皖审院〔2020〕19号

关于印发《安徽审计职业学院

网络信息安全事件应急预案》的通知

各处室（馆、中心）、各系部：

《安徽审计职业学院网络信息安全事件应急预案》已经院长办公会议审议通过，现印发给你们，请遵照执行。

安徽审计职业学院

2020年6月12日

安徽审计职业学院办公室 2020年6月12日印发

安徽审计职业学院

网络信息安全事件应急预案

为提高学院网络与信息系统处理突发事件的能力，形成科学、有效、反应迅速的应急工作机制，减轻或消除突发事件的危害和影响，确保学院信息系统安全运行，最大限度地减少网络与信息安全突发公共事件的危害，结合学院工作实际，特制定本预案。

第一章 编制依据

第一条 依据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》等法律法规，《国家突发公共事件总体应急预案》《突发事件应急预案管理办法》《国家网络安全事件应急预案》《关于加强教育行业网络与信息安全工作的指导意见》《安徽省人民政府突发公共事件总体应急预案》《教育系统网络安全事件应急预案》《安徽省网络安全事件应急预案》《安徽省教育系统网络安全事件应急预案》《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)等文件。

第二章 适用范围

第二条 本预案适用于学院校园网络信息安全事件的应急响应。本预案所指学院校园网络信息安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对校园网络、信息化基础设施、应用系统、网站、信息化数据等造成危害，对学院工作、学习、生活秩序造成负面影响的事件。

第三章 组织机构及职责

第三条 学院网络安全和信息化领导小组（以下简称领导小组）为网络信息安全事件应急处理领导机构。其职责包括：

(一) 负责网络信息安全工作的组织、协调和监督，制定相关制度和应急预案；

（二）根据网络信息安全事件程度提出相应级别预案的启动，组织协调成员部门落实应急预案，共同做好处置工作；

（三）负责及时收集、通报和上报网络信息安全事件处置的有关情况；

（四）对全院各部门贯彻执行预案以及在事件处置工作中履行职责情况进行检查督办。

领导小组下设网络安全和信息化领导小组办公室（以下简称信息办），信息办设在现代教育技术中心，负责学院网络信息安全事件应急管理事务性工作。

第四条 各系部、行政部门负责部门网站和业务系统的信息安全事件的处置工作，应对照本预案，建立本部门应急处置机制。

第四章 网络安全事件分类、分级

第五条 网络安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。

（一）有害程序事件：分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件。如系统感染勒索病毒、网站被上传webshell、系统被渗透或控制等。

（二）网络攻击事件：分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。如系统遭 DDOS 攻击、SQL 注入攻击、尝试爆破密码等。

（三）信息破坏事件：分为信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件。如发现网络上存在与系统数据高度雷同的数据，或发现业务数据被篡改，或网站被悬挂反动标识。

（四）信息内容安全事件：是指通过网络发布、传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公共利益的事件。如有人在网站互动区发布非法内容等。

（五）设备设施故障：分为软硬件自身故障、外围保障设施故障、人为破坏事故和其它设备设施故障。如服务器硬件故障，机房供电中断等。

（六）灾害性事件：是指由于自然灾害等其他突发事件导致的网络安全事件。如机房遭遇地震、火灾等。

（七）其他事件：是指不能归为以上分类的网络安全事件。

第六条 参照《国家网络安全事件应急预案》《教育系统网络安全事件应急预案》《安徽省网络安全事件应急预案》《安徽省教育系统网络安全事件应急预案》等事件分级规定，结合学院工作实际，可能造成的危害，可能发展蔓延的趋势等，学院网络安全事件分为四级：特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。

（一）特别重大网络安全事件（Ⅰ级）：事件导致发生全院性大规模瘫痪，或由于网站非法信息引发学院大规模群体性事件，对学院正常工作造成特别严重损害，事态发展超出学院控制能力。

（二）重大网络安全事件（Ⅱ级）：事件导致校园网发生全院性瘫痪，或由于网站非法信息引发师生反应强烈并有过激行为，对学院正常工作造成严重损害，事态发展超出领导小组控制能力，需要跨部门协同处置。

（三）较大网络安全事件（Ⅲ级）：事件导致校园网某一区域的重要网络与信息应用系统瘫痪，或由于网站敏感信息、谣言等，对学院正常工作造成一定损害，领导小组可以自行处理。

（四）一般网络安全事件（Ⅳ级）：事件导致某一局部网络或信息应用系统受到一定程度损坏，学院工作受到一定影响，但不危害学院整体工作，信息办可以自行处理。

第五章 预防措施

第七条 加强网络与信息系统安全管理，健全工作制度和建立网络舆情预警监测系统，避免和减少网络信息安全事件发生。

第八条 健全技术防护体系，在校园网出入口、数据中心、重要信息系统等重要部位，安装必要的安全防御检测工具，进行实时监测和定期扫描，发现异常情况及时防范处理并逐级报告。同时做好操作系统升级杀毒，数据备份、安全审计等日常管理工作。

