大學(xué)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案

大學(xué)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案為建立健全學(xué)校網(wǎng)絡(luò)安全事件應(yīng)急工作機制，提高應(yīng)對網(wǎng)絡(luò)安全事件能力，預(yù)防和減少網(wǎng)絡(luò)安全事件造成的損失和危害，保護師生利益，維護學(xué)校安全和秩序，根據(jù)《突發(fā)事件應(yīng)對法》、《網(wǎng)絡(luò)安全法》、《國家突發(fā)公共事件總體應(yīng)急預(yù)案》、《突發(fā)事件應(yīng)急預(yù)案管理辦法》和《信息安全技術(shù)信息安全事件分類分級指南》等相關(guān)規(guī)定，制定本預(yù)案。一、網(wǎng)絡(luò)安全突發(fā)事件的分類網(wǎng)絡(luò)安全突發(fā)事件是指由于人為原因、軟硬件缺陷或故障、自然災(zāi)害等，對網(wǎng)絡(luò)和信息系統(tǒng)或者其中的數(shù)據(jù)造成危害，對社會造成負面影響的事件，可分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他事件。有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。信息內(nèi)容安全事件是指通過網(wǎng)絡(luò)傳播法律法規(guī)禁止信息，組織非法串聯(lián)、煽動集會游行或炒作敏感問題并危害國家安全、社會穩(wěn)定和公眾利益的事件。設(shè)備設(shè)施故障分為軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。災(zāi)害性事件是指由自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)安全事件。其他事件是指不能歸為以上分類的網(wǎng)絡(luò)安全事件。二、網(wǎng)絡(luò)安全突發(fā)事件的分級根據(jù)《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的規(guī)定，學(xué)校網(wǎng)絡(luò)安全事件分為四級：特別重大網(wǎng)絡(luò)安全事件、重大網(wǎng)絡(luò)安全事件、較大網(wǎng)絡(luò)安全事件、一般網(wǎng)絡(luò)安全事件。符合下列情形之一的，為特別重大網(wǎng)絡(luò)安全事件：（1）重要網(wǎng)絡(luò)和信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失，造成系統(tǒng)大面積癱瘓，喪失業(yè)務(wù)處理能力。（2）國家秘密信息、重要敏感信息和關(guān)鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構(gòu)成特別嚴重威脅。（3）其他對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益構(gòu)成特別嚴重威脅、造成特別嚴重影響的網(wǎng)絡(luò)安全事件。符合下列情形之一且未達到特別重大網(wǎng)絡(luò)安全事件的，為重大網(wǎng)絡(luò)安全事件:（1）重要網(wǎng)絡(luò)和信息系統(tǒng)遭受嚴重的系統(tǒng)損失，造成系統(tǒng)長時間中斷或局部癱瘓，業(yè)務(wù)處理能力受到極大影響。（2）國家秘密信息、重要敏感信息和關(guān)鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構(gòu)成嚴重威脅。（3）其他對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益構(gòu)成嚴重威脅、造成嚴重影響的網(wǎng)絡(luò)安全事件。