安工大〔2020〕40号

各院（部），机关各部门、各直属单位：

为建立学校网络与信息安全响应工作机制，有效预防、及时控制和妥善处理学校网络与信息安全事件，提高快速反应和应急处理能力，确保校园网络与重要信息系统正常运行，特对原《安徽工业大学网络与信息安全应急预案（试行）》（网安〔2018〕1号）进行修订。经校长办公会研究同意，现予以印发，请遵照执行。

特此通知。

附件：1.安徽工业大学网络与信息安全典型事件应急处置工

作流程

2.安徽工业大学网络与信息安全事件情况报告表

安徽工业大学

2020年6月2日

安徽工业大学网络与信息安全应急预案

为建立学校网络与信息安全的快速响应工作机制，有效预防、及时控制和妥善处理学校网络与信息安全事件，提高快速反应和应急处理能力，确保校园网络与重要信息系统正常运行，结合学校实际情况，制定本预案。

第一章 总则

第一条 编制依据

《国家网络安全事件应急预案》《安徽省教育系统网络安全事件应急预案》《安徽工业大学校园计算机网络管理办法》《安徽工业大学校园网络安全管理办法》《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)等文件。

第二条 适用范围

本预案适用于全校范围内自建自管的网络与信息系统，尤其是校园网主干设施和重要信息系统安全突发事件的应急处置。

第三条 工作原则

依照“统一领导，快速反应，密切配合，科学处置”的组织原则和“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，充分发挥各方面力量，共同做好网络与信息安全事件的应急处置工作。

第四条 网络与信息安全事件分类与分级

（一）网络与信息安全事件分类

网络安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等七种分类。

1．有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件。如系统感染勒索病毒、网站被上传 webshell、系统被渗透或控制等。

2．网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。如系统遭 DDOS攻击、SQL注入攻击、尝试爆破密码等。

3．信息破坏事件分为信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件。如发现网络上存在与系统数据高度雷同的数据，或发现业务数据被篡改。

4．信息内容安全事件是指通过网络发布、传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公共利益的事件。如网站被悬挂反动标识，或有人在网站互动区发布非法内容等。

5．设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其它设备设施故障。如服务器硬件故障，机房供电中断等。

6．灾害性事件是指由于自然灾害等其他突发事件导致的网络安全事件。如机房遭遇地震、火灾等。

7．其他信息安全事件是指不能归为以上分类的网络安全事件。

（二）网络与信息安全分级

网络与信息安全突发事件依据可控性、严重程度和影响范围的不同，分为特别重大、重大、较大、一般四级。

第二章 组织机构和工作职责

第五条  组织机构

网络与信息安全事件应急处置工作由学校网络安全与信息化领导小组统一领导、指挥、协调，各成员单位坚决执行领导小组的决定，密切配合，履职尽责。学校网络安全与信息化领导小组组成人员如下：

组  长：刘新跃   魏先文

副组长：祖  明   顾明言  刘  明  水恒福

成  员（按姓氏笔画排序）：

丁忠利  王先柱  王孝义  田继兵  刘绍兵  

吴文兵  何  伟 张文明  陈选华  郑  啸  

赵保平  胡善贵  袁志祥  黄  勇  窦贤琨

领导小组下设网络安全与信息化工作办公室，负责处理日常事务，办公室挂靠校信息化处，袁志祥同志兼任网络安全与信息化工作办公室主任。

第六条 工作职责

第三章 预防措施和处置流程

第七条 预防措施

（一）学校建立健全安全事件预警预报体系。各单位严格执行校园网络与信息系统安全各项管理制度，按照本文件要求对本部门所负责管理的校园网络和信息系统采取相应安全保障措施。

（二）信息化处加强对校园网络的监控和安全管理，做好相关数据日志记录，同时做好数据中心的数据备份及登记工作，建立灾难性数据恢复机制。

（三）特殊时期，根据工作需要，由信息化处进行统一部署和安排，组织专业技术人员对校园网络和信息系统采取加强性保护措施，对校园网络和信息系统进行不间断监控。

第八条 处置流程

（一）预案启动

发生校园网络与信息安全事件后，信息化处和突发安全事件的信息系统建设管理部门应尽最大可能收集事件相关信息，鉴别事件性质，确定事件来源，弄清事件范围，评估事件带来的影响和损害，确认突发事件的类别和等级，并参照下述响应机制对突发事件进行处置。

