• 西南大学附属小学网络信息安全管理相关制度

    撰稿:本站编辑 部门:西南大学附属小学 时间:2022-05-10 14:28:13 浏览数:
  • 西南大学附属小学

    网络信息安全管理相关制度

     

     

    目录

    一、总则... 1

    二、网络安全管理人员岗位工作职责... 1

    三、计算机安全管理员责任... 2

    四、计算机机房安全管理制度... 3

    五、信息发布、审核、登记制度... 3

    六、信息监视、保存、清除和备份制度... 3

    七、病毒检测和网络安全漏洞检测制度... 4

    八、网络违法案件报告和协助查处制度... 4

    九、账号使用登记和操作权限管理制度... 5

    十、重要服务器操作权限管理制度... 5

    十一、网络安全教育和培训制度... 6

    十二、校园网络管理制度... 6

    十三、学校新媒体管理制度... 6

    十四、应急处理制度... 7

    十五、网络信息安全考核制度... 8

     

     

    一、总则

    为保障学校网络和信息健康、安全,根据《计算机信息网络国际互联网安全保护管理办法》、《互联网安全保护技术措施规定》、《计算机信息网络国际联网安全保护管理办法》等国家法律、法规,特制定我校网络信息安全管理制度。

     

    二、网络安全管理人员岗位工作职责

    1.领导机构。

    学校负责人兼网络安全管理中心组长:刘才利

    分管领导兼网络安全管理中心副组长:张旺 潘宏

    网络安全管理中心组员:冯永权 张雪松 刘宇

    2.网络安全管理人员岗位工作职责。

    2.1建立我校校园网内健全的网络安全管理组织:

    2.1.1学校校长为计算机网络安全管理工作第一责任人,负责全面领导本单位计算机的防黄、防黑、防不良信息、防毒等网络安全工作;网络安全管理人员直接向单位法人负责;

    2.1.2学校信息发布明确到个人,网络安全管理人员须负责信息发布的信息安全审核;

    2.1.3学校网络安全管理人员要进行网络安全培训,并实行持证上岗制。

    2.2网络安全管理人员岗位日常管理职责:

    2.2.1网络安全管理人员应当保障计算机网络设备和配套的设施的安全,保障信息的安全,运行环境的安全。保障网络系统的正常运行,保障信息系统的安全运行;

    2.2.2网络安全管理人员必须遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》;

    2.2.3网络安全管理人员必须接受并配合国家有关部门对本网依法进行的监督检查;必须接受上级网络中心对其进行的网络系统及信息系统的安全检查;

    2.2.4网络安全管理人员负责网络安全和网上信息安全。如对网络安全和网上信息安全提出技术措施,须经上级网络中心批准后方可实施;

    2.2.5系统管理员每周末对机房的安全情况进行例行检查并记录检查情况;

    2.2.6工作人员要树立安全第一的观念,遵纪守法认真贯彻执行

    《中华人民共和国计算机信息网络国际联网管理暂行规定》  和《计算

    机信息网络国际联网安全保护管理办法》,保护国家机密,净化网络环境;

    2.2.7对用户联网计算机IP地址进行添加、删除等操作应做好记录,任何人不得随意更改IP地址;

    2.3.网络安全管理人员岗位日常维护职责:

    2.3.1每日检查各种设备,确保网络畅通和系统正常运行;

    2.3.2定期备份系统数据,仔细阅读记录文件,不放过任何异常现象;

    2.3.3规划、管理好各用户组,设定适当用户权限;

    2.3.4管理员密码和安全策略属网络中心核心机密,不得泄露;

    2.3.5按照正常开、关机顺序启动或关闭设备,非紧急情况不得直接关闭电源,以保证系统的完整性;

    2.3.6每周对服务器进行查毒、消毒,禁用未经消毒的存储介质;收集重大病毒“疫情”,提前采取措施;

    2.3.7定期维护、保养网络中心交换设备。

    三、计算机安全管理员责任

    1.校园网内学校各办公室、教室及功能室计算机实行使用责任人负责制,各责任人全权负责设备的管理、维护和正常使用。如果遇到不能解决的问题及故障,按照《学校电教设备报修制度》及时报修。

