根據《國家網絡安全事件應急預案》和教育部《教育系統(tǒng)網絡安全事件應急預案》要求，建立健全學校網絡安全事件應急響應工作機制，規(guī)范網絡安全事件工作流程，提高網絡安全事件應急處置能力，預防和減少網絡安全事件造成的損失和危害，維護學校的安全穩(wěn)定。家突發(fā)公共事件總體應急預案》《突發(fā)事件應急預案管理辦與信息安全工作的指導意見》《教育系統(tǒng)網絡安全事件應急1.3適用范圍本預案適用于全校范圍發(fā)生的網絡安全事件的報告、處置和應急響應工作。按照《吉林省教育系統(tǒng)網絡安全事件應急預案(試行)》規(guī)定，本預案所指的網絡安全事件是指由于人為原因、軟硬件缺陷或故障、自然災害等，對網絡和信息系統(tǒng)或者其中的數據造成危害，對社會造成負面影響的事件，可分為有害程序事件、網絡攻擊事件、信息破壞事件、設備設施故障、災害性事件和其他事件等。信息內容安全事件的應對，參照有關規(guī)定和辦法。1.4網絡安全事件分類、等級與判定1.4.1網絡安全事件分類根據《信息安全技術信息安全事件分類分級指南》,將安全事件劃分為以下六類：有害程序事件、網絡攻擊事件、信息破壞事件、設備故障事件、災害性事件和其他事件。(1)有害程序事件。有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導致的網絡安全事件。有害程序事件包括計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合攻擊程序事件、網頁內嵌惡意代碼事件和其它有害程序事件等7個子類。(2)網絡攻擊事件。網絡攻擊事件是指通過網絡或其他技術手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對信息系統(tǒng)實施攻擊，并造成信息系統(tǒng)異?；驅π畔⑾到y(tǒng)當前運行造成潛在危害的網絡安全事件。網絡攻擊事件包括拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件等7個子類。(3)信息破壞事件。信息破壞事件是指通過網絡或其他技術手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導致的網絡安全事件。信息破壞事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其它網絡破壞事件等6個子類。(4)設備設施故障。設備設施故障是指由于信息系統(tǒng)自身故障或外圍保障設施故障而導致的網絡安全事件，以及人為的使用非技術手段有意或無意的造成信息系統(tǒng)破壞而導致的網絡安全事件。設備設施故障包括軟硬件自身故障、外圍保障設施故障、人為破壞事故和其它設備設施故障等4個(5)災害性事件。災害性事件是指由于不可抗力對信息系統(tǒng)造成物理破壞而導致的網絡安全事件。災害性事件包括水災、臺風、地震、雷擊、坍塌、火災、恐怖襲擊、戰(zhàn)爭等導致的網絡安全事件。(6)其他事件。其他事件是指不能歸為以上基本分類的1.4.2網絡安全事件等級劃分參照《吉林省教育系統(tǒng)網絡安全事件應急預案(試行)》,結合學校實際情況和可能造成的危害，將安全事件劃分為四(1)符合下列情形之一的，為特別重大網絡安全事件(I級):①關鍵信息基礎設施或統(tǒng)一運行的核心業(yè)務信息系統(tǒng)(網站)遭受特別嚴重損失，造成系統(tǒng)大面積癱瘓，喪失業(yè)②網絡病毒在全國教育系統(tǒng)或多省教育系統(tǒng)大面積爆③關鍵信息基礎設施或統(tǒng)一運行的核心業(yè)務信息系統(tǒng)(網站)的重要敏感信息或關鍵數據丟失或被竊取、篡改。