甘肃工业职业技术学院网络安全管理办法(修订)
为加强学校校园网络安全管理工作,充分发挥校园网络在学校教学、科研和管理工作中的作用,为广大师生提供一个安全、可靠的网络环境,根据《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求》《计算机信息网络国际联网安全保护管理办法》等法律法规的精神和要求,特制定本办法。
第一章 总则
第一条 学校网络安全,包括校园计算机网络(以下简称校园网络)与信息系统的运行安全。
第二条 学校按照国家有关网络安全和信息化建设的法律、法规、规章,制定网络与信息安全总体规划,加强安全管理,建立健全相关规章制度,并在实际工作中予以落实。
第三条 职责 信息中心负责网络安全管理的具体事务,对网络安全管理工作应履行下列职责:
(一)传达并执行上级有关网络安全的条例、法规,并制止有关违反网络安全条例、法规的行为。
(二)网络安全负责人由信息中心网络管理方面负责人担任。
(三)指定专门的人员对网络进行管理,划分网络管理员和安全审计员角色,明确各个角色的权限、责任和风险,权限设定遵循最小授权原则。
(四)购置和配备应用与网络安全管理的软、硬件(如防火墙、IDS、统一安全网关、路由器、杀毒软件等)。
(五)负责学校的网络安全工作,包括网络安全的技术支持、重要信息的保存和备份以及不良信息的举报和协助查处工作。
第二章 网络设备维护管理
第四条 对所有网络设备的购置、使用和报废必须进行详细的登记,建立设备管理台帐。
第五条 严密监控网络的运行,注意检查网络设备和线路的运行状况。发现影响较大的网络故障时,必须及时向学校领导报告。
第六条 必须与网络运营商建立起联系制度,建立确保线路运行的保障体系。
第七条 定期维护网络设备(路由器,交换机等),包括这些设备的设置及升级,及时发现和排除各种软硬件故障。
第八条 网络设备包括路由器、交换机、网络管理工作站、网络安全设备、通信线路和相关通信设备等,应放置在专用机柜内,放置环境要符合有关规定。
第九条 严格执行计算机设备防火、防电、防雷规定,确保网络设备的安全。
第十条 对路由器、交换机等网络设备,应定期除尘清洁保养,并进行记录,以保证设备正常运行;对新增设备要在第一时间备案。
第三章安全设备维护管理
第十一条 对所有安全设备的购置、使用和报废必须进行详细的登记,建立设备管理台帐。
第十二条 安全设备出现故障时,由安全员和安全设备供应商协调解决。
第十三条 建立防火墙访问策略或控制列表,并对策略进行解释与分析,每月检查有效性是否合理。
第十四条 严密监控安全设备的运行,注意检查安全设备的运行日志以及监控设备运行状态。发现影响较大的网络故障时,必须及时向学校领导报告。
第十五条 定期维护安全设备(防火墙,IDS等),包括这些设备的设置及升级,及时发现和排除各种软硬件故障。
第十六条 安全设备包括防火墙、IDS、统一安全网关等,应放置在专用机柜内,放置环境要符合有关规定。
第十七条 严格执行计算机设备防火、防电、防雷规定,确保安全设备的安全。
第十八条 对防火墙、IDS等网络设备,应定期除尘清洁保养,并进行记录,以保证设备正常运行;对新增设备要第一时间备案。
第四章网络及安全设备运行管理
第十九条 加强网络设备、安全设备、网络线路的保障工作,加强核心网络设备、核心安全设备及核心线路的备份工作,确保网络正常运行。
第二十条 至少每月对网络运行日志、网络监控记录和报警信息进行分析和处理。
第二十一条IP地址管理。网络管理员应根据IP地址规划来分配各单位的IP地址,同时要有文档标识已规划IP地址和空余IP地址;任何个人不得私自更改自己机器上的IP地址,如确实需要更改,由网络管理员重新分配IP地址并备案。
第二十二条 网络设备用户名/密码应符合以下要求:
(一)根据需要设置用户,删除默认用户或修改默认用户的密码。
(二)密码长度至少为10位,由数字、字母、符号组成并进行无规则混排。
(三)至少每6个月对密码进行更改,且更新的密码至少5次内不能重复。
(四)如果网络设备密码长度不支持10位或其他复杂度要求,密码应使用所支持的最长长度并适当缩小更换周期。
第二十三条 网络设备及安全设备的口令指定网络管理员及安全管理员分别保管。
第二十四条 网络拓扑管理。做好网络系统的配置工作,随时了解网络拓扑结构和交换的信息,绘制网络拓扑结构图,应包括网络结构的划分、设备型号、设备编号、设备IP地址等,使整个网络系统处于最佳运行状态,注重网络安全管理。
第二十五条 网络管理员每个月对网络设备、防火墙、漏洞扫描设备、入侵防御设备等安全设备的升级与补丁情况进行检查并更新,在执行更新操作前,应做好设备配置的备份,在得到领导审批后方可实施,并详细记录操作过程。
第二十六条 外单位连接管理。涉及与外单位联网,应制定详细的资料说明备案;需要接入内部网络时,必须通过相关的安全管理措施,报信息中心审批后,方可接入和接出。
第二十七条 外部互联网管理规定。内部网络不得与互联网进行物理连接;不得将涉密信息在互联网上发布,不得在互联网上发布非法信息;在互联网上下载的文件需经过检测后方可使用,不得下载带有非法内容的文件、图片等。
第二十八条 网络使用管理。尽量减少使用网络传送非业务需要的有关内容,尽量降低网络流量;禁止涉密文件在网上共享。
第二十九条 依据相关的网络维护和操作手册对网络进行维护,对操作时间、操作人员、操作内容(包括重要的日常操作、运行维护记录、参数的设置和修改等)进行记录。
第五章网络漏洞管理
第三十条 至少每3个月使用专用漏洞扫描工具对网络系统进行漏洞扫描,对网络存在的漏洞、严重级别和结果处理等进行记录。
第三十一条 实施漏洞扫描或漏洞修补前,对可能的风险进行评估和充分准备,并做好数据备份和回退方案。
第三十二条 漏洞扫描或漏洞修补后应进行验证测试,以保证网络系统的正常运行。
第六章 附则
第三十三条 本办法由信息中心负责解释。
第三十四条 本办法自发布之日起实施,原《甘肃工业职业技术学院网络安全管理办法》(甘工院校发﹝2012﹞64号)文件同时废止,其他文件中与本办法冲突的内容,以本办法为准。