蘭州大學(xué)信息安全管理制度匯編

1、<p>　　蘭州大學(xué)信息安全管理制度匯編</p><p>　?。?015年11月）目錄</p><p>　　一、信息安全方針與政策5</p><p>　　蘭州大學(xué)信息與網(wǎng)絡(luò)安全保密管理辦法（暫行）6</p><p>　　第一章 總 則6</p><p>　　第二章 安全監(jiān)督6</p>

2、<p>　　第三章 安全管理7</p><p>　　第四章 保密管理9</p><p>　　第五章 罰 則10</p><p>　　第六章 附 則10</p><p>　　二、物理安全管理制度11</p><p>　　通信網(wǎng)絡(luò)中心機房管理辦法12</p><p&

3、gt;　　網(wǎng)絡(luò)機房（含各校區(qū)）管理辦法14</p><p>　　第一章 出入管理14</p><p>　　第二章 操作管理14</p><p>　　第三章 運行管理15</p><p>　　三、網(wǎng)絡(luò)安全管理制度16</p><p>　　蘭州大學(xué)計算機信息安全與病毒防治管理辦法17</p>

4、<p>　　第一章 總 則17</p><p>　　第二章 定 義17</p><p>　　第三章 組織機構(gòu)與職能18</p><p>　　第四章 計算機用戶的責(zé)任18</p><p>　　第五章 管理與處罰19</p><p>　　數(shù)據(jù)中心防火墻端口管理暫行規(guī)定21</p&

5、gt;<p>　　一、基本端口管理規(guī)定21</p><p>　　二、受限服務(wù)端口管理規(guī)定22</p><p>　　三、公共服務(wù)端口管理規(guī)定22</p><p>　　四、其他管理規(guī)定23</p><p>　　四、主機安全管理制度24</p><p>　　主干網(wǎng)絡(luò)設(shè)備管理制度25</p>

6、;<p>　　第一章 崗位管理25</p><p>　　第二章 配置變更和故障處理25</p><p>　　第三章 安全管理26</p><p>　　服務(wù)器管理制度27</p><p>　　第一章 崗位管理27</p><p>　　第二章 配置變更和故障處理27</p>

7、<p>　　第三章 安全管理28</p><p>　　蘭州大學(xué)通信網(wǎng)絡(luò)中心服務(wù)器托管（虛擬服務(wù)器租用）管理辦法29</p><p>　　第一章 服務(wù)項目定義29</p><p>　　第二章 使用要求29</p><p>　　五、應(yīng)用安全管理制度31</p><p>　　蘭州大學(xué)校園網(wǎng)主頁信息

8、與服務(wù)內(nèi)容與管理暫行辦法32</p><p>　　第一章 總 則32</p><p>　　第二章 組織領(lǐng)導(dǎo)32</p><p>　　第三章 校園網(wǎng)主頁信息內(nèi)容工作的要求33</p><p>　　第四章 附 則33</p><p>　　蘭州大學(xué)校務(wù)管理系統(tǒng)運行安全管理規(guī)定（試行）34</p&

9、gt;<p>　　第一章 總 則34</p><p>　　第二章 運行管理34</p><p>　　第三章 附 則36</p><p>　　蘭州大學(xué)電子郵件管理制度37</p><p>　　第一章 組織管理37</p><p>　　第二章 垃圾電子郵件管理38</p>

10、<p>　　第三章 賬號管理38</p><p>　　第四章 行為規(guī)范39</p><p>　　六、數(shù)據(jù)安全管理制度40</p><p>　　蘭州大學(xué)信息系統(tǒng)數(shù)據(jù)管理暫行辦法41</p><p>　　第一章 總 則41</p><p>　　第二章 數(shù)據(jù)管理角色及職責(zé)43</p&g

11、t;<p>　　第三章 數(shù)據(jù)采集、錄入與審核44</p><p>　　第四章 數(shù)據(jù)運維管理44</p><p>　　第五章 數(shù)據(jù)存儲和歸檔45</p><p>　　第六章 數(shù)據(jù)利用和服務(wù)46</p><p>　　第七章 數(shù)據(jù)安全管理46</p><p>　　第八章 獎 懲47&l

12、t;/p><p>　　第九章 附 則47</p><p>　　蘭州大學(xué)通信網(wǎng)絡(luò)中心信息系統(tǒng)密碼管理暫行辦法48</p><p>　　第一章 總 則48</p><p>　　第二章 密碼的設(shè)置48</p><p>　　第三章 密碼的修改49</p><p>　　第四章 罰 則

13、49</p><p>　　一、信息安全方針與政策</p><p>　　蘭州大學(xué)信息與網(wǎng)絡(luò)安全保密管理辦法（暫行）</p><p><b>　　第一章 總 則</b></p><p>　　第一條 為了加強對校園網(wǎng)的安全與保密管理，維護公共秩序，充分發(fā)揮校園網(wǎng)絡(luò)的作用，為全校師生員工提供穩(wěn)定、可靠、安全的計算機網(wǎng)絡(luò)環(huán)

14、境，支持學(xué)校的教學(xué)、科研、管理工作，根據(jù)《全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)管理暫行規(guī)定》和有關(guān)法律、法規(guī)，結(jié)合學(xué)校實際,制定本辦法。</p><p>　　第二條 蘭州大學(xué)校園網(wǎng)是指由學(xué)校投資建設(shè)，為我校教學(xué)、科研、管理服務(wù)的現(xiàn)代化信息基礎(chǔ)設(shè)施，是學(xué)術(shù)性、公益性的計算機網(wǎng)絡(luò)，其服務(wù)對象是我校的教學(xué)、科研和管

15、理機構(gòu)、全校教職員工、學(xué)生以及其他經(jīng)學(xué)校授權(quán)的單位及個人。校園網(wǎng)的基礎(chǔ)設(shè)施建設(shè)及維護工作由網(wǎng)絡(luò)與信息技術(shù)中心承擔(dān)。</p><p>　　第三條 蘭州大學(xué)校園網(wǎng)的宗旨是為蘭州大學(xué)的教學(xué)、科研和管理服務(wù)，任何單位及個人不得以任何理由在網(wǎng)上從事以營利為目的的商業(yè)活動。</p><p>　　第四條 校園網(wǎng)的信息安全和網(wǎng)絡(luò)安全，由黨委辦公室負責(zé)。保密工作由“蘭州大學(xué)保密委員會”負責(zé)指導(dǎo)、協(xié)調(diào)、監(jiān)

16、督和檢查。</p><p>　　第五條 任何單位及個人不得利用校園網(wǎng)危害國家安全、泄露國家秘密，不得侵犯國家、社會、集體利益和個人的合法權(quán)益，不得從事違法犯罪活動。</p><p><b>　　第二章 安全監(jiān)督</b></p><p>　　第六條 對校園內(nèi)發(fā)生的信息與網(wǎng)絡(luò)違法行為和針對計算機信息與網(wǎng)絡(luò)的犯罪案件，由保衛(wèi)處負責(zé)向公安機關(guān)報案

17、。</p><p>　　第七條 校內(nèi)各單位應(yīng)當(dāng)履行下列安全保護職責(zé):</p><p>　?。ㄒ唬┴撠?zé)本單位計算機信息與網(wǎng)絡(luò)的安全保護管理工作,建立健全安全保護管理制度；</p><p>　?。ǘ┞鋵嵃踩Ｗo措施,保障本單位的信息安全和網(wǎng)絡(luò)運行；</p><p>　　（三）負責(zé)對本單位網(wǎng)絡(luò)用戶的安全教育和培訓(xùn)；</p><

18、;p>　?。ㄋ模┯泄采暇W(wǎng)場所的單位,應(yīng)建立計算機上網(wǎng)用戶登記和信息管理制度；</p><p>　　（五）發(fā)現(xiàn)任何違反本辦法所列第十、十一條情形的,應(yīng)當(dāng)保留有關(guān)原始記錄,并在二十四小時內(nèi)向蘭州大學(xué)黨委辦公室報告。</p><p>　　第九條 蘭州大學(xué)宣傳部應(yīng)當(dāng)掌握校內(nèi)各單位和用戶的相關(guān)備案情況，建立備案檔案，進行備案統(tǒng)計，并按照國家有關(guān)規(guī)定逐級上報。</p><

19、p><b>　　第三章 安全管理</b></p><p>　　第十條 任何單位和個人不得利用校園網(wǎng)制作、復(fù)制、傳播和查閱下列信息：</p><p>　?。ㄒ唬┥縿涌咕堋⑵茐膽椃ê头?、法規(guī)實施的；</p><p>　?。ǘ┥縿宇嵏矅艺?quán)，推翻社會主義制度的；</p><p>　?。ㄈ┥縿臃至褔摇⑵茐膰?/p>

