附件五

网络和信息安全类突发事件应急处置预案

一、适用范围

本预案根据《国家突发公共事件总体应急预案》制定。

本预案适用于校内网络与信息安全突发事件的应急处理。

本预案所指网络与信息安全突发事件是指与我校校园网络有关的、可能造成不良后果的事件，主要包括以下几类：

1.校园网出现大面积影响稳定或宣扬色情的有害信息。

2.存有保密性或其他珍贵资料的计算机系统受到入侵。

3.校园网受到大量病毒、黑客程序或其他恶意程序的攻击，影响校园网的正常运转。

4.校园网受到大面积垃圾邮件的骚扰。

5.校园网出现严重硬件故障，危及校园网的安全运行。

二、预防和预警机制措施

（一）预防预警信息

指挥部办公室通过实时监测校园网，以及与上级教育主管部门或其他政府部门交流收集安全信息等手段获得安全预警信息，及时发现校园网异常状态和发展趋势，并周期性、即时性地，向各院系、部门发布主要异常流量来源单位，可能招致攻击的网络互联设备和计算机的安全漏洞，网络蠕虫病毒的动态变化趋势统计等预警信息。

（二）预防预警行动

网络和信息安全预防措施包括分析安全风险、准备应急处理措施，建立网络和信息系统的监测体系，控制有害信息的传播，预先制订信息安全重大事件的通报机制，预防预警工作由指挥部办公室负责组织实施。

1.网络和信息安全风险分类。

校园网面临的网络和信息安全风险一般包括：

关键设备或系统的故障；自然灾害（水、火、电等）造成的物理破坏；人为失误造成安全事件；病毒蠕虫等恶意代码危害；人为的恶意攻击（包括拒绝服务、系统入侵、改主页、窃取敏感信息、散布有害信息等）。

2.应急准备

校党委和宣传部、校网络信息中心负责管理校园网，指挥部办公室应做出校园网管理对象和相应风险列表文档，并负责安排全校性的网络应急值班。

各院系、部门按指挥部办公室要求安排网络应急值班，并将值班安排上报指挥部办公室。确保到岗到位，联络畅通，处理及时准确。

3.具体措施。

（1）物理环境。

建立落实管理制度和技术防范措施，建立安全、可靠、稳定运行的机房环境，并落实以下预防措施：

防火、防盗、防雷电、防水、防静电、防尘，对运行关键部位实施全天候保卫。禁止任何非授权人员进入。

建立备份电源系统，并定期检查系统是否能够正常工作。

建立重大安全事件发生时的人员疏散机制。

对所有人员进行防火、防盗等基本技能进行培训。

（2）网络设备和通信线路。

核心设备和线路备份，避免单点故障。

核实路由器操作系统安全、打过补丁。

禁止未授权访问，授予管理员不同权限，关闭非必要服务。

采用认证方式避免非法接入和虚假路由信息。

实时监视和入侵监测，及时排除故障、处理攻击。

保证足够带宽，防止突发流量造成拥塞导致网络瘫痪。

（3）计算机系统

重要系统采用高可靠硬件、稳定软件、备份等措施，落实数据备份机制，遵守安全操作规范：

安装稳定的操作系统和最新补丁，并定期更新。

关闭所有不必要服务、账号安装有效的防病毒软件，并及时更新病毒定义码。

严格限制内部用户的访问权限。

对用户和管理员进行安全技术培训。

对关键系统实施全时动态监测。

对重要的数据定期备份。

（4）重要的信息系统

重要的信息服务实行登记备案制度

建立严格的信息上网审查制度

为避免域名系统的单点故障，建立至少主铺备份，并分布在不同的子网网络，并严格配置主机系统安全。

对于单位或部门的主页，除了严格配置主机系统安全以外，应该建立防火墙保护主机的安全。

对有重大影响的信息系统，建立全天候实时监控机制，及时发现并解决问题。

（5）各级网络边界控制

在各单位局域网边界建立防火墙，在重大安全事件爆发时可以实施访问控制。

在邮件服务器前配置反病毒和反垃圾邮件网关。

安装入侵检测系统，监测攻击、病毒和蠕虫的发展，及时发现重大安全攻击事件。

控制有害信息经过网络的传播，建立网关控制，内容过滤等控制手段。

4.报告

校内各院系、部门发生网络与信息安全事件后，应立即向指挥部办公室或领导小组办公室、保卫处报告，指挥部办公室立即启动安全事件处理流程，分析、定位事件的来源和危害程度，必要时应向政府有关部门和教育主管部门报告。

