第一章 总则

第一条  指导思想：减轻和消除网络安全突发时间造成的危害和影响，维护学校的安全和稳定，“统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全”。

第二条  适用范围：校园网。

第三条  处置原则：快速、有效。

第二章 组织指挥和职责任务

第四条  组织指挥由学校网络安全和信息化领导小组或其授权的领导组织指挥。

第五条  职责任务：及时向上级汇报。各二级学院（部）、处室应配合信息与设备管理处技术人员进行技术处理，无法处理的应完整的保护现场并及时通知相关部门。

第三章 处置措施和处置程序

第六条  处置措施：

一、在严重情况下，值班人员及时上报，并通过技术手段切断校园网络与外界的连接；

二、通知网络管理人员；

三、物理隔离出现安全事故的设备，复制相关日志，并进行适当的技术处理以保持现状。

第七条  处置程序：

一、发现情况：校内值班人员监控网页的互动栏目、主要网页异动，充分利用高科技手段尽早发现网络病毒、入侵、反动邮件等网络安全事故；

二、预案启动

当出现以下所列情况之一时，确认已达到应急情况标准，并迅速启动相应的应急处理程序：

(一)学校网站主页被篡改；

(二)网站、网页出现非法言论；

(三)学校重大事件网络保障；

(四)校园网络出现大面积病毒传播；

(五)软件系统遭受破坏性攻击；

(六)数据库系统出现故障；

(七)校园网出口线路中断；

(八)校园网大范围中断；

(九)关键应用服务器或核心网络设备故障；

(十)网络中心机房市电中断；

(十一)学校重大网络安全事件。

三、应急处置：尽可能保持现场，在安全事故发现后10分钟响应，在30分钟内必须按规定的处置措施进行处理；

四、情况报告：在技术人员采取相应的应急措施后，各值班人员要负责及时将备案汇总向校办报告。校办根据实际情况，向当日值班校领导、主管校领导汇报；

五、发布预警：在学校网络安全和信息化领导小组的部署下，向相关职能部门发布预警；

六、预案终止：技术人员根据事件处理的结果或领导指示，恢复网络连接及其相应措施以终止预案恢复正常使用。

第四章 保障措施

第八条  人员保障：敏感期间，安排24小时专人值班。各二级单位安排专人24小时监控网页的互动栏目等。

第九条  技术保障：

一、防火墙系统、网页内容过滤器、网络防病毒系统；网管人员可通过远程网管环境及时反应；已购买网络安全产品厂家的远程技术支持。网页的互动栏目采用先审后发机制；

二、网络出口限制

使用防火墙或代理服务器对网络出口实现服务限制，不开放任何无用的网络端口，不允许没有限制的机器直接接入校园网，把问题最大限度地局限于校园网内部解决，决不允许影响到教育网骨干网络；

三、完备网络档案

完备的网络档案包括网络综合布线信息点分布表，配线间的数目和位置，防火墙、路由器、交换机等网络设备及服务器的保密配置信息，现有网络拓扑结构，网内部门及用户的实名制使用表，实名制的IP地址分配表等，这些资料的完备有利于网络内部用户的快速定位和故障处理；

四、网络审计

在有限制开放网络服务的前提下，对网络服务进行源地址、目标地址和访问时间等的全程记录，密切关注校园网内部的一切网络动态，提前检测可疑网络行为；

五、网络流量监控

配置从服务器到工作端的全网流量监控系统，结合网络档案，可以根据各具体真实IP地址的流量做出相应的响应，对网络流量异常的设备要密切关注，提高警惕；

六、日志服务器

对网络及服务器设备的日常运行日志进行收集和统一管理工作，防止不法分子在入侵某个具体设备的同时撰改日志记录，从而影响对问题的判断和解决；

七、数据备份系统

对有重要数据的服务器要进行异地备份处理，在相应服务器设备出现问题时，要有灾难数据恢复的备案，保证重要数据的安全。

第十条  物质保障：关键岗位配备可移动电话，保证24小时开机。

第十一条  训练和演练：通过校内各种宣传形式对师生员工进行正面引导、宣传并落实威尼斯官网关于网络安全的各项规章制度。各二级单位安排人员参加公安部门的网络安全培训。敏感时期之前，在学校网络安全和信息化领导小组统一部署下，安排全校范围演练。

