兰州大学信息安全管理制度汇编

1 兰州大学信息安全管理制度汇编兰州大学信息安全管理制度汇编 20152015 年年 1111 月 月 2 目录目录 一 信息安全方针与政策 5 兰州大学信息与网络安全保密管理办法 暂行 6 第一章 总 则 6 第二章 安全监督 6 第三章 安全管理 7 第四章 保密管理 9 第五章 罚 则 10 第六章 附 则 10 二 物理安全管理制度 11 通信网络中心机房管理办法 12 网络机房 含各校区 管理办法 14 第一章 出入管理 14 第二章 操作管理 14 第三章 运行管理 15 三 网络安全管理制度 16 兰州大学计算机信息安全与病毒防治管理办法 17 第一章 总 则 17 第二章 定 义 17 第三章 组织机构与职能 18 第四章 计算机用户的责任 18 第五章 管理与处罚 19 数据中心防火墙端口管理暂行规定 21 一 基本端口管理规定 21 二 受限服务端口管理规定 22 三 公共服务端口管理规定 22 四 其他管理规定 23 四 主机安全管理制度 24 主干网络设备管理制度 25 第一章 岗位管理 25 第二章 配置变更和故障处理 25 第三章 安全管理 26 3 服务器管理制度 27 第一章 岗位管理 27 第二章 配置变更和故障处理 27 第三章 安全管理 28 兰州大学通信网络中心服务器托管 虚拟服务器租用 管理办法 29 第一章 服务项目定义 29 第二章 使用要求 29 五 应用安全管理制度 31 兰州大学校园网主页信息与服务内容与管理暂行办法 32 第一章 总 则 32 第二章 组织领导 32 第三章 校园网主页信息内容工作的要求 33 第四章 附 则 33 兰州大学校务管理系统运行安全管理规定 试行 34 第一章 总 则 34 第二章 运行管理 34 第三章 附 则 36 兰州大学电子邮件管理制度 37 第一章 组织管理 37 第二章 垃圾电子邮件管理 38 第三章 账号管理 38 第四章 行为规范 39 六 数据安全管理制度 40 兰州大学信息系统数据管理暂行办法 41 第一章 总 则 41 第二章 数据管理角色及职责 43 第三章 数据采集 录入与审核 44 第四章 数据运维管理 44 第五章 数据存储和归档 45 第六章 数据利用和服务 46 第七章 数据安全管理 46 4 第八章 奖 惩 47 第九章 附 则 47 兰州大学通信网络中心信息系统密码管理暂行办法 48 第一章 总 则 48 第二章 密码的设置 48 第三章 密码的修改 49 第四章 罚 则 49 5 一 信息安全方针与政策一 信息安全方针与政策 6 兰州大学信息与网络安全保密管理办法 暂行 兰州大学信息与网络安全保密管理办法 暂行 第一章第一章 总总 则则 第一条第一条 为了加强对校园网的安全与保密管理 维护公共秩序 充分发挥校园网络的作用 为全校师生员工提供稳定 可靠 安全的 计算机网络环境 支持学校的教学 科研 管理工作 根据 全国人 民代表大会常务委员会关于维护互联网安全的决定 中华人民共 和国计算机信息系统安全保护条例 中华人民共和国计算机信息 网络国际互联网管理暂行规定 和有关法律 法规 结合学校实际 制 定本办法 第二条第二条 兰州大学校园网是指由学校投资建设 为我校教学 科 研 管理服务的现代化信息基础设施 是学术性 公益性的计算机网 络 其服务对象是我校的教学 科研和管理机构 全校教职员工 学 生以及其他经学校授权的单位及个人 校园网的基础设施建设及维护 工作由网络与信息技术中心承担 第三条第三条 兰州大学校园网的宗旨是为兰州大学的教学 科研和管 理服务 任何单位及个人不得以任何理由在网上从事以营利为目的的 商业活动 第四条第四条 校园网的信息安全和网络安全 由党委办公室负责 保 密工作由 兰州大学保密委员会 负责指导 协调 监督和检查 第五条第五条 任何单位及个人不得利用校园网危害国家安全 泄露国 家秘密 不得侵犯国家 社会 集体利益和个人的合法权益 不得从 事违法犯罪活动 第二章第二章 安全监督安全监督 第六条第六条 对校园内发生的信息与网络违法行为和针对计算机信息 7 与网络的犯罪案件 由保卫处负责向公安机关报案 第七条第七条 校内各单位应当履行下列安全保护职责 一 负责本单位计算机信息与网络的安全保护管理工作 建立健 全安全保护管理制度 二 落实安全保护措施 保障本单位的信息安全和网络运行 三 负责对本单位网络用户的安全教育和培训 四 有公共上网场所的单位 应建立计算机上网用户登记和信息 管理制度 五 发现任何违反本办法所列第十 十一条情形的 应当保留有 关原始记录 并在二十四小时内向兰州大学党委办公室报告 第九条第九条 兰州大学宣传部应当掌握校内各单位和用户的相关备案 情况 建立备案档案 进行备案统计 并按照国家有关规定逐级上报 第三章第三章 安全管理安全管理 第十条第十条 任何单位和个人不得利用校园网制作 复制 传播和查 阅下列信息 一 煽动抗拒 破坏宪法和法律 法规实施的 二 煽动颠覆国家政权 推翻社会主义制度的 三 煽动分裂国家 破坏国家统一的 四 煽动民族仇恨 民族歧视 破坏民族团结的 五 煽动非法集会 结社 游行 示威 聚众扰乱社会秩序的 六 捏造或者歪曲事实 散布谣言 扰乱社会秩序的 七 宣扬封建迷信 淫秽 色情 赌博 暴力 凶杀 恐怖 教唆犯罪的 八 