宁波职业技术学院系统安全管理制度

为加强宁波职业技术学院的网络管理，明确岗位职责，规范操作流程，维护网络正常运行，确保计算机信息系统的安全，现根据《中华人民共和国计算机信息系统安全保护条例》等有关规定，结合本单位实际，特制订本制度。

第一条  计算机信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

第二条  本院设立信息安全管理小组，专门负责本单位范围内的计算机信息系统安全管理工作。

第三条  遵守国家有关法律、法规，严格执行安全保密制度，不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、浏览、复制、传播反动及色情信息，不得在网络上发布反动、非法和虚假的消息，不得在网络上谩骂攻击他人，不得在网上泄露他人隐私。严禁通过网络进行任何黑客活动和性质类似的破坏活动，严格控制和防范计算机病毒的侵入。

第四条   各工作计算机未进行安全配置、未装防火墙或杀毒软件的，不得入网。各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新，并定期进行病毒清查，不要下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件、以及不要随意使用带毒U盘等介质。

第五条   每个月对网络设备进行安全备份，日志审核，在实行安全配置时候需经过上级同意后进行操作。定期对网络设备的口令进行修改，口令应具有复杂度。

第六条   任何人员不得制造或者故意输入、传播计算机病毒和其他有害数据，不得利用非法手段复制、截收、篡改计算机信息系统中的数据。

第七条   网络管理人员禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击，禁止非法侵入他人网络和服务器系统，禁止利用计算机和网络干扰他人正常工作的行为。

第八条   计算机各终端用户应保管好自己的用户账号和密码。严禁随意向他人泄露、借用自己的账号和密码；严禁不以真实身份登录系统。计算机使用者更应定期更改密码、使用复杂密码。

第九条   每个月检查系统安全策略、安全配置。定期对日志进行审核管理，发现问题及时上报。通过审批后进行相关安全操作。

第十条   专人负责网络运行日志，网络监控记录、日常维护和报警信息分析和处理等工作。

第十一条  由网络管理员每三个月对对象进行扫描，扫描完成后出一份相应的漏洞扫描报告，并记录归档。

第十二条  当需要系统接入时，首先要对该接入的新系统进行检查，检查无误后填写《网络系统接入审批表》并由信息中心相关人员陪同及上级领导同意签字后方可进行相关操作，并对相关操作记录形成《系统运维记录》。

第十三条  系统应遵循最小安装的原则，需将不必要的软件进行卸载，将不需要的系统服务停用。

第十四条  系统必须开启日志审计功能，且不能删除，日志文件保存三个月以上，且单个文件必须大于2M，并由网络管理员进行管理，检查，并三个月一次对审计日志进行分析形成《日志分析报告》。

第十五条  对现在已有的用户账户进行权限的分配以及专人使用，如有特殊情况需要进行用户权限的变更则需要征求信息中心领导审批通过后方可更改。如果发生岗位人员调离或离职，则需要根据实际情况出发对系统账户进行账户禁用或权限修改，如果该账号为administration，则修改该账户的用户名以及密码，和该用户生成的文件（C:/Documents and Settings/Administrator）。

第十六条  需对操作系统，数据库的管理员账户基本情况进行记录：主机操作系统管理员只有唯一账户Administrator为最高管理员账户，

数据库账户中超级管理员账户为最高权限可对数据表进行查询，检索以及删除，添加修改等操作，其余用户对数据表仅有检索以及查询功能无法修改。

  数据备份机制介绍：所有数据存储至存储设备中，备份时间为实时备份.

  信息资源中心

二0一七年四月