第九条 建立灾害险情巡查制度。宣传办及各网站管理员应随时监控网站内容，信息办应严格执行值班制度，做好校园网络与信息安全的日常巡查及日志保存工作，以保证最先发现灾害并及时处置突发性事件。

第十条 加强宣传教育，将网络安全教育作为学院安全教育的重要内容，加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传教育。同时，充分利用网络安全周等各种活动形式和传播媒介，开展网络安全基本知识和技能的宣传活动，提高在校师生的网络安全意识。

第六章 应急处置

第十一条 启动预案：网络信息安全事件发生后，信息办和涉事部门应第一时间采取断网等科学有效的应急处置措施，尽最大努力将影响降到最低，同时注意保存网络攻击、网络入侵或网络病毒等证据，并报告本部门分管领导和信息办负责人。

第十二条 事件定级：信息办组织有关部门，尽最大可能收集事件相关信息，鉴别事件性质，确定事件来源，弄清事件范围，评估事件带来的影响和损害，经分析研判确认事件的类别和等级。

第十三条 应急响应：网络安全事件应急响应分为Ⅰ级、Ⅱ级、Ⅲ级、Ⅳ级等四级，分别对应教育系统特别重大、重大、较大和一般网络安全事件。根据事件等级采取相应的响应方式。

I级：信息办立即上报领导小组组长，由学院报告审计厅、省教育网络安全应急办和公安部门，公安部门指挥协调有关单位和学院协同进行应急处置。

III至II级：信息办应立即上报领导小组组长，由领导小组指挥、协调成员部门进行应急处置。涉及人为主观破坏事件时由学院保卫部报告公安部门。

IV级：信息办组织相关部门及时、自主进行应急处置，并做好处置记录。

第十四条 应急处理方式：根据网络与信息安全事件分类采取不同应急处置方式。

（一）有害程序事件：及时寻找并断开传播源，判断病毒的类型、性质、可能的危害范围；为避免产生更大的损失，保护健康的计算机，必要时可关闭相应的端口，甚至相应楼层的网络，及时请有关技术人员协助进行杀毒处理。

（二）网络攻击事件：判断攻击的来源与性质，关闭影响安全的网络设备和服务器设备，断开信息系统与攻击来源的网络物理连接，跟踪并锁定攻击来源的IP地址或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照事件发生的性质采取以下方案：

外部入侵：判断入侵的来源，区分外网与内网，评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的，且评价威胁很小的外网入侵，定位入侵的IP地址，及时关闭入侵的端口，限制入侵的IP地址的访问。对于已经造成危害的，应立即采用断开网络连接的方法，避免造成更大损失和影响。

内部入侵：查清入侵来源，如IP地址、所在办公室等信息，同时断开对应的交换机端口，针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的，应及时关闭被入侵的服务器或相应设备。

（三）信息破坏及内容安全事件：接到校内网站出现不良信息的报案后，应迅速屏蔽该网站的网络端口或拔掉网络连接线，阻止有害信息传播，查找信息发布人并做好善后处理。对公安机关要求我校协查的外网不良信息事件，根据校园网上网相关记录查找信息发布人。

（四）设备故障事件：判断故障发生点和故障原因，迅速联系IT运维公司尽快抢修故障设备，优先保证校园网主干网络和主要应用系统的运转。

（五）灾害性事件：根据实际情况，在保障人身安全的前提下，保障数据安全和设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。

（六）其它不确定安全事件：可根据总的安全原则，结合具体情况，做出相应处理，不能处理的及时咨询国家信息安全机构。

第十五条 后续处理：

（一）安全事件最初应急处置后，应及时采取措施，抑制其影响进一步扩大，限制潜在的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响最小。

(二) 安全事件被抑制后，通过对有关事件或行为的分析结果，找出问题根源，明确相应补救措施并彻底清除。

（三）安全事件解决后，要及时清理系统，恢复数据、程序、服务，恢复工作应避免出现误操作导致的数据丢失。

第十六条 总结上报

（一）信息办在事件发生后及时填报《教育系统网络安全事件情况报告》，应急响应结束后5天内完成网络安全事件的调查处理和总结评估工作，对事件的起因、性质、影响、责任等进行分析评估，提出处理意见和改进措施，并填报《教育系统网络安全事件总结调查报告》。

（二）发生Ⅲ至I级事件，在报告学院的同时，应上报省审计厅及省教育网络安全应急办，属于重大事件或存在非法犯罪行为的，还须第一时间向公安机关报案。

第七章 保障措施

第十七条 加强队伍建设，不断提高工作人员的信息安全防范意识和技术水平，确保安全事件应急处置科学得当。

第十八条 加强技术保障，不断完善网络安全整体方案，加强技术防护，确保信息系统的稳定与安全。

第十九条 加强经费保障，信息办应根据校园网安全防护和应急处置工作实际需要，提出用于安全的软硬件设备及运行维护经费预算，报财务部门纳入年度经费预算，以专项经费列支。

第二十条 加强应急演练，信息办每年组织开展应急演练，检验和完善预案，提高实战能力。

第二十一条 本预案自印发之日起实施。