甘肃工业职业技术学院网络安全管理办法（修订）

为加强学校校园网络安全管理工作，充分发挥校园网络在学校教学、科研和管理工作中的作用，为广大师生提供一个安全、可靠的网络环境，根据《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求》《计算机信息网络国际联网安全保护管理办法》等法律法规的精神和要求，特制定本办法。

第一章 总则

第一条 学校网络安全，包括校园计算机网络（以下简称校园网络）与信息系统的运行安全。

第二条 学校按照国家有关网络安全和信息化建设的法律、法规、规章，制定网络与信息安全总体规划，加强安全管理，建立健全相关规章制度，并在实际工作中予以落实。

第三条 职责 信息中心负责网络安全管理的具体事务，对网络安全管理工作应履行下列职责:

（一）传达并执行上级有关网络安全的条例、法规，并制止有关违反网络安全条例、法规的行为。

（二）网络安全负责人由信息中心网络管理方面负责人担任。

（三）指定专门的人员对网络进行管理，划分网络管理员和安全审计员角色，明确各个角色的权限、责任和风险，权限设定遵循最小授权原则。

（四）购置和配备应用与网络安全管理的软、硬件（如防火墙、IDS、统一安全网关、路由器、杀毒软件等）。

（五）负责学校的网络安全工作，包括网络安全的技术支持、重要信息的保存和备份以及不良信息的举报和协助查处工作。

第二章 网络设备维护管理

第四条 对所有网络设备的购置、使用和报废必须进行详细的登记，建立设备管理台帐。

第五条 严密监控网络的运行，注意检查网络设备和线路的运行状况。发现影响较大的网络故障时，必须及时向学校领导报告。

第六条 必须与网络运营商建立起联系制度，建立确保线路运行的保障体系。

第七条 定期维护网络设备（路由器，交换机等），包括这些设备的设置及升级，及时发现和排除各种软硬件故障。

第八条 网络设备包括路由器、交换机、网络管理工作站、网络安全设备、通信线路和相关通信设备等，应放置在专用机柜内，放置环境要符合有关规定。

第九条 严格执行计算机设备防火、防电、防雷规定，确保网络设备的安全。

第十条 对路由器、交换机等网络设备，应定期除尘清洁保养，并进行记录，以保证设备正常运行；对新增设备要在第一时间备案。

第三章安全设备维护管理

第十一条 对所有安全设备的购置、使用和报废必须进行详细的登记，建立设备管理台帐。

第十二条 安全设备出现故障时，由安全员和安全设备供应商协调解决。

第十三条 建立防火墙访问策略或控制列表，并对策略进行解释与分析，每月检查有效性是否合理。

第十四条 严密监控安全设备的运行，注意检查安全设备的运行日志以及监控设备运行状态。发现影响较大的网络故障时，必须及时向学校领导报告。

第十五条 定期维护安全设备（防火墙，IDS等），包括这些设备的设置及升级，及时发现和排除各种软硬件故障。

第十六条 安全设备包括防火墙、IDS、统一安全网关等，应放置在专用机柜内，放置环境要符合有关规定。

第十七条 严格执行计算机设备防火、防电、防雷规定，确保安全设备的安全。

第十八条 对防火墙、IDS等网络设备，应定期除尘清洁保养，并进行记录，以保证设备正常运行；对新增设备要第一时间备案。

第四章网络及安全设备运行管理

第十九条 加强网络设备、安全设备、网络线路的保障工作，加强核心网络设备、核心安全设备及核心线路的备份工作，确保网络正常运行。

第二十条 至少每月对网络运行日志、网络监控记录和报警信息进行分析和处理。

第二十一条IP地址管理。网络管理员应根据IP地址规划来分配各单位的IP地址，同时要有文档标识已规划IP地址和空余IP地址；任何个人不得私自更改自己机器上的IP地址，如确实需要更改，由网络管理员重新分配IP地址并备案。

第二十二条 网络设备用户名/密码应符合以下要求：

（一）根据需要设置用户，删除默认用户或修改默认用户的密码。

（二）密码长度至少为10位，由数字、字母、符号组成并进行无规则混排。

（三）至少每6个月对密码进行更改，且更新的密码至少5次内不能重复。

（四）如果网络设备密码长度不支持10位或其他复杂度要求，密码应使用所支持的最长长度并适当缩小更换周期。

第二十三条 网络设备及安全设备的口令指定网络管理员及安全管理员分别保管。

第二十四条 网络拓扑管理。做好网络系统的配置工作，随时了解网络拓扑结构和交换的信息，绘制网络拓扑结构图，应包括网络结构的划分、设备型号、设备编号、设备IP地址等，使整个网络系统处于最佳运行状态，注重网络安全管理。

第二十五条 网络管理员每个月对网络设备、防火墙、漏洞扫描设备、入侵防御设备等安全设备的升级与补丁情况进行检查并更新，在执行更新操作前，应做好设备配置的备份，在得到领导审批后方可实施，并详细记录操作过程。

第二十六条 外单位连接管理。涉及与外单位联网，应制定详细的资料说明备案；需要接入内部网络时，必须通过相关的安全管理措施，报信息中心审批后，方可接入和接出。

第二十七条 外部互联网管理规定。内部网络不得与互联网进行物理连接；不得将涉密信息在互联网上发布，不得在互联网上发布非法信息；在互联网上下载的文件需经过检测后方可使用，不得下载带有非法内容的文件、图片等。

第二十八条 网络使用管理。尽量减少使用网络传送非业务需要的有关内容，尽量降低网络流量；禁止涉密文件在网上共享。

第二十九条 依据相关的网络维护和操作手册对网络进行维护，对操作时间、操作人员、操作内容（包括重要的日常操作、运行维护记录、参数的设置和修改等）进行记录。

第五章网络漏洞管理

第三十条 至少每3个月使用专用漏洞扫描工具对网络系统进行漏洞扫描，对网络存在的漏洞、严重级别和结果处理等进行记录。

第三十一条 实施漏洞扫描或漏洞修补前，对可能的风险进行评估和充分准备，并做好数据备份和回退方案。

第三十二条 漏洞扫描或漏洞修补后应进行验证测试，以保证网络系统的正常运行。

第六章 附则

第三十三条 本办法由信息中心负责解释。

第三十四条 本办法自发布之日起实施，原《甘肃工业职业技术学院网络安全管理办法》（甘工院校发﹝2012﹞64号）文件同时废止，其他文件中与本办法冲突的内容，以本办法为准。