西華大學網絡安全應急預案（試行）

西華大學網絡安全應急預案（試行）

創建者：系統管理員發布時間：2022-11-30

第一章 總則

第一條 為完善學校網絡安全事件應急工作機制，規范網絡安全事件工作流程，提高我校網絡安全應急處置能力，預防和減少網絡安全事件造成的損失和危害，確保學校校園網絡及信息系統正常運行，維護學校安全穩定和健康發展，根據《中華人民共和國網絡安全法》《國家網絡安全事件應急預案》（中網辦發文〔2017〕4號）《教育系統網絡安全事件應急預案》（教技〔2018〕8號）《四川省教育系統網絡安全應急預案（暫行）》（川教〔2017〕93號）《信息安全事件分類分級指南》（GB/T20986-2007）《西華大學網絡信息安全管理辦法》等文件，結合我校實際情況，特制定本預案。

第二條 參照相關規定，本預案所指網絡安全事件是指由于人為破壞、軟硬件缺陷或故障、自然災害等，對校園網絡和系統（網站）或系統中的數據造成危害，對學校甚至社會造成負面影響的事件，結合學校實際情況，本預案將校內網絡安全事件分為特別重大網絡安全事件（Ⅰ級）、重大網絡安全事件（Ⅱ級）、較大網絡安全事件（Ⅲ級）、一般網絡安全事件（Ⅳ級）四級。分級依據如下：

1.特別重大網絡安全事件（Ⅰ級）：

（1）因發生網絡攻擊、病毒感染或由于軟硬件故障、災害性事件導致學校大規模網絡與系統（網站）癱瘓；

（2）校內重要基礎設施（如：網站群、信息門戶、移動端門戶等）、校內核心業務系統或網站（如：學校主頁、一卡通系統等）遭受特別嚴重損失，喪失業務處理能力；

（3）校內重要基礎設施、校內核心業務系統（網站）的重要敏感信息或關鍵數據丟失，或被竊取、篡改、假冒，對學校安全穩定和正常秩序造成特別嚴重影響；

（4）其他對學校安全穩定和正常秩序造成特別嚴重影響的網絡安全事件。因上述網絡安全事件發生，致使事態發展超出學?？刂颇芰?。

2.重大網絡安全事件（Ⅱ級）：

（1）因發生網絡攻擊、病毒感染或由于軟硬件故障、災害性事件導致學校區域性網絡與系統（網站）癱瘓；

（2）校內重要基礎設施（如：網站群、信息門戶、移動端門戶等）、校內核心業務系統或網站（如：學校主頁、一卡通系統等）遭受嚴重損失，業務處理能力受到嚴重影響；

（3）校內重要基礎設施、校內核心業務系統（網站）的重要敏感信息或關鍵數據丟失，或被竊取、篡改、假冒，對學校安全穩定和正常秩序造成嚴重影響；

（4）上級主管或監管部門要求立即整改的網絡安全事件；

（5）其他對學校安全穩定和正常秩序造成嚴重影響的網絡安全事件。因上述網絡安全事件發生，致使事態發展超出信息與網絡管理中心處置能力，需協同相關部門進行處置。

3.較大網絡安全事件（Ⅲ級）：

（1）因發生網絡攻擊、病毒感染或由于軟硬件故障、災害性事件導致學校小范圍網絡與系統（網站）癱瘓；

（2）重要業務系統（如校內二級單位重要系統）或網站（如校內二級單位主頁）遭受較大損失，造成系統中斷，明顯影響系統效率，業務處理能力受到影響；

（3）重要業務系統（網站）的數據丟失，或被竊取、篡改、假冒，對學校安全穩定和正常秩序造成較嚴重影響；

（4）其他對學校正常工作造成不利影響的網絡安全事件。

4.一般網絡安全事件（Ⅳ級）：除上述情況外，其他對學校網絡或系統（網站）造成一定影響的網絡安全事件，包括但不限于校內個人計算機感染病毒、三級單位信息系統（網站）發生軟硬件故障等，定義為一般網絡安全事件。

