为确保我馆网络安全，保证各项工作高效、有序地进行，最大限度地减少损失，根据互联网网络安全相关条例及《北京工商大学网络及信息安全应急预案》等上级相关部门文件精神，结合我校图书馆网络工作实际，特制定本预案。 

一、成立图书馆网络安全应急领导小组

1.领导小组名单：

组长：馆长   副组长：主管信息化工作副馆长

组员：技术部主任、参考咨询部主任、办公室主任

2.图书馆网络安全领导小组主要职责：

（1）加强领导，健全组织，强化工作职责，完善各项应急预案的制定和各项措施的落实。

（2）建立值班盯守制度，负责到人，发现问题及时上报处理。

（3）充分利用各种渠道进行网络安全知识的宣传教育，组织、指导全馆网络安全常识的普及教育，广泛开展网络安全和有关技能训练，不断提高广大馆员的防范意识和基本技能。

（4）认真搞好各项物资保障，严格按照预案要求积极配备网络安全设施设备，落实网络线路、交换设备、网络安全设备等物资，强化管理，使之保持良好工作状态。

（5） 采取一切必要手段，组织各方面力量全面进行网络安全事故处理工作，把不良影响与损失降到最低点。  

二、网络安全监控对象

图书馆相关的一切网络资源，包括：

1.图书馆门户网站，由技术部值班盯守；   

2.图书馆本地电子资源和电子数据库运营商访问链接，由技术部和参考咨询部值班盯守；

3.图书馆官方微博及图书馆人人网主页，由参考咨询部值班盯守，及时屏蔽、删除反动、散播谣言等不良信息。

三、网络安全突发事件分级

    我校根据信息与网络安全突发事件的可控性、严重程度和影响范围，将其定为四级：I级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般)。相关事件对于国家有关法律法规有明确规定的，按国家有关规定执行。

    I级(特别重大)——重要的信息与网络安全系统发生大规模信息网络瘫痪，事态发展超出控制能力，对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发公共事件；境外敌对势力、敌对组织利用电子邮件、短信息服务等渠道，有组织、大范围对我校传播反动有害信息等情况。图书馆一旦出现I级事件，立即由图书馆网络应急领导小组组长马春晖馆长上报北京工商大学网络安全应急领导小组，由学校主管领导立即通报市教委、教工委及上级安全主管单位，并布署有关单位处置事件，消除影响，避免损失。

    Ⅱ级(重大)——学校重点网站、重要信息网络受到黑客持续攻击或非法入侵，以及敌对势力、敌对组织利用网络技术手段传播反动信息，进行网上破坏活动等；重要的信息与网络安全系统瘫痪，对国家安全、社会秩序、经济建设和公共利益造成严重损害。出现Ⅱ级事件，需要立即由图书馆网络应急领导小组组长马春晖馆长上报北京工商大学网络安全应急领导小组，立即处置，消除影响，并上报市教委、教工委及上级安全主管单位。

    Ⅲ级(较大)——部分区域的信息与网络安全系统瘫痪，对学校管理工作、信息系统运行造成一定损害，但不需要跨部门处置的突发安全事件。出现Ⅲ级事件，由图书馆网络安全应急领导小组进行处理，消除影响，减少损失，并将情况和处理结果报送学校主管领导。

Ⅳ级(一般)——信息与网络安全系统终端受到一定程度的损坏和对部分应用系统构成短时间影响，但不危害国家安全、社会秩序、经济建设和公共利益的突发安全事件。Ⅳ级事件由图书馆技术部进行处理，消除影响，并记录事件相关信息情况进行备案。

四、网站不良信息事故处理预案

1.一旦发现图书馆门户网站上出现不良信息（或者被黑客攻击修改了网页），立刻联系图书馆网站托管单位网络中心，在网络中心相关人员的协助下，切断防火墙以及网站服务器外网网络连接并进行下续处理。

2.备份不良信息出现的目录、备份不良信息出现时间前后一个星期内的HTTP连接日志、备份防火墙中不良信息出现时间前后一个星期内的网络连接日志。

3.打印不良信息页面留存。

4.完全隔离出现不良信息的目录，使其不能再被访问。

5.删除不良信息，并清查整个网站所有内容，确保没有任何不良信息，重新连接网站服务器及防火墙外网网络连接，并测试网站运行。

6.修改该目录名，对该目录进行安全性检测，升级安全级别，升级程序，去除不安全隐患，关闭不安全栏目，重新开放该目录的网络连接，并进行测试，正常后，重新修改该目录的上级链接。

7.全面查对HTTP日志，防火墙网络连接日志，确定该不良信息的源IP地址。

8.从事故一发生到处理事件的整个过程，必须保持向图书馆网络安全领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。判定事件级别，根据事件级别决定是否上报校级网络安全领导小组。

       五、网络恶意攻击事故处理预案

       1.发现出现网络恶意攻击，立刻联系网络中心，在网络中心的协助下确定该攻击来自校内还是校外；受攻击的设备有哪些；影响范围有多大。并迅速推断出此次攻击的最坏结果，判断是否需要紧急切断校园网的服务器及公网的网络连接，以保护重要数据及信息。

       2.如果攻击来自校外，立刻从防火墙中查出对方IP地址并过滤，同时对防火墙设置对此类攻击的过滤，并视情况严重程度决定是否报警。如果攻击来自校内，立刻确定攻击源，查出该攻击出自哪台交换机，出自哪台电脑，出自哪位教师或学生。接着立刻赶到现场，关闭该计算机网络连接，并立刻对该计算机进行分析处理，确定攻击出于无意、有意还是被利用。暂时扣留该电脑。

       3.重新启动该电脑所连接的网络设备，直至完全恢复网络通信。

       4.从事故一发生到处理事件的整个过程，必须保持向图书馆网络安全领导小组组长汇报、解释此次事故的发生情况、发生原因、处理过程。判定事件级别，根据事件级别决定是否上报校级网络安全领导小组。

       六、应急响应流程

       1.先期处置

图书馆网络安全值班人员密切关注图书馆相关网站信息，当发生图书馆网络与信息安全突发公共事件时，值班人员应做好先期应急处置工作，立即上报图书馆网络安全领导小组，采取措施控制事态。

       2.应急指挥

本预案启动后，根据事件级别决定是否上报校级网络安全领导小组。发生Ⅲ级(较大)以上级别的网络安全事件时，图书馆网络安全领导小组成员需在30分钟内赶赴现场，收集相关信息，掌握现场处置工作状态，分析事件发展态势，研究提出处置方案，统一指挥网络与信息应急处置工作。

       3.信息处理

应对事件进行动态监测、评估，及时将事件的性质、危害程度和损失情况及处置工作等情况，及时上报，不隐瞒、不缓报、不谎报。要及时编发事件动态信息供领导参阅。

       4.应急结束

网络与信息安全突发公共事件经应急处置后，得到有效控制，事态下降到一定程度或基本得到解决，分析各监测统计数据后，确定是否结束应急。