第一章 总则
第一条 为了进一步加强学校校园网络信息安全保护,维护网络空间安全,规范网络信息发布内容,加大对网上信息的监管力度,制止和防范网上有害信息的传播,推进网络文明建设,创建良好的校园网络环境,根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际互联网管理暂行规定》等有关法律法规,结合学校实际情况,特制定本办法。
第二章 管理机构与职责
第二条 学校网络安全与信息化领导小组是学校网络安全工作的决策机构,统筹协调学校教学、科研、管理等领域的网络安全重大问题,研究制定网络安全重要政策。
第三条 网络信息中心是学校网络信息安全工作的技术管理部门,负责学校网络信息安全工作的规划、建设、管理、技术支持,负责制定学校网络安全应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络入侵等安全风险;宣传部负责校园网信息的意识形态工作和舆情监控;研究生处、学生处负责学生上网行为和网络安全教育工作;保卫处负责网络信息安全调查工作。
第四条 学校各单位为网络信息安全的二级管理单位。各单位负责人负责本单位网络信息安全领导工作,同时根据工作实际需要指定一名网络安全管理员。网络安全管理员的职责是:负责本单位信息系统、网站的网络信息安全管理服务工作。各单位网络安全管理员在技术和业务上接受网络信息中心的指导,认真配合网络信息中心进行网络安全管理。网络安全负责人和网络安全管理员有变动时需及时上报网络信息中心备案。
第三章 网络基础设施安全管理
第五条 网络设备安全。任何单位和个人不得破坏校园网路由器、交换机、DHCP等网络设备;不得采用暴力破解等网络攻击手段影响网络正常运行;不得非法修改学校网络配置。
第六条 网络线路安全。任何单位和个人不得破坏分布在校园内的光纤、双绞线以及布线间、楼内机柜的线路连接设备及其供电装置;不得通过搭线等方式窃取和篡改网络传输数据。
第七条 服务器安全。网络信息中心负责对数据中心服务器进行备案登记,制定服务器安全管理策略,严格控制服务器对外开放的端口数量。各单位必须定期对托管在学校数据中心机房的服务器(含物理服务器和虚拟服务器)进行杀毒;定期升级操作系统补丁;定期修改操作系统密码,不得采用弱密码。
第八条 终端安全。任何接入校园网的终端应采取必要的计算病毒防范措施。重要业务系统的计算机应做到专人、专管、专用,并安装正版防病毒软件。同时应及时进行软件的升级和更新,切实防止病毒和其它有害程序造成损失。
第九条 重要设备安全监测。网络信息中心负责监测学校路由器、交换机、服务器等重要关键设备,记录网络运行状态,留存相关的网络日志不少于六个月。
第四章 信息系统安全管理
第十条 信息系统安全责任主体。学校各信息系统、信息平台的建设使用部门作为信息系统安全的责任主体,按照“谁主管谁负责、谁使用谁负责”的原则,落实“分工负责、责任到人”的管理办法。
第十一条 信息系统备案制度。网络信息中心建立信息系统台账,登记对外提供服务的信息系统建设单位、类型、域名、IP地址、安装位置等信息。学校对外提供服务的信息系统开通前需到网络信息中心办理备案手续,登记信息系统建设单位、安全负责人、技术联络人、开发单位、开发单位联系人等信息。
第十二条 网络安全等级保护制度。信息系统的建设实行安全等级保护制度,网络信息中心按照国家有关管理规范、技术标准协助建设部门确定信息系统的安全保护等级。对新建、改建、扩建的信息系统,建设单位必须在规划、设计阶段确定信息系统的安全保护等级,做好相关建设预算,并同步建设符合该安全保护等级要求的信息安全设施。对于安全等级定为二级及以上的信息系统由网络信息中心统一上报至省等保办或省公安厅网监处等相关部门。原则上涉及大量人员、财务、教学、科研、物资的重要信息系统均应通过有资质的测评机构测评,取得信息系统等级保护备案证书才可对外提供服务。
第十三条 信息系统漏洞检测。网络信息中心配备漏洞检测设备或委托第三方安全检测机构,对新上线的信息系统进行漏洞检测和渗透测试。经过检测,未发现高危漏洞的信息系统方可正式上线,对于存在高危漏洞的信息系统由系统开发单位进行整改。
第十四条 VPN(虚拟专用网络)。不对校外人员提供服务的信息系统原则上只允许在校园网内部访问,学校师生在校外若需使用,通过VPN进行访问。对于确需对校外人员提供服务的信息系统,建设单位需加强安全管理,确保系统安全可靠。
