浙江大學(xué)網(wǎng)絡(luò)與信息安全管理辦法

1、浙江大學(xué)網(wǎng)絡(luò)與信息安全管理辦法第一章總則第一條為提高網(wǎng)絡(luò)與信息安全防護(hù)能力和水平， 保證學(xué)校網(wǎng)絡(luò)與信息安全工作順利進(jìn)行， 保障學(xué)校各項(xiàng)事業(yè)健康有序發(fā)展，根據(jù)教育部關(guān)于加強(qiáng)教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見(jiàn)（教技20144號(hào)）、教育部關(guān)于進(jìn)一步加強(qiáng)直屬高校直屬單位信息技術(shù)安全工作的通知（教技20151號(hào)）等文件精神，結(jié)合我校實(shí)際，制定本辦法。第二條學(xué)校網(wǎng)絡(luò)與信息安全，包括校園計(jì)算機(jī)網(wǎng)絡(luò)（以下簡(jiǎn)稱校園網(wǎng)絡(luò)）與信息系統(tǒng)（含網(wǎng)站，下同）的運(yùn)行安全和信息內(nèi)容的安全。第三條學(xué)校按照國(guó)家有關(guān)網(wǎng)絡(luò)安全和信息化建設(shè)的法律、法規(guī)、規(guī)章，制定網(wǎng)絡(luò)與信息安全總體規(guī)劃，加強(qiáng)安全管理與技術(shù)研究，建立健全相關(guān)規(guī)章制度，

2、并在實(shí)際工作中予以落實(shí)。第二章管理體制和職責(zé)第四條學(xué)校網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)協(xié)調(diào)全校網(wǎng)絡(luò)與信息安全保障體系建設(shè)。各學(xué)院（系）、部門、單位（以下統(tǒng)稱各單位）應(yīng)在本單位內(nèi)部相應(yīng)成立網(wǎng)絡(luò)與信息安全工作小組，其主要負(fù)責(zé)人為第一責(zé)任人，并指定專人擔(dān)任信息安全員，負(fù)責(zé)本單位及下屬單位的網(wǎng)絡(luò)與信息安全工作。第五條信息技術(shù)中心負(fù)責(zé)學(xué)校網(wǎng)絡(luò)與信息系統(tǒng)的日常管理和維護(hù)，保障網(wǎng)絡(luò)與信息系統(tǒng)的正常運(yùn)行；保存網(wǎng)絡(luò)運(yùn)行日志，配合調(diào)查取證；負(fù)責(zé)入網(wǎng)單位和個(gè)人辦理入網(wǎng)登記手續(xù)，簽署相應(yīng)的安全責(zé)任書。第六條黨委宣傳部負(fù)責(zé)網(wǎng)絡(luò)信息內(nèi)容的安全監(jiān)管， 負(fù)責(zé)校園網(wǎng)絡(luò)輿情信息的監(jiān)控和管理，開(kāi)展網(wǎng)上疏導(dǎo)和正面宣傳，做好對(duì)外宣傳工作。第

3、七條黨委安全保衛(wèi)部負(fù)責(zé)對(duì)網(wǎng)絡(luò)違規(guī)行為進(jìn)行調(diào)查、 取證、處理，根據(jù)相關(guān)證據(jù)及事態(tài)影響或破壞程度，對(duì)違規(guī)者按照有關(guān)規(guī)定進(jìn)行處理。第八條堅(jiān)持“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)主辦誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)”原則。網(wǎng)絡(luò)與信息系統(tǒng)的主辦單位承擔(dān)安全監(jiān)管責(zé)任， 包括內(nèi)容安全監(jiān)管、技術(shù)安全保障和監(jiān)督檢查等職責(zé)；網(wǎng)絡(luò)與信息系統(tǒng)的使用單位和個(gè)人對(duì)系統(tǒng)操作與信息內(nèi)容的安全監(jiān)管承擔(dān)直接責(zé)任。網(wǎng)絡(luò)與信息系統(tǒng)通過(guò)外包服務(wù)方式進(jìn)行維護(hù)的， 主辦單位負(fù)責(zé)督促外包服務(wù)單位做好安全運(yùn)維工作， 網(wǎng)絡(luò)與信息系統(tǒng)的安全監(jiān)管責(zé)任主體仍為主辦單位。第三章安全秩序第九條校園網(wǎng)絡(luò)和信息系統(tǒng)接入互聯(lián)網(wǎng)必須采取防火墻、身份認(rèn)證、MAC地址綁定、安全審計(jì)、病毒防護(hù)及入

