总　则

第一条 为了进一步规范和加强学校网络与信息安全应急管理工作，切实防范和有效处置对学校和社会有严重影响的网络与信息安全事件，保障国家安全、社会稳定和人民生命财产安全，维护学校正常工作秩序，制定本制度。

第二条 本预案依据《中华人民共和国网络安全法》、《突发事件应急预案管理办法》、《信息安全技术信息安全事件分类分级指南》（GB/Z 20986-2007）、《中华人民共和国计算机信息系统安全保护条例》（中华人民共和国国务院令147号）、《江苏省教育系统网络安全事件应急预案》及《关于进一步加强学校网络信息安全工作的意见》（苏信委宣〔2016〕2号）、《江苏信息职业技术学院网络安全与信息化工作管理办法（试行）》（苏信院〔2018〕80号）等相关规定编制。

第三条 本预案适用于江苏信息职业技术学院自建自管的网络与信息系统安全事件的预防、监测、预警、处置工作。

按照《江苏省教育系统网络安全事件应急预案》等规定，本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件，可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件（详见附件1）。其中网络信息安全事件，应参照有关规定和办法。

第四条 网络安全事件依据可控性、严重程度和影响范围的不同，分为以下四级：特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。

1.符合下列情形之一的，为特别重大网络与信息安全事件(Ⅰ级)：

（1）发生全校性大规模网络瘫痪和全校重要业务系统停机，对学校正常教学科研工作造成特别严重损害，或发生严重信息内容安全事件等事态发展超出学校控制能力的安全事件。

（2）利用校园网传播重要涉密信息、反动信息、煽动性信息、谣言等情况，可能泄露国家机密，对国家安全、社会稳定构成严重危害，或引发学校大规模突发群体事件，对学校的安全稳定和正常秩序构成特别严重影响、教育教学活动无法正常进行，师生反映强烈并有过激行为的事件。

2.符合下列情形之一且未达到特别重大网络与信息安全事件(Ⅰ级)的，为重大网络与信息安全事件(Ⅱ级)：

（1）发生全校性大规模网络瘫痪和全校重要业务系统停机，对学校正常教学科研工作造成严重损害，或发生信息内容安全事件等事态发展超出信息化建设与管理中心控制能力，需要学校各部门协同处置的安全事件。

（2）利用校园网传播重要涉密信息、反动信息、煽动性信息、谣言等情况，对国家安全、社会稳定构成较大危害，可能泄露学校机密，或引发学校突发性群体事件，对学校安全稳定和正常秩序构成严重影响，师生反映强烈的事件。

3.符合下列情形之一且未达到重大网络与信息安全事件(Ⅱ级)的，为较大网络与信息安全事件(Ⅲ级)：

（1）学校部分区域的网络与信息系统瘫痪，发生局部网络攻击或小范围信息内容安全事件，对学校正常工作造成一定损害，学校信息化建设与管理中心可自行处理的安全事件。

（2）利用校园网传播涉密信息、反动信息、煽动性信息、谣言等情况，对国家安全、社会稳定构成一定危害，或对学校安全稳定构成较大危害，对学校正常秩序产生较大影响，引起师生员工广泛关注的事件。

4.除上述情形外，对学校安全稳定、正常秩序构成一定威胁、对师生权益造成危害和影响的事件，但不影响学校整体工作的安全事件，为一般网络与信息安全事件(Ⅳ级)。

组织机构与职责

第五条 学校网络安全与信息化领导小组是网络与信息安全事件应急响应处置的决策机构，学校网络安全与信息化领导小组办公室负责网络安全应急管理事务性工作，对接江苏省教育网络安全应急办公室，向学校网络安全和信息化领导小组报告网络安全事件情况，提出较大网络安全事件、一般网络安全事件的应对措施建议和意见，统筹组织学校网络安全监测工作，决定I级网络与信息安全事件应急预案的启动和善后处理工作，指导信息化建设与管理中心做好应急处置的技术支撑工作。

院长办公室、党委宣传部、保卫处、信息化建设与管理中心必要时相互协作，按照响应机制实施应急处置工作。

1.院长办公室

   组织协调重大敏感时期、重要活动期间的网络与信息安全保障和应急处置工作；发生利用计算机网络泄密的违法行为时，组织学校各部门实施应急处置，协调配合上级部门开展调查工作。

2.党委宣传部

   负责学校信息发布系统被违规发布信息后的应急处置工作，妥善有效应对并做好善后工作; 负责各类信息内容安全事件发生后，校内外舆论的正确引导工作。

3.保卫处

   负责联系公安部门，协助排查信息内容安全事件相关责任人，联络或配合信息化建设与管理中心做好各类网络与信息安全事件的处置工作。

4.信息化建设与管理中心

   制定和实施网络与信息安全事件应急处置技术方案，在技术上保障学校网络运行安全；落实校安全与信息化领导小组相关决定，在发生网络与信息安全事件时及时收集技术资料，通报或上报有关情况。