④其他對全省教育系統(tǒng)安全穩(wěn)定和正常秩序構成特別(2)符合下列情形之一且未達到特別重大網絡安全事件的，為重大網絡安全事件(Ⅱ級):①關鍵信息基礎設施或核心業(yè)務信息系統(tǒng)(網站)遭受③核心業(yè)務信息系統(tǒng)(網站)的重要敏感信息或關鍵數④其他對全省教育系統(tǒng)安全穩(wěn)定和正常秩序構成嚴重(3)符合下列情形之一且未達到重大網絡安全事件的，為較大網絡安全事件(Ⅲ級):①校園網多個校區(qū)大量用戶無法正常上網。②學校關鍵信息基礎設施或重要信息系統(tǒng)(網站)遭受對全校正常秩序構成嚴重威脅。③學校關鍵信息基礎設施或重要信息系統(tǒng)(網站)的關鍵數據或重要敏感信息發(fā)生丟失或被竊取、篡改、假冒，對全校安全穩(wěn)定和正常秩序構成嚴重威脅。④其他對學校安全穩(wěn)定和正常秩序構成嚴重威脅，造成嚴重影響的網絡安全事件。(4)符合下列情形之一且未達到較大網絡安全事件的，為一般網絡安全事件(IV級):①校園網某個校區(qū)大量用戶無法正常上網。②學校關鍵信息基礎設施或重要信息系統(tǒng)(網站)遭受較大系統(tǒng)損失，造成系統(tǒng)中斷，明顯影響系統(tǒng)效率，業(yè)務處理能力受到嚴重影響，對全校正常秩序構成較嚴重威脅。③學校重要信息系統(tǒng)(網站)的數據發(fā)生丟失或被竊取、篡改、假冒，對全校安全穩(wěn)定和正常秩序構成較嚴重威脅。④網絡病毒在學校范圍內廣泛傳播。⑤其他對學校安全穩(wěn)定和正常秩序構成較大威脅，造成較大影響的網絡安全事件。校內各單位(部門)一旦發(fā)生安全事件，應根據《吉林省教育系統(tǒng)網絡安全事件應急預案(試行)》,視信息系統(tǒng)重要程度、損失情況以及對工作和社會造成的影響迅速自主判定安全事件等級。學校網絡安全和信息化工作領導小組辦公室(以下簡稱“網信辦”)在接到報告后，根據事件情況，進一步做出判定。必要時，組織專家組進行判定或報告學校網絡安全和信息化工作領導小組判定。(1)統(tǒng)一指揮、密切協(xié)同。學校網絡安全和信息化工作領導小組統(tǒng)籌協(xié)調全校網絡安全應急指揮工作，建立與省市網絡安全職能部門、專業(yè)機構等多方參與的協(xié)調聯(lián)動機制，加強預防、監(jiān)測、報告和應急處置等環(huán)節(jié)的緊密銜接，做到快速響應、正確應對、果斷處置。(2)分級管理、強化責任。按照“誰主管誰負責、誰運維誰負責”的原則，校內各單位(部門)對本單位(部門)網絡安全工作負主體責任。(3)預防為主、平戰(zhàn)結合。堅持事件處置和預防工作相結合，做好事件預防、預判、預警工作，加強應急支撐保障能力和安全態(tài)勢感知能力建設。提高網絡安全事件快速響應早解決，嚴控網絡安全事件風險和影響范圍。2組織機構和職責任務2.1領導機構與職責學校網絡安全事件防范及應急處置工作由網絡安全和信息化工作領導小組統(tǒng)一領導、指揮和協(xié)調。負責組織I級和Ⅱ級網絡安全事件應急預案的啟動，督促檢查網絡安全事件處置情況及校內各單位(部門)在網絡安全事件處置工作中履行職責情況；負責對全校各單位(部門)貫徹執(zhí)行網絡安全事件報告、應急處置預案的情況進行督促檢查。2.2辦事機構與職責學校網信辦負責組織協(xié)調有關部門查處利用計算機網絡泄密的違法行為；牽頭組織重大敏感時期、重要活動、重要會議期間發(fā)生的網絡安全事件的協(xié)調處置，完善24小時網絡中心負責學校網絡安全應急工作的技術支撐和保障。根據校內發(fā)生的安全事件程度，提出相應級別預案的啟動，并及時收集、通報和上報安全事件處置的有關情況。定期組織網絡安全應急演練，評估并適時組織安全事件應急處置管理辦法修訂。負責組建學校網絡安全應急技術隊伍。2.3校內相關單位與職責學校各單位(部門)應按照網絡安全事件報告與處置流程，做好事發(fā)緊急報告與處置、事中情況報告與處置和事后整改報告與處置工作。