西华大学网络安全应急预案（试行）

西华大学网络安全应急预案（试行）

创建者：系统管理员发布时间：2022-11-30

第一章 总则

第一条 为完善学校网络安全事件应急工作机制，规范网络安全事件工作流程，提高我校网络安全应急处置能力，预防和减少网络安全事件造成的损失和危害，确保学校校园网络及信息系统正常运行，维护学校安全稳定和健康发展，根据《中华人民共和国网络安全法》《国家网络安全事件应急预案》（中网办发文〔2017〕4号）《教育系统网络安全事件应急预案》（教技〔2018〕8号）《四川省教育系统网络安全应急预案（暂行）》（川教〔2017〕93号）《信息安全事件分类分级指南》（GB/T20986-2007）《西华大学网络信息安全管理办法》等文件，结合我校实际情况，特制定本预案。

第二条 参照相关规定，本预案所指网络安全事件是指由于人为破坏、软硬件缺陷或故障、自然灾害等，对校园网络和系统（网站）或系统中的数据造成危害，对学校甚至社会造成负面影响的事件，结合学校实际情况，本预案将校内网络安全事件分为特别重大网络安全事件（Ⅰ级）、重大网络安全事件（Ⅱ级）、较大网络安全事件（Ⅲ级）、一般网络安全事件（Ⅳ级）四级。分级依据如下：

1.特别重大网络安全事件（Ⅰ级）：

（1）因发生网络攻击、病毒感染或由于软硬件故障、灾害性事件导致学校大规模网络与系统（网站）瘫痪；

（2）校内重要基础设施（如：网站群、信息门户、移动端门户等）、校内核心业务系统或网站（如：学校主页、一卡通系统等）遭受特别严重损失，丧失业务处理能力；

（3）校内重要基础设施、校内核心业务系统（网站）的重要敏感信息或关键数据丢失，或被窃取、篡改、假冒，对学校安全稳定和正常秩序造成特别严重影响；

（4）其他对学校安全稳定和正常秩序造成特别严重影响的网络安全事件。因上述网络安全事件发生，致使事态发展超出学校控制能力。

2.重大网络安全事件（Ⅱ级）：

（1）因发生网络攻击、病毒感染或由于软硬件故障、灾害性事件导致学校区域性网络与系统（网站）瘫痪；

（2）校内重要基础设施（如：网站群、信息门户、移动端门户等）、校内核心业务系统或网站（如：学校主页、一卡通系统等）遭受严重损失，业务处理能力受到严重影响；

（3）校内重要基础设施、校内核心业务系统（网站）的重要敏感信息或关键数据丢失，或被窃取、篡改、假冒，对学校安全稳定和正常秩序造成严重影响；

（4）上级主管或监管部门要求立即整改的网络安全事件；

（5）其他对学校安全稳定和正常秩序造成严重影响的网络安全事件。因上述网络安全事件发生，致使事态发展超出信息与网络管理中心处置能力，需协同相关部门进行处置。

3.较大网络安全事件（Ⅲ级）：

（1）因发生网络攻击、病毒感染或由于软硬件故障、灾害性事件导致学校小范围网络与系统（网站）瘫痪；

（2）重要业务系统（如校内二级单位重要系统）或网站（如校内二级单位主页）遭受较大损失，造成系统中断，明显影响系统效率，业务处理能力受到影响；

（3）重要业务系统（网站）的数据丢失，或被窃取、篡改、假冒，对学校安全稳定和正常秩序造成较严重影响；

（4）其他对学校正常工作造成不利影响的网络安全事件。

4.一般网络安全事件（Ⅳ级）：除上述情况外，其他对学校网络或系统（网站）造成一定影响的网络安全事件，包括但不限于校内个人计算机感染病毒、三级单位信息系统（网站）发生软硬件故障等，定义为一般网络安全事件。

第三条 根据“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，坚持在学校网络安全与信息化工作委员会统筹协调下切实落实网络安全应急处置工作，充分发挥各单位力量共同做好网络安全事件的预防和处置。为保障网络安全事件应急预案有效实施，确定以下工作原则。

1.统一指挥、密切协同。学校网络安全与信息化工作委员会统筹协调全校网络安全应急指挥工作，建立与省教育厅、市/区级网络安全职能部门、专业机构等多方参与的协调联动机制，加强预防、监测、报告和应急处置等环节的紧密衔接，做到快速响应、正确应对、果断处置。

2.分级管理、强化责任。按照“谁主管谁负责、谁使用谁负责、谁运维谁负责”的原则，信息与网络管理中心对全校网络安全工作负主体责任，各单位、各部门对所属网站和业务信息系统的安全工作负直接责任。各部门领导班子主要负责人是网络安全工作第一责任人。

