第六章 组织机构与职责

第八条 领导机构与职责

  学校网络安全和信息化领导小组（以下简称网信领导小组）统筹协调全校网络安全应急工作，指导学校网络安全事件应急处置。网络安全和信息化领导小组办公室（以下简称为网信办），负责网络安全应急管理事务性工作，向网信领导小组报告网络安全事件情况，提出特别重大网络安全事件应对措施建议，统筹组织网络安全监测工作，指导网络安全支撑单位做好应急处置的技术支撑工作，对接上级主管部门，研判上报事件和预警信息；组织落实网信领导小组、上级主管部门对重特大网络安全事件的响 应处置要求；统一指挥协调较大网络安全事件应对工作；根据需要监督指导一般网络安全事件的应对工作。

笫九条 专项工作组

舆情监控组：由党委宣传部总体负责，负责学校舆情监督与舆论引导，对于涉及师生政治思想方面的倾向性、苗头性的问题，加强分析研判，妥善有效应对。各教学院部党组织负责人、行政单位负责人负责本单位舆情信息监控，学务处、人事处、信息化处配合党委宣传部协同工作。

事件侦破组：由总务处牵头，保卫科负责协调公安机关，信息化处提供技术支持和协助，进行信息网络安全事件的调查取证工作。

宣传外联组：由党委宣传部牵头，融媒体中心配合，负责学校网站建设、网站栏目监督和学校信息内容安全类事件的处置，在事件发生后负责网络安全事件对外宣传发布和外联等工作。

网络技术组：由信息化处牵头，负责对信息网络安全事件处置按照要求提供必要的技术支撑，做好学校日常网络安全事件的监控、预警，在网络安全事件发生时采取阻断、隔离等相关措施，查找攻击源，故障原因、配合后期的调查取证。

第十条 部门职责

各院系、职能部门、附属机构负责具体开展本部门所主管公共平台、信息系统安全运行监测预警和应急处置工作，收集汇总并报告预警和事件信息；对接业务部门，从业务和技术层面支持事件研判和具体应对处置工作，为网络安全事件的应对提供决策支持和技术支撑；负责组织制定本部门所主管公共平台、信息系统的专项应急预案，并定期组织开展专项应急预案演练和培训工作；牵头组织本部门发生的一般网络安全事件的应急响应和处置。

第七章 网络安全事件分类

第十一条 根据网络安全发生的原因， 性质、和机理、将可能发生的网络安全事件分为七类。

（一）有害程序事件：指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。会危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个子类。

（ 二）网络攻击事件：是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、于扰事件和其他网络攻击事件等7个子类。

（三）信息破坏事件：信息破坏是指由于人为因素或偶然事故，使系统的信息被修改，删除、添加、伪造或非法复制，导致信息的正确性、完整性和可用性受到破坏。

（四）信息内容安全事件：指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄露、窃取等而导致的信息安全事件。

（五）设备设施故障事件：指网络系统因计算机软硬件故障、人为误操作等导致业务中断、系统岩机、网络瘫痪等情况。

（六）灾害性事件和其他事件：指因爆炸、火灾、雷击、地震、台风、暴雨等外力因素导致网络系统损坏，造成业务中断、系统岩机、网络瘫痪等情况。

（七）其他事件：是指不能归为以上分类的网络安全事件。

第八章 监测与预警

第十二条 预警分级

建立学校网络安全事件预警制度。按照紧急程度、发展态势和可能造成的危害程度，学校安全事件预警等级分为四级：由高到低依次用红色、橙色、黄色和蓝色表示，分别对应发生或可能发生学校特别重大、重大、较大和一般网络安全事件。

笫十三条 安全、威胁监测

信息化处日常通过多渠道、多技术手段开展网络安全运行监测，发现的事件及时告知学校相关行政单位。各单位核实后，应立即向单位主管校领导报告，不得迟报、谎报、瞒报、漏报。

第十四条 预警研判和发布

信息化处对监测信息进行研判，对发生网络安全事件的可能性及其可能造成的影响进行分析评估，分析判断需要立即采集防范措施，存在发生重大以上（含重大）网络安全事件的信息，应立即向学校网信办报告。

