附錄A（資料性附錄）信息安全應急響應計劃示例——XX大學信息安全應急響應預案

本附錄提供了一個信息安全應急響應計劃的編制示例。組織可以參考該編制示例，并結合自身的實際情況，制定本單位的信息安全應急響應預案。

A 1 總則

A.1.1 編制目的

為了切實做好學校信息安全事件的防范和應急響應工作，進一步提高我校預防和控制信息安全事件的能力和水平，減輕或消除信息安全事件的危害和影響，確保我校校園網信息安全，結合學校工作實際，制定本應急響應預案。

A.1.2 編制依據

為了貫徹落實《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網安全保護管理辦法》、《國家信息化工作領導小組關于加強信息安全保障工作的意見》和公安部、國務院信息化工作辦公室等四部門《關于信息安全等級保護工作的實施意見》以及學校制定的《XX大學網站公共信息管理暫行辦法》、《XX大學校園網絡信息保密管理辦法》等文件精神，依據GB/T ××××《信息安全技術 信息安全應急響應計劃規范》，制定我校信息安全應急響應預案。

A.1.3 適用范圍

本預案適用于我校校園網運行及網絡信息方面發生的有可能影響學校、社會和國家安全穩定的網絡與信息安全突發事件，具體包括：
a）攻擊事件：指校園網絡與信息系統因病毒感染、非法入侵等造成學校網站或部門二級網站主頁被惡意篡改、交互式欄目和郵件系統發布有害信息；應用服務器與相關應用系統被非法入侵，應用服務器上的數據被非法拷貝、篡改、刪除；在網站上發布的內容違反國家的法律法規、侵犯知識版權并造成嚴重后果等，由此導致的業務中斷、系統宕機、網絡癱瘓等；
b）故障事件：指校園網絡與信息系統因網絡設備和計算機軟硬件故障、人為誤操作等導致業務中斷、系統宕機、網絡癱瘓等；

A.1.4 工作原則

校園網運行與網絡信息安全事件的處理原則：
a）依法管理：即堅決貫徹落實《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網安全保護管理辦法》、《國家信息化工作領導小組關于加強信息安全保障工作的意見》和公安部、國務院信息化工作辦公室等四部門《關于信息安全等級保護工作的實施意見》以及學校制定的《XX大學網站公共信息管理暫行辦法》、《XX大學校園網絡信息保密管理辦法》等文件精神；
b）分級負責、責任到頭：學校一級由校園網絡與信息安全應急響應領導小組負責，系處部門一級由系處部門主管領導負責，切實做到“責任落實，層層負責”；

A 2 角色及職責

A.2.1 角色的劃分及職責

我校應急響應工作機構按角色劃分為三個功能小組：應急響應領導小組，應急響應實施小組，應急響應日常運行小組。信息安全事件發生后，在應急響應領導小組的統一部署下，工作人員各司其職，并嚴格按照應急響應預案組織實施如下應急響應工作：
a）應急響應領導小組：在校黨委和行政的領導下對學校的信息安全工作進行全面的分析研究，制定工作方案，提供人員和物質保證，指導和協調校內各單位實施信息安全工作預案，處置各類危害校園信息安全的突發事件。具體職責包括制定工作方案，提供人員和物質保證，審核批準應急響應策略，審核批準應急響應預案，批準和監督應急響應預案的執行，指導應急響應實施小組的應急處置工作，啟動定期評審、修訂應急響應預案以及負責組織的外部協作；
b）應急響應實施小組：當由于系統崩潰、病毒攻擊、非法入侵等原因造成校園網運行異常或癱瘓時，根據信息安全事件的發展態勢和實際控制需要，具體負責現場應急處置工作，盡快恢復學校網絡的正常運行；
c）應急響應日常運行小組（由學校網絡信息中心承擔）：負責做好校園網信息安全的日常巡查及日志保存工作，以確保及早發現網絡異常。同時負責信息安全事件發生后的損失控制和損害評估，并協助應急響應實施小組實施應急響應工作。

A.2.2 組織的外部協作

依據校園信息安全事件的影響程度，如需向上級部門及時通報準確情況或向其它單位尋求支持時，應與相關管理部門以及外部組織機構保持聯絡和協作。外部組織和機構主要包括國家計算機網絡應急技術處理協調中心（CNCERT/CC）XX地區分中心、國家計算機網絡應急技術處理協調中心（CNCERT/CC）、中國教育科研網絡XX地區網絡中心、中國教育科研網網絡中心、XX市公安局網絡安全監察室、XX省公安廳網絡安全監察處、中國電信XX分公司網管中心以及主要相關設備供應商，如Cisco公司XX分公司等。