公然侮辱他人或者捏造事实诽谤他人的 九 损害国家荣誉和利益的 十 以非法民间组织名义组织活动的 十一 其他违反宪法和法律 行政法规的 8 第十一条第十一条 任何单位和个人不得从事下列危害计算机信息网络安 全活动 二 未经允许 进入校园网或者使用计算机信息网络资源的 三 未经允许 对校园网功能进行删除 修改或者增加的 四 未经允许 对校园网中存储 处理或者传输的数据和应用 程序进行删除 修改或者增加的 五 故意制作 传播计算机病毒等破坏性程序的 六 其他危害校园计算机信息网络安全的 第十二条第十二条 各单位及个人 应当遵守国家有关法律 法规 严格 执行安全保护制度 不得利用国际互联网从事危害国家安全 泄露国 家秘密等违法犯罪活动 不得制作 复制 传播和查阅妨碍社会治安 及破坏社会稳定的信息 第十三条第十三条 学校单位或师生须到学校网络与信息技术中心办理入 网手续 填写入网申请表 成为正式的校园网用户 未经授权的用户 不准入网 也不允许网内任何成员私自发展用户 第十四条第十四条 用户应尊重和保护知识产权 网上可访问到的任何资 源均为其拥有者所有 用户不得拷贝注有版权的软件 不得将网上提 供的共享软件商业化 第十五条第十五条 用户不得私自安装 配置网络系统 盗用或滥用网络 资源 盗用 IP 地址或邮件地址 冒用他人名义进行网络活动 影响网 络正常使用和运行 第十六条第十六条 任何单位及个人不得私自开设代理服务器及 DHCP 动 态主机配置协议 第十七条第十七条 任何单位及个人不得恶意传播系统漏洞知识 不得自 行或教唆他人攻击 入侵系统 以及对计算机系统进行试探攻击 第十八条第十八条 任何单位及个人不得通过非法途径对他人或单位计算 机网络系统功能及信息内容进行增加 删除或修改 第十九条第十九条 各用户应严格使用自己的校园网账号 不得转借 转 让 由此引起的不良后果由用户承担 第二十条第二十条 为了有效地使用网络资源 用户不得长时间地占用某 个共享资源 第二十一条第二十一条 用户发现网络违法犯罪行为和有害信息应当向通信 9 网络中心报告 第二十二条第二十二条 用户应当接受并配合国家有关安全部门依法进行的 监督检查 第二十三条第二十三条 有公共机房的单位应建立用机管理规定 并切实做 好上机登记 第二十四条第二十四条 需要上网的公共机房的所属单位应主动到网络与信 息技术中心签订安全管理协议 并对其所属的上网场所的信息与网络 安全负责 第二十五条第二十五条 各单位在校园网上发布的信息 需经本单位负责人 审核后方能发布 并保证所发布的信息是合法的 各单位发布的信息 由该单位负责人向学校负责 第二十六条第二十六条 各单位开设的电子公告或论坛服务 须为实名制 有关单位必须明确领导责任 指定专人负责 并遵守 互联网电子公 告服务管理规定 对电子公告或论坛服务必须进行日志备份 记录 用户名 信息发布时间等详细信息 在学校查询时予以提供 日志至 少保存 60 日 第四章第四章 保密管理保密管理 第二十七条第二十七条 校园网用户应遵守国家有关法律 法规 严格执行 安全保密制度 不得利用计算机国际联网从事危害国家安全 泄露国 家秘密等违法犯罪活动 不得利用计算机国际联网进行搜集 整理 窃取国家秘密的活动 第二十八条第二十八条 上网信息的保密管理坚持 谁上网谁负责 的原则 校内单位用户实行领导责任制 发布信息按照信息的内容归口管理 分级负责 规范信息保密审查制度 防止秘密信息泄露 个人用户必须严格遵守保密法规 不得在进行国际联网的计算机 信息网络中发布或谈论涉及国家及学校秘密 第二十九条第二十九条 校园网用户不得在电子公告系统 聊天室 网络新 闻组上发布 谈论和传播国家及学校秘密信息 申请开设电子公告系 统 聊天室 网络新闻组的单位应严格管理 明确保密要求和责任 10 电子公告系统的保密管理实行版主责任制 版主负有对版面内容保密 监督的责任 第三十条第三十条 校园网用户电子函件 电子邮件 进行网上信息交流 应遵守有关保密规定 不得利用电子函件传递 转发或抄送国家及学 校秘密信息 第三十一条第三十一条 校园网用户发现国家及学校秘密泄露的情况 应立 即向学校保卫部门报告 保卫部门接到举报或发现网上有泄密情况时 应当立即组织查处 并采取补救措施 删除网上涉及国家及学校秘密 的信息 第五章第五章 罚罚 则则 第三十二条第三十二条 任何单位或个人利用网络从事危害国家安全 泄露 国家秘密等活动 违反国家刑事法律的 依法交由相关国家机关 依 照有关法律法规予以处罚 第三十三条第三十三条 对所开办网站监管不力造成有害信息传播或秘密信 息泄露的单位 给予通报批评 情节特别严重的追究部门负责人的领 导责任 第三十四条第三十四条 对于其它违反本管理办法的行为 学生用户由相关 学生管理部门进行处罚 教工及单位用户由相关职能部门按有关管理 办法进行处罚 第三十五条第三十五条 对于其它违反本管理办法的行为 由兰州大学通信 网络中心按相关管理办法进行处罚 第六章第六章 附附 则则 第三十六条第三十六条 本办法中的学生是指获得学籍或经学校批准的社会 办学招收的学生 第三十七条第三十七条 本办法自发布之日起实施 以往发布的与本管理办 法不相符的规定 按本办法执行 11 二 物理安全管理制度二 物理安全管理制度 12 通信网络中心机房管理办法通信网络中心机房管理办法 兰州大学通信网络中心是 CERNET 