《北京政法职业学院网络信息安全管理制度.doc》由会员分享,可在线阅读,更多相关《北京政法职业学院网络信息安全管理制度.doc(26页珍藏版)》请在三一办公上搜索。
1、北京政法职业学院网络信息安全管理制度 为加强学校网络信息安全管理工作,促进校园网健康、 安全、 高效运行,确保网络信息安全,根据上级有关文件精神,结合学校实际,制定本制度。第一章 总则 第一条 要自觉遵守计算机信息网络国际互联网安全保护管理办法、中华人民共和国计算机信息系统安全保护条例、保密法、中国教育和科研计算机网暂行管理办法等国家有关法律法规。 第二条 计算机网络信息安全管理实行“谁主管谁负责、 谁运行谁负责、谁使用谁负责、谁发布谁负责”和属地化管理的原则,各单位党政负责人是网络信息安全第一责任人。 第三条 教育技术中心、保卫处负责学校计算机信息网络、国际互联网的管理和安全保护工作,维护国
2、家、 学校和用户的合法权益和公众利益,并对学校和公安机关网络管理监察机构负责。 第四条 任何用户不得利用校园网络危害国家安全. 泄露国家机密,不得侵犯国家、社会、学校、 集体的利益和公民的合法权益,不得从事违法犯罪活动。 第五条 学校校园网的所有涉网单位(部门)和个人都必须遵守国家有关法律、 法规,不得利用校园网从事危害国家安全、泄露国家秘密、违反国家法律法规等犯罪活动和违反学校规章制度的活动;不得制作、 查阅、复制和传播违背国项基本原则、有碍社会治安及淫秽色情等信息;不得在校园网上发布不真实的信息、散布计算机病毒。 第六条 学校网络信息管理实行统一管理. 分级负责。网络信息中心全面负责校园网
3、络信息管理工作,各系、各部门应确定一名信息网络管理员负责本部门上网信息收集整理、 上网计算机的系统维护、网络安全及保密管理等工作,杜绝利用网络从事不健康的活动。 第七条 各单位(部门)要指定专人为网络信息员,负责本部门信息发布工作,校园网发布的信息要严格遵循网络媒体的特征,信息员所发布的信息必须由本单位领导审核后方可发布,要认真做好登记,并以原始件存档。 第九条 各单位(部门)要指定专人为本单位网络信息安全员,协助教育技术中心等部门做好网络安全管理,负责本单位网站信息的安全监控工作,发现不良信息应立刻上报教育技术中心、 保卫处等部门,并及时删除。 第十条 校园网管理人员(包括教育技术中心工作人
4、员. 各部门网络信息员和网络信息安全员等)对所使用的联网计算机要经常检查,防止文件丢失或出现漏洞;对所负责的网络储存的信息要每天检查,检查要全面细致(包括本单位网站的各种链接),防止涉密文件和其它需要保密的内容以及各种不良信息进入校园网络。 第十一条 校园网管理人员所使用的用于联网的计算机,要设立开机密码,并做到专机专用,非管理人员不得擅自使用。计算机用户名. 口令及联网方式. 技术. 网络系统要严格保密,不得对外提供,坚决杜绝弱口令. 弱密码,消除安全隐患。 第十二条 联网的计算机必须安装防病毒工具,具有漏洞扫描和入侵防护措施,并进行实时监控,定期检测和杀毒,确保计算机安全. 正常运行。 第
5、十三条 教育技术中心等部门要经常评估校园网防攻击. 防病毒. 防篡改和防窃密技术措施的有效性,及时发现安全风险和漏洞,并迅速进行整改。 第十四条 涉密信息不得在联网的计算机中存储. 处理. 传递。 第十五条 对涉密信息进行操作时,要注意文件的保密性,对密件要进行归类并设制密码。涉密计算机转为他用时,应将涉密文件彻底清除或将硬盘格式化,但计算机不得降低密级使用。 第十六条 涉密计算机(包括校园网管理人员的联网计算机)进行维修或更换设备时,应当在本单位进行,并有懂得计算机相关知识的人员现场监督,所更换的设备或配件未经允许和采取技术措施不得带出或挪作他用。 第十七条 报废的涉密计算机不得私自留存或擅