3.预防为主、防战结合。坚持事件处置和预防工作相结合，做好事件预防、预判、预警工作，加强应急支撑保障能力和安全态势感知能力建设。提高网络安全事件快速响应和科学处置能力，争取早发现、早报告、早控制、早解决，严控网络安全事件风险和影响范围。

第四条 本预案是西华大学网络安全事件的专项预案，适用于西华大学IP 公网地址及域名包含（xhu.edu.cn 后缀）的所有网络资源发生、或可能发生网络安全事件情况下的应急处置工作。

第二章 组织机构与职责

第五条 网络安全与信息化工作委员会是学校网络安全与信息化工作的决策机构，在网络安全应急工作中的职责：

1.统筹指导学校网络安全应急体系建设；

2.决定Ⅰ、Ⅱ级网络安全事件应急响应启动，组织成立网络安全事件应急小组；

3.统筹指导、指挥学校网络安全事件应急响应工作；

4.督促全校各单位贯彻执行应急预案，并对相关单位在网络安全事件处置全过程中的表现进行评估考核。

第六条 党委宣传部为网络安全与信息化工作委员会牵头单位，在网络安全应急工作中的职责：

1.负责学校舆情监测，对于涉及师生政治思想方面的倾向性、苗头性问题加强分析研判；

2.负责舆情突发事件的处置；

3.负责学校信息发布系统被违规发布信息后的应急处置工作，妥善有效应对并做好善后工作;

4.负责各类信息内容安全事件发生后，以及安全事件处置前后，校内外舆论的正确引导等工作。

第七条 信息与网络管理中心为网络安全与信息化工作委员会技术支撑单位，在网络安全应急工作中的职责：

1.制定学校网络安全相关制度和应急响应预案；

2.统筹组织学校的网络安全监测工作，接收处理网络安全通报，保障校内网络与系统（网站）正常运行；

3.及时响应各种网络安全事件，协助各单位完成网络安全事件应急处置程序。

4.在应急演练与响应中提供技术咨询与支持、保障和培训工作；

5.在网络安全应急处置工作中组织应急技术支撑队伍，提供技术支持与保障，并及时向网络安全与信息化工作委员会汇报；

6.定期对学校网络及信息系统进行整体的安全扫描，并及时向网络安全与信息化工作委员会报告学校网络安全自查工作中发现的威胁情况，包括网络与系统（网站）安全形势分析预测、网络与系统（网站）异常或瘫痪、应用服务中断或数据篡改、丢失等情况。

第八条 保卫处在网络安全应急工作中的职责：

联系公安部门，协助排查信息内容安全事件相关责任人，配合信息网络中心做好各类网络与信息安全事件的处置工作。

第九条 学校各单位在网络安全应急工作中的职责：

1.负责本单位网站及应用系统的网络安全事件预防、监测、报告及应急处置工作；

2.建立健全本单位网络安全应急响应机制，制定单位内网络安全应急响应预案，定期进行网络安全事件应急演练；

3.明确本单位应急响应负责人，应急响应负责人负责本单位网络安全应急具体工作，并负责与信息与网络管理中心对接。应急响应负责人默认为该本单位在信息与网络管理中心机房托管了服务器或备案了应用系统的相关人员。应急响应负责人员发生变动时，需及时报送信息与网络管理中心备案，若未及时备案，则默认为本单位一把手；

4.积极支持配合网络安全与信息化工作委员会及信息与网络管理中心进行的网络安全应急响应处置工作。

第三章 监测预警

第十条 建立健全校内网络与系统（网站）监测预警机制，加强对可能引发网络信息安全事件相关信息的收集、分析与持续监测，加强相关网络安全设备和监测预警系统的配置及升级换代，实现“早发现、早报告、早处置”。

第十一条 信息与网络管理中心负责进行全校范围内网络与系统（网站）实施安全监测，在收到相关部门预警及主动扫描发现安全风险后应及时发布安全通报；各单位收到信息与网络管理中心发布的通报后及时按要求整改并提交文档；各单位负责实施本单位网络与系统（网站）的安全监测，一旦发现网络安全威胁应立即上报信息与网络管理中心，并及时完成预警报告。

第十二条 收到网络安全威胁预警后，由信息与网络管理中心进行取证以及风险评估，若存在紧急风险，信息与网络管理中心根据监测与评估结果情况发布预警信息并向网络安全与信息化工作委员会进行汇报，根据威胁情况启动相应预案，必要时执行断网、关闭服务器等措施防止事态扩大。

第十三条 发布预警信息后，信息与网络管理中心与相关技术支撑队伍对预警现场情况进行跟踪和态势分析与分级预判。根据预判，若可能发生Ⅲ级及以下网络安全事件，由信息与网络管理中心组织技术支撑队伍做好应急准备或处置；若可能发生Ⅱ级及以上网络安全事件，信息与网络管理中心应及时上报网络安全与信息化工作委员会，研究制订应对方案，积极做好应急处置准备或保障，在处置期间实行24小时值守，若事态发展可能超过学校控制能力，应及时上报上级部门。