一般网络和信息安全事件在校内报警并做相关处理。对于造成全校性影响的重大事件，应视必要程度向政府有关部门和教育主管部门报告、

一般安全事件，可向入侵者所在的网络管理员投诉；严重安全危害事件（如造成重大经济损失，涉及破坏国家信息安全的反动政治言论），应及时消除，保留证据，并向指挥部办公室报告，请示进一步处理的决策，必要时指挥部办公室立即向教育主管部门、公安网监部门、信息产业部门、电力主管部门等有关政府部门报告。

三、应急响应

（一）分级响应程序

校园网运行正常与否的主要特征是网络整体是否正常。按此标准制定安全事件的严重等级：

1.I级事件。

国际国内形势发生重大变化，或发生直接涉及学校的重大突发事件，校园网上充斥着大量有害信息，形成全局性热点，严重影响学校和社会稳定；或校园网与外部的连接、校园内主干网络中断，甚至是全部中断超过8小时。

1. Ⅱ级事件。

   校园网上出现一定数量的有害信息，形成局部热点，有煽动性信息出现，已形成不稳定因素：或校园网与外部的连接、校园内主干网络中断，甚至是全部中断超过2小时，小于8小时。

   3.Ⅲ级事件。

   校园网上出现个别或少量的有害信息，尚未形成热点，有可能形成不稳定因素；或校园网与外部的连接、校园内主干网络中断，甚至是全部中断超过30分钟，小于2小时。

   （二）网络环境安全事件的应急处置

   网络环境安全相关事件由指挥部办公室负责处置，对火灾、盗窃、破坏等紧急事件按照国家消防有关法律法规、学校有关规定处理，影响网络运行和信息安全的重大事件由指挥部统一指挥处置。

   遇供电相关紧急事件，由指挥部指派动力中心和网络与信息中心作紧急现场处置，根据停电时间、用电功耗、电池电能储备、供电管理部门信息、网络和信息运行情况等条件做调度，包括次要系统停电减轻负载等措施，密切跟踪参数变化并反馈调整控制，必要时联系相关公司和人员做现场维护。

   （三）网络运行事件处置

   网络运行相关事件由网络与信息中心负责，重大事件立即向指挥部办公室报告。事件包括：线路中断、路由故障、流量异常、域名系统故障等。

   （四）网络攻击事件处置

   由网络与信息中心按其内部部门分工和应急流程处置。对于大规模、影响较大的恶意移动代码、拒绝服务攻击、系统入侵和端口扫描处置：

   1.通知指挥部办公室，决定上报或通报。

   2.按预案通知相关管理员采取措施，或直接实施控制。

   3.处置人员记录事件处理步骤和结果，总结报告。

   （五）信息安全事件处置

   完善网络信息安全重大事件的通报机制。学校党委宣传部和网络信息中心对全校网络站点信息负有监控责任，安排日常值班和应急值班，确保发生重大突发事件时人员到岗到位，通讯联络畅通，处理及时准确。

   发生信息安全事件应紧急通知相关院系、部门信息主管负责人或指挥部办公室，及时消除非法信息，恢复系统。无法迅速消除或恢复系统、影响较大时实施紧急关闭，并紧急上报。

   处理有害信息的基本程序为：发现、取证、研判、协调、删除。对中央有关部门、省级互联网管理部门认定的重大有害信息，要启动快速处理程序，在处理过程中可边研判、边取证、边处置，确保有害信息扩散最小化。

