南昌航空大学网络安全应急预案制度

第一章　总　则

第1条 为了全面规范和加强南昌航空大学网络与信息安全应急管理工作，切实防范和有效处置对南昌航空大学和社会有严重影响的网络与信息安全事件，保障国家安全、社会稳定和人民生命财产安全，维护南昌航空大学正常工作秩序，制定本制度。

第2条 本预案依据《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》、《信息安全技术信息安全事件分类分级指南》（GB/Z 20986-2007）、《中华人民共和国计算机信息系统安全保护条例》（中华人民共和国国务院令147号）、《江西省网络与信息安全事件应急预案》等相关规定编制。

第3条 本预案适用于南昌航空大学自建自管的网络与信息系统安全事件的预防、监测、预警、处置工作。

第4条 根据网络与信息安全事件的性质、危害程度、涉及范围等，网络与信息安全事件分为四级： 特别重大（I级）、重大（II级）、较大（III级）、一般（IV级）四级。

第二章　组织机构与职责

第5条 成立南昌航空大学网络安全应急领导小组，统一指挥、协调网络与信息安全事件的应急处置工作。南昌航空大学网络安全应急领导小组由网络安全与信息化领导小组成员组成。

第6条 网络安全应急领导小组下设网络安全应急办公室，设在南昌航空大学现代教育技术与信息中心，负责日常工作。南昌航空大学网络安全应急办公室具体成员如下：

主  任：现代教育技术与信息中心主任

副主任：党委宣传部部长

成  员：现代教育技术与信息中心副主任

党委宣传部副部长

        现信中心网络技术部部长

        现信中心系统应用部部长

        党委宣传部主管网络舆情工作的科长

        现信中心网络安全技术人员

网络安全应急办公室在应急工作中的主要职责：

（1）承担值守应急工作；

（2）收集、分析工作信息，及时上报重要信息；

（3）负责我校网络与信息安全的监测和风险评估控制、隐患排查整改工作；

（4）负责组织协调网络与信息安全突发事件应急演练。监督执行网络与信息安全事件应急领导小组下达的应急指令和各项任务;

（5）组织制定、修订本应急预案。

第三章 预防预警

第7条 预防措施

各信息系统主管部门应做好信息系统的安全等级保护、风险评估、灾难备份和隐患排查工作，制定完善相关应急预案，及时采取有效措施，避免和减少网络与信息安全事件的发生及其危害。

第8条 监测预警

网络与信息安全事件预警等级分为三级：I级（特别严重）、II级（严重），III级（较重）和IV级（一般），依次用红色、橙色、黄色和蓝色表示。

建立网络与信息安全事件信息接收机制。

网络安全事件应急办公室应通过舆情监控、网站、短信等途径公布联系方式等信息，收集来自校内、外的紧急事件信息，建立并完善网站与信息安全事件信息的接收机制。

第四章 应急响应

第9条 网络与信息安全事件发生后，网络安全应急办公室会同相关学院、处（部）启动本应急预案，实施处置并及时报送信息。

（1）控制事态发展，防控蔓延。事发单位先期处置，采取各种技术措施，及时控制事态发展，最大限度地防止事件蔓延。

（2）快速判断事件性质和危害程度。尽快分析事件发生原因，根据网络与信息系统运行和承载业务情况，初步判断事件的影响、危害和可能波及的范围，提出应对措施建议。

（3）及时报告信息。事发单位在先期处置的同时要按照预案要求，及时向上级主管部门和网络安全事件应急办公室报告事件信息。

（4）做好事件发生、发展、处置的记录和证据留存。

第五章 各级处理预案

第10条 网站不良信息事故处理预案

（1）一旦发现学校网站上出现不良信息（或者被黑客攻击修改了网页），立刻关闭网站访问。

（2）备份不良信息出现的目录、备份不良信息出现时间前后一个星期内的HTTP连接日志、备份防火墙中不良信息出现时间前后一个星期内的网络连接日志。

（3）打印不良信息页面留存。

（4）完全隔离出现不良信息的目录，使其不能再被访问。

（5）删除不良信息，并清查整个网站所有内容，确保没有任何不良信息，重新开通网站服务，并测试网站运行。

（6）修改该目录名，对该目录进行安全性检测，升级安全级别，升级程序，去除不安全隐患，关闭不安全栏目，重新开放该目录的网络连接，并进行测试，正常后，重新修改该目录的上级链接。

（7）全面查对HTTP日志，防火墙网络连接日志，确定该不良信息的源IP地址，如果来自校内，则立刻全面升级此次事件为最高紧急事件，立刻向领导小组组长汇报，视情节严重程度领导小组可决定是否向公安机关报案。

（8）从事故一发生到处理事件的整个过程，必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。

第11条 网络恶意攻击事故处理预案

（1）发现出现网络恶意攻击，立刻确定该攻击来自校内还是校外；受攻击的设备有哪些；影响范围有多大。并迅速推断出此次攻击的最坏结果，判断是否需要紧急切断校园网的服务器及公网的网络连接，以保护重要数据及信息；

