网络安全管理制度兰州大学网络安全与信息化办公室.docx
《网络安全管理制度兰州大学网络安全与信息化办公室.docx》由会员分享,可在线阅读,更多相关《网络安全管理制度兰州大学网络安全与信息化办公室.docx(33页珍藏版)》请在冰点文库上搜索。
网络安全管理制度兰州大学网络安全与信息化办公室
兰州大学信息安全管理制度汇编
(2015年11月)
目录
一、信息安全方针与政策
兰州大学信息与网络安全保密管理办法(暂行)
第一章总则
第一条为了加强对校园网的安全与保密管理,维护公共秩序,充分发挥校园网络的作用,为全校师生员工提供稳定、可靠、安全的计算机网络环境,支持学校的教学、科研、管理工作,根据《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》和有关法律、法规,结合学校实际,制定本办法。
第二条兰州大学校园网是指由学校投资建设,为我校教学、科研、管理服务的现代化信息基础设施,是学术性、公益性的计算机网络,其服务对象是我校的教学、科研和管理机构、全校教职员工、学生以及其他经学校授权的单位及个人。
校园网的基础设施建设及维护工作由网络与信息技术中心承担。
第三条兰州大学校园网的宗旨是为兰州大学的教学、科研和管理服务,任何单位及个人不得以任何理由在网上从事以营利为目的的商业活动。
第四条校园网的信息安全和网络安全,由党委办公室负责。
保密工作由“兰州大学保密委员会”负责指导、协调、监督和检查。
第五条任何单位及个人不得利用校园网危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体利益和个人的合法权益,不得从事违法犯罪活动。
第二章安全监督
第六条对校园内发生的信息与网络违法行为和针对计算机信息与网络的犯罪案件,由保卫处负责向公安机关报案。
第七条校内各单位应当履行下列安全保护职责:
(一)负责本单位计算机信息与网络的安全保护管理工作,建立健全安全保护管理制度;
(二)落实安全保护措施,保障本单位的信息安全和网络运行;
(三)负责对本单位网络用户的安全教育和培训;
(四)有公共上网场所的单位,应建立计算机上网用户登记和信息管理制度;
(五)发现任何违反本办法所列第十、十一条情形的,应当保留有关原始记录,并在二十四小时内向兰州大学党委办公室报告。
第九条兰州大学宣传部应当掌握校内各单位和用户的相关备案情况,建立备案档案,进行备案统计,并按照国家有关规定逐级上报。
第三章安全管理
第十条任何单位和个人不得利用校园网制作、复制、传播和查阅下列信息:
(一)煽动抗拒、破坏宪法和法律、法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)煽动非法集会、结社、游行、示威、聚众扰乱社会秩序的;
(六)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(七)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(八)公然侮辱他人或者捏造事实诽谤他人的;
(九)损害国家荣誉和利益的;
(十)以非法民间组织名义组织活动的;
(十一)其他违反宪法和法律、行政法规的。
第十一条任何单位和个人不得从事下列危害计算机信息网络安全活动;
(二)未经允许,进入校园网或者使用计算机信息网络资源的;
(三)未经允许,对校园网功能进行删除、修改或者增加的;
(四)未经允许,对校园网中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(五)故意制作、传播计算机病毒等破坏性程序的;
(六)其他危害校园计算机信息网络安全的。
第十二条各单位及个人,应当遵守国家有关法律、法规,严格执行安全保护制度,不得利用国际互联网从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、复制、传播和查阅妨碍社会治安及破坏社会稳定的信息。
