山西中医药大学网络与信息安全突发事件应急预案

为科学应对网络与信息安全突发事件，建立健全我校网络与信息安全应急响应工作机制，规范网络安全事件处置工作流程，有效预防、及时控制和最大限度消除各类网络与信息安全突发事件的危害和影响，确保校园网络和重要信息系统安全，结合我校实际，特制定本预案。

第一章 总则

第一条 编制依据《国家网络安全事件应急预案》（中网办发文〔2017〕4号）《信息安全技术 信息安全事件分类分级指南》（GB/Z 20986-2007）、《信息技术安全事件报告与处理流程》（教技厅函〔2014〕75号）、《教育系统网络与信息安全类突发公共事件应急预案》（教技〔2018〕8 号）等国家、教育行业有关法律法规和标准规范。

第二条 本预案适用于学校范围内网络与信息安全事件的应急处置。

第三条 坚持统一领导、分级负责；预防为主、快速响应；密切协同，科学处置；定期演练、常备不懈；坚持“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，根据部门职能，各司其职，加强协调与配合，形成合力，共同做好网络与信息安全突发事件的预防和处置工作。

第二章 网络与信息安全事件分类分级

第四条 网络与信息安全突发事件依据发生过程、性质和特征的不同，可分为以下四类：

（一）网络攻击事件：校园网络与信息系统因遭受病毒感染、非法入侵等其他技术手段攻击，造成学校各类信息系统数据被篡改、假冒、泄漏、窃取、删除、丢失等，或造成校园网络和信息系统运行异常等情况而导致的信息安全事件。

（二）设备故障事件：由于信息系统或外围软硬件设施故障、人为误操作等，造成信息系统破坏、业务中断、系统宕机、网络瘫痪等导致的信息安全事件。

（三）灾害性事件：因洪水、火灾、雷击、地震、台风、非正常停电等外力因素造成网络与信息系统损毁，导致业务中断、系统宕机、网络瘫痪等安全事件。

（四）信息内容安全事件：通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

第五条 网络与信息安全突发事件依据可控性、严重程度和影响范围的不同，可分为以下四级：

（一）Ⅰ级（特别重大）：事件导致学校网络与信息系统发生全校性大规模瘫痪，对学校正常工作造成特别严重损害，造成严重社会影响，事态发展超出学校控制能力的安全事件。

（二）Ⅱ级（重大）：事件导致校园网络与信息系统发生全校性瘫痰，对学校正常工作造成严重损害，并造成一定社会影响，事态发展超出图文信息中心控制能力，需要学校网络与信息安全工作领导小组统一组织协调，跨部门协同处置。

（三）Ⅲ级（较大）：事件导致学校某一区域的网络与信息系统瘫痪，对学校正常工作造成一定损害，但未造成社会影响，图文信息中心可自行处理的安全事件；

（四）Ⅳ级（一般）：事件导致某一局部网络或信息系统受到一定程度损坏，对学校某些工作有一定影响，但不危及学校整体工作的安全事件。

第三章 组织机构及职责

第六条 全校网络与信息安全应急处置工作由学校网络与信息安全工作领导小组统一领导、协调、指挥。其职责包括：

（一）决定Ⅰ级、Ⅱ级网络与信息安全事件应急预案的启动，督促检查安全事件处置情况及各部门在安全事件处置工作中履行职责情况。

（二）对各部门贯彻执行应急处置预案、应急处置准备情况进行督促检查。

第七条 其它单位职责包括：

（一）校办公室：牵头组织重大敏感时期、重要活动、重要会议期间发生的信息安全事件的协调处置；负责涉密事件的处理；组织协调各部门落实应急预案，共同做好处置工作。

（二）宣传统战部：负责学校舆情监测和信息内容安全类事件的处置，对涉及师生政治思想方面的预警性、倾向性、苗头性的问题加强分析和研判，制定工作方案，并妥善有效应对，并做好微信、微博等媒体平台的舆论引导工作。

