最新校园安全突发事件应急预案

　　一、总则

　　（一）编制目的

　　为科学应对及妥善处置校园网络与信息安全(以下简称信息安全)突发事件，建立健全信息安全应急响应机制，有效预防、及时控制和最大限度地消除信息安全事件带来的危害和影响，加强信息安全保障工作，确保重要计算机信息系统的实体安全、运行安全和数据安全，有效维护学校正常的教学、管理秩序，特制定本应急预案。

　　（二）编制依据

　　根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》等相关法规、规定和文件精神，制定本预案。

　　（三）工作原则

　　1.积极防御，综合防范

　　立足安全防护，加强预警，抓好预防、监控、应急处理和应急保障等环节，在管理、技术、人才等方面，采取多种措施，充分发挥各方面的作用，共同构筑网络与信息安全保障体系。

　　2.明确责任，分级负责

　　按照“谁主管谁负责”的原则，建立和完善安全责任制，协调管理机制和联动工作机制。

　　3.依靠科学，平战结合

　　加强技术储备，规范应急处置措施和操作流程，实现网络与信息安全突发事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念，定期进行预案演练，确保应急预案切实可行。

　　（四）适用范围

　　本预案适用于我校网络与信息安全事件的应急处置工作。

　　二、应急指挥体系及职责

　　（一）应急指挥机构

　　发生网络与信息安全突发事件后，由学校成立校园网络和信息安全事件应急领导小组，校园网络和信息安全事件应急领导小组办公室为校园网络与信息安全应急处置的组织协调机构，学校主要领导担任校园网络和信息安全事件应急领导小组组长，校园网络和信息安全事件应急领导小组办公室设在学校办公室，学校办公室、党委宣传部、计划财务处、武装保卫处、网络技术部负责人为成员。

　　组长：

　　组员：、

　　（二）应急指挥机构职责

　　校园网络和信息安全事件应急领导小组负责研究制定校园网络与信息安全应急处置工作的规划、计划和政策，协调推进校园网络与信息安全应急机制和工作体系建设；负责校园网络与信息安全应急预案的管理，指导督促应急预案的修订和完善，检查落实预案执行情况；负责学校各学院、各部门网站与网络信息应急处置工作的指导、协调、监督与检查工作；及时收集校园网络与信息安全突发事件相关信息，分析重要信息并确定处置方案；对发生或可能演变为Ⅰ、Ⅱ级网络与信息安全的突发事件，具有是否启动本预案，组织应急处置工作的决定权；负责提供和保障信息安全突发事件应急处置工作所需经费。

　　三、应急措施

　　（一）预防、监测

　　进一步完善校园网络与信息安全突发事件预防、监测、预警制度。要落实责任制，按照“早发现、早报告、早处置”的原则，加强对各类网络与信息安全突发事件和可能引发突发事件的有关信息的收集、分析判断和持续监测。

　　1、各学院、各部门要加强对本单位教职工和学生进行及时、全面地教育和引导，提高安全防范意识。

　　2、各学院、各部门指定专人负责本单位网站的信息审核和安全管理，严格执行学校计算机网络安全管理制度，规范电子阅览室、计算机机房等上网场所的管理，落实实名上网登记制度和日志留存。

　　3、在网络技术部的技术支持下，各学院、各部门建立健全重要数据及时备份和灾难性数据恢复机制。

　　4、采取多层次的有害信息、恶意攻击防范与处理措施。各单位网站管理人员为第一层防线，发现有害信息保留原始数据后及时删除；学校党委宣传部、网络技术部为第二层防线，负责对所有信息进行监视及信息审核，发现有害信息在及时处理的同时向上级主管部门、校园网络和信息安全事件应急领导小组报告。

　　5、周六、周日网络技术部安排值班人员对各级各类网站进行监控。节假日、举行重大活动或发生重大事件时期，由网络技术部安排专人、在各单位网站管理员的配合下，24小时对整个校园网的运行进行监控并及时删除各类有害信息。

　　6、各部门、各单位必须切实做好计算机网络设备的防盗和防信号非法接入工作。若有以上情况发生，在向学校校园网络和信息安全事件应急领导小组及时报告的同时，须向公安部门报告。

　　（二）预警、应对

　　对于可能发生或已经发生的校园网络与信息安全突发事件，应立即采取措施控制事态，并立即进行风险评估，判定事件等级，同时向上级领导办公室报告情况。

　　1、网站、网页出现非法言论事件紧急处置措施

　　(1)网站、网页由主管部门的值班人员负责随时密切监视信息内容。

　　(2)发现在网上出现非法信息时，值班人员应立即向本单位信息安全负责人通报情况，并报网络技术部对非法信息及时处理；情况紧急的，应先及时报网络技术部采取删除等处理措施，再按程序报告。