符合下列情形之一且未達到重大網(wǎng)絡(luò)安全事件的，為較大網(wǎng)絡(luò)安全事件：（1）重要網(wǎng)絡(luò)和信息系統(tǒng)遭受較大的系統(tǒng)損失，造成系統(tǒng)中斷，明顯影響系統(tǒng)效率，業(yè)務(wù)處理能力受到影響。（2）國家秘密信息、重要敏感信息和關(guān)鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構(gòu)成較嚴重威脅。（3）其他對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益構(gòu)成較嚴重威脅、造成較嚴重影響的網(wǎng)絡(luò)安全事件。除上述情形外，對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益構(gòu)成一定威脅、造成一定影響的網(wǎng)絡(luò)安全事件，為一般網(wǎng)絡(luò)安全事件。三、網(wǎng)絡(luò)安全突發(fā)事件的響應(yīng)根據(jù)網(wǎng)絡(luò)安全突發(fā)事件的可控性、嚴重程度和影響范圍，將學(xué)校突發(fā)事件的應(yīng)急響應(yīng)分為四級：I級（特別重大）、II級（重大）、III級（較大）和W級（一般），I級為最高響應(yīng)級別。1.1級（特別重大）。主要針對學(xué)校重要網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生全校性大規(guī)模癱瘓，事態(tài)發(fā)展超出學(xué)校的控制能力，對學(xué)校安全、秩序和公共利益造成特別嚴重損害的突發(fā)事件的應(yīng)急響應(yīng)。II級（重大）。主要針對學(xué)校重要網(wǎng)絡(luò)與信息系統(tǒng)造成全校性癱瘓，對學(xué)校安全、學(xué)校秩序和學(xué)校公共利益造成嚴重損害，需要跨部門協(xié)同處置的突發(fā)事件的應(yīng)急響應(yīng)。3.I級（較大）。主要針對學(xué)校某一區(qū)域的重要網(wǎng)絡(luò)與信息系統(tǒng)癱瘓，對學(xué)校安全、學(xué)校秩序和學(xué)校公共利益造成一定損害，但不需要跨部門協(xié)同處置的突發(fā)事件的應(yīng)急響應(yīng)。4.W級（一般）。主要針對學(xué)校重要網(wǎng)絡(luò)與信息系統(tǒng)受到一定程度的損壞，對學(xué)校師生員工和一些部門的權(quán)益有一定影響，但不危害學(xué)校安全、學(xué)校秩序、學(xué)校公共利益的突發(fā)事件的應(yīng)急響應(yīng)。四、網(wǎng)絡(luò)安全事件應(yīng)急處理機構(gòu)及職責(zé)在大學(xué)網(wǎng)絡(luò)安全和信息化建設(shè)工作領(lǐng)導(dǎo)小組（以下簡稱“領(lǐng)導(dǎo)小組”）的領(lǐng)導(dǎo)下，網(wǎng)絡(luò)信息安全工作辦公室（以下簡稱“網(wǎng)信辦”）統(tǒng)籌協(xié)調(diào)組織全校網(wǎng)絡(luò)安全事件應(yīng)對工作，建立健全跨部門聯(lián)動處置機制，黨委辦公室、黨委宣傳部、安全工作處、信息技術(shù)中心等相關(guān)部門按照職責(zé)分工負責(zé)相關(guān)網(wǎng)絡(luò)安全事件應(yīng)對工作。必要時成立學(xué)校網(wǎng)絡(luò)安全事件應(yīng)急指揮部，負責(zé)特別重大網(wǎng)絡(luò)安全事件處置的組織指揮和協(xié)調(diào)。五、網(wǎng)絡(luò)安全突發(fā)事件處理原則預(yù)防為主。