20、統(tǒng)一的；</p><p>　　（四）煽動民族仇恨、民族歧視，破壞民族團結(jié)的；</p><p>　?。ㄎ澹┥縿臃欠瘯?、結(jié)社、游行、示威、聚眾擾亂社會秩序的；</p><p>　?。┠笤旎蛘咄崆聦?，散布謠言，擾亂社會秩序的；</p><p>　?。ㄆ撸┬麚P封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖，教唆犯罪的；</p>&

21、lt;p>　?。ò耍┕晃耆杷嘶蛘吣笤焓聦嵳u謗他人的；</p><p>　　（九）損害國家榮譽和利益的；</p><p>　　（十）以非法民間組織名義組織活動的；</p><p>　?。ㄊ唬┢渌`反憲法和法律、行政法規(guī)的。</p><p>　　第十一條 任何單位和個人不得從事下列危害計算機信息網(wǎng)絡(luò)安全活動；</p>

22、<p>　?。ǘ┪唇?jīng)允許，進入校園網(wǎng)或者使用計算機信息網(wǎng)絡(luò)資源的；</p><p>　　（三）未經(jīng)允許，對校園網(wǎng)功能進行刪除、修改或者增加的；</p><p>　　（四）未經(jīng)允許，對校園網(wǎng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改或者增加的；</p><p>　　（五）故意制作、傳播計算機病毒等破壞性程序的；</p><p&g

23、t;　　（六）其他危害校園計算機信息網(wǎng)絡(luò)安全的。</p><p>　　第十二條 各單位及個人，應(yīng)當(dāng)遵守國家有關(guān)法律、法規(guī)，嚴格執(zhí)行安全保護制度，不得利用國際互聯(lián)網(wǎng)從事危害國家安全、泄露國家秘密等違法犯罪活動，不得制作、復(fù)制、傳播和查閱妨礙社會治安及破壞社會穩(wěn)定的信息。</p><p>　　第十三條 學(xué)校單位或師生須到學(xué)校網(wǎng)絡(luò)與信息技術(shù)中心辦理入網(wǎng)手續(xù)，填寫入網(wǎng)申請表，成為正式的校園網(wǎng)用

24、戶。未經(jīng)授權(quán)的用戶不準入網(wǎng)，也不允許網(wǎng)內(nèi)任何成員私自發(fā)展用戶。</p><p>　　第十四條 用戶應(yīng)尊重和保護知識產(chǎn)權(quán)，網(wǎng)上可訪問到的任何資源均為其擁有者所有。用戶不得拷貝注有版權(quán)的軟件，不得將網(wǎng)上提供的共享軟件商業(yè)化。</p><p>　　第十五條 用戶不得私自安裝、配置網(wǎng)絡(luò)系統(tǒng)，盜用或濫用網(wǎng)絡(luò)資源，盜用IP地址或郵件地址，冒用他人名義進行網(wǎng)絡(luò)活動，影響網(wǎng)絡(luò)正常使用和運行。</

25、p><p>　　第十六條 任何單位及個人不得私自開設(shè)代理服務(wù)器及DHCP（動態(tài)主機配置協(xié)議）。</p><p>　　第十七條 任何單位及個人不得惡意傳播系統(tǒng)漏洞知識，不得自行或教唆他人攻擊、入侵系統(tǒng)，以及對計算機系統(tǒng)進行試探攻擊。</p><p>　　第十八條 任何單位及個人不得通過非法途徑對他人或單位計算機網(wǎng)絡(luò)系統(tǒng)功能及信息內(nèi)容進行增加、刪除或修改。</p

26、><p>　　第十九條 各用戶應(yīng)嚴格使用自己的校園網(wǎng)賬號，不得轉(zhuǎn)借、轉(zhuǎn)讓；由此引起的不良后果由用戶承擔(dān)。</p><p>　　第二十條 為了有效地使用網(wǎng)絡(luò)資源，用戶不得長時間地占用某個共享資源。</p><p>　　第二十一條 用戶發(fā)現(xiàn)網(wǎng)絡(luò)違法犯罪行為和有害信息應(yīng)當(dāng)向通信網(wǎng)絡(luò)中心報告。</p><p>　　第二十二條 用戶應(yīng)當(dāng)接受并配合國

27、家有關(guān)安全部門依法進行的監(jiān)督檢查。</p><p>　　第二十三條 有公共機房的單位應(yīng)建立用機管理規(guī)定，并切實做好上機登記。</p><p>　　第二十四條 需要上網(wǎng)的公共機房的所屬單位應(yīng)主動到網(wǎng)絡(luò)與信息技術(shù)中心簽訂安全管理協(xié)議，并對其所屬的上網(wǎng)場所的信息與網(wǎng)絡(luò)安全負責(zé)。</p><p>　　第二十五條 各單位在校園網(wǎng)上發(fā)布的信息，需經(jīng)本單位負責(zé)人審核后方能發(fā)

28、布，并保證所發(fā)布的信息是合法的。各單位發(fā)布的信息由該單位負責(zé)人向?qū)W校負責(zé)。</p><p>　　第二十六條 各單位開設(shè)的電子公告或論壇服務(wù)，須為實名制，有關(guān)單位必須明確領(lǐng)導(dǎo)責(zé)任，指定專人負責(zé)，并遵守《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》。對電子公告或論壇服務(wù)必須進行日志備份，記錄用戶名、信息發(fā)布時間等詳細信息，在學(xué)校查詢時予以提供。日志至少保存60日。</p><p><b>　　第四

29、章 保密管理</b></p><p>　　第二十七條 校園網(wǎng)用戶應(yīng)遵守國家有關(guān)法律、法規(guī)，嚴格執(zhí)行安全保密制度，不得利用計算機國際聯(lián)網(wǎng)從事危害國家安全、泄露國家秘密等違法犯罪活動；不得利用計算機國際聯(lián)網(wǎng)進行搜集、整理、竊取國家秘密的活動。</p><p>　　第二十八條 上網(wǎng)信息的保密管理堅持“誰上網(wǎng)誰負責(zé)”的原則。校內(nèi)單位用戶實行領(lǐng)導(dǎo)責(zé)任制，發(fā)布信息按照信息的內(nèi)容歸口管

30、理，分級負責(zé)，規(guī)范信息保密審查制度，防止秘密信息泄露。</p><p>　　個人用戶必須嚴格遵守保密法規(guī)，不得在進行國際聯(lián)網(wǎng)的計算機信息網(wǎng)絡(luò)中發(fā)布或談?wù)撋婕皣壹皩W(xué)校秘密。</p><p>　　第二十九條 校園網(wǎng)用戶不得在電子公告系統(tǒng)、聊天室、網(wǎng)絡(luò)新聞組上發(fā)布、談?wù)摵蛡鞑壹皩W(xué)校秘密信息。申請開設(shè)電子公告系統(tǒng)、聊天室、網(wǎng)絡(luò)新聞組的單位應(yīng)嚴格管理，明確保密要求和責(zé)任。電子公告系統(tǒng)的保密管

31、理實行版主責(zé)任制，版主負有對版面內(nèi)容保密監(jiān)督的責(zé)任。</p><p>　　第三十條 校園網(wǎng)用戶電子函件（電子郵件）進行網(wǎng)上信息交流應(yīng)遵守有關(guān)保密規(guī)定，不得利用電子函件傳遞、轉(zhuǎn)發(fā)或抄送國家及學(xué)校秘密信息。</p><p>　　第三十一條 校園網(wǎng)用戶發(fā)現(xiàn)國家及學(xué)校秘密泄露的情況，應(yīng)立即向?qū)W校保衛(wèi)部門報告。保衛(wèi)部門接到舉報或發(fā)現(xiàn)網(wǎng)上有泄密情況時，應(yīng)當(dāng)立即組織查處，并采取補救措施，刪除網(wǎng)上涉及

32、國家及學(xué)校秘密的信息。</p><p><b>　　第五章 罰 則</b></p><p>　　第三十二條 任何單位或個人利用網(wǎng)絡(luò)從事危害國家安全、泄露國家秘密等活動，違反國家刑事法律的，依法交由相關(guān)國家機關(guān)，依照有關(guān)法律法規(guī)予以處罰。</p><p>　　第三十三條 對所開辦網(wǎng)站監(jiān)管不力造成有害信息傳播或秘密信息泄露的單位，給予通報批

