大学网络安全事件应急预案.docx

大学网络安全事件应急预案1总则1.1 编制目的根据国家网络安全事件应急预案和教育系统网络安全事件应急预案要求，健全完善*大学网络安全事件应急工作机制，规范网络安全事件工作流程，提高我校网络安全应急处置能力，预防和减少网络安全事件造成的损失和危害，维护我校网络安全稳定。L2编制依据中华人民共和国突发事件应对法中华人民共和国网络安全法等法律法规，国家突发公共事件总体应急预案突发事件应急预案管理办法国家网络安全事件应急预案关于加强教育行业网络与信息安全工作的指导意见信息安全技术信息安全事件分类分级指南(GB/Z20986-2007)教育系统网络安全事件应急预案等文件。1.3 适用范围本预案适用于*大学校内各单位。按照国家网络安全事件应急预案规定，本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他事件。1.4 事件分级结合我校网络情况，可能造成的危害，可能发展蔓延的趋势等，我校网络安全事件分为两级：重大网络安全事件和一般网络安全事件，分别对应国家网络安全事件应急预案事件分级中的较大网络安全事件（In级）和一般网络安全事件（IV级）。（1）符合下列情形之一的为重大网络安全事件全校大量用户无法正常上网，不包括因升级改造、施工、停电或其它特殊情况引起的网络中断。重要业务信息系统（网站）遭受重大系统损失或非法篡改等，明显影响系统效率和业务处理能力，或造成重大不良社会影响。网络病毒在全校范围内广泛传播。重要业务信息系统（网站）的信息或数据发生丢失或被窃取、篡改、假冒。其他对学校网络安全稳定和正常秩序构成较大威胁,造成重大影响的网络安全事件。（2）一般网络安全事件除上述情形外，对学校网络安全稳定和正常秩序构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。1.5 工作原则（1）统一指挥、密切协同。网络安全和信息化领导小组（以下简称网信领导小组)统筹协调全校网络安全应急指挥工作,建立与教育部门、各二级单位和专业机构等多方参与的协调联动机制，加强预防、监测、报告和应急处置等环节的紧密衔接，做到快速响应、正确应对、果断处置。(2)分级管理、强化责任。按照“谁主管谁负责、谁运维谁负责”的原则，各二级单位对本单位信息系统和网站的安全工作负主体责任。各单位主要负责人是网络安全工作第一责任人。(3)预防为主、平战结合。坚持事件处置和预防工作相结合，做好事件预防、预判、预警工作，加强应急支撑保障能力和安全态势感知能力建设。提高网络安全事件快速响应和科学处置能力，抓早抓小，争取早发现、早报告、早控制、早解决，严控网络安全事件风险和影响范围。2组织机构与职责2.1 领导机构与职责网信领导小组统筹协调全校网络安全事件应急工作，指导学校网络安全事件应急处置；发生重大网络安全事件时，成立网络安全事件应急工作组，负责组织指挥和协调事件处置。2.2 信息管理部职责负责全校网络安全事件应急工作，做好网络安全事件的预防、监测、报告和应急工作，指导各二级单位做好应急处置的技术支撑工作；负责对接教育部网络安全应急办公室，向教育部网络安全应急办公室报告重大网络安全事件情况，提出重大网络安全事件应对措施建议；每年组织一次应急演练，每年年底前将本年度演练情况报教育部网络安全应急办公室，同时根据演练情况对预案进行修改完善；定期组织网络安全培训或学习，提高网络安全管理人员和技术人员的防范意识及安全技能。23各二级单位职责严格遵照“谁主管谁负责、谁运维谁负责”的原则，承担本单位网络安全责任；负责本单位信息系统（网站）的安全管理和运维，全面落实各项网络安全相关工作。3监测与预警1 .1安全监测3 .Ll事件监测信息管理部通过多种渠道监测、发现已经发生的网络安全事件，将掌握的情况立即通知全校各单位。