为了切实做好学院校园网络突发事件的防范和应急处理工作，进一步提高学院预防和控制网络突发事件的能力和水平，形成科学、有效、反应迅速的应急工作机制，规范网络信息安全应急响应工作内容和流程，确保校园网络与信息系统正常运行，维护学院正常教学秩序。根据《信息安全事件分类分级指南》（GB/T20986-2007）、《信息技术安全事件报告与处理流程》等国家和教育行业有关法律法规，结合学院工作实际，特制定本预案。

第一章总则

第一条本预案所称突发性事件，是指自然因素或者人为活动引发的危害学院校园网网络设施及信息安全等有关的灾害。

第二条 应急处置遵循原则“ 统一领导，预防为本、快速反应，科学处置”的原则，最大可能的降低危害和影响。

第二章网络信息安全事件分级

第三条 网络信息安全事件依据发生过程、性质和特征不同，可分为以下四类：

（一）网络攻击事件：由于遭受有害程序感染、非法入侵或其他技术手段攻击，造成校园网络和信息系统运行异常或存在潜在危险，或造成信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。

（二）设备故障事件：由于信息系统或外围软硬件设施故障、人为误操作等，造成信息系统破坏、业务中断、系统宕机、网络瘫痪等导致的信息安全事件。

（三）灾害性事件：因洪水、火灾、雷击、地震、台风、非正常停电等外力因素造成网络与信息系统损毁，导致业务中断、系统宕机、网络瘫痪等安全事件。

（四）信息内容安全事件：利用校园网络在院内外传播法律法规禁止的信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

第四条 网络信息安全事件按照可控性、严重程度和影响范围不同,可划分为四级：

（一）Ⅰ级（特别重大）：事件导致发生全院性大规模瘫痪，或由于网站非法信息引发学院大规模群体性事件，对学院正常工作造成特别严重损害，事态发展超出学院控制能力。

（二）Ⅱ级（重大）： 事件导致校园网发生全院性瘫痪，或由于网站非法信息引发师生反应强烈并有过激行为，对学院正常工作造成严重损害，事态发展超出学院应急处理工作小组控制能力，需要跨部门协同处置。

（三）Ⅲ级（较大）： 事件导致校园网某一区域的重要网络与信息应用系统瘫痪，或由于网站敏感信息、谣言等，对学院正常工作造成一定损害，应急处理工作小组可以自行处理。

（四）Ⅳ级（一般）：事件导致某一局部网络或信息应用系统受到一定程度损坏，学院工作受到一定影响，但不危害学院整体工作，应急处理工作小组可以自行处理。

第三章组织指挥及职责任务

第五条 学院成立网络与信息安全应急处理工作小组作为网络信息安全事件应急处理领导机构，应急处理工作小组办负责具体处置工作。其职责包括：

（一）负责网络信息安全工作的组织、协调和监督，制定相关制度和应急预案；

（二）根据网络信息安全事件程度提出相应级别预案的启动，组织协调成员部门落实应急预案，共同做好处置工作；

（三）负责及时收集、通报和上报网络信息安全事件处置的有关情况；

（四）对全院各部门贯彻执行预案以及在事件处置工作中履行职责情况进行检查督办。

第六条 各院系、职能部门负责本部门网站和业务系统的信息安全事件的处置工作，应对照本预案，建立本部门应急处置机制。

第四章预防措施

第七条 加强网络与信息系安全管理，健全工作制度和建立预报预警监测体系，避免和减少网络信息安全事件发生。

第八条 健全技术防护体系，在校园网出入口、数据中心、重要信息系统等重要部位，安装必要的安全防御检测工具，进行实时监测和定期扫描，发现异常情况及时防范处理并逐级报告。同时做好操作系统升级杀毒，数据备份、安全审计等日常管理工作。

第九条 建立灾害险情巡查制度。宣传部及各网站管理员应随时监控网站内容，信息化中心应严格执行值班制度，做好校园网络与信息安全的日常巡查及日志保存工作，以保证最先发现灾害并及时处置突发性事件。

第五章处置程序

第十条 启动预案：发生网络信息安全事件后，教育信息化管理中心和涉事部门应第一时间采取断网等有效措施，将损害和影响降低到最小范围，保留现场，并报告本部门分管领导和应急工作处理小组负责人。

第十一条 事件定级：应急工作处理小组组织有关部门，尽最大可能收集事件相关信息，鉴别事件性质，确定事件来源，弄清事件范围，评估事件带来的影响和损害，确认事件的类别和等级。

