大學網絡安全突發事件應急預案為建立健全學校網絡安全事件應急工作機制，提高應對網絡安全事件能力，預防和減少網絡安全事件造成的損失和危害，保護師生利益，維護學校安全和秩序，根據《突發事件應對法》、《網絡安全法》、《國家突發公共事件總體應急預案》、《突發事件應急預案管理辦法》和《信息安全技術信息安全事件分類分級指南》等相關規定，制定本預案。一、網絡安全突發事件的分類網絡安全突發事件是指由于人為原因、軟硬件缺陷或故障、自然災害等，對網絡和信息系統或者其中的數據造成危害，對社會造成負面影響的事件，可分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他事件。有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合程序攻擊事件、網頁內嵌惡意代碼事件和其他有害程序事件。網絡攻擊事件分為拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件。信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。信息內容安全事件是指通過網絡傳播法律法規禁止信息，組織非法串聯、煽動集會游行或炒作敏感問題并危害國家安全、社會穩定和公眾利益的事件。設備設施故障分為軟硬件自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。災害性事件是指由自然災害等其他突發事件導致的網絡安全事件。其他事件是指不能歸為以上分類的網絡安全事件。二、網絡安全突發事件的分級根據《國家網絡安全事件應急預案》的規定，學校網絡安全事件分為四級：特別重大網絡安全事件、重大網絡安全事件、較大網絡安全事件、一般網絡安全事件。符合下列情形之一的，為特別重大網絡安全事件：（1）重要網絡和信息系統遭受特別嚴重的系統損失，造成系統大面積癱瘓，喪失業務處理能力。（2）國家秘密信息、重要敏感信息和關鍵數據丟失或被竊取、篡改、假冒，對國家安全和社會穩定構成特別嚴重威脅。（3）其他對國家安全、社會秩序、經濟建設和公眾利益構成特別嚴重威脅、造成特別嚴重影響的網絡安全事件。符合下列情形之一且未達到特別重大網絡安全事件的，為重大網絡安全事件:（1）重要網絡和信息系統遭受嚴重的系統損失，造成系統長時間中斷或局部癱瘓，業務處理能力受到極大影響。（2）國家秘密信息、重要敏感信息和關鍵數據丟失或被竊取、篡改、假冒，對國家安全和社會穩定構成嚴重威脅。（3）其他對國家安全、社會秩序、經濟建設和公眾利益構成嚴重威脅、造成嚴重影響的網絡安全事件。符合下列情形之一且未達到重大網絡安全事件的，為較大網絡安全事件：（1）重要網絡和信息系統遭受較大的系統損失，造成系統中斷，明顯影響系統效率，業務處理能力受到影響。（2）國家秘密信息、重要敏感信息和關鍵數據丟失或被竊取、篡改、假冒，對國家安全和社會穩定構成較嚴重威脅。（3）其他對國家安全、社會秩序、經濟建設和公眾利益構成較嚴重威脅、造成較嚴重影響的網絡安全事件。除上述情形外，對國家安全、社會秩序、經濟建設和公眾利益構成一定威脅、造成一定影響的網絡安全事件，為一般網絡安全事件。三、網絡安全突發事件的響應根據網絡安全突發事件的可控性、嚴重程度和影響范圍，將學校突發事件的應急響應分為四級：I級（特別重大）、II級（重大）、III級（較大）和W級（一般），I級為最高響應級別。1.1級（特別重大）。主要針對學校重要網絡與信息系統發生全校性大規模癱瘓，事態發展超出學校的控制能力，對學校安全、秩序和公共利益造成特別嚴重損害的突發事件的應急響應。II級（重大）。主要針對學校重要網絡與信息系統造成全校性癱瘓，對學校安全、學校秩序和學校公共利益造成嚴重損害，需要跨部門協同處置的突發事件的應急響應。3.I級（較大）。主要針對學校某一區域的重要網絡與信息系統癱瘓，對學校安全、學校秩序和學校公共利益造成一定損害，但不需要跨部門協同處置的突發事件的應急響應。4.W級（一般）。主要針對學校重要網絡與信息系統受到一定程度的損壞，對學校師生員工和一些部門的權益有一定影響，但不危害學校安全、學校秩序、學校公共利益的突發事件的應急響應。