6、自销毁,应经单位领导批准后,交由有关部门处理。 第十八条 存有涉密信息的可移动磁盘. 软盘和光盘等存储介质要由相关责任人严格保管,除需存档和必须保留的副本外,在处理过程中产生的样品. 纸张等必须立即销毁。 第十九条 对重要数据要定期备份,定期复制副本以防止因存储介质损坏造成数据丢失。备份介质可采用光盘. 硬盘. 可移动磁盘和软盘等方式,并妥善保管。 第二十条 凡以提供网上信息服务为目的而采集的信息,除在其它新闻媒体上已公开发表的,校园网管理人员在上网发布前,应当征得提供信息单位的同意;凡对网上信息进行扩充或更新,应当认真执行信息保密审核制度。 第二十一条 凡在网上开设论坛. 聊天室等交流平台的
7、单位或部门,应由相应的保密工作机构审批,明确保密要求和责任。任何单位和个人不得在论坛、 聊天室等交流平台上发布. 谈论和传播国家秘密信息。 第二十二条 开设网络论坛. 聊天室等交流平台的单位或部门应认真履行保密义务,建立完善的管理制度,加强监督检查。发现有涉密信息,应及时采取措施,并报告学校保卫部门。 第二十三条 使用电子邮件、 MSN、QQ等工具进行网上信息交流,应当遵守国家有关保密规定,不得利用电子邮件、 MSN、 QQ等工具传递. 转发或抄送国家秘密信息。 第二十四条 校园网管理人员调离时应将有关材料. 档案. 软件等移交给其他工作人员,调离后需要保密的内容要严格保密。接替人员应对系统重
8、新进行调整,重新设置用户名和密码。 第二十五条 特殊时期,学校可根据实际情况,对一些影响面小、信息长期不更新、安全风险大的网站采取临时关闭的措施,亦可关闭或删除不必要的应用、服务、端口和链接。 第二十六条 特殊时期,校园网管理人员要加强值班值宿,加大对校园网络的管理力度。 第二十七条 发生影响网络与信息系统正常运行,造成系统中断、 系统破坏、 数据破坏或者国家秘密信息被窃取、 泄露等,对社会稳定或公众利益等方面造成不良影响以及造成一定程度经济损失的网络信息安全事件,网络管理人员应立即向本单位领导和教育技术中心、保卫处等部门报告,有关部门要在请示学校网络信息安全工作领导小组后做出及时妥善处理。需
9、要报案的要保护好现场,并立即向公安部门报案。 第二十八条 发生重大网络信息安全事件后,学校应当按照规定及时向上级专业部门报告事件的详细情况,不得瞒报、缓报、漏报。 第二十九条 对在网络信息安全事件中做出特殊贡献的先进部门或个人,学校要给予一定的奖励。 第三十条 发生重大网络信息安全事件后,有关责任部门、责任人有瞒报、缓报、漏报和其它失职、渎职行为的,学校将予以通报批评;对造成严重不良后果的,将视情节追究责任领导和责任人的行政责任;构成犯罪的,由有关部门依法追究其法律责任。第二章 计算机网络中心主控机房管理制度 (管理员值班制度) 第一条 管理员应当具有认真负责的工作态度和科学、 细致周到的工作
10、作风。按时上、下班,坚守岗位,确保网络运行正常。 第二条 遵守计算机网络中心各项规章制度。 第三条 值班时,要做好如下检查:1.内外环境情况,天气状况,室内温度和湿度。2.供电系统是否正常,是否中断过。3.网络和服务器系统运行情况,是否发生故障,如何排除和解决的。4.何人使用过何种设备,以及设备使用前后工作状况。 第四条 认真监视各类服务工作状态是否正常,如发现异常,应立即采取恢复和补救措施,并向主管部门汇报。 第五条 认真执行我院安全消防保卫制度和主控机房消防制度。 第六条 网络主控机房是学校校园网络的交换中心和数据中心,与机房工作无关的人员绝不允许直接或间接操纵机房任何设备。 第七条 保护
11、校园网服务器安全,禁止无权限人员登录. 查看文件,更不准修改内容。(安全消防管理制度) 第一条 根据学院在安全消防工作中贯彻“谁主管,谁负责”的原则,主控机房安全消防工作具体由机房管理员全权负责。 第二条 主控机房内应按规定配备灭火器,并定期更换。 第三条 主控机房内严禁吸烟和使用生活电器,不得用水。在夏季空调开放期间,应经常检查空调冷凝水管和窗户,以防止水流入机房。 第四条 主控机房内不得堆放易燃物品,如纸箱和废纸等。 第五条 主控机房内的电源和插座为机房设备专用,非机房设备不得使用机房电源。 第六条 主控机房内严禁存放任何食品,要经常检查有无老鼠,一旦发现,应立即采取措施。 第七条 主控机
