为了切实做好学校网络安全事件的防范和应急处理工作，进一步提高我校预防和控制网络安全事件的能力和水平，减轻或消除网络安全事件的危害和影响，保证校园网络信息安全，维护学校安全稳定，特制定网络安全事件应急处置预案。

一、指导思想

本预案的指导思想是：认真贯彻执行《网络安全法》等相关法律法规，确保校园网络及信息系统安全。在发生网络安全事件时，能最大程度地减少损失，将事件的危害和影响降到最低。

二、适用范围

本预案适用范围是：学校自建自管的网络与信息系统，尤其是校园网主干设施和重要信息系统安全突发事件的应急处置。

三、术语和定义

本预案所称的网络与信息系统，是指由乐山师范学院校园网络、计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

本预案所称的网络安全事件，是指由于自然因素或者人为以及软硬件本身缺陷或故障的原因，对网络与信息系统造成危害，或对社会造成负面影响的事件。有以下7个基本分类：

1.有害程序事件，分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

2.网络攻击事件，分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

3.信息破坏事件，分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

4.信息内容安全事件，是指通过网络传播法律法规禁止的信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

5.设备设施故障，分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

6.灾害性事件，是指由自然灾害等其他突发事件导致的网络安全事件。

7.其他事件，是指不能归为以上分类的网络安全事件。

四、处置原则

网络与信息安全事件应急处置，依照“统一领导，快速反应，密切配合，科学处置”的组织原则和“谁主管谁负责、谁运行谁负责、谁使用谁负责”的协调原则，充分发挥各方面力量，共同做好网络与信息安全事件的应急处置工作。

五、组织机构及职责

全校网络与信息安全事件应急处置工作，由学校网络安全和信息化领导小组统一指导、指挥、协调。各相关单位必须坚决执行领导小组的决定，密切配合，履行职责。

应急处置工作相关职责如下：

六、预防措施

1.建立健全网络安全事件预警预报体系。各二级单位严格执行校园网络与信息系统安全各项管理制度，按照本文件要求，对本部门所负责管理的校园网络通信平台、应用平台和信息系统采取相应的安全保障措施。

2.学校实行信息网上发布审批制度，由党委宣传部具体负责。信息化建设管理处对可能引发校园网络与信息安全事件的信息，要认真收集、分析判断，发现有异常情况时，及时防范处理并逐级报告。

3.信息技术与实验保障处建立网络和信息安全技术防范监测体系，实施科学合理的各级各类安全策略，加强对校园网络的监控和安全管理，建立安全、可靠、稳定运行的网络信息环境，落实管理制度和做好以下技术防范措施：

（a）物理环境：防火、防盗、防雷电、防水、防静电、防尘，对关键部位7×24小时监控，禁止非授权人员进入；定期检查并维护系统工作状态；建立事件应急处置机制，对人员进行各类基本技能培训。

（b）网络设备和通信线路：核心设备冗余，消除单点故障；定期检查关键网络设备系统运行及安全更新等情况；实施授权访问和管理；实施安全性认证准入措施；定期备份重要配置信息；及时排除故障、处理攻击事件；防范各类影响网络运行的攻击和漏洞。

（C）重要计算机系统：重要系统采用高可靠软硬件环境，落实安全操作规范；定期排查升级操作系统安全更新；实施严格的主机安全策略、账号安全策略；关闭不必要的服务，安装有效的防病毒软件；分级分类授权用户访问权限；做好日志审计及重要数据备份；实行全时动态监测并及时响应处理各类异常。

（d）重要信息系统：重要信息服务实行登记备案制度；执行严格的信息上网审查制度；配置访问控制，分类合理授权访问用户；做好日志审计和数据备份。

（e）各级网络边界控制：配置防火墙、入侵检测、入侵防御、行为审计、态势感知等必要的技术设施，实施有效的控制和监测策略；动态实时掌握网络运行状态，及时发现并处置重大安全攻击事件。

4.特殊时期，根据工作需要，由信息技术与实验保障处进行统一部署和安排，组织专业技术人员对校园网络和信息系统采取加强性保护措施，对校园网络及信息系统进行不间断监控。

七、应急处置

1.响应分级

网络与信息安全突发事件依据可控性、严重程度和影响范围的不同，分为以下四级。

2.响应程序

3.处置流程：

III级或IV级突发事件响应：信息技术与实验保障处和突发网络安全事件的信息系统建管部门自行负责应急处置工作，有关情况报分管校领导。

II级突发事件响应：信息技术与实验保障处立即上报分管校领导、校网络安全和信息化领导小组，由领导小组统一组织、协调指挥进行应急处置。

I级突发事件响应：信息技术与实验保障处立即上报分管校领导、校网络安全和信息化领导小组，领导小组再上报至省教育厅、市公安局等相关部门，由相关部门会同我校网络安全和信息化领导小组统一组织、协调指挥应急处置。