四、網絡安全事件應急處理機構及職責在大學網絡安全和信息化建設工作領導小組（以下簡稱“領導小組”）的領導下，網絡信息安全工作辦公室（以下簡稱“網信辦”）統籌協調組織全校網絡安全事件應對工作，建立健全跨部門聯動處置機制，黨委辦公室、黨委宣傳部、安全工作處、信息技術中心等相關部門按照職責分工負責相關網絡安全事件應對工作。必要時成立學校網絡安全事件應急指揮部，負責特別重大網絡安全事件處置的組織指揮和協調。五、網絡安全突發事件處理原則預防為主。立足安全防護，加強預警，重點保護關鍵基礎設施和關系學校安全和穩定的重要信息系統、網絡，從預防、監控、應急處理、應急保障和打擊犯罪等環節，在管理、技術、人才等方面，采取多種措施，充分發揮各方面的作用，共同構筑全校網絡安全保障體系。快速反應。在網絡安全突發事件發生時，按照快速反應機制，及時獲取充分而準確的信息，跟蹤研判，果斷決策，迅速處置，最大程度地減少危害和影響。分級負責。按照“誰主管，誰負責”和“誰使用，誰負責”的原則，建立和完善安全責任制及聯動工作機制。根據部門職能，各司其職，加強學校各單位間的協調與配合，形成合力，共同履行應急處置工作的管理職責。以人為本。把保障公共利益以及全校師生員工的合法權益和信息安全作為首要任務，及時采取措施，最大限度地避免學校和師生員工遭受損失。常抓不懈。加強技術儲備，規范應急處置措施與操作流程，定期進行預案演練，確保應急預案切實有效，實現網絡與信息安全突發公共事件應急處置的科學化、程序化與規范化。六、網絡安全突發事件的報告與處置網絡安全突發事件發生并得到確認后，現場人員應立即將有關情況報告信息技術中心，并于1個小時完成《大學網絡安全事件信息報告表》的填寫和上報。網信辦和信息技術中心將協商決定是否啟動相應應急響應和相關應急預案，一旦啟動應急預案，有關人員應及時到達指定位置。對于I級（特別重大）事件，須直接向學校黨委書記和校長報告。對于II級（重大）事件須直接向負責網絡安全和信息化建設的主管校長報告。對于III級（較大）事件，須向學校網信辦主任報告。對于W級（一般）事件須向信息技術中心主任報告。網信辦、信息技術中心相關工作人員第一時間進入應急處置工作狀態，對相關事件進行跟蹤，密切關注事件動向和輿情態勢，防止事態通過網絡向外蔓延，并做好調查取證、進行現場保護、系統恢復等工作。信息技術中心負責在事件發生后24小時內寫出突發事件的書面報告，根據事件嚴重程度按要求、按時限上報。報告應包括以下內容：事件發生時間、地點、內容、發生原因、處理情況及采取的措施，事故報告部門、報告時間等。七、突發事件應急處置具體措施網站、網頁出現異常的緊急處置措施。（1）各網站、網頁由各部門的管理員隨時密切監視信息內容。每天早、中、晚三次瀏覽時間不少于一小時。（2）發現出現異常或非法信息時，負責人員應立即向信息技術中心通報情況。情況緊急的應在3分鐘內斷開服務，并取證保留現場，再按程序報告。（3）信息技術中心、工作人員應在接到通知后立即趕到現場，作好必要的記錄，清理非法信息，強化安全防范措施，并將網站、網頁重新投入使用。（4）網站管理員應妥善保存有關記錄及日志或審計記錄。（5）網站管理員應立即追查非法信息來源。（6）情況嚴重的，根據突發事件等級和響應級別及時向上級有關部門和領導匯報。黑客攻擊時的緊急處置措施（1）當有關網站管理員發現網頁內容被篡改，或通過入侵檢測系統發現有黑客正在進行攻擊時，應立即向信息技術中心、通報情況。（2）信息技術中心工作人員應立即將被攻擊的服務器等設備從網絡中隔離出來，保護現場，同時向信息技術中心領導匯報情況。（3）凡加入學校站群系統建站的部門，信息技術中心負責被破壞系統的恢復與重建工作。（4）信息技術中心協同有關部門共同追查非法信息來源。（5）情況嚴重的，根據突發事件等級和響應級別及時向有關上級部門匯報。病毒安全緊急處置措施對發現的網內病毒源通過關閉端口等措施及時進行隔離，并通知感染病毒計算機的使用人進行處理。對于外網進入的網絡病毒應在邊界防火墻、路由器上做針對性地訪問控制。對發現的攻擊事件應及時進行處理。（1）當發現有計算機感染病毒時，應立即將該機從網絡上隔離出來。