A 3 預防和預警機制

a）校園網絡現有和以后新建的網絡通信平臺、應用平臺和信息系統，參照國家有關信息安全等級保護的要求，按照最終確定的保護等級采取相應的安全保障措施。不斷完善網絡安全防御系統，包括防火墻、入侵檢測系統、網絡殺毒系統、校內網絡分布式防御系統等，并對網絡設備的安全性進行合理配置，根據實際需要做好升級更新工作；
b）建立健全安全事件預警預報體系，嚴格執行校園網絡與信息安全管理制度，常年堅持校園網絡安全工作值班制度。加強對校園網絡與學校網站等重點信息系統的監測、監控和安全管理，做好相關數據日志記錄，設立內容過濾系統，確定合理規則，對校園網絡進出信息實行過濾及預警。實行信息網上發布審批制度，對可能引發校園網絡與信息安全事件的有關信息，要認真收集、分析、判斷，發現有異常情況時，及時處理并逐級報告；
c）做好服務器及數據中心的數據備份及登記工作，建立災難性數據恢復機制。一旦發生校園網絡與信息安全事件，立即啟動應急預案，采取應急處置措施，判定事件危害程度，并立即將情況向有關領導報告。在處置過程中，應及時報告處置工作進展情況，直至處置工作結束；

A 4 應急響應流程

A.4.1 事件通告

A.4.1.1 信息通報

在信息安全事件發生后，通知學校網絡信息中心使其能夠確定事態的嚴重程度和下一步將要采取的行動。在損害評估完成后，通知應急響應領導小組。應急響應領導小組在決定啟動應急響應后，通知應急響應實施小組和學校網絡信息中心負責人，并將事件的細節告知他們。收到應急響應領導小組的通知后，小組負責人應及時通知各自小組成員，并將所有適當信息通知各小組成員，小組成員應做好應急響應和重新配置的準備工作。

A.4.1.2 信息上報

對于重大的校園信息安全事件，由應急響應領導小組報國家計算機網絡應急技術處理協調中心（CNCERT/CC）XX地區分中心，請求上級領導幫助指導，同時向XX市公安局網絡安全監察室匯報。

A.4.1.3 信息披露

根據信息安全事件的嚴重程度，應急響應領導小組指派有關人員按照學校相關規定和要求及時向新聞媒體發布相關信息，同時其它小組和個人必須堅守各自崗位，未經允許，不得擅自發布誤導信息，共同做好維護穩定工作。

A.4.2 事件分類與定級

信息安全事件發生后，學校網絡中心對事件進行評估，確定事件的類別與級別。

A.4.2.1 事件的分類

校園網絡與信息安全事件可分為三類：
a）攻擊事件：指校園網絡與信息系統因病毒感染、非法入侵等造成學校網站或部門二級網站主頁被惡意篡改、交互式欄目和郵件系統發布有害信息；應用服務器與相關應用系統被非法入侵，應用服務器上的數據被非法拷貝、篡改、刪除；在網站上發布的內容違反國家的法律法規、侵犯知識版權并造成嚴重后果等，由此導致的業務中斷、系統宕機、網絡癱瘓等；
b）故障事件：指校園網絡與信息系統因網絡設備和計算機軟硬件故障、人為誤操作等導致業務中斷、系統宕機、網絡癱瘓等；

A.4.2.1 事件的定級

校園網絡與信息安全事件分為三級：一般（III級）、重大（II級）和特別重大（I級），對應顏色依次為藍色、黃色和紅色。
一般事件（III級）：
a）校園網提供有信息交互能力的服務出現非法信息，但尚未在學校和社會造成廣泛影響的；
b）校外互聯網上出現少量非法信息，經查非法信息確來自學校IP 地址機器，但未造成嚴重影響的；
c）校園網用戶郵箱出現大量非法宣傳郵件，但未造成嚴重影響的；
d）校園網用戶未經審批在校園網上私自設立網站并提供非法信息，但尚未在校內造成影響的；
e）由于病毒攻擊、非法入侵等原因，校園網部分樓宇出現網絡癱瘓，或者FTP及部分網站服務器不能響應用戶請求。
重大事件（II級）：
a）校園網提供有信息交互能力的服務出現非法信息，在校內外有一定影響，但未造成實質性危害的；
b）校外互聯網上出現非法信息，經查非法信息確來自學校IP 地址機器，在在社會上造成一定影響但未造成實質性危害的；
c）校園網用戶未經審批在校園網上私自設立網站，提供危害國家和社會安全信息，在校園內造成危害的；
d）利用校園網散布信息，煽動危害國家和社會的行動，尚未造成實質性危害的；
e）由于病毒攻擊、非法入侵等原因，校園網部分園區出現網絡癱瘓，或者郵件、計費服務器不能正常工作。
特別重大事件（I級）：
a）校園網提供有信息交互能力的服務出現非法信息，在校內外造成實質性危害或利用校園網組織危害國家和社會的行動；
b）校外互聯網上出現非法信息，經查非法信息確來自學校IP 地址機器，在社會上造成實質性危害的，或利用校園網組織危害國家和社會的行動；
c）校園網用戶郵箱出現大量煽動性宣傳郵件，在社會上造成實質性危害的，或者利用校園網組織危害國家和社會的行動；
d）校園網用戶在校園網內建立非法網站提供危害國家和社會安全的信息，在社會上造成實質性危害的，或者利用校園網組織危害國家和社會的行動；
e）由于病毒攻擊、非法入侵等原因，校園網整體癱瘓，或者校園網絡中心全部DNS、主WEB 服務器不能正常工作；

