信息安全管理规范集锦兰州大学案例解析

兰州大学信息安全管理制度汇编

（2023年11月）

目录

一、信息安全方针与政策........错误!未定义书签。

兰州大学信息与网络安全保密管理措施（暂行）错误!未定义书签。

第一章总则......................错误!未定义书签。

第二章安全监督....................错误!未定义书签。

第三章安全管理....................错误!未定义书签。

第四章保密管理...................错误!未定义书签。

第五章罚则......................错误!未定义书签。

第六章附则......................错误!未定义书签。

二、物理安全管理制度........................错误!未定义书签。

通信网络中心机房管理措施................错误!未定义书签。

网络机房（含各校区）管理措施............错误!未定义书签。

第一章出入管理....................错误!未定义书签。

第二章操作管理...................错误!未定义书签。

第三章运行管理....................错误!未定义书签。

三、网络安全管理制度.........................错误!未定义书签。

兰州大学计算机信息安全与病毒防治管理措施.错误!未定义书签。

第一章总则.......................错误!未定义书签。

第二章定义.......................错误!未定义书签。

第三章组织机构与职能...............错误!未定义书签。

第四章计算机顾客的责任............错误!未定义书签。

第五章管理与惩罚...................错误!未定义书签。

数据中心防火墙端口管理暂行规定...........错误!未定义书签。

一、基本端口管理规定.................错误!未定义书签。

二、受限服务端口管理规定.............错误!未定义书签。

三、公共服务端口管理规定.............错误!未定义书签。

四、其他管理规定......................错误!未定义书签。

四、主机安全管理制度..........................错误!未定义书签。

主干网络设备管理制度......................错误!未定义书签。

第一章岗位管理......................错误!未定义书签。

第二章配置变更和故障处理..........错误!未定义书签。

第三章安全管理....................错误!未定义书签。

服务器管理制度...........................错误!未定义书签。

第一章岗位管理....................错误!未定义书签。

第二章配置变更和故障处理..........错误!未定义书签。

第三章安全管理....................错误!未定义书签。

兰州大学通信网络中心服务器托管（虚拟服务器租用）管理措施错误!未定义中

第一章服务项目定义...............错误!未定义书签。

第二章使用规定...................错误!未定义书签。

五、应用安全管理制度........................错误!未定义书签。

兰州大学校园网主页信息与服务内容与管理暂行措施错误!未定义书签。

第一章总则......................错误!未定义书签。

第二章组织领导....................错误!未定义书签。

第三章校园网主页信息内容工作日勺规定.错误!未定义书签。

第四章附则......................错误!未定义书签。

兰州大学校务管理系统运行安全管理规定（试行）错误!未定义书签。

第一章总则......................错误!未定义书签。

第二章运行管理....................错误!未定义书签。

第三章附则......................错误!未定义书签。

兰州大学电子邮件管理制度................错误!未定义书签。

第一章组织管理....................错误!未定义书签。

第二章垃圾电子邮件管理............错误!未定义书签。

第三章账号管理....................错误!未定义书签。

第四章行为规范.....................错误!未定义书签。

六、数据安全管理制度........................错误!未定义书签。

兰州大学信息系统数据管理暂行措施........错误!未定义书签。

第一章总则......................错误!未定义书签。

第二章数据管理角色及职责.........错误!未定义书签。

第三章数据采集、录入与审核.......错误!未定义书签。

第四章数据运维管理................错误!未定义书签。

第五章数据存储和归档.............错误!未定义书签。

第六章数据运用和服务.............错误!未定义书签。

第七章数据安全管理................错误!未定义书签。

第八章奖惩.....................错误!未定义书签。

第九章附则.....................错误!未定义书签。

兰州大学通信网络中心信息系统密码管理暂行措施错误!未定义书签。

第一章总则......................错误!未定义书签。

第二章密码的设置.................错误!未定义书签。

第三章密码区I修改.................错误!未定义书签。

第四章罚则.....................错误!未定义书签。

一、信息安全方针与政策

兰州大学信息与网络安全保密管理措施（暂行）

第一章总则

第一条为了加强对校园网的安全与保密管理，维护公共秩序，充

足发挥校园网络的作用，为全校师生员工提供稳定、可靠、安全的计算

机网络环境，支持学校的教学、科研、管理工作，根据《全国人民代表

大会常务委员会有关维护互联网安全口勺决定》、《中华人民共和国计算

机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互

联网管理暂行规定》和有关法律、法规，结合学校实际，制定木措施。

第二条兰州大学校园网是指由学校投资建设，为我校教学、科研、

管理服务的现代化信息基础设施，是学术性、公益性的计算机网络，其

服务对象是我校的教学、科研和管理机构、全校教职工工、学生以及其

他经学校授权的单位及个人。校园网的基砒设施建设及维护工作由网络

与信息技术中心承担。

第三条兰州大学校园网日勺宗旨是为兰州大学的教学、科研和管理

服务，任何单位及个人不得以任何理由在网上从事以营利为目的的商业

活动。

第四条校园网口勺信息安全和网络安全，由党委办公室负责。保密

工作由“兰州大学保密委员会”负责指导、协调、监督和检查。

第五条任何单位及个人不得运用校园网危害国家安全、泄露国家

秘密，不得侵犯国家、社会、集体利益和个人的合法权益，不得从事违

法犯罪活动。

第二章安全监督

第六条对校园内发生日勺信息与网络违法行为和针对计算机信息

与网络的犯罪案件，由保卫处负责向公安机关报案。

第七条校内各单位应当履行下列安全保护职责：

（-）负责本单位计算机信息与网络的安全保护管理工作,建立健

全安全保护管理制度；

（二）贯彻安全保护措施，保障本单位的信息安全和网络运行；

（三）负责对本单位网络顾客日勺安全教育和培训；

（四）有公共上网场所的单位,应建立计算机上网顾客登记和信息管

理制度；

（五）发现任何违反本措施所列第十、十一条情形的，应当保留有关

原始记录，并在24小时内向兰州大学党委办公室汇报。

第九条兰州大学宣传部应当掌握校内各单位和顾客口勺有关立案

状况，建立立案档案，进行立案记录，并按照国家有关规定逐层上报。

第三章安全管理

第十条任何单位和个人不得运用校园网制作、复制、传播和查阅

下列信息：

（-）煽动抗拒、破坏宪法和法律、法规实行日勺；

（―）煽动颠覆国家政权，推翻社会主义制度的；

（三）煽动分裂国家、破坏国家统一日勺；

（四）煽动民族仇恨、民族歧视，破坏民族团结的；

（五）煽动非法集会、结社、游行、示威、聚众扰乱社会秩序W、J；

（六）捏造或者歪曲事实，散布谣言，扰乱社会秩序的；

（七）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教

唆犯罪口勺;

