教育数字化知识图谱

第一章 总则

第一条 为建立健全我校网络安全事件应急工作机制，有效预防并科学应对网络安全突发事件，提高网络安全事件处置能力，最大限度地预防和减少网络安全事件造成的损失和危害，确保校园网络和信息系统的正常运行和安全稳定，维护校园正常秩序，保护公众利益，维护国家安全、公共安全和社会秩序，依据《中华人民共和国网络安全法》《国家网络安全事件应急预案》《信息安全技术 信息安全事件分类分级指南》（GB/Z 20986-2007，以下简称“指南”）《教育系统网络安全事件应急预案》等有关法律法规和标准规范，编制《中国医科大学网络安全事件应急预案》（以下简称“本预案”）。

第二条 本预案适用于学校本部网络安全事件的应急处置。学校其他具有独立法人资格的单位应参照本预案制定符合本单位网络安全事件应急处置需要的预案。

第三条 坚持统一领导、分级负责；积极防御、综合防范；快速响应、密切协同；强化能力、科学处置；定期演练、常备不懈；坚持“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，认真落实网络安全主体责任，充分发挥各方面力量共同做好网络安全事件的预防和处置。

第二章 网络安全事件分级

第四条 依据《指南》，本预案中所指网络安全事件是指由于人为原因、软硬件本身缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件。网络安全事件可划分为有害程序事件、网络攻击事件、数据破坏事件、信息内容安全事件、设备设施故障、灾害性事件等基本分类。

第五条 依据《指南》，将安全事件划分为特别重大事件（I级）、重大事件（Ⅱ级）、较大事件（Ⅲ级）和一般事件（Ⅳ级）等四个等级。

第三章 组织机构与职责

第六条 网络安全和信息化领导小组（以下简称“领导小组”）是网络安全事件应急处置领导机构，网络安全和信息化领导小组办公室（以下简称“网信办”）统筹协调组织校内网络安全事件应对工作，建立健全跨部门联动处置机制，党政办公室、党委宣传部、公安处、网络信息中心等职能部门按照职责分工负责相关工作。必要时成立针对具体网络安全事件的应急工作组（以下简称“工作组”），负责特别重大事件、重大事件和较大事件处置的组织指挥和协调。

第七条 学校各单位按照职责和权限，负责本单位网络和信息系统安全事件的预防、监测、报告和应急处置工作。

（一） 网信办负责预案制订、确定事件及响应级别，确定工作组成员组成，处置协调、事件上报等工作；

（二） 党政办公室协调涉密级网络信息泄密类情况的处理；

（三） 党委宣传部负责组织信息内容安全类事件及网络舆情相关情况的监测、研判处置；

（四）网络信息中心负责校园基础网络设施安全，校园网总体安全保障，并为全校网络安全事件处置提供技术支持；

（五）公安处负责依法处置网络安全事件，落实应急防范措施，协调公安机关打击治理网络违法犯罪行为；

（六）其他部门依法承担相应网络和信息系统的网络安全主体责任，按照网信办及工作组要求及时响应和配合网络安全事件处置。

第四章 监测与预警

第八条 网络安全事件预警等级分为四级：由高到低依次用红、橙、黄和蓝色表示，分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。

第九条 各单位按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，组织对本单位建设运行的网络和信息系统开展网络安全监测工作。网络信息中心开展全校网络安全监测，重要监测信息及时报网信办。

第十条 各单位组织对监测信息进行研判，认为需要立即采取防范措施的，应当及时通知网信办，网信办可根据监测研判情况，发布蓝色预警。对可能发生较大及以上等级的网络安全事件情况，网信办应向领导小组报告，并由学校相关部门将有关情况向省教育厅、省公安厅、市公安局等部门通报。

红、橙、黄色预警由领导小组确定后，由网信办发布。信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。

第十一条 预警响应

(一) 红、橙、黄色预警响应

网信办组织预警响应工作，启动相应应急预案，加强网络安全事件监测，对事态发展情况进行跟踪研判，组织指导应急支撑队伍、相关运行单位开展应急准备、风险评估和控制工作，研究制定防范措施和应急工作方案，并根据需要实行24小时值班，保持通信联络畅通。重要情况报省教育厅网信办、省公安厅、市公安局等部门。

(二) 蓝色预警响应

各单位启动相应应急预案，组织开展预警响应。

第十二条 网信办根据实际情况，确定是否解除预警，及时发布预警解除信息。红、橙、黄色预警解除需报请领导小组决定。

第五章 应急处置

第十三条 网络安全事件发生后，网信办应立即启动应急预案，组织指导实施处置并及时报送信息。相关职能部门及责任单位主要负责人及相关人员应第一时间到达现场，紧急研判，采取断网等先期应急处置措施，控制事态，消除隐患，将损害和影响降到最低。同时保存证据，做好信息通报工作。对于初判为较大及以上等级的网络安全事件，网信办应立即报告领导小组，并由学校相关部门将相关情况依规向省教育厅网信办、省公安厅、市公安局等部门报告。

第十四条 网信办组织有关单位收集网络安全事件相关信息、鉴别事件性质、确定事件来源、弄清事件范围、评估事件带来的影响和损害、确认事件类别和等级，并根据事件等级采取相应的应急响应。