第十三条学校单位或师生须到学校网络与信息技术中心办理入网手续,填写入网申请表,成为正式的校园网用户。
XX的用户不准入网,也不允许网内任何成员私自发展用户。
第十四条用户应尊重和保护知识产权,网上可访问到的任何资源均为其拥有者所有。
用户不得拷贝注有版权的软件,不得将网上提供的共享软件商业化。
第十五条用户不得私自安装、配置网络系统,盗用或滥用网络资源,盗用IP地址或邮件地址,冒用他人名义进行网络活动,影响网络正常使用和运行。
第十六条任何单位及个人不得私自开设代理服务器及DHCP(动态主机配置协议)。
第十七条任何单位及个人不得恶意传播系统漏洞知识,不得自行或教唆他人攻击、入侵系统,以及对计算机系统进行试探攻击。
第十八条任何单位及个人不得通过非法途径对他人或单位计算机网络系统功能及信息内容进行增加、删除或修改。
第十九条各用户应严格使用自己的校园网账号,不得转借、转让;由此引起的不良后果由用户承担。
第二十条为了有效地使用网络资源,用户不得长时间地占用某个共享资源。
第二十一条用户发现网络违法犯罪行为和有害信息应当向通信网络中心报告。
第二十二条用户应当接受并配合国家有关安全部门依法进行的监督检查。
第二十三条有公共机房的单位应建立用机管理规定,并切实做好上机登记。
第二十四条需要上网的公共机房的所属单位应主动到网络与信息技术中心签订安全管理协议,并对其所属的上网场所的信息与网络安全负责。
第二十五条各单位在校园网上发布的信息,需经本单位负责人审核后方能发布,并保证所发布的信息是合法的。
各单位发布的信息由该单位负责人向学校负责。
第二十六条各单位开设的电子公告或论坛服务,须为实名制,有关单位必须明确领导责任,指定专人负责,并遵守《互联网电子公告服务管理规定》。
对电子公告或论坛服务必须进行日志备份,记录用户名、信息发布时间等详细信息,在学校查询时予以提供。
日志至少保存60日。
第四章保密管理
第二十七条校园网用户应遵守国家有关法律、法规,严格执行安全保密制度,不得利用计算机国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动;不得利用计算机国际联网进行搜集、整理、窃取国家秘密的活动。
第二十八条上网信息的保密管理坚持“谁上网谁负责”的原则。
校内单位用户实行领导责任制,发布信息按照信息的内容归口管理,分级负责,规范信息保密审查制度,防止秘密信息泄露。
个人用户必须严格遵守保密法规,不得在进行国际联网的计算机信息网络中发布或谈论涉及国家及学校秘密。
第二十九条校园网用户不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播国家及学校秘密信息。
申请开设电子公告系统、聊天室、网络新闻组的单位应严格管理,明确保密要求和责任。
电子公告系统的保密管理实行版主责任制,版主负有对版面内容保密监督的责任。
第三十条校园网用户电子函件(电子邮件)进行网上信息交流应遵守有关保密规定,不得利用电子函件传递、转发或抄送国家及学校秘密信息。
第三十一条校园网用户发现国家及学校秘密泄露的情况,应立即向学校保卫部门报告。
保卫部门接到举报或发现网上有泄密情况时,应当立即组织查处,并采取补救措施,删除网上涉及国家及学校秘密的信息。
第五章罚则
第三十二条任何单位或个人利用网络从事危害国家安全、泄露国家秘密等活动,违反国家刑事法律的,依法交由相关国家机关,依照有关法律法规予以处罚。
第三十三条对所开办网站监管不力造成有害信息传播或秘密信息泄露的单位,给予通报批评,情节特别严重的追究部门负责人的领导责任。
第三十四条对于其它违反本管理办法的行为,学生用户由相关学生管理部门进行处罚;教工及单位用户由相关职能部门按有关管理办法进行处罚。
