浙江师范大学网络安全管理办法
第一章 总则
第一条为保障学校网络安全与信息化建设工作规范有序,确保校园网络环境安全稳定,根据《中华人民共和国网络安全法》等相关法律法规要求,结合学校工作实际,特制定本办法。
第二条 本办法所称的网络安全管理是指学校采取技术、管理等措施,保护学校网络与信息化建设基础设施、信息系统及信息数据的安全,使其不受到破坏、更改、泄露。
第三条 网络安全工作是学校信息化建设的重要工作,校内各单位应通力合作,在人员、资金、技术、设备等方面提供充足的支持与保障。
第四条 本办法主要内容包括:总则、组织机构及职责分工、校园网络基础设施安全管理、物理安全管理、主机安全管理、信息系统安全管理、数据安全管理、检测预警与网络安全事件的处置、责任追究以及附则。
第二章 组织机构及职责分工
第五条 学校网络安全和信息化领导小组为学校网络安全工作的领导机构,负责学校网络安全工作的战略决策、监督检查以及重大网络安全事件的处理决策。
第六条 网络安全与信息化建设办公室(以下简称“网信办”)为学校网络安全的日常管理和技术支撑部门,负责学校网络安全公共防护体系的建设、运行、维护及监督与管理。保卫处依据相关规定,负责对恶意损毁网络基础设施的行为做出处理。
第七条 各学院、部门(单位)应按照“谁主管谁负责、谁主办谁负责、谁运行谁负责、谁使用谁负责”的原则,负责本单位主管、运维、使用的主机、信息系统及数据的安全管理工作,建立本单位网络安全管理制度和应急处置预案。
第八条 各单位主要负责人是本单位网络安全管理的第一责任人,负责领导、监督网络安全工作,建立“主要负责人亲自抓、分管负责人具体抓”的领导责任制,将网络安全工作纳入全年重点工作予以研究部署,不折不扣地落实好重要时期的网络安全保障工作。各单位要切实组织好网络安全季度检查工作,对发现和反馈的问题及时做好整改。
第九条 校内师生应遵守学校网络安全管理的相关规定,不得从事危害国家安全、泄露国家秘密、侵犯知识产权、传播不良信息等违法犯罪活动,主动学习网络安全相关知识,培养科学健康用网习惯,配合做好宣传工作,积极参与网络安全的建设和管理。认真开展国家网络安全宣传周活动,创新方式方法,扩大宣传范围,普及网络安全常识,提升防护技能。
第三章 校园网络及基础设施安全管理
第十条 浙江师范大学校园网络(以下简称“校园网”)包括主校区和杭州校区的行政教学、师生生活等区域的有线无线网络。校园网络基础设施是指承载校园网正常运行的光纤通信线路、弱电设施设备、网络设备等基础设施设备。
第十一条 校园网及相关基础设施由网信办统一规划、建设、管理,并提供统一网络出口。各单位及个人不得擅自建设、拆卸、更改、损毁、挪用校园网及相关基础设施,不得改变网络结构,私接外网出口。
第十二条 校园网主要服务于学校教学、科研及校务管理等,用户不得将校园网用于其他用途,严禁利用校园网开展各类未经许可的其它活动。
第十三条 校园网入网实行实名认证,校内用户必须通过学校统一身份认证接入校园网,未经登记不得以任何方式私接校园网,严禁盗用其他用户上网账号使用校园网。
第十四条 校园网用户应文明上网,规范网络行为,并做好个人信息安全防范。严禁利用校园网从事入侵、破坏、窃取、修改存储设备和信息系统中的数据资源,不得利用校园网以任何形式攻击校内外网络。
第十五条 网信办对内网IP、公网IP和域名的使用进行统一规划、分配和管理,并定期审查其使用情况,有权禁用涉嫌违法违规的IP和域名。
第十六条 网信办以保障学校教学与科研的稳定顺畅为首要目标,有权根据运行情况对校园网进行适时调整与优化,对流量过高,挤占带宽资源严重的流量及应用进行限时、限速或封停操作。
第十七条 网信办负责对校园网的安全进行监测管理,对散布病毒、木马等危害校园网安全的用户,网信办有权对其进行封停。
第四章 物理安全管理
第十八条 物理安全管理是指通过技术和管理手段,保护校园服务器机房网络设备、服务器存储设备、动力环境设备等硬件设施免遭自然灾害(地震、水灾、火灾、爆炸等环境事故)和人为操作错误或失误而造成的破坏。
第十九条 各学院、部门(单位)应制定本单位服务器机房的安全管理制度,严控机房进出人员,规范机房各项管理操作。
第二十条 学校电力维护部门应确保机房用电不间断,若确实须停电维护的,须提前经机房所属单位同意后方可实施。
第二十一条 全校弱电间及通信线路由网信办统一规划、建设、运维和安全管理。未经网信办允许,任何单位或个人不得擅自对弱电间设备设施和校园通信线路进行操作。增加、安装、调试、更换、拆除弱电间的设备设施或通信线路时,必须做好相关操作记录,并向网信办报备。
第二十二条 机房所属单位应做好机房动力环境工作,要有防火、防盗、防雷、防电磁防护、恒温、恒湿等安全措施,定期巡检,做好记录,发现异常及时处理,避免安全事故发生。
