第六篇 网络安全管理
东南大学校园网络系统安全管理制度
校通知[2001]38号
第一条 为了保护东南大学校园网络系统的安全、促进学校计算机网络的应用和发展、保证校园网络的正常运行和网络用户的使用权益,制定本安全管理制度。
第二条 本管理制度所称的校园网络系统,是指由学校投资购买、由网络与信息中心负责维护和管理的校园网络主、辅节点设备、配套的网络线缆设施及网络服务器、工作站所构成的、为校园网络应用及服务的硬件、软件的集成系统。
第三条 校园网系统的安全运行和系统设备管理维护工作由网络与信息中心负责,网络与信息中心可以委托相关单位指定人员代为管理子节点设备。任何单位和个人,未经校园网负责单位同意、不得擅自安装、拆卸或改变网络设备。
第四条 任何单位和个人、不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动,不得危害或侵入未授权的(包括CERNET或其它互联网在内的)服务器、工作站。
第五条 除校园网负责单位,其他单位或个人不得以任何方式试图登陆进入校园网主、辅节点、服务器等设备进行修改、设置、删除等操作;任何单位和个人不得以任何借口盗窃、破坏网络设施,这些行为被视为对校园网安全运行的破坏行为。
第六条 校园网中对外发布信息的WWW服务器中的内容必须经各单位领导审核,由单位负责人签署意见后,交学校国家安全领导小组(设在党委办公室)审核备案后,由网络与信息中心从技术上开通其对外的信息服务。
第七条 校园网各类服务器中开设的帐户和口令为个人用户所拥有,网络与信息中心对用户口令保密,不得向任何单位和个人提供这些信息。
第八条 网络使用者不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。
第九条 校园内从事施工、建设,不得危害计算机网络系统的安全。
第十条 校园网主、辅节点设备及服务器等发生案件、以及遭到黑客攻击后,校园网负责单位必须在二十四小时内向校保卫部门及公安机关报告。
第十一条 严禁在校园网上使用来历不明、引发病毒传染的软件;对于来历不明的可能引起计算机病毒的软件应使用公安部门推荐的杀毒软件检查、杀毒。
第十二条 任何单位和个人不得在校园网及其联网计算机上传送危害国家安全的信息(包括多媒体信息)、录阅传送淫秽、色情资料。
第十三条 校园网及子网的系统软件、应用软件及信息数据要实施保密措施。信息资源保密等级可分为:(1)可向Internet公开的;(2)可向校内公开的;(3)可向本系(单位)公开的;(4)可向有关单位或个人公开的;(5)仅限于本单位内使用的;(6)仅限于个人使用的。
第十四条 对所有联网计算机及上网人员要及时、准确登记备案。多人共用计算机上网的各级行政单位、教学业务单位上网计算机的使用要严格管理,部门负责人为网络安全负责人。学校公共机房一律不准对社会开放,上网人员必须出示学生证、教师证,机房工作人员记录上网人员身份和上下网时间、机号、机器IP地址。公共机房使用网络的记录要保持一年。
第十五条 校园网负责单位必须落实各项管理制度和技术规范,监控、封堵、清除网上有害信息。为了有效地防范网上非法活动,校园网要统一出口管理、统一用户管理,进出校园网访问信息的所有用户必须使用校园网负责单位设立的代理服务器、Email服务器。未经校网络安全领导小组批准,各单位一律不得开设代理服务器、Email服务器。
第十六条 经学校网络安全领导小组批准开设的服务器必须保持日志记录功能,历史记录保持时间不得低于6个月。服务器上开设的用户必须按照南京市公安局计算机监察处要求登记的内容,通过Email按月报网络与信息中心。校园网负责单位要按照南京市公安局计算机监察处的要求规定,不定期地检查各开通服务器的计算机日志。
第十七条 违反第五条及第十二条规定的行为一经查实,将向学校国家安全领导小组及保卫部门报告,视情节给予相应的行政纪律处分;造成重大影响和损失的将向市公安部门报告,由个人依法承担相关责任。