12、房内一旦发生火情,应立即采取措施灭火,同时报警。 第八条 没有特殊情况并得到批准,主控机房内不准外人随意出入。 第九条 安全消防关系主控机房人员的安全,必须严格遵守。对违反制度造成后果的要严加追查,予以处理。(环境卫生管理制度) 第一条 主控机房内部卫生应定期进行清理,每半年彻底清理一次。 第二条 主控机房外办公室每周彻底做一次卫生。 第三条 每周对服务器等设备进行内部清洗一次,每月彻底除尘一次。 第四条 每周检查一次门. 窗的密封性,发现问题及时解决。 第五条 每年对环境卫生工作进行一次年终检查评估,找出问题,制定解决措施。(设备定期维护制度) 第一条 季度维护 1. 彻底清扫机房内部和周围
13、环境卫生。 2. 为主控机房内所有设备除尘。 3. 检查清洗空调系统。 4. 排除设备在使用中出现的故障和缺陷。 5. 检查、测试机房电源工作情况,并做好维护记录。 6. UPS系统的充放电操作。 7. 其他检查。 第二条 换季维护 1. 完成季度维护的内容。 2. 检查空调,保证无故障,检查排泄水管道。 3. 检查各种电缆和导线的固定. 走向及通电后温升情况是否符合要求。 4. 检查各种安全设备、防火设备及报警设备。 5. 夏季来临之前,检查机房防水、防雷电措施情况。 6. 其他检查。 第三条 针对重大任务的设备维护 1. 完成季度维护内容。 2. 根据任务要求,重点检查相关设备的工作情况。
14、 3. 需临时增设一些设备,事先安装并调试。 4. 其他有关设备维护。 第四条 定期大中修维护 1. 连续使用两年左右时间,根据实际使用情况对主控机房内的设备和机房进行中修。 2. 连续使用五年左右时间,对主控机房及其设备进行大修。第三章 信息安全岗位设置及职责 第一条 系统管理员工作职责如下:1. 负责主要网络设备接入主干网络的统筹安排。根据校园网总体规划,对校内各使用单位合理分配域名。2提供网络运行保障,维持网络和服务器系统的稳定. 正常运转,及时解决网络和服务器系统故障,确保网络内用户能安全、高效的使用网络办公和学习。3网络设备是整个网络运转的核心,系统管理员需负责网络核心交换机、二级交
15、换机、路由器和防火墙等主干设备的设置、维护和管理,保证其正常运转并做好网络设置的配置记录。4. 负责公共信息服务器的系统安全监控和日常管理,及时排除各种故障,确保服务器正常运行;检查、记录、保存并备份系统运行日志。 5. 负责教学资源库的开发和维护,协助相关部门开展网络教学工作,并提供技术支持。6. 定时做好网络设备或服务器的性能测试及系统软件的升级。7. 对主要信息资源进行必要的日常备份与存储,以备紧急意外情况出现后进行系统恢复,为数据安全提供保障。8. 作好系统的安全防范工作,网络设置的口令和密码及服务器用户密码要定期更换,对服务器用户的权限严格审核,废弃用户及时删除或注销,系统管理员要严
16、守保密制度,不得泄露用户密码及其他数据信息。9. 严格操作规范,不得在服务器上安装无关软件,爱护网络设备,定期做好系统的维护和检查。10. 负责服务器等大型设备的硬件维护,对设备定期进行全面检查,定期清洁、除尘,保持设备正常运行。11. 负责中心机房内所有设备、物品的保管及中心机房的整洁卫生,做好防火、防水、防盗措施、推动网络知识普及,提供校内单位和个人的网络知识培训。第二条 网络管理员工作职责如下:1. 结合有关的法律、法规以及互联网的各项规章制度,自觉遵循各项法规制度并监督法规制度在学院的有效执行。2网络管理员负责全院所有联网机的IP、DNS分配、设置、备案和存档。3熟悉校园网系统的拓扑结