第五章 主机安全管理
第二十三条 主机安全管理是指通过一系列安全技术和安全管理措施,保证服务器、存储等主机设备(包括虚拟主机)在数据存储和处理的保密性、完整性、可用性,以及主机硬件、固件和系统软件的自身安全。
第二十四条 各学院、部门(单位)应指派专人负责本单位各类主机的安全维护和管理,定期对各类主机进行安全检查、漏洞修复和病毒扫描,及时发现、解决软硬件系统故障。
第二十五条 各单位可向网信办申请主机托管服务。托管的主机只允许对外开放以web服务为主的互联网基本信息服务,以及校园内部使用的业务系统等。
第二十六条 网信办为托管的主机提供良好的机房环境,完备的机房保障设施,并负责设备物理位置的摆放、IP地址的分配、网段的划分和网络的畅通。各单位应配合网信办做好主机安全标识工作,按照资产分类和用途功能对主机设备进行标识,内容包括:主机的用途、承载的服务、使用单位、IP地址、系统管理员及联系方式等,若有修改应及时向网信办报备。
第二十七条 托管主机的软硬件维护以及内部系统、软件的安装及安全管理由托管单位自行负责。
第二十八条 网信办有权对托管主机进行必要的监控,以保证学校网络线路的正常运行。若托管单位违反校内网络安全相关制度,或托管服务器出现中毒、被黑客侵入等异常情况出现时,网信办有权终止服务器运行的权利。
第六章 信息系统安全管理
第二十九条学校信息系统建设使用应遵循校内网络安全相关制度、技术、规范和流程开展。各信息系统上线前必须经过网信办安全监测审核,通过审核后方能上线;新建二级以上信息系统,须通过等级保护测评后才能正式上线运行。
第三十条 各学院、部门(单位)应每季度对本单位的信息系统和互联网站的安全状况、安全保护制度及措施的落实情况进行自查、修复等工作,并配合有关部门的信息安全检查、信息内容检查、保密检查与审批等工作。每年将本单位信息系统和网站等信息提交网信办备案,内容包括:系统名称、域名、IP地址、使用单位、系统管理员及联系方式等。
第三十一条 各单位建设的面向在校师生开放的各类信息系统原则上使用学校统一身份认证。
第三十二条网信办定期对校内的信息系统进行安全监测,对长期无人管理、内容不做更新、存在安全隐患、管理制度缺失或无固定的管理和维护人员的信息系统,有权予以清理和关闭。
第三十三条 各单位应落实信息系统安全等级保护制度。按照教育部的要求进行信息系统的定级和备案工作。新建、改建、扩建信息系统应在设计阶段确定安全保护等级并同步建设安全防护措施。
第三十四条 涉密信息系统不得直接或者间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。
第七章 数据安全管理
第三十五条 网信办负责各类公共服务平台的数据建设、运维和安全管理,并为其他单位的数据安全管理提供技术支持;各学院、部门(单位)负责本单位业务系统的数据建设、运维和安全管理。
第三十六条 各单位应加强数据安全管理,及时做好业务数据的备份、容灾和恢复等工作。各单位信息化分管领导应定期检查工作责任的落实情况。
第三十七条 为应对网络安全紧急事件,各单位应预留一定的备用设备,保证重要数据在受到破坏后可紧急恢复。
第八章 检测预警与网络安全事件的处置
第三十八条 网信办不定期对校内各类信息系统、网络、其他网络相关设备开展网络安全检测工作,并通过工作群、邮件等不同方式发布检测报告。各单位应根据检测报告,及时落实网络安全自查和问题修复,避免网络安全事件发生。
第三十九条 校内网络安全事件的处理由网信办负责组织实施,按照学校网络安全事件处置预案进行分级、分类处理。安全事件相关单位及人员应积极配合,认真落实网络安全事件处置相关工作。为避免安全事件不良影响扩大,网信办有权直接对安全事件相关的网络及信息系统进行断网、停止服务等应急处理。
第四十条 各学院、部门(单位)应制定网络安全应急预案,定期开展应急演练,提高网络安全事件处置能力,发现网络安全问题应及时向网信办报告并进行必要的应急处理。
第四十一条 网信办负责组织校内网络安全处置应急演练,相关部门应积极参与,通过演练提高校内网络安全事件处置能力。
第九章 责任追究
第四十二条 网络安全事件的责任认定,由网信办提交校网络安全和信息化领导小组讨论处理。
第四十三条 对于违反法律、法规,造成国家、学校和个人损失的单位或个人,学校将依据《中华人民共和国网络安全法》等法律法规配合公安、网信等主管部门进行处理。
第十章 附则
第四十四条 本办法为校内网络安全建设和管理的基本规定,校内其他涉及网络安全的相关规定应以本办法为依据,如有不同之处以本办法为准。
第四十五条 本办法由网络安全与信息化建设办公室负责解释,自发布之日起施行。
2021年4月
