第一章 总 则
第一条 为规范学校网络与信息安全管理,保障信息系统安全稳定运行,根据《中华人民共和国网络安全法》和《中华人民共和国数据安全法》等法律法规,结合学校实际,制定本制度。
第二章 网络信息安全
第二条 信息安全是指通过各种计算机、各信息应用系统和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括:
(一)信息处理和传输系统的安全。信息员应定期进行详细的安全检查和维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。
(二)信息内容的安全。侧重于保护信息的机密性、完整性和真实性。信息员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。人为泄露系统相关重要数据信息的,一经查实将按照学校相关安全规定追究责任,若情节严重的将移交公安机关处理。
(三)信息传播安全。要加强对信息的审查,防止和控制非法、有害的信息通过各信息应用系统传播,避免对国家利益、公共利益以及个人利益造成损害。
第三条 涉及国家秘密信息的安全工作实行领导负责制。
第四条 信息的内部管理
(一)各部门在向各信息应用系统提交信息前要做好查毒、杀毒工作,确保信息文件无毒上传。
(二)根据情况采取各信息应用系统病毒监测、查毒、杀毒等技术措施,提高各信息应用系统的整体抗病毒能力。
(三)各部门对本单位所负责的信息须做好备份。
(四)各部门应对本单位的信息进行审查,对信息来源的合法性、发布范围、信息栏目维护的负责人等做出明确的规定。信息发布后还要随时检查信息的完整性、合法性,如发现被删改,应及时报至实验教学与网络技术管理中心。
(五)涉及学校秘密的信息的存储、传输等须严格按照学校有关保密的法律法规执行。
(六)涉及学校秘密的信息,未经网络安全与信息化领导小组批准不得在网络上发布和明码传输。
(七)涉密文件不可放置于个人计算机中;非涉密电子邮件的收发,亦需进行病毒查杀。
(八)部门之间的信息流转,须经审批备案后,方可进行操作。
第五条 信息加密
(一)涉及学校秘密的电子文档资料应当在涉密介质中加密单独存储。
(二)涉及学校和部门利益的敏感信息的电子文档资料应当在涉密介质中加密单独存储。
(三)涉及社会安定的敏感信息的电子文档资料应当在涉密介质中加密单独存储。
(四)涉及学校秘密、学校与部门利益和社会安定的秘密信息和敏感信息在传输过程中视情况及学校的有关规定采用文件加密传输或链路传输加密。
第六条 任何单位和个人不得从事以下活动
(一)利用信息网络系统制作、传播、复制有害信息。
(二)入侵他人计算机。
(三)未经允许使用他人在信息网络系统中未公开的信息。
(四)未经授权对各信息应用系统中存储、处理或传输的信息(包括系统文件和应用程序)进行增加、修改、复制和删除等。
(五)未经授权查阅他人邮件。
(六)盗用他人名义发送电子邮件。
(七)故意干扰各信息应用系统的畅通运行。
(八)从事其他危害各信息应用系统安全的活动。
第七条 各部门承担本单位计算机操作的管理、保密和安全,以防止误操作造成系统紊乱、文件丢失等故障。
第八条 计算机主要用于业务数据的处理及信息传输,提高工作效率。严禁上班时间用计算机玩游戏及运行一切与工作无关的软件。
第九条 爱护计算机设备,保持计算机设备的干净整洁。禁止擅自拆卸计算机硬件,禁止擅自安装和使用与工作无关的部件,确因工作需要的,应提出申请,经部门负责人审批后报至实验教学与网络技术管理中心。
第十条 禁止擅自安装和使用盗版软件,对擅自安装而引起涉及版权方面纠纷的由责任人承担一切后果。
第十一条 新购的计算机、初次使用的软件、数据载体应检测,并确认无病毒和有害数据后,方可投入使用。
第十二条 计算机用户发现本单位的计算机感染病毒,应立即中断运行,进行及时消除。