（八）公然欺侮他人或者捏造事实诽谤他人日勺；

（九）损害国家荣誉和利益日勺；

（+）以非法民间组织名义组织活动的；

（+-）其他违反宪法和法律、行政法规的。

第十一条任何单位和个人不得从事下列危害计算机信息网络安

全活动；

（-）未经容许，进入校园网或者使用计算机信息网络资源的；

（三）未经容许，对校园网功能进行删除、修改或者增长日勺；

（四）未经容许，对校园网中存储、处理或者传播的I数据和应用程

序进行删除、修改或者增长的；

（五）故意制作、传播计算机病毒等破坏性程序的；

（六）其他危害校园计算机信息网络安全的。

第十二条各单位及个人，应当遵守国家有关法律、法规，严格执

行安全保护制度，不得运用国际互联网从事危害国家安全、泄露国家秘

密等违法犯罪活动，不得制作、复制、传播和查阅阻碍社会治安及破坏

社会稳定的信息。

第十三条学校单位或师生须到学校网络与信息技术中心办理入

网手续，填写入网申请表，成为正式的校园网顾客。未经授权的顾客不

准入网，也不容许网内任何组员私自发展顾客。

第十四条顾客应尊重和保护知识产权，网上可访问到的任何资源

均为其拥有者所有。顾客不得拷贝注有版权的I软件，不得将网上提供口勺

共享软件商业化。

第十五条顾客不得私自安装、配置网络系统，盗用或滥用网络资

源，盗用IP地址或邮件地址，冒用他人名义进行网络活动，影响网络

正常使用和运行。

第十六条任何单位及个人不得私自开设代理服务器及DHCP（动态

主机配置协议）。

第十七条任何单位及个人不得恶意传播系统漏洞知识，不得自行

或教唆他人袭击、入侵系统，以及对计算机系统进行试探袭击。

第十八条任何单位及个人不得通过非法途径对他人或单位计算

机网络系统功能及信息内容进行增长、删除或修改。

第十九条各顾客应严格使用自己的校园网账号，不得转借、转让;

由此引起的不良后果由顾客承担。

第二十条为了有效地使用网络资源，顾客不得长时间地占用某个

共享资源。

第二十一条顾客发现网络违法犯罪行为和有害信息应当向通信

网络中心汇报。

第二十二条顾客应当接受并配合国家有关安所有门依法进行「勺

监督检查。

第二十三条有公共机房日勺单位应建立用机管理规定，并切实做好

上机登记。

第二十四条需要上网的公共机房日勺所属单位应积极到网络与信

息技术中心签订安全管理协议，并对其所属日勺上网场所日勺信息与网络安

全负责。

第二十五条各单位在校园网上公布的信息，需经本单位负责人审

核后方能公布，并保证所公布的信息是合法|勺。各单位公布I勺信息由该

单位负责人向学校负责。

第二十六条各单位开设日勺电子公告或论坛服务，须为实名制，有

关单位必须明确领导责任，指定专人负责，并遵守《互联网电子公告服

务管理规定》。对电子公告或论坛服务必须进行日志备份，记录顾客名、

信息公布时间等详细信息，在学校查询时予以提供。日志至少保留60

日。

第四章保密管理

第二十七条校园网顾客应遵守国家有关法律、法规，严格执行安

全保密制度，不得运用计算机国际联网从事危害国家安全、泄露国家秘

密等违法犯罪活动；不得运用计算机国际联网进行搜集、整顿、窃取国

家秘密口勺活动。

第二十八条上网信息的保密管理坚持“谁上网谁负责”的原则。

校内单位顾客实行领导责任制，公布信息按照信息的内容归口管理，分

级负责，规范信息保密审查制度，防止秘密信息泄露。

个人顾客必须严格遵守保密法规，不得在进行国际联网的计算机信

息网络中公布或谈论波及国家及学校秘密。

第二十九条校园网顾客不得在电子公告系统、聊天室、网络新闻

组上公布、谈论和传播国家及学校秘密信息。申请开设电子公告系统、

聊天室、网络新闻组的单位应严格管理，明保证密规定和责任。电子公

告系统日勺保密管理实行版主责任制，版主负有对版面内容保密监督的责

任。

第三十条校园网顾客电子函件（电子邮件）进行网上信息交流应

遵守有关保密规定，不得运用电子函件传递、转发或抄送国家及学校秘

密信息。

第三十一条校园网顾客发现国家及学校秘密泄露欧I状况，应立即

向学校保卫部门汇报。保卫部门接到举报或发现网上有泄密状况时，应

当立即组织查处，并采用补救措施，删除网上波及国家及学校秘密的信

息。

第五章罚则

第三十二条任何单位或个人运用网络从事危害国家安全、泄露国

家秘密等活动，违反国家刑事法律的，依法交由有关国家机关，根据有

关法律法规予以惩罚。

第三十三条对所开办网站监管不力导致有害信息传播或秘密信

息泄露的单位，予以通报批评，情节尤其严重U勺追究部门负责人的领导

责任。

第三十四条对于其他违反本管理措施的行为，学生顾客由有关学

生管理部门进行惩罚；教工及单位顾客由有关职能部门按有关管理措施

进行惩罚。

第三十五条对于其他违反本管理措施的行为，由兰州大学通信网

络中心按有关管理措施进行惩罚。

第六章附则

第三十六条本措施中的学生是指获得学籍或经学校同意的社会

办学招收时学生。

第三十七条本措施自公布之日起实行，以往公布I勺与本管理措施

不相符日勺规定，按本措施执行。

二、物理安全管理制度

通信网络中心机房管理措施

兰州大学通信网络中心是CERNET兰州节点日勺关键，为保证其设

备安全和正常运行，特制定本管理措施。

第一条一般，值班员应严格严禁任何外部人员进入机房。

第二条需进入机房的外部人员，应在值班人员处出事身份证和

工作证（缺一不可），并在《机房进出人员登记表》上精确登记，经

值班人员核算签字后方可进入指定工作区域。

第三条未带工作证时一定要有中心内部人员带领，并在《机房

进出人员登记表》日勺“备注”栏由中心内部人员签字。

第四条外部人员在填写《机房进出人员登记表》时“工作内容”