4、侵檢測(cè)等安全技術(shù)手段。校內(nèi)互聯(lián)網(wǎng)接入由信息技術(shù)中心統(tǒng)一管理，包括IP地址、域名及網(wǎng)絡(luò)帳號(hào)等。第十條學(xué)校域名為，各主辦單位按信息系統(tǒng)名稱的拼音或英文縮寫簡(jiǎn)寫設(shè)置域名并提出申請(qǐng)， 經(jīng)信息技術(shù)中心批準(zhǔn)后使用。任何單位和個(gè)人均須落實(shí)實(shí)名登記網(wǎng)絡(luò)帳號(hào)信息， 并對(duì)網(wǎng)絡(luò)帳號(hào)安全使用負(fù)責(zé)。第十一條任何單位和個(gè)人不得私自與校外單位聯(lián)網(wǎng)， 不得私自發(fā)展校外用戶。第十二條校園網(wǎng)絡(luò)實(shí)行信息系統(tǒng)報(bào)批備案制。需要在校園網(wǎng)上開(kāi)辦信息系統(tǒng)的單位，應(yīng)到信息技術(shù)中心辦理登記注冊(cè)手續(xù)，其中BBS、論壇、聊天室、博客、微博等公眾信息服務(wù)系統(tǒng)，以及在微信、QQ等互聯(lián)網(wǎng)社交平臺(tái)上開(kāi)辦公眾服務(wù)號(hào)，應(yīng)到黨委宣傳部報(bào)備批準(zhǔn)。未經(jīng)許可，任何入網(wǎng)

5、單位或個(gè)人不得以冠有“浙江大學(xué)”或“浙大”中外文字樣的任何名義開(kāi)通信息發(fā)布、BBS、論壇、聊天室、博客、微博、微信等公眾信息服務(wù)系統(tǒng)。第十三條各單位原則上應(yīng)依托校園網(wǎng)開(kāi)展信息系統(tǒng)建設(shè)。涉及學(xué)?；A(chǔ)數(shù)據(jù)、師生員工個(gè)人信息或敏感信息的信息系統(tǒng)，不得部署在校外。需要在校外開(kāi)辦信息系統(tǒng)的單位，應(yīng)到信息技術(shù)中心辦理備案手續(xù)。部署在校外的網(wǎng)絡(luò)和信息系統(tǒng)，安全監(jiān)管責(zé)任主體仍為主辦單位。第十四條經(jīng)批準(zhǔn)建立的公眾信息服務(wù)系統(tǒng)應(yīng)明確專門的管理員和制訂相應(yīng)管理制度，包括安全保護(hù)技術(shù)措施、信息發(fā)布審核登記制度、信息監(jiān)視保存清除備份制度、不良信息報(bào)告和協(xié)助查處制度、管理人員崗位責(zé)任制。第十五條各單位應(yīng)建立健全信息發(fā)布、

6、信息審查、應(yīng)急處置機(jī)制，指定人員負(fù)責(zé)審查上網(wǎng)信息和信息系統(tǒng)保密管理，負(fù)責(zé)涉及學(xué)?；虮締挝惠浨榈奶幹靡龑?dǎo)， 以及監(jiān)管本單位師生開(kāi)設(shè)的博客、微博、微信等自媒體平臺(tái)。第十六條在校園網(wǎng)絡(luò)上嚴(yán)禁制作、查閱、復(fù)制或傳播下列信息: （一） 煽動(dòng)抗拒、破壞憲法和國(guó)家法律、行政法規(guī)實(shí)施； （二） 危害國(guó)家安全，泄露國(guó)家秘密，顛覆國(guó)家政權(quán)，破壞國(guó)家統(tǒng)一； （三） 損害國(guó)家榮譽(yù)和利益； （四） 煽動(dòng)民族仇恨、民族歧視，破壞民族團(tuán)結(jié)，或者侵害民族風(fēng)俗習(xí)慣； （五） 宣揚(yáng)恐怖主義、邪教、封建迷信，違反國(guó)家宗教政策； （六） 捏造或者歪曲事實(shí)，散布謠言，擾亂社會(huì)秩序，破壞社會(huì)穩(wěn)定； （七） 侮辱他人或者捏造事實(shí)誹謗他人;

