当前位置: 首页 > 网络安全 > 政策法规 > 正文

安顺学院计算机与网络管理中心校园网络安全实施细则

【来源:安顺学院计算机与网络管理中心校园网络安全实施细则 | 发布日期:2018-04-19 】

第一章 总则

  一、为加强网络信息管理,控制有害信息,维护学校及社会稳定,根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、国家《互联网信息服务管理办法》、《互联网安全管理责任书》以及相关规定,制定本办法。

  二、本办法适用于接入安顺学院校园网的计算机用户。

  三、保卫处、党委宣传部、计算机与网络管理中心及各党总支(支部)专门负责学校计算机信息系统规划、建设和管理工作中的安全保护工作。

  四、任何部门和个人不得利用校园网危害国家安全、泄露国家秘密,不得侵犯国家、社会、学校、集体的利益和公民的合法权益,不得从事违法犯罪活动。

  五、任何部门和个人不得利用校园网制作、复制、查阅和传播下列信息:

  1.煽动抗拒、破坏宪法和法律、行政法规实施的言论;

  2.煽动颠覆国家政权、推翻社会主义制度的言论;

  3.煽动分裂国家、破坏国家统一的言论;

  4.煽动民族仇恨、民族歧视,破坏民族团结的言论;

  5.捏造或者歪曲事实,散布谣言,扰乱社会秩序;

  6.宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪;

  7.公然侮辱他人或者捏造事实诽谤他人;

  8.损害学校形象和学校利益的言行;

  9.其他违反宪法、法律、行政法规的言行。

  六、任何部门和个人不得从事下列危害计算机信息网络安全的活动:

  1.私自修改IP地址,开设二级代理,WEBDNSDHCP等服务;

  2.校园区内,任何计算机、局域网必须通过校园统一出口连接进入Internet

  3.制作、传播计算机病毒等破坏性程序;

  4.以端口扫描方式,破坏网络正常运行;

  5.擅自在校园网架设网站、发布信息;

  6.其他危害计算机信息网络安全的行为。

  七、用户的通信自由和通信秘密受法律保护。任何部门和个人不得违反法律规定,利用校园网侵犯用户的通信自由和通信秘密。

 

第二章 网络安全保密管理

  一、物理安全:保护计算机信息系统设备、设施、媒体和信息免遭自然灾害、环境事故以及人为物理操作失误或错误及各种以物理手段进行违法犯罪行为导致的破坏、丢失。主要包括环境安全、设备安全、媒体安全等方面:

  1.环境安全:涉密系统(计算机信息系统)所在环境的安全。涉密系统中心机房应该满足国家标准GB50174-1993《电子计算机机房设计规范》、GB2887-1989《计算站场地技术条件》。

  2.设备安全:主要包括设备的防盗、防毁等。涉密系统中心机房应采取安全防范措施,确保非授权人员无法进入。处理秘密级、机密级信息的系统中心机房应采取有效的电子门控系统。处理绝密级信息和重要信息的系统中心机房的门控系统应采用IC卡或生理特征进行身份鉴别,并应有电子监视系统,且配备保安人员进行区域保护。

  3.媒体安全:媒体数据的安全及媒体本身安全。软磁盘、硬盘、磁带、U盘等涉密媒体应按所存储信息的最高密级标明密级,并按相应密级管理。存储过涉密信息的媒体不能降低密级使用。不再使用的媒体应按国家法律规定处理。涉密媒体的维修应保证所存储的涉密信息不被泄露。打印输出的涉密文件应按相应密级的文件进行管理。

  二、运行安全:包括备份与恢复、病毒的监测与消除等。

  1.备份与恢复:涉密系统的主要设备、软件、数据、电源等应有备份,并具有在较短时间内恢复系统运行的能力(绝密级及重要信息的数据应异地备份)。

  2.病毒的监测与消除:应采用国家有关主管部门(公安)批准的查毒软件实时查毒、杀毒,包括服务器和客户端的查毒、杀毒。同时,制定严格的防病毒制度,不允许使用来历不明,未经杀毒的软件,不阅读和下载来历不明的网上邮件或文件,严格控制阻断病毒。

