宛院发〔2013〕213号

南阳师范学院

关于印发《南阳师范学院信息系统突发事件应急处置预案》的通知

校属各单位：

《南阳师范学院信息系统突发事件应急处置预案》已经学院研究同意，现下发给你们，望严格遵照执行。

附件：《南阳师范学院信息系统突发事件应急处置预案》

二○一三年十一月六日

主题词：信息系统 突发事件 处置预案 通知

南阳师院院长办公室 2013年11月6日印发

附件

南阳师范学院信息系统突发事件应急处置预案

第一条 为提高我校网络与信息系统安全突发事件应急处置能力，形成科学、高效的应急响应工作机制，确保校园网网络与信息系统的实体安全、运行安全和数据安全，最大限度地减轻安全突发事件的危害，保护师生权益，维护正常校园秩序，促进学校和谐发展，制定本预案。

第二条 网络与信息系统安全突发事件的定义

网络安全突发事件：

1. 故障类事件：校园网因计算机网络系统软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况；

2. 灾害类事件：因爆炸、火灾、雷击、地震、暴雨等外力因素导致的校园网网络系统损毁，造成业务中断、系统宕机、网络瘫痪等情况。

信息系统安全突发事件：

1. 校园网信息系统页面被恶意篡改，或出现有组织的大规模的反动或煽动宣传、严重影响社会政治稳定的谣言、串联和非法活动；

2. 校园网内网被非法入侵或被计算机病毒（木马）破坏，系统数据被非法拷贝、修改、删除；

3. 在信息系统上发布的内容违反国家的法律法规、侵犯知识版权，已造成严重后果。

第三条 安全突发事件分级

根据我校网络与信息系统安全突发事件的可控性、严重程度和影响范围，结合我校的实际情况分为四级：Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般)。

Ⅰ级(特别重大)。重要网络与信息系统发生全校性大规模瘫痪，事态发展超出学校计算机网络信息系统安全工作领导小组的控制能力，对学校安全、秩序和学校公共利益造成特别严重损害的突发事件。

Ⅱ级(重大)。重要网络与信息系统全校性瘫痪，对学校安全、秩序和学校公共利益造成严重损害，需要跨部门协同处置的突发事件。

Ⅲ级(较大)。某一区域的重要网络与信息系统瘫痪，对学校安全、秩序和学校公共利益造成一定损害，但不需要跨部门协同处置的突发事件。

Ⅳ级(一般)。重要网络与信息系统受到一定程度的损坏，对学校师生员工和一些部门的权益有一定影响，但不危害学校安全、秩序、学校公共利益的突发事件。

第四条 网络与信息系统安全突发事件应急处置机构及职责

1. 机构设置

南阳师范学院计算机网络信息系统安全工作领导小组为校内网络和信息系统安全突发事件处置的最高领导机构，负责网络与信息系统安全突发事件的组织指挥和应急处置工作。

2. 职责

（1）监督检查校属各单位网络与信息系统安全管理制度建设、安全措施的落实情况；

（2）充分利用各种渠道进行网络与信息安全知识的宣传教育，组织、指导全校网络安全常识的普及教育，广泛开展网络安全和有关技能训练，不断提高广大师生的防范意识和基本技能。

（3）加强校园网信息系统的监控巡查。

（4）采取一切必要手段，调动一切积极因素，组织各方面力量全面进行网络安全事故处理工作，把不良影响与损失降到最低点；并决定是否把突发事件报告公安机关及相关上级管理部门。

第五条 网络与信息系统突发安全事件的报告程序

1．对于Ⅰ级(特别重大)事件，须直接向计算机网络信息系统安全工作领导小组组长汇报；对于Ⅱ级(重大)事件须直接向主管信息安全的计算机网络信息系统安全工作领导小组副组长报告；对于Ⅲ级(较大)事件及Ⅳ级(一般)事件须直接向学校计算机网络信息系统安全工作领导小组办公室汇报（办公室设在网络中心），对Ⅰ级和Ⅱ级事件，也须及时向计算机网络信息系统安全工作领导小组办公室通报。

2．事件发生并得到确认后，有关人员应立即根据事件级别进行上报，由领导决定是否启动该预案，一旦启动该预案，有关人员应及时到位。

3．计算机网络信息系统安全工作领导小组及网络中心工作人员进入应急处置工作状态，对相关事件进行跟踪，密切关注事件动向，协助调查取证，进行现场保护，系统恢复等工作。

4．宣传部负责事件的宣传和报道等工作，防止事态通过网络向外蔓延。

5．对发现的网内病毒源通过关闭端口等强制措施进行及时隔离，并通知有病毒的计算机负责人进行处理；对于外网进入的网络病毒应在边界路由器或防火墙上做针对性地访问控制；对发现的攻击事件应及时进行处理。

