大连医科大学网络与信息安全事件

应急响应总体预案

大医发[2024]60号

第一条为切实做好我校网络信息安全突发事件应急处理工作，进一步提高我校网络和信息系统的应急响应能力，维护网络和信息系统安全，保障网络和信息系统设施的正常运转，预防和减少网络与信息安全突发事件造成的危害，维护学校安全稳定和工作秩序，特制定本预案。

第二条根据《中华人民共和国网络安全法》（2016年主席令第53号）《中华人民共和国计算机信息系统安全保护条例》(2011年1月8日修订)《中华人民共和国突发事件应对法》（2007年主席令第六十九号）《国家网络安全事件应急预案》（中网办发文〔2017〕4号）《中华人民共和国计算机信息网络国际联网管理暂行规定》(国务院令第195号)、《计算机信息网络国际联网安全保护管理办法》（国务院令第588号）《网络安全等级保护基本要求》（GB/T 22239-2019）《信息安全事件分类分级指南》（GB/Z 20986-2007）和《大连医科大学校园网络管理办法》（大医发〔2013〕264号）等相关法律法规、政策规范和技术标准制定本预案。

第三条防控机制与工作原则：

（一）积极防御，综合防范。立足安全防护，加强预警，采取多种措施，共同构筑网络与信息安全保障体系。

（二）以人为本，快速反应。按照本预案工作机制，及时获取充分准确的信息，跟踪研判，果断决策，迅速处置，尽快控制局面。

（三）明确责任，加强协作。按照“谁主管、谁负责”的原则，在学校网络安全和信息化领导小组的统一领导下，各司其职，各尽其力，共同履行应急处置工作的管理职责。

（四）规范流程，加强演练。规范应急处置措施与操作流程（详见附件1），定期进行预案演练，确保应急预案发挥重要作用。

第四条适用范围：本预案适用于解决校园网络、信息系统中的各类突发事件。其中，突发事件是指自然因素或人为活动引发的危害我校网络、信息系统设施及信息安全等有关的灾害事件。包括威胁各系统运行及信息安全方面的事件，特别是校园网主干设施和重要信息系统发生的有可能影响学校、社会和国家安全稳定的紧急事件。

第五条事件分类：网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。

（一）有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

（二）网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

（三）信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

（四）信息内容安全事件是指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

（五）设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

（六）灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。

第六条事件分级：网络与信息安全事件分为四级：特别重大（Ⅰ级）重大（Ⅱ级）较大（Ⅲ级）一般（Ⅳ级）。

（一）特别重大（Ⅰ级）：网络与信息系统发生全局性大规模瘫痪，事态发展超出自身的控制能力，对国家安全、社会秩序、学校利益造成特别严重损害的突发事件。

（二）重大（Ⅱ级）：网络与信息系统造成全局性瘫痪，对国家安全、社会秩序、学校利益造成严重损害，需要上级相关部门协同处置的突发事件。

（三）较大（Ⅲ级）：某一部分的网络与信息系统瘫痪，对学校的网络安全、教育教学秩序、教师和学生的权益造成一定损害，但可以在一定时间内通过相应技术手段进行重建和恢复，不需要跨部门协同处置的突发事件。

（四）一般（Ⅳ级）：单一网络与信息系统受到一定程度的损坏，对教师和学生的教育教学、办公及宣传工作有一定影响，但不危害学校的网络整体安全和秩序的突发事件。

第二章组织体系

大连医科大学网络与信息安全事件应急响应体系的最高组织是网络安全和信息化领导小组，日常具体工作由领导小组办公室完成。

第七条网络安全和信息化领导小组：工作范围包括，贯彻落实国家、省及上级单位有关网络与信息安全的方针政策和法律法规，组织制定学校《网络与信息安全事件应急预案》；领导统筹网络与信息安全事件应对工作，建立健全联动处置机制，启动应急预案，负责网络与信息安全事件处置的组织指挥；审定、部署、检查网络与信息安全事件的预防预警、应急处置、调查评估、信息发布、应急保障工作，研究解决处置工作中的问题。

第八条网络安全和信息化领导小组办公室：工作范围包括，组织起草学校《网络与信息安全事件应急预案》相关规定；承担值守应急响应工作，指导各单位（部门）建立网络与信息安全突发事件的预警和防控工作；接收并处理网络与信息安全应急信息报告，配合相关部门积极开展应对处置工作；负责网络与信息安全事件的预防预警、应急处置、调查评估、信息发布、应急保障、隐患排查整改等工作；组织开展网络与信息安全培训，定期组织演练；收集信息安全事件报告统计数据、编制统计报告、汇总工作情况、撰写工作总结；负责与上级网络与信息安全应急协调机构的沟通联络工作；负责完成网络安全和信息化领导小组交办的其它工作。

