教育行业信息安全管理办法(参考)

/教育行业信息安全管理办法ViaControl信息安全管理办法(参考)总则XX大学计算机校园网络(以下简称校园网络)，是全校的教学和科研计算机网络，其目的是利用先进实用的计算机技术和网络通信技术，实现校园内计算机连网，达到信息资源共享。校园网络服务的主体对象为XX大学师生员工。为了进—步加强校园网络的安全保护，规范网络信息发布内容，明确信息发布者的责任与义务，加大对网上有害信息的监管力度，制止和防范网上反动、有害信息的传播，创建良好的校园网络环境，规范校园计算机网络信息的管理，根据《中华人民共和国计算机信息安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》和有关法律、法规的规定，结合我校实际情况，特制定本办法。本办法所指信息服务包括通过网络提供的任何形式的信息传播，如www、FTP、Mail、BBS、论坛、聊天室、留言板、网络视频/音频服务等等，其适用对象为XX大学所有部门、教职工、学生个人以及使用XX大学校园网的其他单位的人员，所有联入校园网络的用户、单位，机房、局域网、网站、电子公告栏、其他联入方式等计算机网络信息行为的管理，适用本条例。校园网络的安全管理，应当保障计算机网络设备和配套设施的安全，保障网络系统的正常运行，确保信息系统的安全运行。校园网络的所有工作人员及校园网络用户必须遵守国家、地方的有关法规以及XX大学有关规章制度，严格执行安全保密制度。用户在申请网站时必须向校信息办公室提出申请，提供栏目设置、链接情况、管理维护制度及责任人；承诺所提供的信息内容合法、真实准确；提供相关权限，允许校信息办公室在必要时对主页信息进行修改或删除。任何单位或个人不得利用计算机网络从事危害国家利益、集体利益和公民合法利益的活动。不得危害计算机网络及信息系统的安全。校园网络的工作人员和校园网络用户必须接受并配合国家有关部门及学校按章依法进行的监督检查，必须接受学校信息办公室按章依法进行的网络系统及信息系统的安全检查。凡接入校园网络的计算机及局域网的安全管理适用于本办法。信息安全管理办法辅助实施工具采用上海互普信息技术XXX开发的ViaControl威盾网络保安系统。ViaControl控制台权限划分：功能权限大类功能权限子类用户权限设置分类(打√为建议分配的权限)管理员参数设置控制台远程控制审计查看文件添加计算机组√√删除计算机组√√修改计算机名称√√移动计算机组√√添加用户组√√删除用户组√√修改用户组名称√√移动用户组√√删除计算机√√修改计算机名称√√移动计算机√√删除用户√√修改用户名称√√移动用户√√导出数据√√√打印√√√控制发送通知消息√√√锁定/解锁√√√注销用户√√关机/重新启动√√卸载客户端√√√统计应用程序统计√√网页浏览统计√√网络流量统计√√日志基本事件日志√√应用程序日志√√网页浏览日志√√文档操作日志√√打印日志√√资产变更日志√√策略日志√√系统事件√√备份文档√√共享文档√√移动存储日志√√策略基本策略√√应用程序策略√√网页浏览策略√√设备控制策略√√打印控制策略√√屏幕记录策略√√日志记录策略√√远程控制策略√√流量控制策略√√网络控制策略√√邮件控制策略√√即时通讯文件传送策略√√文件上传下载策略√√文档控制策略√√系统报警策略√√移动存储授权策略√√监控实时屏幕快照√√√即时通讯√√邮件√√查看屏幕历史√√√导出屏幕历史√√√维护查看远程信息√√√√远程操作√√√远程控制√√√远程文件传送√√√资产管理资产查询√√√定义资产类别属性√√修改资产属性√√补丁管理查询补丁情况√√设置补丁管理参数√√执行补丁操作√查询补丁情况√√漏洞管理查询漏洞检查情况√√设置漏洞检查参数√√软件分发查询软件分发包信息√√设置软件分发包√√查询分发任务及安装情况信息√√设置分发任务√√执行分发任务√网络接入检测查看接入检测√√设置接入检测√√设置策略√√所有分类管理应用程序类别√√网站类别√√时间类别√√网络位置类别√√网络端口类别√√移动存储库√√删除删除日志数据√删除即时通讯信息√删除邮件√备份数据备份日志√√备份数据√√参数设置设置客户端的搜索范围√√设置客户端的排除反问√√生成客户端确认码√√√管理加密盘√√格式化成加密盘√√项目参与人员：（1）安全委员会（2）校长及副校长（3）网管中心