5.学校其他各部门

   配合学校开展网络与信息安全事件调查工作，负责本部门内部的网络与信息安全突发事件应急处置，建立本部门应急处置机制。

预防预警

第六条 预防措施

学校各信息系统主管部门应做好信息系统的安全等级保护、风险评估、灾难备份和隐患排查工作，制定完善相关应急预案，及时采取有效措施，避免和减少网络与信息安全事件的发生及其危害。

第七条 监测预警

网络与信息安全事件预警等级分为四级：I级（特别严重）、II级（严重），III级（较重）和IV级（一般），依次用红色、橙色、黄色和蓝色表示。

建立网络与信息安全事件信息接收机制。

学校网络信息安全工作委员会对学校各类网络信息进行管理和监控，对学校舆情和思想动态进行宏观掌握与引导，及时处理网络安全事件，加强全校网络信息的安全。

应急响应

第八条 网络与信息安全事件发生后，学校网络安全与信息化领导小组会同相关部门启动本应急预案，实施处置并及时报送信息。

1.控制事态发展，防控蔓延。事发部门先期处置，采取各种技术措施，及时控制事态发展，最大限度地防止事件蔓延。

2.快速判断事件性质和危害程度。尽快分析事件发生原因，根据网络与信息系统运行和承载业务情况，初步判断事件的影响、危害和可能波及的范围，提出应对措施建议。

3.及时报告信息。事发部门在先期处置的同时要按照预案要求，及时向上级主管部门和网络安全与信息化领导小组办公室报告事件信息。

4.做好事件发生、发展、处置的记录和证据留存。

各级处理预案

第九条 网站不良信息事故处理预案

1.一旦发现学校网站上出现不良信息（或者被黑客攻击修改了网页），立刻关闭网站访问。

2.备份不良信息出现的目录、备份不良信息出现时间前后一个星期内的HTTP连接日志、备份防火墙中不良信息出现时间前后一个星期内的网络连接日志。

3.打印不良信息页面留存。

4.完全隔离出现不良信息的目录，使其不能再被访问。

5.删除不良信息，并清查整个网站所有内容，确保没有任何不良信息，重新开通网站服务，并测试网站运行。

6.修改该目录名，对该目录进行安全性检测，升级安全级别，升级程序，去除不安全隐患，关闭不安全栏目，重新开放该目录的网络连接，并进行测试，正常后，重新修改该目录的上级链接。

7.全面查对HTTP日志，防火墙网络连接日志，确定该不良信息的源IP地址，如果来自校内，则立刻全面升级此次事件为最高紧急事件，立刻向领导小组组长汇报，视情节严重程度领导小组可决定是否向公安机关报案。

8.从事故一发生到处理事件的整个过程，必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。

第十条 网络恶意攻击事故处理预案

1.发现出现网络恶意攻击，立刻确定该攻击来自校内还是校外；受攻击的设备有哪些；影响范围有多大。并迅速推断出此次攻击的最坏结果，判断是否需要紧急切断校园网的服务器及公网的网络连接，以保护重要数据及信息；

2.如果攻击来自校外，立刻从防火墙中查出对方IP地址并过滤，同时对防火墙设置对此类攻击的过滤，并视情况严重程度决定是否报警。

3.如果攻击来自校内，立刻确定攻击源，查出该攻击出自哪台交换机，出自哪台电脑，出自哪位教师或学生。接着立刻赶到现场，关闭该计算机网络连接，并立刻对该计算机进行分析处理，确定攻击出于无意、有意还是被利用。暂时扣留该电脑。