做到安全事件早發(fā)現、早報告、早控制、早解決。學校各單位(部門)應組織開展網絡安全應急預案的宣傳、教育和培訓，確保相關人員熟悉應急預案。若本網絡安全事件應急預案不能滿足需求，相關單位(部門)可制訂本單位(部門)網絡安全應急預案，制訂后應及時報學校網信3監(jiān)測與預警建立學校網絡安全事件預警制度。按照緊急程度、發(fā)展態(tài)勢和可能造成的危害程度，學校網絡安全事件預警等級分為四級：由高到低依次用紅色、橙色、黃色和藍色表示，分別對應發(fā)生或可能發(fā)生的特別重大、重大、較大和一般網絡3.2安全監(jiān)測3.2.1事件監(jiān)測學校網信辦通過多種渠道監(jiān)測、發(fā)現已經發(fā)生的學校網絡安全事件，將掌握的情況立即通知校內相關單位(部門)。校內各單位(部門)對所建網絡和信息系統(tǒng)(網站)的3.2.2威脅監(jiān)測學校網信辦組織對全校網絡安全威脅進行監(jiān)測，通過多種途徑監(jiān)測、匯聚漏洞、病毒、網絡攻擊等網絡安全威脅信校內各單位(部門)加強對所建網絡和信息系統(tǒng)(網站)的網絡安全威脅監(jiān)測，對發(fā)現的威脅及時進行處置和上報學3.3預警研判和發(fā)布學校網信辦對監(jiān)測信息進行研判，對發(fā)生網絡安全事件的可能性及其可能造成的影響進行分析評估，認為需要立即采取防范措施的及時通知有關單位；認為可能發(fā)生網絡安全事件的信息，立即向學校網絡安全和信息化工作領導小組報告；認為可能發(fā)生較大及以上網絡安全事件的信息，經網絡安全和信息化工作領導小組批準后，立即向省教育廳網絡安全應急辦公室報告。各單位(部門)對監(jiān)測信息進行研判，認為可能發(fā)生網絡安全事件的信息，應立即向學校網信辦報紅色預警和橙色預警由教育部和省教育廳網絡安全應學校網信辦可根據監(jiān)測研判情況，提出發(fā)布黃色預警和藍色預警的建議，報學校網絡安全和信息化工作領導小組批準后發(fā)布。對達不到預警級別但又要發(fā)布警示信息的，學校網信辦可發(fā)布風險提示信息。預警信息包括預警級別、起始時間、可能影響范圍、警示事項、應采取的措施、時限要求和發(fā)布機構等。3.4預警響應3.4.1紅色預警和橙色預警響應根據《吉林省教育系統(tǒng)網絡安全事件應急預案(試行)》精神，由教育部和省教育廳網絡安全應急辦公室組織紅色預警和橙色預警響應工作。(1)學校網信辦按照教育部、省教育廳網絡安全應急辦公室統(tǒng)一部署，密切關注事態(tài)發(fā)展，做好全校范圍信息搜集工作，研究制定學校防范措施和應急工作方案，協(xié)調調度各種校內資源，做好校內各項準備工作。重要情況報省教育廳(2)網絡中心及有關單位實行24小時值班，相關人員(3)網絡中心技術支撐隊伍進入待命狀態(tài)，檢查設備、軟件工具等，確保其處于良好狀態(tài)。3.4.2黃色預警響應(1)學校網信辦組織預警響應工作。聯(lián)系有關部門、專業(yè)機構和專家，研究制訂防范措施和應急工作方案，協(xié)調調度各種所需資源，做好各項準備工作。(2)有關單位啟動專項應急預案，開展預警響應工作，做好風險評估、應急準備和風險控制工作。(3)學校網信辦及時將事態(tài)發(fā)展情況報省教育廳網絡(4)網絡中心技術支撐隊伍保持聯(lián)絡暢通，檢查應急設備、軟件工具等，確保其處于良好狀態(tài)。3.4.3藍色預警響應(1)學校網信辦組織預警響應工作。聯(lián)系有關部門、專業(yè)機構和專家，研究制訂防范措施和應急工作方案，協(xié)調調(2)校內有關單位(部門)啟動專項應急預案，開展預警響應工作，做好風險評估、應急準備和風險控制工作。(3)網絡中心技術支撐隊伍保持聯(lián)絡暢通，檢查應急設備、軟件工具等，確保其處于良好狀態(tài)。3.5預警解除學校網信辦根據教育部、省教育廳網絡安全應急辦公室通知，及時轉發(fā)紅色預警或橙色預警解除信息。