信息安全应急预案（精选15篇）

　　在现实生活或工作学习中，难免会突发一些事故，为了避免事情往更坏的方向发展，时常需要预先编制应急预案。我们该怎么去写应急预案呢？下面是小编精心整理的信息安全应急预案，欢迎大家借鉴与参考，希望对大家有所帮助。

信息安全应急预案（精选15篇）

　　信息安全应急预案 1

　　1、总则

　　1.1 编制目的

　　通过编制和实施网络安全事故应急预案，提高我局网络信息安全事故应急响应和处置能力，对于可能发生的各种网络信息安全事故或灾害，能够在第一时间做出快速反应并采取应对措施，及时恢复网络和系统运行，减少损失，降低负面影响。

　　1.2指导思想

　　认真贯彻落实国家信息化领导小组有关文件精神，坚持“积极防御、综合防范”的方针，重点保障基础信息网络和重要信息系统的安全运行，为我局信息化建设和发展提供有力保障。

　　1.3基本原则

　　(1)加强预防原则。各联网股室要随时注意信息网络系统的运行情况，密切关注县信息中心或互联网发布的.病毒预告，及时安装补丁，增强系统的防护能力，防患于未然。

　　(2)快速反应原则。发现网络异常的股室或个人要迅速上报，并立即切断风险源，防止事故进一步蔓延。

　　(3)统一指挥原则。各联网股室必须统一服从局保密工作领导小组的指挥，在处置过程中，及时关注领导小组发布的公告和通知。

　　(4)依法处置原则。在处置信息网络安全事故的过程中，要坚持依法有序处置、积极稳妥缜密的原则，防止危害进一步扩散和蔓延，避免对社会造成严重的负面影响。

　　1.4目标

　　建立健全网络信息安全事故应急处置策略和分级实施的应急预案体系；建立分离管理、分级负责、条块结合、属地为主的应急管理体制；建立统一指挥、反应灵敏、协调有序、运转高效的应急协调机制；健全专业化和社会化相结合的应急保障体系，实现全方位、实用的、快捷的网络信息安全事故应急处置手段和能力。

　　1.5事故等级

　　本预案所称网络信息安全突发事故，依据其性质、危害程度、涉及范围、影响大小等情况，由高到低划分为四个等级，即：重大事故(I级)、较大事故(II级)、一般事故(III级)。

　　重大突发信息安全事故(I级)：

　　事故发生后，主要信息网络或信息系统受到重大破坏、甚至部分瘫痪，对重要要害部门或用户制造成重大损失，严重地影响国家安全，社会秩序、经济建设和公共利益，需要调动全县力量、资源开展应急处置的信息安全事故。

　　较大突发信息安全事故(II级)：

　　事故发生后，主要信息网络或信息系统出现较大事故，不能正常运行，未对重要用户造成重大损失，但对普通用户有较大危害，较大地影响社会秩序、经济建设和公共利益，需要动员相关部门力量和资源进行处置的信息安全事故。

　　一般突发信息安全事故(III级)：

　　事故发生后，不影响主要信息网络或信息系统运行，不涉及重要用户，仅对普通用户造成较小损失和危害，较小地影响国家安全，社会秩序、经济建设和公共利益，且动员自身力量可以处置的信息安全事故。

　　1.6预案的适用范围及启动条件

　　本预案适用范围：**县安全生产监督管理局机关

　　本预案启动条件：上述范围内发生的重大信息安全突发事故；

　　2、组织体系

　　2.1县安监局网络信息安全（计算机网络）事故应急指挥部

　　县安监局网络信息安全（计算机网络）事故应急指挥部（以下简称局应急指挥部），为非常设领导机构，统一领导全局信息安全突发事故的应急救援工作。

　　总指挥：**局长

　　副总指挥：**副局长

　　成员：局属二级单位负责人和各股室长

　　主要职责：

　　（1）组织和领导重大信息安全事故的应急处置，并决定全局网络信息安全事故应急工作重大决策；

　　（2）贯彻落实上级应急委员会的交办的有关任务，并及时报告重要情况并提出建议；

　　（3）督导网络信息安全事故应急管理领导小组依照有关要求，做好网络信息安全事故预案的编制、修订和组织实施工作；

　　（4）突发网络信息安全事故发生后，根据需要，迅速设立现场指挥部；

　　（5）督导相关股室做好突发信息安全事故的预防、应急准备、应急处置和恢复重建等工作。

　　（6）督导所属专业应急队伍做好应急响应有关软件工具和技术准备。

　　2.2县安监局网络信息安全事故应急管理办公室

　　信息安全应急预案 2

　　信息发布登记制度

　　1. 在信源接入时要落实安全保护技术措施，保障本网络的运行安全和信息安全；

　　2. 对以虚拟主机方式接入的单位，系统要做好用户权限设定工作，不能开放其信息目录以外的其他目录的操作权限。

　　3. 对委托发布信息的单位和个人进行登记并存档。

　　4. 对信源单位提供的信息进行审核，不得有违犯《计算机信息网络国际联网安全保护管理办法》的内容出现。

　　5. 发现有违犯《计算机信息网络国际联网安全保护管理办法》情形的，应当保留有关原始记录，并在二十四小时内向当地公安机关报告。

　　信息内容审核制度

　　一、必须认真执行信息发布审核管理工作，杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。

　　二、对在本网站发布信息的信源单位提供的信息进行认真检查，不得有危害国家安全、泄露国家秘密，侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。

　　三、对在BBS公告板等发布公共言论的栏目建立完善的审核检查制度，并定时检查，防止违犯《计算机信息网络国际联网安全保护管理办法》的`言论出现。

　　四、一旦在本信息港发现用户制作、复制、查阅和传播下列信息的：

　　1. 煽动抗拒、破坏宪法和法律、行政法规实施

　　2. 煽动颠覆国家政权，推翻社会主义制度

　　3. 煽动分裂国家、破坏国家统一

　　4. 煽动民族仇恨、民族歧视、破坏民族团结

　　5. 捏造或者歪曲事实、散布谣言，扰乱社会秩序

　　6. 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪

　　7. 公然侮辱他人或者捏造事实诽谤他人

　　8. 损害国家机关信誉

　　9. 其他违反宪法和法律、行政法规

　　10. 按照国家有关规定，删除本网络中含有上述内容的地址、目录或者关闭服务器。并保留原始记录，在二十四小时之内向当地公安机关报告。

　　用户备案制度

　　一、用户在本单位办理入网手续时，应当填写用户备案表。

　　二、公司设专人按照《中华人民共和国计算机信息网络国际联网单位备案表的通知》的要求，在每月20日前，将济南地区本月因特网及公众多媒体通信网（网外有权部分）新增、撤消用户的档案材料完整录入微机，并打印两份。

　　三、将本月新增、撤消的用户进行分类统计，并更改微机存档资料，同时打印一份。

　　四、每月20日之前，将打印出的网络用户的备案资料（2份）及统计信息（1份）送至专人处。

　　安全制度

　　一、定期组织管理员认真学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及，提高工作人员的维护网络安全的警惕性和自觉性。

　　二、负责对本网络用户进行安全教育和培训，使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的网络安全知识。

　　三、对信息源接入单位进行安全教育和培训，使他们自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，杜绝发布违犯《计算机信息网络国际互联网安全保护管理办法》的信息内容。

　　四、不定期地邀请公安机关有关人员进行信息安全方面的培训，加强对有害信息，特别是影射性有害信息的识别能力，提高防犯能力。

　　用户登记和管理制度

　　一、建立健全计算机信息网络电子公告系统的用户登记和信息管理制度；组织学习《计算机信息网络国际联网安全保护管理办法》，提高网络安全员的警惕性；负责对本网络用户进行安全教育和培训；建立电子公告系统的网络安全管理制度和考核制度，加强对电子公告系统的审核管理工作，杜绝BBS上出现违犯《计算机信息网络国际联网安全保护管理办法》的内容。