第十三条 涉密的计算机内的重要文件由专人集中加密保存,不得随意复制和解密,未经加密的重要文件不能存放在与国际联网的计算机上。
第十四条 对需要保存的涉密信息,应由实验教学与网络技术管理中心人员与信息员同时在场转存到光盘或其他可移动的介质上。存储涉密信息的介质应当按照所存储信息的最高密级标注密级,并按相应密级的文件管理。
第十五条 存储过国家或学校秘密信息的计算机媒体的维修应保证所存储的国家或学校秘密信息不被泄露。对报废的磁盘和其他存储设备中的秘密信息,应由实验教学与网络技术管理中心人员与信息员同时在场进行彻底清除。
第十六条 涉密的计算机信息须由专用打印机打印输出,打印出的文件应当按照相应密级的文件管理。打印过程中产生的残、次、废页,应当及时粉碎销毁。
第十七条 对信息载体(软盘、光盘等)及计算机处理的业务报表、技术数据、图纸,须专人负责保存,并按规定使用、借阅、移交、销毁。
第十八条 计算机用户必须设置计算机系统登录密码和屏幕保护密码(除特别情况,屏保等待时间小于10分钟),密码长度大于8位,密码应妥善管理,并不定期更改,长时间离开时(30分钟以上)应将计算机操作锁定或关机。
第十九条 CMOS密码与操作密码由信息员统一管理,所有计算机用户不得修改计算机的系统设置,不得擅自更改IP地址。
第二十条 计算机用户不得使用任何方法窃取他人口令,非法入侵他人计算机系统。
第二十一条 严禁通过盗用他人IP地址、设置上网代理等违规方式访问互联网,禁止从事一切危害网络安全和系统安全的操作。
第二十二条 计算机用户岗位变更时,其网络和信息系统使用账号、权限须进行相应变更,其账号、权限应报本单位负责人予以处理,计算机用户和所在单位均不得擅自将该用户外网、外部信箱、办公自动化OA系统、信息系统等账号、口令和权限转交其他人使用。
第二十三条 外来计算机(非学校所属计算机)因工作需要在办公场所内使用时,应安排专人监控,原则上不得接入办公网络,确实需要联网的,须签署信息安全保密协议。
第三章 中心机房管理
第二十四条 中心机房是支持信息系统正常运行的重要场所。为保证机房设备与信息的安全,应做好防火、防盗、防泄漏等工作,确保机器设备的安全、高效运转,具体规定如下。
(一)一般规定
1.机房属重要涉密场所,必须严格执行国家、省、市保密局有关保守国家秘密和密码工作的规定,机房内各设备须登记存档。
2.严禁在网络服务器上安装一切与工作无关的软件,严禁将外来不明的U盘、光盘、软件在网络服务器上使用,严禁在网络上运行或传播一切法律法规禁止、有损学校形象以及涉及国家秘密、危害学校安全的软件或图文信息。
3.无关人员不准进入机房,不准违规操作和使用机房设备,不准私自将机房设备带离机房。需借用机房设备的单位须办理有关登记手续后方可借出。
4.服务器机房要保持清洁、卫生,并由专人负责管理和维护(包括温度、湿度、电力系统、网络设备等),除系统维护时间外,要保障服务器24*7小时正常运行,维护操作须进行登记备案。
5.原则上非机房工作人员须在网络操作间进行,特殊情况须办理登记手续后方可进入机房操作。
6.经批准进入中心机房参观的外来人员,不得随意触摸、按压设备,不得对设备的配置参数进行记录、拍照和摄录。
(二)值班巡视规定
1.实验教学与网络技术管理中心负责安排工作日值班,非工作日值班由学校办公室统一安排,具体遵照学校相关规定。
2.网络信息监控和巡视由实验教学与网络技术管理中心人员负责,巡视人员要遵守以下职责:
(1)要在第一时间发现隐患,并及时报告,使相关人员能及时赶到现场尽最大可能缩短故障恢复时间。
(2)履行机房的各项规定,不得做与工作、业务无关的任何私事,不得擅自离开岗位,督促进入机房人员严格遵守。
(3)负责机房的环境设备与各信息应用系统的安全运行,负责完成规定的日常操作、故障监测记录及简单故障的排除,负责环境设备的日常巡视。
(4)巡视内容包括:
①各信息应用系统运行设备的巡视包括各服务器的CPU和内存的工作状况、防火墙的工作状况、网站的工作状况、交换机的工作状况及各信息应用系统运行速度,并认真做好记录。
②机房环境的巡视包括机房门的关闭情况、机房的卫生状况、机房的灯光状况,以及机房的温度、湿度及空气状况,并认真做好记录。
③机房设备的巡视包括对机房空调系统的运行情况进行经常性巡视,密切注意工作负荷、电池容量、室内温湿度等数值,以保证各信息应用系统安全、正常地运行;也包括对主配电柜的供电电压电流与空调的工作状况;并认真做好巡视记录。
(三)日常管理规定
1.到机房工作的人员严禁携带食物与饮料,严禁吸烟或做其他与工作无关的事宜。
2.到机房工作的人员严禁携带与工作无关的物品,特别是易燃、易爆、强磁、腐蚀性物体等危险物品进入机房。
3.到机房工作的人员应严格遵守岗位责任制,不能乱动与自己工作无关的设备,严禁在机房大声喧哗、玩电子游戏、聊天等。
4.机房内不能存放任何食品,严禁在机房内存放杂物,严禁在机房内使用其他用电器。
(四)运行维护规定
1.配电柜一年进行至少两次维护检查,包括清扫灰尘检查各接点、触电的温升及松紧。
2.机房专用空调每年进行两次巡检,包括清扫及更换各过滤网、清洗或更换加湿罐、清扫室外机、测量工作压力、测量工作电压、电流、检查下水管道是否畅通,以及漏水报警是否正常、进行软化水更换。
3.机房防雷设施每年检查一次,包括检测各防雷器的可靠性、检查接地状况。
4.机房每年进行两次专业保洁,包括对机房的地板进行调整和清洁、对底板下与天棚板上进行清洁。
(五)安全保密规定
1.做好防雷、防火、防水、防盗、防虫害。
(1)防雷:按国家的规定对机房的设备进行接地,每年须按国家的规定对防雷设施及设备接地进行检测。
(2)防火:须按国家的规定在计算机机房进行设置消防设施,设施每年要按照国家规定进行检测。
(3)防水:须经常检查机房的防漏水情况,空调、门窗及屋顶。
(4)防盗:严格机房进出管理,门禁要24*7小时工作,严格执行进出机房的登记制度,严格执行进出机房不得携带其他物品的规定。
(5)防虫害:须经常检查机房的顶棚上和地板下的封闭情况,不得在机房内存放食品,不得在机房内堆放杂物。
2.各信息应用系统运行安全管理。
(1)对INTERNET网的进口要加装防火墙,防火墙的设置要经常根据需要进行调整以防入侵。
(2)所有服务器须安装病毒软件,并定期进行升级与计算机病毒进行检测。
(3)系统设备安全管理。
①进入机房不得带拷贝工具和便携机。
②机房内所有服务器应设有开机密码、系统登录密码。
③机房内所有服务器都应设有带密码的屏幕保护。
④机房工作人员操作后应将服务器处于锁定状态。
⑤非机房工作人员不得私自操作任何服务器。
⑥认真遵守国家的各项保密制度。
⑦严格遵守党和国家的保密制度,有关打印结果、存储介质及原始数据须有专人保管,带有密级的媒体应用时锁入保险柜中,收发要登记,定期集中销毁废弃的涉密纸、物。
⑧严禁与机房工作无关的人员进入机房。
⑨非机房工作人员在机房工作时须有机房值班人员陪同。
⑩机房内各类服务器应由专人分类管理。
⑪建立设备、资料责任制。
第四章 网络资源管理
第二十五条 网络资源和服务器由网络安全与信息化领导小组统一进行规划、管理和监督,各部门业务系统各自管理,制定相应的管理制度并严格执行。
第二十六条 服务器的管理。
(一)各信息应用系统服务器须由专人负责管理(一般为本单位信息员),并进行备案,未经授权,非信息员不得对其进行操作。
(二)服务器须进行例行检查,包括虚拟服务器(CPU、内存、硬盘等)资源利用情况、服务器上运行的服务使用情况及服务器上运行的杀毒软件的及时更新。
(三)做好服务器的备份工作,至少每季度有1份完整备份,重要数据及时备份。
(四)严禁私自设立web、ftp等开放服务器。
(五)服务器密码须每季度修改1次,服务器信息员有岗位变更时,须及时更改密码。
