一.为规范单位系统信息系统保障工作,为计算机网络应用安全,提高安全防护能力,根据相关规章制度及标准制订本管理制度。
二.本单位图书信息中心负责网络安全管理工作。
三.本制度适用于单位以及下属各部门。
一.网络建设管理:
(一)网络结构应合理可靠。
(二)网络线缆连接及设备安装应符合工程设计文件的相关要求。
(三)网络设备应兼具技术先进性和产品成熟性,网络设备应有冗余备份。
(四)网络通信速率应保证信息系统正常运行的需要。
(五)在网络改造、安全改造项目建设前必须把技术方案报单位)图书信息中心批准后方可实施,实施时要确保不影响内部的网络安全,实施完毕经验收后把验收材料报单位图书信息中心备案。
二.网络出口管理:
(一)统一出口管理
(二)各单位和个人不得擅自联入Internet及其他网络。
(三)网络在与外部网络进行连接时,必须采用防火墙等防护措施,并制定严密的访问权限。
(四)外连网络应汇接于专门的网络设备中,遵循最小权限原则,强化安全管理措施。访问控制应遵循“允许必须,禁止其他”的控制原则。路由设置上尽可能不让对方直接访问本单位中心网段。
(五)在与外联单位讨论网络方案时,要注意保守本单位网络机密,并注意了解对方使用的接入设备。
一.图书信息中心须落实各项管理制度和技术规范,监控、封堵、清除网上有害信息。
二.对外发布信息的WEB服务器中的内容必须经各部门和科室负责人审核后,根据分级授权、分级管理的办法,按照“谁发布,谁负责”的原则来进行发布。
三.网络管理员每天不定期浏览单位网页、论坛等,检查有关上网日志和记录,如发现有用户发布恶意信息,或异常登陆情况,应立即制止并及时向领导汇报。
四.网络管理员要定期对有关应用服务器、路由器、交换机、防火墙、电源等设备安全运行情况进行巡视,做好有关记录,发现问题及时向领导汇报,并采取有效措施进行恢复。
五.网络系统的主、辅节点设备及服务器等发生案件、以及遭到黑客攻击后,网络管理员必须在及时向单位领导汇报。
六.在单位内从事有关施工、建设时,要及时和图书信息中心协调联系,不能对计算机网络系统有关设备和线路造成损害。
一.全系统各单位的终端计算机使用由单位图书信息中心统一管理。终端计算机的软、硬件配置要符合信息安全要求,必须使用正版软件产品。初次使用、更换硬盘、重新安装操作系统或格式化的终端计算机,必须由图书信息中心进行安全性测试和安全技术防护。
二.联入全系统各单位局域网的终端计算机,要实行联网准入制度并采取技术措施进行联网注册;要严格控制访问互联网的终端计算机数量,确有工作需要的方可开启互联网访问功能;要对与工作无关的硬件端口进行物理封堵。
三.要采用必要的技术措施,加强对终端计算机使用的移动存储介质管理;严禁将存在信息安全隐患的移动存储介质和设备与终端计算机联接。
四.终端计算机要设置8位以上开机口令并定期更换,有条件的要使用数字证书等硬件密码装置。变更终端计算机软、硬件配置,以及在终端计算机上安装应用软件和上网装置须经信息化工作部门同意,禁止安装与工作无关的软件。
五.使用终端计算机处理文件或数据时,要严格遵守该文件或数据的使用管理规定,不得擅自以任何方式将其传送给无关人员或在互联网上发布。
六.要及时对终端计算机中存储的信息进行备份,防止信息丢失;要定期清理终端计算机存储的信息,删除无用信息。
七.严禁使用非涉密终端计算机处理、存储、传播国家秘密和行业敏感信息。
八.未经本单位领导批准,任何人不得在局域网和联网终端计算机上安装具有获取或查看其他计算机处理及存储信息内容功能的软、硬件设备。
一.信息网络采取分区分域安全防护策略。信息网络与互联网和行业外单位网络采取逻辑隔离措施及边界安全防护措施,有效防范违规接入和外联。
二.信息网络域名和IP地址根据内部实际情况统一规划VLAN。各单位要对信息网络域名、IP地址和网络端口实行集中管理,关闭不必要的网络端口。
三.各单位要对信息网络采取以下措施:
(一)采取身份鉴别措施,有效防范非授权用户登录服务器、终端、应用系统以及安全设备。
(二)采取访问控制措施,有效防范用户对信息的越权访问。
(三)采取安全审计措施,准确记录用户和管理人员的操作行为,有效监控违规操作。
四.部署在信息网络上的应用系统要采取访问控制、数据保护、备份和监控等措施,保障数据安全和应用系统安全运行。
五.在信息网络上发布信息,要严格遵守国家有关法律法规及全行业全系统有关规定并经主管部门审核和登记后方可发布。
一.图书信息中心负责内部信息网络安全管理工作,管理、监督、检查全部系统信息网络安全工作;各单位信息化部门负责本单位及所属单位的信息网络安全工作。各级信息化部门的主要职责是:
(一)制订信息网络安全管理制度,落实信息网络安全责任制,定期对制度执行情况进行检查和监督。
(二)定期进行信息网络安全检查,建立检查记录档案,制订并完善信息网络安全措施。
(三)指定图书信息中心内部人员担任网络安全管理员,与网络运行维护单位签订安全责任书。
(四)建立信息网络安全应急工作机制,制订应急预案,明确应急处置流程和应急保障队伍,及时处理和上报信息网络安全事件。
二.任何单位和个人不得利用信息网络危害国家安全和行业安全,不得侵犯国家、社会和个人的合法权益,不得从事违法犯罪活动。
三.任何部门和个人不得利用信息网络制作、复制、传播国家秘密及全行业全系统敏感信息,以及具有反动、色情、暴力倾向的信息。
四.任何部门和个人不得进行危害信息网络安全的活动。
五.对于违反本规定的单位和个人,视情节轻重给予相应的行政处分;构成犯罪的,移送司法机关处理。
本制度由图书信息中心负责解释和修订。
本制度自发布之日起开始执行。