大學網(wǎng)絡安全突發(fā)事件應急預案

大學網(wǎng)絡安全突發(fā)事件應急預案為建立健全學校網(wǎng)絡安全事件應急工作機制，提高應對網(wǎng)絡安全事件能力，預防和減少網(wǎng)絡安全事件造成的損失和危害，保護師生利益，維護學校安全和秩序，根據(jù)《突發(fā)事件應對法》、《網(wǎng)絡安全法》、《國家突發(fā)公共事件總體應急預案》、《突發(fā)事件應急預案管理辦法》和《信息安全技術信息安全事件分類分級指南》等相關規(guī)定，制定本預案。一、網(wǎng)絡安全突發(fā)事件的分類網(wǎng)絡安全突發(fā)事件是指由于人為原因、軟硬件缺陷或故障、自然災害等，對網(wǎng)絡和信息系統(tǒng)或者其中的數(shù)據(jù)造成危害，對社會造成負面影響的事件，可分為有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設備設施故障、災害性事件和其他事件。有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。網(wǎng)絡攻擊事件分為拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡掃描竊聽事件、網(wǎng)絡釣魚事件、干擾事件和其他網(wǎng)絡攻擊事件。信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。信息內(nèi)容安全事件是指通過網(wǎng)絡傳播法律法規(guī)禁止信息，組織非法串聯(lián)、煽動集會游行或炒作敏感問題并危害國家安全、社會穩(wěn)定和公眾利益的事件。設備設施故障分為軟硬件自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。災害性事件是指由自然災害等其他突發(fā)事件導致的網(wǎng)絡安全事件。其他事件是指不能歸為以上分類的網(wǎng)絡安全事件。二、網(wǎng)絡安全突發(fā)事件的分級根據(jù)《國家網(wǎng)絡安全事件應急預案》的規(guī)定，學校網(wǎng)絡安全事件分為四級：特別重大網(wǎng)絡安全事件、重大網(wǎng)絡安全事件、較大網(wǎng)絡安全事件、一般網(wǎng)絡安全事件。符合下列情形之一的，為特別重大網(wǎng)絡安全事件：（1）重要網(wǎng)絡和信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失，造成系統(tǒng)大面積癱瘓，喪失業(yè)務處理能力。（2）國家秘密信息、重要敏感信息和關鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構成特別嚴重威脅。（3）其他對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成特別嚴重威脅、造成特別嚴重影響的網(wǎng)絡安全事件。符合下列情形之一且未達到特別重大網(wǎng)絡安全事件的，為重大網(wǎng)絡安全事件:（1）重要網(wǎng)絡和信息系統(tǒng)遭受嚴重的系統(tǒng)損失，造成系統(tǒng)長時間中斷或局部癱瘓，業(yè)務處理能力受到極大影響。（2）國家秘密信息、重要敏感信息和關鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構成嚴重威脅。（3）其他對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成嚴重威脅、造成嚴重影響的網(wǎng)絡安全事件。符合下列情形之一且未達到重大網(wǎng)絡安全事件的，為較大網(wǎng)絡安全事件：（1）重要網(wǎng)絡和信息系統(tǒng)遭受較大的系統(tǒng)損失，造成系統(tǒng)中斷，明顯影響系統(tǒng)效率，業(yè)務處理能力受到影響。（2）國家秘密信息、重要敏感信息和關鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構成較嚴重威脅。