|
黑龙江工程学院网络安全管理办法 第一章 总 则 第一条 为进一步加强网络安全,根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《信息安全技术网络安全等级保护基本要求》《计算机信息网络国际联网安全保护管理办法》等,结合学校实际,制定本办法。 第二条 坚持网络安全与信息化发展并重,遵循“积极利用、科学发展、依法管理、确保安全”方针,提高网络安全防护能力。 第三条 坚持“谁主管谁负责,谁使用谁负责”原则,建立健全网络安全保障体系,齐抓共管,综合防护,共同维护网络安全。 第四条 网络安全主要目标。持续提升网络的机密性、完整性、安全性,免受攻击、侵入、干扰、破坏;重要数据免受泄露、盗取、丢失、损坏。 第五条 网络安全基本要求。确保校园网络安全、应用系统安全、信息传播安全、师生信息安全、系统数据安全。 第六条 网络安全工作任务。强化安全管理,筑牢技术支撑,加强宣传教育,持续提高防护能力、监测能力、处置能力。 第七条 网络安全保护措施。等级保护、防护加固、风险评估、安全监测、通报预警、数据防护、灾难备份、应急处置、事件调查、供应链安全、人为安全等。 第八条 凡在学校管理范围内建设、运营、维护和使用网络,以及网络安全的监督管理,均适用本办法。 第二章 组织机构 第九条 学校网络安全和信息化领导小组是网络安全的领导机构,校长任组长,分管网络安全和信息化工作的学校领导任副组长,相关单位部门主要负责人为成员。网络安全和信息化领导小组办公室设在网络信息管理中心。 第十条 网络安全和信息化领导小组职责 (一)贯彻执行国家、黑龙江省关于网络安全工作的有关政策、法律法规、规章制度、决策部署,加强对学校网络安全工作的领导; (二)审定学校网络安全建设发展规划、规章制度、建设方案、安全预案、考核机制等; (三)统筹、协调、解决学校网络安全建设与运行过程中的各项问题; (四)落实网络安全工作责任制,组织协调、监督检查网络安全工作; (五)协调有关部门,为公安机关、安全机构依法维护国家安全、侦查犯罪及防范提供支持与保障。 第十一条 网络安全和信息化领导小组成员单位职责 (一)党委组织部负责将网络安全工作列入院(处)级单位党组织、机关部门及领导干部年度考核、评价的重要内容; (二)党委宣传统战部负责监控和管理网络舆情信息,组织开展网上疏导和正面宣传; (三)纪委办公室负责对未正确履行职责或因工作疏忽等原因而发生的安全事件进行责任追究; (四)人事处负责为网络安全工作配备适量的专兼职专业技术人才支持和保障; (五)财务处负责为网络安全加固建设、安全运维、等级检测、宣传培训、应急处置等提供适应的经费支持和保障; (六)国有资产管理处、后勤管理处负责为网络安全工作提供运行环境、运行条件等支持和保障; (七)学生工作部、团委、研究生部、继续教育学院、人事处分别组织对本科生、研究生、成人、外聘教师等开展网络安全宣传教育,配合调查、取证、处理网络安全事件; (八)实验设备管理中心负责指导、管理教学、科研实验室的网络安全; (九)各单位负责本部门应用系统、网站、物联设备设施安全,确保无安全风险隐患,防止入侵、篡改、泄露等事件发生; (十)网络信息管理中心是学校网络安全工作的职能部门,负责全校网络安全工作。 第十二条 网络安全和信息化领导小组办公室职责 (一)负责落实领导小组决定的事项和安排的工作,负责网络安全建设的组织、管理、实施、考核、指导及协调工作; (二)拟定网络安全发展规划、规章制度、实施方案、技术标准、年度计划、经费预算等; (三)负责开展应用系统备案及等级保护测评; (四)负责推进国产化、正版化软硬件替代工作; (五)负责制定网络安全工作应急预案,开展应急演练; (六)负责建立健全网络安全风险评估机制,开展网络安全监测预警和信息通报工作; (七)负责组织开展网络安全宣传教育及信息技术、信息安全、网络安全应用培训; (八)负责网络安全技术防护、技术支持等; (九)负责组织开展应急事件的调查、处置。 