第十八条 违反第八条规定的侦听、盗用行为一经查实,将提请学校给予行政处分,并在校园网上公布;对他人造成经济损失的,由本人加倍赔偿受害人损失,关闭其拥有的各类服务帐号;行为恶劣、影响面大、造成他人重大损失的,将向公安部门报案。
第十九条 故意传播或制造计算机病毒,造成危害校园网系统安全的按《中华人民共和国计算机信息系统安全保护条例》中第二十三条的规定予以处罚。
第二十条 本管理制度中所指出的校园网负责单位为网络与信息中心。
第二十一条 本管理制度自公布之日起实行。
东南大学校园网络系统安全管理制度补充规定
校通知[2005]61号
一、未经校网络安全管理领导小组批准,任何单位与个人不得擅自将本单位的计算机、局域网与网络运营商网络(包括中国电信、中国网通、中国移动、中国联通、中国铁通、赛尔网络等)进行连接。
二、因工作需要,确需接入校外运营商网络的单位,必须首先向校网络安全管理领导小组提出书面申请,单位负责人签字、单位盖章后报学校网络安全领导小组(办公室设在保卫处政保科)审批,经批准后方可进行施工、接入。
三、凡接入校外运营商网络的计算机或局域网必须与我校校园网进行物理隔离,由学校保卫处及网络与信息中心负责对其隔物理离措施及状况进行验收和不定期检查。凡未与校园网进行物理隔离造成的损失由接入单位承担。
四、凡接入校外运营商网络的计算机或局域网必须由单位负责人指定相应专人负责网络的安全及其管理,单位负责人必须与保卫处签订网络安全责任书,对接入网络内发生的网络安全负全责。
五、凡已接入校外运营商网络的计算机或局域网,所属单位必须向学校网络安全领导小组办公室(保卫处政保科)备案;根据信息产业部第33号令颁布的《非经营性互联网信息服务备案管理办法》(
六、对违反本补充规定的单位与个人,将按照《东南大学校园网络系统安全管理制度》第三章第十七条规定处理。
东南大学计算机机房安全管理规定
校通知[2005]17号
为了加强我校计算机机房的安全管理,保证计算机机房安全、规范运行,根据国家有关法律、法规,特制定东南大学计算机机房安全管理规定。
一、计算机机房主要指计算机集中放置的学校公用机房、各单位计算机数量超过10台的自用机房、学生自备机房。
二、根据《东南大学校园网络系统安全管理制度》,凡未经校园网络安全领导小组批准的计算机机房不得连接校园网。经同意批准的计算机机房必须经校园网络安全领导小组检查验收合格后,取得合格证方可使用。
三、开设计算机机房,严格按照“谁开设、谁管理、谁负责”的原则,明确安全责任,落实安全责任人,落实安全措施。
四、用户在校园网相关服务器上开设账户和口令信息要妥善保管,网络与信息中心对用户口令保密。
五、计算机机房必须建立健全严格的安全管理制度。管理人员必须对上机人员进行验证登记,确定机位、IP地址、建立计算机使用管理日志,记录使用人员上下机时间;管理日志要保存一年。学生用公用机房需采用IC卡跟踪记录的管理办法,上机人员用机记录要便于查询。
对缺乏严格的计算机机房管理制度,造成网络安全事故无法追查的,将追究机房负责人和机房管理人员的责任。
六、机房必须落实以下安全要求:
1、服务对象必须为校内师生员工,不得对校外人员开放;开放时间平时不得超过22:00,节假日不得超过23:00,各类机房不得以任何形式交由校外人员管理。
2、计算机机房的机位,不得私自搬动或调换。机房管理人员为计算机分配的IP地址不得自行更改。
3、每台计算机机位占地面积不得小于2平方米。超过50台计算机的机房必须有2个以上安全出口。
4、必须按规定配备安全消防设施,安装防盗门、窗及技防设施。
5、严禁制作、复制和传播有害信息、黄色网站或黄色游戏、淫秽影碟,严禁盗用他人IP地址、用户账号;不得利用计算机技术侵犯用户合法权益;一经发现,追究其领导和相关人员责任。情节严重者移交公安机关处理。
6、未经机房管理人员批准,任何人不得改变网络拓扑结构、网络设备布置、服务器配置和网络参数,危害网络安全。任何人不得擅自进入未经许可的网络系统,不得篡改系统信息和用户数据。