　　二、对版主的聘用本着认真慎重的态度、认真核实版主身份，做好版主聘用记录；对各版聘用版主实行有针对性的网络安全教育，落实版主职责，提高版主的责任感；版主负责检查各版信息内容，如发现违反《计算机信息网络国际互联网安全保护管理办法》即时予以删除，情节严重者，做好原始记录，报告解决，由管理员向公安机关计算机管理监察机构报告；负责考核各版版主，如发现不能正常履行版主职责者，三、检查时严格按照《计算机信息网络国际互联网安全保护管理办法》、及（见附页）的标准执行；如发现违犯《计算机信息网络国际互联网安全保护管理办法》（见附页）的言论及信息，即时予以删除，情节严重者保留有关原始记录，并在二十四小时内向当地公安机关报告；负责对本网络用户进行安全教育和培训，网络管理员加强对《计算机信息网络国际互联网安全保护管理办法》的学习，进一步提高对维护的警惕性。

　　信息安全应急预案 3

　　为保证我局网络与信息系统安全，防范蓄意攻击、破坏网络系统及传播、粘贴非法信息等紧急突发事件的发生，结合我局网络信息化工作实际情况，特制定本应急预案。

　　一、工作目标。

　　保障网络信息的合法性、完整性、准确性，保障计算机及相关配套设备、设施的安全及运行环境的安全，保障网络与信息系统的安全运行。

　　二、组织机构。

　　成立网络与信息安全领导小组。

　　三、应急预案。

　　（一）黑客攻击时的紧急处置措施；

　　1、当有关人员发现网页内容被篡改，或发现有黑客正在攻击时，应立即向局信息安全领导小组办公室通报情况。

　　2、日常应急办公室网络安全管理人员应及时赶到现场，并首先将被攻击的服务器等设备从网络中隔离出来，保护现场，并同时向局信息安全领导小组通报情况。

　　3、网络管理员负责被攻击或破坏系统的恢复与重建工作，并及时追查非法信息来源。

　　（二）病毒安全紧急处置措施；

　　1、当发现有计算机被感染上病毒后，应立即向局信息安全小组办公室报告，并及时将该机器从网络上隔离开来。

　　2、接到通报后，应及时赶到现场，对该设备的.硬盘进行数据备份，并启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。

　　3、如果现行反病毒软件无法清除该病毒，应立即向局信息安全领导小组报告，并迅速联系相关反病毒软件商研究解决。

　　（三）软件系统遭破坏性攻击的紧急处置措施；

　　1、重要的软件系统平时必须存有备份，与软件系统相对应的数据必须有多日的备份，并将他们保存于安全处。

　　2、一旦软件遭到破坏性攻击，应立即向局信息安全领导小组日常应急办公室报告，并将该系统停止运行。

　　3、日常应急信息安全岗人员负责软件系统和数据的恢复，并检查日志等资料，确定攻击来源。

　　4、事态严重的，立即向局信息安全领导小组组长报告，并根据组长指示向公安部门或上级机关报警。

　　（四）数据库安全紧急处置措施；

　　1、主要数据库系统应及时进行数据库备份。

　　2、一旦数据库崩溃，值班人员应立即向局信息安全领导小组日常应急办公室报告，并由日常应办共室信息安全人员组织力量对主机系统进行恢复。

　　3、系统修复启动后，按照要求将数据库备份恢复到主机系统中。

　　（五）广域网断线故障紧急处置措施；

　　1、广域网发生断线故障后，使用或管理人员应向及时局信息安全领导小组报告。

　　2、日常应急办公室网络安全人员接到报告后，应迅速判断故障节点，查明故障原因。

　　3、如属我方管辖范围，由网络安全人员立即予以恢复。

　　4、如属联通部门管辖范围，立即与联通维护部门联系，要求修复。

　　5、如果恢复时间预计超过两小时,应立即向局信息安全领导小组汇报。经领导小组同意后，应通知各部门相关原因，暂缓上传上报数据，并向办公室报告相关情况。

　　（六）局域网中断紧急处置措施；

　　1、设备管理部门平时应准备好网络备用设备，存放在指定的位置。

　　2、局域网中断后，应立即判断故障节点，查明故障原因，并向办公室汇报。

　　3、如属线路故障，应重新修复线路。

　　4、如属路由器、交换机等网络设备故障，应立即从指定位置将备用设备取出接上，并调试通畅。

　　5、如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调测通畅。

　　6、如有必要，应向局信息安全领导小组汇报。

　　（七）设备安全紧急处置措施；

　　1、服务器等关键设备损坏后，网络管理人员应立即向日常应急办公室报告。

　　2、日常应急办公室网络安全人员立即查明原因。

　　3、如果能够自行修复，应立即排除故障，恢复服务器的正常运行。

　　4、如属不能自行修复的，立即与设备提供商联系，请求派维护人员前来维修。

　　5、如果设备一时不能修复，应向局信息安全领导小组汇报，并告知相关部门，暂缓上传上报数据。

　　（八）供电中断后的设备运行紧急处置措施；

　　1、供电中断后，机房管理人员应立即查明原因，向日常应急办公室汇报。

　　2、如因局内线路故障，请局办公室迅速恢复。

　　3、如果是供电局的原因，应立即与供电局联系，请供电局迅速恢复供电。

　　4、如果供电局告知需长时间停电，应做好以下安排：

　　（1）预计停电1小时以内，由UPS供电，网络继续运行。

　　（2）预计停电超过1小时，按正常关机程序关闭所有机房运行设备。

　　（九）关键人员不在岗的紧急处置措施；

　　1、对于关键岗位平时应做好人员储备，确保一项工作有两人能够操作。

　　2、一旦发生关键人员不在岗的情况，首先应向值班领导汇报情况。

　　3、经值班领导批准后，由备用人员上岗操作。

　　4、如果备用人员无法上岗，请求上级单位支援。

　　（十）发生自然灾害后紧急处置措施；

　　1、一旦发生自然灾害，导致设备损坏，向县网络与信息安全事件应急指挥部办公室请求支援。

　　2、协助上级派遣人员寻找安全可靠的地点，重新构建新的系统和网络，并将相关数据予以恢复。

　　3、协助上级派遣人员做好测试工作。

　　信息安全应急预案 4

　　为保证我局信息系统安全，加强和完善网络与信息安全应急管理措施，层层落实责任，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响，确保信息系统和网络的畅通运行。现结合我局工作实际，特制定本应急预案。

　　一、总则

　　（一）工作目标

　　保障信息的合法性、完整性、准确性，保障网络、计算机、相关配套设备设施及系统运行环境的安全。

　　（二）编制依据

　　根据《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《计算机病毒防治管理办法》等相关法规、规定、文件精神，制定本预案。

　　（三）基本原则

　　1、预防为主。立足安全防护，加强预警，抓好预防、监控、应急处理等环节，采取各种措施，充分发挥各方作用，有效预防网络与信息安全事故的发生。

　　2、分级负责。按照“谁主管谁负责，谁运维谁负责”的原则，各部门（单位）应积极支持和协助应急处置工作。

　　3、果断处置。一旦发生网络与信息安全事故，应迅速反应，及时启动应急处置预案，尽最大力量减少损失，尽快恢复网络与系统运行。

　　（四）适用范围

　　本预案适用于机关各科室、局属事业单位。

　　二、组织体系

　　成立工作领导小组，组长由局长担任，副组长由分管局长担任，组员由各科室、局属事业单位负责人组成。

　　领导小组下设办公室，办公室设在局综合科，统一协调，负责处理日常工作。

　　三、预案的启动

　　在发生网络与信息安全事故时，应根据具体情况启动相应的应急预案。

　　四、预防预警

　　（一）信息监测与报告

　　1、进一步完善网络与信息安全突发公共事件监测、预测和预警制度。落实工作责任制，按照“早发现、早报告、早处置”的原则，加强对各类网络与信息安全突发公共事件和可能引起突发网络与信息安全突发公共事件的有关信息的收集、分析、判断和持续监测。当检查到有网络与信息安全突发公共事件发生时，立即向应急领导小组报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施建议等。

　　2、发现下列情况应及时向应急领导小组报告：利用网络从事违法犯罪活动；网络或信息系统通信和资源使用异常；网络或信息系统瘫痪，应用服务中断或数据篡改、丢失；网络恐怖活动的嫌疑和预警信息；其他影响网络与信息安全的信息。