第十五条 预警响应

（一）红色预警

学校网信办组织预警相应工作，联系有关办事机构和单位，组织对事态发展情况及逆行跟踪研判，研究制定防范措施和应急工作方案，协调调度各方资源，做好各项准备，重要情况报告学校网信领导小组。做好与专业机构沟通准备，网络技术组进入待命状态，研究制定应对方案，检查设备，软件工具等，确保处于良好状态。在应急处理期间，有关单位要实行24小时值守，相关人员保持通信联络畅通。

（二）橙色预警

信息化处和相关单位及时开展预警响应工作，做好风险评估、应急准备和风险控制工作。将事态发展情况及时通报网络安全应急办，相关应急技术支撑人员保持联络畅通。

（三）黄色、蓝色预警响应

各单位根据预警信息，组织做好预警响应工作。

（四）预警解除

预警发布单位根据实际情况，确定是否解除预警，及时发布预警解除信息。

第九章 应急响应

笫十六条 网络安全事件应急响应分为I级、II级、III级、IV级四个等级，分别对应学校特别重大、重大、较大和一般网络安全事件。

（一）学校发生特别重大网络安全事件、和重大网络安全事件涉事单位上报网信办，由网信办提出启动I级、II级应急响应、建议，其中I级响应由学校网信领导小组主导成立应急工作组。II级响应由学校网信领导小组办公室主导成立应急办，统一领导、指挥和协调应急相关工作。在响应期间，学校各单位主要落实以下工作：

 1.学校各应急办事机构进入应急状态，启动24小时值守，相关人员必须保持联络畅通。启动I级响应涉事单位派员工参加学校应急办工作。

 2.涉事单位实时跟踪事态发展，并将事态发展变化情况和处置进展情况上报单位主管。同时其他单位应立即全面了解本部门主管的网络和信息系统是否受到事件的波及或影响，并将有关情况及时上报单位主管。

 3.信息化处协助涉事单位整理、汇总上述事态发展和影响范围情况，将相关处置记录和有关重大事项及时上报学校应急工作组和应急办。

 4.各应急办事机构根据学校网络安全事件应急工作组、应急办对特别重大、重大网络安全事件的应对处置决策部署，指挥协调校内相关单位开展应对处置工作。

 5.事件发生单位落实事件应对处置要求，最大限度阻止和控制事态蔓延，根据有关专项应急预案和事件发生原因，协同技术人员、应急队伍或专业机构有针对性的制定解决方案，采取数据备份、保护设备、排查隐患等方式尽快消除隐患，恢复系统正常运行。对业务连续性要求高的受破坏网络和信息系统，要及时组织恢复。

 6.信息化处组织相关单位、技术人员、专业机构等，在保留有关证据的基础上，依法合规开展问题定位和溯源追踪工作，并协调配合网信部门和公安机关开展的调查取证工作。

 7.未经批准，学校任何人员不得擅自发布相关信息。

（二）III级和IV级响应由涉事单位根据网络安全事件类型自行响应处置。

第十章 应急处置

笫十七条 应急处置步骤

（一）网络技术组确定网络安全事件类型、影响范围和影响程度，展开调查，留存事件发生时网络信息，保存各类日志记录，追溯信息源，并出具书面报告。报告包括事件发生时间、地点、安全事件类型、涉及的设备IP地址、管理人、操作系统、应用服务。根据应急处置措施对网络进行断网、关闭、删除、隔离等操作，并配合公安机关取证。

