信息网络安全管理制度汇总-兰州城市学院信息网络中心

兰州城市学院校园网络安全管理规定

为加强我校校园网安全管理工作，确保校园网的正常运行，根据国务院《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、公安部《计算机信息网络国际联网安全保护管理办法》、国家保密局《计算机信息系统保密管理暂行规定》，特制定本规定。

一、管理组织与领导

1、成立兰州城市学院信息化与网络安全领导小组，该小组由分管校领导和学校办公室、宣传部、学生工作部、校团委、保卫处、信息网络中心等部门负责人组成，负责制定有关校园网安全管理的制度、措施；召开专项会议；负责贯彻落实上级有关管理部门的政策和规定；负责对校园网使用和管理进行监督检查。

2、信息网络中心在校园网络安全管理领导小组指导下负责具体的网络安全运行管理工作，并指定专人作为网络安全管理员，负责：1)对本部门工作人员的安全教育；2)网络安全保护的管理工作，对各项安全保护制度的执行情况进行监督；3)向公安机关汇报本部门网络安全的工作情况；4)配合公安机关开展案件调查工作。

3、各学院、各部门负责人为本单位的网络安全责任人，在信息化与网络安全领导小组领导下对本单位的网络安全负责。同时，各单位设立一名网络管理员，具体负责本单位的网络安全工作。

二、网络安全运行

1、除信息网络中心外，其他单位或个人不得以任何方式试图登录进入校园网主、辅节点，校园网相关服务器等设备进行修改、设置、删除等操作；不得以任何借口盗窃、破坏网络设施；不得切断学校、部门或他人的网络连接。

2、校园内进行建设、施工时，不得危害计算机网络系统的安全。校园网络主结点及二级结点所在单位必须保障节点设备24小时正常运行，不得以任何理由关闭有关设备或电源。

3、未办理入网手续，任何单位和个人不得非法私自将计算机接入校园网，不得以不真实身份使用网络资源，不得窃取他人帐号、密码使用网络资源,不得盗用未经合法申请的IP地址入网。

4、任何个人或单位网络使用者不得利用各种网络设备或软件从事用户帐户及密码的侦听、盗用活动，不得使用任何非法手段获取他人信息。

5、由信息网络中心采取必要措施，阻止网络攻击，消除安全隐患、漏洞，清除校园网中不健康的内容。

6、校内接入单位应当建立健全网络安全管理制度，建立备案制度，真实详尽记录各联网计算机的使用者和使用时间，并保留半年以上。

7、经学校信息化与网络安全领导小组批准开设的服务器必须保持日志记录功能，历史记录保存时间不得低于6个月，并不定期地检查各开设服务器的计算机日志。

8、校园网主、辅节点设备、连接线路及服务器等发生破坏性案件后，信息网络中心必须及时向校保卫部门及公安机关报告。

三、信息安全管理

1、网络用户必须遵守公安部《计算机信息网络国际联网安全保护管理办法》。

2、校园网内信息数据要分级实施保密措施。信息资源保密等级可分为：（１）可向Internet公开的；（２）可向校内公开的；（３）可向本院系（部门）公开的；（４）可向有关单位或个人公开的；（５）仅限于本院系（部门）内使用的；（６）仅限于个人使用的。

3、校园网中对外发布信息的WWW服务器中的内容必须按照《兰州城市学院网站管理办法（暂行）》的有关规定，由专人负责，审核后方能发布。

4、未经学校信息化与网络安全领导小组允许，任何单位或个人不得在主页上开设交互式栏目，不得设立游戏站点或纯娱乐性站点，一经发现，即从网上隔离，并追究相关人员的责任。

5、任何部门、个人使用校园网提供的Internet服务和电子邮件服务等必须与信息网络中心签订相应协议。

6、校园网的所有用户有义务向网络安全管理人员或有关部门报告涉及校园网的违法犯罪行为和校园网上存在的有害的、不健康的信息，并协助有关部门进行调查。学校信息化与网络安全领导小组应不定期检查校园网上发布的信息，督促信息网络中心和各部门对有害信息进行清除和备份。信息网络中心建立备案制度，记录来自校园网络内部和外部的可疑行为，记录保存半年以上。

7、校园网接入单位和用户须遵守知识产权相关的法律法规。

8、不得在校园网上使用来历不明、可能引发病毒传染的软件；对于来历不明的可能引起计算机病毒传染的软件应使用公安部门推荐的杀毒软件检查、杀毒。

四、安全教育与培训

1、网络安全教育与培训工作由信息网络中心具体负责。

2、信息网络中心负责在校园网上发布国家、地方和学校的网络安全管理办法、规定和有关制度。

3、信息网络中心负责对各院系（部门）计算机网络安全责任人和网络管理员进行安全教育和技术防范培训。

五、义务与责任

１、入网用户有遵守国家法律、行政法规，严格执行安全保密制度的义务和责任；有举报危害国家安全，泄露国家秘密等违法犯罪行为的义务和责任。

2、对违反法律、行政法规和有关规定的，由安全保密工作部门和公安机关分别依据职权范围，依据有关法律进行处罚，构成犯罪的，依法追究刑事责任。

３、对知情不报者，由于泄密造成危害或重大危害的，要在对泄密者追究责任的同时，依据有关法律、法规和规定由相关部门给予相应处罚。

4、任何单位和个人如发现计算机信息系统泄密的情况，应立即报告信息网络中心并协同采取补救措施，同时向有关部门报告。

5、违反下列行为之一者，信息网络中心可向所在单位或用户提出警告，停止其网络使用，如造成损失或影响严重的，报学校保卫处依照有关法律、法规及校纪校规进行处理，情节严重者移交公安机关处理。

（1）查阅、复制或传播下列信息: ①煽动抗拒、破坏宪法和国家法律、行政法规实施；②煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度；③捏造或者歪曲事实，散布谣言扰乱社会秩序；④公然侮辱他人或者捏造事实诽谤他人的；⑤宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等；⑥损害学校形象和学校利益的；（7）其他违反宪法和法律、行政法规的。

（2）破坏、盗用计算机网络中的信息资源和危害计算机网络安全的活动的。

（3）盗用他人帐号或IP地址的；

（4）私自转借、转让用户帐号的；

（5）故意制作、传播计算机病毒等破坏性程序的；

（6）不按国家和学校有关规定擅自接入校园网络的；

（7）上网信息审查不严, 造成严重后果的；

（8）使用任何工具破坏网络正常运行或窃取他人信息的。

六、本规定自公布之日起执行，由信息网络中心负责解释。

计算机实验室安全管理制度

信息网络中心实验室是进行计算机教学和实验的重要场所，为确保软硬件系统的可靠运行，有效地为教育教学服务，使实验室有一个更好的学习环境，特制定以下规定：

一、重视安全工作的思想教育，提高安全意识，做好计算机实验室的安全防范工作，防患于未然。

二、软、硬件系统均由实验室管理员进行维护和管理，严禁其他无关人员拆卸机器、插拔设备。损坏实验室设备者要照价赔偿并追究责任。实验过程中，如机器发生故障应及时与任课教师联系。

三、凡进入实验室的人员必须遵守实验室的各项管理规定，爱护实验室内的所有财产，未经管理人员许可不得随意使用，更不得损坏，如发现人为损坏将视情节按有关规定严肃处理。

四、实验室管理人员要爱护设备，认真维护保养设备，对实验室的电脑网络设备及其他教学辅助设备定期进行检查，发现故障及时检修，并要登记、报告。因管理不当所造成财产损失的，要按责任事故处理。

五、实验室是重点防火防盗单位，实验室管理人员要掌握防火技能，应在每学期初检查所配备的消防器材，如有问题应及时与保卫部门联系解决。管理人员必须严格遵守实验室的安全、防火制度，不准在实验室内吸烟。发现火警应切断电源，用灭火设备扑救，并立即报警。

