学校校园网络及信息安全管理制度

学校校园网络及信息安全管理制度为规范校园网络使用行为，保障校园网络与信息系统安全稳定运行，维护学校、师生员工与校外访问用户的合法权益，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《教育系统网络安全事件应急预案》等法律法规与上级教育主管部门的相关要求，结合我校实际办学与信息化建设情况，制定本制度。第一章总则本制度适用于我校所有接入校园网络的单位、部门、全体师生员工、临时访问人员，以及所有依托校园网络运行的门户网站、信息系统、移动应用、小程序、数据资源、各类线上服务等，所有涉及校园网络使用与信息安全管理的活动，均须遵守本制度。本制度落实网络安全管理遵循三项核心原则：一是坚持“谁主管谁负责、谁运营谁负责、谁使用谁负责”的权责划分原则，明确各层级主体安全责任，杜绝责任真空；二是坚持“分级保护、纵深防御”的防护原则，针对不同安全等级的信息系统与数据采取差异化防护措施，构建分层防护体系；三是坚持“安全与发展并重、预防与处置结合”的工作原则，在推进教育数字化、信息化应用的同时筑牢安全防线，实现安全保障与服务提升同步推进。第二章组织管理与职责分工学校设立网络安全和信息化领导小组，由学校主要负责同志担任组长，分管信息化与安全工作的校领导担任副组长，成员包括信息化、宣传、保卫、教务、科研、学工、财务、人事等职能部门及各二级单位主要负责人，是全校校园网络与信息安全工作的最高决策机构，主要职责为：统筹制定全校网络与信息安全发展规划，审批网络安全重大政策与项目建设方案，研究部署重大网络安全保障工作，协调处置重大网络安全突发事件，监督检查各单位网络安全责任落实情况。领导小组下设网络安全管理办公室，挂靠信息化建设与管理中心（以下简称信息中心），负责处理网络安全日常管理事务。信息中心作为全校校园网络与信息安全的技术支撑与日常管理部门，主要职责为：负责校园网络基础设施的建设、运维与安全管理，统筹搭建全校网络安全防护技术体系，开展日常安全监测、漏洞扫描、隐患排查与攻击处置，组织开展网络安全应急演练与应急处置，落实等级保护、数据安全等监管要求，对各二级单位网络安全工作提供技术指导与监督检查。各二级学院、职能部门作为本单位网络与信息安全的责任主体，单位主要负责人是本单位网络与信息安全第一责任人，全面负责本单位网络安全管理工作，推动落实各项安全管理制度；各二级单位须明确1名专职或兼职网络信息安全员，具体落实本单位网络安全日常管理工作，主要职责包括：每日巡查本单位门户网站、业务系统的内容安全与运行状态，每月排查本单位接入校园网的设备安全隐患，督促本单位师生落实网络安全规范，及时上报本单位发现的网络安全问题，配合信息中心开展安全检查与应急处置。各相关职能部门按照“管业务必须管安全”的要求落实分管领域安全责任：宣传部负责校园网络内容的意识形态安全管理，指导开展网络文明建设；保卫处负责协助处置涉网违法犯罪行为，配合公安机关开展网络安全事件调查；财务处负责保障网络安全建设、运维、应急处置等工作的经费预算，落实经费管理要求；教务处负责将网络安全素养教育纳入学校通识教育与新生入学教育体系，统筹做好线上考试、教学平台的信息安全管理；科研处负责规范科研项目数据的安全管理，督促课题组落实科研数据安全责任；学生处、研究生院负责协助开展学生群体的网络安全宣传教育，规范学生线上活动的行为管理；图书馆负责做好数字资源、图书馆信息系统的安全管理，落实数据访问安全规范。师生员工个人是个人使用校园网络行为的直接责任人，须严格遵守本制度规定，对本人在校园网络上的所有行为、发布的所有信息、存储的所有数据承担安全责任。第三章校园网络接入安全管理校园网IP地址实行统一分配、分级管理制度，所有接入校园网络的设备，均须向信息中心申请备案，由信息中心统一分配IP地址，禁止任何单位和个人私自占用、修改、盗用IP地址，禁止私自搭建DHCP服务器扰乱校园网地址分配秩序，违者将暂停IP使用权限，责令限期整改。校内有线网络接入管理：各单位新增有线网络接入点位，须提前向信息中心提交接入申请，说明接入用途、设备数量，经审核通过后由信息中心统一安排施工接入，禁止任何单位和个人私拉乱接有线网络，禁止私自将校内网络接入权限提供给校外单位或个人使用，禁止将校内网络资源用于商业性经营活动。