7、 （八） 含有淫穢、色情、賭博、暴力、欺詐等內(nèi)容； （九） 含有法律、法規(guī)禁止的其他內(nèi)容。第十七條在校園網(wǎng)絡(luò)上嚴(yán)禁下列行為： （一） 破壞、盜用、篡改計(jì)算機(jī)網(wǎng)絡(luò)中的信息資源； （二） 故意泄露、竊取、篡改個(gè)人電子信息，擅自利用網(wǎng)絡(luò)收集、使用個(gè)人電子信息，出售或者非法向他人提供個(gè)人電子信息； （三） 違背他人意愿、冒用他人名義發(fā)布信息； （四） 攻擊、入侵、破壞計(jì)算機(jī)網(wǎng)絡(luò)、信息系統(tǒng)及設(shè)備設(shè)施； （五） 故意阻塞、中斷校園網(wǎng)絡(luò)，惡意占用網(wǎng)絡(luò)資源； （六） 故意制作、傳播、使用計(jì)算機(jī)病毒、木馬、惡意軟件等破壞性程序； （七） 故意大量發(fā)送垃圾電子郵件、垃圾短信等，干擾正常網(wǎng)絡(luò)秩序； （八） 盜用他人

8、帳號(hào)、盜用他人IP地址； （九） 私自轉(zhuǎn)借、轉(zhuǎn)讓用戶帳號(hào)造成危害； （十） 私自開(kāi)設(shè)二級(jí)代理和路由接納網(wǎng)絡(luò)用戶； （十一） 上網(wǎng)信息審查不嚴(yán),造成嚴(yán)重后果； （十二） 以端口掃描和私搭DHCP服務(wù)器等方式，破壞網(wǎng)絡(luò)正常運(yùn)行； （十三） 私自將外網(wǎng)串接到校園網(wǎng)絡(luò)。 （十四） 其它違反法律法規(guī)或危害網(wǎng)絡(luò)與信息安全的行為。第四章安全防護(hù)第十八條各單位作為安全等級(jí)保護(hù)的責(zé)任主體， 應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)的管理規(guī)范、 技術(shù)標(biāo)準(zhǔn)確定信息系統(tǒng)的安全保護(hù)等級(jí)，并報(bào)學(xué)校有關(guān)部門審核。學(xué)校按相關(guān)規(guī)定選擇具有相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位， 對(duì)二級(jí)及以上的信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)。經(jīng)測(cè)評(píng)，信息安全狀況未達(dá)到安全

9、保護(hù)等級(jí)要求的，信息系統(tǒng)的主辦單位應(yīng)制定整改方案并落實(shí)到位。第十九條各單位對(duì)于新建、改建、擴(kuò)建的信息系統(tǒng)，應(yīng)當(dāng)在規(guī)劃、設(shè)計(jì)階段同步建設(shè)網(wǎng)絡(luò)信息安全保障措施。新開(kāi)發(fā)的信息系統(tǒng)必須經(jīng)過(guò)第三方安全檢測(cè)機(jī)構(gòu)出具檢測(cè)報(bào)告、簽訂浙江大學(xué)網(wǎng)絡(luò)與信息安全責(zé)任書后方可上線運(yùn)行。第二十條各單位對(duì)于主辦的信息系統(tǒng)， 應(yīng)當(dāng)采取必要的安全措施，嚴(yán)防入侵、篡改、泄露等事件發(fā)生。信息系統(tǒng)的主辦方和運(yùn)維方要各司其職，各負(fù)其責(zé)。第二十一條各單位應(yīng)建立檢查巡查機(jī)制， 定期或不定期組織開(kāi)展信息系統(tǒng)安全演練，查找安全漏洞和隱患；對(duì)機(jī)房、網(wǎng)絡(luò)設(shè)備、服務(wù)器等設(shè)施定期開(kāi)展安全檢查；更新和升級(jí)必要的服務(wù)器軟件，及時(shí)安裝補(bǔ)丁，包括操作系統(tǒng)、w