六、实验室使用结束时，管理人员必须进行设备检查整理并做好记录，关闭门窗、设备和外部电源。

七、健全实验室固定资产帐目，实验室内所有设备要妥善保定。管理人员每年核对一次，做到账、物相符。

计算机操作员安全管理制度

1、计算机操作员必须遵守各项规章制度和操作规程，熟练掌握操作技能。

2、计算机操作员开机前必须认真检查设备，确认正常后方可开机；工作结束后按操作规程关机；临时离岗必须退出相关信息管理系统。

3、计算机操作员在操作过程中遇到意外情况应及时报告，并如实作好现场记录以利维护，不可强行操作，以免引发事故造成损失。

4、计算机操作员必须在规定职责范围内办理各项业务，不得越权操作。计算机操作员的账户名和密码只限本人使用，严格保密。发现泄密，要立即报告上级主管部门。

5、计算机操作员应爱护计算机设备，并负责所使用设备的日常维护及保养。未经许可不得擅自拆卸、安装和外借。不得更换电脑硬件和软件。

6、计算机操作员要严格遵守保密制度，违反规定造成不良后果者要追究当事人和有关人员责任。计算机操作员要对网络系统信息严加看管，不得遗失、私自传播。

7、计算机操作员严禁将电脑用于玩游戏、看电影。不得利用网络干扰、破坏网络用户、网络服务、网络设备等活动，不得有意传播病毒等。

信息资产管理制度

总则

一、为了更好地维护和管理信息系统设备，提高办公效率，降低管理成本，服务信息化建设，特制定本信息资产管理制度；

二、本制度所称信息系统资产是指应用于信息系统的所有资产，包括软件、计算机及其外设、网络设备以及相应的配件、耗材、工具等；

三、本制度主要是明确本办信息系统资产管理的权限和职责，共同维护和管理本办的信息系统资产；

四、信息系统资产的管理包括采购审核、资产登记、维护与支持、报废审核。

分类与标识

五、信息系统资产分为软件、信息系统设备以及配件耗材三大类。信息系统设备包括服务、台式电脑主机、便携式电脑、显示器、打印机、扫描仪、多功能一体机、网络交换机、路由器、防火墙等；

六、信息系统设备必须编制并保存与信息系统相关的资产清单，其内容必须包括资产责任部门、资产重要程度、资产所处位置等相关内容，并在初次投入使用前必须由信息系统管理员统一登记。

添置更换

七、设备添置更换流程

1、由需求人员申请；

2、信息科进行技术鉴定；

3、科负责人签字；

4、信息科分析信息系统设备需求，形成设备采购方案，如需采购则依照政府采购标准进行统一采购。

领用和交还

八、　设备由信息系统管理员统一发放，并登记领用人，并填写《设备领用登记表》明确责任人；

九、　信息系统资产的使用人或保管人即是该信息系统资产的责任人，负责信息系统资产的安全和一般性维护；

十、　公用信息系统资产的责任人为科长，或科长指定的员工；

十一、　科室人员在岗位异动或离职时，应向信息系统管理员交还领用的信息系统资产，如有遗失或损毁必须按本单位相关规定赔偿。

管理与维护

十二、信息系统设备实行包干管理负责制。每台设备都应有专人负责保管（包括说明书及有关附件），在未特别指定管理人员的设备由操作人员负责管理，并切实负起保管、维护责任。秘书行政科负责定期检查信息系统设备使用情况，进行需求分析，制订解决方案。

十三、　在使用信息系统设备前，应掌握操作规程，阅读有关手册。

十四、　爱护信息系统设备，做好防尘、防水、防磁、防震等工作。请勿在计算机上运行与业务无关的程序，未经系统管理员允许不得随意更改系统和网络设置、变更网线、加装设备。信息系统设备若出现故障，应及时向系统管理员反映，由系统管理员及时查明原因，组织维修。

十五、　未经秘书行政科同意，任何人不得外借信息系统设备及其附件给其它单位和个人使用。

报废

十六、　如需报废计算机及相关设备，由使用人员填写申报表，经相关部门鉴定无二次利用价值时，转由财务部门按相关规定办理设备报废手续。

访问控制安全管理制度

第一章　总则

一、为规范信息网络中心对各信息系统访问控制的有效安全管理，制订本规定。

二、本规定适用于数据中心机房所有信息系统的访问控制管理，包括但不限于如下方面：

1、根据业务和安全需求控制对信息的访问；

2、防止擅自访问网络、计算机和信息系统中保存的信息；

3、防止未授权的用户访问；

4、保护网络服务；

5、查找未授权的活动。

第二章　访问控制的业务要求

三、访问控制是对访问中心机房内资源的用户赋予使用权限并监督其使用。关于访问控制方针定义如下：

1、最小授权原则：仅授予运维用户开展业务活动所必需的最小访问权限，对除明确规定允许之外的所有权限必须禁止。

2、需要时获取：所有运维用户由于开展业务活动涉及到资源的使用时，应遵循需要时获取的原则，即不获取和自己工作无关的任何资源。

四、本着信息网络中心需要建立和不断完善主机、网络设备和安全设备等的访问控制策略，访问控制策略应至少考虑下列内容：

1、应用系统所运行业务的重要性；

2、各个业务应用系统的安全要求；

3、不同系统和网络的访问控制策略和信息价值之间的一致性；

4、访问请求的正式授权和取消；

5、定期评审访问控制。

第三章　用户访问管理

五、信息系统用户账号的创建、变更和取消由主机、应用系统、安全设备和网络设备的主管部门管理。具体参见《账号与口令管理办法》执行。

六、所有系统特权均应采取控制措施来限制特殊权限的分配及使用。任何信息系统只能由其所有者或授权管理者控制该系统的特权账号的密码，包括关键主机、网络设备和安全设备等所用的密码。

七、所有申请特权用户账号的行为必须通过系统主管部门，特权账号和密码在使用过程中应遵循以下规定：

1、原则上不得将特权用户密码交给运维提供商或本单位以外的其他人；

2、必要时，密码不得直接交给承包方的工程师，承包方工程师需要使用特权用户工作时，由持有特权账号的本信息中心内部人员登陆系统；

3、在运维提供商借用特权用户密码进行的工作完成后，应及时修改该密码。

八、用户密码管理具体参见《账号与口令管理办法》执行。

九、信息办负责对所有信息系统定期（每半年一次）进行用户访问权限检查，定期检查并清理多余的用户账号和权限。

十、特权用户权限也要纳入定期检查，包括：重要应用系统管理员账号、有管理员权限的WINDOWS账号、Linux的root账号、所有路由器、交换机或专用设备的管理员账号、防火墙管理员账号、有专门特权（取决于系统）的其它系统的账号等。

第四章　用户职责

十一、任何用户均需对其使用本人用户账号和密码产生的相关活动承担责任或可能的纪律和/或法律责任。同样，用户也禁止使用其它用户的ID从事活动。

第五章　网络访问控制

十二、在中心机房网络环境下，使用内网网络服务和外网网络服务时，均应遵守访问控制方针，同时还应遵守以下规定：

1、在进行网络服务的使用时，所有人员应遵守国家的法律、法规，不得在信息中心网络环境下从事非法活动。

2、所有用户应只能访问自己获得的授权的网络服务，严禁对网络服务进行非授权访问。

3、严禁通过使用网络服务将信息中心管理数据、业务资料、技术资料等信息私自泄露给任何第三方。

4、除非是职责范围之内，禁止在Internet上发布任何有关信息中心的信息。

5、禁止非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序。

十三、逻辑上通过使用MAC地址与IP地址绑定等方式对网络上的设备进行标识，物理上使用信息资产标签的方式进行设备标识，在进行网络运行维护时应特别注意这些标识，以免造成误操作。

