第一章 安全教育培训制度
一、定期组织管理员认真学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息发布审核、登记制度》,提高维护网络安全的警惕性和自觉性。
二、负责对网络用户进行安全教育和培训,使用户自觉遵守《计算机信息网络国际互联网安全保护管理办法》,并具备基本的网络安全知识。
三、对信息源接入单位进行安全教育和培训,使他们自觉遵守《计算机信息网络国际互联网安全保护管理办法》,杜绝发布违犯管理办法的信息内容。
四、邀请公安机关人员进行信息安全方面的专业培训,增强对有害信息特别是影射性有害信息的识别能力,提高安全意识。
第二章 网络安全管理制度
一、加强对信息发布和BBS公告系统的信息发布的审核管理工作,杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。
二、一旦发现从事下列危害计算机信息网络安全的活动的,应立即采取安全防范措施,做好记录,并向公安机关报告。
(一)未经允许进入计算机信息网络或者使用计算机信息网络资源;
(二)未经允许对计算机信息网络功能进行修改或者破坏;
(三)未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)从事其他危害计算机信息网络安全的活动。
三、在信息发布的审核过程中,如发现有以下行为的,一律不予发布,并保留有关原始记录,在二十四小时内向公安机关报告。
(一)煽动抗拒、破坏宪法和法律、行政法规实施;
(二)煽动颠覆国家政权,推翻社会主义制度;
(三)煽动分裂国家、破坏国家统一;
(四)煽动民族仇恨、民族歧视、破坏民族团结;
(五)捏造或者歪曲事实、散布谣言,扰乱社会秩序;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪;
(七)公然侮辱他人或者捏造事实诽谤他人;
(八)损害国家机关信誉;
(九)其他违反宪法和法律、行政法规的行为;
四、接受并配合公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。
第四章 入侵检测及入侵响应措施
一、利用认证、加密和防火墙技术来保护系统不被入侵者攻击和破坏。
二、对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。
三、记录安全事件、产生报警信息、附加日志、激活附加入侵检测工具。
四、隔离入侵者IP、禁止被攻击对象的特定端口和服务、隔离被攻击对象、警告攻击者、跟踪攻击者、断开危险连接、攻击攻击者。
第五章 重要数据备份制度
一、各单位对计算机内的重要数据应于每周五制作数据的备份并异地存放,确保系统一旦发生故障时能够快速恢复。
二、备份数据不得更改。
三、业务数据必须定期、完整、真实、准确地转储到不可更改的介质上(如报表,原始凭证),并要求集中和异地保存,保存期限至少10年。
四、备份的数据必须指定专人负责保管,由计算机信息技术人员按规定的方法同数据保管员进行数据的交接。交接后的备份数据应在指定的数据保管室或指定的场所保管。
五、备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
第六章 信息发布审核、登记制度
一、在信息发布时要落实安全保护技术措施,保障本网络的运行安全和信息安全。
二、对以虚拟主机方式接入的单位,系统要做好用户权限设定工作,不能开放其信息目录以外的其他目录的操作权限。
三、必须认真执行信息审核管理工作,杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。
四、对发布信息的信源单位做好登记,对其提供的信息进行认真检查,不得有危害国家安全、泄露国家秘密,侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。
五、对在公告牌等发布公共言论的栏目建立完善的审核检查制度,并定时检查,防止违犯《计算机信息网络国际联网安全保护管理办法》的言论出现。
六、校园网站上信息发布,由各权限部门、单位的负责人负责本部门(单位)发布内容。学院公告和学院新闻由学院宣传部审核同意。
七、一旦发现用户制作、复制、查阅和传播下列信息的,按照国家有关规定,删除本网络中含有上述内容的地址、目录或者关闭服务器,并保留原始记录,在二十四小时之内向当地公安机关报告。
第七章 病毒和安全漏洞检测制度
一、各接入单位的计算机内应安装防病毒软件、防黑客件及垃圾邮件消除软件,并对软件定期升级。
二、各接入单位计算机内严禁安装病毒软件、黑客软件,严禁攻击其它联网主机,严禁散布黑客软件和病毒。
三、信息化建设与管理处应定期发布病毒信息,检测校园网内病毒和安全漏洞,并采取必要措施加以防治。
四、校园网内各服务器应当安装防护系统,加强网络安全管理。
五、信息化建设与管理处定期对网络安全和病毒检测进行检查,发现问题及时处理。
第八章 违法案件报告和协查制度
一、网络和信息安全保护工作领导小组应对网络运行的安全进行有效的监控,行为违法的,要及时上报公安机关。
二、各部门要及时对本部门网络安全进行有效的监控,对于违法的事件要及时上报上级单位并上报公安机关。
三、各部门信息管理员要对网络运行日志进行有效的保存,以便于对网络违法事件的查处。
四、网络和信息安全保护工作领导小组应积极的配合公安机关对违法案件的查处。
五、网络和信息安全保护工作领导小组应密切注意网络运行安全,密切关注网络违法案件和不良事件的发展等,情节严重的要及时上报公安机关,尽量做到防患于未然。
第十章 网络安全紧急预案制度
为保证校园网健康、安全、高效的应用和运行,杜绝各类违法、犯罪行为的发生,特制定本制度:
一、网络管理员对学院的网络使用情况进行监督、检查,坚决杜绝访问境内外反动、黄色网站,不阅览、传播各类反动、黄色信息;
