第一章 总 则

第一条 为提高我校处置网络安全突发事件的能力，形成科学、有效、反应迅速的应急工作机制，确保重要网络和信息系统的实体安全、运行安全和数据安全，最大程度预防和减少网络安全突发事件及其造成的损害，保障国家安全、社会稳定和人民生命财产安全，维护江苏旅游职业学院正常教育教学秩序，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《国家突发公共事件总体应急预案》、《国家网络与信息安全事件应急预案》、《信息安全事件分级分类指南》（GB/Z 20986-2007）、《互联网信息服务管理办法》等相关法律、法规的规定，结合我校实际，特制定本应急预案。

第二条 本预案适用于江苏旅游职业学院自建自管的网络与信息系统安全事件的预防、监测、预警、处置工作。

第三条 根据网络与信息安全事件的性质、危害程度、涉及范围等，网络与信息安全事件分为四级： 特别重大、重大、较大、一般四级。

（1）特别重大的事件：校园网上出现大面积的串联、煽动和蛊惑信息；主页出现反动、煽动分裂、破坏稳定等反动政治信息及链接的，出现较大的泄、失密事件。

（2）重大事件：校园网上出现不良信息、主页出现淫秽信息及链接的。

（3）较大事件：校园网用户邮箱出现大量非法宣传邮件；校园网用户未经审批在校园网上私自设立网站并提供非法信息。

（4）一般事件：不满足以上条件，影响范围较小的事件。

第二章 组织机构与职责

第四条 成立江苏旅游职业学院网络安全应急领导小组，统一指挥、协调网络与信息安全事件的应急处置工作。江苏旅游职业学院网络安全应急领导小组由网络信息安全领导小组成员组成。

第五条 网络安全应急领导小组下设网络安全应急办公室，设在江苏旅游职业学院网络信息中心，负责日常工作。

第六条 网络安全应急办公室在应急工作中的主要职责：

（1）承担值守应急工作；

（2）收集、分析工作信息，及时上报重要信息；

（3）负责我校网络信息安全的监测和风险评估控制、隐患排查整改工作；

（4）负责组织协调网络与信息安全突发事件应急演练。监督执行网络与信息安全事件应急领导小组下达的应急指令和各项任务；

（5）组织制定、修订本应急预案。

第三章 预防预警

第七条 预防措施各信息系统主管单位应做好信息系统的安全等级保护、风险评估、灾难备份和隐患排查工作，制定完善相关应急预案，及时采取有效措施，避免和减少网络与信息安全事件的发生及其危害。

第八条 监测预警

建立网络与信息安全事件信息接收机制。网络安全事件应急办公室应收集来自校内、外的紧急事件信息，建立并完善网站与信息安全事件信息的接收机制。

第四章 应急响应

第九条 网络与信息安全事件发生后，网络安全应急办公室会同相关二级单位启动本应急预案，实施处置并及时报送信息。

（1）控制事态发展，防控蔓延。事发单位先期处置，采取各种技术措施，及时控制事态发展，最大限度地防止事件蔓延。

（2）快速判断事件性质和危害程度。尽快分析事件发生原因，根据网络与信息系统运行和承载业务情况，初步判断事件的影响、危害和可能波及的范围，提出应对措施建议。

（3）事件发生时，一方面按照应急处置方法进行处置，同时需要判定灾害的级别。首先向江苏旅游职业学院网络安全应急领导小组汇报。在特别重大的事件发生时由网络安全应急领导小组向上级部门报告，同时向网信、公安局网监部门汇报。其它级别的灾害，可以只向网络安全应急领导小组汇报，并及时报告处置工作进展情况，直至处置工作结束。

（4）做好事件发生、发展、处置的记录和证据留存。

第五章 各级处理预案

第十条 网站不良信息事故处理预案

（1）一旦发现学校网站上出现不良信息（或者被黑客攻击修改了网页），立刻关闭网站访问。

（2）备份不良信息出现的目录、备份不良信息出现时间前后一个星期内的HTTP连接日志、备份防火墙中不良信息出现时间前后一个星期内的网络连接日志。

（3）打印不良信息页面留存。

（4）完全隔离出现不良信息的目录，使其不能再被访问。

（5）删除不良信息，并清查整个网站所有内容，确保没有任何不良信息，重新开通网站服务，并测试网站运行。

（6）修改该目录名，对该目录进行安全性检测，升级安全级别，升级程序，去除不安全隐患，关闭不安全栏目，重新开放该目录的网络连接，并进行测试，正常后，重新修改该目录的上级链接。

（7）全面查对HTTP日志，防火墙网络连接日志，确定该不良信息的源IP地址，如果来自校内，立刻向领导小组组长汇报，视情节严重程度领导小组可决定是否向公安机关报案。

（8）及时报告信息。事发单位在先期处置的同时要按照预案要求，及时向业务主管部门和网络安全事件应急办公室报告事件信息。

第十一条 网络恶意攻击事故处理预案

（1）发现出现网络恶意攻击，立刻确定该攻击来自校内还是校外；受攻击的设备有哪些；影响范围有多大。并迅速推断出此次攻击的最坏结果，判断是否需要紧急切断校园网的服务器及公网的网络连接，以保护重要数据及信息；