机房管理人员应及时监控计算机及网络运行状况,对不成功进入、不成功访问、越权存取尝试等进行记录、整理、分析,并提出针对性措施。
7、任何人不得在网上制造、传播计算机病毒,不得危害网络安全、不得开设二级代理服务器。网络使用者发现病毒,应立即向机房管理人员报告,以便及时处理。
8、机房网络服务器以及机房内的计算机病毒防治工作由机房管理人员负责。
七、校园网络安全领导小组根据公安部门要求和学校的网络安全状况,不定期地检查各开通服务器的机房的计算机管理日志和管理记录。
八、计算机房内发生治安事件、火灾及发现不良信息时,单位或个人应立即向学校保卫部门报告。
九、凡违反本规定的,学校将根据《中华人民共和国计算机信息系统安全保护条例》和《东南大学校园网络系统安全管理制度》依纪依法追究责任;情节严重者交公安部门处理。
十、本规定从公布之日执行,解释权在保卫处。
东南大学校园网络信息安全管理条例
校通知[2009]68号
为进一步加强校园网络信息安全的管理,规范学校各级网站建设,保证网络安全,把校园网建设成为广大师生进行交流的平台、教育和学习的阵地、宣传学校事业发展的窗口,根据相关文件精神,结合我校实际情况,特制定本条例。
第一条 本条例中的校园网络信息是指在校园网内由学校各院系部门建立的各类网站的网页、应用信息系统、BBS论坛中的所有信息。
第二条 学校成立校园网络信息安全管理领导小组。领导小组由分管学校数字化校园建设的校领导任组长,分管宣传、保密的校领导任副组长,由学校党委办公室、校长办公室、宣传部、保卫处、网络中心等部门负责人任组员,领导小组办公室设在网络与信息中心。
第三条 网站管理按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,明确责任、突出重点、保障安全。院系党委书记是本单位的第一责任人,网络管理员是的直接责任人;机关各部处的主要负责人是本部门的第一责任人,网络管理员是本部门的直接责任人。
第四条 学校为各院系、部门提供统一的网站页面制作软硬件平台,各院系的信息发布及应用系统在数字化校园建成前仍由各单位自行建设管理。
第五条 进一步加强网站论坛、BBS的管理。目前,经学校批准开设的BBS论坛只有虎踞龙蟠BBS,学校原则上不再审批其它论坛。各单位如确因教学科研需要开设论坛的,必须向学校网络信息安全管理领导小组申请,经批准后方能运行。凡经批准开设论坛的网站,必须采用后台实名制进行身份认证、关闭匿名发帖功能,并保留相关的系统日志。
第六条 各网站必须明确责任人和系统管理员,同时将责任人和系统管理员的电话(手机)通过OA邮件报领导小组办公室备案;如人员发生变化,需及时通知领导小组办公室。
第七条 校内各网站的管理工作不得交学生或兼职人员代管,采用相关软件聘请第三方进行开发的,在正式启用后必须需由本部门网络管理员接管。
第八条 网站的信息内容应及时更新,如网站长期不更新或无人管理,主办单位应及时报有关部门注销该网站。
第九条 网站管理员以及版面管理员必须经常浏览、监测网站及版面信息发布情况,发现版面内有不良内容或问题必须立即删除或屏蔽,并及时向主管部门报告,保证网站健康运行。
第十条 各类网站必须定期清查服务器漏洞或病毒,以防止计算机中的重要信息文件通过漏洞或病毒程序到处传播,造成重大泄密事故。
第十一条 具有信息系统网站的单位责任人应定期对信息系统进行安全检查,检查内容应包括:
(1)安全责任落实情况,重点检查信息系统及网站管理人员落实情况;
(2)安全防范措施落实情况,重点检查信息系统及网站的身份认证、访问控制、防篡改、防病毒、防攻击等安全技术措施的有效性;
(3)应急相应机制建设情况,重点检查信息系统及网站出现问题后的应急预案制定、落实情况,应急技术支持队伍建设情况,重大信息安全事故处置情况,以及重要数据及业务系统的备份情况;
