院务公开

关于印发《湖南财经工业职业技术学院

网络与信息安全事件应急预案》的通知

院属各部门：

《湖南财经工业职业技术学院网络与信息安全事件应急预案》已经学院研究同意，现印发给你们，请认真遵照执行。

特此通知。

附件：1.湖南财经工业职业技术学院网络与信息安全事件应急预案

2.网络与信息安全事件情况报告

3.网络与信息安全事件整改报告

湖南财经工业职业技术学院

2016年7月6日

附件1

湖南财经工业职业技术学院

网络与信息安全事件应急预案

为建立学院网络与信息安全应急响应工作机制，有效预防并科学应对网络与信息安全突发事件，确保校园网络与信息系统正常运行，结合我院实际，特制定本预案。

一、适用范围

本预案适用于湖南财经工业职业技术学院校园网。

二、工作原则

减轻和消除网络安全突发事件造成的危害和影响，维护学院的安全和稳定。坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，充分发挥各方面力量，共同做好网络与信息安全事件的应急处置工作。

三、应急组织领导体系及职责任务

（一）组织机构

全院网络与信息安全防范及应急处置工作由院网络与信息安全工作领导小组统一领导、指挥、协调。各相关部门各尽其责，严格按照学院网络与信息安全应急处置工作预案组织实施。

（二）职责及任务

1.院网络与信息安全工作领导小组：负责推进、指导、协调、监督学院网络与信息安全工作，制定学院网络与信息安全策略，明确网络与信息安全目标。负责组织相关负责人定期召开网络与信息安全会议，研究决定学院网络与信息安全工作的重大事项。负责全院突发事件应急方案实施和全院信息系统日常安全运行管理的组织协调及决策工作。

2.院属各部门：负责本部门网站和业务系统的信息安全事件的处置工作，及时掌握信息动态，清除各类不良信息，将有害信息造成的不良影响减小到最低限度。

3.党政办公室：牵头组织重大敏感时期、重要活动、重要会议期间发生的信息安全事件的协调处置；负责涉密级信息网络泄密类事件的处理。

4.宣传统战部：负责网络舆情的监控与引导，学院主页内容的安全巡查，以及网络评论员、网络舆论引导队伍建设。

5.学生处：协助做好涉及学生的网络与信息安全事件处置工作。

6.保卫处：密切联系公安部门，负责学院有关网络安全设施的保卫工作，协助做好网络安全事故处理工作。

7.图文信息中心：负责校园基础网络系统安全，负责计算机病毒疫情、大规模网络攻击事件和其他网络与信息安全事件处置的技术支持工作。

四、网络与信息安全事件分类分级

（一）网络与信息安全事件分类

网络与信息安全突发事件依据发生过程、性质和特征的不同，可分为以下四类：

1.网络攻击事件：校园网络与信息系统因病毒感染、非法入侵等造成学院门户网站或部门二级网站主页被恶意篡改，应用系统数据被拷贝、篡改、删除等。

2.设备故障事件：校园网络与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪。

3.灾害性事件：因洪水、火灾、雷击、地震、台风、非正常停电等外力因素导致网络与信息系统损毁，造成业务中断、系统宕机、网络瘫痪。

4.信息内容安全事件：利用校园网络在校内外传播法律法规禁止的信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益等。

