第一章总则
第一条为规范华南师范大学校园网络与信息系统的安全管理,提高网络与信息安全防护能力和水平,保障学校各项事业健康有序发展,根据《中华人民共和国计算机信息系统安全保护条例》《教育部关于加强教育行业网络与信息安全工作的指导意见》和上级部门关于网络意识形态安全等文件精神,结合学校实际,制定本办法。
第二条本办法所指的学校网络与信息安全,包括校园计算机网络(以下简称校园网)、信息系统(含各类网站、论坛,下同)、新媒体平台公众服务号的运行安全和信息内容的安全。
第三条网络与信息安全管理包括计算机及其相关配套设备设施的安全管理、网络运行环境的安全管理、信息系统运行环境的安全管理,网络与信息系统故障或遭受攻击后的安全事件分级、应急处置;网络安全人员的管理、培训、工作制度等内容。
第四条网络与信息安全管理应遵循以下原则:
(一)提升意识、预防为主原则。提高校内师生对网络安全和信息化是“一体之两翼、驱动之双轮”的认识,领导重视,全员参与网络与信息安全工作,重点做好事前和事中的管理制度、操作流程和技术措施等预防工作。
(二)统一规划、同步建设原则。学校应逐步建立与完善校
内网络与信息安全的技术体系框架,提供可提升全局安全防护能力的平台、技术措施与相关设备。校内各单位应主动融入校园网络与信息安全防护体系,采取统一的技术手段,提高学校校园网络与信息安全整体防护能力。
(三)明确责任原则。校内单位内部网络、信息系统及各类网站原则上实行“谁主管谁负责、谁运维谁负责、谁使用谁负责”。校园网、校级信息化公共服务平台、跨部门信息系统、新媒体平台内容安全由学校信息化建设管理办公室、网络中心、党委宣传部等部门负责,信息系统和网站安全由建设管理单位负责,二级单位内部网络由建设及使用单位负责。
(四)适度安全原则。适度安全是指与网络及信息系统安全等级相适应的安全防护要求。任何网络及信息系统都没有绝对的安全,实事求是地确定适当的安全措施,是本管理方法具有可行性、可操作性的前提。
第二章机构及职责
第五条华南师范大学网络安全与信息化建设领导小组是学校网络与信息安全的领导机构,负责统筹指导和监督学校网络与信息安全工作,讨论决定网络与信息安全重大事项。
第六条信息化建设管理办公室是学校网络与信息安全管理执行机构,负责设计编制网络与信息安全管理标准、建设规划和经费预算,负责协调推进全校网络与信息安全保障体系建设。
第七条网络中心是学校网络与信息安全的技术实施与支撑部门,负责校级网络与信息安全技术体系建设,负责校园网、私有云和各类服务平台的日常安全管理和维护,为校内提供校级统一的安全防护措施、设备和技术手段,负责安全技术培训工作,负责入网单位和个人上网行为管理,保存网络运行日志,实施网络与信息安全事件的技术调查取证。
第八条党委宣传部负责抓总网络信息内容的监管,负责抓总校园网络和新媒体平台公众服务号内容舆情信息的监控和管理,开展网上疏导和正面宣传,做好对外宣传工作。
第九条保卫处负责统筹校园安全稳定工作,联系上级安全管理部门,及时反馈安全相关信息,配合网络中心对网络与信息安全事件进行调查、取证和处理。
第十条校内二级单位必须成立本单位的网络与信息安全工作小组,其主要负责人为第一责任人,指定明确的安全技术管理人员,且必须由在职工作人员管理维护和应急处置,管理人员工作调动时要做好对接。
第三章事前预防
第十一条校园网用户、单位内部网络、信息系统接入互联网必须采取防火墙、身份认证、安全检测、病毒防护及入侵检测等安全技术手段。校园网接入由网络中心统一管理,包括IP地址、域名及网络账号等。校园网接入用户管理办法按照《华南师范大学校园网接入及使用管理办法》执行。
第十二条信息系统实行登记备案制度,信息系统建设单位须签署安全责任书。信息系统登记备案的信息包括但不限于信息系统名称、主办/主管单位、责任人、技术管理员、服务器放置地、数据库类型、开发商、域名、IP地址、开放端口、运行有效期等。服务器放置在校内、使用学校教育与科研计算机网网段IP地址的信息系统必须使用学校域名后缀(scnu.edu.cn),不使用学校域名后缀的信息系统必须在公安机关进行登记备案。
第十三条信息系统校外开放实行白名单制度。完成登记备案、具有校外互联网访问实际需求,并通过安全检测的信息系统才能对校外开放。无校外开放必要,或达不到安全标准的,一律不得对校外开放服务。
第十四条信息化公共基础服务、跨部门信息系统、业务部门管理信息系统等面向师生公开服务的信息系统原则上应尽量使用信息化公共云平台等学校统一的软硬件平台。因技术原因(如外置加密设备)确需存放在单位自建服务器上的,应把服务器托管到网络中心,提高信息系统运行环境的安全防护能力。原则上涉及学校基础数据、师生员工个人信息或敏感信息的信息系统,不得部署在校外。