第四章 应急响应及处置

第十四条 各单位落实网络安全应急工作。在国家重大活动、会议期间，各单位实行24小时值守制，确保网络安全事件发生时能及时联系、及时处置。

第十五条 网络安全事件发生后，事发单位应及时通知信息与网络管理中心并启动预案，保留相关证据，不得迟报、谎报、瞒报、漏报。

信息与网络管理中心组织现场搜集相关信息，分析安全事件态势，若初判为Ⅱ级以上网络安全事件，及时报告网络安全与信息化工作委员会，由网络安全与信息化工作委员会启动Ⅰ级、Ⅱ级应急响应，成立应急小组，组织研究处置方案并进行指挥协调工作。信息与网络管理中心及相关技术支撑队伍进行具体工作推进实施，提供现场安全保障，控制事态蔓延。应急小组在网络安全与信息化工作委员会指挥下，根据具体情况调动相关物资、设备，必要情况下请求校外应急支援。

第十六条 若初判为Ⅰ级网络安全事件，应急小组应及时上报上级部门；对于人为破坏活动，同时报公安机关。

第十七条 应急处置过程中，信息与网络管理中心及相关技术支撑队伍持续跟踪事态发展、检查影响范围，若为Ⅱ级事件，或Ⅲ级及以下事件有转化为Ⅱ级事件的趋势，信息与网络管理中心应及时将事件危害程度、损失情况及现场处置情况上报网络安全与信息化工作委员会；若为Ⅰ级事件，或Ⅱ级事件有转化为Ⅰ级事件的趋势，学校应及时将事件危害程度、损失情况及现场处置情况上报上级部门。

第十八条 网络安全事件应急响应分为Ⅰ级、Ⅱ级、Ⅲ级、Ⅳ级等四级，分别对应特别重大、重大、较大和一般网络安全事件。I 级为最高响应级别。

1.Ⅰ级和Ⅱ级响应

由上级网络安全应急办统一组织应急处置工作，具体要求以上级网络安全应急办部署为准。

(1)掌握事态及时上报。跟踪事态发展情况，及时向学校网络安全与信息化工作委员会报告，经批准后按要求将事态发展变化情况和处置进展情况上报上级网络安全应急办。

(2)控制事态防止蔓延。根据事件发生原因，结合相应专项应急预案，采取各种技术措施，管控手段，最大限度阻止和控制事态蔓延。

(3)消除隐患恢复系统。针对性制定解决方案，及时组织恢复受破坏的网络和信息系统。

(4)取证溯源协调配合。在保留相关证据的基础上，开展问题定位和溯源追踪工作。积极协调配合上级部门和当地公安机关开展调查取证工作。

2.Ⅲ级响应发生较大网络安全事件，由学校网络安全与信息化工作委员会确认并启动Ⅲ级响应。学校网络安全与信息化工作委员会履行应急处置工作统一领导、指挥、协调的职责。

(1)信息与网络管理中心负责整理、汇总相关信息、掌握事态发展变化情况和处置进展情况，掌握全校网络和信息系统受到事件涉及或影响的情况，随时向学校网络安全与信息化工作委员会报告相关重要事项。

(2)及时形成《教育系统网络安全事件情况报告》，经学校网络安全与信息化工作委员会同意后报上级网络安全应急办。

(3)根据事件发生原因，结合相应专项应急预案，采取各种技术措施，管控手段，最大限度阻止和控制事态蔓延。

(4)消除隐患恢复系统。针对性制定解决方案，及时组织恢复受破坏的网络和信息系统。

(5)取证溯源协调配合。在保留相关证据的基础上，开展问题定位和溯源追踪工作。积极协调配合上级部门和当地公安机关开展调查取证工作。

3.Ⅳ级响应由信息与网络管理中心确认并启动Ⅳ级响应。信息与网络管理中心履行应急处置工作领导、协调的职责。

(1)协助事发单位整理、汇总相关信息，掌握事态发展变化情况和处置进展情况，及时向学校网络安全与信息化工作委员会报告相关重要事项。

(2)事发单位根据专项应急预案开展应急处置工作，采取各种技术措施、管控手段，最大限度阻止和控制事态蔓延。

(3)协助事发单位消除隐患，恢复遭受破坏的网络和信息系统，开展问题定位和溯源追踪工作。

第十九条 各级响应按照以下权限和流程，确定响应的结束。

1.Ⅰ级和Ⅱ级响应结束，以上级部门部署为准。

2.Ⅲ级响应结束，经应急工作组批准报学校网络安全与信息化工作委员会同意后，根据实际决定Ⅲ级响应的结束，并通报有关情况。

3.Ⅳ级响应结束，由事发单位完成应急处置后，报学校信息与网络管理中心同意后，根据实际决定Ⅳ级响应的结束。

第二十条 应急响应工作结束后，相关单位迅速执行整改计划，采取措施修整受损设施、数据，减少损失，消除隐患，恢复网络或系统（网站）至突发事件前状态，同时对事件损失进行统计、记录、分析。