17、构,绘制校园网拓扑结构图,对各个网络节点、通信线路的增减和变动做到合理配置。4. 管理维护学院主干线路、网络交换机、光纤及网络线缆等设备设施,保证网络线路的畅通,统一保管各种技术(说明)资料、驱动程序和附件等各种附属设备。5. 负责学院所有信息设备的正常运行及内外网络的畅通,做好学院计算机防病毒、防黑工作、定时升级杀毒软件、 查看网络流量日志,确保万无一失。6. 组织制定校园网络安全策略,协助信息安全中心制定相应的安全策略预案,实时了解Internet动向,做到预防为主。 7. 负责学院基础网络、办公用机和相关外部设备、外围设备的配制、管理和维护; 8. 做好学院网络的安全、保密工作,杜绝利用
18、网络做违纪违法活动。 9. 定期对学院各校区的网络中心、配线间进行除尘、清洁、防盗探头维护等工作。 10.负责学校对内、外的信息发布以及学校网站内容更新。 11做好网络系统管理及维护记录,建立网络管理体系,优化网络管理体系。 12.安全管理人员应定期向主管领导提交事件记录,并对系统记录文件保存收档,以备查阅。 13.建立维修工具箱、在统一部署下保障网络信息的安全. 第三条 安全管理员工作职责如下: 1网络安全管理员主要负责学院局域网、广域网的系统安全性。 2组织制定校园网络安全策略,制定相应的安全策略预案,实时了解Internet动向,做到预防为主。 3. 负责日常操作系统、网管系统、邮件系统
19、的安全补丁、 漏洞检测及修补、病毒防治等工作。 4随时监控中心设备和各网点的运行状况,发现异常情况应立即按照预案规程进行操作,并及时上报和详细记录。 5严格执行密码管理规定,对操作密码定期更改,超级用户密码由系统管理员掌握。 6协助机房管理人员进行机房管理,严格遵守机房使用规定,非机房工作人员未经许可不得擅自上机操作和对运行设备及各种配置进行更改。 7恪守保密制度,对操作密码定期更改,不得擅自泄露中心各种信息资料与数据。 8察觉网络处于被攻击状态,网络安全管理员应确定其身份,对其发出警告,提前制止可能的网络犯罪,若劝阻不效,在保护系统安全的情况下可做善意阻击并向主管领导汇报。 9严格按规章制度
20、要求做好各种数据、文件的备份工作。中心服务器数据库要定期进行双备份,并严格实行异地存放、专人保管。所有重要文档定期整理装订,专人保管,以备后查。 10杜绝利用网络从事与学院教学、科研、管理无关的活动。进行相关的各类宣传和管理,在管辖范围内严禁利用校园网传播带有反动、淫秽内容的信息,或将校园网作为违法犯罪的工具。如遇上述情况必须立刻向院办、宣传部、保卫处、网络中心等有关部门报告。 11定期检查各系统内计算机(包括公用机房),清理病毒及黑客程序,在统一布署下保障各系统内网络信息的安全。 12负责防火、防水、防盗,不定期对学院各区域设置的消防器材与监控设备进行检查,以保证其有效性。 第四条 安全审计
21、员工作职责如下: 1在学院信息安全机构领导下,按照国家审计法规等有关规定,草拟或参与制定有关工程预结算审计制度、规程、 计划、总结及其他资料。 2.参加对本校有关财政财务审计、经济效益审计、经济责任审计、内控制度审计、基本建设、装饰装修及维修工程的预结算审计、有关项目的审签及审计调查,并按要求完成有关审计工作。 3.参加对本院各单位执行有关管理制度执行,及其内部控制制度的建立与执行进行监督、检查和评价。 4. 在审计组的统筹安排下,搞好审计项目资料的整理. 归档立卷工作。 5.负责参与学院重大经营活动、重大项目、重大经济合同的审计活动,并编写内部审计报告,提出处理意见和建议。 6. 负责财务计
22、划或预算执行情况和决算的审计。 7. 负责各项资金的管理和使用情况的审计。 8. 负责校属单位. 部门领导干部任期经济责任审计。 9. 负责校内单位和部门财务收支. 经济效益审计。 10. 负责学校及校属单位、部门财务规章制度和内部控制制度的建立和执行情况的检查。 11. 负责财经审计建议落实情况的检查,并对有关单位进行后续审计。 12. 负责财经审计项目工作方案、审计项目书的编制,撰写审计报告和审计意见书。 13. 负责起草财经审计有关文件和规章制度,包括各种审计办法、规定等。 14. 负责审计法规及校. 处出台的各项审计办法. 规定的宣传工作。 15. 参与基建. 修缮工程予(概)、决算审