第三章 基本安全防护 第十三条 定期开展网络安全检查工作,评估系统漏洞、安全策略、安全架构、安全设置等风险隐患。 第十四条 制定并完善网络安全应急预案,明确处置机构、指挥机制、响应流程、处置措施等。 第十五条 健全突发事件应急机制,组织开展应急演练,提高应对突发事件响应能力、处置能力。 第十六条 定期备份重要应用系统、重要数据,确保安全性、完整性、可恢复性。 第十七条 各单位应建立健全应用系统信息发布、信息审查、应急处置机制,审查师生上网信息,确保应用系统安全。 第十八条 应用系统、物联网设备等应以内网或局域网连接。除特殊需求外,尽量不接入校园外网。 第十九条 负责单位应采取防护策略,加强物联设备安全,杜绝使用远程或无线方式管理或运维。 第二十条 网络信息管理中心负责统筹校园网接入管理,任何单位或个人不得私自连接其它网络设备、与校外互联、发展校外用户、将专线网络接入校园网。 第二十一条 学校域名、IP地址由网络信息管理中心负责开展备案,相关单位经申请、审批后使用。 第二十二条 各类网站原则上应纳入学校网站群平台管理。未纳入站群的,由使用单位自行负责网站安全。 第二十三条 任何单位或个人均须实名认证,严禁将账号及密码转借、出租、售卖、授权他人使用。 第二十四条 特殊或紧急情况下,网络信息管理中心可对网络设施、安全设备、应用系统等采取访问控制应急处置措施。 第四章 系统安全防护 第二十五条 应用系统正式运行前,建设单位须要求供应链提交安全等级保护备案报告、等保测评报告或权威资质机构出具的无风险隐患的证明材料。 第二十六条 应用系统负责单位应制订网络安全制度,包括保护措施、信息发布审查审核、信息备份、应急处置、不良信息报告和协助查处制度、管理人员岗位职责等内容。 第二十七条 涉及学校基础数据、重要数据、师生员工个人信息或敏感信息的应用系统,严禁部署在校外。 第二十八条 应用系统负责单位应严格管理系统数据,采取备份、加密、传输加密、控制访问授权等措施,确保师生个人信息、数据安全。任何单位或个人不得擅自使用、窃取、泄露、损坏数据。 第二十九条 对无所属部门、长期无人管理、确定不再使用、长期不使用、无专人运维、存在安全隐患、管理制度缺失的应用系统,应采取关停、清理或访问控制等措施。 第三十条 应用系统的管理员账号不应存在临时账号、测试账号、废弃账号、弱密码账号等。 第三十一条 应用系统的密码均应设置为强密码,定期更换。系统管理员账号及密码应指定专人保管。 第三十二条 应用系统负责单位每季度应至少开展一次网络安全检查,对发现的安全隐患须立即整改。 第五章 安全技术防护 第三十三条 校园网和应用系统接入互联网,须经过网络安全设备设施的防护,免受未经授权访问和恶意攻击。 第三十四条 建设防攻击、防入侵、防病毒等必要的网络安全设备,避免入侵、篡改、泄露、破坏等。 第三十五条 建设监测、扫描、态势感知等安全设备,主动发现漏洞、安全隐患、攻击行为等,主动修复、整改、处置。 第三十六条 建设网络、系统、数据库等日志设备,日志留存不少于6个月,记录用户和系统活动,监测发现异常行为。 第三十七条 推进国产化、正版化软硬件替代工作,保护网络和系统中的数据信息,防泄露、防盗取、防泄密。 第三十八条 加强互联网协议第6版(IPV6)网站安全部署,二、三级支持度稳定达到95%以上。 第三十九条 完善身份认证、访问控制、权限管理等技术设置,合理分配用户权限、资源访问权限,防止超权访问。 第四十条 定期更新系统,安装操作系统、服务器、应用中间件、数据库等补丁,堵塞端口、接口、链接、脚本、漏洞等风险隐患。 第四十一条 完善配置、优化、联动安全策略,提升防护能力,防止未经授权的访问和攻击。 第六章 信息收集、分析、研判、通报 第四十二条 建立信息全过程处理机制,网络信息管理中心牵头信息收集、分析、研判、通报、预警、报告等。 