（3）其他對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成較嚴重威脅、造成較嚴重影響的網(wǎng)絡安全事件。除上述情形外，對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成一定威脅、造成一定影響的網(wǎng)絡安全事件，為一般網(wǎng)絡安全事件。三、網(wǎng)絡安全突發(fā)事件的響應根據(jù)網(wǎng)絡安全突發(fā)事件的可控性、嚴重程度和影響范圍，將學校突發(fā)事件的應急響應分為四級：I級（特別重大）、II級（重大）、III級（較大）和W級（一般），I級為最高響應級別。1.1級（特別重大）。主要針對學校重要網(wǎng)絡與信息系統(tǒng)發(fā)生全校性大規(guī)模癱瘓，事態(tài)發(fā)展超出學校的控制能力，對學校安全、秩序和公共利益造成特別嚴重損害的突發(fā)事件的應急響應。II級（重大）。主要針對學校重要網(wǎng)絡與信息系統(tǒng)造成全校性癱瘓，對學校安全、學校秩序和學校公共利益造成嚴重損害，需要跨部門協(xié)同處置的突發(fā)事件的應急響應。3.I級（較大）。主要針對學校某一區(qū)域的重要網(wǎng)絡與信息系統(tǒng)癱瘓，對學校安全、學校秩序和學校公共利益造成一定損害，但不需要跨部門協(xié)同處置的突發(fā)事件的應急響應。4.W級（一般）。主要針對學校重要網(wǎng)絡與信息系統(tǒng)受到一定程度的損壞，對學校師生員工和一些部門的權益有一定影響，但不危害學校安全、學校秩序、學校公共利益的突發(fā)事件的應急響應。四、網(wǎng)絡安全事件應急處理機構及職責在大學網(wǎng)絡安全和信息化建設工作領導小組（以下簡稱“領導小組”）的領導下，網(wǎng)絡信息安全工作辦公室（以下簡稱“網(wǎng)信辦”）統(tǒng)籌協(xié)調(diào)組織全校網(wǎng)絡安全事件應對工作，建立健全跨部門聯(lián)動處置機制，黨委辦公室、黨委宣傳部、安全工作處、信息技術中心等相關部門按照職責分工負責相關網(wǎng)絡安全事件應對工作。必要時成立學校網(wǎng)絡安全事件應急指揮部，負責特別重大網(wǎng)絡安全事件處置的組織指揮和協(xié)調(diào)。五、網(wǎng)絡安全突發(fā)事件處理原則預防為主。立足安全防護，加強預警，重點保護關鍵基礎設施和關系學校安全和穩(wěn)定的重要信息系統(tǒng)、網(wǎng)絡，從預防、監(jiān)控、應急處理、應急保障和打擊犯罪等環(huán)節(jié)，在管理、技術、人才等方面，采取多種措施，充分發(fā)揮各方面的作用，共同構筑全校網(wǎng)絡安全保障體系?？焖俜磻?。在網(wǎng)絡安全突發(fā)事件發(fā)生時，按照快速反應機制，及時獲取充分而準確的信息，跟蹤研判，果斷決策，迅速處置，最大程度地減少危害和影響。分級負責。按照“誰主管，誰負責”和“誰使用，誰負責”的原則，建立和完善安全責任制及聯(lián)動工作機制。根據(jù)部門職能，各司其職，加強學校各單位間的協(xié)調(diào)與配合，形成合力，共同履行應急處置工作的管理職責。以人為本。把保障公共利益以及全校師生員工的合法權益和信息安全作為首要任務，及時采取措施，最大限度地避免學校和師生員工遭受損失。常抓不懈。加強技術儲備，規(guī)范應急處置措施與操作流程，定期進行預案演練，確保應急預案切實有效，實現(xiàn)網(wǎng)絡與信息安全突發(fā)公共事件應急處置的科學化、程序化與規(guī)范化。六、網(wǎng)絡安全突發(fā)事件的報告與處置網(wǎng)絡安全突發(fā)事件發(fā)生并得到確認后，現(xiàn)場人員應立即將有關情況報告信息技術中心，并于1個小時完成《大學網(wǎng)絡安全事件信息報告表》的填寫和上報。網(wǎng)信辦和信息技術中心將協(xié)商決定是否啟動相應應急響應和相關應急預案，一旦啟動應急預案，有關人員應及時到達指定位置。