4.重新启动该电脑所连接的网络设备，直至完全恢复网络通信。

5.对该电脑进行分析，清除所有病毒、恶意程序、木马程序以及垃圾文件，测试运行该电脑5小时以上，并同时进行监控，无问题后归还该电脑。

6.从事故一发生到处理事件的整个过程，必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。

第十一条 重大事件（活动）期间网络安全保障预案

1.对国家、各级政府、学校重要敏感时间节点按照上级部门要求或由学校网络安全与信息化领导小组对学校网络安全进行评估、确定所需的网络设备及环境。

2.必要时刻可关闭相应涉及网络安全的设备与业务信息系统，保障学校网络的畅通与安全。

3.对重要网络设备提供备份，出现问题需尽快更换设备。

4.对外网连接进行监控，清除非法连接，出现重大问题立刻向上级部门报告。

第十二条 网络设备及主机故障应急预案

1.发现网络设备或主机发生故障，使得网络应用受到影响后，应由值班人员通知主机系统管理员、网络管理员。

2.定位故障：对故障设备进行分析，确定故障原因。

3.排除故障：由主机系统管理员或网络管理员排除故障。

4.形成故障记录归档。

5.从事故一发生到处理事件的整个过程，必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。

第十三条 外部电源供电中断后的应急预案

1.外部供电中断后，如因学校内线路故障，应通知后勤维修人员迅速排查恢复。

2.外部供电中断后，如果是学校外部的原因，由后勤处立即与供电局联系，请供电局迅速恢复供电。

3.如被告知长时间停电，应做如下安排：

（1）预计停电4小时以内，由UPS 供电；

（2）预计停电4-8小时，关掉非关键设备，确保各主机、核心路由器、核心交换机供电；

（3）预计停电超过8小时，白天工作时间关键设备运行，晚上所有设备停机。

4.从事故一发生到处理事件的整个过程，必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。

第十四条 机房发生火灾时的应急预案

1.一旦机房发生火灾，应遵循下列原则：首先保证人员安全；其次保证关键设备、数据安全；三是保证一般设备安全。

2.人员灭火和疏散的程序是：值班人员应首先切断所有电源，同时通过 119 电话报警。如果是数据中心机房发生火灾，值班人员戴好防毒面具，在机房门口严格按照机房灭火系统控制台的指示进行操作。如果是网络中心机房发生火灾，值班人员戴好防毒面具，从最近的位置取出灭火器进行灭火，其他人员按照预先确定的路线，迅速从机房中有序撤出。

3.从事故一发生到处理事件的整个过程，必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。

信息管理

第十五条 信息报告

学校各二级学院（部门）应及时收集、分析、汇总本部门网络与信息系统安全运行情况信息，安全风险及事件信息及时报告我校网络安全与信息化领导小组办公室。

第十六条 网络安全事件情况报告内容

请参阅附件2。

后期处置

第十七条 后期处置工作按照“谁主管谁负责，谁运行谁负责”的原则，由事发部门负责组织制定恢复、整改或重建方案，报相关主管部门审核实施。

第十八条 网络安全事件总结调查报告内容

请参阅附件3。

保障措施

第十九条 人员保障

学校各部门均需配备网络安全员，进一步加强网络安全队伍建设，不断提高相关业务工作人员的信息安全防范意识和技术水平，确保在事件处置过程和重建中的相关人员在岗，确保安全事件应急处置科学得当。

第二十条 技术保障

   学校信息化建设与管理中心应统筹规划，不断完善网络安全整体方案，提高技术监控手段，确保信息系统的稳定与安全。根据工作需要聘请省内外信息安全专家为应急处置过程提供咨询和技术支持，定期开展技术交流活动。

第二十一条 资金保障

信息化建设与管理中心应将网络安全建设工作纳入到每年度的工作计划，根据校园网络与信息系统安全预防和应急处置工作实际需要，申报网络安全设备和软件的建设运维专项资金，由学校给予资金保障。

第二十二条 培训和演练

加强学校信息安全知识的宣传普及，增强用户的安全意识。有针对性地开展应急演练，确保紧急事件发生后，应急预案的有效执行。

附 则

第二十三条 预案管理

本预案原则上每年评估一次，根据实际情况适时修订。修订工作由学校网络安全与信息化领导小组办公室组织。

学校各信息系统主管部门可参照本预案制订或修订本单位所建信息系统的网络安全事件专项应急预案。各预案要做好与本预案的衔接，并报学校网络安全与信息化领导小组办公室。

第二十四条 预案解释

本预案由学校网络安全与信息化领导小组办公室负责解释。

第二十五条 预案实施时间

本预案自印发之日起实施。

网络安全事件分类

网络安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。

（1）有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件。如系统感染勒索病毒、网站被上传Webshell、系统被渗透或控制等。

（2）网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。如系统遭DDOS攻击、SQL注入攻击、尝试爆破密码等。

（3）信息破坏事件分为信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件。如发现网络上存在与系统数据高度雷同的数据，或发现业务数据被篡改。

（4）信息内容安全事件是指通过网络发布、传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公共利益的事件。如网站被悬挂反动标识，或有人在网站互动区发布非法内容等。

（5）设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其它设备设施故障。如服务器硬件故障，机房供电中断等。

（6）灾害性事件是指由于自然灾害等其他突发事件导致的网络安全事件。如机房遭遇地震、火灾等。

（7）其他事件是指不能归为以上分类的网络安全事件。