成都工业学院网络与信息安全管理办法

第一章 总则

第一条 为提高网络与信息安全水平，保证学校网络与信息安全 工作顺利进行，保障学校各项事业健康有序发展，根据《中华人民共 和国网络安全法》、《中华人民共和国数据安全法》、《教育部关于 加强教育行业网络与信息安全工作的指导意见》(教技〔2014〕4 号)、 《教育部关于进一步加强直属高校直属单位信息技术安全工作的通 知》 (教技〔2015〕1 号) 等文件精神，结合我校实际，制定本办法。

第二条 学校的网络与信息安全是指：校园基础网络 (含网络服 务与信息系统接入、认证) 、公共应用平台 (云服务、存储等) 、校 内信息系统 (校级和二级部门自建网站、校内业务系统) 、校外部署 的系统、校外公共平台 (微信公众号、支付宝生活号、各种微博、抖 音账号等)及学校所属其他各类互联网信息资产及相关设施的运行安 全和数据安全。

第三条 学校网络及信息化相关设施、信息系统及数据 (含网络 服务与信息系统接入、单位网站 (或使用学校授权的个人网站) 建设 情况、微信服务号的开通情况、支付宝生活号、各种微博、抖音账号 等) 信息资源及相关设施，在下文中统称为信息资产。

第二章 管理体系与职责

第四条 根据“谁主管谁负责，谁使用谁负责，谁运营谁负责” 的管理原则，学校网络与信息安全工作分为：校级管理和二级部门(单 位) 管理两个层级。

第五条 学校网络安全与信息化领导小组负责指导全校网络与信 息安全体系建设；网络与信息管理中心 (简称“网管中心”) 作为学 校职能部门负责学校网络与信息安全的整体规划及校级系统建设与 运维工作。

第六条 网络与信息管理中心作为校级系统的主体责任单位，负 责校级网络与信息系统的建设、管理和维护，以保障学校网络与信息 系统的正常运行；负责学校网络整体安全，保存网络运行日志；负责 入网单位和个人办理入网登记。同时，对校内各二级部门 (单位) 的 网络与信息安全工作负管理和指导责任。负责指导各二级部门(单位) 进行系统建设并与责任主体签署相应的安全责任书；负责监督指导各 二级部门 (单位) 的信息系统管理和运维工作；负责对全校信息资产 定期清查。

第七条 各二级学院 (部) 及职能部门 (以下统称二级单位) 为 本二级单位信息资产的所有者，是相关资产网络与信息安全工作主体 责任单位。其主要负责人为第一责任人，同时，应指定专人作为网络 与信息安全联络员，负责本单位网络与信息安全的日常工作。

第八条 各二级单位作为主体责任单位，承担本单位 (含下属单

位) 的信息资产管理、运维工作，其网络与信息安全的主体责任及信 息资产管理工作包括：

( 一)有义务了解资产安全的相关信息，包括所运行的硬件资源、 操作系统、中间件系统、数据库系统、服务接入通信需求等各环节。

(二) 有义务为各信息资产配置管理人员，了解系统安全运行相 关环节和操作规范，做到信息资产安全运营。

(三)对其系统的使用、人员监管和安全规范执行负有监管责任。

(四)有责任按学校网络准入规范和安全防护要求使用和维护系 统。如信息资产通过外包服务方式进行维护的二级单位，有义务督促 外包服务方根据安全需要及网络与信息管理中心指导，做好系统安全 运维工作，同时承担因信息资产外包而带来的安全责任。

第九条 各单位信息与安全联络员应根据网络与信息管理中心的 技术指导和相关文件要求，对本单位信息资产进行安全管理与运维， 负责本单位及下属单位所有信息资产的网络与信息安全相关工作，建 立信息资产台账，定期清理、更新资产状态，并在每学期开学二周内 定期向网管中心报备；如有停用、废弃系统，要进行数据转存与安全 控制。当出现安全事件时，配合网络与信息管理中心进行应急响应。

