网信中心[2018]1号

为了切实做好我校网络安全与通信突发事件的防范和应急处理工作，进一步提高预防和控制网络安全与通信突发事件的能力和水平，减少或消除突发事件的危害和影响，依据国家有关法律法规技术标准及校本部网络安全突发应急预案制定本应急预案。

1．适用范围

本预案适用范围是与学校通信与网络有关的所有体系，主要针对通信线路发生中断、电话基站发生中断、校园网基础设施发生中断、重要信息系统异常、黑客攻击，以及其他需要采取应急处理和恢复措施的事件。

2．组织体系

2.1组织机构

为保证应急情况下应急机制的迅速启动和指挥顺畅，设立网络安全与信息化工作领导小组，下设处理网络安全应急处理工作组

领导小组组长：书记 校长

成员：校领导

网络安全应急处理工作组组长：主管信息化工作的副校长

副组长：网络中心主任

成员：各单位信息化建设负责人、网络与信息中心职工

2.2人员职责

网络安全与信息化领导小组：

（1）负责网络安全与通信突发事件及网络舆情应急指挥领导工作；

（2）负责对有关事项做出重大决策；

（3）负责或授权发布应急预案启动、解除、升降级和指挥应急处理；

（4）负责审核和授权对外应急处理情况的发布；

（5）负责应急处理的总体协调。

网络安全应急处理工作组：

（1）负责协助领导小组做好网络安全突发事件及网络舆情应急指挥领导工作；

（2）接受领导小组组长的指派担任应急现场指挥，负责审核和授权对外应急处理情况的发布。

（3）负责及时掌控通信线路、电话基站、校园网基础设施的故障，重要信息系统异常以及黑客攻击等突发事件的发展动态，及时上报重要信息；

（4）负责安全事件的监测预警和风险评估控制、隐患排查整改工作；

（5）负责制订、修订专项应急预案；

（6）负责配合学校日常应急执行机构处理突发安全事件，并报告事件动态；

（7）负责组织和调度必要的人、财、物等资源，保障应急处理；

（8）负责善后处理，并提出整改意见；

（9）负责组织协调安全突发事件应急演练；

（10）负责安全突发事件的宣传教育与培训。

3．预防预警

3.1预防机制

通信线路、电话基站、校园网基础设施、重要信息系统建设要充分考虑抗毁性与灾难恢复，制定并不断完善的应急处理预案。同时，针对突发的、大规模异常事件，建立制度化、程序化的处理流程。

3.2预警分级

突发事件按紧急程度、发展态势和可能造成的危害程度，由高到低划分为一级（特别重大）、二级（重大）、三级（较大）和四级（一般）突发事件，依次标为红色、橙色、黄色和蓝色：

一级（红色）：根据通信线路、电话基站、校园网基础设施、重要信息系统或黑客攻击等突发事件的征兆，经分析、研究判断可能引发全校范围通信和网络的中断或影响。

二级（橙色）：根据通信线路、电话基站、校园网基础设施、重要信息系统或黑客攻击等突发事件的征兆，经分析、研究判断可能引发部分楼宇通信和网络的中断或影响。

三级（黄色）：根据通信线路、电话基站、校园网基础设施、重要信息系统或黑客攻击等突发事件的征兆，经分析、研究判断可能引发一个楼宇通信和网络的中断或影响。

四级（蓝色）：根据通信线路、电话基站、校园网基础设施、重要信息系统或黑客攻击等突发事件的征兆，经分析、研究判断可能引发小部分用户通信和网络的中断或影响。

3.3预警监测

网络安全应急处理工作组与电信运营商建立灾害预警信息共享机制，加强通信线路、电话基站、校园网基础设施、黑客攻击的监测、分析和预警，密切关注并及时汇总、通报、共享有关信息。

