公告
北京教育行业SRC平台安全管理办法 返回
2024-04-26

北京教育行业SRC平台安全管理办法

 

北京教育行业SRC平台设在北京联合大学,平台设置依托北京联合大学现有硬件和网络条件,为进一步加强SRC平台安全工作,预防和减少网络安全事件的发生,切实保障SRC平台和校园网络安全,平台的安全管理总体遵照北京联合大学《网络与信息系统安全管理办法》(202171日印发)执行。

 

 

北京联合大学网络与信息系统安全管理办法

 

第一章  总则

第一条  为进一步加强学校网络安全工作,预防和减少网络安全事件的发生,切实保障校园网络和信息系统安全,根据《中华人民共和国网络安全法》等相关法律法规要求,结合学校实际,特制定本办法。

第二条  本办法所称网络与信息系统安全工作是指为保障校园网络、信息系统及其数据的完整性、保密性和可用性,防范攻击、侵入、干扰、破坏和非法使用以及意外事故而开展的相关管理和技术工作。涉密网络、涉密信息系统安全管理由学校相关部门另行规定。

第三条  学校任何单位及个人均应按照国家有关法律法规要求,合法合规使用校园网络和信息系统,不得从事违法犯罪活动,不得有危害校园网络和信息系统安全的行为,不得有利用校园网络和信息系统侵犯国家和集体利益以及个人合法权益的行为。

第二章  组织机构及职责

第四条  学校网络安全和信息化领导小组是网络与信息系统安全管理工作的领导机构,负责顶层设计、重大决策和统筹协调。学校网络安全和信息化领导小组办公室(以下简称“校网信办”)设在校信息网络中心,是学校网络安全和信息化工作的归口管理部门,负责组织实施、监督检查和宣传教育工作。

第五条  校信息网络中心是学校网络与信息系统安全管理工作技术管理机构,负责学校网络安全防护体系的规划建设和运行管理,对学校信息化基础设施和公共服务平台进行整体安全防护和支撑保障,对各单位进行技术指导、服务支持和培训;负责对接和配合相关上级管理部门的任务和工作。  

第六条  校党委宣传部负责对信息内容安全进行监督、检查,对网络舆情信息进行监控、管理和引导。

第七条  校党委保卫部负责协调相关部门对违规网络行为进行调查、取证和处理。

第八条  各单位按照“谁建设谁负责、谁使用谁负责”的原则,分别负责本单位建设、使用的网络和信息系统的安全工作。各单位应明确本单位网络安全管理责任人、各信息系统运行维护具体责任人,采取措施保障本单位网络和信息系统安全,制定内部网络安全管理制度、操作规程和应急处置预案,组织对本单位师生进行网络安全宣传教育,落实上级和学校安全管理政策要求。

第九条  学校教职工和学生作为校园网络和信息系统的使用者,有责任和义务遵守学校网络安全相关规定,积极参与网络安全的建设和管理。

第三章  校园网安全建设与管理

第十条  校园网及相关基础设施由校信息网络中心统一规划、建设、管理,并提供统一网络出口,校内各单位及个人严禁擅自建设、更改、损毁、挪用校园网及相关基础设施,不得私接外网出口。

第十一条    校园网实行实名注册制,校内各用户必须通过实名认证方可使用校园网。实名认证账号不得借用或转让,严禁盗用或售卖。

第十二条    校园网用户应文明上网,依法依规用网,共同营造风清气正的网络环境。严禁利用校园网制作、复制、查阅和传播违法有害信息;严禁利用校园网从事探测、伪造、入侵、窃取等攻击或破坏网络的活动;严禁利用校园网制作、使用和传播病毒、蠕虫、木马等恶意代码;不得违规使用翻墙、穿透内网、网络代理等危害学校正常秩序的软件或技术;不得违规串接级联网络,违规提供网络服务。