十四、原则上禁止对信息处理设施和网络设备的远程诊断，必要时，必须采取身份验证和加密机制。

十五、中心机房保持严格的分离控制措施，保证跨边界的访问安全。边界使用防火墙规则、VLAN或路由器访问控制列表，阻止未授权IP地址的访问。

十六、防火墙策略的设计要遵守“缺省全部拒绝”原则，只允许必需的信息流通过网络。信息中心防火墙中要根据业务要求确定访问规则。

第六章　操作系统访问控制

十七、所有操作系统的登录应进行必要的控制，防止操作系统的非授权访问，在系统安全登录控制中可以考虑如下措施：

1、用户在操作系统的登录过程中泄露最少系统相关信息，避免给未授权用户提供任何不必要的帮助。

2、通过记录不成功的尝试、达到登录的最大尝试次数锁定等手段，达到对非授权访问登录的控制。

3、在成功登录完成后，显示前一次成功登录的日期和时间等信息。

4、不在网络中传输明文口令。

十八、所有系统应确保该系统中所有用户应有唯一的、专供其个人使用的标识符，应选择一种适当的鉴别技术证实用户的身份。这一控制策略适用于所有类型的用户。

十九、在中心机房所有的操作系统中，所有安装的软件及工具均应符合信息中心的管理规定，任何人不得私自安装非法软件，非工作需要任何人严禁安装以下类型的工具：

1、网络系统管理与监控工具；

2、漏洞扫描、渗透测试等工具；

3、网络嗅探、口令破解等工具。

二十、所有系统应设定超时不活动时限，超时后应清空会话屏幕，且尽可能在超时达到一定期限时，关闭应用和网络会话。超过一定时间用户没有操作，自动注销该用户登录。

第七章　应用和信息访问控制

二十一、应用系统的访问控制应基于用户的工作角色、业务要求或工作需要。

二十二、只有获得授权的信息技术人员才具有访问和管理数据库和中间件的权限，其他人员需要经过系统维护部门的批准后才可以获得数据库、中间件的访问权限。

第八章　移动计算和远程工作

二十三、中心机房对使用移动计算设备（包括笔记本计算机和PDA等）必须严格控制，包括但不限于以下方面：

1、公用移动计算设备中贮存的数据应作为临时资料处理，使用者在用后要删除；

2、用户必须设置操作系统登录密码或屏幕保护程序密码；

3、用户要确保移动计算设备处于安全的物理环境中，不得无人看守；

4、安装信息中心许可的软件，及时更新防病毒软件的病毒库，安装最新操作系统补丁等。

二十四、运程登录用户应通过口令或者其他验证手段验证用户的合法身份，并采取加密方式进行数据传输。

第九章　附则

二十五、本办法由信息网络中心负责解释。

二十六、本办法自发布之日起施行。

密码控制安全管理制度

第一章总则

一、为规范信息网络中心信息系统用户账号和密码管理，建立健全账号和密码安全防范和安全保障机制，确保信息系统的安全有效运行，制订本规定。

二、本管理规范适用于中心机房硬件平台、应用系统的账号的建立、以及权限的审批、账号和权限的评审、权限撤销和账号移除等。

第二章定义

三、用户账号是计算机信息系统通过一定的身份验证机制识别各类操作人员在系统中身份的一种标识。

四、特权账号是指对系统/网络/数据库等拥有超级权限的人员账号，包含但不限于系统管理员、网络管理员、数据库服务器管理员及数据库管理员等。

五、权限是指系统对用户能够执行的功能操作所设立的额外限制，用于进一步约束用户能操作的系统功能和内容访问范围，是指某个特定的用户具有特定的系统资源使用的权力。

第三章　账号权限申请

六、所有用户账号的开通应通过正式的账号申请审批过程，账号使用者提出并填写《兰州城市学院校园网数字身份证书申请表》，根据《访问控制安全管理规范》中的访问控制方针进行审批。

七、在对系统账号进行申请的过程中，应做到系统账号与责任人一一对应，确保每个账号都有人负责。

八、系统运行维护管理人员在开通账号前，应依据《兰州城市学院校园网数字身份证书申请表》内容检查申请人是否在该系统中拥有其它账号，若没有，方可为用户创建账号并分配相应的权限。原则上每个用户只能拥有唯一的账号，不得重复申请账号。

九、系统运行维护管理员应当保存用户账号分配申请记录。

第四章　账号使用规则

十、用户在获得账号后，应当立即修改账号默认密码。

十一、用户账号密码的选择和使用应当与密码保护策略相符合。

十二、用户账号是用户的唯一标识，只能由本人使用，不得交由他人使用。

十三、不得多人共用一个账号（特殊系统账号除外）。

十四、服务器本地管理员账号由系统管理员保管，禁用匿名账号（Guest账号）。

第五章账号权限变更

十五、在应用系统账号使用过程中，如果账号权限发生变化，应进行重新申请并填写《国家林业局办公网数字身份证书撤销/停用、恢复、更新申请表》。如需要增加系统权限，在申请的过程中，应对增加权限的原因进行详细描述。

十六、在进行系统权限的变更时，系统管理人员应依据《国家林业局办公网数字身份证书撤销/停用、恢复、更新申请表》内容检查申请人是否存有不再需要的其它账号或权限，如果存有不需要的账号或权限，应及时进行撤销。

十七、在系统账号权限变更授权过程中，权限变更内容以及变更原因应进行详细记录，以备以后查看。

第六章　账号权限消除

十八、当账号使用人员由于离职、调职等原因不需要使用原有的账号或者权限时，应对其系统账号或权限进行消除。

十九、系统管理人员应定期进行系统账号权限的复查（每半年一次），检查是否存在应该被消除而没有消除的系统账号或权限，并负责对应消除的账号或权限进行消除。

第七章密码保护策略

二十、密码必须由数字、字符和特殊字符组成

二十一、普通涉密设备设置的密码长度不能少于8个字符，密码更换周期不得多于60天；

二十二、重要涉密设备设置的密码长度不得少于10个字符，密码更换周期不得超过30天；

二十三、涉密计算机需要分别设置BIOS、开机、操作系统登录三个密码。

二十四、涉密设备设置的用户密码（开机、操作系统）由使用人自行保存，BIOS密码由信息网络中心保密员统一设置保管，严禁将自用密码转告他人；若工作需要必须转告，应请示本部门负责人认可。

二十五、所有账号不得使用系统默认密码，不得使用账号创建时的初始密码，用户首次使用账号时，应当立即更改默认密码。

二十六、用户不能将密码包含在任何自动登录程序上，不得将写有密码的纸条贴在显示器或者座位上。

二十七、用户要保护密码的保密性，不得多人共用密码；不允许在计算机系统上以无保护的形式存储口令。

二十八、系统管理员应对特权账号的密码进行适当的保护，如为方便记忆将口令存储于电子文件中，应对文件进行加密操作，如以纸质形式存在，则需要密封。

二十九、用户只要发现任何表明密码或系统遭到滥用的迹象，应立即更改密码。

第八章　附则

三十、本办法由信息网络中心负责解释。

三十一、本办法自发布之日起执行。

物理环境安全管理办法

第一章总则

目的：为了信息网络中心物理与环境安全管理的需要，保障校园网及学校信息化系统的正常运行，特制定本管理办法。

依据：本管理办法依据《兰州城市学院网络与信息系统安全保护管理办法（试行）》制定。

范围：本管理办法适用于信息网络中心。

第二章 基本要求

一、中心员工应根据校园网运营需要对资产进行保护。资产保护要求通过以下目标来实现：

二、确保所有资产的物理和环境保护能得到有效控制。

三、减少擅自访问或损坏影响资产的风险。

四、防止资产被人擅自删除或移动。

五、安全控制措施包括以下各项：

1、关键区域（机房、办公室）的信息处理设施周围设置实际安全隔离措施，如门禁系统等。

2、防护设备避免发生火、水、极端温度/湿度、灰尘和电产生的危害。

3、设备维护。

4、清理资产。

第三章安全区域

六、安全区域包括数据中心机房、UPS间、设备库房。

七、物理安全边界所有进入我行安全区域的人员都需经过授权，外来人员进入安全区域必须登记进入（持有效证件，得到被访者允许）。

八、安全区域防护措施：

（一）出入控制措施

1、数据机房的门禁系统必须启用，任何人都必须刷卡后才可进入机房；

2、外来人员出入机房必须登记《机房出入登记表》，记录姓名、出入时间、事由等并由中心工作人员引领进出；

数据中心机房应安装监控，机房内的工作均应接受监督或监控。

中心工作人员的控制措施

1、中心工作人员根据需要配发门禁卡；

2、中心工作人员调离时，其实际进入权也同时相应取消；

物理安全防护

1、机房建设应符合GB 9361中B类安全机房的要求；

2、危险或易燃材料应在离安全区域安全距离以外的地方存放大批供应品不应存放于安全区域内；

3、恢复设备和备份介质的存放地点应与主场地有一段安全的距离，以避免影响主场地的灾难产生的破坏；

4、应提供适当的灭火设备，并应放在合适的地点。

九、交接区安全

1、应设立交接区，同时：

向我中心发送货物必须预先通知货物资产所属科室、资产管理员；

2、送货公司名称和交货时间应当在接收货物之前由货物资产所属科室、资产管理员和信息安全管理员确认；

3、送货公司在进入安全区域之前要经过货物资产所属科室及资产管理员的鉴别确认；

4、货物资产所属科室和资产管理员应检验货物，以保证没有潜在危害。

第四章　设备安全

十、设备安置与保护

1、设备应进行适当安置，以尽量减少不必要的对安全区域的访问；

2、应把处理敏感数据的信息处理设施放在适当的限制观测的位置，以减少在其使用期间信息被窥视的风险，还应保护储存设施以防止未授权访问；

3、要求专门保护的部件要予以隔离，以降低所要求的总体保护等级；

4、应采取控制措施以减小潜在的物理威胁的风险，例如偷窃、火灾、爆炸、烟雾、水（或供水故障）、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏；