第三十五条对于其它违反本管理办法的行为,由兰州大学通信网络中心按相关管理办法进行处罚。
第六章附则
第三十六条本办法中的学生是指获得学籍或经学校批准的社会办学招收的学生。
第三十七条本办法自发布之日起实施,以往发布的与本管理办法不相符的规定,按本办法执行。
二、物理安全管理制度
通信网络中心机房管理办法
兰州大学通信网络中心是CERNET兰州节点的核心,为确保其设备安全和正常运行,特制订本管理办法。
第一条通常,值班员应严格禁止任何外部人员进入机房。
第二条需进入机房的外部人员,应在值班人员处出事身份证和工作证(缺一不可),并在《机房进出人员登记表》上准确登记,经值班人员核实签字后方可进入指定工作区域。
第三条未带工作证的一定要有中心内部人员带领,并在《机房进出人员登记表》的“备注”栏由中心内部人员签字。
第四条外部人员在填写《机房进出人员登记表》时“工作内容”一栏不可只填写“调试设备”或“检修线路”等模棱两可的工作内容,必须具体指明调试哪些设备或检修哪条线路;填写其他栏目亦照此要求。
第五条网络中心内部人员进入机房时,只需准确填写《机房进出人员登记表》,经值班员核实无误后即可进入。
第六条进入机房人员结束工作离开机房时,应准确填写登记表上的“进出时间”栏,经值班员核实后方可离开。
第七条外部人员如需移入/移出设备,需另外认真填写《机房设备进出登记表》。
第八条网络中心人员如需移入/移出设备,亦须填写《机房设备进出登记表》,填写要求与外部人员相同。
第九条移出设备需同时通知网络中心办公室人员,并由他们开具出门条,否则不允许搬出设备。
第十条遇紧急或特殊情况,值班员应及时请示部门负责人。
第十一条值班员应对整个过程的监控负全部责任。
兰州大学通信网络中心
二〇一四年六月
网络机房(含各校区)管理办法
第一章出入管理
第一条网络(含各校区)机房存放有校园网主干网络设备和服务器,非机房工作人员未经批准不得进入机房。
第二条外单位维护人员需要进入机房工作的,需首先填写登记表,并在机房工作人员陪同下进入机房。
第三条参观人员需事先联系,并得到中心主任或各校区网络中心负责人批准,才能在工作人员陪同下进入机房。
第四条严禁其他人员进入机房。
第五条进入机房应遵守机房管理制度并听从机房工作人员指导。
第六条进入机房不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。
第二章操作管理
第七条非机房工作人员不得接触和操作机房内任何设备、设施。
第八条网络设备的添加和更换、网络配置的增删修改以及网络结构的变更必须报网络部相关负责人批准后方可进行。
第九条机房内关键网络设备的操作实行双人作业制度,严格按照预制操作流程进行。
有关过程必须按规定进行详细登记和记录,对各类软件、现场资料、档案整理存档。
第十条操作人员注意保持保持机房整洁,操作结束后整理好有关工具和配件。
第三章运行管理
第十一条值班人员定期巡查机房,检查机房环境支撑设施运行状况。
第十二条设备管理员随时监控机房设备运行状况,发现异常情况应立即按照预案规程进行操作,并及时上报和详细记录。
第十三条机房工作人员应恪守保密制度,不得擅自泄露各种信息资料与数据。
第十四条机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动,保持机房安静。
第十五条定期对机房进行清扫,对机器设备吸尘清洁。
第十六条不定期对机房内设置的消防器材、监控设备进行检查,以保证其有效性。
第十七条所有重要文档定期整理装订,专人保管,以备后查。
三、网络安全管理制度
兰州大学计算机信息安全与病毒防治管理办法
第一章总则
第一条为加强对计算机病毒的预防和治理,维护计算机信息系统安全,根据国家相关法律法规的规定,参照国际标准化组织ISO/IEC17799:
2005《信息技术—安全技术—信息安全管理实践指南》的标准,特制定本管理办法。
