1 总则

1.1目的

为了切实做好湖北财税职业学院（以下简称学院）网络安全事件的防范和应急响应工作，进一步提高学院预防和控制信息安全事件的能力和水平，减轻或消除信息安全事件的危害和影响，确保学院的网络信息系统安全，结合学院的实际情况，制定本应急预案。

1.2 编制依据

《中华人民共和国计算机信息系统安全保护条例》

《中华人民共和国计算机信息网络国际联网安全保护管理办法》

《国家信息化工作领导小组关于加强信息安全保障工作的意见》

《关于信息安全等级保护工作的实施意见》

《中华人民共和国突发事件应对法》

《中华人民共和国网络安全法》

《上级有关单位突发事件总体应急预案》

《国家突发公共事件总体应急预案》

《突发事件应急预案管理办法》

《信息安全技术信息安全事件分类分级指南》（GB/Z 20986-2007）

《湖北省教育系统网络安全事件应急预案》鄂教科办﹝2019﹞1号

1.3 适用范围

适用于学院网络安全突发事件的应急处置和应急救援工作。

2 应急处置基本原则

遵循“安全第一，预防为主，综合治理”的方针，坚持防御和救援相结合的原则。统一领导、分工负责、加强联动、快速响应，最大限度地减少突发事件造成的损失。

3 事故类型和危害程度分析

3.1 事故风险的来源、特性

通过危险源辨识和风险评估，在学院教学过程中，存在如下安全风险，可能会导致网络安全突发事件。

3.1.1 由于自然灾害引起的网络与信息系统安全事故。

3.1.2 由于事故灾难引起的网络与信息系统安全事故。

3.1.3 由于人为破坏引起的网络与信息系统安全事故。

3.2 事故类型、影响范围及后果

3.2.1 自然灾害：指地震、台风、雷电、火灾、洪水等。

3.2.2 事故灾难：指电力中断、网络损坏或者是软件、硬件设备故障等。

3.2.3 人为破坏：指人为破坏网络线路、通信设施，黑客攻击，病毒攻击，恐怖袭击、战争等。

4 事件分级

网络与信息安全突发事件等级执行统一标准，事件等级分为四级，即特别严重（一级）、严重（二级）、较重（三级）和一般（四级）。对应颜色为红色、橙色、黄色、蓝色。

4.1 特别严重事件（红色）： 指发生的网络与信息安全事件，可能影响单位内全范围所有网络和主营业务系统，并有扩散到单位全网的可能性。如：由于病毒攻击、非法入侵、人为破坏或不可抗力原因，造成网络出口中断；由于病毒攻击、非法入侵等原因，造成网络整体瘫痪，或者内部网络主DNS服务器、门户Web服务器无法正常工作；内部网络用户在内网建立非法网站提供危害国家和社会安全的信息，在社会上造成实质性危害的，或者利用网络组织危害国家和社会的行动等。

4.2 严重事件（橙色）： 指发生的网络与信息安全威胁，可能影响单位范围内多个部门的网络和主营业务系统，并有继续扩散的可能性。如：由于病毒攻击、非法入侵等原因，网络大面积出现瘫痪，或者邮件、网站服务器不能正常访问；利用网络散布信息，煽动危害国家和社会的行动，尚未造成实质性危害的。

4.3 较重事件（黄色）： 指发生的网络与信息安全威胁，可能影响单位范围内多个部门的网络和主营业务系统，但无扩散性。如：由于病毒攻击、非法入侵等原因，网络部分区域出现网络瘫痪，或者FTP及部分网站服务器不能响应用户请求；网络提供信息交互能力的服务出现非法信息，但尚未在内部和社会造成广泛影响的。

4.4 一般事件（蓝色）： 指发生的网络与信息安全威胁，只可能影响单位范围内 1个或个别部门的网络和主营业务系统，且无扩散性。如：由于病毒攻击、非法入侵等原因，网络某个区域出现网络故障，或者FTP及个别网站服务器不能响应用户请求的。

5 应急响应工作机构及职责

学院应急响应工作机构按角色划分为2个功能小组：应急响应领导小组，应急响应处置小组。信息安全事件发生后，在应急响应领导小组的统一部署下，工作人员各司其职，并严格按照应急响应预案组织实施如下应急响应工作。

