联系进行修复。
7.单位局域网中断紧急处置流程
(1)局域网中断后,单位网络维护人员应立即判断故障节点,查明原因。
(2)如属线路故障,应重新安装线路。
(3)如属路由器、交换机等网络设备硬件故障,应立即使用备用设备,并调试通畅。
(4)如属路由器、交换机配置文件破坏等软件故障,应迅速按照要求重新导入备份配置。
(5)如因网络与信息安全突发公共事件导致的,需向上级管理部门报告。
8.设备安全紧急处置流程
(1)小型机、服务器等关键设备损坏后,应及时向单位主管领导报告。
(2)如果能够自行恢复,应立即使用备用部件更换受损部件。
(3)如不能自行恢复的,立即与设备提供商联系,请求前来维修。
9.机房灭火流程
一旦发生火灾,应遵循下列原则:
(1)首先确保人员安全;其次保证关键设备、数据的安全;第三确保一般设备安全。
(2)人员疏散程序是:按响火警警报,并通过119 电话向消防请求支援,所有不参与灭火的人员按照预先确定的路线撤离。
(3)人员灭火程序是:首先切断电源,再开展各类灭火操作。
(4)向上级管理部门汇报处理情况。
10.电源中断后的处置流程
(1)停电发生后,由 UPS 供电,密切监察 UPS 工作状况。
(2)当 UPS 供电不足时,应按预先设定的顺序逐个关掉网络设备和服务器的服务程序和电源。
4.2 应急响应
网络安全事件应急响应分为Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级, 分别对应教育系统特别重大、重大、较大和一般网络安全事件。
4.2.1 I 级响应
特别重大网络安全事件, 由教育部网络安全应急办、省网安应急办统一组织应急处置工作。
4.2.2 II 级响应
重大网络安全事件,由省教育网安应急办向省教育网信 领导小组提出启动II 级响应的建议,经批准后,成立省教育网安应急工作组统一组织应急处置工作。
4.2.3 Ⅲ级响应
网络安全事件Ⅲ级响应,由市教育网安应急办或省教育网安应急办确定并发布。
4.2.3 IV 级响应
网络安全事件IV级响应,由县教育网安应急办或市教育网安应急办确定并发布。
(1)响应发布单位进入应急状态,按照相关应急预案做好应急处置工作。
(2)事发单位及时填写《教育系统网络安全事件情况 报告》(附件 1)报县教育网安应急办, 由县教育网安应急办报市教育网安应急办。
(3)处置中需要其他单位和网络安全应急技术支撑队 伍配合和支持的,会同市教育网安应急办或当地网安应急办予以协调。
(4)有关单位(学校)根据通报,结合各自实际有针对性的加强防范、防止造成更大范围影响和损失。
4.3 应急结束
4.3.1 Ⅰ级响应结束
由教育部网安应急办或省网安应急办发布应急响应结束指令。
4.3.2 Ⅱ级响应结束
省教育网安应急办提出建议, 经省教育网安应急工作组批准后,通报相关单位,并向教育部网安全应急办及省网安应急办报告。
4.3.3 Ⅲ级响应结束
市教育网安应急办完成应急处置后,根据实际结束Ⅲ级响应状态,并向省教育网安应急办报告。
4.3.4 Ⅳ级响应结束
县教育网安应急办完成应急处置后,根据实际结束响应状态,并向市教育网安应急办报告。
5 调查与评估
特别重大网络安全事件由省教育网安应急办根据教育 部、省委有关要求,开展调查处理和总结评估工作,并将调 查评估结果报教育部网安应急办和省网安应急办。重大网络 安全事件由省教育网安应急办组织有关单位开展调查处理 和总结评估工作, 调查评估结果经省教育网信领导小组审核 后,报教育部网安应急办和省网安应急办。较大网络安全事件由市教育网安应急办组织开展调查处理和总结评估工作,并将调查评估结果上报省教育网安全应急办。一般网络安全事件由事发单位自行组织开展调查处理和总结评估工作,并将调查评估结果上报市教育网安全应急办。
网络安全事件总结调查报告应对事件的起因、性质、影 响、责任等进行分析评估,提出处理意见和改进措施。网络 安全事件的调查处理和总结评估工作应在应急响应结束后 5天内完成,并填报《教育系统网络安全事件整改报告》(见附件 2)。
6 预防工作
6.1 日常管理
各单位(学校)应做好网络安全事件日常预防工作,根据本预案制订完善相关的专项应急预案和配套的管理制度, 专项预案应进一步细化应急操作流程, 建立完善的应急管理体制。按照网络安全等级保护、关键信息基础设施防护等相关要求落实各项防护措施,做好网络安全检查、风险评估和容灾备份,加强信息系统的安全保障能力。
6.2 落实监测预警和通报
各单位要全面落实上级网安部门发布的网络安全监测 预警和通报, 全面排查安全隐患, 及时修复安全威胁, 提高发现和应对网络安全事件的能力。
6.3 应急演练
建立应急预案定期演练制度。通过演练,发现应急工作 体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。
6.4 宣传教育
各单位(学校)应当将网络安全教育作为国家安全教育的重要内容,加强突发网络安全事件预防和处置的有关法律、法规 和政策的宣传教育。同时,充分利用网络安全宣传周等各种活动形式和传播媒介,开展网络安全基本知识和技能宣传,提高在校师生的网络安全意识。
6.5 工作培训
各单位(学校)应当定期组织网络安全培训,将网络安全事件的应急知识列为领导干部和有关人员的培训内容,加强网络安全特别是网络安全事件应急预案的学习,提高网络安全管理和技术人员的防范意识及安全技能。
7 工作保障
7.1 机构和人员
各单位(学校)应当落实网络安全应急工作责任制,明确网络安全职能部门,并将网络安全应急工作作为重点工作予以部署。按照“谁主管谁负责”的原则,把网络安全应急工作责任落实到具体部门、具体岗位和个人,建立健全应急工作机制。
7.2 技术支撑
各级教育行政部门、学校要加强网络安全应急技术支撑 队伍建设和网络安全物资保障,做好网络安全事件的监测预警、预防防护、应急处置、应急技术支撑工作。
7.3 专家队伍
各级教育行政部门、学校根据实际,建立本地区、本校的网络安全专家咨询队伍,提高应急保障能力。
7.4 经费保障
各单位(学校)应当为网络安全应急工作提供必要的经费保障, 利用现有政策和资金渠道,支持网络安全应急技术支撑队伍 建设、专家队伍建设、宣传教育培训、预案演练、物资保障等工作开展。
7.5 责任与奖惩
各级教育行政部门、学校可对网络安全事件应急管理工 作中作出突出贡献的先进集体和个人给予表彰和奖励; 对不按照规定制定预案和组织开展演练,迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职、渎职行为的, 依照有关规定对有关责任人给予处分; 构成犯罪的,依法追究刑事责任。
8 附则
8.1 预案管理
本预案原则上每年评估一次,根据实际情况适时修订。修订工作由县教育网安应急办组织。各单位(学校)要根据本预案制订或修订本单位、本地区的网络 安全事件应急预案。各预案要做好与本预案的衔接,并报县教育网络安全应急办。
8.2 预案解释
本预案由县教育网安应急办负责解释。
8.3 预案实施时间
本预案自印发之日起实施。
附件:
教育系统网络安全事件情况报告.docx