某大学信息与网络安全保密管理制度及办法.doc
下载文档
上传人:职z****i
编号:1101510
2024-09-07
46页
127KB
1、某大学信息与网络安全保密管理制度及办法编 制: 审 核: 批 准: 版 本 号: ESZAQDGF001 编 制: 审 核: 批 准: 版 本 号: 目录一、信息安全方针与政策5大学信息与网络安全保密管理办法(暂行)6第一章 总 则6第二章 安全监督6第三章 安全管理7第四章 保密管理9第五章 罚 则10第六章 附 则10二、物理安全管理制度11通信网络中心机房管理办法12网络机房(含各校区)管理办法14第一章 出入管理14第二章 操作管理14第三章 运行管理15三、网络安全管理制度16大学计算机信息安全与病毒防治管理办法17第一章 总 则17第二章 定 义17第三章 组织机构与职能18第四章2、 计算机用户的责任18第五章 管理与处罚19数据中心防火墙端口管理暂行规定21一、基本端口管理规定21二、受限服务端口管理规定22三、公共服务端口管理规定22四、其他管理规定23四、主机安全管理制度24主干网络设备管理制度25第一章 岗位管理25第二章 配置变更和故障处理25第三章 安全管理26服务器管理制度27第一章 岗位管理27第二章 配置变更和故障处理27第三章 安全管理28大学通信网络中心服务器托管(虚拟服务器租用)管理办法29第一章 服务项目定义29第二章 使用要求29五、应用安全管理制度31大学校园网主页信息与服务内容与管理暂行办法32第一章 总 则32第二章 组织领导32第三章 3、校园网主页信息内容工作的要求33第四章 附 则33大学校务管理系统运行安全管理规定(试行)34第一章 总 则34第二章 运行管理34第三章 附 则36大学电子邮件管理制度37第一章 组织管理37第二章 垃圾电子邮件管理38第三章 账号管理38第四章 行为规范39六、数据安全管理制度40大学信息系统数据管理暂行办法41第一章 总 则41第二章 数据管理角色及职责42第三章 数据采集、录入与审核42第四章 数据运维管理43第五章 数据存储和归档43第六章 数据利用和服务44第七章 数据安全管理44第八章 奖 惩44第九章 附 则44大学通信网络中心信息系统密码管理暂行办法45第一章 总 则45第二4、章 密码的设置45第三章 密码的修改45第四章 罚 则4639一、信息安全方针与政策大学信息与网络安全保密管理办法(暂行)第一章 总 则第一条 为了加强对校园网的安全与保密管理,维护公共秩序,充分发挥校园网络的作用,为全校师生员工提供稳定、可靠、安全的计算机网络环境,支持学校的教学、科研、管理工作,根据全国人民代表大会常务委员会关于维护互联网安全的决定、中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际互联网管理暂行规定和有关法律、法规,结合学校实际,制定本办法。第二条 大学校园网是指由学校投资建设,为我校教学、科研、管理服务的现代化信息基础设施,是学术性、公益性的计算5、机网络,其服务对象是我校的教学、科研和管理机构、全校教职员工、学生以及其他经学校授权的单位及个人。校园网的基础设施建设及维护工作由网络与信息技术中心承担。第三条 大学校园网的宗旨是为大学的教学、科研和管理服务,任何单位及个人不得以任何理由在网上从事以营利为目的的商业活动。第四条 校园网的信息安全和网络安全,由党委办公室负责。保密工作由“大学保密委员会”负责指导、协调、监督和检查。第五条 任何单位及个人不得利用校园网危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体利益和个人的合法权益,不得从事违法犯罪活动。第二章 安全监督第六条 对校园内发生的信息与网络违法行为和针对计算机信息与网络的犯罪案6、件,由保卫处负责向公安机关报案。第七条 校内各单位应当履行下列安全保护职责:(一)负责本单位计算机信息与网络的安全保护管理工作,建立健全安全保护管理制度;(二)落实安全保护措施,保障本单位的信息安全和网络运行;(三)负责对本单位网络用户的安全教育和培训;(四)有公共上网场所的单位,应建立计算机上网用户登记和信息管理制度;(五)发现任何违反本办法所列第十、十一条情形的,应当保留有关原始记录,并在二十四小时内向大学党委办公室报告。第九条 大学宣传部应当掌握校内各单位和用户的相关备案情况,建立备案档案,进行备案统计,并按照国家有关规定逐级上报。第三章 安全管理第十条 任何单位和个人不得利用校园网制作7、复制、传播和查阅下列信息:(一)煽动抗拒、破坏宪法和法律、法规实施的;(二)煽动颠覆国家政权,推翻社会主义制度的;(三)煽动分裂国家、破坏国家统一的;(四)煽动民族仇恨、民族歧视,破坏民族团结的;(五)煽动非法集会、结社、游行、示威、聚众扰乱社会秩序的;(六)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;(七)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;(八)公然侮辱他人或者捏造事实诽谤他人的;(九)损害国家荣誉和利益的;(十)以非法民间组织名义组织活动的;(十一)其他违反宪法和法律、行政法规的。第十一条 任何单位和个人不得从事下列危害计算机信息网络安全活动;(二)未经允许,8、进入校园网或者使用计算机信息网络资源的;(三)未经允许,对校园网功能进行删除、修改或者增加的;(四)未经允许,对校园网中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;(五)故意制作、传播计算机病毒等破坏性程序的;(六)其他危害校园计算机信息网络安全的。第十二条 各单位及个人,应当遵守国家有关法律、法规,严格执行安全保护制度,不得利用国际互联网从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、复制、传播和查阅妨碍社会治安及破坏社会稳定的信息。第十三条 学校单位或师生须到学校网络与信息技术中心办理入网手续,填写入网申请表,成为正式的校园网用户。未经授权的用户不准入网,也不允许网9、内任何成员私自发展用户。第十四条 用户应尊重和保护知识产权,网上可访问到的任何资源均为其拥有者所有。用户不得拷贝注有版权的软件,不得将网上提供的共享软件商业化。