学院网络与信息安全应急预案及报告制度

学院网络与信息安全应急预案及报告制度第一章总则第一条目的为了提**学院（以下简称“学院”）对门户网站系统网络与信息安全事件的处置能力，形成科学、规范、迅速的应急工作机制，最大限度的预防和减少网络与信息安全事件及其造成的损害和影响，保证门户网站系统安全稳定运行，特制订本应急预案第二条编制依据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国突发事件应对法》、《国家网络安全事件应急预案》、《突发事件应急预案管理办法》、《互联网信息服务管理办法》、《国家信息化工作领导小组关于加强信息安全保障工作的意见》等有关法规文件精神第三条基本原则在学院网络安全和信息化工作领导小组的领导下，做好网络与信息安全应急工作，按照“谁主管谁负责，谁使用谁负责，谁运维谁负责”的原则，部门负责人为网络安全第一责任人

（一）预防为主立足安全防护，强化安全预警，从预防、监控、应急处理、应急保障等环节，采取多种措施，有为严重应急事件的情况第五章应急响应和处置第十七条事件信息报告

（一）报告方式.根据事件的类型及紧急程度及时向应急领导小组报告（口头或者书面报告），并制定具体解决措施.下级政务服务管理机构确定事件为较大（重大）信息险情时，报门户网站系统应急领导小组备案

（二）报告内容事件的基本信息（故障发生的时间、故障点、故障情况）、类型、涉及的网络、当前的状态及可能造成的后果，以及解决的建议和措施

（三）报告流程说明

1、报告流程说明第十八条应急处置流程说明

1、应急处置流程说明第十九条现场处置抑制事件的影响进一步扩大，限制潜在的损失与破坏对事件分类进行如下处理

（一）网页被篡改.立即断网，并尽可能的保护服务器现有证据，做服务器硬盘镜像备份；.寻找可能存在的web安全漏洞，比如网站使用的框架、CMS漏洞等；.webshell查杀，发现可疑木马，木马分析；.日志分析门户网站系统访问日志和系统安全日志；.查找出可疑文件，删除脚本木马.部署网页防篡改系统，以及为服务器升级最新的安全补丁程序和封闭未用但开放的网络服务端口以及未使用的服务；.记录全部处理过程

（二）计算机病毒.断网、升级系统补丁及防病毒软件，查找病毒源，进行杀毒；.短时间不能杀毒的，应向有关部门进行报告，提供病毒样本；.查找计算机病毒感染的存储介质；.对病毒利用的系统漏洞要通过补丁和升级的方式进行填补；.记录全部处理过程

（三）黑客入侵.采取必要措施抵御入侵行为，保护系统和数据安全，利用完整性检查工具进行检查，必要时向公安机关报告并申请技术协助.记录系统运行状况；.立即复制系统登录文件、历史文件、日志文件等重要文件；.修改防火墙、路由器等网络安全设备的过滤规则；.断开被攻主机、关闭不需要的服务；.处理可疑的文件和程序；.修改不安全的帐号和口令；.恢复被修改的软件和数据；.安装相应的补丁程序，填补安全漏洞；.编写报告，详述事件过程及处理步骤

（四）网络中断.广域网无法使用路由器、交换机、防火墙等硬件故障使用备份端口或备份硬件，并检查或配置相关内容，与供应商联系，尽早解决问题通信线路故障关键业务使用应急通信线路，向受影响的单位发出通报，立即与线路供应商联系，在线路供应商承诺的时间内解决问题网络带宽阻塞通过网管软件，判断阻塞原因及阻塞包发包点，再按情况逐个断网排查，直至网络恢复正常对已断网计算机进行系统补丁升级、查毒等方式，找到原因并恢复正常后方能接入网络.局域网无法使用路由器、交换机、防火墙等硬件故障使用备份端口或备份硬件，并检查或配置相关内容，与供应商联系，尽早解决问题；通信线路故障用测网仪进行测试，用好的网线进行替代，关键业务使用应急通信线路，向受影响的单位发出效预防网络与信息安全事故的发生

