为进一步加强学校校园网与信息安全保密工作,更好地为全校师生员工提供一个便捷、可靠、稳定、安全的计算机网络环境,确保员工用网安全、有效使用校园网络及信息系统资源,保护学校重要数据信息和数据库安全,并能及时妥善处理好网络与信息安全事故。特制定本规定。
一、加强网络与信息安全培训
新入职的教职员工应接受校园网络与相关信息系统(OA等)的使用培训,定期参加由信息技术与管理处组织的在岗人员网络与信息安全等培训。
二、办公电脑和设备的安全使用
(一)不要与别人共用网络帐号和系统帐号。
(二)所有接入学校内部网络的计算机必须设置用户口令,口令的设置必须符合复杂度的要求,并定期修改口令。员工离开办公位时,必须随时锁定计算机屏幕,严禁将敏感或关键业务信息(如纸制文档、电子存储介质)置于办公桌面。
(三)所有接入学校内部网络的计算机必须安装杀毒软件,并定期杀毒和更新病毒库版本。
(四)所有接入学校内部网络的计算机必须及时更新操作系统补丁,开启系统防火墙,关闭不必要的端口,封堵系统漏洞。
(五)安全使用电子邮箱,不要轻易接收任何陌生人的邮件,不要轻易点击邮件中的链接。
(六)严禁利用任何手段获取他人密码,控制他人计算机,禁止使用他人用户帐号登录信息系统。
(七)不随意打开聊天软件发送未知文件及图片,不登录不明网站,不随意在互联网上下载资料,杜绝浏览不健康网站。
(八)定期对个人重要数据进行备份。
(九)严禁进行黑客攻击、非法进入系统、监听数据、端口扫描、窃取密码、嗅探网络拓扑等操作。严禁编写、搜集、传播病毒木马与黑客软件。
三、机密数据信息的保护
(一)严禁收集、备份存储非本岗位的学校机密数据信息。
(二)机密数据不能保存在操作系统所在分区。
(三)不得用学校相关的个人信息(如学校邮件地址、电话、职务)在公共网站进行注册。
(四)严禁通过任何方式外发学校的机密资料。确因工作需要外发,需部门主管领导书面审批。
(五)学校师生敏感信息,严禁通过公共网络平台(如微信群、QQ群等)发送。却因工作需要,脱密后发送。
(六)员工使用打印机打印文档时,打印完成后立即从打印机上取回文档;如遇打印机故障,应立即取消设置的打印任务,防止信息泄露。
四、校园网络的安全防护
(一)校园网的网络设备、弱电管网、光纤链路等网络系统设备由信息技术与管理处负责维护管理,非信息技术与管理处工作人员不得改动和使用相关校园网络设备设施。
(二)学校内的各种施工、建设,不得危害计算机网络系统的安全,如确需移动线缆者,应先征得信息技术与管理处同意,施工后要及时恢复。
(三)除信息技术与管理处,其他单位或个人不得以任何方式试图登录进入校园网主、辅节点、服务器等设备进行修改、设置、删除等操作;任何单位和个人不得以任何借口盗窃、破坏网络和弱电设施。
(四)需增加接入或变更接入我校校园网的任何服务器或工作站需向信息技术与管理处提出申请,获准后按信息技术与管理处指定的方式连接入网。
(五)严禁在校园网上使用来历不明、有安全隐患的软件;对于来历不明的可能引起计算机病毒的软件应先使用杀毒软件检查、杀毒。
(六)对所有联网计算机及上网人员要及时、准确登记备案。各级行政单位、教学单位的上网计算机要严格管理,部门负责人为网络安全负责人。
五、校园网络的安全保密
(一)信息技术与管理处总负责学校网络安全保密工作。学校各二级单位设网络信息安全管理员,具体负责本单位网络安全和信息保密工作,并定期对网络用户进行信息保密和网络安全教育。
(二)学校校园网实行统一管理,分层负责的管理制度。信息技术与管理处对全校的资源进行统一管理,各二级单位负责本部门的资源管理。信息技术与管理处和各单位的网络安全保密管理员有权对相应部门的网络安全和信息保密情况进行定期和不定期的检查及监控,并有责任向校领导报告有关情况。
(三)特殊业务专网(如财务系统等)必须实现与校园网的物理隔离。严禁将涉及党、国家和学校保密的信息和属于国家重点或保密科研项目的信息上网或存放在入网计算机中。
(四)校园网的工作人员和所有入网用户必须严格遵守国家的法律、法规及校园网入网管理规定,接受并配合学校有关部门依法进行的监控和检查,不得利用计算机网络从事危害国家安全、泄露国家和学校秘密等活动。