　　(3)由网络技术部技术人员做好日志记录工作，清理非法信息，妥善保存有关记录及日志或审计记录，强化安全防范措施，并将网站网页重新投入使用。

　　(4)网络技术部负责追查非法信息来源，并将有关情况向上级网络领导小组汇报。

　　(5)由上级网络领导小组、学校领导决定是否向上级信息化主管部门和公安部门报警。

　　2、黑客攻击事件紧急处置措施

　　(1)当各学院、各部门网站管理员及网络技术部值班人员发现网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时，各单位网站管理员、值班人员应及时报网络技术部进行处理。

　　(2)网络技术部技术人员首先应将被攻击的服务器等设备从网络中隔离出来，保护现场，并将有关情况向上级领导汇报。

　　(3)网络技术部技术人员负责恢复与重建被攻击或破坏的系统

　　(4)由上级网络领导小组、学校领导决定是否向上级信息化主管部门和公安部门报警。

　　3、病毒事件紧急处置措施

　　(1)当发现有计算机被感染上病毒后，应立即报网络技术部，由技术人员将该机从网络上隔离开来，并对该设备的硬盘进行数据备份。启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。

　　(2)如果现行反病毒软件无法清除该病毒，应立即向上级网络领导小组报告，并迅速联系有关产品商研究解决。

　　(3)如果感染病毒的设备是主服务器，经上级网络领导小组同意，应立即告知学校各单位做好相应的清查工作。

　　4、软件系统遭破坏性攻击的紧急处置措施

　　(1)重要的软件系统平时必须存有备份，与软件系统相对应的数据必须定期按时进行备份，并将它们保存于安全处。

　　(2)一旦软件遭到破坏性攻击，应立即向上级网络领导小组报告，并停止运行该系统。

　　(3)检查信息系统的日志等资料，确定攻击来源，并将有关情况向上级网络领导小组汇报，恢复软件系统和数据。

　　5、数据库安全紧急处置措施

　　(1)定期按时对数据库进行备份，并将它们保存于安全处。

　　(2)一旦数据库崩溃，网络技术部工作人员应立即启动备用系统。若无备用系统可用，则停止运行该系统，对主机系统进行维修并作数据恢复。同时向上级网络领导小组汇报相关情况。

　　6、广域网外部线路中断紧急处置措施

　　(1)广域网线路中断后，网络技术部应在判断故障节点，查明故障原因后，尽快研究恢复措施。

　　(2)如属我校管辖范围，由网络技术部工作人员立即予以恢复。如属网络运营商管辖范围，立即与相关部门联系，要求修复。

　　(3)向上级网络领导小组汇报相关情况。

　　7、局域网中断紧急处置措施

　　(1)局域网中断后，网络技术部工作人员应立即判断故障节点，查明故障原因，并向上级网络领导小组汇报。

　　(2)如属线路故障，应重新安装线路。

　　(3)如属路由器、交换机等网络设备故障，应立即更换、维修相关设备，并调试通畅。

　　(4)如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调试通畅。

　　(5) 向上级网络领导小组汇报相关情况。

　　8、设备安全紧急处置措施

　　(1)服务器等关键设备损坏后，网络技术部应向上级网络领导小组汇报相关情况。

　　(2)立即组织技术人员，查明故障原因。如果能够自行恢复，应立即用备件替换受损部件。如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修。

　　(3)如果设备一时不能修复，应向上级网络领导小组汇报。

　　（三）报告

　　当发生校园网络与信息安全突发事件时，校园网络与信息监控人员应按规定及时向学校网络和信息安全事件应急领导小组办公室报告，初次报告最迟不得超过1小时，重大和特别重大的校园网络与信息安全突发事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。

　　四、应急响应

　　（一）应急响应分级

　　本预案所指的信息安全突发事件，是指校园网网络基础设施、重要网站与信息系统突然遭受不可预知外力的破坏、毁损和故障，发生对学校造成或者可能造成重大影响，损害学校声誉的紧急事件。

　　1.事件分类

　　根据信息安全突发公共事件的发生过程、性质和特征，信息安全突发公共事件可划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害、事故灾难或人为破坏引起的网络与信息系统的损坏；信息安全突发事件是指利用信息网络进行有组织的大规模的反动宣传、煽动和渗透、捏造或者歪曲事实，故意散布谣言，扰乱社会秩序，公然侮辱他人或者捏造事实诽谤他人、宣扬封建迷信、淫秽色情、暴力、凶杀、恐怖等违法破坏活动。