第二条本管理办法用以规范个人计算机信息安全及防(反)病毒软件、信息安全工具的使用,适用于兰州大学下属各部门、在校师生员工(含离退休人员)等单位或个人计算机用户(下称计算机用户)。
第三条“信息是一种资产,具有价值,需要适当的保护”。
然而,“攻击普遍存在,许多信息系统不再追求设计成安全的,技术已经不能保证信息的绝对安全。
因此,要使用恰当的管理手段并增强意识。
”[ISO/IEC17799:
2005]。
学校通过采取有效的技术手段,并加强广大计算机用户的信息安全防范意识教育,营造校园信息安全文化,积极建立管理、预防、保护、响应相结合的信息安全保障机制。
第二章定义
第四条本管理办法所称的信息安全是指保障、维护信息的机密性、完整性、真实性、可用性和合法性。
第五条本管理办法所称的计算机病毒(下称病毒)是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
第六条本管理办法所称的计算机病毒疫情,是指某种计算机病毒爆发、流行的时间、范围、破坏特点、破坏后果等情况的报告或者预报。
第七条本管理办法所称的资产,是任何对组织有价值的事物。
资产包括但不仅限于:
物理资产(例如:
计算机硬件、通讯设备、建筑物);信息/数据(例如:
文档、数据库);软件;提供产品和服务的能力(例如:
网络服务的能力和质量);人员;无形资产(例如:
商誉和形象)。
[ISO/IEC13335-1:
2004]
第三章组织机构与职能
第八条通信网络中心是学校具体负责信息安全与计算机病毒防治的机构,具体职能包括:
(一)承担对本校计算机用户的管理、教育与培训工作;
(二)及时通报计算机病毒疫情;
(三)提供正版的信息安全工具及软件并提供专业的服务支持;
(四)提供一定的免费或开源信息安全工具及软件使用建议;
(五)提供信息安全紧急响应服务,为各类信息安全事件提供协助、、安全检查及提出改善建议。
第九条信息安全员是学校信息安全与计算机病毒防治工作的重要辅助力量,由各单位(部门)选派具有一定计算机技能的员工担任,可以设为专职或兼职岗位。
各单位(部门)应将信息安全员的名单及联系方式报送通信网络中心。
第十条信息安全员应遵守学校有关规定,负责本单位(部门)的信息安全与计算机病毒防治的具体工作。
第十一条信息安全员应参加学校组织的有关信息安全及计算机病毒防治的培训,在业务上接受通信网络中心的指导与监督。
第四章计算机用户的责任
第十二条计算机用户应树立正确的信息安全意识,接受通信网络中心的管理、教育与培训,并有责任确保学校及计算机用户个人(包括其他用户)的信息资产免受损失。
第十三条计算机用户应做好预防性安全措施,及时修补个人计算机的安全漏洞,防止这些漏洞被计算机病毒软件及其所有人攻击或利用。
第十四条计算机用户应在自己所使用的个人计算机上,启用各种信息安全工具和策略,以防止木马、蠕虫等计算机病毒或恶意软件对计算机中的信息资产的破坏、窃取以及对校园网络的速度、稳定性以及服务质量的影响。
第十五条计算机用户在进行信息安全和与计算机病毒防治操作时,遵守国家法律、法规的规定,使用合法授权的信息安全工具及软件,而不应使用盗版的信息安全工具及软件。
使用学校提供的正版的商业版本的信息安全工具及软件的计算机用户,离开学校后应该主动卸载有关软件,避免违反许可证的限定。
第十六条计算机用户或学校各单位(部门)可以根据需要,自行采购部署适合自己的正版信息安全工具及软件,并在许可证限定的范围内使用。
第五章管理与处罚
第十七条为了及时消除信息安全隐患以及对其他计算机用户的影响,对于拒绝修补安全漏洞和启用各种信息安全工具的计算机用户,通信网络中心可以给予有关当事人警告提醒,并要求当事人立即采取防范措施,对经过警告仍未改正的、有可能造成严重后果的,可采取紧急断网处理,直至其改正为止。
第十八条对有下列情况的计算机用户,通信网络中心可无需事先警告,对该计算机用户或部门进行紧急断网处理,直至消除信息安全隐患为止:
(一)对造成蠕虫、木马等计算机病毒大面积传播的或可能引起严重后果的;
(二)严重影响校园网网速和服务质量的;
(三)可能导致其他计算机用户的重要信息泄漏,造成严重损失的;
(四)可能导致学校的信息资产被恶意控制或利用,造成损害的;
(五)超出信息安全工具许可证使用规定,可能对学校造成名誉或经济上损失的;
(六)其他违反法律法规规定的情形的。
第十九条对违反本管理办法规定的所有行为,通信网络中心有权对违规事实进行取证、备案,并视情节轻重报送上级主管部门、当事人所在部门或相关部门做出进一步的处理。
第二十条对于妨害计算机信息安全的违法行为以及涉嫌进行侵害国家信息安全的犯罪行为,计算机用户应积极配合公安机关和学校有关部门,积极制裁违法行为和犯罪行为,共同维护信息安全。
数据中心防火墙端口管理暂行规定
为规范数据中心机房的安全管理,根据《信息安全技术——信息系统安全等级保护基本要求》(GB/T22239—2008)及ISO/IEC27000系列标准,特制定《数据中心防火墙端口管理暂行规定》。
希望各方能共同遵守规范,共建安全的数据中心网络环境。
本规范适合于兰州大学数据中心机房及各校区托管服务器机房(以下简称“数据中心机房”)。
一、基本端口管理规定
第一条数据中心机房内服务器或设备的所有人,必须根据信息安全等级保护及国家法律规定的网站备案要求,如实申报网络服务端口(以下简称“端口”)的用途、服务对象或使用人等资料,不得未经申报与批准,要求开放端口访问。
对于不实申报的,一经发现将立即取消所有访问权限,并作为重大安全隐患进行如实通报,同时需要重新申报网络服务端口;对造成信息安全事故的,按有关规定追究相关人员责任,并在安全公告中实名公告责任单位及涉及安全事故的系统名称。
第二条数据中心机房配备网络防火墙,用于保护生产运行的服务器及相关设备。
为避免影响正常生产秩序,临时或非正式运行的服务器或设备应自行进行独立保护,不宜放置于防火墙内。
第三条根据信息系统安全等级保护的要求,端口开放及权限控制必须基于最小配置及最小权限原则。
严格禁止为数据中心机房内服务器或设备配置不受限制的防火墙访问规则(即,要严格禁止任何IP地址可访问该服务器或设备的任何端口的规则)。
第四条数据中心防火墙DMZ区域内服务器或设备(以下简称“DMZ区域内设备”)可以对外提供服务,可相应设置外部访问规则;数据中心防火墙内部私有区域服务器或设备不可对外提供服务,仅可向数据中心DMZ区域内的服务器或设备提供服务。
第五条DMZ区域内设备的端口分为公共服务端口、受限服务端口、内部管理端口及临时服务端口等4种类型。
高安全保障等级DMZ区域内的设备的所有端口缺省为内部管理端口,申请通过后才能成为其他类型端口。
第六条公共服务端口适合于IPv4及IPv6的地址类型,而受限服务端口、内部管理端口及临时端口仅适用于IPv4地址类型。
二、受限服务端口管理规定
第七条受限服务端口仅限校内IP地址访问。
普通安全保障等级DMZ区域内设备的受限服务端口为ftp(21)、telnet(23)、ssh(22)、mysql(3306)、ms-sql-s(1433)、remote-desktop(3389)。
第八条受限服务端口可申请成为特殊受限服务端口,除允许校内IP地址访问外,还可允许校外特定IP地址(由中心根据情况确定名单,一般为银行、公安、国安等机构)访问。
第九条原则上,防火墙不为受限服务端口设置其他管理规则。
如果DMZ区域内设备需要进一步限制访问的,应在设备上自行配置限制规则。
三、公共服务端口管理规定
第十条公共服务端口可被任何IP地址访问。
普通安全保障等级DMZ区域内设备上的http(80)、https(443)端口为普通公共服务端口,只需要完成网站备案无须其他申请即可被任何IP地址访问。