5、禁止在安全区域进食、喝饮料和抽烟；

6、对于可能对信息处理设施运行状态产生负面影响的环境条件（例如温度和湿度）要予以监视；

7、所有建筑物都应采用避雷保护，所有进入的电源和通信线路都应装配雷电保护过滤器；

8、应保护处理敏感信息的设备；极其重要设备应部署在不同位置。

十一、支持性设施

（一）应有足够的支持性设施（例如电、供水、排污、加热/通风和空调）来支持系统。支持性设施应定期检查并适当的测试以确保他们的功能，减少由于他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电。

（二）对支持关键业务操作的设备，应使用支持有序关机或连续运行的不间断电源（UPS）。电源应急计划要包括UPS 故障时要采取的措施。如果电源故障延长，而处理要继续进行，则要考虑备份发电机。应提供足够的燃料供给，以确保在延长的时间内发电机可以进行工作。UPS设备和发电机要定期地检查，以确保它们拥有足够能力，并按照制造商的建议予以测试。

（三）应急电源开关应位于设备房间应急出口附近，以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。

（四）要有稳定足够的供水以支持空调、加湿设备和灭火系统（当使用时），供水系统的故障可能破坏设备或阻止有效的灭火。如果需要还应有告警系统来指示水压的降低。

（五）应至少有两条不同网络出口链路及校区间互联链路以防止在一条链路发生故障时网络服务失效。

（六）实现连续供电的选项包括多路供电，以避免供电的单一故障点。

十二、电缆安全

（一）敷设到我中心各个区域的电缆线的保护方式如下：

1、进入信息处理设施的电源和通信线路宜在地下，若可能，应提供足够的可替换的保护；

2、网络布缆要免受未授权窃听或损坏，例如，利用电缆管道或使路由避开公众区域；

3、为了防止干扰，电源电缆要与通信电缆分开；

4、使用清晰的可识别的电缆和设备记号，以使处理失误最小化，例如，错误网络电缆的意外配线；

5、使用文件化配线列表减少失误的可能性；

6、对于敏感的或关键的系统，更进一步的控制考虑应包括：

（1）在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子；

（2）使用可替换的路由选择和/或传输介质，以提供适当的安全措施；

（3）使用纤维光缆；

（4）使用电磁防辐射装置保护电缆；

（5）对于电缆连接的未授权装置要主动实施技术清除、物理检查；

（6）控制对配线盘和电缆室的访问；

十三、设备维护

（一）应按照供应商推荐的服务时间间隔和规范对设备进行维护。

（二）由供货商维护的设备。各种维护活动要按照合同协议或设备购买时的维护计划进行。

（三）只有已授权的维护人员才可对设备进行修理和服务。

（四）原则上应保存所有维护记录。

（五）要保证所有可疑的或实际的故障以及所有预防和纠正维护的记录。

（六）设备资产的管理科室或相关管理员应当向外包维护单位索取维护计划和记录。

（七）设备资产的管理科室或相关管理员定期审核维护记录和计划。

（八）当对设备安排维护时，应实施适当的控制，要考虑维护是由内部人员执行还是由外部人员执行；当需要时，敏感信息需要从设备中删除或者维护人员应该是足够可靠的；

（九）应遵守由保险策略所施加的所有要求。

十四、场外设备的安全

（一）离开办公场所的设备的保护应考虑下列措施：

1、离开建筑物的设备和介质在公共场所不应无人看管。在旅行时便携式计算机要作为手提行李携带，若可能宜伪装起来；

2、制造商的设备保护说明要始终加以遵守，例如，防止暴露于强电磁场内；

3、家庭工作的控制措施应根据风险评估确定，当适合时，要施加合适的控制措施，例如，可上锁的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信；

4、足够的安全保障掩蔽物宜到位，以保护离开办公场所的设备。安全风险在不同场所可能有显著不同，例如，损坏、盗窃和截取，要考虑确定最合适的控制措施。其它信息用于家庭工作或从正常工作地点运走的信息存储和处理设备包括所有形式的个人计算机、管理设备、移动电话、智能卡、纸张及其他形式的设备。

十五、设备的安全处置与重新使用

（一）设备报废处置时，存有敏感信息的存储设备要从物理上加以销毁，或用安全方式对信息加以覆盖，而不能采用常用的标准删除功能来删除。

（二）所有带有诸如硬盘等储存媒介的设备在报废前都要对其检查，以确保其内存储的敏感信息和授权专用软件已被清除或覆盖。存有敏感数据的已损坏的存储设备要对其进行风险评估，以决定是否对其销毁、修理或遗弃。

（三）为保证信息安全，必须在处理介质前擦除有关的敏感信息：

1、用碎纸机销毁所有的敏感纸质记录。废纸可在碎纸后立即处置掉。

2、所有的纸质记录都必须在处置前销毁。

3、磁带和磁盘必须在处置前实际销毁和核对。

4、数据存储光盘应在处置前实际销毁。

（四）凡敏感性介质的处置都必须填写《信息介质处置申请表》，经中心负责人同意后，方可进行处置。并记录在《信息介质处置记录表》，留待审计时备查。

十六、设备的移动

（一）应考虑如下措施：

1、在未经事先授权的情况下，不应让设备、信息或软件离开办公场所；

2、明确识别有权允许资产移动，离开办公场所的雇员、承包方人员和第三方人员；

3、应设置设备移动的时间限制，并在返还时执行符合性检查；

4、若需要并合适，要对设备作出移出记录，当返回时，要作出送回记录。

（二）应执行检测未授权资产移动的抽查，以检测未授权的记录装置，防止他们进入办公场所。这样的抽查应按照相关规章制度执行。应让每个人都知道将进行抽查，并且只能在法律法规要求的适当授权下执行检查。

第五章　附则

十七、本管理办法由信息网络中心负责解释和修订。

十八、本管理办法自发布之日起施行。

通信与操作安全管理规范

第一章　总则

一、为确保正确、安全地操作信息处理设施，建立信息处理设施的管理与操作的职责和流程，实施责任分割，减少误用系统的风险,制订本规定。

二、在数据中心机房运行的所有信息系统的通信与操作管理，均应按照本规范来执行。

第二章操作流程和责任

三、与通信和操作相关的信息安全活动应形成固定流程，重要的流程应该形成文件，例如应用系统运行维护、网络系统管理、数据备份、计算机病毒防治、备份介质管理、移动介质管理、计算机机房管理、电子邮件管理等。

四、通信与操作相关的管理制度应包括每项工作的管理职责、工作流程等内容，信息网络中心所有相关人员应要求能够获得并遵循相关的管理制度。对信息中心所有与通信操作有关的变更应进行管理控制。变更策略定义如下：根据变更的性质，系统维护过程中的变更可分为标准变更、常规变更、重大变更、紧急变更四种类型，对这四种类型的定义遵照《变更管理策略》执行：

