學院網(wǎng)絡(luò)與信息安全事件應(yīng)急預案

學院網(wǎng)絡(luò)與信息安全事件應(yīng)急預案1總則1.1編制目的為提高學校應(yīng)對網(wǎng)絡(luò)與信息安全突發(fā)事件的能力，建立健全科學、有效、反應(yīng)迅速的網(wǎng)絡(luò)信息安全監(jiān)測和應(yīng)急工作機制，預防和減少網(wǎng)絡(luò)與信息安全突發(fā)事件的危害，維護學校安全穩(wěn)定和教學工作秩序，特制定本預案。1.2編制依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國突發(fā)事件應(yīng)對法》、《國家網(wǎng)絡(luò)安全事件應(yīng)急預案》、《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》、《關(guān)于信息安全等級保護工作的實施意見》、《關(guān)于開展信息安全風險評估工作的意見》、《國家突發(fā)事件總體應(yīng)急預案》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)管理暫行規(guī)定》、《信息安全事件分類分級指南》（GB/Z20986-2007）等相關(guān)規(guī)定。1.3適用范圍本預案適用于我校的網(wǎng)絡(luò)與信息安全突發(fā)事件，指導全校網(wǎng)絡(luò)與信息安全突發(fā)事件的應(yīng)對處置工作。1.4工作原則1.4.1積極防御，綜合防范。立足安全防護，加強預警，采取多種措施，共同構(gòu)筑網(wǎng)絡(luò)與信息安全保障體系。1.4.2以人為本，快速反應(yīng)。按照本預案工作機制，及時獲取充分準確的信息，跟蹤研判，果斷決策，迅速處置，盡快控制局面。1.4.3明確責任，加強協(xié)作。按照“誰主管誰負責”的原則，各司其職，各盡其力，共同履行應(yīng)急處置工作的管理職責。1.4.4規(guī)范流程，加強演練。規(guī)范應(yīng)急處置措施與操作流程，定期進行預案演練，確保應(yīng)急預案發(fā)揮重要作用。2事件分類分級2.1事件分類網(wǎng)絡(luò)與信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障和災(zāi)害性事件等。2.1.1有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。2.1.2網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。2.1.3信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。2.1.4信息內(nèi)容安全事件是指通過網(wǎng)絡(luò)傳播法律法規(guī)禁止信息，組織非法串聯(lián)、煽動集會游行或炒作敏感問題并危害國家安全、社會穩(wěn)定和公眾利益的事件。2.1.5設(shè)備設(shè)施故障分為軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。2.1.6災(zāi)害性事件是指由自然災(zāi)害等其他突發(fā)事件導致的網(wǎng)絡(luò)與信息安全事件。2.2事件分級網(wǎng)絡(luò)與信息安全事件分為四級：特別重大(Ⅰ級)、重大(Ⅱ級)、較大(Ⅲ級)、一般Ⅳ級)。2.2.1特別重大(Ⅰ級)網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生全局性大規(guī)模癱瘓，事態(tài)發(fā)展超出自己的控制能力，對國家安全、社會秩序、學校利益造成特別嚴重損害的突發(fā)事件。2.2.2重大(Ⅱ級)網(wǎng)絡(luò)與信息系統(tǒng)造成全局性癱瘓，對國家安全、社會秩序、學校利益造成嚴重損害，需要上級相關(guān)部門協(xié)同處置的突發(fā)事件。2.2.3較大(Ⅲ級)某一部分的網(wǎng)絡(luò)與信息系統(tǒng)癱瘓，對學校的網(wǎng)絡(luò)安全、教育教學秩序、教師和學生的權(quán)益造成一定損害，但可以在一定時間內(nèi)通過相應(yīng)技術(shù)手段進行重建和恢復，不需要跨部門協(xié)同處置的突發(fā)事件。