一栏不可只填写“调试设备”或“检修线路”等模棱两可的工作内

容，必须详细指明调试哪些设备或检修哪条线路；填写其他栏目亦照

此规定。

第五条网络中心内部人员进入机房时，只需精确填写《机房进

出人员登记表》，经值班员核算无误后即可进入。

第六条进入机房人员结束工作离开机房时，应精确填写登记表

上的“进出时间”栏，经值班员核算后方可离开。

第七条外部人员如需移入/移出设备，需此外认真填写《机房设

备进出登记表》。

第八条网络中心人员如需移入/移出设备，亦须填写《机房设备

进出登记表》，填写规定与外部人员相似。

第九条移出设备需同步告知网络中心办公室人员，并由他们开

具出门条，否则不容许搬出设备。

第十条遇紧急或特殊状况，值班员应及时请示部门负责人。

第十一条值班员应对整个过程的监控负所有责任。

兰州大学通信网络中心

二。一四年六月

网络机房（含各校区）管理措施

第一章出入管理

第一条网络（含各校区）机房寄存有校园网主干网络设备和服

务器，非机房工作人员未经同意不得进入机房。

第二条外单位维护人员需要进入机房工作时，需首先填写登记

表，并在机房工作人员陪伴下进入机房。

第三条参观人员需事先联络，并得到中心主任或各校区网络中

心负责人同意，才能在工作人员陪伴下进入机房。

第四条严禁其他人员进入机房。

第五条进入机房应遵守机房管理制度并听从机房工作人员指

导。

第六条进入机房不得携带任何易燃、易爆、腐蚀性、强电磁、

辐射性、流体物质等对设备正常运行构成威胁的物品。

第二章操作管理

第七条非机房工作人员不得接触和操作机房内任何设备、设

施。

第八条网络设备的添加和更换、网络配置H勺增删修改以及网络

构造的变更必须报网络部有关负责人同意后方可进行。

第九条机房内关键网络设备的操作实行双人作业制度，严格按

照预制操作流程进行。有关过程必须按规定进行详细登记和记录，对

各类软件、现场资料、档案整顿存档。

第十条操作人员注意保持保持机房整洁，操作结束后整顿好有

关工具和配件。

第三章运行管理

第十一条值班人员定期巡查机房，检查机房环境支撑设施运行

状况。

第十二条设备管理员随时监控机房设备运行状况，发现异常状

况应立即按照预案规程进行操作，并及时上报和详细记录。

第十三条机房工作人员应遵守保密制度，不得私自泄露多种信

息资料与数据。

第十四条机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运

动，保持机房安静。

第十五条定期对机房进行打扫，对机器设备吸尘清洁。

第十六条不定期对机房内设置日勺消防器材、监控设备进行检

查，以保证其有效性。

第十七条所有重要文档定期整顿装订，专人保管，以备后查。

三、网络安全管理制度

兰州大学计算机信息安全与病毒防治管理措施

第一章总则

第一条为加强对计算机病毒的防止和治理，维护计算机信息系统

安全，根据国家有关法律法规的规定，参照国际原则化组织ISO/IEC

17799:2023《信息技术一安全技术一信息安全管理实践指南》日勺原则，

特制定本管理措施。

第二条本管理措施用以规范个人计算机信息安全及防（反）病毒

软件、信息安全工具的使用，合用于兰州大学下属各部门、在校师生员

工（含离退休人员）等单位或个人计算机顾客（下称计算机顾客）。

第三条“信息是一种资产，具有价值，需要合适日勺保护”。然而,

“袭击普遍存在，许多信息系统不再追求设计成安全日勺，技术已经不能

保证信息的绝对安全。因此，要使用恰当II勺管理手段并增强意识。”

[IS0/IEC17799:2023]o学校通过采用有效日勺技术手段，并加强广大计

算机顾客的信息安全防备意识教育，营造校园信息安全文化，积极建立

管理、防止、保护、响应相结合的信息安全保障机制。

第二章定义

第四条本管理措施所称的信息安全是指保障、维护信息的机密

性、完整性、真实性、可用性和合法性。

第五条本管理措施所称的计算机病毒（下称病毒）是指编制或者

在计算机程序中插入口勺破坏计算机功能或者毁坏数据，影响计算机使

用，并能自我复制的一组计算机指令或者程序代码。

第六条本管理措施所称的计算机病毒疫情，是指某种计算机病毒

爆发、流行的时间、范围、破坏特点、破坏后果等状况日勺汇报或者预报。

第七条本管理措施所称的资产，是任何对组织有价值的事物。资

产包括但不仅限于：物理资产（例如I:计算机硬件、通讯设备、建筑物）；

信息/数据（例如：文档、数据库）；软件；提供产品和服务的能力（例

如：网络服务的能力和质量）；人员；无形资产（例如：商誉和形象）。

[1S0/IEC13335-1:2023]