第三條 根據“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，堅持在學校網絡安全與信息化工作委員會統籌協調下切實落實網絡安全應急處置工作，充分發揮各單位力量共同做好網絡安全事件的預防和處置。為保障網絡安全事件應急預案有效實施，確定以下工作原則。

1.統一指揮、密切協同。學校網絡安全與信息化工作委員會統籌協調全校網絡安全應急指揮工作，建立與省教育廳、市/區級網絡安全職能部門、專業機構等多方參與的協調聯動機制，加強預防、監測、報告和應急處置等環節的緊密銜接，做到快速響應、正確應對、果斷處置。

2.分級管理、強化責任。按照“誰主管誰負責、誰使用誰負責、誰運維誰負責”的原則，信息與網絡管理中心對全校網絡安全工作負主體責任，各單位、各部門對所屬網站和業務信息系統的安全工作負直接責任。各部門領導班子主要負責人是網絡安全工作第一責任人。

3.預防為主、防戰結合。堅持事件處置和預防工作相結合，做好事件預防、預判、預警工作，加強應急支撐保障能力和安全態勢感知能力建設。提高網絡安全事件快速響應和科學處置能力，爭取早發現、早報告、早控制、早解決，嚴控網絡安全事件風險和影響范圍。

第四條 本預案是西華大學網絡安全事件的專項預案，適用于西華大學IP 公網地址及域名包含（xhu.edu.cn 后綴）的所有網絡資源發生、或可能發生網絡安全事件情況下的應急處置工作。

第二章 組織機構與職責

第五條 網絡安全與信息化工作委員會是學校網絡安全與信息化工作的決策機構，在網絡安全應急工作中的職責：

1.統籌指導學校網絡安全應急體系建設；

2.決定Ⅰ、Ⅱ級網絡安全事件應急響應啟動，組織成立網絡安全事件應急小組；

3.統籌指導、指揮學校網絡安全事件應急響應工作；

4.督促全校各單位貫徹執行應急預案，并對相關單位在網絡安全事件處置全過程中的表現進行評估考核。

第六條 黨委宣傳部為網絡安全與信息化工作委員會牽頭單位，在網絡安全應急工作中的職責：

1.負責學校輿情監測，對于涉及師生政治思想方面的傾向性、苗頭性問題加強分析研判；

2.負責輿情突發事件的處置；

3.負責學校信息發布系統被違規發布信息后的應急處置工作，妥善有效應對并做好善后工作;

4.負責各類信息內容安全事件發生后，以及安全事件處置前后，校內外輿論的正確引導等工作。

第七條 信息與網絡管理中心為網絡安全與信息化工作委員會技術支撐單位，在網絡安全應急工作中的職責：

1.制定學校網絡安全相關制度和應急響應預案；

2.統籌組織學校的網絡安全監測工作，接收處理網絡安全通報，保障校內網絡與系統（網站）正常運行；

3.及時響應各種網絡安全事件，協助各單位完成網絡安全事件應急處置程序。

4.在應急演練與響應中提供技術咨詢與支持、保障和培訓工作；

5.在網絡安全應急處置工作中組織應急技術支撐隊伍，提供技術支持與保障，并及時向網絡安全與信息化工作委員會匯報；

6.定期對學校網絡及信息系統進行整體的安全掃描，并及時向網絡安全與信息化工作委員會報告學校網絡安全自查工作中發現的威脅情況，包括網絡與系統（網站）安全形勢分析預測、網絡與系統（網站）異常或癱瘓、應用服務中斷或數據篡改、丟失等情況。

第八條 保衛處在網絡安全應急工作中的職責：

聯系公安部門，協助排查信息內容安全事件相關責任人，配合信息網絡中心做好各類網絡與信息安全事件的處置工作。

第九條 學校各單位在網絡安全應急工作中的職責：

1.負責本單位網站及應用系統的網絡安全事件預防、監測、報告及應急處置工作；

2.建立健全本單位網絡安全應急響應機制，制定單位內網絡安全應急響應預案，定期進行網絡安全事件應急演練；

3.明確本單位應急響應負責人，應急響應負責人負責本單位網絡安全應急具體工作，并負責與信息與網絡管理中心對接。應急響應負責人默認為該本單位在信息與網絡管理中心機房托管了服務器或備案了應用系統的相關人員。應急響應負責人員發生變動時，需及時報送信息與網絡管理中心備案，若未及時備案，則默認為本單位一把手；