2.2.4一般(Ⅳ級)單一網(wǎng)絡(luò)與信息系統(tǒng)受到一定程度的損壞，對教師和學生的教育教學、辦公及宣傳工作有一定影響，但不危害學校的網(wǎng)絡(luò)整體安全和秩序的突發(fā)事件。3應(yīng)急處置工作領(lǐng)導小組及主要職責3.1應(yīng)急處置工作領(lǐng)導小組組長：校黨委書記副組長：宣傳部、網(wǎng)絡(luò)管理中心的主要負責人，發(fā)生網(wǎng)絡(luò)與信息安全事件的單位（部門）分管領(lǐng)導成員：各學院黨政主要負責人、各部門主要負責人職責：（1）貫徹落實國家、省及上級單位有關(guān)網(wǎng)絡(luò)與信息安全的方針政策和法律法規(guī)，組織制定學?！毒W(wǎng)絡(luò)與信息安全事件應(yīng)急預案》。（2）領(lǐng)導統(tǒng)籌網(wǎng)絡(luò)與信息安全事件應(yīng)對工作，建立健全聯(lián)動處置機制，啟動應(yīng)急預案，負責網(wǎng)絡(luò)與信息安全事件處置的組織指揮。（3）審定、部署、檢查網(wǎng)絡(luò)與信息安全事件的預防預警、應(yīng)急處置、調(diào)查評估、信息發(fā)布、應(yīng)急保障等工作，研究解決處置工作中的問題。3.2應(yīng)急處置工作領(lǐng)導小組辦公室應(yīng)急處置工作領(lǐng)導小組下設(shè)辦公室，辦公室設(shè)在宣傳部。主任：宣傳部部長副主任：網(wǎng)絡(luò)管理中心的主要負責人，宣傳部分管信息化工作的副部長，發(fā)生網(wǎng)絡(luò)與信息安全事件單位主要負責人成員：宣傳部、網(wǎng)絡(luò)管理中心相關(guān)工作人員，發(fā)生網(wǎng)絡(luò)與信息安全事件單位的信息員。職責：（1）組織起草學校《網(wǎng)絡(luò)與信息安全事件應(yīng)急預案》等相關(guān)規(guī)定。（2）承擔值守應(yīng)急工作，指導各單位（部門）建立網(wǎng)絡(luò)與信息安全突發(fā)事件的預警和防控工作；接收并處理網(wǎng)絡(luò)與信息安全應(yīng)急信息報告，配合相關(guān)部門積極開展應(yīng)對處置工作。（3）負責網(wǎng)絡(luò)與信息安全事件的預防預警、應(yīng)急處置、調(diào)查評估、信息發(fā)布、應(yīng)急保障、隱患排查整改等工作；組織開展網(wǎng)絡(luò)與信息安全培訓，定期組織演練；收集信息安全事件報告統(tǒng)計數(shù)據(jù)、編制統(tǒng)計報告、匯總工作情況、撰寫工作總結(jié)；負責與上級網(wǎng)絡(luò)與信息安全應(yīng)急協(xié)調(diào)機構(gòu)的溝通聯(lián)絡(luò)工作。（4）負責完成應(yīng)急處置工作領(lǐng)導小組交辦的其它工作。4信息監(jiān)測與報告4.1明確網(wǎng)絡(luò)與信息安全監(jiān)測責任4.1.1宣傳部負責互聯(lián)網(wǎng)輿情監(jiān)測，以及學校官網(wǎng)、官方新媒體平臺的信息監(jiān)控。4.1.2網(wǎng)絡(luò)管理中心負責監(jiān)測網(wǎng)絡(luò)和信息系統(tǒng)的通信和資源使用異常，網(wǎng)絡(luò)和信息系統(tǒng)癱瘓，應(yīng)用服務(wù)中斷或數(shù)據(jù)篡改、丟失等情況。4.1.3各單位、各部門負責本單位、本部門管理的二級網(wǎng)站、應(yīng)用信息系統(tǒng)、動態(tài)性專題網(wǎng)站和新媒體平臺的信息審核與監(jiān)測。4.2落實監(jiān)測報告責任制各單位、各部門要指定專人負責信息監(jiān)測工作，要落實責任制，按照“早發(fā)現(xiàn)、早報告、早處置”的原則，加強對各類網(wǎng)絡(luò)與信息安全突發(fā)事件和可能引發(fā)突發(fā)事件的有關(guān)信息的收集、分析判斷和持續(xù)監(jiān)測。當發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件時，按規(guī)定及時向應(yīng)急處置工作領(lǐng)導小組辦公室報告，重大的網(wǎng)絡(luò)與信息安全突發(fā)事件要有日報告和態(tài)勢進程報告。