　　（二）预警处理与发布

　　1、对可能发生或已经发生的网络与信息安全突发公共事件，立即采取措施，制止事件的延续、蔓延，并在1小时内进行风险评估，必要时启动相应预案，同时向应急领导小组报告。

　　2、应急领导小组接到报告后，对可能发生或已经发生的网络与信息安全突发公共事件，迅速召开应急领导小组会议，启动本预案，研究确定处置意见。

　　3、对需要向上级相关部门通报的，要及时通报，并争取支援。

　　五、应急响应

　　（一）先期处置

　　当我局网络内计算机受到不明估计或恶意入侵时，应立刻关闭网络，并详细备案，同时向应急工作小组组长报告。处理后，应对网络进行查病毒、查木马，检测是否受到攻击，排查事件原因。

　　领导小组组长接到报告后，应加强与有关方面的联系，掌握最新发展动态，追查原因。对发生重大和有可能演变为重大的网络与信息安全突发公共事件，要立即报告应急领导小组，并做好启动本预案的各项准备工作；应急领导小组在接到报告后，要根据网络与信息安全突发公共事件发展态势，视情况决定是否赶赴现场指挥，组织派遣应急支援力量。

　　（二）应急指挥

　　本预案启动后，领导小组要抓紧收集相关信息，掌握现场处置工作状态，分析事件发展态势，研究提出处置方案，统一指挥网络与信息应急处置工作。根据事件性质组建各类应急工作小组，开展应急处置工作，必要时，向相关部门申请应急支援。

　　（三）信息处理

　　应急工作小组应对事件进行动态监测、评估，不得隐瞒、缓报、谎报。要做好信息分析、报告和发布工作，及时提供事件动态信息给应急领导小组研究决策。应组织专家和有关技术人员研判各类信息，研究提出处置措施，完善应急处置计划方案。

　　六、后期处置

　　（一）善后处理

　　在应急处置工作结束后，应急工作小组要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建所需的时间、费用等进行分析评估，认真制定恢复重建计划，并迅速组织实施。最后，要将善后处置的有关情况报应急领导小组。

　　（二）调查评估

　　应急处置工作结束后，应急工作小组应立即组织有关人员和专家组成事件调查组，对事件发生及其处置过程进行全面的调查，查清事件发生的'原因及损失情况，总结经验教训，写出调查评估报告，报应急领导小组。

　　七、保障措施

　　（一）应急装备保障

　　对于重要网络与信息系统，在建设系统时应事先预留一定的应急设备，建立信息网络硬件、软件、应急救援设备等应急物资库。在网络与信息安全突发公共事件发生时，报应急领导小组同意后，由应急工作小组负责统一调用。

　　（二）数据保障

　　重要信息系统均应建立容灾备份系统和相关工作机制，保证重要数据在遭到破坏后，可紧急恢复。各容灾备份系统应具有一定的兼容性，在特殊情况下各系统间可互为备份。

　　八、监督管理

　　（一）要充分利用各种传播媒介及有效的形式，加强网络与信息安全突发公共事件应急和处置的有关法律法规和政策的宣传。

　　（二）建立应急预案定期演练制度。通过演练，发现应急工作体系和工作机制存在的问题，不断完善应急预案，提高应急处置能力。

　　（三）对在网络与信息安全突发公共事件应急处置中作出突出贡献的集体和个人，给予表彰奖励；对在网络与信息安全突发公共事件预防和应急处置中有玩忽职守、失职、渎职等行为，依法依规追究责任。

　　信息安全应急预案 5

　　为确保网络正常使用，充分发挥网络在信息时代的作用，促进教育信息化健康发展，根据国务院《互联网信息服务管理办法》和有关规定，特制订本预案，妥善处理危害网络与信息安全的突发事件，最大限度地遏制突发事件的影响和有害信息的扩散。

　　一、危害网络与信息安全突发事件的应急响应

　　1.如在局域网内发现病毒、木马、*客入侵等

　　网络管理中心应立即切断局域网与外部的网络连接。如有必要，断开局内各电脑的连接，防止外串和互串。

　　2.突发事件发生在校园网内或具有外部IP地址的服务器上的.，学校应立即切断与外部的网络连接，如有必要，断开校内各节点的连接；突发事件发生在校外租用空间上的，立即与出租商联系，关闭租用空间。

　　3.如在外部可访问的网站、邮件等服务器上发现有害信息或数据被篡改，要立即切断服务器的网络连接，使得外部不可访问。防止有害信息的扩散。

　　4.采取相应的措施，彻底清除。如发现有害信息，在保留有关记录后及时删除，（情况严重的）报告市教育局和公安部门。

　　5.在确保安全问题解决后，方可恢复网络（网站）的使用。

　　二、保障措施

　　1.加强领导，健全机构，落实网络与信息安全责任制。建立由主管领导负责的网络与信息安全管理领导小组，并设立安全专管员。明确工作职责，落实安全责任制；BBS、聊天室等交互性栏目要设有防范措施和专人管理。

　　2.局内网络由网管中心统一管理维护，其他人不得私自拆修设备，擅接终端设备。

　　3.加强安全教育，增强安全意识，树立网络与信息安全人人有责的观念。安全意识淡薄是造成网络安全事件的主要原因，各校要加强对教师、学生的网络安全教育，增强网络安全意识，将网络安全意识与政治意识、责任意识、保密意识联系起来。特别要指导学生提高他们识别有害信息的能力，引导他们正健康用网。

　　4.不得关闭或取消防火墙。保管好防火墙系统管理密码。每台电脑安装杀毒软件，并及时更新病毒代码。

　　信息安全应急预案 6

　　在本单位的计算机网络发生安全事件或者事故的情况下，采取应急处置方案，保障计算机网络的安全。

　　一、成立计算机网络安全应急工作小组

　　组长：xxx

　　副组长：xxx

　　成员：xxx

　　计算机网络网络安全紧急响应小组及时、快速地协调、处各种事件或者事故。特殊时期安排专人24小时值班。

　　二、计算机网络安全事件的对策、措施

　　计算机网络安全事件报告程序

　　工作人员与管理人员发现或获知计算机网络发生安全事件，应立即通知站计算机网络安全紧急响应小组，由站计算机网络安全紧急小组通知公司计算机网络安全紧急响应小组，同时迅速关闭问题设备，由公司紧急响应小组技术人员分析原因，解决问题。

　　三、技术措施

　　1、垃圾邮件过滤器

　　响应公安部、信息产业部和国务院新闻办公室的要求，购置、安装垃圾邮件过滤器，预防和控制垃圾邮件的'攻击和破坏。该设备各项指标均达到或超过上述领导部门制定的标准。

　　2、日志服务器

　　对网络及服务器设备的日常运行日志进行收集和统一管理工作，防止不法分子入侵某个具体的设备，同时撰改日志记录，从而影响对问题的了解和解决。

　　3、入侵检测服务器

　　购置入侵检测设施，能根据网络内各具体真实IP地址的流量情况作出相应响应，特别是流量异常等情况。（被防火墙屏蔽的IP地址除外）

　　4、数据备份系统

　　可以将有重要资料的服务器设备数据进行备份处理，从而在相应服务器设备出现问题时能及时修复，保证重要数据的安全。

　　5、网页防篡改

　　采用人工和技术处理相结合的方式，对公司网站的内容进行浏览和检查，防止网页被篡改。

　　四、日常管理

　　1、及时更新服务器的防病毒软件病毒库。

　　2、定期对所有服务器进行漏洞扫描、补丁修复。

　　3、对网络中心服务器网段上联交换机开放的软端口进行严格控制。

　　4、实行分级管理体制，落实管理责任。

　　信息安全应急预案 7

　　为最大限度地减少损失，确保发生网络安全问题时各项应急工作高效、有序地进行，根据《互联网信息服务管理办法》及上级相关部门文件精神，结合我校校园网实际运行与应用特点，特制定本预案。