（2）對該設備的硬盤進行數據備份。（3）啟用反病毒軟件對該機進行殺毒處理，同時進行病毒檢測軟件對其他機器進行病毒掃描和清除工作。（4）如發現反病毒軟件無法清除該病毒，應立即向信息技術中心報告。（5）經信息技術中心確認確實無法查殺該病毒后，作好相關記錄，并迅速聯系有關產品廠商研究解決。（6）信息技術中心經會商后，認為情況極為嚴重，根據突發事件等級和響應級別及時向有關上級部門匯報。信息系統遭受破壞性攻擊的緊急處置措施（1）重要的信息系統平時必須存有備份，與信息系統相對應的數據必須有多日備份，并將它們保存于安全處。（2）一旦信息系統遭到破壞性攻擊，應立即向信息技術中心報告，并馬上將信息系統從網絡上斷開，必要時可停止系統運行。（3）信息技術中心將協助做好軟件系統和數據的恢復。（4）信息技術中心協助檢查日志等資料，確認攻擊來源。（5）情況極為嚴重的，根據突發事件等級和響應級別及時向有關上級部門匯報。數據庫安全緊急處置措施（1）各數據庫系統要至少準備兩個以上數據庫備份。（2）一旦發現數據庫崩潰，應立即向信息技術中心報告。（3）信息技術中心對主機系統進行檢測維修，如遇無法解決的問題，立即向軟硬件提供商請求支援。（4）系統修復啟動后，將第一個數據庫備份取出，按照要求將其恢復到主機系統中。（5）如因第一個備份損壞，導致數據庫無法恢復，則應取出第二套數據庫備份加以恢復。（6）如果兩個備份均無法恢復，應立即向有關廠商請求緊急支援。廣域網外部線路中斷緊急處置措施（1）網絡管理員接到報告后，應迅速判斷故障節點，查明故障原因。（2）廣域網任意線路中斷后，網絡管理員應立即啟動相關預案，切換線路盡快恢復網絡服務，同時向信息技術中心領導報告。（3）如屬我方管轄范圍，由網絡管理員立即予以恢復。如遇無法恢復情況，立即向有關網絡設備廠商請求支援。（4）如屬電信部門管轄范圍，立即與電信維護部門聯系，請求限時修復。（5）如果多條出口線路同時中斷，網絡管理員應在判斷故障節點，查明故障原因后，盡快研究恢復措施，根據突發事件等級和響應級別及時向有關上級部門匯報。（6）經信息技術中心領導同意后，在學校網首頁等發布通知說明原因。局域網中斷緊急處置措施（1）局域網中斷后，網絡管理員應立即判斷故障節點，查明故障原因，并向信息技術中心領導匯報。（2）如屬線路故障，對具備備用線路的，應重新調整線路，對不具備備用線路的，通告斷網區域內用戶、聯系維修事宜，并向信息技術中心領導匯報。（3）如屬路由器、交換機等網絡設備故障，有備用設備的，應立即更換備用設備并調試暢通，并與設備提供商聯系申請維修設備。沒有備用設備的，通告斷網區域內用戶、與設備提供商聯系申請維修，并向信息技術中心領導匯報。（4）如屬路由器、交換機配置文件破壞，應迅速按照要求重新配置，并調試暢通。如遇無法解決的技術問題，立即向有關廠商請求支援。（5）情況嚴重的，根據突發事件等級和響應級別及時向有關上級部門匯報。設備安全緊急處置措施（1）服務器等關鍵設備損壞后，有關管理人員應立即查明原因，向信息技術中心匯報。（2）如果能夠自行恢復，應立即用備件替換受損部件。（3）如果不能自行恢復的，立即與設備提供商聯系，請求派維修人員前來維修。（4）如果設備一時不能修復，應向網信辦匯報，并告知各相關單位，停止相關服務。人員疏散與機房滅火預案（1）一旦機房發生火災，應遵照下列原則：首先保人員安全；其次保關鍵設備、數據安全；三是保一般設備安全。（2）人員疏散的程序是：機房工作人員立即按響火警警報，并通過119電話向公安消防請求支援，所有不參與滅火的人員按照疏散線路迅速從機房中撤出。（3）人員滅火的程序是：首先切斷所有電源，啟動自動噴淋系統，滅火值班人員戴好防毒面具等相關防護設備，從指定位置取出滅火器材進行滅火。外電中斷后的設備（1）外電中斷后，機房管理員應立即檢查備用電源切換狀態，確保備用電源運行正常。（2）機房管理員員應立即查明原因，并向領導匯報。（3）如因學校內部線路故障，請學校有關部門迅速恢復。（4）如果是供電局的原因，應立即與供電局聯系，了解原因，并要求供電局迅速恢復供電。（5）如果由供電局告知需停電的，預計停電5小時以內，由UPS供電。時間過長的，應向學校領導