校园网信息安全管理制度

      湖州职业技术学院校园网是为全院师生和教职员工的教学、科研、办公提供服务的。因此为确保校园网的安全运行，维护网络的正常秩序，特制定校园网信息安全管理制度如下：
      一、接入校园网的各个单位内部的工作人员和用户必须严格遵守执行《中华人民共和国计算机信息网络国际联网管理暂行规定》和国家有关法律法规，严格执行安全保密制度。
      二、校园网相关的所有工作人员和用户必须对所提供的信息负责。不得利用校园网从事危害国家安全、泄露国家秘密等犯罪活动，不得制作、查阅、复制和传播有碍社会治安和有害信息。
      三、在校园网上不允许进行任何干扰网络用户、破坏网络服务和网络设备的活动，这些活动包括（但并不局限于）在网络上发布不真实的信息、散布计算机病毒、未经授权使用网络、不以真实身份使用网络资源等。
      四、校园网上所有用户有义务向学校网络中心、宣传部等部门报告违法犯罪行为和有害信息情况。
      五、与校园网相关的所有工作人员和用户必须接受并配合国家有关部门依法进行的监督检查。
      六、任何接入网络的单位或个人不得有以下行为，否则校网络中心可根据情况提出警告或停止其使用网络；情节严重者上报学校并提交校行政部门处理或公安机关依法查处。
      1、利用校园网络制作、复制、查阅和传播下列信息：
      1)煽动分裂国家、破坏国家统一和民族团结，推翻社会主义制度的信息；
      2)破坏宪法和国家法律、行政法规实施的信息；
      3)捏造或歪曲事实，故意散布谣言，扰乱社会秩序的信息；
      4)故意查阅、点击邪教网站或访问国家命令禁止的非法网站的信息；
      5)在网上非法传播封建迷信、淫秽色情、暴力、凶杀、恐怖教唆犯罪的信息；
      6)公然侮辱他人或捏造事实诽谤他人的信息。
      2、非法盗用他人帐号、ip地址、Email地址、网址等网络信息以及盗用学校名义进行任何网上的非法操作。
      3、未经允许，进入计算机网络系统或者使用计算机信息网络资源。
      4、未经允许，对计算机网络的数据和应用程序进行删除、修改或增加。
      5、非法下载、制作、传播计算机病毒等破坏性程序。
      6、利用任何非法手段窃取、篡改计算机网络信息以及攻击计算机网络资源等行为。
      7、损害学校声誉，破坏学校安定团结的行为。
      8、其他任何危害计算机信息网络安全的行为。

      操作人员权限等级分配制度

      一、网站用户分管理员与普通用户两种，普通用户只能浏览信息。
      二、管理员采用审核制度，未经注册审核，不能成为注册管理用户。
      三、管理员分为系统管理员、栏目管理员、通讯管理员等级别，不同级别的用户拥有不同的权限，其中，系统管理员拥有最高权限。
      四、各用户账号实行密码管理。
      五、树立安全意识，强化保密观念 ，加强对本网站计算机用户安全、保密意识的教育和培训。

      账号安全保密制度

      一、提高安全认识，禁止非工作人员操纵系统主机，不使用系统主机时，应注意锁屏。
      二、每周检查主机登录日志，及时发现不合法的登录情况。
      三、网络管理员、系统管理员和系统操作员所用口令每十五天更换一次，口令要无规则，重要口令要多于八位。
      四、加强口令管理，对PASSWORD文件用隐性密码方式保存；每半月检查本地的PASSWORD文件，确认所有帐号都有口令；当系统中的帐号不再被使用时，应立即从相应PASSWORD数据库中清除。
      五、ROOT口令只被系统管理员掌握，尽量不直接使用ROOT口令登录系统主机。
      六、系统目录应属ROOT所有，应完全禁止其他用户有写权限。
      七、对TELNET、FTP到主机的用户进行权限限制，或完全禁止。
      八、网络管理员、系统管理员、操作员调离岗位后一小时内由接任人员监督检查更换新的密码；厂方设备调试人员调试维护完成后一小时内，由系统管理员关闭或修改其所用帐号和密码。
      设备维护保养日志记载制度

      一、设备维护保养实行专人负责制，定期认真组织检查，保证设备外观整洁、性能良好。
      二、设备维护保养分为日维护、月维护和半年（换季）维护。
      日维护：对设备进行检查、擦拭、调整，并保持环境清洁。
      月维护：每月安排半天时间对设备进行加电、测试和性能检查。
      半年（换季）维护：主要工作包括检测设备技术指标，调整参数，消除隐患。
      三、机电设备的定期保养按各设备保养维护规程进行。
      四、登记统计是设备管理的一项基础工作，必须及时、准确，须用钢笔或圆珠笔认真填写，字迹工整清晰，不得随意涂改。
      五、故障登记：由故障排除人员填写并签名。主要记载设备故障时间，故障现象、分析、排除过程，结论及排除时间。

      信息发布制度

      一、发布申请人员应当确保发布信息准确、真实，符合国家有关的各项法律、法规制度；
      二、信息发布人员应当对所发布的信息备案记录，以加强管理；
      三、信息审核领导应在充分理解国家有关的各项法律、法规制度的基础上及时处理申请人员的请求，并将审核意见及时反馈给申请人员；
      四、在审核人员同意的基础上应将信息及时转发给信息中心；
      五、信息审核领导应当做好信息请求、处理、转发的备案工作；
      六、各网站所属部门对所收到的经过审核后的信息在确认审核意见后，应及时在网上发布，并确保发布信息的准确性；
      七、各网站所属部门对所发布的信息应当做好备案工作。