1、标准变更与预授权变更，处理变更时不需要单独进行申请，其它类型变更在进行前均需要提出并填写《变更申请单》，紧急变更为口头申请，常规变更和重大变更书面申请。

2、在进行变更申请时，变更申请人员应制定详细的变更计划，变更计划中应包含变更时间、变更人员、变更详细实施步骤、变更风险及影响、变更回退步骤等内容。

3、变更执行前应进行必要的测试，以保证变更实施时对系统产生影响降到最小。

4、变更实施时应严格按照变更计划执行，在变更执行以后，需要判断变更后服务是否工作正常，如果工作不正常则根据变更回退计划的内容执行回退步骤。

5、除标准变更外其它所有变更的内容与过程都应详细记录，并存档。

五、信息中心在进行运维服务过程中的变更管理流程，参见IT服务管理《变更管理流程》。

六、在进行界定信息处理设施和系统的安全管理职责时，应考虑进行必要的职责分离，以降低非授权或无意识的修改或者不当使用对信息处理设施和系统造成的危害。

七、生产环境内不得进行开发或测试活动，除非得到生产环境主管部门及生产环境维护部门特别授权。

八、如因特殊原因必须在生产环境下进行测试时，应遵守以下策略：

1、测试方、运维方和需求方讨论潜在的安全风险并制订防范和处置措施；

2、测试人员全权负责开发测试系统的管理，运维人员未经授权不得参与应用系统的软件开发、开发测试工作；

3、运维人员全权负责生产系统的运维管理，测试人员未经授权不得参与生产系统的有关工作；

4、运维人员要密切监控生产系统，以保证开发测试工作不会对生产系统造成服务影响或安全事故；

5、在测试完成后，原则上需要立即从生产环境卸载开发测试内容。

第三章　第三方服务交付管理

九、第三方服务是指信息网络中心为满足自身发展的需要，聘用行业内单位或外部机构提供系列的专业性服务过程。

十、与第三方的服务交付协议应考虑包括商定的安全措施、服务定义和交付质量，还应考察第三方的服务能力，及在系统故障或灾难发生后持续提供技术服务的能力。

十一、应对第三方的服务及相关的报告、记录、交付件等进行评审，对第三方服务的监督和评审应按照商定的合同或协议执行，监督和评审应涉及到如下内容：

1、监督服务执行效率并检查对协议的符合程度；

2、评审由第三方产生的服务报告、记录、交付件，定期安排项目进展会议；

3、第三方应提供如下信息内容供信息中心评估：服务过程中所应用到的软硬件产品、所使用的协议、系统部署及使用指南、知识产权、安全使用许可销售证明等；

4、对服务交付过程中出现的所有问题进行识别和管理。

十二、信息网络中心在第三方服务发生变更时，应对服务变更所带来的风险进行分析，尽量将服务变更给业务带来的影响降到最低，在进行服务变更时应考虑如下内容：

1、变更使信息网络中心面临风险的影响，即：是否会带来新的信息安全风险；

2、变更过程中的服务资料、信息资产、服务内容的交接等事项；

3、变更过程中合同内容以及保密协议中内容条款的限制。

第四章系统规划与验收

十三、在进行系统建设与维护的过程中，应对系统未来的容量、功能和性能等要求进行预测，尽量避免可能对系统安全或应用服务提供构成隐患的潜在瓶颈，在进行容量规划中主要依据以下内容进行判断：

1、预测时要考虑信息中心、各相关单位对信息系统当前状况的要求和未来的发展趋势；

2、基于采购成本和使用年限的考虑，当对主要应用系统资源的使用情况进行监视，包括处理器、内存、储存系统、网络系统等。

十四、应用系统新建或者升级完成后，应根据相应的技术标准文档或合同进行技术性验收，要保证所采用的升级、补丁和新的版本不会影响正常的操作过程。验收的过程中需要注意一下内容：

1、系统的性能、容量等是否满足建设要求；

2、是否与原有信息系统能够良好的进行兼容；

3、是否拥有完备的系统操作、实施、维护文档；

4、是否对应用新系统进行相关培训；

5、是否具有后续的技术支持服务等。

第五章防止恶意和移动代码

十五、为防止恶意代码的破坏，需遵守《病毒防御管理办法》中有关防范恶意代码和移动代码的管理规定。

十六、移动代码是指通过一定的途径，例如通过网络传输，可在软件系统之间转移，并在没有明确的安装提示下在代码接收人本地系统上执行的代码。移动代码的例子包括脚本（JavaScript中的VBScript）、Java小程序、ActiveX控件等。

十七、非业务需要严禁使用移动代码，如工作需要必须要执行移动代码，应考虑使用如下控制手段：

1、在逻辑上隔离的环境中执行移动代码；

2、使技术测量措施在一个特定系统中可用，以确保移动代码的有效管理；

3、控制移动代码的资源访问；

4、使用密码控制，以唯一地对移动代码进行认证。

第六章备份

十八、信息网络中心重要的网络设备、安全设备、服务器、操作系统、中间件、数据库和应用系统，均应建立正式的备份策略，备份策略记录在《数据备份恢复策略》表单中，并且按照指定的备份策略进行备份并检查。

十九、所有的备份数据存储介质应进行妥善保管，避免由于管理不善造成数据损坏、信息泄露等事故，并对备份数据进行定期的恢复测试，以验证备份的效果，并对恢复测试进行记录，记录形式参见《备份恢复测试记录表》。

二十、备份数据的恢复能力应满足的业务持续计划的要求。

第七章网络安全管理

二十一、中心机房网络环境应进行充分的控制和管理，以确保网络上非授权访问的风险，具体网络控制策略参见《访问控制安全管理规范》网络访问控制策略。

二十二、为进行网络服务的管理，网络管理人员应使用网管系统监测网络设备和链路的运行情况，并且考虑一下措施来保障网络服务的安全性：

1、所有允许互联网用户访问的内部系统，必须置于防火墙后，防火墙策略默认为禁止；

2、使用VLAN划分开不同安全级别的内部信息系统，需要时候使用访问控制列表；

3、网络设备及主机中的网管关键字要取消“Public”、“Private”的默认设置，网管关键字的字符长度应当在8位以上。

第八章介质处置

二十三、信息网络中心办公网范围内的所有移动介质必须进行严格的控制，所有的移动介质的使用必须进行审批、登记，具体管理办法参见《移动介质管理办法》。

二十四、为保证信息安全，介质报废前必须擦除有关的敏感信息，包括如下：

1、磁带、磁盘和光学贮存介质必须在报废前需要进行数据安全清除。

2、不能进行数据清除的存储介质应交保密办进行物理销毁。

二十五、主机、网络设备、安全设施和个人办公计算机等的系统文件应进行相应的逻辑访问控制，防止未授权访问。系统文件只能由授权的人员通过本信息中心网络用户验证后进行访问。

第九章信息的交换

二十六、学校各级领导干部收发的所有工作相关电子文件都必须经过病毒扫描。对电子邮件的使用、管理和归档的有关要求请参见《电子邮件安全管理办法》。

二十七、学校各级领导干部干部和其他授权人员仅限于为工作目的接入业务信息系统，在进行授权的过程中依据访问控制方针进行。

二十八、所有对外服务的网站应置于防火墙后，除非必要，否则应只容许HTTP/HTTPS服务。

第十章监控

二十九、关键网络安全事件和关键服务器安全事件应记录在事件日志中，其内容包括以下信息：

1、用户验证用的用户账号；

2、网络地址；

3、系统登录成败（验证结果）；

4、事件的日期和事件。

三十、必要时须进行查看分析系统操作系统、故障日志等内容，所有日志均应得到适当保护，任何人在没有相关负责人的授权下，严禁私自删除或更改系统日志。

三十一、所有相关信息处理设施的时钟应使用信息网络中心配置的时钟同步服务器进行同步。信息网络中心应保证时钟同步服务器时间的准确性。

第十一章附则

三十二、本办法由信息网络中心负责解释。

三十三、本办法自发布之日起施行。

信息开发安全制度

一、开发业务应用程序必须按照上级有关的规定，向上级部门写出立项报告和开发申请，待批复后方能进行开发。

二、各项软件的开发要在学校信息化领导小组的统一组织下进行，做到统一领导、统一规划、统一组织、统一实施。未经有关领导同意和信息化领导小组的认可，任何个人不得私自开发有关业务软件。

三、软件开发必须根据学校的需求，严格按软件开发的规范分阶段进行。

四、在系统分析阶段。技术和业务人员要充分讨论业务需求，对业务处理流程进行详细分析，并进行可行性论证。

五、设计阶段，技术人员要精心设计系统实施方案和系统的安全方案，应保证系统的安全性、可靠性、容错性、可操作性、可移置性。

六、开发人员编码完成后，要进行严格的安全测试。

七、软件系统正式投入运行前，要经过一段时间的试运行，在试运行中要对软件跟踪分析，进行完善、修改、维护，并对业务操作人员进行操作培训，试运行无误后方可投入正式使用。

八、软件开发各阶段应建立完整、准确、标准的文档资料。

九、系统正式使用后，开发人员必须将软件源码程序及相关资料上交，进行统一保管，严禁个人保存。

十、软件正式使用后的修改维护工作严格按照有关规定进行。

第三方信息安全管理制度

一、为了规范信息网络中心的外部第三方用户在共享信息网络中心内部信息、或访问信息网络中心内部信息系统时的行为，保护信息网络中心网络与信息系统安全，特制定本管理办法，用于信息网络中心对第三方机构和人员进行安全管理。