4.積極支持配合網絡安全與信息化工作委員會及信息與網絡管理中心進行的網絡安全應急響應處置工作。

第三章 監測預警

第十條 建立健全校內網絡與系統（網站）監測預警機制，加強對可能引發網絡信息安全事件相關信息的收集、分析與持續監測，加強相關網絡安全設備和監測預警系統的配置及升級換代，實現“早發現、早報告、早處置”。

第十一條 信息與網絡管理中心負責進行全校范圍內網絡與系統（網站）實施安全監測，在收到相關部門預警及主動掃描發現安全風險后應及時發布安全通報；各單位收到信息與網絡管理中心發布的通報后及時按要求整改并提交文檔；各單位負責實施本單位網絡與系統（網站）的安全監測，一旦發現網絡安全威脅應立即上報信息與網絡管理中心，并及時完成預警報告。

第十二條 收到網絡安全威脅預警后，由信息與網絡管理中心進行取證以及風險評估，若存在緊急風險，信息與網絡管理中心根據監測與評估結果情況發布預警信息并向網絡安全與信息化工作委員會進行匯報，根據威脅情況啟動相應預案，必要時執行斷網、關閉服務器等措施防止事態擴大。

第十三條 發布預警信息后，信息與網絡管理中心與相關技術支撐隊伍對預警現場情況進行跟蹤和態勢分析與分級預判。根據預判，若可能發生Ⅲ級及以下網絡安全事件，由信息與網絡管理中心組織技術支撐隊伍做好應急準備或處置；若可能發生Ⅱ級及以上網絡安全事件，信息與網絡管理中心應及時上報網絡安全與信息化工作委員會，研究制訂應對方案，積極做好應急處置準備或保障，在處置期間實行24小時值守，若事態發展可能超過學校控制能力，應及時上報上級部門。

第四章 應急響應及處置

第十四條 各單位落實網絡安全應急工作。在國家重大活動、會議期間，各單位實行24小時值守制，確保網絡安全事件發生時能及時聯系、及時處置。

第十五條 網絡安全事件發生后，事發單位應及時通知信息與網絡管理中心并啟動預案，保留相關證據，不得遲報、謊報、瞞報、漏報。

信息與網絡管理中心組織現場搜集相關信息，分析安全事件態勢，若初判為Ⅱ級以上網絡安全事件，及時報告網絡安全與信息化工作委員會，由網絡安全與信息化工作委員會啟動Ⅰ級、Ⅱ級應急響應，成立應急小組，組織研究處置方案并進行指揮協調工作。信息與網絡管理中心及相關技術支撐隊伍進行具體工作推進實施，提供現場安全保障，控制事態蔓延。應急小組在網絡安全與信息化工作委員會指揮下，根據具體情況調動相關物資、設備，必要情況下請求校外應急支援。

第十六條 若初判為Ⅰ級網絡安全事件，應急小組應及時上報上級部門；對于人為破壞活動，同時報公安機關。

第十七條 應急處置過程中，信息與網絡管理中心及相關技術支撐隊伍持續跟蹤事態發展、檢查影響范圍，若為Ⅱ級事件，或Ⅲ級及以下事件有轉化為Ⅱ級事件的趨勢，信息與網絡管理中心應及時將事件危害程度、損失情況及現場處置情況上報網絡安全與信息化工作委員會；若為Ⅰ級事件，或Ⅱ級事件有轉化為Ⅰ級事件的趨勢，學校應及時將事件危害程度、損失情況及現場處置情況上報上級部門。