33、評，情節(jié)特別嚴重的追究部門負責(zé)人的領(lǐng)導(dǎo)責(zé)任。</p><p>　　第三十四條 對于其它違反本管理辦法的行為，學(xué)生用戶由相關(guān)學(xué)生管理部門進行處罰；教工及單位用戶由相關(guān)職能部門按有關(guān)管理辦法進行處罰。</p><p>　　第三十五條 對于其它違反本管理辦法的行為，由蘭州大學(xué)通信網(wǎng)絡(luò)中心按相關(guān)管理辦法進行處罰。</p><p><b>　　第六章 附 則

34、</b></p><p>　　第三十六條 本辦法中的學(xué)生是指獲得學(xué)籍或經(jīng)學(xué)校批準的社會辦學(xué)招收的學(xué)生。</p><p>　　第三十七條 本辦法自發(fā)布之日起實施，以往發(fā)布的與本管理辦法不相符的規(guī)定，按本辦法執(zhí)行。</p><p>　　二、物理安全管理制度</p><p>　　通信網(wǎng)絡(luò)中心機房管理辦法</p><

35、;p>　　蘭州大學(xué)通信網(wǎng)絡(luò)中心是CERNET蘭州節(jié)點的核心，為確保其設(shè)備安全和正常運行，特制訂本管理辦法。</p><p>　　第一條 通常，值班員應(yīng)嚴格禁止任何外部人員進入機房。</p><p>　　第二條 需進入機房的外部人員，應(yīng)在值班人員處出事身份證和工作證（缺一不可），并在《機房進出人員登記表》上準確登記，經(jīng)值班人員核實簽字后方可進入指定工作區(qū)域。</p>

36、<p>　　第三條 未帶工作證的一定要有中心內(nèi)部人員帶領(lǐng)，并在《機房進出人員登記表》的“備注”欄由中心內(nèi)部人員簽字。</p><p>　　第四條外部人員在填寫《機房進出人員登記表》時“工作內(nèi)容”一欄不可只填寫“調(diào)試設(shè)備”或“檢修線路”等模棱兩可的工作內(nèi)容，必須具體指明調(diào)試哪些設(shè)備或檢修哪條線路；填寫其他欄目亦照此要求。</p><p>　　第五條網(wǎng)絡(luò)中心內(nèi)部人員進入機房時，

37、只需準確填寫《機房進出人員登記表》，經(jīng)值班員核實無誤后即可進入。</p><p>　　第六條進入機房人員結(jié)束工作離開機房時，應(yīng)準確填寫登記表上的“進出時間”欄，經(jīng)值班員核實后方可離開。</p><p>　　第七條外部人員如需移入/移出設(shè)備，需另外認真填寫《機房設(shè)備進出登記表》。</p><p>　　第八條網(wǎng)絡(luò)中心人員如需移入/移出設(shè)備，亦須填寫《機房設(shè)備進出登

38、記表》，填寫要求與外部人員相同。</p><p>　　第九條移出設(shè)備需同時通知網(wǎng)絡(luò)中心辦公室人員，并由他們開具出門條，否則不允許搬出設(shè)備。</p><p>　　第十條遇緊急或特殊情況，值班員應(yīng)及時請示部門負責(zé)人。</p><p>　　第十一條 值班員應(yīng)對整個過程的監(jiān)控負全部責(zé)任。</p><p>　　蘭州大學(xué)通信網(wǎng)絡(luò)中心</p&g

39、t;<p><b>　　二〇一四年六月</b></p><p>　　網(wǎng)絡(luò)機房（含各校區(qū)）管理辦法</p><p><b>　　第一章 出入管理</b></p><p>　　第一條 網(wǎng)絡(luò)（含各校區(qū)）機房存放有校園網(wǎng)主干網(wǎng)絡(luò)設(shè)備和服務(wù)器，非機房工作人員未經(jīng)批準不得進入機房。</p><p&

40、gt;　　第二條 外單位維護人員需要進入機房工作的，需首先填寫登記表，并在機房工作人員陪同下進入機房。</p><p>　　第三條 參觀人員需事先聯(lián)系，并得到中心主任或各校區(qū)網(wǎng)絡(luò)中心負責(zé)人批準，才能在工作人員陪同下進入機房。</p><p>　　第四條 嚴禁其他人員進入機房。</p><p>　　第五條 進入機房應(yīng)遵守機房管理制度并聽從機房工作人員指導(dǎo)。&l

41、t;/p><p>　　第六條 進入機房不得攜帶任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質(zhì)等對設(shè)備正常運行構(gòu)成威脅的物品。</p><p><b>　　第二章 操作管理</b></p><p>　　第七條 非機房工作人員不得接觸和操作機房內(nèi)任何設(shè)備、設(shè)施。</p><p>　　第八條 網(wǎng)絡(luò)設(shè)備的添加和更換、網(wǎng)絡(luò)配

42、置的增刪修改以及網(wǎng)絡(luò)結(jié)構(gòu)的變更必須報網(wǎng)絡(luò)部相關(guān)負責(zé)人批準后方可進行。</p><p>　　第九條 機房內(nèi)關(guān)鍵網(wǎng)絡(luò)設(shè)備的操作實行雙人作業(yè)制度，嚴格按照預(yù)制操作流程進行。有關(guān)過程必須按規(guī)定進行詳細登記和記錄，對各類軟件、現(xiàn)場資料、檔案整理存檔。</p><p>　　第十條 操作人員注意保持保持機房整潔，操作結(jié)束后整理好有關(guān)工具和配件。</p><p><b&g

43、t;　　第三章 運行管理</b></p><p>　　第十一條 值班人員定期巡查機房，檢查機房環(huán)境支撐設(shè)施運行狀況。</p><p>　　第十二條 設(shè)備管理員隨時監(jiān)控機房設(shè)備運行狀況，發(fā)現(xiàn)異常情況應(yīng)立即按照預(yù)案規(guī)程進行操作，并及時上報和詳細記錄。</p><p>　　第十三條 機房工作人員應(yīng)恪守保密制度，不得擅自泄露各種信息資料與數(shù)據(jù)。</

44、p><p>　　第十四條 機房內(nèi)嚴禁吸煙、喝水、吃食物、嬉戲和進行劇烈運動，保持機房安靜。</p><p>　　第十五條 定期對機房進行清掃，對機器設(shè)備吸塵清潔。</p><p>　　第十六條 不定期對機房內(nèi)設(shè)置的消防器材、監(jiān)控設(shè)備進行檢查，以保證其有效性。</p><p>　　第十七條 所有重要文檔定期整理裝訂，專人保管，以備后查。&l

45、t;/p><p>　　三、網(wǎng)絡(luò)安全管理制度</p><p>　　蘭州大學(xué)計算機信息安全與病毒防治管理辦法</p><p><b>　　第一章 總 則</b></p><p>　　第一條 為加強對計算機病毒的預(yù)防和治理，維護計算機信息系統(tǒng)安全，根據(jù)國家相關(guān)法律法規(guī)的規(guī)定，參照國際標準化組織ISO/IEC 17799:20

46、05《信息技術(shù)—安全技術(shù)—信息安全管理實踐指南》的標準，特制定本管理辦法。</p><p>　　第二條 本管理辦法用以規(guī)范個人計算機信息安全及防（反）病毒軟件、信息安全工具的使用，適用于蘭州大學(xué)下屬各部門、在校師生員工（含離退休人員）等單位或個人計算機用戶（下稱計算機用戶）。</p><p>　　第三條 “信息是一種資產(chǎn)，具有價值，需要適當(dāng)?shù)谋Ｗo”。然而，“攻擊普遍存在，許多信息系統(tǒng)不

47、再追求設(shè)計成安全的，技術(shù)已經(jīng)不能保證信息的絕對安全。因此，要使用恰當(dāng)?shù)墓芾硎侄尾⒃鰪娨庾R?！?[ISO/IEC 17799:2005]。學(xué)校通過采取有效的技術(shù)手段，并加強廣大計算機用戶的信息安全防范意識教育，營造校園信息安全文化，積極建立管理、預(yù)防、保護、響應(yīng)相結(jié)合的信息安全保障機制。</p><p><b>　　第二章 定 義</b></p><p>　　第四條

48、 本管理辦法所稱的信息安全是指保障、維護信息的機密性、完整性、真實性、可用性和合法性。</p><p>　　第五條 本管理辦法所稱的計算機病毒（下稱病毒）是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。</p><p>　　第六條 本管理辦法所稱的計算機病毒疫情，是指某種計算機病毒爆發(fā)、流行的時間、范圍、破壞特點、