（二）果断处置一旦发生网络与信息安全事故，应迅速反应，及时启动应急处置预案，尽最大努力减少损失和影响，尽快恢复网络与系统运行第四条适用范围本预案适用于**学院门户网站系统及内部网络因有害程序、网络攻击、信息破坏、信息内容安全、故障和灾害等导致的网络与信息安全突发事件的应急处置工作，或学院信息化领导小组认为必要时启动本预案第五条术语和定义

（一）信息安全事件由于自然或者人为的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件

（二）信息系统由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统

（三）信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响

（四）脆弱性可能被威胁所利用的资产或若干资产的薄弱环节

（五）系统损失系统损失是指由于网络与信息安全事件对网络与信息通报，立即与线路供应商联系，在线路供应商承诺的时间内解决问题网络带宽阻塞通过网管软件，判断阻塞原因及阻塞包发包点，再按情况逐个断网排查，直至网络恢复正常对已断网计算机进行系统补丁升级、查毒等方式，找到原因并恢复正常后方能接入网络第二十条事件后期恢复及评估

（一）清理系统、恢复数据、程序、服务把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态恢复工作应该十分小心，避免出现误操作导致数据的丢失另外恢复工作中如果涉及到机密数据，需要额外遵照机密系统的恢复要求

（二）备份硬件设备或配件代替使用后，应及时将损坏设备进行维修或者更新

（三）检查威胁造成的结果，评估事件带来的影响和损害如检查系统、服务、数据的完整性、保密性或可用性检查攻击者是否侵入了系统，以后是否能再次随意进入，损失的程度，确定暴露出的主要危险等第二十一条总结报告每次应急处置完成后对应急事件进行分析，形成总结报告报告应包括事件发生时间、参与人员、采取的措施及效果、事件损失评估，经验教训等内容第6章防止境外敌对势力入侵为防止境外敌对势力利用网络对学院网络设备、门户网站的入侵，应做好以下工作第二十三条门户网站采用包装外壳、设置IP甄别库的方式，防止境外IP对网站进行访问或嗅探第二十四条加强防火墙等网络安全设备规则库完善，及时更新规则库、病毒库，防止可疑地址访问学院内部资源第二十五条对入侵事件发生的情况，按照本制度第五章之规定执行第7章监督管理第二十六条宣传培训要充分利用各种传播媒介及有效的形式，加强网络与信息安全突发公共事件应急和处置的有关法律法规和政策的宣传，开展预防、预警、自救、互救和减灾等知识的宣讲活动，普及应急救援的基本知识，提高公众防范意识和应急处置能力要加强对网络与信息安全等方面的知识培训，提高防范意识及技能，指定专人负责安全技术工作并将网络与信息安全突发公共事件的应急管理、工作流程等列为培训内容，增强应急处置工作的组织能力第二十七条责任与奖惩信息技术处要认真贯彻落实预案的各项要求与任务，建立监督检查和奖惩机制应急领导小组将不定期进行检查，对各项制度、计划、方案、人员等进行实地验证第七章附则第二十八条本应急预案由**学院信息技术处负责解释第二十九条本应急预案自发布之日起实施附件1网络与信息安全应急信息报告单网络与信息安全应急信息报告单报告时间年月日时事件起始时间年月日时审核人口有害程序类事件口网络攻击类事件□信息破坏类事件事件分类口信息内容安全类事件口故障类事件口灾害类事件□其它类事件事件级别口1级口11级口山级口级口网络中断口系统瘫痪口数据毁坏口数据泄密口危害表象其它危害事件描述（包括突发事件发生原因、性质，初步原因和危害程度判断）:处置措施（突发事件发生单位已采取的控制措施及其他应对措施）附件2应急处置报告应急处置报告应急事件报告单位、部门应急事件发生时间□I级（特别重大）口11级（重大）口山级（较大）口!¥级（一般）应急启动确认签字应急事件处理过程描述:应急事件处理分析原因、结果、结束时间:系统的软硬件、功能及数据的破坏，导致系统业务中断，从而给学院和国家所造成损失，其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价系统损失的级别判定标准如表1所示表1系统受损程度分级定义

（六）社会影响社会影响是指网络与信息安全事件对社会所造成影响的范围和程度，其大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响社会影响程度即学院形象受损程度判定标准如表2所示表2形象受损程度分级定义

