一、总则

（一）为保障内蒙古大学的网络与信息安全，提高内蒙古大学整体业务系统和网络的安全性，提升处置网络安全及信息安全突发事件的能力，形成科学、有效、反应迅速的应急工作机制，结合工作实际，制定本预案。

（二）适用范围

本预案所指的网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其它事件。

1.有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其它有害程序事件。

2.网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其它网络攻击事件。

3.信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等导致的信息安全事件。信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等。

4.设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其它设备设施故障。

5.灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。

6.其它事件是指不能归为以上基本分类的网络安全事件。

（三）工作原则

1.统一指挥，快速反应

学校网络安全和信息化领导小组负责统一指挥、协调学校各部门网络与信息突发事件的应急处置工作。建立健全处置网络与信息安全突发公共事件的快速反应机制，确保预警、发现、报告、指挥、处置等环节的紧密衔接，做到快速反应、正确应对、果断处置，防止事态升级和蔓延扩大。

2.分级负责，联防联控

按照联防联控原则，学校各单位（部门）要积极开展网络与信息安全突发公共事件的预防和处置工作。按照“谁主管谁负责”、“谁运维谁负责”、“谁使用谁负责”的原则，强化各单位（部门）党政“一把手”的职责。

3.预防为本，及时控制

立足于防范，抓早抓小，认真开展日常情况下事件排查处置工作，强化信息的广泛收集和深层次研判，争取早发现、早报告、早控制、早解决，把网络与信息安全突发公共事件风险控制在一定范围内。

4.加强保障，重在建设

学校各单位（部门）应建立自己的网络与信息安全应急处置预案，从法规上、制度上、组织上、技术上全面加强保障措施。在处置网络与信息安全突发公共事件过程中，要做到合情合理、依法办事，切实维护师生合法权益。

二、事件分级

（一）特别重大事件(Ⅰ级)

发生严重有害程序事件、网络攻击事件、设备设施故障、 灾害性事件造成全校性网络与信息系统瘫痪；发生严重信息内容安全事件和信息破坏事件，对学校正常教学、科研和管理工作造成特别严重损害，事态发展超出学校控制能力的网络安全事件。

（二）重大事件(Ⅱ级)

发生有害程序事件、网络攻击事件、设备设施故障、灾害性事件造成全校大面积网络与信息系统瘫痪，或发生信息内容安全事件和信息破坏事件，对学校正常工作造成严重损害，事态发展超出学校单一技术部门控制能力，需要学校协调各单位（部门）、上级部门和网信部门协同处置的安全事件。

（三）较大事件(Ⅲ级)

发生有害程序事件、网络攻击事件、设备设施故障、灾害性事件造成学校某一区域网络与信息系统瘫痪，或发生信息内容安全事件和信息破坏事件，对学校正常工作造成一定损害，可由学校网络信息中心牵头组织、处理的安全事件

（四）一般事件(Ⅳ级)

发生有害程序事件、网络攻击事件、设备设施故障、灾害性事件造成学校某一局部网络与信息系统故障，或发生信息内容安全事件和信息破坏事件，对学校某一部门工作造成影响，可由责任单位自行解决处置的安全事件。

三、组织机构与职责

（一）网络安全与信息化领导小组

工作组主要职责：

统一指挥学校网络与信息安全突发公共事件的预防与处置；协调、指导各部门网络与信息安全突发公共事件的预防与处置；研究确定事件性质、类型和级别，确定与其它特定事件应急处置预案的联动，下达应急处置任务；决定必要时成立处置学校重大网络与信息安全突发公共事件专项工作组或调查组，适时开展应急处置和善后恢复工作；决定信息报送的标准、内容以及请求上级部门指示，联系相关单位协助；督查相关部门的处置工作；组织评估重大网络与信息安全突发公共事件所产生的损失与相关的处理情况；工作组成员工作变动后其职责由继任者承担。

（二）学校各单位（部门）主要职责

按照“谁主管，谁负责；谁维护，谁负责；谁使用，谁负责”的原则，参照本预案制定各单位（部门）应急处置预案，承担各自网络与信息安全责任。各单位（部门）负责所属的信息系统和网络的安全，负责制定本单位的相关制度，落实管理人员和配合学校的网络安全有关活动。

网络信息中心负责学校网络与信息安全事件应急处置工作，并负责学校全域流量监测，报告网络安全事件和预警信息，督查各单位（部门）完成网络安全检查和网络安全隐患处理，为全校校园网的网络安全事件应对提供决策支持和技术支撑。

四、应急处置与上报

网络安全事件发生后，事发部门应立即启动应急预案，组织本部门的应急队伍和工作人员根据不同的事件类型和事件原因，采取科学有效的应急处置措施，尽最大努力将影响降到最低，并注意保存网络攻击、网络入侵或网络病毒等证据。

对于发生特别重大（I级）、重大（Ⅱ级）级别的网络安全事件，事发部门应急小组应按要求第一时间上报学校网络安全与信息化领导小组，并由网络安全与信息化领导小组组织成立应急处置小组，上报学校主要领导和分管校领导。同时按程序向学校上级主管部门以及网络安全执法部门报告。