(二) 应急响应机制

I 级应急响应：信息化处先行通过技术手段紧急处置，同时将具体情况上报学校网络安全与信息化领导小组和分管校领导，学校网络安全与信息化领导小组会商后将事件详细情况上报至省教育厅、公安等相关部门，由上级部门会同学校统一协调指挥后续应急处置工作。

II级应急响应：信息化处先行通过技术手段紧急处置，同时将具体情况上报学校网络安全与信息化领导小组和分管校领导，由学校网络安全与信息化领导小组统一协调指挥党委办公室（学校办公室）、信息化处、党委宣传部、安全保卫部等相关职能部门开展后续应急处置工作。

III级应急响应：信息化处和相关业务部门协同开展应急处置工作，有关情况备案后报分管校领导。

IV级应急响应：信息化处负责应急处置工作，处置结果通报相关业务部门。

（三）应急处理方式

根据网络与信息安全事件分类采取不同应急处置方式。

1．有害程序事件：及时寻找并断开传播源，判断有害程序（病毒）的类型、性质、可能的危害范围；为避免产生更大的损失，必要时可关闭影响安全与稳定的网络设备和服务器设备，甚至相应楼宇的网络，及时请有关技术人员协助，寻找并公布有害程序（病毒）攻击信息，以及杀毒、防御方法。网络有害程序事件视情况采取I 至IV 级响应。

2．网络攻击事件：判断攻击的来源与性质，评价入侵可能或已经造成的危害。关闭影响安全与稳定的网络设备和服务器设备，断开信息系统与攻击来源的网络物理连接，跟踪并锁定攻击来源的IP地址或其它网络用户信息，修复被破坏信息，恢复信息系统。网络攻击事件视情况采取I 、II 或III 级响应。

3．信息破坏事件：发现业务数据被非法篡改、信息假冒、信息泄露等情况时，应迅速屏蔽网络端口或拔掉网络连接线，保护好相关记录，评价危害程度。发生舆情事件时，会同党委宣传部等有关部门积极做好舆情工作，防止媒体网络对信息破坏事件进行报道和炒作。在妥善保存有关日志和审计信息基础上，及时恢复被破坏的信息资料，防止信息破坏范围进一步扩大。信息破坏事件视情况采取I 、II 或III 级响应。

4．信息内容安全事件：接到校内网站出现不良信息的报案后，应迅速屏蔽该网站的网络端口或拔掉网络连接线，阻止有害信息的传播，根据网站相关日志记录查找信息发布人并做好善后处理；对公安机关要求我校协查的外网不良信息事件，根据校园网相关记录查找信息发布人。信息内容安全事件视情况采取I 、II 或III 级响应。

5．设备故障事件：判断故障发生点和故障原因，迅速联系IT运维公司尽快抢修故障设备，优先保证校园网主干网络和重要信息系统的运转。设备故障事件视情况采取I 至IV 级响应。

6．灾害性事件：根据实际情况，在保障人身安全的前提下，保障数据安全和设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。灾害性事件视情况采取I 或II 级响应。

7．其他信息安全事件：可根据总的安全原则，结合具体情况，做出相应处理。不能处理的及时咨询信息安全公司或顾问。

（四）后续处理

1．安全事件进行最初的应急处置后，应及时采取行动，抑制其影响进一步扩大，限制潜在的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响最小。

2．安全事件被抑制后，通过对有关事件或行为的分析结果，找出问题根源，明确相应补救措施并彻底清除。

3．在确保安全事件解决后，要及时清理系统，恢复数据、程序、服务，恢复工作应避免出现误操作导致的数据丢失。

（五）记录上报

网络与信息系统安全事件发生时，信息化处应及时向校领导和学校网络安全与信息化领导小组汇报，并在事件处置工作中作好完整的过程记录，及时报告处置工作进展情况，保存各相关系统日志，直至处置工作结束。

（六）结束响应

系统恢复运行后，信息化处对事件造成的损失、事件处理流程和应急预案进行评估，对响应流程、预案提出修改意见，总结事件处理经验和教训，撰写事件处理报告，同时确定是否需要上报该事件及其处理过程，需要上报的应及时准备相关材料；属于重大事件或存在非法犯罪行为的，第一时间向公安机关、网络监察部门报案。

第四章　保障措施

网络与信息安全事件应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作，是有组织的科学与社会行为。因此，必须做好事件应急保障工作。

