小學校園網絡安全應急預案一、編制目的校園網絡已深度融入教學、辦公、家校溝通與后勤管理，一旦遭受病毒勒索、數據泄露、釣魚郵件、DDoS攻擊或人為誤操作，輕則課堂卡頓，重則學籍、成績、財務信息外泄，甚至觸發(fā)輿情。本預案把“零事故”作為最高追求，把“快速止損”作為最低底線，通過場景化、流程化、角色化、工具化、化五維設計，讓每位教職工、學生、家長都能像“隨手關燈”一樣“隨手應急”，在5分鐘內完成發(fā)現(xiàn)—報告—隔離—取證—恢復—復盤閉環(huán)，最大限度降低網絡事件對正常教學秩序的干擾。二、風險清單與分級標準1.特別重大（Ⅰ級）：省級以上統(tǒng)建系統(tǒng)癱瘓4小時及以上；10萬條以上敏感數據泄露；勒索病毒橫向感染超過60%終端。2.重大（Ⅱ級）：校級核心業(yè)務系統(tǒng)中斷2—4小時；1—10萬條數據泄露；病毒橫向感染30%—60%終端。3.較大（Ⅲ級）：單棟教學樓或部門網絡中斷1—2小時；1000—1萬條數據泄露；病毒橫向感染10%—30%終端。4.一般（Ⅳ級）：單臺終端或單個賬號異常；1000條以下數據泄露；病毒控制在10%終端以內。三、應急組織架構1.領導小組：校長任組長，分管信息化副校長、法治副校長任副組長，職責是決策、對外發(fā)聲、資源調配。2.指揮調度中心（EDR大屏+釘釘群）：信息中心主任任總指揮，統(tǒng)一發(fā)布指令、同步進度。3.技術處置組：由網絡管理員、系統(tǒng)管理員、安全運維公司、運營商駐校工程師組成，負責封禁、打補丁、取證、恢復。4.業(yè)務保障組：教務處、德育處、總務處、年級組長，負責調整課表、疏導師生、啟用紙質備用流程。5.家校溝通組：家委會秘書長、班主任、校公眾號運營老師，負責15分鐘內擬好統(tǒng)一話術，避免家長恐慌。6.輿情監(jiān)測組：大隊輔導員+學生會新媒體部，用“輿情機器人+人工巡查”雙軌制，30分鐘內完成首輪輿情截圖存檔。7.考核組：由教科室與信息中心聯(lián)合命題，每學期兩次“盲演+筆試”，確保預案不是“墻上掛掛”。四、預防階段“八個一”常態(tài)化機制1.每天一次全盤殺毒+增量備份：21:30自動啟動，備份到本地NAS與阿里云OSS雙節(jié)點，保留30個還原點。2.每周一次漏洞掃描：使用綠盟RSAS掃描，高危漏洞24小時內閉環(huán)。3.每月一次釣魚演練：隨機抽取10%教職工，模擬“教育局通知”“工資補發(fā)”等主題，點擊率高于5%即重新培訓。4.每學期一次應急盲演：不提前打招呼，模擬“期末考試前1天統(tǒng)考網癱瘓”，檢驗真實抗壓能力。5.每季度一次權限審計：用Python腳本比對“人事花名冊—AD賬號—應用系統(tǒng)賬號”，僵尸賬號即刻凍結。6.每年一次等保測評：邀請省內具備國家資質的機構做三級等保測評，報告向全體教師大會通報。7.每年一次“網絡安全文化周”：手繪海報、短視頻、情景劇、知識競賽四聯(lián)動，評選“安全小衛(wèi)士”班級流動紅旗。8.每年一次保險購買：投?！熬W絡安全責任險”，保額300萬元，用于事件響應、數據恢復、律師費及輿情公關。五、監(jiān)測與預警1.流量基線：使用開源Ntopng對教學區(qū)、辦公區(qū)、宿舍區(qū)分別建立“周一—周日24小時”動態(tài)基線，偏差超50%觸發(fā)短信。2.日志匯聚：防火墻、IDS、WAF、Windows事件、DNS、VPN、上網行為管理7類日志統(tǒng)一送到Graylog，保留180天。3.告警分級：Graylog內置120條SIGMA規(guī)則，匹配即自動打標簽“高可疑”“中可疑”“低可疑”，高可疑5分鐘內電話通知值班老師。4.家長端預警：企業(yè)微信家校群內置“異常登錄通知”機器人，學生賬號在非上課時間、非學校IP登錄，家長即刻收到帶定位的小程序卡片。六、事件發(fā)現(xiàn)與初判流程1.任何人在30秒內發(fā)現(xiàn)異常，可撥打“666666”短號或釘釘“一鍵應急”小程序，系統(tǒng)自動拉群@所有人。2.值班老師（持證上崗，每學年通過40題線上）5分鐘內完成“三步初判”：①看：大屏流量曲線是否陡增；②問：隨機抽3名同事是否同樣掉線；③切：遠程登錄核心交換機，查看CPU、內存、端口錯誤包。