A.4.3 應急啟動

對于特別重大（I級）以及重大（II級）事件，應按照快速有序的原則啟動應急，并由應急響應領導小組發布應急響應啟動令。

A.4.4 應急處置

應急響應預案啟動后，應急響應實施小組應立即采取相關措施抑制信息安全事件的影響，避免造成更大損失。
具體按以下順序進行：判斷破壞的來源與性質，關閉影響安全與穩定的網絡信息設備，斷開與破壞來源的網絡物理連接，跟蹤并鎖定破壞來源的IP或其它網絡用戶信息，修復被破壞的信息，恢復網絡信息系統。
按照信息安全事件的性質分別采用以下方案：
a）病毒傳播：及時尋找并斷開傳播源，判斷病毒的類型、性質、可能的危害范圍；為避免產生更大的損失，保護健康的計算機，必要時可關閉相應的端口，甚至相應樓層的網絡，及時請有關技術人員協助，尋找并公布病毒攻擊信息，以及殺毒、防御方法；
b）外部入侵：判斷入侵的來源，區分外網與內網，評價入侵可能或已經造成的危害。對入侵未遂、未造成損害的，且評價威脅很小的外網入侵，定位入侵的IP地址，及時關閉入侵的端口，限制入侵的IP地址的訪問。對于已經造成危害的，應立即采用斷開網絡連接的方法，避免造成更大損失和帶來惡劣影響；
c）內部入侵：查清入侵來源，如IP地址、所在辦公室等信息，同時斷開對應的交換機端口，針對入侵方法調整或更新入侵檢測設備。對于無法制止的多點入侵和造成損害的，應及時關閉被入侵的服務器或相應設備；
d）網絡故障：判斷故障發生點和故障原因，能夠迅速解決的盡快排除故障；必要時向計算機網絡公司求助技術援助，并優先保證主要應用系統的運轉；

A.4.5 后期處置

通過應急處置成功解決信息安全事件后，應急響應工作并未結束，還需要盡快組織相關人員進行網絡信息系統重建，同時還需要對信息安全事件應急響應進行總結。

A.4.5.1 信息系統重建

在應急處置工作結束后，要迅速采取措施，搶修受損的基礎設施，減少損失，盡快恢復正常工作。

A.4.5.2 應急響應總結

回顧并整理已發生信息安全事件的各種相關信息，盡可能地把所有情況記錄到文檔中。發生重大信息安全事件時，應急響應實施小組應當在事件處理完畢后一個工作日內，將處理結果上報到學校網絡信息中心備案。通過對信息安全事件進行統計、匯總以及任務完成情況總結，不斷改進信息安全應急響應預案。

A 5 應急響應保障措施

按照職責分工和應急響應預案，切實做好應對信息安全事件的人力、物質、技術等保障工作，保證應急響應工作和恢復重建工作的順利進行。

A.5.1 人力保障

加強學校信息安全人才培養，強化信息安全宣傳教育，培養和建立一支高素質、高技術的信息安全核心人才和管理隊伍，提高信息安全防御意識。

A.5.2 物質保障

學校要根據近幾年全國乃至全世界網絡信息系統安全防治工作所需經費情況，將本年度信息安全應急響應經費納入年度財政計劃和預算，建立校園網專項資金用于校園網安全事件的處置，購買相應的應急設施，避免時間拖延造成不必要的損失，保證應急響應技術裝備的及時更新，以確保應急響應工作的順利進行。

A.5.3 技術保障

加強學校網絡信息中心的建設，建立預警與應急處理的技術平臺，進一步提高信息安全事件的發現和分析能力。從技術上逐步實現發現、預警、處置、通報等多個環節和不同的網絡、系統、部門之間應急處理的聯動機制。

A.6 附件

A.6.1 附件一 XX大學信息安全應急響應工作機構

XX大學信息安全應急響應工作機構
一 應急響應領導小組
組長：XXXX 副組長：XXXX，XXXX
成員：XXXX，XXXX，XXXX，XXXX
二 應急響應實施小組
組長：XXXX 副組長：XXXX，XXXX
成員：XXXX，XXXX，XXXX，XXXX，XXXX，XXXX
三 應急響應日常運行小組
組長：XXXX 副組長：XXXX，XXXX

A.6.2 附件二 聯系人清單表