第一章总则

第一条根据《中华人民共和国计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》《互联网安全保护技术措施规定》等有关法律法规，以及教育部科技司有关加强网络与信息安全的文件精神，结合学校校园网运行状况及存在的问题，制订校园网信息安全管理办法。

第二条本办法所称校园网信息安全工作，是指由校内单位建设或管理，服务于我校教学、科研或管理的校园物理网络、互联网站、应用系统和数据中心，为防止发生设备设施故障、网络攻击、病毒扩散、信息泄露等情况发生而开展的预防和处置工作。

第二章管理体制与责任

第三条学校成立由主要校领导任组长的网络信息安全工作领导小组，负责统筹、协调全校网络与信息安全保障体系建设。各学院（部）、各职能部门主要负责人是本单位网络信息安全工作第一责任人，并指定专人担任信息安全员，负责本单位及下属单位的网络与信息安全管理工作。信息安全员名单应报备领导小组办公室，人员变动时要及时调整并上报。

第四条网络信息安全工作领导小组办公室设在信息技术中心，为领导小组常设办事机构，信息技术中心主任兼任办公室主任。

信息技术中心是网络与信息安全技术支撑单位，负责学校网络与信息安全防护体系的建设与运行维护，保障网络与信息。

系统的正常运行。负责为全校各单位网络与信息技术安全工作提供技术指导与服务支持。负责入网单位和个人办理入网登记手续，签署相应的安全责任书。

第五条党委宣传部负责网络信息内容的安全监管，负责校园网络舆情信息的监控和管理，开展网上疏导和正面宣传，做好对外宣传工作。

第六条坚持“谁主管谁负责，谁主办谁负责，谁使用谁负责”原则。网络与信息系统的主办单位承担安全监管责任， 包括内容安全监管、技术安全保障和监督检查等职责；网络与信息系统的使用单位和个人对系统操作与信息内容的安全监管承担直接责任。网络与信息系统通过外包服务方式进行维护的，主办单位负责督促外包服务单位做好安全运维工作， 网络与信息系统的安全监管责任主体仍为主办单位。

第七条网络与信息系统实行安全等级保护制度。各单位应当按照国家信息安全等级保护的管理规范、技术标准确定信息系统的安全保护等级，并报学校有关部门审核。学校按相关规定选择具有相关技术资质和安全资质的测评单位，对二级及以上的关键信息系统进行等级测评。