3.初判結果在群里發(fā)布“顏色代碼”：綠色—誤報；黃色—Ⅳ級；橙色—Ⅲ級；紅色—Ⅱ級及以上。七、分級響應動作清單（一）Ⅳ級事件1.技術處置組10分鐘內隔離該終端，拔掉網線或關閉對應交換機端口；2.使用火絨或EDR工具全盤查殺，生成MD5哈希值截圖上傳群文件；3.業(yè)務保障組同步通知任課教師，臨時調整至備用機房或紙質作業(yè)；4.30分鐘內填寫《事件報告簡表》，由領導小組副組長簽字閉環(huán)。（二）Ⅲ級事件1.啟動“局部網段隔離”腳本，一鍵封鎖涉事VLAN；2.通知總務處關閉該棟樓電子班牌、IP廣播、監(jiān)控存儲，防止交叉?zhèn)鞑ィ?.技術組30分鐘內完成內存鏡像、硬盤克隆，走司法取證流程；4.教務處啟用“離線準考證”模式，考試系統(tǒng)切換到PDF打??；5.家校溝通組在15分鐘內推送模板短信：“網絡臨時維護，教學正常，無信息泄露，勿信謠言”；6.2小時內提交《完整事件報告》給區(qū)教育局，同時抄送區(qū)公安分局網安大隊。（三）Ⅱ級事件1.領導小組組長10分鐘內到指揮大廳，區(qū)教育局視頻連線；2.技術組啟用“一鍵斷網”按鈕，保留一條SSLVPN加密隧道供遠程專家接入；3.業(yè)務保障組啟動“無網絡教學預案”：①一年級—三年級：紙質繪本閱讀+口算卡片；②四年級—六年級：教師手提擴音器+移動小黑板；4.德育處組織“網絡安全特別班會”，用5分鐘動畫講解“什么是勒索病毒”；5.家委會代表30分鐘內到校，與法治副校長一起接待媒體，統(tǒng)一口徑；6.24小時內完成灰度恢復：先恢復DNS、AD、打印服務器，再依次恢復教務、評價、檔案系統(tǒng)；7.48小時內邀請省級應急專家做“事后復盤沙龍”，形成PPT在全體教師大會分享。（四）Ⅰ級事件1.立即報告省教育廳、省公安廳、省委網信辦，同步申請國家級應急支撐隊伍入場；2.學校進入“戰(zhàn)時值班”：所有中層以上干部24小時駐校，信息中心鋪行軍床；3.技術組配合網安部門做全流量鏡像，封存防火墻、服務器、UPS日志硬盤；4.業(yè)務保障組啟動“學區(qū)聯(lián)動”：相鄰小學接納本校50%學生借讀，校車統(tǒng)一調度；5.輿情監(jiān)測組5分鐘內開啟7×24小時“人工+機器人”雙巡，熱搜出現(xiàn)校名即啟動“正面話題對沖”預案；6.72小時內完成系統(tǒng)重建，采用“裸金屬+容器”新架構，數據庫改用主備只讀集群；7.事件結束后10個工作日，邀請家長代表、人大代表、媒體記者進校觀摩新架構演示，恢復社會信任。八、數據恢復與重建1.恢復順序：AD域控→DNS→DHCP→打印→教務→評價→檔案→其他；2.恢復驗證：每條業(yè)務至少成功跑3條真實交易，教務處、財務處、教師代表三方簽字；3.恢復后24小時內，技術組再次全盤殺毒，確認無同一家族病毒；4.使用HashDeep生成系統(tǒng)文件哈希庫，與事故前比對，不一致文件人工逐條復核；5.重建完成當天，領導小組發(fā)布“綠色信號”，教學秩序全面恢復正常。九、應急通訊表（節(jié)選）校長666001?副校長666002?信息中心主任666003?網安大隊長138xxxx1111?運營商駐校經理139xxxx2222?安全公司應急經理137xxxx3333?省教育廳值班區(qū)疾控中校車隊長159xxxx4444?家委會秘書長138xxxx5555。十、物資清單1.應急U盤30個（只讀鎖+殺毒軟件+取證工具）；2.移動熱點20臺，流量卡100G/月；3.對講機40部，配充電座與耳機；4.手寫“斷網”警示牌50張，磁貼式，30秒可貼滿交換機機柜；5.紙質《學籍花名冊》《成績冊》各2套，密封存放總務處保險柜；6.應急電源2臺，可滿負載2小時；7.一次性防靜電手套100副，硬盤封存袋50個，封條100張。十一、化考核（樣題，共100分，60分合格）【單選】1.發(fā)現(xiàn)同事電腦彈出“勒索提示”第一步應：A.拍照發(fā)微信群B.立即拔網線C.用U盤備份重要文件D.關機重啟。正確答案：B【單選】2.學校核心交換機CPU突然99%，最優(yōu)先查看：A.日志服務器時間同步B.端口廣播包C.機房溫度D.UPS負載。正確答案：B【單選】3.以下哪項屬于Ⅲ級事件：A.教師個人郵箱被盜B.