第十八條 網絡安全事件應急響應分為Ⅰ級、Ⅱ級、Ⅲ級、Ⅳ級等四級，分別對應特別重大、重大、較大和一般網絡安全事件。I 級為最高響應級別。

1.Ⅰ級和Ⅱ級響應

由上級網絡安全應急辦統一組織應急處置工作，具體要求以上級網絡安全應急辦部署為準。

(1)掌握事態及時上報。跟蹤事態發展情況，及時向學校網絡安全與信息化工作委員會報告，經批準后按要求將事態發展變化情況和處置進展情況上報上級網絡安全應急辦。

(2)控制事態防止蔓延。根據事件發生原因，結合相應專項應急預案，采取各種技術措施，管控手段，最大限度阻止和控制事態蔓延。

(3)消除隱患恢復系統。針對性制定解決方案，及時組織恢復受破壞的網絡和信息系統。

(4)取證溯源協調配合。在保留相關證據的基礎上，開展問題定位和溯源追蹤工作。積極協調配合上級部門和當地公安機關開展調查取證工作。

2.Ⅲ級響應發生較大網絡安全事件，由學校網絡安全與信息化工作委員會確認并啟動Ⅲ級響應。學校網絡安全與信息化工作委員會履行應急處置工作統一領導、指揮、協調的職責。

(1)信息與網絡管理中心負責整理、匯總相關信息、掌握事態發展變化情況和處置進展情況，掌握全校網絡和信息系統受到事件涉及或影響的情況，隨時向學校網絡安全與信息化工作委員會報告相關重要事項。

(2)及時形成《教育系統網絡安全事件情況報告》，經學校網絡安全與信息化工作委員會同意后報上級網絡安全應急辦。

(3)根據事件發生原因，結合相應專項應急預案，采取各種技術措施，管控手段，最大限度阻止和控制事態蔓延。

(4)消除隱患恢復系統。針對性制定解決方案，及時組織恢復受破壞的網絡和信息系統。

(5)取證溯源協調配合。在保留相關證據的基礎上，開展問題定位和溯源追蹤工作。積極協調配合上級部門和當地公安機關開展調查取證工作。

3.Ⅳ級響應由信息與網絡管理中心確認并啟動Ⅳ級響應。信息與網絡管理中心履行應急處置工作領導、協調的職責。

(1)協助事發單位整理、匯總相關信息，掌握事態發展變化情況和處置進展情況，及時向學校網絡安全與信息化工作委員會報告相關重要事項。

(2)事發單位根據專項應急預案開展應急處置工作，采取各種技術措施、管控手段，最大限度阻止和控制事態蔓延。

(3)協助事發單位消除隱患，恢復遭受破壞的網絡和信息系統，開展問題定位和溯源追蹤工作。

第十九條 各級響應按照以下權限和流程，確定響應的結束。

1.Ⅰ級和Ⅱ級響應結束，以上級部門部署為準。

2.Ⅲ級響應結束，經應急工作組批準報學校網絡安全與信息化工作委員會同意后，根據實際決定Ⅲ級響應的結束，并通報有關情況。

3.Ⅳ級響應結束，由事發單位完成應急處置后，報學校信息與網絡管理中心同意后，根據實際決定Ⅳ級響應的結束。

第二十條 應急響應工作結束后，相關單位迅速執行整改計劃，采取措施修整受損設施、數據，減少損失，消除隱患，恢復網絡或系統（網站）至突發事件前狀態，同時對事件損失進行統計、記錄、分析。

第二十一條 整改工作結束后，信息與網絡管理中心組織技術人員與專家對事件發生及處置進行全面調查，實施取證工作，定位溯源，總結經驗教訓，修訂完善應急響應體系。由網絡安全事件發生的單位出具相關事件的情況說明及整改報告，完成《安全事件總結報告》。

第五章 應急演練

第二十二條 信息與網絡管理中心應組織校級層面演練；各單位應建立健全網絡安全事件應急演練機制，制定詳細演練方案，明確演練目標、參加演練的系統、涉及的形式、層次和范圍，設定災難情況、演練流程、操作內容、業務驗證測試、應急資源、職責分工、進度安排、演練的風險及其應對措施，確保應急預案內容切實可行。

