学校网络与信息安全事故应急预案

为完善校园网络与信息安全应急响应机制，规范网络与信息安全应急响应工作内容和流程，科学应对网络与信息安全突发事件，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响，保障校园信息系统的实体安全、运行安全和数据安全，根据《中华人民共和国计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》及相关法律法规制定本预案。

本预案中的校园网络与信息安全突发事件是指在校园网络及学校各部门网站发生的信息安全突发事件。

一、工作目标

有效发挥校园网络在教学、科研、管理、信息报送和舆论引导等方面的作用，遏制网上不良信息的产生和传播，及时快速处理网上突发事件，确保校园网络正常运转，保障校园网络信息安全，维护校园和社会的安全稳定。

二、工作原则

（1）统一领导，协同作战；

（2）明确责任，依法规范；

（3）防范为主，加强监控；

（4）整合资源，条块结合。

三、组织机构及职责

（一）网络信息安全突发事件应急协调领导小组及主要职责

组长：分管校领导。

副组长：信息管理处负责人。

成员：党委办公室、保卫处、宣传部、学生工作处、图书馆等部门负责人。

领导小组主要职责：负责网络信息安全突发事件应急响应工作的整体规划、组织协调和决策指挥。

校园网络信息安全突发事件应急协调领导小组办公室（以下简称“领导小组办公室”）设在信息管理处，日常工作由信息管理处承担。

领导小组办公室下设：网络监控组、技术侦查组、宣传外联组、应急响应组。领导小组办公室主要职责：负责校园网络信息安全突发事件应急协调领导小组的日常工作，负责建立健全协调机制和信息通报机制，制定相应的应急处理工作流程，明确各部门在应急协调工作中的任务和责任；负责协调组织各项应急准备工作，按照校园网络信息安全突发事件应急协调领导小组的命令和指示，组织协调各成员单位，落实全校网络信息安全应急保障工作。

（二）各工作组的主要职责

网络监控组：由信息管理处负责，学生工作处、保卫处、图书馆及有关网站建设单位参与。网络监控的日常工作主要由信息管理处负责，应急处置预案启动后网络监控工作由信息管理处、保卫处、学生工作处共同负责，协同工作。

技术侦查组；由保卫处牵头，信息网络中心提供技术支持，协助公安机关进行信息网络安全事件的调查取证等工作。

宣传外联组：由宣传部负责，承担网站建设及网站栏目的登记审批、备案工作，监督网站建设和管理，及网络安全宣传等。预案启动后承担对外宣传和外联工作。应急响应组：由信息管理处负责，负责对信息网络安全事件紧急处置等工作，及时断开连接、指导采取有关保护措施等。

四、事件等级及划分

为了有效处置各类网络信息安全突发事件，依据事件严重性和紧急程度及对社会影响的大小由高到低划分为以下四个级别。

特别重大事件（I级）：学校校园网上出现大面积的串联、煽动和蛊惑信息；各网页出现反动、煽动民族分裂、破坏稳定等反动政治信息及链接的；校园网络发现重大泄密、失密事件。

重大事件（Ⅱ级）：关系稳定事件的讨论已成为校园网BBS或教育机构网络论坛热点问题，引发校内局部聚集或其他形式聚集；学校各网页出现淫秽等有害信息及链接的。

较大事件（Ⅲ级）：校园网上出现大小字报，呈现可能会影响稳定的苗头性信息；校园网各网页出现不良信息及链接的；学校主要服务器、网络主要互联出口、主干网络中断甚至是全部中断超过72小时的。

一般事件（IV级）：学校主要网络设备和服务器受到非法侵入的；主要服务器、网络主要互联出口、辖内主干网络中断甚至是全部中断小于72小时（含）的。

五、应急响应

在发生网络与信息安全事件时，各单位应第一时间报告到领导小组办公室，同时与相关单位联系，获得必要的技术支持。

（一）预案启动

在发生Ⅲ级（含Ⅲ级）以上网络与信息安全事件后，事件发生单位和现场应急处理工作组应立即向公安机关报警，并尽最大可能收集事件相关信息。按照应急响应流程，由学校网络与信息安全应急协调领导小组决定启动应急预案。

应急响应流程：预案启动——网络与信息安全事件分析确认——对事件逐级上报——采取措施抑制事件扩散——对事件进行根除——恢复系统运行——评估损失—编写事件处理报告一一结束响应