23、计。 16. 参加学校和有关单位组织的各项招投标及工程监督与验收工作。 17. 负责文件的收发和审计档案的整理、归档和保管工作。 18. 负责计算机的保养、维护和管理工作。 19. 完成处长交办的其他工作。第四章 安全风险管理制度 第一条 安全风险管理范围: 1. 物理安全 信息系统的物理安全是指包括计算机. 网络在内的所有与信息系统安全相关的环境. 设备. 存储介质的安全。物理安全的评估内容包括:物理环境安全、设备安全和存储介质安全。 2. 网络安全 网络安全是指包括路由器、交换机、通信线路在内的,及由其组成信息系统网络环境的安全。网络安全的评估内容包括:网络边界安全、网络系统安全设计、网络
24、设备安全功能及使用、网络访问控制、网络安全检测分析、网络连接和网络可用性。 3. 主机安全 主机安全主要是指基于主机操作系统、数据库系统以及应用平台层面的安全,对主机安全的评估内容包括:账号安全、文件系统安全、网络(系统)服务安全、系统访问控制、日志及监控审计、拒绝服务保护和补丁管理。 4. 应用安全 应用安全主要是指应用系统设计、开发安全。对应用安全的评估内容包括:应用系统架构与设计安全、身份鉴别、访问控制、交易的安全性、数据的安全性、密码支持、异常处理、备份与故障恢复、安全审计、资源利用、安全管理、应用系统实现安全、账户安全、输入合法性检测、口令猜测、应用层拒绝服务(DOS)、B/S应用实
25、现安全、网站探测、已知漏洞攻击、参数操控、跨站脚本、指令注入和HTTP方法利用。 5. 管理安全 管理安全主要包括组织架构、安全策略、安全运行制度等方面,其评估的内容包括:组织和人员安全、安全评估、第三方组织与外包安全、信息资产分类、分级、日常操作与维护管理、变更、备份与故障恢复、应急处理、业务持续性管理和认证/认可。 第二条 各部门在本部门信息系统安全风险管理方面的主要职责: 1. 各部门按照信息系统安全风险评估的总体方案,根据业务分工,分析相关业务流程的风险,确定网络应急预案。 2. 根据网络应急预案和风险管理的要求,组织实施,发现. 收集. 分析过程中的缺陷,提出改进意见并予以实施。对于
26、重大缺陷和实质性漏洞,除向部门分管领导汇报情况外,还应向网络管理部门和校园网络安全小组下设的办公室反馈情况,以便网络管理部门监控其运行情况。 3. 配合网络管理部门等对网络安全事故造成重大损失或不良影响的事件进行调查、处理。第三条 安全风险事故的处理原则。统计信息网络系统安全事故的处理保护必须依从下列顺序:1. 保护人民生命财产和安全;2. 保护北京政法职业学院机密和统计涉密信息;3. 保护统计数据;4. 防止系统受损;5. 减少系统资源损失。 第四条 安全风险事故处理步骤。安全事故处理必须按下列步骤进行:1. 保证系统的完整性;2. 维持和恢复数据;3. 维持和恢复服务;4. 查出事故的原因
27、;5. 避免事故扩大升级;6. 查出并惩处攻击者和事故责任人。 第四条 信息系统应急预案。各系、各部门应根据可能出现的突发性的安全事故制定相应的应急预案。应急预案应包括紧急措施、软硬件资源的备用、恢复过程等如下内容: 1. 应急预案应文字化、公开化,有关文件要放置在规定的地方; 2. 应急预案应具有良好的可操作性,措施、方案要具体; 3. 应急预案要制度化,对于计划中的措施和方案以及备份计划必须要落实; 4. 应急预案要责任化,计划的执行要有专人负责,并对其定期进行培训; 5. 与应急预案有关的人员姓名、住址、电话号码以及职能管理部门的联系方法应放在明显易取的地方,并贴在墙上。 第五条 信息安
28、全风险事故处理程序1. 事故发生后,应以下列顺序及时判断事故的性质及其事故的危害范围: (1)该事故切入点在何处; (2)该事故是否牵涉多站点; (3)该事故是否涉及敏感信息或涉密信息; (4)该事故存在何种隐患; (5)该事故估计需要多长时间得到解决; (6)该事故的处理需要哪些资源。2. 安全事故处理保护步骤:(1)保证系统的完整性;(2) 维持和恢复数据;(3)维持和恢复服务;(4)查出事故的原因;(5)避免事故扩大升级;(6)查出并惩处攻击者和事故责任人。3. 安全事故发生后,相关人员应按以下步骤做出响应: (1)到达现场。事故处理人员应在最短的时间内到达事故发生现场,进行事故处理。(