二、本管理办法适用的第三方包括信息网络中心的产品供应商、代维服务商、合作厂商等，制度的执行和责任由与第三方接触的信息网络中心相关科室承担。

三、第三方合作伙伴在涉及到共享信息网络中心内部信息、或访问信息网络中心内部信息系统时，必须遵守本管理办法。

四、在信息网络中心网络与信息安全工作中，本管理办法是指导第三方安全管理的基本依据，相关组织和人员必须认真执行本管理办法，并根据工作实际情况，制定并遵守相应的实施细则和操作流程，做好第三方安全管理工作。

五、第三方人员进入信息网络中心所属单位及其建筑物，应遵守信息网络中心相关安保制度。

六、接待部门应当建立第三方来访预约制度和接待记录制度。对第三方人员的访问，信息网络中心应进行登记，详细登记来访原因、工作单位、出入时间、会见人、目的、有效证件。

七、第三方人员访问信息网络中心过程中，必须由接待部门安排专人陪同，不得任其自行走动。

八、对于需要长时间访问信息网络中心的外部人员应该建立档案，档案应与通行证对应，并签订安全保密协议。

九、未经信息网络中心特别许可，第三方人员不得在科技公司内摄影、拍照。

十、信息网络中心员工要遵守相关安全保密规定，禁止与第三方人员谈论与其工作无关的内容，对共享给第三方人员的信息应登记。

十一、如因业务需要须向第三方提供含有信息网络中心保密信息的文件、资料或实物的，接待人应当在获得相应的批准或授权，并与第三方签订保密协议后再行提供，提供时应开具清单请第三方签收。

十二、访问活动结束后，应陪送第三方人员离开信息网络中心，并注销访问登记并归还来宾卡或访问登记单。

十三、同信息网络中心合作的第三方如有人员变动应及时通知信息网络中心相关科室。

十四、除以下情况外，不得引领和允许第三方人员访问机房等重要区域：

1、单位领导批准的参观活动；

2、必要的仪器设备现场安装、维修、调测；

3、第三方因业务需要进入上述区域的其它情形。

十五、第三方人员访问机房须遵守机房管理相关规定。

十六、第三方人员进入计算机房或进行上机操作，须经信息网络中心领导或项目负责人批准，并进行相应登记，记录原因、目的及操作内容，指定专人全程陪同。

十七、信息网络中心员工有义务向第三方人员说明网络接入安全要求。

十八、第三方人员不允许私自连接企业网络。如果必要，必须提出申请，征得网络科允许后方可接入。第三方人员连接网络要进行相应登记备案，并遵守网络使用安全协议。

十九、长期使用内部网络的第三方人员的计算机必须接受信息网络中心的统一客户端管理，包括客户端管理软件的安装、安全策略的配置等。

二十、第三方人员如果需要访问网络资源，须提前明确申请要访问资源的类型、范围和方式，以便管理员进行审批，并提供相应的访问权限和访问方法。除了明确授权可以访问的资源以及相应访问方式以外，其他所有资源和资源访问方式都应该理解为禁止的。

二十一、第三方人员操作服务器或网络设备，必须使用临时帐号，使用之后由相应的管理人员及时清除；对于长期在信息网络中心工作的技术支持、顾问、服务人员，如果需要长期操作服务器或网络设备，管理人员应该为第三方人员创建单独的帐号。

二十二、信息网络中心有权对第三方人员在信息网络中心内部网络的活动进行检查、审计和监控。

二十三、第三方人员的计算机要求安装有防病毒软件，不得携带有木马、病毒等破坏性程序。

二十四、第三方人员不准使用信息网络中心网络从事同工作无关的网络活动。

二十五、第三方人员不准在信息网络中心网络内部通过拨号或其它手段直接建立到其它网络的物理链路，包括其他公司网络和互联网。

二十六、本管理办法由信息网络中心每年复核一次，在必要时进行修订，并颁发执行。

二十七、本管理办法解释权归信息网络中心。

二十八、本管理办法自下发之日起生效。

信息安全事件管理制度

第一章总则

为了切实有效的保证学校信息系统安全，提高信息系统为学校的服务能力，特制定信息系统相关管理制度，设定信息网络中心对学校整体信息系统进行管理，以保证学校信息系统的正常运行。

第二章范围

一、计算机网络系统由基础线路、计算机硬件设备、软件及各种终端设备的网络系统配置组成。

二、软件包括：PC操作系统、数据库及应用软件、有关专业的网络应用软件等。

三、终端机的网络系统配置包括终端机在网络上的名称，IP地址分配，用户登录名称、用户密码、OA地址设置及Internet的配置等。

四、系统软件是指: 操作系统（如 WINDOWS XP等）软件。

五、平台软件是指:设计平台工具（如AUTOCAD等）、办公用软件（如OFFICE）等平台软件。
6.基础线路是指：联系整个信息系统的所有基础线路，包括学校内部的局域网线路及相关管路。

第三章职责

一、信息网络中心为网络安全运行的归口单位，负责计算机网络系统的日常维护和管理。负责系统软件的调研、采购、安装、升级、保管工作。负责软件有效版本的管理。

二、信息管理人员负责计算机网络、办公自动化、生产经营各类应用软件的安全运行；服务器安全运行和数据备份；internet对外接口安全以及计算机系统防病毒管理；各种软件的用户密码及权限管理。

三、员工执行计算机安全管理制度，遵守学校保密制度。

四、系统管理员的密码必须由信息管理部门相关人员掌握。

五、信息网络中心负责学校网络系统基础线路的实施及维护。

第四章管理

4.1网络系统维护

一、系统管理员每日定时对机房内的网络服务器、各类应用数据库服务器及相关网络设备进行日常巡视，并填写《网络运行日志》〔附录A〕记录各类设备的运行状况及相关事件。

二、对于系统和网络出现的异常现象网络科应及时组织相关人员进行分析，制定处理方案，采取积极措施，并如实将异常现象记录在《网络运行日志》〔附录A〕。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、预防措施等内容记录在《网络问题处理跟踪表》〔附录B〕上。科室负责人要跟踪检查处理结果。

三、定时对相关服务器数据备份进行检查。

四、定时维护OA服务器，及时组织清理邮箱，保证服务器有充足空间，OA系统能够正常运行。

五、维护Internet 服务器，监控外来访问和对外访问情况，如有安全问题，及时处理。

六、制定服务器的防病毒措施，及时下载最新的防病毒疫苗，防止服务器受病毒的侵害。

4.2 基础线路建设管理

一、在进行网络系统基础线路新建或增加时，信息网络中心应会同相关单位及专业公司尽可能的从整体性、先进性、可拓展性等方面规划建设，为学校网络系统的可持续发展打下良好的基础。