對于I級（特別重大）事件，須直接向?qū)W校黨委書記和校長報告。對于II級（重大）事件須直接向負責網(wǎng)絡安全和信息化建設的主管校長報告。對于III級（較大）事件，須向?qū)W校網(wǎng)信辦主任報告。對于W級（一般）事件須向信息技術中心主任報告。網(wǎng)信辦、信息技術中心相關工作人員第一時間進入應急處置工作狀態(tài)，對相關事件進行跟蹤，密切關注事件動向和輿情態(tài)勢，防止事態(tài)通過網(wǎng)絡向外蔓延，并做好調(diào)查取證、進行現(xiàn)場保護、系統(tǒng)恢復等工作。信息技術中心負責在事件發(fā)生后24小時內(nèi)寫出突發(fā)事件的書面報告，根據(jù)事件嚴重程度按要求、按時限上報。報告應包括以下內(nèi)容：事件發(fā)生時間、地點、內(nèi)容、發(fā)生原因、處理情況及采取的措施，事故報告部門、報告時間等。七、突發(fā)事件應急處置具體措施網(wǎng)站、網(wǎng)頁出現(xiàn)異常的緊急處置措施。（1）各網(wǎng)站、網(wǎng)頁由各部門的管理員隨時密切監(jiān)視信息內(nèi)容。每天早、中、晚三次瀏覽時間不少于一小時。（2）發(fā)現(xiàn)出現(xiàn)異常或非法信息時，負責人員應立即向信息技術中心通報情況。情況緊急的應在3分鐘內(nèi)斷開服務，并取證保留現(xiàn)場，再按程序報告。（3）信息技術中心、工作人員應在接到通知后立即趕到現(xiàn)場，作好必要的記錄，清理非法信息，強化安全防范措施，并將網(wǎng)站、網(wǎng)頁重新投入使用。（4）網(wǎng)站管理員應妥善保存有關記錄及日志或?qū)徲嬘涗?。?）網(wǎng)站管理員應立即追查非法信息來源。（6）情況嚴重的，根據(jù)突發(fā)事件等級和響應級別及時向上級有關部門和領導匯報。黑客攻擊時的緊急處置措施（1）當有關網(wǎng)站管理員發(fā)現(xiàn)網(wǎng)頁內(nèi)容被篡改，或通過入侵檢測系統(tǒng)發(fā)現(xiàn)有黑客正在進行攻擊時，應立即向信息技術中心、通報情況。（2）信息技術中心工作人員應立即將被攻擊的服務器等設備從網(wǎng)絡中隔離出來，保護現(xiàn)場，同時向信息技術中心領導匯報情況。（3）凡加入學校站群系統(tǒng)建站的部門，信息技術中心負責被破壞系統(tǒng)的恢復與重建工作。（4）信息技術中心協(xié)同有關部門共同追查非法信息來源。（5）情況嚴重的，根據(jù)突發(fā)事件等級和響應級別及時向有關上級部門匯報。病毒安全緊急處置措施對發(fā)現(xiàn)的網(wǎng)內(nèi)病毒源通過關閉端口等措施及時進行隔離，并通知感染病毒計算機的使用人進行處理。對于外網(wǎng)進入的網(wǎng)絡病毒應在邊界防火墻、路由器上做針對性地訪問控制。對發(fā)現(xiàn)的攻擊事件應及時進行處理。（1）當發(fā)現(xiàn)有計算機感染病毒時，應立即將該機從網(wǎng)絡上隔離出來。（2）對該設備的硬盤進行數(shù)據(jù)備份。（3）啟用反病毒軟件對該機進行殺毒處理，同時進行病毒檢測軟件對其他機器進行病毒掃描和清除工作。（4）如發(fā)現(xiàn)反病毒軟件無法清除該病毒，應立即向信息技術中心報告。（5）經(jīng)信息技術中心確認確實無法查殺該病毒后，作好相關記錄，并迅速聯(lián)系有關產(chǎn)品廠商研究解決。（6）信息技術中心經(jīng)會商后，認為情況極為嚴重，根據(jù)突發(fā)事件等級和響應級別及時向有關上級部門匯報。信息系統(tǒng)遭受破壞性攻擊的緊急處置措施（1）重要的信息系統(tǒng)平時必須存有備份，與信息系統(tǒng)相對應的數(shù)據(jù)必須有多日備份，并將它們保存于安全處。（2）一旦信息系統(tǒng)遭到破壞性攻擊，應立即向信息技術中心報告，并馬上將信息系統(tǒng)從網(wǎng)絡上斷開，必要時可停止系統(tǒng)運行。（3）信息技術中心將協(xié)助做好軟件系統(tǒng)和數(shù)據(jù)的恢復。