阜新高等专科学校网络安全事件应急预案

第一章 总则

第一条 为加强校园网络安全管理，进一步提升我校防控和处理网络安全事件的能力和水平，逐渐形成快速高效、科学有序的应急机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大程度预防和减少网络安全突发事件及其造成的损害，保障校园网络和信息资产安全，依据《中华人民共和国突发事件应对法》、《中华人民共和国计算机信息系统安全保护条例》、《中国人民共和国网络安全法》、《信息安全技术 信息安全事件分类分级指南》（GB/Z 20986-2007）、《辽宁省人民政府突发事件总体应急预案》、《辽宁省网络安全事件应急预案》等相关法律法规及有关规定，结合我校实际，特制定本应急预案。

第二条 本预案适用于我校各类信息系统及其基础设施，包括网络设备、管理系统、互联网网站、联网计算机、移动终端、通讯平台等发生或可能导致发生网络安全突发事件的应急处置。

第三条 本预案坚持“统一领导，预防为本，快速反应，科学处置”的原则，最大可能降低网络安全事件对学校造成的危害和影响。

第四条 本预案所称网络安全事件是指我校各类信息系统及其基础设施突然遭受不可预知外力的破坏、毁损或故障，对国家、社会、公众、学校、师生造成或者可能造成重大危害或损失，危及公共安全的紧急事件。

第二章 组织机构与职责

第五条 学校成立校园网络安全领导小组，领导小组的主要职责是统一领导全校网络安全应急工作，组长由校长吕东春担任，副组长由王立槐、王立宏、刘振宇、魏彤光担任，小组成员由王春梅、王君子、董军、徐辉、王国成、赵宏、李春雨、吴迟、隋潮、李宁、王康担任。领导小组主要职责如下：

（一）研究制订学校网络安全应急处置工作的制度和措施，协调推进学校网络与信息安全应急机制和工作体系建设；

（二）检查、指导和督促网络安全应急机制建设，指导督促关键信息系统应急预案的修订和完善，检查落实预案执行情况；

（三）统筹学校各类网络安全突发事件的协调和处理工作；

（四）对网络安全突发事件相关信息进行及时收集和分析，组织重大事件的研判、调查、处置和总结评估工作。

第六条 领导小组主要成员工作职责。

（一）校（党委）办公室：负责网络安全事件应急处置的协调和处理工作；对于敏感时期、重要活动、重要会议期间的网络安全或重大网络安全事件依据本预案进行专项部署或处置工作。

（二）党委宣传统战部：负责学校舆情监测和信息内容安全事件的处置工作；对于涉及师生思想政治方面的预警性、倾向性、苗头性问题进行分析研判；对于校内危害国家安全、社会稳定和学校正常教学秩序的信息，以及校外恶意诋毁或虚假报道我校的信息，负责会同有关部门及时清理或正面回复，进行网络舆情正面引导。

（二）信息管理中心：负责日常网络安全监控、预警和初期定级工作；负责突发网络安全事件服务器端和网络层面的技术处置与调度工作，并为学校各党政部门（以下简称部门）、各系部的网络安全事件应急处置提供技术指导；负责校园网基础设施的安全，保证校园网络服务不中断；负责系统崩溃、病毒攻击、非法入侵、网络攻击、设备故障类事件的处置工作。

（四）教务处：负责保障正常的教学秩序，网络安全应急工作教学保障和资源调配，提高教师网络安全意识和防范能力。

（五）学生处、团委：负责网络安全应急学生管理工作，保障正常的学生秩序，正面宣传和提高学生网络安全意识。

（六）保卫处：密切联系公安部门，负责涉及人为破坏类事件的应急处置；配合完成重大网络安全事件的应急处置工作；对于触犯法律法规及学校规章制度行为追究相关责任。

（七）总务处：负责网络安全事件应急处置的后勤保障工作，主要包括电力保障、设施、场地及基础设备的保障等。

第七条 各部门要成立网络安全工作小组。部门主要负责人为工作小组组长，全面负责本部门网络安全工作，指定专人为部门网络安全员，负责本部门日常网络安全管理工作。

第三章 网络安全事件分类

依据网络安全事件的起因、表现、结果等，将网络安全事件划分为七个类别：有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障事件、灾害性事件和其他事件。