（二）技术侦察组根据网络技术组的报告查找网络安全事件当事人，学务处和人事处配合，并负责向公安机关报告。如果当事人为校外人员的，直接报公安机关处理。

（三）宣传外联组负责事件的宣传和报道工作，承担与国内其他重要新闻网站的联系工作，并及时向上级及有关部门报告。

（四）舆情监控组对相关事件进行跟踪，防止事态通过网络蔓延发酵，密切关注事件动向，进行舆论引导。

笫十八条 应急处置措施

（一）网络攻击入侵事件

 1.网络技术组工作人员将受害设备实施网络隔离，阻断入侵IP,保护现场。

 2.登录设备进行分析，清除攻击威胁，收集日志，回溯攻击过程，出具分析报告存档，将有关情况向应急办汇报。

 3.恢复与重建被攻击或破坏的系统。

（二）有害程序事件

 1.业务系统管理员断开受害设备网络，进行网络隔离。

 2.启用防病毒软件对该机进行杀毒处理，同时使用防病毒软件对同网段设备进行全盘扫描和查杀工作。

 3.如果现有杀毒软件无法清除该病毒，应立即向应急办报告，迅速联系有关产品厂商研究解决。

 4.病毒查杀完毕后，问题单位做好其他同网段设备病毒查杀工作。

（三）信息破坏事件

 1.重要软件系统日常管理需要在本机或异地至少保留一份数据备份。

 2.软件系统或数据库遭到破坏性攻击，网络技术组配合业务系统管理员恢复备份数据，同时停止该系统的对外服务。

 3.数据恢复期间，检查信息系统日志等资料，确定破坏程度，完成溯源，并将有关情况向应急办汇报。

 4.如果本机数据或备份数据都无法进行恢复，应向有关技术支持厂商请求紧急支援。

（四）信息内容安全事件

 1.对于学校网站出现信息泄露、被篡改、暗链、涉黄、涉赌时，网络技术组关停下线问题站点，并通报情况至学校融媒体中心。

 2.网络技术组对于出现问题的网页，核实问题点，做好事件截图。融媒体中心对问题网页进行删除。

（五）设备设施故障事件

 1.服务器、机房空调等关键设备损坏后，网络技术组查明损坏的部件。

 2.有备件情况下，立即使用备件替换受损部件。

 3.没有备件，与设备提供商联系，请求派遣维保人员现场维修。

 4.如果设备一时不能修复，应向应急办汇报情况。

（六）其他灾害性事件和其他事件

 发生自然灾害后，首先组织人员撤离现场。当确认灾害不会造成人身伤害后，回到现场检查设备，评估灾害受损范围，向应急办汇报情况，联系相关网络和设备厂家，积极做好灾后恢复工作，确保在最短时间内恢复设备正常运行。

第十一章 调查与评估

笫十九条 特别重大网络安全事件由网信办组织有关单位开展调查处理和总结评估工作，并将调查评估结果汇总上报网信领导小组。重大网络安全事件由网信办组织开展调查处理和总结评估工作。较大和一般网络安全事件由事发单位自行组织开展调查处理和总结评估工作。网络安全事件总结调查报告应对事件的起因、性质、影响、责任等进行分析评估，提出处理意见和改进措施。网络安全事件的调查处理和总结评估工作应在应急响应结束后5天内完成。

第十二章 预防工作

笫二十条 日常管理

学校各单位要做好网络安全事件日常预防工作，做好安全检查、隐患排查和系统数据的容灾备份，健全网络安全信息通报机制，及时采取有效措施，减少和避免网络安全事件的发生及危害，提高应对网络安全的能力。

第二十一条 监测预警和通报

信息化处网络安全技术人员日常要做好对于安全平台的威胁信息的监测和分析研判，关注上级单位安全平台发出的漏洞通报和安全预警，及时响应，及时预警，有计划的对于校内重点业务系统，尤其是对公网开放的信息系统进行详细的漏洞扫描，中高危以上漏洞必须立刻处理反馈，以降低信息资产的脆弱性。重点时期，梳理关闭部分对公网开放的业务系统，信息化处在此重要时期，岗位保持24小时安全值班，做到及时发现和处置网络安全隐患。

笫二十二条 宣传教育

党委宣传部、信息化处做好日常网络安全知识的培训和宣传，充分利用网络安全宣传周等各种活动形式和传播媒介，开展网络安全基本知识和技能的宣传活动，提高师生对于网络安全的防范意识和防护技能。

笫二十三条 工作培训

学校定期组织网络安全培训，将网络安全事件的应急知识列为领导干部和有关人员的培训内容，加强网络安全特别是网络安全事件应急预案的学习，提高网络安全管理人员、技术人员的防范意识和安全技能。

第二十四条 应急演练

为检验应急预案有效性，并使相关人员了解应急响应流程和有关要求，在不影响信息系统正常业务运行的情况下，学校每年至少组织一次应急演练，并根据演练情况检验和完善应急预案，提高实战能力。演练前应预先制定演练计划，在计划中说明演练的场景。演练的整个过程应有详细的记录，并形成报告提交网络安全主管。

第十三章 责任追究

笫二十五条 分级处理原则

根据网络安全违规的性质及造成的后果确定问责处理等级，分级处理，对触犯法律法规的，报送司法机关处理。

笫二十六条 主管承担管理责任原则

违规行为发生时的违规人直接管理者和间接管理者若存在管理不力或知情不作为等情形的，违规人的直接管理者和间接管理者须承担管理责任。