广东财经大学网络信息安全管理办法

广东财经大学网络信息安全管理办法

第一章  总  则

第一条为进一步加强校园网络信息安全保护，维护网络空间安全，规范网络信息发布，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律法规，结合学校实际，制定本办法。

第二章  管理机构与职责

　　第二条学校网络安全和信息化领导小组是学校网络安全工作的决策机构，统筹协调学校教学、科研、管理等领域的网络安全重大问题，研究制定网络安全重要政策。

　　第三条网络信息与教育技术中心是学校网络信息安全工作的技术管理部门，负责学校网络信息安全工作的规划、建设、管理、技术支持，负责制定学校网络安全应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络入侵等安全风险;宣传部负责校园网信息的意识形态工作和舆情监控；研究生工作部、学生工作部负责学生网络安全教育工作；保卫部负责协助处理网络信息安全事件调查工作。

第四条学校各单位为网络信息安全的二级管理单位。各单位负责人负责本单位网络信息安全领导工作，同时根据工作实际指定一名网络安全管理员。网络安全管理员的职责是：负责本单位信息系统、网站的网络信息安全管理服务工作。各单位网络安全管理员在技术和业务上接受网络信息与教育技术中心的指导，认真配合网络信息与教育技术中心进行网络安全管理。网络安全负责人和网络安全管理员有变动时需及时上报网络信息与教育技术中心备案。

第三章  网络基础设施安全管理

　　第五条网络设备安全。任何单位和个人不得破坏校园网路由器、交换机、DHCP、无线AP等网络设备；不得采用木马、暴力破解等手段攻击网络、影响网络正常运行；不得非法修改学校网络设备的配置。

　　第六条网络线路安全。任何单位和个人不得破坏分布在校园内的光纤、双绞线以及布线间、楼内机柜的线路连接设备、无线AP及其供电制冷装置；不得通过搭线等方式窃取和篡改网络传输数据。

　　第七条服务器安全。网络信息与教育技术中心负责对数据中心服务器进行备案登记，制定服务器安全管理策略，严格控制服务器对外开放的端口及数量。各单位必须定期对托管在学校数据中心机房的服务器（含物理服务器和虚拟服务器）进行杀毒；定期升级操作系统补丁；定期修改操作系统密码，不得采用弱密码。

　　第八条终端安全。任何接入校园网的终端应采取必要的计算病毒防范措施。重要业务系统的计算机应做到专人、专管、专用，并安装正版防病毒软件。同时应及时进行软件的升级和更新，切实防止病毒和其它有害程序造成损失。不得下载安装“挖矿”“翻墙”等相关软件。

　　第九条重要设备安全监测。网络信息与教育技术中心负责监测学校路由器、交换机、服务器等重要关键设备，记录网络运行状态，留存相关的网络日志不少于6个月。

第四章  信息系统安全管理

　　第十条信息系统安全责任主体。学校各信息系统、信息平台的建设使用部门作为信息系统安全的责任主体，按照“谁主管谁负责、谁使用谁负责”的原则，落实“分工负责、责任到人”的管理办法。

　　第十一条信息系统备案制度。网络信息与教育技术中心建立信息系统台账，登记对外提供服务的信息系统建设单位、类型、域名、IP地址、安装位置等信息。学校对外提供服务的信息系统开通前需到网络信息与教育技术中心办理备案手续，登记信息系统建设单位、安全负责人、技术联络人、开发单位、开发单位联系人等信息。

　　第十二条网络安全等级保护制度。信息系统的建设实行安全等级保护制度，网络信息与教育技术中心按照国家有关管理规范、技术标准协助建设部门确定信息系统的安全保护等级。对新建、改建、扩建的信息系统，建设单位必须在规划、设计阶段确定信息系统的安全保护等级，做好相关建设预算，并同步建设符合该安全保护等级要求的信息安全设施。对于安全等级定为二级及以上的信息系统由网络信息与教育技术中心统一上报至省等保办或省公安厅网监处等相关部门。原则上涉及大量人员、财务、教学、科研、物资的重要信息系统均应通过有资质的测评机构测评，取得信息系统等级保护定级备案证书才可对外提供服务。信息系统应按国家要求开展定级、测评和整改。

　　第十三条信息系统漏洞检测。网络信息与教育技术中心配备漏洞检测设备或委托第三方安全检测机构，对新上线的信息系统进行漏洞检测和渗透测试。经过检测，未发现高危漏洞的信息系统方可正式上线，对于存在高危漏洞的信息系统由建设单位会同系统开发单位进行整改。信息系统上线运行后，一旦发现存在漏洞，建设单位需及时响应，配合网络信息与教育技术中心对系统进行加固。非经网络信息与教育技术中心同意，二级单位不能允许第三方单位或个人对学校应用系统（含网站）进行扫描或者渗透测试。