第十三条    校园网用户应加强网络安全意识,做好个人信息终端防护和个人敏感信息保护。应安装使用正版操作系统和应用软件,安装运行防杀毒软件并及时更新,妥善保管各系统登录账号密码,定期备份重要文件和资料,注意防范各类钓鱼诈骗信息,不用电子邮箱收发存秘密和敏感信息,遭受网络攻击或侵害时及时报告。

第十四条    各单位对本单位所用网络打印机、电子显示屏、摄像机等物联网设备安全负责,应加强日常安全监管,落实安全责任到人,采取安全防范措施,确保运行安全。

第十五条    各单位对本单位所用业务专网安全负责,做好日常安全防护和运行管理,定期开展网络安全检测检查、加固整改、应急演练等工作。业务专网如接入校园网,应采取措施加强网络边界防护,严格访问权限控制。

第十六条    向师生开放的计算机房、实验室、电子阅览室等应采取可靠措施,避免病毒和黑客软件的传播,确保网络安全。上网必须采用实名登记,记录上网用户姓名、有效证件、机号、上下机时间等有关信息,记录备份留存不少于6个月。

第十七条    修缮工程如涉及网络设施改造,大规模改造应纳入学校信息化项目统筹建设,小规模零星改造可由需求单位申报网络改造方案后自行开展。校信息网络中心负责审核网络改造方案,对改造项目组织验收。施工过程中造成原有设施设备丢失、损坏的,由需求单位负责向施工方追索赔偿、限期整改。

第十八条    校园网配线间管理遵循《北京联合大学校区机房(配线间)管理办法》。对共用的配线间,各使用单位应加强安全巡检,及时消除安全隐患。严禁在配线间私搭乱建、随意取电和堆放杂物,由此引发火灾、网络中断的将追责处理。

第十九条    校园网IP地址管理遵循《北京联合大学IP地址管理办法》。普通用户接入校园网使用动态方式获取IP地址,不得私设静态IP地址,特殊需求必须固定IP地址的,须向校信息网络中心申请审批后,统一分配。校园网IP地址除数据中心区域外,一律不得以任何方式对外提供互联网服务。

第二十条    校园网域名体系管理遵循《北京联合大学域名管理办法》。域名buu.edu.cn是学校唯一、官方的一级域名,各单位可根据需要申请使用二、三级域名。域名使用期间不得私自转让或更改用途,到期后应及时办理延期或停用手续。

第二十一条      学校电子邮件系统管理遵循《北京联合大学邮件系统管理办法》。用户对其邮箱账户和密码的安全负责,并对其邮箱账户产生的所有网络行为负责。用户若发现其邮箱账户被非法使用或存在安全问题,应立即报告校信息网络中心。

第二十二条      为保障校园网总体安全稳定运行,校信息网络中心应及时对发现的有害网络行为进行限制或封停处置,对严重挤占带宽等网络资源的不合理应用进行限制或封停操作。

第四章  信息系统安全建设与管理

第二十三条      信息系统是指基于计算机及网络通信等技术为学校开展各项工作提供信息化服务的软硬件集合,包含各种管理信息系统、数据处理系统、门户网站、移动互联网应用等。信息系统运行、维护和管理由各建设单位负责。

第二十四条      各单位信息系统建设须遵循《北京联合大学信息化项目管理办法(试行)》(京联发〔201929),未经校网信办论证审批而自行建设的信息系统,不得上线运行。信息系统投入试运行前,建设部门应组织初步验收,出具网络安全测评报告和项目初验报告。信息系统投入正式运行前,必须通过校网信办组织的网络安全测试,未通过不得上线运行。

第二十五条      各单位信息系统建设必须落实国家网络安全等级保护制度要求,在系统规划、设计和建设阶段同步建设网络安全保障措施,履行系统定级备案、安全建设整改、等级保护测评和自查等法律义务。其中信息系统定级备案和等级保护测评工作由校网信办牵头组织。信息系统未履行网络安全等级保护要求的,不得上线运行。

