学校网络安全管理制度

学校网络安全管理制度为全面加强学校网络安全管理，保障校园网络系统稳定运行，维护教学、科研、管理等业务数据安全，防范网络安全风险，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》等法律法规，结合学校实际情况，制定本制度。一、组织架构与职责分工学校网络安全管理实行“统一领导、分级负责、责任到人”的管理机制，建立由校领导、职能部门、二级单位组成的三级管理体系。（一）网络安全领导小组组长由分管信息化工作的校领导担任，成员包括信息化建设与管理中心（以下简称“信息中心”）、校长办公室、教务处、学生工作部、保卫处、科研处等部门主要负责人。领导小组职责如下：1.统筹规划学校网络安全工作，审定网络安全战略、重大政策及年度工作计划；2.研究解决网络安全重大问题，决策网络安全事件应急处置方案；3.监督各部门网络安全责任落实情况，组织开展网络安全工作考核；4.协调校内各单位、校外相关部门共同推进网络安全协同治理。（二）网络安全管理部门信息中心为学校网络安全主管部门，具体承担网络安全日常管理工作，职责如下：1.制定并完善网络安全管理制度、技术规范和操作流程；2.建设、维护校园网络安全技术防护体系（包括防火墙、入侵检测系统、日志审计系统等）；3.监测校园网络运行状态，开展安全风险评估与隐患排查，及时处置安全事件；4.组织网络安全培训与宣传教育，指导二级单位开展网络安全工作；5.负责校园网账号、IP地址、域名等网络资源的统一分配与管理；6.保存网络安全相关日志、记录及档案，按要求向主管部门报送网络安全信息。（三）二级单位网络安全责任各学院、职能部门（以下统称“二级单位”）是本单位网络安全责任主体，须指定1名网络安全联络人（原则上由办公室主任或信息化专员担任），具体职责如下：1.落实，制定本单位网络安全操作细则；2.管理本单位使用的信息系统、终端设备及数据，确保接入校园网的设备符合安全要求；3.配合信息中心开展网络安全检查、风险评估及事件处置；4.组织本单位人员参加网络安全培训，定期开展内部安全警示教育；5.及时报告本单位发现的网络安全隐患或事件，不得瞒报、漏报。二、网络设备与系统安全管理（一）核心网络设备管理1.校园网核心设备（包括路由器、交换机、防火墙、服务器等）由信息中心统一管理，实行双人值守、权限分离制度。设备管理员与操作管理员职责分离，关键操作需经审批并留存记录。2.核心设备需部署访问控制策略，仅允许授权人员通过安全通道（如SSH、堡垒机）进行远程管理；设备登录需采用双因素认证（如账号+动态验证码），禁止使用弱密码（长度小于8位、纯数字或简单字母组合）。3.核心设备需开启日志审计功能，记录设备登录、配置变更、流量异常等操作，日志保存期限不少于6个月；定期对日志进行分析，发现异常行为立即启动核查程序。4.核心设备需定期进行安全加固（如补丁更新、漏洞修复），每年至少开展1次第三方安全检测；设备更新、扩容或迁移需制定详细方案，经网络安全领导小组审批后实施，实施过程中需同步做好数据备份与恢复验证。（二）终端设备安全管理1.教职工、学生使用的办公电脑、教学终端、个人移动设备（如笔记本电脑、平板电脑）接入校园网前，须安装学校统一部署的终端安全管理软件（含杀毒软件、补丁管理模块），并开启实时防护功能。未安装或未启用防护软件的设备，禁止接入校园网。2.严禁私接无线路由器、交换机等网络设备，严禁通过代理服务器、VPN等方式绕过校园网安全管控；严禁将校园网账号转借他人使用，严禁利用校园网设备从事与教学、科研、管理无关的活动（如网络赌博、游戏代练）。3.二级单位需建立本单位终端设备台账，记录设备型号、IP地址、使用人等信息，每学期末报信息中心备案；对离职、退休教职工及毕业学生使用的终端设备，所在单位须收回或注销其校园网访问权限。（三）信息系统安全管理1.新建或改建信息系统（含自研系统、外购系统、第三方平台）须通过信息中心组织的安全评估，评估内容包括系统架构安全性、数据加密方式、访问控制机制等。未通过评估的系统不得上线运行。2.信息系统需遵循“最小权限”原则设置用户权限，管理员权限与普通用户权限严格分离；敏感操作（如数据删除、权限变更）需经双人确认并记录操作日志，日志保存期限不少于1年。3.信息系统数据需存储于学校统一管理的数据库或云平台，禁止将核心数据（如学生个人信息、科研成果）存储于个人电脑或第三方非授权平台；系统需定期进行数据备份（重要系统每日备份，一般系统每周备份），备份数据需异机存储并定期验证恢复有效性。4.停用或报废信息系统需向信息中心提交申请，经审核后删除或迁移系统数据，关闭系统访问入口，并注销相关账号权限；涉及国家秘密或重要敏感数据的系统，需按国家保密规定进行特殊处理。三、数据安全与隐私保护（一）数据分类分级管理学校数据分为公共数据、内部数据、敏感数据三类，具体定义如下：-公共数据：可向社会公开的信息（如学校简介、招生章程）；-内部数据：仅限校内人员访问的信息（如教职工考勤记录、课程表）；-敏感数据：涉及个人隐私、科研机密或影响学校安全稳定的信息（如学生身份证号、教职工工资信息、未公开的科研成果）。