49、破壞后果等情況的報告或者預(yù)報。</p><p>　　第七條 本管理辦法所稱的資產(chǎn)，是任何對組織有價值的事物。資產(chǎn)包括但不僅限于：物理資產(chǎn)（例如：計算機硬件、通訊設(shè)備、建筑物）；信息/數(shù)據(jù)（例如：文檔、數(shù)據(jù)庫）；軟件；提供產(chǎn)品和服務(wù)的能力（例如：網(wǎng)絡(luò)服務(wù)的能力和質(zhì)量）；人員；無形資產(chǎn)（例如：商譽和形象）。[ISO/IEC 13335-1:2004]</p><p>　　第三章 組織機構(gòu)與

50、職能</p><p>　　第八條 通信網(wǎng)絡(luò)中心是學(xué)校具體負責(zé)信息安全與計算機病毒防治的機構(gòu)，具體職能包括：</p><p>　?。ㄒ唬┏袚?dān)對本校計算機用戶的管理、教育與培訓(xùn)工作；</p><p>　　（二）及時通報計算機病毒疫情；</p><p>　　（三）提供正版的信息安全工具及軟件并提供專業(yè)的服務(wù)支持；</p><p

51、>　?。ㄋ模┨峁┮欢ǖ拿赓M或開源信息安全工具及軟件使用建議；</p><p>　?。ㄎ澹┨峁┬畔踩o急響應(yīng)服務(wù)，為各類信息安全事件提供協(xié)助、、安全檢查及提出改善建議。</p><p>　　第九條 信息安全員是學(xué)校信息安全與計算機病毒防治工作的重要輔助力量，由各單位（部門）選派具有一定計算機技能的員工擔(dān)任，可以設(shè)為專職或兼職崗位。各單位（部門）應(yīng)將信息安全員的名單及聯(lián)系方式報送通信

52、網(wǎng)絡(luò)中心。</p><p>　　第十條 信息安全員應(yīng)遵守學(xué)校有關(guān)規(guī)定，負責(zé)本單位（部門）的信息安全與計算機病毒防治的具體工作。</p><p>　　第十一條 信息安全員應(yīng)參加學(xué)校組織的有關(guān)信息安全及計算機病毒防治的培訓(xùn)，在業(yè)務(wù)上接受通信網(wǎng)絡(luò)中心的指導(dǎo)與監(jiān)督。</p><p>　　第四章 計算機用戶的責(zé)任</p><p>　　第十二條

53、計算機用戶應(yīng)樹立正確的信息安全意識，接受通信網(wǎng)絡(luò)中心的管理、教育與培訓(xùn)，并有責(zé)任確保學(xué)校及計算機用戶個人（包括其他用戶）的信息資產(chǎn)免受損失。</p><p>　　第十三條 計算機用戶應(yīng)做好預(yù)防性安全措施，及時修補個人計算機的安全漏洞，防止這些漏洞被計算機病毒軟件及其所有人攻擊或利用。</p><p>　　第十四條 計算機用戶應(yīng)在自己所使用的個人計算機上，啟用各種信息安全工具和策略，以防

54、止木馬、蠕蟲等計算機病毒或惡意軟件對計算機中的信息資產(chǎn)的破壞、竊取以及對校園網(wǎng)絡(luò)的速度、穩(wěn)定性以及服務(wù)質(zhì)量的影響。</p><p>　　第十五條 計算機用戶在進行信息安全和與計算機病毒防治操作時，遵守國家法律、法規(guī)的規(guī)定，使用合法授權(quán)的信息安全工具及軟件，而不應(yīng)使用盜版的信息安全工具及軟件。</p><p>　　使用學(xué)校提供的正版的商業(yè)版本的信息安全工具及軟件的計算機用戶，離開學(xué)校后應(yīng)該

55、主動卸載有關(guān)軟件，避免違反許可證的限定。</p><p>　　第十六條 計算機用戶或?qū)W校各單位（部門）可以根據(jù)需要，自行采購部署適合自己的正版信息安全工具及軟件，并在許可證限定的范圍內(nèi)使用。</p><p>　　第五章 管理與處罰</p><p>　　第十七條 為了及時消除信息安全隱患以及對其他計算機用戶的影響，對于拒絕修補安全漏洞和啟用各種信息安全工具的計算

56、機用戶，通信網(wǎng)絡(luò)中心可以給予有關(guān)當(dāng)事人警告提醒，并要求當(dāng)事人立即采取防范措施，對經(jīng)過警告仍未改正的、有可能造成嚴重后果的，可采取緊急斷網(wǎng)處理，直至其改正為止。</p><p>　　第十八條 對有下列情況的計算機用戶，通信網(wǎng)絡(luò)中心可無需事先警告，對該計算機用戶或部門進行緊急斷網(wǎng)處理，直至消除信息安全隱患為止：</p><p>　?。ㄒ唬υ斐扇湎x、木馬等計算機病毒大面積傳播的或可能引起嚴重

57、后果的；</p><p>　?。ǘ﹪乐赜绊懶@網(wǎng)網(wǎng)速和服務(wù)質(zhì)量的；</p><p>　?。ㄈ┛赡軐?dǎo)致其他計算機用戶的重要信息泄漏，造成嚴重損失的；</p><p>　?。ㄋ模┛赡軐?dǎo)致學(xué)校的信息資產(chǎn)被惡意控制或利用，造成損害的；</p><p>　?。ㄎ澹┏鲂畔踩ぞ咴S可證使用規(guī)定，可能對學(xué)校造成名譽或經(jīng)濟上損失的；</p>

58、<p>　?。┢渌`反法律法規(guī)規(guī)定的情形的。</p><p>　　第十九條 對違反本管理辦法規(guī)定的所有行為，通信網(wǎng)絡(luò)中心有權(quán)對違規(guī)事實進行取證、備案，并視情節(jié)輕重報送上級主管部門、當(dāng)事人所在部門或相關(guān)部門做出進一步的處理。</p><p>　　第二十條 對于妨害計算機信息安全的違法行為以及涉嫌進行侵害國家信息安全的犯罪行為，計算機用戶應(yīng)積極配合公安機關(guān)和學(xué)校有關(guān)部門，

59、積極制裁違法行為和犯罪行為，共同維護信息安全。</p><p>　　數(shù)據(jù)中心防火墻端口管理暫行規(guī)定</p><p>　　為規(guī)范數(shù)據(jù)中心機房的安全管理，根據(jù)《信息安全技術(shù)——信息系統(tǒng)安全等級保護基本要求》（GB/T 22239—2008）及ISO/IEC 27000系列標準，特制定《數(shù)據(jù)中心防火墻端口管理暫行規(guī)定》。希望各方能共同遵守規(guī)范，共建安全的數(shù)據(jù)中心網(wǎng)絡(luò)環(huán)境。</p>

60、<p>　　本規(guī)范適合于蘭州大學(xué)數(shù)據(jù)中心機房及各校區(qū)托管服務(wù)器機房（以下簡稱“數(shù)據(jù)中心機房”）。</p><p>　　一、基本端口管理規(guī)定</p><p>　　第一條 數(shù)據(jù)中心機房內(nèi)服務(wù)器或設(shè)備的所有人，必須根據(jù)信息安全等級保護及國家法律規(guī)定的網(wǎng)站備案要求，如實申報網(wǎng)絡(luò)服務(wù)端口（以下簡稱“端口”）的用途、服務(wù)對象或使用人等資料，不得未經(jīng)申報與批準，要求開放端口訪問。對于不實申報

61、的，一經(jīng)發(fā)現(xiàn)將立即取消所有訪問權(quán)限，并作為重大安全隱患進行如實通報，同時需要重新申報網(wǎng)絡(luò)服務(wù)端口；對造成信息安全事故的，按有關(guān)規(guī)定追究相關(guān)人員責(zé)任，并在安全公告中實名公告責(zé)任單位及涉及安全事故的系統(tǒng)名稱。</p><p>　　第二條 數(shù)據(jù)中心機房配備網(wǎng)絡(luò)防火墻，用于保護生產(chǎn)運行的服務(wù)器及相關(guān)設(shè)備。為避免影響正常生產(chǎn)秩序，臨時或非正式運行的服務(wù)器或設(shè)備應(yīng)自行進行獨立保護，不宜放置于防火墻內(nèi)。</p>

62、<p>　　第三條 根據(jù)信息系統(tǒng)安全等級保護的要求，端口開放及權(quán)限控制必須基于最小配置及最小權(quán)限原則。嚴格禁止為數(shù)據(jù)中心機房內(nèi)服務(wù)器或設(shè)備配置不受限制的防火墻訪問規(guī)則（即，要嚴格禁止任何IP地址可訪問該服務(wù)器或設(shè)備的任何端口的規(guī)則）。</p><p>　　第四條 數(shù)據(jù)中心防火墻DMZ區(qū)域內(nèi)服務(wù)器或設(shè)備（以下簡稱“DMZ區(qū)域內(nèi)設(shè)備”）可以對外提供服務(wù)，可相應(yīng)設(shè)置外部訪問規(guī)則；數(shù)據(jù)中心防火墻內(nèi)部私有區(qū)

