学校网络中心管理制度

学校网络中心管理制度学校网络中心是支撑校园教学科研、管理服务、师生生活数字化运行的核心技术枢纽，所有运维、管理、服务工作必须严格遵循标准化制度框架开展，全面保障校园网络安全、稳定、高效运行。网络中心实行主任负责制，根据工作职能划分5类专职岗位，明确权责边界，杜绝职责交叉、管理盲区。其中网络安全岗为核心涉密岗位，人员招录必须经过学校人事部门、保卫部门联合政审，具备网络安全等级保护测评师、CISP等相关专业资质优先，岗位职责包括牵头落实网络安全等级保护2.0相关要求，统筹管理各类安全设备策略，定期开展漏洞扫描、风险评估、安全审计，牵头处置各类网络安全事件，对接网信、公安、教育等上级主管部门的安全检查、任务报送工作，组织开展全校师生网络安全宣传培训；系统运维岗负责核心机房物理环境、网络设备、服务器、存储设备、云平台的日常运维，制定设备巡检、升级、维护计划，负责IP地址、域名、带宽资源的统筹分配，保障核心网络链路、业务系统的7*24小时稳定运行；资源服务岗负责学校统一身份认证、信息门户、校园卡、正版软件、邮件系统等公共服务平台的功能迭代、运维保障，统筹推进各业务系统的数据打通、接口对接，推进IPv6规模部署、智慧校园应用场景落地，负责电子教学资源、科研资源的网络访问保障；用户响应岗负责对接师生用户的各类网络服务诉求，承接线上线下服务申请、故障报修，跟踪故障处置全流程，定期开展用户需求调研、满意度回访，牵头做好新生入网、毕业生账号销户等批量服务工作，宣传校园网络使用规范；项目建设岗负责学校信息化建设项目的需求调研、方案论证、招标配合、施工监管、竣工验收全流程管理，建立信息化项目全生命周期台账，对接第三方建设、维保单位，考核服务履约情况，牵头开展信息化技术应用的调研跟踪，为学校数字化建设提供决策支撑。所有在岗人员必须签订岗位保密协议，严格遵守学校保密管理规定，不得泄露网络拓扑、安全策略、核心系统账号密码、师生个人信息等涉密敏感内容，不得利用职务便利私自查询、导出、传播师生上网行为数据、个人信息数据；建立常态化技能培训机制，每月组织不少于2次岗位技能培训，每季度组织1次专业技能考核，考核结果与绩效分配、岗位晋级直接挂钩，及时跟进网络技术、网络安全领域的最新政策、技术动态，持续提升运维服务能力；严格执行人员离岗权限回收机制，人员调离、退休时，必须第一时间回收所有系统操作权限、门禁权限、设备账号，签订离岗保密承诺书，对其负责的核心系统账号进行密码更换、权限重置，杜绝权限遗留风险。核心网络机房、各楼宇汇聚节点机房实行分级管控，核心机房为重点管控区域，出入必须执行审批登记制度，非网络中心工作人员进入核心机房必须持有网络中心主任签字的审批单，由对应岗位工作人员全程陪同，严禁携带易燃易爆、强磁设备、个人存储设备进入机房，出入记录要留存备查；严禁在机房内饮食、吸烟、堆放杂物，机房内备用的网线、光纤、设备配件要统一存放至专用储物柜，不得随意堆放在设备机柜旁，避免阻挡通风通道、引发消防隐患。机房内部严格执行环境管控标准，温度维持在22℃±2℃，相对湿度维持在40%-60%，部署动环监测系统7*24小时实时监测温湿度、市电电压、UPS运行状态、空调运行状态、烟感告警、水浸告警，一旦触发阈值自动通过短信、电话向值班人员发送告警信息；每日安排值班人员对机房环境开展2次现场巡检，检查设备指示灯状态、线缆连接情况、空调运行噪音、消防器材有效期，每月对UPS系统开展一次带载测试，每季度开展一次双路市电切换演练，每半年联合后勤、消防部门开展一次机房消防隐患排查，保障动力系统、消防系统可靠运行；机房内设备上架、下架必须履行审批流程，由申请部门提交设备上架申请，明确设备用途、责任人、功率参数，经系统运维岗审核、网络中心主任审批后方可操作，所有上架设备必须粘贴统一格式的资产标签，明确设备名称、资产编号、责任人、上架时间，机房内部线缆严格按照强弱电分离标准布设，所有网线、光纤、电源线必须粘贴标签，标注两端连接设备端口信息，杜绝私拉乱接、线缆杂乱情况。