　　工作原则：职责明确、统一管理、处理快速

　　一、各级处理预案

　　1、网站不良信息事故处理预案

　　（1）一旦发现校园网站上出现不良信息（或者被黑客攻击修改了网页），立刻关掉网站。

　　（2）备份不良信息出现的目录、备份不良信息出现时间、前一个星期内的HTTP连接日志，以备调查。

　　（3）留存不良信息页面。

　　（4）隔离出现不良信息的目录，使其不能再被访问。

　　（5）删除不良信息，并清查整个网站所有资料，确保没有其他不良信息，重新开通网站服务，并测试网站运行。

　　（6）全面查对HTTP日志，防火墙网络连接日志，确定该不良信息的源IP地址，如果来自校内，则立刻全面升级此次事件为最高紧急事件，立刻向领导小组组长汇报。

　　2、网络恶意攻击事故处理预案

　　（1）发现出现网络恶意攻击，立刻确定该攻击来自校内还是校外；受攻击的设备有哪些；影响范围有多大。并迅速推断出此次攻击的最坏结果，决定是否需要紧急切断校园网的服务器及公网的网络连接，以保护重要数据及信息。

　　（2）如果攻击来自校外，立刻从防火墙中查出对方IP地址并过滤，同时设置对此类攻击的`过滤，并视状况严重程度决定是否报警。

　　（3）如果攻击来自校内，立刻确定攻击源，断开相应计算机网络连接并暂扣该机，立刻对该计算机进行分析处理，确定攻击原因。

　　（4）重新启动该电脑所连接的网络设备，直至完全恢复网络通信。

　　（5）对该电脑进行分析，清除所有病毒、恶意程序、木马程序以及垃圾文件，测试运行该电脑5小时以上，并同时进行监控，无问题后归还该电脑。

　　二、成立安全应急领导小组

　　校园全体行政人员及全体网络管理员组成网络安全应急领导小组。领导小组主要职责：

　　1、加强领导，健全组织，强化工作职责，完善各项应急预案的制定和各项措施的落实。

　　2、充分利用各种渠道进行网络安全知识的宣传教育，组织、指导全校网络安全常识的普及教育，不断提高广大师生的防范意识和基本技能。

　　3、采取一切必要手段，组织各方面力量全面进行网络安全事故处理工作，把不良影响与损失降到最低点。

　　三、网络信息安全事故善后工作

　　1、应急小组成员按应急预案，迅速恢复网络正常运行，并有针对性地加强网络监控与防护措施。

　　（1）事故处理完成后，逐步恢复网络运行，监控事故源是否仍然存在。

　　（2）事后迅速查清事件发生原因，查明职责人，并报领导小组根据职责状况进行处理。

　　（3）针对此次事故，进一步确定相关安全措施、总结经验，加强防范。

　　2、用心做好广大师生的思想宣传教育工作，迅速恢复正常秩序，全力维护校园网安全稳定。

　　四、其他

　　在应急行动中，校园各部门要密切配合，服从领导小组指挥，确保政令畅通和各项措施认真、及时得到落实。

　　信息安全应急预案 8

　　为了切实做好学校校园网络突发事件的防范和应急处理工作，进一步提高我校预防和控制网络突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保我校校园网络与信息安全，妥善处理危害网络与信息安全的突发事件，最大限度地遏制突发事件的影响和有害信息的扩散。结合学校工作实际，制定本预案。

　　第一章总则

　　第一条本预案所称突发性事件，是指自然因素或者人为活动引发的危害学校校园网网络设施及信息安全等有关的灾害。

　　第二条本预案的指导思想是湖北师范学院有关计算机网络及信息安全基本要求。

　　第三条本预案适用于湖北师范学院内所有个人和办公用计算机以及各研究所、实验室（中心）、教学机房、多媒体教室、电子阅览室等计算机和网络硬件、软件，以及学校门户网站和下属各部门网站内容发生突发性事件的应急处置。

　　第四条应急处置工作原则：统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。

　　第二章组织指挥和职责任务

　　第五条学校成立网络与信息安全应急处置工作小组，工作小组的主要职责与任务是统一领导全校信息网络的灾害应急工作，在校领导组织指挥下，全面负责学校信息网络可能出现的各种突发事件处置工作，协调解决灾害处置工作中的重大问题等。

　　第六条现代信息技术中心（以下简称“信息中心”）负责日常信息网络安全事件的具体处理，其中信息中心是信息网络安全事件处置控制中心，负责服务器端和网络层面的安全事件处置，并为各部门、院（系）做好部门办公用机和个人用机的安全处置提供技术指导。

　　第三章处置措施和处置程序

　　第七条处置措施

　　处置的基本措施分灾害发生前与灾害发生后两种情况。

　　（一）灾害发生前，信息中心按照岗位职责的要求，技术中心人员各司其责切实加强日常信息网络安全工作的检查、维护，定时升级系统补丁和杀毒软件，检查防火墙、IDS（入侵检测系统）的运行情况，及时消除隐患；

　　学校各单位切实落实部门网站管理工作职责、安全责任制，特别是对于开办网上论坛、留言板、聊天室、社区等交互式栏目网站的部门要落实关于信息发布审核、信息巡查和版主负责制度的情况，要设有防范措施和专人管理；

　　加强信息网络安全常识普及，使教职工掌握信息网络安全常识，并具备一定防范处理突发事件的基本知识。

　　建立健全灾情速报制度，保障突发性灾害紧急信息报送渠道畅通。属于重大灾害的，在向工作领导小组报告的同时，还应向黄石市公安局网络监察部门报告。

　　（二）灾害发生后，立即启动应急预案，采取应急处置程序，判定灾害级别，并立即将灾情向工作小组报告，在处置过程中，应及时报告处置工作进展情况，直至处置工作结束。

　　第八条处置程序

　　（一）发现情况

　　现代信息技术中心要严格执行值班制度，做好校园网信息系统安全的日常巡查及其日志保存工作，以保障最先发现灾害并及时处置此突发性事件。

　　（二）预案启动

　　一旦灾害发生，立即启动应急预案，进入应急预案的处置程序。

　　（三）应急处置方法

　　在灾害发生时，首先应区分灾害发生是否为自然灾害与人为破坏两种情况，根据这两种情况把应急处置方法分为两个流程。

　　流程一：当发生的灾害为自然灾害时，应根据当时的实际情况，在保障人身安全的`前提下，首先保障数据的安全，然后是设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。

　　流程二：当人为或病毒破坏的灾害发生时，具体按以下顺序进行：判断破坏的来源与性质，断开影响安全与稳定的信息网络设备，断开与破坏来源的网络物理连接，跟踪并锁定破坏来源的IP或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照灾害发生的性质分别采用以下方案：

　　1、病毒传播：针对这种现象，要及时断开传播源，判断病毒的性质、采用的端口，然后关闭相应的端口，在网上公布病毒攻击信息以及防御方法。

　　2、入侵：对于网络入侵，首先要判断入侵的来源，区分外网与内网。入侵来自外网的，定位入侵的IP地址，及时关闭入侵的端口，限制入侵地IP地址的访问，在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的，查清入侵来源，如IP地址、上网帐号等信息，同时断开对应的交换机端口。然后针对入侵方法建设或更新入侵检测设备。

　　3、信息被篡改：这种情况，要求一经发现马上断开相应的信息上网链接，并尽快恢复。

　　4、网络故障：一旦发现，可根据相应工作流程尽快排除。

　　5、其它没有列出的不确定因素造成的灾害，可根据总的安全原则，结合具体的情况，做出相应的处理。不能处理的可以请示相关的专业人员。

　　（四）情况报告

　　灾害发生时，一方面按照应急处置方法进行处置，同时需要判定灾害的级别，首先向学校网络与信息安全应急处置工作小组汇报。在重大灾害发生时，可以同时向市公安局网络监察部门汇报。中、小型级别的灾害，可以只向学校的网络与信息安全应急处置工作小组汇报，并及时报告处置工作进展情况，直至处置工作结束。情况报告内容包括：灾害发生的时间、地点，灾害的级别，灾害造成的后果，应急处置的过程、结果，灾害结束的时间，以后如何防范类似灾害发生的建议与方案等。

　　（五）发布预警

　　灾害发生时，可根据灾害的危害程度适当地发布预警，特别是一些在其它地方已经出现，或在安全相关网站发布了预警而学校信息网络还没有出现相应的灾害，除了在技术上进行防范以外，还应当向网络信息用户发布预警，直至灾害警报解除。

