學校網絡與信息安全工作制度第一章總則第一條為提高學校網絡與信息安全的防護能力和水平，保證學校網絡與信息安全工作順利進行，保障學校各項事業(yè)健康有序發(fā)展，根據(jù)《中華人民共和國網絡安全法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》《計算機信息網絡國際聯(lián)網保密管理規(guī)定》《教育部關于加強教育行業(yè)網絡與信息安全工作的指導意見》等法律法規(guī)和文件精神，結合我校實際，制定本工作制度。第二條學校網絡與信息安全是指為學校信息化提供應用及服務的軟硬件系統(tǒng)的運行安全，以及學校網絡上發(fā)布的各類信息內容的安全。第三條本工作制度適用于所有校園網絡用戶，包括校內辦公用戶、學生個人用戶和公共網絡機房等。第二章管理體制和職責第四條學校網絡與信息安全工作小組負責協(xié)調全校網絡與信息安全保障體系建設。各部門、各系（部）負責人為本部門網絡與信息安全工作第一責任人，應指定專人擔任網絡與信息安全員，負責本部門的網絡與信息安全工作。第五條信息網絡中心負責學校網絡與信息系統(tǒng)的日常管理和維護，保障網絡與信息系統(tǒng)的正常運行；保存網絡運行日志，配合調查取證；負責入網部門和個人辦理入網登記手續(xù)，簽署相應的安全責任書。第六條黨政辦公室負責網絡信息內容的安全監(jiān)管，負責校園網絡輿情信息的監(jiān)控和管理，開展網上疏導和正面宣傳，做好對外宣傳工作。第七條后勤保衛(wèi)部負責對網絡違規(guī)行為進行調查、取證、處理，根據(jù)相關證據(jù)及事態(tài)影響或破壞程度，對違規(guī)者按照有關規(guī)定進行處理。第八條堅持“誰主管誰負責，誰主辦誰負責，誰使用誰負責”原則。網絡與信息系統(tǒng)的主辦部門承擔安全監(jiān)管責任，包括內容安全監(jiān)管、技術安全保障和監(jiān)督檢查等職責；網絡與信息系統(tǒng)的使用部門和個人對系統(tǒng)操作與信息內容的安全監(jiān)管承擔直接責任。網絡與信息系統(tǒng)通過外包服務方式進行維護的，主辦部門負責督促外包服務單位做好安全運維工作，網絡與信息系統(tǒng)的安全監(jiān)管責任主體仍為主辦部門。第三章安全秩序第九條校園網絡和信息系統(tǒng)接入互聯(lián)網必須采取防火墻、身份認證、MAC地址綁定、安全審計、病毒防護及入侵檢測等安全技術手段。校內互聯(lián)網接入由信息網絡中心統(tǒng)一管理，包括IP地址、域名及網絡帳號等。第十條學校域名為xxxx,各主辦部門按信息系統(tǒng)名稱的拼音或英文縮寫簡寫設置域名并提出申請，經信息網絡中心批準后使用。任何部門和個人均須落實實名登記網絡帳號信息，并對網絡帳號安全使用負責。第十一條任何部門和個人不得私自與校外單位聯(lián)網，不得私自發(fā)展校外用戶。第十二條校園網絡實行信息系統(tǒng)報批備案制。需要在校園網上開辦信息系統(tǒng)的部門，應到信息網絡中心辦理登記注冊手續(xù)，其中BBS、論壇、聊天室、博客、微博等公眾信息服務系統(tǒng)，以及在微信、QQ等互聯(lián)網社交平臺上開辦公眾服務號，應到黨政辦公室報備批準。未經許可，任何入網部門或個人不得以冠有“xx學?！敝型馕淖謽拥娜魏蚊x開通信息發(fā)布、BBS、論壇、聊天室、博客、微博、微信等公眾信息服務系統(tǒng)。第十三條各部門原則上應依托校園網開展信息系統(tǒng)建設。涉及學?；A數(shù)據(jù)、師生員工個人信息或敏感信息的信息系統(tǒng)，不得部署在校外。需要在校外開辦信息系統(tǒng)的部門，應到信息網絡中心辦理備案手續(xù)。部署在校外的網絡和信息系統(tǒng)，安全監(jiān)管責任主體仍為主辦部門。第十四條經批準建立的公眾信息服務系統(tǒng)應明確專門的管理員和制訂相應管理制度，包括安全保護技術措施、信息發(fā)布審核登記制度、信息監(jiān)視保存清除備份制度、不良信息報告和協(xié)助查處制度、管理人員崗位責任制。第十五條各部門應建立健全信息發(fā)布、信息審查、應急處置機制，指定人員負責審查上網信息和信息系統(tǒng)保密管理，負責涉及學?；虮静块T輿情的處置引導，以及監(jiān)管本部門師生開設的博客、微博、微信等自媒體平臺。第十六條在校園網絡上嚴禁制作、查閱、復制或傳播下列信息：（一）煽動抗拒、破壞憲法和國家法律、行政法規(guī)實施；（二）危害國家安全，泄露國家秘密，顛覆國家政權，破壞國家統(tǒng)一；（三）損害國家榮譽和利益；（四）煽動民族仇恨、民族歧視，破壞民族團結，或者侵害民族風俗習慣；（五）宣揚恐怖主義、邪教、封建迷信，違反國家宗教政策；（六）捏造或者歪曲事實，散布謠言，擾亂社會秩序，破壞社會穩(wěn)定；（七）侮辱他人或者捏造事實誹謗他人;（八）含有淫穢、色情、賭博、暴力、欺詐等內容；（九）含有法律、法規(guī)禁止的其他內容。