大学信息管理中心网络安全管理规定.docx

大学信息管理中心网络安全管理规定第一章总则第一条为保障*大学信息管理中心（以下简称中心）网络系统的安全性，降低网络系统存在的安全风险，确保网络系统安全可靠地运行，特制定此规定。第二条本规定适用于*大学信息管理中心。第二章网络建设管理第三条网络整体的拓扑结构需进行严格的规划、设计和管理，一经确定，不能轻易更改。第四条网络结构要按照分层网络设计的原则来进行规划，合理清晰的层次划分和设计，可以保证网络系统骨干稳定可靠、接入安全、便于扩容和管理维护、易于故障定位和排除。第五条网络连接管理过程中，需明确网络的外联种类,包括互联网、合作伙伴企业网、上下级部门网络和管理部门网络等，根据外联种类确定授权与批准程序，保证所有与外部系统的连接均得到授权和批准，并具备连接策略及对应的控制措施。第六条网络互连原则：（一）与互联网的连接中，在互连点上的防火墙上应该进行IP地址转换，保护内部真实IP地址。（二）任何部门不得自行建立新的信息平台，如确有需求,需经由相关部门认证批准后实施。（三）互联网接入必须有防火墙等安全防范设备。未经许可，任何部门或个人不得私自在网络内新增与互联网的连接。第七条网络管理员定期对网络的性能分析，以充分了解系统资源的运行情况及通信效率情况，提出网络优化方案。第八条按照最小服务原则为每台基础网络设备进行安全配置。第九条除各部门主管领导特别授权外，员工内严禁拨号上网。经授权的拨号上网，必须首先与内部网络断开。第十条网络管理员应定期检查违反规定拨号上网或其他违反网络安全策略的行为，发现问题应及时上报。第三章网络设备维护管理第十一条网络管理员负责对*大学网络进行管理，包括运行日志、网络监控记录的日常维护和报警信息分析和处理等工作。第十二条网络管理员应每季度对网络进行漏洞扫描，并与系统管理员、安全管理员一起进行扫描结果的分析。如发现重大安全隐患，应立即上报。第十三条网络管理员进行漏洞扫描前需提出申请，详细描述扫描的技术、范围、时间及可能的影响性，在获得部门领导审批后，方可执行。第十四条网络管理员应加强网络安全监控，通过网络入侵检测系统探测对系统的网络攻击行为。如发现重大安全隐患，应立即上报。第十五条网络设备及安全设备中的运行配置文件和启动配置文件应该随时保持一致。第十六条所有的网络配置文件有文档记录，网络设备及安全设备的配置文件应定期备份。第十七条配置信息的修改只能由网络管理员来操作。第十八条网络设备及安全设备的软件版本（IOS或VRP等）较低可能会带来安全性和稳定性方面的隐患，需在考察实际情况之后，在设备的FLASH容量许可的情况下统一升级到较新的相对稳定的版本，同时对旧软件版本不做删除，以做备份之用。第十九条网络设备及安全设备需开启日志功能，同时检查设备存储日志的内存大小，根据内存大小做好定期清理日志的工作，以防止内存不够。第二十条安全审计员应定期查看设备的日志文件，记录登录过该设备非管理员的用户名、时间和所作的命令操作等详细信息，若发现异常情况要及时处理和报告上级主管，尽早消除网络安全隐患。第二十一条定期对日志文件进行备份。日志文件保存时间应在3个月以上，日志文件不得随意修改。第二十二条网络设备及安全设备一般都具有允许远程登录的功能，应采取SSH等安全加密的接入方式实现远程登录。第二十三条需限定可远程登录的主机的地址范围，拒绝潜在的攻击者，保证网络安全登录。第四章账户权限管理第二十四条对网络设备及安全设备的登录账号设置权限级别，授权要遵循最小授权原则。第二十五条保证用户身份标志的唯一性，即不同的个人用户必须采用不同的用户名和口令登录，并且拥有不同的权限级别。不同用户的登录操作在设备日志文件上均有记录,便于追查问题。第二十六条网络设备及安全设备的直接责任人拥有超级用户权限，其他管理维护人员按照工作需求拥有相应的用户权限.网络管理员不得私开用户权限给其它人员。第二十七条用户的口令尤其是超级用户的口令必须足够强壮难以被破译，这是保证设备安全性的基本条件，口令的设置应该满足账号口令权限安全管理规定。第五章附则第二十八条本规定由信息安全工作组负责解释和修订。第二十九条本规定自发布之日起执行。