成都市教育計算機信息安全管理細則

附件一成都市教育計算機信息安全管理細則（試行）總則本辦法規(guī)定了成都市中小學計算機信息系統(tǒng)安全在規(guī)劃建設使用管理過程中應執(zhí)行的安全項目和操作規(guī)程。本辦法適用于成都市行政區(qū)劃范圍內的所有中學、小學、師范、職中的計算機信息安全，是計算機信息系統(tǒng)安全規(guī)劃、建設、監(jiān)理、驗收的依據(jù)。教育計算機信息安全管理應本著積極預防、突出重點、狠抓落實的原則。教育計算機信息系統(tǒng)應嚴格按照國家教育部、省教育廳和公安部門的有關規(guī)定進行管理，嚴格執(zhí)行安全保密制度，對所提供的信息負責。不得利用網(wǎng)絡從事危害國家安全、泄露國家秘密等犯罪活動，不得制作、查詢、復制和傳播有礙社會治安的信息。必須接受并配合國家有關部門、各級網(wǎng)絡中心依法進行監(jiān)督檢查。利用互聯(lián)網(wǎng)實施違法行為，構成犯罪的，依照刑法有關規(guī)定追究刑事責任；違反社會治安管理，尚不構成犯罪的，由公安機關依照《治安管理處罰條例》予以處罰；違反其他法律、行政法規(guī)，尚不構成犯罪的，由有關行政管理部門依法給予行政處罰；對直接負責的主管人員和其他直接責任人員，依法給予行政處分或者紀律處分。

利用互聯(lián)網(wǎng)侵犯他人合法權益，構成民事侵權的，依法承擔民事責任。用于重要部門的計算機系統(tǒng)投入運行前，應報請教育信息技術中心的專家組進行安全檢查。機構人員職責機構建立安全組織并制定學校計算機信息系統(tǒng)的安全規(guī)劃和實施計劃。單位應將使用計算機信息系統(tǒng)的情況報公安部門計算機監(jiān)察部門備案，取得《成都市計算機信息系統(tǒng)安全使用合格證》。單位按分層負責的原則，建立信息安全保障責任制。人員單位應有主要領導分管計算機信息系統(tǒng)的安全工作，單位有計算機信息系統(tǒng)安全負責人和安全管理員，負責系統(tǒng)管理維護，制定計算機信息系統(tǒng)的安全策略、風險防范。各單位的計算機信息系統(tǒng)管理負責人和安全管理員，應經成都市公安局計算機安全應用知識的培訓，取得《四川省計算機安全應用資格證》。應用人員應經過安全培訓，具有較好的計算機信息系統(tǒng)安全意識。安全管理員應具有相應的安全意識、法律觀念、技術知識和管理水平，能預防、處理或針對計算機信息系統(tǒng)進行的違法犯罪活動，能預防、處理各種安全事故，能進行軟件系統(tǒng)的正常升級維護。制度單位應建立計算機信息系統(tǒng)安全管理制度，張貼上墻并嚴格執(zhí)行。必須制定有關電源設備、電氣設備、防水防盜消防等防范設備的管理規(guī)章制度，確定專人負責維護和制度實施。各單位有建設計算機信息安全系統(tǒng)的專項經費，并認真有效地管理已有的計算機信息系統(tǒng)財產，有計劃有步驟的添置相應的軟硬件資源。網(wǎng)絡安全外部信息接口各單位連接的外部信息接口必須符合《計算機信息網(wǎng)絡國際連網(wǎng)出入口信道管理辦法》、中國公用計算機互聯(lián)網(wǎng)管理辦法。各單位的計算機和其他通信終端進行國際聯(lián)網(wǎng)，必須使用國家公用電信網(wǎng)提供的國際出入的信道，必須通過接入網(wǎng)絡進行?？梢酝ㄟ^專線或通過公用電信交換網(wǎng)進入接入網(wǎng)絡。