本预案适用武昌首义学院网络信息系统突发安全事故的应急处理工作。

1、 责任：信息技术中心网络安全员是校园网络安全的主要责任人，并负有管理和执行的任务 。平时要加强全校信息安全监测、分析、整改和预警工作，并提高信息安全洞察和处置能力，保障网络信息安全。

2、 制度：建立网络安全报告制度。坚持日常网络巡查日报制（三次/日），网络信息安全周报告制（周五），重点时期增加每日巡查报告频次（五次8:00、11:00、14:00、16:00、18:00，夜报一次22:00）。坚持做好日常异地数据备份的检查验证。加强网络安全的日常检查监督，发现问题第一时间处理，将问题解决在萌芽状态。

3、 报告：发生网络安全突发事件，应立即通知信息技术中心网络安全员，安全员立即对发生的事件进行调查、核实、保存相关证据，并在事件被发现或应当被发现时起2小时内将有关情况向相关部门领导汇报，由部门领导逐级报告主管校领导。

4、 分级：为防止事件的影响进一步扩大，限制潜在的损失与破坏，对突发事件进行定级。高危级:包括网站页面遭篡改导致政治社会舆论影响，正在发生敏感数据泄露，严重互联网攻击行为（DDOS、病毒木马爆发）等。中危级：包括网站暗链，系统管理账号弱口令弱密码，系统严重漏洞，系统感染病毒木马等。低危级：包括用户账号弱口令弱密码，系统一般漏洞等。

5、 应急处置：高危级：从收到通告起三分钟内关停网页，断开相关系统的互联网网络链接，必要时关闭学校互联网出口并立即上报校领导；中危级：关闭网站暗链，必要时关闭系统服务，修改系统管理账号密码，联系厂家修复漏洞，查杀服务器病毒木马。低危级：修改或删除被破解的用户登录账号，系统打补丁。

6、 检查：发生事故的系统和现场应急处理工作组应尽最大可能收集事件相关信息，判断事件类别，确定事件来源，做好现场数据备份，保护证据，以便缩短应急响应时间。检查此次事件造成的结果，评估事件带来的影响和损害：如，检查系统、服务、数据的完整性、保密性或可用性；检查攻击者是否侵入了系统；是否能留下攻击后门；确定暴露出的系统漏洞等。

7、 恢复处置：在事件被控制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除隐患。与此同时，协助执法部门及其他依托的相关机构对攻击源进行准确定位，并采取合适的措施将其阻断。清理系统，恢复数据、程序、服务，把所有被攻破的系统和网络设备彻底还原到正常的运行状态。

8、 追责：根据实际情况对发生事故的系统责任单位及责任人提出口头警告、书面警告，并停止其使用网络，情节严重或造成后果影响较大者，提交学校保卫处或国家司法机关依法处理，追究单位负责人和直接责任人的法律责任。

9、 总结：回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。根据突发信息安全事故的处理过程进行详细记录该事故的发生时间、造成的影响、影响范围、解决方式、解决完毕时间、需要相关单位协调的事项和处理意见等内容，要在2个工作日内报学校备案。

10、 本预案自发布之日起实施，可根据使用的实际需要由信息技术中心予以修订完善。

二〇二一年十二月