政策制度

当前位置: 政策制度>

兰州科技职业学院网络安全管理制度

作者:信息技术教育中心 时间:2025-09-09 17:16:41 点击:6959

为了加强和规范兰州科技职业学院网络系统安全工作,提高单位网络系统整体安全防护水平,实现网络安全的可控、能控、在控,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《网络安全等级保护条例》、《教育系统网络安全管理办法》等法律法规,以及网络安全等级保护2.0标准要求,结合我校实际情况,制定本制度。

第一章 总则

第一条 本制度旨为网络系统的安全管理工作提供参照,以实现单位统一的安全策略管理,提高整体的网络安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。

第二条 适用于使用校园网从事教学、科研、管理的单位和个人。凡是使用校园网络资源的单位和个人必须按本制度执行。

第三条 坚持“安全第一、预防为主,管理和技术并重,综合防范”的总体方针,执行网络系统安全等级保护制度,实现网络系统安全可控、能控、在控,并按照“谁主管、谁负责;谁运维、谁负责;谁使用、谁负责”的原则,建立健全网络安全责任体系。

第二章 组织架构

第四条 我校信息技术教育中心为学校网络安全的领导和管理机构,负责制定网络安全相关规章制度、策略与规划。

第五条 信息技术教育中心是我校网络安全主管部门,负责:

(一)落实上级互联网管理、公安及教育信息化主管部门的要求与决定,开展网络安全日常技术工作;
    (二)保障校园网络主干服务设施的安全稳定运行;
    (三)定期组织开展面向校园网用户的网络安全教育;
    (四)按有关规定对校内公开性、共享性网络信息服务进行审批、审查、备案和监测;
    (五)及时有效处置各类网络安全突发事件。

第六条 信息技术教育中心承担学校网络安全的统筹工作及行政管理职能。

第三章 网络与安全设备策略

第七条 网络基础管理

网络地址须统一规划、分配与管理,由网络管理人员维护IP地址,校内用户通过统一身份认证获取动态地址。新设备入网或可能中断主干网络的操作,须经信息技术教育中心审批,并优先安排于非工作时间实施。

第八条 安全运行规范

网络及安全设备的配置应遵循最小化原则,所有不必要的服务都应当关闭。发现危害网络的行为时,可立即限制相应用户权限直至问题解决。每年至少开展一次网络漏洞扫描,并及时修补发现的安全隐患。

第九条 访问控制策略

防火墙应按照业务需求谨慎开放策略,在不影响正常的业务数据通行的基础上,最小化开启必需的端口。不同安全等级网络区域间须通过防火墙、路由器等实现逻辑隔离,严格限制低安全区域访问高安全区域,经审批通过后才能够开通。

第十条 系统安全配置

网络与安全设备应关闭非必要服务,管理员账号口令长度不少于12位且含三种以上字符组合,普通账号不少于8位且含两种以上字符。定期对设备配置及日志进行离线备份,保留时间不低于6个月。

第四章 校园网安全管理

第十一条 实行实名登记准入制度,所有校内用户及临时用户须经实名登记并获得授权后方可使用校园网。

第十二条 外部人员来访时,如有需要访问公用互联网,必须由管理人员同意,一般情况下,本校内部网络不对外开放,访问规则应遵循“未经明确允许,则一律禁止”。

第十三条 禁止利用校园网制作、查阅、复制和传播违法违规及不良信息,信息提供者须对信息的真实性、准确性和安全性负责。

第十四条 严禁非法获取、复制、传播、发布或篡改非授权业务信息及他人隐私。

第十五条 涉密或存有重要敏感数据的设备原则上不得接入公共网络。业务信息与数据须按规范进行定期备份和妥善保管。

第十六条 禁止使用和传播可能携带病毒或木马的软件和文件,外来存储介质使用前须进行恶意代码查杀。

第五章 网络监控与应急处置

第十七条 监控与巡检

网络管理人员应负责实施或组织实施系统日常运行状态监控、维护并处理运行异常,进行日常网络及安全设备巡检并记录结果,且监控行为不得影响业务系统正常性能与运行。

第十八条 设备维护服务

网络设备须定期维护,重要网络及安全设备应采购售后维保,并确保及时续保,保障服务连续性。外部人员对服务器、网络设备、应用系统等信息应遵守保密义务,必要时,需签署《保密承诺书》及《保密协议》。

第十九条 补丁与变更管理

部署网络与安全设备补丁前,须综合评估紧急程度、运行环境和风险,经严格测试并备份后方可实施。

第二十条 安全监测与预警

信息技术教育中心负责定期对信息系统、网络及相关设备开展网络安全检测,并根据检测结果依程序启动学院网络安全事件处置流程或发布安全预警。

第二十一条 事件应急处置

网络安全事件应按照学院预案进行分级与分类处置,相关单位及人员须积极配合落实处置措施。为控制事态影响,信息技术教育中心有权采取断网、停止服务等必要的应急操作。

第六章 附则

第二十二条 本制度由信息技术教育中心负责解释。

第二十三条 本制度由发布之日起施行。