日志管理：計算機系統(tǒng)必須有完整的日志記錄：用戶名、節(jié)點名、終端點、登錄時間、操作的數(shù)據(jù)或程序名、操作的類型、修改前后數(shù)據(jù)值、訪問的網(wǎng)站名、訪問者的ＩＰ等。記錄日志應完整而連續(xù)，保存至少3個月。數(shù)據(jù)備份安全管理員要審閱每天的系統(tǒng)報告，包括控制臺操作記錄、系統(tǒng)日志、系統(tǒng)報警記錄、系統(tǒng)活動統(tǒng)計及其他與安全有關的材料。應定期用存檔的源程序與現(xiàn)行運行程序進行對照，以有效的防止對程序的非法修改。應實時檢查數(shù)據(jù)庫的邏輯結構、數(shù)據(jù)元素的關連及數(shù)據(jù)內容。對于從日志或實時終端上查獲的全部非法操作都應加以分析，找出原因及對策。必須對系統(tǒng)口令的查聲、登記、更換期限實行嚴格管理。重要應用數(shù)據(jù)應每月備份一次。軟件系統(tǒng)應三月備份一次。對系統(tǒng)進行維護時，應采取數(shù)據(jù)保護措施。在發(fā)現(xiàn)病毒、發(fā)現(xiàn)黑客等緊急時刻，應對重要應用數(shù)據(jù)和軟件系統(tǒng)備份一次。實行分布式備份。實行應用者本地、網(wǎng)絡共享端、網(wǎng)絡發(fā)布端三級備份。每星期應對系統(tǒng)軟件和應用軟件進行一次檢查，確定是否需要升級。在發(fā)現(xiàn)軟件漏洞時，應立即下載補丁、升級軟件或采取其他安全措施。作到預防在先，及時查缺補漏。網(wǎng)站管理凡利用國際互聯(lián)網(wǎng)信息資源，在國內經營計算機信息服務的，按開放經營電信業(yè)務的有關規(guī)定審批。管理員應對互聯(lián)網(wǎng)的使用者的有關情況進行必要的登記。單位應保證發(fā)布的網(wǎng)頁不含有害數(shù)據(jù)。以公用數(shù)據(jù)網(wǎng)作為通信子網(wǎng)的計算機網(wǎng)絡，應采取設置閉合用戶組等限制非法外來或外出訪問，確保網(wǎng)絡安全。任何單位和個人不得制造或者故意輸入、傳播計算機病毒和其他有害數(shù)據(jù)，不得利用非法手段復制、截收、竄改計算機信息系統(tǒng)中的數(shù)據(jù)。不得在網(wǎng)絡上發(fā)布不真實的信息、散布計算機病毒、進入未經授權使用的計算機和不以真實身份使用網(wǎng)絡資源等。應在分中心網(wǎng)站公布公布報警電話或設立電子信箱。對病毒感染、黑客攻擊等情況要進行登記。電子公告服務應符合《互聯(lián)網(wǎng)電子公告服務管理規(guī)定》。新聞服務應符合《互聯(lián)網(wǎng)站從事登載新聞業(yè)務管理暫行規(guī)定》。網(wǎng)頁內容應符合《教育部關于加強對教育網(wǎng)站和網(wǎng)校進行管理的公告》。事故報告制度學校必須制定較全面的應急計劃。根據(jù)影響系統(tǒng)正常工作的各種可能出現(xiàn)的緊急情況及其影響范圍，如火災、水災、意外停電、外部攻擊、誤操作、突發(fā)事件、敏感時期等，指定專人負責計劃制定、專人組織計劃的實施，保證能有組織有措施的應對緊急情況。對計算機信息系統(tǒng)中發(fā)生的案件，及發(fā)現(xiàn)新的計算機病毒、政治性病毒和其他危害嚴重的有害數(shù)據(jù)，有關使用單位應當在24小時內向教育信息技術中心報告，并保護現(xiàn)場及相關資料，條件許可的應停機等候處理。