网络安全和信息化领导小组以及领导小组办公室的组成及职责详见《关于调整大连医科大学网络安全和信息化领导小组的决定》（大医发〔2019〕205号）。

第三章信息监测报告机制

为高效应对校园网络和信息系统突发事件，网络安全和信息化领导小组各成员需明确职责和管理范围，严格遵守规范，减少不稳定因素，积极做好突发事件的预防预警工作。

第九条网络安全监测责任：

（一）宣传部负责互联网舆情监测，以及学校官网、官方新媒体平台的信息监控。

（二）现代教育技术中心负责监测网络和信息系统的通信和资源使用异常，网络和信息系统瘫痪，应用服务中断或数据篡改、丢失等情况。

（三）保卫处负责外围设施的安保,以及事件发生后与公安机关相关部门的联系与配合协调工作。

（四）各单位、各部门负责本单位、本部门管理的二级网站、应用信息系统、动态性专题网站和新媒体平台的信息审核与监测。

第十条监测报告责任制：各单位、各部门要指定专人负责信息监测工作，严格落实责任制，按照“早发现、早报告、早处置”的原则，加强对各类网络与信息安全突发事件和可能引发突发事件的有关信息的收集、分析判断和持续监测。

当发生网络与信息安全突发事件时，按规定及时向领导小组办公室报告，重大的网络与信息安全突发事件要有日报告和态势进程报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。重要敏感时期要实行日报制度，各单位、各部门按照领导小组办公室要求的报告频度及时上报监测情况。

第十一条报告流程：

（一）各单位、各部门负责信息监测的人员一旦发现网络与信息安全事件，应立即采取措施控制事态，及时进行风险评估，并向领导小组办公室报告。

（二）对于发生一般(Ⅳ级)级别的网络与信息安全事件，由领导小组办公室处理，并将处理情况向网络安全和信息化领导小组报告。

（三）对于发生较大(Ⅲ级)、重大(Ⅱ级)、特大(Ⅰ级)的网络与信息安全事件，由领导小组办公室第一时间向网络安全和信息化领导小组报告，按照本预案处置。网络安全和信息化领导小组接到报告后，应迅速召开会议，研究确定网络与信息安全突发事件的态势及研究应急处置方案。

第四章应急响应机制

网络安全应急响应机制应根据事件类型的不同，相关单位（部门）职权内的事件根据本预案进行及时处理。下列没有列出的突发事件，可根据总的安全级别响应原则，结合具体的情况，做出相应的处理,不能处理的应请求技术协助。

第十二条校园网络不良信息应急处置：网站、网页、系统平台由具体负责人员密切监视信息内容，每天早、中、晚三次不少于30分钟。特殊敏感时期内，要保证7*24小时不间断监控。发生网络与信息安全事件单位（部门）的信息员要及时删除不良信息，并清查整个网站所有内容，确保没有任何其它不良信息。

（一）如果出现不良信息，信息员应将事件具体情况立即上报至领导小组办公室。情况紧急的，在做好必要记录的同时，先采取删除等处理措施，再按程序报告。

（二）现代教育技术中心应追查非法信息来源，并妥善保存有关记录及日志或审计记录。并立即通过防火墙切断网站服务器外网连接，备份不良信息的相关目录。隔离出现不良信息的目录，进行安全性检测，去除不安全隐患，关闭不安全栏目。

（三）出现不良信息的服务器和信息系统，在恢复数据并检测安全后，报领导小组办公室，经审批通过后，方可恢复网络连接。

（四）事件情节特别严重的，领导小组办公室需召开会议予以应对，并将处理结果向上级和公安机关汇报。

第十三条校园网络异常和网络恶意攻击事件应急处置：

（一）当校园网络出现异常和网络恶意攻击时，现代教育技术中心组织相关人员确定攻击来源和影响范围。根据需要可以紧急切断校园网络的服务器和公网的网络连接，以保护重要数据及信息。如果攻击来自学校外，通过网络安全防护设备对此类攻击进行阻拦和过滤，组织技术人员并联系专家进行分析研究应对措施，及时定位入侵的IP地址，及时关闭入侵的端口，限制入侵地IP地址的访问，在无法制止或情况严重的情况下断开网络连接。如果攻击来自内网，查到攻击源计算机IP地址、上网账号、中间件、办公网络、无线网络等信息后，关闭该计算机校园网络连接（详见附件2、附件7、附件8）。