（二）应急处理

（1）确认阶段。初步确定应急处理方式，根据事件具体情况采取抑制措施，抑制事件进一步扩散，并根除事件影响，恢复系统运行。

（2）遏制阶段。及时采取行动遏制事件发展，限制潜在的损失与破坏，同时要确保封锁方法对涉及相关内容影响最小。

（3）根除阶段。在事件被抑制之后，通过对有关事件或行为的分析结果，找出事件根源，明确相应的补救措施，彻底消除安全隐患。

（4）恢复和跟踪阶段。在确保安全问题解决后，要及时清理系统，恢复数据、程序、服务。恢复工作应避免出现误操作导致数据的丢失。另外，恢复工作中如果涉及机密数据，需遵照机密系统的恢复要求。

（三）应急支援

本预案启动后，领导小组办公室立即组织应急响应工作小组赶赴现场，督促、指导和协调处置工作，并根据事态的发展和处置工作的需要，及时增派专家小组和应急支援单位，调动必需的人员、设备，支援应急工作。当采用一般应急处置措施仍无法控制事态时，要迅速研究采取有利于控制事态的非常措施，并向上级部门请求支援。

六、善后及奖惩办法

（1）系统恢复正常运行后，应急响应小组对事件造成的损失、事件处理流程和应急预案进行评估，对响应流程、预案提出修改意见，总结事件处理经验和教训，撰写事件处理报告上报相关部门。

（2）对负有直接责任的单位和个人依据有关法规和规定给予行政处分；构成犯罪的，依法追究刑事责任。

（3）对在应急处理工作中有突出表现的单位和个人予以奖励和表彰。

网络与信息安全突发事件工作预案处置流程见图5-5。

七、附则

（1）本预案由信息网络中心制定并负责解释。

（2）本预案自印发之日起实施。

应急案例

北京某大学校园网受“黑客”攻击事件

案例描述：2013年1月，北京某大学校园网受到黑客攻击，致使全校2200多台电脑自动关机，部分电脑系统造成损坏。“黑客”对该校网站内的一些数据随意进行增加、删除、改动，网站上的远程教学、网络招生、投稿等功能受到严重影响，数十篇论文丢失，网站几近瘫痪。接到报案后，网监支队民警立即前往大学，对该校网站机器内的相关资料进行了证据固定，并通过技术手段查询、定位了攻击方的IP地址。

很快，警方将肇事机器锁定在一台在家中上网的电脑主机上。随后，通过摸排，嫌疑人的身份逐渐显露出来。让警方吃惊的是，令校园网络大面积瘫痿的“黑客”竟是一名17岁的高中学生。

案例评析：信息网络安全不仅关系到国计民生，还与国家安全密切相关，不仅涉及国家政治、军事和经济各个方面，而且影响到国家的安全和主权。随着计算机网络的广泛应用，网络安全的重要性尤为突出。因此，网络技术中最关键也最容易被忽视的安全问题，正在危及网络的健康发展和应用，网络安全技术及应用越来越受到世界的关注。

针对本次校园网络受到攻击暴露出的问题，该大学信息管理部门制定了一套完整的网络安全信息系统改造方案。该方案提供了一个融合防火墙、接入服务器、访问控制、认证功能的强大系统，该系统针对该大学原存在的每个问题都能提供完全的应对策略。系统特别增加了内外网IP地址间的NAT功能，内、外网IPNAT功能、地址转换功能，避免了内网IP地址的暴露，为不怀好意者对校园网的攻击增加了难度，减少遭受网络攻击的可能性。同时，开发系统强大的事件追查功能，系统中丰富的日志信息和便捷的追查工具能使网络管理员在面对异常事件时及时做出反应，迅速找出幕后“黑手”。

学校信息安全管理部门要深刻认识加强校园网络安全工作的极端重要性，坚持校园信息化建设与网络安全同步谋划、同步推进、同步发展的新路子。在建设过程中，要加快网络安全应急能力建设，加强网络安全技术平台建设，着力提高网络安全应急处置能力。要不断创新网络信息安全体制机制，加快网络信息安全人才队伍建设；要加强相关技术特别是关键核心技术的攻关力度，积极引进和推广新一代互联网安全技术。有效应对校园网络安全面临的各种挑战，有效保障学校网络和信息处于比较健康的状态，发挥积极作用。