第三章组织机构与职能

第八条通信网络中心是学校详细负责信息安全与计算机病毒防

治的机构，详细职能包括：

（-）承担对本校计算机顾客的管理、教育与培训工作；

（二）及时通报计算机病毒疫情；

（三）提供正版日勺信息安全工具及软件并提供专业日勺服务支持；

（四）提供一定的免费或开源信息安全工具及软件使用提议；

（五）提供信息安全紧急响应服务，为各类信息安全事件提供协

助、、安全检查及提出改善提议。

第九条信息安全员是学校信息安全与计算机病毒防治工作的重

要辅助力量，由各单位（部门）选派具有一定计算机技能的员工担任，

可以设为专职或兼职岗位。各单位（部门）应将信息安全员BU名单及联

络方式报送通信网络中心。

第十条信息安全员应遵守学校有关规定，负责本单位（部门）H勺

信息安全与计算机病毒防治的详细工作。

第十一条信息安全员应参与学校组织的有关信息安全及计算机

病毒防治的培训，在业务上接受通信网络中心的指导与监督。

第四章计算机顾客的责任

第十二条计算机顾客应树立对时日勺信息安全意识，接受通信网络

中心的管理、教育与培训，并有责任保证学校及计算机顾客个人（包括

其他顾客）的信息资产免受损失。

第十三条计算机顾客应做好防止性安全措施，及时修补个人计算

机日勺安全漏洞，防止这些漏洞被计算机病毒软件及其所有人袭击或运

用。

第十四条计算机顾客应在自己所使用日勺个人计算机上，启月多种

信息安全工具和方略，以防止木马、蠕虫等计算机病毒或恶意软件对计

算机中的信息资产的破坏、窃取以及对校园网络的速度、稳定性以及服

务质量日勺影响。

第十五条计算机顾客在进行信息安全和与计算机病毒防治操作

时，遵守国家法律、法规的规定，使用合法授权口勺信息安全工具及软件,

而不应使用盗版的信息安全工具及软件。

使用学校提供的正版日勺商业版本日勺信息安全工具及软件的计算机

顾客，离开学校后应当积极卸载有关软件，防止违反许可证的I限定。

第十六条计算机顾客或学校各单位（部门）可以根据需要，自行

采购布署适合自己日勺正版信息安全工具及软件，并在许可证限定的范围

内使用。

第五章管理与惩罚

第十七条为了及时消除信息安全隐患以及对其他计算机顾客的

影响，对于拒绝修补安全漏洞和启用多种信息安全工具日勺计算机顾客，

通信网络中心可以予以有关当事人警告提醒，并规定当事人立即采用防

备措施，对通过警告仍未改正的、有也许导致严重后果的，可采用紧急

断网处理，直至其改正为止。

第十八条对有下列状况的计算机顾客，通信网络中心可无需事先

警告，对该计算机顾客或部门进行紧急断网处理，直至消除信息安全隐

患为止：

(-)对导致蠕虫、木马等计算机病毒大面积传播时或也许引起严

重后果W、J；

(-)严重影响校园网网速和服务质量日勺；

(三)也许导致其他计算机顾客的重要信息泄漏，导致严重损失的;

(四)也许导致学校口勺信息资产被恶意控制或运用，导致损害的;

