高校網(wǎng)絡(luò)信息安全管理規(guī)范一、總則（一）目的與依據(jù)為規(guī)范和加強(qiáng)高等學(xué)校（以下簡(jiǎn)稱“高?！保┚W(wǎng)絡(luò)信息安全管理，保障校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)及數(shù)據(jù)資產(chǎn)的安全穩(wěn)定運(yùn)行，維護(hù)正常的教學(xué)、科研、管理和服務(wù)秩序，防范化解網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)，保護(hù)師生員工合法權(quán)益，依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)及國(guó)家有關(guān)政策要求，結(jié)合高校實(shí)際，制定本規(guī)范。（二）適用范圍本規(guī)范適用于高校內(nèi)所有與網(wǎng)絡(luò)信息安全相關(guān)的活動(dòng)、單位和個(gè)人。包括但不限于學(xué)校各級(jí)行政部門、教學(xué)單位、科研機(jī)構(gòu)、直屬附屬單位，以及所有使用校園網(wǎng)絡(luò)資源、管理或參與建設(shè)學(xué)校信息系統(tǒng)、處理學(xué)校數(shù)據(jù)資產(chǎn)的師生員工、離退休人員、訪問學(xué)者、進(jìn)修人員、合同制人員及其他相關(guān)第三方人員。（三）基本原則高校網(wǎng)絡(luò)信息安全管理遵循以下原則：1.預(yù)防為主，防治結(jié)合：將安全防護(hù)置于首位，健全制度，完善措施，加強(qiáng)監(jiān)測(cè)預(yù)警，及時(shí)發(fā)現(xiàn)并處置安全隱患。2.分級(jí)負(fù)責(zé)，協(xié)同聯(lián)動(dòng)：明確各級(jí)組織和人員的安全職責(zé)，形成校、院（部）、個(gè)人三級(jí)聯(lián)動(dòng)，齊抓共管的工作格局。3.技術(shù)與管理并重：積極采用先進(jìn)的安全技術(shù)，同時(shí)強(qiáng)化管理制度建設(shè)和執(zhí)行，構(gòu)建技術(shù)防御與管理規(guī)范相結(jié)合的安全保障體系。4.保障發(fā)展，促進(jìn)應(yīng)用：在保障安全的前提下，支持和促進(jìn)信息技術(shù)在教學(xué)、科研和管理中的深度應(yīng)用，實(shí)現(xiàn)安全與發(fā)展的良性互動(dòng)。二、組織機(jī)構(gòu)與職責(zé)（一）學(xué)校層面高校應(yīng)成立網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組，由學(xué)校主要領(lǐng)導(dǎo)擔(dān)任組長(zhǎng)，統(tǒng)籌協(xié)調(diào)全校網(wǎng)絡(luò)信息安全工作。領(lǐng)導(dǎo)小組下設(shè)辦公室，通常掛靠在負(fù)責(zé)信息化工作的部門（如網(wǎng)絡(luò)中心、信息中心等），承擔(dān)日常協(xié)調(diào)、督促檢查等工作。（二）責(zé)任部門負(fù)責(zé)信息化工作的部門是學(xué)校網(wǎng)絡(luò)信息安全的牽頭管理部門，具體負(fù)責(zé)網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、信息系統(tǒng)安全技術(shù)保障、安全策略制定與實(shí)施、安全事件應(yīng)急協(xié)調(diào)等。其他職能部門、院（部）等二級(jí)單位是本單位網(wǎng)絡(luò)信息安全的責(zé)任主體，其主要負(fù)責(zé)人為本單位網(wǎng)絡(luò)信息安全第一責(zé)任人。（三）技術(shù)支撐與執(zhí)行高校應(yīng)設(shè)立或明確網(wǎng)絡(luò)信息安全技術(shù)支撐團(tuán)隊(duì)，負(fù)責(zé)安全技術(shù)研究、安全產(chǎn)品運(yùn)維、漏洞掃描、滲透測(cè)試、安全事件監(jiān)測(cè)與分析等技術(shù)保障工作。各單位應(yīng)指定專人負(fù)責(zé)本單位的網(wǎng)絡(luò)信息安全日常工作。