29、2)明确策略。根据事故的概况明确安全事故的响应策略是“保护资源”、“恢复系统”还是“追踪检查”。(3)控制保护。控制事故扩大化,保护系统资源,使事故造成的损失程度减少到最低。(4)消除事故。根据不同的实际情况选择具体的消除方法根除事故。(5)恢复系统。事故消除后,采取措施使系统尽快恢复正常状态。(6)调查原因。调查事故发生的原因,以及事故有关人员的责任。(7)善后处理。根据发生事故的教训,制定相应的整改措施,以提高系统性能,防止此类事故再次发生。4. 事故通告,事故处理完毕,应将发生的事故在系统内进行通告:(1)通告的对象。通告对象主要是系统内已受到事故影响或可能受到事故影响的站点的网络及网络
30、安全的管理者和技术人员、网络安全组织的成员以及单位负责人。(2)通告的内容。通告内容包括事故发生的经过和概况. 事故原因分析、事故性质和教训、事故的处理结果等。通告内容必须真实,不得试图掩盖事故真相。(3)对通告的陈述要求。通告的陈述要求内容必须明确,事实必须清楚,信息必须准确。(4)通告的发布。通告应由网络安全委员会负责审查批准和发布。重要的通告可由行政单位以文件形式转发。5. 事故处理 在事故发生之后,应采取以下步骤作好事故处理:(1)评估损失。应列出系统被事故影响程度的资产详细清单,评估系统实际所受到的损失;(2)分析报告。由安全组织写一份详尽的事故分析报告,对事故的发生、发现事故的方法
31、、事故恢复过程以及监控过程进行全面的总结;(3)修订计划。根据从事故中所汲取的教训,修订安全计划,以防止这种事故重复发生;(4)策略升级。对相应的安全策略、安全规程和安全工具进行升级和改进;(5)监控追踪。系统恢复安全状态后,继续对系统进行监控,对事故进行追踪,警惕由于系统仍然存在的漏洞和陷阱再次引发新的事故发生;(6)文档记录。应将与事故相关的所有记录. 资料和文档全部归档,以备随时查阅;(7)法律调查。对造成事故的个人或组织进行调查,必要时根据江苏省有关规定对其进行行政处罚或追究法律责任。(8)安全事件通知书。对当事人发安全事件通知书,要求其按照要求整改。 第六条 资源备用。软硬件资源的备
32、份、备用,是保证发生突发性事故时使系统迅速恢复正常的重要措施,必须按应急计划及有关制度的规定要求落在实处。 1. 软资源备用:重要的信息资源包括操作系统、数据库管理系统、数据库、应用软件与程序、日志文件、重要数据以及各种计划、 方案、报告等重要的文件资料,必须保持足够的备用文件,并将备用信息载体存放在安全地方。 2. 设备备用:市. 乡镇各节点中心及各站点应配置灾难恢复与备份系统,并且主服务器、路由器和防火墙都应在现场有两套同时工作,互为备用;重要的应用服务器都应有兼容机备用,一旦因事故停机,其程序和信息可在兼容机上处理;各级统计局计算站在工作现场应有中央处理机、主机板、主存储器、硬盘等部件的
33、备用。 3. 远程备用:计划在异地建立一套计算机备用网络,作为灾难备用中心。 4. 人员备用:对重要的关键岗位人员,应建立人员备用、替换制度,保证在任何情况下不会因人员替换而影响系统正常工作。第五章 系统运行维护及用户管理制度 第一条 由电教中心主任指定专人记录系统运行日志;系统管理员每天检查日志记录情况。 第二条 系统运行效率管理、系统运行故障管理、地址分配管理、电子邮件管理、域名服务管理都应列入系统运行日志。 第三条 系统运行日志不经中心主任允许,不得给外人查看。 第四条 系统运行日志应放在安全的地方保管。 第五条 如发现系统故障应及时排除,并向中心主任报告。 第六条 及时记录系统故障发生
