第一章 总则

第一条 通过建立信息网络安全应急响应制度，对可能发生的校园信息网络系统的突发安全事件进行快速反应和恢复，以便在破坏发生时，评估破坏和快速恢复，实现快速响应的目的，最大限度地控制和减轻事件所带来的影响，确保业务的持续运行，消除实际的和潜在的安全风险，以防止安全事件再次发生。

第二章 工作原则

第二条 突发信息网络安全事件的应急处置由网络与信息安全领导小组决策，统一指挥和领导。

第三条 根据信息网络安全事件的严重程度，分为不同等级进行预警，启动相应级别的组织机构领导体系和工作方案。

第三条 普及网络安全教育，全面提高全校师生的信息安全防范意识；加强日常网络监测，通过有效的网络安全事件预警与应急响应体系，及时发现安全漏洞和网络入侵行为，并采取有效的补救措施。

第四条 网络安全事件发生后，信息中心应快速反应，主动配合，密切协同，形成合力，落实《预案》。由网络与信息安全领导小组负责组织协调全局工作。

第五条 经常性地做好应对突发网络安全事件的思想准备和应急准备。按照条块结合、资源整合和降低行政成本的要求，建立健全关于人力、财力和物力的储备机制，以及其在突发事件中的调配机制。

第三章 适用范围

第六条 本预案适用于对校园网内可能发生的重大网络安全事件的应急准备和应急响应。当由于人为、自然或系统自身原因发生对信息网络系统造成威胁并已经严重影响网络系统正常运行的突发安全事件时，应参照本预案实施。

第四章 组织职责

第七条 贯彻国家网络安全应急工作方针,制定信息网络安全应急工作政策和总体策略；

第八条 组织制定、审查和批准信息网络安全应急预案和计划；

第九条 协调、督促、检查和指导安全应急准备工作；

第十条 发生突发网络安全事件时，统一决策、组织和指挥应急工作；

第十一条 负责指挥有关信息网络安全应急的测试、定期演练和培训工作；

第十二条 负责审查信息网络安全应急工作规划和应急响应总结报告。

第十三条 负责审查和批准信息网络安全所需年度预算。

第十四条 负责有关信息网络安全相关事宜的沟通与交流事务。

第十五条 对违反制度的人员，视情节轻重，据有关法规和管理制度，追究责任和予以处罚。

第五章 应急准备

第十六条 了解信息网络系统当前所面临的安全风险和信息系统的安全现状，提高安全应急响应能力，进一步控制和降低安全风险，对现有信息网络系统中存在的潜在威胁和弱点进行全面的安全评估。

第十七条 实时监测和调整防火墙、IPS、WAF、漏洞扫描、行为审计、安全审计和态势感知等系统组成的可感知、可联动的信息网络安全监测预警系统，有效提高对信息网络系统自身安全漏洞和内外部攻击行为的检测、管理、监控和实时处理能力，有效地实时阻断非法和违规网络活动，准确全面地提供违规行为的审计档案。

第十八条 加强全体师生信息安全教育，增强全体师生的信息网络安全意识；加强学校各二级单位内部信息安全管理，强化网络安全责任落实，经常性的对各二级单位所管理的信息系统进行信息安全排查，对于存在的信息安全隐患及时协调技术人员进行整改，确保信息系统的安全稳定运行，最大限度降低信息安全事件的发生。

第十九条 在网络与信息安全领导小组的统一指挥下，通过事先通知或突发式的方法，定期举行应急预案测试和处理步骤的演练，以检验、改善和强化应急准备和应急响应能力。

第二十条 定期检查数据备份系统，制定数据恢复计划。根据应用系统等级不同和数据的重要性与更新频率不同，采用不同的数据备份方式，包括热备份、冷备份、全备份、增量备份、本地备份、异地备份等。

第二十一条 按照国家有关规定配置消防设施和器材、设置消防安全标志，定期组织检验、维修，确保消防设施和器材完好、有效；机房管理员定期进行防火防盗巡查，及时发现、排查、消除隐患。

第二十二条 定期进行消防安全知识培训和消防演练。各办公场所要确保疏散通道、安全出口畅通，并在各楼梯口设置符合国家规定的消防安全疏散标志； 网络机房、配线间和设备间等重点防火部位实行每日消防巡查，并建立巡查记录，建立消防档案。

