第一章 总则
第一条 为了加强学校网络与信息系统的安全管理,推进学校信息系统(含互联网网站)安全等级保护工作,保障校园网络正常、稳定运行,支撑学校各项事业健康有序发展,根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《教育部关于加强教育行业网络与信息安全工作的指导意见》、《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》和其他有关法律、法规及规章,制定本办法。
第二条 本办法所称的校园网络与信息系统,是指由学校投资建设或与相关合作方共建的,提供校园网络应用及服务的软、硬件集成系统,包括由学校相关部门负责维护和管理的校园网络主、辅节点设备,配套的网络线缆设施及网络服务器、工作站、网站、各管理信息系统等,以及学校各单位建设的校园网络、网站及应用系统等。网络与信息安全,包括校园网络的运行安全及信息系统和信息内容的安全。
第三条 学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全网络与信息系统安全责任体系,学校各单位、全体师生员工都应依照本办法要求及学校相关规定规范履行网络与信息系统安全的义务和责任。
第四条 未经学校同意,任何单位或个人不得将校园网延伸至校外或将校外网络引入至校园内,任何数据业务运营商或电信代理商不得擅自进入校园内进行工程施工,开展网络业务。
第二章 组织机构
第五条 学校成立网络与信息安全工作领导小组,学校主要负责人任组长,分管意识形态工作的党委副书记、分管信息建设的副校长以及宣传部长任副组长,学校相关部门负责人为成员。领导小组负责学校网络与信息安全工作的全面指导和总体部署,党委宣传部负责统筹协调,并会同学生工作、信息化建设等部门抓好组织实施。
第六条 学校各单位分管信息化工作的领导为本单位网络与信息安全工作的第一责任人,并在单位内指定一名网络与信息安全管理员。该领导和管理员负责本单位内的网络与信息安全管理工作,做好本单位信息系统和网站的日常运行维护及信息安全工作。各单位网络与信息安全负责人、网络与信息安全管理员报党委宣传部、信息技术中心登记备案。
第三章 校园网络管理
第七条 校园网络是指校园范围内连接各种信息系统及信息终端的计算机网络,包括校园有线网络、无线网络和各种虚拟专网。
第八条 校园网系统的安全运行和系统设备管理维护工作由信息技术中心负责,信息技术中心可以委托相关单位指定人员代为管理子节点设备。
第九条 除校园网络运行管理部门,其他单位和个人不得以任何方式登陆进入校园网主、辅节点、服务器等设备进行修改、设置、删除等操作;任何单位和个人不得擅自安装、拆卸或改变网络设备和线路,不得以任何借口盗窃、破坏网络设备与设施;不得采用各种手段切断学校、部门或他人网络的连接。
第十条 在校园内从事施工、建设,不得危害计算机网络系统的安全。如果施工现场有校园网设备财产,必须在动工前征求信息技术中心的意见。
第十一条 学校数据中心机房是校园网连接内外的重要计算机网络系统设备放置的场所。出入数据中心机房的人员应做好登记工作,保持机房环境的整洁和安全。校外施工单位人员进入数据中心机房,应由信息技术中心管理人员陪同,并做好施工记录。未经同意,任何单位和个人不得擅自动用机房设备、线路、修改参数等。后勤保障部门应为数据中心机房安全稳定运行提供电力保障。
第十二条 信息技术中心必须做好学校数据中心机房各路由器、交换机和服务器的安全管理工作。进行安全漏洞扫描,及时进行版本升级、安装补丁程序,配置相应的主机防火墙防止攻击。定期分析系统运行日志,发现系统存在的安全隐患,采取相应的措施。加强路由器、交换机和服务器的密码管理,定期更换,严防泄密。
第十三条 信息技术中心应采取技术手段与措施,对网络异常流量、网络病毒、网络攻击、对外扫描进行检测,做好隔离处理,同时对检测和处理做好日志备案工作。
第十四条 托管在信息技术中心或放置在本单位提供互联网信息服务的服务器,应配备有专业计算机技术人员进行维护和安全管理,做好开启日志、防病毒、防黑客攻击的措施。
