第一章总则
第一条 为了保护校园网络系统的安全、促进学校计算机网络的应用和发展、保证校园网络的正常运行和使用的规范化,根据《中华人民共和国计算机网络互连网管理暂行规定》、国家有关法律和学院的有关规定制定本办法。
第二条 校园网是学校公共服务体系的重要组成部分,由学校信息中心负责管理,为学院教学、科研、学术交流、管理等提供服务。
第三条学院信息化工作领导小组对贵州轻工职业技术学院校园网的建设和发展规划提出要求,信息中心负责执行学院关于网络应用的相关政策,提供网络维护和网络使用的咨询服务工作。
第四条贵州轻工职业技术学院校园网的日常管理工作由学院信息中心负责实施。
第五条校园网用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户若发现违法有害信息,有义务向学校有关部门报告。
第二章校园网账号
第六条 校园网上网帐号为实名管理,每人只可申办一个帐号。同一用户有两个及以上帐号的,信息中心有权注销其不符合身份的帐号。禁止使用校园网账号默认密码,且满足密码复杂度要求,密码复杂度由大小写字母、数字、以及特殊字符混合使用,例如:XXzx!@#!123。
第七条 校园网账号开通对象包括:学院教职工、在校学生、在校企业及其他临时人员。
校园网账号使用范围:
1. 教职工、企业和临时帐号可在学校任何地区使用(除宿舍楼和公租房)。
2. 学生帐号可在学校除宿舍楼和公租房任何地区使用。
第八条 帐号泄漏、密码丢失、注销
1. 帐号泄漏需及时到信息中心更改密码,以免帐号被别人使用造成不必要的损失。
2. 密码丢失需带上本人身份证(复印件)到信息中心找回。
3. 教师退休或其他原因从学校离职,由人事管理部门通知信息中心注销帐号;学生离校由系部通知信息中心注销帐号;企业用户离校由企业管理部门通知信息中心注销帐号;临时帐号用完立即注销。
第九条 帐号主要用于上互联网,仅限本人使用,不得告诉他人;因告诉他人所造成的一切后果,由本人承担全部责任。帐号应当修改默认初始密码,因未及时更改密码而造成的后果,由本人承担全部责任。一个上网账号只能登录三个终端。
第三章校园网管理
第十条接入校园网络的用户仅限于学习、教学、管理和使用。
第十一条任何教师和学生不得利用互联网计算机从事危害校园网及服务器、终端设备的活动。
第十二条 不得利用校园网制作和传播下列信息,否则将自行承担相应的法律责任:
1. 煽动抗拒、破坏宪法和法律、行政法规实施的;
2. 煽动颠覆国家政权,推翻社会主义制度的;
3. 煽动分裂国家、破坏国家统一的;
4. 煽动民族仇恨、民族歧视,破坏民族团结的;
5. 捏造或者歪曲事实、散布谣言、扰乱社会秩序的;
6. 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪;
7. 公然侮辱他人或者捏造事实诽谤他人的;
8. 损害国家机关信誉的;
9. 其他违反宪法和法律、法规的。
第十三条 校园网用户保管好自己的账号及密码,不得随意告诉他人,防止账号被盗用,造成信息泄露。使用公共电脑上网的教师,使用完毕后要及时注销。
第十四条 全体师生自觉遵守国家法律法规和学校规定,对个人的上网行为负责。
第十五条 严禁在校园网上使用可能引发病毒传染的软件。
第十六条 校园网系统软件、应用软件及信息数据实施保密措施。未经学院相关部门同意,不得将有关服务器、工作站上的系统软件、应用软件等数据拷贝传递到校外。
第十七条 校园网内IP地址由信息中心统一管理,任何个人不得擅自更改电脑的IP地址。
第十八条 未经网络管理员允许,不得随意触碰校园网络设备,更不得自行插拔网络设备上的网线。
第十九条 不得在校园网上故意输入、传播计算机病毒。
第二十条 师生均有义务帮助审查校园网上网信息,杜绝涉及国家秘密或国家禁止的信息上网,如发现相关信息有义务及时上报信息中心。
第二十一条 各类服务器开设的帐户和口令为服务器管理人员所拥有,管理人员对用户口令保密。