第八条 有害程序事件

有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的网络安全事件。

有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。有害程序包括：

1．计算机病毒：是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制。

2．蠕虫：是指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有害程序。

3．特洛伊木马：是指伪装在信息系统中的一种有害程序，具有控制该信息系统或进行信息窃取等对该信息系统有害的功能。

4．僵尸网络：是指网络上受到黑客集中控制的一群计算机，它可以被用于伺机发起网络攻击，进行信息窃取或传播木马、蠕虫等其他有害程序。

5．混合攻击程序：是指利用多种方法传播和感染其它系统的有害程序，可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。

6．网页内嵌恶意代码：是指内嵌在网页中，未经允许由浏览器执行，影响信息系统正常运行的有害程序。

7．其它有害程序：是指不能包含在以上6类之中的有害程序。

第九条 网络攻击事件

网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的网络安全事件。网络攻击事件包括：

1．拒绝服务攻击事件：是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的网络安全事件。

2．后门攻击事件：是指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施攻击的网络安全事件。

3．漏洞攻击事件：是指除拒绝服务攻击事件和后门攻击事件之外，利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞，对信息系统实施攻击的网络安全事件。

4．网络扫描窃听事件：是指利用网络扫描或窃听软件，获取信息系统网络配置、端口、服务、存在的脆弱性等特征而导致的网络安全事件。

5．网络钓鱼事件：是指利用欺骗性的计算机网络技术，使用户泄漏重要信息而导致的网络安全事件。

6．干扰事件：是指通过技术手段对网络进行干扰，或对广播电视有线或无线传输网络进行插播，对卫星广播电视信号非法攻击等导致的网络安全事件。

7．其他网络攻击事件：是指不能被包含在以上6类之中的网络攻击事件。

第十条 信息破坏事件

信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的网络安全事件。信息破坏事件包括：

1．信息篡改事件：是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的网络安全事件。

2．信息假冒事件：是指通过假冒他人信息系统收发信息而导致的网络安全事件。

3．信息泄漏事件：是指因误操作、软硬件缺陷或电磁泄漏等因素导致信息系统中的保密、敏感、个人隐私等信息暴露于未经授权者而导致的网络安全事件。

4．信息窃取事件：是指未经授权用户利用可能的技术手段恶意主动获取信息系统中信息而导致的网络安全事件。

5．信息丢失事件：是指因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的信息丢失而导致的网络安全事件。

6．其它信息破坏事件：是指不能被包含在以上5类之中的信息破坏事件。

第十一条 信息内容安全事件

信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。信息内容安全事件包括以下4类：

1．违反宪法和法律、行政法规的网络安全事件。

2．针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的网络安全事件。

3．组织串连、煽动集会游行的网络安全事件。

4．不能被包含在以上3类之中的其他信息内容安全事件。

第十二条 设备设施故障事件

设备设施故障事件是指由于信息系统自身故障或外围保障设施故障而导致的网络安全事件，以及人为的使用非技术手段有意或无意造成信息系统破坏而导致的网络安全事件。设备设施故障事件包括以下4类：

1．软硬件自身故障事件：是指因信息系统硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的网络安全事件。

2．外围保障设施故障事件：是指由于保障信息系统正常运行所必须的外部设施出现故障而导致的网络安全事件。

3．人为破坏事件：是指人为蓄意对保障信息系统正常运行的硬件、软件等实施窃取、破坏造成的网络安全事件；或由于人为的遗失、误操作以及其他无意行为造成信息系统硬件、软件等遭到破坏，影响信息系统正常运行的网络安全事件。