第十二条  处理预案：

一、网站主页或重要网站被篡改时的紧急处理措施

(一)学校官方网站由相关建设维护人员密切关注网页内容及服务器状态，每天检查不少于3次；非常时期，每半小时监控一次；必要时，24小时监控；

(二)发现被网页篡改或服务器被他人控制等严重异常情况时，立即切断网站服务器网络的物理连接，确保问题页面不能再次被访问，截停非法信息及应用通过网络传播；

(三)关闭问题服务器，对相关问题服务器进行整体备份，保留问题环境；

(四)在封闭环境下启动问题服务器，通过技术手段查找攻击来源，分析攻击手段，保存相关日志，存留证据；

(五)通知相关人员进行对网站及服务器系统进行修复，封堵漏洞、强化安全措施后，将被攻击的服务器设备接入网络，恢复应用系统正常运行，并更新相关信息数据；

(六)整理事件的完整记录，做好日志文件存档；

(七)按程序上报学校网络安全和信息化领导小组；

(八)造成损失的由网络安全和信息化领导小组根据情况决定是否向公安机关报案，请求协助。

二、网站、网页出现非法言论时的紧急处置措施

(一)网站、网页由各相关使用部门的具体负责人员随时密切监视信息内容。每天不少于5次；非常时期，每半小时监控一次；必要时，24小时监控；

(二)发现网上出现非法信息时，立即向网络安全和信息化领导小组通报情况；情况紧急的应先及时采取删除等处理措施，再按程序报告；

(三)信息与设备管理处应急处置人员应在接到通知后十分钟内进行处理，作好必要的记录，清理网站上的非法信息，强化安全防范措施后方可将网站网页重新投入使用；

(四)应急处置人员应妥善保存有关记录及日志或审计记录；

(五)应急处置人员应立即追查非法信息来源，根据来源采取对应措施：

1.若非法信息来源于校内，确定具体人员及设备后，联合学校保卫科进行处理，同时报告学校网络安全和信息化领导小组负责人，根据管理制度对非法传播者及时处置；

2.若非法信息来自于校外，立即报知告网络安全和信息化领导小组，根据情况决定是否上报公安部门，并由技术人员将这些信息保存、记录IP地址，以备上级公安部门调用。

(六)事件处理过程中随时向网络安全和信息化领导小组汇报，解释此次事故的发生情况、发生原因、处理过程。

三、学校重大事件网络保障处理预案

(一)对学校重大事件（如校庆、评估等对网络安全有特别要求的事件）进行评估、确定所需的网络设备及环境；

(二)关闭其它与该网络相连，有可能对该网络造成不利影响的一切网络设备及计算机设备，保障该网络的畅通；

(三)提前准备好重要网络设备的备份，出现问题立即更换备用设备，保障应用运行尽量不中断；

（四）对外网连接进行监控，清除非法连接，出现重大问题立刻向网络安全和信息化领导小组汇报；

（五）事先应向网络安全和信息化领导小组汇报本次事件中所需用到的设备、环境，以及可能出现的事故及影响，在事件过程中出现任何问题应立刻向网络安全和信息化领导小组汇报。

四、计算机网络病毒安全紧急处置措施

(一)当发现校园网络上大规模出现病毒，并影响网络的正常运行后，应立即采取技术手段控制受影响范围，确定受病毒感染的终端设备及其所在的网络位置;

(二)通过技术手段将感染病毒设备和校园网络隔离，并联系设备使用者或所有人清除病毒，由技术人员鉴定病毒彻底清除后方允许该设备再次接入网络;

