XX大學信息化建設與管理處

　　第一部分 網絡與信息安全規章制度

　　XX大學網絡安全管理辦法

　　第一章 總則

　　第一條 制度目標：為了加強信息安全保障能力，建立健全的安全管理體系，提高整體的網絡與信息安全水平，保證網絡通信暢通和業務系統的正常運營，提高網絡服務質量，在安全體系框架下，本制度為規范網絡安全的運行維護，保護作為信息傳輸基礎的網絡基礎設施的安全，保障網絡服務的可用性和信息傳輸的機密性。

　　第二條 適用范圍：本制度由XX大學網絡與信息安全領導小組制訂，適用于各部門使用的網絡中涉及網絡設備、網絡設計、運行、邊界保護、監控和審計方面的安全規定。本制度所述的網絡設備包括網絡設備和使用在網絡環境中的安全設備，如路由器、交換機、防火墻、入侵檢測系統及網絡監控設備。

　　第三條 使用人員及角色職責：本制度適用于安全管理員，部門安全管理員、安全技術人員及系統管理員。

　　第四條 制度相關性：本制度涉及網絡的安全技術規范、安全檢查及監控等管理辦法，同時遵照相關專業技術文檔。

　　第二章 網絡安全要求

　　第五條 各系統網絡設備當前運行配置文件應和備份配置文件保持一致。

　　第六條 各系統網絡設備的配置變更應根據本辦法嚴格執行。

　　第七條 網絡設備登錄提示標識應適當屏蔽內部網絡信息內容，并應有相關合法性警告信息。

　　第八條 各系統管理員應每季度檢查網絡設備登錄方式的開放情況，關閉沒有使用的登錄方式。

　　第九條 通過設備日志或外部認證設備維護對設備的登錄狀況，內容應當包括訪問登錄時間，人員，成功登錄和失敗登錄時間和次數等信息。

　　第十條 嚴格控制對網絡設備的管理授權。按照最小權限原則對用戶進行授權。

　　第十一條 各部門應每季度收集設備運行狀況，通過運行記錄和供應商了解目前已有設備的硬件、軟件缺陷，跟蹤設備缺陷的修復情況，及時向部門信息化分管領導匯報，作為設備選型、廠商選擇的參考指標。

　　第十二條 負責網絡設備維護的人員應與網絡設備廠商保持暢通的溝通聯系，以便能及時從廠商處獲取必要的技術支持。

　　第十三條 嚴禁管理員透漏設備口令、SNMP字符串、設備配置文件等信息給未授權人員。

　　第十四條 所有網絡必須具有關于拓撲結構、所用設備、鏈路使用情況等關于網絡情況的詳細說明文檔，并保持文檔內容和現有網絡、設備連接和鏈路信息保持一致。

　　第十五條 網絡應具備冗余設計和規劃，實現基本的冗余配置，預防關鍵點的網絡故障。應配備冗余鏈路、核心和匯聚層的冗余設備，配置冗余路由以充分保障網絡的可用性。

　　第十六條 對重要區域實行冷備份與熱備份相結合的方式，避免雙重失效造成的影響。

　　第十七條 網絡冗余措施應根據預先制定的冗余配置、設備、線路等測試方案每季度進行驗證測試，以判別是否滿足冗余要求。

　　第十八條 網絡管理員或安全管理員對網絡鏈路應進行探測和監控，并對已經發生的安全事件進行及時響應和處理。

　　第十九條 重要部門在網絡上傳輸機密性要求高的信息時，必須啟用可靠的加密算法保證傳輸安全。

　　第二十條 在網絡中選擇和使用恰當的路由協議，并正確地進行配置和實施，保證網絡的互聯互通。

　　第二十一條 由統一的IP地址管理機構、人員負責對外部和內部各個部門、人員的IP地址進行規劃、登記、維護和分配。確保各個部門有足夠的地址容量并有一定的冗余供擴展使用。

　　第二十二條 對于重要區域應單獨分配地址段，用于專門的網絡設備互聯，不與其他用戶混用，以利于安全措施的使用。

　　第二十三條 維護和記錄IP地址的使用情況，及時關閉和回收被廢止的地址。

　　第二十四條 未經部門或信息處批準，測試網絡與內部網絡不能直接連接。

　　第二十五條 未經部門或信息處組織批準，嚴禁師生用戶私自設立撥號接入服務。

　　第二十六條 未經部門或信息處組織批準，嚴禁師生用戶通過拔號方式對外部網絡進行訪問。

　　第二十七條 所有的遠程訪問必須具備身份鑒別和訪問授權控制，至少應采用用戶名、口令方式，通過Internet的遠程接入訪問必須通過VPN的連接，并啟用VPN的加密與驗證功能。

