为加强我校校园网的安全管理与运行维护，提高处理突发性网络异常事件的能力，确保网络信息系统的稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国突发事件应对法》、《国家突发公共事件总体应急预案》、《国家网络与信息安全事件应急预案》、《信息安全事件分类分级指南》(GB/Z20986-2007)、《计算机病毒防治管理办法》、《计算机信息网络国际联网管理暂行规定》以及《佛山职业技术学院校园网用户守则》、《佛山职业技术学院校园网信息保密管理制度》等文件精神，结合我校校园网建设和运行情况，特制订本应急预案。

一、总则

（一）目的

为科学应对校园网突发事件，建立健全网络系统的应急响应机制，有效预防、及时控制和最大限度地消除各类突发事件的危害和影响。

（二）工作原则

1．统一领导

遇到重大网络异常情况，及时向有关领导报告，以便于统一调度、减少损失。

2．综合协调

明确综合协调的职能机构和人员，做到职能间的相互衔接。

3．重点突出

应急处理的重点放在运行着重要业务系统或可能导致严重事故后果的关键网络系统上。

4．集中备份

通过网络设备备份和配置参数备份等措施，提高通信网络系统的安全系数。购置必要的备用设备，预先配置好各种参数，当发生故障时能直接上线运行。

5．快速恢复

网络管理人员在坚持快速恢复系统的原则下，根据职责分工，加强团结协作，必要情况下与设备供应商以及系统集成商共同谋求问题的快速解决。

6．及时反应，积极应对

出现网络故障时，网络维护人员应及时发现、及时报告、及时抢修、及时控制，积极对业务网络突发事件进行防范、监测、预警、报告、响应。

7．防范为主，加强监控

经常性地做好应对网络突发事件的思想准备、预案准备、机制准备和工作准备，提高基础网络和重要信息系统的综合保障水平。加强对网络应用的日常监视，及时发现网络突发性事件并采取有效措施，迅速控制事件影响范围，力争将损失降到最低程度。

二、应急工作小组机构及职责

（一）应急处理领导小组

为统一指挥，快速反应，成立我校网络与信息安全应急处理领导小组。领导小组由学校主管领导牵头，各二级学院、处室、信息中心（图书馆）主要领导同志组成。领导小组及时掌握网络故障事件的发展动态，向上级部门报告事件动态；对有关事项做出重大决策；启动应急预案，组织和调度必要的人、财、物等资源。

（二）应急处理工作小组

应急处理领导小组下设应急处理工作小组，由学校信息中心负责人牵头，相关部门人员参与组成。工作小组负责定期了解外部支持人员的变动情况，及时更新其技术人员及联系方式等信息；快速响应网管系统发现的网络故障事件、业务部门对网络故障的申告；执行网络故障的诊断、排查和恢复操作；定期通过网管软件、网络运行报告等工具对网络的使用情况进行分析，尽早发现网络的异常状况，排除网络隐患。

（三）外部支持人员

包括出口链路运营商、设备供应商以及系统集成商。负责事先向信息中心提供紧急情况下的应急技术方案和应急技术支援体系；积极配合信息中心应急人员进行故障处理。

三、预警和预防机制

（一）信息监测及报告

1．网络的日常管理和维护

加强网络应用的监测、分析和预警工作。

2．建立网络故障事故报告制度

发生网络故障时，值班人员应当立即向信息中心负责人报告，并及时进行故障处理、调查核实、保存相关证据等。

（二）预警

在接到突发事件报告后，应当经初步核实之后，将有关情况及时向信息中心、保卫处等部门报告，进一步进行情况综合，研究分析可能造成损害的程度，提出初步行动对策。由上级领导视情况紧急程度召集协调会，决策行动方案，发布指示和实施命令等。

（三）预警支持系统

建立和完善信息监测、消息传递和指挥决策支持系统，保证突发事件处理过程中的资源共享、运转正常、指挥有力。

（四）预防机制

重要网络和信息系统建设要充分考虑抗毁性与灾难恢复，制定并不断完善应急处理预案。针对基础信息网络的突发性、大规模异常事件，各相关部门建立制度化、程序化的处理流程。

四、应急处理程序

（一）网络突发事件分类分级的说明

根据网络突发事件的发生原因、性质和机理，网络突发事件主要分为以下几类:

1．攻击类事件：指互联网网络系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。

2．信息破坏事件：指信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

3．信息内容安全事件：指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

4．故障类事件：指互联网网络系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。

5．灾害类事件：指因爆炸、火灾、雷击、地震、台风等外力因素导致互联网网络系统损毁，造成业务中断、系统宕机、网络瘫痪等情况。

按照突发事件的性质、严重程度、可控性和影响范围，将其分为一般故障、严重故障、重大故障、特级故障四级。

1．一般故障

网络系统中单个系统故障，但未影响应用系统运行，也未造成社会影响或经济损失的突发事件。

2．严重故障

网络系统中个别节点故障（主要是分布层交换节点）而导致服务中断，可能造成严重社会影响或较大经济损失的突发事件。

3．重大故障

网络系统中多个节点故障（包括核心层和分布层）引起的多个基础网络设施损坏，导致应用系统长时间中断，可能造成重大社会影响和巨大经济损失的突发事件。

4．特级故障

特指发生不可预见的灾难性事故，如火灾、水灾和地震等。

（二）网络应急预案启动

根据以上定义的故障分级，当网络事件的要素满足启动应急预案要求时，进入相应的应急启动流程，实施处置并及时报送信息。

1．应急处理工作小组从业务人员的故障申告、网管系统的故障告警中得知网络异常事件后，应在第一时间赶赴网络故障现场，控制事态发展，防控蔓延。与业务人员一起进行先期处置，采取各种技术措施，及时控制事态发展，最大限度地防止事件蔓延。

2．应急处理工作小组应快速判断事件性质和危害程度，尽快分析事件发生原因。若是电源接触不好、物理连线松动或者能在最短时间内自行解决的网络问题，及时按照有关操作规程进行故障处理，并报领导小组备案；否则，应急处理工作小组应根据网络与信息系统运行和承载业务情况，初步判断事件的影响、危害和可能波及的范围，提出应对措施建议，及时告知领导小组。

3．应急处理工作小组向领导小组报告，在领导小组的授权后启动相应的应急预案。针对灾难事件和影响重要业务运行的重大事件，还要及时向上级机关进行报告。

4．应急处理工作小组根据故障类型及时与外部支持人员取得联系。其中，设备故障的，可与设备供应商和集成商联系；软件故障的，可与系统集成商联系，由系统集成商进行现场或远程技术支持；线路故障的，可与运营商联系，三方密切协作力求通信线路在短时间内恢复正常。

5．应急处理工作小组在上级机构或外部支持人员的配合下，充分利用应急预案的资源准备，采取有力措施进行故障处理，及时恢复网络的正常通信状态。

6．应急处理工作小组通知业务部门网络恢复正常，并向领导小组报告故障处理的基本情况。在事件处理过程中，应急处理工作小组应做好事件发生、发展、处置的记录和证据留存。重大事件应形成文字资料，以书面形式向上级报告。

7．总结整个处理过程中出现的问题，并及时改进应急预案。

（三）现场应急处理

1．如遇到预知外界因素（如定时、定点停电）影响网络系统的正常运行，将根据有关部门的通知，提前安排技术人员到实地关闭网络设备并进行现场维护，直至外界因素消除。

2．如遇到不可抗力因素（如火灾）造成的网络系统故障时，立即联系总务处，通知的电力值班人员要快速到达现场，果断切断相关设备配电柜的电源，积极参与消除不可抗力因素，并及时将情况上报领导。

3．如遇到一般故障、严重故障和重大故障，影响校园网络系统的正常运行，值班人员要迅速、及时地赶到现场，进行相应突发事件的应急处理。

五、保障措施

（一）应急演练

为提高网络系统突发事件应急响应水平，信息中心及有关单位应定期或不定期组织应急预案演练；检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习，进一步明确应急响应各岗位责任，对预案中存在的问题和不足及时补充、完善。