(五)不得利用网络对他人进行诽谤、诬陷、欺诈、教唆等;不得侵犯他人的名誉权、姓名权等人身权利;不得侵犯他人的商誉、商标、版权、专利、专有技术和商业秘密等各种知识产权。
(六)网络管理员有权制止不法行为,并有责任向有关部门报告违法犯罪行为和有害信息情况。
六、信息系统的安全防护
(一)所有信息系统的管理部门负责该系统各级帐号的权限分配(帐号原则上分为系统管理员、审核员、普通使用者、查询使用者,不同权限之间的帐号使用者不得为同一人,必须分别持有帐号)。
(二)所有应用系统管理部门的系统管理员,应经常对该系统进行日常维护,及时查看系统的操作日志,严格管理系统帐号及操作权限,相关的系统管理员和操作员离职或调岗,要及时删除帐号或变更帐号权限,并做好记录,确保信息系统帐号和权限安全。
(三)加强密码策略管理,用户使用的口令密码必须符合一下要求:长度(至少8位)、复杂度(必须包含大写、小写、数字、特殊符号四种中的三种)、期限(至少三个月修改一次密码)。
(四)所有信息系统用户不能随意导出系统内的数据,不得收集涉及老师、学生、家长和单位敏感信息材料。
(五)审批定稿的关键电子表格和表格模板都必须由责任人妥善保存,并进行异地备份。关键电子表格必须设定复杂的访问密码,密码要求参照信息系统的密码策略设置。
七、学校的数据中心和服务器安全
(一)严格执行《tyc131太阳集团城网址数据中心机房管理规定》。外来人员进入数据中心机房要进行登记,不邀请无关人员进入数据中心机房参观。外单位技术人员、线路维护人员如要进入机房,需提前与信息技术与管理处管理人员联系,批准后方可由管理人员陪同进入,并做好登记。每天做好机房巡检,检查机房电源、空调、温湿度、消防、监控等设备设施,做好巡检记录。
(二)定期巡检学校的服务器,定期进行安全漏洞扫描,及时进行版本升级、补丁程序安装,关闭不用服务和端口,配置相应的主机防火墙防止攻击,安装好杀毒软件,定时杀毒并及时更新病毒库版本,定期分析系统日志,消除安全隐患。
(三)做好学校所有重要网络设备及服务器的台帐管理,对网络设备、应用系统、数据库、服务器的系统管理员帐号和口令要严格保密,严禁泄露。
(四)校园网要统一出口管理、统一用户管理,从校外访问校园网信息的所有用户必须使用相应的审计系统、用户认证系统等接入。不得私自架设网络交换机、无线路由器等网络设备,未经信息技术与管理处领导批准,各单位一律不得私自开设WEB、FTP、Proxy、DHCP、DNS、SMTP、POP3、APP、文件及打印共享等服务。
(五)做好学校重要数据的定时备份和容灾备份,每天检查备份情况,定期做好数据恢复演练。
八、网络与信息安全事故界定及报告要求
(一)网络与信息安全事故的界定
1.网站页面被篡改。
2.涉密信息失窃。
3.黑客攻击而导致网络服务中断。
4.黑客或病毒导致重要数据丢失或损坏。
5.学校与外界通信网络光缆被挖断或破坏。
6.核心服务器或网络设备突发故障。
7.发现校内外贴吧、微博、微信群、QQ群、论坛上发表以下言论:煽动抗拒、破坏宪法和法律、行政法规实施;煽动颠覆国家政权,推翻社会主义制度;煽动分裂国家、破坏国家统一;煽动民族仇恨、民族歧视、破坏民族团结;捏造或者歪曲事实、散布谣言,扰乱社会秩序;宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪;公然侮辱他人或者捏造事实诽谤他人;损害国家机关、单位或他人信誉;损害学校声誉、影响学校安全稳定;其他违反宪法和法律、行政法规;
如发生以上事故时,应第一时间以电话或其他有效方式直接向学校网络安全和信息化领导小组汇报,并采取应对措施。
(二)网络与信息安全事故的报告内容
1.事故发生后的首次报告内容:事故发生的时间;事故发生的具体情况;报告人的姓名、单位和联系电话。
2.事故处理过程的报告内容:网络和信息系统是否已恢复正常;是否有网站日志记录;对事故原因的分析;是否保留或发现作案软件;其他需要请示或报告的事项。
3.事故处理结束后,报告单位需认真总结事故发生和处理的情况,并做出书面报告,内容包括:事故经过及处理结果;事故原因及责任;事故教训及今后防范措施;事故遗留问题及其他等。
本管理规定自发布之日起实行。