報告內(nèi)容主要包括信息來源、影響范圍、事件性質(zhì)、事件發(fā)展趨勢和采取的措施等。重要敏感時期要實行日報告制度，各單位、各部門按照應(yīng)急處置工作領(lǐng)導小組辦公室要求的報告頻度及時上報監(jiān)測情況。4.3報告流程4.3.1各單位（部門）負責信息監(jiān)測的人員一旦發(fā)現(xiàn)網(wǎng)絡(luò)與信息安全事件，應(yīng)立即采取措施控制事態(tài)，及時進行風險評估，并向應(yīng)急處置工作領(lǐng)導小組辦公室報告。4.3.2對于發(fā)生一般(Ⅳ級)級別的網(wǎng)絡(luò)與信息安全事件，由應(yīng)急處置工作領(lǐng)導小組辦公室處理，并將處理情況向應(yīng)急處置工作領(lǐng)導小組報告。4.3.3對于發(fā)生較大(Ⅲ級)、重大(Ⅱ級)、特大(Ⅰ級)的網(wǎng)絡(luò)與信息安全事件，由應(yīng)急處置工作領(lǐng)導小組辦公室第一時間向應(yīng)急處置工作領(lǐng)導小組報告，按照本預案處置。應(yīng)急處置工作領(lǐng)導小組接到報告后，應(yīng)迅速召開會議，研究確定網(wǎng)絡(luò)與信息安全突發(fā)事件的態(tài)勢及研究應(yīng)急處置方案。5網(wǎng)絡(luò)與信息安全事件應(yīng)急處置5.1校園網(wǎng)絡(luò)相關(guān)單位（部門）對有權(quán)限直接處理的校園內(nèi)發(fā)生的網(wǎng)絡(luò)與信息安全事件，要按以下流程應(yīng)急處置。5.1.1校園網(wǎng)絡(luò)不良信息處置（1）發(fā)生網(wǎng)絡(luò)與信息安全事件單位（部門）的信息員要及時刪除不良信息，并清查整個網(wǎng)站所有內(nèi)容，確保沒有任何其它不良信息。（2）信息員應(yīng)將事件具體情況以書面形式上報至宣傳部及網(wǎng)絡(luò)管理中心。（3）網(wǎng)絡(luò)管理中心組織相關(guān)工作人員立即通過內(nèi)網(wǎng)防火墻切斷網(wǎng)站服務(wù)器外網(wǎng)連接。備份不良信息的相關(guān)目錄、日志。隔離出現(xiàn)不良信息的目錄，進行安全性檢測，去除不安全隱患，關(guān)閉不安全欄目。如果服務(wù)器遭到破壞則恢復備份數(shù)據(jù)。恢復正常后重新連接網(wǎng)站服務(wù)器及防火墻外網(wǎng)網(wǎng)絡(luò)連接，并測試網(wǎng)站運行。5.1.2校園網(wǎng)絡(luò)異常和網(wǎng)絡(luò)惡意攻擊事故處置（1）網(wǎng)絡(luò)管理中心組織相關(guān)人員研判確定該攻擊來源和影響范圍。根據(jù)需要可以緊急切斷中心網(wǎng)絡(luò)的服務(wù)器及公網(wǎng)的網(wǎng)絡(luò)連接，以保護重要數(shù)據(jù)及信息。如果攻擊來自學校外，通過網(wǎng)絡(luò)安全防護設(shè)備對此類攻擊進行阻攔和過濾，組織技術(shù)人員并聯(lián)系專家進行分析研究應(yīng)對措施，并視情況嚴重程度決定是否關(guān)閉外網(wǎng)訪問；如果攻擊來自學校內(nèi)，查找確定攻擊源，切斷攻擊源相關(guān)設(shè)備網(wǎng)絡(luò)連接。查到攻擊源計算機IP地址后，關(guān)閉該計算機校園網(wǎng)絡(luò)連接，通知使用者及所屬部門進行處理。（2）如果攻擊源來自學校內(nèi)辦公電腦，電腦使用者需清除病毒、惡意程序、木馬程序或重裝操作系統(tǒng)，運行5小時以上沒有問題后提出聯(lián)網(wǎng)申請，網(wǎng)絡(luò)管理中心測試無問題后再接入校園網(wǎng)。（3）如果查明是學校內(nèi)人員主觀惡意網(wǎng)絡(luò)攻擊，應(yīng)急處置工作領(lǐng)導小組視情節(jié)輕重，提交學校相關(guān)部門按學校規(guī)定進行處理，涉嫌觸犯法律的移送公安機關(guān)依法處理。5.1.3網(wǎng)絡(luò)系統(tǒng)漏洞應(yīng)急處置（1）網(wǎng)絡(luò)管理中心接到系統(tǒng)漏洞通報或定期掃描檢查發(fā)現(xiàn)高危系統(tǒng)漏洞后，組織相關(guān)技術(shù)人員進行研究分析，制定解決方案。