第十五条 用户不得私自安装、配置网络系统,盗用或滥用网络资源,盗用IP地址或邮件地址,冒用他人名义进行网络活动,影响网络正常使用和运行。第十六条 任何单位及个人不得私自开设代理服务器及DHCP(动态主机配置协议)。第十七条 任何单位及个人不得恶意传播系统漏洞知识,不得自行或教唆他人攻击、入侵系统,以及对计算机系统进行试探攻击。第十八条 任何单位及个人不得通过非法途径对他人或单位计算机网络系统功能及信息内容进行增加、删除或修改。第十九条 10、各用户应严格使用自己的校园网账号,不得转借、转让;由此引起的不良后果由用户承担。第二十条 为了有效地使用网络资源,用户不得长时间地占用某个共享资源。第二十一条 用户发现网络违法犯罪行为和有害信息应当向通信网络中心报告。第二十二条 用户应当接受并配合国家有关安全部门依法进行的监督检查。第二十三条 有公共机房的单位应建立用机管理规定,并切实做好上机登记。第二十四条 需要上网的公共机房的所属单位应主动到网络与信息技术中心签订安全管理协议,并对其所属的上网场所的信息与网络安全负责。第二十五条 各单位在校园网上发布的信息,需经本单位负责人审核后方能发布,并保证所发布的信息是合法的。各单位发布的信息由该单11、位负责人向学校负责。第二十六条 各单位开设的电子公告或论坛服务,须为实名制,有关单位必须明确领导责任,指定专人负责,并遵守互联网电子公告服务管理规定。对电子公告或论坛服务必须进行日志备份,记录用户名、信息发布时间等详细信息,在学校查询时予以提供。日志至少保存60日。第四章 保密管理第二十七条 校园网用户应遵守国家有关法律、法规,严格执行安全保密制度,不得利用计算机国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动;不得利用计算机国际联网进行搜集、整理、窃取国家秘密的活动。第二十八条 上网信息的保密管理坚持“谁上网谁负责”的原则。校内单位用户实行领导责任制,发布信息按照信息的内容归口管理,分级12、负责,规范信息保密审查制度,防止秘密信息泄露。个人用户必须严格遵守保密法规,不得在进行国际联网的计算机信息网络中发布或谈论涉及国家及学校秘密。第二十九条 校园网用户不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播国家及学校秘密信息。申请开设电子公告系统、聊天室、网络新闻组的单位应严格管理,明确保密要求和责任。电子公告系统的保密管理实行版主责任制,版主负有对版面内容保密监督的责任。第三十条 校园网用户电子函件(电子邮件)进行网上信息交流应遵守有关保密规定,不得利用电子函件传递、转发或抄送国家及学校秘密信息。第三十一条 校园网用户发现国家及学校秘密泄露的情况,应立即向学校保卫部门报告。保卫13、部门接到举报或发现网上有泄密情况时,应当立即组织查处,并采取补救措施,删除网上涉及国家及学校秘密的信息。第五章 罚 则第三十二条 任何单位或个人利用网络从事危害国家安全、泄露国家秘密等活动,违反国家刑事法律的,依法交由相关国家机关,依照有关法律法规予以处罚。第三十三条 对所开办网站监管不力造成有害信息传播或秘密信息泄露的单位,给予通报批评,情节特别严重的追究部门负责人的领导责任。第三十四条 对于其它违反本管理办法的行为,学生用户由相关学生管理部门进行处罚;教工及单位用户由相关职能部门按有关管理办法进行处罚。第三十五条 对于其它违反本管理办法的行为,由大学通信网络中心按相关管理办法进行处罚。第六14、章 附 则第三十六条 本办法中的学生是指获得学籍或经学校批准的社会办学招收的学生。第三十七条 本办法自发布之日起实施,以往发布的与本管理办法不相符的规定,按本办法执行。二、物理安全管理制度通信网络中心机房管理办法大学通信网络中心是CERNET节点的核心,为确保其设备安全和正常运行,特制订本管理办法。第一条 通常,值班员应严格禁止任何外部人员进入机房。第二条 需进入机房的外部人员,应在值班人员处出事身份证和工作证(缺一不可),并在机房进出人员登记表上准确登记,经值班人员核实签字后方可进入指定工作区域。第三条 未带工作证的一定要有中心内部人员带领,并在机房进出人员登记表的“备注”栏由中心内部人员签15、字。第四条外部人员在填写机房进出人员登记表时“工作内容”一栏不可只填写“调试设备”或“检修线路”等模棱两可的工作内容,必须具体指明调试哪些设备或检修哪条线路;填写其他栏目亦照此要求。第五条网络中心内部人员进入机房时,只需准确填写机房进出人员登记表,经值班员核实无误后即可进入。第六条进入机房人员结束工作离开机房时,应准确填写登记表上的“进出时间”栏,经值班员核实后方可离开。第七条外部人员如需移入/移出设备,需另外认真填写机房设备进出登记表。第八条网络中心人员如需移入/移出设备,亦须填写机房设备进出登记表,填写要求与外部人员相同。第九条移出设备需同时通知网络中心办公室人员,并由他们开具出门条,否则16、不允许搬出设备。第十条遇紧急或特殊情况,值班员应及时请示部门负责人。第十一条 值班员应对整个过程的监控负全部责任。大学通信网络中心二一四年六月网络机房(含各校区)管理办法第一章 出入管理第一条 网络(含各校区)机房存放有校园网主干网络设备和服务器,非机房工作人员未经批准不得进入机房。第二条 外单位维护人员需要进入机房工作的,需首先填写登记表,并在机房工作人员陪同下进入机房。第三条 参观人员需事先联系,并得到中心主任或各校区网络中心负责人批准,才能在工作人员陪同下进入机房。第四条 严禁其他人员进入机房。第五条 进入机房应遵守机房管理制度并听从机房工作人员指导。第六条 进入机房不得携带任何易燃、易17、爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。第二章 操作管理第七条 非机房工作人员不得接触和操作机房内任何设备、设施。第八条 网络设备的添加和更换、网络配置的增删修改以及网络结构的变更必须报网络部相关负责人批准后方可进行。第九条 机房内关键网络设备的操作实行双人作业制度,严格按照预制操作流程进行。有关过程必须按规定进行详细登记和记录,对各类软件、现场资料、档案整理存档。第十条 操作人员注意保持保持机房整洁,操作结束后整理好有关工具和配件。第三章 运行管理第十一条 值班人员定期巡查机房,检查机房环境支撑设施运行状况。第十二条 设备管理员随时监控机房设备运行状况,发现异常情18、况应立即按照预案规程进行操作,并及时上报和详细记录。