    2.要严格按照计算机操作规程进行操作,不得非法操作。

    3.未经许可,不准外来人员操作计算机,登录校园网。

    4.不准随意将信息中心主控室服务器上的资料复制给他人使用。

    5.对于来历不明的软盘不能上机使用,确属办公需要,必须先杀毒后使用。

    6.不准在计算机上安装带有病毒的软件。

    7.不准在计算机上安装各种游戏软件及播放娱乐性光碟。

    8.不准在单位计算机上浏览不健康的网页。

    9.严禁故意制作、传播计算机病毒等破坏性程序。

    10.不准利用互联网侮辱他人或者捏造事实诽谤他人。

    11.不准非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密。

    12.不准利用互联网进行盗窃、诈骗、敲诈。

    13.不准随意拆卸主机箱,更换鼠标、键盘、音箱、显示器等。

    14.计算机长时间不用时,要关闭计算机,并切断电源。

    四、计算机机房安全管理制度

    1.凡使用校园网设备的人员,必须经过微机操作规则的培训后,方有资格上机使用。

    2.学生上机需在学校统一安排的时间,排队进入微机室,对号入座,不许随意乱动设备,严格遵守课堂纪律。

    3.校园网内上机者必须爱护室内设备和财产,不得违规操作或故意破坏。

    4.校园网内所有上机者必须注意用电安全,不可乱动插头,插座,不得随便搬动键盘、显示器等设备。

    5.校园网内上机者要随时察看机器是否正常,如有问题及时报告指导教师加以解决。

    6.禁止非专业维护人员乱动线路,以保证整个系统的安全。

    7.严禁将室外软盘、光盘、优盘带入机房使用。

    8.严禁吸烟、吐痰和乱扔杂物,保持室内清洁卫生。

    9.校园网内外加装网络防火墙,隔离不良网站及网页,校园内学生上网,是为了获取网上资源。学生浏览因特网要在教师的指导和监督下进行。不准浏览因特网上的不健康网页、游戏和聊天。

    10.凡校园网内学校学生上机者在上机结束后,必须认真填写运行情况报告单,经管理人员检查后方可离开。

    11.凡违规操作造成设备损坏的,必须按原价赔偿;故意损坏室内财产、设备的,除按有关规定处理外,按原价的2倍进行赔偿。

    12.校园网内各种网络联接设备一律登记造册,信息中心备案。如有损坏要及时查明原因,报告学校。属于过失行为造成损失的,要按学校有关制度追究责任。

    13.校外人员非经校领导特别批准,不得进入校信息中心和使用设备

    五、信息发布、审核、登记制度

    学校对外宣传信息发布实行各部门编辑排版信息,提出发布申请,宣传部审核批准,信息中心发布,在信息发布方面必须恪守如下规定:

    1.发布申请应当确保发布信息准确、真实,符合国家有关的各项法律、法规制度;

    2.信息发布部门应当对所发布的信息备案记录,以加强管理;

    3.信息审核小组应在充分理解国家有关的各项法律、法规制度的基础上及时处理申请部门的请求,并将审核意见及时反馈给申请部门;

    4.在审核小组同意的基础上应将信息及时转发给学校信息中心;

    5.信息审核小组应当做好信息请求、处理、转发的备案工作;

    6.信息中心对所收到的经过审核后的信息在确认审核意见后,应及时在公众号发布,并确保发布信息的准确性;

    7.学校信息中心对所发布的信息应当做好备案工作。

    六、信息监视、保存、清除和备份制度

    为保证我校校园网健康、安全,高效的应用和发展,杜绝各类违法、犯罪行为的发生,特制定本制度:

    1.校园网内网络管理员应当对学校的网络使用情况监督、检查,坚决杜绝访问境内外反动、黄色网站,不阅览、传播各类反动、黄色信息;