第十条 有关舆情监控处置，参照《成都工业学院网络舆情管理 与处置办法 (暂行) 》  (成工院党〔 2020〕  3 号) 执行。网络与信息 管理中心通过实名上网认证等技术手段提供技术支持，协助涉事部门 查找舆情信息源或其他技术支持，并与上级网信办联系沟通，请求支 持或协助。

第三章 安全准入规范

第十一条 校内网络接入由网络与信息管理中心统一管理，包括 IP 地址、域名分配及上网实名网络账号管理等。

第十二条 学校信息资产接入校园网必须实行实名制。校内外信 息服务系统接入校园网向网管中心提出申请，并在现有的网络安全框 架内进行，以便能通过相关的技术手段 (防火墙、实名身份认证、安 全审计、堡垒机、VPN 、病毒防护及入侵检测) 保障信息系统安全。

第十三条 本校师生员工在入职、入校后，学生根据教务处认定、

教师根据人事处认定在师生事务大厅统一开设网络账号( 一人一号)。

如需开设临时账号，应由需求部门 (单位) 发起 OA，经本部门  (单位) 主管领导和网络与信息管理中心领导审批后开设。在账号开 设申请时，应提供身份证明信息，并明确账号时效 (原则上不超过半 年) 。网络临时账号只包含网络使用功能，其他一卡通绑定功能开通，

应以相关业务部门审批为准。

第十四条 学校域名为 cdtu.edu.cn 。各信息系统主办单位应按其 信息系统名称的拼音或英文缩写简写设置域名并提出申请，经学校机 构设置主管部门 (如需要设置或更改机构设置) 及网络与信息管理中 心批准后使用。每个单位和个人均须落实实名登记网络账号信息，并 对网络账号的安全和使用负全责。

第十五条 严格管控学校各类电子标识 (包括但不仅限于校徽、 校名) 的使用。未经审批备案，任何单位或个人不得将中英外文校名、 校徽、二级部门名称、二级部门徽记等标识用于校内外公众信息服务。

所有需要使用的单位和个人，应根据《成都工业学院视觉识别 (VI) 系统使用与管理办法》  (成工院〔 2018〕78 号) 规定，报宣传 部审批，并通过 OA 向网络与信息管理中心备案。

第十六条 校园内的校级设备设施 (包含但不仅限于网络设备、 弱电管道/井、线路等) 的使用流程及规范、安全管理、运营均由学 校网络与信息管理中心负责，严禁其他任何单位和个人私自外接网 络，更不得私自发展校外用户。

第十七条 各信息资产责任单位自行使用的各类型终端资产在接 入各类通信网络前，均需向网管中心报备。接入者有义务接受网络安 全接入规范审核，包括实名接入、日志记录等信息审核。终端责任单

位和责任个人有义务为终端进行打补丁、升级、病毒与安全防护配置 等操作以保证终端安全。

第十八条 计算机实验室、智慧教室等各类混合、复杂型的网络 接入要求，应在方案设计的同时与网管中心沟通具体的网络接入和使 用需求，并根据现有网络条件和安全要求进行方案设计，以实现安全 接入校园网络。未在设计时考虑而达不到现有网络条件和安全管理要 求的将无法接入校园网络。

第十九条 学校各类信息系统在原则上应依托于学校数据中心建 设。首选使用学校域名。涉及学校基础数据、师生员工个人信息或敏 感信息的信息系统，原则上不得在校外部署。涉及公众的信息发布平 台的，应尽可能在站群系统开设系统建设。对于确有特殊需要必须使 用非学校域名或在非校园网环境中建设的各类信息系统，需经网络与 信息管理中心审核，并单独备案。

第二十条 学校信息系统建立和使用实行报批备案制。需要开办 信息服务的单位，应到网络与信息管理中心办理登记注册手续，其中 涉及舆情相关的，如：BBS 、论坛、聊天室、博客、微博等公众信息 服务系统，以及在微信、QQ 、抖音等互联网社交平台上开办公众号， 按《成都工业学院新媒体管理办法》审批备案。

