为确保发生网络安全问题时各项应急工作高效、有序地进行，最大限度地减少损失，根据互联网网络安全相关条例及上级相关部门文件精神，结合我院校园网工作实际，制定本预案。

一、组织领导

学院成立网络安全事故应急指挥部，负责网络安全突发事件的指挥、处置工作。人员组成如下：

总指挥：刘锋

副总指挥：刘瑞民 赵兴刚

成   员：王武宪 王安平 贺延林 韩洲雄  杨西京 孙莹娟  李庆丰  胡成富 于凯 张小卫

指挥部办公室设在实训与网络中心办公室，张小卫同志任主任，负责日常工作。指挥部下设两个工作小组：指挥协调组和处置行动组。

（一）指挥协调组：由刘瑞民同志负责。

成员：王武宪 王安平  于凯

（二）处置行动组：由赵兴刚同志负责。

成员：王安平  张小卫  牟晓亮 屈昊 张羽  朱玉成

二、预警机制

由学院网络管理员和各部门网络信息安全员担任预警任务。

1、指挥部依法发布有关消息和警报，全面组织各项网络安全防御、处理工作。各有关组员随时准备执行应急任务。

2、网络管理员对校园内外所属网络硬件软件设备及接入网络的计算机设备定期进行全面检查，封堵、更新有安全隐患的设备及网络环境。

3、定期完善网络审计、入侵防护等安全设备的安全策略，构筑有效的防护体系，确保网络安全。

4、加强服务器巡查力度，严格执行服务操作管理规程和数据保密管理规定，定期对重要数据进行双重异地备份，对服务器操作人员实行实名登记制，确保数据安全。

5加强网站管理由宣传部派专人负责网站信息巡查、审核，确保网站信息安全。

6、加强对校园网内计算机设备的管理，加强对学院网络的使用者（学生和教师）的网络安全教育。加强对重要网络设备的软件防护以及硬件防护，确保正常的运行软件硬件环境。

7、加强各类值班值勤，保持通讯畅通，及时掌握学院情况，全力维护正常教学、工作和生活秩序。

8、按照“早发现、早报告、早处置”的原则，加强对学院各处室有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发公共事件时，按规定及时向应急指挥部报告，初次报告最迟不得超过1小时，重大和特别重大的网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。

6、按预案落实各项物资准备。

三、事故处置

（一）指挥协调组任务：

1、第一时间赶赴事故现场，做好现场组织协调工作，并向事故处置指挥部总指挥、副总指挥报告情况。

2、组织事故处置小组人员赶赴现场，按照预案展开各项处置工作。

3、当上级有关部门询问时，如实介绍事故和处置情况。

4、做好事故事后调查和善后工作。

（二）处置行动组任务

1、发生事故后，要立即组织处置人员赶赴现场，开展处置工作。

2、为事故处置人员提供必要的物资保障。

3、协助指挥协调组做好事后调查和善后工作。

（三）事故处理预案

1、网站不良信息事故处理预案

（1）一旦发现学院网站上出现不良信息（或者被黑客攻击修改了网页），立立刻关闭网站，并向应急指挥部报告。

（2）备份不良信息出现的目录、备份不良信息出现时间前后一个星期内的HTTP连接日志、备份防火墙中不良信息出现时间前后一个星期内的网络连接日志。

（3）打印不良信息页面留存。

（4）完全隔离出现不良信息的目录，使其不能再被访问。

（5）删除不良信息，并清查整个网站所有内容，确保没有任何不良信息，重新开通网站服务，并测试网站运行。

（6）修改该目录名，对该目录进行安全性检测，升级安全级别，升级程序，去除不安全隐患，关闭不安全栏目，重新开放该目录的网络连接，并进行测试，正常后，重新修改该目录的上级链接。

（7）全面查对HTTP日志，防火墙网络连接日志，确定该不良信息的源IP地址，如果来自校内，则立刻全面升级此次事件为最高紧急事件，立刻向领导小组组长汇报，视情节严重程度领导小组可决定是否向公安机关报案。

（8）从事故一发生到处理事件的整个过程，必须保持向应急指挥部汇报、解释此次事故的发生情况、发生原因、处理过程。

2、网络恶意攻击事故处理预案

（1）发现出现网络恶意攻击，立刻确定该攻击来自校内还是校外；受攻击的设备有哪些；影响范围有多大。并迅速推断出此次攻击的最坏结果，判断是否需要紧急切断校园网的服务器及公网的网络连接，以保护重要数据及信息。

（2）如果攻击来自校外，立刻从防火墙中查出对方IP地址并过滤，同时对防火墙设置对此类攻击的过滤，并视情况严重程度决定是否报警。

（3）如果攻击来自校内，立刻确定攻击源，查出该攻击出自哪台交换机，出自哪台电脑，出自哪位教师或学生。接着立刻赶到现场，关闭该计算机网络连接，并立刻对该计算机进行分析处理，确定攻击出于无意、有意还是被利用。暂时扣留该电脑。