　　（六）预案终止

　　经专家组鉴定，灾害险情或灾情已消除，或者得到有效控制后，由学校的网络与信息安全应急处置工作小组宣布险情或灾情应急期结束，并予以公告，同时预案终止。

　　第四章保障措施

　　灾害应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作，是有组织的科学与社会行为，必须做好应急保障工作。

　　第九条人员保障

　　重视人员的建设与保障，确保在灾害发生前的人员值班，灾害处置过程和灾后重建中的人员在岗与战斗力。

　　第十条技术保障

　　重视网络信息技术的建设和升级换代，在灾害发生前确保网络信息系统的强劲与安全，灾害处置过程中和灾后重建中的相关技术支撑。

　　第十一条物资保障

　　建立应急物资储备制度，保证应急抢险救灾队伍技术装备的及时更新，以确保灾害应急工作的顺利进行。

　　第十二条训练和演练

　　加强全校网络信息用户的防灾、减灾知识的宣传普及，增强这些用户的防灾意识和自救互救能力。有针对性地开展应急抢险救灾演练，确保发灾后应急救助手段及时到位和有效。

　　第五章附则

　　第十三条本预案由现代信息技术中心负责解释。

　　第十四条本预案自发布之日起施行。

　　信息安全应急预案 9

　　为提高应对网络与信息安全类公共事件的能力，预防和减少网络与信息安全类社会性公共事件造成的损失和危害，确保校园网安全和稳定，制订本预案。

　　一、网络与信息安全组织机构

　　为统一指挥，快速反应，成立我园网络与信息安全领导工作组。

　　组长：xxx

　　副组长：xxx

　　成员：xxx

　　二、应急处置措施

　　（一）网站、网页出现非法言论时的紧急处置措施

　　1、网站、网页由网管随时密切监视信息内容。每天早、中、晚三次。

　　2、发现网上出现非法信息时，负责人员应立即向信息安全领导工作组组长通报情况；情况紧急的`应先及时采取删除等处理措施，再按程序报告。

　　3、信息安全组具体负责的技术人员应在接到通知后，作好必要的记录，立刻清理非法信息，强化安全防范措施，并将网站网页重新投入使用。

　　4、网站维护员应妥善保存有关记录及日志或审计记录。

　　5、网站维护员工作人员应立即追查非法信息来源。

　　6、安全领导小组召开安全领导小组会议，如认为情况严重，应及时向有关上级机关和公安部门报警。

　　（二）黑客攻击时的紧急处置措施

　　1、当有关负责人员网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时,应立即向网络安全员通报情况。

　　2、网络管理员负责被破坏系统的恢复与重建工作。

　　3、协同有关部门共同追查非法信息来源。

　　4、信息小组会商后，如认为情况严重，则立即向公安部门或上级机关报警。

　　（三）病毒安全紧急处置措施

　　1、当发现计算机感染有病毒后，应立即将该机从网络上隔离出来。

　　2、对该设备的硬盘进行数据备份。

　　3、启用反病毒软件对该机进行杀毒处理，同时进行病毒检测软件对其他机器进行病毒扫描和清除工作。

　　4、如发现杀毒软件无法清除该病毒，应立即向信息小组负责人报告。

　　5、信息小组经会商后，认为情况极为严重，应立即向公安部门或上级机关报告。

　　（四）软件系统遭受破坏性攻击的紧急处置措施

　　1、重要的软件系统平时必须存有备份，与软件系统相对应的数据必须有多日备份，并将它们保存于安全处。

　　2、一旦软件遭到破坏性攻击，应立报告，并将系统停止运行。

　　3、安全领导小组认为情况极为严重的，应立即向公安部门或上级机关报告。

　　（五）设备安全紧急处置措施

　　1、服务器等关键设备损坏后，应立即向组长汇报并通知维修单位前来维修。

　　2、如果能够自行恢复，应立即用备件替换受损部件。

　　信息安全应急预案 10

　　为了切实做好学校校园网络突发事件的防范和应急处理工作，进一步提高学校预防和控制网络突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保校园网络与信息安全，结合学校工作实际，制定本预案。

　　一、成立安全应急领导小组

　　领导小组成员：

　　领导小组主要职责：

　　1.加强领导，健全组织，强化工作职责，完善各项应急预案的制定和各项措施的落实。

　　2.充分利用各种渠道进行网络安全知识的宣传教育，组织、指导全校网络安全常识的普及教育，广泛开展网络安全和有关的技能训练，不断提高广大师生的防范意识和基本技能。

　　3.认真搞好各项物资保障，严格按照预案要求积极配备网络安全设施设备，落实网络线路、交换设备、网络安全设备等物资，强化管理，使之保持良好的工作状态。

　　4.采取一切必要手段，组织各方面力量全面进行网络安全事故处理工作，把不良影响与损失降到最低点。

　　5.调动一切积极因素，全面保证和促进学校网络安全稳定地运行。

　　二、各级处理预案

　　（一）网站不良信息事故处理预案

　　1.一旦发现学校网站上出现不良信息，立刻关闭网站。

　　2.备份不良信息出现的目录、出现时间前后一星期的HTTP连接日志和网络连接日志。

　　3.打印不良信息页面留存。

　　4.完全隔离出现不良信息的目录，使其不能再被访问。

　　5.删除不良信息，并清查整个网站所有内容，确保没有任何不良信息，重新开通网站服务，并测试网站运行。

　　6.修改该目录名，对该目录进行安全性检测，升级安全级别，升级程序，去除不安全隐患，关闭不安全栏目，重新开放该目录的网络连接，并进行测试，正常后，重新修改该目录的上级链接。

　　7.全面查对HTTP日志，防火墙网络连接日志，确定不良信息的源IP地址，如果来自校内，则立刻全面升级此次事件为最高紧急事件，立刻向领导小组组长汇报，视情节严重程度领导小组可决定是否向公安机关报案。

　　8.从事故一发生到处理事件的整个过程，必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。

　　（二）网络恶意攻击事故处理预案

　　1.发现网络恶意攻击，立刻确定该攻击来自校内还是校外；受攻击的设备有哪些；影响范围有多大。并迅速推断出此次攻击的最坏结果，判断是否需要紧急切断校园网的服务器及公网的网络连接，以保护重要数据及信息。

　　2.如果攻击来自校外，立刻从防火墙中查出对方IP地址并过滤，同时对防火墙设置对此类攻击的`过滤，并视情况严重程度决定是否报警。

　　3.如果攻击来自校内，立刻确定攻击源，查出该攻击出自哪台交换机，出自哪台电脑，出自哪位教师或学生。接着立刻赶到现场，关闭该计算机网络连接，并立刻对该计算机进行分析处理，确定攻击出于无意、有意还是被利用。暂时扣留该电脑。