第十五条 非授权单位和个人不得对校园网内信息系统进行渗透、扫描等网络攻击;不得采用暴力破解、木马、钓鱼等工具非法获取信息系统账号密码。
第十六条 信息系统备份。信息系统建设部门应建立备份机制,对应用系统进行备份。
第五章 网站安全管理
第十七条 网站备案制度。凡冠以“广东财经大学”名义在校内外开设二级网站的,须向网络信息中心、党委宣传部申请,经审批通过后方可开通。
第十八条 网站管理系统安全。学校统一建设网站群管理系统,由网络信息中心负责网站群系统的安全防护。各二级单位网站原则上应在学校网站群系统上进行建设,降低网站被篡改、挂木马的风险;确实需要独立开发网站管理系统的二级单位应委托专业公司或者专业人员进行开发设计,定期升级。二级单位独立开发的网站管理系统上线前,由网络信息中心进行漏洞检测。
第十九条 各二级网站建设单位的负责人要加强对本单位网站信息的检查监督,把握正确的舆论导向,发现问题及时处理,指导好本单位主网页的建设与信息管理工作。各二级单位要妥善管理后台控制账户,定期更改管理账号和密码,严防账号和密码泄漏。
第二十条 二级网站原则上不允许开设互动栏目,确实需要开通论坛、博客、微博、微信公众号等网络互动平台的单位,填写《网络互动信息平台开通申请表》(附表1),经审批通过后方可开通。所有网络信息互动平台严格实行实名制、先审后发。各单位要严格管理本单位设立的网络信息互动平台,在加强技术防范措施的同时,对论坛、博客、微博和微信公众号等交互式内容实行监控,及时发现和删除有害信息。
第二十一条 各单位主页(二级网站)要严格管理连接境外的新闻网站,不得随意登载境外新闻媒体和互联网站发布的信息。
第二十二条 二级网站一旦发生网络信息安全事件,网络信息中心有权立即停止、关闭二级网站的运行,待二级网站整改并审核通过后,方可上线。
第二十三条 二级网站退出机制。二级网站如果存在以下情形的,网络信息中心有权立即停止、关闭其二级网站域名:网站到期或长期无人管理、网站已经停止提供对外服务或运营、僵尸网站、没有定期到网络信息中心进行备案的。
第二十四条 在校外设立二级网站的二级部门,应建立网站安全管理制度,加强网站日常管理,规范信息发布机制,确保网络信息安全。
第六章 数据安全管理
第二十五条 网络数据资源是学校信息化工作的重要宝贵资源,网络信息系统上的数据处理和数据管理归口部门,要积极采取切实有效的方法和技术手段,保证校园网信息系统数据的安全,防止数据丢失、篡改和失窃,做到定期进行备份处理和转储。数据要由专人管理和保存。
第二十六条 信息系统建设单位,须采取有效数据加密和备份措施,防止重要数据和个人信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。
第二十七条 任何单位和个人不得通过非法手段进入学校网络、应用系统、网站及个人电脑设备等非法获取数据。
第七章 网络信息发布安全管理
第二十八条 国家法律法规禁止传播的各类信息(内部通知、密电、人事档案、通报、汇报材料、保密的文件、资料、数据、信息等)及不宜公开发表的信息一律不得上网。严禁在网上发布任何不良、不实、虚假和易造成负面影响、危害学校安全稳定的信息。
第二十九条 凡在校园网上开设论坛、微博、博客和微信公众号等新闻媒介的用户单位,须经网络信息中心、校党委宣传部和分管网络信息安全的校领导审批,并明确保密要求和责任。学校各网络信息提供单位要认真履行保密义务,未经批准,任何单位和个人不得在论坛、微博、博客和微信公众号等新闻媒介上发布、谈论和传播国家、政府和学校秘密信息。
第三十条 用户使用电子函件进行网上信息交流,要遵守国家和学校的有关保密规定,不得利用电子函件传递、转发或抄送秘密信息。
第八章 网络应急管理
第三十一条 学校建立健全网络安全应急处置机制,发生网络安全事件时,应当立即启动《广东财经大学网络信息安全事件应急响应预案》(附件2),及时对网络安全事件进行调查和评估,采取技术措施和其他必要措施,消除安全隐患,堵塞有害信息,防止危害扩大,保障校园网信息安全,并及时向社会与公众发布有关的警示信息。
第九章 相关责任
第三十二条 对违反学校本管理办法的单位或个人,由网络信息中心会同相关部门共同研究,做出处理决定,并将处理结果报有关部门和当事人;触犯法律的,移交司法机关处理。
第十章 附 则
第三十三条 本规定由网络信息中心负责解释。
第三十四条 本办法自发布之日起执行。