第十五条财务管理系统、校园一卡通管理系统等涉及校内资金管理流通的信息系统应搭建专用的软硬件平台和专用传输网络,实现与校园网的物理隔离,确保系统运行环境安全。
第十六条校内单位新建的宣传类、门户类的网站原则上尽量使用由网络中心统一开发的网站群系统,减少网站安全漏洞,提升网站安全防护能力,确保网站风格统一。
第十七条校内单位在博客、微博、微信公众号(或订阅号)等新媒体平台开设公众服务号,应到党委宣传部进行备案申请,得到批准后方可开通。未经许可,任何单位或个人不得以冠有“华南师范大学”“华南师大”“华师”“SCNU”等中外文字样的任何名义开通新媒体公众服务。
第十八条信息系统建设必须把系统安全作为重要指标。新建设的校级信息平台(包括学校信息化基础服务平台、公共服务平台、办公平台和业务系统)必须通过第三方安全评测机构/企业安全检测和专家论证后方可上线运行。二级单位网站或部门内部使用的信息系统必须通过网络中心安全检测后方可上线运行。
第四章事中管控
第十九条任何单位和个人不得利用校园网散布病毒。未经学校批准,不得通过校内网站从事经营性活动。
第二十条信息系统发布信息必须严格遵守国家有关法律法规,不得发布违反国家法律、扰乱社会稳定、影响学校声誉和违反学校相关规定的信息。
第二十一条信息系统发布信息实行信息审核制度,除经信息化建设管理办公室审批同意的信息系统外,不允许开设交互
类、论坛类栏目。确因教学、科研等工作需要开设论坛的,必须接入学校统一身份认证平台实行实名制,并原则上仅限用于校园内部合作交流。信息系统责任人负责组织、监督本单位信息系统网页制作,负责网页发布的内容审核、备案及保密工作,负责监督信息系统网页所有信息的更新、修改、删除及网站的维护,确保网页内容的正确性,保证系统安全运行。
第二十二条托管在网络中心或放置在本单位提供互联网信息服务的服务器,应配备有专业计算机技术人员进行维护和安全管理,做好开启日志、防病毒、防黑客攻击的措施。
第二十三条信息系统责任人和技术管理人员要加强自己所使用的电脑终端的安全防范,及时安装防病毒软件和防火墙,不要浏览不明来历的网站和非法网站,以免电脑被植入木马继而影响网站的安全。有条件的单位,应为信息系统责任人和技术管理人员配备专用的电脑终端。
第二十四条加强信息系统的账号管理和权限管理。严格规范系统管理员账号和特权账号的密码设定规则,避免使用过于简单的密码,并做到定期更换。管理员账号和特权账号不得交予他人登录系统。信息系统账号授权应采取最小化授权原则,不得授予超出工作内容范围的信息系统管理与操作权限。
第二十五条各单位应加强本单位信息系统、各类网站和新媒体平台公众服务号的运行维护和安全监控工作,做好涉及学校或本单位舆情的引导工作。发现重大隐患、黑客侵入痕迹等安全
风险应立即向学校网络与信息安全管理机构报告,并在学校网络与信息安全管理机构的指导下妥善处理。
第二十六条加强电子邮箱的注册和使用管理。学校域名的电子邮箱实行实名制管理。校内单位不得使用校外注册的个人邮箱用于收发公文或重要敏感信息,各单位和师生个人要认真鉴别收到邮件的真伪,不得向私人邮箱发送重要、敏感或隐私信息。
第二十七条网络中心不定期利用扫描设备或委托第三方安全评测机构对校内信息系统、网站安全性进行扫描检测,发现安全隐患较为严重的信息系统,对其建设管理单位提供安全检测报告和整改要求。接到报告后,建设管理单位须立即组织人员进行整改、修复和加固,不能达到整改要求的,网络中心可暂停其运行。
第二十八条对于已经废弃不用的信息系统、单位网站和新媒体平台公众服务号,管理建设单位应该及时关停,并上报学校网络与信息安全管理机构备案。
第二十九条各单位信息安全技术管理人员有义务参加公安机关、上级单位和网络中心组织的安全技术培训和考核。多次不参加培训且管理的信息系统安全性较差的单位,学校将予以通报,情节严重的,暂停该单位管理建设的信息系统运行。
第五章事后处置
第三十条学校网络与信息安全管理机构和各二级单位要
根据负责管理的校园网和信息系统实际情况,事先制定突发安全事件的应急处置方案和操作规程,并定期演练。当发生网络与信息安全事件时,各单位按相应的应急处置预案,立即采取措施控制事态,同时立即向上级安全管理部门报告。
第三十一条网络与信息安全事件的分类:网络与信息安全事件主要分为有害程序、网络攻击、信息破坏、信息内容安全和灾害性事件等。
(一)有害程序事件:计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合攻击程序、网页内嵌恶意代码和其他有害程序事件等。