    2.网络管理员应当保证学校计算机内日志文件及其他重要数据的完整性、真实性,并做好备份工作,配合各类安全检查;

    3.发现本单位计算机存有各类反动及不健康信息,网络管理员应当及时清除,情节较重的应及时上报学校校长室;

    4.网络管理员应定期检查各接入班级、教师计算机内信息状况,对于发现的问题及时处理;

    5.校园网内上网人员应当强化思想意识,自觉遵守网络法规,积极配合网络管理员做好学校计算机网络信息安全工作;

    6.学校网络领导小组在收到网络管理员的报告后应立即向上级主管领导汇报,并组织调查取证工作,配合上级主管部门的调查。

    七、病毒检测和网络安全漏洞检测制度

    为保证我区校园网的正常运行,防止各类病毒、黑客软件对我校联网主机构成的威胁,最大限度地减少此类损失,特制定本制度:

    1.各接入部门计算机内应安装防病毒软件、防黑客软件及垃圾邮件消除软件,并对软件定期升级。

    2.各接入部门计算机内严禁安装病毒软件、黑客软件,严禁攻击其它联网主机,严禁散布黑客软件和病毒。

    3.校信息中心应定期发布病毒信息,检测校园网内病毒和安全漏洞,并采取必要措施加以防治。

    4.校园网内主要服务器加装内外防火墙系统,加强网络安全管理。

    5.校信息中心定期对网络安全和病毒检测进行检查,发现问题及时处理。

    八、网络违法案件报告和协助查处制度

    计算机信息网络互联网上充斥着大量的黑客、病毒、网络陷阱、色情、非法言论等不安全因素和有害信息。为了加强对互联网的安全保护,维护公共秩序和社会稳定,有效地打击利用互联网进行违法犯罪活动,我校应当接受公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过互联网进行的违法犯罪活动。

    为规范我校校园网内网络违法案件报告和协助查处的方式,现制定如下制度:发现以下行为之一的,我校信息领导小组将及时向公安机关计算机安全监察机构进行报告。

    1.我校校园网内使用用户利用国际联网危害国家安全、泄露国家秘密,侵犯国家、社会、集体利益和公民合法权益从事违法犯罪活动的。

    2.我校校园网内使用用户利用国际联网制作、复制、查阅和传播下列信息:

    (1) 破坏宪法和法律、行政法规实施的;

    (2) 煽动颠覆国家政权,推翻社会主义制度的;

    (3) 煽动分裂国家,破坏国家统一的;

    (4) 煽动民族仇恨、民族歧视,破坏民族团结的;

    (5) 捏造或者歪曲事实,散布谣言,扰乱社会秩序;

    (6) 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的;

    (7) 公然侮辱他人或者捏造事实诽谤他人的;

    (8) 损害国家机关信誉的;

    (9) 其他违反宪法和法律、行政法规的。

    3.校园网使用用户从事下列危害计算机信息网络安全的活动:

    (1) 未经允许,进入计算机信息网络或者使用计算机信息网络资源的;

    (2) 未经允许,对计算机信息网络功能进行删除、修改或者增加的;

    (3) 未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;

    (4) 故意制作、传播计算机病毒等破坏性程序的;

    (5) 其他危害计算机信息网络安全的。

    4.校园网使用用户违反法律规定,利用国际互联网侵犯用户的通信自由和通信秘密等等。

    九、账号使用登记和操作权限管理制度

    为了保护我校校园网络系统的安全、促进计算机网络的应用和发展、保证校园网络的正常运行和网络用户的使用权益,现制定本帐号使用登记和操作权限管理制度。

    1.校园网络计算机入网申请制度

    1.1凡校园网内学校各部门的计算机,因工作需要,均可申请计算机入网;

    1.2申请入网的计算机需指定负责人,报经学校批准,开通网路;

    2.校园网络用户申请制度

    2.1学校全体教职工,均可免费申请为校园网络用户;

    2.2申请校园网络用户的人员要认真填写账户申请表,并保证其资料的真实性;

    2.3入网用户名使用个人姓名实名制的规则,若有重名现象,由学校网络领导小组负责另行设定用户名;