二、网络管理员维护服务器和硬件防火墙日志文件的完整性、真实性,做好重要数据备份,配合各类安全检查;
三、发现本单位计算机存有各类反动及不健康信息,网络管理员应当及时清除,情节较重的及时上报学院领导;
四、信息化建设与管理处应定期检查监控网络运行情况,对于发现的问题及时处理;
五、上网人员应当强化安全意识,自觉遵守法律法规,积极配合学院网络管理员做好计算机网络信息安全工作;
六、信息化建设与管理处在收到上级部门的网络安全事件通知后应立即向主管领导汇报,并组织调查取证工作,配合上级主管部门的检查。
第十一章 计算机信息保密制度
第一条 为了加强计算机信息保密管理,确保国家秘密的安全,根据《中华人民共和国保守国家秘密法》和国家有关法规的规定,制定本规定。
第二条 学院各接入单位和个人都应当遵守本规定。
第三条 计算机信息保密管理,实行控制源头、归口管理、分级负责、突出重点、有利发展的原则。
第四条 涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。
第五条 涉及国家秘密的信息,不得在国际联网的计算机信息系统中存储、处理、传递。
第六条 上网信息的保密管理坚持"谁上网谁负责"的原则。凡向国际联网的站点提供或发布信息,必须经过保密审查批准。保密审批实行部门管理,有关单位应当根据国家保密法规,建立健全上网信息保密审批领导责任制。提供信息的单位应当按照一定的工作程序,健全信息保密审批制度。
第七条 凡以提供网上信息服务为目的而采集的信息,除在其它新闻媒体上已公开发表的,组织者在上网发布前,应当征得提供信息单位的同意;凡对网上信息进行扩充或更新,应当认真执行信息保密审核制度。
第八条 凡在网上开设电子公告系统、聊天室、网络新闻组的部门、学院(系)和用户,应由相应的保密工作机构审批,明确保密要求和责任。任何部门、学院 (系)和用户不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播国家秘密信息。面向社会开放的电子公告系统、聊天室、网络新闻组,开办人或其上级主管部门应认真履行保密义务,建立完善的管理制度,加强监督检查。发现有涉密信息,应及时采取措施,并报告当地保密工作部门。
第九条 用户使用电子函件进行网上信息交流,应当遵守国家有关保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。互联单位、接入单位对其管理的邮件服务器的用户,应当明确保密要求,完善管理制度。
第十二章 关于重大突发事件和敏感时期应急处置的工作预案
学院校园网是为全院教育和科研建立的计算机信息网络,其目的是利用先进实用的计算机技术和网络通信技术,实现校园内计算机连网,信息资源共享,为了保证网络信息安全,特别是有害信息,制定了敏感时期和重大突发事件的应急工作预案。
一、加大培训和宣传力度,全校重视,加强、完善校园网安全管理制度,设置专门管理部门,采取统一管理和各部门分级负责的管理体制,落实各部门负责人和直接责任人,签定安全责任书。
二、必要的财力、人力投入。为了保证校园网安全,各学生机房和实验室配备专门的管理员,各部门配备兼职管理员,加强信息的审查和备案工作,同时,还要投入一定的资金购买网络安全的设备或软件。
三、加强信息审查工作。加强BBS、留言板等交互式栏目的专人管理,加强网络设备日志的分析,及时收集信息,排查不安定因素,防止煽动分裂国家、破坏国家 统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实, 故意散布谣言, 扰乱社会秩序;公然侮辱他人或 者捏造事实诽谤他人;宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖;防止利用网络泄露国家机密,发送危害国家安全、宣扬“法轮功”等邪教及宗教极端势力的信息。
四、加强突发事件的快速反应。作为校园网的网管,要有严格的网络信息监管,有必要对所有用户输入而且有可能显示给其他用户的信息进 行内容检测和严格过滤。网络管理员具体负责相应的网络安全和信息安全工作,不允许有任何触犯国家网络管理条例的网络信息,对突发的信息网络安全事件应: ①及时发现、及时报告:应在发现后及时向上一级有关部门报告。②保护现场,立即与网络隔离,防止影响扩大。 ③及时取证,分析、查找原因。④消除有害信息,以免进一步传播, 将事件的影响降到最低。⑤在处置有害信息的过程中,任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。⑥追究相关责任。将根据实际情况提出口头警告、书面警告、停止实用网络,情节严重和后果影响较大者,提交学校行政部门及国家有关司法机关处理,追究部门负责人 和直接责任人的行政或法律责任。
五、及时整顿,加强防范。针对网络出现的问题,及时提出整治方案并具体落实到位,完善网络安全机制,防范网络安全事件再度发生。逐步建立网络信息安全管理长效工作机制,实现校园信息安全管理,创造良好的网络环境。
在重要、敏感时期,加大网络安全教育宣传力度, 及时收集信息,排查不安定因素,坚持24小时值班制度,开通值班电话,保证与上级网管、电信部门和当地公安机关的热线联系,积极做好预防工作, 发现问题及时处理,防患于未然,必要时可停止BBS、论坛等网络功能。
第十三章 帐号使用登记和操作权限制度
一、校园网帐号是学校为提高办公效率和加强横向交流而建立的,所有校园网帐号进行实名登录,用户务必妥善保管好自己的帐号和密码,在任何情况下都不要向他人泄露自己的账户信息。任何人不得借工作之便随意使用,因校园网帐号管理不善造成的损失由帐号所有人负责。
二、各部门如因工作需要,须额外开通上网帐号的,可通过OA系统《校园网公共帐号申请》模板申请开通校园网公共账号。
三、各部门、学院(系)应当建立帐号使用记录,确保网络安全。
四、一旦出现问题,除追究当事人责任外,还要追究部门、学院(系)主管领导和信息管理员的责任。
