湖南应用技术学院网络安全应急处预案（试行）

为建立健全我校校园网络与信息安全应急响应工作机制，根据《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网安全保护管理办法》《国家信息化工作领导小组关于加强信息安全保障工作的意见》，公安部、国务院信息化工作办公室等四部门《关于信息安全等级保护工作的实施意见》和《国家突发公共事件总体应急预案》等有关法规文件精神，结合我校实际，特制定本预案。

一、组织机构与职责

（一）组织机构

学校成立网络安全领导小组，领导、协调和推进校园网络信息安全保障工作。

党委书记任组长，校长任副组长；党政办公室、宣传部、网信中心主要负责人为小组成员。

领导小组下设办公室，网络信息中心主任兼任办公室主任。

（二）职责与任务

1．网络安全领导小组职责与任务

决定I级和II级网络安全事件应急预案的启动；

督促检查安全事件处置情况及各有关单位在安全事件处置工作中履行职责情况；

对全校各单位贯彻执行应急处置预案、应急处置准备情况进行督促检查。

2．办公室职责与任务

组织协调有关部门查处利用计算机网络泄密的违法行为；

牵头组织重大敏感时期、重要活动、重要会议期间发生的信息安全事件的协调处置；

负责网络安全工作的组织、协调和监督，制定相关制度和应急预案；

根据校内发生的网络安全事件程度提出相应级别预案的启动建议，组织协调各单位落实应急预案，共同做好处置工作；

负责校园基础网络系统安全，保证校园网络服务不中断。负责计算机病毒疫情和大规模网络攻击事件的处置；

负责全校网络安全事件处置的技术支持工作；

负责学校舆情监测工作，对于涉及师生思想状况方面的预警性、倾向性、苗头性的问题加强分析研判，制订工作方案，并妥善有效应对；

负责舆情突发事件的处置；

负责应急处置过程中的舆情处置，并根据舆情级别和相关规定，完成舆情报告和报送工作；

负责与公安部门保持密切联系，做好网络安全事件的处置工作；

负责及时收集、通报和上报网络安全事件应急处置情况。

3．其他部门职责

负责本单位内部的网络安全管理和突发事件应急处置工作，应对照本预案，建立本部门应急处置机制，做好办公室安排的工作。

二、网络安全事件分类分级

（一）网络安全事件分类

网络安全突发事件依据发生过程、性质和特征的不同，分为以下四类：

1．网络攻击事件：校园网络与信息系统因病毒感染、非法入侵等造成学校门户网站或部门二级网站主页被恶意篡改，应用系统数据被拷贝、篡改、删除等。

2．设备故障事件：校园网络与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪。

3．灾害性事件：因洪水、火灾、雷击、地震、台风、非正常停电等外力因素导致网络与信息系统损毁，造成业务中断、系统宕机、网络瘫痪。

4．信息内容安全事件：利用校园网络在校内外传播法律法规禁止的信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益等。

（二）网络安全分级

网络安全突发事件依据可控性、严重程度和影响范围的不同，可分为以下四级：

I级（特别重大）：学校网络与信息系统发生全校性大规模瘫痪，对学校正常工作造成特别严重损害，且事态发展超出学校控制能力的安全事件；

II级（重大）：学校网络与信息系统造成全校性瘫痪，对学校正常工作造成严重损害，事态发展超出办公室控制能力，需学校各部门协同处置的安全事件；

III级（较大）：学校某一区域的网络与信息系统瘫痪，对学校正常工作造成一定损害，办公室可自行处理的安全事件；

IV级（一般）：某一局部网络或信息系统受到一定程度损坏，对学校某些工作有一定影响，但不危及学校整体工作的安全事件。

三、预防措施

1．学校建立健全安全事件预警预报体系。各单位严格执行校园网络安全各项管理制度，按照本文件要求对本部门所负责管理的校园网络平台、应用平台和信息系统采取相应安全保障措施。