(4)安全隐患排查及整改情况,重点检查对安全事故、防范措施、设备设施等方面存在的漏洞和薄弱环节的排查情况,分析产生问题和隐患的原因,研究和落实整改措施等情况;
(5)安全形势及安全风险评估. 深入、系统地分析外部安全形势和内部防范措施的有效性,全面评估信息系统计网站的安全风险状况,提出整改意见。
第十二条 责任追究。对违反信息系统及网站安全管理规定、造成信息安全事故的直接责任人和有关单位的第一责任人进行责任追究。
东南大学二级网站建设与管理办法
校通知[2009]159号
第一条 东南大学二级网站是东南大学各院、系、所、机关职能部门、直属附属单位(以下简称各单位)网站的总称。
第二条 为更好地塑造东南大学形象,发挥东南大学二级网站的宣传作用,提高二级网站的建设水平、服务水平和管理水平,根据国家相关法律、法规的规定,结合东南大学实际,制定本管理办法。
第三条 党委宣传部网络信息管理办公室(以下简称宣传部网管办)负责建站的审核与管理。
第四条 根据“谁使用、谁建设、谁管理、谁负责”的原则,二级网站的发布单位对本单位及本单位管辖下的网站在形式、内容、运行安全等方面具有监督和管理的责任。
第五条 负责发布服务器管理的各单位,必须制定本单位网站应急响应预案,以最大程度预防和减少突发事件发生,保证能够迅速有效处理突发事件。
第六条 二级网站内容须遵守相关法律、法规,不得侵犯他人知识产权、署名权、肖像权等合法权益。禁止发布涉密信息。
第七条 按照《中华人民共和国国家通用语言文字法》的相关规定,中文网站名称、标题、正文等必须使用国家通用语言文字数字和标点符号用法必须执行国家标准,杜绝错字、别字和异型字。
第八条 二级网站在引用学校发布的信息时,须与学校保持一致,保证其准确性。
第九条 二级网站内容须确保发布内容的质量和政治安全。网站内容应注重实用性和服务性,力求客观、准确、及时,贴近校园生活。
第十条 各院、系、所网站栏目一般应包括:院、系、所概况、师资力量、专业设置、学科建设、科研机构及成果、学生工作、新闻动态、联系方式等。其它栏目可根据各单位自身特点另行设立。
第十一条 机关职能部门网站栏目一般应包括单位简介、机构设置、职责分工、规章制度、办事流程、联系方式等,其它栏目可根据各单位自身特点另行设立。
第十二条 直属附属单位网站内容设置可根据各单位职能特点进行设立,一般应包括单位介绍、工作职能和联系方式等栏目。
第十三条 各二级网站原则上不允许开设具有信息交互功能的栏目。确实需要开设应向宣传部网管办提出申请,经批准后方可按相关要求开设。
第十四条 网络与信息中心负责开设一组刀片服务器用于全校二级网站发布服务,提供学校制作以及发布服务器的技术支持。
第十五条 各单位网站均应使用学校统一的 WebPlus系统进行网页制作。二级网站可以使用学校提供的网页发布服务器,也可以使用各部门、各院系自备的服务器。
第十六条 二级网站的域名选取规则。
⑴.各部门及直属单位等一般以单位名的汉语拼音第一个字母的组合为域名前缀,如组织部为zzb;
⑵.院系一般可以单位的英文单词或其缩写为前缀,如建筑学院为arch、外国语学院为fld等。
第十七条 二级网站统一使用seu.edu.cn为后缀,不使用以seu.edu.cn为后缀的网站一般不予在东南大学校园网主页上发布。
第十八条 发布二级网站的单位必须确定一名管理员,全面负责各自网站的建设管理与信息安全工作。管理员必须由责任心较强且具有一定计算机网络知识的在职在编教职工担任。
第十九条 二级网站管理所涉及到的账号、密码应由专人保管,责任落实到人。因密码泄露而引发安全事故的,将追究该单位责任。
第二十条 学校提供的网页发布服务器采用虚拟主机、Linux操作系统,以静态页面发布网页;不提供微软的操作系统服务平台、不支持微软的各种多媒体及应用服务。
第二十一条 由于微软 Windows Server操作系统存在的安全隐患和漏洞较多,使用微软操作系统作为发布服务器的各单位系统管理员必须及时进行定期检查。对因疏于管理而造成安全事故的,学校将追究该单位责任。