(三)相关岗位技术人员要针对该款病毒进行研究，记录病毒发作特征，制定防范方案，向全校通报，预防类似事件重复发生。

五、软件系统遭受破坏性攻击的紧急处置措施

(一)重要的软件系统平时必须存有备份，与软件系统相对应的数据必须有多日备份，并将它们保存于安全处；

(二)一旦软件遭到破坏性攻击，应立即停止软件系统；

(三)网络管理人员负责软件系统和数据的恢复；

(四)网络管理人员检查日志等资料，确认攻击来源；

(五)网络安全和信息化领导小组认为情况极为严重的，应立即向公安部门报告。

六、数据库安全紧急处置措施

(一)各数据库系统要至少准备两个以上数据库备份，一份本地备份，一份作为异地备份；

(二)如果遭遇数据库崩溃情况，应急处置组人员应对主机系统进行维修，如遇无法解决的问题，立即向上级单位或软硬件提供商请求支援；

(三)系统修复启动后，将第一个数据库备份取出，按照要求将其恢复到主机系统中；

(四)如因第一个备份损坏，导致数据库无法恢复，则应取出第二套数据库备份加以恢复；

(五)如果两个备份均无法恢复，应立即向有关厂商请求紧急支援，并向网络安全和信息化领导小组汇报。

七、校园网出口线路中断紧急处置措施

(一)广域网线路中断后，网络管理员接到报告后，应迅速判断故障节点，查明故障原因；

(二)如属威尼斯官网管辖范围，由网络管理员予以恢复。如遇无法恢复情况，立即向有关厂商请求支援；

(三)如属电信部门管辖范围，立即与电信维护部门联系，请求修复。

八、校园网大范围中断紧急处置措施

(一)局域网出现大范围中断现象后，网络管理员应立即判断故障节点，查明故障原因；

(二)如属线路故障，应重新安装线路；

(三)如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调试畅通；

(四)如属路由器、交换机等网络设备故障，应立即调换备机。如无备机，立即联系设备提供商更换设备，并调试畅通，并向网络与信息安全领导小组领导汇报。

九、关键应用服务器核心网络设备故障安全紧急处置措施

(一)服务器等关键设备损坏后，网络管理人员应立即查明原因；

(二)如果能够自行恢复，应立即用备件替换受损部件；

(三)如果不能自行恢复的，立即与设备提供商联系，请求派维修人员前来维修；

(四)如果设备一时不能修复，应向网络安全和信息化领导小组汇报，说明情况。

十、网络中心机房外电中断后的处置措施

(一)外电中断后，机房会自动切换到备用电源；

(二)检查断电原因，如因内部线路故障，请学校后勤部门协助迅速恢复；

(三)如果是供电局的原因，应立即与供电局联系，请供电局迅速恢复供电；

(四)如果供电局告知需长时间停电，应做如下安排：

1.预计停电半小时以内，由UPS供电；

2.预计停电一小时以上三个小时以内，关闭非关键设备，确保各主机、路由器、交换机供电；

3.预计停电超过三小时，则关闭所有的设备,待市电恢复后重新开机。

十一、学校重大网络事件处理预案

(一)对学校重大事件（如校庆、毕业典礼等对网络安全有特别要求的事件）进行评估、确定所需的网络设备及环境；

(二)关闭其它与该网络相连，有可能对该网络造成不利影响的一切网络设备及计算机设备，保障该网络的畅通；

(三)对重要网络设备提供备份，出现问题需尽快更换设备；

(四)对外网连接进行监控，清除非法连接，出现重大问题立刻向上级部门求救；

(五)事先应向网络安全和信息化领导小组汇报本次事件中所需用到的设备、环境，以及可能出现的事故及影响，在事件过程中出现任何问题应立刻向网络安全和信息化领导小组汇报。

第五章 工作要求

第十三条  所有值班人员必须坚持在岗、保证通讯畅通、工作认真负责。

第十四条  及时更新服务器的防病毒软件病毒库，对校内用户建立快速的病毒响应处理、技术支持。定期对所有服务器进行全方位的漏洞扫描、及时进行重要系统的补丁修复。

第十五条  加强对校园网内计算机设备的管理，加强对学校网络的使用者（学生和教师）的网络安全教育。加强对重要网络设备的软件防护以及硬件防护，确保正常的运行软件硬件环境。

第十六条  服务器严格进行端口限制、使用限制，专职专用。连接重要服务器集群的交换机要配置端口隔离，不允许服务器之间互相访问。

第十七条  及时了解全网的设备安全（防盗方面）和运行（损坏及运行服务方面）状况，关注网络审计事件和流量监控系统，对异常情况第一时间进行处理。

第六章 附则

第十八条  本预案解释权归信息与设备管理处所有。

第十九条  本预案自公布之日起实施。