第六章 应急响应处理

第二十三条 根据灾难情况进行应急分类。

（一） 设备类突发事件主要指由于以下原因对信息中心的机房中的通信线路、服务器、网络设备、安全设备造成破坏和损失，以致引起网络安全突发事件。

（1）由于地震、火灾、水灾等自然灾害和战争所造成的设备破坏；

（2）由于人为的对设备和环境的破坏或设备自身故障所造成的对系统运行的影响和破坏，包括设备被盗、恶意破坏、线路阻断或截获监听、服务器宕机、网络设备重启、电磁信息辐射泄漏、电磁干扰、系统支持环境的先天不足（如选用了不合格的电源插座、不同电压的插座没有明显的标志等）、硬件及支持环境的不足（如设备的放置不当、终端桌或机架承受力等）等。

（3）由于设备或线路自然老化造成的死机、宕机，从而导致网络瘫痪或故障。

（二）信息系统类突发事件主要指由于以下原因对信息网络中心的应用系统、操作系统、数据库系统、以及以软盘、硬盘、光盘、磁带等介质存储的数据等造成破坏和损失，以致引起网络安全紧急事件；

（1）系统自身的脆弱性，包括系统结构设计上的缺陷、配置的疏忽等；

（2）软件漏洞，包括操作系统的安全漏洞、网络协议的设计缺陷、软件运行平台的漏洞、应用软件的设计漏洞、数据库系统的安全漏洞等；

（3）内部办公人员故意或无意的越权访问和网络管理员的疏忽以及错误配置造成的网络重大威胁；

（4）外部黑客的恶意攻击和内部人员的非法操作所造成的系统瘫痪和信息的泄露与破坏，包括通过后门或嗅探程序截获、窃取、破译以获得重要信息，或监视系统及网络活动；通过缓冲区溢出攻击系统的漏洞以破坏信息的机密性、完整性和可用性；通过大规模的拒绝服务攻击造成网络服务性能下降和服务不可用，甚至导致系统和网络瘫痪；利用窃取的口令或重放攻击截获的信息进行冒充，规避和破坏系统日志和审计机制等；

（5）由通过网络、电子邮件、软盘、光盘等途径进行传播的计算机病毒所造成的对网络系统运行的威胁和对信息的破坏；

（6）非法信息内容，包括垃圾邮件、不法分子、恐怖主义者、工商业间谍等非法或犯罪组织散播的假新闻、谣言、色情和反动信息及其他国情报组织、信息战部门等对国家安全、经贸活动和思想意识等领域带来重大威胁的信息。

第二十四条 依据对网络突发时间的严重程度对应急响应级别进行分类。

（一）普通突发网络安全事件，由于人为、自然或系统自身原因发生对设备或信息系统构成局部或小范围安全威胁，但尚未导致设备大面积瘫痪、系统服务中止、数据信息大面积丢失或泄露的安全突发事件。

（二）重大突发网络安全事件，由于人为、自然或系统自身原因发生对设备或信息系统构成重大安全威胁，已经导致设备大面积或全面瘫痪、系统服务中止、数据信息大面积丢失或泄露的安全突发事件。

第二十五条 应急处理流程

（一）普通突发网络安全事件的处理流程

（1）值班人员发现突发事件首先进行判断，确定应急级别和信息系统资产归属情况，通知信息系统资产负责人，值班人员协助负责人保存系统日志及系统信息，防止突发事件造成的影响进一步扩大，处理完毕后，报告专家技术小组，同时，记录紧急事件发生的时间、现象和解决处理办法。

（2）如在15分钟之内无法恢复损失，立即通知专家技术小组请求援助，同时，记录紧急事件发生的时间和现象，填与《安全事件报告单》。

（3）专家技术小组接到报障后，组织主要技术人员，必须在30分钟内提出解决办法，并指挥进行现场应急恢复工作；如需要设备厂家技术人员协助，由信息系统资产负责人领导请求协调帮助。

（4）对设备类突发事件采用重启、更换受损硬件、恢复配置等技术手段进行紧急修复。

（5）对信息系统类突发事件，首先明确事故范围和对象，再对受损系统进行断网处理，防止突发事件造成的影响进一步扩大，通过备份机制进行系统和数据恢复工作，同时，根据预警响应、审计、监控、网关过滤等安全系统或网管系统确定攻击源，并对其进行阻断或隔离技术处理，对事故范围内的主机进行漏洞扫描和安全补漏、病毒检测和清除、恶意程序查杀、恢复配置等检查和处理工作。