10、eb服務(wù)器、應(yīng)用中間件、數(shù)據(jù)庫(kù)等，加強(qiáng)服務(wù)器應(yīng)用的安全性。對(duì)上述檢查中發(fā)現(xiàn)安全漏洞和隱患的， 檢查單位應(yīng)及時(shí)填發(fā)隱患告知書，逾期未采取措施和提交處理報(bào)告的，檢查單位應(yīng)及時(shí)填發(fā)隱患整改通知書。對(duì)于一時(shí)難以修復(fù)或整改落實(shí)的，應(yīng)當(dāng)立即采取措施進(jìn)行隔離，直至修復(fù)完成。第二十二條各單位應(yīng)建立本單位信息安全值守制度， 做到安全事件早發(fā)現(xiàn)、早報(bào)告、早控制、早解決。第二十三條各單位對(duì)于主辦的信息系統(tǒng)， 每季度至少進(jìn)行1次安全檢查，填寫檢查臺(tái)賬（詳見(jiàn)附件）。檢查內(nèi)容包括： （一） 查殺病毒，清除木馬、后門等惡意程序，升級(jí)系統(tǒng)補(bǔ)??； （二） 檢查網(wǎng)頁(yè)和重要數(shù)據(jù)的備份情況； （三） 檢查網(wǎng)頁(yè)內(nèi)容，及時(shí)清除無(wú)關(guān)網(wǎng)頁(yè)和

11、暗鏈； （四） 定期更改口令，清理不必要的管理帳號(hào)；杜絕空口令、弱口令和默認(rèn)口令； （五） 檢查SQL注入和跨站腳本等安全漏洞； （六） 檢查服務(wù)器安全策略，關(guān)閉不必要的端口和服務(wù)； （七） 檢查系統(tǒng)日志留存情況，留存相關(guān)日志不少于六個(gè)月。第二十四條各單位對(duì)于主辦的重點(diǎn)信息系統(tǒng)， 應(yīng)當(dāng)采取措施重點(diǎn)防護(hù)，保障系統(tǒng)和重要數(shù)據(jù)的安全。每月至少進(jìn)行1次安全檢查，填寫檢查臺(tái)賬。重點(diǎn)信息系統(tǒng)包括： （一） 學(xué)校WWW門戶網(wǎng)站； （二） 學(xué)校重要辦公網(wǎng)站和辦公信息系統(tǒng)； （三） 統(tǒng)一身份認(rèn)證、校園卡等校級(jí)重要公共服務(wù)平臺(tái)； （四） 教學(xué)、科研、人事、財(cái)務(wù)、設(shè)備、房產(chǎn)等學(xué)校重要業(yè)務(wù)信息系統(tǒng)及相關(guān)重要數(shù)據(jù)庫(kù)。第

12、二十五條建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度。 信息技術(shù)中心負(fù)責(zé)信息收集、分析和通報(bào)工作，按照規(guī)定向全校統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息。各單位應(yīng)做好網(wǎng)絡(luò)與信息安全事件的風(fēng)險(xiǎn)評(píng)估和隱患排查工作，制訂完善相關(guān)應(yīng)急預(yù)案，及時(shí)采取有效措施，避免和減少網(wǎng)絡(luò)與信息安全事件的發(fā)生及其危害。第二十六條建立健全學(xué)校網(wǎng)絡(luò)與信息安全類突發(fā)公共事件應(yīng)急工作機(jī)制， 提高應(yīng)對(duì)網(wǎng)絡(luò)與信息安全類突發(fā)公共事件的能力，預(yù)防和減少由此造成的損失和危害，維護(hù)學(xué)校的安全和穩(wěn)定。第五章責(zé)任追究第二十七條對(duì)于違反本辦法第十六條、第十七條規(guī)定的，將依法依規(guī)提請(qǐng)學(xué)校相關(guān)部門或組織認(rèn)定， 并停止其校園網(wǎng)絡(luò)的使用。需給予處分的，按浙江大學(xué)教職工處分規(guī)定（浙大發(fā)人201326號(hào)）、浙江大學(xué)學(xué)生違紀(jì)處分規(guī)定（2009年12月修訂）（浙大發(fā)本2009113號(hào)）執(zhí)行。第二十八條對(duì)于私自占用網(wǎng)絡(luò)資源，破壞網(wǎng)絡(luò)和信息系統(tǒng)，違反網(wǎng)絡(luò)用戶行為規(guī)范的行為， 由信息技術(shù)中心根據(jù)事件的涉及范圍、嚴(yán)重程度與校內(nèi)有關(guān)部門進(jìn)行查處，并根據(jù)國(guó)家和學(xué)