6．事发单位协助学校计算机网络信息系统安全工作领导小组办公室在事件发生后24小时内填写突发信息事件上报表（见附表），并写出事件书面报告。报告应包含以下内容：事件发生事件、地点、事件内容、涉及的计算机IP、管理人员、操作系统、应用服务、损失、事件性质及发生原因、事件处理情况及采取的措施、事件报告人、报告事件等。事件书面报告和突发事件上报表一起上报。

第六条 事件处置

1.响应程序

（1）学校计算机网络信息系统安全工作领导小组获悉紧急情况后立即做出应急反应，相关机构即刻进入工作状态，服从领导小组安排。

（2）在计算机网络信息系统安全工作领导小组的统一组织指挥下迅速组织本级抢险防护。

确保WEB网站信息安全为首要任务：关闭WEB服务器的外网连接、学校公网连接。迅速发出紧急警报，所有相关成员集中进行事故分析，确定处理方案。

确保校内其它服务器的信息安全：经过分析，可以迅速关闭、切断其他服务器的所有网络连接，防止滋生其他服务器的安全事故。

分析网络，确定事故源：使用各种网络管理工具，迅速确定事故源，按相关程序进行处理。事故源处理完成后，逐步恢复网络运行，持续监控事故源是否仍然存，在直至事故源彻底消除。

针对此次事故，进一步确定相关安全措施、总结经验，加强防范。从事故发生到处理的整个过程，必须及时向领导小组汇报，听从安排，并注意做好保密工作。

（3）积极做好广大师生的思想宣传教育工作，迅速恢复正常秩序，全力维护校园网安全稳定。

（4）事后迅速查清事件发生原因，查明责任人，并报领导小组根据责任情况进行处理。

（5）对于上报公安机关及上级相关管理部门的信息安全突发事件，有关信息系统管理人员有义务配合公安机关和上级相关管理部门的调查、取证工作。

2.处理措施

2.1网站、网页出现异常的紧急处置措施

（1）各信息系统网页由各部门的信息系统管理人员随时密切监视信息内容。每天早、中、晚三次不少于一小时。

（2）发现网上出现异常或非法信息时，应先做备份，保留证据，事态不严重的，可采取先删除非法信息等处理措施尽快让系统恢复正常运行，再按程序报告。事态严重的，应先切断服务器网络连接，做好备份，保护好现场，尽快按程序上报，并通知网络中心予以协助。

（3）网络中心技术人员应在接到通知后立即赶到现场，作好必要的记录，清理非法信息，强化安全防范措施，并将网站网页重新投入使用。

（4）网站管理人员应妥善保存有关记录及日志、审计记录，追查非法信息来源，根据突发事件级别应及时向有关上级部门汇报。

2.2黑客攻击时的紧急处置措施

（1）当有关网站管理人员发现网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时，应立即向计算机网络信息系统安全工作领导小组办公室通报情况。

（2）网络中心工作人员应立即将被攻击的服务器等设备从网络中隔离出来，保护现场，同时向计算机网络信息系统安全工作领导小组汇报情况。

（3）网络中心技术员协同有关部门共同追查非法信息来源。情况严重的，根据突发事件级别应及时向有关上级部门汇报。

2.3病毒安全紧急处置措施

（1）当发现计算机感染有病毒后，应立即将该机从网络上隔离出来，并对该设备的硬盘进行数据备份。

（2）启用反病毒软件对该机进行杀毒处理，同时使用病毒检测软件对其他机器进行病毒扫描和清除工作。

（3）如发现反病毒软件无法清除该病毒，应立即向计算机网络信息系统安全工作领导小组办公室报告。

（4）经网络中心技术人员确认确实无法查杀该病毒后，应作好相关记录，并迅速联系有关产品商研究解决。情况严重的，根据突发事件级别应及时向有关上级部门汇报。

2.4软件系统遭受破坏性攻击的紧急处置措施

（1）重要的软件系统平时必须存有备份，与软件系统相对应的数据必须有多日备份，并将它们保存于安全处。

（2）一旦软件遭到破坏性攻击，应立即向计算机网络信息系统安全工作领导小组办公室报告，并将系统停止运行，通过检查日志等资料，评估危害程度与性质，确认攻击来源，调查完成后，并尽快将软件系统和数据恢复。