（二）如果查明是校内人员主观恶意发动的网络攻击，领导小组办公室报告网络安全和信息化领导小组视情节轻重，提交学校相关部门按学校规定进行处理，涉嫌触犯法律的移送公安机关依法处理。

（三）如果信息系统遭受破坏性攻击。信息系统所属单位应立即报告领导小组办公室，并将系统停止运行。相关技术人员要检查日志等资料，确认攻击来源后立即解决。若不能在2小时内解决，则立即请求相关技术支持。若情况极为严重的，应立即向上级或公安机关报告。攻击处置完成后，要做好软件系统和数据的恢复（详见附件3）。

（四）如果网页内容被篡改。现代教育技术中心应立即将被攻击的服务器等从网络中隔离出来，协同有关部门共同追查非法信息来源，对被破坏系统的日后恢复与重建应予以必要的技术支持。同时视严重程度酌情向上级汇报，包括向公安部门报告。

（五）如果数据库遭受破坏性攻击。信息系统所属部门应立即进行数据及系统修复，同时通知各相关单位暂缓更新数据。如问题无法解决，立即向领导小组办公室或软硬件提供商请求协助。系统修复启动后，需还原数据，若无法恢复，则启用备份数据。

第十四条信息系统漏洞应急处置：

（一）现代教育技术中心接到系统漏洞通报或定期扫描检查发现高危系统漏洞后，通报各信息系统的负责人，并组织相关技术人员进行研究分析，制定解决方案。

（二）在核心网络设备和服务器进行封闭协议及端口、停止服务的操作，由现代教育技术中心在24小时内完成处理。

（三）通过更新操作系统补丁的操作由现代教育技术中心协助使用部门尽快完成。

（四）需要应用软件进行升级更新处理的，现代教育技术中心通知使用部门联系软件厂商及时完成处理，在没有处理完成前关闭服务器外网访问。

（五）需要对办公电脑进行升级补丁的，由现代教育技术中心在校园网及时发布漏洞情况和处理步骤的通知，各单位（部门）自行组织进行升级维护工作。

第十五条计算机病毒应急处置：

（一）各单位、各部门信息员发现计算机感染病毒后，应立即将感染病毒的办公电脑断网，在病毒彻底清除干净前禁止连接到网络,并对该设备的硬盘进行数据备份。启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描和清除工作（详见附件12）。

（二）如果感染病毒的设备是服务器，并且反病毒软件无法清除该病毒，信息员应立即联系有关产品厂商研究解决并上报本部门负责人和领导小组办公室。现代教育技术中心组织相关技术人员研究采取恢复备份等措施，并立即告知各相关单位（部门）做好相应的清查工作（详见附件9、附件10、附件11）。

（三）现代教育技术中心在网上公布病毒攻击信息以及防御方法。

第十六条互联网舆情负面信息应急处置：

由于学校对校园网以外的互联网舆情负面信息没有直接处理权限，要按以下流程应急响应。

（一）宣传部负责指定专人进行互联网舆情监测，每日定时搜索、收集负面舆情信息，重要敏感时期提高每日搜索次数。突发事件发生后，立刻向网络安全和信息化领导小组报告，并组织人员24小时收集信息，做到第一时间监测、收集、研判舆情发展走向，及时上报舆情动态。舆情监测及信息收集人员要及时监看网络、广播、电视、报刊等媒体，实时收集核查信息来源、扩散情况（转载转播频率、点击率、收视率）等相关指标，跟踪掌握舆情发展、衍变、处置成效等情况，为网络安全和信息化领导小组提供参考意见（详见附件14）。

（二）在处置负面舆情信息时，坚决维护党和国家权威，维护社会稳定，维护学校形象。领导小组办公室负责及时展开事件调查，快速形成报告，为澄清事实、消除影响提供有力证据。针对调查情况，及时研究并向网络安全和信息化领导小组提出事件应急处置的对策和建议。由网络安全和信息化领导小组根据事件性质及严重程度决定是否向上级主管部门报告、请求支援、删除网上负面信息。

（三）充分发挥团结协作精神，各单位应沟通协调，步调统一、各司其职，形成强大的工作合力。统一发布口径，报请网络安全和信息化领导小组审定，根据事件性质和衍变情况决定是否组织新闻发布会。宣传部负责组织做好相关网络、报刊、广播、电视等媒体的联络沟通及接待工作。

