第一章 总则
第一条 目的 为加强信息系统安全保护工作,规范贵州交通职业大学网络管理,全面提升网络的可用性、可靠性、安全性,特制定本制度。通过明确管理职责、规范操作流程、加强安全防护等措施,确保学校网络稳定运行,保障教学、科研、管理等各项工作的顺利开展,防止网络安全事件对学校造成不良影响和损失。
第二条 适用范围 本制度适用于贵州交通职业大学内所有网络设备及安全设备的运维与管理,涵盖学校各部门、各教学单位以及与学校网络相连的所有终端设备和用户。
第三条 职责 学校信息技术中心负责人主管网络安全工作,承担以下具体职责:
(一)积极传达并严格执行国家及地方有关网络安全的条例、法规,建立健全学校网络安全管理体系,确保各项法规在学校内有效落实;同时,对违反网络安全条例、法规的行为进行严肃制止和处理。
(二)明确网络安全负责人人选,由信息技术中心负责人担任,全面负责网络安全管理的组织、协调和监督工作。
(三)合理指定专门人员负责网络管理工作,清晰划分网络管理员和安全审计员角色,详细明确各个角色的权限、责任和风险。权限设定遵循最小授权原则,杜绝权限滥用,确保网络管理工作的安全性和规范性。
(四)依据学校网络安全需求,科学购置和配备适用的网络安全管理软、硬件,如防火墙、IDS、统一安全网关、路由器、杀毒软件等,及时更新和维护相关设备,保障网络安全防护能力。
(五)统筹网络安全和信息安全工作,包括提供网络安全技术支持、严格审核信息发布内容、妥善保存和备份重要信息、积极举报不良信息并协助相关部门查处,维护学校网络信息环境的健康和安全。
第二章 网络设备维护管理
第四条 设备登记 对所有网络设备的购置、使用和报废必须进行详细、准确的登记,建立完善的设备管理台帐。登记内容应包括设备名称、型号、购置时间、使用部门、使用人、设备状态、报废时间及原因等,确保设备信息的可追溯性。
第五条 故障处理 网络设备或线路出现故障时,由学校信息技术中心负责人迅速协调解决。建立故障处理流程,明确故障报告、排查、修复的各个环节和责任人,确保故障得到及时处理,减少对网络运行的影响。对于重大故障,应启动应急预案,组织专业人员进行抢修,并及时向相关部门和人员通报故障情况及处理进度。
第六条 运行监控 严密监控网络的运行状态,定期检查网络设备和线路的运行状况。建立监控指标体系,包括网络流量、设备负载、连接状态等,设定合理的阈值。一旦发现影响较大的网络故障,如网络中断、严重拥塞等,必须及时向学校信息技术中心负责人报告,并采取相应的应急措施。
第七条 联系制度 必须与网络运营商建立稳定的联系制度,明确双方的责任和义务。定期与网络运营商沟通,及时获取网络线路的维护计划、故障预警等信息,共同建立确保线路运行的保障体系,提高网络服务的稳定性和可靠性。
第八条 设备维护 定期维护网络设备(路由器,交换机等),制定详细的维护计划,包括维护时间、维护内容、维护人员等。维护内容包括设备的清洁、检查、配置优化、软件升级等,及时发现和排除各种软硬件故障,确保设备处于良好的运行状态。在维护过程中,应严格遵守操作规程,做好数据备份和安全防护工作。
第九条 设备放置 网络设备包括路由器、交换机、网络管理工作站、集线器、同异步调制解调器、通信线路和相关通信设备等,应放置在专用机柜内。专用机柜应具备良好的散热、防尘、接地等功能,放置环境要符合相关标准和规定,确保设备运行环境的安全性和稳定性。
第十条 安全防护 严格执行计算机设备防火、防电、防雷规定,为网络设备配备必要的防火、防雷、防电设备,如灭火器、防雷器、UPS 等。定期对这些设备进行检查和维护,确保其正常运行,有效保护网络设备的安全,防止因自然灾害或电气故障导致设备损坏和网络瘫痪。
第十一条 设备保养 对路由器、交换机等网络设备,应定期进行除尘清洁保养,并做好记录。保养工作应按照规定的流程和标准进行,确保设备表面和内部清洁,散热良好。新增设备应第一时间报学校信息技术中心负责人备案,以便统一管理和维护。
第三章 安全设备维护管理
