上海城建职业学院网络安全事件应急处置预案

（试行）

为提高我校应对网络安全事件的能力，建立健全科学、有效、反应迅速的网络安全应急工作机制，预防和减少校园网突发类网络与信息安全事件及其造成的影响、损害，保障校园网络与信息系统正常运行，维护学校安全和稳定，特制定本预案。

一、适用范围

本预案适用于全校范围内自建自管的网络与信息系统，尤其是校

园网主干设施和重要信息系统安全突发事件的应急处置。

二、工作原则

统一领导，快速反应，密切配合，科学处置。坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，充分发挥各方面力量，共同做好网络与信息安全事件的应急处置工作。各单位要建立安全责任制，明确分工，加强网络安全管理，认真贯彻落实学校相关安全管理办法，加强网络安全的宣传和教育，提高全体师生的安全防范意识和能力。  

三、网络安全事件分类与分级

（一）事件分类

根据《信息安全事件分类分级指南》（GB/T20986-2007）规定，

网络安全事件分为以下7类事件。

（1）有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

（2）网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

（3）信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

（4）信息内容安全事件是指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

（5）设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

（6）灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。

（7）其他事件是指不能归为以上分类的网络安全事件。

（二）事件分级

网络安全事件依据影响范围、严重程度和可控性，可分为以下四级。

I级（特别重大）:网络与信息系统发生全校性大规模瘫痪或发生特别严重信息内容安全事件和信息破坏事件；对学校正常工作造成特别严重损害，且事态发展超出学校控制能力的安全事件。

II 级（重大）：学校网络与信息系统造成大面积瘫痪或发生严重信息内容安全事件和信息破坏事件，对学校正常工作造成严重损害，事态发展超出图文信息中心（以下简称信息中心）控制能力，需学校各部门协同处置的安全事件；

III 级（较大）：学校某一区域的网络与信息系统瘫痪或发生较严重信息内容安全事件和信息破坏事件，对学校正常工作造成较严重损害，网络中心可自行处理的安全事件；

IV 级（一般）：学校某一局部网络与信息系统受到一定程度损坏，或发生一定程度信息内容安全事件和信息破坏事件，对学校某些工作有一定影响，但不危及学校整体工作的安全事件，网络中心可自行处理的安全事件。   

四、组织机构与职责

学校网络安全工作委员会（以下简称工作委员会）主管全校网络信息安全工作，统筹指挥、协调组织全校网络信息安全事件应对工作。图文信息中心（以下简称信息中心）是学校网络信息安全归口管理，负责组织应急技术支撑队伍做好应急处置的技术支撑工作，协调组织各单位网络信息安全事件的预防、监测、报告和应急处置工作。各相关单位在学校网络安全工作委员会统一领导下，建立联动工作机制，密切配合，履行职责。各相关单位的职责如下：

学校网络安全工作委员会：① 决定 I 级和 II 级网络与信息安全事件应急预案的启动，督促检查安全事件处置情况及各有关单位在安全事件处置工作中履行职责情况；②对全校各单位贯彻执行应急处置预案、应急处置准备情况进行督促检查。

党委办公室：①组织协调有关部门查处利用计算机网络泄密的违法行为；②牵头组织重大敏感时期、重要活动、重要会议期间发生的信息安全事件的协调处置。

图文信息中心：①负责网络信息安全工作的组织、协调和监督，制定相关制度和应急预案；②负责校园基础网络系统安全，保证校园网络服务不中断。③负责计算机病毒疫情和大规模网络攻击事件的处置；④负责全校网络信息安全事件处置的技术支持工作；⑤负责及时收集、通报和上报网络信息安全事件处置的有关情况。

党委宣传部：负责学校舆情监测工作，对于涉及师生政治思想方面的预警性、倾向性、苗头性的问题加强分析研判，制订工作方案，并妥善有效应对。

保卫处：密切联系公安部门，配合信息办做好网络信息安全事件的处置工作。

五、预防措施

(一)  管理措施

1.  学校建立健全安全事件监测预警体系。信息中心通过国内主

流安全网站、相关安全部门通报等渠道收集计算机操作系统漏洞、网络设备漏洞、木马病毒等预警信息，并及时向学校相关师生用户发布预警信息。同时，信息中心对校学校重要网络设施、信息系统进行监测，出现异常情况及时告警并处理。