63、域服務(wù)器或設(shè)備不可對外提供服務(wù)，僅可向數(shù)據(jù)中心DMZ區(qū)域內(nèi)的服務(wù)器或設(shè)備提供服務(wù)。</p><p>　　第五條 DMZ區(qū)域內(nèi)設(shè)備的端口分為公共服務(wù)端口、受限服務(wù)端口、內(nèi)部管理端口及臨時服務(wù)端口等4種類型。高安全保障等級DMZ區(qū)域內(nèi)的設(shè)備的所有端口缺省為內(nèi)部管理端口，申請通過后才能成為其他類型端口。</p><p>　　第六條 公共服務(wù)端口適合于IPv4及IPv6的地址類型，而受限服務(wù)端

64、口、內(nèi)部管理端口及臨時端口僅適用于IPv4地址類型。</p><p>　　二、受限服務(wù)端口管理規(guī)定</p><p>　　第七條 受限服務(wù)端口僅限校內(nèi)IP地址訪問。普通安全保障等級DMZ區(qū)域內(nèi)設(shè)備的受限服務(wù)端口為ftp（21）、telnet（23）、ssh（22）、mysql（3306）、ms-sql-s（1433）、remote-desktop（3389）。</p><

65、;p>　　第八條 受限服務(wù)端口可申請成為特殊受限服務(wù)端口，除允許校內(nèi)IP地址訪問外，還可允許校外特定IP地址（由中心根據(jù)情況確定名單，一般為銀行、公安、國安等機構(gòu)）訪問。</p><p>　　第九條 原則上，防火墻不為受限服務(wù)端口設(shè)置其他管理規(guī)則。如果DMZ區(qū)域內(nèi)設(shè)備需要進一步限制訪問的，應(yīng)在設(shè)備上自行配置限制規(guī)則。</p><p>　　三、公共服務(wù)端口管理規(guī)定</p>

66、;<p>　　第十條 公共服務(wù)端口可被任何IP地址訪問。普通安全保障等級DMZ區(qū)域內(nèi)設(shè)備上的http（80）、https（443）端口為普通公共服務(wù)端口，只需要完成網(wǎng)站備案無須其他申請即可被任何IP地址訪問。普通安全保障等級DMZ區(qū)域服務(wù)器或設(shè)備上的ftp（21）、ssh（22）、telnet（23）端口為特殊公共服務(wù)端口，須申請通過審批后才能被任何IP地址訪問。普通安全保障等級DMZ區(qū)域設(shè)備上其他端口原則上不能成為公共

67、服務(wù)端口。</p><p>　　第十一條 原則上，防火墻不為公共服務(wù)端口設(shè)置其他管理規(guī)則。如果DMZ區(qū)域內(nèi)設(shè)備需要進一步限制訪問的，應(yīng)在設(shè)備上自行配置限制規(guī)則。</p><p><b>　　四、其他管理規(guī)定</b></p><p>　　第十二條 網(wǎng)絡(luò)與信息技術(shù)中心將定期（每月不少于1次）對公共服務(wù)端口、受限服務(wù)端口、臨時服務(wù)端口進行掃描，以

68、確保及時發(fā)現(xiàn)安全漏洞及隱患。一旦發(fā)現(xiàn)高危漏洞，端口類型將轉(zhuǎn)為內(nèi)部管理端口而無需事先通知（僅封鎖后通知），直至漏洞修復(fù)。</p><p>　　第十三條 本規(guī)定由發(fā)布之日起執(zhí)行。</p><p>　　第十四條 本規(guī)定由通信網(wǎng)絡(luò)中心負責(zé)解釋。</p><p>　　四、主機安全管理制度</p><p>　　主干網(wǎng)絡(luò)設(shè)備管理制度</p>

69、<p><b>　　第一章 崗位管理</b></p><p>　　第一條 主干網(wǎng)絡(luò)設(shè)備管理崗位采用崗位人員后備制度：一個崗位配備兩名以上管理員，一個管理員主要負責(zé)網(wǎng)絡(luò)設(shè)備的日常管理工作，其他管理員應(yīng)掌握網(wǎng)絡(luò)設(shè)備情況和管理知識，并在主要的管理員外出的時候擔(dān)負管理網(wǎng)絡(luò)設(shè)備的職責(zé)。</p><p>　　第二條 主干網(wǎng)絡(luò)設(shè)備重大故障恢復(fù)或配置變更操作必須在

70、兩名以上管理員在場的情況下才能進行。</p><p>　　第三條 管理員應(yīng)通過不斷學(xué)習(xí)，掌握新的網(wǎng)絡(luò)技術(shù)，以應(yīng)付不斷變化的IT環(huán)境。</p><p>　　第二章 配置變更和故障處理</p><p>　　第四條 管理員進行生產(chǎn)設(shè)備的配置變更操作，必須執(zhí)行主干網(wǎng)絡(luò)設(shè)備配置變更管理：事前必須經(jīng)過詳盡的測試和計劃；事先將變更計劃和影響通知服務(wù)前臺并發(fā)布主干網(wǎng)絡(luò)設(shè)備變更

71、通告；配置變更必須記錄，包括時間、原因、配置記錄文件等。</p><p>　　第五條 發(fā)生故障，購買相關(guān)硬件、系統(tǒng)和應(yīng)用程序服務(wù)的，管理員應(yīng)該首先借助服務(wù)判斷故障原因，并按照相關(guān)人員建議處理故障，并記錄故障發(fā)生的時間、故障情況、處理方法以及將來預(yù)防措施等。沒有購買服務(wù)的，根據(jù)中心制定處理流程修復(fù)故障。</p><p>　　第六條 管理員應(yīng)對網(wǎng)絡(luò)設(shè)備的進行定期檢查。</p>

72、<p><b>　　第三章 安全管理</b></p><p>　　第七條 主干網(wǎng)絡(luò)設(shè)備超級用戶的密碼要定期更換，密碼設(shè)定要有一定的規(guī)定，不能少于八位。超級用戶密碼必須登記在冊并按有關(guān)規(guī)定妥善保管，管理員不得對任何無關(guān)人員泄露。用戶密碼由相關(guān)用戶自行設(shè)定，管理員要嚴守保密制度，不得泄漏用戶密碼。</p><p>　　第八條 為了確保服務(wù)等級，管理員不得

73、在生產(chǎn)設(shè)備上進行測試實驗。</p><p>　　第九條 管理員必須定期安裝補丁包，對于高危高風(fēng)險的補丁包應(yīng)該按照要求及時安裝。</p><p>　　第十條 管理員必須定期對主干網(wǎng)絡(luò)設(shè)備配置進行備份。</p><p>　　第十一條 管理員應(yīng)對主干網(wǎng)絡(luò)設(shè)備進行資源監(jiān)控，主要針對ＣＰＵ、內(nèi)存、端口流量等情況的監(jiān)控；管理員應(yīng)該利用各種資源監(jiān)控手段確保服務(wù)器能力，保障服

74、務(wù)等級。</p><p><b>　　服務(wù)器管理制度</b></p><p><b>　　第一章 崗位管理</b></p><p>　　第一條 服務(wù)器管理崗位采用崗位人員后備制度：一個崗位配備兩名以上系統(tǒng)管理員，一個管理員主要負責(zé)服務(wù)器日常的管理工作，其他管理員應(yīng)掌握服務(wù)器情況和管理知識，并在主要的管理員外出的時候擔(dān)負

75、管理服務(wù)器的職責(zé)。服務(wù)器重大故障恢復(fù)或配置變更操作必須在兩名以上管理員在場的情況下才能進行。</p><p>　　第二條 根據(jù)不同服務(wù)器的服務(wù)等級，相關(guān)服務(wù)器的系統(tǒng)管理員應(yīng)該確保在5x8、5x12、7x12或7x24個人通信的暢通以及24、8、4、2小時到達現(xiàn)場的能力。</p><p>　　第三條 系統(tǒng)管理員應(yīng)通過不斷學(xué)習(xí)，掌握新的服務(wù)器系統(tǒng)技術(shù)，以應(yīng)付不斷變化的IT環(huán)境。</p