第二十一条 新建信息系统的信息资产责任人 (即系统主办方、 管理者和运营人) 应该对校外信息资产的数据和运行安全负全责，同 时明确专门的管理员和制订相应管理制度，包括安全保护技术措施、 信息发布审核登记制度、信息监视保存清除备份制度、不良信息报告 和协助查处制度、管理人员岗位责任制、安全运维及安全监督责任制。

第二十二条 学校网络与信息管理中心对上线的信息系统进行安

全审核和定期安全抽查，抽查范围包括但不仅限于：操作系统、中间 件、数据库系统等的版本补丁、管理员及口令管理情况、数据安全措 施、运行状态、系统脆弱性检查等，有安全隐患的信息资产必须限时 整改，严重的停止服务直至整改完毕。

第二十三条 校内各部门 (单位) 应建立健全信息发布、信息审 查、应急处置机制，指定人员负责审查上网信息和信息系统保密管理， 负责涉及学校或本单位舆情的处置引导，以及监管本部门师生开设的 博客、微博、微信、抖音等自媒体平台。

第二十四条 在校园网络上严禁制作、查阅、复制或传播下列信 息：

( 一) 煽动抗拒、破坏宪法和国家法律、行政法规实施；

(二) 危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家 统一；

(三) 损害国家荣誉和利益；

( 四) 煽动民族仇恨、民族歧视，破坏民族团结，或者侵害民族 风俗习惯；

(五) 宣扬恐怖主义、邪教、封建迷信，违反国家宗教政策；

(六) 捏造或者歪曲事实，散布谣言，扰乱社会秩序，破坏社会 稳定；

(七) 侮辱他人或者捏造事实诽谤他人；

(八) 含有淫秽、色情、赌博、暴力、欺诈等内容；

(九) 含有法律、法规禁止的其他内容。 第二十五条 在校园网络上严禁下列行为：

( 一) 破坏、盗用、篡改计算机网络中的信息资源和敏感数据；

(二) 故意泄露、窃取、篡改个人电子信息，擅自利用网络收集、 使用个人电子信息，出售或者非法向他人提供个人电子信息；

(三) 违背他人意愿、 冒用他人名义发布信息；

( 四) 攻击、入侵、破坏计算机网络、信息系统及设备设施；

(五) 故意阻塞、中断校园网络，恶意占用网络资源；

(六) 故意制作、传播、使用计算机病毒、木马、恶意软件等破 坏性程序；

(七) 故意大量发送垃圾电子邮件、垃圾短信等，干扰正常网络 秩序；

(八) 盗用他人账号、盗用他人 IP 地址；

(九) 私自转借、转让用户账号造成危害；

(十) 私自开设二级代理和路由接纳网络用户；

(十一) 上网信息审查不严，造成严重后果；

(十二) 以端口扫描、私搭 DHCP 服务器、ARP 扫描和攻击等 方式，破坏网络正常运行；

(十三) 私自将外网串接到校园网络；

(十四) 其他违反法律法规或危害网络与信息安全的行为。

第四章 安全防护

第二十六条 为全面提升学校信息资产安全防护能力，满足国家法 律及上级相关管理要求，学校网管中心有责任促进、监督全校所有资 产责任人落实安全防护措施，并通过上线准入、运营通报与巡查审核 机制来推进全校信息资产安全防护工作，网管中心提供技术咨询、技 术支持与网络安全资源调度与协调。

第二十七条 各信息资产责任单位作为网络安全防护的主体责任 单位，应当按照国家信息安全等级保护的管理规范、技术标准确定信 息系统的安全保护等级，并报学校网络与信息管理中心审核。

网管中心根据相关规定选择具有相应技术资质和安全资质的测 评单位，对全校定级为二级及以上的信息系统进行等级测评 (参照教 育部关于加强教育行业网络与信息安全工作的指导意见(教技〔2014〕 4 号) 定级标准自主定级) 。经测评，信息安全状况未达到安全保护 等级要求的，信息系统的主办单位应按照评测报告制定整改方案，并 落实到位。