（2）如果攻击来自校外，立刻从防火墙中查出对方 IP 地址并过滤，同时对防火墙设置对此类攻击的过滤，并视情况严重程度决定是 否报警。

（3）如果攻击来自校内，立刻确定攻击源，查出该攻击出自哪台交换机，出自哪台电脑，出自哪位教师或学生。立即关闭该计算机网络连接，并立刻通知其主管单位、对该计算机进行分析处理，确定攻击出于无意、有意还是被利用。必要时可暂时扣留该电脑。

（5）责成其主管单位监督相关责任人清除所有病毒、恶意程序、木马程序以及垃圾文件。

（6）及时报告信息。事发单位在先期处置的同时要按照预案要求，及时向业务主管部门和网络安全事件应急办公室报告事件信息。

第十二条 重要时期网络安全保障预案

（1）对于国家、各级政府、学校重要敏感时间节点，按照上级部门要求对学校网络安全进行评估、确定所需的网络设备及环境。

（2）必要时刻可关闭相应涉及网络安全的设备与业务信息系统，保障学校网络的畅通与安全。

（3）对重要网络设备提供备份，出现问题需尽快更换设备。

（4）对外网连接进行监控，清除非法连接，出现重大问题立刻向上级部门报告。

第十三条 网络设备及主机故障应急预案

（1）发现网络设备或主机发生故障，使得网络应用受到影响后，应由系统管理员或网络管理员及时通知应到影响的人员，做到广而告之。

（2）定位故障：对故障设备进行分析，确定故障原因。

（3）排除故障：由系统管理员或网络管理员排除故障。

（4）形成故障记录归档。

（5）及时报告信息。事发单位在先期处置的同时要按照预案要求，及时向业务主管部门和网络安全事件应急办公室报告事件信息。

第十四条 外部电源供电中断后的应急预案

（1）外部供电中断后，如因学校内线路故障，应通知后勤维修人员迅速排查恢复。

（2）外部供电中断后，如果是学校外部的原因，由后勤处立即与供电局联系，请供电局迅速恢复供电。

（3）如被告知长时间停电，应做如下安排：

a）预计停电15分钟以内，由UPS供电；

b）预计停电12小时以内，关掉非关键设备，确保各主机、路由器、交换机供电；

c）预计停电超过12小时，白天工作时间关键设备运行，晚上所有设备停机。

（4）及时报告信息。事发单位在先期处置的同时要按照预案要求，及时向业务主管部门和网络安全事件应急办公室报告事件信息。

第十五条 机房发生火灾时的应急预案

（1）一旦机房发生火灾，应遵循下列原则：首先保证人员安全； 其次保证关键设备、数据安全；三是保证一般设备安全。

（2）人员灭火和疏散的程序是：值班人员应首先切断所有电源， 同时通过119电话报警。值班人员戴好防毒面具，从最近的位置取出灭火器进行灭火，其他人员按照预先确定的路线，迅速从机房中有序撤出。

（3）及时报告信息。事发单位在先期处置的同时要按照预案要求，及时向业务主管部门和网络安全事件应急办公室报告事件信息。

第六章 信息管理

第十六条 信息报告

各学院、处（部）等部门应及时收集、分析、汇总本部门网络与信息系统安全运行情况信息，安全风险及事件信息及时报告学校网络安全事件应急办公室。

第十七条 信息报告内容

请参阅附件 1

第七章 后期处置

第十八条 后期处置工作按照“谁主管谁负责，谁使用谁负责，谁运维谁负责”的原则，由事发单位负责组织制定恢复、整改或重建方案，报相关业务主管部门审核实施。

第八章 保障措施

第十九条 人员保障

确保在事件发生前的人员值班，事件处置过程和重建中的相关人员在岗。

第二十条 技术保障

重视网络信息技术的建设和升级换代，在事故发生前确保网络信息系统的强劲与安全，事故处置过程中和处置后重建的相关技术支撑。

第二十一条 物资保障

根据近年网络安全防治工作所需经费情况，将本年度事故应急经费纳入年度计划和预算，购买相应的应急设施。建立应急物资储备制度，保证应急处理队伍技术装备的及时更新，以确保事故应急工作的顺利进行。

第二十二条 训练和演练

加强学校信息安全知识的宣传普及，增强用户的安全意识。有针对性地开展应急演练，确保紧急事件发生后，应急预案的有效执行。

第九章 附 则

第二十三条 本预案中的条款如与国家有关的法律、法规不一致的，以国家法律、法规为准。

第二十四条 本规定由网络信息中心负责解释。 第二十五条本规定自公布之日起试行。

第二十六条 原《江苏旅游职业学院校园网络安全应急处理预案（试行）》（苏旅院〔2018〕14 号）在本制度颁布之日废止。

附件1：

安全事件报告及处理单

记录单编号：

附件2：事件处理流程