（二）人员培训

为确保本应急预案有效运行，应定期或不定期地举办不同层次、不同类型的技术讲座或研讨会，以便不同岗位的应急人员能全面熟悉并熟练掌握突发事件的应急处理知识和技能。

（三）硬件资源保障

为了在网络设备发生故障时能够尽量降低业务系统的受影响程度，须为相应的核心网络系统提供必要的备份设备与线缆等硬件资源，并且配备与现有设备兼容的设备，确保相似或兼容的设备可以在应急情况下调配使用。这些备份设备需预先采购并保存在专门位置。

（四）文档资料准备

包括网络系统工程文档、网络系统维护手册、网络系统操作手册、网络设备配置参数、网络系统拓扑图以及IP地址规范及分布情况等。

（五）技术支持保障

建立预警与应急处理的技术平台，进一步提高网络突发事件的发现和分析能力，从技术上逐步实现发现、预警、处理、通报等多个环节和不同的业务网络、系统以及相关部门之间应急处理的联动机制。

六、常见突发事件应急处理措施

（一）黑客攻击时的紧急处置措施

1．当有关值班人员发现业务系统或网站内容被纂改，或通过入侵监测系统发现有黑客正在进行攻击时，应立即向网络管理技术人员通报情况。

2．网络管理技术人员应在十分钟内赶到现场，并首先应将被攻击的服务器等设备从网络中隔离出来，保护现场，并同时向应急处理领导小组通报情况。

3．网络管理技术人员负责被攻击或破坏系统的恢复与重建工作。

4．网络管理技术人员会同相关支持人员追查非法信息来源。

5．网络管理技术人员组织相关支持人员会商后，向应急处理工作小组组长汇报有关情况。

6．应急处理工作小组组长如认为情况严重，应立即向应急处理领导小组组长汇报。

7．应急处理领导小组组长组织应急处理领导小组召开会议，如认为事态严重，则立即向公安部门或上级机关报警。

（二）病毒安全紧急处置措施

1．当发现有计算机被感染上病毒后，应立即向网络管理技术人员报告，将该机从网络上隔离开来。

2．网络管理技术人员在接到通知后，应在十分钟内赶到现场。

3．对该设备的硬盘进行数据备份。用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。

4．如果现行反病毒软件无法清除该病毒，应立即向应急处理工作小组组长报告，并迅速联系有关产品商研究解决。

5．应急处理工作小组经会商，认为情况严重的，应立即向应急处理领导小组组长汇报。

6．应急处理领导小组经会商后，认为情况极为严重的，应立即向公安部门或上级机关报告。

7．如果感染病毒的设备是中心服务器系统，经领导小组同意，应立即告知各部门做好相应的清查工作。

（三）软件系统遭破坏性攻击的紧急处置措施

重要的软件系统平时必须存有备份，与软件系统相对应的数据必须有多日的备份，并保存在安全处。

1．一旦软件遭到破坏性攻击，应立即向网络管理技术人员、业务系统技术人员报告，并将该系统停止运行。

2．业务系统技术人员软件系统和数据的恢复。

3．网络管理技术人员检查日志等资料，确定攻击来源。

4．由业务系统技术人员向应急处理工作小组组长汇报。

5．应急处理工作小组组长认为情况严重的，应立即向应急处理领导小组汇报。

6．应急处理领导小组认为情况极为严重的，应立即向公安部门或上级机关报告。

（四）数据库安全紧急处置措施

1．主要数据库应按双机热备设置，并至少要准备两个以上数据库备份，平时一个备份放在机房，另一个备份放在另一个安全的场所。

2．一旦数据库崩溃，值班人员应立即启动备用系统，并向业务系统技术人员报告。

3．在备用系统运行期间，业务系统技术人员应对主机系统进行维修。

4．如果两套系统均崩溃，业务系统技术人员应立即向软硬件提供商请求支援，同时通知相关职能部门暂缓使用业务系统和上传上报数据。

5．系统修复启动后，将第一个数据库备份取出，按照要求将其恢复到主机系统中。

6．如因第一个备份损坏，导致数据库无法恢复，则应取出第二套数据库加以恢复。

7．如果两个备份均无法恢复，应立即向有关厂商请求紧急支援。