第十三条 机房工作人员应恪守保密制度,不得擅自泄露各种信息资料与数据。第十四条 机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动,保持机房安静。第十五条 定期对机房进行清扫,对机器设备吸尘清洁。第十六条 不定期对机房内设置的消防器材、监控设备进行检查,以保证其有效性。第十七条 所有重要文档定期整理装订,专人保管,以备后查。 三、网络安全管理制度大学计算机信息安全与病毒防治管理办法第一章 总 则第一条 为加强对计算机病毒的预防和治理,维护计算机信息系统安全,根据国家相关法律法规的规定,参照国际标准化组织ISO/IEC 17799:2005信息技19、术安全技术信息安全管理实践指南的标准,特制定本管理办法。第二条 本管理办法用以规范个人计算机信息安全及防(反)病毒软件、信息安全工具的使用,适用于大学下属各部门、在校师生员工(含离退休人员)等单位或个人计算机用户(下称计算机用户)。第三条 “信息是一种资产,具有价值,需要适当的保护”。然而,“攻击普遍存在,许多信息系统不再追求设计成安全的,技术已经不能保证信息的绝对安全。因此,要使用恰当的管理手段并增强意识。” ISO/IEC 17799:2005。学校通过采取有效的技术手段,并加强广大计算机用户的信息安全防范意识教育,营造校园信息安全文化,积极建立管理、预防、保护、响应相结合的信息安全保障机20、制。第二章 定 义第四条 本管理办法所称的信息安全是指保障、维护信息的机密性、完整性、真实性、可用性和合法性。第五条 本管理办法所称的计算机病毒(下称病毒)是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。第六条 本管理办法所称的计算机病毒疫情,是指某种计算机病毒爆发、流行的时间、范围、破坏特点、破坏后果等情况的报告或者预报。第七条 本管理办法所称的资产,是任何对组织有价值的事物。资产包括但不仅限于:物理资产(例如:计算机硬件、通讯设备、建筑物);信息/数据(例如:文档、数据库);软件;提供产品和服务的能力(例如:网络服务的能21、力和质量);人员;无形资产(例如:商誉和形象)。ISO/IEC 13335-1:2004第三章 组织机构与职能第八条 通信网络中心是学校具体负责信息安全与计算机病毒防治的机构,具体职能包括:(一)承担对本校计算机用户的管理、教育与培训工作;(二)及时通报计算机病毒疫情;(三)提供正版的信息安全工具及软件并提供专业的服务支持;(四)提供一定的免费或开源信息安全工具及软件使用建议;(五)提供信息安全紧急响应服务,为各类信息安全事件提供协助、安全检查及提出改善建议。第九条 信息安全员是学校信息安全与计算机病毒防治工作的重要辅助力量,由各单位(部门)选派具有一定计算机技能的员工担任,可以设为专职或兼职22、岗位。各单位(部门)应将信息安全员的名单及联系方式报送通信网络中心。第十条 信息安全员应遵守学校有关规定,负责本单位(部门)的信息安全与计算机病毒防治的具体工作。第十一条 信息安全员应参加学校组织的有关信息安全及计算机病毒防治的培训,在业务上接受通信网络中心的指导与监督。第四章 计算机用户的责任第十二条 计算机用户应树立正确的信息安全意识,接受通信网络中心的管理、教育与培训,并有责任确保学校及计算机用户个人(包括其他用户)的信息资产免受损失。第十三条 计算机用户应做好预防性安全措施,及时修补个人计算机的安全漏洞,防止这些漏洞被计算机病毒软件及其所有人攻击或利用。第十四条 计算机用户应在自己所使23、用的个人计算机上,启用各种信息安全工具和策略,以防止木马、蠕虫等计算机病毒或恶意软件对计算机中的信息资产的破坏、窃取以及对校园网络的速度、稳定性以及服务质量的影响。第十五条 计算机用户在进行信息安全和与计算机病毒防治操作时,遵守国家法律、法规的规定,使用合法授权的信息安全工具及软件,而不应使用盗版的信息安全工具及软件。使用学校提供的正版的商业版本的信息安全工具及软件的计算机用户,离开学校后应该主动卸载有关软件,避免违反许可证的限定。第十六条 计算机用户或学校各单位(部门)可以根据需要,自行采购部署适合自己的正版信息安全工具及软件,并在许可证限定的范围内使用。第五章 管理与处罚第十七条 为了及时24、消除信息安全隐患以及对其他计算机用户的影响,对于拒绝修补安全漏洞和启用各种信息安全工具的计算机用户,通信网络中心可以给予有关当事人警告提醒,并要求当事人立即采取防范措施,对经过警告仍未改正的、有可能造成严重后果的,可采取紧急断网处理,直至其改正为止。第十八条 对有下列情况的计算机用户,通信网络中心可无需事先警告,对该计算机用户或部门进行紧急断网处理,直至消除信息安全隐患为止:(一)对造成蠕虫、木马等计算机病毒大面积传播的或可能引起严重后果的;(二)严重影响校园网网速和服务质量的;(三)可能导致其他计算机用户的重要信息泄漏,造成严重损失的;(四)可能导致学校的信息资产被恶意控制或利用,造成损害的25、;(五)超出信息安全工具许可证使用规定,可能对学校造成名誉或经济上损失的;(六)其他违反法律法规规定的情形的。第十九条 对违反本管理办法规定的所有行为,通信网络中心有权对违规事实进行取证、备案,并视情节轻重报送上级主管部门、当事人所在部门或相关部门做出进一步的处理。第二十条 对于妨害计算机信息安全的违法行为以及涉嫌进行侵害国家信息安全的犯罪行为,计算机用户应积极配合公安机关和学校有关部门,积极制裁违法行为和犯罪行为,共同维护信息安全。数据中心防火墙端口管理暂行规定为规范数据中心机房的安全管理,根据信息安全技术信息系统安全等级保护基本要求(GB/T 222392008)及ISO/IEC 270026、0系列标准,特制定数据中心防火墙端口管理暂行规定。希望各方能共同遵守规范,共建安全的数据中心网络环境。本规范适合于大学数据中心机房及各校区托管服务器机房(以下简称“数据中心机房”)。一、基本端口管理规定第一条 数据中心机房内服务器或设备的所有人,必须根据信息安全等级保护及国家法律规定的网站备案要求,如实申报网络服务端口(以下简称“端口”)的用途、服务对象或使用人等资料,不得未经申报与批准,要求开放端口访问。对于不实申报的,一经发现将立即取消所有访问权限,并作为重大安全隐患进行如实通报,同时需要重新申报网络服务端口;对造成信息安全事故的,按有关规定追究相关人员责任,并在安全公告中实名公告责任单位27、及涉及安全事故的系统名称。