yh86银河国际官方网站

网络与信息安全事件应急预案

第一章     总则

        （一）编制目的

        为建立健全学校网络安全事件应急工作机制，提高网络安全事件应对能力，预防和减少网络安全事件造成的损失和危害，保障学校网络和信息系统(网站)的安全运行。

        （二）编制依据

        依据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《国家突发公共事件总体应急预案》和《信息安全技术信息安全事件分类分级指南》(GB/Z20986-2007)等有关法律法规及规范性文件，结合学校实际，制定本预案。

        （三）适用范围

        本预案所指网络与信息安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对学校造成负面影响的事件，包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障事件、灾害性事件和其他事件。本预案适用于学校所有网络与信息系统，重点涵盖校园网络设施设备、重要信息发布系统、重要应用支撑平台和业务系统安全突发事件的应急处理工作。

        （四）指导思想

        坚持网络安全与信息化发展并重，依法依规管理、确保安全的方针，建立健全网络安全保障体系和应急机制，保障学校信息化应用，及时准确处理网络和信息安全突发事件。

        （五）工作原则

        坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主，预防与应急相结合:坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，充分发挥各方面力量共同做好网络与信息安全事件的预防和处置工作。

第二章 应急指挥体系和职责

（一）指挥体系

全校网络与信息安全事件应急处置工作由学校网络安全与信息化领导小组统一指导、指挥、协调，领导小组办公室具体负责，各相关单位须坚决执行领导小组的决定，密切配合，履行职责。

（二）相关职责

1. 网络安全与信息化领导小组

贯彻落实上级主管部门关于网络与信息安全方面的政策规定，制定学校网络与信息安全管理制度和预案，推进网络与信息安全建设;督促检查学校各类安全事件处置情况，决定网络与信息安全事件应急预案的启动和善后处理工作。

2. 校长办公室

组织协调敏感时期、重要会议和活动期间的网络与信息安全保障和应急处置工作;发生利用计算机网络泄密的违法行为时，组织学校相关单位实施应急处置，协调配合上级部门开展调查工作。

3. 党群工作部

负责学校舆情监测，对于涉及师生思想政治方面的倾向性、苗头性问题加强分析研判。负责学校信息发布系统违规发布信息后的应急处置工作，妥善有效应对并做好善后工作;负责各类信息内容安全事件发生后，校内外舆论的正确引导工作。

4. 后勤处

密切配合公安部门，协同做好网络与信息安全事件的报告、处置工作。

5. 信息化办公室

负责校园基础网络系统安全，计算机病毒和大规模网络攻击事件的处置，校级网络与信息系统安全事件处置的技术支持。制定和实施网络与信息安全事件应急处置技术方案，在技术上保障学校网络运行安全;落实学校网络安全与信息化领导小组相关决定，在发生网络与信息安全事件时及时收集技术资料，通报或上报有关情况。

6. 其他单位

配合学校落实相关应急处置措施，负责本单位内部的网络与信息安全管理和突发事件应急处置，对照本预案，建立本单位内部应急处置机制。

第三章 网络与信息安全事件分类分级标准

（一）网络与信息安全事件分类

网络与信息安全突发事件依据发生过程、性质和特征的不同，可分为以下四类:

1．网络攻击事件:校园网络与信息系统因病毒感染、非法入侵等造成学校网站或单位二级网站主页被恶意篡改，应用系统数据被拷贝、篡改、删除，信息系统遭到后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼等。

2．设备故障事件:校园网络与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪。

3. 灾害性事件:因洪水、火灾、雷击、地震、台风、非正常停电等外力因素导致网络与信息系统损毁，造成业务中断、系统宕机、网络瘫痪。

4. 信息内容安全事件:利用校园网络在校内外传播法律法规禁止的信息和不符合有关规定的信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益等。

(二)网络与信息安全事件分级

网络与信息安全事件依据可控性、严重程度和影响范围的不同，可分为四级:特别重大(I级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(IV级)。

1. 特别重大(I级):

学校网络与信息系统发生全校性大规模瘫痪，对学校正常工作造成特别严重损害，且事态发展超出学校控制能力，对国家安全、社会秩序、学校利益造成特别严重损害的安全事件。

2. 重大(Ⅱ级):

学校网络与信息系统发生全校性瘫痪，对学校正常工作造成严重损害，且事态发展超出信息化办公室控制能力，需学校各单位协同处置的安全事件。

3. 较大(Ⅲ级):

学校部分区域的网络与信息系统瘫痪，发生局部性网络攻击或小范围信息内容安全事件，对学校正常工作造成一定损害，学校信息化办公室可自行处理的安全事件。

4. 一般(IV级)

较小局部范围网络或信息系统受到一定程度损坏，对学校某些工作有一定影响，但不危及学校整体工作的安全事件。

第四章 预防和预警机制

（一）落实信息系统等级保护制度，对校内信息系统进行全面评测；

（二）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;

（三）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施，如WEB防火墙、IPS、防病毒系统，数据库审计等;

（四）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月;

（五）建立容灾备份系统，对重要系统和数据库进行容灾备份；对数据分类，重要数据采取加密等措施;

（六）建立网络态势感知系统，及时发现网络漏洞、隐患进行预警；

（七）建立舆情监控系统，及时发现网络负面舆情进行预警；

（八）建立内容审查系统，对校内信息进行全面合法合规审查；

（九）要定期对校内信息化基础设施的网络设备、服务器和应用支撑平台和系统定期进行漏洞扫描，发现漏洞隐患等提前预警修复；

（十）对操作系统和数据库及时升级和打补丁，防病毒软件要及时升级。

（十一）使用个人信息，应当遵循合法、正当、必要的原则，采取技术措施和其他必要措施，确保收集的个人信息安全。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