（4）信息技術中心協(xié)助檢查日志等資料，確認攻擊來源。（5）情況極為嚴重的，根據(jù)突發(fā)事件等級和響應級別及時向有關上級部門匯報。數(shù)據(jù)庫安全緊急處置措施（1）各數(shù)據(jù)庫系統(tǒng)要至少準備兩個以上數(shù)據(jù)庫備份。（2）一旦發(fā)現(xiàn)數(shù)據(jù)庫崩潰，應立即向信息技術中心報告。（3）信息技術中心對主機系統(tǒng)進行檢測維修，如遇無法解決的問題，立即向軟硬件提供商請求支援。（4）系統(tǒng)修復啟動后，將第一個數(shù)據(jù)庫備份取出，按照要求將其恢復到主機系統(tǒng)中。（5）如因第一個備份損壞，導致數(shù)據(jù)庫無法恢復，則應取出第二套數(shù)據(jù)庫備份加以恢復。（6）如果兩個備份均無法恢復，應立即向有關廠商請求緊急支援。廣域網(wǎng)外部線路中斷緊急處置措施（1）網(wǎng)絡管理員接到報告后，應迅速判斷故障節(jié)點，查明故障原因。（2）廣域網(wǎng)任意線路中斷后，網(wǎng)絡管理員應立即啟動相關預案，切換線路盡快恢復網(wǎng)絡服務，同時向信息技術中心領導報告。（3）如屬我方管轄范圍，由網(wǎng)絡管理員立即予以恢復。如遇無法恢復情況，立即向有關網(wǎng)絡設備廠商請求支援。（4）如屬電信部門管轄范圍，立即與電信維護部門聯(lián)系，請求限時修復。（5）如果多條出口線路同時中斷，網(wǎng)絡管理員應在判斷故障節(jié)點，查明故障原因后，盡快研究恢復措施，根據(jù)突發(fā)事件等級和響應級別及時向有關上級部門匯報。（6）經(jīng)信息技術中心領導同意后，在學校網(wǎng)首頁等發(fā)布通知說明原因。局域網(wǎng)中斷緊急處置措施（1）局域網(wǎng)中斷后，網(wǎng)絡管理員應立即判斷故障節(jié)點，查明故障原因，并向信息技術中心領導匯報。（2）如屬線路故障，對具備備用線路的，應重新調(diào)整線路，對不具備備用線路的，通告斷網(wǎng)區(qū)域內(nèi)用戶、聯(lián)系維修事宜，并向信息技術中心領導匯報。（3）如屬路由器、交換機等網(wǎng)絡設備故障，有備用設備的，應立即更換備用設備并調(diào)試暢通，并與設備提供商聯(lián)系申請維修設備。沒有備用設備的，通告斷網(wǎng)區(qū)域內(nèi)用戶、與設備提供商聯(lián)系申請維修，并向信息技術中心領導匯報。（4）如屬路由器、交換機配置文件破壞，應迅速按照要求重新配置，并調(diào)試暢通。如遇無法解決的技術問題，立即向有關廠商請求支援。（5）情況嚴重的，根據(jù)突發(fā)事件等級和響應級別及時向有關上級部門匯報。設備安全緊急處置措施（1）服務器等關鍵設備損壞后，有關管理人員應立即查明原因，向信息技術中心匯報。（2）如果能夠自行恢復，應立即用備件替換受損部件。（3）如果不能自行恢復的，立即與設備提供商聯(lián)系，請求派維修人員前來維修。（4）如果設備一時不能修復，應向網(wǎng)信辦匯報，并告知各相關單位，停止相關服務。人員疏散與機房滅火預案（1）一旦機房發(fā)生火災，應遵照下列原則：首先保人員安全；其次保關鍵設備、數(shù)據(jù)安全；三是保一般設備安全。（2）人員疏散的程序是：機房工作人員立即按響火警警報，并通過119電話向公安消防請求支援，所有不參與滅火的人員按照疏散線路迅速從機房中撤出。（3）人員滅火的程序是：首先切斷所有電源，啟動自動噴淋系統(tǒng)，滅火值班人員戴好防毒面具等相關防護設備，從指定位置取出滅火器材進行滅火。外電中斷后的設備（1）外電中斷后，機房管理員應立即檢查備用電源切換狀態(tài)，確保備用電源運行正常。（2）機房管理員員應立即查明原因，并向領導匯報。（3）如因?qū)W校內(nèi)部線路故障，請學校有關部門迅速恢復。（4）如果是供電局的原因，應立即與供電局聯(lián)系，了解原因，并要求供電局迅速恢復供電。（5）如果由供電局告知需停電的，預計停電5小時以內(nèi)，由UPS供電。時間過長的，應向?qū)W校領導