    3.校园网学校IP地址管理制度

    3.1学校网络用户的IP地址,由网络领导小组负责统一管理和分配;

    3.2未经申请批准入网的计算机,不得私自占用其它计算机的    IP地址或私自乱设IP地址,不得私自连接其它入网计算机。网络中心有权切断乱设的IP地址入网,以保证校园网络的正常运行。

    4.网络账户和操作权限管理制度

    4.1校园网内各主要网络设备、计算机服务器系统由学校统一管理,除学校网络管理工作人员以外,其他任何人不得擅自操作网络设备,修改网络设置。

    4.2校园网内各主要网络设备、计算机服务器系统应当正确分配权限,并加口令予以保护,口令应定期修改,任何非系统管理员严禁使用、猜测各类管理员口令。

    4.3 对于网络系统应做好备份工作,确保在系统发生故障时能及时恢复。

    4.4对于网络系统的设置、修改应当做好登记、备案工作。

    4.5网络账户申请通过后将根据其日常工作要求设定固定的权限,严禁具有网络授权的管理人员私自提高个别用户的权限;

    4.6具有对网络内容进行添加、删除、修改等权限的用户需保护好自己的账户和密码,不得随意出借账户给其他用户。

     

    十、重要服务器操作权限管理制度

    1.校园网内的主要网络设备、重要服务器系统由网络管理中心统一管理,除网络中心工作人员以外,其他任何人不得擅自操作网络设备,修改网络设置。

    2.校园网内的主要网络设备、重要服务器系统应当正确分配权限,并加口令予以保护,口令应定期修改,任何非管理员严禁使用、猜测各类管理员口令。

    3.网络帐户申请通过后将根据其日常工作要求设定固定的权限,严禁具有网络管理权的管理人员私自提高个别用户的权限。

    4.管理员密码和安全策略属网络中心核心机密,不得泄露。

    十一、网络安全教育和培训制度

    1.定期组织管理员认真学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息审核管理制度》,提高工作人员的维护网络安全的警惕性和自觉性。

    2.定期对本校网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。

    3.对本校网络用户进行安全教育和培训,杜绝发布违犯《计算机信息网络国际互联网安全保护管理办法》的信息内容。

    4.不定期地进行信息安全方面的培训,加强对有害信息,特别是影射性有害信息的识别能力,提高防犯能力。

    5.定期对学生进行网络安全教育,强化网络安全意识,增强守法观念

    十二、校园网络管理制度

    为了保护我校校园网络系统的安全、促进学校计算机网络的应用和发展、保证校园网络的正常运行和网络用户的使用权益,制定本安全管理制度。

    1.本管理制度所称的校园网络系统,是指由校园网内学校投资购买、由网络与信息中心负责维护和管理的校园网络主、辅节点设备、配套的网络线缆设施及网络服务器、工作站所构成的、为校园网络应用及服务的硬件、软件的集成系统。

    2.校园网系统的安全运行和系统设备管理维护工作由网络中心负责,未经上级主管部门领导同意、不得擅自安装、拆卸或改变网络设备。

    3.任何单位和个人、不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动,不得危害或侵入未授权的(包括CERNE或其它互联网在内的)服务器、工作站。

    4.除校园网负责人,其他个人不得以任何方式对校园网网站进行修改、设置、删除等操作;任何人不得以任何借口盗窃、破坏网络设施。

    5.网络使用者不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。

    6.校园网内各单位从事施工、建设,不得危害计算机网络系统的安全。

    7.校园网主、辅节点设备及服务器等发生案件、以及遭

    到黑客攻击后,校园网负责单位必须在二十四小时内向有关部门及公安机关报告。

    8.严禁在校园网上使用来历不明、引发病毒传染的软件;

    对于来历不明的可能引起计算机病毒的软件应使用公安部门推荐的杀毒软件检查、杀毒。

    9.任何人不得在校园网及其联网计算机上传送危害国家安全的信息(包括多媒体信息)、录阅传送淫秽、色情资料。

    10.校园网内各应用部门负责人为网络安全负责人。校园网及学校微机室一律不准对社会开放。不允许外来人员进入微机室。

     