立足安全防護，加強預(yù)警，重點保護關(guān)鍵基礎(chǔ)設(shè)施和關(guān)系學(xué)校安全和穩(wěn)定的重要信息系統(tǒng)、網(wǎng)絡(luò)，從預(yù)防、監(jiān)控、應(yīng)急處理、應(yīng)急保障和打擊犯罪等環(huán)節(jié)，在管理、技術(shù)、人才等方面，采取多種措施，充分發(fā)揮各方面的作用，共同構(gòu)筑全校網(wǎng)絡(luò)安全保障體系。快速反應(yīng)。在網(wǎng)絡(luò)安全突發(fā)事件發(fā)生時，按照快速反應(yīng)機制，及時獲取充分而準確的信息，跟蹤研判，果斷決策，迅速處置，最大程度地減少危害和影響。分級負責(zé)。按照“誰主管，誰負責(zé)”和“誰使用，誰負責(zé)”的原則，建立和完善安全責(zé)任制及聯(lián)動工作機制。根據(jù)部門職能，各司其職，加強學(xué)校各單位間的協(xié)調(diào)與配合，形成合力，共同履行應(yīng)急處置工作的管理職責(zé)。以人為本。把保障公共利益以及全校師生員工的合法權(quán)益和信息安全作為首要任務(wù)，及時采取措施，最大限度地避免學(xué)校和師生員工遭受損失。常抓不懈。加強技術(shù)儲備，規(guī)范應(yīng)急處置措施與操作流程，定期進行預(yù)案演練，確保應(yīng)急預(yù)案切實有效，實現(xiàn)網(wǎng)絡(luò)與信息安全突發(fā)公共事件應(yīng)急處置的科學(xué)化、程序化與規(guī)范化。六、網(wǎng)絡(luò)安全突發(fā)事件的報告與處置網(wǎng)絡(luò)安全突發(fā)事件發(fā)生并得到確認后，現(xiàn)場人員應(yīng)立即將有關(guān)情況報告信息技術(shù)中心，并于1個小時完成《大學(xué)網(wǎng)絡(luò)安全事件信息報告表》的填寫和上報。網(wǎng)信辦和信息技術(shù)中心將協(xié)商決定是否啟動相應(yīng)應(yīng)急響應(yīng)和相關(guān)應(yīng)急預(yù)案，一旦啟動應(yīng)急預(yù)案，有關(guān)人員應(yīng)及時到達指定位置。對于I級（特別重大）事件，須直接向?qū)W校黨委書記和校長報告。對于II級（重大）事件須直接向負責(zé)網(wǎng)絡(luò)安全和信息化建設(shè)的主管校長報告。對于III級（較大）事件，須向?qū)W校網(wǎng)信辦主任報告。對于W級（一般）事件須向信息技術(shù)中心主任報告。網(wǎng)信辦、信息技術(shù)中心相關(guān)工作人員第一時間進入應(yīng)急處置工作狀態(tài)，對相關(guān)事件進行跟蹤，密切關(guān)注事件動向和輿情態(tài)勢，防止事態(tài)通過網(wǎng)絡(luò)向外蔓延，并做好調(diào)查取證、進行現(xiàn)場保護、系統(tǒng)恢復(fù)等工作。信息技術(shù)中心負責(zé)在事件發(fā)生后24小時內(nèi)寫出突發(fā)事件的書面報告，根據(jù)事件嚴重程度按要求、按時限上報。報告應(yīng)包括以下內(nèi)容：事件發(fā)生時間、地點、內(nèi)容、發(fā)生原因、處理情況及采取的措施，事故報告部門、報告時間等。七、突發(fā)事件應(yīng)急處置具體措施網(wǎng)站、網(wǎng)頁出現(xiàn)異常的緊急處置措施。（1）各網(wǎng)站、網(wǎng)頁由各部門的管理員隨時密切監(jiān)視信息內(nèi)容。每天早、中、晚三次瀏覽時間不少于一小時。（2）發(fā)現(xiàn)出現(xiàn)異常或非法信息時，負責(zé)人員應(yīng)立即向信息技術(shù)中心通報情況。情況緊急的應(yīng)在3分鐘內(nèi)斷開服務(wù)，并取證保留現(xiàn)場，再按程序報告。（3）信息技術(shù)中心、工作人員應(yīng)在接到通知后立即趕到現(xiàn)場，作好必要的記錄，清理非法信息，強化安全防范措施，并將網(wǎng)站、網(wǎng)頁重新投入使用。（4）網(wǎng)站管理員應(yīng)妥善保存有關(guān)記錄及日志或?qū)徲嬘涗?。?）網(wǎng)站管理員應(yīng)立即追查非法信息來源。