第二十三條 加強演練工作風險管理，謹慎開展應急演練。確保演練前組織、人員、資源到位。嚴格控制應急演練引起的系統變更風險，避免因演練導致服務中斷、各項資源不可恢復。認真評估演練本身可能帶來的風險和對業務的影響，制定完善的保障措施和應急回退方案。

第二十四條 記錄演練開展的全過程和發現的問題，對演練的組織、過程、效果進行評估，編寫應急演練總結報告。根據演練結果完善應急響應體系，維護更新防護設施。

第六章 預防工作

第二十五條 做好網絡安全日常預防與監測工作，根據學校工作實際開展情況，逐漸更新、完善應急管理體制。做好網絡安全檢查與監測、風險評估和容災備份，加強校內網絡及系統（網站）的安全保障能力與監測預警能力。

第二十六條 將網絡安全教育作為國家安全教育的重要內容，充分利用網絡安全宣傳周等各種活動形式及多種傳播媒介，加強對突發網絡安全事件預防與應急處置相關法律、法規和政策的宣傳，積極開展網絡安全基本知識和技能的宣傳活動，提升學校師生網絡安全防范意識。

第二十七條 定期對學校各單位網絡安全相關負責人進行網絡安全事件應急知識集中培訓，使相關人員熟悉應急方案流程、應急設備的操作方法等，增強各單位防范意識和應急處置能力。

第七章 工作保障

第二十八條 按照“誰主管誰負責，誰使用誰負責”的原則，各單位、各部門應落實網絡安全應急工作責任制，明確具體崗位和人員，建立健全應急工作機制。

第二十九條 加強我校網絡安全應急保障隊伍與專家隊伍建設，與機關團體、企事業單位等力量形成良好合作與互動。通過推動等級保護等工作提升學校對于網絡安全事件的監測預警、安全防護、應急處置能力。

第三十條 建立監督檢查機制。按預案的規定不定期進行檢查，對未有效落實預案各項規定的部門進行通報批評，責令限期改正。

第三十一條 學校保障每年用于網絡安全等級保護測評、網絡安全監測和檢測評估、信息系統安全升級改造和防護加固、網絡安全教育培訓、網絡安全事件處置和安全運維等5項重點工作的經費。

第三十二條 學校對網絡安全事件應急管理工作中作出突出貢獻的先進集體和個人給予表彰；對不按照規定制定預案和組織開展演練、遲報、謊報、瞞報和漏報網絡安全事件重要情況或者在應急管理工作中有其他失職、瀆職行為的，依照學校有關規定對有關責任人給予處分；構成犯罪的，由公安機關依法追究刑事責任。

第八章 附則

第三十三條 本預案原則上每年評估一次，根據實際情況適時修訂。修訂工作由學校網絡安全與信息化工作委員會辦公室組織。

第三十四條 本預案由學校網絡安全與信息化工作委員會辦公室負責解釋。

第三十五條 本預案自印發之日起實施。

附件1：

網絡安全事件分類

網絡安全事件可分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他網絡安全事件等。

（1）有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合攻擊程序事件、網頁內嵌惡意代碼事件和其它有害程序事件。如系統感染勒索病毒、網站被上傳webshell、系統被滲透或控制等。

（2）網絡攻擊事件分為拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件。如系統遭DDOS攻擊、SQL注入攻擊、嘗試爆破密碼等。

（3）信息破壞事件分為信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其它信息破壞事件。如發現網絡上存在與系統數據高度雷同的數據，或發現業務數據被篡改。

（4）信息內容安全事件是指通過網絡發布、傳播法律法規禁止信息，組織非法串聯、煽動集會游行或炒作敏感問題并危害國家安全、社會穩定和公共利益的事件。如網站被懸掛反動標識，或有人在網站互動區發布非法內容等。

（5）設備設施故障分為軟硬件自身故障、外圍保障設施故障、人為破壞事故和其它設備設施故障。如服務器硬件故障，機房供電中斷等。

（6）災害性事件是指由于自然災害等其他突發事件導致的網絡安全事件。如機房遭遇地震、火災等。

（7）其他事件是指不能歸為以上分類的網絡安全事件。