    十三、学校新媒体管理制度

    为更好地利用互联网新媒体产品,畅通学校、社会和家长之间的沟通渠道,保障信息文明,宣传正确教育观念和正能量,特制定本制度。

    1.学校新媒体指全校师生,家校之间为了宣传和沟通所使用的媒体工具,如QQ,微信,朋友圈,微博,微校平台等;

    2.新媒体信息,谁发布,谁负责,群主负有群内信息日常管理责任,确保群内信息安全。班主任负有班级群管理责任,确保群内信息安全。群不再使用时及时解散,班级群待学生毕业后及时解散。

    3.新媒体禁止发布、传播或从事含有下列内容的信息与活动:

    (1) 反对国家宪法所确定的基本原则,损害国家荣誉和利益的;危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;

    (2) 煽动民族仇恨、民族歧视,破坏民族团结的;

    (3) 破坏国家宗教政策,宣扬邪教和封建迷信的;散布谣言,扰乱社会秩序,破坏社会稳定的;

    (4) 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;

    (5) 侮辱或者诽谤他人,侵害他人合法权益的;发放情色、黄色图片或宣传违法网站,进行违法言论等活动的;

    (6) 含有法律、行政法规禁止的其他内容的;

    (7) 进行人身攻击或漫骂、言语攻击其他成员的;

    (8) 发带有欺骗性质言论及消息的;

    (9) 发表任何影响煽动群安定团结言论的;

    (10)煽动其它成员作出损坏组织利益的;

    (11)诋毁学校及师生形象的,有违社会公德和不良政治倾向的。

    4.学校未公开文件或保密文件禁止在新媒体内传播,严禁利用新媒体泄漏师生及家长个人信息。

    5.学校教师发现利用新媒体工具进行非法活动,有义务向学校及时报告,群主有义务配合调查并及时清理相关成员。

    十四、应急处理制度

    1.互联网突发事件分类

    互联网突发事件是指互联网络遭受破坏、损坏等意外因素导致重点网络系统瘫痪,大面积网络不能正常运行,大量用户数据丢失或修改,机密大量外泄等案件、事件或灾害。

    互联网突发事件可分为以下三类:

    政治类突发事件:指境内外敌对势力、敌对分子和一些政治上别有用心的人利用互联网进行反动宣传渗透、造谣惑众,煽动制造政治动暴乱,以实现其破坏国家稳定、破坏社会主义制度、破坏经济建设、推翻党的领导的企图。

    (1) 社会发生局部动暴乱情况下,敌对分子利用互联网发布反动言论,甚至组织指挥对抗政府、危及国家安全的;

    (2) 制作、传播攻击党和国家领导人、损害国家声誉的政治谣言,大面积污染网络及用户的。

    攻击类突发事件:指因计算机系统病毒感染、非法入侵计算机系统(黑客攻击)导致计算机网络大面积不能正常运行,重点网络系统瘫痪,机密大量外泄等情况。

    (1) 互联网遭受大规模病毒感染,导致网络不能正常运行的;

    (2) 非法侵入互联网,导致网络不能正常运行的;

    (3) 非法侵入国家事务、国防建设、尖端科学技术领域等重要计算机信息系统,导致国家秘密、情报或军事秘密大量泄露,或不能正常运行的。

    灾害类突发事件:指因爆炸、火灾、雷击等外力因素或自然因素导致机器设备损毁,系统瘫痪,网络无法运行。

    (1) 爆炸、火灾及其他破坏案件、事件导致网络不能正常运行的;

    (2) 遭受雷击等自然灾害,导致重要网络不能正常运行的;

    其他因素导致重要网络不能正常运行,甚至瘫痪的案件、事件。

    2.突发事件应急处置的职责分工

    2.1当遇有互联网突发事件,情况特别紧急,事态急剧恶化时,网络中心负责人应按相关法律法规和制度,先期开展工作,边处置,边报告,及时控制事态,防止扩大蔓延,尽可能减少和降低危害造成的损失。