第十七條在校園網絡上嚴禁下列行為：（一）破壞、盜用、篡改計算機網絡中的信息資源；（二）故意泄露、竊取、篡改個人電子信息，擅自利用網絡收集、使用個人電子信息，出售或者非法向他人提供個人電子信息；（三）違背他人意愿、冒用他人名義發(fā)布信息；（四）攻擊、入侵、破壞計算機網絡、信息系統(tǒng)及設備設施；（五）故意阻塞、中斷校園網絡，惡意占用網絡資源；（六）故意制作、傳播、使用計算機病毒、木馬、惡意軟件等破壞性程序；（七）故意大量發(fā)送垃圾電子郵件、垃圾短信等，干擾正常網絡秩序；（八）盜用他人帳號、盜用他人IP地址；（九）私自轉借、轉讓用戶帳號造成危害；（十）私自開設二級代理和路由接納網絡用戶；（十一）上網信息審查不嚴,造成嚴重后果；（十二）以端口掃描和私搭DHCP服務器等方式，破壞網絡正常運行；（十三）私自將外網串接到校園網絡。（十四）其它違反法律法規(guī)或危害網絡與信息安全的行為。第四章安全防護第十八條各部門作為安全等級保護的責任主體，應當按照國家信息安全等級保護的管理規(guī)范、技術標準確定信息系統(tǒng)的安全保護等級，并報學校有關部門審核。學校按相關規(guī)定選擇具有相關技術資質和安全資質的測評單位，對二級及以上的信息系統(tǒng)進行等級測評。經測評，信息安全狀況未達到安全保護等級要求的，信息系統(tǒng)的主辦部門應制定整改方案并落實到位。第十九條各部門對于新建、改建、擴建的信息系統(tǒng)，應當在規(guī)劃、設計階段同步建設網絡信息安全保障措施。新開發(fā)的信息系統(tǒng)必須經過第三方安全檢測機構出具檢測報告、簽訂《xx學校網絡與信息安全責任書》后方可上線運行。第二十條各部門對于主辦的信息系統(tǒng)，應當采取必要的安全措施，嚴防入侵、篡改、泄露等事件發(fā)生。信息系統(tǒng)的主辦方和運維方要各司其職，各負其責。第二十一條信息網絡中心應建立檢查巡查機制，定期或不定期組織開展信息系統(tǒng)安全演練，查找安全漏洞和隱患；對機房、網絡設備、服務器等設施定期開展安全檢查；更新和升級必要的服務器軟件，及時安裝補丁，包括操作系統(tǒng)、web服務器、應用中間件、數(shù)據(jù)庫等，加強服務器應用的安全性。對上述檢查中發(fā)現(xiàn)安全漏洞和隱患的，信息網絡中心應及時填發(fā)《隱患告知書》，逾期未采取措施和提交處理報告的，應及時填發(fā)《隱患整改通知書》。對于一時難以修復或整改落實的，應當立即采取措施進行隔離，直至修復完成。第二十二條信息網絡中心應建立信息安全值守制度，做到安全事件早發(fā)現(xiàn)、早報告、早控制、早解決。第二十三條信息網絡中心對信息網絡系統(tǒng)每季度至少進行1次安全檢查，填寫檢查臺賬。檢查內容包括：（一）查殺病毒，清除木馬、后門等惡意程序，升級系統(tǒng)補??；（二）檢查網頁和重要數(shù)據(jù)的備份情況；（三）檢查網頁內容，及時清除無關網頁和暗鏈；（四）定期更改口令，清理不必要的管理帳號；杜絕空口令、弱口令和默認口令；（五）檢查SQL注入和跨站腳本等安全漏洞；（六）檢查服務器安全策略，關閉不必要的端口和服務；（七）檢查系統(tǒng)日志留存情況，留存相關日志不少于六個月。第二十四條各部門對于主辦的重點信息系統(tǒng)，應當采取措施重點防護，保障系統(tǒng)和重要數(shù)據(jù)的安全。每月至少進行1次安全檢查，填寫檢查臺賬。重點信息系統(tǒng)包括：（一）學校WWW門戶網站；（二）學校重要辦公網站和辦公信息系統(tǒng)；（三）統(tǒng)一身份認證、校園卡等校級重要公共服務平臺；（四）教學、科研、人事、財務、設備、房產等學校重要業(yè)務信息系統(tǒng)及相關重要數(shù)據(jù)庫。第二十五條建立網絡安全監(jiān)測預警和信息通報制度。信息網絡中心負責信息收集、分析和通報工作，按照規(guī)定向全校統(tǒng)一發(fā)布網絡安全監(jiān)測預警信息。各部門應做好網絡與信息安全事件的風險評估和隱患排查工作，制訂完善相關應急預案，及時采取有效措施，避免和減少網絡與信息安全事件的發(fā)生及其危害。第二十六條建立健全學校網絡與信息安全類突發(fā)公共事件應急工作機制提高應對網絡與信息安全類突發(fā)公共事件的能力，預防和減少由此造成的損失和危害，維護學校的安全和穩(wěn)定。第五章責任追究第二十七條對于違反本辦法第十六條、第十七條規(guī)定的，將依法依規(guī)提請學校信息與網絡中心工作小組認定，并停止其校園網絡的使用。需給予處分的，按學校相關文件規(guī)定執(zhí)行。第二十八條對于私自占用網絡資源，破壞網絡和信息系統(tǒng)，違反網絡用戶行為規(guī)范的行為，由信息網絡中心根據(jù)事件的涉及范圍、嚴重程度與校內有關部門進行查處，并根據(jù)國家和學校相關規(guī)定作出處理決定。第