第一章 总则
第一条 为了保证学校网络系统安全、持续和稳健运行,根据国家相关法律以及相关文件要求,特制定本管理办法。
第二条 本管理办法所称的网络系统,是指由投资购买或租用,由图书情报信息中心负责维护和管理的网络系统,主要包括网络主、辅节点设备,配套的网络线缆设施,以及由网络服务器、工作站构成的,提供网络应用及服务的硬件、软件的集成系统。
第三条 网络系统设备管理维护工作由图书情报信息中心负责,图书情报信息中心可以委托相关公司指定人员代为管理子节点设备。任何公司和个人,未经图书情报信息中心同意,不得擅自安装、拆卸或改变网络设备。任何公司和个人,不得利用联网计算机、终端从事侵入、危害网络、服务器、工作站的活动。
第四条 本管理办法适用于学校所有网络与软件系统的安全。
第二章 组织机构与职责
第五条 图书情报信息中心是网络建设和管理的执行机构。其职责是:为学校网络建设和发展制订整体规划;负责组织实施已经批准施行的网络建设计划;负责网络的运行维护管理;为全学校网络用户提供服务、培训和咨询;跟踪引进先进网络技术;负责网络的运行畅通、设备的运行维护、信息数据的安全保密工作;负责建立的网络设备档案;负责对网络安全事件进行风险识别、评估、监测和出具相关报告材料;制定网络的相关管理办法。
第六条 图书情报信息中心负责人员岗位变动情况的审核。图书情报信息中心负责对网络管理办法执行情况进行监督、检查。图书情报信息中心负责网络安全事件报送监管机构相关事项。
第七条 发起风险评估的责任主体为图书情报信息中心。接受安全风险评估的部门应参与制定安全风险评估计划及评估方案,了解评估可能造成的影响及规避措施,配合实施安全风险评估工作。参与安全风险评估人员应严格遵守学校保密管理规定,对接触到的敏感信息、漏洞情况等严格保密。如委托第三方进行风险评估,应选择符合国家和学校要求的风险评估服务机构,并在与之签订的协议中,明确保密要求及禁止利用中提供的权限、信息进行其它破坏性或者信息刺探等非法活动,保障学校及客户利益。
第三章 网络安全管理
第八条 为保障网络设备的安全、稳定运行,机房必须建立相应的接地、防雷、防火、防水设施和UPS等后备电源设备,并符合相关国家标准。
第九条 网络管理员负责网络的运行管理,实施网络安全策略和安全运行细则。
第十条 网络管理员应制定周密的切实可靠的网络备份和应急恢复方案,防止由于网络设备系统崩溃、硬件损坏等原因而引起业务中断。
第十一条 网络管理员应定期对中心机房网络设备进行巡检,监测网络设备的物理稳定性和系统稳定性,进行系统日志审计,并对系统状况及安全事件进行分析,制定相应的维护策略。
第十二条 网络设备发生故障,网络管理员应本着先抢通业务、后排除故障的原则按照规定流程排除故障,遇到重大故障时应及时上报领导,事后做好故障记录并编写故障分析报告。
第十三条 网络管理员应负责落实、实施涉及网络设备的密码管理机制。
第十四条 针对服务器、网络设备、网络安全设备应建立相应的日志服务器,历史记录保持时间建议不低于12个月;重要服务器、网络设备、网络安全设备日志应建立日志备份机制。
第十五条 任何人不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动,不得使用任何非法手段获取他人信息。
第十六条 网络设备、服务器等发生破坏案件,或遭到黑客攻击,如该案件影响到学校重要信息系统的正常运行,图书情报信息中心负责启动突发事件应急处置预案,并逐级上报。
第十七条 网络管理员定期对配置文件进行离线备份,在配置变更前、变更后分别对网络设备的配置文件进行备份。
第四章 网络接入管理