（十二）安全培训和演练

举办教职工网络与信息系统安全知识培训，加强对教职工和学生的计算机操作、信息技能、网络和信息系统安全等相关知识的宣传普及，增强预防意识和应急处置能力。有针对性地开展应急处置演练，确保事件发生后应急处置手段及时到位和有效。

 第五章 应急处置措施及流程

（一）预案启动

发生校园网络与信息安全事件后，党群工作部、信息化办公室和突发安全事件的信息系统建管部门应尽最大可能收集事件相关信息，鉴别事件性质，确定事件来源，弄清事件范围，评估事件带来的影响和损害，确认突发事件的类别和等级，并参照下述响应机制对突发事件进行处置。

（二）应急响应

1. 应急响应机制

III级或IV级突发事件响应:党群工作部、信息化办公室和突发安全事件的信息系统建管部门自行或协同开展应急处置工作，有关情况备案并报告分管校领导。

II级突发事件响应:党群工作部、信息化办公室先行通过技术手段紧急处置，同时将具体情况立即上报分管校领导和学校网络安全与信息化领导小组，由领导小组统一组织、协调指挥进行应急处置。

I级突发事件响应:党群工作部、信息化办公室先行通过技术手段紧急处置，同时将具体情况立即上报分管校领导和学校网络安全与信息化领导小组，领导小组会商后将事件详细情况及时上报至公安、教育等主管部门，由上级部门会同学校统一协调指挥后续应急处置工作。

2. 应急处理方式

根据网络与信息安全事件分类采取不同应急处置方式。

(1)网络攻击事件。判断攻击的来源与性质，关闭影响安全与稳定的网络设备和服务器，断开信息系统与攻击来源的网络物理连接，跟踪并锁定攻击来源的IP地址或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照事件发生的性质采取以下方案:

病毒传播--及时寻找并断开传播源，判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失，保护健康的计算机，必要时可关闭相应的端口，甚至相应楼层的网络，寻找并公布病毒攻击信息以及杀毒、防御方法。

外部入侵--判断入侵的来源，评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的，且评价威胁很小的外网入侵，定位入侵的IP地址，及时关闭入侵的端口，限制入侵的IP地址的访问。对于已经造成危害的，应立即采用断开网络连接的方法，避免造成更大损失和影响。

内部入侵--查清入侵来源，如IP地址、所在办公室等信息，同时断开对应的交换机端口，针对入侵方法调整或更新入侵检测设备。对于无法制止的入侵和造成损害的，应及时关闭被入侵的服务器或相应设备。

(2)设备故障事件。判断故障发生点和故障原因，迅速抢修故障设备，优先保证校园网主干网络和主要应用系统的运行。

(3)灾害性事件。根据实际情况，在保障人身安全的前提下，保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存，设备的断电与拆卸、搬迁等。

(4)信息内容安全事件。发现校内网站不良信息或接到校内网站出现不良信息的报案后，应迅速屏蔽该网站的网络端口或断开网络物理连接，阻止有害信息的传播，根据网站相关日志记录查找信息发布人并做好善后处理:对公安机关要求yh86银河协查的外网不良信息事件，根据校园网上网相关记录查找信息发布人。

(5)其它不确定安全事件。可根据总的安全原则，结合具体情况，作相应处理。各单位不能处理的及时咨询信息化办公室等。

第六章  善后处理

（一） 安全事件进行最初的应急处置后，应及时采取行动，抑制其影响进一步扩大，限制潜在的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响最小。

（二）安全事件被抑制后，通过对有关事件或行为的分析结果，找出问题根源，明确相应补救措施并彻底清除。

（三） 在确保安全事件解决后，要及时清理系统，恢复数据、程序、服务，恢复工作应避免出现误操作导致的数据丢失。

（四）记录上报

网络与信息系统安全事件发生时，应及时向分管校领导和网络安全与信息化工作领导小组汇报，并在事件处置工作中作好完整的过程记录，及时报告处置工作进展情况，保存各相关系统日志，直至处置工作结束。

（五）结束响应

系统恢复运行后，学校网络安全与信息化领导小组对事件造成的损失、事件处理流程和应急预案进行评估，对响应流程预案提出修改意见，总结事件处理经验和教训，撰写事件处理报告，同时确定是否需要上报该事件及其处理过程，需要上报的应及时准备相关材料;属于重大事件或存在非法犯罪行为的，第一时间向公安机关网络监察部门报案。

应急预案流程图如下：

第七章 应急保障

（一）人员保障

重视信息系统安全队伍建设，不断提高工作人员的信息安全防范意识和技术水平,确保安全事件应急处置过程和重建工作中技术人员的在岗与防护能力。

（二）技术保障

重视信息系统的建设和升级换代，重视网络安全整体方案的不断完善，加强技术管理，确保信息系统的稳定与安全。根据工作需要，聘请信息安全顾问为应急处置过程和重建工作提供咨询和技术支持。

（三）资金保障

信息化办公室应根据校园网络与信息系统安全预防和应急处置工作的实际需要，申报网络与信息系统关键设备及软件的运行维护专项资金，提出年度应急处置工作相关设备和工具所需经费，并上报至财务部门纳入年度财务预算，由学校给予资金保障。

第八章 责任追究

网络与信息安全事件应急处置工作实行责任追究制。学校对迟报、谎报、瞒报和漏报网络与信息安全事件重要情况或者应急处置工作中有其他失职、渎职行为的，依照相关规定对有关责任人给予处理;可能构成犯罪的，将有关线索移交司法机关依法追究刑事责任。

第九章 附则

本预案自发布之日起施行，由信息化办公室负责解释。