第十二条 设备登记 对所有安全设备的购置、使用和报废必须进行详细登记,建立设备管理台帐。登记内容除设备基本信息外,还应包括安全设备的安全功能、使用范围、维护记录等,确保安全设备的全生命周期管理。
第十三条 故障处理 安全设备出现故障时,由学校信息技术中心负责人联合安全设备供应商共同协调解决。建立安全设备故障应急处理机制,确保在故障发生时能够快速响应,及时恢复设备正常运行。对于关键安全设备,应配备备用设备,确保安全防护工作的连续性。
第十四条 访问策略管理 建立防火墙访问策略或控制列表,根据学校网络安全需求和业务特点,制定合理的访问控制规则。定期对策略进行解释与分析,每月检查有效性是否合理,及时调整和优化策略,确保网络访问的安全性和合规性。
第十五条 运行监控 严密监控安全设备的运行状态,定期检查安全设备的运行日志以及监控设备运行状态。通过分析运行日志,及时发现潜在的安全威胁和异常行为,如入侵尝试、恶意软件传播等。一旦发现影响较大的网络故障或安全事件,必须及时向学校信息技术中心负责人报告,并采取相应的应急措施。
第十六条 设备维护 定期维护安全设备(防火墙,IDS 等),制定维护计划,包括设备的检查、升级、漏洞修复等工作。及时发现和排除各种软硬件故障,确保安全设备的正常运行。在维护过程中,应注意备份设备配置和数据,避免因维护操作导致数据丢失或设备故障。
第十七条 设备放置 安全设备包括防火墙、IDS、IPS、统一安全网关等,应放置在专用机柜内,放置环境要符合有关规定。专用机柜应具备良好的物理安全防护措施,如门禁系统、监控设备等,防止安全设备被非法访问和破坏。
第十八条 安全防护 严格执行计算机设备防火、防电、防雷规定,确保安全设备的安全。为安全设备提供稳定的电力供应和良好的接地保护,防止因电气故障导致设备损坏。定期检查安全设备的防雷装置,确保其在雷雨天气中能够有效发挥作用。
第十九条 设备保养 对防火墙、IDS 等网络设备,应定期除尘清洁保养,并进行记录,以保证设备正常运行;新增设备应第一时间报学校信息技术中心负责人备案。保养工作应按照设备厂商的要求进行,确保设备性能稳定。同时,对新增设备进行严格的安全评估和测试,确保其符合学校网络安全要求。
第四章 网络及安全设备运行管理
第二十条 保障与备份 加强网络设备、安全设备、网络线路的保障工作,制定详细的保障计划,明确保障措施和责任人。加强核心网络设备、核心安全设备及核心线路的备份工作,定期进行备份设备和线路的测试,确保在主设备或线路出现故障时能够及时切换,保障网络正常运行。
第二十一条 日志分析 至少每月对网络运行日志、网络监控记录和报警信息进行深入分析和处理。建立日志分析流程和方法,通过数据分析发现潜在的网络安全问题和性能瓶颈。对分析结果进行总结和报告,为网络优化和安全防护提供依据。
第二十二条 IP 地址管理 网络管理员应根据制定的 IP 地址规划来分配各部门的 IP 地址,建立 IP 地址分配台账,详细记录 IP 地址的分配情况、使用部门、使用人等信息。同时要有文档标识已规划 IP 地址和空余 IP 地址,任何个人不得私自更改自己机器上的 IP 地址。如确实需要更改,由网络管理员重新分配 IP 地址并备案,确保 IP 地址管理的规范性和可追溯性。
第二十三条 资源命名 网络资源命名确保规范性和一致性。命名应遵循简洁、明确、易于识别的原则,便于网络管理和维护。
第二十四条 设备用户名 / 密码管理
网络设备用户名 / 密码应符合以下要求:
(一)根据实际需要设置用户,及时删除默认用户或修改默认用户的密码,避免默认用户带来的安全风险。
(二)密码长度至少为 8 位,由数字、字母、符号组成并进行无规则混排,提高密码的复杂性和安全性。
(三)至少每 6 个月对密码进行更改,且更新的密码至少 5 次内不能重复,防止密码被破解和滥用。
(四)如果网络设备密码长度不支持 8 位或其他复杂度要求,密码应使用所支持的最长长度并适当缩小更换周期,确保密码的安全性。