三、網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全管理（一）網(wǎng)絡(luò)規(guī)劃與建設(shè)校園網(wǎng)絡(luò)的規(guī)劃與建設(shè)應(yīng)遵循安全可控的原則，進(jìn)行科學(xué)的拓?fù)湓O(shè)計(jì)，合理劃分網(wǎng)絡(luò)區(qū)域，確保網(wǎng)絡(luò)結(jié)構(gòu)清晰、邊界明確。網(wǎng)絡(luò)建設(shè)項(xiàng)目應(yīng)將安全措施同步規(guī)劃、同步建設(shè)、同步投入使用。（二）網(wǎng)絡(luò)設(shè)備安全網(wǎng)絡(luò)設(shè)備（包括路由器、交換機(jī)、防火墻、負(fù)載均衡器等）應(yīng)進(jìn)行安全加固，修改默認(rèn)口令，關(guān)閉不必要的服務(wù)和端口。設(shè)備配置應(yīng)定期備份，并建立嚴(yán)格的變更管理流程。關(guān)鍵網(wǎng)絡(luò)設(shè)備應(yīng)具備冗余備份能力。（三）接入與訪問控制嚴(yán)格規(guī)范網(wǎng)絡(luò)接入行為，校園網(wǎng)絡(luò)接入應(yīng)進(jìn)行認(rèn)證和授權(quán)。根據(jù)不同用戶角色和需求，實(shí)施差異化的訪問控制策略。禁止私自更改網(wǎng)絡(luò)配置、私自接入未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備。（四）網(wǎng)絡(luò)邊界防護(hù)加強(qiáng)校園網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）邊界的安全防護(hù)，部署必要的安全設(shè)備，如防火墻、入侵檢測(cè)/防御系統(tǒng)、防病毒網(wǎng)關(guān)等，對(duì)進(jìn)出流量進(jìn)行監(jiān)控和過濾，防范惡意攻擊和非法訪問。四、信息系統(tǒng)安全管理（一）系統(tǒng)建設(shè)與開發(fā)安全信息系統(tǒng)在開發(fā)、測(cè)試、部署過程中應(yīng)遵循安全開發(fā)生命周期（SDL）原則。優(yōu)先選用安全可控的軟硬件產(chǎn)品，對(duì)自行開發(fā)的系統(tǒng)進(jìn)行代碼審計(jì)和安全測(cè)試，消除安全隱患。（二）系統(tǒng)運(yùn)行與維護(hù)安全建立健全信息系統(tǒng)運(yùn)行維護(hù)制度，包括日常巡檢、日志審計(jì)、補(bǔ)丁管理、賬號(hào)管理等。重要信息系統(tǒng)應(yīng)部署在安全區(qū)域，采用必要的安全防護(hù)措施，如主機(jī)入侵檢測(cè)系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)等。（三）身份認(rèn)證與授權(quán)信息系統(tǒng)應(yīng)采用強(qiáng)身份認(rèn)證機(jī)制，如多因素認(rèn)證。嚴(yán)格執(zhí)行賬號(hào)權(quán)限最小化原則，定期對(duì)賬號(hào)和權(quán)限進(jìn)行清理和審計(jì)。關(guān)鍵操作應(yīng)進(jìn)行日志記錄和追溯。（四）應(yīng)用安全防護(hù)加強(qiáng)Web應(yīng)用等信息系統(tǒng)的安全防護(hù)，定期進(jìn)行漏洞掃描和滲透測(cè)試，及時(shí)修復(fù)已知漏洞。采取措施防范SQL注入、跨站腳本（XSS）、跨站請(qǐng)求偽造（CSRF）等常見Web攻擊。五、數(shù)據(jù)安全管理（一）數(shù)據(jù)分類分級(jí)根據(jù)數(shù)據(jù)的敏感程度、重要性和影響范圍，對(duì)校園數(shù)據(jù)進(jìn)行分類分級(jí)管理。明確不同級(jí)別數(shù)據(jù)的安全保護(hù)要求和管理責(zé)任。（二）數(shù)據(jù)全生命周期安全覆蓋數(shù)據(jù)的產(chǎn)生、采集、傳輸、存儲(chǔ)、使用、共享、銷毀等全生命周期，采取相應(yīng)的安全保護(hù)措施。特別加強(qiáng)對(duì)敏感數(shù)據(jù)和個(gè)人信息的保護(hù)，遵循最小必要原則。（三）數(shù)據(jù)備份與恢復(fù)建立重要數(shù)據(jù)的定期備份制度，明確備份的頻率、方式、存儲(chǔ)介質(zhì)和保存期限。