对核心交换机、汇聚交换机、接入交换机、无线AP、光纤链路等基础设施建立全生命周期台账，详细记录设备采购时间、维保期限、安装位置、配置参数，每季度开展一次全域网络设备巡检，检查设备CPU、内存利用率、端口流量、光功率参数，对性能不足、运行超期的设备制定更换计划，杜绝设备“带病运行”；有线网络运维建立“核心-汇聚-接入”三级故障响应机制，核心层设备配置双机热备，单台设备故障时自动切换不影响网络运行，汇聚层设备故障必须在4小时内完成处置恢复，接入层设备故障必须在8小时内完成处置，楼宇内光纤、网线布线出现破损、中断的，要在接到报修后24小时内完成熔接、更换；无线网络实现教学区、办公区、宿舍区、公共活动区全覆盖，每月开展一次全域无线信号测试，对信号弱、信道干扰、连接失败率高的区域及时调整AP位置、优化信道配置、增加AP点位，保障无线信号覆盖率不低于99%，无线终端平均下载速率不低于100Mbps，严格管控私接无线路由器行为，通过终端识别技术对私接路由进行实时阻断，避免对校园无线网络造成信道干扰、环路故障。IP地址实行统一分配、分级管理，教学办公区固定IP地址申请必须由所在部门提交正式申请，明确使用人、设备用途、MAC地址，经网络中心审核后统一分配，严禁个人私自设置静态IP地址、盗用他人IP地址，定期通过流量监测系统扫描IP地址使用情况，对长期闲置的IP地址及时回收；校园网域名实行统一备案、统一解析管理，学校二级域名申请必须由业务主管部门提交申请，明确域名用途、对应服务器IP、安全责任人，经网络中心审核后按照工信部、教育网相关要求完成备案后方可解析上线，严禁各部门私自搭建域名解析服务、使用未备案域名对外提供服务；校园网出口带宽实行动态调度机制，对接教育网、三大运营商出口带宽，根据教学科研、师生上网的流量特征动态调整路由策略，在教学时段优先保障教务系统、科研资源平台、在线教学平台的带宽需求，在休息时段合理优化师生公网访问带宽，每月开展一次出口流量分析，对异常大流量消耗、恶意流量攻击及时溯源处置，保障带宽资源高效利用。严格落实《网络安全法》《数据安全法》《个人信息保护法》以及网络安全等级保护2.0系列标准要求，学校所有面向师生、面向社会提供服务的信息系统必须完成网络安全等级保护定级备案，核心教务系统、学工系统、财务系统、招生系统、统一身份认证系统定为三级等保，其他公共服务系统定为二级等保，每年委托具备资质的第三方测评机构完成等保测评，对测评发现的安全隐患建立整改台账，明确整改责任人、整改时限，闭环落实整改要求；强化网络边界防护能力，在校园网出口、核心业务区边界部署下一代防火墙、入侵防御系统、Web应用防火墙、抗DDoS攻击设备，配置精细化访问控制策略，默认关闭所有非必要端口，仅开放业务所需的服务端口，安全策略每季度开展一次梳理优化，删除过期、冗余策略，部署全流量威胁监测系统，7*24小时监测网络中的异常流量、恶意攻击行为，一旦发现端口扫描、暴力破解、木马通信等行为立即阻断IP、溯源处置。严格落实数据安全管理要求，对学校所有数据资源按照公开数据、内部数据、敏感数据、核心数据进行分级分类，核心数据包括师生身份证号、手机号、家庭住址、学业成绩、科研涉密数据、财务数据等，严格落实数据最小可用原则，各业务系统采集师生信息时，不得超出业务需求范围采集无关信息，师生个人信息的展示必须按照最小必要原则进行脱敏处理，比如手机号仅显示前后3位、身份证号仅显示前后4位，防止个人信息在页面展示环节泄露；所有核心数据的存储必须采用加密方式，数据导出、共享必须履行严格审批流程，由数据使用部门提交申请，明确数据用途、使用范围、保密措施，经数据归属部门、网络中心、学校保密委员会审批后方可导出，导出过程全程留痕，严禁任何个人、部门私自批量导出、售卖、泄露师生核心数据；建立常态化容灾备份机制，对核心业务系统数据、配置数据执行“本地+异地”备份策略，本地备份采用每日增量备份、每周全量备份的方式，备份数据存储在独立的备份存储设备中，异地备份存储在距离学校50公里以上的灾备中心，备份数据留存时间不少于180天，每季度开展一次备份数据恢复演练，验证备份数据有效性，确保发生硬件故障、勒索病毒攻击、数据误删等情况时，可以快速恢复数据、恢复业务运行。