兰州节点的核心 为确保其设备 安全和正常运行 特制订本管理办法 第一条第一条 通常 值班员应严格禁止任何外部人员进入机房 第二条第二条 需进入机房的外部人员 应在值班人员处出事身份证和 工作证 缺一不可 并在 机房进出人员登记表 上准确登记 经 值班人员核实签字后方可进入指定工作区域 第三条第三条 未带工作证的一定要有中心内部人员带领 并在 机房 进出人员登记表 的 备注 栏由中心内部人员签字 第四条第四条外部人员在填写 机房进出人员登记表 时 工作内容 一栏不可只填写 调试设备 或 检修线路 等模棱两可的工作内容 必须具体指明调试哪些设备或检修哪条线路 填写其他栏目亦照此要 求 第五条第五条网络中心内部人员进入机房时 只需准确填写 机房进 出人员登记表 经值班员核实无误后即可进入 第六条第六条进入机房人员结束工作离开机房时 应准确填写登记表 上的 进出时间 栏 经值班员核实后方可离开 第七条第七条外部人员如需移入 移出设备 需另外认真填写 机房设 备进出登记表 13 第八条第八条网络中心人员如需移入 移出设备 亦须填写 机房设备 进出登记表 填写要求与外部人员相同 第九条第九条移出设备需同时通知网络中心办公室人员 并由他们开 具出门条 否则不允许搬出设备 第十条第十条遇紧急或特殊情况 值班员应及时请示部门负责人 第十一条第十一条 值班员应对整个过程的监控负全部责任 兰州大学通信网络中心 二 一四年六月 14 网络机房 含各校区 管理网络机房 含各校区 管理办法办法 第一章第一章 出入管理出入管理 第一条第一条 网络 含各校区 机房存放有校园网主干网络设备和服 务器 非机房工作人员未经批准不得进入机房 第二条第二条 外单位维护人员需要进入机房工作的 需首先填写登记 表 并在机房工作人员陪同下进入机房 第三条第三条 参观人员需事先联系 并得到中心主任或各校区网络中 心负责人批准 才能在工作人员陪同下进入机房 第四条第四条 严禁其他人员进入机房 第五条第五条 进入机房应遵守机房管理制度并听从机房工作人员指导 第六条第六条 进入机房不得携带任何易燃 易爆 腐蚀性 强电磁 辐射性 流体物质等对设备正常运行构成威胁的物品 第二章第二章 操作管理操作管理 第七条第七条 非机房工作人员不得接触和操作机房内任何设备 设施 第八条第八条 网络设备的添加和更换 网络配置的增删修改以及网络 结构的变更必须报网络部相关负责人批准后方可进行 第九条第九条 机房内关键网络设备的操作实行双人作业制度 严格按 照预制操作流程进行 有关过程必须按规定进行详细登记和记录 对 各类软件 现场资料 档案整理存档 15 第十条第十条 操作人员注意保持保持机房整洁 操作结束后整理好有 关工具和配件 第三章第三章 运行管理运行管理 第十一条第十一条 值班人员定期巡查机房 检查机房环境支撑设施运行 状况 第十二条第十二条 设备管理员随时监控机房设备运行状况 发现异常情 况应立即按照预案规程进行操作 并及时上报和详细记录 第十三条第十三条 机房工作人员应恪守保密制度 不得擅自泄露各种信 息资料与数据 第十四条第十四条 机房内严禁吸烟 喝水 吃食物 嬉戏和进行剧烈运 动 保持机房安静 第十五条第十五条 定期对机房进行清扫 对机器设备吸尘清洁 第十六条第十六条 不定期对机房内设置的消防器材 监控设备进行检查 以保证其有效性 第十七条第十七条 所有重要文档定期整理装订 专人保管 以备后查 16 三 网络安全管理制度三 网络安全管理制度 17 兰州大学计算机信息安全与病毒防治管理办法兰州大学计算机信息安全与病毒防治管理办法 第一章第一章 总总 则则 第一条第一条 为加强对计算机病毒的预防和治理 维护计算机信息系 统安全 根据国家相关法律法规的规定 参照国际标准化组织 ISO IEC 17799 2005 信息技术 安全技术 信息安全管理实践指南 的标准 特制定本管理办法 第二条第二条 本管理办法用以规范个人计算机信息安全及防 反 病 毒软件 信息安全工具的使用 适用于兰州大学下属各部门 在校师 生员工 含离退休人员 等单位或个人计算机用户 下称计算机用户 第三条第三条 信息是一种资产 具有价值 需要适当的保护 然 而 攻击普遍存在 许多信息系统不再追求设计成安全的 技术已 经不能保证信息的绝对安全 因此 要使用恰当的管理手段并增强意 识 ISO IEC 17799 2005 学校通过采取有效的技术手段 并加 强广大计算机用户的信息安全防范意识教育 营造校园信息安全文化 积极建立管理 预防 保护 响应相结合的信息安全保障机制 第二章第二章 定定 义义 第四条第四条 本管理办法所称的信息安全是指保障 维护信息的机密 性 完整性 真实性 可用性和合法性 第五条第五条 本管理办法所称的计算机病毒 下称病毒 是指编制或 者在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机 使用 并能自我复制的一组计算机指令或者程序代码 第六条第六条 本管理办法所称的计算机病毒疫情 是指某种计算机病 毒爆发 流行的时间 范围 破坏特点 破坏后果等情况的报告或者 18 预报 第七条第七条 本管理办法所称的资产 是任何对组织有价值的事物 资产包括但不仅限于 物理资产 例如 计算机硬件 通讯设备 建 筑物 信息 数据 例如 文档 数据库 软件 提供产品和服务 