第十五条 任何连入校园网络的计算机均须做好防病毒、防木马措施,及时向信息技术中心报告陌生、可疑邮件和计算机非正常运行等情况。为确保校园网安全运行,信息技术中心有权将影响校园网络正常运行的计算机(包括感染病毒、进行非法扫描或发出大量攻击数据包的计算机以及由于误操作引起网络资源冲突的计算机)从校园网上暂时隔离。
第十六条 师生员工接入校园网络,实行“实名注册、认证上网”制度;学校非涉密信息系统接入校园网络,实行接入审批和备案登记制度。网络接入实名管理制度由信息技术中心负责实施。涉密信息系统不得接入校园网络。
第四章 数据中心管理
第十七条 数据中心主要包括支撑学校信息系统的物理环境(其中包含机房)、软硬件设备设施、云计算平台、学校中心数据库(其中包含基础数据库)、数据共享交换平台、统一身份认证平台及统一信息门户等信息化基础设施和平台。信息技术中心负责数据中心的建设、运行、维护和管理。
第十八条 信息技术中心负责数据中心物理环境、软硬件设备设施和云计算平台的建设和安全管理;根据信息系统安全等级的不同,对数据中心进行分区、分域管理,采取必要的技术措施对不同等级分区进行防护、对不同安全域之间实施访问控制。
第十九条 信息技术中心负责学校中心数据库、数据共享交换平台的建设和安全管理,负责基础数据库与各单位业务数据库之间完成数据交换和共享。各单位负责建设、维护本单位业务应用系统所配套的业务数据库,并对本单位业务数据库及所申请的共享数据的安全负责。
第二十条 统一身份认证平台为学校信息系统提供统一的身份管理、安全的认证机制、审计及标准接口。学校各单位建设面向师生服务的应用系统时,应使用统一身份认证平台进行身份认证。信息技术中心负责统一身份认证平台的安全,学校各单位负责本单位应用系统的权限管理及安全。
第二十一条 原则上,学校各单位应依托学校数据中心开展信息系统建设。需使用校外数据中心的,须报信息技术中心审批。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统,不得部署在校外数据中心。未经批准,严禁使用境外数据中心。
第二十二条 信息技术中心对学校数据中心的使用实施准入管理,负责制定使用数据中心的技术规范和标准,在系统上线前进行安全检测。符合技术规范标准并检测通过的系统方可上线运行。
第二十三条 数据中心的使用单位应遵循数据中心相关管理制度和技术标准,按需申请、有序使用,不得利用数据中心资源从事任何与申请项目无关或危害信息技术安全的活动。
第五章 用户入网管理
第二十四条 学校实行统一出口管理,校内各单位和个人连入校园网成为合法用户,须办理入网审批手续,用户上网采用实名制。教学区、办公区入网必须向信息技术中心申请IP地址,并实名登记备案。教职工宿舍区入网必须到信息技术中心实名申请上网帐号。教学或科研机房需要开设公共账号的,须到信息技术中心办理申请手续并实名制登记,申请人及所属单位必须对此账号引发的信息安全等问题负责。学校通过网络计费系统对所有用户的上网行为进行监管,校园网所有用户必须接受并配合学校的监督和检查。
第二十五条 用户不得转借、转让上网帐号,必须对本人申请的账号严格保管,承担由它而引发的一切问题的责任。因为各种原因不在学校工作或学习的个人用户,应及时到信息技术中心办理帐号注销手续。
第二十六条 校园网IP地址由信息技术中心负责统一分配和管理,按网段分配到各大楼与单位。任何单位或个人不得盗用他人、私自向他人转让或私自乱设IP地址。网络中心有权切断任何未经信息技术中心批准使用的IP地址入网,以保证校园网络的正常运行。
第二十七条 任何人不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动,不得使用任何非法手段获取他人信息。
第二十八条 任何单位和个人不得从事下列危害计算机信息网络安全的活动:
(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
(二)未经允许,对计算机信息网络功能进行删除、修改或者增加的;
(三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)其他危害计算机信息网络安全的。
第六章 网站管理