第九条  宣传教育

充分利用校园网等形式，加强网络与信息安全事件预防和处置的有关法律、法规和政策的宣传，开展网络与信息安全基本知识和技能的宣讲活动。

第十条  专业队伍保障

   加强队伍建设，不断提高安全岗位工作人员的信息安全防范意识和技术水平，确保安全事件处置得当。

第十一条  技术保障

   信息化处应统筹规划，不断完善网络安全整体方案，加强技术管理，确保信息系统的稳定与安全。根据工作需要聘请信息安全顾问为应急处置过程和重建工作提供咨询和技术支持。

第十二条  经费保障

信息化处应根据校园网络与信息系统安全预防和应急处置工作的实际需要，申报网络与信息系统关键设备及软件的运维专项资金，提出本年度应急处置工作相关设备和工具所需经费，上报至财务处纳入年度预算，由学校给予资金保障。

第十三条  定期培训和演练

信息化处定期对相关工作人员进行网络与信息系统安全知识培训，增强预防意识和应急处置能力，有针对性地开展应急演练，确保相关措施有效落实。

第五章　附 则

第十四条  本预案由网络安全与信息化领导小组负责解释。

第十五条  本预案自发布之日起施行。原《安徽工业大学网络与信息安全应急预案（试行）》（网安〔2018〕1号）作废。

附件1

安徽工业大学网络与信息安全

典型事件应急处置工作流程

第一章 总则

第一条 为切实做好我校网络与信息安全保障工作，确保校内各信息系统及核心数据的安全稳定，依据国家相关法律、法规和政策，以及《安徽工业大学网络与信息安全应急预案》有关要求，特制订安徽工业大学网络与信息安全典型事件应急处置工作流程。

第二条 学校以《安徽工业大学网络与信息安全应急预案》为指导，在网络与信息安全事件分类和定级的基础上，按照事先预防、事中处置和事后上报等有关要求，对网络与信息安全事件进行应急处理。

第三条 出现网络与信息安全事件后，须确保有关信息畅通，并依据事件具体情况迅速判断事件类别、给出响应等级，并根据《安徽工业大学网络与信息安全应急预案》的处置流程迅速开展应急处理工作。其中，对于Ⅳ级事件，信息化处负责应急处置工作，处置结果通报相关业务部门；对于Ⅲ级及以上级别事件，视具体情况上报分管校领导或学校网络安全与信息化领导小组，信息化处和相关业务部门协同开展应急处置工作。

第四条 网络与信息安全事件可分为：有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障事件、灾害性事件、其他网络与信息安全事件等。

第二章 有害程序典型事件处置流程

第五条 有害程序典型事件主要指计算机病毒事件等。

一旦发现感染计算机病毒，应执行以下应急处置流程：

1．立即切断感染病毒计算机与网络的连接，同时对该计算机的重要数据进行数据备份；

2．对事件进行初步定级，根据等级进行事发情况报告；

3．利用防病毒软件对该计算机进行杀毒处理，并对同一局域网内其他计算机进行病毒扫描和清除工作；若感染病毒的设备是服务器或者主机系统，经技术人员研判，如有必要，应告知有关单位做好相应的清查工作；同时进行事中情况报告；

