网络系统安全管理规定

一、依据

(一)《信息安全等级保护制度》，公安部公通字[2007]43号。（https://wenku.baidu.com/view/11ebd38a4793daef5ef7ba0d4a7302768e996feb.html）

(二)《浙江省教育信息化建设工程实施办法》，百度文库【2018.10.7】。（https://wenku.baidu.com/view/c077f58448649b6648d7c1c708a1284ac9500517.html）

(三)《宁波职业技术学院信息化建设管理办法》。

二、目的

保障宁波职业技术学院网络及信息系统安全运行，建立健全网络信息安全保障体系，加强网络与信息系统运行维护和监控管理，明确网络安全工作职责和操作规范，提高网络安全防护能力。

三、适用范围

学校信息资源中心的工作人员、学校各单位信息系统维护人员，以及网络信息系统承建商、服务商等系统管理或运维服务人员。

四、基础网络管理

(一)网络整体拓扑结构需进行严格的规划、设计和管理，一经确定，不能轻易更改。

(二)定期对网络进行漏洞扫描，分析扫描结果，发现重大安全隐患，及时上报。

(三)对重要网段进行保护，使用防火墙等安全设备以及VLAN等访问控制技术将重要网段与其它网段隔离开。

(四)按照最小服务原则为每台基础网络设备进行安全配置。

(五)网络连接管理过程中，应明确网络的外联种类，保证所有与外部系统的连接均得到授权和批准，明确连接策略及控制措施。

五、网络互连管理

(一)与互联网的连接中，在互连点防火墙上应进行IP地址转换，保护内部接口机或代理服务器真实IP地址。

(二)互联网接入必须有防火墙等安全防范设备。未经许可，任何部门或个人不得私自在网络内新增与互联网的连接。

(三)不同业务网络之间互连点上必须采取网络访问控制列表、安装防火墙等安全措施。

(四)应加强对网络互连点及安全设备的监控。网络互连点采取集中原则，并考虑安全冗余。

六、配置管理

(一)网络设备及安全设备的当前配置文件必须在主机上有备份文件。

(二)网络设备及安全设备中的运行配置文件和启动配置文件应随时保持一致。

(三)网络设备及安全设备的拓扑结构、IP地址等信息文档应保密。修改配置信息须获得批准。

(四)定期对网络设备及安全设备的配置信息是否符合当前网络状况进行检查和分析，并做详细记录。

七、日志管理

(一)网络设备及安全设备需存储日志信息。在日志文件中要记录登录过该设备的用户名、时间和所做的命令操作等，为发现潜在攻击者提供证据。

(二)定期查看设备日志文件，发现异常情况要及时处理和报告，尽早消除网络安全隐患。定期对日志文件进行备份。日志文件保存时间应在6个月以上。对日志文件的访问须获得批准。

八、操作系统管理

(一)及时为操作系统、网络设备、应用软件等安装安全补丁，保证设备和系统的即时安全性。

(二)及时关闭无关的网络服务，通过防火墙进行网络访问控制，对网络访问进行充分的认证和有限的安全授权，对应用服务做好用户管理和权限控制。

(三)加强文件系统安全性，对重要文件进行加密；对文件实施基于用户的访问控制；实施文件完整性检查和恢复机制；定期备份。

九、主机安全管理

(一)做好主机配置、安装和改动记录，编写内部网络和系统运行日志。定期对硬盘进行整理，清除缓存或垃圾文件。及时清理服务器上的过期数据。

(二)做好系统的硬件维护，对设备定期检查，及时排除网络和操作系统故障，保持设备正常运行。定期进行主机的性能测试或系统软件的升级。

(三)主机管理员密码要定期更换，密码应有足够强度，系不得对任何无关人员泄露。对主机用户的权限进行严格审核，对废弃的用户要及时进行删除。

(四)不得在主机（包括虚拟机）上做软件或系统功能试验，不得安装与学校业务无关的应用系统和软件。

(五)所有主机必须安装防病毒软件，并及时升级。定期对主机进行全面病毒检测，做好记录。

(六)做好网络内所有系统数据和应用数据的备份，为确保数据安全，应采用多种备份形式。对重要的应用主机，尽可能做双机备份。

十、数据备份管理

(一)拥有重要系统或重要数据的单位应及时对数据进行备份，防止系统、数据损坏丢失。

(二)网络服务器数据备份工作，由信息资源中心负责，增量备份每日做，系统备份每周做。每周最后一个工作日，对应用服务器的数据库文件做一次异机备份，数据保存一个季度。

(三)备份数据应该严格管理，妥善保存。数据的备份、恢复、转出、转入权限应严格控制。严禁未经授权进行数据备份、转出操作；严禁未经授权进行数据恢复、转入操作。定期检查备份数据能否正常使用，需刻录光盘的数据应经过检验确保数据备份的完整性和可用性后，方可刻录光盘。

十一、病毒防控

(一)所有计算设备应安装病毒防护软件或采用病毒防护手段，及时升级，加强防病毒系统日常维护。

(二)信息资源中心定期收集、整理、分析病毒信息，描述病毒的名称、特征、危害和修补措施，向全院发出防范该病毒的通知。

(三)办公电脑终端感染病毒，应首先拔掉网线，及时通知信息资源中心进行处理。

十二、存储介质管理

(一)加强对存有涉密信息的电脑及其它移动存储介质（包括U盘、移动硬盘、光盘等）的安全管理，增强防范意识，防止因使用电脑及其它移动存储介质不当造成泄密。

(二)中心机房禁止使用移动存储介质。存储过涉密信息的移动存储介质，不得与存储普通信息的移动存储介质混用；用于存储涉密信息的移动存储介质须进行安全检查。

(三)涉密电脑实行专机专用，定点存放，无关人员未经批准不得对此电脑进行操作。加强对脱机存放的存储介质管理，存有涉密信息的应由专人负责进行保管。涉密存储介质原则上不得送外维修，必须送出维修时应首先清除介质中的敏感数据。涉密存储介质在淘汰和报废前，应清除介质中的敏感数据。

十三、密码管理

(一)重要信息系统服务器的账户及口令，由部门负责人和系统管理员商议确定，必须两人同时在场设定。网络安全设备的账户及口令，须部门负责人在场时由管理员记录封存。

(二)密码及口令要定期更换，更换后要销毁原记录，将新密码及口令记录封存。如发生密码泄露，应立刻报告，及时更换。

(三)密码设置应有足够强度。设备和软件安装之后，需变更默认的厂商口令。信息资源中心定期进行弱口令检测，对存在严重问题的信息系统应停止其内外网访问服务。

(四)部署堡垒机设备，业务系统的服务器远程登录都通过堡垒机设备进行，密码采用高强度自动修改方式。堡垒机上的托管服务器密码制作成文件统一进行封存保管。

十四、附則

(一)本管理规定经校长办公会审议通过后公告实施，修正时亦同。

(二)本管理规定解释权归信息资源中心，此前的相关规定如与本管理规定发生矛盾，按本规定执行。