（七）网络与信息安全突发事件分级按照网络与信息安全事件的危害程度、影响范围和造成的损失，将学院安全事件分为特别重大事件、重大事件、较大事件和一般事件四个级别（A）应急响应分级学院网络与信息安全突发事件的应急响应由高到低分为四级，即I、n、m、w级响应，分别与学院突发事件分级由高到低—对应第二章组织机构及职责第五条领导机构成立**学院安全及应急处置领导小组（以下简称“领导小组”），具体负责**学院网络与信息安全应急预案的实施领导小组组长由学院院长担任，副组长由学院分管网络安全副院长担任，成员由学院业务处室及信息化负责人组成，领导小组下设办公室和应急处置小组在信息技术处第六条领导小组主要职责

（一）领导并监督**学院网络与信息安全应急预案执行并提供人员及经费上的支持

（二）指导下级单位的计算机系统应急领导小组工作，保证扩大化网络故障处理的联动机制，实现互相间的协调和配合

（三）指挥和协调门户网站系统网络及信息安全应急处置工作

（四）定期对应急处置小组成员进行有针对性的培训及应急演练

（五）负责应急预案更新及修订的审定

（六）决定I、n、m级（特别重大、重大、较大）网络及信息突发事件应急预案的启动和停止和是否要向省应急办、省公安厅网警总队报备

（七）负责应急处置方案的审定和批准第七条信息技术处（领导小组办公室）及主要职责领导小组下设办公室和应急处置小组在信息技术处，由学院信息技术处人员组成及有关公司项目负责人组成，组长由信息化负责人担任

（一）负责应急预案的编写和修订

（二）按照应急工作领导小组要求开展工作

（三）在应急事件发生后根据实际情况判断启动几级应急预案，并及时向领导小组汇报工作进展情况

（四）负责根据事件危害程度，向应急领导小组提供应急处置方案，供领导决策

（五）负责根据突发事件的发展和事件级别判断是否要上报市应急办和市公安网警部门

（六）决定皿级（一般的）网络及信息突发事件应急预案的启动和停止

（七）负责组织华为云运维人员、系统开发公司、渤泰网络科技公司相关技术人员对突发事件进行处置第八条应急处置小组应急处置小组，由学院信息技术处和门户网站系统相关服务单位技术人员组成，如华为云、渤泰网络科技公司等门户网站系统相关服务单位，组长由学院信息技术处负责人担任第九条应急处置小组主要职责

（一）负责按照信息技术处要求开展工作

（二）负责根据事件危害程度，向信息技术处提供应急处置方案，供信息技术处参考

（三）负责对因有害程序、网络攻击、信息破坏、信息内容安全、故障和灾害等导致的网络与信息安全突发事件进行处置

（四）负责对突发事件原因分析和应急处置进行总结第三章应急保障措施第十条系统和数据备份充分利用华为云系统平台功能做好系统和数据的备份工作第十一条技术储备与保障**学院应急领导小组在平时应加强技术储备与保障管理工作，建立通信保障应急管理机构与专家的日常联系和信息沟通机制，适时组织相关专家和机构分析当前门户网站系统网络安全，对网络应急预案及实施进行评估，开展现场研究，加强技术储备第十二条宣传、培训和演习加强对门户网站系统使用人员的安全宣传教育工作，全面提高网络和系统使用人员的安全意识；每年对门户网站系统应急领导小组和应急处置小组成员进行技术培训和应急演练，保证应急预案的有效实施，提高通信保障应急的能力第十三条应急文档的备存