2．学校实行信息网上发布审批制度。办公室对可能引发校园网络安全事件的信息，要认真收集、分析判断，发现有异常情况时，及时防范处理并报告分管校领导。

3．办公室加强对校园网络的监控和安全管理，做好相关数据日志记录，同时做好数据中心的数据备份及登记工作，建立灾难性数据恢复机制。

4．特殊时期，根据工作需要，由办公室进行统一部署和安排，组织专业技术人员对校园网络和信息系统采取加强性保护措施，对校园网络通信及信息系统进行不间断监控。

四、处置流程

（一）预案启动

发生校园网络安全事件后，办公室和突发安全事件的信息系统监管部门应尽最大可能收集事件相关信息，鉴别事件性质，确定事件来源和事件范围，评估事件带来的影响和损害，确认突发事件的类别和等级，并参照下述响应机制对突发事件进行处置。

（二）应急响应

1．应急响应机制

III 级或IV 级突发事件响应：办公室和突发安全事件的信息系统监管部门自行负责应急处置工作，有关情况报分管校领导。

II级突发事件响应：办公室应在第一时间上报分管校领导和网络安全领导小组后，由领导小组统一组织、协调进行处置。

I级突发事件响应：办公室应在第一时间上报分管校领导和网络安全领导小组。领导小组根据事件情况上报至网安、网信等相关部门。由相关部门会同网络安全领导小组统一组织、协调指挥应急处置。

2．应急处理方式

根据网络安全事件分类采取不同应急处置方式。

网络攻击事件：判断攻击的来源与性质，关闭影响安全与稳定的网络设备和服务器设备，断开信息系统与攻击来源的网络物理连接，跟踪并锁定攻击来源的IP地址或其它网络用户信息，修复被破坏的信息，恢复信息系统。

设备故障事件：判断故障发生点和故障原因，迅速联系 IT运维公司尽快抢修故障设备，优先保证校园网主干网络和主要应用系统的运转。

灾害性事件：根据实际情况，在保障人身安全的前提下，保障数据安全和设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。

信息内容安全事件：接到校内网站出现不良信息的报告后，应迅速屏蔽该网站的网络端口或拔掉网络连接线，阻止有害信息的传播，根据网站相关日志记录查找信息发布人并做好善后处理；对公安机关要求我校协查的外网不良信息事件，根据校园网上网相关记录查找信息发布人。

其它不确定安全事件：可根据总的安全原则，结合具体情况，做出相应处理。不能处理的及时咨询信息安全公司或顾问。

（三）后续处理

1．安全事件进行最初的应急处置后，应及时采取行动，抑制其影响进一步扩大，限制潜在的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响最小。

2．安全事件被抑制后，通过对有关事件或行为的分析结果，找出问题根源，明确相应补救措施并彻底清除。

3．在确保安全事件解决后，要及时清理系统，恢复数据、程序、服务，恢复工作应避免出现误操作导致的数据丢失。

（四）记录上报

网络安全事件发生后，在事件处置工作中做好过程记录，及时报告处置工作进展情况，保存各相关系统日志，直至处置工作结束。

（五）结束响应

系统恢复运行后，对事件造成的损失、事件处理流程和应急预案进行评估，对响应流程、预案提出修改意见，总结事件处理经验和教训。对I级突发事件或存在违法犯罪行为的，应书面汇报网信、网安部门。

五、保障措施

（一）队伍保障。加强队伍建设，不断提高安全岗位工作人员的信息安全防范意识和技术水平，确保安全事件处置得当。

（二）技术保障。不断完善网络安全整体方案，加强技术管理，确保信息系统的稳定与安全。

（三）资金保障。办公室应根据网络安全预防和应急处置工作的需要，申报关键信息基础设施等级保护和运维专项资金，纳入学校年度财务预算。

（四）安全培训和演练。根据网络安全需要对相关工作人员进行网络安全知识培训，增强预防意识和应急处置能力，有针对性地开展应急演练，确保相关措施有效落实。

六、本预案自发布之日起施行，由网络安全领导小组办公室负责解释。