　　第二十八條 不同安全域之間應采用防火墻，路由器訪問控制列表等方式對邊界進行保護。只開放必要的服務和端口，減少暴露在網絡外部的風險。

　　第二十九條 對于重要的系統需要在防火墻上對信息流的內容按照一定方式進行邊界過濾。

　　第三十條 根據業務變化及時檢驗更新現有的防火墻配置制度，滿足新的安全需求。

　　第三十一條 采取邏輯或物理隔離方法對網絡采取必要的隔離措施，以維護不同網絡間信息的機密性，解決網絡信息分區傳輸的安全問題。

　　第三十二條 在網絡中的重要位置應部署網絡監控設備或者采用人工手段，監控采集網絡中的流量和事件，設備運行情況等信息，分析發掘異常事件。

　　第三十三條 網絡中各設備應開啟日志記錄功能，對網絡使用情況進行記錄。

　　第三十四條 建立網絡中的審計體系，應當對審計結果中的異常信息和長期性事件趨勢進行分析。

篇2：醫學院網絡安全等級保護管理辦法

　　醫學院網絡安全等級保護管理辦法(試行)

　　第一章 總 則

　　第一條 為貫徹落實《中華人民共和國網絡安全法》，規范學校網絡安全等級保護定級備案工作，依據《中華人民共和國計算機信息系統安全保護條例》(國務院第147號令)、《教育行業信息系統安全等級保護定級工作指南(試行)》(教技廳函[2014]74號)、《教育部、公安部關于全面推進教育行業信息安全等保工作的通知》(教技[2015]2號)等國家網絡安全等級保護相關政策和標準，結合學校實際情況，制定本辦法。

　　第二條 信息系統定級備案是等級保護工作的關鍵環節，是開展信息系統建設整改、等級測評、監督檢查等工作的重要基礎，學校信息系統安全等級保護應嚴格執行國家有關規定。

　　第三條 本辦法適用于學校所有的非涉密信息系統安全等級保護定級備案工作。信息系統的定級備案工作應與信息系統建設同步實施。

　　第二章 等級的確定

　　第四條 信息系統安全保護等級劃分。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。信息系統的安全保護等級分為五級，從第一級到第五級逐級增高。

　　第一級(自主保護級)，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

　　第二級(指導保護級)，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

　　第三級(監督保護級)，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

　　第四級(強制保護級)，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

　　第五級(專項保護級)，信息系統受到破壞后，會對國家安全造成特別嚴重損害。

　　第五條 信息系統安全保護等級定級要素。信息系統的安全保護等級由兩個定級要素決定：等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。

　　(1)受侵害的客體。等級保護對象受到破壞時所侵害的客體包括以下三個方面：公民、法人和其他組織的合法權益;社會秩序、公共利益;國家安全。

　　(2)對客體的侵害程度。對客體的侵害程度由客觀方面的不同外在表現綜合決定。由于對客體的侵害是通過對等級保護對象的破壞實現的，因此，對客體的侵害外在表現為對等級保護對象的破壞，通過危害方式、危害后果和危害程度加以描述。

　　等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種：造成一般損害;造成嚴重損害;造成特別嚴重損害。

　　第六條 定級要素與等級的關系。定級要素與信息系統安全保護等級的關系如表1所示。

　　表1 :定級要素與安全保護等級的關系

　　第三章　定級備案流程

　　第七條 確定定級責任主體。按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，信息系統所在的業務主管部門為定級工作的責任主體，信息化工作部門協助具體技術支撐工作。

　　第八條 確定定級對象。作為定級對象的信息系統應具有如下基本特征：

　　(1)具有唯一確定的安全責任單位。作為定級對象的信息系統應能夠唯一地確定其安全責任單位。如一個單位的某個下級單位負責信息系統安全建設、運行維護等過程的全部安全責任，則這個下級單位可以成為信息系統的安全責任單位;如一個單位中的不同下級單位分別承擔信息系統不同方面的安全責任，則該信息系統的安全責任單位應是這些下級單位共同所屬的單位。

　　(2)具有信息系統的基本要素。作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實體。應避免將某個單一的系統組件，如服務器、終端、網絡設備等作為定級對象。

　　(3)承載相對獨立的業務應用。定級對象承載“相對獨立”的業務應用是指其業務應用的主要業務流程獨立，同時與其他業務應用有一定的數據交換，定級對象可能會與其他業務應用共享一些設備，尤其是網絡傳輸設備。

　　第九條 級次的確定。原則上只針對校內開放的信息系統可確定為第一級;面向互聯網開放的信息系統，需參照《教育行業信息系統安全等級保護定級工作指南(試行)》(教技廳函[2014]74號)定級，完成公安機關定級備案流程并取得紙質《信息系統安全等級保護備案證明》，方可開放互聯網訪問。對于承載復雜業務的信息系統，安全保護等級可高于建議等級;對于承載多個業務的信息系統，應以所承載業務的信息系統的最高建議等級進行定級。

　　對于擬定為第一級的信息系統，業務主管部門應填寫《xx醫學院信息系統登記表》送交信息化工作部門備案即可;對于擬定為第二級(含)以上的信息系統，業務主管部門還需參照本規定完成后續信息系統定級備案工作，同時配合做好等保測評經費年度預算工作。