如校园内发生网络舆情事件，需进行信息发布与新闻报道的，参考上述办法。

第十七条设备设施故障应急处置：

设备设施故障。当设备设施故障影响范围达到校级层面，影响程度是一般（IV级）级以上的突发事件，权属部门应及时将事故汇报到领导小组办公室，经领导小组办公室分析甄别后对外发布，同时联系相关技术人员进行抢修，尽快恢复设备设施正常。

（一）停电事故应急处置。当市电中断后，现代教育技术中心相关人员应立即检查UPS电池电量，查明断电原因，联系相关部门恢复供电。若后勤管理处告知需长时间停电，应通知各相关部门，预计停电2小时以内，UPS可承载机房内全部网络设备供电，可做预防性处理。预计停电3小时以上，应关闭非关键设备，确保网络核心业务的供电需求。

恢复市电后，相关人员应检查机房内网络、服务器、存储、UPS、空调等设备的工作状态是否正常。若设备出现异常，尽快处置恢复设备运行（详见附件4）。

（二）设备故障应急处置。设备发生故障时，设备所属部门人员立即将故障设备脱离网络，保证其他设备正常运行，并检查故障原因，发布公告，尽快恢复设备运行（详见附件5、附件6）。

（三）通信线路中断应急处置。当通信线路发生中断时，现代教育技术中心立即组织人员，启动备份策略，保证关键业务运行，判断故障节点，发布公告，查明故障原因尽快修复线路。

（四）网络机房突发事件应急处置。当机房发生火灾时，立即按响警报，并通过119电话向公安消防请求支援，按照预先确定的线路，迅速从机房撤出。首先保护人员安全，其次在情况允许下保护关键设备及数据的安全。

第十八条灾害性事件应急处置：如遇到地震、台风、水患、雷暴等重大自然灾害，可能对网络设备设施和信息系统造成损害时，应关闭所有网络设备和信息系统，切断电源，暂停内部网络工作；灾害发生后，相关技术维护人员到达现场，确认不会造成人身伤害后，寻找安全可靠的地点，尽快将网络恢复正常，重启校园网和信息系统。若有设备、数据损坏，及时使用备份设备或备用数据。若没有备件，应向厂商请求支援；如灾害导致不可逆转的软件或硬件损失，应向有关部门汇报损失程度，并启动重建方案（详见附件13）。

第五章后期处置及保障

第十九条后期处置：

（一）重大处置工作结束后，领导小组办公室对事件处置工作进行总结报告，包括事件发生时间、地点、原因、信息来源、事件类型、性质、危害及损失程度、事件发展趋势、采取处置措施等。

（二）校党委表彰奖励在舆情处置工作中做出突出贡献的单位和个人，追究引起重大舆情和造成重大负面影响、严重后果的相关责任人的责任，具体实施办法详见《大连医科大学网络安全工作责任实施细则》。

第二十条应急保障：

（一）信息保障。建立健全并落实网络与信息安全突发事件信息收集、传递、报送、处理等各环节运行机制，完善信息传输渠道，确保信息报送渠道的安全畅通。

（二）物资保障。应储备充足物资和备用设备，保障应对网络与信息安全突发事件的需求。

（三）资金保障。将应急资金纳入财务预算，为突发事件舆情处置工作提供必要的财力支持。

（四）人员保障。各单位（部门）相关人员作为网络与信息安全突发事件应急预备队，可根据工作需要，安排应急工作。

（五）训练和演练。加强校园网络安全的风险防护和预警机制知识的宣传普及，提高用户的信息安全防护意识。有针对性地开展应急救援演练，确保网络安全事件发生后应急响应手段及时到位和有效。

第六章附则

第二十一条本预案由网络安全和信息化领导小组办公室负责解释。

第二十二条本预案自发布之日起实施。原《大连医科大学网络与信息安全事件应急预案》（大医发〔2019〕306号）同时废止。

附件：（请前往学校FTP——现代教育技术中心/大医发60号附件下载附件全文）

1.大连医科大学网络与信息安全事件应急处置流程。

2.中间件应急响应事件流程规范

3.信息系统业务影响性和连续性分析指南

4.IDC机房应急响应事件流程规范

5.校园网络设备应急事件流程规范

6.网络安全设备应急事件流程规范

7.校园办公网络应急事件流程规范

8.校园无线网络应急事件流程规范

9.主机设备应急响应事件流程规范

10.操作系统应急响应事件流程规范

11.数据存储应急响应事件流程规范

12.病毒应急响应处理指南

13.灾难恢复应急响应处理流程规范

14.重大泄密事件应急响应处理流程规范