加强终端入网安全管控，所有接入校园网的终端必须通过实名认证，绑定用户身份信息，部署终端安全管理系统，强制安装杀毒软件、开启病毒实时防护，定期开展全网弱口令扫描，对密码长度不足、使用默认密码、长期未更换密码的账号强制要求修改密码，对存在高危漏洞、感染木马病毒的终端自动阻断入网，待风险消除后方可恢复网络连接；建立漏洞全生命周期管理机制，每周对所有网络设备、服务器、业务系统开展一次漏洞扫描，密切关注国家信息安全漏洞共享平台、教育行业网络安全通报中心发布的漏洞预警信息，对涉及学校在用系统、设备的高危漏洞第一时间开展排查，对扫描发现的漏洞按照危害等级建立处置台账，高危漏洞必须在24小时内完成修复，中危漏洞必须在7天内完成修复，低危漏洞必须在30天内完成修复，系统补丁安装前必须在测试环境开展兼容性测试，避免补丁安装导致业务中断，对无法及时修复的高危漏洞，要先采取临时防护策略，通过访问控制、WAF规则拦截等方式阻断漏洞利用路径，防范零日漏洞被利用引发安全事件；严格落实日志管理要求，所有网络设备、安全设备、服务器、业务系统的操作日志、访问日志、安全日志必须统一归集到日志审计平台，日志留存时间不少于6个月，安排网络安全岗人员每周对日志开展审计分析，及时发现异常操作、违规访问行为；强化网络内容安全管理，在校园网出口部署不良信息过滤系统，对违法违规、色情暴力、谣言诈骗等不良信息进行实时过滤，建立网络舆情监测机制，配合学校宣传、学工部门监测涉及学校的网络舆情，对通过校园网传播不良信息的用户，按照规定采取限制网络权限、通报所在部门等处置措施，情节严重的配合公安部门开展调查。统筹推进校园信息系统的标准化建设，所有学校新建业务系统必须遵循学校统一技术架构，对接学校统一身份认证平台、数据共享平台，实现单点登录、数据互通，严禁各部门建设信息孤岛、重复建设功能相近的系统，新系统上线前必须经过功能测试、压力测试、安全渗透测试，测试合格后方可上线运行，严禁未经过安全测试的系统直接接入校园网对外提供服务；做好核心业务系统的运维保障，对教务管理、科研管理、学生管理、人事管理、财务管理、OA办公、校园卡等核心系统建立运行监测机制，7*24小时监测系统可用性、响应时间、并发连接数等指标，系统升级、维护原则上安排在凌晨0点至6点的非业务时段开展，提前3个工作日通过校园信息门户、企业微信向师生发布维护公告，明确维护时间、影响范围，维护完成后及时验证系统功能，确保不影响正常教学管理秩序；统筹管理校园云平台资源，根据各部门业务需求合理分配虚拟机、CPU、内存、存储资源，云资源申请必须由所在部门提交申请，明确业务用途、资源需求、使用周期，经网络中心审核后分配资源，建立资源使用动态监测机制，对长期闲置、利用率低于20%的云资源及时提醒使用部门优化配置，对超过使用周期不再使用的资源及时回收，提高资源利用效率；做好公共网络服务保障，持续优化校园邮件系统、正版软件平台、在线教学平台、电子文献资源的访问体验，在出口带宽、路由策略上优先保障中国教育和科研计算机网资源、教育类学术资源的访问速度，按照国家教育数字化战略行动要求，持续推进校园网IPv6深度改造，实现所有教学科研、管理服务系统的IPv6访问支持，IPv6活跃用户占比不低于90%，支撑教育资源跨域共享、远程教学、科研协同等应用场景。