的能力 例如 网络服务的能力和质量 人员 无形资产 例如 商誉和形象 ISO IEC 13335 1 2004 第三章第三章 组织机构与职能组织机构与职能 第八条第八条 通信网络中心是学校具体负责信息安全与计算机病毒防 治的机构 具体职能包括 一 承担对本校计算机用户的管理 教育与培训工作 二 及时通报计算机病毒疫情 三 提供正版的信息安全工具及软件并提供专业的服务支持 四 提供一定的免费或开源信息安全工具及软件使用建议 五 提供信息安全紧急响应服务 为各类信息安全事件提供协 助 安全检查及提出改善建议 第九条第九条 信息安全员是学校信息安全与计算机病毒防治工作的重 要辅助力量 由各单位 部门 选派具有一定计算机技能的员工担任 可以设为专职或兼职岗位 各单位 部门 应将信息安全员的名单及 联系方式报送通信网络中心 第十条第十条 信息安全员应遵守学校有关规定 负责本单位 部门 的信息安全与计算机病毒防治的具体工作 第十一条第十一条 信息安全员应参加学校组织的有关信息安全及计算机 病毒防治的培训 在业务上接受通信网络中心的指导与监督 第四章第四章 计算机用户的责任计算机用户的责任 第十二条第十二条 计算机用户应树立正确的信息安全意识 接受通信网 络中心的管理 教育与培训 并有责任确保学校及计算机用户个人 包括其他用户 的信息资产免受损失 19 第十三条第十三条 计算机用户应做好预防性安全措施 及时修补个人计 算机的安全漏洞 防止这些漏洞被计算机病毒软件及其所有人攻击或 利用 第十四条第十四条 计算机用户应在自己所使用的个人计算机上 启用各 种信息安全工具和策略 以防止木马 蠕虫等计算机病毒或恶意软件 对计算机中的信息资产的破坏 窃取以及对校园网络的速度 稳定性 以及服务质量的影响 第十五条第十五条 计算机用户在进行信息安全和与计算机病毒防治操作 时 遵守国家法律 法规的规定 使用合法授权的信息安全工具及软 件 而不应使用盗版的信息安全工具及软件 使用学校提供的正版的商业版本的信息安全工具及软件的计算机 用户 离开学校后应该主动卸载有关软件 避免违反许可证的限定 第十六条第十六条 计算机用户或学校各单位 部门 可以根据需要 自 行采购部署适合自己的正版信息安全工具及软件 并在许可证限定的 范围内使用 第五章第五章 管理与处罚管理与处罚 第十七条第十七条 为了及时消除信息安全隐患以及对其他计算机用户的 影响 对于拒绝修补安全漏洞和启用各种信息安全工具的计算机用户 通信网络中心可以给予有关当事人警告提醒 并要求当事人立即采取 防范措施 对经过警告仍未改正的 有可能造成严重后果的 可采取 紧急断网处理 直至其改正为止 第十八条第十八条 对有下列情况的计算机用户 通信网络中心可无需事 先警告 对该计算机用户或部门进行紧急断网处理 直至消除信息安 全隐患为止 一 对造成蠕虫 木马等计算机病毒大面积传播的或可能引起 严重后果的 二 严重影响校园网网速和服务质量的 三 可能导致其他计算机用户的重要信息泄漏 造成严重损失 的 20 四 可能导致学校的信息资产被恶意控制或利用 造成损害的 五 超出信息安全工具许可证使用规定 可能对学校造成名誉 或经济上损失的 六 其他违反法律法规规定的情形的 第十九条第十九条 对违反本管理办法规定的所有行为 通信网络中心有 权对违规事实进行取证 备案 并视情节轻重报送上级主管部门 当 事人所在部门或相关部门做出进一步的处理 第二十条第二十条 对于妨害计算机信息安全的违法行为以及涉嫌进行侵 害国家信息安全的犯罪行为 计算机用户应积极配合公安机关和学校 有关部门 积极制裁违法行为和犯罪行为 共同维护信息安全 21 数据中心防火墙端口管理暂行规定数据中心防火墙端口管理暂行规定 为规范数据中心机房的安全管理 根据 信息安全技术 信息 系统安全等级保护基本要求 GB T 22239 2008 及 ISO IEC 27000 系列标准 特制定 数据中心防火墙端口管理暂行规定 希望各方 能共同遵守规范 共建安全的数据中心网络环境 本规范适合于兰州大学数据中心机房及各校区托管服务器机房 以下简称 数据中心机房 一 基本端口管理规定一 基本端口管理规定 第一条第一条 数据中心机房内服务器或设备的所有人 必须根据信息 安全等级保护及国家法律规定的网站备案要求 如实申报网络服务端 口 以下简称 端口 的用途 服务对象或使用人等资料 不得未 经申报与批准 要求开放端口访问 对于不实申报的 一经发现将立 即取消所有访问权限 并作为重大安全隐患进行如实通报 同时需要 重新申报网络服务端口 对造成信息安全事故的 按有关规定追究相 关人员责任 并在安全公告中实名公告责任单位及涉及安全事故的系 统名称 第二条第二条 数据中心机房配备网络防火墙 用于保护生产运行的服 务器及相关设备 为避免影响正常生产秩序 临时或非正式运行的服 务器或设备应自行进行独立保护 不宜放置于防火墙内 第三条第三条 根据信息系统安全等级保护的要求 端口开放及权限控 制必须基于最小配置及最小权限原则 严格禁止为数据中心机房内服 务器或设备配置不受限制的防火墙访问规则 即 要严格禁止任何 IP 地址可访问该服务器或设备的任何端口的规则 22 第四条第四条 数据中心防火墙 DMZ 区域内服务器或设备 以下简称 DMZ 区域内设备 可以对外提供服务 可相应设置外部访问规则 