學校網信辦根據實際情況，確定是否解除黃色預警或藍色預警，及時發(fā)布預警解除信息。4網絡安全事件的報告與處置4.1I至Ⅲ級網絡安全事件的報告與處置報告與處置分為三個步驟：事發(fā)緊急報告與處置、事中情況報告與處置和事后整改報告與處置。(1)事發(fā)緊急報告與處置①網絡與信息系統(tǒng)運維操作人員一旦發(fā)現上述網絡安全事件，應根據實際情況第一時間采取斷網等有效措施進行處置，將損害和影響降到最小范圍，保留現場，并報告本單位(部門)安全責任人和主要負責人。②本單位(部門)安全負責人接到報告后，應立即組織相關人員趕赴現場進行緊急處置，同時以口頭通訊的方式將相關情況通報至學校網信辦，并書面記錄安全事件發(fā)現過程及口頭匯報過程。涉及人為主觀破壞事件應同時報告學校保③學校網信辦接到報告后，應做好書面記錄，并進一步判定安全事件等級，對確認屬I至Ⅲ級安全事件的，應報告網絡安全和信息化工作領導小組相關領導，且I、Ⅱ級安全事件應報告省教育廳和省委網信辦。分級、影響范圍、危害程度、初步原因分析和已采取的應急⑤對確認屬I至Ⅲ級安全事件的，學校網絡中心應立即組織相關技術力量趕赴現場進行協(xié)助處置工作。涉及人為主觀破壞事件的，學校保衛(wèi)處應組織人員赴現場協(xié)助處置，并協(xié)助省市公安機關做好相關取證和處置工作。⑥各單位(部門)應及時跟進事件發(fā)展情況，出現新的(2)事中情況報告與處置①事中情況報告應在安全事件發(fā)現后6小時內以書面報告的形式進行報送，報送內容和格式見附件1。②事中情況報告由單位(部門)安全責任人組織編寫，由本單位(部門)主要負責人審核后，簽字并加蓋公章報送學校網信辦。涉及人為主觀破壞事件的，事中情況報告應抄③安全事件的事中處置包括：及時掌握損失情況、查找和分析事件原因，修復系統(tǒng)漏洞，恢復系統(tǒng)服務，盡可能減少安全事件對正常工作帶來的影響。涉及人為主觀破壞的安全事件，應由學校保衛(wèi)處聯(lián)系、配合省市公安(3)事后整改報告與處置①事后整改報告應在安全事件處置完畢后3個工作日內以書面報告的形式進行報送，報送內容和格式見附件2。②事后情況報告由單位(部門)安全責任人組織編寫，由本單位(部門)主要負責人審核后，簽字并加蓋公章報送③安全事件事后處置包括：進一步總結事件教訓，研判安全現狀、排查安全隱患，進一步加強制度建設，提升安全防護能力。涉及人為主觀破壞的安全事件應繼續(xù)配合省市公4.2一般安全事件(IV級)報告與處置校內各單位(部門)發(fā)生一般安全事件，應及時、自主組織應急處置工作；需要網絡中心協(xié)助的，應主動聯(lián)系網絡中心。在事件處置完畢后5日內向學校網信辦報送整改報告，報告內容和格式見附件2。5安全事件的應急預案5.1預案啟動發(fā)生校園網絡安全事件后，學校立即啟動應急響應預案，網絡中心和突發(fā)安全事件的單位(部門)應盡最大可能收集事件相關信息，鑒別事件性質，確定事件來源，弄清事件范圍，評估事件帶來的影響和損害，確認突發(fā)事件的類別和等級，并按照響應機制對突發(fā)事件進行處置。5.2應急響應網絡安全事件應急響應分為I級、Ⅱ級、Ⅲ級、IV級，分別對應特別重大、重大、較大和一般網絡安全事件。5.2.1I級響應收到省教育廳網絡安全應急辦公室發(fā)布的啟動I級響應的通知之后，進入I級響應狀態(tài)。(1)啟動指揮體系學校網絡安全和信息化工作領導小組進入應急狀態(tài)，在教育部網絡安全事件應急工作組的統(tǒng)一領導、指揮、協(xié)調下組織人員開展應急處置或支援保障工作，啟動24小時值守，并按要求參加教育部網絡安全應急辦公室工作。(2)掌握事件動態(tài)①跟蹤事態(tài)發(fā)展。