（6）情況嚴重的，根據(jù)突發(fā)事件等級和響應(yīng)級別及時向上級有關(guān)部門和領(lǐng)導(dǎo)匯報。黑客攻擊時的緊急處置措施（1）當有關(guān)網(wǎng)站管理員發(fā)現(xiàn)網(wǎng)頁內(nèi)容被篡改，或通過入侵檢測系統(tǒng)發(fā)現(xiàn)有黑客正在進行攻擊時，應(yīng)立即向信息技術(shù)中心、通報情況。（2）信息技術(shù)中心工作人員應(yīng)立即將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來，保護現(xiàn)場，同時向信息技術(shù)中心領(lǐng)導(dǎo)匯報情況。（3）凡加入學(xué)校站群系統(tǒng)建站的部門，信息技術(shù)中心負責(zé)被破壞系統(tǒng)的恢復(fù)與重建工作。（4）信息技術(shù)中心協(xié)同有關(guān)部門共同追查非法信息來源。（5）情況嚴重的，根據(jù)突發(fā)事件等級和響應(yīng)級別及時向有關(guān)上級部門匯報。病毒安全緊急處置措施對發(fā)現(xiàn)的網(wǎng)內(nèi)病毒源通過關(guān)閉端口等措施及時進行隔離，并通知感染病毒計算機的使用人進行處理。對于外網(wǎng)進入的網(wǎng)絡(luò)病毒應(yīng)在邊界防火墻、路由器上做針對性地訪問控制。對發(fā)現(xiàn)的攻擊事件應(yīng)及時進行處理。（1）當發(fā)現(xiàn)有計算機感染病毒時，應(yīng)立即將該機從網(wǎng)絡(luò)上隔離出來。（2）對該設(shè)備的硬盤進行數(shù)據(jù)備份。（3）啟用反病毒軟件對該機進行殺毒處理，同時進行病毒檢測軟件對其他機器進行病毒掃描和清除工作。（4）如發(fā)現(xiàn)反病毒軟件無法清除該病毒，應(yīng)立即向信息技術(shù)中心報告。（5）經(jīng)信息技術(shù)中心確認確實無法查殺該病毒后，作好相關(guān)記錄，并迅速聯(lián)系有關(guān)產(chǎn)品廠商研究解決。（6）信息技術(shù)中心經(jīng)會商后，認為情況極為嚴重，根據(jù)突發(fā)事件等級和響應(yīng)級別及時向有關(guān)上級部門匯報。信息系統(tǒng)遭受破壞性攻擊的緊急處置措施（1）重要的信息系統(tǒng)平時必須存有備份，與信息系統(tǒng)相對應(yīng)的數(shù)據(jù)必須有多日備份，并將它們保存于安全處。（2）一旦信息系統(tǒng)遭到破壞性攻擊，應(yīng)立即向信息技術(shù)中心報告，并馬上將信息系統(tǒng)從網(wǎng)絡(luò)上斷開，必要時可停止系統(tǒng)運行。（3）信息技術(shù)中心將協(xié)助做好軟件系統(tǒng)和數(shù)據(jù)的恢復(fù)。（4）信息技術(shù)中心協(xié)助檢查日志等資料，確認攻擊來源。（5）情況極為嚴重的，根據(jù)突發(fā)事件等級和響應(yīng)級別及時向有關(guān)上級部門匯報。數(shù)據(jù)庫安全緊急處置措施（1）各數(shù)據(jù)庫系統(tǒng)要至少準備兩個以上數(shù)據(jù)庫備份。（2）一旦發(fā)現(xiàn)數(shù)據(jù)庫崩潰，應(yīng)立即向信息技術(shù)中心報告。（3）信息技術(shù)中心對主機系統(tǒng)進行檢測維修，如遇無法解決的問題，立即向軟硬件提供商請求支援。（4）系統(tǒng)修復(fù)啟動后，將第一個數(shù)據(jù)庫備份取出，按照要求將其恢復(fù)到主機系統(tǒng)中。（5）如因第一個備份損壞，導(dǎo)致數(shù)據(jù)庫無法恢復(fù)，則應(yīng)取出第二套數(shù)據(jù)庫備份加以恢復(fù)。（6）如果兩個備份均無法恢復(fù)，應(yīng)立即向有關(guān)廠商請求緊急支援。廣域網(wǎng)外部線路中斷緊急處置措施（1）網(wǎng)絡(luò)管理員接到報告后，應(yīng)迅速判斷故障節(jié)點，查明故障原因。