大学网络与信息安全管理规定

XXXX大学网络与信息安全管理规定第一章

总则第一条

为切实加强校园网络与信息安全管理，推进网络文明建设，保障学校各项事业健康发展，根据《中华人民共和国网络安全法》和《教育部关于加强教育行业网络与信息安全工作的指导意见》（教技〔20XX〕4号）等法律法规，结合学校实际，制定本规定。第二条

学校网络与信息安全管理分为网络安全、系统安全和信息安全3个方面。网络安全指校园网基础设施的安全。系统安全指校内各种业务应用系统及承载其系统运行环境和系统数据的安全。信息安全指通过网络信息服务方式发布的各种信息中具体内容的安全。第二章

管理体制和职责第三条

学校成立网络安全与信息化领导小组，负责统一领导和部署全校网络与信息安全工作。领导小组下设办公室，负责组织对各单位应用系统、网站安全状况、安全保护制度及措施的落实情况进行检查，对安全隐患做出预警，对发现的问题下达限期整改通知书，对网络与信息技术安全事件进行调查处理，配合上级有关部门开展相关检查工作。第四条

党委办公室、校长办公室负责学校接入的电子政务专网及其他涉密信息设备的保密处置等安全管理工作。第五条

宣传部牵头负责网络平台信息发布审核、网络舆情监控、网络舆论引导等工作，面向全校师生开展网络安全教育，提高网络安全防范意识，培养良好、规范、文明的用网行为。第六条

信息处负责校园网日常运维和网络信息安全管理，构建符合国家标准的校园网安全体系，为维护校园网安全提供技术支持和条件保障。第七条

各管理服务部门和各学院、校区（以下统称各单位）是本单位网络与信息安全工作的责任主体。各单位主要负责人是本单位网络与信息安全工作第一责任人，负责落实网络与信息安全工作。第八条

按照“谁主管谁负责、谁使用谁负责”的原则，各单位及全体师生员工要依照本规定及其相关标准规范履行网络与信息安全的义务和责任。各单位要按照安全事件早发现、早报告、早控制、早解决的要求，建立本单位信息安全值守制度，按照学校制定的安全事件应急预案和处置方案，组织应急演练。第三章

校园网基础设施安全第九条

校园网基础设施是指构建校园网和校园网运行所必需的相关设施，包括弱电管线、弱电间、网络机房、综合布线、各类网络设备、运维平台等资源。第十条

校园网基础设施属学校国有资产，校内任何单位和个人都有按照国家法律法规和学校相关规定保护和合理使用的义务和权力。第十一条

对校园网基础设施，严禁有以下行为：（一）擅自拆除、破坏、损坏、改变配置状况，或改变其性质、用途。（二）擅自在相关设施安全保护范围内开挖沟渠、挖坑取土、打桩、顶进作业，或安置无关设施。（三）擅自破坏、损坏、去除相关标识和标志。（四）未经许可进行商业运营等活动。（五）其他损害、侵占其附属设施的行为。第十二条

校内强电线路等与弱电无关的业务不得使用弱电管网。第十三条

弱电间是楼宇中各楼层弱电系统的布线集中汇聚场所，由信息处统一管理，非管理人员不得擅自进入弱电间、操作弱电间内任何设备。弱电间须做到防静电、防火、防潮、防尘，禁止放置杂物，禁止将弱电间内的电源引出挪作它用。第十四条

校外单位经学校许可自建的弱电管网、综合布线等，需纳入学校弱电管网统一管理和使用。校外单位如有需求涉及使用学校弱电管网等设施的，须经信息处按程序审批，签订相关协议，应有偿使用，并服从学校管理。第四章

网络运行安全第十五条

XXXX大学校园网是服务教学科研及管理的计算机信息网络，隶属于中国教育与科研计算机网CERNET，是CERNETXXXX城市节点单位。校园网的无线频道、电子邮箱、网站域名、IP地址等网络资源是学校重要的无形资产，任何单位或个人不得私自另建互联网出口。第十六条

校园网IP地址由信息处负责统一管理和分配。入网单位和个人须履行审批手续并严格使用分配的IP地址，不得随意变更、私设IP地址及网络设置，不得盗用、占用IP地址及相关用户账号资源。第十七条