對(duì)備份數(shù)據(jù)進(jìn)行定期測(cè)試，確保其完整性和可恢復(fù)性。（四）數(shù)據(jù)共享與出境安全數(shù)據(jù)共享應(yīng)在確保安全的前提下進(jìn)行，簽訂數(shù)據(jù)共享協(xié)議，明確雙方權(quán)利義務(wù)。涉及敏感數(shù)據(jù)或個(gè)人信息出境的，應(yīng)嚴(yán)格遵守國(guó)家相關(guān)法律法規(guī)要求，進(jìn)行安全評(píng)估和審批。六、人員安全管理與意識(shí)培養(yǎng)（一）人員準(zhǔn)入與離崗管理對(duì)接觸敏感信息和關(guān)鍵系統(tǒng)的人員，應(yīng)進(jìn)行背景審查。建立人員離崗離職安全管理流程，及時(shí)收回其訪問權(quán)限，清退相關(guān)資料。（二）安全責(zé)任與保密協(xié)議明確各類人員的網(wǎng)絡(luò)信息安全職責(zé)，關(guān)鍵崗位人員應(yīng)簽訂安全保密協(xié)議，承諾遵守相關(guān)規(guī)定，保守秘密。（三）安全意識(shí)教育與培訓(xùn)將網(wǎng)絡(luò)信息安全意識(shí)教育納入師生員工常規(guī)培訓(xùn)體系，定期開展形式多樣的安全宣傳教育活動(dòng)，提高全員安全防范意識(shí)和技能，使其了解常見的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及應(yīng)對(duì)方法。七、安全事件應(yīng)急響應(yīng)與處置（一）應(yīng)急預(yù)案制定與演練制定完善的網(wǎng)絡(luò)信息安全事件應(yīng)急預(yù)案，明確應(yīng)急組織、響應(yīng)流程、處置措施和保障機(jī)制。定期組織應(yīng)急演練，檢驗(yàn)預(yù)案的科學(xué)性和可操作性，并根據(jù)演練情況進(jìn)行修訂完善。（二）事件監(jiān)測(cè)與報(bào)告建立網(wǎng)絡(luò)信息安全事件監(jiān)測(cè)機(jī)制，及時(shí)發(fā)現(xiàn)和識(shí)別安全事件。發(fā)生安全事件后，應(yīng)按照規(guī)定的程序和時(shí)限向上級(jí)主管部門及相關(guān)機(jī)構(gòu)報(bào)告，并通知受影響的單位和個(gè)人（如需）。（三）事件處置與恢復(fù)按照應(yīng)急預(yù)案迅速開展應(yīng)急處置工作，采取措施控制事態(tài)發(fā)展，降低事件影響。事件處置后，應(yīng)盡快恢復(fù)受影響的系統(tǒng)和數(shù)據(jù)，并進(jìn)行事件原因分析，總結(jié)經(jīng)驗(yàn)教訓(xùn)。八、監(jiān)督與保障（一）日常監(jiān)督與檢查學(xué)校網(wǎng)絡(luò)信息安全管理部門及相關(guān)職能部門應(yīng)定期對(duì)各單位網(wǎng)絡(luò)信息安全工作情況進(jìn)行監(jiān)督檢查，對(duì)發(fā)現(xiàn)的問題及時(shí)提出整改要求，并跟蹤整改落實(shí)情況。（二）安全審計(jì)與評(píng)估定期開展網(wǎng)絡(luò)信息安全審計(jì)和風(fēng)險(xiǎn)評(píng)估工作，對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行全面檢查和分析，發(fā)現(xiàn)潛在風(fēng)險(xiǎn)，提出改進(jìn)建議。（三）經(jīng)費(fèi)與資源保障學(xué)校應(yīng)將網(wǎng)絡(luò)信息安全所需經(jīng)費(fèi)納入年度預(yù)算，保障安全技術(shù)設(shè)施建設(shè)、安全產(chǎn)品采購(gòu)與運(yùn)維、安全培訓(xùn)、應(yīng)急處置等工作的正常開展。（四）考核與獎(jiǎng)懲將網(wǎng)絡(luò)信息安全工作納入各單位和相關(guān)人員的考核評(píng)價(jià)體系。對(duì)在網(wǎng)絡(luò)信息安全工作中做出突出貢獻(xiàn)的單位和個(gè)人給予表彰獎(jiǎng)勵(lì)；對(duì)違反本規(guī)范，造成網(wǎng)絡(luò)信息安全事件或不良后果的，應(yīng)視情節(jié)輕重追究相關(guān)單位和人員的責(zé)任。九、附則（