第二十五条 口令管理 口令管理详细遵循帐号与密码管理要求。网络设备及安全设备的口令指定网络管理员及安全管理员分别保管,建立口令保管制度,明确口令保管的责任和安全要求。口令应进行加密存储,严禁以明文形式存储和传输,确保口令的安全性。
第二十六条 网络拓扑管理 做好网络系统的配置工作,随时了解网络拓扑结构和交换的信息,绘制网络拓扑结构图。网络拓扑结构图应包括网络结构的划分、设备型号、设备编号、设备 IP 地址等详细信息,并根据网络变化及时更新。通过优化网络拓扑结构,使整个网络系统处于最佳运行状态,同时注重网络安全管理,防止因网络拓扑结构不合理导致的安全漏洞。
第二十七条 设备升级与补丁管理 网络管理员每个月对网络设备、防火墙、漏洞扫描设备、入侵防御设备等安全设备的升级与补丁情况进行检查并更新。在执行更新操作前,应做好设备配置的备份,制定备份策略和恢复流程,确保在更新失败时能够快速恢复设备配置。在得到领导审批后方可实施,并详细记录操作过程,包括更新的内容、时间、操作人员等,便于后续查询和审计。
第二十八条 外部互联网管理 严格遵守外部互联网管理规定:不得将涉密信息在互联网上发布,建立信息发布审核机制,确保发布的信息不涉及学校机密;不得在互联网上发布非法信息,对发布的信息进行合法性审查;在互联网上下载的文件需经过恶意代码检测后方可使用,不得下载带有非法内容的文件、图片等,防止恶意软件和非法信息进入学校网络。
第二十九条 网络使用管理 尽量减少使用网络传送非业务需要的内容,合理控制网络流量,提高网络资源利用率。禁止涉密文件在网上共享,建立网络使用监督机制,对违规使用网络的行为进行查处,确保网络使用的安全性和合规性。
第五章 网络漏洞管理
第三十条 漏洞扫描 至少每 3 个月使用专用漏洞扫描工具对网络系统进行全面漏洞扫描,对网络存在的漏洞、严重级别和结果处理等进行详细记录。制定漏洞扫描计划,明确扫描的范围、时间、工具和人员。对扫描结果进行分类整理,建立漏洞数据库,便于后续跟踪和处理。
第三十一条 风险评估与准备 实施漏洞扫描或漏洞修补前,对可能的风险进行全面评估和充分准备。制定风险评估报告,分析漏洞扫描或修补可能对网络系统造成的影响,如系统中断、数据丢失等。同时做好数据备份和回退方案,确保在出现问题时能够快速恢复系统正常运行。
第三十二条 验证测试 漏洞扫描或漏洞修补后应进行严格的验证测试,确保网络系统的正常运行。验证测试应包括功能测试、性能测试、安全测试等,确保漏洞得到有效修复,且不会对网络系统的其他功能和性能产生负面影响。对验证测试结果进行记录和报告,为网络安全管理提供依据。
第六章 备份与恢复管理
第三十三条 设备配置备份 网络管理员每季度对网络设备的配置进行电子介质的备份和纸质介质的记录。备份内容应包括设备的所有配置信息,如网络接口设置、路由表、访问控制列表等。备份介质应妥善保管,存储在安全的地方,防止数据丢失和泄露。
第三十四条 操作前后备份 在网络配置变更、系统软件升级等操作前及操作后,应做好设备配置的备份。在得到领导审批后方可实施,并详细记录操作过程。操作前的备份用于在操作失败时恢复设备原有配置,操作后的备份用于记录设备的最新配置状态,便于后续管理和维护。
第三十五条 数据恢复测试 至少每半年执行一次数据恢复程序,检查和测试备份介质的有效性,对数据恢复过程进行详细记录。制定数据恢复测试计划,模拟实际数据丢失情况,验证备份数据的完整性和可用性。通过数据恢复测试,及时发现备份过程中存在的问题,确保在需要时能够成功恢复数据。
第七章 附则
第三十六条 制度解释与执行 本制度由贵州交通职业大学信息技术中心负责人负责解释及督促执行。建立制度执行监督机制,定期对制度执行情况进行检查和评估,确保制度得到有效落实。对违反制度的行为进行严肃处理,维护制度的权威性。
第三十七条 生效时间 本制度自印发之日起实行。在制度生效前,应对相关人员进行培训,确保其了解制度内容和要求。同时,对学校网络管理和安全工作进行全面梳理,按照新制度要求进行调整和完善,确保制度的顺利实施。