（6）恢复正常网络服务。

（7）事故处理完毕后，专家技术小组统计资产受损情况，并填写《安全事件处理报告》，记录解决处理办法以供类似事件发生时参考；

（二）重大突发网络安全事件的处理流程

（1）值班人员发现突发安全事件，判定为重大应急级别，立即通知专家技术小组和信息系统资产负责人，同时记录突发事件发生的时间和现象，填与《安全事件报告单》，下达事件处理任务。

（2）专家技术小组接到报障后，立即上报信息网络中心领导及网络与信息安全领导小组；在网络与信息安全领导小组的统一指挥下，组织专家技术小组所有技术人员协同信息系统负责人，在最短时间内制订出解决方案，并实施应急措施。如需要设备厂家技术人员协助，由信息系统资产负责人领导请求协调帮助。

如果重大突发事件发生在工作时间，信息网络中心所有有关技术人员统一听从信息网络中心领导安排，不得擅自离开岗位；

（3）对设备类突发事件采取启用备份和冗余系统、更换受损硬件、恢复配置等技术手段进行紧急修复。

（4）对信息系统类突发事件，首先对受损系统机进行断网处理，然后进行漏洞扫描和安全补漏、病毒检测和清除、恶意程序查杀、恢复配置等检查和处理工作，必要时进行系统重装工作。

（5）所有受损系统恢复正常后，通过备份机制进行数据恢复工作，如有重要数据无法恢复，经信息系统资产负责人领导同意，可请专业机构协助恢复，但是必须确保涉密信息安全，不被泄露，并做相关记录。

（6）所有系统和数据恢复正常后，首先启动预警响应、审计、监控、网关过滤等安全系统，检查恶意攻击和非法信息是否持续，并对其进行阻断或隔离技术处理。确保网络环境正常后，逐步启动各个应用系统，网络服务恢复正常运行；

（7）同时，对所有终端进行全面清查工作，对未安装相关安全补丁或已经感染病毒或黑客程序的主机，立即对其进行断网处理，同时，直接通知用户或通过二级单位安全管理员进行协调，督促其完成补丁安装工作，并使用杀毒或黑客检测工具进行查杀后方可恢复正常使用。

（8）事故处理完毕后，专家技术小组统计资产受损情况，编写《安全事件处理报告》，说明所做的每一步处理工作内容，供类似事件发生时参考。

（三）其它应急事件处理

（1）火灾。火灾发生后，立刻拔打火警电话119，同时启动机房灭火消防设备。如果计算机设备受到损坏，在初步查明损坏情况后，2小时内向网络与信息安全领导小组提供书面报告。

（2）计算机、网络设备丢失。事件发生后，设备资产负责人立即到达现场，同时向保卫处报告失窃情况，并由保卫处负责失窃调查的后续工作，在初步查明损失情况后，及时向信息中心领导提供书面报告。

（3）机房供电异常中断。机房管理员接到供电中断信息后，立即到达现场，负责检查UPS供电及机房设备是否运转正常，并向信息中心领导汇报情况，向后勤部报修并了解断电原因、恢复时间。如果供电异常中断导致机房设备损坏，在初步查明损坏情况后，及时向信息中心领导提供书面报告。

（4）信息网络设备重大故障。信息网络设备重大故障指信息网络设备由于自身原因导致的硬件故障。设备资产负责人必须立即向信息中心领导报告故障情况，根据领导指示，设备资产负责人会同设备服务厂商，及时发现故障点，并联系备品备件，在最短时间内修复故障，保障数据安全。故障处理完毕，设备资产负责人写出信息网络设备故障处理报告，报信息中心领导。

如果信息网络设备故障导致数据丢失，设备资产负责人负责将备份数据进行恢复，并分析数据损失情况，报信息中心领导。

（四）应急响应终止后的行动

（1）审查所有应急记录和文件等资料；

（2）总结和评价导致应急响应工作的突发事件情况和在应急响应期间采取的主要行动；

（3）必要时修改应急计划；

（4）视情节轻重，依据有关法规和管理制度，追究有关违规人员的责任并予以处罚。

（5）向网络与信息安全领导小组提交书面总结报告，总结报告应包括下列基本内容：发生突发事件的基本情况和原因、发展过程及造成的后果分析和评价、采取的主要应急响应措施和有效性、主要经验教训和有关违规人员等。

第七章 应急响应预案维护

第二十六条 定期修订。为了切实做好信息网络安全运行管理工作，满足实际情况的要求，应不断完善应急方案内容，需定期对应急预案进行评估和修订。

第二十七条 及时修订。根据国家有关法律法规的变化情况，结合信息中心技术、管理和服务的情况变化，以及在处理突发安全事件过程  中，可及时对应急预案进行修改和完善。