   四、工作措施

   （一）网络与信息安全突发事件的应急准备。

   1.校计算机信息网络国际联网安全管理领导小组办公室和网络信息中心负责校园网络的日常管理和维护，网络信息安全法律法规的宣传与教育工作。

   2.多形式、多渠道加强对师生员工的网络信息安全教育和保密教育，提高师生员工的网络信息安全意识和保密意识。

   3.建立健全信息安全、保密制度，严格对校园网内交互式信息发布系统（主要是校园BBS）的管理。

   4.校计算机信息网络国际联网安全管理领导小组办公室加强对校园网内有害信息的监控，和正面信息的宣传、引导。

   5.网络信息中心负责对各院系、部门定期进行计算机系统安全检查，对不符合网络信息安全标准的计算机系统及时采取技术上的补救措施。

   6.网络信息中心在技术上加强保障，严密防范利用校园BBS等交互式信息发布系统或群发电子邮件的方式，进行反动宣传、反动活动；组织好技术应急队伍，确保校园网重点网站、办公平台、交互式信息发布系统，免受病毒感染、黑客攻击等恶性攻击，或在受攻击时，能够在最短的时间内恢复正常运行，把损失和影响减少到最低程度。

   （二）网络与信息安全突发事件的应急处理

   1.I级事件应急处理措施：发生1级事件，指挥部要立即向省教育厅应急小组报告，并按网络有害信息处理原则和程序进行处置，及时取证并删除有害信息，并将情况通报省公安厅、市公安局网监处，请求协助处置。处理时间按限时要求执行。其中，对涉及意识形态内容和社会稳定的有害信息，在按要求处置的同时，迅速报告省委宣传部。指挥部在做好有害信息处置的同时，要做好师生的思想工作，稳定师生情绪，防止被敌对势力和敌对分子利用。

   2.Ⅱ级事件应急处置措施：发生Ⅱ级事件，指挥部要及时将情况报告省教育厅应急小组及省公安厅、市公安局网监处，根据上级部门指示及时做好取证工作并删除有害信息同时积极做好师生思想工作，稳定师生情绪。

   3.Ⅲ级事件应急处置措施：发生Ⅲ级事件时，指挥部要及时将情况报告省教育厅应急小组，并做好取证工作，删除有害信息。针对有害信息反映的内容，有针对性地做好师生的思想工作。

   4.如出现网络舆论失控的情况，应立即请示网络与信息安全突发事件指挥部，由指挥部决定是否关闭校园网络服务器。

   5.校园网出现病毒、黑客入侵及其他恶意攻击时，由网络中心负责组织技术力量进行反黑、杀毒，并恢复网络正常运行。

   6.教育疏导组负责正确把握网络宣传导向，及时做好宣传教育工作。

   7.如校园网出现严重硬件故障，网络信息中心迅速组织技术力量抢修，保证校园网尽快恢复正常运行。

   五、应急保障

   （一）组织保障

   指挥部统一协调处理校园网网络与信息安全突发事件。指挥部办公室设在校网络信息中心，负责指挥部日常工作，以及与各院系、部门网络管理人员的安全管理协调与沟通。

   （二）通信保障

   指挥部办公室负责搜集指挥部内部，以及与校内其他相关院系、部门的应急联络信息；搜集与教育主管部门、国家安全管理、信息产业、公安网监部门及其他政府部门的联络信息。

   上述联络信息需及时更新，确保应急联络渠道畅通。

   （三）环境保障

   指挥部办公室负责建立并保持全校电力、空调、机房等网络安全运行基本环境，并负责周期性检查各院系、部门网络运行安全环境要求的落实情况。

   （四）技术保障

   指挥部办公室应建立起符合要求的网络与信息安全保障技术支持力量，并对各院系部门的网络与信息安全保障工作提供技术支持和培训服务。

   六、善后和恢复

   指挥部对网络和信息安全突发事件，除在事发时按安全管理要求进行应急处置和上报外，还应对重大事件做总结报告，上报教育主管部门。指挥部办公室根据应急处置中暴露的管理、协调和技术等问题，改进和完善预案，并实施针对性演练。