（三）学生工作部（处）（武装部）、团委：在可能对学生思想动态造成影响的安全事件发生时，负责做好学生的思想工作；协助做好涉及学生的网络与信息安全处置工作。

（四）保卫部（处）：密切联系公安部门，负责涉及人为破坏类事件的处置，配合重大安全事件的处置。

（五）图文信息中心：协助涉事单位做好网络安全事件应急处置与报告，提供网络安全事件处置的技术支持；对接省教育厅或其他上级单位的网络安全主管部门，按要求报告网络安全事件及其处置情况；提出重大网络安全事件应对措施建议；组织网络安全监测工作。

第八条 各学院、职能部门负责本单位网站和业务系统的信息安全事件的处置工作，应对照本预案，建立本部门应急处置机制。

第四章 处置程序

第九条 启动预案：发生网络与信息安全事件后，涉事部门应第一时间联系图文信息中心采取断网等有效措施，将损害和影响降低到最小范围，保留现场，并报告本单位分管领导和图文信息中心负责人。  

第十条 事件定级：图文信息中心组织有关单位，尽最大可能收集事件相关信息，鉴别事件性质，确定事件来源，弄清事件范围，评估事件带来的影响和损害，确认事件的类别和等级，同时由事发单位分管领导组织本单位系统管理员和图文信息中心相关人员共同编写紧急报告（报送格式见附件1），上报分管校领导和学校网络与信息安全工作领导小组，并参照下述响应机制对突发事件进行处置。

第十一条 应急响应：根据事件等级采取相应的响应方式。

Ⅲ级或Ⅳ级突发事件响应：图文信息中心和突发安全事件的涉事部门自行负责应急处置工作，做好处置记录。

Ⅱ级突发事件响应：图文信息中心立即上报分管校领导和学校网络与信息安全工作领导小组，由领导小组决定启动Ⅱ级突发事件响应并统一组织、协调指挥进行应急处置。

Ⅰ级突发事件响应：图文信息中心立即上报分管校领导和学校网络与信息安全工作领导小组，由领导小组会商后决定启动Ⅰ级突发事件响应，并上报上级相关部门，由上级部门会同我校网络与信息安全工作领导小组统一组织、协调指挥应急处置。

第十二条 应急处理方式：根据网络与信息安全事件分类采取不同应急处置方式。

（一）网络攻击事件：判断攻击的来源与性质，关闭影响安全的网络设备和服务器设备，断开信息系统与攻击来源的网络物理连接，跟踪并锁定攻击来源的IP地址或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照事件发生的性质采取以下方案：

1．病毒传播：及时寻找并断开传播源，判断病毒的类型、性质、可能的危害范围；为避免产生更大的损失，保护健康的计算机，必要时可关闭相应的端口，甚至相应楼层的网络，及时请有关技术人员协助进行杀毒处理。

2．外部入侵：判断入侵的来源，区分外网与内网，评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的，且评价威胁很小的外网入侵，定位入侵的IP地址，及时关闭入侵的端口，限制入侵的IP地址的访问。对于已经造成危害的，应立即采用断开网络连接的方法，避免造成更大损失和影响。

3．内部入侵：查清入侵来源，如IP地址、所在办公室等信息，同时断开对应的交换机端口，针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的，应及时关闭被入侵的服务器或相应设备。

（二）设备故障事件：判断故障发生点和故障原因，迅速联系设备厂家或IT运维公司尽快抢修故障设备，优先保证校园网主干网络和主要应用系统的运转。

（三）灾害性事件：根据实际情况，在保障人身安全的前提下，保障数据安全和设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。

（四）信息内容安全事件：接到校内网站出现不良信息的报案后，应迅速屏蔽该网站的网络端口或拔掉网络连接线，阻止有害信息传播，查找信息发布人并做好善后处理。对公安机关要求我校协查的外网不良信息事件，根据校园网上网相关记录查找信息发布人。