5.1 应急响应工作机构

5.1.1 应急响应领导小组

组 长：张亮

副组长：石玉红

成 员：学院办公室、组织人事处、监察室、保卫处、教务处、实训与国际合作中心、图书科研处、学生工作处、招生与就业指导处、继续教育处、后勤财务处负责人

5.1.2 应急响应处置小组

联络保障组 学院办公室专责人员

安全保卫组 保卫处专责人员

系统应急组  实训与国际合作中心专责人员

硬件应急组  实训与国际合作中心专责人员

网络应急组 实训与国际合作中心专责人员

5.2应急响应工作机构的职责

5.2.1应急响应领导小组职责

对网络安全应急事件进行全面的分析研究，制定工作方案，提供人员和物资保证，指导和协调各部门实施网络安全应急预案，处置各类危害网络安全的突发事件，审核批准应急响应策略，审核批准应急响应预案，批注和监督应急预案的执行，指导应急响应实施小组的应急处置工作，定期评审、修订应急预案等工作。

5.2.2应急响应处置小组职责

根据网络安全事件的发展态势和实际控制需要，具体实施现场应急处置工作，安排如下：

联络保障组：

（1）负责向上级部门及时通报事件的发生时间、发生地点、当前情况。

（2）负责向新闻媒体发布相关信息，做好维稳工作。

（3）负责应急事件处理过程中的资源调配。

（4）负责应急事件的事后总结和汇报。

安全保卫组

（1）负责维持应急事件的现场秩序、现场警戒。

（2）负责保护应急人员的人身安全和设备安全。

（3）负责对接公安机关等政府机关的安全保卫工作。

系统应急组：

（1）负责操作系统的安装、配置、备份和恢复等工作。

（2）负责数据库系统的安装、配置和数据库恢复、迁移等工作。

（3）负责应用软件的中间件配置、JAVA环境等环境配置、应用软件的部署和调试。

（4）负责虚拟机的新建、迁移、配置、镜像克隆等。

硬件应急组：

（1）负责机房的市电和UPS供电快速恢复和发电机的启动。

（2）负责空调的启动、配置功能和故障排除。

（3）负责机房的报警主机和灭火器的故障排除和现场灭火。

（4）负责服务器硬盘、存储控制器、服务器光驱、服务器硬盘、鼠标和显示器等故障排除和更换。

网络应急组：

（1）负责互联网线路和专线线路的故障排查和维护。

（2）负责交换机、路由器、网闸、防火墙等网络设备和安全设备的调试、网线和光纤的准备、网络连通性测试等。

（3）负责网闸、防火墙等安全设备的策略配置和策略验证。

（4）负责日志审计系统、数据库审计、堡垒机的日志分析和追溯。

6 预防与预警

6.1 日常预防工作。各部门按职责做好网络安全事件日常预防工作，制定完善相关应急预案，做好网络安全检查、隐患排查、风险评估和容灾备份，健全网络安全信息通报机制，及时采取有效措施，减少和避免网络安全事件的发生及危害，提高应对网络安全事件的能力。

6.2 学院现有和以后新建的网络通信平台、应用平台和信息系统，参照国家有关信息安全等级保护的要求，按照最终确定的等级保护采取相应的安全保障措施。不断完善网络安全防御系统，包括防火墙、入侵检测系统、网络杀毒系统，分布式防御系统等，并对网络设备的安全性进行合理配置，根据实际需要做好升级更新工作。

6.3 建立健全事件预警机制，严格执行网络安全管理制度。重点加强对门户网站等重点信息系统的监测、监控和安全管理，做好数据日志记录，设立内容过滤系统，对可能引发的网络安全事件的有关信息，要认真收集、分析、判断，发现有异常情况时，及时处理并逐级报告。

6.4 做好服务器及数据中心的数据备份及登记工作，建立灾难性数据恢复机制。一旦发生网络安全事件，立即启动应急预案，采取应急处置措施，判断事件危害程度，并立即将情况向有关领导汇报。在处置过程中，应及时汇报处置工作进展，直至处置工作结束。