34、的时间及故障的排除过程。 第七条 学校校园网的所有用户应接受网络信息中心的安全监督、检查和指导;不得在网上发布违背四项基本原则、有碍社会治安和不健康的信息、资料和数据;协助有关部门追查网上违法犯罪行为和案件;有义务向本单位责任人世间、网络管理员、网络信息中心和保卫处报告有害信息和违法犯罪行为。 第八条 学校校园网的用户必须对自己的网络帐号加强管理,防止他人盗用后在网上进行非法活动。如出现他人盗用帐号造成不良后果,帐号所有者负有责任。未经网络信息中心和帐户所有者同意,使用他人IP地址. 系统帐户或他人帐户的视为偷窃行为。 第九条 学校校园网的工作人员和用户必须接受国家和上级有部门依法进行的监督检
35、查。对违反本规定的校园网用户,学校网络信息中心对其进行警告、关闭帐户、停止网络链接等处理或交由学校相关部门进行处理;情节严重者将追究其法律责任。 第十条 任何用户不得利用校园网络从事下列危害计算机信息网络安全的活动: 1. 未经允许,进入学校计算机信息网络或者非法利用计算机信息网络资源的; 2. 未经允许,对计算机信息网络功能进行删改、修改或者增加的; 3. 未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删改、修改或者增加的; 4. 故意制作、传播计算机病毒的破坏性程序的; 5. 其他危害计算机信息网络安全的。 第十一条 用户的通信自由和通信秘密受法律保护。任何单位和个人不
36、得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。 第十二条 未经本单位领导批准,任何人不得擅自更改网络配置和网站的内容,不得私自将本单位网站与其它网络地址进行链接。第六章 数据备份与恢复制度 第一条 拥有重要服务器操作系统或重要数据库的部门应该及时对数据进行备份,防止系统、数据的丢失;涉及数据备份和恢复的部门要由专人负责数据备份工作,并认真填写备份日志。 第二条 校园网络服务器数据备份工作,由网络中心负责,增量备份每日做,系统备份每周做一次,应用数据库备份每日做。 第三条 备份数据应该严格管理,妥善保存;备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。要求集中和异地保
37、存,保存期限至少2年。 第四条 数据的备份、恢复、转出、转入的权限都应严格控制。确定使用人员的存取权限和存取方式。严禁未经授权将数据备份出系统,转给无关的人员或部门;严禁未经授权进行数据恢复或转入操作。 第五条 一旦发生数据丢失或数据破坏等情况,要由系统管理员对备份数据恢复,以免造成不必要的麻烦或更大的损失。 1. 全盘恢复一般应用在服务器发生意外灾难导致数据丢失、系统崩溃或是有计划的系统升级、系统重组等; 2. 个别文件数据恢复一般用于恢复受损的个别文件,或者在全盘恢复之后追加增量备份的恢复,以得到最新的备份。 第六条 各部门必须定期检查保存备份数据能否正常使用,需刻录光盘的数据应经过检验确
38、保数据备份的完整性和可用性后,方可刻录光盘。第七章 信息安全所采取的防范措施 第一条 身份认证 校园网采取了【用户名、密码】的认证方法。每个用户的密码由自己设定,并且系统内部不保存密码。 第二条 访问控制 学校文件服务器采用自主访问控制。按用户身份及其所归属的某预定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。 第三条 防病毒。学院采用硬件防火墙与金山网络版杀毒软件相结合防治病毒。 第八章 附则 第一条 本制度由北京政法职业学院网络信息中心负责解释。 第二条 本制度自通过之日起执行。 附件:北京政法职业学院