数据中心防火墙内部私有区域服务器或设备不可对外提供服务 仅可 向数据中心 DMZ 区域内的服务器或设备提供服务 第五条第五条 DMZ 区域内设备的端口分为公共服务端口 受限服务端 口 内部管理端口及临时服务端口等 4 种类型 高安全保障等级 DMZ 区域内的设备的所有端口缺省为内部管理端口 申请通过后才能成为 其他类型端口 第六条第六条 公共服务端口适合于 IPv4 及 IPv6 的地址类型 而受限服 务端口 内部管理端口及临时端口仅适用于 IPv4 地址类型 二 受限服务端口管理规定二 受限服务端口管理规定 第七条第七条 受限服务端口仅限校内 IP 地址访问 普通安全保障等级 DMZ 区域内设备的受限服务端口为 ftp 21 telnet 23 ssh 22 mysql 3306 ms sql s 1433 remote desktop 3389 第八条第八条 受限服务端口可申请成为特殊受限服务端口 除允许校 内 IP 地址访问外 还可允许校外特定 IP 地址 由中心根据情况确定名 单 一般为银行 公安 国安等机构 访问 第九条第九条 原则上 防火墙不为受限服务端口设置其他管理规则 如果 DMZ 区域内设备需要进一步限制访问的 应在设备上自行配置限 制规则 三 公共服务端口管理规定三 公共服务端口管理规定 第十条第十条 公共服务端口可被任何 IP 地址访问 普通安全保障等级 DMZ 区域内设备上的 http 80 https 443 端口为普通公共服务端 23 口 只需要完成网站备案无须其他申请即可被任何 IP 地址访问 普通 安全保障等级 DMZ 区域服务器或设备上的 ftp 21 ssh 22 telnet 23 端口为特殊公共服务端口 须申请通过审批后才能被任何 IP 地址访问 普通安全保障等级 DMZ 区域设备上其他端口原则上不 能成为公共服务端口 第十一条第十一条 原则上 防火墙不为公共服务端口设置其他管理规则 如果 DMZ 区域内设备需要进一步限制访问的 应在设备上自行配置限 制规则 四 其他管理规定四 其他管理规定 第十二条第十二条 网络与信息技术中心将定期 每月不少于 1 次 对公 共服务端口 受限服务端口 临时服务端口进行扫描 以确保及时发 现安全漏洞及隐患 一旦发现高危漏洞 端口类型将转为内部管理端 口而无需事先通知 仅封锁后通知 直至漏洞修复 第十三条第十三条 本规定由发布之日起执行 第十四条第十四条 本规定由通信网络中心负责解释 24 四 主机安全管理制度四 主机安全管理制度 25 主干网络设备管理制度主干网络设备管理制度 第一章第一章 岗位管理岗位管理 第一条第一条 主干网络设备管理岗位采用岗位人员后备制度 一个岗 位配备两名以上管理员 一个管理员主要负责网络设备的日常管理工 作 其他管理员应掌握网络设备情况和管理知识 并在主要的管理员 外出的时候担负管理网络设备的职责 第二条第二条 主干网络设备重大故障恢复或配置变更操作必须在两名 以上管理员在场的情况下才能进行 第三条第三条 管理员应通过不断学习 掌握新的网络技术 以应付不 断变化的 IT 环境 第二章第二章 配置变更和故障处理配置变更和故障处理 第四条第四条 管理员进行生产设备的配置变更操作 必须执行主干网 络设备配置变更管理 事前必须经过详尽的测试和计划 事先将变更 计划和影响通知服务前台并发布主干网络设备变更通告 配置变更必 须记录 包括时间 原因 配置记录文件等 第五条第五条 发生故障 购买相关硬件 系统和应用程序服务的 管 理员应该首先借助服务判断故障原因 并按照相关人员建议处理故障 并记录故障发生的时间 故障情况 处理方法以及将来预防措施等 没有购买服务的 根据中心制定处理流程修复故障 第六条第六条 管理员应对网络设备的进行定期检查 26 第三章第三章 安全管理安全管理 第七条第七条 主干网络设备超级用户的密码要定期更换 密码设定要 有一定的规定 不能少于八位 超级用户密码必须登记在册并按有关 规定妥善保管 管理员不得对任何无关人员泄露 用户密码由相关用 户自行设定 管理员要严守保密制度 不得泄漏用户密码 第八条第八条 为了确保服务等级 管理员不得在生产设备上进行测试 实验 第九条第九条 管理员必须定期安装补丁包 对于高危高风险的补丁包 应该按照要求及时安装 第十条第十条 管理员必须定期对主干网络设备配置进行备份 第十一条第十一条 管理员应对主干网络设备进行资源监控 主要针对 内存 端口流量等情况的监控 管理员应该利用各种资源监 控手段确保服务器能力 保障服务等级 27 服务器管理制度服务器管理制度 第一章第一章 岗位管理岗位管理 第一条第一条 服务器管理岗位采用岗位人员后备制度 一个岗位配备 两名以上系统管理员 一个管理员主要负责服务器日常的管理工作 其他管理员应掌握服务器情况和管理知识 并在主要的管理员外出的 时候担负管理服务器的职责 服务器重大故障恢复或配置变更操作必 须在两名以上管理员在场的情况下才能进行 第二条第二条 根据不同服务器的服务等级 相关服务器的系统管理员 应该确保在 5x8 5x12 7x12 或 7x24 个人通信的畅通以及 24 8 4 2 小时到达现场的能力 第三条第三条 系统管理员应通过不断学习 掌握新的服务器系统技术 以应付不断变化的 IT 环境 第二章第二章 配置变更和故障处理配置变更和故障处理 第四条第四条 