（二）网络与信息安全事件分级

网络与信息安全突发事件依据可控性、严重程度和影响范围的不同，可分为以下四级：

I级（特别重大）：学院网络与信息系统发生全校性大规模瘫痪，对学院正常工作造成特别严重损害，且事态发展超出学院控制能力的安全事件；

II级（重大）：学院网络与信息系统造成全校性瘫痪，对学院正常工作造成严重损害，事态发展超出学院图文信息中心控制能力，需学院各部门协同处置的安全事件；

III级（较大）：学院某一区域的网络与信息系统瘫痪，对学院正常工作造成一定损害，图文信息中心可自行处理的安全事件；

IV级（一般）：某一局部网络或信息系统受到一定程度损坏，对学院某些工作有一定影响，但不危及学院整体工作的安全事件。

五、预防措施

1.建立健全安全事件预警预报体系。各部门应严格执行网络与信息系统安全各项管理制度，对本部门负责管理的网站和信息系统采取相应安全保障措施。

2.严格执行信息网上发布审批制度。对可能引发校园网络与信息安全事件的信息，要认真收集、分析判断，发现有异常情况时，及时防范处理并立即报告。

3.加强对网站和信息系统的监控和安全管理，做好相关数据日志记录，同时做好数据备份及相关登记工作，建立数据恢复机制。

4.特别防护期，如国庆等网络特护期间，各部门需安排专人对网站和信息系统采取加强性保护措施，对本部门负责管理的网站和信息系统进行不间断监控。

六、处置流程

（一）预案启动

网络与信息系统运行维护操作人员一旦发现安全事件，应根据实际情况第一时间采取断网等有效措施进行处置，将损害和影响降到最小范围，保留现场，并以口头通讯的方式紧急报告学院网络与信息安全办公室（办公室主任：陈泰峰）。紧急报告的内容应包括：时间地点，简要经过，事件类型与分级，影响范围，危害程度，初步原因分析，已采取的应急措施等。网络与信息安全办公室负责人接到报告后，立即组织技术人员赶赴现场紧急处置，与突发安全事件的信息系统建管部门一起尽最大可能收集事件相关信息，鉴别事件性质，确定事件来源，弄清事件范围，评估事件带来的影响和损害，确认突发事件的类别和等级，并参照下述响应机制对突发事件进行处置。

（二）应急响应

1.应急响应机制

III级或IV级突发事件响应：图文信息中心与突发安全事件的信息系统建管部门自行负责应急处置工作，有关情况报分管院领导。

II级突发事件响应：图文信息中心立即上报分管院领导和院网络与信息安全工作领导小组，由领导小组统一组织、协调指挥进行应急处置。

I级突发事件响应：图文信息中心立即上报分管院领导和院网络与信息安全工作领导小组，领导小组再上报公安机关等相关部门。

2.应急处理方式

根据网络与信息安全事件分类采取不同应急处置方式。

（1）网络攻击事件：判断攻击的来源与性质，关闭影响安全与稳定的网络设备和服务器设备，断开信息系统与攻击来源的网络物理连接，跟踪并锁定攻击来源的IP地址或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照事件发生的性质采取以下方案：

病毒传播：及时寻找并断开传播源，判断病毒的类型、性质、可能的危害范围；为避免产生更大的损失，保护健康的计算机，必要时可关闭相应的端口，甚至相应楼层的网络，及时请有关技术人员协助，寻找并公布病毒攻击信息，以及杀毒、防御方法。

外部入侵：判断入侵的来源，区分外网与内网，评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的，且评价威胁很小的外网入侵，定位入侵的IP地址，及时关闭入侵的端口，限制入侵的IP地址的访问。对于已经造成危害的，应立即采用断开网络连接的方法，避免造成更大损失和影响。

内部入侵：查清入侵来源，如IP地址、所在办公室等信息，同时断开对应的交换机端口，针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的，应及时关闭被入侵的服务器或相应设备。

（2）设备故障事件：判断故障发生点和故障原因，迅速联系IT运维公司尽快抢修故障设备，优先保证校园网主干网络和主要应用系统的运转。

（3）灾害性事件：根据实际情况，在保障人身安全的前提下，保障数据安全和设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。

（4）信息内容安全事件：接到校内网站出现不良信息的报案后，应迅速屏蔽该网站的网络端口或拔掉网络连接线，阻止有害信息的传播，根据网站相关日志记录查找信息发布人并做好善后处理；对公安机关要求我院协查的外网不良信息事件，根据校园网上网相关记录查找信息发布人。

（5）其它不确定安全事件：可根据总的安全原则，结合具体情况，做出相应处理。不能处理的及时咨询信息安全公司或顾问。

（三）后续处理

1.安全事件进行最初的应急处置后，应及时采取行动，抑制其影响进一步扩大，限制潜在的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响最小。

2.安全事件被抑制后，通过对有关事件或行为的分析结果，找出问题根源，明确相应补救措施并彻底清除。

3.在确保安全事件解决后，要及时清理系统，恢复数据、程序、服务，恢复工作应避免出现误操作导致的数据丢失。

（四）记录上报

网络与信息系统安全事件发生时，应及时向院领导和院网络与信息安全工作领导小组汇报，并在事件处置工作中作好完整的过程记录，及时报告处置工作进展情况，保存各相关系统日志，直至处置工作结束。

（五）结束响应

系统恢复运行后，对事件造成的损失、事件处理流程和应急预案进行评估，对响应流程、预案提出修改意见，总结事件处理经验和教训，撰写事件处理报告，同时确定是否需要上报该事件及其处理过程，需要上报的应及时准备相关材料；属于重大事件或存在非法犯罪行为的，第一时间向公安机关网络监察部门报案。

应急电话：0734-8682753，联系人：陈泰峰。

附件2

网络与信息安全事件情况报告

部门名称：（加盖公章） 事发时间： 年 月 日 时 分

附件3

网络与信息安全事件整改报告

部门名称：（加盖公章） 事发时间： 年 月 日 时 分