第二十九条 16877太阳集团网站是指16877太阳集团中英文主页、以“16877太阳集团”冠名的单位网站以及在16877太阳集团校园网上以各类机构、组织或个人名义自建的网站。
第三十条 学校各类网站均需办理登记备案手续。所有16877太阳集团网站,必须经党委宣传部备案同意后,由信息技术中心开通网站。网站原则上应使用学校统一的域名,格式为xxx.tzc.edu.cn(xxx为单位标识或网站名称标示),网站域名非此种格式的,由主办单位自行报政府有关部门备案,同时抄送信息技术中心。未备案的网站,学校将停止对其网络运行环境的支持。网站需要终止或撤销时,网站主办单位要书面通知党委宣传部,由信息技术中心予以注销。
第三十一条 严格执行网站内容管理审核责任制度。各单位应明确网站负责人,指定专人担任网站管理员,对本单位的网站信息审查和网络安全运行负责。校园网主页内容由党委宣传部审核,单位网站的责任人为各单位分管领导,课题组自建网站的信息安全由课题组组长负责,学生组织自建网站的信息安全由团委和学生组织负责人共同承担,教职工、学生以个人名义在校园网上自建的网站,其网站的信息安全由建站者个人负责。网站管理员负责做好网站日常管理和内容的充实更新等工作,加强安全和监控,防止网站被攻击、篡改;必须妥善分配网站后台的管理权限,严格保管网站的管理账号,不得将用户名和密码等重要信息随意授权给他人,对使用其用户名在网站上进行的所有操作和事件负全责。网站发布的信息须经网站负责人审核后方可发布。单位网站主管领导或管理员因故变动时要做好移交工作,并报送党委宣传部、信息技术中心备案。
第三十二条 未经允许,任何单位或个人不得在学校网站上开设论坛(BBS)等交互式栏目,不得设立游戏站点或纯娱乐性站点,一经发现,要追究有关人员的责任。凡需开设交互式栏目的部门必须建立信息审核员、站长和栏目主持人组成的三级管理、分级负责制,建立日志备份制度。交互式栏目开放期间必须有专人管理,采取有效的身份识别、安全防护和有害信息过滤保存技术,并具有安全审计功能。
第三十三条 各单位要保证网站的数据安全和系统安全,制定重要数据库和系统主要设备的容灾备案措施。记录并保留至少60天系统维护日志。若因网站安全问题导致数据丢失而无法恢复,须自行承担责任。
第三十四条 党委宣传部、信息技术中心负责对学校网站进行监督、检查。对于出现以下情况的网站,信息技术中心有权关闭网站一定权限或停止其对外服务:网页被恶意更改;被上传病毒、后门木马等不良代码;页面存在程序代码漏洞;经检测存在安全隐患。同时主办单位须立即组织人员进行整改、修复和加固。
第七章 信息系统管理
第三十五条 计算机信息系统是按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。学校的信息系统主要包括支持教学管理与决策、科研管理与资源建设、行政办公与决策、数字化校园运行与服务等方面的应用系统。
第三十六条 根据国家等级保护相关管理规定,学校计算机信息系统实行安全等级保护制度。
(一)学校各信息系统的建设使用单位作为安全等级保护的责任主体,应当按照国家有关管理规范、技术标准确定信息系统的安全保护等级。信息技术中心协助做好安全保护和管理的各项技术指导和监督工作。
(二)根据信息系统建设和网络安全“同步规划、同步建设、同步运行”的原则,对新建、改建、扩建的信息系统,建设使用单位应当在规划、设计阶段确定信息系统的安全保护等级,并同步建设符合该安全保护等级要求的信息安全设施。
(三)二级及以上的信息系统由信息技术中心统一报上级公安部门。
(四)三级以上的信息系统需由公安部门授权机构进行系统评测。
(五)对于信息系统安全状况未达到安全保护等级要求的,建设使用单位应当制定方案进行整改。
(六)涉密信息系统应当根据国家涉密信息保护的基本要求,按照学校保密工作部门有关涉密信息系统分级保护管理规定和技术标准进行保护。
第三十七条 信息系统建设使用单位应当落实以下安全保护技术措施:
(一)系统重要数据管理、备份、容灾恢复措施;
(二)计算机病毒等破坏性程序的防治措施,防范网络入侵、攻击破坏等危害网络安全行为的措施;
(三)系统运行和用户使用日志备份并保存六十日以上的措施;