无线网络接入管理：校园无线网络划分为内网服务SSID与公共访客SSID，校内师生员工须通过统一身份认证登录内网SSID，获得校内资源与互联网访问权限；临时访客须通过实名认证完成身份登记，方可接入访客SSID，访客网络仅开放互联网访问权限，禁止访问校内非公开内网资源；校外单位带入的科研设备、活动设备需要接入校内内网的，须由对接的校内责任单位提前向信息中心备案，开通最长不超过15天的临时接入权限，使用完毕后须及时申请注销接入权限。网络拓展设备管理：禁止任何单位和个人私自在校园网内安装无线路由器、无线AP、交换机等网络拓展设备，违规私接设备极易引发信号干扰、内网入侵、数据泄露等安全风险；确因工作场景需要安装的，须提前向信息中心提交申请，备案设备安装位置、MAC地址、负责人信息，设置由大小写字母、数字、特殊符号组成的强密码，每季度至少更新一次密码，关闭不必要的远程管理权限；信息中心每学期开展两次全校性私接设备排查，发现违规私接的设备，立即断开网络连接，通知责任单位限期整改，逾期未整改的，暂停责任单位所有网络接入权限。第四章校园网站与信息系统安全管理所有校内门户网站、业务信息系统、移动应用、小程序等信息化应用，均须履行立项备案与安全审批手续，新建应用上线前，须由建设运营单位向信息中心提交安全备案，按照《信息安全等级保护管理办法》要求确定安全保护等级，完成等级保护备案与测评，落实对应等级的安全防护措施，未完成备案与测评的应用不得上线运行；已上线运行的应用须每两年开展一次等级保护测评，更新安全防护措施，对测评发现的问题限期整改。内容安全管理：所有网站、信息系统的信息发布严格落实“先审后发、多级审核”制度，运营单位须明确信息审核责任人，所有对外发布的信息须经过审核人签字确认后方可发布，确保发布信息内容符合国家法律法规、意识形态要求与学校相关规定，不得发布违法违规、侵权泄密、虚假误导、低俗有害的信息；运营单位须每季度对发布的信息进行梳理排查，及时清理过期、失效内容，对停止运营的网站、系统，须及时向信息中心申请注销，关闭域名解析与服务器访问权限，不得空置闲置系统被不法分子篡改冒用。服务器与域名管理：所有校内网站与信息系统的服务器原则上必须部署在学校数据中心统一云平台，确因特殊需要部署在校外服务器或第三方平台的，须经学校网络安全和信息化领导小组审批，向信息中心备案服务器地址、域名、负责人信息，接受信息中心的安全监管；所有校内业务域名必须使用学校统一分配的二级域名，禁止私自注册校外域名用于开展校内业务，禁止将学校域名解析到非授权服务器，禁止私自转卖学校域名给校外单位使用。日常安全运维管理：运营单位须严格落实系统账号权限管理制度，按照“最小权限、必要授权”的原则分配系统访问权限，每半年清理一次过期账号、僵尸账号，管理员账号必须使用强密码，每三个月至少更换一次密码，禁止共享管理员账号，禁止使用默认账号密码，禁止开启不必要的系统端口与服务；运营单位须每周对系统进行一次安全巡查，每月开展一次漏洞扫描，及时安装系统补丁，关闭安全漏洞；信息中心每季度组织一次全校性的漏洞扫描与安全排查，发现高危漏洞的，向运营单位下达整改通知书，要求1个工作日内完成整改，逾期未整改的，暂停系统对外服务，消除隐患后方可恢复；所有系统操作日志、访问日志须至少留存6个月，满足安全审计与事件追溯要求。第五章数据安全与个人信息保护管理学校对校园数据实行分类分级保护制度，根据数据的敏感程度与危害影响，将校园数据划分为三个等级：一级为核心数据，包括涉及国家秘密的工作信息、师生个人敏感信息（身份证号、银行卡号、生物识别信息、健康信息、行踪信息等）、未公开的核心科研数据、学校财务核心数据、招生录取核心数据、校园安防核心数据等；二级为重要数据，包括师生基本信息、非核心的科研项目数据、各类考试成绩、学籍学历数据、学校未公开的工作文件等；三级为一般数据，包括已经对外公开的学校新闻、通知公告、公开课程资源等。核心数据与重要数据必须存储在学校数据中心或学校授权的合规云存储平台，禁止存储在个人移动硬盘、私人云盘、境外服务器等非授权存储介质与平台，确因工作需要传输核心数据或重要数据的，必须使用学校统一提供的加密传输通道，禁止通过微信、QQ、个人邮箱等非授权公共工具传输核心数据，防止数据泄露。