（2）廣域網(wǎng)任意線路中斷后，網(wǎng)絡(luò)管理員應(yīng)立即啟動相關(guān)預(yù)案，切換線路盡快恢復(fù)網(wǎng)絡(luò)服務(wù)，同時向信息技術(shù)中心領(lǐng)導(dǎo)報告。（3）如屬我方管轄范圍，由網(wǎng)絡(luò)管理員立即予以恢復(fù)。如遇無法恢復(fù)情況，立即向有關(guān)網(wǎng)絡(luò)設(shè)備廠商請求支援。（4）如屬電信部門管轄范圍，立即與電信維護部門聯(lián)系，請求限時修復(fù)。（5）如果多條出口線路同時中斷，網(wǎng)絡(luò)管理員應(yīng)在判斷故障節(jié)點，查明故障原因后，盡快研究恢復(fù)措施，根據(jù)突發(fā)事件等級和響應(yīng)級別及時向有關(guān)上級部門匯報。（6）經(jīng)信息技術(shù)中心領(lǐng)導(dǎo)同意后，在學(xué)校網(wǎng)首頁等發(fā)布通知說明原因。局域網(wǎng)中斷緊急處置措施（1）局域網(wǎng)中斷后，網(wǎng)絡(luò)管理員應(yīng)立即判斷故障節(jié)點，查明故障原因，并向信息技術(shù)中心領(lǐng)導(dǎo)匯報。（2）如屬線路故障，對具備備用線路的，應(yīng)重新調(diào)整線路，對不具備備用線路的，通告斷網(wǎng)區(qū)域內(nèi)用戶、聯(lián)系維修事宜，并向信息技術(shù)中心領(lǐng)導(dǎo)匯報。（3）如屬路由器、交換機等網(wǎng)絡(luò)設(shè)備故障，有備用設(shè)備的，應(yīng)立即更換備用設(shè)備并調(diào)試暢通，并與設(shè)備提供商聯(lián)系申請維修設(shè)備。沒有備用設(shè)備的，通告斷網(wǎng)區(qū)域內(nèi)用戶、與設(shè)備提供商聯(lián)系申請維修，并向信息技術(shù)中心領(lǐng)導(dǎo)匯報。（4）如屬路由器、交換機配置文件破壞，應(yīng)迅速按照要求重新配置，并調(diào)試暢通。如遇無法解決的技術(shù)問題，立即向有關(guān)廠商請求支援。（5）情況嚴重的，根據(jù)突發(fā)事件等級和響應(yīng)級別及時向有關(guān)上級部門匯報。設(shè)備安全緊急處置措施（1）服務(wù)器等關(guān)鍵設(shè)備損壞后，有關(guān)管理人員應(yīng)立即查明原因，向信息技術(shù)中心匯報。（2）如果能夠自行恢復(fù)，應(yīng)立即用備件替換受損部件。（3）如果不能自行恢復(fù)的，立即與設(shè)備提供商聯(lián)系，請求派維修人員前來維修。（4）如果設(shè)備一時不能修復(fù)，應(yīng)向網(wǎng)信辦匯報，并告知各相關(guān)單位，停止相關(guān)服務(wù)。人員疏散與機房滅火預(yù)案（1）一旦機房發(fā)生火災(zāi)，應(yīng)遵照下列原則：首先保人員安全；其次保關(guān)鍵設(shè)備、數(shù)據(jù)安全；三是保一般設(shè)備安全。（2）人員疏散的程序是：機房工作人員立即按響火警警報，并通過119電話向公安消防請求支援，所有不參與滅火的人員按照疏散線路迅速從機房中撤出。（3）人員滅火的程序是：首先切斷所有電源，啟動自動噴淋系統(tǒng)，滅火值班人員戴好防毒面具等相關(guān)防護設(shè)備，從指定位置取出滅火器材進行滅火。外電中斷后的設(shè)備（1）外電中斷后，機房管理員應(yīng)立即檢查備用電源切換狀態(tài)，確保備用電源運行正常。（2）機房管理員員應(yīng)立即查明原因，并向領(lǐng)導(dǎo)匯報。（3）如因?qū)W校內(nèi)部線路故障，請學(xué)校有關(guān)部門迅速恢復(fù)。（4）如果是供電局的原因，應(yīng)立即與供電局聯(lián)系，了解原因，并要求供電局迅速恢復(fù)供電。（5）如果由供電局告知需停電的，預(yù)計停電5小時以內(nèi)，由UPS供電。時間過長的，應(yīng)向?qū)W校領(lǐng)導(dǎo)