(四)密钥、密码安全管理措施;
(五)国家和省规定的其他安全保护技术措施。
第三十八条 加强信息系统的账号管理和权限管理。严格规范系统管理员账号和特权账号的密码设定规则,避免使用过于简单的密码,妥善保管,并做到定期更换,在发生密码遗忘或者外泄的情况时,要及时处理。管理员账号和特权账号不得交予他人登录,若有人员变动或岗位变更时,应及时更改设置。信息系统授权应采取最小化授权原则,不得授予超出工作内容范围的信息系统管理与操作权限。
第三十九条 信息技术中心不定期利用扫描设备或委托第三方安全评测机构对校内信息系统安全性进行扫描检测,发现安全隐患较为严重的信息系统,对其主管单位提供安全检测报告和整改要求。接到报告后,建设使用单位须立即组织人员进行整改、修复和加固,不能达到整改要求的,信息技术中心可暂停信息系统运行。
第八章 信息系统数据安全管理
第四十条 信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据,包括但不限于网站内容、业务数据、网络课程、图书资源、日志记录等。
第四十一条 信息系统数据的所有者是数据安全管理的责任主体,应当落实管理和技术措施,规范数据的收集、存储、传输和使用,确保数据安全。
第四十二条 信息系统数据收集应遵循“最少够用”原则,不得收集与信息系统业务服务无关的个人信息。按照“谁收集,谁负责”的原则,收集个人信息的单位是个人信息保护的责任主体,应当对其收集的个人信息严格保密,并建立健全相关保护制度。
第四十三条 信息技术中心负责学校核心信息系统的备份与恢复管理,制订备份与恢复计划,根据业务实际需要对重要数据和信息系统进行备份,定期测试备份与恢复计划,并确保备份数据和备用资源的有效性。
第九章 电子邮件管理
第四十四条 16877太阳集团电子邮箱开户实行实名制,学生可以在线申请邮箱帐户,教职工和办公邮箱申请开户需到信息技术中心办理有关手续。一个用户只能开设一个邮箱账号。用户停止账号使用时,必须通知信息技术中心注销其账号。
第四十五条 电子邮箱用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户必须对用户名和密码的安全负责,并对以其用户名进行的所有活动和事件负责。用户若发现任何非法使用其用户账号或存在安全漏洞情况,应立即报告信息技术中心。
第四十六条 用户不得利用电子邮箱干扰或混乱网络服务、散布谣言、传播病毒,影响其它用户正常使用。
第四十七条 电子邮箱账号仅限本人使用,不得将本人账号转借给他人或借用他人账号。
第四十八条 信息技术中心负责对校园网电子邮件系统使用情况进行监督、检查。对于非法使用其他用户账号、发送垃圾广告邮件、存在安全漏洞情况的账户,信息技术中心有权停止和取消其服务账号。
第十章 信息管理
第四十九条 校园网所有用户必须遵守国家有关网络信息安全及保密管理的政策及法规,严格执行信息安全保密制度,并对所提供和发布的信息负责。任何单位及个人不得利用校园网从事危害国家安全,泄露国家秘密等犯罪活动,不得制作、查阅、复制和传播有碍社会治安和有伤风化的信息。
第五十条 任何单位或者个人不得利用校园网制作、复制、传播和查阅含有下列内容的信息:
(一)反对宪法基本原则的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)损害国家荣誉和利益的;
(四)煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗习惯的;
(五)破坏国家宗教政策,宣扬邪教、封建迷信的;
(六)散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)鼓动公众恶意评论他人、公开发布他人隐私或者通过暗示、影射等方式对他人进行人身攻击的;
(八)公然侮辱他人或者捏造事实诽谤他人的;
(九)以非法组织名义组织活动的;
(十)损害国家荣誉和利益的;
(十一)含有淫秽、色情、赌博、暴力、欺诈等内容,或者教唆犯罪、传授犯罪方法的;
(十二)含有法律、法规禁止的其他内容的。