第二十一条 整改工作结束后，信息与网络管理中心组织技术人员与专家对事件发生及处置进行全面调查，实施取证工作，定位溯源，总结经验教训，修订完善应急响应体系。由网络安全事件发生的单位出具相关事件的情况说明及整改报告，完成《安全事件总结报告》。

第五章 应急演练

第二十二条 信息与网络管理中心应组织校级层面演练；各单位应建立健全网络安全事件应急演练机制，制定详细演练方案，明确演练目标、参加演练的系统、涉及的形式、层次和范围，设定灾难情况、演练流程、操作内容、业务验证测试、应急资源、职责分工、进度安排、演练的风险及其应对措施，确保应急预案内容切实可行。

第二十三条 加强演练工作风险管理，谨慎开展应急演练。确保演练前组织、人员、资源到位。严格控制应急演练引起的系统变更风险，避免因演练导致服务中断、各项资源不可恢复。认真评估演练本身可能带来的风险和对业务的影响，制定完善的保障措施和应急回退方案。

第二十四条 记录演练开展的全过程和发现的问题，对演练的组织、过程、效果进行评估，编写应急演练总结报告。根据演练结果完善应急响应体系，维护更新防护设施。

第六章 预防工作

第二十五条 做好网络安全日常预防与监测工作，根据学校工作实际开展情况，逐渐更新、完善应急管理体制。做好网络安全检查与监测、风险评估和容灾备份，加强校内网络及系统（网站）的安全保障能力与监测预警能力。

第二十六条 将网络安全教育作为国家安全教育的重要内容，充分利用网络安全宣传周等各种活动形式及多种传播媒介，加强对突发网络安全事件预防与应急处置相关法律、法规和政策的宣传，积极开展网络安全基本知识和技能的宣传活动，提升学校师生网络安全防范意识。

第二十七条 定期对学校各单位网络安全相关负责人进行网络安全事件应急知识集中培训，使相关人员熟悉应急方案流程、应急设备的操作方法等，增强各单位防范意识和应急处置能力。

第七章 工作保障

第二十八条 按照“谁主管谁负责，谁使用谁负责”的原则，各单位、各部门应落实网络安全应急工作责任制，明确具体岗位和人员，建立健全应急工作机制。

第二十九条 加强我校网络安全应急保障队伍与专家队伍建设，与机关团体、企事业单位等力量形成良好合作与互动。通过推动等级保护等工作提升学校对于网络安全事件的监测预警、安全防护、应急处置能力。

第三十条 建立监督检查机制。按预案的规定不定期进行检查，对未有效落实预案各项规定的部门进行通报批评，责令限期改正。

第三十一条 学校保障每年用于网络安全等级保护测评、网络安全监测和检测评估、信息系统安全升级改造和防护加固、网络安全教育培训、网络安全事件处置和安全运维等5项重点工作的经费。

第三十二条 学校对网络安全事件应急管理工作中作出突出贡献的先进集体和个人给予表彰；对不按照规定制定预案和组织开展演练、迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职、渎职行为的，依照学校有关规定对有关责任人给予处分；构成犯罪的，由公安机关依法追究刑事责任。

第八章 附则

第三十三条 本预案原则上每年评估一次，根据实际情况适时修订。修订工作由学校网络安全与信息化工作委员会办公室组织。

第三十四条 本预案由学校网络安全与信息化工作委员会办公室负责解释。

第三十五条 本预案自印发之日起实施。

附件1：

网络安全事件分类

网络安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。

（1）有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件。如系统感染勒索病毒、网站被上传webshell、系统被渗透或控制等。

（2）网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。如系统遭DDOS攻击、SQL注入攻击、尝试爆破密码等。

（3）信息破坏事件分为信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件。如发现网络上存在与系统数据高度雷同的数据，或发现业务数据被篡改。

（4）信息内容安全事件是指通过网络发布、传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公共利益的事件。如网站被悬挂反动标识，或有人在网站互动区发布非法内容等。

（5）设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其它设备设施故障。如服务器硬件故障，机房供电中断等。

（6）灾害性事件是指由于自然灾害等其他突发事件导致的网络安全事件。如机房遭遇地震、火灾等。

（7）其他事件是指不能归为以上分类的网络安全事件。

来源：西华大学信息与网络管理中心