（五）其它不确定安全事件：可根据总的安全原则，结合具体情况，做出相应处理，不能处理的及时咨询省级或国家网信安全机构、公安机关。

第十三条 在确保安全事件解决后，要及时清理系统，恢复数据、程序、服务，恢复工作应避免出现误操作导致的数据丢失。

第十四条 总结报告

（一）系统恢复运行后，涉事部门对事件造成的损失、事件处置流程等进行分析评估，总结经验教训，撰写事件处置报告（见附件2），由本单位主要负责人审签、加盖公章后5日内报送分管校领导和学校网络与信息安全工作领导小组。

（二）发生Ⅲ至Ⅰ级事件，在报告学校网络与信息安全工作领导小组的同时，应按照上级部门下发的文件要求，上报相关部门，属于重大事件或存在非法犯罪行为的，还须第一时间向公安机关报案。

第五章 预防措施

第十五条 加强校园网信息系统的日常运维管理，依据“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，按照网络安全等级保护相关要求，健全网络安全管理制度，完善技术防护措施，做好安全运维、安全检查、风险评估和容灾备份等工作，提高安全保障能力，避免和减少网络信息安全事件发生。

第十六条 建立校园网安全监测和通报处置工作机制，提高发现和应对网络安全事件的能力。图文信息中心负责定期对校园网设备及运行系统进行安全隐患排查、安全漏洞扫描、网络攻击分析，及时发现并指导督促各单位修复安全威胁。各单位应按要求积极进行修复加固工作。

第十七条 图文信息中心应加强与国家网络安全机构等相关网络安全企业的联系合作，多途径跟踪、收集网络安全预警信息和有关我校的网络安全威胁信息，及时向校内有关单位和师生通报，组织做好预防工作。

第十八条  在国家重要活动、会议期间，加强网络安全事件的防范和应急响应，确保校园网络安全。由图文信息中心进行统一部署和安排，组织专业技术人员对校园网络和信息系统采取加强性保护措施，对校园网络通信及信息系统进行不间断监控。

第十九条 建立应急预案定期演练制度。通过定期组织演练，发现应急工作体系和工作机制存在的问题，不断完善应急预案，提高应急处置实战能力。

第二十条  充分利用各种传播媒介及其他有效的宣传形式，加强网络安全突发事件预防和处置的有关法律、法规和政策宣传，开展网络安全基本知识和技能的宣传活动。

第二十一条 学校定期组织各单位信息化主管领导和工作人员网络安全培训，将网络安全事件应急预案及相关知识列为培训内容，提高从业人员网络安全防范意识与应急处理技能。

第二十二条 人员变更报告 各单位的网络安全第一责任人（主要负责人）、直接责任人（信息化工作分管领导）、系统（网站）管理员及其联系方式发生变更的，应及时将变更情况报图文信息中心办公室。

第六章 应急保障

第二十三条 学校网络与信息安全工作领导小组办公室负责收集、建立领导小组内部及其他相关部门的应急联络信息和档案。各成员部门主要负责人保持全天24小时通讯畅通。

第二十四条 图文信息中心负责保障网络安全运行的基本环境，并预留一定数量的信息网络硬件和软件设备，指定专人保管和维护。

第二十五条 重要信息系统均建立备份系统，保证重要数据在受到破坏后可紧急恢复。

第二十六条 建立符合要求的网络与信息安全保障技术支持力量，对网络接入部门的网络与信息安全保障工作人员提供技术支持和培训服务。

第七章 附则

第二十七条 各单位应按本预案及相关制度及时、如实地报告和妥善处置安全事件，如有迟报、谎报、瞒报、漏报或者在应急处理过程中有其他失职、渎职行为的，依照相关规定追究有关责任人责任，构成犯罪的，依法追究刑事责任。

第二十八条 结合信息网络快速发展和经济社会发展状况，配合相关法律法规的制定、修改和完善，适时修订本预案。

第二十九条 本预案由学校网络与信息安全工作领导小组办公室制定并解释。

第三十条 本预案自发布之日起施行，原《山西中医药大学网络与信息安全事件应急预案》（晋中医党办﹝2017﹞11号）同时废止。