第五十一条 学校办公室为学校信息公开的权威部门,学校信息公开工作要严格按照《16877太阳集团信息公开实施办法(试行)》执行,未经允许,任何单位和个人不能擅自发布学校信息。网页中引用学校有关情况的数据、口径等须与校园网主页保持一致。
第五十二条 各单位要按照国家及学校有关规定,严格信息发布审核制度,未经审核的信息内容不得发布。各单位对发布信息的真实性、时效性和准确性负责。严格执行“上网信息不涉密,涉密信息不上网”,确保国家秘密和学校工作秘密的安全。
第五十三条 校园网用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户若发现违法有害信息,有义务向学校有关部门报告。
第五十四条 党委宣传部负责网上信息监控,保证校园网络信息内容安全。一旦发现不良有害信息,应在第一时间联系相关部门进行处理。涉及违法犯罪行为的,应立即向公安机关报案。
第十一章 终端计算机安全管理
第五十五条 终端计算机是指由学校师生员工使用并从事学校教学、科研、管理等活动的各类计算机及附属设备,包括台式电脑、笔记本电脑及其他移动终端。
第五十六条 终端计算机使用人按照“谁使用,谁负责”的原则,对其终端计算机负有保管和安全使用的责任。信息技术中心对终端计算机的安全管理提供技术支持和指导。
第五十七条 终端计算机设备上安装、运行的软件须为正版软件。在终端计算机上使用盗版软件带来的安全和法律责任由终端计算机使用人承担。
第五十八条 终端计算机应当设置系统登录账号和密码,禁止自动登录,登录密码应具有一定强度并定期更改。
第五十九条 终端计算机使用人应做好数据日常管理和保护,定期进行数据备份。非涉密计算机不得存储和处理涉密信息。
第六十条 终端计算机使用人应做好终端计算机的安全防范,如发现终端计算机出现可能由病毒或攻击导致的异常系统行为或其他安全问题,应立即断网后进行处置。
第十二章 存储介质安全管理
第六十一条 存储介质是指存储数据的载体,主要包括硬盘、存储阵列、磁带库等不可移动存储介质,以及移动硬盘、U盘等可移动存储介质。
第六十二条 原则上,存储阵列等大容量介质应托管在学校数据中心,并由信息技术中心统一运行、维护和管理。信息技术中心应采取必要技术措施防范数据泄漏风险,确保存储数据安全。
第六十三条 学校各单位应建立移动介质管理制度,记录介质领用、交回、维修、报废、损毁等情况。介质使用人按照“谁使用,谁负责”的原则,对其移动介质负有保管和安全使用的责任。
第六十四条 非涉密移动存储介质不得用于存储涉密信息,不得在涉密计算机上使用。
第六十五条 移动存储介质在接入终端计算机和信息系统前,应当查杀病毒、木马等恶意代码。
第六十六条 介质使用人应注意移动存储介质的内容管理,对送出维修或销毁的介质应事先清除敏感信息。
第十三章 人员安全管理
第六十七条 学校各单位应建立健全本单位的岗位信息安全责任制度,明确岗位及人员的信息安全责任。关键岗位的计算机使用和管理人员应签订信息安全与保密协议,明确信息安全与保密要求和责任。
第六十八条 学校各单位应加强人员离岗、离职管理,严格规范人员离岗、离职过程,及时终止相关人员的所有访问权限,收回各种身份证件、身份认证账号以及学校提供的软硬件设备,关键岗位的计算机使用和管理人员须签署安全保密承诺书。
第十四章 信息安全责任追究
第六十九条 学校建立信息安全责任追究和倒查机制。
第七十条 有关单位在收到网络与信息安全限期整改通知书后,整改不力的,学校给予通报批评;玩忽职守、失职渎职造成严重后果的,依纪依法追究相关人员的责任。
第七十一条 学校各单位应按照网络与信息安全事件报告与处置流程及时、如实地报告和妥善处置网络与信息安全事件。如有瞒报、缓报、处置和整改不力等情况,学校将对相关单位责任人进行约谈或通报。
第七十二条 师生员工违反本办法规定的,学校将予以责令改正,并通报批评;拒不改正或者导致危害网络与信息安全严重后果的,根据学校有关规定给予纪律处分。触犯国家法律法规的,移交司法和公安部门处理。
第十五章 附则
第七十三条 涉及国家秘密的信息系统,执行国家保密工作的相关规定和标准,由学校保密工作领导小组办公室监督指导。
第七十四条 本办法由学校信息技术中心负责解释。
第七十五条 本办法自公布之日起生效。