      计算机病毒防治管理制度

      第一条 为加强计算机的安全监察工作，预防和控制计算机病毒，保障计算机系统的正常运行，根据国家有关规定，结合实际情况，制定本制度。
      第二条 凡在校园网所辖计算机进行操作、运行、管理、维护、使用计算机系统以及购置、维修计算机及其软件的部门，必须遵守本办法。
      第三条 本办法所称计算机病毒，是指编制或者在计算机程序中插入的破坏计算机系统功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。
      第四条 任何工作人员不得制作和传播计算机病毒。
      第五条 任何工作人员不得有下列传播计算机病毒的行为：
      一、故意输入计算机病毒，危害计算机信息系统安全。
      二、向计算机应用部门提供含有计算机病毒的文件、软件、媒体。
      三、购置和使用含有计算机病毒的媒体。
      第六条 预防和控制计算机病毒的安全管理工作，由信息安全领导小组统一领导，信息中心负责实施。其主要职责是：
      一、制定计算机病毒防治管理制度和技术规程，并检查执行情况；
      二、培训计算机病毒防治管理人员；
      三、采取计算机病毒安全技术防治措施；
      四、对网站计算机信息系统应用和使用人员进行计算机病毒防治教育和培训；
      五、及时检测、清除计算机系统中的计算机病毒，并做好检测、清除的记录；
      六、购置和使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品；
      七、向公安机关报告发现的计算机病毒，并协助公安机关追查计算机病毒的来源；
      八、对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向公安机关报告，并保护现场。
      第七条 学校网络中心应加强对计算机操作人员的审查，并定期进行安全教育和培训。
      第八条 计算机信息系统应用部门应建立计算机运行记录制度，未经审定的任何程序、指令或数据，不得输入计算机系统运行。
      第九条 计算机安全管理部门应对引起的计算机及其软件进行计算机病毒检测，发现染有计算机病毒的，应采取措施加以消除，在未消除病毒之前不准投入使用。
      第十条 通过网络进行电子邮件或文件传输，应及时对传输媒体进行病毒检测，接收到邮件时也要及时进行病毒检测，以防止计算机病毒的传播。
      第十一条 任何部门和个人不得从事下列活动：
      一、收集、研究有害数据；
      二、出版、刊登、讲解、出租有害数据原理、源程序的书籍、资料或文章；
      三、复制有害数据的检测、清除工具。
      第十二条 积极接受公安机关对计算机病毒防治管理工作的监督、检查和指导。

      安全教育培训制度

      一、定期组织管理员认真学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息审核管理制度》，提高工作人员的维护网络安全的警惕性和自觉性。
      二、负责对本网络用户进行安全教育和培训，使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的网络安全知识。
      三、对信息源接入单位进行安全教育和培训，使他们自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，杜绝发布违犯《计算机信息网络国际互联网安全保护管理办法》的信息内容。
      四、不定期地邀请公安机关有关人员进行信息安全方面的培训，加强对有害信息，特别是影射性有害信息的识别能力，提高防犯能力。
      五、遇到安全问题时，及时汇报上级领导，采取措施及时解决。
      事故和安全及时报告制度

      计算机信息网络国际互联网上充斥着大量的黑客、病毒、网络陷阱、色情、非法言论等不安全因素和有害信息。为了加强对互联网的安全保护，维护公共秩序和社会稳定，有效地打击利用互联网进行违法犯罪活动，从事互联网业务的单位和个人应当接受公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过互联网进行的违法犯罪活动。如发现以下行为之一的，应及时向公安机关计算机安全监察机构进行报告。
      一、单位和个人利用国际联网危害国家安全、泄露国家秘密，侵犯国家的、社会的、集体的利益和公民的合法权益，从事违法犯罪活动。
      二、单位和个人利用国际联网制作、复制、查阅和传播下列信息：
      1、煽动抗拒、破坏宪法和法律、行政法规实施的；
      2、煽动颠覆国家政权，推翻社会主义制度的；
      3、煽动分裂国家，破坏国家统一的；
      4、煽动民族仇恨、民族歧视，破坏民族团结的；
      5、捏造或者歪曲事实，散布谣言，扰乱社会秩序；
      6、宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的；
      7、公然侮辱他人或者捏造事实诽谤他人的；
      8、损害国家机关信誉的；
      9、其他违反宪法和法律、行政法规的。
      三、单位和个人从事下列危害计算机信息网络安全的活动：
      1、未经允许，进入计算机信息网络或者使用计算机信息网络资源的；
      2、未经允许，对计算机信息网络功能进行删除、修改或者增加的；
      3、未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的；
      4、故意制作、传播计算机病毒等破坏性程序的；
      5、其他危害计算机信息网络安全的。
      四、单位和个人违反法律规定，利用国际互联网侵犯用户的通信自由和通信秘密。

      应急处理方案

      一、指导思想
      保障网络畅通，使教育教学资源及时高效地发挥其作用，使计算机及网络在遭受攻击、瘫痪的情况下能迅速恢复数据，最大限度地减少损失。
      二、工作要求
      1．重要数据及时备份，注意两份以上的备份，备份在不同的机器、介质上。
      2、磁盘实现磁盘镜像，减少硬盘文件出错几率。
      三、应急措施
      1．保证学校内部数据库的数据不因各种可能的电脑故障而丢失，系统可长时间不停机，保证工作连续性。
      2、重要的数据自动/手动备份到另一台网管计算机上。
      3、采用磁盘镜像，使用同样型号和容量的硬盘实现磁盘镜像，减少硬盘文件出错几率。

                                                                                  湖州职业技术学院网络中心
                                                                                      二00六年十一月一日