第二条 数据中心机房配备网络防火墙,用于保护生产运行的服务器及相关设备。为避免影响正常生产秩序,临时或非正式运行的服务器或设备应自行进行独立保护,不宜放置于防火墙内。第三条 根据信息系统安全等级保护的要求,端口开放及权限控制必须基于最小配置及最小权限原则。严格禁止为数据中心机房内服务器或设备配置不受限制的防火墙访问规则(即,要严格禁止任何IP地址可访问该服务器或设备的任何端口的规则)。第四条 数据中心防火墙DMZ区域内服务器或设备(以下简称“DMZ区域内设备”)可以对外提供服务,可相应设置外部访问规则;数据中心防火墙内部私有区域服务器或设备不可对外提供服务,仅可向数据28、中心DMZ区域内的服务器或设备提供服务。第五条 DMZ区域内设备的端口分为公共服务端口、受限服务端口、内部管理端口及临时服务端口等4种类型。高安全保障等级DMZ区域内的设备的所有端口缺省为内部管理端口,申请通过后才能成为其他类型端口。第六条 公共服务端口适合于IPv4及IPv6的地址类型,而受限服务端口、内部管理端口及临时端口仅适用于IPv4地址类型。二、受限服务端口管理规定第七条 受限服务端口仅限校内IP地址访问。普通安全保障等级DMZ区域内设备的受限服务端口为ftp(21)、telnet(23)、ssh(22)、mysql(3306)、ms-sql-s(1433)、remote-deskt29、op(3389)。第八条 受限服务端口可申请成为特殊受限服务端口,除允许校内IP地址访问外,还可允许校外特定IP地址(由中心根据情况确定名单,一般为银行、公安、国安等机构)访问。第九条 原则上,防火墙不为受限服务端口设置其他管理规则。如果DMZ区域内设备需要进一步限制访问的,应在设备上自行配置限制规则。三、公共服务端口管理规定第十条 公共服务端口可被任何IP地址访问。普通安全保障等级DMZ区域内设备上的http(80)、https(443)端口为普通公共服务端口,只需要完成网站备案无须其他申请即可被任何IP地址访问。普通安全保障等级DMZ区域服务器或设备上的ftp(21)、ssh(22)、te30、lnet(23)端口为特殊公共服务端口,须申请通过审批后才能被任何IP地址访问。普通安全保障等级DMZ区域设备上其他端口原则上不能成为公共服务端口。第十一条 原则上,防火墙不为公共服务端口设置其他管理规则。如果DMZ区域内设备需要进一步限制访问的,应在设备上自行配置限制规则。四、其他管理规定第十二条 网络与信息技术中心将定期(每月不少于1次)对公共服务端口、受限服务端口、临时服务端口进行扫描,以确保及时发现安全漏洞及隐患。一旦发现高危漏洞,端口类型将转为内部管理端口而无需事先通知(仅封锁后通知),直至漏洞修复。第十三条 本规定由发布之日起执行。第十四条 本规定由通信网络中心负责解释。 四、主机31、安全管理制度主干网络设备管理制度第一章 岗位管理第一条 主干网络设备管理岗位采用岗位人员后备制度:一个岗位配备两名以上管理员,一个管理员主要负责网络设备的日常管理工作,其他管理员应掌握网络设备情况和管理知识,并在主要的管理员外出的时候担负管理网络设备的职责。第二条 主干网络设备重大故障恢复或配置变更操作必须在两名以上管理员在场的情况下才能进行。第三条 管理员应通过不断学习,掌握新的网络技术,以应付不断变化的IT环境。第二章 配置变更和故障处理第四条 管理员进行生产设备的配置变更操作,必须执行主干网络设备配置变更管理:事前必须经过详尽的测试和计划;事先将变更计划和影响通知服务前台并发布主干网络设32、备变更通告;配置变更必须记录,包括时间、原因、配置记录文件等。第五条 发生故障,购买相关硬件、系统和应用程序服务的,管理员应该首先借助服务判断故障原因,并按照相关人员建议处理故障,并记录故障发生的时间、故障情况、处理方法以及将来预防措施等。没有购买服务的,根据中心制定处理流程修复故障。第六条 管理员应对网络设备的进行定期检查。第三章 安全管理第七条 主干网络设备超级用户的密码要定期更换,密码设定要有一定的规定,不能少于八位。超级用户密码必须登记在册并按有关规定妥善保管,管理员不得对任何无关人员泄露。用户密码由相关用户自行设定,管理员要严守保密制度,不得泄漏用户密码。第八条 为了确保服务等级,管33、理员不得在生产设备上进行测试实验。第九条 管理员必须定期安装补丁包,对于高危高风险的补丁包应该按照要求及时安装。第十条 管理员必须定期对主干网络设备配置进行备份。第十一条 管理员应对主干网络设备进行资源监控,主要针对、内存、端口流量等情况的监控;管理员应该利用各种资源监控手段确保服务器能力,保障服务等级。服务器管理制度第一章 岗位管理第一条 服务器管理岗位采用岗位人员后备制度:一个岗位配备两名以上系统管理员,一个管理员主要负责服务器日常的管理工作,其他管理员应掌握服务器情况和管理知识,并在主要的管理员外出的时候担负管理服务器的职责。服务器重大故障恢复或配置变更操作必须在两名以上管理员在场的情况34、下才能进行。第二条 根据不同服务器的服务等级,相关服务器的系统管理员应该确保在5x8、5x12、7x12或7x24个人通信的畅通以及24、8、4、2小时到达现场的能力。第三条 系统管理员应通过不断学习,掌握新的服务器系统技术,以应付不断变化的IT环境。第二章 配置变更和故障处理第四条 管理员进行生产服务器的配置变更操作,必须执行服务器配置变更管理:事前必须经过详尽的测试和计划;事先将变更计划和影响通知服务前台并发布服务器变更通告;配置变更必须记录,包括时间、原因、配置记录文件等。第五条 发生故障,购买相关硬件、系统和应用程序服务的,管理员应该首先借助服务判断故障原因,并按照相关人员建议处理故障35、,并记录故障发生的时间、故障情况、处理方法以及将来预防措施等。没有购买服务的,根据中心制定处理流程修复故障。第六条 系统管理员应对系统的进行定期检查。第三章 安全管理第七条 服务器超级用户的密码要定期更换,密码设定要有一定的规定,不能少于八位。超级用户密码必须登记在册并按有关规定妥善保管,系统管理员不得对任何无关人员泄露。用户用户密码由相关用户自行设定,系统管理员要严守保密制度,不得泄漏用户密码。第八条 为了确保服务等级,系统管理员不得在生产服务器上进行测试实验,不得在生产服务器上进行与服务无关的操作(例如浏览网页、下载程序等)。系统管理员不得在生产服务器上安装与服务无关的软件或放置与服务无关36、的数据。