若學校為事發(fā)單位，學校逐級上報，與省教育廳網絡安全應急辦公室保持聯(lián)系，及時填寫《教育系統(tǒng)網絡安全事件情況報告》,將事態(tài)發(fā)展變化情況和處置進展情況上報省教育廳網絡安全應急辦公室。②檢查影響范圍。當進入I級響應狀態(tài)后，學校立即全面了解學校網絡與信息系統(tǒng)是否受到事件的波及或影響，并將有關情況及時報省教育廳網絡安全應急辦公室。(3)處置實施①控制事態(tài)防止蔓延。采取各種技術措施、管控手段，最大限度阻止和控制事態(tài)蔓延。②消除隱患恢復系統(tǒng)。根據事件發(fā)生原因，針對性制定解決方案，備份數據、保護設備、排查隱患。對業(yè)務連續(xù)性要求高的受破壞網絡與信息系統(tǒng)要及時組織恢復。③調查取證。全校各單位(部門)應在保留相關證據的基礎上，開展問題定位和溯源追蹤工作。積極配合省市網信部門和公安機關開展調查取證工作。收到省教育廳發(fā)布的啟動Ⅱ級響應的通知之后，進入Ⅱ(1)學校網信辦立即上報網絡安全和信息化工作領導小組，由網絡安全和信息化工作領導小組統(tǒng)一組織、協(xié)調指(2)若學校為事發(fā)單位，事發(fā)單位(部門)應及時上報學校網信辦，并填寫《教育系統(tǒng)網絡安全事件情況報告》上報省教育廳網絡安全應急辦公室。5.2.3Ⅲ級響應校內突發(fā)安全事件單位(部門)應及時將情況上報學校網信辦，網信辦和校內突發(fā)安全事件單位(部門)共同負責應急處置工作，并將有關情況分別報告相關分管校領導。校內突發(fā)安全事件單位(部門)應及時將情況上報學校網信辦，網信辦和突發(fā)安全事件的相關單位(部門)共同負5.3應急處理方式根據網絡安全事件分類采取不同應急處置方式。為避免產生更大的損失，保護健康的計算機，必要時可關閉相應的端口，甚至相應樓層的網絡，及時請有關技術人員協(xié)助，尋找并公布病毒攻擊信息，以及殺毒、防御方法。(2)網絡攻擊事件。判斷攻擊的來源與性質，關閉影響安全與穩(wěn)定的網絡設備和服務器設備，斷開信息系統(tǒng)與攻擊來源的網絡物理連接，跟蹤并鎖定攻擊來源的IP地址或其它網絡用戶信息，修復被破壞的信息，恢復信息系統(tǒng)。按照事件發(fā)生的性質采取以下措施：①外部入侵：判斷入侵的來源，區(qū)分外網與內網，評價入侵可能或已經造成的危害。對入侵未遂、未造成損害的，且評價威脅很小的外網入侵，定位入侵的IP地址，及時關閉入侵的端口，限制入侵的IP地址的訪問。對于已經造成危害的，應立即采用斷開網絡連接的方法，避免造成更大損失和②內部入侵：查清入侵來源，如IP地址、所在辦公室等信息，同時斷開對應的交換機端口，針對入侵方法調整或更新入侵檢測設備。對于無法制止的多點入侵和造成損害的，應及時關閉被入侵的服務器或相應設備。(3)信息破壞事件。判斷信息破壞的原因，盡快恢復原始信息，查找信息竊取渠道，阻斷信息竊取或信息泄露的途徑，避免造成進一步損失。(4)設備故障事件。判斷故障發(fā)生點和故障原因，迅速聯(lián)系IT運維公司盡快搶修故障設備，優(yōu)先保證校園網主干網絡和主要應用系統(tǒng)的運轉。(5)災害性事件。根據實際情況，在保障人身安全的前提下，保障數據安全和設備安全。具體方法包括：硬盤的拔出與保存，設備的斷電與拆卸、搬遷等。(6)其它安全事件?？筛鶕偟陌踩瓌t，結合具體情況，做出相應處理。網絡安全事件進行最初的應急處置后，應及時采取行動，抑制其影響進一步擴大，限制潛在的損失與破壞，同時要確保應急處置措施對涉及的相關業(yè)務影響最小。安全事件被抑制后，通過對有關事件或行為的分析結果，找出問題根源，明確相應補救措施并徹底清除。在確保安全事件解決后，要及時清理系統(tǒng)，恢復數據、程序、服務，恢復工作應避免出現誤操作導致的數據丟失。5.5記錄上報安全事件發(fā)生時，應按照不同的安全事件等級進行上報，并在事件處置工作中作好完整的過程記錄，保存各相關系統(tǒng)(1)I級響應結束。收到省教育廳網絡安全應