一、编制目的与依据

为建立健全学院网络安全事件应急工作机制，提高网络安全事件应对能力，预防和减少网络安全事件造成的损失和危害，保障学院网络和信息系统（网站）的安全运行，依据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《国家突发公共事件总体应急预案》《突发事件应急预案管理办法》和《信息安全技术信息安全事件分类分级指南》（GB/Z 20986-2007）等有关法律法规及规范性文件，结合学院实际，制定本预案。

二、适用范围

本预案所指网络与信息安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对学院造成负面影响的事件，可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障事件、灾害性事件和其他事件。

本预案适用于学院所有网络与信息系统，重点涵盖校园网络主干设施、重要信息发布系统、重要业务系统安全突发事件的应急处置工作。

三、网络与信息安全事件分类分级

（一） 网络与信息安全事件分类

网络与信息安全突发事件依据发生过程、性质和特征的不同，可分为以下四类：

1.网络攻击事件：校园网络与信息系统因病毒感染、非法入侵等造成学院网站或部门二级网站主页被恶意篡改，应用系统数据被拷贝、篡改、删除，信息系统遭到后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼等。

2.设备故障事件：校园网络与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪。

3.灾害性事件：因洪水、火灾、雷击、地震、台风、非正常停电等外力因素导致网络与信息系统损毁，造成业务中断、系统宕机、网络瘫痪。

4.信息内容安全事件：利用校园网络在校内外传播法律法规禁止的信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益等。

（二） 网络与信息安全事件分级

网络与信息安全事件依据可控性、严重程度和影响范围的不同，可分为四级：特别重大（I级）、重大（II级）、较大（III级）、 一般（IV级）。

1.特别重大（I级）：

学院网络与信息系统发生全校性大规模瘫痪，对学院正常工作造成特别严重损害，且事态发展超出学院控制能力，对国家安全、社会秩序、学院利益造成特别严重损害的安全事件。

2.重大（II级）：

学院网络与信息系统发生全校性瘫痪，对学院正常工作造成严重损害，且事态发展超出信息安全与教育技术中心控制能力，需学院各部门协同处置的安全事件。

3.较大（III级）：

学院部分区域的网络与信息系统瘫痪，发生局部性网络攻击或小范围信息内容安全事件，对学院正常工作造成一定损害，学院信息安全与教育技术中心可自行处理的安全事件。

4.一般（IV级）

较小局部范围网络或信息系统受到一定程度损坏，对学院某些工作有一定影响，但不危及学院整体工作的安全事件。

四、工作原则

坚持统一领导、分级负责；坚持统一指挥、密切协同、快速反应、科学处置；坚持预防为主，预防与应急相结合；坚持“谁 主管谁负责、谁运行谁负责、谁使用谁负责”的原则，充分发挥各方面力量共同做好网络与信息安全事件的预防和处置工作。

五、组织机构及职责

（一）组织机构

全院网络与信息安全事件应急处置工作由学院网络安全与信息化工作领导小组统一指导、指挥、协调。各相关单位必须坚决执行领导小组的决定，密切配合，履行职责。

（二）相关职责

1.网络安全与信息化工作领导小组

贯彻落实上级主管部门关于网络与信息安全方面的政策规定，制定学院网络与信息安全管理制度和预案，推进网络与信息安全建设；督促检查学院各类安全事件处置情况，决定I级和II级网络与信息安全事件应急预案的启动和善后处理工作。

2.党政办公室

组织协调敏感时期、重要活动期间的网络与信息安全保障和应急处置工作；发生利用计算机网络泄密的违法行为时，组织学院相关单位实施应急处置，协调配合上级部门开展调查工作。

3.党委宣传部

负责学院舆情监测，对于涉及师生政治思想方面的倾向性、苗头性问题加强分析研判。负责学院信息发布系统违规发布信息后的应急处置工作，妥善有效应对并做好善后工作；负责各类信息内容安全事件发生后，校内外舆论的正确引导工作。

4.安全保卫处

密切配合公安部门，协同做好网络与信息安全事件的报告、处置工作。

5.信息安全与教育技术中心

负责校园基础网络系统安全，计算机病毒和大规模网络攻击事件的处置，院级网络与信息系统安全事件处置的技术支持。制定和实施网络与信息安全事件应急处置技术方案，在技术上保障学院网络运行安全；落实学院网络安全与信息化工作领导小组相关决定，在发生网络与信息安全事件时及时收集技术资料，通报或上报有关情况。

6.其他单位

配合学院落实相关应急处置措施，负责本单位内部的网络与信息安全管理和突发事件应急处置，对照本预案，建立本单位内部应急处置机制。

六、应急处置预案

（一） 预案启动

发生校园网络与信息安全事件后，党委宣传部、信息安全与教育技术中心和突发安全事件的信息系统建管部门应尽最大可能收集事件相关信息，鉴别事件性质，确定事件来源，弄清事件范围， 评估事件带来的影响和损害，确认突发事件的类别和等级，并参照下述响应机制对突发事件进行处置。

（二） 应急响应

1.应急响应机制

III级或IV级突发事件响应：党委宣传部、信息安全与教育技术中心和突发安全事件的信息系统建管部门自行或协同开展应急处置工作，有关情况备案并报告分管校领导。

II级突发事件响应：党委宣传部、信息安全与教育技术中心先行通过技术手段紧急处置，同时将具体情况立即上报分管院领导和学院网络安全与信息化工作领导小组，由领导小组统一组织、协调指挥进行应急处置。