管理员进行生产服务器的配置变更操作 必须执行服务 器配置变更管理 事前必须经过详尽的测试和计划 事先将变更计划 和影响通知服务前台并发布服务器变更通告 配置变更必须记录 包 括时间 原因 配置记录文件等 第五条第五条 发生故障 购买相关硬件 系统和应用程序服务的 管 理员应该首先借助服务判断故障原因 并按照相关人员建议处理故障 并记录故障发生的时间 故障情况 处理方法以及将来预防措施等 没有购买服务的 根据中心制定处理流程修复故障 28 第六条第六条 系统管理员应对系统的进行定期检查 第三章第三章 安全管理安全管理 第七条第七条 服务器超级用户的密码要定期更换 密码设定要有一定 的规定 不能少于八位 超级用户密码必须登记在册并按有关规定妥 善保管 系统管理员不得对任何无关人员泄露 用户用户密码由相关 用户自行设定 系统管理员要严守保密制度 不得泄漏用户密码 第八条第八条 为了确保服务等级 系统管理员不得在生产服务器上进 行测试实验 不得在生产服务器上进行与服务无关的操作 例如浏览 网页 下载程序等 系统管理员不得在生产服务器上安装与服务无 关的软件或放置与服务无关的数据 第九条第九条 系统管理员必须定期安装操作系统 应用程序的补丁包 对于高危高风险的补丁包应该按照要求及时安装 第十条第十条 所有服务器必须安装防病毒软件 并及时升级病毒定义 文件 管理员应该定期对服务器进行全面的病毒检测 发现问题应及 时向中心安全管理员汇报并协同解决 第十一条第十一条 所有生产服务器必须实施日志管理制度 按照国家和 学校有关规定保存系统和应用程序日志 第十二条第十二条 管理员必须定期对服务器进行操作系统 应用程序和 数据的备份 按照不同的服务等级 对不同的服务器实施离线备份 在线备份 热备份和双机热备等不同的备份策略 第十三条第十三条 管理员应对服务器进行资源监控 包括硬件 系统资源 和应用资源的监控 硬件监控 应该利用硬件厂商提供的监控软件 系统资源监控 主要针对 内存 活动情况的监控 针对 应用资源 主要利用应用程序的监控功能 管理员应该利用各种资源 监控手段确保服务器能力 保障服务等级 29 兰州大学通信网络中心服务器托管 虚拟服务器租用 兰州大学通信网络中心服务器托管 虚拟服务器租用 管理办法管理办法 第一章第一章 服务项目定义服务项目定义 第一条第一条 物理服务器托管 将属于用户所购置服务器置于通信网 络中心 从而为 Internet 上的用户提供信息服务 用户自己负责其软 件安装 升级 服务器管理和故障的排除 并购买相关软件使用权 第二条第二条 虚拟服务器租用 用户无需购置服务器 租用通信网络 中心提供的虚拟服务器 并且无需对硬件 操作系统及通信线路进行 维护 用户自己负责其软件安装 升级 服务器管理和故障的排除 并购买相关软件使用权 第二章第二章 使用要求使用要求 第三条第三条 遵守国家和学校互联网相关法律法规 不存储 发布 接收违反国家法律和学校相关规定的信息 第四条第四条 用户单位负责人对服务器信息安全负全责 必须有专人 负责服务器的安全管理 并在通信网络中心留有 24 小时联系电话 联 系电话更新需主动通知通信网络中心进行变更 第五条第五条 各单位指定的系统维护技术员须是熟悉服务器系统的且 能长期维护的老师 不能由学生来代理维护 以免学生离校或其他原 因引起的诸如操作系统用户名 密码等的非正常交接导致的信息遗失 问题 第六条第六条 对于不具备相关系统知识的专业人员维护的单位 不具 30 有申请或使用服务器的权利 第七条第七条 用户应依据 兰州大学校园网二级网站及电子公告版管 理办法 向学校党委宣传部提出申请 申请经审核批准后 由党委 宣传部负责签发 校园网二级网站 电子公告版 许可证 由通信网络 中心负责办理相关手续 第八条第八条 通信网络中心将不定期对服务器进行安全检查 一旦发 现安全隐患 有权在未通知用户单位的情况下紧急中断服务器网络接 入 第九条第九条 用户单位需在通信网络中心登记服务器用途 不得私自 将服务器转做他用 第十条第十条 申请单位如需停止该服务 请提交相关申请 如未通知 我中心而弃用 由此引发的安全隐患 需由申请单位自己负责 第十一条第十一条 申请单位如违反以上规定 我中心有权停止其服务器 的使用 情节严重的报相关部门处理 通信网络中心 二 一五年十一月 31 五 应用安全管理制度五 应用安全管理制度 32 兰州大学校园网主页信息与服务内容与管理暂行办法兰州大学校园网主页信息与服务内容与管理暂行办法 第一章第一章 总总 则则 第一条第一条 为加强我校校园网主页信息及服务内容建设的管理工作 充分发挥学校各部门对网上信息及面向社会互动服务内容的建设的积 极性 建立学校校园网主页信息及服务内容的建设与管理机制 特制 定本管理办法 第二条第二条 校园网主页信息及面向社会互动服务内容是宣传学校建 设与发展成就 展示学校形象 促进学校对外交流的窗口 抓好校园 网主页信息建设 让更多的人了解我校 对扩大我校的社会影响力 提高学校的国际化水平 提高软实力 具有十分重要的推动作用 第三条第三条 校园网主页信息及面向社会互动服务内容的建设与管理 工作 要坚持时效性 丰富性 真实性的原则 要做到及时 准确 全面 第二章第二章 组织领导组织领导 第四条第四条 校园网主页信息及面向社会互动服务内容的建设与管理 工作 