（4）重新启动该电脑所连接的网络设备，直至完全恢复网络通信。

（5）对该电脑进行分析，清除所有病毒、恶意程序、木马程序以及垃圾文件，测试运行该电脑5小时以上，并同时进行监控，无问题后归还该电脑。

（6）从事故一发生到处理事件的整个过程，必须保持向应急指挥部汇报、解释此次事故的发生情况、发生原因、处理过程。

3、数据库发生故障时的应急预案

（1）主要数据库系统应定时进行数据库备份。

（2）一旦数据库崩溃，管理员应立即进行数据及系统修复，修复困难的，可向应急指挥部汇报情况，以取得相应的技术支持。

（3）在此情况下无法修复的，应向总指挥、副总指挥报告，在征得许可的情况下，立即向软硬件提供商请求支援。

4、设备安全发生故障时的应急预案

（1）小型机、服务器等关键设备损坏后，管理员应立即向应急指挥部报告。

（2）应急处理小组人员立即查明原因。

（3）如果能够自行恢复，应立即用备件替换受损部件。

（4）如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修。

（5）如果设备一时不能修复，应向指挥协调组汇报，并告知各处室，暂缓上传上报数据，直到故障排除设备恢复正常使用。

5、内部局域网故障中断时的应急预案

（1）学院网络中心平时应准备好网络备用设备，存放在指定的位置。

（2）局域网中断后，网络安全岗负责人员应立即判断故障节点，查明故障原因，并向应急指挥部汇报。

（3）如属线路故障，应重新安装线路。

（4）如属路由器、交换机等网络设备故障，应立即从指定位置将备用设备取出接上，并调试通畅。

（5）如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调测通畅。

（6）如有必要，应向总指挥、副总指挥汇报。

6、广域网外部线路中断时的应急预案

（1）广域网线路中断后，管理员应向应急指挥部报告。

（2）日常应急指挥部接到报告后，应迅速判断故障节点，查明故障原因。

（3）如属可即时恢复范围，由应急处置小组人员立即予以恢复。

（4）如属电信运营商管辖范围，应立即与电信运营商的维护部门联系，要求尽快修复。

（5）如果恢复时间预计超过两小时, 应立即向总指挥、副总指挥汇报。经同意后，应通知各处室暂缓上传上报数据。

7、外部电源中断后的应急预案

（1）外部电源中断后，值班室应立即向管理员汇报情况。

（2）如因学院内部线路故障，由应急指挥部通知维修人员迅速恢复。

（3）如果是学院外部的原因，由应急指挥部立即与供电局联系，请供电局迅速恢复供电；如果供电局告知需长时间停电，应做如下安排：

A、预计停电2小时以内，由UPS供电；

B、预计停电2-4小时，关掉非关键设备，确保各主机、路由器、交换机供电；

C、预计停电超过4小时，白天工作时间关键设备运行，晚上所有设备停机。

8、机房发生火灾时的应急预案

（1）一旦机房发生火灾，应遵循下列原则：首先保证人员安全；其次保证关键设备、数据安全；三是保证一般设备安全。

（2）人员灭火和疏散的程序是：值班人员应首先切断所有电源，同时通过119电话报警。值班人员做好自身防护，从最近的位置取出灭火器进行灭火，其他人员按照预先确定的路线，迅速从机房中有序撤出。

9、学院重大网络事件处理预案

（1）对学院重大事件（如校庆、评估等对网络安全有特别要求的事件）进行评估、确定所需的网络设备及环境。

（2）关闭其它与该网络相连，有可能对该网络造成不利影响的一切网络设备及计算机设备，保障该网络的畅通。

（3）对重要网络设备提供备份，出现问题需尽快更换设备。

（4）对外网连接进行监控，清除非法连接，出现重大问题立刻向上级部门求救。

（5）事先应向领导小组汇报本次事件中所需用到的设备、环境，以及可能出现的事故及影响，在事件过程中出现任何问题应立刻向领导小组组长汇报。

四、工作要求

1、指挥协调组得悉紧急情况后立即赶赴指挥部，网络安全事故处理小组迅速集结待命。

2、应急小组成员听从组织指挥，迅速组织抢险防护。

（1）确保WEB网站信息安全为首要任务,学院公网连接。迅速发出紧急警报，所有相关成员集中进行事故分析，确定处理方案。

（2）确保校内其它接入设备的信息安全：经过分析，可以迅速关闭、切断其他接入设备的所有网络连接，防止滋生其他接入设备的安全事故。

（3）分析网络，确定事故源：使用各种网络管理工具，迅速确定事故源，按相关程序进行处理。

（4）事故源处理完成后，逐步恢复网络运行，监控事故源是否仍然存在。

（5）针对此次事故，进一步确定相关安全措施、总结经验，加强防范。

（6）从事故一发生到处理的整个过程，必须及时向总指挥和副总指挥汇报，听从安排，注意做好保密工作。

3、积极做好广大师生的思想宣传教育工作，迅速恢复正常秩序，全力维护校园网安全稳定。

4、迅速了解和掌握事故情况，及时汇总上报。

5、事后迅速查清事件发生原因，查明责任人，并报指挥部根据责任情况进行处理。

五、善后工作

1、在应急处置工作结束后，由应急指挥部安排人员对事故现场进行监护，防止事故二次发生。

2、在应急处置工作结束后，要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。

3、在应急处置工作结束后，应急指挥部应立即组织有关人员和专家组成事件调查组，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失情况，总结经验教训，写出调查评估报告，报应急指挥部，并根据问责制的有关规定，对有关责任人员作出处理。

                                                                                                                            实训与网络中心