第九条 系统管理员必须定期安装操作系统、应用程序的补丁包,对于高危高风险的补丁包应该按照要求及时安装。第十条 所有服务器必须安装防病毒软件,并及时升级病毒定义文件。管理员应该定期对服务器进行全面的病毒检测,发现问题应及时向中心安全管理员汇报并协同解决。第十一条 所有生产服务器必须实施日志管理制度,按照国家和学校有关规定保存系统和应用程序日志。第十二条 管理员必须定期对服务器进行操作系统、应用程序和数据的备份。按照不同的服务等级,对不同的服务器实施离线备份、在线备份、热备份和双机热备等不同的备份策略。第十三条 管理员应对服务器进行资源监控,包括硬件、系统资源和应用资源的监控。硬件监控,应37、该利用硬件厂商提供的监控软件;系统资源监控,主要针对、内存、/活动情况的监控;针对应用资源,主要利用应用程序的监控功能。管理员应该利用各种资源监控手段确保服务器能力,保障服务等级。大学通信网络中心服务器托管(虚拟服务器租用)管理办法第一章 服务项目定义第一条 物理服务器托管,将属于用户所购置服务器置于通信网络中心,从而为Internet 上的用户提供信息服务。用户自己负责其软件安装、升级、服务器管理和故障的排除,并购买相关软件使用权。第二条 虚拟服务器租用,用户无需购置服务器,租用通信网络中心提供的虚拟服务器,并且无需对硬件、操作系统及通信线路进行维护。用户自己负责其软件安装、升级、服务器管理38、和故障的排除,并购买相关软件使用权。第二章 使用要求第三条 遵守国家和学校互联网相关法律法规,不存储、发布、接收违反国家法律和学校相关规定的信息。第四条 用户单位负责人对服务器信息安全负全责,必须有专人负责服务器的安全管理,并在通信网络中心留有24小时联系电话。联系电话更新需主动通知通信网络中心进行变更。第五条 各单位指定的系统维护技术员须是熟悉服务器系统的且能长期维护的老师,不能由学生来代理维护,以免学生离校或其他原因引起的诸如操作系统用户名、密码等的非正常交接导致的信息遗失问题。第六条 对于不具备相关系统知识的专业人员维护的单位,不具有申请或使用服务器的权利。第七条 用户应依据大学校园网二39、级网站及电子公告版管理办法,向学校党委宣传部提出申请。申请经审核批准后,由党委宣传部负责签发校园网二级网站(电子公告版)许可证,由通信网络中心负责办理相关手续。第八条 通信网络中心将不定期对服务器进行安全检查,一旦发现安全隐患,有权在未通知用户单位的情况下紧急中断服务器网络接入。第九条 用户单位需在通信网络中心登记服务器用途,不得私自将服务器转做他用。第十条 申请单位如需停止该服务,请提交相关申请,如未通知我中心而弃用,由此引发的安全隐患,需由申请单位自己负责。第十一条 申请单位如违反以上规定,我中心有权停止其服务器的使用,情节严重的报相关部门处理。通信网络中心五、应用安全管理制度大学校园网主40、页信息与服务内容与管理暂行办法第一章 总 则第一条 为加强我校校园网主页信息及服务内容建设的管理工作,充分发挥学校各部门对网上信息及面向社会互动服务内容的建设的积极性,建立学校校园网主页信息及服务内容的建设与管理机制,特制定本管理办法。第二条 校园网主页信息及面向社会互动服务内容是宣传学校建设与发展成就,展示学校形象,促进学校对外交流的窗口。抓好校园网主页信息建设,让更多的人了解我校,对扩大我校的社会影响力,提高学校的国际化水平,提高软实力,具有十分重要的推动作用。第三条 校园网主页信息及面向社会互动服务内容的建设与管理工作,要坚持时效性、丰富性、真实性的原则,要做到及时、准确、全面。第二章 41、组织领导第四条 校园网主页信息及面向社会互动服务内容的建设与管理工作,由学校信息化领导小组统一领导,校长办公室(以下简称校办)主管,通信网络中心负责技术支持和服务,各部门分工建设与管理,并体现各部门间相互协调,共建共管的原则。第五条 党委宣传部是校园网主页信息与服务内容的主管部门,负责审核和监督学校各部门在网上的各种信息内容建设。负责组织开展校园网主页信息与服务内容的各板块、栏目的审定和信息内容的检查工作,负责组织召开有关工作会议。第六条 通信网络中心是学校校园网主页信息与服务内容建设的技术支撑部门,负责校园网主页信息与服务内容建设的总体框架设计和技术支撑平台的建设与管理,负责网上信息安全和相42、关的技术服务工作,负责协调学校各职能部门、各学院的校园网主页信息与服务内容建设的具体工作。第七条 学校各职能部门、各学院是校园网主页信息与服务内容的具体建设部门,需指定一名领导分管与本单位相关的校园网主页信息与服务内容的建设与管理工作,确定一名信息员负责本单位校园网主页信息与内容的收集、处理、传递与整合等工作。第三章 校园网主页信息内容工作的要求第八条 各单位要根据板块栏目要求,收集、整理、编撰所负责板块的信息并上传至相应板块,及时提供宣传建设成就、展示形象,提供内容服务。第九条 各单位在根据各自的职责、目标和任务,有组织、有计划,定期地向校园网主页传送各类信息的时候,要根据网络与信息技术中心43、提供的功能及规范要求进行。第四章 附 则第十条 此暂行办法自发布之日起开始实施,由宣传部及通信网络中心责解释。大学校务管理系统运行安全管理规定(试行)第一章 总 则第一条 为规范大学校务管理系统(以下简称校务系统)运行管理,保障校务系统运行安全,根据国家有关规定,结合大学实际情况,制定本试行规定。第二条 本规定所称校务系统,是指基于统一规划的校级应用,包括办公自动化系统和管理信息系统。第三条 校务系统的建设和管理,遵循统筹规划,合理布局,统一数据库,统一标准,统一开发平台,统一用户管理,统一门户的原则。第四条 本试行规定适用于使用校务系统的校内各单位。第二章 运行管理第五条 通信网络中心负责校44、务系统的规划建设、运行管理和维护升级,负责确保校务系统的程序安全、数据安全和运行安全,校务系统的使用单位必须配合做好校务系统的安全管理工作。第六条 校务系统管理员分校级系统管理员和部门级系统管理员两级,校级系统管理员(一级系统管理员)是指校务系统的系统管理员,由通信网络中心提名,报请学校任命;部门级系统管理员(二级系统管理员)是指校级机关、各直属单位、各院系、附属单位的技术管理员,由各单位部门指定。第七条 校级系统管理员负责如下工作:(1)新增、修改、删除系统角色;(2)新增、修改、删除系统资源权限;(3)设置各单位组织机构,设置岗位与角色的对应关系,在系统中为各单位设置技术管理员,根据其权限45、分配管理部门及可用系统角色范围;(4)新增、修改、删除用户资料,将岗位赋予用户,修改用户密码。