　　第十條 專家評審定級。對于擬定為第二級(含)以上的信息系統，業務主管部門需按公安機關要求填報備案申報材料，可自行或由信息化工作部門集中統一報送xx市網絡安全協會參加定級評審，業務管理部門人員需參與現場評審答辯。

　　第十一條 登記審核。對于擬定為第二級(含)以上的信息系統，業務管理部門在信息化工作部門的指導下，逐一填報等保備案相關材料，可自行或由信息化工作部門集中統一報送公安機關進行登記并接受審核。

　　第十二條 信息系統等級測評及備案。擬定為第二級(含)以上的信息系統經公安機關審核通過后，由測評機構開展等級測評工作。測評機構對信息系統安全狀況未達到安全保護等級要求的，提出整改意見和改進方案，學校信息化工作部門和相關業務部門應按職責分工，逐條對照整改，直至合格為止;經審查合格的，公安機關頒發紙質《信息系統安全等級保護備案證明》。

　　依據《信息系統安全等級保護測評要求》等技術標準，二級信息系統應當每兩年至少進行一次等級測評，第三級信息系統應當每年至少進行一次等級測評，第四級信息系統應當每半年至少進行一次等級測評，第五級信息系統應當依據特殊安全需求進行等級測評。

　　第十三條 資料管理。信息化工作部門需要做好《信息系統安全等級保護備案證明》原件和《信息系統等級測評報告》等資料保管工作。

　　第四章　等級變更

　　第十四條 信息系統運行過程中，當系統狀態變化可能導致業務信息安全或系統服務受到破壞后的受侵害對象和受侵害程度有較大的變化時，應及時根據具體情況重新定級，并變更等級。

　　信息系統安全保護等級發生改變的，信息系統業務主管部門應當在30日內到當地公安機關辦理變更備案。完成備案變更后，應將新變更的《信息系統安全等級保護備案證明》原件及時交學校信息化工作部門保管。

　　第五章　附 則

　　第十五條 本辦法自印發之日起施行。

　　第十六條 本辦法由學校網絡安全與信息化領導小組負責解釋。

篇3：學院實驗室網絡安全管理辦法

　　學院實驗室網絡安全管理辦法

　　實驗室網絡是校園網的重要基礎組成部分，為堅持“安全第一，預防為主”的指導思想，實行安全管理專人負責制，加強實驗室網絡安全管理使用，保障教學和考試正常運行，制定本辦法。

　　1.凡通過實驗室網絡公開發布信息者須按本辦法有關規執行。信息發布者需對其上網信息和言論所產生的一切后果自行承擔責任。

　　2.凡在本實驗室使用網絡的教師和學生都必須遵守國家有關法律、法規，不得利用校園網從事危害國家安全、泄露國家秘密、違反國家法律、法規等犯罪活動和違反學校規章制度的活動;不得制作、查閱、復制和傳播有礙社會治安及淫穢色情等信息;不得在校園網上發布不真實的信息、散布計算機病毒。

　　3.本實驗室用戶有義務對自己的網絡帳號加強管理，防止他人盜用。如出現他人盜用帳號造成不良后果，帳戶所有者負有責任。

　　4.本實驗室的工作人員和用戶必須接受國家和上級有關部門依法進行的監督檢查。對違反本規定的網絡用戶，交由學校相關部門進行處理，情節嚴重者將追究其法律責任。

　　5.如管理員發現于本實驗室發生的計算機違法犯罪行為和針對本實驗室的網絡攻擊，應當及時制止并上報，同時做好系統保護工作。

　　6.網絡結構及網絡設備的變更、網絡配置的修改必須報相關負責人批準后方可進行。

　　7.對實驗室內關鍵網絡設備的操作，嚴格按照預定操作流程進行。有關過程必須按規定進行詳細記錄，對各類軟件、現場資料、檔案等整理存檔。

　　8.非本實驗室工作人員未經批準不得進入網絡機房，外單位維護人員需要進入機房工作的，需首先填寫登記表，并在機房工作人員陪同下進入機房。

　　9.網絡機房用電應嚴格按照有關電力設計要求及用電規定，做到安全用電;應安排有專業資質的人員定期檢查供電、用電設備設施;管理人員在進入、離開網絡機房時應檢查電源、空調狀況是否正常。

　　10.網絡機房應有良好的防火措施，按規定配備自動滅火系統和手持滅火器，管理人員應定期檢查其可用性;機房內嚴禁煙火，嚴禁隨處堆放易燃易爆等危險物品。

　　11.網絡機房應有防盜、防塵、防潮、防靜電、防雷擊、保溫及通風等基本設備和安全措施;網絡機房應定期整理打掃，做到設備擺放整齊，桌面、設備、地面無積塵、無雜物以保持網絡機房的清潔衛生。