阿拉善职业技术学院网络安全管理制度

   

第一章  范围及职责

 

第一条  本制度适用于网络安全管理，包括：网络系统安全管理、账号管理、病毒防治管理、网络事件报告和查处。

第二条  网络安全与信息化领导小组负责网络安全管理制度的制定和修订；网络管理员负责网络维护。

 

第二章  网络管理

 

第三条  应在网络边界处部署防火墙、审计系统、IPS/IDS、WAF等安全设备；对内部网络进行区域隔离、保护。重要的业务应用服务器应部署单独的防火墙进行保护。

第四条  涉密网与互联网之间要实行物理隔离。如需进行数据交换时，应使用符合国家政策和保密部门认可的安全产品或技术措施进行数据传输。

第五条  所有在互联网发布的应用系统必须使用网页防篡改技术或专用安全设备进行保护，确保网站在受到破坏时能自动恢复。

第六条  所有在互联网发布的应用系统必须经过安全管理员或有资质的专业信息安全公司进行检测，确保网站的安全性，检测通过后方可联网。

第七条  采用技术手段对网络接入进行控制。内部终端如因工作需要接入互联网或其他网络，应向所在部门领导提出申请，经批准后由网络管理员提供接入服务。管理员对接入端的信息做详细登记并存档备案。外部人员如需接入网络，需由相应对接部门主管领导批准，再由网络管理员提供临时接入服务。

第八条  网络管理员负责网络拓扑图的绘制。若网络结构发生变化要及时更新拓扑图，确保网络拓扑图完整、真实。

第九条  未经网络信息中心主管领导批准，任何人不得改变网络拓扑结构、网络设备布局、服务器和路由器配置以及网络参数。

第十条  在未经系统管理员许可的情况下，任何人不得进入计算机系统更改系统信息和用户数据。

第十一条  任何人不得利用计算机技术侵害用户合法利益，不得制作和传播有害信息。

 

第三章  运维管理

 

第十二条  对信息系统核心设备采取冗余措施（包括线路及设备冗余），确保网络正常运行。

第十三条  对网络、安全设备进行管理时须采用安全的方式(如加密、SSH等)，并严格控制可访问该设备的地址和网段。

第十四条  定期对网络系统（服务器、网络设备）进行漏洞扫描，并及时修补已发现的安全漏洞。

第十五条  根据设备厂商提供的更新软件对网络设备和安全设备进行升级，在升级之前要注意对重要文件的配置进行备份。

第十六条  定期对重要的网络、安全设备进行巡检，确保重要设施工作正常，并填写相关记录表单归档保存。若在巡检中发现安全问题要及时上报处理。

第十七条  定期对重要系统服务器和相关业务数据进行备份，备份数据应一式两份，分别进行保存管理。

第十八条  部署专用的网络审计设备记录网络访问日志，日志的最小保存期限不低于60天，且应保证无一天以上的中断。

 

第四章  账号管理

 

第十九条  对网络管理员、安全审计员等不同用户建立不同的账号，并对资源管理权限进行划分，以便于审计。

第二十条  网络账号、密码设计必须满足长度、复杂度要求，用户须定期更改密码以保障网络账户安全。

第二十一条  指定专人对服务器和网络设备的账号、密码进行统一登记，一式两份存档管理。管理员须严守职业道德和职业纪律，不得将任何账号、密码等信息泄露出去。

 

第五章  恶意代码管理

 

第二十二条  不得制造和传播任何计算机病毒。

第二十三条  网络管理员负责对各部门计算机的病毒防治工作进行指导。

第二十四条  系统管理员负责网络服务器的病毒防治，及时更新网络服务器的病毒库，定期对服务器进行全盘扫描杀毒。

第二十五条  用户应提高自身的恶意代码防范意识，接收文件或邮件时必须先进行恶意代码检查。

第二十六条  已授权的外来计算机或存储设备在接入网络之前，必须对其进行恶意代码扫描。

 

第六章  恶意事件处理

 

第二十七条  发现制造病毒、故意传播病毒等行为，须立即通知公安部门，并协助有关部门进行调查。

第二十八条  发现恶意网络攻击行为，须立即通知公安部门，并协助有关部门进行调查。

第七章  附则

第二十九条  本制度由网络安全与信息化领导小组办公室负责解释。

第三十条  本制度自发布之日起生效执行。