4.应急处置方式

根据网络与信息安全事件分类采取不同应急处置方式。

考虑要素与基本分类信息安全事件可以是故意、过失或非人为原因引起的。本规程综合考虑信息安全事件的起因、表现、结果等，对信息安全事件进行分类。信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类，每个基本分类分别包括若干个子类。

（1）网络攻击事件：判断攻击的来源与性质，关闭影响安全与稳定的网络设备和服务器设备，断开信息系统与攻击来源的网络物理连接，跟踪并锁定攻击来源的IP地址或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照事件发生的性质采取以下方案：

病毒传播：及时寻找并断开传播源，判断病毒的类型、性质、可能的危害范围；为避免产生更大的损失，保护健康的计算机，必要时可关闭相应的端口，甚至相应楼层的网络，及时请有关技术人员协助，寻找并公布病毒攻击信息，以及杀毒、防御方法。

外部入侵：判断入侵的来源，区分外网与内网，评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的，且评价威胁很小的外网入侵，定位入侵的IP地址，及时关闭入侵的端口，限制入侵的IP地址的访问。

对于已经造成危害的，应立即采用断开网络连接的方法，避免造成更大损失和影响。

内部入侵：查清入侵来源，如IP地址、所在位置等信息，同时断开对应的交换机端口，针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的，应及时关闭被入侵的服务器或相应设备。

（2）网络环境及设备故障事件：判断故障发生点和故障原因，迅速联系相应单位尽快抢修故障设备，优先保证校园网主干网络和主要应用系统的运转。遇供电相关紧急事件，立即联系后保部掌握情况通报细节，工作人员立即赶赴机房现场，密切跟做技术参数变化、及时采用减轻负载等措施，力保重要信息系统的延时服务，通知涉及各级各类业务系统的管理人员根据事态进展做出合理处置。网络运行中的线路中断、路由故障、流量异常、域名系统故障等，启动网络运行管理内部应急处置技术流程，最大限度消除事件影响。

（3）灾害性事件：根据实际情况，在保障人身安全的前提下，保障数据安全和设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。

（4）信息内容安全事件：接到校内网站出现不良信息的报案后，应迅速屏蔽该网站的网络端口或拔掉网络连接线，阻止有害信息的传播，根据网站相关日志记录查找信息发布人并做好善后处理；对公安机关要求我校协查的外网不良信息事件，根据校园网上网相关记录查找信息发布人。

（5）其它不确定安全事件：可根据总的安全原则，结合具体情况，做出相应处理。不能处理的及时咨询有关技术人员或专业信息安全公司。

5.后续处理

（1）安全事件进行最初的应急处置后，应及时采取行动，抑制其影响进一步扩大，限制潜在的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响最小。

（2）安全事件被抑制后，通过对有关事件或行为的分析结果，找出问题根源，明确相应补救措施并彻底清除。

（3）在确保安全事件解决后，要及时清理系统，恢复数据、程序、服务，恢复工作应避免出现误操作导致的数据丢失。

6.记录上报

网络与信息系统安全事件发生时，应及时向分管校领导、校网络安全和信息化领导小组汇报，并在事件处置工作中作好过程记录，及时报告处置工作进展情况，保存各相关系统日志，直至处置工作结束。

7.结束响应

系统恢复运行后，信息技术与实验保障处对事件造成的损失、事件处理流程和应急预案进行评估，对响应流程、预案提出修改意见，总结事件处理经验和教训，撰写事件处理报告，同时确定是否需要上报该事件及其处理过程，需要上报的应及时准备相关材料；属于重大事件或可能存在违法犯罪行为的，第一时间向公安机关网络安全部门报案。

八、保障措施

1.队伍保障

加强队伍建设，不断提高网络与信息安全岗位工作人员的信息安全防范意识和技术水平，确保网络安全事件处置得当。

2.技术保障

不断完善网络安全整体方案，加强技术管理，确保信息系统的稳定与安全。

3.资金保障

信息技术与实验保障处应根据校园网络与信息系统安全预防和应急处置工作的实际需要，申报网络与信息系统关键设备及软件的运维专项资金，提出本年度应急处置工作相关设备和工具所需经费，上报至学校纳入年度预算，由学校给予资金保障。