由学校信息化领导小组统一领导 校长办公室 以下简称校办 主管 通信网络中心负责技术支持和服务 各部门分工建设与管理 并体现各部门间相互协调 共建共管的原则 第五条第五条 党委宣传部是校园网主页信息与服务内容的主管部门 负责审核和监督学校各部门在网上的各种信息内容建设 负责组织开 展校园网主页信息与服务内容的各板块 栏目的审定和信息内容的检 查工作 负责组织召开有关工作会议 第六条第六条 通信网络中心是学校校园网主页信息与服务内容建设的 技术支撑部门 负责校园网主页信息与服务内容建设的总体框架设计 33 和技术支撑平台的建设与管理 负责网上信息安全和相关的技术服务 工作 负责协调学校各职能部门 各学院的校园网主页信息与服务内 容建设的具体工作 第七条第七条 学校各职能部门 各学院是校园网主页信息与服务内容 的具体建设部门 需指定一名领导分管与本单位相关的校园网主页信 息与服务内容的建设与管理工作 确定一名信息员负责本单位校园网 主页信息与内容的收集 处理 传递与整合等工作 第三章第三章 校园网主页信息内容工作的要求校园网主页信息内容工作的要求 第八条第八条 各单位要根据板块栏目要求 收集 整理 编撰所负责 板块的信息并上传至相应板块 及时提供宣传建设成就 展示形象 提供内容服务 第九条第九条 各单位在根据各自的职责 目标和任务 有组织 有计 划 定期地向校园网主页传送各类信息的时候 要根据网络与信息技 术中心提供的功能及规范要求进行 第四章第四章 附附 则则 第十条第十条 此暂行办法自发布之日起开始实施 由宣传部及通信网络 中心责解释 34 兰州大学校务管理系统运行安全管理规定 试行 兰州大学校务管理系统运行安全管理规定 试行 第一章第一章 总总 则则 第一条第一条 为规范兰州大学校务管理系统 以下简称校务系统 运行 管理 保障校务系统运行安全 根据国家有关规定 结合兰州大学实 际情况 制定本试行规定 第二条第二条 本规定所称校务系统 是指基于统一规划的校级应用 包 括办公自动化系统和管理信息系统 第三条第三条 校务系统的建设和管理 遵循统筹规划 合理布局 统一 数据库 统一标准 统一开发平台 统一用户管理 统一门户的原则 第四条第四条 本试行规定适用于使用校务系统的校内各单位 第二章第二章 运行管理运行管理 第五条第五条 通信网络中心负责校务系统的规划建设 运行管理和维护 升级 负责确保校务系统的程序安全 数据安全和运行安全 校务系 统的使用单位必须配合做好校务系统的安全管理工作 第六条第六条 校务系统管理员分校级系统管理员和部门级系统管理员两 级 校级系统管理员 一级系统管理员 是指校务系统的系统管理员 由通信网络中心提名 报请学校任命 部门级系统管理员 二级系统 管理员 是指校级机关 各直属单位 各院系 附属单位的技术管理 员 由各单位部门指定 第七条第七条 校级系统管理员负责如下工作 1 新增 修改 删除系统角色 2 新增 修改 删除系统资源权限 3 设置各单位组织机构 设置岗位与角色的对应关系 在系统 35 中为各单位设置技术管理员 根据其权限分配管理部门及可用系统角 色范围 4 新增 修改 删除用户资料 将岗位赋予用户 修改用户密 码 第八条第八条 部门级系统管理员负责如下工作 1 在校级系统管理员设置的管理范围内 查看系统角色 2 在管理范围内设置组织机构列表 设置岗位与系统角色的对 应关系 第九条第九条 系统管理员不得利用校务系统从事危害学校利益 教职工 学生利益的活动 不得危害校务系统的安全 第十条第十条 各单位应加强对本单位使用校务系统的安全管理 做好以 下工作 1 明确校务系统安全工作的主管负责人 并配备具有相应能力 的工作人员作为校务系统的技术管理员 2 各单位应将系统管理员和办公自动化系统文件管理员的名单 及联系方式上报通信网络中心备案 人员有变更时 必须同步报通信 网络中心更新备案 并由系统管理员进行相应岗位的权限更改 3 各单位系统管理员应该对岗位 岗位对应的系统角色 岗位 包含的用户进行纸质和电子的备案 当发生变化时 必须同步报校级 系统管理员更新备案 4 各单位系统管理员应妥善保护自己的帐号资料 登录系统后 因故离开要退出系统 5 各单位文件管理员和系统管理员应定期参加培训 并负责对 本单位的用户进行培训 6 当发生安全事件时 部门系统管理员应迅速采取相应措施并 及时向校级系统管理员报告 必要时 通信网络中心给予紧急支持 7 各单位应建立信息维护制度 对系统中权限范围内的信息进 行及时维护和更新 第十一条第十一条 校级系统管理员应对各单位系统管理员管理的组织机构 和系统角色进行纸质和电子的备案 当发生变化时必须同步对备案进 行更新 第十二条第十二条 校务系统的系统管理员的密码保存机制 系统管理员的 36 密码必须由 8 位或以上组合而成 密码必须包含数字 字母 特殊字 符 将密码分隔成两段 由两个人分开掌握 密码还需要密封后放入 保险柜中 第十三条第十三条 校务系统中建立审计制度 对管理员的操作进行记录 校级系统管理员要定期对审计信息进行查看和监控 第十四条第十四条 当发生安全事件时 各级系统管理员相互之间要密切配 合 迅速采取措施 同时向上级主管领导报告 事后做好安全改善 第十五条第十五条 使用校务系统的人员不得随意就校务系统中的数据对外 提供服务 如确有必要 需经过上级主管部门和领导同意 由有权限 