（五）超过信息安全工具许可证使用规定，也许对学校导致声誉或

经济上损失日勺；

（六）其他违反法律法规规定的情形的。

第十九条对违反本管理措施规定口勺所有行为，通信网络中心有权

对违规事实进行取证、立案，并视情节轻重报送上级主管部门、当事人

所在部门或有关部门做出深入H勺处理。

第二十条对于妨害计算机信息安全的违法行为以及涉嫌进行侵

害国家信息安全的犯罪行为，计算机顾客应积极配合公安机关和学校有

关部门，积极制裁违法行为和犯罪行为，共同维护信息安全。

数据中心防火墙端口管理暂行规定

为规范数据中心机房的安全管理，根据《信息安全技术一一信息

系统安全等级保护基本规定》（GB/T22239—2023）及ISO/IEC27000

系列原则，特制定《数据中心防火墙端口管理暂行规定》。但愿各方

能共同遵守规范，共建安全的数据中心网络环境。

本规范适合于兰州大学数据中心机房及各校区托管服务器机房

（如下简称“数据中心机房”）。

一、基本端口管理规定

第一条数据中心机房内服务器或设备日勺所有人，必须根据信息

安全等级保护及国家法律规定的网站立案规定，如实申报网络服务端

口（如下简称“端口”）的用途、服务对象或使用人等资料，不得未

经申报与同意，规定开放端口访问。对于不实申报时，一经发现将立

即取消所有访问权限，并作为重大安全隐患进行如实通报，同步需要

重新申报网络服务端口；对导致信息安全事故的，按有关规定追究有

关人员责任，并在安全公告中实名公告责任单位及波及安全事故的系

统名称。

第二条数据中心机房配置网络防火墙，用于保护生产运行的服

务器及有关设备。为防止影响正常生产秩序，临时或非正式运行的服

务器或设备应自行进行独立保护，不适宜放置于防火墙内。

第三条根据信息系统安全等级保护的规定，端口开放及权限控

制必须基于最小配置及最小权限原则。严格严禁为数据中心机房内服

务器或设备配置不受限制日勺防火墙访问规贝J（即，要严格严禁任何IP

地址可访问该服务器或设备的任何端口的规则）。

第四条数据中心防火墙DMZ区域内服务器或设备（如下简称

“DMZ区域内设备”）可以对外提供服务，可对应设置外部访问规则；

数据中心防火墙内部私有区域服务器或设备不可对外提供服务，仅可

向数据中心DMZ区域内的服务器或设备提供服务。

第五条DMZ区域内设备日勺端口分为公共服务端口、受限服务端

口、内部管理端口及临时服务端口等4种类型。高安全保障等级DMZ

区域内的设备的所有端口缺省为内部管理端口，申请通过后才能成为

其他类型端口。

第六条公共服务端口适合于IPv4及IPv6的地址类型，而受限

服务端口、内部管理端口及临时端口仅合用于IPv4地址类型。

二、受限服务端口管理规定

第七条受限服务端口仅限校内IP地址访问。一般安全保障等级

DMZ区域内设备的受限服务端口为ftp(21)、telnet(23)>ssh(22)、

mysql(3306)、ms-sql-s(1433)、remote-desktop(3389)0

第八条受限服务端口可申请成为特殊受限服务端口，除容许校

内IP地址访问外，还可容许校外特定IP地址(由中心根据状况确定

名单，一般为银行、公安、国安等机构)访问。

第九条原则上，防火墙不为受限服务端口设置其他管理规则。

假如DMZ区域内设备需要深入限制访问时，应在设备上自行配置限

制规则。

三、公共服务端口管理规定

第十条公共服务端口可被任何IP地址访问。一般安全保障等级

DMZ区域内设备上口勺（80）、s（443）端口为一般公共服务端

口，只需要完毕网站立案不必其他申请即可被任何IP地址访问。一般

安全保障等级DMZ区域服务器或设备上日勺ftp⑵）、ssh（22）、telnet

（23）端口为特殊公共服务端口，须申请通过审批后才能被任何IP地

址访问。一般安全保障等级DMZ区域设备上其他端口原则上不能成

为公共服务端口。

第十一条原则上，防火墙不为公共服务端口设置其他管理规

则。假如DMZ区域内设备需要深入限制访问时，应在设备上自行配

置限制规则。

四、其他管理规定

第十二条网络与信息技术中心将定期（每月不少于1次）对公

共服务端口、受限服务端口、临时服务端口进行扫描，以保证及时发

现安全漏洞及隐患。一旦发现高危漏洞，端口类型将转为内部管理端

口而无需事先告知（仅封锁后告知），直至漏洞修复。

第十三条本规定由公布之日起执行。

第十四条本规定由通信网络中心负责解释。

I、主机安全管理制度

主干网络设备管理制度

第一章岗位管理

第一条主干网络设备管理岗位采用岗位人员后备制度：一种岗

位配置两名以上管理员，一种管理员重要负责网络设备日勺平常管理工

作，其他管理员应掌握网络设备状况和管理知识，并在重要日勺管理员

外出I勺时候肩负管理网络设备的职责。

第二条主干网络设备重大故障恢复或配置变更操作必须在两

名以上管理员在场日勺状况下才能进行。

第三条管理员应通过不停学习，掌握新日勺网络技术，以应付不

停变化H勺IT环境。

第二章配置变更和故障处理

第四条管理员进行生产设备的配置变更操作，必须执行主干网

络设备配置变更管理.：事前必须通过详尽日勺测试和计•划；事先将变更

计划和影响告知服务前台并公布主干网络设备变更通告；配置变更必

须记录，包括时间、原因、配置记录文献等。

第五条发生故障，购置有关硬件、系统和应用程序服务的，管

理员应当首先借助服务判断故障原因，并按照有关人员提议处理故障,

并记录故障发生的时间、故障状况、处理措施以及未来防止措施等。

没有购置服务的，根据中心制定处理流程修复故障。

第六条管理员应对网络设备的进行定期检查。

第三章安全管理

第七条主干网络设备超级顾客口勺密码要定期更换，密码设定要

有一定日勺规定，不能少于八位。超级顾客密码必须登记在册并按有关

规定妥善保管，管理员不得对任何无关人员泄露。顾客密码由有关顾

客自行设定，管理员要严守保密制度，不得泄漏顾客密码。

第八条为了保证服务等级，管理员不得在生产设备上进行测试

试验。

第九条管理员必须定期安装补丁包，对于高危高风险的补丁包

应当按照规定及时安装。

第十条管理员必须定期对主干网络设备配置进行备份。

第十一条管理员应对主干网络设备进行资源监控，重要针对C

PU、内存、端口流量等状况日勺监控；管理员应当运用多种资源监控

手段保证服务器能力，保障服务等级。

服务器管理制度

第一章岗位管理

第一条服务器管理岗位采用岗位人员后备制度：一种岗位配置

两名以上系统管理员，一种管理员重要负责服务器平常的管理工作，

其他管理员应掌握服务器状况和管理知识，并在重要的管理员外出日勺

时候肩负管理服务器日勺职责。服务器重大故障恢复或配置变更操作必

须在两名以上管理员在场日勺状况下才能进行。

第二条根据不一样服务器H勺服务等级，有关服务器的系统管理

员应当保证在5x8、5x12、7x12或7x24个人通信的畅通以及24、8、

4、2小时抵达现场的能力。

第三条系统管理员应通过不停学习，掌握新的服务器系统技

术，以应付不停变化的IT环境。

第二章配置变更和故障处理

第四条管理员进行生产服务器的配置变更操作，必须执行服务

器配置变更管理：事前必须通过详尽日勺测试和计划；事先将变更计划

和影响告知服务前台并公布服务器变更通告；配置变更必须记录，包

括时间、原因、配置记录文献等。

第五条发生故障，购置有关硬件、系统和应用程序服务日勺，管

理员应当首先借助服务判断故障原因，并按照有关人员提议处理故障,

并记录故障发生的时间、故障状况、处理措施以及未来防止措施等。

没有购置服务的，根据中心制定处埋流程修复故障。

第六条系统管理员应对系统日勺进行定期检查。

第三章安全管理

第七条服务器超级顾客的密码要定期更换，密码设定要有一定

的规定，不能少于八位。超级顾客密码必彳页登记在册并按有关规定妥

善保管，系统管理员不得对仟何无关人员泄露。顾客顾客密码由有关

顾客自行设定，系统管理员要严守保密制度，不得泄漏顾客密码。

第八条为了保证服务等级，系统管理员不得在生产服务器上进

行测试试验，不得在生产服务器上进行与服务无关的操作（例如浏览

网页、下载程序等）。系统管理员不得在生产服务器上安装与服务无

关的软件或放置与服务无关的数据。