4．其它设备设施故障事件：是指不能被包含在以上3类之中的设备设施故障而导致的网络安全事件。

第十三条 灾害性事件

灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的网络安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的网络安全事件。

第十四条 其他事件。

其他事件是指不能归为以上6个基本分类的网络安全事件。

第四章 网络安全事件分级

依据信息系统的重要程度分级、系统损失分级和社会影响分级，将网络安全事件划分为四个等级：特别重大事件（Ⅰ级）、重大事件（Ⅱ级）、较大事件（Ⅲ级）和一般事件（Ⅳ级）。

第十五条 信息系统的重要程度分级。依据信息系统所承载的业务对国家安全、经济建设、社会生活、学校整体工作的重要性以及业务对信息系统的依赖程度，将信息系统划分为三个等级：Ⅰ级：特别重要信息系统；Ⅱ级：重要信息系统；Ⅲ级：一般信息系统。

第十六条 系统损失分级。系统损失是指由于网络安全事件对信息系统的软硬件、功能及数据的破坏导致系统业务中断，从而给学校所造成的损失。依据恢复系统正常运行和消除安全事件负面影响所需付出的代价，将系统损失划分为四个等级：

Ⅰ级：特别严重的系统损失。造成系统大面积瘫痪，使其丧失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大，对于学校是不可承受的。

Ⅱ级：严重的系统损失。造成系统长时间中断或局部瘫痪，使其业务处理能力受到极大影响，或系统关键数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大，但对于学校是可承受的。

Ⅲ级：较大的系统损失。造成系统中断，明显影响系统效率，使重要信息系统或一般信息系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价较大，但对于学校是完全可以承受的。

Ⅳ级：较小的系统损失。造成系统短暂中断，影响系统效率，使系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到影响，恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。

第十七条 社会影响分级。社会影响是指网络安全事件对社会所造成影响的范围和程度。依据对国家安全、社会秩序、经济建设、公众利益、学校利益等方面的影响，将社会影响划分为四个等级：