（2）如果攻击来自校外，立刻从防火墙中查出对方IP地址并过滤，同时对防火墙设置对此类攻击的过滤，并视情况严重程度决定是否报警。

（3）如果攻击来自校内，立刻确定攻击源，查出该攻击出自哪台交换机，出自哪台电脑，出自哪位教师或学生。接着立刻赶到现场，关闭该计算机网络连接，并立刻对该计算机进行分析处理，确定攻击出于无意、有意还是被利用。暂时扣留该电脑。

（4）重新启动该电脑所连接的网络设备，直至完全恢复网络通信。

（5）对该电脑进行分析，清除所有病毒、恶意程序、木马程序以及垃圾文件，测试运行该电脑5小时以上，并同时进行监控，无问题后归还该电脑。

（6）从事故一发生到处理事件的整个过程，必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。

第12条 重大事件（活动）期间网络安全保障预案

（1）对国家、各级政府、学校重要敏感时间节点按照上级部门要求或由学校网络安全与信息化领导小组对学校网络安全进行评估、确定所需的网络设备及环境。

（2）必要时刻可关闭相应涉及网络安全的设备与业务信息系统，保障学校网络的畅通与安全。

（3）对重要网络设备提供备份，出现问题需尽快更换设备。

（4）对外网连接进行监控，清除非法连接，出现重大问题立刻向上级部门报告。

第13条 网络设备及主机故障应急预案

（1）发现网络设备或主机发生故障，使得网络应用受到影响后，应由值班人员通知主机系统管理员、网络管理员。

（2）定位故障：对故障设备进行分析，确定故障原因。

（3）排除故障：由主机系统管理员或网络管理员排除故障。

（4）形成故障记录归档。

（5）从事故一发生到处理事件的整个过程，必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。

第14条 外部电源供电中断后的应急预案

（1）外部供电中断后，如因学校内线路故障，应通知后勤维修人员迅速排查恢复。

（2）外部供电中断后，如果是学校外部的原因，由后勤处立即与供电局联系，请供电局迅速恢复供电。

（3）如被告知长时间停电，应做如下安排：

a）预计停电 15分钟以内，由 UPS 供电；

b）预计停电 8小时以内，由发电机组和UPS 供电；

c）预计停电8-12 小时，关掉非关键设备，确保各主机、路由器、交换机供电；

d）预计停电超过12小时，白天工作时间关键设备运行，晚上所有设备停机。

（4）从事故一发生到处理事件的整个过程，必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。

第15条 机房发生火灾时的应急预案

(1) 一旦机房发生火灾，应遵循下列原则：首先保证人员安全；其次保证关键设备、数据安全；三是保证一般设备安全。

(2)人员灭火和疏散的程序是：值班人员应首先切断所有电源，同时通过 119 电话报警。值班人员戴好防毒面具，从最近的位置取出灭火器进行灭火，其他人员按照预先确定的路线，迅速从机房中有序撤出。

（3）从事故一发生到处理事件的整个过程，必须保持向领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。

第六章 信息管理

第16条 信息报告

各学院、处（部）等部门应及时收集、分析、汇总本部门网络与信息系统安全运行情况信息，安全风险及事件信息及时报告我校网络安全事件应急办公室。

第17条 信息报告内容

请参阅附件1。

第七章 后期处置

第18条 后期处置工作按照“谁主管谁负责，谁运行谁负责”的原则，由事发单位负责组织制定恢复、整改或重建方案，报相关主管部门审核实施。

第八章 保障措施

第19条 人员保障

确保在事件发生前的人员值班，事件处置过程和重建中的相关人员在岗。

第20条 技术保障

网络安全事件应急办公室提供技术支持，在事件发生前、发生期间、重建期间，对学院、处（部）等部门进行技术上的指导及支持。

第21条 训练和演练

加强学校信息安全知识的宣传普及，增强用户的安全意识。有针对性地开展应急演练，确保紧急事件发生后，应急预案的有效执行。

第22条 加强我校网络与信息安全人才库和志愿者队伍建设

依托学院、处（部）等部门的信息员，及校内师生，建立我校网络与信息安全事件应急处置网络，发挥学校力量和人才在我校网络与信息安全事件应对工作中的积极作用，提高我校应对紧急事件的能力和水平。

第九章　附 则

第23条　本预案中的条款如与国家有关的法律、法规不一致的，以国家法律、法规为准。

第24条　本预案由现代教育技术与信息中心起草，报学校批准后实施。结合信息网络快速发展和我校的信息化发展状况，配合相关法律法规的制定、修改和完善，适时修订本预案。

第25条　本预案自发布之日起执行。

附件

附件1：

安全事件报告及处理单

记录单编号：     

附件2：