(六)各部门须经审批备案后,方可使用虚拟服务器。
第二十七条 IP地址的管理。
(一)IP地址由实验教学与网络技术管理中心统一规划管理,未
经许可不得擅自更改任何设备的IP地址。
(二)公网IP任何人不得私用。
(三)工作需要公网IP,须经审批后,方可使用。
(四)公网IP使用无工作需要时,立即停止使用,并由实验教学与网络技术管理中心收回。
第五章 网络安全管理
第二十八条 一般规定。
(一)未经实验教学与网络技术管理中心批准,任何人不得改变各信息应用系统拓扑结构、设备布置、服务器、路由器配置及参数。
(二)机关局域网上任何人不得利用计算机技术侵占用户合法利益,不得制作、复制和传播妨害单位稳定的有关信息。
(三)各部门应定期对所管理各信息应用系统和相关业务数据进行备份,以防发生故障时进行恢复。
第二十九条 账号管理。
(一)各信息应用系统账号分组管理,并详细登记用户个人信息(姓名、部门名称及口令)、存取权限、开通时间、资源分配情况等。
(二)各信息应用系统信息员为用户设置明码口令(用户可根据自己的保密情况进行修改口令),并设置工作站的开机与屏保密码。
(三)用户具有存入权限,信息员具有管理和备份存取权限。
(四)各信息应用系统信息员根据有关账号管理规则对用户账号进行管理,并对用户账号及数据的安全和保密负责。
(五)各信息应用系统信息员必须严守职业道德和职业纪律,不得将任何用户的密码、账号等保密信息等资料泄露出去。
第三十条 各信息应用系统信息员职责。
(一)协助制定各信息应用系统建设方案,确定其安全及资源共享策略。
(二)负责各信息应用系统实体,如服务器、交换机、路由器、集线器、防火墙、网线等的维护和管理。
(三)负责服务器和系统软件的安装、维护、调整及更新。
(四)负责各信息应用系统账号管理、资源分配、数据安全和系统安全。
(五)监视各信息应用系统运行,调整参数,调度资源,保持其安全、稳定、畅通。
(六)负责各信息应用系统数据备份,负责本单位电子数据资料的整理和归档。
(七)保管各信息应用系统拓扑图接线表,设备规格及配置单,管理记录,运行记录,检修记录等资料。
(八)每年对本单位各信息应用系统的效能和各电脑性能进行评价,提出各信息应用系统结构、技术和网络、管理的改进措施。
第三十一条 安全管理职责。
(一)保障各信息应用系统畅通和信息安全。
(二)严格遵守国家、省、市制定的相关法律、行政法规,以人为本,依法管理,确保各信息应用系统安全有序。
(三)在发生各信息应用系统重大突发事件时,应立即报告,采取应急措施,尽快恢复其正常运行。
(四)充分利用现有的安全设备设施、软件,最大限度地防止计算机病毒入侵和黑客攻击。
(五)加强信息审查工作,保存备份至少90天之内网络信息日志,及时加以分析,排查不安定因素,防止黄色、反动信息的传播。
(六)经常检查各信息应用系统工作环境的防火、防盗工作。
第三十二条 病毒的防治管理制度。
任何人不得在机关的局域网上制造传播任何计算机病毒,不得故意引入病毒。
第六章 计算机病毒防治管理
第三十三条 加强计算机的安全监察工作,预防和控制计算机病毒,保障计算机系统的正常运行,具体规定如下:
(一)本制度所称计算机病毒,是指编制或者在计算机程序中植入的破坏计算机系统功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码。
(二)严禁制作和传播计算机病毒。
(三)严禁以下传播计算机病毒的行为:
1.故意输入计算机病毒,危害计算机信息系统安全。
2.故意提供含有计算机病毒的文件、软件、媒体。
3.购置和使用含有计算机病毒的媒体。
第三十四条 严禁从事下列活动:
1.收集、研究有害数据。
2.出版、刊登、讲解、出租有害数据原理,源程序的书籍,资料或文章。
3.复制有害数据的检测,清除工具。
第三十五条 预防和控制计算机病毒的安全管理工作,由实验教学与网络技术管理中心负责实施,其主要职责是:
1.制定计算机病毒防治管理制度和技术规程,并检查执行情况。
2.采取计算机病毒安全技术防治措施。
3.对计算机用户进行计算机病毒防治教育和培训。
4.及时检测、清除计算机系统中的计算机病毒,并做好检测、清除的记录。
5.向公安机关报告发现的计算机病毒,并协助公安机关追查计算机病毒的来源。
6.对因计算机病毒引起的计算机信息系统瘫痪,程序和数据严重破坏等重大事故及时向公安机关报告,并保护现场。
7.对引起的计算机及其软件进行计算机病毒检测,发现染有计算机病毒的,应采取措施加以消除,在未消除病毒前不准投入使用。
8.通过网络进行电子邮件或文件传输,应及时对传输媒体进行病毒检测,接收到邮件时也要及时进行病毒检测,以防止计算机病毒的传播。
第三十六条 凡未按以上预防计算机病毒步骤执行而造成机器感染病毒并传播者,将视情节严重程度按相关规定进行处罚。
第三十七条 积极接受公安机关对计算机病毒防治管理工作的监督,检查和指导。
第七章 密码安全保密
第三十八条 提高安全认识,禁止非各信息应用系统信息员操纵系统主机,不使用系统主机时,应注意锁屏。
第三十九条 每周检查主机登录日志,及时发现不合法的登录情况。
第四十条 对重要信息应用系统,信息员所用口令每15天更换1次,口令须无规则,重要口令须8位以上。
第四十一条 加强口令管理,对文件用隐性密码方式保存,确认所有账号都有口令,当系统中的账号不再被使用时,应立即从相应的数据库中清除。
第四十二条 信息员调离岗位后必须由接任人员监督检查更换新的密码。
第八章 涉密和非涉密移动存储介质管理
第四十三条 涉密和非涉密移动存储介质由各部门建立台账,信息员负责涉密和非涉密移动存储介质的日常管理和维护维修。
第四十四条 涉密移动存储介质不得在非涉密计算机上使用。
第四十五条 涉密移动存储介质未经批准不得擅自带离本单位,确因工作需要携带外出的,须进行登记备案。
第四十六条 严禁将涉密移动存储介质借给外单位或他人使用。
第四十七条 涉密移动存储介质需维修的,由信息员送至有保密资质的单位现场监修,严禁维修人员擅自读取和拷贝其存储的国家秘密信息。如涉密移动存储介质无法修复,必须按涉密载体予以销毁。
第四十八条 非涉密移动存储介质不得存储任何涉密信息。
第四十九条 非涉密移动存储介质不得连接涉密计算机。
第五十条 任何部门和个人不得擅自销毁涉密和非涉密移动存储介质。
第九章 病毒检测和网络安全漏洞检测
第五十一条 各信息应用系统的服务器,具有合法权限的用户才能进行相应权限范围内的操作,任何其他非法操作都属于入侵行为。
第五十二条 严禁猜测和扫描各信息应用系统的服务器和交换设备的口令。
第五十三条 各信息应用系统信息员应定期检查服务器的系统日志,如发现有入侵情况,应及时采取措施,保留原始数据,以便进行调查取证,做好入侵情况登记,并报至实验教学与网络技术管理中心。
第五十四条 服务器漏洞要及时修补或进行系统升级。
第五十五条 定期对各信息应用系统数据包的监控,及时了解其运行情况,全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为,阻止各信息应用系统内外的入侵。
第五十六条 各信息应用系统信息员履行对所有上网信息进行审查的职责,根据需要采取措施,监视、记录、检测、制止、查处、防范针对其所管辖各信息应用系统或入网计算机的人或事。
第五十七条 所有用户有责任对所发现或发生的违反有关法律法规和规章制度的人或事予以制止或及时反映、举报,协助调查、取证、处理,应该向调查人员如实提供所需证据。
第五十八条 各信息应用系统信息员应根据实际情况和需要采用新技术调整各信息应用系统结构与功能,变更系统参数和使用方法,及时排除系统隐患。
第十章 附 则
第五十九条 本制度自发布之日起施行,由实验教学与网络技术管理中心负责解释。