（4）相关院长网络系统管理XX大学信息办公室负责学校网络运行安全和网络信息安全工作，并对网络管理员和网络用户进行安全教育和培训。各接入单位要指定专人负责网络安全与信息安全工作，接受学校业务指导。在校园网络上不允许进行任何干扰网络用户、破坏网络服务和破环网络设备的活动。禁止在网络上发布不真实的信息，不得使用网络进入未经授权使用的计算机，不得以虚假身份使用网络资源。未办理入网手续，任何单位和个人不得私自将计算机接入校园网络。任何单位和个人不得盗用或非法使用校园网络资源。校园网络用户必须遵守学校网络管理的有关规章制度，将按时足额交纳有关费用（管理条例另订）。校内接入单位负责本单位计算机及信息的安全管理。校园网络主结点及二级结点单位必须保证节点设备24小时正常运行，非特殊情况（如出现故障、遭到黑客攻击等）不得以任何理由关闭有关设备。网络信息管理校园网络用户必须对提供的信息负责，不得利用网络从事危害国家安全、泄露国家机密等犯罪活动，不得整理、查阅、复制和传播有碍社会治安和不健康的、有封建迷信、色情等内容的信息。学校各单位要加强对校园网新闻传播和信息内容的安全管理，对上网信息要进行审查，严格把关，落实防范措施，明确责任制，本着“谁主管，谁负责”的原则，凡涉及国家及学校秘密的信息严禁上网。信息资源保密等级可分为：（1）可向Internet公开的；（2）可向校内公开的；(3)可向本学院（部门）公开的；（4）可向有关单位或个人公开的；（5）仅限于本单位内使用的；（6）仅限于个人使用的。在校园网上存放、传送、发布的有关信息应按保密等级规定采取相关措施进行保密：存放绝密级文件的计算机不得联入校园网。以国内、国际新闻为主要信息服务内容的栏目，在引用外来信息时，须注明信息的来源(URL)、原文发表时间、原文发布者。严禁制造和输入计算机病毒以及其他有害数据危害计算机信息系统的安全。ViaControl服务器管理制度

ViaControl的服务器管理平台日常管理工作由网络管理人员负责。网络管理人员应认真履行以下职责：（1）负责ViaControl服务器的日常维护、技术支持，并对ViaControl服务器的功能提出意见、建议和方案等。（2）严格执行岗位责任制。实行“谁主管、谁负责”制度。管理人员要坚守岗位，有事外出要向领导或接班工作人员交接清楚。要妥善保管好服务器登录密码，不得告诉他人，有事外出或下班时，要及时退出设置项界面。（3）加强ViaControl服务器检查。定期对数据存放硬盘空间、CPU使用、内存空间等环境进行检查。发现硬盘存储空间、CPU异常、内存异常等问题要及时处理，不能及时处理时应向领导报告，并积极采取措施尽快解决。（4）加强ViaControl服务器的病毒防范。要经常了解和掌握网络病毒的流行情况及其解决方案，并积极采取应对措施，避免对ViaControl服务器及网络内其它终端的感染。一旦被感染，要及时提出杀毒方案，控制传播范围。定期对各ViaControl服务器进行查毒、杀毒。（5）保障本系统的实时安全运行，负责每天的信息数据备份。（6）负责对ViaControl服务器用户的增加、删除及权限变更工作，严禁无关人员登录ViaControl服务器。

ViaControl控制台管理制度

管理员（admin）角色权限管理制度（1）管理员权限范围：包括所有权限。（2）管理员权限在项目实施完成后，交由安全委员会指定成员管理。（3）若网管中心系统工程师因管理需要，需向安全委员会申请打开管理员（admin）权限做相应的设置，设置完成，系统维护工程师立即退出管理员（admin）权限帐户。（4）若系统维护工程师接触到管理员权限密码，应在维护完成后，提醒管理员修改密码，管理员（admin）应该经常性修改密码，避免密码丢失造成控制台管理权限泄密。（5）管理员定期到控制台的“工具”栏下的“系统日志”中查询管理员登录信息，发现异常登录，及时更新密码，并严格追查管理员控制台权限遗失原因。第九条系统维护员角色权限管理制度（1）系统维护员权限范围：针对所有用户的参数设置、备份、访问所有组权限。（2）系统维护员根据监控的实际需要制定监控参数设置策略，经过安全管理委员会审核后进行实施。（3）系统维护员根据硬盘容量和监控数据增长情况制定数据备份策略，经过安全管理委员会审核后进行实施。（4）系统维护员不得利用职务之便，在未经安全委员会认可的情况下，私下进行个别监控电脑的参数设置，若造成损失，公司将追究相应责任。（5）严禁更改服务器操作系统的相关设置，严禁在ViaControl服务器上进行互联网浏览、不相关应用程序安装。（6）严守系统信息保密制度。不得随意将系统信息、数据泄露于外界。校长角色权限管理制度（1）校长权限范围：针对职权管理范围内用户的控制台、审计查看、获取邮件报告权限。（2）校长根据工作的需要对属下的员工的电子文档安全、网络行为规范的执行情况进行审计查看，发现异常情况，及时报告安全委员会，由安全管理委员会进行相应的处罚。（3）校长严守公司机密，不得将获知信息进行不当的处理，若导出数据，要进行妥善保管，不得随意存放和传输，若需要传输，需征求安全管理委员会的认同，按照安全管理委员会的建议进行数据的传输。客户端管理制度