Ⅰ级：特别重大的社会影响。波及到一个或多个省市的大部分地区，极大威胁国家安全，引起社会动荡，对学校利益有极其恶劣的负面影响，或者严重损害公众利益。

Ⅱ级：重大的社会影响。波及到一个或多个地市的大部分地区，威胁到国家安全，引起社会恐慌，对学校利益有重大的负面影响，或者损害到公众利益。

Ⅲ级：较大的社会影响。波及到一个或多个地市的部分地区，可能影响到国家安全，扰乱社会秩序，对学校利益有一定的负面影响，或者影响到公众利益。

Ⅳ级：一般的社会影响。波及到一个地市的部分地区，对国家安全、社会秩序、经济建设和公众利益基本没有影响，但对个别公民、师生或学校的局部利益会造成损害。

第十八条 网络安全事件分级。

Ⅰ级：特别重大事件。特别重大事件是指能够导致特别严重影响或破坏的网络安全事件，包括：

1．Ⅰ级信息系统遭受Ⅰ级系统损失；

2．产生Ⅰ级社会影响；

3．引发学校大规模群体性事件，对学校正常工作造成特别严重损害，事态发展超出学校网络安全领导小组控制能力，需上报上级主管部门。

Ⅱ级：重大事件。重大事件是指能够导致严重影响或破坏的网络安全事件，包括：

1．Ⅰ级信息系统遭受Ⅱ级系统损失，或Ⅱ级信息系统遭受Ⅰ级系统损失；

2．产生Ⅱ级社会影响；

3．引发师生强烈反应并有过激行为，对学校正常工作造成严重损害，事态发展超出信息管理中心控制能力，需上报学校网络安全领导小组协同处理。

Ⅲ级：较大事件。较大事件是指能够导致较严重影响或破坏的网络安全事件，包括：

1．Ⅰ级信息系统遭受Ⅲ级系统损失，或Ⅱ级信息系统遭受Ⅱ级系统损失，或Ⅲ级信息系统遭受Ⅰ级系统损失；

2．产生Ⅲ级社会影响；

3．对学校正常工作造成一定损害，信息管理中心可以自行协调其他部门处理，并上报领导小组。

Ⅳ级：一般事件。一般事件是指不满足以上条件的网络安全事件，包括：

1．Ⅰ级信息系统遭受Ⅳ级系统损失，或Ⅱ级信息系统遭受Ⅲ级系统损失，或Ⅲ级信息系统遭受Ⅱ级或Ⅱ级以下级别的系统损失；

2．产生Ⅳ级社会影响；

3．对学校某些工作具有一定影响，但不危及学校整体工作，信息管理中心可以自行处理。

第五章 预防措施

第十九条 加强网络安全管理，信息管理中心负责制定、完善和落实学校网络和信息系统的规章制度、管理办法和操作规程等，建立完善的制度保障体系，建立预报预警监测体系，保证学校信息技术人员做到有章可循，避免和减少网络安全事件发生。

第二十条 健全技术防护体系，进行实时监测和定期扫描，发现异常情况及时防范处理并逐级报告。做好操作系统升级杀毒、日志、数据备份、安全审计等日常管理工作。

第二十一条 建立网络安全巡查制度。党委宣传统战部及各部门（系部）网站管理员应随时监控网站内容，严格执行值班制度，做好校园网络安全的日常巡查及日志保存工作，以保证最先发现网络安全事件并及时处置突发性事件。

第二十二条 加强对学校各部门（系部）信息技术人员的思想、业务和技术培训教育，提高综合素质，避免人为操作失误，提高应急分析处理能力。

第二十三条 建立值守制度，做到网络安全事件早发现、早报告、早控制、早解决，定期组织应急演练。

第六章 报告与处置

网络安全事件的报告与处置分为三个步骤：事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置。

第二十四条 事发紧急报告与处置。

1．网络与信息系统运维操作人员一旦发现上述安全事件，应根据实际情况第一时间采取断网等有效措施进行处置，将损害和影响降到最小范围，并报告网络安全责任人。

2．各部门网络安全责任人接到报告后，应立即组织技术人员赶赴现场进行紧急处置，同时以口头或通讯的方式将相关情况报告至信息管理中心。

3．信息管理中心接到报告后，应进一步判定安全事件等级，对确认属于I至Ⅲ级的网络安全事件应报告学校网络安全领导小组，并会同其他应急处置部门做好应急处置工作，对确认属于Ⅳ的网络安全事件由信息管理中心进行应急处置并汇报。涉及人为主观破坏事件同时报告校保卫处，协助公安机关做好相关取证和处置工作。

4．紧急报告内容包括：时间地点、简要经过、事件类型与分级、影响范围、危害程度、初步原因分析、已采取的应急措施。

5．事发部门应及时跟进事件发展情况，出现新的重大情况应及时补报。

第二十五条 事中情况报告与处置。

1．事中情况报告应在网络安全事件发现后3分钟内做出有效反应，2小时内以书面报告的形式进行报送。

2．事中情况报告由事发部门的安全负责人组织相关部门共同编写，由各部门主要负责人审核后，签字并加盖公章后报送至学校网络安全领导小组。

3．网络安全事件的事中情况报告包括：系统损失情况，事件造成的影响和危害程度，查找和分析事件的原因，系统修复情况，减少事件对正常工作影响的具体措施等。

第二十六条 事后整改报告与处置。

1．事后整改报告应在网络安全事件处置完毕后2个工作日内以书面报告的形式进行报送。

2．事后情况报告由事发部门安全负责人组织相关部门共同编写，由本部门主要负责人审核后，签字并加盖公章报送至学校网络安全领导小组。

3．网络安全事件事后整改报告包括：进一步总结事件教训，研判安全现状，排查安全隐患，进一步加强制度建设，提升安全防护能力等。

第七章 附则

第二十七条 本预案由党委宣传统战部、信息管理中心负责解释。

第二十八条 本预案自发布日起施行。

阜新高等专科学校

2019年6月26日