第一章 总 则
第一条 为加强网络信息管理,控制有害信息,维护学校及社会稳定,根据国家《互联网信息服务管理办法》、《互联网安全管理责任书》等,结合我校实际,特制定本规定。
第二条 本规定适用于接入贵州师范学院校园网的计算机信息网络及用户。
第三条 任何部门和个人不得利用校园网危害国家安全、泄露国家秘密,不得侵犯国家、社会、学校、集体的利益和公民的合法权益,不得从事违法犯罪活动。
第四条 任何部门和个人不得利用校园网制作、复制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的言论;
(二)煽动颠覆国家政权、推翻社会主义制度的言论;
(三)煽动分裂国家、破坏国家统一的言论;
(四)煽动民族仇恨、民族歧视,破坏民族团结的言论;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪;
(七)公然侮辱他人或者捏造事实诽谤他人;
(八)损害学校形象和学校利益的言行;
(九)其他违反宪法、法律、行政法规的言行。
第五条 任何部门和个人不得从事下列危害计算机信息网络安全的活动:
(一)未经允许,对计算机信息网络功能进行删除、修改或者增加;
(二)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
(三)未经允许,私自修改IP地址,开设二级代理,web、DNS,DHCP等服务;
(四)校园区内,任何计算机、局域网必须未通过校园统一出口连接进入Internet;
(五)故意制作、传播计算机病毒等破坏性程序;
(六)以端口扫描方式,破坏网络正常运行;
(七)未经允许,擅自在校园网上设置网站、上传信息;
(八)其他危害计算机信息网络安全。
第六条 用户的通信自由和通信秘密受法律保护。任何部门和个人不得违反法律规定,利用校园网侵犯用户的通信自由和通信秘密。
第二章 安全保密管理
第七条 物理安全:保护计算机信息系统设备、设施、媒体和信息免遭自然灾害、环境事故以及人为物理操作失误或错误及各种以物理手段进行违法犯罪行为导致的破坏、丢失。主要包括环境安全、设备安全、媒体安全等方面:
(一)环境安全:涉密系统(计算机信息系统)所在环境的安全。涉密系统中心机房应该满足国家标准GB50174-1993《电子计算机机房设计规范》、GB2887-1989《计算站场地技术条件》。
(二)设备安全:主要包括设备的防盗、防毁等。涉密系统中心机房应采取安全防范措施,确保非授权人员无法进入。处理秘密级、机密级信息的系统中心机房应采取有效的电子门控系统。处理绝密级信息和重要信息的系统中心机房的门控系统应采用IC卡或生理特征进行身份鉴别,并应有电子监视系统,且配备保安人员进行区域保护。
(三)媒体安全:媒体数据的安全及媒体本身安全。软磁盘、硬盘、磁带、激光光碟、闪存盘等涉密媒体应按所存储信息的最高密级标明密级,并按相应密级管理。存储过涉密信息的媒体不能降低密级使用。不再使用的媒体应及时销毁。涉密媒体的维修应保证所存储的涉密信息不被泄露。打印输出的涉密文件应按相应密级的文件进行管理。
第八条 运行安全:包括备份与恢复、病毒的监测与消除、电磁兼容等。
(一)备份与恢复:涉密系统的主要设备、软件、数据、电源等应有备份,并具有在较短时间内恢复系统运行的能力(绝密级及重要信息的数据应异地备份)。
(二)病毒的监测与消除:应采用国家有关主管部门(公安)批准的查毒软件实时查毒、杀毒,包括服务器和客户端的查毒、杀毒。同时,制定严格的防病毒制度,不允许使用来历不明,未经杀毒的软件,不阅读和下载来历不明的网上邮件或文件,使用外来移动存储设备前杀毒再进行使用,严格控制阻断病毒。
(三)电磁兼容:是对系统硬件设备、技术上抗干扰的问题,正规设备产品一般都符合要求。
第九条 信息安全保密:确保信息的保密性、完整性、可用性和抗抵赖,是信息安全保密的中心任务。系统应采用身份鉴别、访问控制、信息加密、设计跟踪、电磁泄漏发射防护等措施保证信息安全保密。