用户机实行专人专机，谁使用、谁管理、谁负责制度。各用户应严格遵守以下规定：（1）要自觉遵守《中华人民共和国计算机信息系统安全保护条例》和其他有关计算机和网络方面的法律、法规，严格遵守计算机操作规程，爱护计算机和网络设备，及时反映和举报违反网络行为规范的人和事。（2）不得随意更改网络设置。如确需更改须经网络管理人员同意，并在网络管理人员的指导下操作。（3）不得未经公司同意，拆卸电脑主机箱，更换、添加电脑配件。（4）不得未经公司同意，使用未经杀毒的硬盘、软盘、光盘、Ｕ盘，不准打开来历不明的电子邮件，以免带进病毒。若发现来历不明的电子邮件应及时删除。要经常检查计算机有无感染病毒，若发现计算机被病毒感染，应及时杀毒或报告网络管理人员。不得在未经过公司同意安装来历不明的系统、应用、游戏等软件。（5）不得恶意访问和攻击网络服务器和他人计算机；未经允许不得阅读他人文件、文档、电子邮件；不得滥用网络资源；不得制造和传播计算机病毒；禁止破坏网络数据、网络资源，或在网络上进行恶作剧行为。（6）要自觉遵守国家保密法律、法规，不得在网上发布、传送携带国家秘密的信息。（7）不得在网上发布或传送有损国格、人格或具有威胁性、不友好的信息；不得利用网络接收和散布思想内容反动、不健康或色情的信息，如收到“法轮功”等内容反动的电子邮件，应及时删除，不得散发。严禁在网上玩游戏或利用网络炒股。严禁职工家属到公司玩电脑。（8）不得利用网络窃取公司的研究成果或受法律保护的资源。（9）要妥善保护好自己的上网口令，必要时及时更改。不得擅自转让用户帐号，或将口令随意告诉他人。不得冒用他人帐号、口令上网。（10）工作人员工作时使用的光盘、软盘、硬盘、Ｕ盘等存储介质，不得随意给外人使用，不得带出办公场所。（11）对已损坏的光盘、软盘、硬盘、Ｕ盘等存储介质，不得随意丢弃，应交安全管理委员会统一处理。（12）不得使用公司明文禁止的相关程序和网站，不得对公司明文禁止的文件做相应的操作。（13）同时触犯其他有关法律、行政法规的，依照有关法律、行政法规的规定予以处罚；构成犯罪的，依法追究刑事责任。处罚违反本条例规定，有下列行为之一者，学校信息办公室可提出警告，停止其使用校园网络；情节严重者，提交校保卫处或司法部门处理，由执法部门进行处罚，个人依法承担相关责任。（一）查阅、复制或传播下列信息者1、煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度；2、煽动抗拒、破坏宪法和国家法律、行政法规的实施：3、捏造或者歪曲事实，故意散布谣言，扰乱社会秩序；4、公然侮辱他人或者捏造事实诽谤他人；5、宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖、“法轮功”邪教等。（二）破坏、盗用计算机网络中的信息资源和危害计算机网络安全的活动，影响学校声誉并造成极人损害者：1、未经校信息办公室批准私自连接集线器、交换机及双头网络线等网络设备的；2、未经校信息办公室批准，采用各种手段切断学校、部门或他人网络连接的；3、未经校信息办公室批准，以任何方式试图登陆进入校园网主、辅节点、服务器等设备进行修改、设置、删除等操作的4、通过扫描、侦听、破解口令、安置木马、远程接管、利用系统缺陷等手段获取他人信息的；5、通过校园网络向与其无被管理关系和信息服务关系的用户广播E-Mail的；6、冒用他人名义从事网上活动的。（三）盗用校园网络资源、盗用他人帐号或位置的，根据被盗用帐号或位置异常流量或从技术上能够界定盗用责任进行相应处罚。（四）私自转借、转让用户帐号或位置造成危害的，并由此带来的对部门、单位或学校网费支出或有损学校声誉的现象的。（五）故意整理、传播计算机病毒等破坏性程序者：1、对使用信息炸弹，致使校园网络系统或连网计算机系统发生阻塞、溢出、处理机异常繁忙、资源