第一章 总则

第一条 为了健全我校网络安全事件应急工作机制，规范网络安全事件工作流程，提高学校网络安全应急处置能力，预防和减少网络安全事件造成的损失和危害，维护学校网络安全稳定。依据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》等法律法规，《国家突发公共事件总体应急预案》《突发事件应急预案管理办法》《国家网络安全事件应急预案》《关于加强教育行业网络与信息安全工作的指导意见》《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)《教育系统网络安全事件应急预案》及《贵州省教育系统网络安全事件应急预案》等文件规定，结合我校实际，制定本预案。

第二条 本预案适用于贵州交通职业大学各单位（部门）。本预案中的网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件。

第三条 学校网络安全事件主要有以下几类：

有害程序和信息破坏事件

（一）学校信息系统（网站）大面积出现不良信息，域名无法解析或解析效率大幅下降。

（二）网络攻击事件

学校信息系统（网站）遭受严重恶意攻击，关键信息基础设施或统一运行的核心业务信息系统（网站）的重要敏感信息或关键数据丢失或被窃取、篡改，造成系统大面积瘫痪，丧失业务处理能力。

（三）其他事件

学校举办重大事件（如校庆、评估等对网络安全有特别要求的事件）时，需要对网络进行保障，确保网络畅通、稳定，消除网络安全威胁。

第四条 事件定级

根据网络安全事件的影响范围、严重程度以及对学校网络安全和正常运转造成的损害，将网络安全事件划分为 Ⅰ级（特别重大）、Ⅱ级（重大）、Ⅲ级（较大）、Ⅳ级（一般）四个级别。

Ⅰ级（特别重大）：关键信息基础设施、统一运行的核心业务信息系统（网站）遭受严重攻击，导致大量重要敏感信息或关键数据丢失、被窃取或篡改，造成系统大面积瘫痪且长时间无法恢复（超过 24 小时），严重影响学校教学、科研、管理等核心业务的正常开展，在社会上产生极其恶劣的负面影响，引发重大舆情危机。

Ⅱ级（重大）：学校多个重要信息系统（网站）遭受恶意攻击，致使重要数据泄露、丢失或被篡改，造成部分关键业务系统（影响范围超过 50%）瘫痪，业务中断时间在 12 - 24 小时之间，对学校的正常运营产生严重干扰，在较大范围内引起师生恐慌或造成一定的社会负面影响。

Ⅲ级（较大）：学校主要信息系统（网站）出现不良信息大面积传播，或者遭受一般性攻击，导致系统部分功能异常或数据错误，影响业务正常开展（影响范围在 20% - 50%），业务中断时间在 6 - 12 小时之间，对学校局部工作造成较大影响，在学校内部引发一定程度的关注和混乱。

Ⅳ级（一般）：学校个别信息系统（网站）出现少量不良信息，或遭受轻微网络攻击，导致系统短暂卡顿、访问异常，业务中断时间不超过 6 小时，仅对少数用户造成影响，在较小范围内产生一定干扰，但未对学校整体工作秩序和声誉造成明显损害。

通过明确事件定级标准，学校在面对网络安全事件时能够迅速、准确地判断事件的严重程度，进而启动相应级别的应急响应措施，合理调配资源，高效地开展应急处置工作，最大程度降低网络安全事件带来的危害。

第二章 组织机构与职责

第五条 成立应急领导小组，具体如下：

职 责：审批应急策略和业务连续性策略；监督总体应急管理流程执行；负责学校应急决策审批。同时，定期组织应急领导组会议，对重大活动网络安全保障工作进行阶段性总结和部署，确保应急决策的科学性和及时性。

第六条 成立应急管理组

职责：协助应急领导小组进行应急决策；向应急决策领导组汇报应急处理进展；计划和部署应急措施；协调应急过程中 IT 内部人员、相关资源、业务部门及服务提供商；收集和整理应急信息；整理应急恢复评估总结；及时通报各部门数据业务系统安全事件。增加应急信息收集的渠道和方式，实时收集各类安全信息，确保信息的全面性和准确性。

第七条 成立应急执行组

职责：实施和操作应急措施；检查和汇报业务系统应急措施后的恢复情况；提供应急期间备件及人员支持；配合相关人员实施和操作应急措施；配合安全事件处理及回溯工作。明确应急措施实施的时间节点，如在接到应急指令后15分钟内开始实施应急措施，并在60分钟内完成关键应急操作，确保应急响应的高效性。