76、><p>　　第二章 配置變更和故障處理</p><p>　　第四條 管理員進行生產(chǎn)服務(wù)器的配置變更操作，必須執(zhí)行服務(wù)器配置變更管理：事前必須經(jīng)過詳盡的測試和計劃；事先將變更計劃和影響通知服務(wù)前臺并發(fā)布服務(wù)器變更通告；配置變更必須記錄，包括時間、原因、配置記錄文件等。</p><p>　　第五條 發(fā)生故障，購買相關(guān)硬件、系統(tǒng)和應(yīng)用程序服務(wù)的，管理員應(yīng)該首先借助服務(wù)

77、判斷故障原因，并按照相關(guān)人員建議處理故障，并記錄故障發(fā)生的時間、故障情況、處理方法以及將來預(yù)防措施等。沒有購買服務(wù)的，根據(jù)中心制定處理流程修復(fù)故障。</p><p>　　第六條 系統(tǒng)管理員應(yīng)對系統(tǒng)的進行定期檢查。</p><p><b>　　第三章 安全管理</b></p><p>　　第七條 服務(wù)器超級用戶的密碼要定期更換，密碼設(shè)定要有

78、一定的規(guī)定，不能少于八位。超級用戶密碼必須登記在冊并按有關(guān)規(guī)定妥善保管，系統(tǒng)管理員不得對任何無關(guān)人員泄露。用戶用戶密碼由相關(guān)用戶自行設(shè)定，系統(tǒng)管理員要嚴守保密制度，不得泄漏用戶密碼。</p><p>　　第八條 為了確保服務(wù)等級，系統(tǒng)管理員不得在生產(chǎn)服務(wù)器上進行測試實驗，不得在生產(chǎn)服務(wù)器上進行與服務(wù)無關(guān)的操作（例如瀏覽網(wǎng)頁、下載程序等）。系統(tǒng)管理員不得在生產(chǎn)服務(wù)器上安裝與服務(wù)無關(guān)的軟件或放置與服務(wù)無關(guān)的數(shù)據(jù)。&

79、lt;/p><p>　　第九條 系統(tǒng)管理員必須定期安裝操作系統(tǒng)、應(yīng)用程序的補丁包，對于高危高風(fēng)險的補丁包應(yīng)該按照要求及時安裝。</p><p>　　第十條 所有服務(wù)器必須安裝防病毒軟件，并及時升級病毒定義文件。管理員應(yīng)該定期對服務(wù)器進行全面的病毒檢測，發(fā)現(xiàn)問題應(yīng)及時向中心安全管理員匯報并協(xié)同解決。</p><p>　　第十一條 所有生產(chǎn)服務(wù)器必須實施日志管理制度，

80、按照國家和學(xué)校有關(guān)規(guī)定保存系統(tǒng)和應(yīng)用程序日志。</p><p>　　第十二條 管理員必須定期對服務(wù)器進行操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)的備份。按照不同的服務(wù)等級，對不同的服務(wù)器實施離線備份、在線備份、熱備份和雙機熱備等不同的備份策略。</p><p>　　第十三條 管理員應(yīng)對服務(wù)器進行資源監(jiān)控，包括硬件、系統(tǒng)資源和應(yīng)用資源的監(jiān)控。硬件監(jiān)控，應(yīng)該利用硬件廠商提供的監(jiān)控軟件；系統(tǒng)資源監(jiān)控，主要針

81、對ＣＰＵ、內(nèi)存、Ｉ/Ｏ活動情況的監(jiān)控；針對應(yīng)用資源，主要利用應(yīng)用程序的監(jiān)控功能。管理員應(yīng)該利用各種資源監(jiān)控手段確保服務(wù)器能力，保障服務(wù)等級。</p><p>　　蘭州大學(xué)通信網(wǎng)絡(luò)中心服務(wù)器托管（虛擬服務(wù)器租用）管理辦法</p><p>　　第一章 服務(wù)項目定義</p><p>　　第一條 物理服務(wù)器托管，將屬于用戶所購置服務(wù)器置于通信網(wǎng)絡(luò)中心，從而為Intern

82、et 上的用戶提供信息服務(wù)。用戶自己負責(zé)其軟件安裝、升級、服務(wù)器管理和故障的排除，并購買相關(guān)軟件使用權(quán)。</p><p>　　第二條 虛擬服務(wù)器租用，用戶無需購置服務(wù)器，租用通信網(wǎng)絡(luò)中心提供的虛擬服務(wù)器，并且無需對硬件、操作系統(tǒng)及通信線路進行維護。用戶自己負責(zé)其軟件安裝、升級、服務(wù)器管理和故障的排除，并購買相關(guān)軟件使用權(quán)。</p><p><b>　　第二章 使用要求<

83、/b></p><p>　　第三條 遵守國家和學(xué)?；ヂ?lián)網(wǎng)相關(guān)法律法規(guī)，不存儲、發(fā)布、接收違反國家法律和學(xué)校相關(guān)規(guī)定的信息。</p><p>　　第四條 用戶單位負責(zé)人對服務(wù)器信息安全負全責(zé)，必須有專人負責(zé)服務(wù)器的安全管理，并在通信網(wǎng)絡(luò)中心留有24小時聯(lián)系電話。聯(lián)系電話更新需主動通知通信網(wǎng)絡(luò)中心進行變更。</p><p>　　第五條 各單位指定的系統(tǒng)維護技

84、術(shù)員須是熟悉服務(wù)器系統(tǒng)的且能長期維護的老師，不能由學(xué)生來代理維護，以免學(xué)生離?；蚱渌蛞鸬闹T如操作系統(tǒng)用戶名、密碼等的非正常交接導(dǎo)致的信息遺失問題。</p><p>　　第六條 對于不具備相關(guān)系統(tǒng)知識的專業(yè)人員維護的單位，不具有申請或使用服務(wù)器的權(quán)利。</p><p>　　第七條 用戶應(yīng)依據(jù)《蘭州大學(xué)校園網(wǎng)二級網(wǎng)站及電子公告版管理辦法》，向?qū)W校黨委宣傳部提出申請。申請經(jīng)審核批準后，

85、由黨委宣傳部負責(zé)簽發(fā)《校園網(wǎng)二級網(wǎng)站(電子公告版)許可證》，由通信網(wǎng)絡(luò)中心負責(zé)辦理相關(guān)手續(xù)。</p><p>　　第八條 通信網(wǎng)絡(luò)中心將不定期對服務(wù)器進行安全檢查，一旦發(fā)現(xiàn)安全隱患，有權(quán)在未通知用戶單位的情況下緊急中斷服務(wù)器網(wǎng)絡(luò)接入。</p><p>　　第九條 用戶單位需在通信網(wǎng)絡(luò)中心登記服務(wù)器用途，不得私自將服務(wù)器轉(zhuǎn)做他用。</p><p>　　第十條 申

86、請單位如需停止該服務(wù)，請?zhí)峤幌嚓P(guān)申請，如未通知我中心而棄用，由此引發(fā)的安全隱患，需由申請單位自己負責(zé)。</p><p>　　第十一條 申請單位如違反以上規(guī)定，我中心有權(quán)停止其服務(wù)器的使用，情節(jié)嚴重的報相關(guān)部門處理。</p><p><b>　　通信網(wǎng)絡(luò)中心</b></p><p><b>　　二〇一五年十一月</b>&l

87、t;/p><p>　　五、應(yīng)用安全管理制度</p><p>　　蘭州大學(xué)校園網(wǎng)主頁信息與服務(wù)內(nèi)容與管理暫行辦法</p><p><b>　　第一章 總 則</b></p><p>　　第一條 為加強我校校園網(wǎng)主頁信息及服務(wù)內(nèi)容建設(shè)的管理工作，充分發(fā)揮學(xué)校各部門對網(wǎng)上信息及面向社會互動服務(wù)內(nèi)容的建設(shè)的積極性，建立學(xué)校校園

88、網(wǎng)主頁信息及服務(wù)內(nèi)容的建設(shè)與管理機制，特制定本管理辦法。</p><p>　　第二條 校園網(wǎng)主頁信息及面向社會互動服務(wù)內(nèi)容是宣傳學(xué)校建設(shè)與發(fā)展成就，展示學(xué)校形象，促進學(xué)校對外交流的窗口。抓好校園網(wǎng)主頁信息建設(shè)，讓更多的人了解我校，對擴大我校的社會影響力，提高學(xué)校的國際化水平，提高軟實力，具有十分重要的推動作用。</p><p>　　第三條 校園網(wǎng)主頁信息及面向社會互動服務(wù)內(nèi)容的建設(shè)與管

89、理工作，要堅持時效性、豐富性、真實性的原則，要做到及時、準確、全面。</p><p><b>　　第二章 組織領(lǐng)導(dǎo)</b></p><p>　　第四條 校園網(wǎng)主頁信息及面向社會互動服務(wù)內(nèi)容的建設(shè)與管理工作，由學(xué)校信息化領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)，校長辦公室（以下簡稱校辦）主管，通信網(wǎng)絡(luò)中心負責(zé)技術(shù)支持和服務(wù)，各部門分工建設(shè)與管理，并體現(xiàn)各部門間相互協(xié)調(diào)，共建共管的原則。&l