一棟樓網絡中斷1.5小時C.學生誤刪自己作文D.官網主頁被篡改10分鐘。正確答案：B【多選】4.啟動Ⅱ級響應后必須同步通知：A.區(qū)教育局B.區(qū)公安分局網安大隊C.省電視臺D.相鄰小學。正確答案：ABD【多選】5.以下哪些屬于“八個一”機制：A.每天一次備份B.每月一次釣魚演練C.每年一次春游D.每年一次等保測評。正確答案：ABD【判斷】6.Ⅳ級事件需要校長簽字才能閉環(huán)。正確答案：錯誤【判斷】7.恢復業(yè)務時，教務系統(tǒng)應優(yōu)先于AD域控。正確答案：錯誤【簡答】8.簡述“顏色代碼”在初判環(huán)節(jié)的作用。參考答案：用綠、黃、橙、紅四色快速傳遞事件級別，減少文字誤讀，5秒內讓全體值班人員知曉響應規(guī)模。【簡答】9.說明家校溝通組15分鐘話術三大原則。參考答案：①事實透明但不過度技術化；②安撫情緒承諾教學正常；③提醒勿信謠言并給出官方查詢渠道?！景咐治觥?0.某日14:00，四年級組8臺電腦同時彈出“你的文件已加密，需0.5比特幣”。請寫出從發(fā)現(xiàn)到恢復的關鍵時間節(jié)點與動作。評分要點：①5分鐘內拔網線、封VLAN；②10分鐘內通知校長、區(qū)教育局；③30分鐘內完成內存鏡像；④2小時內啟用紙質；⑤24小時內灰度恢復；⑥48小時內復盤。每點2分，共12分。十二、盲演腳本（上學期實例）背景：期末考試前1天，區(qū)統(tǒng)考網被“黑”，教師無法下載準考證。時間線：09:00演練開始，信息中心悄悄關閉統(tǒng)考網虛擬機；09:03六年級年級組長第一個發(fā)現(xiàn)，撥打666666；09:05值班老師發(fā)布紅色代碼；09:07技術組一鍵斷網，保留VPN；09:10教務處啟用“離線準考證PDF”；09:15家校溝通群推送統(tǒng)一話術；09:30德育處召開特別班會；10:00網安大隊到校；12:00系統(tǒng)恢復，驗證1000條準考證打??；14:00復盤沙龍，現(xiàn)場打分，教師平均得分92分，達到優(yōu)秀。十三、法律責任與保險理賠1.數據泄露超1萬條，學校在24小時內向省級監(jiān)管部門提交《個人信息泄露報告表》；2.安全責任險理賠流程：出險→報保險公司→第三方鑒定→賠付，最長15個工作日到賬；3.因值班老師故意瞞報導致事故擴大，按《教職工處分條例》給予記過以上處分；4.因廠商未在SLA時間內到場，按合同每小時扣減10%服務費，上限30%。十四、持續(xù)改進1.每學期末召開“網絡安全民主生活會”，邀請隨機10名學生、10名家長、5名教師現(xiàn)場質詢信息中心；2.建立“漏洞銀行”積分，師生發(fā)現(xiàn)高中危漏洞經確認后，一條積10分，可兌換書籍、文具、研學旅行名額；3.技術組每月在GitHub發(fā)布去敏感化腳本，接受社區(qū)監(jiān)督；4.將演練視頻剪輯成3分鐘微課，納入四年級信息技術課必學資源；5.每年升級一次預案版本號，采用“年+月”格式，如202409，確保教師手中永遠是最新版。十五、常用命令與腳本速查1.Windows快速關閉445端口：netshadvfirewallfirewalladdrulename=block445dir=inaction=blockprotocol=TCPlocalport=4452.Linux一鍵備份MySQL：mysqldump-uroot-p'Pass'--all-databases|gzip>/backup/all_$(date+%F).sql.gz3.Cisco交換機關閉端口：interfacegi1/0/5→shutdown4.Graylog查詢勒索病毒特征：source:AND("decrypt"OR"bitcoin")ANDfull_message:encrypt5.批量修改AD用戶密碼：Import-ModuleActiveDirectory;Get-ADUser-Filter-SearchBase"OU=Teachers,DC=school,DC=cn"|Set-ADAccountPassword-NewPassword(ConvertTo-SecureString-String"NewPass@2024"-AsPlainText