XXXX大學網絡與信息安全事件應急預案（試行）為有效預防并科學應對網絡與信息安全突發事件，確保校園網絡與信息系統正常運行，根據《信息安全事件分類分級指南》（GB/T20986-20XX）、《教育系統網絡與信息安全類突發公共事件應急預案》、《信息技術安全事件報告與處理流程》（教技廳函〔20XX〕75號）等國家和教育行業有關法律法規，結合學校工作實際，制定本規程。第一章總則第一條校園網絡與信息安全事件是指校園信息化基礎設施、應用系統、網站、系統數據等因各種因素遭到破壞，對學校工作、師生學習、生活秩序造成負面影響的事件。第二條處置流程遵循“統一領導，預防為本、快速反應，科學處置”的原則，最大可能的降低危害和影響。第二章網絡與信息安全事件分級第三條網絡與信息安全事件依據發生過程、性質和特征不同，可分為以下四類：（一）網絡攻擊事件：由于遭受有害程序感染、非法入侵或其他技術手段攻擊，造成校園網絡和信息系統運行異常或存在潛在危險，或造成信息被篡改、假冒、泄漏、竊取等而導致的信息安全事件。（二）設備故障事件：由于信息系統或外圍軟硬件設施故障、人為誤操作等，造成信息系統破壞、業務中斷、系統宕機、網絡癱瘓等導致的信息安全事件。（三）災害性事件：因洪水、火災、雷擊、地震、臺風、非正常停電等外力因素造成網絡與信息系統損毀，導致業務中斷、系統宕機、網絡癱瘓等安全事件。（四）信息內容安全事件：利用校園網絡在校內外傳播法律法規禁止的信息，組織非法串聯、煽動集會游行或炒作敏感問題并危害國家安全、社會穩定和公眾利益的事件。第四條網絡與信息安全事件按照可控性、嚴重程度和影響范圍不同,可劃分為四級：（一）Ⅰ級（特別重大）：事件導致發生全校性大規模網絡及系統癱瘓，或由于網站非法信息引發學校大規模群體性事件，對學校正常工作造成特別嚴重損害，造成嚴重社會影響，事態發展超出學校控制能力。（二）Ⅱ級（重大）：導致校園網發生全校性癱瘓，或由于網站非法信息引發師生反應強烈并有過激行為，對學校正常工作造成嚴重損害，并造成一定社會影響。（三）Ⅲ級（較大）：事件導致校園網某一區域的重要網絡與信息應用系統癱瘓，或由于網站敏感信息、謠言等，對學校正常工作造成一定損害，但未造成社會影響。（四）Ⅳ級（一般）：事件導致某一局部網絡或信息應用系統受到一定程度損壞，學校工作受到一定影響，但不危害學校整體工作。第三章組織機構及職責第五條學校網絡安全與信息工作領導小組為網絡與信息安全事件應急處理領導機構，信息與網絡管理處負責具體處置工作。其職責包括：（一）負責網絡與信息安全工作的組織、協調和監督，制定相關制度和應急預案；（二）根據網絡與信息安全事件程度提出相應級別預案的啟動，組織協調成員單位落實應急預案，共同做好處置工作；（三）負責及時收集、通報和上報網絡與信息安全事件處置的有關情況；（四）對全校各單位貫徹執行預案以及在事件處置工作中履行職責情況進行檢查督辦。第六條其它單位職責包括：（一）黨委辦公室、校長辦公室：牽頭組織重大敏感時期、重要活動、重要會議期間發生的信息安全事件的協調處置；（二）保密辦公室：負責涉密事件的處理。（三）信息與網絡管理處：負責校園基礎網絡及公共服務信息系統安全，保證校園網絡信息服務不中斷；負責網絡攻擊、設備故障類事件的處置；負責全校網絡與信息安全事件處置的技術支持工作。（四）黨委宣傳部：負責學校輿情監測和信息內容安全類事件的處置，對于涉及師生政治思想方面的預警性、傾向性、苗頭性的問題，要加強分析研判，妥善有效應對。（五）保衛處：密切聯系公安部門，負責涉及人為破壞類事件的處置，配合重大安全事件的處置。第七條各院系、職能部門負責本單位網站和業務系統的信息安全事件的處置工作，應對照本預案，建立本部門應急處置機制。第四章監控預防第八條按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，校屬各單位要做好網絡與信息安全事件的隱患排查工作，制定和完善管理制度，做好日常管理和監控，避免和減少網絡與信息安全事件的發生和危害。第九條健全技術防護體系。