　　4.重新启动该电脑所连接的网络设备，直至完全恢复网络通信。

　　5.对该电脑进行分析，清除所有病毒、恶意程序、木马程序以及文件，测试运行该电脑5小时以上，并同时进行监控，无问题后归还该电脑。

　　6.从事故一发生到处理事件的整个过程，必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。

　　（三）学校重大网络事件处理预案

　　1.对学校重大事件（如校庆、评估等对网络安全有特别要求的事件）进行评估、确定所需要的网络设备及环境。

　　2.关闭其它与该网络相连、有可能对该网络造成不利影响的一切网络设备及计算机，保障该网络的畅通。

　　3.对重要网络设备提供备份，出现问题需尽快更换设备。

　　4.对外网连接进行监控，清除非法连接，出现重大问题立刻向上级部门求救。

　　5.事先应向领导小组汇报本次事件中所需用到的设备、环境、以及可能出现事故的影响，在事件过程中出现任何问题应立刻向领导小组组长汇报。

　　三、日常管理

　　1.领导小组依法发布有关消息和警报，全面组织各项网络安全防御、处理工作。各有关组员随时准备执行应急任务。

　　2.网络管理员对校园内外所属网络硬件软件设备及接入网络的计算机设备定期进行全面检查，封堵、更新有安全隐患的设备及网络环境。

　　3.加强对校园网内的计算机设备的管理，加强对学校网络的使用者（学生和教师）的网络安全教育。加强对重要网络设备的软件防护以及硬件防护，确保正常的运行软件硬件环境。

　　4.加强各类值班值勤，保持通讯畅通，及时掌握学校情况，全力维护正常教学、工作和生活秩序。

　　5、按预案落实各项物资准备。

　　四、网络安全事故发生后有关行动

　　1.领导小组得悉网络紧急情况后立即赶赴本级指挥所，各种网络安全事故处理小组迅速集结待命。

　　2.应急小组成员听从组织指挥，迅速组织本级抢险防护。

　　①确保WEB网站信息安全为首要任务，迅速发出紧急警报，所有相关成员集中进行事故分析，确定处理方案。

　　②确保校内其它接入设备的信息安全，经过分析，可以迅速关闭、切断其他接入设备的所有网络连接，防止滋生其他接入设备的安全事故。

　　③分析网络，确定事故源，使用各种网络管理工具，迅速确定事故源，按相关程序进行处理。

　　④事故源处理完成后，逐步恢复网络运行，监控事故源是否仍然存在。

　　⑤针对此次事故，进一步确定相关安全措施、总结经验、加强防范。

　　⑥从事故一发生到处理的整个过程，必须及时向领导小组组长汇报，听从安排，注意做好保密工作。

　　3.积极做好广大师生的思想宣传教育工作，迅速恢复正常秩序，全力维护校园网安全稳定。

　　4.迅速了解和掌握事故情况，及时汇总上报。

　　5.事后迅速查清事件发生原因，查明责任人，并报领导小组根据责任情况进行处理。

　　五、其他

　　1.在应急行动中，学校各部门要密切配合，服从指挥，确保政令畅通和各项工作的落实。

　　2.各部门应根据本预案，结合本部门实际情况，加强演练与熟悉，切实落实各项组织措施。

　　信息安全应急预案 11

　　为妥善应对和处置学校网站信息安全突发事件、确保学校网站正常运行，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理方法》、信息产业部《互联网信息服务管理方法》及国家教育部、省教育厅有关文件精神，结合我校网站实际情况，特指定本应急预案。

　　应急措施如下：

　　1、网站、网页出现非法言论事件紧急处置措施

　　（1）网站、网页由网站管理员负责随时密切监视信息内容。

　　（2）发现在网上出现违反国家的法律法规、侵犯知识版权、反政府、分裂国家和色情内容的信息及损害国家、学校声誉的谣言信息时，网站管理员应立即向总务处通报情况；情况紧急的，应先及时采取删除等处理措施，再按程序报告。

　　（3）网站管理员作好必要记录，并清理非法信息、妥善保存有关记录并将网站网页重新投入使用。

　　（4）追查非法信息来源，并将有关情况向学校汇报。

　　（5）向区电教中心汇报，取得支持、帮助与指导。

　　（6）事态严重的，应及时向公安部门报警。

　　2、黑客攻击事件紧急处置措施

　　（1）备份正确网站文件，保障网站及时恢复。

　　（2）当网站管理员发现网站遭到黑客攻击、主页内容被恶意篡改时，立即停止主页服务并恢复正确内容。检查分析被更改的原因，在被更改的原因找到并排除之前，不得重新开放主页服务；同时向学校通报情况。

　　（3）黑客攻击程度较大情况下（如破坏了服务器上文件），修复网站文件较为麻烦；为使网站尽快能正常访问，使用网站的`备份文件或者临时找其他服务器替代，如事先有这些准备，一般在发现被攻击后的一到两个小时即可修复。

　　（4）恢复与重建被攻击或破坏的网站。

　　（5）对现场进行分析，并写出分析报告存档。

　　（6）向区电教中心汇报，取得支持、帮助与指导。

　　（7）学校召开信息化工作领导小组会议，如认为事态严重，则立即向公安部门报警。

　　做好校园网站信息的安全管理，核心工作就是定期备份网站，保存好网站的备份文件，以备应急使用。

　　信息安全应急预案 12

　　一、总则

　　1. 编制目的

　　为提高江西省国土资源厅处置网络与信息安全突发公共事件能力，加强网络与信息安全保障工作，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络与信息安全突发公共事件的危害，维护正常的经济、政治、社会秩序。

　　2. 编制依据

　　根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》等相关法规、规定、文件精神，制定本预案。

　　3. 适用范围

　　本预案适用于本预案定义的Ⅰ级、Ⅱ级网络与信息安全突发公共事件和可能导致Ⅰ级、Ⅱ级网络与信息安全突发公共事件的应对处置工作。

　　本预案所指网络与信息系统的重要性是根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及公民、法人和其他组织的合法权益的危害程度来确定的。

　　4. 分类分级

　　本预案所指的网络与信息安全突发公共事件，是指重要网络与信息系统突然遭受不可预知外力的破坏、毁损、故障，发生对国家、社会、公众造成或者可能造成重大危害，危及公共安全的紧急事件。

　　(1) 事件分类

　　根据网络与信息安全突发公共事件的发生过程、性质和特征，网络与信息安全突发公共事件可划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害，事故灾难和人为破坏引起的网络与信息系统的损坏；信息安全突发事件是指利用信息网络进行有组织的大规模的反动宣传、煽动和渗透等破坏活动。

　　自然灾害是指地震、台风、雷电、火灾、洪水等。

　　事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。

　　人为破坏是指人为破坏网络线路、通信设施、黑客攻击、病毒攻击、恐怖袭击等事件。

　　(2) 事件分级

　　根据网络与信息安全突发公共事件的可控性、严重程度和影响范围，将网络与信息安全突发公共事件分为四级：Ⅰ级 (特别重大 )、Ⅱ级 (重大 )、Ⅲ级 (较大 )、Ⅳ级 (一般 )。国家有关法律法规有明确规定的，按国家有关规定执行。

　　Ⅰ级 (特别重大)：网络与信息系统发生全局性大规模瘫痪，事态发展超出自己的控制能力，对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发公共事件。

　　Ⅱ级 (重大)：网络与信息系统造成全局性瘫痪，对国家安全、社会秩序、经济建设和公共利益造成严重损害需要跨部门协同处置的突发公共事件。

　　Ⅲ级 (较大)：某一部分的网络与信息系统瘫痪，对国家安全、社会秩序、经济建设和公共利益造成一定损害，但不需要跨部门、跨地区协同处置的突发公共事件。

　　Ⅳ级 (一般)：网络与信息系统受到一定程度的损坏，对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益的突发公共事件。

　　5. 工作原则

　　(1) 积极防御，综合防范。立足安全防护，加强预警，抓好预防、监控、应急处理、应急保障和打击犯罪等环节，在法律、管理、技术、人才等方面，采取多种措施，充分发挥各方面的作用，共同构筑网络与信息安全保障体系。

　　(2) 明确责任，分级负责。按照“谁主管谁负责，谁运营谁负责”的原则，建立和完善安全责任制，协调管理机制和联动工作机制。

　　(3) 依靠科学，平战结合。加强技术储备，规范应急处置措施与操作流程，实现网络与信息安全突发公共事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念，定期进行预案演练，确保应急预案切实可行。

　　二、组织体系

　　1．网络与信息安全应急协调领导小组

　　在厅突发公共事件应急领导小组的统一领导下，成立江西省国土资源厅网络与信息安全应急协调领导小组，组长由厅信息化分管领导担任，成员由各处室负责人及相关人员组成，负责网络与信息安全应急响应工作的整体规划、组织协调和决策指挥。

　　2．领导小组办公室

　　厅网络与信息安全应急协调领导小组办公室(以下简称领导小组办公室)设在省厅信息中心，办公室主任由信息中心主要负责人担任。领导小组办公室主要负责市网络与信息安全应急协调领导小组的日常工作，负责建立健全协调机制和信息通报机制，制定相应的应急处理工作流程，明确各部门在应急协调工作中的任务和责任；负责协调组织各项应急准备工作，主要包括应急响应规划制定、应急队伍建

　　设、应急资源准备、灾难恢复准备、发布预警信息、应急响应培训和演练及其他应急响应相关工作；按照网络与信息安全应急协调领导小组的命令和指示，组织协调各成员单位，落实网络与信息安全应急保障工作。