第二十二条 不得利用校园网从事与学院教学、管理工作无关的事务,不得浏览非法网站。在上网高峰时段不得使用能抢占系统资源的软件下载与工作无关的资源。
第二十三条校园网络用户应配合信息中心做好校园网管理的各项工作,向学院有关部门报告违法犯罪行为和传播有害信息行为。
第四章网络设备管理
第二十四条校园网络的网络设施由信息中心进行统一管理和维护。院内各楼栋的机柜、交换机、AP、配线架和设备间是校园网络正常运行的重要节点,学院其他各部门未经同意,不能占用或挪作他用。
第二十五条信息中心对校内各处的网络设备定期进行检查、保养和维护。未经学院授权,其他部门和个人不能私自开启、连接网络设备。
第二十六条擅自移动、攻击和破坏网络设施的,需赔偿造成的一切损失,并交保卫部门处理。
第二十七条对重要的网络节点,需保证24小时供电,未经允许其他部门或个人不能擅自关闭网络设施。
第二十八条网络设备的配置管理由信息中心统一实施。其他部门或个人禁止对校园网络的配置信息进行更改。
第五章其他
第二十九条 本管理办法由学院信息中心负责监督实施。
第三十条 本制度由学院信息中心负责解释
第三十一条 本管理办法自公布之日起实施。
附件3
贵州轻工职业技术学院
信息系统建设安全管理制度
为规范贵州轻工职业技术学院信息系统建设安全管理,提升信息系统建设和管理水平,保障信息系统建设安全,根据《中华人民共和国网络安全法》等法律法规,《中华人民共和国计算机信息系统安全保护条例》《信息安全等级保护管理办法》(公通字[2007]43号)、《关于加强教育行业网络与信息安全工作的指导意见》等文件规定,特制定本制度。
第一章总则
本制度适用于信息系统建设过程安全管理规范。保证信息系统安全运行必须依靠强有力的安全技术,同时更要有全面的安全策略和良好的内部管理机制。
第二章 信息系统建设安全管理的总体要求
第一条 信息系统建设安全管理目标
一个信息系统建设的生命周期阶段包括:需求分析、总体方案设计、概要设计、详细设计、系统实施、系统测试和试运行。
信息系统建设安全管理的目标就是保证整个项目管理和建设过程中系统的安全。
第二条 信息系统建设安全管理原则
信息系统建设安全管理应遵循如下原则:
1.系统等级:应根据信息安全等级保护相关规范确定信息系统安全等级;
2.全生命周期安全管理:信息安全管理必须贯穿信息系统建设的整个生命周期;
3.明确职责:每个参与信息系统建设和管理的人员都应该明确安全职责,应进行安全意识和职责培训,并落实到位;
4.管理公开:应保证每个信息系统建设参与人员都知晓和理解安全管理的模式和方法;
5.最小特权:人员对信息系统的访问权限制到最低限度,仅赋予其执行授权任务所必需的权限。
第三条 项目建设安全管理要求
信息系统建设安全管理工作应强化责任机制、规范管理程序,在建设的各个环节均须考虑安全。
第三章信息系统安全设计
第四条 应对信息系统建设方案及其建设的各个环节进行统一的安全管理规划,确定项目的安全需求、安全目标、安全建设方案,以及生命周期各阶段的安全需求、安全目标、安全管理措施。
第五条 应由建设部门进行信息系统项目安全需求分析、确定总体目标和建设方案。
第六条 系统等级保护测评
依据2020年11月1日正式实施的新版《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》,受到破坏时所侵害的客体和对客体造成侵害的程度,对信息系统进行定级。
第七条 安全需求分析
1.在信息系统建设方案中除了描述系统业务需求之外,还应进行系统的安全性需求分析:
(1)拟定信息化项目的总体安全目标,并在主要内容后面增加针对前面分析出的安全需求提出相应安全对策,每个安全需求都至少对应一个安全对策,安全对策的强度应根据相应信息系统的重要性来选择;
(2)描述如何从技术、运作、组织以及制度等方面来实现所有的安全对策,并形成安全方案;
(3)信息系统建设单位的信息安全方面的资质和经验介绍,并增加介绍项目主要参与人员的信息安全背景;
(4)明确信息系统建设中的安全管理模式、安全组织结构、人员的安全职责、建设实施中的安全操作程序和相应安全管理要求;