(二)网络攻击事件:拒绝服务攻击(DOS)、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、通过Syn flood和ARP欺骗等进行网络干扰和网络攻击事件等。
(三)信息破坏事件:在恶意非授权情形下篡改网络配置、系统配置和安全配置信息;伪造用户或管理员身份破坏系统数据;非法泄露内部信息化系统的数据;利用侦听、密码猜测等非正常手段获取数据;因保管不当或恶意攻击造成的数据丢失和其他信息破坏事件。
(四)信息内容安全事件:是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容,违反宪法和法律、行政法规的信息安全事件。包括针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的信息内容安全事件;
组织暴力、串连、煽动集会游行的信息安全事件及其他信息内容安全事件;黑入学校官方或重要网站张贴散布网络政治标语或不健康信息内容。
(五)灾害性事件:由水灾、火灾、台风、地震、雷击等自然灾害和因施工或其他突发事件引发的大规模或局部网络瘫痪、数据破坏或丢失等。
第三十二条网络与信息安全事件的分级:网络与信息安全事件分为四级:Ⅰ级(特别重大的网络与信息安全事件)、Ⅱ级(重大网络与信息安全事件)、Ⅲ级(较大网络与信息安全事件)、Ⅳ级(一般网络与信息安全事件)。
(一)I级:能够导致特别严重影响或破坏的网络与信息安全事件,包括会使特别重要的信息系统遭受特别严重的系统损失,产生特别重大的工作和社会影响。主要包括灾害性事件和导致特别严重影响的信息内容安全事件。
(二)Ⅱ级:能够导致严重影响或破坏的网络与信息安全事件,包括会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失,或使学校和师生员工造成重大经济或工作损失,产生的重大的工作和社会影响。主要包括导致严重影响的信息内容安全事件、信息破坏事件和网络攻击事件。
(三)Ⅲ级:指能够导致较严重影响或破坏的网络与信息安全事件,包括会使特别重要信息系统遭受较大的系统损失、或使
重要信息系统遭受严重的系统损失、一般信息系统遭受特别严重的系统损失,或使学校和师生员工造成较大经济或工作损失,产生较大的工作和社会影响。主要包括导致较严重影响或破坏的信息破坏事件、网络攻击事件和有害程序事件。
(四)Ⅳ级:不满足以上条件的网络与信息安全事件,包括会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失,或使学校和师生员工造成较小经济或工作损失,产生一般的工作和社会影响。主要包括影响或破坏程度较轻的网络攻击事件和有害程序事件。
第三十三条对Ⅳ级网络与信息安全事件,由信息系统建设管理单位负责应急处置,并根据事件类型将有关情况向学校网络与信息安全管理机构报告,必要时可请求协助。对有可能演变为Ⅲ级、Ⅱ级、Ⅰ级的网络与信息安全事件,由学校网络与信息安全管理机构调配应急资源,协助建设管理单位进行处置。发生Ⅱ级、I级的网络与信息安全事件,立即采取紧急措施挽救损失、删除和切断不法信息内容传播途径,知情后15分钟以内向学校网络安全与信息化建设领导小组汇报,并请示处置方案。
第三十四条将信息收集、记录和分析贯穿于事件应急处置全过程。当接到校园网络与信息安全事件报警后,信息系统建设管理单位要协助学校网络与信息安全管理机构尽可能全面、准确地收集与事件相关信息,如采取现场快照、截图或设备日志快照等方式,并详细记录事件细节信息,了解事件造成的损失和影响。
第三十五条重要或特殊时期,根据上级部署和学校要求,学校对校园网络、信息服务和信息系统采取加强性应急保护措施,对校园网络通信及信息系统进行不间断监控。
第三十六条信息系统建设管理单位要积极配合学校网络与信息安全管理机构对安全事件的起因、性质、影响、责任、经验教训和恢复重建等问题进行调查评估,根据暴露的问题和调查评估的结果,对系统应急预案进行相应的修改和维护。
第六章附则
第三十七条对于违反本办法造成损失的,视情节轻重报有关部门处理。
第三十八条对于危害公共安全、国家安全、泄露国家秘密以及其他违反法律、法规的行为,由司法、公安部门依法处理,构成犯罪的,报有关司法部门依法追究刑事责任。
第三十九条本办法自发布之日起施行。2014年11月18日学校发布的《华南师范大学信息系统安全管理办法》(华师〔2014〕156号)同时废止。
第四十条本办法由学校信息化建设管理办公室负责解释。