二、基础建设完成后，将基础建设所涉及的图纸、标识等竣工资料保管整齐，以备后续的增添及维护。

三、在日常维护中，如有增加或改变走线方向等，需在原有资料上作好相应更改。

四、在重要线路或容易遭受破坏部位，应设立警示牌或其它警示标志，以保护基础线路。

4.3 客户端维护

一、按照人事处下达的新员工（或外借人员）姓名、分配单位、人员编号为新的计算机用户分配计算机名、IP地址等。

二、新员工（或外借人员）需使用计算机向信息网络中心提出申请经批准由信息网络中心负责分配计算机、OA的ID和邮箱。

第三条员工离职应将本人所使用的计算机名、IP地址、用户名、登录密码、经信息网络中心人员核实并将该记录登记备案。

四、网络用户不得随意移动信息点接线。因房屋调整确需移动或增加信息点时，应由网络科管理人员统一调整，并及时修改“网络结构图”。

五、为客户机安装防病毒软件，并通知和协助网络用户升级防病毒疫苗。

4.4 系统及平台软件的管理

一、由信息管理员提出相关系统软件的采购及升级申请，填写《软件引进、升级审批表》〔附录D〕，经信息网络中心领导及学校领导批准后采购。

二、应将原始盘片、资料、合同及发票复制件归档案保存，以备日后查询等。

三、应办理软件注册手续，并将软件认证号码、经销商和技术支持商相关信息填入《软件信息表》〔附录C〕。

四、信息管理人员负责软件的安装。

五、信息管理部门保存和使用软件的复制盘片，也可根据需要从档案借出原始盘片，复制相关资料留存使用。

六、信息管理人员应及时下载系统及平台软件的相关补丁程序，并与原系统进行配套管理和使用。

七、信息管理员负责将软件商信息记录在《软件信息表》〔附录C〕，就软件技术问题与软件商联系，并负责软件的升级。

4.5 软件维护与管理

一、用户向信息管理人员提交软件维护请求。接到请求的信息管理人员应及时提供维护服务，并填写《维护记录》〔附录E〕。

二、对于较复杂的问题，处理人应及时与技术人员沟通，技术人员组织研究解决方案，及时处理问题。

三、应记录处理问题的方案及结果，信息管理员定期组织交流，总结汇总各种软件的问题，以便改进软件，积累经验，提高处理问题的技术水平。

四、用户需自行安装系统和专业软件时，应填写《软件借用记录》〔附录F〕，办理借用手续。

五、信息管理员应建立系统、平台、管理软件的有效版本清单，并定期发布，格式见《软件有效版本清单》〔附录G〕。

4.6 数据备份与计算机病毒防治

一、每月应至少做一次服务器数据的备份，应对数据库进行自动实时备份。

二、在服务器和客户端微机上安装病毒自动检测程序和防病毒软件，信息管理人员应及时下载防病毒疫苗，用户应及时下载疫苗并检测、杀毒。

三、在向微机及服务器拷贝或安装软件前，首先要进行病毒检测。如用户经管理代表批准安装外来软件，应经过计算机人员对安装软件进行防病毒检测。

四、对于外来的图纸和文件，在使用前要进行病毒监测。

五、送外维修和欲联网的计算机必须经过病毒检测后，方可联入网络。

六、为了防止病毒侵蚀，员工和信息管理人员不得从internet网下载游戏及与工作无关的软件，不得在服务器或关键客户端微机上安装、运行游戏软件。

4.7 系统管理员与用户的职责和义务

一、系统管理员应由信息网络中心领导批准设立，具有系统管理员权限的用户应对所管理系统的安全负责。

二、系统管理员不得擅自泄露其他用户的用户名及密码，不得为员工检索其他人员信息和企业保密信息。

三、因工作需要，经主管领导批准，系统管理员可以为用户检索、打印企业信息，但应妥善保管打印件，并对作废内容及时销毁。

四、系统管理员不得随意修改合法用户的身份，确因工作需要应得到主管领导的批准。

五、系统管理员应遵守保密制度，不泄漏学校信息。

六、用户有权以自己合法的身份使用应用系统。

七、用户不得盗用其他人的身份登陆网络或进入应用系统，确因工作需要需征得本人的同意。

八、用户应保管好自己的密码，并三个月更换一次密码，以保证数据安全。

4.8 重大操作事项审批制度

一、涉及到服务器系统、网络、数据库安全的操作应填写《重大操作事项审批表》〔附录H〕，任何人不得擅自更改运行系统的相关配置。

二、部门负责人应组织相关人员及专家讨论操作的必要性和可行性，制定安全措施和操作步骤。

三、经批准的重大操作需做充分的实验和准备，并验证其可行和安全后，由两人以上共同操作。

四、对管理软件的重大操作和维护应执行重大操作审批制度，不允许对运行的软件进行直接调试和试运行。

五、在重大操作实施之前，应做好系统的备份。在实施过程中，应详细记录操作过程，以保证实施过程发生意外时能将系统恢复到实施前的运行状况。

附录A:

网络运行日志

日/月/年	时:分	问题记录	巡视人	签字

注：

（1）简要记录发现的问题及问题处理结果。

（2）针对当时没有解决的问题或重要的问题应填写“网络问题处理跟踪表”。

附录B:

网络问题处理跟踪表

日/月/年
网络出现问题时间		填表人
问题描述：
原因分析：
处理方案：
处理结果：
预防措施：
执行人	跟踪人	完成时间

附录C:

软件信息表

序号	软件名称		采购日期
软件开发商信息
名称	联系人		电话
地址		网址

附录D:

软件引进、升级审批表

软件（项目）名称		软件开发单位
申请部门负责人
软件引进、升级意向（软件功能、引进的必要性等，由负责人填写）	签署日期年月日
主管领导审批意见	签署日期年月日

附录E:

维护记录表

维护需求
处理结果
工作内容（或设备名称）数量备注（或单价）

注：

（1）本表适用于计算机管理人员对客户端提供的操作系统、管理软件、硬件设备的维护，以及设备外送维修服务。

（2）客户端维护由用户验收，外修设备由计算机管理人员验收。

附录F:

软件借用记录

软件名称	盘片/资料	借用人	借出时间	应归还时间	归还时间	经办人

附录G:

软件有效版本清单

序号	软件名称	软件编号	登记日期	使用部门	备注

附录H:

重大操作事项审批表

申请事项		申请人
存在问题
预期成果
可能产生的问题
预防措施
所需准备
操作步骤
参加人员及分工		操作时间
批准签字

信息安全应急管理制度

第一章　总则

1.1 编制目的

建立健全我校信息安全事件应急工作机制，提高应对网络与信息安全事件能力，预防和减少网络与信息安全事件造成的损失和危害，维护国家安全和社会稳定。

1.2 编制依据

依据《中华人民共和国突发事件应对法》、《国家网络与信息安全事件应急预案》。

1.3 适用范围

本预案适用于学校范围内发生的Ⅳ级（一般）网络与信息安全事件的预防和处置，并配合省、市、区预防和处置Ⅰ级（特别重大）、Ⅱ级（重大）、Ⅲ级（较大）网络与信息安全事件。

1.4 事件分类

网络与信息事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。

1.有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

2.网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

3.信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

4.信息内容安全事件是指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

5.设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

6.灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。

1.5 事件分级

网络与信息安全事件分为四级：Ⅰ级（特别重大网络与信息安全事件）、Ⅱ级（重大网络与信息安全事件）、Ⅲ级（较大网络与信息安全事件）、Ⅳ级（一般网络与信息安全事件）。

1.5.1 符合下列情形之一的，为特别重大网络与信息安全事件(Ⅰ级)：

（1）信息系统中断运行2小时以上，影响人数100 万以上。

（2）信息系统中的数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁，或导致10亿元人民币以上的经济损失。

（3）通过网络传播反动信息、煽动性信息、涉密信息、谣言等，对国家安全和社会稳定构成特别严重危害的事件。

（4）其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络与信息安全事件。

1.5.2 符合下列情形之一且未达到特别重大网络与信息安全事件（Ⅰ级）的，为重大网络与信息安全事件（II级）：

（1）信息系统中断运行30分钟以上、影响人数10 万人以上。

（2）信息系统中的数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁，或导致1亿元人民币以上的经济损失。

（3）通过网络传播反动信息、煽动性信息、涉密信息、谣言等，对国家安全和社会稳定构成严重危害的事件。

（4）其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与信息安全事件。

1.5.3 符合下列情形之一且未达到重大网络与信息安全事件（II级）的，为较大网络与信息安全事件（Ⅲ级）：

（1）信息系统中断运行造成较严重影响的。

（2）信息系统中的数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁，或导致1000万元人民币以上的经济损失。

（3）通过网络传播反动信息、煽动性信息、涉密信息、谣言等，对国家安全和社会稳定构成较严重危害的事件。

（4）其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络与信息安全事件。

1.5.4 除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络与信息安全事件，为一般网络与信息安全事件（IV级）。

1.6 工作原则

在学校信息化领导小组的领导下，坚持统一指挥、密切协同、快速反应、科学处置；坚持预防与处置相结合，以预防为主；坚持谁主管谁负责、谁运行谁负责的原则，充分发挥各方面的力量，共同做好网络与信息安全事件的预防与处置工作。

第二章组织机构与职责

2.1 组织机构

主要成员机构由学校领导、学校办公室以及信息网络中心和其他单位负责人组成。根据需要和实际情况可以增加和修订组织机构。

局网络与信息安全事件应急指挥部组成。指挥长：校长。副指挥长：牟校长、王基书记。

（一般）IV级以上网络与信息安全事件发生后,及时将具体情况上报学校办公室，根据学校办公室（以下简称区政府办）的建议和处置工作需要,配合学校办公室以及应急指挥部处理。