第八条 部门级系统管理员负责如下工作:(1)在校级系统管理员设置的管理范围内,查看系统角色;(2)在管理范围内设置组织机构列表,设置岗位与系统角色的对应关系。第九条 系统管理员不得利用校务系统从事危害学校利益、教职工、学生利益的活动,不得危害校务系统的安全。第十条 各单位应加强对本单位使用校务系统的安全管理,做好以下工作:(1)明确校务系统安全工作的主管负责人,并配备具有相应能力的工作人员作为校务系统的技术管理员;(2)各单位应将系统管理员和办公自动化系统文件管理员的名单及联系方式上报通信网络中心备案46、。人员有变更时,必须同步报通信网络中心更新备案,并由系统管理员进行相应岗位的权限更改。(3)各单位系统管理员应该对岗位、岗位对应的系统角色、岗位包含的用户进行纸质和电子的备案,当发生变化时,必须同步报校级系统管理员更新备案;(4)各单位系统管理员应妥善保护自己的帐号资料,登录系统后因故离开要退出系统;(5)各单位文件管理员和系统管理员应定期参加培训,并负责对本单位的用户进行培训;(6)当发生安全事件时,部门系统管理员应迅速采取相应措施并及时向校级系统管理员报告,必要时,通信网络中心给予紧急支持;(7)各单位应建立信息维护制度,对系统中权限范围内的信息进行及时维护和更新。第十一条 校级系统管理员47、应对各单位系统管理员管理的组织机构和系统角色进行纸质和电子的备案,当发生变化时必须同步对备案进行更新。第十二条 校务系统的系统管理员的密码保存机制:系统管理员的密码必须由8位或以上组合而成;密码必须包含数字、字母、特殊字符;将密码分隔成两段,由两个人分开掌握;密码还需要密封后放入保险柜中。第十三条 校务系统中建立审计制度,对管理员的操作进行记录。校级系统管理员要定期对审计信息进行查看和监控。第十四条 当发生安全事件时,各级系统管理员相互之间要密切配合,迅速采取措施,同时向上级主管领导报告,事后做好安全改善。第十五条 使用校务系统的人员不得随意就校务系统中的数据对外提供服务,如确有必要,需经过上48、级主管部门和领导同意,由有权限的人员负责查询。第十六条 其它应用如果需要通过接口方式获取校务系统中的数据,必须经过职能部门、通信网络中心同意,设计符合校务系统的数据接口规范的接口软件。第三章 附 则第十七条 对于违反本规定造成损失的,视情节轻重报有关部门处理。第十八条 对于危害公共安全、国家安全、泄露国家秘密以及其它违反法律、法规的行为,由司法、公安部门依法处理,构成犯罪的,报有关司法部门依法追究刑事责任。第十九条 本管理规定由学校通信网络中心负责解释。第二十条 本管理规定自公布之日起生效。大学电子邮件管理制度为保障我校校园网电子邮件服务的正常使用,规范我校校园网电子邮件的使用行为,特制定本管49、理制度。第一章 组织管理第一条 大学电子邮件管理由网络与信息技术中心负责。第二条 网络与信息技术中心提供大学电子邮件服务必须遵守以下行为规范:应当将电子邮件服务和使用规则告知用户举报和投诉垃圾电子邮件的方式电子邮件服务器应当使用固定IP地址;应当及时堵塞电子邮件服务器安全漏洞;向用户提供群组发送电子邮件服务的,应当建立相应的管理制度;应当遵守国家相关管理规定和技术标准;应当记录经其电子邮件服务器发送或者接收的互联网电子邮件的发送或者接收时间、发送者和接收者的互联网电子邮件地址及IP地址。上述记录应当保存六十日,并在国家有关机关依法查询时予以提供。应当对用户的电子邮件地址、内容和个人信息采取保密50、措施,除国家有关机关依法检查外,不得向他人提供用户的电子邮件地址、内容和个人信息,不得将用户的个人信息用于获取目的以外的其他用途。第二章 垃圾电子邮件管理第三条 网络与信息技术中心采取以下的技术防范措施加强垃圾电子邮件管理: 对发送垃圾电子邮件的特定网络地址、电子邮件进行屏蔽的功能; 具备限制采自相同客户端网络地址的并发连接数量超过最大限制值的功能; 具备限制来自相同客户端:网络地址的连接频率超过最大限制值的功能; 具备限制本地电子邮件用户一次性发送同一电子邮件发送量的功能; 具备判别电子邮件虚假路由,对伪造虚假路由的电子邮件限制发送的功能; 具备关闭电子邮件服务器匿名转发或采取用户身份认证;51、电子邮件转发授权控制措施的功能; 具备对大量群发、连发同样特征的已知垃圾电子邮件进行拦截的功能,其中特征指电子邮件长度、信条字段、信体符合特定条件。第三章 账号管理第四条 教职工和学生免费获得一个工作邮箱。第五条 教职工的工作邮箱及网络磁盘的存储总空间为10000MB;学生的工作邮箱及网络磁盘的存储空间为3000MB。第六条 当教职工和学生离开大学的时候,工作邮箱的使用权限将被自动收回。第四章 行为规范第七条 不得制作、复制、发布、传播包含中华人民共和国电信条例第五十七条规定内容的互联网电子邮件。第八条 不得利用互联网电子邮件从事中华人民共和国电信条例第五十八条禁止的危害网络安全和信息安全的活52、动。第九条 未经授权不得利用他人的计算机系统发送互联网电子邮件;第十条 不得将采用在线自动收集、字母或者数字任意组合等手段获得的他人的互联网电子邮件地址用于出售、共享、交换或者向通过上述方式获得的电子邮件地址发送互联网电子邮件。第十一条 不得发送或者委托发送故意隐匿或者伪造互联网电子邮件信封信息;第十二条 未经互联网电子邮件接收者明确同意,不得向其发送包含商业广告内容的互联网电子邮件。XXXX有限公司 XXXX管理制度六、数据安全管理制度大学信息系统数据管理暂行办法第一章 总 则第一条 大学信息系统数据作为学校的无形资产和战略资源,应纳入学校统一管理范畴,实现信息系统数据的统一管控,提高数据质53、量和数据的利用效率,提供安全、完整、统一的数据服务,为学校教学、科研、管理提供信息服务和技术保障。第二条 本办法所指的信息系统与中华人民共和国计算机信息系统安全保护条例中的信息系统定义一致:由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。包括范围是:学校各类型的管理信息系统、网站、教学资源系统、用户服务系统等。第三条 本办法所指的数据是指各类信息系统所覆盖的相关数据,包括但不限于:管理信息系统产生的业务数据、网站数据、教学资源(含多媒体视频、图片、课件等)、用户服务支持系统产生的数据。第四条 信息系统数据管理54、是指利用信息系统对数据进行采集、录入、运维、存储、归档、应用的过程以及制定数据标准、数据安全策略和实施数据审核的管理。