各单位对本单位信息系统（网站）的运行情况进行密切监测，一旦发生网络安全事件，应当立即通过电话、办公邮件等方式上报信息管理部，不得迟报、谎报、瞒报、漏报。4 .1.2威胁监测信息管理部组织对全校信息系统和网站的网络安全威胁进行监测，建立多方协作的信息共享机制，通过多种途径监测、汇聚漏洞、病毒、网络攻击等网络安全威胁信息，对发生的威胁及时通知相关单位，并督促其及时进行处置和上报。3.2预警研判和发布信息管理部对监测信息进行研判，对发生网络安全事件的可能性及其可能造成的影响进行分析评估，认为需要立即采取防范措施的及时通知校内各单位；人为可能发生重大安全事件的信息，应立即向教育部网络安全应急办公室报告。4应急处置和响应发生网络安全事件时，信息管理部应立即组织应急队伍和工作人员，根据不同的事件类型和事件原因，采取科学有效的应急处置措施，尽最大努力将影响降到最低，网络安全事件处理过程中需保存网络攻击、网络入侵或网络病毒等证据。若判定为重大网络安全事件，应采取以下措施进行处置:立即在3分钟内切断校园网互联网出口，减少安全事件带来的负面影响；立即将相关情况上报至教育部网络安全应急办公室，对于人为破坏活动，应同时报省网信部门和公安机关；按照教育部办公厅印发的信息技术安全事件报告与处置流程（试行）要求，在重大网络安全事件发生8小时内，以书面报告形式报送附件1：信息技术安全事件情况报告；在安全事件处置完毕后5个工作日内以书面报告的形式报送附件2：信息技术安全事件整改报告。若判定为一般网络安全事件，应采取以下措施进行处置:立即关停服务器外网访问权限，减少安全事件带来的负面影响；立即将相关情况通报至各二级单位主管负责人和技术负责人，要求3日内完成整改，并将整改报告发送至信息管理部；信息管理部对漏洞修复情况进行核实，并将整改报告上报至网络安全主管部门。5责任与奖惩对网络安全事件应急管理工作中作出突出贡献的单位和个人给予表彰和奖励;对在应急管理工作中有失职、渎职行为的，依照相关规定对有关责任人给予处分;构成犯罪的，依法追究刑事责任。6附则6预案管理本预案原则上每年评估一次，根据实际情况适时修订。6.2 预案解释本预案由信息管理部负责解释。6.3 预案实施时间本预案自印发之日起实施附件1信息技术安全事件情况报告单位名称：（需加盖公章）事发时间：年月日时分联系人姓名电子邮箱手机传真事件分类 有害程序事件口网络攻击事件 信息破坏事件口设备设施故障 灾害事件口其他事件分级口1级口11级口I级口w级事件概况攻击信息1. 攻击源：2. 攻击源端口：3. 被攻击IP：4. 被攻击端口：信息系统的基本情况（如涉及请填写）1. 系统名称：2. 系统网址和IP地址：3. 系统主管单位/部门：4. 系统运维单位/部门：5. 系统使用单位/部门：6. 系统主要用途：7 .是否定级口是口否，所定级别：8 .是否备案口是£否，备案号：9 .是否测评是否10 .是否整改口是口否事发网络和信息系统功能描述事件发生时间、事态发展与处置的简要经过。事件初步评估的危害和影响（影响程度、影响人数、经济损失等情况）事件原因的初步分析已采取的应急措施和效果是否需要应急支援及需支援事项和工作建议安全负责人意见（签字）主要负责人意见（签字）附件2信息技术安全事件整改报告联系人姓名手机电子邮件事件分类 有害程序事件口网络攻击事件 信息破坏事件口设备设施故障 灾害事件口其他事件分级口1级口11级口山级IV级事件概况信息系统的基本情况（如涉及请填写）1 系统名称：2 .系统网址和IP地址：3 .系统主管单位/部门：4 .系统运维单位/部门：单位名称：（需加盖公章）报告时间：年月日5 .系统使用单位/部门：6 .系统主要用途：7 .是否定级是口否，所定级别：8 .是否备案口是口否，备案号：9 .是否测评是口否10 .是否整改是口否事件发生的最终判定原因（可加页附文字、图片以及其他文件）事件的影响与恢复情况事件的安全整改措施存在问题及建议安全负责人意见（签字）主要负责人意见（签字）