合肥学院校园网络安全应急响应预案

    为了切实做好合肥学院网络突发事件的防范和应急处理工作，进一步提高我校预防和控制网络突发事件的能力和水平，减轻或消除突发网络事件的危害和影响，依据“中华人民共和国网络安全法”等法律法规的有关规定，结合学校教育信息化建设与管理要求，特制定本预案。

第一章       总则

第一条　本预案所称突发性事件，主要是指因人为活动引发的危害学校校园网网络设施及信息安全等有关的灾害。
第二条 本预案的指导思想是确保学校计算机网络及信息系统的安全。　
第三条 本预案适用于发生在校园网上的突发性事件应急工作。　　
第四条　应急处置工作原则：统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。

第二章       组织指挥和职责任务
第五条 合肥学院信息办“网络安全应急响应组”对校内计算机网络安全事件提供快速的响应和技术支持，工作组的主要职责与任务是统一领导学院的网络信息的灾害应急工作，全面负责学院信息网络可能出现的各种突发事件处置工作，协调解决灾害处置工作中的重大问题等。

第三章       处置措施和处置程序
第六条  处置措施　
处置的基本措施分灾害发生前与灾害发生后两种情况。
（一）灾害发生前，网络安全应急响应组预先对灾害预警预报体系进行建设，开展灾害调查，编制灾害防治规划，建设监测网络，网络安全应急响应组进行定期和不定期的检查，加强对门户网站等对外站点重点部位的监测和防范。建立健全灾情速报制度，保障突发性灾害紧急信息报送渠道畅通。
（二）灾害发生后，立即启动应急预案，采取应急处置程序，判定灾害级别，并立即将灾情向校网络安全与信息化工作领导小组报告，在处置过程中，应及时报告处置工作进展情况，直至处置工作结束。　　
第七条 处置程序　　
（一）   预案启动　　
一旦灾害发生，立即启动应急预案，进入应急预案的处置程序。
当人为灾害发生时，具体按以下顺序进行：判断破坏的来源与性质，断开影响安全与稳定的信息网络设备，断开与破坏来源的网络物理连接，跟踪并锁定破坏来源的IP或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照灾害发生的性质分别采用以下方案：
1．入侵：对于网络入侵，首先要判断入侵的来源，区分外网与内网。入侵来自外网的，定位入侵的IP地址，及时关闭入侵的端口，限制入侵地IP地址的访问，在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的，查清入侵来源，如IP地址、上网帐号等信息，同时断开对应的交换机端口。　 
2．信息被篡改：这种情况，要求一经发现马上断开该服务器的网络链接，由网络安全应急响应组登陆服务器，搜索黑客入侵的相关证据，判断系统破坏情况，找出信息被篡改的根源，根据情况尽快恢复系统。
（二）情况报告　　
灾害发生时，一方面按照应急处置方法进行处置，同时需要判定灾害的级别，首先向学校相关领导汇报，情况严重的向教育厅、合肥市网监支队汇报。情况报告内容包括：灾害发生的时间、地点，灾害的级别，灾害造成的后果，应急处置的过程、结果，灾害结束的时间，以后如何防范类似灾害发生的建议与方案等。
（三）预案终止
　经专家组鉴定，灾害险情或灾情已消除，或者得到有效控制后，由网络安全应急响应组宣布险情或灾情应急期结束，并予以公告，同时预案终止。