的人员负责查询 第十六条第十六条 其它应用如果需要通过接口方式获取校务系统中的数据 必须经过职能部门 通信网络中心同意 设计符合校务系统的数据接 口规范的接口软件 第三章第三章 附附 则则 第十七条第十七条 对于违反本规定造成损失的 视情节轻重报有关部门处 理 第十八条第十八条 对于危害公共安全 国家安全 泄露国家秘密以及其它 违反法律 法规的行为 由司法 公安部门依法处理 构成犯罪的 报有关司法部门依法追究刑事责任 第十九条第十九条 本管理规定由学校通信网络中心负责解释 第二十条第二十条 本管理规定自公布之日起生效 37 兰州大学电子邮件管理制度兰州大学电子邮件管理制度 为保障我校校园网电子邮件服务的正常使用 规范我校校园网电 子邮件的使用行为 特制定本管理制度 第一章第一章 组织管理组织管理 第一条第一条 兰州大学电子邮件管理由网络与信息技术中心负责 第二条第二条 网络与信息技术中心提供兰州大学电子邮件服务必须遵 守以下行为规范 应当将电子邮件服务和使用规则告知用户举报和投诉垃圾电子 邮件的方式 电子邮件服务器应当使用固定 IP 地址 应当及时堵塞电子邮件服务器安全漏洞 向用户提供群组发送电子邮件服务的 应当建立相应的管理制 度 应当遵守国家相关管理规定和技术标准 应当记录经其电子邮件服务器发送或者接收的互联网电子邮件 的发送或者接收时间 发送者和接收者的互联网电子邮件地址及 IP 地 址 上述记录应当保存六十日 并在国家有关机关依法查询时予以提 供 应当对用户的电子邮件地址 内容和个人信息采取保密措施 除国家有关机关依法检查外 不得向他人提供用户的电子邮件地址 内容和个人信息 不得将用户的个人信息用于获取目的以外的其他用 途 38 第二章第二章 垃圾电子邮件管理垃圾电子邮件管理 第三条第三条 网络与信息技术中心采取以下的技术防范措施加强垃圾 电子邮件管理 对发送垃圾电子邮件的特定网络地址 电子邮件进行屏蔽的功 能 具备限制采自相同客户端网络地址的并发连接数量超过最大限 制值的功能 具备限制来自相同客户端 网络地址的连接频率超过最大限制 值的功能 具备限制本地电子邮件用户一次性发送同一电子邮件发送量的 功能 具备判别电子邮件虚假路由 对伪造虚假路由的电子邮件限制 发送的功能 具备关闭电子邮件服务器匿名转发或采取用户身份认证 电子 邮件转发授权控制措施的功能 具备对大量群发 连发同样特征的已知垃圾电子邮件进行拦截 的功能 其中特征指电子邮件长度 信条字段 信体符合特定条件 第三章第三章 账号管理账号管理 第四条第四条 教职工和学生免费获得一个工作邮箱 第五条第五条 教职工的工作邮箱及网络磁盘的存储总空间为 10000MB 学生的工作邮箱及网络磁盘的存储空间为 3000MB 第六条第六条 当教职工和学生离开兰州大学的时候 工作邮箱的使用 权限将被自动收回 39 第四章第四章 行为规范行为规范 第七条第七条 不得制作 复制 发布 传播包含 中华人民共和国电 信条例 第五十七条规定内容的互联网电子邮件 第八条第八条 不得利用互联网电子邮件从事 中华人民共和国电信条 例 第五十八条禁止的危害网络安全和信息安全的活动 第九条第九条 未经授权不得利用他人的计算机系统发送互联网电子邮 件 第十条第十条 不得将采用在线自动收集 字母或者数字任意组合等手 段获得的他人的互联网电子邮件地址用于出售 共享 交换或者向通 过上述方式获得的电子邮件地址发送互联网电子邮件 第十一条第十一条 不得发送或者委托发送故意隐匿或者伪造互联网电子 邮件信封信息 第十二条第十二条 未经互联网电子邮件接收者明确同意 不得向其发送 包含商业广告内容的互联网电子邮件 40 六 数据安全管理制度六 数据安全管理制度 41 兰州大学信息系统数据管理暂行办法兰州大学信息系统数据管理暂行办法 第一章第一章 总总 则则 第一条第一条 兰州大学信息系统数据作为学校的无形资产和战略资源 应 纳入学校统一管理范畴 实现信息系统数据的统一管控 提高数据质 量和数据的利用效率 提供安全 完整 统一的数据服务 为学校教 学 科研 管理提供信息服务和技术保障 第二条第二条 本办法所指的信息系统与 中华人民共和国计算机信息系统 安全保护条例 中的信息系统定义一致 由计算机及其相关的和配套 的设备 设施 含网络 构成的 按照一定的应用目标和规则对信息 进行采集 加工 存储 传输 检索等处理的人机系统 包括范围是 学校各类型的管理信息系统 网站 教学资源系统 用户服务系统等 第三条第三条 本办法所指的数据是指各类信息系统所覆盖的相关数据 包 括但不限于 管理信息系统产生的业务数据 网站数据 教学资源 含多媒体视频 图片 课件等 用户服务支持系统产生的数据 第四条第四条 信息系统数据管理是指利用信息系统对数据进行采集 录入 运维 存储 归档 应用的过程以及制定数据标准 数据安全策略和 实施数据审核的管理 第五条第五条 信息系统数据管理应遵循以下原则 一 统一规范原则 信息系统采集和处理的数据 应符合学校制定 的信息系统所要求的特定数据标准 二 全程管控原则 建立数据从采集 处理到维护的全过程管控体 系 重点把好数据的采集关 确保信息系统数据真实 准确 完整 及时 三 定期考评原则 相关业务部门对所管理的数据具有责任 对其 权限范围内所负责的数据管理工作要进行定期的管理考评 第六条第六条 信息系统数据管理应达