對于違反本辦法的用戶，網(wǎng)絡中心有權無條件取消其網(wǎng)絡使用權，對于發(fā)生重大安全事故的用戶，網(wǎng)絡中心將上報高一級網(wǎng)絡管理部門和公安機關，由公安機關追究其相應責任，直至刑事責任。城域網(wǎng)及網(wǎng)站安全管理接入互聯(lián)網(wǎng)申報備案制度需要接入互聯(lián)網(wǎng)的單位需將安全方案報送市信息中心，由專家組對安全方案進行審定并立即實施。審定合格的單位，在辦理完畢接入手續(xù)后，將接入單位、網(wǎng)絡系統(tǒng)構成、接入線路類型、應用范圍、聯(lián)網(wǎng)設備型號數(shù)量、域名地址、管理人員及終端用戶數(shù)據(jù)等資料報送成都教育信息技術中心備案。接入運行后，上述事項發(fā)生變更時，應及時向中心申報。城域網(wǎng)管理中心應保證網(wǎng)絡平穩(wěn)運行，合理分配負載，做好運行檢測，做好有害信息的防范、信息過濾，及時對安全漏洞或故障進行處理，指導用戶做好安全防范工作。定期對管理中心進行漏洞掃描檢查，并建檔管理。對存在安全漏洞或隱患的單位，要提出具體的防范、整改措施，并督促其落實。在成都教育城域網(wǎng)上不允許進行任何干擾其他網(wǎng)絡用戶、破壞網(wǎng)絡服務和網(wǎng)絡設備的活動。校園網(wǎng)安全管理學校面向互聯(lián)網(wǎng)提供公開服務的網(wǎng)站頁服務器、域名服務器、郵件服務器及文件服務器等均應在市信息中心備案。權限管理：學校網(wǎng)絡控制中心負責網(wǎng)絡設備的運行管理、網(wǎng)絡資源、用戶賬戶和安全管理，系統(tǒng)管理員口令絕對保密，網(wǎng)絡用戶口令應經常更新。根據(jù)用戶需求嚴格控制、合理分配用戶權限。網(wǎng)絡中心有專人負責WWW信息發(fā)布，一般應用人員只有瀏覽權和使用權。校園內的光纜及其他網(wǎng)絡設施應妥善保護，避免人為損壞。校園網(wǎng)分為內部網(wǎng)和互聯(lián)網(wǎng)兩部分，技術上采用虛擬網(wǎng)絡管理。一般用戶不提供與Intemet直接連接。數(shù)據(jù)由網(wǎng)絡信息中心及各級網(wǎng)絡管理部門進行定期備份，對備份后的數(shù)據(jù)應有專人保管，確保發(fā)生意外情況時能及時恢復系統(tǒng)運行。防殺病毒軟件應妥善保管，確保防殺病毒軟件本身無毒。向學生開放的教學實驗室應禁止使用軟驅和光驅，以杜絕病毒的傳播。黨政網(wǎng)安全管理使用者必須按照所分配的用戶名稱和IP地址進行接入、登錄。接入、登錄信息及網(wǎng)上內容不得外傳。使用黨政網(wǎng)必須按照管理規(guī)定執(zhí)行。上網(wǎng)必須采用加密卡必須與互聯(lián)網(wǎng)物理隔離。保密堅持誰上網(wǎng)誰負責、誰泄密追究誰的原則，建立完善保密工作責任體系。將保密工作納入目標管理。有專人對上網(wǎng)信息嚴格把關。寫有涉密文件、資料的計算機軟盤不使用時應存放在鐵皮柜內鎖好，嚴禁亂丟亂放。不允許在與互聯(lián)網(wǎng)相聯(lián)的計算機中采集、處理、存儲和傳遞涉密信息。對涉密計算機維修、涉密載體的保管和銷毀，應有專人負責。對重點涉密部位必須安裝“三鐵一器”，即：鐵門、鐵欄桿、鐵皮柜和報警器。加強監(jiān)督管理工作，使用過程中的重要信息記錄要保存到審計文件中，以便掌握使用情況，發(fā)現(xiàn)可疑現(xiàn)象，及時追查安全事故責任。