3.4预警通报

网络安全与通信应急工作组负责确认、通报一级预警，相关安全工作人员负责确认、通报二级、三级、四级预警。

3.5预警行动

（1）发生二级、三级、四级突发事件时，发现人员在第一时间应当立即向网络安全应急工作组报告，并及时进行处理、调查核实等。

（2）发生一级突发事件时，网络安全应急工作组在接到突发事件报告后，核实之后进一步综合分析、研究可能造成损害的程度，提出初步行动对策，紧急部署资源调度、组织动员和部门联动等各项准备工作，并向学校网络安全与信息化领导小组汇报。由学校视情况紧急程度召集协调会，决策行动方案，发布指示和实施命令等。同时，根据事态进展情况，适时调整预警级别或解除预警。

4．事件报告

4.1总体要求

在处理网络安全与通信突发事件的过程中要及时与网络安全应急工作组组长取得联系，逐层汇报，并在网络安全与信息化工作领导小组的指导下完成工作。

4.2上报部门

网络安全与信息化工作领导小组。

4.3上报程序

（1）电话报告

工作组接到突发事件报告后，应立即电话向工作组组长、学校相应日常应急执行机构，同时视具体情况和需要上报4.2有关部门。

（2）文件报告

对重大突发事件执行电话报告后，应尽快形成书面正式报告上报4.2有关部门。突发事件处理后，及时向上报部门提供详细的书面报告。

4.3上报内容

（1）事件发生的基本情况：时间、地点、规模、破坏程度等；

（2）事件发生起因分析、性质判断和影响程度；

（3）处理过程和处理结果。

5．应急预案

5.1应急响应

5.1.1工作机制

根据突发事件影响范围、危害程度及重要性等因素，设定一级、二级、三级、四级应急响应等级，根据不同应急响应等级实施不同的应急预案。

5.1.2先期处置

（1）突发事件发生后，相关管理人员立即采取有效处置措施，控制事态发展，并按照有关规定及时上报事件信息；

（2）应急工作组接到事件信息报告后，应立即采取应对措施，并及时上报。

5.1.3一级突发事件响应

启动程序

（1）应急工作组得到有关情况报告后，提出启动一级响应的建议，并通报各相关成员；

（2）学校领导组确认后，启动并负责组织实施一级响应；

（3）学校领导组通报各单位及相关成员；

（4）启动相应保障应急预案，各相关人员协同应对。

应急值守和信息报送

（1）启动应急值班制度，相关人员之间保持24小时通信联络；

（2）启动信息报送流程，按照规定的内容和频次报送信息；

（3）应急工作组对报送信息进行分析汇总，并根据需要向有关单位通报相关信息。

决策部署

（1）应急工作组组织专家组对相关信息进行分析、评估，研究提出应急处置对策和方案建议，落实决策，向相关人员下达应急处理工作任务，并监督执行情况；

（2）相关人员接收到任务后，应立即组织保障队伍进行应急处理，并及时向应急工作组报告任务执行情况。

现场指挥

按照学校要求，成立现场应急指挥组，组织、协调现场通信保障应急工作。

应急结束

（1）应急工作组视情况向学校提出一级响应结束建议；

（2）学校研究确定后，宣布一级响应结束；

（3）相关单位和人员终止应急响应。

二级、三级、四级应急响应，具体可参照一级响应行动，由应急工作组结合实际实施应急预案。同时，超出本级应急处置能力时，及时提高应急处理等级。

5.2应急预案

5.2.1通信线路中断应急预案

（1）通信线路中断后，值班人员应立即启动线路接续工作，同时向网络管理人员和应急工作组组长报告；

（2）网络管理人员接到报告后，应迅速判断故障节点，查明故障原因；

（3）如属我校管辖范围，由网络管理人员立即予以恢复；

（4）如属运营商部门管辖范围，立即与运营商维护部门联系，要求恢复；

（5）处理完成后，立即向应急工作组汇报。

5.2.2电话基站中断应急预案

（1）电话基站中断后，值班人员应立即向电话管理人员和应急工作组报告；