第三章 应急处置

第八条 应急处置要求

预防为主，分工负责；积极防御，主动出击；依法办事，分类处理。

第九条 应急处置预案

应急处置流程：依据网络安全事件的严重性，划分为Ⅰ级（特别重大）、Ⅱ级（重大）、Ⅲ级（较大）、Ⅳ级（一般）四个应急响应等级，并针对各等级制定相应的处置措施。

（一）有害程序和信息破坏事件处理流程

Ⅳ级事件：信息技术中心专业人员需备份不良信息出现的目录、前后一周内的HTTP连接日志和防火墙网络连接日志；打印不良信息页面留存；隔离出现不良信息的目录；删除不良信息，确保网站无残留后重新开通服务并进行测试；修改目录名，执行安全性检测与升级，关闭隐患栏目，重新开放目录网络连接并进行测试，修改上级链接；查对日志确定源IP地址，若为校内，提升事件级别处理。处理过程中需向领导小组组长汇报进展。

Ⅲ级事件：在Ⅳ级处置基础上，若源IP地址为校内，加强调查力度，排查相关设备和人员，根据情节严重程度决定是否向公安机关报案；对网站进行全面安全扫描，修复潜在漏洞；对受影响的业务系统进行数据恢复和完整性检查。

Ⅱ级事件：除Ⅲ级处置措施外，立即向领导小组组长及校长汇报，组织相关部门进行联合调查；对学校整体网络安全状况进行评估，调整安全策略；通知受影响的师生和相关人员，做好解释和安抚工作。

Ⅰ级事件：启动最高级别应急响应，全面封锁受影响的网络区域，防止事件扩散；联合公安机关、网络安全专家等开展深度调查；配合上级部门的指导和协调，进行应急处置；及时向社会发布事件相关信息，回应公众关切，维护学校声誉。

（二）网络攻击事件处理流程

Ⅳ级事件：迅速判断攻击源（校内/校外）、受攻击设备和影响范围，推断最坏结果，决定是否切断部分网络连接；若攻击来自校外，查出对方IP地址并过滤，设置防火墙规则；若来自校内，确定攻击设备地址，分析处理设备，扣留设备调查意图；重启网络设备恢复通信；清除设备病毒、恶意程序等，测试运行5小时以上并实时监控，做好信息登记；处理过程中需向领导小组组长汇报。

Ⅲ级事件：在Ⅳ级处置基础上，对攻击事件进行深入分析，形成详细报告；对受攻击系统进行安全加固，恢复数据；排查校内网络安全隐患，防止类似攻击再次发生。

Ⅱ级事件：除Ⅲ级处置措施外，向领导小组全面汇报事件情况，启动应急指挥机制；协调校内各部门，共同应对事件；评估事件对学校业务的影响，制定恢复计划；考虑向网络安全职能部门和专业机构求助。

Ⅰ级事件：启动全面应急响应，成立专项应急小组；联合外部专业力量，进行应急处置；对学校所有信息系统进行安全评估和修复；及时向师生、家长和社会通报事件进展，加强舆情监测和应对。

（三）其他事件处理流程

Ⅳ级事件：针对学校举办重大活动期间出现的网络问题，信息技术中心评估事件对网络保障的影响，确定所需网络设备和环境；关闭可能产生干扰的网络连接；对重要网络设备进行检查，确保正常运行；监控外网连接，清除非法连接；及时向领导小组汇报事件情况。

Ⅲ级事件：在Ⅳ级处置基础上，增加网络设备备份措施；对活动相关网络系统进行性能优化；加强与活动主办方的沟通，及时调整网络保障方案。

Ⅱ级事件：除Ⅲ级处置措施外，启动应急保障小组，24小时值守；对活动网络进行实时监测和预警；准备应急预案，应对可能出现的更严重网络问题。

Ⅰ级事件：启动最高级别网络保障应急响应，全面接管活动网络；协调各方资源，确保网络畅通；与上级部门保持密切沟通，及时汇报网络保障情况。

第十条 网络安全事件发生后的善后措施

（一）网络安全事件发生后信息技术中心做以下处理。

1.确保WEB网站信息安全为首要任务。迅速发出紧急警报，所有相关成员集中进行事故分析，确定处理方案。

2.确保校内其它接入设备的信息安全：经过分析，可以迅速关闭、切断其他接入设备的所有网络连接，防止出现其他接入设备的安全事故。

3.分析网络，确定事故源：使用各种网络管理工具，迅速确定事故源，按相关程序进行处理。

4.事故源处理完成后，逐步恢复网络运行，监控事故源是否仍然存在。

5.针对此次事故，进一步确定相关安全措施、总结经验，加强防范。

6.从事故发生到处理的整个过程，必须及时向领导小组组长及校长汇报，听从安排，注意做好保密工作。

（二）积极做好广大师生的思想宣传教育工作，迅速恢复正常秩序，全力维护校园网安全稳定。

（三）迅速了解和掌握事故情况，及时汇总上报。

（四）事后迅速查清事件发生原因，查明责任人，并报领导小组根据责任情况进行处理。  

第四章 调查与评估

第十一条 学校各单位（部门）要积极迎接和配合上级部门对于网络安全的调查和评估，并按照上级部门要求对校内网络安全进行自查，让网络安全自查工作常态化，并及时将自查情况报告给上级主管部门。