第二十六条      各单位信息系统原则上应部署在学校数据中心、使用学校IP地址及域名,并按照《北京联合大学服务器托管管理办法》进行审批备案;涉及学校重要基础数据、师生个人信息或其他敏感信息的,不得部署在校外;未经批准,严禁使用境外数据中心。

第二十七条      对于必须使用校外云服务或必须部署在校外数据中心的信息系统,建设前须按照学校信息化项目管理办法完成立项审批等流程,未经审批不得建设;上线运行前须完成“电信与信息服务业务经营许可备案(ICP备)”“北京市计算机信息网络国际联网备案(京公网安备)”以及网络安全等级保护定级备案等法规要求的备案,并将相关材料向校网信办报备,未经备案不得上线运行。未按要求建设的此类系统,不得使用学校资金,不得使用校名、校徽、域名等学校标识,一切网络安全责任由相关单位及参与人员承担。

第二十八条      各单位信息系统运行期间,应定期开展网络安全检查并整改发现的问题。定级二级(含)以上的信息系统每季度不少于1次,定级一级的信息系统每年不少于1次。信息系统部署在学校数据中心的,由校网信办统一组织检查整改;未部署在学校数据中心的,由建设使用单位自行检查整改,并将相关工作记录报备至校网信办。

第二十九条      各单位信息系统应基于学校统一身份认证平台进行身份认证,除统一身份认证平台不能满足需求外,不得规避、绕过。

第三十条    各单位信息发布类网站应基于学校网站群平台进行建设,遵循《北京联合大学网站管理办法》。校信息网络中心负责网站群基础平台的管理维护和建站技术支持,各单位负责本单位网站的规范运行和内容安全。

第三十一条      各单位移动互联网应用应基于学校统一的移动平台和入口进行建设运行。各单位应按照教育部《教育移动互联网应用程序备案管理办法》(教技厅〔20193)相关要求,对自主开发、自主选用和上级部门要求使用的教育移动应用履行备案程序。

第三十二条      各单位信息系统涉及数据资源的,应遵循《北京联合大学信息系统数据管理办法》(京联发〔202113)相关规定,加强数据使用全过程管理和数据安全保护。

第三十三条      各单位应及时掌握本单位各种信息系统建设使用情况,建立信息系统台账,明确各系统管理人员及其安全责任,治理整顿“双非信息系统”(使用非本校IP、非本校域名的信息系统)。各单位将信息系统台账向网信办报备,并及时更新、同步。

第三十四条      各单位应加强信息系统生命周期管理,及时对结束运维或不再使用的系统办理下线或撤机手续。为避免产生僵尸系统,系统上线后运行周期最长为两年,使用单位应提前1个月申请延期,否则将自动下线;系统下线3个月未申请延期,将予以下架设备、释放资源处置。

第五章  安全监测与网络安全事件处理

第三十五条      学校对各类网络、信息系统和其他相关设备不定期开展安全检查。对检查中发现的安全漏洞和隐患,各单位要积极整改,对于不整改或整改不合格的,校网信办将对相关网络及信息系统进行断网、停止服务等应急处理。

第三十六条      校内网络安全事件的处理由校网信办负责协调实施。安全事件相关单位及人员应积极配合,认真落实网络安全事件处置相关工作。为避免安全事件不良影响扩大,校网信办在必要时可直接对安全事件相关的网络及信息系统进行断网、停止服务等应急处理。

第三十七条      各单位应对所属信息系统进行安全监测,安排专人定期巡检和备份数据,留存系统运行、网络访问等相关日志6个月以上。应制定本单位网络安全应急预案,并组织应急演练。在重要安全保障期间应安排人员值守,发现网络安全问题应及时向校网信办报告并进行必要的应急处置。

第三十八条      对于违反法律、法规和学校相关规定,造成国家、学校和个人损失的,学校将依法依规配合公安、网信等主管部门追究相关单位及个人的责任。

第六章  附则

第三十九条      本办法自印发之日起施行,由学校网络安全和信息化领导小组办公室负责解释。

 

 

 

中共北京联合大学委员会办公室             202171日印发