建立全渠道服务响应体系，整合线上服务大厅、24小时服务热线、企业微信报修端口、学生区/教学区现场运维点等服务渠道，为师生提供“一号申请、一网通办”的网络服务，用户入网申请、故障报修、账号解锁、IP申请等常规服务事项实现线上办理，平均办理时长不超过1个工作日，针对老年教职工、残障学生等特殊群体，提供上门网络调试、账号办理等暖心服务，定期深入学院、部门开展网络服务上门走访，主动收集师生在网络使用、系统应用方面的问题，现场答疑解决，打通服务师生的最后一公里；建立故障分级响应机制，核心网络出口中断、核心业务系统宕机、机房动力故障等一级故障，值班人员必须在15分钟内响应，立即启动应急预案，组织技术力量开展处置，4小时内恢复业务运行，影响范围超过1栋楼宇的网络故障为二级故障，响应时间不超过30分钟，8小时内恢复，单个用户终端故障、网络连接问题为三级故障，响应时间不超过30分钟，24小时内处置完成，所有故障处置完成后要对用户进行回访，确认故障解决情况；做好批量场景服务保障，在每年新生入学、新教职工入职前，提前完成统一身份认证账号、校园网权限的批量开通，在宿舍区、报到点设置临时服务点，现场解决新生入网问题，每年毕业生离校、教职工离职时，按照学校流程及时回收校园网账号、相关系统权限，避免账号被违规使用；明确校园网用户行为规范，所有用户必须实名认证入网，妥善保管个人账号密码，不得转借、出租个人账号，不得利用校园网从事违反法律法规、校纪校规的活动，不得开展端口扫描、流量攻击、破解他人账号、传播病毒木马等危害网络安全的行为，不得利用校园网传播违法违规信息、从事营利性活动，对违反使用规范的用户，网络中心可根据情节采取警告、临时断网、限制网络权限等处置措施，情节严重的通报学工、保卫部门按校纪校规处理，涉嫌违法的移送公安部门依法处置。建立信息化项目全生命周期管理机制，所有由网络中心牵头或配合建设的智慧校园、网络升级、系统建设类项目，必须在立项阶段开展充分的需求调研，邀请校内外信息化专家开展技术方案论证，确保项目符合学校整体数字化建设规划、满足网络安全等级保护要求，避免重复建设、资源浪费；项目建设过程中安排专人负责施工监管，对进场施工人员进行备案登记，核实施工人员身份，施工过程中严禁破坏现有网络线缆、影响现有系统运行，涉及核心机房、核心链路施工的，必须制定专项保障方案，安排运维人员现场值守；项目竣工后严格按照合同约定、技术方案开展验收，对功能不达标、性能不符合要求、存在安全隐患的项目不予通过验收，督促建设单位整改到位后再组织复验；建立信息化资产动态台账，对所有网络设备、服务器、存储设备、安全设备、软件授权等信息化资产进行统一登记，记录资产编号、采购时间、采购金额、维保期限、放置位置、使用责任人，每学期开展一次资产盘点，确保账实相符，资产达到使用年限需要报废的，严格按照学校资产报废流程审批，对报废设备中的存储介质进行消磁、物理粉碎处理，彻底清除设备中存储的数据，防止数据泄露；加强对第三方维保、建设单位的管理，所有进入学校开展运维、建设工作的第三方人员必须提前报备身份信息，签订保密协议，按照最小权限原则分配临时操作权限，操作过程由网络中心对应岗位人员全程陪同监督，严禁第三方人员私自拷贝学校数据、更改系统配置、留下后门账号，建立第三方服务考核机制，每季度对维保单位、建设单位的服务响应速度、问题解决率、服务质量进行考核，考核结果与服务费用支付、后续采购资格挂钩，对服务不达标、违反保密规定的单位，按照合同约定追究违约责任，纳入学校采购黑名单。严格执行7*24小时值班制度，值班表提前一周排定并公示，值班人员必须坚守岗位，不得擅离职守，值班期间实时监测网络运行态势、安全告警信息、服务热线来电，认真填写值班日志，详细记录告警信息、故障情况、处置过程、处置结果，严格执行交接班制度，交接班时要将当前未处置完成的故障、需要关注的告警事项、设备钥匙、值班电话逐一交接清楚，双方签字确认后方可完成交接班，严禁出现值班空岗、交接班遗漏事项导致故障处置不及时的情况；建立重大活动专项保障机制，在开学季、招生录取、全国统一考试、学校重大会议、重要活动期间，制定专项网络保障方案，提前3天对