第三章信息管理

第八条全校各单位有责任对所发布的信息进行审核、登记、监控、保存、清除和备份。

第九条信息发布、审核、登记

1.各单位在校园网上发布的公开信息由本单位负责人审核后，由各单位信息员采取实名形式发布（有落款），并记录备案（至少保留二个学年），以备核查。

2.信息发布内容应遵循以下要求：

（1）所发布信息必须是与学校及本单位有关的内容，如：与本单位有关的新闻、图片资料、表格文档等，严禁将私人的信息、音视频文件备份到网站服务器上。

（2）所发布信息应符合国家法律、法规，严禁发布任何违法违纪和不健康的信息。

（3）校园网在内外信息发布上必须进行有效的隔离，杜绝不对外的内部信息流入外部网络。

（4）信息内容所带来的一切后果，包括法律责任，由信息员和单位审核者承担。

第十条信息监控

1.信息员必须定时对已发布的信息进行有效的安全监控，以确保信息的正确性，不受外来的非法攻击和被蓄意更改、删除。

2.信息技术中心应对校园网整体运行情况进行监控，对网上不良信息及时清除，以保证校园网络的良好运行。

第十一条信息备份、清除或保存

1.对重要数据必须进行本地和异地备份，对学生成绩等特别重要的数据还须有纸质备份，以便在设备出现故障时能快速、有效地恢复。

2.校园网核心网络设备和服务器须保存6个月以上的系统运行日志和用户使用日志记录，在公安机关依法查询时予以提供。日志留存内容应包括：

（1）上网用户IP地址及使用访问记录；

（2）信息发布者、主页维护者、邮箱使用者的IP地址和时间；

（3）交互式栏目中，信息发布者的IP地址、发布时间等信息；

（4）服务器访问日志。

3.信息员应在每学年结束时对自己发布的信息进行及时清理，根据信息内容删除或保存。

第四章账号密码和操作权限管理

第十二条账号密码管理

1.加强密码管理，对PASSWORD文件用隐性密码方式保存；当系统中的账号不再被使用时，应立即从相应的PASSWORD数据库中清除。

2.网络管理员、系统管理员和系统操作员所用密码应经常更换，密码要无规则，并设置强密码（最少8位，并使用字母、数字、符号、区分大小写）。

3.超级用户（如administrator）密码只被系统管理员掌握，用户尽量不直接使用超级用户（如administrator）密码登录系统主机。

4.教学试题存放用机务必做到一人一机，设置8位以上密码，相关负责人以外的其他人员不得使用，各负责人必须妥善保管好自己的用户名和密码，严禁多人共用一个密码，严防试题或答案泄露。

5.上网用户应一人一个账号，而且必须使用本人账号。本单位人员发生变动时，应及时通知信息技术中心删除相关人员的账号，为新加入的人员重新建账号。新旧账号不得混用，以免出现问题时无法区分责任主体。

第十三条操作权限管理

1.重要岗位（如：教务、财务、人事、档案）使用的计算机上网时不可设成自动登录，避免他人利用该计算机登录。

2.网站系统目录，应由各单位信息员负责管理，应完全禁止其他用户有同样权限。

3.网络管理员、系统管理员、操作员调离岗位时应由单位领导监督更换新的用户登录密码。

4.信息技术中心对于网络系统的设置、修改应当做好登记、备案工作。

5.信息技术中心为校园网内各主要网络设备、应用服务器系统的管理人员正确分配使用权限，并加口令予以保护。

第五章网络办公纪律

第十四条纪律要求

1.工作时间不得利用网络从事与工作无关的事情，以免造成网络拥挤堵塞，影响正常办公。

2.电脑终端用户必须安装一款主流防病毒软件，防止电脑中毒导致重要信息丢失或网络大面积瘫痪事故的发生。

3.为符合国家实名制上网的规定，所有校园网用户上网须经过锐捷认证，确因特殊情况需免锐捷认证上网的，须报分管校领导审批，信息技术中心备案。

第十五条责任追究。

造成上述第一点和第二点所述不良后果者，信息技术中心将根据IP地址追查责任人，并在全校范围内通报批评。

第六章违法案件报告和协助查处

第十六条违法使用网络认定

1．破坏网络通讯设施，包括光缆、室内网络布线、室内信息插座、配线间网络设备；

2．随意改变网络接入位置；

3．盗用别人的IP地址、更改网卡地址、盗用别人的账号（包括上网账号、电子邮件账号、信息发布账号、OA账号、教务管理系统账号等）；

4．有意将自己的权限、账号、密码给他人使用；

5．私自更改学生成绩、未经允许发布信息；

6．故意传播计算机病毒，包括通过电子邮件、网络、存储介质等途径；

7．对网络的恶意侦听和信息截获，向网络上发送干扰正常通信的数据；

8．各种网络攻击行为，包括利用已知的系统漏洞、网络漏洞、安全工具、端口扫描等进行攻击，也包括利用IP欺骗手段实施的拒绝服务攻击；

9．对不良信息的访问和传播，包括色情、违法、邪教、谣言等信息。

第十七条处理办法

1.用户发现上述违法犯罪行为或遭受到网络攻击时，应及时上报信息技术中心，同时做好系统保护工作。信息技术中心在收到报告后应立即向分管校领导汇报，组织调查取证工作，并配合上级主管部门的调查。

2.经调查，确有违法行为者，学校将根据情节轻重依据校纪校规给予处分。

3.信息技术中心应将校园网内各接入单位网络违规、违纪情况及时汇总，向分管校领导和上级主管部门报告。

第七章附则

第十八条本办法由信息技术中心负责解释。

第十九条本办法自发布之日起实施。原《开云网页登录入口校园网信息安全管理办法》（院信〔2016〕2号）同时废止。