第一章 总 则
第一条 为加强学校信息安全保障能力,建立健全安全管理体系,规范信息系统的安全运维工作,提高整体的网络与信息安全管理水平,确保信息系统的安全可靠运行,根据《中华人民共和国网络安全法》《信息安全等级保护管理办法》《中华人民共和国密码法》等国家、省、市有关法规政策和学校管理制度,结合学校实际,制定本办法。
第二条 本办法适用于学校信息系统运行与维护安全管理。
第三条 信息系统运维安全管理应遵循“谁建设谁管理,谁使用谁负责”的原则,严格落实信息系统管理责任;依照“积极预防、全面保障、动态管理、持续改进”的原则,加强信息系统运维安全管理。
第四条 数据中心机房安全管理详见《数据中心机房安全管理办法》。
第五条 联网终端、服务器、网络与安全等设备以及应用系统的安全基线配置规范参考《网络安全配置基线》。
第六条 漏洞和风险管理见《网络安全漏洞整改流程》。
第二章 组织机构和职责
第七条 网络安全和信息化领导小组(以下简称“领导小组”)负责信息系统运维安全管理的领导和统筹工作。
第八条 网络安全与信息化办公室(以下简称“网信办”)负责为信息系统安全运行提供可靠的运行环境,协助系统使用部门进行系统变更管理,负责所用密码产品的管理等工作。
第九条 信息系统建设单位负责所建系统的运维安全管理,包括数据备份与恢复、恶意代码防范和密码管理等工作。
第三章 网络设备运维安全管理
第十条 设备运维
(一)定期巡查服务器及磁盘阵列运行情况,填写《服务器操作系统巡检记录表》(见附件),发现异常应及时处理。
(二)主机事故(如数据丢失、宕机等)上报网信办,视情启动信息系统安全应急预案,进行有效处置。
(三)重要信息系统的服务器和磁盘阵列设备要有容灾措施。
(四)对送出维修或报废的介质应首先清除介质中的敏感数据。
第十一条 网络运维
(一)网络运维管理人员应保证网络设备的业务处理能力满足业务高峰期需要,如主要网络设备(核心交换机、路由器)CPU及内存使用率峰值均低于70%。
(二)网络访问权限应遵循最小权限原则,仅开放其工作或业务所需要的最小网络访问权限。
(三)校外地址访问校内资源需通过VPN连接。
第十二条 网络设备安全配置
(一)严禁任何未经授权的网络设备维护操作。服务厂商在学校内提供技术支持时,须由运维管理人员全程陪同。
(二)网络配置信息变更应制定严密的变更计划,操作应按既定方案进行,遵循“双人在场、不得单人进行变更”的操作原则,加强监督与复核。
(三)运维管理人员应确保网络设备和安全设备的密码符合复杂度要求,密码8位以上,包含字母、数字及特殊符号,密码至少每三个月更换一次。
(四)网络设备应设置登录失败处理及登录超时锁定策略。
(五)核心网络、主干网络传输设备应有容灾措施。
第十三条 网络监控
应对网络运行状况进行监控。网络设备需开启日志记录功能,定期对日志文件进行归档保存,以便于日志的查询、分析和审计;所有网络日志留存不少于6个月。
第四章 信息系统运维安全管理
第十四条 信息系统配置安全管理
(一)信息系统的访问权限应遵循最小权限原则,仅开放其工作或业务所需要的最小网络访问权限。
(二)应定期对信息系统的访问权限进行核查,确认当前网络访问权限设置符合业务和管理上的需求,对于不符合的部分应当予以及时更正、调整。
(三)信息系统应开启日志记录功能,定期对日志文件进行归档保存,以便于日志的查询、分析和审计;所有日志留存不少于6个月。
(四)信息系统的管理密码应符合复杂度要求,密码8位以上,包含字母、数字及特殊符号,密码至少每三个月更换一次。
(五)信息系统应设置管理地址限制,仅允许运维管理人员使用的设备进行登录管理。
(六)信息系统应设置登录失败处理及登录超时锁定策略。
(七)信息系统应通过加密的传输协议进行远程管理,不得使用明文传输协议。
第十五条 信息系统访问控制
(一)信息系统应设置管理地址限制,仅允许运维管理人员使用的设备进行登录管理。
(二)信息系统应设置登录失败处理及登录超时锁定策略。
(三)运维管理人员对用户访问权限的限制应基于用户的角色分工、业务应用要求和用户的工作需要。
第五章 数据备份与恢复管理
第十六条 应加强数据的备份和恢复管理,确保备份数据的可用性、完整性和保密性,保障业务连续性。
第十七条 数据备份策略应包括:备份对象、责任人、操作步骤、频率、方式、存储介质、命名规则、保存期以及有效性测试周期等;数据恢复策略应包括:责任人、触发条件、操作步骤等。
第十八条 备份数据应存储在访问受控的专用存储设备或者存储介质中,定期对备份介质进行测试并记录测试结果,确保备份介质内的数据可恢复。
第十九条 重要系统的业务数据及系统配置信息的备份应至少保留两份,一份为本地备份、一份为异地备份,异地备份存储环境要与本地环境相同。
第二十条 进行数据恢复时,要制定恢复计划,经系统所属单位批准。
第六章 恶意代码防范管理
第二十一条 设置可集中管理的防病毒系统,对服务器端的病毒代码库、补丁库进行监控,确保能同服务商保持同步更新。
第二十二条 系统补丁更新应经过评估、测试,确认对系统稳定性没有影响后,再进行相关补丁更新工作。
第二十三条 应定期对信息系统和网络进行漏洞扫描,发现安全漏洞及时修补。
第七章 密码管理
第二十四条 信息系统建设单位负责密码的管理工作,遵循密码相关国家标准和行业标准,使用国家密码管理主管部门认证核准的密码技术和产品,规范密码管理。
第八章 附 则
第二十五条 本办法由网络安全与信息化办公室负责解释。
第二十六条 本办法自发布之日起施行。