【网络安全制度】网络与信息安全事件应急预案

网络与信息安全事件应急预案

第一章 总则

第一条  为了进一步加强对全校范围内校园网主干设备设施、重要信息系统、自建自管的网络与信息系统的管理，有效预防并科学的应对网络与信息安全突发事件，确保校园网络与信息系统正常运行，结合学院实际情况，特制定本预案。

第二章 网络与信息安全事件的分类、分级

第二条  根据网络信息安全事件的起因、表现、结果和影响等，可将网络信息安全事件分为七类：

（一）有害程序事件

有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等。如大面积病毒爆发造成系统死机、应用系统数据丢失等。

（二）网络攻击事件

网络攻击事件包括拒绝服务DDOS攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼、干扰事件及其他网络攻击事件。

（三）信息破坏事件

信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等。如非法入侵学校门户网站恶意篡改网站页面，校园应用信息系统数据被非法拷贝、篡改、删除等。

（四）信息内容安全事件

信息内容安全事件是指利用校园网络发布，传播危害国家安全、社会稳定和公共利益的安全事件，如非法串联、煽动集会游行等。

（五）设备设施故障

设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障等。如应用服务器故障、核心交换设备故障等。

（六）灾害性事件

灾害性事件是指由于不可抗力对网络信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的网络业务中断、信息系统损毁等信息安全事件。

（七）其它信息安全事件。

第三条  依据网络信息系统的重要程度，信息系统损失程度和网络信息系统对学校正常工作的影响程度及突发安全事件的可控性，可将信息安全事件分为以下四级：

I级（特别重大）：学校网络发生全校性瘫痪事件，学校特别重要信息系统遭受特别严重影响或破坏，对学校正常工作造成特别重大影响，且事态发展超出学校控制能力的安全事件。

II级（重大）：学校网络发生全校性网络故障，特别重要信息系统遭受严重的系统损失或重要信息系统遭受特别严重的系统损失，对学校正常工作造成严重影响，事态发展超出技术部门控制能力，需学校各部门协同处理的信息安全事件。

III级（较大）：学校某一区域发生网络或信息系统故障，对学校正常工作造成一定的影响，资产与后勤管理处可自行处理的网络信息安全事件。

IV 级（一般）：学校局部网络或信息系统受到一定程度损坏，仅对学校某些工作产生一定的影响，但不危及学校整体工作，资产与后勤管理处可自行处理的安全事件。

第三章 应急处置机构及其职责

第四条  全校网络与信息安全应急处置工作由学校网络信息安全领导小组统一领导、指挥、协调，坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，充分发挥全校各方力量，共同有效应对网络与信息安全突发事件。

第五条  资产与后勤管理处负责校园网的安全、稳定、正常运行。具体职责如下：

（一）上网用户身份信息验证及上网数据的审计；

（二）完成符合上级机关要求的互联网安全管理平台的接入工作；

（三）负责网络安全信息相关制度建设；

（四）负责与属地公安机关网安大队的联络及信息报送等；

（五）负责学院门户网站、各信息应用系统安全稳定运行；

（六）负责中心机房设备网络的日常维护。

第六条  学生工作处负责将网络安全教育纳入学生安全教育。

第七条  教务处负责对教师在教学任务中网络安全提出要求。

第八条  安保中心负责指导协助各部门网络安全工作。

第九条  各教学单位应配合各部门落实好网络安全工作，对教师及学生安全、文明上网进行教育。

第四章 应急处置流程

第十条  如发生网络与信息安全事件，应立即启动应急预案，并根据突发安全事件的具体情况做出相应的应急响应：

（一）对I级突发事件的响应：资产与后勤管理处立即上报分管领导和学校网络安全领导小组，领导小组上报至公安机关等部门，由主管部门会同学校网络信息安全领导小组统一组织、协调指挥应急处置。

（二）对II级突发网络信息安全事件响应：资产与后勤管理处立即上报学校分管领导和学校网络安全领导小组，由领导小组统一组织、协调指挥应急处置。

（三）对III级或IV级突发网络信息安全事件的响应：资产与后勤管理处和信息系统建设管理部门自行负责应急处置工作，处理的有关情况报学校分管领导。

第十一条  根据网络与信息安全事件分类采取不同的应急处置方式。

（一）有害程序事件：日常要做好应对准备，所有接入校园网的电脑必须安装杀毒软件、单机防火墙等并保持更新；对大规模的病毒爆发情况，第一时间提醒全校师生并统一部署方式进行查杀；对个别高危电脑可断网隔离查杀，待处理好后再接入校园网。

（二）网络攻击事件：应立即关闭相应网络设备和信息系统，断开系统物理连接，分析锁定攻击源；在防火墙上封堵网络攻击源或攻击端口并留存攻击日志；修复被破坏的信息系统，做好系统的安全修补工作后再接入网络。在门户网站等遭受DDOS攻击不能正常访问时应及时向公安机关报案。

（三）信息破坏事件：若发现门户网站页面被非法篡改，重要信息系统数据被非法篡改、被删除时，应立即断开系统网络连接、留存系统访问日志及防火墙日志；根据网站日志或信息系统访问日志等确定信息被篡改（删除、拷贝等）原因，根据分析结果做相应处置。待信息系统恢复正常、修补完系统安全漏洞后再接入网络。

（四）信息内容安全事件：当校内网站、信息系统出现不良信息，应迅速屏蔽该系统的访问或直接拔掉该系统网络连接，阻止不良信息的传播；根据网站相关日志查找信息发布人并做好善后处理。对公安机关要求我校协查的不良信息事件，可根据校园网上网行为审计日志等信息报送公安机关。

（五）设备设施故障：应迅速判断故障发生节点和故障原因，组织技术力量尽快抢修。若必要时联系设备、设施厂家寻求技术支持，保证校园网主干网络和主要信息系统的正常运转。

（六）灾害性事件：根据实际情况，在保障人身安全的前提下，尽量保障信息系统数据安全和设备安全。处理方式包括：迅速拔出硬盘保存数据，设备的紧急断电与拆卸、搬迁等等。

（七）其它信息安全事件：可根据总的工作处置原则，结合具体情况，做出相应处理。不能处理的及时报告信息安全主管部门。

第五章 保障措施

第十二条  网络与信息安全日常保障措施：

（一）技术保障。加强学校技术团队的建设，不断提高学校网络与信息系统安全保障人员，学校信息系统自建、信息系统运维人员的技术保障能力。做好网络与信息系统安全架构并及时更新、更换相关安全设备设施确保信息系统安全、稳定运行。

（二）运维经费保障。资产与后勤管理处根据校园网络与信息系统安全工作的实际需求，申报网络与信息系统相关安全设备及软件的运维经费，纳入学校财务年度预算，由学校给予充分的支持和保障。

（三）及时处置，定期培训等保障措施。做好网络与信息系统的日常运行监控工作，做到有问题及时发现、及早处置，尽量避免网络信息安全事态的扩大。学校定期举行网络信息安全培训和演练确保相关安全措施得到有效落实。

资产与后勤管理处

2018年8月13日