I级突发事件响应：党委宣传部、信息安全与教育技术中心先行通过技术手段紧急处置，同时将具体情况立即上报分管院领导和学院网络安全与信息化工作领导小组，领导小组会商后将事件详细情况及时上报至公安、教育等主管部门，由上级部门会同学院统 一协调指挥后续应急处置工作。

2.应急处理方式

根据网络与信息安全事件分类采取不同应急处置方式。

（1）网络攻击事件。判断攻击的来源与性质，关闭影响安 全与稳定的网络设备和服务器设备，断开信息系统与攻击来源的网络物理连接，跟踪并锁定攻击来源的IP地址或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照事件发生的性质采取以下方案：

病毒传播：及时寻找并断开传播源，判断病毒的类型、性质、可能的危害范围；为避免产生更大的损失，保护健康的计算机， 必要时可关闭相应的端口，甚至相应楼层的网络，及时请有关技术人员协助，寻找并公布病毒攻击信息，以及杀毒、防御方法。

外部入侵：判断入侵的来源，区分外网与内网，评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的，且评价威胁很小的外网入侵，定位入侵的IP地址，及时关闭入侵的端口，限制入侵的IP地址的访问。对于已经造成危害的，应立即采用断开网络连接的方法，避免造成更大损失和影响。

内部入侵：查清入侵来源，如IP地址、所在办公室等信息，同时断开对应的交换机端口，针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的，应及时关闭被入侵的服务器或相应设备。

（2）设备故障事件。判断故障发生点和故障原因，迅速抢修故障设备，优先保证校园网主干网络和主要应用系统的运转。

（3）灾害性事件。根据实际情况，在保障人身安全的前提下，保障数据安全和设备安全。具体方法包括：硬盘的拔出与保 存，设备的断电与拆卸、搬迁等。

（4）信息内容安全事件。接到校内网站出现不良信息的报 案后，应迅速屏蔽该网站的网络端口或断开网络物理连接，阻止有害信息的传播，根据网站相关曰志记录查找信息发布人并做好善后处理；对公安机关要求我校协查的外网不信息事件，根据校园网上网相关记录查找信息发布人。

（5）其它不确定安全事件。可根据总的安全原则，结合具体情况，作相应处理。不能处理的及时咨询信息安全与教育技术中心、 信息安全公司等。

（三） 后续处理

安全事件进行最初的应急处置后，应及时采取行动，抑制其影响进一步扩大，限制潜在的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响最小。

安全事件被抑制后，通过对有关事件或行为的分析结果， 找出问题根源，明确相应补救措施并彻底清除。

在确保安全事件解决后，要及时清理系统，恢复数据、程序、服务，恢复工作应避免出现误操作导致的数据丢失。

（四） 记录上报

网络与信息系统安全事件发生时，应及时向分管院领导和网络安全与信息化工作领导小组汇报，并在事件处置工作中作好完整的过程记录，及时报告处置工作进展情况，保存各相关系统日志，直至处置工作结束。

（五） 结束响应

系统恢复运行后，学院网络安全与信息化工作领导小组对事件造成的损失、事件处理流程和应急预案进行评估，对响应流程、预案提出修改意见，总结事件处理经验和教训，撰写事件处理报告，同时确定是否需要上报该事件及其处理过程，需要上报的应及时准备相关材料；属于重大事件或存在非法犯罪行为的，第一时间向公安机关网络监察部门报案。

七、保障措施

（一） 人员保障

重视信息系统安全队伍建设，不断提高工作人员的信息安全防范意识和技术水平，确保安全事件应急处置过程和重建工作中技术人员的在岗与防护能力。

（二） 技术保障

重视信息系统的建设和升级换代，重视网络安全整体方案的不断完善，加强技术管理，确保信息系统的稳定与安全。根据工作需要，聘请信息安全顾问为应急处置过程和重建工作提供咨询和技术支持。

（三） 资金保障

信息安全与教育技术中心应根据校园网络与信息系统安全预防和应急处置工作的实际需要，申报网络与信息系统关键设备及软件的运行维护专项资金，提出本年度应急处置工作相关设备和工具所需经费，并上报至财务部门纳入年度财政预算，由学院给予资金保障。

（四） 安全培训和演练

举办网络与信息系统安全知识培训，加强对全院师生的计算机操作、信息技能、网络和信息系统安全等相关知识的 宣传普及，增强预防意识和应急处置能力。有针对性地开展应急抢险救灾演练，确保发灾后应急救助手段及时到位和有效。

（五）责任与奖惩

学院对网络与信息安全事件应急管理工作中做出突出贡献的先进集体和个人给予表彰和奖励。网络与信息安全事件应急处置工作实行责任追究制。学院对迟报、谎报、瞒报和漏报网络与信息安全事件重要情况或者应急处置工作中有其他失职、渎职行为的，依照相关规定对有关责任人给予处理；可能构成犯罪的，将有关线索移交司法机关依法追究刑事责任。

八、本预案自发布之日起施行，由学院网络安全与信息化工 作领导小组负责解释。

九、附件
      附件1：信息技术安全事件情况报告

附件2：信息技术安全事件整改报告