普通安全保障等级DMZ区域服务器或设备上的ftp(21)、ssh(22)、telnet(23)端口为特殊公共服务端口,须申请通过审批后才能被任何IP地址访问。
普通安全保障等级DMZ区域设备上其他端口原则上不能成为公共服务端口。
第十一条原则上,防火墙不为公共服务端口设置其他管理规则。
如果DMZ区域内设备需要进一步限制访问的,应在设备上自行配置限制规则。
四、其他管理规定
第十二条网络与信息技术中心将定期(每月不少于1次)对公共服务端口、受限服务端口、临时服务端口进行扫描,以确保及时发现安全漏洞及隐患。
一旦发现高危漏洞,端口类型将转为内部管理端口而无需事先通知(仅封锁后通知),直至漏洞修复。
第十三条本规定由发布之日起执行。
第十四条本规定由通信网络中心负责解释。
四、主机安全管理制度
主干网络设备管理制度
第一章岗位管理
第一条主干网络设备管理岗位采用岗位人员后备制度:
一个岗位配备两名以上管理员,一个管理员主要负责网络设备的日常管理工作,其他管理员应掌握网络设备情况和管理知识,并在主要的管理员外出的时候担负管理网络设备的职责。
第二条主干网络设备重大故障恢复或配置变更操作必须在两名以上管理员在场的情况下才能进行。
第三条管理员应通过不断学习,掌握新的网络技术,以应付不断变化的IT环境。
第二章配置变更和故障处理
第四条管理员进行生产设备的配置变更操作,必须执行主干网络设备配置变更管理:
事前必须经过详尽的测试和计划;事先将变更计划和影响通知服务前台并发布主干网络设备变更通告;配置变更必须记录,包括时间、原因、配置记录文件等。
第五条发生故障,购买相关硬件、系统和应用程序服务的,管理员应该首先借助服务判断故障原因,并按照相关人员建议处理故障,并记录故障发生的时间、故障情况、处理方法以及将来预防措施等。
没有购买服务的,根据中心制定处理流程修复故障。
第六条管理员应对网络设备的进行定期检查。
第三章安全管理
第七条主干网络设备超级用户的密码要定期更换,密码设定要有一定的规定,不能少于八位。
超级用户密码必须登记在册并按有关规定妥善保管,管理员不得对任何无关人员泄露。
用户密码由相关用户自行设定,管理员要严守保密制度,不得泄漏用户密码。
第八条为了确保服务等级,管理员不得在生产设备上进行测试实验。
第九条管理员必须定期安装补丁包,对于高危高风险的补丁包应该按照要求及时安装。
第十条管理员必须定期对主干网络设备配置进行备份。
第十一条管理员应对主干网络设备进行资源监控,主要针对CPU、内存、端口流量等情况的监控;管理员应该利用各种资源监控手段确保服务器能力,保障服务等级。
服务器管理制度
第一章岗位管理
第一条服务器管理岗位采用岗位人员后备制度:
一个岗位配备两名以上系统管理员,一个管理员主要负责服务器日常的管理工作,其他管理员应掌握服务器情况和管理知识,并在主要的管理员外出的时候担负管理服务器的职责。
服务器重大故障恢复或配置变更操作必须在两名以上管理员在场的情况下才能进行。
第二条根据不同服务器的服务等级,相关服务器的系统管理员应该确保在5x8、5x12、7x12或7x24个人通信的畅通以及24、8、4、2小时到达现场的能力。
第三条系统管理员应通过不断学习,掌握新的服务器系统技术,以应付不断变化的IT环境。
第二章配置变更和故障处理
第四条管理员进行生产服务器的配置变更操作,必须执行服务器配置变更管理:
事前必须经过详尽的测试和计划;事先将变更计划和影响通知服务前台并发布服务器变更通告;配置变更必须记录,包括时间、原因、配置记录文件等。
第五条发生故障,购买相关硬件、系统和应用程序服务的,管理员应该首先借助服务判断故障原因,并按照相关人员建议处理故障,并记录故障发生的时间、故障情况、处理方法以及将来预防措施等。
没有购买服务的,根据中心制定处理流程修复故障。
第六条系统管理员应对系统的进行定期检查。
第三章安全管理
第七条服务器超级用户的密码要定期更换,密码设定要有一定的规定,不能少于八位。
超级用户密码必
升级会员 