6.5特殊时期，可根据应急响应领导小组的统一要求和部署，组织专业技术人员对网络和信息系统数据采取加强型保护措施，对网络进行不间断的监控。

6.6培训和演练

各部门要将网络安全事件的应急知识列为职工的培训内容，加强网络安全特别是网络安全应急预案的培训，提高防范意识及技能。

应急领导小组应组织有关部门定期进行演练，检验和完善预案，提高实战能力。各部门每年至少组织一次预案演练，并将演练情况报应急领导小组。

6.7宣传

各部门应充分利用各种有效的宣传形式，加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传，开展网络安全基本知识和技能的宣传活动。

6.8重要活动期间的预防措施

在国家重要活动、会议期间，各部门要加强网络安全事件的防范和应急响应，确保网络安全。应急领导小组统筹协调网络安全保障工作，根据需要要求有关部门启动红色预警响应。有关部门加强网络安全监测和分析判断，及时预警可能造成重大影响的风险和隐患，重点部门、重点岗位保持24小时值班，及时发现和处置网络安全事件隐患。

7 应急响应

7.1 信息报告

网络安全事件发生以后，应立即通知网络安全领导小组负责人使其能够准确确定事态的严重程度和下一步将要采取的行动。在损害评估完成后，通知应急响应领导小组。应急响应领导小组在决定启动应急响应后，通知应急响应实施小组负责人。收到应急响应领导小组的通知后，小组负责人应及时通知各小组成员，并将适当信息通报小组成员，小组成员做好应急响应和抢修的准备工作。

7.2 响应分级

按照网络安全事故的严重程度和影响范围，应急响应级别分为4级响应。

7.2.1 I级响应

由于网络信息系统瘫痪和失控造成或可能造成学院负有责任的网络安全事故、特大或产生严重负面影响的突发事件。

7.2.2 Ⅱ级响应

由于网络信息系统瘫痪和失控造成或可能造成学院重大设备事故或产生重大负面影响的突发事件。

7.2.3 Ⅲ级响应

由于网络信息系统瘫痪和失控造成或可能造成学院产生较大负面影响的突发事件。

7.2.4 Ⅳ级响应

造成或可能造成网络信息系统主要功能故障。

7.3 响应程序

7.3.1 该预案由应急响应小组组长宣布启动。

7.3.2 迅速组织召集各专业应急小组负责人，部署应急处置工作。

7.3.3 各小组负责人在接到应急预案启动命令后，立即召集全部应急处置小组成员进入现场进行应急处理或待命，严格按照职责分工进行应急处理。

7.3.4对于特别重大（一级）、重大（二级）事件，应按照快速有序的原则启动应急，并由应急响应领导小组发布应急响应启动令。对于一般（四级）事件，通过日常监测和维护就可以解决的安全事件不需启动应急响应，由网络安全领导小组相关责任人直接处理。

7.4 应急处置

应急响应预案启动以后，应急响应实施小组应立即采取相关措施抑制信息安全事件的影响，避免造成更大的损失。根据信息安全事件的分类，初步确定应急处置方式，区别对待。

7.4.1 灾害事件：根据实际情况，在保证人身安全的前提下，保证数据安全和设备安全。具体方法包括硬盘的更换与保存，设备断电与拆卸搬迁等。

7.4.2 故障或攻击事件：判断故障或攻击的来源和性质，关闭影响安全和稳定的网络设备和服务器设备，断开信息系统和攻击源的网络物理连接，跟踪并锁定攻击来源的IP地址和其他网络用户信息，修复被破坏的信息，恢复信息系统。

7.4.3 病毒传播:及时寻找并断开传播源，判断病毒的类型、性质、可能的危害范围；为避免产生更大的损失，保护健康的计算机，必要时可关闭相应的端口，甚至相应楼层的网络，及时请有关技术人员协助，寻找并公布病毒攻击信息，以及杀毒、防御方法。

7.4.4 外部入侵：判断入侵的来源，区分外网与内网，评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的，定位入侵的IP地址，及时关闭入侵的端口，限制入侵的IP地址的访问。对于已经造成危害的，应立即采用断开网络连接的方法，避免造成更大损失和带来恶劣影响。