信網處在校園網出入口、數據中心、重要信息系統等重要部位，安裝必要的安全防御檢測工具，進行實時監測和定期掃描，發現異常情況及時防范處理并逐級報告。同時做好操作系統升級殺毒，數據備份、安全審計等日常管理工作。第十條建立安全事件巡查制度。各單位應負責所主辦網站內容的日常監控，信息與網絡管理處及宣傳部定期開展巡檢工作，做好校園網絡與信息安全的日常巡查及日志保存工作，以保證最先發現安全事件并及時處置突發性安全事件。第十一條最先發現或接到發生網絡與信息安全事件的單位或個人，要第一時間向信息與網絡管理處報告，報告內容包括事件的時間、地點、規模、涉及人員和損失情況，事件的危害影響程度和發展趨勢等基本情況。第五章處置程序第十二條啟動預案：發生網絡與信息安全事件后，信息與網絡管理處和涉事部門應第一時間采取斷網等有效措施，將損害和影響降低到最小范圍，保留現場，并報告本單位分管領導和信息與網絡管理處負責人。第十三條事件定級：信息與網絡管理處組織有關單位，盡最大可能收集事件相關信息，鑒別事件性質，確定事件來源，弄清事件范圍，評估事件帶來的影響和損害，確認事件的類別和等級。第十四條應急響應：根據事件等級采取相應的響應方式（一）IV級：信息與網絡管理處組織相關單位及時、自主進行應急處置，做好處置記錄。（二）III至II級：信息與網絡管理處應立即上報領導小組組長，由領導小組指揮、協調成員單位進行應急處置。涉及人為主觀破壞事件時由學校保衛處報告當地公安部門。（三）I級：信息與網絡管理處立即上報領導小組組長，由學校報告教育部和當地公安部門，公安部門指揮協調有關單位和我校協同進行應急處置。第十五條應急處理方式：根據網絡與信息安全事件分類采取不同應急處置方式。（一）網絡攻擊事件：判斷攻擊的來源與性質，關閉影響安全的網絡設備和服務器設備，斷開信息系統與攻擊來源的網絡物理連接，跟蹤并鎖定攻擊來源的IP地址或其它網絡用戶信息，修復被破壞的信息，恢復信息系統。按照事件發生的性質采取以下方案：1．病毒傳播：及時尋找并斷開傳播源，判斷病毒的類型、性質、可能的危害范圍；為避免產生更大的損失，保護健康的計算機，必要時可關閉相應的端口，甚至相應樓層的網絡，及時請有關技術人員協助進行殺毒處理。2．外部入侵：判斷入侵的來源，區分外網與內網，評價入侵可能或已經造成的危害。對入侵未遂、未造成損害的，且評價威脅很小的外網入侵，定位入侵的IP地址，及時關閉入侵的端口，限制入侵的IP地址的訪問。對于已經造成危害的，應立即采用斷開網絡連接的方法，避免造成更大損失和影響。3．內部入侵：查清入侵來源，如IP地址、所在辦公室等信息，同時斷開對應的交換機端口，針對入侵方法調整或更新入侵檢測設備。對于無法制止的多點入侵和造成損害的，應及時關閉被入侵的服務器或相應設備。（二）設備故障事件：判斷故障發生點和故障原因，迅速聯系設備廠家或IT運維公司盡快搶修故障設備，優先保證校園網主干網絡和主要應用系統的運轉。（三）災害性事件：根據實際情況，在保障人身安全的前提下，保障數據安全和設備安全。具體方法包括：硬盤的拔出與保存，設備的斷電與拆卸、搬遷等。（四）信息內容安全事件：接到校內網站出現不良信息的報案后，應迅速屏蔽該網站的網絡端口或拔掉網絡連接線，阻止有害信息傳播，查找信息發布人并做好善后處理。對公安機關要求我校協查的外網不良信息事件，根據校園網上網相關記錄查找信息發布人。（五）其它不確定安全事件：可根據總的安全原則，結合具體情況，做出相應處理，不能處理的及時咨詢國家信息安全機構。第十六條后續處理：（一）安全事件最初應急處置后，應及時采取措施，抑制其影響進一步擴大，限制潛在的損失與破壞，同時要確保應急處置措施對涉及的相關業務影響最小。（二）安全事件被抑制后，通過對有關事件或行為的分析結果，找出問題根源，明確相應補救措施并徹底清除。（三）安全事件解決后，要及時清理系統，恢復數據、程序、服務，恢復工作應避免出現誤操作導致的數據丟失。第十七條總結上報（一）系統恢復運行后，信息與網絡管理處對事件造成的損失、事件處理流程等進行分析評估，總結經驗教訓，撰寫事件處理報告，報領導小組。（