4．如果满足下列情况之一的，事件应升级响应；

（1）现行防病毒软件无法清除该病毒的；

（2）信息系统在1小时内无法处理完毕的；

（3）病毒不断通过网络扩散的；

5．恢复系统和相关数据，检查数据的完整性；

6．病毒事件处理完毕，将计算机重新接入网络；

7．进行事后整改报告（详见附表，下同），总结防范经验，进行安全加固。

第三章 网络攻击典型事件处置流程

第六条 网络攻击典型事件主要包括网络非法入侵事件（远程控制、后门攻击等）、拒绝服务攻击事件等。

第七条 网络非法入侵事件处置流程。

一旦发现网络非法入侵行为，应执行以下应急处置流程：

1．发现有关服务器被网络非法入侵（远程控制、后门攻击等）后，应立即切断服务器与网络的连接；

2．对事件进行初步定级，根据等级进行事发情况报告；

3．技术人员对入侵行为进行鉴定，做好必要的记录，妥善保存有关日志和审计信息；

4．通过技术手段进行分析，追查攻击源，修改防火墙等设备的安全配置阻断继续入侵；分析后台数据操作日志，判断是否发生数据失窃；同时进行事中情况报告；

5．事态无法控制或造成严重后果，事件应升级响应；情节严重的、构成违法犯罪的，需及时上报公安机关立案侦查；

6．修复或重建被攻击或破坏的系统，重新将恢复后的系统接入网络；

7．进行事后整改报告，强化安全防范措施，总结防范经验，进行安全加固。

第八条 拒绝服务攻击事件处置流程。

一旦发现遭受拒绝服务攻击而导致系统无法正常访问时，应执行以下应急处置流程：

1．发现可能遭受拒绝服务攻击时（系统访问流量异常、无法正常访问等现象），首先对事件进行初步定级，根据等级进行事发情况报告；

2．技术人员对受攻击行为进行鉴定，做好必要记录，妥善保存有关日志和审计信息；

3．通过技术手段进行分析，追查攻击源，修改路由器、防火墙等设备的安全配置，缓解、消除事件的影响，同时进行事中情况报告；

4．事态无法控制或持续造成影响，事件应升级响应；

5．提取相关数据样本后，恢复系统正常运行；

6．进行事后整改报告，强化安全防范措施，总结防范经验。

第四章 信息破坏、信息内容安全典型事件处置流程

第九条 信息破坏典型事件主要包括业务数据非法篡改事件、信息泄漏事件等；信息内容安全典型事件主要包括网络发现非法内容信息发布事件等。

对外服务网站一旦发现业务数据非法篡改事件，或网络发现非法内容信息发布事件，应执行以下应急处置流程：

1．首先对事件进行初步定级，根据等级进行事发情况报告；情况紧急的，应先及时实施断开相关网页对外服务、删除非法信息等应急处理措施，再按程序报告；

2．立即组织技术人员对事件进行勘察，做好必要记录，妥善保存有关日志和审计信息；

3．通过技术手段进行分析，追查非法信息来源，提取相关数据样本后，清理网站被篡改信息或非法信息；涉及被篡改信息或非法信息难以清理的，及时实施备份数据恢复工作，若相关备份均无法恢复，应立即向有关厂商请求紧急支援；有关工作实施同时进行事中情况报告；

4．事态无法控制或造成恶劣影响，事件应升级响应；情节严重的、构成违法犯罪的，需及时上报公安机关立案侦查；

5．处理完毕后及时恢复网站运行；

6．进行事后整改报告，强化安全防范措施，总结防范经验，进行安全加固。

第十条 发生信息泄漏事件时，应执行以下应急处置流程：

1．首先对事件进行初步定级，根据等级进行事发情况报告；情形严重的，须及时向上级保密、国家安全、公安等部门报告，并积极协助、配合有关部门进行调查；

2．立即组织技术人员对事件进行勘察，通过技术手段进行分析，调查泄露信息的密级（保密期限）、内容、规定的知悉范围、事件发生的时间、信息泄露的渠道和范围、责任人或嫌疑人等；做好必要记录，妥善保存有关日志和审计信息；在事件未调查清楚之前，会同党委宣传部等有关部门积极做好舆情工作，防止媒体网络对信息泄露事件进行报道和炒作；

3．提取相关数据样本后，及时收缴流失的信息资料，防止信息泄露范围进一步扩大；对出现在公共网络、出版物、广播、电视等媒体上的泄露信息，协调相关职能部门，责令有关单位立即实施删除、收缴、停播等阻断行为，并收缴有关泄露载体；有关工作实施同时进行事中情况报告；

4．事态无法控制或造成恶劣影响的，事件应升级响应；情节严重的、构成违法犯罪的，需及时上报公安机关立案侦查；调查中发现对信息泄露事件隐瞒不报的，应追究相关人员的责任；

5．处理完毕后，在适当范围内进行通报，以达到警示、教育的目的；

6．进行事后整改报告，强化安全防范措施，总结防范经验，进行安全加固。

第五章 设备设施故障典型事件处置流程

第十一条 设备设施故障典型事件主要包括机房发生物理环境相关事件、网络断线事件等。

第十二条 机房发生物理环境相关事件时，应执行以下应急处置流程：

1．若发生以下事件，首先进行紧急处理，然后再进行事发情况报告；

（1）外电中断：

①机房值班人员应立即查看是否切换到备用UPS电源，优先保证UPS给核心设备和服务器供电；同时立即联系后勤处等相关部门查明断电原因；

②涉及内部线路故障的请后勤处及时联系维修部门迅速恢复；

③涉及市级供电原因，应请后勤处及时与相关部门取得联系、了解具体情况，便于后续处理；若因市级供电原因需长时间停电的，应做如下安排：预计停电2小时以内，由UPS供电；预计停电2小时以上的，及时在有关办公群发布相关公告后关掉网络或服务器等设备。

