1.总则

1.1编制目的

为提高学校处置网络与信息安全突发事件的能力，形成科学、有效、反应迅速的应急工作机制，确保校园网和信息系统的实体安全、运行安全和数据安全，最大限度地降低网络与信息安全突发事件的危害，根据教育部、陕西省教育厅有关文件精神，结合学校实际，特制定本预案。

1.2编制依据

根据《国家网络安全事件应急预案》、《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、和《信息安全技术信息安全事件分类分级指南》（GB/Z 20986-2007）等相关规定。

1.3适用范围

本预案所指网络与信息安全事件是指由于不可预知的人为原因、软硬件缺陷或故障、自然灾害等，对学校自建自管的网络和信息系统或者其中的数据，造成不同程度危害的突发性事件。

1.4工作原则

1.坚持统一领导，分级负责，快速反应，密切配合，科学处置。

2.坚持“谁主管谁负责、谁使用谁负责”的原则，充分发挥各方面力量，共同做好网络与信息安全事件的应急处置工作。

3.坚持定期演练，加强技术储备，规范应急处置措施与操作流程，定期进行预案演练，确保应急预案切实有效，实现网络与信息安全突发事件应急处置的科学化、程序化与规范化。

1.5事件分类分级

1.事件分类

网络与信息安全突发事件依据发生过程、性质和特征的不同，可分为以下四类：

(1)网络攻击事件：校园网络与信息系统因病毒感染、非法入侵等造成学校门户网站、微博微信或部门二级网站主页被恶意篡改，应用系统数据被拷贝、篡改、删除等。

(2)设备故障事件：校园网络与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪。

(3)灾害性事件：因洪水、火灾、雷击、地震、台风、非正常停电等外力因素导致网络与信息系统损毁，造成业务中断、系统宕机、网络瘫痪。

(4)信息内容安全事件：利用校园网络在校内外传播法律法规禁止的信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益等。

2.事件分级

网络与信息安全突发事件依据可控性、严重程度和影响范围的不同，可分为以下四级：

I级（特别重大）：学校网络与信息系统发生全校性大规模瘫痪，对学校正常工作造成特别严重损害，且事态发展超出学校控制能力的安全事件；

II级（重大）：学校网络与信息系统发生全校性瘫痪，对学校正常工作造成严重损害，事态发展超出信息化管理部门的控制能力，需学校各部门协同处置的安全事件；

III级（较大）：学校某一区域的网络与信息系统瘫痪，对学校正常工作造成一定损害，信息化管理部门可自行处理的安全事件；

IV级（一般）：某一局部网络或信息系统受到一定程度损坏，对学校某些工作有一定影响，但不危及学校整体工作的安全事件。

2.组织机构与职责

2.1组织机构

全校网络与信息安全防范及应急处置工作由学校网络安全和信息化工作领导小组统一领导、指挥、协调。

学校网络安全和信息化工作领导小组组成：

组长：董事长

副组长：副校长、副书记

成员：各部门、各单位负责人

2.2职责及任务

1.学校网络安全和信息化工作领导小组：①决定I级和II级网络与信息安全事件应急预案的启动，督促检查安全事件处置情况及各有关单位在安全事件处置工作中履行职责情况；②对全校各单位贯彻执行应急处置预案、应急处置准备情况进行督促检查。

2.党政办公室：①负责网络和信息安全工作的组织、协调和监督；②牵头组织重大敏感时期、重要活动、重要会议期间发生的网络安全事件的协调处置。

3.信息化中心：①负责制定网络和信息安全工作的相关制度和应急预案；②负责及时收集、通报和上报网络安全事件处置的有关情况；③负责校园基础网络系统的安全处置工作；④负责大规模计算机病毒传播和网络攻击事件的处置；⑤负责全校网络信息安全事件处置的技术支持工作。

4.党委工作部：①负责学校网络信息内容安全和舆情监测工作，对于涉及师生政治思想方面的预警性、倾向性、苗头性的问题加强分析研判，制订工作方案，并妥善有效应对；②负责学校网站、微信、微博等媒体发布信息的审核工作和舆论引导工作。

5.学生工作处：①在可能对学生思想动态造成影响的安全事件发生时，负责做好学生的思想工作；②协助做好涉及学生的网络和信息安全事件处置工作。

6.保卫处：密切联系公安部门，配合信息化中心做好网络信息安全事件的处置工作。

7.团委：负责学校贴吧等非官方网络媒体的舆论监管和引导工作。

8.各部门负责本部门内部的网络信息安全管理和突发事件应急处置工作，应参照本预案，建立本部门应急处置机制。

3.监测和预警

1.学校建立健全安全事件预警预报体系。各单位严格执行学校的各项网络与信息安全管理制度，按要求对本部门所负责的各类信息终端、信息系统和校园网资源采取相应安全保障措施，制订相应的管理办法。

2.学校实行信息网上发布审批制度。各信息系统的主管部门对可能引发校园网络与信息安全事件的信息，要认真收集、分析判断，发现有异常情况时，应及时防范处理并逐级报告。

3.信息化中心加强对校园网络的监控和安全管理，做好相关数据日志记录，同时做好中心机房的数据备份及登记工作，建立灾难性数据恢复机制。

4.特殊时期，根据工作需要，由信息化中心进行统一部署和安排，组织专业技术人员对校园网络和信息系统采取加强性保护措施，对校园网络通信及信息系统进行不间断监控。

4.处置流程

4.1预案启动

发生校园网络与信息安全事件后应立即启动应急预案，信息化中心和安全事件的发生部门应尽最大可能收集事件相关信息，鉴别事件性质，确定事件来源，评估事件造成的影响和范围，确定事件的类别和等级，并参照下述响应机制对突发事件进行处置。