第九条系统管理员必须定期安装操作系统、应用程序日勺补丁

包，对于高危高风险的补丁包应当按照规定及时安装。

第十条所有服务器必须安装防病毒软件，并及时升级病毒定义

文献。管理员应当定期对服务器进行全面的病毒检测，发现问题应及

时向中心安全管理员汇报并协同处理。

第十一条所有生产服务器必须实行日志管理制度，按照国家和

学校有关规定保留系统和应用程序日志。

第十二条管理员必须定期对服务器进行操作系统、应用程序和

数据的备份。按照不一样口勺服务等级，对不一样日勺服务器实行离线备

份、在线备份、热备份和双机热备等不一样日勺备份方略。

第十三条管理员应对服务器进行资源监控，包括硬件、系统资源和

应用资源的监控。硬件监控，应当运用硬件厂商提供口勺监控软件；系统

资源监控，重要针对CPU、内存、I/O活动状况的监控；针对应用资

源，重要运用应用程序口勺监控功能。管理员应当运用多种资源监控手段

保证服务器能力，保障服务等级。

兰州大学通信网络中心服务器托管（虚拟服务器租

用）管理措施

第一章服务项目定义

第一条物理服务器托管，将属于顾客所购置服务器置于通信网

络中心，从而为Internet上的顾客提供信息服务。顾客自己负责其软

件安装、升级、服务器管理和故障的排除，并购置有关软件使用权。

第二条虚拟服务器租用，顾客无需购置服务器，租用通信网络

中心提供的虚拟服务器，并且无需对硬件、操作系统及通信线路进行

维护。顾客自己负责其软件安装、升级、服务器管理和故障口勺排除，

并购置有关软件使用权。

第二章使用规定

第三条遵守国家和学校互联网有关法律法规，不存储、公布、

接受违反国家法律和学校有关规定的信息。

第四条顾客单位负责人对服务器信息安全负全责，必须有专人

负责服务器口勺安全管理，并在通信网络中心留有24小时联络。联

络更新需积极告知通信网络中心进行变更。

第五条各单位指定日勺系统维护技术员须是熟悉服务器系统日勺

且能长期维护的老师，不能由学生来代理维护，以免学生离校或其他

原因引起的诸如操作系统顾客名、密码等日勺非正常交接导致日勺信息遗

失问题。

第六条对于不具有有关系统知识日勺专业人员维护的单位，不具

有申请或使用服务器的权利。

第七条顾客应根据《兰州大学校园网二级网站及电子公告版管

理措施》，向学校党委宣传部提出申请。申请经审核同意后，由党委

宣传部负责签发《校园网二级网站（电子公告版）许可证》，由通信网

络中心负责办理有关手续。

第八条通信网络中心将不定期对服务器进行安全检查，一旦发

现安全隐患，有权在未告知顾客单位日勺状况下紧急中断服务器网络接

入。

第九条顾客单位需在通信网络中心登记服务器用途，不得私自

将服务器转做他用。

第十条申请单位如需停止该服务，请提交有关申请，如未告知

我中心而弃用，由此引起日勺安全隐患，需由申请单位自己负责。

第十一条申请单位如违反以上规定，我中心有权停止其服务器

的使用，情节严重时报有关部门处理。

通信网络中心

二。一五年十一月

五、应用安全管理制度

兰州大学校网主页信息与服务内容与管理暂行措

施

第一章总则

第一条为加强我校校园网主页信息及服务内容建设日勺管理工

作，充足发挥学校各部门对网上信息及面向社会互动服务内容的建设

日勺积极性，建立学校校园网主页信息及服务内容日勺建设与管理机制，

特制定本管理措施。

第二条校园网主页信息及面向社会互动服务内容是宣传学校

建设与发展成就，展示学校形象，增进学校对外交流的窗口。抓好校

园网主页信息建设，让更多的人理解我校，对扩大我校的社会影响力,

提高学校I勺国际化水平，提高软实力，具有十分重要的推进作用。

第三条校园网主页信息及面向社会互动服务内容的建设与管

理工作，要坚持时效性、丰富性、真实性的原则，要做到及时、精确、

全面。

第二章组织领导

第四条校园网主页信息及面向社会互动服务内容的建设与管

理工作，由学校信息化领导小组统一领导，校长办公室（如下简称校

办）主管，通信网络中心负责技术支持和服务，各部门分工建设与管

理，并体现各部门间互相协调，共建共管日勺原则。

第五条党委宣传部是校园网主页信息与服务内容的主管部门，

负责审核和监督学校各部门在网上［1勺多种信息内容建设。负责组织开

展校园网主页信息与服务内容日勺各板块、栏目的审定和信息内容的检

查工作，负责组织召开有关工作会议。

第六条通信网络中心是学校校园网主页信息与服务内容建设

日勺技术支撑部门，负责校园网主页信息与服务内容建设日勺总体框架设

计和技术支撑平台日勺建设与管理，负责网上信息安全和有关的技术服

务工作，负责协调学校各职能部门、各学院的校园网主页信息与服务

内容建设的详细工作。

第七条学校各职能部门、各学院是校园网主页信息与服务内容

的详细建设部门，需指定一名领导分管与本单位有关的校园网主页信

息与服务内容日勺建设与管理工作，确定一名信息员负责本单位校园网

主页信息与内容的搜集、处理、传递与整合等工作。

第三章校园网主页信息内容工作的规定

第八条各单位要根据板块栏目规定，搜集、整顿、编撰所负责

板块日勺信息并上传至对应板块，及时提供宣传建设成就、展示形象，

提供内容服务。

第九条各单位在根据各自的职责、目的和任务，有组织、有计

划，定期地向校园网主页传送各类信息的时候，要根据网络与信息技

术中心提供的功能及规范规定进行。

第四章附则

第十条此暂行措施自公布之日起开始实行，由宣传部及通信网

络中心责解释。

兰州大学校务管理系统运行安全管理规定（试行）

第一章总则

第一条为规范兰州大学校务管理系统（如下简称校务系统）运行

管理，保障校务系统运行安全，根据国家有关规定，结合兰州大学实际

状况，制定本试行规定。

第二条本规定所称校务系统，是指基于统一规划日勺校级应用，包

括办公自动化系统和管理信息系统。

第三条校务系统的建设和管理，遵照统筹规划，合理布局，统一

数据库，统一原则，统一开发平台，统一顾客管理，统一门户日勺原则。

第四条本试行规定合用于使用校务系统的校内各单位。

第二章运行管理

第五条通信网络中心负责校务系统H勺规划建设、运行管理和维护

升级，负责保证校务系统日勺程序安全、数据安全和运行安全，校务系统

日勺使用单位必须配合做好校务系统的安仝管理工作。

第六条校务系统管理员分校级系统管理员和部门级系统管理员两

级，校级系统管理员（一级系统管理员）是指校务系统的系统管理员，

由通信网络中心提名，报请学校任命；部门级系统管理员（二级系统管

理员）是指校级机关、各直属单位、各院系、附属单位口勺技术管理员，

由各单位部门指定。

第七条校级系统管理员负责如下工作：

（1）新增、修改、删除系统角色；

（2）新增、修改、删除系统资源权限；

（3）设置各单位组织机构，设置岗位与角色的对应关系，在系统

中为各单位设置技术管理员，根据其权限分派管理部门及可用系统角色

范围；

（4）新增、修改、删除顾客资料，将岗位赋予顾客，修改顾客密

码。

第八条部门级系统管理员负责如下工作：

（1）在校级系统管理员设置的管理范围内，查看系统角色；

（2）在管理范围内设置组织机构列表，设置岗位与系统角色的对

应关系。

第九条系统管理员不得运用校务系统从事危害学校利益、教职工、

学生利益的活动，不得危害校务系统日勺安全。

第十条各单位应加强对本单位使用校务系统H勺安全管理，做好如

下工作：

（1）明确校务系统安全工作的主管负责人，并配置具有对应能力

的工作人员作为校务系统口勺技术管理员；

（2）各单位应将系统管理员和办公自动化系统文献管理员的名单

及联络方式上报通信网络中心立案。人员有变更时，必须同步报通信网

络中心更新立案，并由系统管理员进行对应岗位的权限更改。

（3）各单位系统管理员应当对岗位、岗位对应的系统角色、岗位

包括日勺顾客进行纸质和电子的立案，当发生变化时，必须同步报校级系

统管理员更新立案；

（4）各单位系统管理员应妥善保护自己的帐号资料，登录系统后

因故离开要退出系统；

（5）各单位文献管理员和系统管理员应定期参与培训，并负责对

本单位日勺顾客进行培训；

（6）当发生安全事件时，部门系统管理员应迅速采用对应措施并

及时向校级系统管理员汇报，必要时，通信网络中心予以紧急支持;