（五）广域网外部线路中断紧急处置措施

1．广域网主、备用线路中断一条后，值班人员应立即启动备用线路接续工作，同时向网络管理技术人员报告。

2．网络管理技术人员接到报告后，应迅速判断故障节点，查明故障原因。

3．如属我校管辖范围，由网络管理技术人员立即予以恢复。

4．如属出口链路运营商部门管辖范围，立即与运营商的维护部门联系，要求恢复。

5．如果主、备用线路同时中断，网络管理技术人员应在判断故障节点，查明故障原因后，尽快研究恢复措施，并立即向应急领导小组汇报。

（六）局域网中断紧急处置措施

1．应急处理工作小组平时应准备好网络备用设备，存放在指定的位置。

2．局域网中断后，网络管理技术人员应立即判断故障节点，查明故障原因，并向应急处理工作小组组长汇报。

3．如属线路故障，应重新安装线路。

4．如属路由器、交换机等网络设备故障，应立即从指定位置将备用设备取出接上，并调试通畅。

5．如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调试通畅。

6．如有必要，应向应急处理领导小组汇报。

（七）设备安全紧急处置措施

服务器、存储设备等关键设备损坏后，值班人员应立即向网络管理技术人员报告。

1．网络管理技术人员立即查明原因。

2．如果能够自行恢复，应立即用备件替换受损部件。

3．如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修。

（八）人员疏散与机房灭火预案

1．一旦机房发生火灾，应遵循下列原则：首先保人员安全；其次保关键设备、数据安全；三是保一般设备安全。

2．人员疏散的程序是：机房值班人员立即按响火警警报，并通过119电话向公安消防请求支援，所有不参与灭火的人员按照预定的路线，迅速从机房中有序撤出。

3．人员灭火的程序是：首先切断所有电源，启动自动气体灭火装置，灭火值班人员戴好防毒面具，从指定位置取出气体灭火器进行灭火。

（九）供电中断后的设备运行预案

1．外电中断后，机房值班人员应立即切换到备用电源。

2．机房值班人员应立即查明原因，并向值班领导汇报。

3．如因内部线路故障，请总务处后勤部门迅速恢复。

4．如果是供电局的原因，应立即与供电局联系，请供电局迅速恢复供电。

5．如果供电局告知需长时间停电，应作如下安排。

（1）停电2小时以内，由UPS供电；

（2）停电2-8小时，关掉非关键设备，确保关键服务器、核心网络设备由UPS供电；

（3）停电8小时以上，启动小型发电机自行发电。

（十）关键人员不在岗的紧急处置措施

1．对于关键岗位平时应做好人员储备，确保一项工作由两人能够操作。

2．一旦发生关键人员不在岗的情况，首先应向处理工作小组组长汇报情况。

3．经处理工作小组组长批准后，由备用人员上岗操作。

4．如果备用人员无法上岗，请求上级单位或外部支持技术人员支援。

八、应急保障

（一）内部保障：学校针对校园网紧急事件的发生，建立校园网专项资金用于校园网紧急事件的处置。同时，应储备必须的有关物资、设备，避免时间拖延造成不必要的损失。

（二）外部支援：依据校园网及信息安全紧急事件的影响程度；如需上级部门或其他单位支持时，应启动外部支援，寻求帮助。外部支援主要包括出口链路运营商以及主要相关设备供应商。

九、附则

（一）本预案所称网络突发事件，是指由于自然灾害、设备软硬件故障、内部人为失误或破坏等原因，网络系统及其他重要信息系统的正常运行受到严重影响，出现业务中断、系统破坏、数据破坏等现象，造成不良影响以及造成一定程度直接或间接经济损失的事件。

（二）本预案通过演习、实践检验，以及根据应急力量变更、新技术、新资源的应用和应急事件发展趋势，及时进行修订和完善；所附的成员、联系方式等发生变化时也随时修订。

（三）本制度自发布之日起施行，原制定的《佛山职业技术学院校园网应急响应制度(暂行)》（佛职院[2010]59号）同时废止。

（四）本制度由学校信息中心负责解释。