4.安全培训和演练

信息技术与实验保障处定期对相关工作人员进行网络与信息系统安全知识培训，增强预防意识和应急处置能力，有针对性地开展应急演练，确保相关措施有效落实。

九、本预案由学校网络安全和信息化领导小组办公室负责解释。

十、本预案自发布之日起实施。

附件：网络信息安全事件分类（国家标准）

1有害程序事件（MI）有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个子类，说明如下：

a)计算机病毒事件（CVI）是指蓄意制造、传播计算机病毒，或是因受到计算机病毒影响而导致的信息安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制；

b)蠕虫事件（WI）是指蓄意制造、传播蠕虫，或是因受到蠕虫影响而导致的信息安全事件。蠕虫是指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有害程序；

c)特洛伊木马事件（THI）是指蓄意制造、传播特洛伊木马程序，或是因受到特洛伊木马程序影响而导致的信息安全事件。特洛伊木马程序是指伪装在信息系统中的一种有害程序，具有控制该信息系统或进行信息窃取等对该信息系统有害的功能；

d)僵尸网络事件（BI）是指利用僵尸工具软件，形成僵尸网络而导致的信息安全事件。僵尸网络是指网络上受到黑客集中控制的一群计算机，它可以被用于伺机发起网络攻击，进行信息窃取或传播木马、蠕虫等其他有害程序；

e)混合攻击程序事件（BAI）是指蓄意制造、传播混合攻击程序，或是因受到混合攻击程序影响而导致的信息安全事件。混合攻击程序是指利用多种方法传播和感染其它系统的有害程序，可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果，例如一个计算机病毒或蠕虫在侵入系统后安装木马程序等；

f)网页内嵌恶意代码事件（WBPI）是指蓄意制造、传播网页内嵌恶意代码，或是因受到网页内嵌恶意代码影响而导致的信息安全事件。网页内嵌恶意代码是指内嵌在网页中，未经允许由浏览器执行，影响信息系统正常运行的有害程序；g)其它有害程序事件（OMI）是指不能包含在以上6个子类之中的有害程序事件。

2网络攻击事件（NAI）网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子类，说明如下：

a)拒绝服务攻击事件（DOSAI）是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件；

b)后门攻击事件（BDAI）是指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施的攻击的信息安全事件；

c)漏洞攻击事件（VAI）是指除拒绝服务攻击事件和后门攻击事件之外，利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞，对信息系统实施攻击的信息安全事件；

d)网络扫描窃听事件（NSEI）是指利用网络扫描或窃听软件，获取信息系统网络配置、端口、服务、存在的脆弱性等特征而导致的信息安全事件；

e)网络钓鱼事件（PI）是指利用欺骗性的计算机网络技术，使用户泄漏重要信息而导致的信息安全事件。例如，利用欺骗性电子邮件获取用户银行帐号密码等；

f)干扰事件（II）是指通过技术手段对网络进行干扰，或对广播电视有线或无线传输网络进行插播，对卫星广播电视信号非法攻击等导致的信息安全事件；

g)其他网络攻击事件（ONAI）是指不能被包含在以上6个子类之中的网络攻击事件。

3信息破坏事件（IDI）信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等6个子类，说明如下：

a)信息篡改事件（IAI）是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件，例如网页篡改等导致的信息安全事件；

b)信息假冒事件（IMI）是指通过假冒他人信息系统收发信息而导致的信息安全事件，例如网页假冒等导致的信息安全事件；

c)信息泄漏事件（ILEI）是指因误操作、软硬件缺陷或电磁泄漏等因素导致信息系统中的保密、敏感、个人隐私等信息暴露于未经授权者而导致的信息安全事件；

d)信息窃取事件（III）是指未经授权用户利用可能的技术手段恶意主动获取信息系统中信息而导致的信息安全事件；

e)信息丢失事件（ILOI）是指因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的信息丢失而导致的信息安全事件；

f)其它信息破坏事件（OIDI）是指不能被包含在以上5个子类之中的信息破坏事件。

4信息内容安全事件（ICSI）信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。信息内容安全事件包括以下4个子类，说明如下：

a)违反宪法和法律、行政法规的信息安全事件；

b)针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件；

c)组织串连、煽动集会游行的信息安全事件；

d)其他信息内容安全事件等4个子类。

5设备设施故障（FF）设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。

设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障等4个子类，说明如下：

a)软硬件自身故障（SHF）是指因信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的信息安全事件；

b)外围保障设施故障（PSFF）是指由于保障信息系统正常运行所必须的外部设施出现故障而导致的信息安全事件，例如电力故障、外围网络故障等导致的信息安全事件；

c)人为破坏事故（MDA）是指人为蓄意的对保障信息系统正常运行的硬件、软件等实施窃取、破坏造成的信息安全事件；或由于人为的遗失、误操作以及其他无意行为造成信息系统硬件、软件等遭到破坏，影响信息系统正常运行的信息安全事件；

d)其它设备设施故障（IF-OT）是指不能被包含在以上3个子类之中的设备设施故障而导致的信息安全事件。

6灾害性事件（DI）灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。

7其他事件（OI）其他事件类别是指不能归为以上6个基本分类的信息安全事件。

附件1

信息技术安全事件情况报告

单位名称：（需加盖公章）事发时间：年月日分

附件2

信息技术安全事件整改报告

单位名称：（需加盖公章）报告时间：年月日