（7）各单位应建立信息维护制度，对系统中权限范围内的信息进

行及时维护和更新。

第十一条校级系统管理员应对各单位系统管理员管理口勺组织机构

和系统角色进行纸质和电子的立案，当发生变化时必须同步对立案进行

更新。

第十二条校务系统H勺系统管理员的密码保留机制：系统管理员的

密码必须由8位或以上组合而成；密码必须包括数字、字母、特殊字符;

将密码分隔成两段，由两个人分开掌握；密码还需要密封后放入保险柜

中。

第十三条校务系统中建立审计制度，对管理员的操作进行记录。

校级系统管理员要定期对审计信息进行查看和监控。

第十四条当发生安全事件时，各级系统管理员互相之间要亲密配

合，迅速采用措施，同步向上级主管领导汇报，事后做好安全改善。

第十五条使用校务系统日勺人员不得随意就校务系统中日勺数据对外

提供服务，如确有必要，需通过上级主管部门和领导同意，由有权限日勺

人员负责查询。

第十六条其他应用假如需要通过接口方式获取校务系统中时数

据，必须通过职能部门、通信网络中心同意，设计符合校务系统的数据

接口规范I勺接口软件。

第三章附则

第十七条对于违反本规定导致损失日勺，视情节轻重报有关部门处

理。

第十八条对于危害公共安全、国家安全、泄露国家秘密以及其他

违反法律、法规的行为，由司法、公安部门依法处理，构成犯罪日勺，报

有关司法部门依法追究刑事责任。

第十九条本管理规定由学校通信网络中心负责解释。

第二十条本管理规定白公布之日起生效。

兰州大学电子邮件管理制度

为保障我校校园网电子邮件服务口勺正常使用，规范我校校园网电

子邮件日勺使用行为，特制定本管理制度。

第一章组织管理

第一条兰州大学电子邮件管理由网络与信息技术中心负责。

第二条网络与信息技术中心提供兰州大学电子邮件服务必须

遵守如下行为规范：

①应当将电子邮件服务和使用规则告知顾客举报和投诉垃圾电子

邮件日勺方式

②电子邮件服务器应当使用固定IP地址；

③应当及时堵塞电子邮件服务器安全漏洞；

④向顾客提供群组发送电子邮件服务时，应当建立对应的管理制

度;

⑤应当遵守国家有关管理规定和技术原则；

⑥应当记录经其电子邮件服务器发送或者接受的互联网电子邮件

的发送或者接受时间、发送者和接受者的互联网电子邮件地址及IP地

址。上述记录应当保留六十日，并在国家有关机关依法查询时予以提

供。

⑦应当对顾客日勺电子邮件地址、内容和个人信息采用保密措施，

除国家有关机关依法检查外，不得向他人提供顾客的电子邮件地址、

内容和个人信息，不得将顾客口勺个人信息用于获取目的以外口勺其他用

途。

第二章垃圾电子邮件管理

第三条网络与信息技术中心采用如下的技术防备措施加强垃

圾电子邮件管理:

①对发送垃圾电子邮件日勺特定网络地址、电子邮件进行屏蔽口勺功

②具有限制采自相似客户端网络地址的并发连接数量超过最大

限制值口勺功能；

③具有限制来自相似客户端：网络地址日勺连接频率超过最大限制

值的功能；

④具有限制当地电子邮件顾客一次性发送同一电子邮件发送量

胜1功能;

⑤具有鉴别电子邮件虚假路由，对伪造虚假路由的电子邮件限制

发送日勺功能；

⑥具有关闭电子邮件服务器匿名转发或采用顾客身份认证；电子

邮件转发授权控制措施的功能；

⑦具有对大量群发、连发同样特性的已知垃圾电子邮件进行拦截

的功能，其中特性指电子邮件长度、信条字段、信体符合特定条件。

第三章账号管理

第四条教职工和学生免费获得一种工作邮箱。

第五条教职工日勺工作邮箱及网络磁盘日勺存储总空间为

10000MB；学生H勺工作邮箱及网络磁盘的存储空间为3000MBo

第六条当教职工和学生离开兰州大学的时候，工作邮箱的使用

权限将被自动收回。

第四章行为规范

第七条不得制作、复制、公布、传播包括《中华人民共和国电

信条例》第五十七条规定内容日勺互联网电子邮件。

第八条不得运用互联网电子邮件从事《中华人民共和国电信条

例》第五十八条严禁日勺危害网络安全和信息安全日勺活动。

第九条未经授权不得运用他人日勺计算机系统发送互联网电子

邮件;

第十条不得将采用在线自动搜集、字母或者数字任意组合等手

段获得日勺他人的互联网电子邮件地址用于发售、共享、互换或者向通

过上述方式获得的电子邮件地址发送互联网电子邮件。

第十一条不得发送或者委托发送故意隐匿或者伪造互联网电

子邮件信封信息；

第十二条未经互联网电子邮件接受者明确同意，不得向其发送

包括商业广告内容的互联网电子邮件。

六、数据安全管理制度

兰州大学信息系统数据管理暂行措施

第一章总则

第一条兰州大学信息系统数据作为学校日勺无形资产和战略资源，应

纳入学校统一管理范围，实现信息系统数据的统一管控，提高数据质

量和数据的运用效率，提供安全、完整、统一的数据服务，为学校教

学、科研、管理提供信息服务和技术保障。

第二条本措施所指的信息系统与《中华人民共和国计算机信息系统

安全保护条例》中H勺信息系统定义一致：由计算机及其有关H勺和配套

W、J设备、设施（含网络）构成的，按照一定的应用目的和规则对信息

进行采集、加工、存储、传播、检索等处理的人机系统包括范围是:

学校各类型日勺管理信息系统、网站、教学资源系统、顾客服务系统等。

第三条本措施所指的数据是指各类信息系统所覆盖日勺有关数据，包

括但不限干：管理信息系统产牛的'Ik务数据、网站数据、教学资源（含

多媒体视频、图片、课件等）、顾客服务支持系统产生日勺数据。

第四条信息系统数据管理是指运用信息系统对数据进行采集、录

入、运维、存储、归档、应用的过程以及制定数据原则、数据安全方

略和实行数据审核口勺管理。

第五条信息系统数据管理应遵照如下原则：

（一）统一规范原则。信息系统采集和处理日勺数据，应符合学校制定

日勺信息系统所规定日勺特定数据原则。

（二）全程管控原则。建立数据从采集、处理到维护的全过程管控体

系，重点把好数据口勺采集关，保证信息系统数据真实、精确、完整、

及时。

（三）定期考核原则。有关业务部门对所管理的数据具有责任，对其

权限范围内所负责H勺数据管理工作要进行定期的管理考核。

第六条信息系统数据管理应到达如下目H勺：

（-）统一数据语言：规定数据管理有原则，即具有完善的数据原则

管理规范，保证在系统建设过程中应用统一日勺数据原则。

（二）保障数据精确：在数据整个生命周期日勺各个环节建立完善的数

据质量核查机制，制定完善的数据质量管理规范，保证数据日勺精确性。

（三）防止非法篡改和伪造：明确数据的所有权及更改权限，制定完

善的数据所有权管理规范，保证对数据的所有更改均有据可查，对于

不可更改的数据，应提供对应日勺安全技术防篡改和伪造。

（四）建立数据备份、容灾和恢复机制：建立数据日勺备份、容灾和恢

复机制，加强数据存储和归档管理，制定完善的数据安全管理规范，

保证所有数据有备份、可恢复。

（五）防止信息泄漏：根据国家和学校的规定，做好数据的（保密工作,

保证数据安全。

（六）提供数据服务：制定完善的数据服务管理规范，保证数据易获

取、易应用，以充足发挥数据作为学校资产的价值。

第七条数据分类和波及部门，根据学校的职能域将数据划分为九大

类：

（-）人力资源域：教职工基本信息管理、教职工招聘、入校离校、

职称评审、职务聘任、考核管理、薪资管理、党团工作、出国管理、

离退休管理等。波及部门有人事处、财务与国有资产管理处、房地产

管理处、党委组织部、党委统战部、国际合作与交流处、离退休工作

处、各院系等。

（二）教学资源与管理域：教学计划管理、开课计划管理、排课管理、

选课管理、成绩管理、学位管理等。波及部门有：教务处、医学教务

处、硕士院、高等继续教育学院（网络教育学院）、财务与国有资产

管理处、各院系等。

（三）学生管理域：招生管理、迎新管理、学生基本信息、学籍基本

信息、学生奖惩管理、党团管理、毕业管理等。波及部门有：本科招

生办公室、党委学生工作部（学生处）、硕士院、教务处、就业指导

中心、高等继续教育学院（网络教育学院）、留学生办公室、教育发

展与校友事务办公室、校团委、党委组织部、总务处、图书馆等。

（四）科研管理域：项目管理、协议管理、成果管理、科研机构管理、

科研经费管理等。波及部门：科技发展研究院、社会科学处、医学科

学处、财务与国有资产管理处、各院系等。

（五）财务域：财务管理、经费管理等。波及部门：财务与国有资产

管理处等。

（六）资产域：固定资产管理、试验室管理、设备管理、招投标管理、

房产管理等。波及部门：设备与试验室管理处、财务与国有资产管理

处、招投标管理中心、房地产管理处等。

（七）档案域：人事档案管理、学生档案管理、文献档案管理、科研

档案管理等。波及部门：档案馆、人事处、教务处、硕士院、校长办

公室、科技发展研究院、医学科学处、社会科学处等。

（A）公共服务域：电子邮件服务、高性能服务、电子图书服务、校

园一卡通服务等。波及部门：网络与信息技术中心、图书馆、财务处

等。

（九）系统数据域：实现操作系统功能所波及数据的管理、实现数据

库管理系统功能所波及数据的管理、实现应用软件系统功能所波及数

据的管理等。波及部门：网络与信息技术中心等。

第二章数据管理角色及职责

第八条学校数据管理部门包括网络与信息技术中心、学校党政系统

职能部门、各院系和直属机构与数据管理有关的有关部门或科室。学

校数据管理部门根据数据管理H勺目的设置数据管理详细角色，包括总

体规划、数据原则和规范的制定与执行、数据实行和运维、数据应用。

第九条各类角色日勺职责是：

（一）总体规划的制定与执行：制定数据管理的战略规划和总体目日勺,

由学校信息化领导小组审批。承担部门：网络与信息技术中心以及党

政系统职能部门。

（二）数据原则和规范的制定与执行：制定学校数据指标体系；制定

学校日勺数据模型；制定和执行学校信息系统数据原则；制定和执行数

据所有权管理规范；制定和执行数据安全规范；制定和执行数据服务

管理规范；制定和执行数据质量核查机制。承担部门：网络与信息技

术中心以及党政系统职能部门。

（三）数据实行和运维的范围与执行：进行数据整合、数据分析、数

据的采集与运维管理、存储、归档等。承担部门：党政系统职能部门、

各院系和直属机构与数据管理有关日勺有关部门或科室。

（四）数据应用范围与执行：数据的平常应用和提供共享、运用服务

等；承担部门：学校党政系统职能部门、各院系和直属机构与数据管

理有关日勺有关部门或科室。

第三章数据采集、录入与审核

第十条数据采集应遵照真实、完整、规范、及时的原则。

（一）真实：操作人员应精确录入有关数据，不得随意修改、增减。

数据还必须得到权威部门口勺审核。

（-）完整：要按照各类应用子系统日勺有关规定进行数据采集，保证

数据齐全，防止数据日勺缺失。

（三）规范：数据采集应按照有关原则进行。

（四）及时：数据要在规定的时间内采集，保证数据与实际业务同步。

第十一条学校数据管理部门应统一制定数据采集、录入、审核规范,

并在进行数据采集、录入、审核时规定各业务职能部门（含各院系）

严格按照规