第十二条 应急响应：根据事件等级采取相应的响应方式

IV级：应急工作处理小组组织相关部门及时、自主进行应急处置，做好处置记录。

III至II级：应急工作处理小组应立即上报工作组组长，由工作组指挥、协调成员部门进行应急处置。涉及人为主观破坏事件时由学院保卫处报告当地公安部门。

I级：应急工作处理小组立即上报工作组组长和信息化工作领导小组组长，由学院报告教育部和当地公安部门，公安部门指挥协调有关部门和我院协同进行应急处置。

第十三条 应急处理预案：根据网络与信息安全事件分类采取不同应急处置方式。

（一）网络恶意攻击事故处理预案：

发现出现网络恶意攻击，立刻确定该攻击源来自院内还是院外；受攻击的设备有哪些；影响范围有多大。并迅速推断出此次攻击的最坏结果，判断是否需要紧急切断院园网的服务器及公网的网络连接，以保护重要数据及信息。入侵来自内网的，然后针对入侵方法检查或更新入侵检测设备。

A、如果攻击来自院外，立刻从防火墙中查出对方IP地址并过滤，同时对防火墙设置对此类攻击的过滤，并视情况严重程度决定是否报警。

B、如果攻击来自院内，根据上网行为管理系统查清入侵来源，如IP地址、上网帐号等信息，同时断开对应的交换机端口。查出该攻击出自哪台交换机，出自哪台电脑，出自哪位教师或学生。接着立刻赶到现场，关闭该计算机网络连接，并立刻对该计算机进行分析处理，确定攻击出于无意、有意还是被利用，暂时扣留该电脑。

C、重新启动该电脑所连接的网络设备，直至完全恢复网络通信。

D、对该电脑进行分析，清除所有病毒、恶意程序、木马程序以及垃圾文件，测试运行该电脑2小时以上，并同时进行监控，无问题后归还该电脑。

（二）病毒攻击事故处理预案：

A、针对这种现象，要及时查找并断开传播源，终止网络病毒传播；

B、判断病毒的性质、采用的端口，然后关闭相应的端口；

C、在网上公布病毒攻击信息以及防御方法，及时进行查杀病毒。

（三）网上舆情监测预警应对预案：

A、在敏感时期，根据学院或上级主管部门的安排，做到责任明确、处理及时，做好与本单位上网用户有关的网上舆情的监测工作，有效预防不良舆论扩散，维护国家和学院利益形象。

B、使用上网行为管理系统，有效封堵不良网站、恶意网站，通过关键词过滤功能，有效阻止来自于内网的不当访问行为。

C、明确与本单位上网用户可能相关的网上舆情监测的重点区域，如本地主要网站论坛、知名论坛、贴吧、博客，重点网站重点媒体等，加强网上巡查。

D、积极配合学院及上级主管部门，通过各种技术手段及时追踪及处理不当言论。

（四）停电应急预案:

A、接到停电通知后，应急处理工作小组应部署具体应对措施，检查UPS的工作状态，预估供电时长，保证中心机房重要设备正常运转并及时通过网站发布相关信息。

B、恢复供电后，按操作规程启动设备，保障设备正常运转。

（五）其它不确定安全事件：可根据总的安全原则，结合具体情况，做出相应处理，不能处理的可以请示相关的专业人员或及时咨询国家信息安全机构。

第十四条后续处理：

（一）安全事件最初应急处置后，应及时采取措施，抑制其影响进一步扩大，限制潜在的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响最小。

（二）安全事件被抑制后，通过对有关事件或行为的分析结果，找出问题根源，明确相应补救措施并彻底清除。

（三）安全事件解决后，要及时清理系统，恢复数据、程序、服务，恢复工作应避免出现误操作导致的数据丢失。

第十五条总结上报

（一）系统恢复运行后，应急工作处理小组对事件造成的损失、事件处理流程等进行分析评估，总结经验教训，撰写事件处理报告。

（二）发生Ⅲ至I级事件，在报告学院的同时，应按照教育部办公厅《信息技术安全事件报告与处置流程（试行）》报告上级主管部门，属于重大事件或存在非法犯罪行为的，还须第一时间向公安机关报案。

第十六条报告流程

（一）事发紧急报告：事件发生后立即以口头通讯方式报教育部信息中心，涉及人为主观破坏事件应同时报当地公安机关。报告内容包括：时间地点，简要经过，事件类型与分级，影响范围，危害程度，初步原因分析，已采取的紧急措施。

（二）事中处置报告：应在事件发生后8小时内以书面报告形式报送。

（三）事后整改报告：应在时间处置完毕后5个工作日内以书面报告形式报送。

第六章保障措施

第十七条 加强人员保障，不断提高工作人员的信息安全防范意识和技术水平，确保安全事件应急处置科学得当。每天安排专人值守，做好值班记录，责任到人。

第十八条 加强技术保障，不断完善网络安全整体方案，加强技术防护，确保信息系统的稳定与安全。

第十九条 加强资金保障，应急工作处理小组和信息化中心应根据校园网安全防护和应急处置工作实际需要，提出用于安全的软硬件设备及运行维护经费预算，报财务处纳入年度经费预算，以专项经费列支。

第二十条 加强安全培训和演练，应急工作处理小组应定期组织相关部门和网管员信息安全知识培训，增强防范意识和应急处置能力。开展应急处置演练，确保相关措施的有效落实。

第七章附则

第二十一条 本预案由网络安全与信息化领导小组办公室负责解释。

第二十二条 本预案自发布之日起施行。