90、t;/p><p>　　第五條 黨委宣傳部是校園網(wǎng)主頁信息與服務(wù)內(nèi)容的主管部門，負責(zé)審核和監(jiān)督學(xué)校各部門在網(wǎng)上的各種信息內(nèi)容建設(shè)。負責(zé)組織開展校園網(wǎng)主頁信息與服務(wù)內(nèi)容的各板塊、欄目的審定和信息內(nèi)容的檢查工作，負責(zé)組織召開有關(guān)工作會議。</p><p>　　第六條 通信網(wǎng)絡(luò)中心是學(xué)校校園網(wǎng)主頁信息與服務(wù)內(nèi)容建設(shè)的技術(shù)支撐部門，負責(zé)校園網(wǎng)主頁信息與服務(wù)內(nèi)容建設(shè)的總體框架設(shè)計和技術(shù)支撐平臺的建設(shè)與

91、管理，負責(zé)網(wǎng)上信息安全和相關(guān)的技術(shù)服務(wù)工作，負責(zé)協(xié)調(diào)學(xué)校各職能部門、各學(xué)院的校園網(wǎng)主頁信息與服務(wù)內(nèi)容建設(shè)的具體工作。</p><p>　　第七條 學(xué)校各職能部門、各學(xué)院是校園網(wǎng)主頁信息與服務(wù)內(nèi)容的具體建設(shè)部門，需指定一名領(lǐng)導(dǎo)分管與本單位相關(guān)的校園網(wǎng)主頁信息與服務(wù)內(nèi)容的建設(shè)與管理工作，確定一名信息員負責(zé)本單位校園網(wǎng)主頁信息與內(nèi)容的收集、處理、傳遞與整合等工作。</p><p>　　第三章

92、 校園網(wǎng)主頁信息內(nèi)容工作的要求</p><p>　　第八條 各單位要根據(jù)板塊欄目要求，收集、整理、編撰所負責(zé)板塊的信息并上傳至相應(yīng)板塊，及時提供宣傳建設(shè)成就、展示形象，提供內(nèi)容服務(wù)。</p><p>　　第九條 各單位在根據(jù)各自的職責(zé)、目標和任務(wù)，有組織、有計劃，定期地向校園網(wǎng)主頁傳送各類信息的時候，要根據(jù)網(wǎng)絡(luò)與信息技術(shù)中心提供的功能及規(guī)范要求進行。</p><p&

93、gt;<b>　　第四章 附 則</b></p><p>　　第十條 此暫行辦法自發(fā)布之日起開始實施，由宣傳部及通信網(wǎng)絡(luò)中心責(zé)解釋。</p><p>　　蘭州大學(xué)校務(wù)管理系統(tǒng)運行安全管理規(guī)定（試行）</p><p><b>　　第一章 總 則</b></p><p>　　第一條 為規(guī)范蘭州大

94、學(xué)校務(wù)管理系統(tǒng)（以下簡稱校務(wù)系統(tǒng)）運行管理，保障校務(wù)系統(tǒng)運行安全，根據(jù)國家有關(guān)規(guī)定，結(jié)合蘭州大學(xué)實際情況，制定本試行規(guī)定。</p><p>　　第二條 本規(guī)定所稱校務(wù)系統(tǒng)，是指基于統(tǒng)一規(guī)劃的校級應(yīng)用，包括辦公自動化系統(tǒng)和管理信息系統(tǒng)。</p><p>　　第三條 校務(wù)系統(tǒng)的建設(shè)和管理，遵循統(tǒng)籌規(guī)劃，合理布局，統(tǒng)一數(shù)據(jù)庫，統(tǒng)一標準，統(tǒng)一開發(fā)平臺，統(tǒng)一用戶管理，統(tǒng)一門戶的原則。</p&g

95、t;<p>　　第四條 本試行規(guī)定適用于使用校務(wù)系統(tǒng)的校內(nèi)各單位。</p><p><b>　　第二章 運行管理</b></p><p>　　第五條 通信網(wǎng)絡(luò)中心負責(zé)校務(wù)系統(tǒng)的規(guī)劃建設(shè)、運行管理和維護升級，負責(zé)確保校務(wù)系統(tǒng)的程序安全、數(shù)據(jù)安全和運行安全，校務(wù)系統(tǒng)的使用單位必須配合做好校務(wù)系統(tǒng)的安全管理工作。</p><p>　　

96、第六條 校務(wù)系統(tǒng)管理員分校級系統(tǒng)管理員和部門級系統(tǒng)管理員兩級，校級系統(tǒng)管理員（一級系統(tǒng)管理員）是指校務(wù)系統(tǒng)的系統(tǒng)管理員，由通信網(wǎng)絡(luò)中心提名，報請學(xué)校任命；部門級系統(tǒng)管理員（二級系統(tǒng)管理員）是指校級機關(guān)、各直屬單位、各院系、附屬單位的技術(shù)管理員，由各單位部門指定。</p><p>　　第七條 校級系統(tǒng)管理員負責(zé)如下工作：</p><p>　　（1）新增、修改、刪除系統(tǒng)角色；</p&g

97、t;<p>　?。?）新增、修改、刪除系統(tǒng)資源權(quán)限；</p><p>　?。?）設(shè)置各單位組織機構(gòu)，設(shè)置崗位與角色的對應(yīng)關(guān)系，在系統(tǒng)中為各單位設(shè)置技術(shù)管理員，根據(jù)其權(quán)限分配管理部門及可用系統(tǒng)角色范圍；</p><p>　?。?）新增、修改、刪除用戶資料，將崗位賦予用戶，修改用戶密碼。</p><p>　　第八條 部門級系統(tǒng)管理員負責(zé)如下工作：<

98、/p><p>　?。?）在校級系統(tǒng)管理員設(shè)置的管理范圍內(nèi)，查看系統(tǒng)角色；</p><p>　?。?）在管理范圍內(nèi)設(shè)置組織機構(gòu)列表，設(shè)置崗位與系統(tǒng)角色的對應(yīng)關(guān)系。</p><p>　　第九條 系統(tǒng)管理員不得利用校務(wù)系統(tǒng)從事危害學(xué)校利益、教職工、學(xué)生利益的活動，不得危害校務(wù)系統(tǒng)的安全。</p><p>　　第十條 各單位應(yīng)加強對本單位使用校務(wù)系統(tǒng)的安

99、全管理，做好以下工作：</p><p>　?。?）明確校務(wù)系統(tǒng)安全工作的主管負責(zé)人，并配備具有相應(yīng)能力的工作人員作為校務(wù)系統(tǒng)的技術(shù)管理員；</p><p>　?。?）各單位應(yīng)將系統(tǒng)管理員和辦公自動化系統(tǒng)文件管理員的名單及聯(lián)系方式上報通信網(wǎng)絡(luò)中心備案。人員有變更時，必須同步報通信網(wǎng)絡(luò)中心更新備案，并由系統(tǒng)管理員進行相應(yīng)崗位的權(quán)限更改。</p><p>　?。?）各單位

100、系統(tǒng)管理員應(yīng)該對崗位、崗位對應(yīng)的系統(tǒng)角色、崗位包含的用戶進行紙質(zhì)和電子的備案，當(dāng)發(fā)生變化時，必須同步報校級系統(tǒng)管理員更新備案；</p><p>　?。?）各單位系統(tǒng)管理員應(yīng)妥善保護自己的帳號資料，登錄系統(tǒng)后因故離開要退出系統(tǒng)；</p><p>　?。?）各單位文件管理員和系統(tǒng)管理員應(yīng)定期參加培訓(xùn)，并負責(zé)對本單位的用戶進行培訓(xùn)；</p><p>　　（6）當(dāng)發(fā)生安全事

101、件時，部門系統(tǒng)管理員應(yīng)迅速采取相應(yīng)措施并及時向校級系統(tǒng)管理員報告，必要時，通信網(wǎng)絡(luò)中心給予緊急支持；</p><p>　　（7）各單位應(yīng)建立信息維護制度，對系統(tǒng)中權(quán)限范圍內(nèi)的信息進行及時維護和更新。</p><p>　　第十一條 校級系統(tǒng)管理員應(yīng)對各單位系統(tǒng)管理員管理的組織機構(gòu)和系統(tǒng)角色進行紙質(zhì)和電子的備案，當(dāng)發(fā)生變化時必須同步對備案進行更新。</p><p>　　