接入校园网的计算机、服务器、交换机等网络设备应当符合国家有关技术标准和使用规定。各种网络接入设备要切实做好防病毒、防攻击等技术措施，操作系统要使用学校发布的正版软件并及时更新系统补丁。所有服务器、主干交换机及其他系统主要设备配置更新变化时及时进行备份。网络设备、安全设备、应用系统、操作系统、数据库均应设置安全的登录密码，密码应符合规定的长度及复杂度，并定期进行更新。设备运行日志至少保存6个月。第十八条

校园网用户必须遵守国家有关法律、法规，严格执行安全保密制度和实名上网制度，并对所提供的信息负责。任何单位和个人不得从事危害校园网服务器、工作站、终端设备甚至校外网络服务设施的活动。第十九条

XXXX大学注册域名为：，校内用户可按相关规定向信息处申请使用二级以下各级域名，暂不提供其他域名解析服务。第二十条

校园网提供WWW、DNS、DHCP、VPN、电子邮件、视频组播等信息服务。任何用户不得利用校园网制作、复制、查阅和传播违反法律法规、破坏学校和社会和谐稳定的信息。第二十一条

校园网电子邮件系统为全校师生提供电子邮件收发服务，严禁利用电子邮件散发垃圾邮件、传播计算机病毒等。要妥善保管好邮箱账号和密码，不得转借他人或由他人代管，要定期进行文件清理、空间整理，保持邮箱良好运行状态。第二十二条

无线网络由信息处负责统一规划部署和使用管理。未经审核许可，任何单位和个人不得擅自进行校内（含楼宇内）无线网络（单个房间覆盖的除外）的建设和服务，也不得擅自同意校外无线网络服务提供商在校园内（包含对外经营场所）从事无线网络安装、经营业务。校内单位及个人架设的自用小型无线网络，应采用经过入网认证合格的无线路由设备（含有线路由设备）连接校园网，并设置密码登录，不得干扰校园网络的正常运行，否则信息处有权采取断网整改措施。第二十三条

各中心机房须严格执行网络值班、设备巡检、故障排查、网络监控等制度和技术措施。接入校园网的全体师生员工，须配合国家有关部门及学校依法依规进行的监督检查，接受信息处进行的网络行为、网络资源及服务系统的安全审查。第五章

互联网网站安全第二十四条

学校各单位设立二级网站，须履行审批手续，并使用学校互联网络域名“﹡.”和学校IP地址。各单位设立网站须按信息安全保护等级的相应规范做好信息安全防护。第二十五条

宣传部主办XXXX大学门户网站（主页），负责各二级网站、专题网站的设置审批。信息处负责网站群平台的建设和运维，负责各二级网站、专题网站的域名审批及技术支持。第二十六条

学校所有网站原则上全部纳入网站群平台统一管理。网站群平台上的网站内容安全由网站主办者负责。未运行在学校网站群平台的网站，网站主办者对网站技术安全和内容安全负责。第二十七条

各网站的主管单位需建立网站应急值守制度，规范应急处置流程，由专人对网站进行监测，及时处置网站运行异常情况。第二十八条

学校各网站一般不设立交互式栏目（如论坛、留言板等），如确需设立，应报宣传部审批。第二十九条

信息处负责对僵尸网站进行清理关闭，对未纳入网站群平台存在安全隐患的网站进行督查督办，对整改不及时不到位的将予以关停。第六章

信息系统安全第三十条

网络信息系统是指学校各部门建设管理、面向学校师生和公众提供业务管理和信息服务、基于校园网运行的应用系统。第三十一条

各业务主管部门为相应业务信息系统（包括本地和公有云上部署的信息系统、云服务）的责任部门，应指定专门人员负责系统的建设、运行维护和安全管理，组织软件提供商并会同信息处制定信息系统运维和安全管理方案。系统管理员是相关系统安全运行管理的第一责任人。第三十二条

各主管部门要按照国家信息系统等级保护制度的相关法律法规、标准规范和要求落实信息系统安全等级保护制度。第三十三条

信息系统日常运行维护须从物理安全、网络安全、主机安全、云安全、应用安全、数据安全与备份恢复及安全管理措施等方面加强安全管理，定期进行安全漏洞检测评估，及时修补漏洞，加强安全防护，使其持续具备与其安全等级相适应的信息安全防范能力。第三十四条