  三、信息安全保密:确保信息的保密性、完整性、可用性和可审计,是信息安全保密的中心任务。系统应采用身份鉴别、访问控制、信息加密、审计跟踪、电磁泄漏防护等措施保证信息安全保密。

  1.身份认证:

  a.由系统安全保密管理人员集中生成口令供用户选用,并有口令更换记录;

  b.处理秘密级信息的系统,口令长度不得少于6个字符,口令更换周期不得长于1个月;

  c.处理机密信息的系统,口令长度不得少于8个字符,口令更换周期不得长于1周;

  d.处理绝密信息的系统,应当采用一次性口令或生理特征等强认证措施;

  e.口令必须加密存储、传递,并且保证口令存放载体的物理安全。

  2.访问控制:

  a.处理秘密级、机密级信息的系统,访问应当按照用户类别控制;

  b.处理绝密级信息的系统,访问必须控制到单个用户,或单条信息。

  3.审计跟踪:

  a.涉密系统应当有详细的系统日志,记录每个用户的每次活动(访问时间、地址、数据、程序、设备等)以及系统出错和配置修改等信息;

  b.处理秘密级、机密级信息的系统,系统安全保密管理人员应当定期审查系统日志并作审查记录,审查周期不得长于1个月;

  c.处理绝密级信息的系统,应当能够检测并记录侵犯系统的事件,及时自动告警,系统安全保密管理人员应当定期审查系统日志并作出审查记录,审查周期不得长于1周。审计过程中,发现问题及时采取补救措施,并向相关部门报告情况。

  4.电磁泄漏防护:

  a.在处理绝密级信息的系统中应当在符合国家保密标准的屏蔽室内使用;

  b.在处理秘密级、机密级信息的系统中使用,应当安装经国家主管部门批准的与应用需求等级相符合的信息相关干扰器。

  5.存储、传输:

  a.秘密级、机密级信息应当加密传输;

  b.涉密系统完全处于其主管部门(单位)独立使用和管理的封闭建筑群内,应按国家有关标准采用相应的保护措施;

  c.绝密级信息应当加密存储、加密传输;

  d.使用的加密措施应当经过有关主管部门批准,并且与所保护的信息密级一致;

  e.限制最小使用范围。

  四、安全保密管理:系统的安全保密管理包括各级管理组织机构、管理制度和管理技术,要通过组建完整的安全保密管理组织机构、设置安全保密管理人员,制定严格的安全保密管理制度,利用先进的安全保密管理技术对整个系统进行管理。

 

第三章 信息上网与网站管理

  一、单位主要领导是本单位(含下属单位)网络信息管理的第一责任人。

建立由本单位主要领导负责的网络信息安全组织机构,指定专人负责日常的网络信息安全保护工作。

  二、依照国家的法律法规负责落实本单位的网络信息安全管理工作,建立和健全网络信息安全管理制度,落实安全保护技术措施,保证网络运行和信息的安全。

  三、单位发布信息均应登记造册,并由单位主要负责人或所指定人员审核、签署意见。

  四、不得利用互联网制作、复制、查阅和传播各种有害信息,以及从事其他违反宪法和法律的活动。

  五、不得利用互联网危害国家安全,泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的权益,不得从事违法犯罪活动。

  六、对所管网站(页)实行24小时巡查制度,发现有害信息及时备份后删除,12小时内通过党委工作部向公安机关计算机安全监察管理部门报告。检查的重点内容见第一章第五条。

  七、接受公安机关和学院计算机信息系统安全保护工作领导小组的安全监督、检查和指导,如实向上述部门提供安全保护所需要的信息、资料及数据文件,协助公安机关查处通过国际互联的计算机信息网络违法犯罪案件。

  八、制定网络信息系统突发事件的处置预案和应急措施,并有专人负责。遇突发性事件,接受计算机信息系统安全保护工作领导小组的统一协调。

  九、未经计算机信息系统安全保护工作领导小组同意,任何部门、任何个人,不得向外透露网络信息系统突发性事件消息,或接受任何媒体采访,或向任何媒体投稿。

  十、责任人、责任单位不履行本责任书所规定的责任,或所管网站(页)上出现有害信息而未及时发现、删除的,单位责任人承担相应的行政、经济、法律责任,并层层追究。

 

安顺学院计算机与网络管理中心

2018418