（一）各类网络设备和服务器、计算机及其附属设备的型号、序列号等；

（二）硬件设备供应商、生产厂商的电话、联系人、网址；

（三）操作系统、关键业务应用软件开发商或供应商的电话、联系人；

（四）门户网站系统网络拓朴图；

（五）路由器、防火墙、入侵检测设备的配置文档，服务器登录用户及密码文档；

（六）各类软件的技术文档及其他需要保存的文档第十四条应急设备及软件备存

（一）正版操作系统启动盘、安装盘；

（二）正版防病毒软件（注明安装及升级序列号）；

（三）数据库管理系统软件；

（四）备用网线，万用表、测网仪、螺丝刀等必要工具；

（五）其它必备的应急工具第四章预防和预警机制第十五条日常预防管理

（一）定期检查服务器、安全设备、重要网络设备及应用系统

（二）及时更新防病毒软件病毒库

（三）定期对所有系统进行漏洞扫描、补丁修复

（四）定时备份重要数据

（五）特殊时期实行值班制度

（六）报告所发现的安全弱点和可疑事件，但任何情况下发现人员均不应尝试验证弱点第十六条预警机制预警信息分为外部预警信息和内部预警信息两类外部预警信息指本单位外突发的可能破坏网络或者最新病毒等可能产生重大影响的事件警报;内部预警信息指单位内通信网络的中断或部分计算机系统崩溃对业务操作有影响的事件警报应急处置小组获得外部预警信息后，对预警信息加以分析，通知做好预防和网络保障应急准备工作，并报备应急领导小组；通过监测或普通操作人员报告获得内部预警信息分析后按照早发现、早报告、早处置的原则，解决可能演变涉及部门涉及角色流程节点名称工作指引时间要求输入信息输出信息应急领导小组组长掌握信息掌握了解本单位I、n级应急响应事件相关信息立即《应急响应信息报告单》副组长掌握信息掌握了解本单位I、n、in级应急响应事件相关信息立即《应急响应信息报告单》成员掌握信息掌握了解本单位I、n、in级应急响应事件相关信息立即《应急响应信息报告单》是否需要报送市应急办、市网整

1.对突发事件发生的可能性及其可能造成的影响范围进行评估并确定是否通知政府相关部门立即《应急响应信息报告单》《应急响应信息报告单》信息技术处负责人上报市应急办、市网整根据突发事件的影响范围和程度的判断结果，如果本单位应急处置小组无法控制和处置安全事件时立即突发事件的影响范围和程度的判断结果《应急响应信息报告单》信息报送将I、n、in级应急响应信息报告单分别报送组长和副组长30分钟《级应急响应信息报告单》《级应急响应信息报告单》判断应急响应级别根据值班人员对突发事件信息汇总分析结果判断，达到几级事件条件立即《应急响应信息报告单》判断结果成员总结、评估、备案

1、根据信息技术处上报的应急响应信息报告单进行分析，若未达到本单位I、II级应急响应条件的，对突发网络与信息安全事件进行总结、评估和备案；

2、根据应急领导小组的指示，对本单位I、II级应急响应突发事件进行总结、对影响情况进行评估并备案必要时《应急响应信息报告单》《突发事件总结报告》《突发事件评估报告》信息汇总分析值班人员收集整理突发事件信息和各级单位对突发事件发展情况监测预报信息，并进行分析上报部门负责人每天上午8时30分、应急信息《应急响应信息报告单》网络安全监值班人员应急信息报告当发现突发网络与信息安全事件，立即口头汇报信息技术处，并在30分钟内书面形式报告30分钟应急信息《应急响应信息报告单》控中心涉及部门涉及角色流程节点名称工作指引时间要求输入信息输出信息1」、n级应急响应由学院应急领导小组组长负责指挥；

2.应急响应期间，由应急领导小组统一调配队伍在I、II应急领导小组组长批准签发级应急响应期间必要时协调网内外力量给予支援当学院应急队伍不能满足应急需求时，可以立即向市应急办或市网安部门申请

3.值守工作要求由信息技术处牵头组织，组长带班、处置即会议决策形成的决议和文件《应急响应启动通知单》小组轮流值守；处置小组24小时在应急领导小组值守；每日8时30和18时30进行轮换