    2.2学校网络中心安全管理人员必须对突发事件现场的保护措施实施以及对敏感地带的防控,并落实加强对重要网站和网络系统的安全保护。

    2.3学校网络中心网络管理人员开展对网络的修复救援工作,加强对网络有害信息的封堵和过滤,通过多层次的网络安全和信息安全的技术防护体系,尽量确保突发事件期间网络正常运行。

    3.突发事件应急处置流程

    3.1发现互联网信息安全和网络安全突发事件,应立即报告上级主管部门,同时保护现场,留存有关记录。

    3.2学校网络中心应立即开展应急处置工作。

    3.3上级主管部门认为有必要时将组织相关部门人员立即赶赴现场,按照职责分工,与公安、安全等机关配合,对突发事件进行应急处理。

    4.突发事件应急处置措施

    4.1政治类突发事件的应急处置:配合国家公安、安全机关迅速查明这类有害信息的来源,根据掌握的各种情报信息,分析判断敌对分子采用的技术手段,落实有效技术手段,切断其传播有害信息的渠道;同时要在取证后立即清除有害信息,必要时关闭有关网站、网络,进行全面清理,并尽快恢复网络的正常秩序。

    4.2攻击类突发事件的应急处置:配合相关部门通过入侵检测

    和安全审计等方法确定病毒和黑客攻击使用的攻击技术方法,    立即采

    取技术防范措施阻止攻击行为进一步造成危害,保护受攻击的网络现场,必要时应切断受攻击的网络链接;配合相关部门通过技术分析判断攻击者的来源,通过处置网络确定攻击者的地理位置,配合查找破案线索。

    4.3灾害类突发事件的应急处置:单位、学校信息安全负责人要立即赶赴现场处置,配合相关部门实行现场控制。在保护人员生命安全的前提下,控制对网络安全危害行为的进一步发展,抢救的顺序依次是重要数据、重要设备、重要设施,尽快将它们转移到最安全的地方;启动网络安全应急设备和备份设备,组织技术人员和相关人员恢复网络工作环境,尽快使网络恢复正常秩序;配合相关部门查明灾难事故发生的原因,要尽快排除可能继续发生灾难事故的安全隐患,米取补救措施,保障网络安全。

    十五、网络信息安全考核制度

    为落实责任,确保网络信息安全,制订本考核制度。

    1.有效防范互联网网络攻击,病毒侵害,木马植入等网络安全事件,全年无网络安全事故,则全校教师及管理人员学年网络安全考核为合格。

    2.在新媒体等平台,无信息重大错误,无不良影响,无意识形态错误,无反社会等禁止发布的信息,正确,良好地宣传学校各方面工作。则全校教师及管理人员网络安全考核为合格。

    3.因个人使用原因,导致网络信息安全事故,被上级“网信办”通报,相关教师当年当期安全工作考核不合格;

    4.因相关负责人管理不善,失职,导致网络信息安全事故,被上级“网信办”通报,相关人员当年当期安全工作考核不合格,当年职责考评不能为“优”;

    5.群主因管理不善,导致不良舆情,对学校造成严重影响,当年当期安全工作考核不合格,有违法情节,移交公安部门;

    6.个人在使用计算机,互联网,新媒体工具,泄漏学校重要文件和信息,以及师生、家长个人信息的,其当年当期安全工作考核不能为“优秀”,若是有故意泄漏,获取报酬等情节,当年当期师德考核“不合格”,并移交公安部门。

    7.在新媒体上发布谣言,诽谤,诬陷,反社会,反意识形态等违法信息,将其移交公安部门,同时当年师德考核“不合格”,严重时开除处理。

    8.利用网络等手段充当黑客,破坏网络设备,盗取信息数据,从事网络诈骗等互联网违法犯罪活动,移交公安部门,同时学校将开除公职处理。

     

     

     

     

     

     

    西南大学附属小学

    2021年3月15日