第十二条 网络安全事件总结报告要求对事件的起因、性质、影响、责任等进行分析评估，提出处理意见和改进措施。

第十三条 网络安全事件的调查处理和总结评估工作在应急响应结束后5天内完成。

第五章 预防工作

第十四条 日常管理

（一）领导小组依法发布相关消息和警报，全面组织各项网络安全防御、处理工作。相关组员随时待命。

（二）网络管理员对校园内外所属网络硬件软件设备及接入网络的计算机设备定期进行全面检查，封堵、更新有安全隐患的设备及网络环境。

（三）加强对校园网内计算机设备的管理，加强对学校网络使用者（学生和教师）的网络安全教育。加强对重要网络设备的软件和硬件防护，确保校园网络安全稳定地运行。

（四）加强各类值班值勤，保持通讯畅通，及时掌握学校情况，全力维护正常教学、工作和生活秩序。

（五）按预案落实各项物资准备。

第十五条 监测预警和通报

领导小组建立校园网网络安全监测预警和通报机制。各单位（部门）应加强网络安全监测预警和通报，及时发现并处置安全威胁。各单位（部门）应全面掌控本单位（部门）信息系统（网站）情况，指导、监督本单位（部门）及时修复安全威胁，全面排查安全隐患，提高发现和应对网络安全事件的能力。

第十六条 应急演练

学校根据上级部门的要求适时组织应急演练，并将本年度演练情况报告上级部门。

第十七条 宣传教育

学校将网络安全教育作为国家安全教育的重要内容，加强突发网络安全事件预防和处置的相关法律、法规和政策的宣传教育。同时，充分利用网络安全周等活动形式开展网络安全基本知识和技能的宣传活动，每年至少开展一次网络安全宣传工作，以提高在校师生的网络安全意识，宣传情况及时报告给上级主管部门。

第十八条 工作培训

学校定期组织网络安全培训，将网络安全事件的应急知识列为领导干部和相关人员的培训内容，加强网络安全特别是网络安全事件应急预案的学习，提高网络安全管理和技术人员的防范意识及安全技能。每年至少组织一次培训，培训情况及时上报上级部门。

第六章 工作保障

第十九条 机构和人员

落实网络安全应急工作责任制，网络安全主管部门为信息技术中心，每个部门对本部门网络安全负责，并将网络安全应急工作作为重点工作予以部署。按照“谁主管谁负责、谁使用谁负责、谁运维谁负责”的原则，把网络安全应急工作责任落实到具体部门、具体岗位和个人，建立健全应急工作机制。

第二十条 技术支撑

信息技术中心不断加强网络安全应急技术支撑队伍建设，不断提高网络安全经费投入和物资保障，做好网络安全事件的监测预警、预防防护、应急处置等工作。由第三方运维机构、网络安全设备厂商为学校提供技术支撑。信息技术中心积极联系第三方运维机构、网络安全设备厂商对校园网络安全进行定期或不定期排查和应急处置。

第二十一条 专家咨询

建立专家咨询机制，信息技术中心工作人员定期向专家学习网络安全技能，当遇到网络安全事件时，向专家咨询处理方法。信息技术中心工作人员积极参加网络安全培训，提高网络安全防范和处置技能。

第二十二条 基础平台

学校应适时加强网络安全管理平台建设，通过平台预防和处置网络安全事件和网络安全威胁信息，增强信息系统网络安全预警和态势感知能力,并与教育厅网络安全应急管理信息系统实现数据的双向共享，建立网络安全态势感知体系，做到早发现、早预警、早响应，提高应急处置能力。

第二十三条 信息共享与应急合作

加强与网络安全职能部门、网络安全专业机构、行业学会和教育网网络中心等单位的合作，建立网络安全威胁的信息共享机制和网络安全事件的快速发现和协同处置机制。

第二十四条 经费保障

学校每年根据网络安全应急工作需求，提供经费预算，利用现有政策和资金渠道，支持网络安全应急技术支撑队伍建设、专家咨询、基础平台建设、监测通报、宣传教育培训、预案演练、物资保障等工作的开展。

第七章 附则

第二十五条 预案管理

本预案原则上每年评估一次，根据实际情况适时修订。修订工作由贵州交通职业大学网络安全与信息化工作领导小组组织，根据贵州省教育厅网信办印发的《贵州省教育系统网络安全事件应急预案》结合学校实际予以修订并上报。

第二十六条 预案解释

本预案由贵州交通职业大学信息技术中心负责解释。

第二十七条 预案实施时间

本预案自印发之日起实施。