　　3．工作职责

　　（1）研究制定全厅网络与信息安全应急处置工作的规划、计划和政策，协调推进全厅网络与信息安全应急机制和工作体系建设；

　　发生Ⅰ、Ⅱ级网络与信息安全突发公共事件后，决定启动本预案，组织应急处置工作。

　　（2）负责和处理厅应急办公室的日常工作，检查督促厅应急办公室决定事项的落实。

　　（3）研究提出网络与信息安全应急机制建设规划，检查、指导和督促全厅网络与信息安全应急机制建设。

　　（4）负责全厅网络与信息安全应急预案的管理，指导督促重要信息系统应急预案的修订和完善，检查落实预案执行情况。

　　（5）指导全厅应对网络与信息安全突发公共事件的科学研究、预案演习、宣传培训、督促应急保障体系建设。

　　（6）负责对全厅各部门应急处置工作的指导、协调、监督与检查工作，并组织力量进行援救。

　　（7）及时收集网络与信息安全突发公共事件相关信息，分析重要信息并设置处置方案。对可能演变为Ⅰ级或Ⅱ级的网络与信息安全突发公共事件，应及时启动本预案。

　　三、预防预警

　　1. 信息监测与报告

　　(1) 进一步完善网络与信息安全突发公共事件监测、预测、预警制度。要落实责任制，按照“早发现、早报告、早处置”的原则，加强对各类网络与信息安全突发公共事件和可能引发突发公共事件的有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发公共事件时，监控人员按规定及时向应急办公室报告，初次报告最迟不得超过半小时，重大和特别重大的网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。

　　(2) 建立网络与信息安全报告制度。

　　发现下列情况时应及时向应急办公室报告：

　　利用网络从事违法犯罪活动的情况；

　　网络或信息系统通信和资源使用异常，网络和信息系统瘫痪，应用服务中断或数据篡改，丢失等情况；

　　网络恐怖活动的嫌疑情况和预警信息；

　　其他影响网络与信息安全的信息。

　　2. 预警处理与发布

　　(1) 对于可能发生或已经发生的网络与信息安全突发公共事件，立即采取措施控制事态，并在 1小时内进行风险评估，判定事件等级。必要时应启动相应的预案，同时向应急小组办公室通报情况。

　　(2) 应急办公室接到报警信息后应及时组织有关专家对信息进行技术分析、研判，根据问题的性质、危害程度，提出安全警报级别。

　　(3) 应急办公室接到报告后，对发生和可能发生Ⅰ级或Ⅱ级的网络与信息安全突发公共事件时，应迅速召开应急办公室会议，研究确定网络与信息安全突发公共事件的等级，决定启动本预案，同时确定指挥人员，并向相关部门进行通报。

　　(4) 对需要向江西省工业和信息化委员会通报的要及时通报，并争取支援。

　　四、应急响应

　　1. 先期处置

　　(1) 当发生网络与信息安全突发公共事件时，值班人员应做好先期应急处置工作，立即采取措施控制事态，同时向应急办公室报告。

　　(2) 应急办公室在接到网络与信息安全突发公共事件发生或可能发生的信息后，应加强与有关方面的联系，掌握最新发展动态，并做好启动本预案的各项准备工作。还要根据网络与信息安全突发公共事件发展态势，视情况决定赶赴现场指导，组织派遣应急支援力量。

　　2. 应急指挥

　　(1) 本预案启动后，要抓紧收集相关信息，掌握现场处置工作状态，分析事件发展态势，研究提出处置方案，统一指挥网络与信息应急处置工作。

　　(2) 需要成立现场指挥部的，应立即在现场开设指挥部，现场指挥部要根据事件性质迅速组建各类应急工作组，开展应急处置工作。

　　3. 应急支援

　　本预案启动后，立即成立应急响应先遣小组，督促、指导和协调处置工作。厅应急办公室根据事态的发展和处置工作需要，及时增派专家小组，调动必需的物资、设备，支援应急工作。参加现场处置工作的各有关部门和单位在现场指挥部的统一指挥下，协助开展处置行动。

　　4. 信息处理

　　(1) 应对事件进行动态监测、评估，及时将事件的性质、危害程度和损失情况及处置工作等情况，及时报应急办公室，不得隐瞒、缓报、谎报。

　　(2) 应急办公室要明确信息采集、编辑、分析、审核、签发的`责任人，做好信息分析、报告和发布工作。要及时编发事件动态信息供领导参阅。要组织专家和有关人员研判各类信息，研究提出对策措施，完善应急处置计划方案。

　　5. 应急结束

　　网络与信息安全突发公共事件经应急处置后，得到有效控制，事态下降到一定程度或基本得到解决，分析各监测统计数据后，确定是否结束应急。

　　五、后期处置

　　1. 善后处理

　　在应急处置工作结束后，要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，并迅速组织实施。有关部门要提供必要的人员和技术、物资和装备以及资金等支持，并将善后处置的有关情况报应急办公室。

　　2. 调查评估

　　在应急处置工作结束后，厅应急办公室应立即组织有关人员和专家组成事件调查组，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失情况，总结经验教训，写出调查评估报告，并根据问责制的有关规定，对有关责任人员作出处理。

　　六、保障措施

　　1. 应急装备保障

　　网络与信息系统在建设系统时应事先预留一定的应急设备，建立信息网络硬件、软件、应急救援设备等应急物资库。在网络与信息安全突发公共事件发生时，由应急办公室负责统一调用。

　　2. 数据保障

　　重要信息系统均应建立异地容灾备份系统和相关工作机制，保证重要数据在受到破坏后，可紧急恢复。各容灾备份系统应具有一定兼容性，在特殊情况下各系统间可互为备份。

　　3. 应急队伍保障

　　按照一专多能的要求建立网络与信息安全应急保障队伍。由应急办公室选择若干经国家有关部门资质认可的、管理规范、服务能力较强的部门作为厅网络与信息安全的应急支援单位，提供技术支持与服务。

　　七、监督管理

　　1. 宣传教育

　　要充分利用各种传播媒介及有效的形式，加强网络与信息安全突发公共事件应急和处置的有关法律法规和政策的宣传，开展预防、预警、自救、互救和减灾等知识的宣讲活动，普及应急救援的基本知识，提高公众防范意识和应急处置能力。

　　要加强对网络与信息安全等方面的知识培训，提高防范意识及技能，指定专人负责安全技术工作。并将网络与信息安全突发公共事件的应急管理、工作流程等列为培训内容，增强应急处置工作的组织能力。

　　2. 演练

　　建立应急预案定期演练制度。通过演练，发现应急工作体系和工作机制存在的问题，不断完善应急预案，提高应急处置能力。

　　3. 责任与奖惩

　　网络与信息系统的管理部门要认真贯彻落实预案的各项要求与任务，建立监督检查和奖惩机制。应急办公室将不定期进行检查，对各项制度、计划、方案、人员、物资等进行实地验证，并以演练的评定结果作为是否有效落实预案的依据。