（2）火灾：

①切断电源，使用灭火器灭火，同时向保卫处报告火警，请求支援，如有人遇险，应遵循如下原则：首先保人员安全；其次保关键设备、数据安全；再次保一般设备安全；

②人员疏散的程序是：机房值班人员立即按响火警警报，并通过119电话向公安消防请求支援，所有不参与灭火的人员按照预先确定的线路，迅速从机房中撤出。

③人员灭火的程序是：首先切断所有电源，启动自动灭火系统，从指定位置取出泡沫灭火器进行灭火。

（3）渗水：

①切断电源，更换浸水设备，及时清除机房积水并实施防水措施；

②若墙体或窗户渗漏水，现场人员应立即采取有效措施确保机房安全，同时通知图书馆物业管理处及工程部，及时清除积水，维修墙体或窗户，消除渗漏水隐患。

（4）空调损坏：立即联系空调售后和维保公司进行处理，经研判无必要维修的，应予以更换设备。

2．及时对事件进行初步定级，处理过程中及时进行事中情况报告；

3．若事态无法控制或造成严重影响的，事件应升级响应；

4．提取相关数据样本后，恢复系统正常运行；

5．进行事后整改报告，强化安全防范措施，总结防范经验，进行安全加固。

第十三条 网络断线事件时，应执行以下应急处置流程：

1．初步研判广域网或局域网发生线路中断问题，对事件进行初步定级，根据等级进行事发情况报告；

2．涉及广域网线路中断的：

（1）若主、备用线路中断一条：

①应立即启动备用线路接续工作，同时迅速判断故障节点、查明故障原因；

②若故障发生在学校管辖范围，须立即查找故障位置和原因并实施恢复；遇到无法恢复的情况须立即向有关供应商请求支援；

③若故障发生在供应商管辖范围，立即与相关维护部门联系请求修复；

（2）若主、备用线路同时中断：

应立即判断故障节点，查明故障原因后实施恢复；遇到无法恢复的情况须立即向有关供应商请求支援；

3．涉及局域网线路中断的：

应立即判断故障节点，查明故障原因后实施恢复；其中：

（1）涉及线路故障的应及时重新安装线路；

（2）涉及路由器、交换机等网络设备故障的，应立即与设备提供商联系更换设备，并调试畅通；

（3）涉及路由器、交换机配置文件破坏的，应迅速按照要求重新配置，并调试畅通；

（4）如仍不能恢复或存在其他无法解决技术问题的，须立即向与相关供应商、维护部门或上级单位请求支援。

4．情节严重乃至事态无法控制的，事件应升级响应；

5．处理完毕后及时恢复网络运行；

6．进行事后整改报告，强化安全防范措施，总结防范经验，进行安全加固。

第六章 灾害性典型事件处置流程

第十四条 灾害性事件主要包括：因洪水、火灾、雷击、地震、台风、非正常停电等外力因素导致的网络与信息系统损毁，造成业务中断系统、系统宕机、网络瘫痪等。有关应急处置流程如下：

1．首先对事件进行初步定级，根据等级进行事发情况报告；

2．发生的灾害为自然灾害时，根据当时的实际情况，在保障人身安全的前提下，首先保障数据安全，其次是核心设备、普通设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等；

3．发生灾害性事件后，立即组织技术人员对事件进行勘察，做好必要记录，妥善保存有关日志和审计信息；涉及设备损坏的须详细梳理并评估硬件和软件受损程度，若能够自行修复，应立即用备件替换受损部件实施修复；对于不能自行恢复的，应尽快联系相关供应商、技术部门或售后服务部门，详细说明受损情况，及时寻找安全可靠的地点，拆卸并搬迁未受损设备，重新构建新的系统和网络，并将相关数据迅速予以恢复；若相关备份均无法恢复，须立即向有关厂商请求紧急支援；有关工作实施同时进行事中情况报告；

4．情节严重乃至事态无法控制的，事件应升级响应；

5．处理完毕后及时恢复系统或网站运行；

6．进行事后整改报告，强化安全防范措施，总结防范经验，进行安全加固。

第七章 其他信息安全典型事件处置流程

第十五条 其他信息安全典型事件发生后，有关应急处置流程如下：

1．首先对事件进行初步定级，根据等级进行事发情况报告；

2．根据实际情况，与事发涉及的相关单位协商后妥善处理具体问题；

3．情节严重乃至事态无法控制的，事件应升级响应；

4．处理完毕后及时恢复相关服务的运行；

5．进行事后整改报告，强化安全防范措施，总结防范经验，进行安全加固。

第八章 附则

第十六条 本流程自发布之日起施行；未尽事宜，由网络安全与信息化领导小组负责解释。