2.2 组织机构职责

学校网络与信息安全事件应急指挥部职责：负责我校IV级（一般）网络与信息安全事件应急处置工作的领导、指挥、协调和上报，作出应对处置网络与信息安全事件的决策，决定要采取的措施。配合上级政府和有关部门预防和处置我校Ⅰ级（特别重大）、Ⅱ级（重大）件、Ⅲ级（较大）以及部分IV级（一般）网络与信息安全事件。

信息网络中心负责网络与信息系统的安全和稳定的日常维护，并及时将情况上报分管领导。

2.3 日常管理机构

信息网络中心负责全局网络与信息安全事件应急处理的日常管理工作。其主要职能是：依法组织协调有关网络与信息安全事件的应急处理工作；组织制定有关网络与信息安全事件应急处理的制度和措施；制定局网络与信息安全事件应急预案，组织预案演练；加强对专业技术人员的培训，提高应对处置网络与信息安全事件的水平和能力；根据网络与信息安全事件应急处置工作的需要，向学校办公室或者分管领导提出成立局网络与信息安全事件应急指挥部的建议。

2.4 各部门（科室）职责

负责本部门（科室）信息系统网络与信息安全事件的预防、监测和报告，并配合信息网络中心做好本部门（科室）其他网络与信息安全事件的处置工作。

第三章预防预警

3.1 预防措施

各部门（科室）应做好网络与信息安全事件的风险评估和隐患排查工作，及时上报或者采取有效措施，避免和减少网络与信息安全事件的发生及其危害。

3.2 监测预警

3.2.1 预警分级

网络与信息安全事件预警等级分为三级：Ⅰ级（特别重大）、Ⅱ级（重大）、Ⅲ级（较大），依次用红色、橙色和黄色表示，分别对应发生或可能发生特别重大、重大和较大的网络与信息安全事件。

3.2.2 监测与发布

信息网络中心及其他科室共同承担我局网络与信息安全监测预警工作。重要的网络与信息安全事件监测预警信息必须在1小时内上报计算机中心，并通报学校办公室。信息网络中心牵头会同相关部门进行研判，提出预警等级建议，IV级（一般）预警信息的发布，由分管领导审核，学校办公室批准后发布。Ⅰ级（特别重大）、Ⅱ级（重大）、Ⅲ级（较大）预警信息由上级政府发布。

3.3 预警响应

根据预警信息，有关部门（科室）要加强对本部门、本部门各科室的网络与信息系统安全状况的监测，做好应急队伍等应急处理准备工作。信息网络中心要及时跟踪了解情况。

3.4 预警解除

IV 级（一般）预警信息的解除，由学校办公室根据实际情况提出建议，经学校应急指挥部批准后发布，并报学校办公室。Ⅰ级（特别严重）、Ⅱ级（严重）、

Ⅲ级（较重）预警信息的解除由上级政府发布。

第四章应急处置

4.1 信息报告

任何部门（科室）和个人都有义务向办公室报告网络与信息安全事件及其隐患。网络与信息安全事件发生后，相关部门（科室）在做好先期处置的同时应立即组织研判，注意保存证据，做好信息通报工作。Ⅰ级（特别重大）、Ⅱ级（重大）网络与信息安全事件，要在1 小时内上报上级政府，并通报学校办公室。Ⅲ级（较大）、IV级（一般）网络与信息安全事件，要在6小时内上报学校办公室。

4.2 应急响应

IV 级（一般）网络与信息安全事件发生后，分管领导根据信息网络中心的建议启动预案，成立局指挥部，组织协调相关部门（科室）开展应对处置工作；Ⅰ级（特别重大）、Ⅱ级（重大）、Ⅲ级（较大）网络与信息安全事件的应急处置工作在上级网络与信息安全事件应急指挥部的统一领导下，由学校网络与信息安全事件应急指挥部配合实施。

1.启动指挥体系

①学校指挥部进入应急状态，履行应急处置工作的统一领导、指挥、协调职责。学校指挥部成员保持24小时联络畅通。

②相关部门（科室）进入应急状态，在学校应急指挥部的统一领导、指挥、协调下，负责部门（科室）应急处置工作或支援保障工作，24 小时值班，并派出人员参加局应急指挥部或者区指挥部工作。

2.掌握事件动态

①跟踪事态发展。事件发生的各部门（科室）及时将事态发展变化情况和处置进展情况，报学校办公室。

②检查影响范围。信息系统使用部门（科室）立即全面了解本部门主管范围内的信息系统是否受到事件的波及或影响，并将有关情况及时报学校办公室。

③及时通报情况。学校指挥部负责汇总上述有关情况，重大事项及时报上级指挥部和上级政府，并通报指挥部各成员单位。

3.决策部署

①学校指挥部组织成员单位以及专家组和应急技术支撑队伍等方面，及时研究对策意见，对应对工作进行决策部署。

4.处置实施

①控制事态防止蔓延。有关部门（科室）要负责组织实施，安排网络与信息安全应急技术支撑队伍采取技术措施，尽快控制事态；组织、督促相关运行部门（科室）有针对性地加强防范，防止事件蔓延至其他信息系统。对于信息内容安全事件要及时采取必要的管控措施，防止有害信息传播扩散。

②做好处置消除隐患。有关部门（科室）要根据事件发生原因，有针对性地采取措施，恢复受破坏信息系统正常运行。

③及时开展调查取证。事发单位在应急恢复过程中应尽量保留相关证据，对于人为破坏活动，学校指挥部配合公安部门负责组织开展侦查和调查工作，并及时向上级政府通报有关情况。

④信息发布。办公室根据学校领导意见，组织做好对外信息发布工作，对受影响的公众进行解释、疏导。未经批准，其他部门和单位不得发布相关信息。

⑤对外协调。有关成员单位按照各自渠道，加强同省、市、区和有关部门及单位的沟通协调，不断提高网络与信息安全事件的预防处置能力。

4.3 应急结束

IV 级（一般）网络与信息安全事件应急响应的结束由学校办公室提出建议，经领导班子批准后实施；Ⅰ级（特别重大）、Ⅱ级（重大）、Ⅲ级（较大）网络与信息安全事件应急响应的结束由上级政府指挥部决定。

第五章后期处置

5.1 事件总结

IV 级（一般）网络与信息安全事件由信息网络中心会同事发地相关部门（单位）进行调查处理和总结评估。对事件的起因、性质、影响、责任等进行调查，并提出处理意见和改进措施。调查处理和总结评估工作原则上在应急响应结束后25天内完成，并以学校的名义上报学校办公室。Ⅰ级（特别重大）、Ⅱ级（重大）、Ⅲ级（较大）网络与信息安全事件由信息网络中心配合上级政府和有关部门进行调查处理和总结评估。

5.2 表彰和惩处

对在网络与信息安全应急工作中表现突出的单位和个人给予表彰；对保障不力、瞒报、漏报网络与信息安全事件，给国家和社会造成严重损失的单位和个人依照相关规定进行惩处。

第六章保障措施

6.1 加强技术队伍建设

信息网络中心要加强网络与信息安全应急技术支撑队伍建设，做好重大网络与信息安全事件的应急技术支援工作。学校办公室负责指导网络与信息系统运行部门建立网络与信息安全专业应急支撑队伍，培养骨干技术人才，提高应对突发网络与信息安全事件的能力，事件发生时负责组织信息安全事件应急专业队伍。

6.2 基础平台

各部门（科室）要加强网络与信息安全应急基础平台建设，做到早发现、早预警、早响应，提高应急处置能力。

6.3 对外合作

有关部门（科室）要建立对外合作渠道，必要时通过对外合作共同应对网络与信息安全突发事件。

6.4 经费保障

利用现有政策和资金渠道，支持网络与信息安全应急专业队伍建设、基础平台建设等工作开展，为网络与信息安全应急工作提供必要的经费保障。

第七章宣传、培训

7.1 宣传教育

各部门应充分利用学校内集体学习、分组学习等多种形式，加强突发网络与信息安全事件预防和处置的有关法律、法规和政策的宣传，开展网络与信息安全基本知识和技能的宣讲活动。

7.2 培训

各部门要将网络与信息安全事件的应急知识等列为行政管理干部和有关人员的培训内容，加强网络与信息安全特别是网络与信息应急预案的培训，提高防范意识及技能。

第八章附则

8.1 预案管理

本预案每年评估一次，根据实际情况适时修订。修订工作由信息网络中心负责，并报分管领导和学校办公室批准。各部门要结合本预案制定或修订本部门网络与信息安全事件相关应急预案，做好预案之间的衔接。