2.  各单位严格执行学校网络与信息安全各项管理制度，对本单

位所负责管理的信息系统采取相应安全保障措施，重点做好数据备份恢复工作。

3.  特殊时期、重要会议期间，各单位安排本单位工作人员值班，

对本单位所辖范围的信息系统、网站进行巡查，重点巡查单位门户、新闻网、论坛等信息流量大、影响面宽的网站，做到安全事件早发现、早报告、早控制、早解决。

(二)  技术措施

（1）物理环境

①　建设安全、可靠、稳定运行的机房环境，做好防火、防盗、防雷电、防水、防静电、防尘；

②　对机房实施每天巡检，禁止任何非授权人员进入；

③　建立备份电源系统，定时检查系统能否正常工作；

④　对所有人员进行防火、防盗等基本技能进行培训。

（2）网络设备

①　核心设备有冗余，避免单点故障；

②　采用实名制认证方式入网；

③　实时监测关键网络设备的端口状态和流量，出现异常及时告警；

④　预留一定的应急网络设备，发生故障时，可以及时替换使用。

（3）计算机系统

①　采用可靠稳定的操作系统，及时安装最新补丁；

②　关闭所有不必要的服务和端口；

③　安装有效的防病毒软件，及时更新病毒特征库；

④　严格限制内部用户的访问权限；

⑤　对用户和管理员进行安全技术培训；

（4）重要的信息系统（网站）

①　网站纳入学校站点群平台集中管理，信息系统采用图文信息中心分配的虚拟机集中部署；

②　实时或定期备份信息系统相关数据； 

③　向图文信息中心进行登记备案；

④　建立严格的信息发布审核制度，尤其关注论坛、留言板等交互式栏目；

⑤　监测信息系统（网站）的可用性、安全性，出现异常及时告警；

（5）各级网络边界控制

①　在校园网出口边界建立防火墙，在重大安全事件爆发时可以实施访问控制；

②　在数据中心边界安装入侵监测/防御系统，监测/防御恶意攻击、病毒等非法入侵。

六、应急处置

（一）I至IV级事件报告与处置流程

1.  发生校园网络安全事件时，应根据实际情况第一时间采取断

网等有效措施进行处置，将损害和影响降到最小范围，保留现场，并报告本单位安全责任人。

2.  安全负责人评估事件带来的影响和损害，确认突发事件的类

别和等级，组织相关人员赶赴现场进行紧急处置，同时以口头通讯的方式将相关情况通报至信息中心。涉及人为主观破坏事件应同时报告学校保卫处。

3.信息中心接到报告后，应进一步判定安全事件等级，对确认属I至Ⅲ级安全事件的,应报告学校网络安全工作委员会，由学校网络安全工作委员会统一组织、协调指挥进行应急处置。

单位安全负责人组织应编写事中情况报告（事件发现后6小时内，格式见附件1）和事后整改报告（事件处置完毕后3个工作日，格式见附件2），由本单位主要负责人审核后，签字并加盖公章报送信息中心。工作委员会酌情决定是否上报教育部科技司事件报告。IV 级安全事件由信息系统主管单位自行负责应急处置工作，并向信息中心报送整改报告（事件处置完毕后5天内，格式见附件2）。

(二)  预警类信息的报告与处置

信息中心获得教育部、上海市等有关信息安全部门通报的安全预警信息后，向相应单位的网络安全负责人进行通报，各单位必须积极、按时进行安全整改处置，并按要求形成书面报告（接到通报后2天内，格式见附件2），报送信息中心。

(三)   应急处理措施

（1）有害程序事件

及时寻找并断开传播源，判断病毒的类型、性质、可能的危害范围；为避免产生更大的损失，保护健康的计算机，必要时可关闭相应的传播端口，甚至相应网络设备的连接端口，及时进行杀毒处理。

（2）网络攻击事件

判断入侵来源的IP地址，区分外网与内网，对于外网入侵，限制对方IP地址的访问，对于已经造成危害的，应立即采用断开网络连接的方法，避免造成更大损失和影响。对于内网入侵，查清入侵来源，查找相应的计算机和上网用户，同时断开对应的交换机端口。对

于无法制止的入侵，应及时关闭被入侵的服务器或相应设备，同时针对入侵方法调整或更新入侵检测/防御设备。

（3）信息破坏事件

重要的信息系统的数据应提前做好异地备份，一旦数据遭到破坏性攻击，应立即断开网络连接，进行数据恢复。

（4）信息安全事件

校内网站出现不良信息的报案后，应当保留证据，迅速屏蔽该网站的网络端口或拔掉网络连接线，阻止有害信息的传播，根据网站相关日志记录查找信息发布人并做好善后处理；对公安机关要求我校协查的外网不良信息事件，根据校园网上网相关记录查找信息发布人。

（5）设备故障事件

    判断故障发生点和故障原因，如遇设备故障问题，图文信息中心组织相关技术人员尽快抢修故障设备，优先保证校园网主干网络和主要应用系统的运转。如遇停电紧急事件，根据停电时间、UPS电池的供电能力保障最重要的设备和信息系统继续运行，关闭次要的设备和信息系统，供电恢复后，及时恢复关闭的网络设备。

（6）灾害性事件

    根据实际情况，在保障人身安全的前提下，保障数据安全和设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。

（7）其它不确定安全事件：可根据总的安全原则，结合具体情况，做出相应处理。

七、后续处理

安全事件被抑制后，掌握损失情况、查找和分析事件原因，

找出问题根源，明确相应补救措施并彻底清除安全隐患。在确保安全事件解决后，恢复数据、系统服务。

八、后期处置

应急处置工作结束后，组织有关人员对事件发生原因、影响、责任及应急处置能力、恢复重建等问题进行全面调查评估，并出具总结报告。根据应急处置过程中暴露出的管理、协调和技术问题，改进和完善应急预案，定期实施演练，总结经验教训，整改存在隐患，进一步提升安全防护能力。

九、保障措施

1、队伍保障

加强队伍建设，不断提高安全岗位工作人员的信息安全防范意识

和技术水平。加强与学校网络安全专业师生优秀团队、国内主要安全厂商等的合作，确保安全事件处置得当。

2、通信保障

收集、建立应急处置工作组和各单位的网络安全负责人、安全管理员联络通讯录，确保在发生突发事件时通信联络畅通。

3、资金保障

信息中心应根据校园网络信息安全防护和应急处置工作的实际需要，申报网络安全设备及软件的运维专项资金，纳入年度预算，由学校给予资金保障。

4、安全培训和演练

信息中心定期对相关工作人员进行网络与信息系统安全知识培训，增强预防意识和应急处置能力，有针对性地开展应急演练，确保相关措施有效落实。

十、其他

本办法经上海城建职业学院校长办公会议研究通过，自下发之日起施行。

附件1

信息技术安全事件情况报告

单位名称：（需加盖公章）事发时间：年月日分

附件2

信息技术安全事件整改报告

单位名称：（需加盖公章）报告时间：年月日