(5)在方案中对数据与信息安全及保密相关进行约束。
2. 对投入使用的应用软件需要升级改造的,仍需参照上述方法进行一定的安全性分析,并针对可能发生的安全问题提出相应安全对策。
3. 采购的信息系统,安全需求应在双方认可的合同或协议中给予明确规定,需与第三方签订安全保密协议。
第八条 业务归口管理部门对信息系统建设申报内容安全方案报信息中心审核,对项目的安全性进行确定。
第九条 根据系统的安全保护等级选择基本安全措施,设计安全标准必须达到等级保护相关等级的基本要求,并依据风险分析的结果进行补充和调整必要的安全措施;
第十条 信息中心对信息系统的安全进行总体规划,制定安全建设工作计划;
第十一条 根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件;
第十二条根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划等相关配套文件。
第四章信息系统采购和实施
第十三条 信息系统采用外包开发方式进行开发,在软件外包开发时,应当考虑如下几点:
1.选择信誉与质量保证能力好的软件开发商;
2.软件交付前是否依据开发要求的技术指标(信息系统安全方案和软件设计说明书)对软件功能和性能等进行验收测试;
3.软件安装之前应采用第三方的商业产品软件检测信息系统是否包含恶意代码;
4.应要求软件开发商提供需求分析说明书、软件设计说明书、软件操作手册等软件开发文档和使用指南;
5.软件开发商应承诺提供软件培训和售后技术服务。
6.建设部门与软件开发商签署协议,明确软件许可权协议、代码所有关系以及知识产权。
7.合同或协议里应包括软件开发商违约时应该采取的措施。
第十四条 实施
1.由软件供应商负责人负责信息系统建设实施过程的管理;
2.要求软件供应商提供其能够安全实施系统建设的资质证明和能力保证以及实施后的服务承诺等内容;
3.要求软件供应商制定详细的工程实施方案,规定工程时间限制、进度控制、质量控制和安全控制等内容;
4.应制定详细的信息系统建设实施组织,明确组织内各参与人员职责和范围;
5.信息系统建设过程中,软件供应商应严格遵守工程实施计划,把控工程实施质量;
6.信息系统建设过程中,如有时间延期、人员调整、项目目标调整等变更情况发生,应进行项目变更的申请和执行;
7.信息系统建设过程中,各参与人员应遵守以下行为准则:
(1)遵守本单位相关管理制度规定;
(2)未经授权,不得参与职责和范围外的实施工作;
(3)不得泄露信息系统信息;
(4)不得随意私自接入信息系统网络;
(5)其他规定的行为准则。
第五章信息系统测试与试运行
第十五条 系统测试
在项目实施完成后,由软件供应商、建设部门和信息中心根据系统设计方案和合同要求制定测试验收方案,共同组织进行测试。重要信息系统(即等级保护三级以上信息系统)应委托公正的第三方测试单位对系统进行安全性测试。
测试验收方案中应至少包括以下安全性测试和评估要求:
1.配置管理:软件供应商需提供配置管理文档;
2.安全功能测试:对系统的安全功能进行测试以保证其符合详细设计,并对详细设计进行检查,保证其符合概要设计以及总体安全方案;
3.系统管理员指南:应提供如何安全地管理系统和如何高效地利用系统安全功能的优点和保护功能等详细准确的信息;
4.系统用户指南:必须包含两方面的内容:首先,它必须解释那些用户可见的安全功能的用途以及如何使用它们,这样用户可以持续有效地保护他们的信息;其次,它必须解释在维护系统的安全时用户所能起的作用;
5.脆弱性分析:应分析所采取的安全对策的完备性(安全对策是否可以满足所有的安全需求)以及安全对策之间的依赖关系。测试验收方案应明确参与测试的部门、人员、测试验收的内容和现场操作过程,测试验收工程应严格按照测试验收方案执行,正确记录测试结果,不得随意更改测试过程和测试结果。