（3）情况严重的，根据突发事件级别及时向有关上级部门汇报。

2.5数据库安全紧急处置措施

（1）各数据库系统要至少准备两个以上数据库备份。

（2）一旦发现数据库崩溃，应立即向计算机网络信息系统安全工作领导小组办公室报告，并对主机系统进行维修和数据恢复，如遇无法解决的问题，立即向软硬件提供商请求支援。

（3）情况严重的，根据突发事件级别及时向有关上级部门汇报。

2.6广域网外部线路中断紧急处置措施

（1）属我方管辖范围，由网络中心负责予以尽快恢复；属于运营商负责的，网络中心即刻联系运营商启动线路接续工作，同时向计算机网络信息系统安全工作领导小组领导报告。

（2）经计算机网络信息系统安全工作领导小组领导同意后，应通告各下属单位相关原因。

2.7局域网中断紧急处置措施

（1）局域网中断后，网络管理人员应立即判断故障节点，查明故障原因，并向计算机网络信息系统安全工作领导小组办公室汇报。

（2）如属线路故障，应重新安装线路；如属路由器、交换机等网络设备故障，应立即与设备提供商联系更换设备，并调试畅通；如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调试畅通。如遇无法解决的技术问题，立即向有关厂商请求支援。

（3）情况严重的，根据突发事件级别及时向有关上级部门汇报。

2.8人员疏散与机房灭火预案

（1）一旦机房发生火灾，应遵照下列原则：首先保人员安全；其次保关键设备、数据安全；三是保一般设备安全。

（2）人员疏散的程序是：机房工作人员立即按响火警警报，并通过119电话向公安消防请求支援，所有人员戴上防毒面具，所有不参与灭火的人员按照预先确定的线路，迅速从机房中撤出。

（3）人员灭火的程序是：首先切断所有电源，灭火值班人员戴好防毒面具，从指定位置取出干粉或气体灭火器进行灭火。

2.9外电中断后的设备

（1）外电中断后，机房管理员应立即切换到备用电源。

（2）机房管理员员应立即查明原因，并向领导汇报。

（3）如因学校内部线路故障，请学校有关服务部门迅速恢复。

（4）如果是供电局的原因，应立即与供电局联系，请供电局迅速恢复供电。

（5）如果由供电局告知需停电的，预计停电45分钟以内，由UPS供电。时间长的，应向有关上级部门汇报。

2.10发生自然灾害后的紧急处置措施

（1）一旦发生自然灾害，导致设备损坏，由灾害发生单位向计算机网络信息系统安全工作领导小组办公室请求支援。

（2）计算机网络信息系统安全工作领导小组办公室接到有关部门的支援请求后，应在1小时内派遣人员携带有关设备赶到现场。

（3）到达现场后，寻找安全可靠的地点，重新构建新的系统和网络，并将相关数据予以恢复。

（4）经测试符合要求后技术人员才能撤离。

2.11关键人员不在岗的紧急处置措施

（1）对于关键岗位平时应做好人员储备，确保一项工作有两人能操作。

（2）一旦发生关键人员不在岗的情况，由备用人员上岗操作，并向领导汇报情况。

第七条 一般性安全隐患处理。网络中心配备正版防火墙和防病毒软件，及时升级，及时清除网络病毒，检测黑客入侵事件，并向校属各单位信息系统管理人员发出警报。对往来电子邮件及通过网络下载的文件用防病毒软件过滤，确保不被木马类黑客程序入侵或在无意中协助病毒传播。信息系统管理人员应定期检查设备运转情况，做好设备维护记录，保证信息系统稳定高效运行。若信息系统出现硬件故障，管理人员负责在第一时间启用备份数据，保证数据不丢失，确保网络的正常运行。

第八条 依靠科学、平战结合，校属各单位可根据本预案制定本单位的实施细则，加强技术储备，规范应急处置措施与操作流程，树立常备不懈的观念，定期进行预案演练，熟悉网络与信息系统安全事件应急响应处置工作流程，不断完善应急预案，提高应急处置能力。

第九条 网络中心作为校园网归口管理的职能部门，有权督促校属各部门落实预案的各项要求与任务，建立监督检查制度，不定期对各单位应急响应工作进行检查，对未有效落实预案规定的单位进行通报批评，并要求限期整改。

信息发布。在信息系统安全突发事件发生原因未查清之前，任何单位和个人不得对外发布相关信息。事件的处置进展情况及原因由学校计算机网络信息系统安全工作领导小组统一或授权发布。

附表

突发信息事件上报表

报送单位(盖章)：