第五条 信息系统数据管理应遵循以下原则:(一)统一规范原则。信息系统采集和处理的数据,应符合学校制定的信息系统所要求的特定数据标准。(二)全程管控原则。建立数据从采集、处理到维护的全过程管控体系,重点把好数据的采集关,确保信息系统数据真实、准确、完整、及时。(三)定期考评原则。相关业务部门对所管理的数据具有责任,对其权限范围内所负责的数据管理工作要进行定期的管理考评。第六条 信息系统数据管理应达到如下目标:(一)统一数据语言:要求数据管理有标准,即具备完善的数据标准管理规范,保55、证在系统建设过程中应用统一的数据标准。(二)保障数据准确:在数据整个生命周期的各个环节建立完善的数据质量核查机制,制定完善的数据质量管理规范,确保数据的准确性。(三)防止非法篡改和伪造:明确数据的所有权及更改权限,制定完善的数据所有权管理规范,确保对数据的所有更改均有据可查,对于不可更改的数据,应提供相应的安全技术防篡改和伪造。(四)建立数据备份、容灾和恢复机制:建立数据的备份、容灾和恢复机制,加强数据存储和归档管理,制定完善的数据安全管理规范,确保所有数据有备份、可恢复。(五)预防信息泄漏:根据国家和学校的要求,做好数据的保密工作,确保数据安全。(六)提供数据服务:制定完善的数据服务管理规范56、,保证数据易获取、易应用,以充分发挥数据作为学校资产的价值。第七条 数据分类和涉及部门,根据学校的职能域将数据划分为九大类:(一)人力资源域:教职工基本信息管理、教职工招聘、入校离校、职称评审、职务聘任、考核管理、薪资管理、党团工作、出国管理、离退休管理等。涉及部门有人事处、财务与国有资产管理处、房地产管理处、党委组织部、党委统战部、国际合作与交流处、离退休工作处、各院系等。(二)教学资源与管理域:教学计划管理、开课计划管理、排课管理、选课管理、成绩管理、学位管理等。涉及部门有:教务处、医学教务处、研究生院、高等继续教育学院(网络教育学院)、财务与国有资产管理处、各院系等。(三)学生管理域:招57、生管理、迎新管理、学生基本信息、学籍基本信息、学生奖惩管理、党团管理、毕业管理等。涉及部门有:本科招生办公室、党委学生工作部(学生处)、研究生院、教务处、就业指导中心、高等继续教育学院(网络教育学院)、留学生办公室、教育发展与校友事务办公室、校团委、党委组织部、总务处、图书馆等。(四)科研管理域:项目管理、合同管理、成果管理、科研机构管理、科研经费管理等。涉及部门:科技发展研究院、社会科学处、医学科学处、财务与国有资产管理处、各院系等。(五)财务域:财务管理、经费管理等。涉及部门:财务与国有资产管理处等。(六)资产域:固定资产管理、实验室管理、设备管理、招投标管理、房产管理等。涉及部门:设备与58、实验室管理处、财务与国有资产管理处、招投标管理中心、房地产管理处等。(七)档案域:人事档案管理、学生档案管理、文件档案管理、科研档案管理等。涉及部门:档案馆、人事处、教务处、研究生院、校长办公室、科技发展研究院、医学科学处、社会科学处等。(八)公共服务域:电子邮件服务、高性能服务、电子图书服务、校园一卡通服务等。涉及部门:网络与信息技术中心、图书馆、财务处等。(九)系统数据域:实现操作系统功能所涉及数据的管理、实现数据库管理系统功能所涉及数据的管理、实现应用软件系统功能所涉及数据的管理等。涉及部门:网络与信息技术中心等。第二章 数据管理角色及职责第八条 学校数据管理部门包括网络与信息技术中心、59、学校党政系统职能部门、各院系和直属机构与数据管理相关的有关部门或科室。学校数据管理部门根据数据管理的目标设置数据管理具体角色,包括总体规划、数据标准和规范的制定与执行、数据实施和运维、数据应用。第九条 各类角色的职责是:(一)总体规划的制定与执行:制定数据管理的战略规划和总体目标,由学校信息化领导小组审批。承担部门:网络与信息技术中心以及党政系统职能部门。(二)数据标准和规范的制定与执行:制定学校数据指标体系;制定学校的数据模型;制定和执行学校信息系统数据标准;制定和执行数据所有权管理规范;制定和执行数据安全规范;制定和执行数据服务管理规范;制定和执行数据质量核查机制。承担部门:网络与信息技术60、中心以及党政系统职能部门。(三)数据实施和运维的范围与执行:进行数据整合、数据分析、数据的采集与运维管理、存储、归档等。承担部门:党政系统职能部门、各院系和直属机构与数据管理相关的有关部门或科室。(四)数据应用范围与执行:数据的日常应用和提供共享、利用服务等;承担部门:学校党政系统职能部门、各院系和直属机构与数据管理相关的有关部门或科室。第三章 数据采集、录入与审核第十条 数据采集应遵循真实、完整、规范、及时的原则。(一)真实:操作人员应准确录入相关数据,不得随意修改、增减。数据还必须得到权威部门的审核。(二)完整:要按照各类应用子系统的有关要求进行数据采集,保证数据齐全,避免数据的缺失。(三61、)规范:数据采集应按照相关标准进行。(四)及时:数据要在规定的时间内采集,确保数据与实际业务同步。第十一条 学校数据管理部门应统一制定数据采集、录入、审核规范,并在进行数据采集、录入、审核时要求各业务职能部门(含各院系)严格按照规范操作,如果各业务职能部门(含各院系)在执行过程中遇到规范未涉及的问题,应及时向学校数据管理部门上报。第十二条 在各类信息系统中,要严格按照规定进行岗位设置和授权,严格按照岗位权限进行操作。严禁在未按规定授权的情况下委托他人以本人的账户和口令进行有关的数据录入和修改。各系统用户应当定期更改自己的口令,确保数据的安全。第四章 数据运维管理第十三条 数据运维管理是指学校各62、职能部门、各院系在业务操作过程中对系统中数据进行修正、补充、更新、删除等的管理。第十四条 学校各职能部门、各院系应指定数据运维的负责人和接口人,在学校数据管理部门的指导和协助下,开展数据运维工作。第十五条 学校各职能部门、各院系应在学校数据管理部门的指导和协助下,结合本部门实际情况,制定数据运维规范,明确数据维护的权限和职责,制定数据维护的规程。凡是进入信息系统中的数据,应严格按照规程进行操作。第十六条 学校数据管理部门应建立运维知识库,建立技术支持支撑平台。数据管理相关部门应及时研究数据运维过程中的问题,定期对系统中发现的各类问题进行分析,将经常出现的问题和解决方法分类汇总后予以发布,及时反63、馈给学校各职能部门、各院系的数据运维接口人员。第十七条 学校数据管理部门建立数据监控中心,实时统计数据分析结果。