39、信息安全责任书为进一步加强和规范学院网络及网络信息安全保护工作,为全院师生员工提供一个稳定、健康的上网环境,保证校园网为学院的教学、科研和管理服务,按照“谁管理、谁负责”的信息安全管理原则,建立互联网管理及信息安全责任制,特制定北京政法职业学院信息及网络安全责任书。甲方:北京政法职业学院信息安全管理机构乙方:系统管理员、网络管理员、安全管理员、安全审计员一、甲方责任(一) 规划、建设、管理校园网,推广应用校园网网络服务,制定并监督执行校园网管理的有关规章制度。(二) 严格执行互联网相关法规及学院校园网安全管理规定,做好本校园网信息服务单位和重点网站的监管工作,督促落实校园网用户网络安全管理。(
40、三) 甲方采取各种有效措施(如设置路由或代理服务器、安装网络安全防火墙和病毒防火墙等)和必要行政手段,保证校园网各接入单位网络和信息的安全。(四) 定期开展校园网网络运转情况调研,监控校园网用户使用情况。及时发布计算机病毒疫情信息,采取有效措施防范计算机病毒蔓延和恶意网络入侵。 乙方承诺履行以下法定义务和责任:本人已认真学习互联网信息服务管理办法、计算机信息网络国际联网安全保护管理办法、互联网上网服务营业场所管理办法和国家相关法律、法规,在担任 工作中,保证该部门的网络信息安全,并切实做到:(一)遵守中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际联网管理暂行规定、中
41、华人民共和国计算机信息网络国际联网安全保护管理办法、中国教育和科研计算机网管理办法(试行)、中国教育和科研计算机网用户守则(试行)及我院关于校园网安全管理的相关法律法规,依法从事网络信息服务,并接受学院职能部门的监督指导。(二)保证定时对所辖网内的软硬件系统进行升级维护,确保网络安全、可靠、稳定地运行。联网用机必须安装防毒反黑软件。(三)建立健全网络安全责任制和应急事件处理机制,责任人变更后,两天内以书面形式通知本中心。(四)不制作、复制、发布、传播并立即删除以下内容的信息:(1)反对宪法所确定的基本原则的;(2)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;(3)损害国家荣誉和利
42、益的;(4)煽动民族仇恨、民族歧视,破坏民族团结的;(5)破坏国家宗教政策,宣扬邪教和封建迷信的;(6)散布谣言,扰乱社会秩序,破坏社会稳定的;(7)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;(8)侮辱或者诽谤他人,侵害他人合法权益的;(9)含有法律、行政法规禁止的其他内容的。(五)不从事下列危害网络信息安全的行为:(1)制作或者故意传播计算机病毒以及其他破坏性程序;(2)非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序;(3)法律、行政法规禁止的其他行为。(六)制订帐号使用登记和操作权限管理制度,切实做好网站FTP、电子邮件、我院网络办公等系统的用户名及密码的保密
43、工作,定期变更账号密码,防止密码泄漏。(七)建立健全涉密信息安全管理制度,不在与互联网相连的计算机系统上存储、处理、传输涉密信息。涉密计算机实行单机运行,专人管理。(八)未经学院执行部门授权,不得利用属于校园网的互联网站点及各种资源从事出口代理、IP地址转让经营性或非经营性活动。任何单位与个人不得对校园网信息资源进行随意删除和破坏。(九)若发现公共机房中所发表信息明显属于上述第四条所列内容之一的,保证立即删除并保存有关原始记录,向学校有关部门报告,在有关部门或机关依法查询时,予以提供。难以辨别是否属于上述第一条所列内容之一的,立即报相关主管部门审核。(十)数据应进行定期备份,备份后的数据应有专人保管,确保发生意外情况时能及时恢复系统运行。加强监督管理工作,使用过程中的重要信息记录要保存到审计文件中,以便掌握使用情况,发现可疑现象,及时追查安全事故责任。(十一)切实做好上网纪录,随时接受有关部门的安全检查,及时将网上发生的中问题上报相关部门。违反上述规定,责任由乙方承担。本责任书一式二份,签订双方各留存一份。甲方签署:负责领导(签字): 信息安全机构(盖章): 日期:年月日乙方签署:信息安全责任人: 乙方(盖章): 日期:年月日