各二级单位需对本单位管理的数据进行分类标注，明确数据责任人（一般为部门负责人），并制定相应的访问控制策略：-公共数据：通过学校官网、信息公开平台等渠道主动公开；-内部数据：通过校园网统一身份认证系统（CAS）授权访问，访问记录需留存；-敏感数据：实行“一事一审批”制度，访问前需填写《敏感数据访问申请表》，经数据责任人和信息中心审批同意后，方可获取限定范围、限定时间的访问权限。（二）个人信息保护1.收集、使用学生、教职工个人信息须遵循“合法、正当、必要”原则，明确告知信息主体收集目的、方式和范围，不得超范围收集（如因教学管理需要收集学生手机号，不得额外收集家庭住址）。2.个人信息存储需采用加密技术（如AES-256加密），存储介质需设置访问密码并定期更换；通过网络传输个人信息时，须使用HTTPS、SSL等安全协议，禁止通过明文邮件、即时通讯工具传输敏感信息（如身份证号、银行卡号）。3.除法律法规另有规定外，不得向第三方提供个人信息；确需共享的，须与接收方签订保密协议，明确信息使用范围和安全责任，并报信息中心备案。（三）数据安全审计信息中心每学期对各单位数据管理情况进行抽查，重点检查数据分类标注、访问控制、加密存储等措施落实情况；每年委托第三方机构开展数据安全合规性审计，审计报告提交网络安全领导小组审议。对审计中发现的问题，责任单位须在15个工作日内完成整改并提交报告。四、网络接入与访问控制（一）有线网络接入1.校内办公区域、教学区域有线网络接入实行“IP地址绑定”制度，设备需通过信息中心分配的固定IP地址接入，严禁自行修改IP地址或使用静态IP绕过认证。2.科研实验室、实训基地等特殊区域需开通多设备接入权限的，所在单位需提交申请，说明设备数量、用途及安全防护措施，经信息中心审核同意后，方可开通临时或长期接入权限。（二）无线网络接入1.校园无线网络（SSID：XXX-WiFi）采用WPA3协议加密，教职工、学生通过校园网账号密码认证接入；访客无线网络（SSID：XXX-Guest）需通过短信验证码或身份证信息登记认证，仅开放互联网访问权限，禁止访问校内业务系统。2.无线网络接入终端需遵守《校园网络使用规范》，禁止利用无线接入点搭建热点共享网络，禁止通过无线设备扫描、嗅探其他终端信息。（三）校外远程访问教职工因工作需要远程访问校内业务系统的，须通过学校统一部署的VPN系统接入；VPN登录需采用“账号+动态令牌”双因素认证，访问权限根据岗位职责动态调整，非工作时间（22:00-次日6:00）限制登录。五、安全监测与应急处置（一）网络安全监测信息中心建立24小时网络安全监测平台，通过流量分析、日志审计、入侵检测等技术手段，实时监测以下风险：-网络攻击行为（如DDOS攻击、SQL注入、XSS跨站脚本）；-异常访问行为（如同一账号频繁登录失败、非工作时间大规模数据下载）；-恶意软件传播（如勒索病毒、木马程序）；-设备异常状态（如服务器CPU/内存利用率持续超过90%、网络延迟突然升高）。监测平台发现异常后，自动生成预警信息并推送至信息中心值班人员；值班人员需在10分钟内核实情况，确认安全事件后启动应急响应程序。（二）应急响应流程学校网络安全事件分为四级（Ⅰ级：特别重大，Ⅱ级：重大，Ⅲ级：较大，Ⅳ级：一般），具体响应措施如下：-Ⅳ级事件（如单个终端感染普通病毒）：信息中心技术人员30分钟内远程或现场处置，24小时内反馈结果；-Ⅲ级事件（如局部网络中断、单个业务系统故障）：信息中心启动专项工作组，2小时内制定处置方案，48小时内恢复系统运行；-Ⅱ级事件（如核心业务系统数据泄露、大规模网络攻击）：网络安全领导小组立即召开会议，协调保卫处、法务部门等参与处置，72小时内向主管部门报告；-Ⅰ级事件（如涉及国家秘密的数据泄露、校园网全面瘫痪）：启动最高级别应急机制，配合公安、网信部门开展调查，12小时内向上级主管部门提交详细报告。（三）事件复盘与改进安全事件处置完成后，信息中心需在5个工作日内形成《网络安全事件分析报告》，总结事件原因、处置过程及暴露的问题；网络安全领导小组根据报告提出整改要求，相关单位需在30个工作日内完成系统加固、流程优化等改进措施。六、网络安全教育与培训（一）常态化教育1.新生入学教育、新教职工入职培训中须设置网络安全专题课程，内容包括《网络安全法》解读、个人信息保护、常见网络诈骗防范等，课时不少于2学时。2.各二级单位每学期至少开展1次内部网络安全警示教育，通过案例分析、情景模拟等形式，强化教职工、学生的安全意识；信息中心通过校园网、微信公众号等渠道定期发布网络安全提示（如“谨防钓鱼邮件”“勒索病毒防范指南”）。（二）针对性培训1.信息系统管理员、网络设备运维人员等关键岗位人员，需参加省级以上主管部门组织的网络安全培训，每两年至少完成40学时的继续教育，持有效证书上岗。2.科研团队涉及敏感数据（如生物信息、地理信息）的，所在学院需联合信息中心开展专项培训，重点讲解数据出境安全