（2）需要在核心網(wǎng)絡(luò)設(shè)備和服務(wù)器進行封閉協(xié)議及端口、停止服務(wù)的操作，由網(wǎng)絡(luò)管理中心在24小時內(nèi)完成處理。（3）需要通過更新操作系統(tǒng)補丁的操作由網(wǎng)絡(luò)管理中心協(xié)助使用部門盡快完成。（4）需要應(yīng)用軟件進行升級更新處理的，網(wǎng)絡(luò)管理中心通知使用部門聯(lián)系軟件廠商及時完成處理，在沒有處理完成前關(guān)閉服務(wù)器外網(wǎng)訪問。（5）需要在辦公電腦進行升級補丁的，由網(wǎng)絡(luò)管理中心在校園網(wǎng)及時發(fā)布漏洞情況和處理步驟的通知，各單位（部門）組織進行升級維護工作。5.1.4計算機病毒應(yīng)急處置（1）各單位（部門）信息員發(fā)現(xiàn)計算機感染病毒后，應(yīng)立即將感染病毒的辦公電腦斷網(wǎng)，在病毒徹底清除干凈前禁止連接到網(wǎng)絡(luò),并對該設(shè)備的硬盤進行數(shù)據(jù)備份。啟用反病毒軟件對該機進行殺毒處理，同時通過病毒檢測軟件對其他機器進行病毒掃描和清除工作。（2）如果感染病毒的設(shè)備是服務(wù)器，并且反病毒軟件無法清除該病毒，信息員應(yīng)立即聯(lián)系有關(guān)產(chǎn)品廠商研究解決并上報本部門負責人和網(wǎng)絡(luò)管理中心具體負責人。網(wǎng)絡(luò)管理中心負責人組織相關(guān)技術(shù)人員研究采取恢復備份等措施，并立即告知各相關(guān)單位（部門）做好相應(yīng)的清查工作。5.2互聯(lián)網(wǎng)輿情負面信息由于學校對校園網(wǎng)以外的互聯(lián)網(wǎng)輿情負面信息沒有直接處理權(quán)限，要按以下流程應(yīng)急響應(yīng)。5.2.1宣傳部負責指定專人進行互聯(lián)網(wǎng)輿情監(jiān)測，每日定時搜索、收集負面輿情信息，重要敏感時期提高每日搜索次數(shù)。突發(fā)事件發(fā)生后，立刻向應(yīng)急處置工作領(lǐng)導小組報告，并組織人員24小時收集信息，做到第一時間監(jiān)測、收集、研判輿情發(fā)展走向，及時上報輿情動態(tài)。輿情監(jiān)測及信息收集人員要及時監(jiān)看網(wǎng)絡(luò)、廣播、電視、報刊等媒體，實時收集核查信息來源、擴散情況（轉(zhuǎn)載轉(zhuǎn)播頻率、點擊率、收視率）等相關(guān)指標，跟蹤掌握輿情發(fā)展、衍變、處置成效等情況，為應(yīng)急處置工作領(lǐng)導小組提供參考意見。5.2.2在處置負面輿情信息時，堅決維護黨和國家權(quán)威，維護社會穩(wěn)定，維護學校形象。應(yīng)急處置工作領(lǐng)導小組辦公室負責及時展開事件調(diào)查，快速形成報告，為澄清事實、消除影響提供有力證據(jù)。針對調(diào)查情況，及時研究并向應(yīng)急處置工作領(lǐng)導小組提出事件應(yīng)急處置的對策和建議。由應(yīng)急處置工作領(lǐng)導小組根據(jù)事件性質(zhì)及嚴重程度決定是否向上級主管部門報告、請求支援、刪除網(wǎng)上負面信息。5.2.3充分發(fā)揮團結(jié)協(xié)作精神，上下溝通、左右協(xié)調(diào)，步調(diào)統(tǒng)一、各司其職，形成強大的工作合力。實事求是、循序漸進地發(fā)布信息，統(tǒng)一發(fā)布口徑，報請應(yīng)急處置工作領(lǐng)導小組審定，根據(jù)事件性質(zhì)和演變情況決定是否組織新聞發(fā)布會。宣傳部負責組織做好相關(guān)網(wǎng)絡(luò)、報刊、廣播、電視等媒體的聯(lián)絡(luò)溝通及接待工作。如校園內(nèi)發(fā)生網(wǎng)絡(luò)與信息安全事件，需進行信息發(fā)布與新聞報道的，參考上述辦法。6后期處置及保障6.1后期處置6.1.1重大處置工作結(jié)束后，應(yīng)急處置工作領(lǐng)導小組辦公室對事件處置工作進行總結(jié)報告。報告要素：事件發(fā)生時間、地點、原因、信息來源，事件類型、性質(zhì)、危害及損失程度，事件發(fā)展趨勢、采取處置措施等。6.1.2校黨委表彰獎勵在輿情處置工作中做出突出貢獻的單位和個人，追究引起重大輿情和造成重大負面影響、嚴重后果的相關(guān)責任人的責任。6.2應(yīng)急保障6.2.1信息保障。建立