对于发生较大（Ⅲ级）级别的网络安全事件，事发部门应急小组应上报部门主要领导和网络信息中心，由网络信息中心协调配合进行应急处置工作。根据网络安全事件实际情况进行紧急处置。

对于发生一般（Ⅳ级）级别的网络安全事件，由安全事件责任单位自行负责应急处置工作，同时将应急处置和整改情况书面报告报送网络信息中心。

学校应急处置小组或部门应急处置小组应履行处置工作统一领导、指挥、协调的职责，并配合相关人员完成处置工作：

1）控制事态防止蔓延。采取各种技术措施、管控手段，最大限度阻止和控制事态蔓延。

2）消除隐患恢复系统。根据事件发生原因，针对性制定解决方案，备份数据、保护设备、排查隐患。对业务连续性要求高的受破坏网络与信息系统要及时组织恢复。

3）调查取证。应在保留相关证据的基础上，开展问题定位和溯源追踪工作。积极配合应急处置小组、当地网信部门和公安机关开展调查取证工作。

4）信息发布。根据实际情况，组织网络安全突发事件的应急新闻工作，指导协调各单位开展新闻发布和舆论引导工作。未经批准，不得擅自发布相关信息。

5）协调支持。处置中需要技术及工作支持的，由网络安全与信息化领导小组根据实际情况，请求相关部门予以支持。

学校应急处置小组或部门应急处置小组应根据网络安全事件的不同情况和性质，应采取有针对性的应急处置方式：

（一）有害程序事件

及时寻找并断开传播源，判断病毒的类型、性质、可能的危害范围；为避免产生更大的损失，保护健康的计算机，必要时可关闭相应的传播端口或相应网络设备的连接端口，及时进行杀毒处理。

（二）网络攻击事件

判断入侵来源的IP地址，区分外网与内网，对于外网入侵，限制对方IP地址的访问，对于已经造成危害的，应立即采用断开网络连接的方法，避免造成更大损失和影响。对于内网入侵，查清入侵来源，查找相应的计算机和上网用户，同时断开对应的交换机端口。对于无法制止的入侵，应及时关闭被入侵的服务器或相应设备，同时调整入侵防御设备策略。

（三）信息破坏事件

对信息泄露、等问题的检查、巡查，做好信息安全保护工作。重要信息系统的数据应提前做好异地备份，一旦数据遭到破坏性攻击，应立即断开网络连接，进行数据恢复。加强对校内网站的巡查和监测，当网站出现不良信息后，应当保留证据，迅速屏蔽该网站的网络端口或拔掉网络连接线，阻止有害信息的传播，根据网站相关日志记录查找信息发布人并做好善后处理；对公安机关要求学校协查的外网不良信息事件，根据校园网上网相关记录查找信息发布人。

（四）设备设施故障

加强对服务器、交换机、存储等设备的巡查，关注设备设施的CPU、内存、磁盘等重要参数的监测，一旦发生设备设施故障第一时间进行更换，保障设备的正常运行。

（五）自然灾害事件或其它不确定性事件

各单位应根据网络安全事件应急处置预案，结合具体情 况及时处置，保障数据和设备安全。

五、调查与评估

特别重大网络安全事件由学校网络安全与信息化领导小组报请自治区教育厅开展调查处理和总结评估工作。重大网络安全事件根据事发部门属性，由学校网络安全与信息化领导小组开展调查处理和总结评估工作，将调查评估结果向自治区教育厅汇报。较大和一般网络安全事件由事发部门自行组织开展调查处理和总结评估工作，并报学校网络安全与信息化领导小组办公室。同时对网络安全事件总结调查报告应对事件的起因、性质、影响、责任等进行分析评估，提出处理意见和改进措施。

六、预防与监测工作

（一）日常管理

各部门应做好网络安全事件日常预防工作，根据本预案制定完善相关的专项应急预案和配套的管理制度，建立完善的应急管理体制。按照网络安全等级保护、关键信息和基础设施防护等相关要求落实各项防护措施，做好网络安全检查、风险评估,加强信息系统的安全保障能力。

（二）监测预警和通报

网络信息中心对全校网络安全威胁进行检测，建立多方协调的共享机制，通过多种途径监测、发现漏洞、病毒、网络攻击等网络安全威胁信息，将已经发生或存在安全隐患的问题，及时将情况通知相关部门。各部门应立即排查相关情况，及时断网或进行有效处置。

各部门对监测信息进行研判，对发生网络安全事件的可能性及其可能造成的影响进行分析评估，立即采取有效防范措施。认为可能发生重大以上(含重大)网络安全事件的信息，应立即向网络安全与信息化领导小组报告。

各部门应建立本单位的信息系统资产名录，建立信息资产相关制度，对信息资产的申报、部署进行全流程把控，同时应对信息资产开展等级保护测评工作，全面排查安全隐患,及时发现并处置安全威胁，提高发现和应对网络安全事件的能力。

（三）宣传教育

各部门应将网络安全教育作为国家安全教育的重要内容，加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传教育。同时,充分利用网络安全周等各种活动形式和传播媒介,开展网络安全基本知识和技能的宣传活动，提高在校师生的网络安全意识。

七、附则

（一）预案解释

本预案由网络信息中心负责解释。

（二）预案实施时间

本预案自修订发布之日起实施。