(一) Ⅰ、Ⅱ、Ⅲ级响应

学校成立工作组，进入应急状态，做好应急处置工作，履行应急处置工作的统一领导、指挥、协调职责。工作组24小时值班。

处置中需要上级部门网络安全应急技术支撑队伍配合和支持的，工作组予以协调。各单位根据工作组的通报信息，结合各自实际有针对性地加强防范，防止造成更大范围影响和损失。

(二)  Ⅳ级响应

各单位及时、自主进行应急处置，做好处置记录，并报网信办。

第十五条 根据事件分类采取不同的处置方式：

(一) 有害程序及网络攻击事件：判断有害程序及攻击的来源与性质，关闭影响安全的网络设备和服务器设备，断开信息系统与攻击来源的网络物理连接，跟踪并锁定攻击来源的IP地址或其它网络用户信息，修复被破坏的信息，恢复业务。按照事件性质分别采取方案：

① 有害程序或病毒传播：寻找并断开传播源，判断病毒的类型、性质、可能的危害范围；必要时可关闭相应的端口或子网络，以避免产生更大的损失。及时进行杀毒处理。

②入侵攻击：判断入侵的来源，区分外网与内网，评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的，且评价威胁很小的外网入侵，及时关闭入侵的端口，限制入侵的IP地址的访问。对于已经造成危害的，应立即采用断开网络连接的方法，避免造成更大损失和影响。对于内部入侵，查清入侵来源，如IP地址、所在办公室等信息，同时断开对应的交换机端口，针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵或已造成损害的，应及时关闭被入侵的服务器或相应设备。

(二) 信息内容和数据安全事件：检测或接到校内网站出现不良信息报告后，应迅速屏蔽该网站的网络端口或拔掉网络连接线，阻止有害信息传播，查找信息发布人并做好善后处理。对上级部门或公安机关要求我校协查的外网不良信息事件，根据校园网上网相关记录查找信息发布人。当事件可能造成数据破坏或丢失时，应断开相应服务器及主机网络，及时通知相应网络安全主体责任部门介入。

(三) 设备故障事件和灾害性事件：判断故障发生点和故障原因，迅速联系网络信息中心抢修故障设备，优先保证校园网主干网络和主要应用系统的运转。灾害性事件要在保障人身安全的前提下，保障数据安全和设备安全。具体包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。

第十六条 Ⅰ、Ⅱ、Ⅲ级响应结束，工作组提出建议，报领导小组批准后，及时通报省教育厅、省公安厅、市公安局等部门。Ⅳ级响应结束，由事发单位、部门决定，报网信办。

第六章 调查与评估

第十七条 较大、重大和特别重大网络安全事件由工作组组织协调有关部门进行调查处理和总结评估，并按程序上报。一般网络安全事件由事发单位自行组织调查处理和总结评估，并将相关总结调查报告报网信办。总结调查报告应对事件的起因、性质、影响、责任等进行分析评估，提出处理意见和改进措施。

事件的调查处理和总结评估工作原则上在应急响应结束后5天内完成。

第七章 预防工作

第十八条 日常管理

(一) 网络信息中心加强校园网络与信息系统安全管理，做好预警监测体系和通报，及时采取预防性措施，提高网络安全事件的应对能力；

(二)  网络信息中心负责不断健全网络和信息系统的技术防护体系，在校园网出口、数据中心、重要信息系统等边界，加强安全防御，发现异常及时处置并逐级报告；

(三)  学校各单位按职责做好网络安全事件日常预防工作，加强各单位的网络和信息系统安全管理，制定完善的相关应急预案，做好网络安全检查、隐患排查、风险评估等工作。

第十九条 网络信息中心负责组织开展网络安全应急演练，通过演练提高学校应急处置实战能力。

第二十条 党委宣传部、网络信息中心充分利用新媒体等宣传渠道，加强网络安全突发事件预防和处置的有关法律、法规和政策宣传，加强网络安全知识、事件应急处置教育，提高防范意识及技能。

第二十一条 在国家重要活动、会议等重保期间，加强网络安全事件的防范和应急响应，确保校园网络安全。加强校园网络安全监测，及时预警可能造成重大影响的风险和隐患，重点部门、重点岗位保持24小时值班，及时发现和处置网络安全事件隐患，并按要求进行“零报告”。

第八章 保障措施

第二十二条 网络信息中心加强网络安全应急技术支撑队伍建设，不断提高信息安全防范意识和技术水平，提高应急处置能力，做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。

第二十三条 网络信息中心负责加强网络安全应急基础平台和管理平台建设，提升技术防护和应急处置软硬件条件。

第二十四条 各单位、部门要认真履行网络安全主体责任，建立健全应急工作机制。网络安全事件应急处置工作实行责任追究制。要求各单位、部门认真履行网络安全主体责任，认真贯彻落实预案的各项要求与任务。对未有效落实预案各项规定（如迟报、谎报、瞒报、漏报网络安全事件重要情况或者应急管理工作中有失职、渎职行为等）的单位和个人依法依规处理。

第二十五条 学校为网络安全事件应急处置提供必要的资金保障，支持网络安全应急技术支撑队伍建设、基础平台建设、预案演练、物资保障等工作开展。

第九章 附则

第二十六条 本预案自印发之日起实施，由学校网信办负责解释。