以业务需求为驱动,建立技术与业务结合互动的数据分析和利用的长效工作机制,提供方便、快捷的分析、统计工具,加强数据监控,不断提高数据质量。第十八条 学校数据管理部门建立数据运行平台,提高运行维护工作的实效。数据在系统运行中不可避免地遇见一些实际问题,需要建立统一的运行维护平台,及时、有效地进行信息的反馈和核查,确保信息系统数据运行和维护工作的有效性。第十九条 学校数据管理部门制定数据在修正、补充、更新、删除时需要记录的审计日志规范,并将其作为信息系统的必须实现的功能。信息系统在记录审计64、日志的同时,应提供方便简捷的方式实现查询审计日志记录功能。审计记录的访问只能是被授权的只读访问,任何人不得修改。第五章 数据存储和归档第二十条 学校数据管理部门负责保管信息系统产生的数据。第二十一条 学校数据管理部门应当配备数据存储、管理、服务和安全等必要的软硬件设施,构建统一的数据管理系统,确保数据的完整性和安全。第二十二条 学校数据管理部门应当按照相关规定建立数据备份制度,制定数据备份恢复方案的容灾系统,对重要数据实行异地备份。第二十三条 学校数据管理部门应针对重大突发事件的特殊需求,建立数据加工、处理的技术储备与保障,为应急工作提供数据和技术支持。第二十四条 学校数据管理部门应当配备专业65、技术人员,设定岗位,履行相关职责。第二十五条 档案馆作为电子数据归档部门,建立数据归档以及归档后的数据查询、交换、复制和维护的管理制度,对电子数据实现有效归档和利用。第六章 数据利用和服务第二十六条 学校数据管理部门应建立相应的数据决策支持系统和分布式信息服务系统,提高数据的集成与应用水平,为学校领导提供决策支持服务,以及为社会提供相应的信息服务。第二十七条 学校数据管理部门应制定数据服务管理和安全规范,明确定义数据服务的用户和提供服务的方式以及相关的安全管理规定。第二十八条 外单位或外部信息系统需要利用或共享信息系统的数据时,需要出具书面申请文件和需求文档,并按照规定经过审批后,由学校数据管66、理部门提供。第二十九条 未经批准,任何单位和个人不得擅自提供信息系统的内部数据。对于不能披露数据的利用和服务,数据管理部门应进一步制定相应办法予以明确。对于违反规定、非法披露、提供数据的单位和个人,应依照相关规定予以处罚。第七章 数据安全管理第三十条 信息系统数据保护是数据安全管理的中心内容,主要指对信息系统用户数据(包括业务数据和系统数据)及安全功能数据的机密性、安全性和可用性的保护。第三十一条 学校对信息系统数据实施统一安全管理策略,具体包括行政管理和技术管理等两方面。行政管理主要包括安全管理机构、制度、人员、责任和监督机制等内容。技术管理贯串信息系统建设、运行和维护的各环节,如开发、试用67、验收和推广各阶段上的安全管理,设备网络特别是保密设备和密钥的安全管理等。第三十二条 学校数据管理部门应根据信息安全等级保护要求对数据建立相关的流程和制定相应的管理制度,信息系统应严格在流程管理和制度管理的约束下实施。第三十三条学校数据管理部门应制定介质管理制度,对存储一般数据介质(特别是移动介质)应加强存放管理,对存储关键数据或敏感数据介质应实施全生命周期管理(包括存放、使用、传输、销毁等)。第八章 奖 惩第三十四条 学校制定相应的奖励制度,对学校改进信息系统安全作出显著贡献的个人或集体进行表彰或奖励。第三十五条 对于违反本办法造成损失的单位或个人,视情节轻重予以相应行政处分。第三十六条 对68、于有危害公共安全、国家安全、泄露国家秘密以及其他违反法律、法规和规章规定行为的,由公安、国家安全、保密以及其他监督管理部门依法处理;构成犯罪的,依法追究刑事责任。第九章 附 则第三十七条 本办法解释权归大学网络与信息技术中心所有。第三十八条 本办法自发布之日起施行。大学通信网络中心信息系统密码管理暂行办法第一章 总 则第一条 为了更好的加强大学通信网络中心信息系统的安全防护,防止网络、主机和系统的非授权访问,确保网络中心各系统不受侵害,促进各类密码统一管理,特制定密码管理办法。第二条 本办法适用于通信网络中心管辖的网络、主机和系统的密码管理。第三条 本办法所指的密码是指各类信息系统所涉及的相关69、账号、密码,包括但不限于:服务器(域名、信息门户、一卡通、邮箱云平台等)账号密码;网站用户(邮箱、信息门户、一卡通)、后台账号等;因工作需要,在政府或第三方机构等网站注册的账号、密码;需加密的文件资料;上述未列出的其他与工作有关的账号密码。第二章 密码的设置第四条 中心各项密码,由直接责任人及部门负责人商议确定,密码可由直接责任人设定,并报部门负责人知晓。第五条 密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应70、是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串。第六条 密码内容设置规则:必须由数字、字符和特殊字符组成;密码长度不能少于8个字符;机密级对象,设置的密码长度不得少于10个字符;设置密码时应尽量避开有规律、易破译的数字或字符组合。第三章 密码的修改第七条 因实际需求,修改(更换)各项密码,须向直接责任人申请,并得到部门负责人同意才允许更改密码。第八条 更换服务器与数据库密码时必须报部门负责人知晓。第九条 服务器和数据库的管理账号密码,由系统管理员和数据库管理员设定并持有,实行定期修改制度,最长有效期不超过90天。第十条 严禁将各项密码告知他人;若因工作需要必须告知,应按程序请示上级71、领导,经上级领导批示后方可告知相应密码。一旦对方工作完成,直接责任人必须及时更改密码,确保密码安全。第十一条 如发现密码及口令有泄密迹象,管理员要立刻报告主管领导,严查泄露源头,同时更换密码。第十二条 有关密码授权工作人员调离岗位,须履行密码交执程序,及时上交中心各项账户密码。有关部门负责人须指定专人接替并对密码立即修改及用户删除。第十三条 修改的密码需要按照本办法第六条中规定的规则设定且不能与以往的密码重复。第十四条 建议借助密码生成器按照密码设定规则,生成密码。第四章 罚 则第十五条 对违反本管理办法规定的所有行为,通信网络中心有权对违规事实进行取证、备案,并视情节轻重报送上级主管部门、当事人所在部门或相关部门做出进一步的处理。- 46 -
全部分类
免费下载资料库
10000份+资源包
千万vip文档畅享下载
下载文档文件编辑即用
网站精选百万好案
百万工程地产工作者都在用
微信扫一扫登录