第二十八条 各信息资产责任单位对于新建、改建、扩建的信息 系统，应当在规划、设计阶段就与网管中心进行沟通，同步建设网络 信息安全保障措施。系统上线必须经过第三方安全检测机构出具检测 报告、签订《成都工业学院网络与信息安全责任书》后方可上线运行， 网管中心应为校内信息系统提供第三方检测机构检测服务的沟通协 调。

第二十九条 各信息资产责任单位对于本单位主办的信息系统， 应当采取必要的安全措施 (包括选择清楚了解信息系统的系统管理 员) ，严防入侵、篡改、泄露等事件发生。系统的主办方和运维方要 各司其职，各负其责，网管中心有责任对校内系统上线时对资产进行 安全检查 (含弱密码检测) ，协助安全整改，尽早排除安全隐患。

拥有校外信息资产的责任单位，应自主对上线系统进行安全审查 (含弱密码检测) 、排除隐患。然后，在系统上线前向网管中心报审， 同时提交系统上线安全审核资料 (含运行硬件平台、操作系统、数据 库系统、中间件系统、业务系统的版本和各类补丁；基线检测报告、

网络安全配置及措施详细情况、数据安全措施及配置详细情况) 。在 审核通过后，才能上线运行。

第三十条 各信息资产责任单位应建立应急响应机制，至少每年 一次组织信息系统安全应急演练，查找安全脆弱性和实践安全应急操 作，并向网管中心提交报告备案。

校外信息资产责任单位应参考校内要求，至少每年一次审查本单 位校外资产应急处置预案并进行应急演练，同时向网管中心提交应急 响应预案和演练报告备案。

第三十一条 各信息资产责任单位应建立本单位信息安全值守制

度，做到安全事件早发现、早报告、早控制、早解决，对于主办的信 息系统，每季度至少开展 1 次安全巡查，填写检查台账。检查内容包 括：

( 一) 查杀病毒，清除木马、后门等恶意程序，更新和升级必要 的服务器软件，及时安装补丁，包括操作系统、web 服务器、应用中 间件、数据库等；

(二) 检查网页和重要数据的备份情况；

(三) 检查网页内容，及时清除无关网页和暗链；

( 四) 定期更改口令，清理不必要的管理账号；杜绝空口令、弱 口令和默认口令；

(五) 检查 SQL 注入和跨站脚本等安全漏洞；

(六) 检查服务器安全策略，关闭不必要的端口和服务；

(七) 检查系统日志留存情况，留存相关日志不少于六个月。

第三十二条 对上级、安全平台通报和安全巡查中发现安全漏洞 和隐患的，网管中心应及时填发《信息资产安全隐患告知书》，责任

单位应及时采取措施并提交处理报告，逾期未采取措施和提交处理报 告的，网管中心应及时填发《信息资产安全隐患整改通知书》。对于 一时难以修复或整改落实的，应当立即采取措施进行隔离，直至修复 完成。

第三十三条 信息资产责任单位对于主办的重点信息系统，应当 采取措施重点防护，保障系统和重要数据的安全，定期进行数据备份。 网管中心提供安全防护咨询和必要的数据备份技术手段。每月至少进 行 1 次安全检查，填写检查台账。

重点信息系统包括：

( 一) 学校 WWW 门户网站；

(二) 学校重要网站和办公信息系统；

(三) 数据中心、事务大厅、校园一卡通等校级重要公共服务平 台；

( 四) 教学、科研、人事、财务、设备等学校重要业务信息系统 及相关重要数据库。

第三十四条 建立校内网络安全监测预警和信息通报制度。网管 中心负责信息收集、分析和通报工作，按照规定向全校统一发布网络 安全监测预警信息。信息资产责任单位应根据预警通报做好网络与信 息安全事件的风险评估和隐患排查、整改工作，制订完善责任系统的 应急预案，以保证及时采取有效措施，避免和减少网络与信息安全事 件的发生及其危害。

第三十五条 建立健全学校网络与信息安全类突发公共事件应急 工作机制，提高应对网络与信息安全类突发公共事件的能力，预防和 减少由此造成的损失和危害，维护学校的安全和稳定。