第七章其他成都市教育信息技術中心在計算機信息系統(tǒng)安全保護工作中的主要職責是：對計算機信息系統(tǒng)安全保護工作事實監(jiān)督、檢查、指導開展計算機信息系統(tǒng)安全的保護宣傳教育工作對計算機信息系統(tǒng)的新建、改建、擴建工程進行安全指導進行安全系統(tǒng)建設使用和管理的驗收管理計算機病毒和其他有害數(shù)據(jù)的防治工作制定安全系統(tǒng)的技術規(guī)范進行管理使用人員的培訓。教育信息技術中心發(fā)現(xiàn)影響計算機信息系統(tǒng)安全的隱患時，應當及時向使用單位發(fā)出安全管理公告。附件二成都市教育計算機信息系統(tǒng)安全建設規(guī)范第一章總則本辦法規(guī)定了成都市中小學計算機信息系統(tǒng)安全的規(guī)劃要求和建設標準。本辦法適用于成都市行政區(qū)劃范圍內的所有中學、小學、師范、職中的計算機信息系統(tǒng)安全，是計算機信息系統(tǒng)安全規(guī)劃、建設、監(jiān)理、驗收的依據(jù)。建設教育計算機信息安全系統(tǒng)應本著預防為主、因地制宜、注重實效、及時補漏的原則。計算機信息系統(tǒng)，是指由計算機及其相關的和配套的設備、設施(含網(wǎng)絡)構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。計算機信息系統(tǒng)的安全保護，應當保障計算機及其相關配套設備、設施(含網(wǎng)絡)的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，維護計算機信息系統(tǒng)的安全運行。有害數(shù)據(jù)是指計算機信息系統(tǒng)及其存儲介質中存在、出現(xiàn)的，以計算機程序、圖像、文字、聲音等多種形式表示的，含有攻擊人民民主專政、社會主義制度，攻擊黨和國家領導人，破壞民族團結等危害國家安全內容的信息；含有宣揚封建迷信、淫穢色情、兇殺、教唆犯罪等危害社會治安秩序內容的信息，以及危害計算機信息系統(tǒng)運行和功能發(fā)揮，應用軟件、數(shù)據(jù)可靠性、完整性和保密性，用于違法活動的計算機程序（含計算機病毒）。安全防范機構及制度安全組織單位必須建立安全機構，單位主要領導必須主管計算機信息系統(tǒng)安全防范工作。安全機構的任務是根據(jù)本單位的實際情況制定安全防范策略、作出風險分析、建立安全保障體系。單位必須實行安全防范制度。安全負責人負責安全機構的具體工作。人事管理人員審查：必須根據(jù)計算機信息系統(tǒng)所定的保密級別確定審查標準。必須保證關鍵崗位的人選安全可靠。所有工作人員必須進行相應的計算機安全防范培訓。人事部門應定期對系統(tǒng)所有工作人員進行考核，對不適于接觸信息系統(tǒng)的人員要及時調離，要向其申明調離后的保密義務，收回所有資料和證件，退還全部技術手冊及有關材料。系統(tǒng)必須更換口令和機要鎖。制定嚴格的計算中心出入管理制度。制定嚴格的技術文件管理制度。制定嚴格的操作規(guī)程。制定完備的系統(tǒng)維護制度。制定數(shù)據(jù)記錄媒體管理制度。實體安全設計或改建計算機機房時必須符合下列標準：《計算站場地安全要求》（GB2887-82）、《計算站場地技術條件》、《電子計算機機房設計規(guī)范》的規(guī)定。在計算機機房附近施工，不得危害計算機信息系統(tǒng)的安全。單位采購的計算機信息系統(tǒng)安全產品和保密專業(yè)產品必須具有公安部門核發(fā)的銷售許可證。