4.2应急响应

1.应急响应机制

I级突发事件响应：信息化中心立即上报分管校领导、网络安全和信息化工作领导小组，再由网络安全与信息化工作领导小组上报上级主管部门，在上级主管部门、网络安全和信息化工作领导小组统一指挥下，开展应急处置工作。

II级突发事件响应：信息化中心立即上报分管校领导、网络安全和信息化工作领导小组，由络安全和信息化工作领导小组统一指挥、组织协调进行应急处置。

III级或IV级突发事件响应：由信息化中心和安全事件的发生部门自行负责开展应急处置工作，并将事件的有关情况上报分管校领导。

2.应急处理方式

根据网络与信息安全事件分类采取不同应急处理方式。

(1)网络攻击事件：判断攻击的来源与性质，关闭受影响的网络设备和服务器，断开信息系统与攻击来源的网络物理连接，跟踪并锁定攻击源的IP地址或其它网络用户信息，修复被破坏的信息系统，恢复信息数据。按照事件发生的性质采取以下方案：

①计算机病毒传播：及时寻找并断开传播源，分析病毒的类型、性质、可能的危害范围，全面查找受影响的信息系统，进行全面杀毒、系统补丁更新，为有效控制病毒蔓延，必要时可关闭一定范围的网络。

②外部入侵：判断入侵的来源，留存相关证据，评估入侵可能或已经造成的危害。对入侵未遂、未造成危害或危害很小的，定位入侵的IP地址，及时封禁与入侵IP地址的双向交互。对于已经造成危害的，应立即断开网络连接，避免造成更大损失和影响。

③内部入侵：查清入侵来源，如IP地址、所在办公室等信息，关闭对应的交换机端口，针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的，应及时关闭被入侵的服务器或相应设备。

(2)设备故障事件：定位故障位置和影响范围，分析故障原因，及时组织人员抢修故障，优先保证校园网主干网络和校级核心业务系统的运转。

(3)灾害性事件：根据实际情况，在保障人身安全的前提下，保障数据安全和设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。

(4)信息内容安全事件：接到校内网站出现不良信息的报案后，应立即断开该网站的网络连接，阻止有害信息的传播，根据网站相关日志记录查找信息发布人并做好善后处理；对公安机关要求我校协查的外网不良信息事件，根据校园网上网相关记录查找信息发布人。

(5)其它不确定安全事件：可根据总的安全原则，结合具体情况，做出相应处理。不能处理的及时咨询信息安全公司或信息化建设专家小组。

4.3后续处理

1.安全事件进行最初的应急处置后，应及时采取行动，避免影响进一步扩大，限制潜在的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响最小。

2.安全事件被控制后，通过对有关事件或行为的分析结果，找出问题根源，明确相应补救措施并彻底清除。

3.在确保安全事件解决后，要按需恢复网络连接，及时清理系统，恢复数据、程序、服务，恢复工作应避免出现误操作导致的数据丢失。

4.4记录上报

网络与信息系统安全事件发生时，应根据事件等级及时向校领导、网络安全和信息化工作领导小组汇报，并在事件处置工作中作好完整的过程记录，及时报告处置工作进展情况，保存各相关系统日志，直至处置工作结束。

4.5结束响应

系统恢复运行后，信息化中心对事件造成的损失、事件处理流程和应急预案进行评估，对响应流程、预案提出修改意见，总结事件处理经验和教训，记录事件处理情况。I级事件要及时准备相关材料用于上报，属于重大事件或存在违法犯罪行为的，第一时间向公安机关网络监察部门报案。

5.保障措施

学校网络与信息安全应急处置是一项长期的、随时可能发生的工作，必须做好各项应急保障工作。

1.制度保障

建立健全各项网络安全制度，制定并不断完善网络与信息安全事件应急预案。针对突发性、大规模安全事件，各相关部门应建立反应迅速、周密细致的处理流程，确保发生安全事件时能够及时有效的进行处理。

2.队伍保障

加强网络与信息安全人才培养，强化信息安全宣传教育，不断提高工作人员的信息安全防范意识和技术水平，确保安全事件应急处置科学得当。

3.技术保障

不断完善网络安全整体方案，加强技术管理，确保信息系统的稳定与安全。根据工作需要聘请信息安全顾问为应急处置过程和重建工作提供咨询和技术支持。

4.工作保障

学校网络与信息安全工作应坚持“预防为主”的原则，信息化中心应在重大敏感时期、重要活动、重要会议期间安排专人24小时值守，并确保值班电话7×24小时开机，7×24小时响应。

5.资金保障

信息化中心应根据校园网络与信息系统安全预防和应急处置工作的实际需要，申报网络与信息系统关键设备及软件的运行维护专项资金，提出本年度应急处置工作相关设备和工具所需经费，并上报计划至财务处纳入年度财政预算，由学校给予资金保障。

6.安全培训和演练

信息化中心定期或不定期对相关工作人员进行网络与信息安全培训，增强预防意识和应急处置能力。

各单位、各部门应有针对性地开展应急演练，通过演练，发现应急工作体系和工作机制存在的问题，不断完善应急预案，提高应急处置能力。

6.附则

1.本预案由信息化中心负责解释。

2.本预案自印发之日起执行，原《陕西国际商贸学院网络与信息安全事件应急预案》制度废止。