第四十三条 信息收集。通过各种渠道、工具和方法,搜集安全威胁信息。 第四十四条 信息分析。对收集到的安全信息进行包含攻击来源、攻击类型、攻击方式、攻击目标等的分类筛选,提取有价值的信息。 第四十五条 信息研判。对分析结果进行包括风险评估、影响评估、应对难度评估等的可信度评估,确定威胁等级、风险防范、攻击追踪、应对措施。 第四十六条 信息通报。整理和总结信息研判结果,向相关部门通报、预警。 第七章 运行维护管理 第四十七条 运维单位应加强对供应链、应用系统管理人员管理,分别签订《安全保密协议》,严格监督其履行协议,避免人为安全风险。 第四十八条 运维人员须通过登陆堡垒机进行运维,记录操作过程,不得通过共享访问、远程桌面等方式运维。 第四十九条 运维人员应严格按照相关规范操作,进行更新、升级、维护之前应制订方案、确定预案。 第五十条 运维人员须严格遵守国家相关法律法规及学校管理规定,严禁私自下载、拷贝、传输、查阅、泄露数据。 第五十一条 供应链、系统管理人员应严格管理系统、设备、设施,严禁将参数、配置、代码、账号、密码等泄露、转借给他人,严禁利用以上信息从事任何违法违规操作。 第八章 宣传教育培训 第五十二条 开展网络安全技术培训,提高运维人员安全技能。 第五十三条 开展网络安全宣传教育,不断提升全校师生的网络安全素养和网络安全意识。 第五十四条 教育引导师生严禁制作、查阅、复制或传播下列信息。 (一)煽动抗拒、破坏宪法和国家法律、行政法规实施; (二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一; (三)损害国家、学校的荣誉和利益; (四)煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗习惯; (五)宣扬恐怖主义、邪教、封建迷信,违反国家宗教政策; (六)捏造或者歪曲事实,散布谣言,扰乱社会秩序,破坏社会稳定; (七)侮辱他人或者捏造事实诽谤他人; (八)含有淫秽、色情、赌博、暴力、欺诈等内容; (九)在贴吧、朋友圈等发布不实信息或未经核实的信息; (十)含有法律、法规等禁止的其它内容。 第五十五条 教育引导师生严禁下列行为。 (一)破坏、盗用、篡改计算机网络中的信息资源; (二)故意泄露、窃取、篡改个人电子信息,擅自利用网络收集、使用个人电子信息,出售或者非法向他人提供个人电子信息; (三)违背他人意愿、冒用他人名义发布信息; (四)攻击、入侵、破坏计算机网络、信息系统及设备设施; (五)故意阻塞、中断校园网络,恶意占用网络资源; (六)故意制作、传播、使用计算机病毒、木马、恶意软件等破坏性程序; (七)故意大量发送垃圾电子邮件、垃圾短信等,干扰正常网络秩序; (八)盗用他人账号、盗用他人IP地址; (九)私自转借、转让用户账号造成危害; (十)私自开设二级代理和路由接纳网络用户; (十一)上网信息审查不严,造成严重后果; (十二)以端口扫描和私搭DHCP服务器等方式,破坏网络正常运行; (十三)私自将外网串接到校园网络; (十四)其它违反法律法规或危害网络、信息安全的行为。 第五十六条 任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。 第九章 检查考核 第五十七条 检查考核工作由学校网络安全和信息化领导小组牵头组织,网络安全和信息化领导小组办公室负责实施。 第五十八条 单位、个人未正确履行职责、违反本办法而发生不安全、不稳定事件,将由有关部门追究相关人员的责任。 第十章 附 则 第五十九条 本办法未尽事宜,依据网络安全新标准、新要求执行。数据安全、保密安全、意识形态安全依据学校有关规章制度执行。 第六十条 本办法由学校网络安全和信息化领导小组办公室负责解释。 第六十一条 本办法自发布之日起施行。
 202404011113064691.doc
|