系统管理员要妥善设置保管账号和密码，密码的长度和复杂度应符合技术标准，并防止账号与密码外泄。做好技术文档的保管和归档工作。第三十五条

对于存在安全隐患整改不到位的信息系统，信息处将暂停或终止系统运行。第三十六条

对于涉及国家秘密的信息系统，按照国家保密工作管理规定进行管理。第七章

信息数据安全第三十七条

学校所有信息系统及数据作为学校的无形资产和战略资源，纳入学校统一管理，为学校事业发展提供信息服务和支撑。第三十八条

信息处是学校重要信息系统数据的统筹管理部门，根据学校信息化发展需求，规划建设数据中心，建设学校基础数据库、统一数据交换平台，统一身份认证系统及统一信息门户。根据业务系统需要提供统一的数据访问接口和服务。第三十九条

数据生产部门作为权威数据单一来源部门，负责数据的收集、加工、维护、备份和归档，确保数据的真实性、准确性、完整性和及时性，在进行信息编码时应严格遵循有关标准。同时向信息处提供数据字典、数据接口以及数据库访问权限。数据的获取要依法依规，获得数据的使用单位要切实做好数据的安全保护工作，不得将数据用于申请用途以外的活动。第四十条

各单位和个人要对所管理的数据负责，保证数据安全，防止数据泄漏和丢失。未经学校批准，任何单位和个人不得擅自对他人或校外单位提供业务系统数据。第八章

信息发布管理第四十一条

宣传部负责建立健全校内网络平台信息发布审核制度和登记制度；各中层单位负责所管理范围内的网站、网络论坛、微博、微信、互联网群组、联网电子屏幕等网络平台信息发布的审查管理，明确直接管理（责任）人和审查责任人。第四十二条

校园网用户通过校园网发布信息必须严格遵守有关法律法规和学校的有关管理规定，并对所发布的信息负责。第四十三条

严格执行信息发布保密审查制度。校园网信息保密管理坚持“上网信息不涉密、涉密信息不上网”原则，严禁在校园网上发布、谈论和传播国家秘密信息。第四十四条

严格控制上级文件的发布、转载。未经宣传部批准不得在校园网公开发布上级文件全文、摘要或消息稿。如需刊登上级文件全文、摘要或消息稿，应从人民日报、大众日报、新华社等权威官方媒体或官方门户网站转载，严禁从未经授权的网站转载，转载页面上要准确清晰标注转载来源网站、转载时间、转载链接等。不能确定拟发布信息是否可以公开时，报学校保密办予以审查确定。第四十五条

任何单位和个人不得利用互联网制作、复制、传播和查阅下列信息:（一）煽动抗拒、破坏宪法和法律、行政法规实施的；（二）煽动颠覆国家政权、推翻社会主义制度的；（三）煽动分裂国家，破坏国家统一的；（四）煽动民族仇恨、民族歧视，破坏民族团结的；（五）捏造或者歪曲事实、散布谣言、扰乱社会秩序的;（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；（七）侮辱他人或者捏造事实诽谤他人的;（八）损害国家机关信誉的；（九）其他违反宪法和法律、行政法规的。第四十六条

对于校内网络平台出现的不良有害信息，所属单位应第一时间作出响应并及时进行处理。涉及违法行为的，应立即向公安机关报案。第四十七条

网络舆情安全工作，执行《XXXX大学关于加强舆情管理的实施方案》（X大办发〔20XX〕23号）相关规定。第九章

责任追究第四十八条

各单位应按照网络与信息安全事件报告与处置流程及时、如实地报告和妥善处置网络与信息安全事件。如有瞒报、缓报、处置和整改不力等情况，学校将对相关单位及责任人进行处理。第四十九条

各单位和师生员工违反本规定的，将视情节轻重采用以下1种或多种处理措施处理：（一）警告并限期整改；（二）封闭账号或端口；（三）中断网络连接；（四）关闭信息系统；（五）通报批评；（六）情节严重的，给予相应处分；（七）触犯国家有关法律法规的，移交公安、司法部门处理。第十章

附则第五十条

学校保障网络与信息安全发展所需的人员编制和经费投入，建设高水平网络与信息安全技术队伍。第五十一条

学