7.4.5 内部入侵：查清入侵来源，如IP地址、所在办公室等信息，同时断开对应的交换机端口，针对入侵方法调整或更新人侵检测设备。对于无法制止的多点入侵和造成损害的，应及时关闭被入侵的服务器或相应设备。

7.4.6 网络故障：判断故障发生点和故障原因，能够迅速解决的尽快排除故障;优先保证主要应用系统的运转，

7.4.7 其他没有列出的不确定因素造成的灾害，可根据总的安全原则，结合具体的情况，做出相应的处理。不能处理的可以联系相关的专业人员或第三方网络安全单位请求协助。

7.4.8 对于当前应急预案未包括的应急事件发生后，应在后期对本应急预案进行补充，并对应急计划进行不断的完善、修订。

8 后期处置

8.1 信息系统重建

在应急处置工作结束后，要迅速采取措施，抢修受损的基础设施，减少损失，尽快恢复正常工作。通过统计各种数据，查明原因，对网络安全事件造成的损失和影响以及恢复重建工作进行分析评估，认真制定重建计划，迅速组织实施信息系统重建。

8.2 保险理赔

财务科负责核算救灾发生的费用及后期保险和理赔等工作。

8.3 事故调查与应急评估

8.3.1 按照国家法律、法规规定组成事故调查组进行事故调查。事故调查坚持实事求是、尊重科学的原则，客观、公正、准确、及时地查清事故原因、发生过程、恢复情况、事故损失、事故责任等，提出防范措施和事故责任处理意见。

8.3.2 组织或聘请有关专家对事件应急处置过程进行评估，并形成评估报告。评估报告的内容应包括：事故发生的经过、现场调查结果；事故发生的主要原因分析、责任认定等结论性意见；事故处理结果或初步处理意见；事故的经验教训；存在的问题与困难；改进工作的建议和应对措施等。

8.4 应急工作总结与评价

网络安全事件所涉及的相关部门应及时总结应急处置工作的经验和教训，对故障所做的技术分析以及各部门采取的整改措施开展技术交流，进一步完善和改进突发事件应急处置、应急救援、事故抢修等保障体系，提高整体应急处置能力。

9 应急保障

9.1 技术支撑队伍。加强网络安全应急技术支撑队伍建设，做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。支持网络安全企业提升应急处置能力，提供应急技术支援。各部门应配备必要的网络安全专业技术人才，并加强与国家网络安全相关技术单位的沟通、协调，建立必要的网络安全信息共享机制。

9.2 社会资源。加强与教育科研机构、企事业单位、协会的沟通联系，借调与借用社会上的网络安全人才与专家队伍，汇集技术与数据资源，建立网络安全事件应急服务体系，提高应对特别重大、重大网络安全事件的能力。

9.3 基础平台。各部门加强网络安全应急基础平台和管理平台建设，做到早发现、早预警、早响应，提高应急处置能力。

9.4 技术更新。各部门加强网络安全防范技术更新，不断改进技术装备，为应急响应工作提供技术支撑。加强政策引导，重点支持网络安全监测预警、预防防护、处置救援、应急服务等方向，增强防范和处置网络安全事件的支撑能力。

9.5 物资保障。加强对网络安全应急装备、工具的储备，及时调整、升级软件硬件工具，不断增强应急技术支撑能力。

9.6 经费保障。财务部门为网络安全事件应急处置提供必要的资金保障。相关部门利用现有政策和资金渠道，支持网络安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、技术研发、预案演练、物资保障等工作开展。为网络安全应急工作提供必要的经费保障。

9.7 责任与奖惩。网络安全事件应急处置工作实行责任追究制。单位和部门对网络安全事件应急管理工作中作出突出贡献的先进集体和个人给予表彰和奖励。对不按照规定制定预案和组织开展演练，迟报、谎报、瞒报和漏报网络安全事件重要情况或者应急管理工作中有其他失职、渎职行为的，依照相关规定对有关责任人给予处分；构成犯罪的，依法追究刑事责任。

10 附则

10.1 预案备案

本预案报湖北省教育厅。

10.2 预案修订

本预案原则上每年评估一次，根据实际情况适时修订。修订工作由网络安全领导小组负责。

10.3 制定与解释

本预案由学院制定与解释，自印发之日起实施。

湖北财税职业学院

2019年10月1日