　　自然灾害是指地震、台风、雷电、火灾、洪水等。

　　事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。

　　人为破坏是指人为破坏网络线路、交换设备、黑客攻击、病毒攻击、恐怖袭击等事件。

　　2.事件分级

　　网络与信息安全事件根据危害和紧急程度分为Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)、Ⅳ级(一般)，分别用红、橙、黄、蓝四种颜色表示。

　　Ⅰ级(特别重大)：导致校园网络瘫痪的安全事件；通过监测发现有网络设备出现总流量或者某个协议数据流量严重异常；某个承担汇聚的骨干网网络设备失去控制。

　　Ⅱ级(重大)：出现一种新的利用主流操作系统和应用程序漏洞的网络蠕虫；蠕虫（或病毒）导致Ⅱ级以上安全事件爆发并留下后门，其后一年内出现了针对该后门的攻击程序；导致我校骨干网络总流量在24小时内异常增加50%的安全事故。

　　Ⅲ(较大)：出现针对两个月内发布的可能被利用侵入并控制主机（及网络设备）的主流操作系统和应用程序漏洞的攻击方法；导致校内某单位网络瘫痪的事件。

　　Ⅳ(一般)：发生一般性信息安全事件；出现新的漏洞，尚未发现利用方法或者被利用迹象；出现新的蠕虫（或病毒）或者其他恶意代码，尚未证明可能造成严重危害；可能造成较大损害的其他信息安全事件。

　　（二）应急响应行动

　　1.信息的报送和处理

　　校园网络与信息安全事件应急领导小组办公室应及时整理发生事件的各种相关信息，于事件发生并处理完毕后15个工作日内将完整的情况记录归档。

　　2.指挥与协调

　　网络技术部应在校园网络与信息安全事件应急领导小组的统一领导下，积极预防网络与信息安全事件的发生并有效开展监测和应急处置工作。

　　3.信息发布

　　网络与信息安全事件信息发布遵循实事求是、及时准确的原则，由校园网络与信息安全事件应急领导小组办公室会同学校党委宣传部，按照有关规定，做好信息发布工作。

　　4.应急结束

　　当信息安全事件的危害得以控制，次生事件因素已经消除，由启动应急预案的网络与信息安全事件应急领导小组宣布应急工作结束，并通报相关部门单位。

　　五、应急保障

　　（一）应急队伍保障

　　要加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质、高技术的信息安全核心人才和管理队伍，大力发展信息安全服务业，增强应急工作能力。

　　（二）技术储备保障

　　校园网络与信息安全事件应急领导小组组织有关专家和科研力量，开展信息安全事件应急运作机制、应急处理技术、预警和控制等研究。

　　（三）经费保障

　　学校计划财务处按照相关规定，确保网络与信息安全事件处置所需经费。

　　六、监督管理

　　（一）预案的宣传、培训和演练

　　各相关单位及网络与信息主管部门应加强对网络与信息安全事件预防、避险、避灾等知识的宣传教育，校园网络与信息安全事件应急领导小组办公室及成员单位应加强预案的宣传、贯彻、培训和演练工作，不断提高应急应变能力，每年组织一次信息安全事件应急工作演练，提高工作人员的应急处置能力。

　　（二）监督检查

　　校园网络与信息安全事件应急领导小组办公室会同相关部门单位对本预案的实施情况进行监督检查，确保各项应急措施到位。

　　（三）奖励与惩罚

　　对网络与信息安全事件应急工作中积极履行职责、表现突出、成绩显著的单位和个人给予表彰奖励；对在工作中不履行职责、渎职、失职造成严重损失的，给予责任人行政处分，违反刑法的，移送司法机关依法追究法律责任。

　　七、附则

　　（一）名词术语解释

　　网络与信息安全重大突发事件：本预案是指由于自然灾害、设备软硬件故障、内部人为失误或破坏、黑客攻击、无线电频率干扰和计算机病毒破坏等原因，校园网络基础设施、校园网络与信息系统的正常运行受到严重影响，出现业务中断、系统破坏、数据破坏或信息失窃或泄密等现象，以及境内外敌对势力、敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动，在学校的教学、管理等方面造成不良影响、对学校的声誉造成损害以及造成一定程度直接或间接经济损失的事件。

　　（二）预案管理与更新

　　校园网络与信息安全事件应急领导小组根据情况变化，及时对本预案进行修订和完善。

　　（三）预案解释部门

　　本预案经学校党委批准后实施，由学校办公室印发，学校武装保卫处负责解释。

　　（四）预案实施时间

　　本预案自发布之日起施行。