　　八、附则

　　1. 本预案由厅信息化领导小组办公室制定。

　　3. 本预案由厅信息化领导小组办公室负责解释。

　　4. 本预案自印发之日起实施。

　　信息安全应急预案 13

　　工作原则：职责明确、统一管理、处理快速

　　一、各级处理预案

　　1、网站不良信息事故处理预案

　　（1）一旦发现校园网站上出现不良信息（或者被黑客攻击修改了网页），立刻关掉网站。

　　（2）备份不良信息出现的目录、备份不良信息出现时间、前一个星期内的HTTP连接日志，以备调查。

　　（3）留存不良信息页面。

　　（4）隔离出现不良信息的目录，使其不能再被访问。

　　（5）删除不良信息，并清查整个网站所有资料，确保没有其他不良信息，重新开通网站服务，并测试网站运行。

　　2、网络恶意攻击事故处理预案

　　（2）如果攻击来自校外，立刻从防火墙中查出对方IP地址并过滤，同时设置对此类攻击的`过滤，并视状况严重程度决定是否报警。

　　（3）如果攻击来自校内，立刻确定攻击源，断开相应计算机网络连接并暂扣该机，立刻对该计算机进行分析处理，确定攻击原因。

　　（4）重新启动该电脑所连接的网络设备，直至完全恢复网络通信。

　　（5）对该电脑进行分析，清除所有病毒、恶意程序、木马程序以及垃圾文件，测试运行该电脑5小时以上，并同时进行监控，无问题后归还该电脑。

　　二、成立安全应急领导小组

　　校园全体行政人员及全体网络管理员组成网络安全应急领导小组。领导小组主要职责：

　　1、加强领导，健全组织，强化工作职责，完善各项应急预案的制定和各项措施的落实。

　　2、充分利用各种渠道进行网络安全知识的宣传教育，组织、指导全校网络安全常识的普及教育，不断提高广大师生的防范意识和基本技能。

　　3、采取一切必要手段，组织各方面力量全面进行网络安全事故处理工作，把不良影响与损失降到最低点。

　　三、网络信息安全事故善后工作

　　1、应急小组成员按应急预案，迅速恢复网络正常运行，并有针对性地加强网络监控与防护措施。

　　（1）事故处理完成后，逐步恢复网络运行，监控事故源是否仍然存在。

　　（2）事后迅速查清事件发生原因，查明职责人，并报领导小组根据职责状况进行处理。

　　（3）针对此次事故，进一步确定相关安全措施、总结经验，加强防范。

　　2、用心做好广大师生的思想宣传教育工作，迅速恢复正常秩序，全力维护校园网安全稳定。

　　四、其他

　　在应急行动中，校园各部门要密切配合，服从领导小组指挥，确保政令畅通和各项措施认真、及时得到落实。

　　信息安全应急预案 14

　　为切实做好学校网络信息安全保障工作，确保信息系统的安全、稳定，依据国家有关法律、法规、相关政策和鹿城区教育局信息安全应急预案的意见，制定本应急预案。

　　一、信息安全保障措施

　　各校区要定期进行风险评估，了解网络系统目前可能存在的安全隐患和所面临的安全威胁，并针对学校实际情况，并做好文字记录。

　　要定期对网络系统的运行状态、系统日志和安全日志等进行检查，对重要信息系统如核心数据库等要定期进行运行检查，对重要数据要实时和定时进行备份，对核心网络设备定期检查和维护，避免或减少发生安全事件所造成的损失。

　　二、应急事件预防体系

　　预防火险：每天下班前要检查电源接插件，如有烧焦现象，要立即更换。灭火器要保证在保质期内，并放置于机房入口处，所有的工作人员都要学会正确使用灭火器。

　　预防水渗故障：机房要采取防水渗措施。

　　预防设备丢失：各学校的网络及信息设备均要采取防盗措施。

　　预防黑客病毒：在网络出口设置防火墙、防病毒系统。在网络设备和服务器上采用安全策略，安装相应的补丁程序、关闭不用的端口、启动日志纪录。

　　预防数据丢失：各学校对重要数据要定期进行备份，并将备份数据与源数据分开存放。

　　预防设备故障：对于易损件，准备必要的备品、备件。

　　三、应急事件处理流程

　　出现应急事件后相关人员要及时通过电话等方式通知学校领导及相关技术负责人。并根据应急情况信息，初步判断应急事件程度。能够自行解决的，要及时加以解决；如果不能自行解决故障，由学校领导现场指挥，组织相关技术人员进入应急程序，及时报告鹿城区信息中心处理。

　　应急事件处理完毕要总结事件处理情况，并提出防范该事件再度发生的解决方案，并实施必要的安全加固，并向区教育信息中心进行备案。

　　(一)病毒爆发处理流程

　　学校对外服务信息系统一旦发现感染病毒，执行以下应急处理流程：

　　1、立即切断感染病毒计算机与网络的连接。

　　2、对该计算机的重要数据进行数据备份。

　　3、启用防病毒软件对该计算机进行杀毒处理，同时通过防病毒软件对其他计算机进行病毒扫描和清除工作。

　　4、如果满足下列情况之一的，要立即向本学校信息安全负责人通报情况，并向区教育局信息中心报告：

　　(1)现行防病毒软件无法清除该病毒的。

　　(2)网站在2小时内无法处理完毕的。

　　(3)局域网络系统或办公系统在4小时内无法处理完毕的`。

　　5、恢复系统和相关数据，检查数据的完整性。

　　6、病毒爆发事件处理完毕，将计算机重新接入网络。

　　7、总结防范，安全加固，备案。

　　(二)网页非法篡改处理流程

　　学校对外服务网站一旦发现网页被非法篡改，执行以下应急处理流程：

　　1、发现网站网页出现非法信息时，相关人员要先及时采取断网等处理措施，立即向本学校信息安全负责人通报情况，并立即区教育局信息中心报告。

　　2、本学校信息安全负责人要在接到通知后立即赶到现场，做好必要记录，妥善保存有关记录及日志或审计纪录。

　　3、信息安全小组联合区教育信息中心通过技术手段进行分析，追查非法信息来源，提取相关数据样本后，清理网站非法信息，强化安全防范措施，然后将网站重新投入使用。如情节严重，构成违法犯罪的，上报公安机关立案侦查。

　　4、总结防范，安全加固，备案。

　　(三)非法入侵处理流程。

　　学校对外服务信息系统一旦发现被远程控制等非法入侵行为，执行以下应急处理流程。

　　1、发现系统服务器被远程控制、植入后门程序，或发现有黑客正在进行攻击时，要立即向本学校信息安全负责人通报情况，并立即向区教育局信息中心报告。

　　2、如服务器已被入侵，将被攻击的服务器等设备从网络中隔离出来，保护现场。

　　3、学校信息安全负责人要在接到通知后立即赶到现场，做好必要记录，妥善保存有关记录及日志或审计纪录。

　　4、学校信息安全小组联合区教育局信息中心通过技术手段进行分析，追查攻击源，修改防火墙等设备的安全配置阻断黑客继续入侵。分析后台数据操作日志，判断是否发生数据失窃。检查与重建被攻击或破坏的系统，重新将恢复后的服务系统接入网络。如情节严重，构成违法犯罪的，由公安机关立案侦查。

　　5、总结防范，安全加固，备案。

　　(四)拒绝服务攻击处理流程

　　学校对外服务信息系统一旦发现遭受Ddos等拒绝服务攻击，无法正常访问时执行以下应急处理流程。

　　1、发现对外服务系统访问流量异常、无法正常访问，可能遭受拒绝服务攻击时，要立即向学校信息安全负责人通报情况，并立即向区教育局信息中心报告。

　　2、学校信息安全负责人要在接到通知后立即赶到现场，做好必要记录，妥善保存有关记录及日志或审计纪录。

　　3、学校信息安全领导小组联合区教育信息中心通过技术手段进行分析，追查攻击源，修改路由器、防火墙等设备的安全配置，缓解、消除拒绝服务攻击的影响。提取相关数据样本后，恢复对外系统正常运行。如情节严重，构成违法犯罪的，上报公安机关立案侦查。

　　(五)机房物理环境事故应急处理流程

　　供电故障：如果出现短路，采取切断电源、更换短路器件方法恢复供电；如果出现断路，采取切断电源、连接断开线路方法恢复供电；防雷防静电设备故障，采取切断电源跳过防雷防静电设备直接供电的方法，及时维修损坏设备并更换；UPS故障，采取跳过逆变输出的方法，及时维修损坏设备并更换。

　　火灾：切断电源，使用灭火器灭火；向119指挥中心报告火警，请求支援；如有人遇险，应先救人后救物。

　　水渗故障：切断电源，更换浸水设备，采取防水措施。

　　(六)网络线路故障应急处理流程。

　　网络中断：通过重新启动机房服务端和交换设备等技术措施进行排差，同时向中心小学信息安全领导小组报告，中心小学信息安全领导小组联合区教育信息中心安排技术人员进行处理。

　　(七)数据故障应急处理流程。

　　数据丢失或损坏：从数据备份服务器上提取数据，尽快恢复，保证系统在最短时间内能够正常运行；分析造成事故的原因，针对具体问题，采取相应安全措施。

　　信息安全应急预案 15