第二十二条 各单位网站应建立备份制度,定期对其网站数据进行备份。
第二十三条 为保证学校发布服务器安全,减轻发布服务器负担,使用学校发布服务器的单位不得上传与本单位网站无关的文件或多媒体附件,一经发现直接删除。
第二十四条 学校将不定期对各单位网站进行抽查,对存在安全隐患的网站,将停止其在校园网的链接,限期整改。
第二十五条 为促进各二级网站的建设与管理,宣传部网管办每年年底将组织专家对全校各二级网站进行评比,评比结果将计入东南大学精神文明先进单位评比成绩。
第二十六条 新开设网站或要对原网站进行重新制作的单位,原则上均要求使用学校统一的 WebPlus网页制作系统进行网页制作,各单位的应用系统网站由学校“数字化校园”的业务系统建设途径加以解决。
第二十七条 新开设的二级网站
新开设二级网站的管理仍然按照原有对外提供WWW服务、申请开通IP路由的管理办法,登录网络中心主页http://nic.seu.edu.cn/、进入“IP路由申请”、填写相应信息、打印表格后,前往东南大学网络安全管理领导小组办公室(网络与信息中心)审批、确认。
第二十八条 使用网页制作系统的申请
使用网页制作系统的二级网站建站单位首先向宣传部网管办提出申请,确定管理员并认真填写《东南大学二级网站建设申请表》(见附件1)、由建站单位的党政主要负责人签字同意、盖章后一式三份报送至宣传部网管办,由宣传部网管办负责分送网络与信息中心和保卫处备案。
第二十九条 网站初建
使用网页制作系统的二级网站初建工作可由各单位管理员在宣传部网管办技术人员的帮助下完成初步构建。建站单位在网站制作上如有困难可向宣传部网管办提出申请、单位承担一定的费用,由宣传部网管办联系聘请相关公司专业技术人员(相关费用见本《办法》第三十三条)完成网站的制作。
第三十条 网站发布
(1)采用WebPlus制作平台完成二级网站制作、需要正式联网发布时,建站单位应向宣传部网管办提出申请(见附件2);
(2)宣传部网管办接到申请并审核后,通过 OA邮件通知网络与信息中心完成二级网站域名的 DNS解析。如二级网站需使用学校提供的网页发布服务器发布信息,网络与信息中心负责该二级网站发布服务器的虚拟主机安装及相应配置;如使用本单位自备的服务器发布主页,由部门或院系的系统管理员自行安装操作系统及相关软件;
(3)宣传部网管办在接到网络与信息中心完成 DNS解析、发布服务器相应 IP地址配置的通知后,将相关二级网站发布到相应服务器上,并在东南大学校园网主页的相应位置上进行链接。
第三十一条 二级网站管理员的管理
各单位在填写《东南大学二级网站建设申请表》(见附件1)必须明确二级网站管理员,宣传部网管办将为管理员设定其在WebPlus网页制作平台上的相关权限。二级网站管理员如有更换,必须重新申报。
第三十二条 管理员培训
宣传部网管办将组织对管理员进行 WebPlus网页制作平台相关操作的培训,使各二级网站管理员具备能够熟练运用 WebPlus网页制作平台制作和管理二级网站的能力。
第三十三条 相关费用
(1)网站初建费
各单位需要委托建设二级网站的,须支付网站建设费。宣传部网管办协助相关单位与 WebPlus网页制作平台供应商联系,聘请相关专业技术人员制作。网站建设费用由委托单位与相关供应商协商并签订制作协议。
(2)发布网站运行服务费
为鼓励各单位采用学校统一的网页制作和发布平台,在学校网页发布服务器上发布网页的二级网站单位免交硬件资源占用费以及运行服务费。
(3)网站月租及流量费
在学校网页发布服务器上发布网页的二级网站、以及各单位自行管理的主页发布服务器,其网站的月租费、产生的国际入流量计费办法按照原网络管理办法执行。
(4)技术服务费
采用WebPlus 网页制作平台完成二级网站制作以及进行后续管理的,使用单位免收技术服务费。
第三十四条 党委宣传部网络信息管理办公室和网络与信息中心对本《办法》拥有最终解释权。
第三十五条 本办法自公布之日起执行。