高校网络信息安全管理细则

高校网络信息安全管理细则一、总则为切实保障高校网络与信息系统安全稳定运行，维护校园网络空间秩序，保护师生员工合法权益与学校数据安全，依据《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》及教育部相关网络安全管理规定，结合本校实际，制定本管理细则。本细则适用于本校所有使用校园网络资源的单位、个人（含教职工、学生、临时访客）及依托校园网络运行的信息系统、网站、移动应用等。高校网络信息安全管理遵循“谁主管谁负责、谁运营谁负责、谁使用谁负责”原则，坚持技术防护与制度管理并重、日常监管与应急处置结合，保障网络安全与信息化发展相适应。二、管理机构与职责（一）学校网络安全领导小组学校成立网络安全和信息化领导小组，由校领导任组长，成员涵盖网信、教务、学工、后勤、保卫等部门负责人。领导小组统筹全校网络安全战略规划、重大政策制定及应急事件决策，每学期至少召开1次专题会议研究网络安全工作。（二）网络安全与信息化办公室（网信办）网信办作为领导小组常设办事机构，履行以下职责：1.制定校园网络安全管理制度、技术规范及应急预案，组织实施并监督落实；2.统筹校园网络基础设施、信息系统的安全防护建设与运维，开展安全监测、漏洞修复及安全审计；3.协调处置网络安全事件，对接上级主管部门及公安、网信等监管机构；4.组织网络安全培训、宣传及考核，提升全校网络安全意识与防护能力。（三）二级单位职责各二级单位（学院、部门）须明确网络安全管理员（可兼职），落实“属地管理”责任：1.制定本单位网络安全实施细则，规范所属网站、系统及用户的安全管理；2.审核本单位信息发布内容，监测并处置内部网络安全隐患；3.配合网信办开展安全检查、事件调查及应急处置，及时报送安全相关信息。三、网络安全防护管理（一）技术防护要求1.边界防护：校园网络出口部署防火墙、入侵检测/防御系统（IDS/IPS），启用访问控制、流量审计功能，禁止非法外联及高危端口开放；重要信息系统（如教务、财务、学工系统）需单独部署防火墙，实现“系统级隔离”。2.漏洞与风险管控：网信办每季度开展网络资产普查，对服务器、终端、应用系统进行漏洞扫描（采用等保合规工具），发现高危漏洞须在24小时内启动修复；新上线系统须通过安全测评（含渗透测试）后方可接入校园网。3.数据安全管理：重要数据（如师生个人信息、学业成绩、科研成果）需加密存储（采用国密算法），并建立异地容灾备份机制（至少保留2份备份，离线存储周期≥1年）；数据传输（尤其是跨校区、公网传输）须采用VPN、SSL/TLS等加密通道，禁止明文传输敏感数据。4.终端与移动设备管理：全校办公终端须安装正版杀毒软件（由网信办统一推送），禁止私自安装违规软件（如破解工具、翻墙软件）；移动设备（如笔记本、平板）接入校园网前须通过安全认证（如MAC地址绑定、身份认证）。（二）物理安全防护1.校园网络机房实行门禁管理（双人双锁、刷卡+密码认证），配备温湿度监控、消防灭火（气体灭火）、UPS供电系统，非运维人员禁止进入；2.网络设备（交换机、服务器、存储设备）须固定机架安装，做好防尘、防静电、防雷击保护；设备配置文件须定期备份，修改需经审批并留存操作日志；3.校园网络线路（光纤、网线）须规范敷设，标注清晰标识，禁止私拉乱接；施工涉及网络线路改动时，须提前报网信办审批。四、信息内容与数据管理（一）信息发布规范1.校园网站、公众号、小程序等信息发布平台须实行“先审后发”制度，由单位负责人或指定审核人对内容合法性、准确性、合规性进行审核；2.禁止发布以下内容：违反法律法规、损害国家/学校利益、破坏民族团结的内容；虚假信息、谣言、暴力色情、低俗侵权（含抄袭、侵犯肖像权）的内容；未经授权的涉密信息、内部工作文件或师生隐私信息；3.信息发布后须留存记录（含发布时间、内容、审核人），至少保存3年；如需删除或修改，须说明原因并备案。（二）数据采集与使用1.校内系统采集师生个人信息时，须遵循“最小必要”原则，明确告知采集目的、范围及使用方式，获得用户授权（可通过系统弹窗、协议签署等方式）；2.数据共享（如跨部门、校企合作）须签订《数据安全责任书》，明确双方责任及保密义务，禁止向第三方（含商业机构）泄露师生敏感数据；3.科研数据管理须符合学术规范，涉及生物、医疗、涉密领域的数据，须按国家相关规定备案或审批。五、用户与账号管理（一）用户分类与权限校园网络用户分为教职工、学生、临时访客三类：教职工账号：默认开通办公网、互联网访问权限，可申请业务系统（如OA、财务）权限；学生账号：开通互联网访问（含教育网），限制访问高危端口（如3389、445），需通过身份认证（学号+密码）接入；临时访客：由接待单位申请临时账号（有效期≤15天），仅限访问互联网，禁止接入校内业务系统。（二）账号全生命周期管理1.申请：用户须凭有效证件（教职工工牌、学生证、访客证明）向网信办或二级单位提交申请，填写《网络账号申请表》并签署《网络安全承诺书》；2.使用：账号仅限本人使用，禁止转借、出租或用于违规活动（如网络攻击、刷单、翻墙）；用户须每季度修改密码（复杂度要求：8位以上，含大小写字母、数字、特殊字符）；3.注销：教职工离职、学生毕业/退学、访客离开时，须在7个工作日内注销账号，由所在单位提交《账号注销申请》，网信办同步回收权限并清除关联数据。六、应急处置与事件管理（一）应急预案与演练网信办须制定《校园网络安全事件应急预案》，明确事件分级（一般、较大、重大）、响应流程及责任分工，每年修订1次；每学年组织1次应急演练（含勒索病毒、数据泄露、网络瘫痪等场景），提升处置能力。（二）事件报告与处置1.发现与上报：用户或管理员发现网络异常（如系统瘫痪、数据篡改、恶意弹窗），须立即向网信办报告（电话、邮件或工单系统），报告内容包括事件时间、现象、涉及范围等；2.应急响应：网信办接报后，1小时内启动响应：切断攻击源（如隔离感染终端、封堵IP）、备份受影响数据、开展溯源分析；重大事件（如数据泄露、大规模瘫痪）须在2小时内上报学校领导小组及上级主管部门；3.事后评估与整改：事件处置后，网信办须在5个工作日内完成《事件分析报告》，明确原因、损失及整改措施，对相关责任人提出处理建议。七、监督考核与责任追究（一）监督检查机制1.网信办每月开展网络安全巡检，内容包括系统漏洞、数据安全、账号合规性等，形成《安全检查报告》并通报全校；2.每年委托第三方机构开展网络安全等级保护测评（针对三级及以上系统），测评结果作为次年安全建设的依据；3.二级单位每学期向网信办提交《网络安全自查报告》，如实报告本单位安全管理情况。（二）考核与奖惩1.学校将网络安全管理纳入二级单位年度考核（占比不低于5%），与评优评先、经费划拨挂钩；对表现突出的单位和个人（如及时发现重大漏洞、成功处置事件），予以通报表彰或物质奖励；2.对违反本细则的单位或个人