测试完成后,项目测试小组应提交《测试报告》,其中应包括测试时间、测试人员、现场操作过程、安全性测试和评估的结果。组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。不能通过安全性测试评估的,由测试小组提出修改意见,软件供应商完成修改。
第十六条 系统试运行
测试通过后,由建设部门组织试运行,应有一系列的安全措施来维护系统安全,它包括处理系统在现场运行时的安全问题和采取措施保证系统的安全水平在系统运行期间不会下降。具体工作如下:
1.监测系统的安全性能,包括事故报告;
2.进行用户安全培训,并对培训进行总结;
3.监视与安全有关的部件的拆除处理;
4.监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它与安全风险有关的因素;
5.监测安全部件的备份支持,支持与系统安全有关的维护培训;
6.评估系统改动对安全造成的影响;
7.监测系统物理和功能配置,包括运行过程,因为一些不太显眼的改变可能影响系统的安全风险。
第六章项目验收与交付
第十七条 项目验收应审查如下内容:
1.功能检查:对软件功能完整性、正确性进行审查和评价;
2.项目管理审查:对项目计划、采用标准、需求方案及其执行情况进行审查和评价;
3.测试结果审查:对项目测试报告等进行审查;
4.技术文档检查:对软件开发商交付的文档资料(纸质文档和电子文档)进行审查。
第十八条 项目交付
系统建设完成后,软件供应商要依据项目合同的交付部分向建设部门进行项目交付,交付的内容至少包括:
1.制定详细的系统交付清单,对交付的设备、软件和文档等进行清点;
2.对系统运维人员进行技能培训,要求系统运维人员能进行日常的维护,并形成培训记录,记录培训内容、培训时间和参与人员等;
3.提供系统建设的过程文档,包括实施方案、实施记录等;
4.提供系统运行维护的帮助和操作手册;
系统交付由建设部门负责,必须按照系统交付的要求完成交付工作。
第十九条 系统安全试运行,完成对项目进行验收。验收应注意以下安全内容:
1.项目是否已达到信息系统建设方案中制定的总体安全目标和安全指标,实现全部安全功能;
2.采用技术是否符合国家有关安全技术标准及规范;
3.是否实现验收测评的安全技术指标;
4.项目建设过程中的各种文档资料是否规范、齐全;
5.项目设计总体安全目标及主要内容;
6.项目采用的关键安全技术;
第二十条 系统验收并移交后,必须立即修改系统中相关的口令。
第二十一条 将通过验收的项目各种文件资料及最终验收审批报告,归类整理并列出清单,按照有关规定归档保存。
第二十二条 验收标准
1. 通过验收标准:完成所有建设内容,技术指标达到设计要求,建设标准达到国家信息化相关建设标准,系统运行安全稳定,建设过程符合国家有关规定。
2. 系统建设项目有下列情况之一,不能通过验收:
1)验收文件、资料、数据不真实;
2)未达到设计要求;
3)设计不符合国家信息化建设相关标准要求;
4)擅自修改设计目标和建设内容;
5)系统建设过程中出现重大问题,未能解决和做出说明,或存在纠纷尚未解决的。
第七章系统备案与测评
第二十三条 系统备案
1.系统建设完成后,要向相应的公安机关进行备案,系统的备案,备案的相关材料由建设部门负责;
2.系统等级及其他要求的备案材料报信息中心备案。
第二十四条 等级测评
1.系统进入运行过程后,三级的系统每年聘请第三方测评机构对系统进行一次等级测评,二级的系统每两年测评一次,发现不符合相应等级保护标准要求的及时整改;
2.系统发生变更时,及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改;
3.测评机构要选择具有国家相关技术资质和安全资质的单位;
4.信息系统由建设部门完成第一次等级测评,并报信息中心备案。
第八章附则
第二十五条 本制度由学院网络安全和信息化工作领导小组负责监督实施。
第二十六条 本制度由网络安全和信息化工作领导小组负责解释。
第二十七条 本制度自印发之日起实施。