　　第十四条VPN(虚拟专用网络)。不对校外人员提供服务的信息系统原则上只允许在校园网内部访问，学校师生在校外若需使用，可通过VPN进行访问。对于确需对校外人员提供服务的信息系统，建设单位需加强安全管理，确保系统安全可靠。

　　第十五条非授权单位和个人不得对校园网内信息系统进行扫描、渗透等网络攻击行为；不得采用暴力破解、木马、钓鱼等工具非法获取信息系统账号和密码。

　　第十六条信息系统备份。信息系统建设部门应建立备份机制，对应用系统进行备份,以便将来方便对信息系统的恢复。

第五章  网站安全管理

　　第十七条网站备案制度。凡冠以“广东财经大学”名义在校内外设立二级网站的，须向网络信息与教育技术中心、党委宣传部申请，经审批通过后方可开通。

　　第十八条网站管理系统安全。学校统一建设网站群管理系统，由网络信息与教育技术中心负责网站群系统的安全防护。各二级单位网站原则上应在学校网站群系统上进行建设，降低网站被篡改、挂木马的风险；确实需要独立开发网站管理系统的二级单位应委托专业公司或者专业人员进行开发设计，定期升级系统。二级单位独立开发的网站管理系统上线前，由网络信息与教育技术中心进行漏洞检测，符合网络安全要求后方能上线运行。

　　第十九条各二级网站建设单位的负责人要加强对本单位网站信息的检查监督，把握正确的舆论导向，发现问题及时处理，指导好本单位主网页的建设与信息管理工作。各二级单位要妥善管理后台控制账号，定期更改管理账号和密码，严防账号和密码泄漏。

　　第二十条二级网站原则上不允许开设互动栏目，确实需要开通论坛等网络互动平台的单位，须填写《网络互动信息平台开通申请表》（附件），经审批通过后方可开通。所有网络信息互动平台严格实行实名制、先审后发。各单位要严格管理本单位设立的网络信息互动平台，在加强技术防范措施的同时，对论坛等交互式内容实行监控，及时发现和删除有害信息。

第二十一条各单位主页（二级网站）要严格管理连接境外的新闻网站，不得随意登载境外新闻媒体和互联网站发布的信息。

第二十二条二级网站一旦发生网络信息安全事件，网络信息与教育技术中心可立即停止、关闭二级网站的运行，待二级网站整改并审核通过后，方可上线。网络安全重要保障时期，网络信息与教育技术中心可根据上级部门要求，调整网站对互联网开放时间。

　　第二十三条二级网站退出机制。二级网站如果存在以下情形的，网络信息与教育技术中心有权立即停止、关闭其二级网站域名：网站到期或长期无人管理、网站已经停止提供对外服务或运营、僵尸网站、没有定期到网络信息与教育技术中心进行备案的。

第二十四条在校外设立网站的二级单位，应建立网站安全管理制度，加强网站日常管理，规范信息发布机制，确保网络信息安全。

第六章  网络信息发布管理

　　第二十五条国家法律法规禁止传播的各类信息，如内部通知、密电、人事档案、通报、汇报材料、保密的文件资料数据等信息，以及不宜公开发表的信息一律不得上网。严禁在网上发布任何不良、不实、虚假和易造成负面影响、危害学校安全稳定的信息。

　　第二十六条在校园网上开设论坛的用户单位或者个人，须经网络信息与教育技术中心、校党委宣传部和分管网络信息安全的校领导审批，并明确保密要求和责任。

第二十七条用户使用电子函件进行网上信息交流，要遵守国家和学校的有关保密规定，不得利用电子函件传递、转发或抄送秘密信息。

第七章  附  则

　　第二十八条学校建立健全网络信息安全应急处置机制，发生网络安全事件时，应及时进行调查评估，采取必要措施消除安全隐患，保障校园网信息安全。

　　第二十九条对违反本管理办法的单位或个人，学校将依规依纪进行处理；涉嫌违法的，移交司法机关处理。

　　第三十条本办法由网络信息与教育技术中心负责解释。

第三十一条本办法自发布之日起施行，《广东财经大学网络信息安全管理办法（试行）》（粤财大〔2017〕121号）同时废止。

附件

网络互动信息平台开通申请表

申请部门（盖章）              填表日期：