（2）电话管理人员接到报告后，应迅速判断故障节点，查明故障原因；

（3）如属我校管辖范围，由电话管理人员立即予以恢复；

（4）如属运营商部门管辖范围，立即与运营商维护部门联系，要求恢复；

（5）处理完成后，立即向应急工作组汇报。

5.2.3校园网中断应急预案

（1）应急工作组平时应准备好网络备用设备，存放在指定的位置；

（2）校园网中断后，网络管理人员应立即判断故障节点，查明故障原因，并向应急工作组组长汇报；

（3）如属线路故障，应重新安装线路；

（4）如属路由器、交换机等网络设备故障，应立即从指定位置将备用设备取出接上，并调试通畅；

（5）如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调试通畅；

（6）处理完成后，立即向应急工作组汇报。

5.2.4重要信息系统应急预案

（1）应急工作组平时应加强日常信息系统的安全检查、维护，定时做好系统备份、升级系统补丁和版本，以及大并发的响应预案；

（2）重要信息系统出现异常后，系统管理人员应立即排查异常节点，保存并分析日志信息、查明原因，并向应急工作组汇报；

（3）系统管理人员负责系统的恢复与重建工作；

（4）系统管理人员会同相关支持人员形成系统异常报告，并提出相应解决方案，向应急工作组组长汇报。

5.2.5黑客攻击应急预案

（1）当相关人员发现业务系统或网站内容被篡改，或通过入侵监测系统发现有黑客正在进行攻击时，应立即向网络管理人员通报情况；

（2）网络管理人员应在三十分钟内赶到现场，首先应将被攻击的服务器等设备从网络中隔离出来，保护现场，并同时向应急工作组通报情况；

（3）网络管理人员负责被攻击或破坏系统的恢复与重建工作；

（4）网络管理人员会同相关支持人员追查非法攻击来源；

（5）网络管理人员组织相关支持人员会商后，向应急工作组组长汇报有关情况；

（6）应急工作组组长如认为情况严重，应立即向学校汇报；

（7）学校组织召开会议，如认为事态严重，则立即向公安部门或相关部门报警；

（8）网络管理人员处理完成后，立即向应急工作组汇报。

5.2.6重大活动期间网络应急预案

（1）相关人员发现业务系统或网站内容被篡改，或接到上级部门电话通知业务系统或者网站遭受内容攻击，应立即向网络安全领导小组通报情况；

（2）网络管理人员应在一分钟内将被攻击的服务器断开公网连接；

（3）网络管理人员和系统管理员将被攻击的设备从网络中隔离出来，并做好现场保护；

（4）学校立即组织召开会议，立即向公安部门或相关部门报警；

（5）网络管理人员会同系统管理员配合公安部门追查非法攻击来源；

（6）网络安全事件处理结束后，网络管理人员和系统管理员形成书面材料，向网络安全及信息化建设领导小组汇报原因、性质、影响、后果、责任。

 （7）重大活动期间，网络管理应该采取严格的网络访问措施，保障网络安全。

5.3善后处置

应急处置工作结束后，应急处理组相关人员和技术人员组成事件调查组，对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估，根据应急处置中暴露出的管理、协调和技术等问题，改进和完善预案，实施针对性演练，总结经验教训，整改存在隐患，组织恢复正常工作秩序。

5.4应急保障

5.4.1内部保障

学校针对通信线路、电话基站、校园网、重要信息系统、黑客攻击等紧急事件的发生，建立专项资金用于紧急事件的处置。同时，应储备必须的相关物资、设备，避免时间拖延造成不必要的损失。

5.4.2外部支援

依据通信线路、电话基站、校园网、重要信息系统、黑客攻击等紧急事件的影响程度，如需上级部门或其他单位支持时，应启动外部支援，寻求帮助。外部支援主要包括中国教育科研网络中心、中国联通、中国电信、中国移动、国家互联网应急中心以及主要相关设备厂商。

6．附则

本预案自发布之日起实施，由网络与信息中心负责解释。