102、第十二條 校務(wù)系統(tǒng)的系統(tǒng)管理員的密碼保存機制：系統(tǒng)管理員的密碼必須由8位或以上組合而成；密碼必須包含數(shù)字、字母、特殊字符；將密碼分隔成兩段，由兩個人分開掌握；密碼還需要密封后放入保險柜中。</p><p>　　第十三條 校務(wù)系統(tǒng)中建立審計制度，對管理員的操作進行記錄。校級系統(tǒng)管理員要定期對審計信息進行查看和監(jiān)控。</p><p>　　第十四條 當(dāng)發(fā)生安全事件時，各級系統(tǒng)管理員相互之間要密切

103、配合，迅速采取措施，同時向上級主管領(lǐng)導(dǎo)報告，事后做好安全改善。</p><p>　　第十五條 使用校務(wù)系統(tǒng)的人員不得隨意就校務(wù)系統(tǒng)中的數(shù)據(jù)對外提供服務(wù)，如確有必要，需經(jīng)過上級主管部門和領(lǐng)導(dǎo)同意，由有權(quán)限的人員負責(zé)查詢。</p><p>　　第十六條 其它應(yīng)用如果需要通過接口方式獲取校務(wù)系統(tǒng)中的數(shù)據(jù)，必須經(jīng)過職能部門、通信網(wǎng)絡(luò)中心同意，設(shè)計符合校務(wù)系統(tǒng)的數(shù)據(jù)接口規(guī)范的接口軟件。</p&

104、gt;<p><b>　　第三章 附 則</b></p><p>　　第十七條 對于違反本規(guī)定造成損失的，視情節(jié)輕重報有關(guān)部門處理。</p><p>　　第十八條 對于危害公共安全、國家安全、泄露國家秘密以及其它違反法律、法規(guī)的行為，由司法、公安部門依法處理，構(gòu)成犯罪的，報有關(guān)司法部門依法追究刑事責(zé)任。</p><p>　　第

105、十九條 本管理規(guī)定由學(xué)校通信網(wǎng)絡(luò)中心負責(zé)解釋。</p><p>　　第二十條 本管理規(guī)定自公布之日起生效。</p><p>　　蘭州大學(xué)電子郵件管理制度</p><p>　　為保障我校校園網(wǎng)電子郵件服務(wù)的正常使用，規(guī)范我校校園網(wǎng)電子郵件的使用行為，特制定本管理制度。</p><p><b>　　第一章 組織管理</b&g

106、t;</p><p>　　第一條 蘭州大學(xué)電子郵件管理由網(wǎng)絡(luò)與信息技術(shù)中心負責(zé)。</p><p>　　第二條 網(wǎng)絡(luò)與信息技術(shù)中心提供蘭州大學(xué)電子郵件服務(wù)必須遵守以下行為規(guī)范：</p><p>　?、賾?yīng)當(dāng)將電子郵件服務(wù)和使用規(guī)則告知用戶舉報和投訴垃圾電子郵件的方式</p><p>　?、陔娮余]件服務(wù)器應(yīng)當(dāng)使用固定IP地址；</p>

107、;<p>　?、蹜?yīng)當(dāng)及時堵塞電子郵件服務(wù)器安全漏洞；</p><p>　?、芟蛴脩籼峁┤航M發(fā)送電子郵件服務(wù)的，應(yīng)當(dāng)建立相應(yīng)的管理制度；</p><p>　?、輵?yīng)當(dāng)遵守國家相關(guān)管理規(guī)定和技術(shù)標準；</p><p>　?、迲?yīng)當(dāng)記錄經(jīng)其電子郵件服務(wù)器發(fā)送或者接收的互聯(lián)網(wǎng)電子郵件的發(fā)送或者接收時間、發(fā)送者和接收者的互聯(lián)網(wǎng)電子郵件地址及IP地址。上述記錄應(yīng)當(dāng)保存

108、六十日，并在國家有關(guān)機關(guān)依法查詢時予以提供。</p><p>　?、邞?yīng)當(dāng)對用戶的電子郵件地址、內(nèi)容和個人信息采取保密措施，除國家有關(guān)機關(guān)依法檢查外，不得向他人提供用戶的電子郵件地址、內(nèi)容和個人信息，不得將用戶的個人信息用于獲取目的以外的其他用途。</p><p>　　第二章 垃圾電子郵件管理</p><p>　　第三條 網(wǎng)絡(luò)與信息技術(shù)中心采取以下的技術(shù)防范措施加

109、強垃圾電子郵件管理：</p><p>　　① 對發(fā)送垃圾電子郵件的特定網(wǎng)絡(luò)地址、電子郵件進行屏蔽的功能；</p><p>　?、?具備限制采自相同客戶端網(wǎng)絡(luò)地址的并發(fā)連接數(shù)量超過最大限制值的功能；</p><p>　?、?具備限制來自相同客戶端：網(wǎng)絡(luò)地址的連接頻率超過最大限制值的功能；</p><p>　?、?具備限制本地電子郵件用戶一次性發(fā)

110、送同一電子郵件發(fā)送量的功能；</p><p>　?、?具備判別電子郵件虛假路由，對偽造虛假路由的電子郵件限制發(fā)送的功能；</p><p>　　⑥ 具備關(guān)閉電子郵件服務(wù)器匿名轉(zhuǎn)發(fā)或采取用戶身份認證；電子郵件轉(zhuǎn)發(fā)授權(quán)控制措施的功能；</p><p>　?、?具備對大量群發(fā)、連發(fā)同樣特征的已知垃圾電子郵件進行攔截的功能，其中特征指電子郵件長度、信條字段、信體符合特定條件。

111、</p><p><b>　　第三章 賬號管理</b></p><p>　　第四條 教職工和學(xué)生免費獲得一個工作郵箱。</p><p>　　第五條 教職工的工作郵箱及網(wǎng)絡(luò)磁盤的存儲總空間為10000MB；學(xué)生的工作郵箱及網(wǎng)絡(luò)磁盤的存儲空間為3000MB。</p><p>　　第六條 當(dāng)教職工和學(xué)生離開蘭州大學(xué)的時

112、候，工作郵箱的使用權(quán)限將被自動收回。</p><p><b>　　第四章 行為規(guī)范</b></p><p>　　第七條 不得制作、復(fù)制、發(fā)布、傳播包含《中華人民共和國電信條例》第五十七條規(guī)定內(nèi)容的互聯(lián)網(wǎng)電子郵件。</p><p>　　第八條 不得利用互聯(lián)網(wǎng)電子郵件從事《中華人民共和國電信條例》第五十八條禁止的危害網(wǎng)絡(luò)安全和信息安全的活動。&

113、lt;/p><p>　　第九條 未經(jīng)授權(quán)不得利用他人的計算機系統(tǒng)發(fā)送互聯(lián)網(wǎng)電子郵件；</p><p>　　第十條 不得將采用在線自動收集、字母或者數(shù)字任意組合等手段獲得的他人的互聯(lián)網(wǎng)電子郵件地址用于出售、共享、交換或者向通過上述方式獲得的電子郵件地址發(fā)送互聯(lián)網(wǎng)電子郵件。</p><p>　　第十一條 不得發(fā)送或者委托發(fā)送故意隱匿或者偽造互聯(lián)網(wǎng)電子郵件信封信息；&l

114、t;/p><p>　　第十二條 未經(jīng)互聯(lián)網(wǎng)電子郵件接收者明確同意，不得向其發(fā)送包含商業(yè)廣告內(nèi)容的互聯(lián)網(wǎng)電子郵件。</p><p>　　六、數(shù)據(jù)安全管理制度</p><p>　　蘭州大學(xué)信息系統(tǒng)數(shù)據(jù)管理暫行辦法</p><p><b>　　第一章 總 則</b></p><p>　　第一條 蘭州

115、大學(xué)信息系統(tǒng)數(shù)據(jù)作為學(xué)校的無形資產(chǎn)和戰(zhàn)略資源，應(yīng)納入學(xué)校統(tǒng)一管理范疇，實現(xiàn)信息系統(tǒng)數(shù)據(jù)的統(tǒng)一管控，提高數(shù)據(jù)質(zhì)量和數(shù)據(jù)的利用效率，提供安全、完整、統(tǒng)一的數(shù)據(jù)服務(wù)，為學(xué)校教學(xué)、科研、管理提供信息服務(wù)和技術(shù)保障。</p><p>　　第二條 本辦法所指的信息系統(tǒng)與《中華人民共和國計算機信息系統(tǒng)安全保護條例》中的信息系統(tǒng)定義一致：由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標和規(guī)則對信息進行采