4、在启动I、II级应急响应后，对应急处置工作进行重点要求，并下达指令

5、根据应急信息和紧急会议汇总上报的问题，下达应急处置工作指令，协调应急处置工作应急领导小组副组长批准签发i.in级响应由学院应急领导小组副组长负责指挥；

2.值守工作要求由信息技术处牵头组织，副组长带班、各工作组分班轮流值守；各工作组24小时在应急领导小组值守；每日8时30和18时30进行轮换

3、在启动ni级应急响应后，对应急处置工作进行重点要求，并下达指令

4、在ni级应急响应期间，根据应急指挥部值班室信息上报的情况，必要时召开应急会议提出重点工作要求

5、根据应急信息和紧急会议汇总上报的问题，下达应急处置工作指令，协调应急处置工作每日会议决策形成的决议和文件《应急响应启动通知单》信负批准

1.IV级响应由学院信息技术处每会议《应息技术处责人签发负责人负责指挥；

2.值守工作要求由信息技术处牵头组织，副组长带班、各工作组分班轮流值守；各工作组24小时在应急领导小组值守；每日8时30和18时30进行轮换

3、在启动IV级应急响应后，对应急处置工作进行重点要求，并下达指令

4、在IV级应急响应期间，根据应急指挥部值班室信息上报的情况，必要时召开应急会议提出重点工作要求

5、根据应急信息和紧急会议汇总上报的问题，下达应急处置工作指令，协调应急处置工作日决策形成的决议和文件急响应启动通知单》启动响应接收应急领导小组和信息技术处负责人的工作指令即指令文件指令文件组织会商汇总应急工作组及相关实施单位应急处置信息，并将问题进行汇总每日应急工作组及相关实施汇总的各类应急信息单位应急处置信息按照工作组内部流程实施应急应急监督处置，并对相关实施单位的应工作处置跟踪急处置情况进行监督跟踪即方案记录

1、收集汇总应急工作组及相关实施单位应急处置情况判断

2、综合分析突发事件发展情突发突发应急况，判断是否达到IV级应急响每事件事件响应应启动条件日处置处置相级别

3、综合分析突发事件发展情意见意见关况，判断是否达到I、n、in成级应急响应启动条件员应急工作相关组及汇总信息分职能、专业收集信息，对信每相关的各的收息进行汇总、分析和传报H实施类应集传单位急信报应急息处置信息统计、报送信息安全事件，并提出专业意见工作人员根据信息技术处下发的重点工作要求及对职能范围能直接处置的工作应拟定初步的工作方案，并在实施过程中不断完善工作方案30分钟内上级下发的重点工作要求工作方案应急处置小组现场工作组现场应急处置按照上级部门下发的重点工作要求及时处置，并每天上报执行情况每日工作方案完成情况反馈记录应急结束确认签字信息系统受损程度分级定义特别严重损失系统已宕机丧失业务处理能力；或系统/用户关键数据被窃取或篡改；或系统应用或服务器/设备已被恶意人员/程序完全控制进行非法行为；严重损失系统部分应用长时间中断（超过关键系统可用性指标）；或系统应用或服务器/设备已被恶意人员/程序完全控制；一般损失系统部分应用中断（不超过关键系统可用性指标）；或系统应用或服务器/设备能够被恶意人员/程序完全控制；轻微损失系统提供服务的能力下降；或系统应用或服务器/设备有被恶意人员/程序完全控制的可能性；形象受损程度分级定义特别严重损失被国家级主管单位通报；或高危风险在互联网上扩散；或学院涉密数据在互联网上扩散；或系统被黑/被利用的状况在互联网上扩散；门户网站系统主页被挂马或被篡改；严重损失被省部级主管单位通报；或在国家级信息安全相关检查中被发现高危风险；或高危风险在互联网上可见；或学院涉密数据在互联网上可见；或系统被黑/被利用的状况在互联网上可见；门户网站系统主要页面被挂马或被篡改；一般损失被厅局级主管单位通报；或在省部级信息安全相关检查中被发现高危风险；门户网站系统三级及以上页面被挂马或被篡改；轻微损失被地市级主管单位通报；或在厅局级信息安全相关检查中被发现高危风险；事件级别门户网站系统部分子业务系统单个子业务系统特大（I级）出现特别严重系统损失；出现特别严重形象损失重大（II级）出现严重系统损失；严重形象损失；出现特别严重系统损失；出现特别严重形象损失；出现特别严重系统损失；出现特别严重形象损失；较大（川级）出现一般系统损失；出现一般或轻微形象损失；出现严重或一般系统损失；出现严重形象损失；出现严重或一般系统损失；出现严重形象损失；一般（W级）出现轻微系统损失；出现轻微系统损失；出现一般或轻微形象损失；出现轻微系统损失；出现一般或轻微形象损失；。