(一)身分认证:
1、口令应当有系统安全保密管理人员集中产生供用户选用,并有口令更换记录,不得由用户自行产生;
2、处理秘密级信息的系统,口令长度不得少于6个字符,口令更换周期不得长于1个月;
3、处理机密信息的系统,口令长度不得少于8个字符,口令更换周期不得长于1周;
4、处理绝密信息的系统,应当采用一次性口令或生理特征等强认证措施;
5、口令必须加密存储、传递,并且保证口令存放载体的物理安全。
(二)访问控制:
1、处理秘密级、机密级信息的系统,访问应当按照用户类别控制;
2、处理绝密级信息的系统,访问必须控制导弹个用户,或单条信息。
(三)审计跟踪:
1、涉密系统应当有详细的系统日志,记录每个用户的每次活动(访问时间、地址、数据、程序、设备等)以及系统出错和配置修改等信息;
2、处理秘密级、机密级信息的系统,系统安全保密管理人员应当定期审查系统日志并作审查记录,审查周期不得长于1个月;
3、处理绝密级信息的系统,应当能够检测并记录侵犯系统的事件,及时自动告警,系统安全保密管理人员应当定期审查系统日志并作出审查记录,审查周期不得长于1周。审计过程中,发现问题及时采取补救措施,并向相关部门报告情况。
(四)电磁泄漏发射防护:
1、在处理绝密级信息的系统中应当在符合国家保密标准的屏蔽室内使用;
2、在处理秘密级、机密级信息的系统中使用,应当安装经国家主管部门批准的与应用需求等级相符合的信息相关干扰器。
(五)存储、传输:
1、秘密级、机密级信息应当加密传输;
2、涉密系统完全处于其主管部门(单位)独立使用和管理的封闭建筑群内,应按国家有关标准采用相应的保护措施;
3、绝密级信息应当加密存储、加密传输;
4、使用的加密措施应当经过有关主管部门批准,并且与所保护的信息密级一致;
5、限制最小使用范围。
第十条 安全保密管理:系统的安全保密管理包括各级管理组织机构、管理制度和管理技术(除技术手段上设备,指科学管理技术。如上互联网管理),要通过组建完整的安全保密管理组织机构、设置安全保密管理人员,制定严格的安全保密管理制度,利用先进的安全保密管理技术对整个系统进行管理。
第三章 上网安全管理
第十一条 单位主要领导是本单位(含下属单位)网络信息管理的第一责任人。建立由单位主要领导负责的本单位网络信息安全组织机构,并指定专人负责日常的网络信息安全保护工作。
第十二条 依照国家的法律法规负责落实本单位的网络信息安全管理工作,并建立和健全网络信息安全管理制度,落实安全保护技术措施,保证网络运行和信息的安全。
第十三条 单位上载信息均应记录,并由单位主要负责人或所指定人员审核、签署意见。
第十四条 不得利用互联网制作、复制、查阅和传播各种有害信息,以及从事其他违反宪法和法律的活动。
第十五条 不得利用互联网危害国家安全,泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的权益,不得从事违法犯罪活动。
第十六条 对所管网站(页)实行24小时巡查制度,发现有害信息及时备份后删除,12小时内通过党委宣传部向公安机关计算机安全监察管理部门报告。
第十七条 接受公安机关和学校有关部门的安全监督、检查和指导,如实向上述部门提供安全保护所需要的信息、资料及数据文件,协助公安机关查处通过国际互联的计算机信息网络违法犯罪案件。
第十八条 制定网络信息系统突发事件的处置预案和应急措施,并有专人负责。遇突发性事件,接受学校有关部门的统一协调。
第十九条 未经学校同意,任何部门、任何个人,不得向外透露网络信息系统突发性事件消息,或接受任何媒体采访,或向任何媒体投稿。
第二十条 责任人、责任单位不履行本责任书所规定的责任,或所管网站(页)上出现有害信息而未及时发现、删除的,单位责任人承担相应的行政、经济、法律责任。
第二十一条 本规定自发布之日起生效实施,解释权归宣传部、教育信息网络中心和保密委。