个人信息保护管理：学校收集、使用师生个人信息遵循合法、正当、必要的原则，明确收集目的、使用范围与保存期限，不得过度收集与业务无关的个人信息；任何单位和个人不得非法买卖、泄露、篡改、向第三方提供师生个人信息，未经信息主体本人同意，不得将收集的个人信息用于与工作职责无关的用途；新建涉及个人信息处理的信息系统，上线前须完成个人信息保护影响评估，落实个人信息安全防护措施，发生个人信息泄露事件的，须第一时间通知受影响个人，上报学校网络安全管理办公室与监管部门，及时采取补救措施。科研数据安全管理：所有承担科研项目的课题组须明确科研数据安全责任人，涉密科研数据严格按照国家保密法律法规进行管理，非涉密的核心科研数据按照本制度核心数据管理要求落实存储、传输、访问安全规范，课题组成员离职时不得私自带走、删除核心科研数据，须将所有科研数据归档至学校科研数据管理平台；科研项目对外合作需要共享核心科研数据的，须经过科研处与学校网络安全管理办公室审批，签订数据共享安全协议，明确数据使用范围与安全责任。对外数据共享管理：任何单位和个人未经审批不得私自向校外机构、企业提供学校核心数据与重要数据，确因工作需要共享数据的，须由申请单位提交数据共享申请，经数据所属部门审核、信息中心备案、分管校领导审批后，签订数据安全协议，明确数据使用权限、使用范围与安全责任，全程留痕可追溯。第六章用户网络行为安全管理所有使用校园网络的用户，必须严格遵守国家网络安全相关法律法规，自觉遵守网络文明公约，维护网络空间秩序，不得利用校园网络从事危害国家安全、泄露国家秘密、破坏民族团结、扰乱社会秩序的活动，不得制作、复制、发布、传播违法违规、低俗暴力、虚假造谣、意识形态违规的信息，不得侵害他人名誉、隐私、知识产权等合法权益。禁止任何用户利用校园网络从事网络诈骗、网络赌博、传销、非法集资等违法犯罪活动，禁止非法入侵他人信息系统、窃取他人数据、植入病毒木马、发起DDoS攻击、端口扫描、漏洞探测等危害网络安全的活动，禁止利用校园网络挖矿、传播黑客工具、恶意软件，禁止私自搭建VPN、代理服务器、私服等非法网络服务。禁止任何用户私自将个人的校园网接入权限转借、出租给校外人员使用，禁止利用校园网络开展经营性商业活动违规牟利。全体师生员工须主动提升网络安全防范意识，定期更新个人手机、电脑等设备的操作系统与杀毒软件，不点击不明来源的链接，不下载不明来源的软件，不随意透露个人统一身份认证账号密码、验证码等敏感信息，每三个月至少更换一次重要账号密码，发现账号异常登录、设备异常运行等情况，须第一时间修改密码并向信息中心报告。第七章安全防护与应急处置管理信息中心负责统筹搭建全校多层纵深网络安全防护体系，部署防火墙、入侵检测系统、入侵防御系统、Web应用防火墙、分布式拒绝服务攻击防护系统、漏洞扫描系统、安全态势感知系统、终端病毒防护系统等安全设备，定期更新安全设备规则库与病毒库，实行7*24小时安全监测，实时发现并处置异常流量、网络攻击、异常访问等安全事件。学校建立分级分类的网络安全应急预案，针对网络基础设施故障、网站篡改、数据泄露、大规模网络攻击等不同类型的安全事件制定对应的处置流程，一般安全事件由信息中心牵头处置，重大安全事件由学校网络安全和信息化领导小组牵头处置，按照规定及时向上级教育主管部门、公安机关、网信部门上报。信息中心每半年组织一次全校性的网络安全应急演练，各二级单位每年至少组织一次本单位的应急演练，提升全校应急处置能力，完善应急预案。在国家重大活动、学校招生录取、研究生考试、新生入学等重要时段，实行领导带班、24小时值班制度，每日开展三次安全巡查，及时处置突发安全事件，确保校园网络安全稳定运行。建立漏洞预警与快速响应机制，收到上级部门、安全厂商发布的高危安全漏洞预警后，信息中心第一时间向全校相关单位通报，督促责任单位及时整改，对存在严重安全隐患、可能引发大面积安全事件的系统与设备，直接采取断网隔离措施，消除隐患后再恢复运行。发生网络安全事件后，发现人须第一时间向本单位负责人与信息中心报告，不得隐瞒不报，信息中心须立即采取隔离、断网、备份数据等处置措施，防止事件扩大，留存相关证据，配合相关部门调查，处置完成后组织开展复盘分析，完善安全防护措施，避免同类事件再次发生。第八章教育培训、监督考核与责任追究学校将网络安全宣传教育培训纳入年度工作计划，信息中心会同宣传部、教务处、学生处每年组织开展不少于两次全校性的网络安全宣传周活动，普及网络安全知识，提升师生网络安全素养；将网络安全知识纳入新生入学教育、教师岗前培训内容，面向各二级单位网络信息安全员每学期组织一次