第十八条 网络接入应符合“谁主管、谁负责,谁接入、谁负责”总体原则,遵从“基于需求”、“集中化”、“标准化”及“可控”等具体原则。通过规范申请、审批等过程,实现安全的网络互联。
第十九条 外来人员未经许可不得使用网络资源,如需访问内网,由相关接待部门报主管领导审批并按学校规定的流程才可使用。
第二十条 未经图书情报信息中心许可,任何学校和个人不得非法私自将非计算机接入学校网络或擅自接纳网络用户。
第二十一条 未经图书情报信息中心允许,不得共享计算机内的各种资源;不得对计算机网络功能进行删除、修改或者增加;不得对计算机网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。
第五章 互联网上网管理
第二十二条 学校互联网出口必须部署防火墙等安全防护设备,接入互联网的电脑必须经过许可,并且安装防病、毒防火墙等安全防护软件。
第二十三条 学校上互联网电脑不得存储国家密级文件及学校重要文件,各学校要按照国家关于互联网上网信息安全有关规定,加强对本学校互联网上网电脑的管理,不得利用互联网泄露学校商业秘密和损害学校的利益,对于出现的违法违纪行为,学校将根据有关规定追究有关学校和当事人的责任。
第二十四条 学校互联网接入的目的是为了加强与外界的合作与交流。因此任何人不得在上网电脑上浏览非法网站和下载非法软件等,如因以上原因引起计算机系统染毒、系统崩溃而延误工作造成损失的,上网者将受纪律处分并负责对电脑进行修复。
第二十五条 学校员工上网应当遵守有关法律、法规的规定,加强自律,开展文明、健康的上网活动。严禁利用学校网络传播病毒,危害学校网络安全;制作、下载、复制、查阅、发布、传播或以其他方式使用反动、淫秽色情等有害信息;
第六章 安全加固及补丁管理
第二十六条 供应商和集成商需在服务期内及时为设备和系统安装操作系统、数据库、中间件等第三方软件的安全补丁,保证系统不出现高风险漏洞。
第二十七条 供应商和集成商需在安全补丁安装前完成与设备或系统的兼容性测试。如果出现不能兼容的情况,供应商和集成商必须免费对现有程序、应用进行修改和升级,或者免费提供额外的安全措施,以保证安全性。
第二十八条 供应商和集成商在系统验收前,必须对系统进行安全加固,并提交加固报告。集成商必须保证提供的系统上不存在任何高风险漏洞。如在验收后发现高风险漏洞,集成商和厂商应立即免费进行升级和加固。
第七章 帐号口令及日志审计管理
第二十九条 所有网络设备均需要支持基于帐号的访问控制功能,并对口令文件提供妥善的保护。禁止使用设备默认口令密码,禁止设置弱口令式密码。
第三十条 各网络设备应能保存帐号增删、配置更改、权限更改、重要操作和登陆信息等有关安全内容的日志。该日志的保存期限建议不小于2年。如果因容量限制无法满足该要求,应将日志定期导出,采用其他手段进行保存。
第三十一条 网络管理员管理应定期对运行日志、网络监控记录的日常维护和报警信息进行分析和处理。
第三十二条 如某些网络设备自身账号口令管理以及日志审计功能不能满足相关技术要求,需配套相应的外部安全设备以满足相应的安全技术要求。
第八章 网络升级与漏洞扫描管理
第三十三条 持续跟踪厂商提供的网络设备的软件升级更新情况,在经过充分的测试评估后对必要的补丁进行更新,并在更新前对现有的重要文件进行备份。
第三十四条 定期进行漏洞扫描,对漏洞风险持续跟踪,在经过充分的验证测试后对必要的漏洞开展修补工作。
第三十五条 实施漏洞扫描或漏洞修补前,应对可能的风险进行评估和充分准备,如选择恰当时间,并做好数据备份和回退方案。
第三十六条 漏洞扫描或漏洞修补后应进行验证测试,以保证网络系统的正常运行。
第九章 附则
第三十七条 本管理办法由图书情报信息中心负责解释。
第三十八条 本管理办法自发布之日起执行。