新購進的計算機及其設備、軟件系統(tǒng)，應經單位計算機安全人員進行檢查，確認無有害數(shù)據(jù)后方可投入使用。防雷措施：應符合《建筑防雷設計規(guī)范》。計算機信息系統(tǒng)在建設時，應進行防雷安全技術檢測，并取得防雷檢測合格證。凡未安裝防雷安全裝置或檢測不合格的系統(tǒng)，必須整改。計算機信息系統(tǒng)、電源系統(tǒng)、天饋系統(tǒng)所使用的防雷產品，應有相關部門質量認可，符合《計算機信息系統(tǒng)防雷保安器》要求，方能投入使用。防靜電措施：計算機信息系統(tǒng)在建設時，應進行防靜電安全技術檢測。凡未安裝防靜電安全裝置或檢測不合格的系統(tǒng)，必須整改。計算機信息系統(tǒng)、電源系統(tǒng)、天饋系統(tǒng)所使用的防靜電產品，應有相關部門質量認可，方能投入使用。防盜措施：計算機信息系統(tǒng)建設時，應安裝必備的防盜設施，應包括教室、樓層和校園三級防盜設施。并設置必備的安全崗位，安排合格的人員上崗。外部容易接近的門窗應采取防范措施，如鋼化玻璃、嵌網(wǎng)玻璃、及卷簾和鐵窗。無人值守時應有自動報警設備。重要部門的計算機中心外部不應設置標明系統(tǒng)及有關設備所在位置的標志。防火措施：應符合《高層民用建筑設計防火規(guī)范》、《建筑設計防火規(guī)范》。應設置二氧化碳或鹵代烷滅火設備。機房內的電源切斷開關應靠近工作人員的操作位置或主要出入口。防水措施：位于用水設備下層的計算機機房，應在吊頂上設防水層，并設漏水檢查裝置。防磁的防護：應符合《計算站場地技術條件》方能投入使用。主機及外設的電磁干擾輻射必須符合國家標準或軍隊標準的要求，外國產品必須符合生產國家的標準。軟件安全操作系統(tǒng)應具有以下安全措施：應有可靠的日志記錄。應有較完善的存取控制功能，以防止用戶越權存取信息。應有良好的存儲保護功能，以防止用戶作業(yè)在指定范圍以外的存儲區(qū)域進行讀寫。應有較完善的管理功能，以記錄系統(tǒng)的運行情況，監(jiān)測對數(shù)據(jù)文件的存取。數(shù)據(jù)庫應有可靠的日志記錄。必須有嚴格的存取控制措施。數(shù)據(jù)庫管理系統(tǒng)應對輸入數(shù)據(jù)進行邏輯檢驗，數(shù)據(jù)庫更新時應保證數(shù)據(jù)的準確性。應具有檢查跟蹤能力，可以記錄數(shù)據(jù)庫查詢、密碼利用率、終端動作、系統(tǒng)利用率、錯誤情況及重新啟動和恢復等。數(shù)據(jù)庫管理系統(tǒng)應能檢測出涉及事務處理內容及處理格式方面的錯誤，應能確定是否由于系統(tǒng)故障而引起了文件或數(shù)據(jù)的丟失，并予以記錄。數(shù)據(jù)庫管理軟件應具備從各種人為故障、軟件故障和硬件故障中進行恢復的能力。應用軟件必須考慮充分利用系統(tǒng)所提供的安全控制功能。在保證完成業(yè)務處理要求的同時，應在設計時增加必要的安全控制功能。防火墻應提供安全、快速和可管理的Internet連接。提供快速和全面的控制訪問和網(wǎng)絡使用檢測方法，保護網(wǎng)絡免受未授權訪問的侵害，檢測網(wǎng)絡數(shù)據(jù)流，當出現(xiàn)網(wǎng)絡攻擊的時候給管理員提示報警信息。應具備可擴展性和可伸縮的高性能Web緩存系統(tǒng)，能對數(shù)據(jù)層、鏈路層和應用層進行數(shù)據(jù)過濾、對穿過防火墻的數(shù)據(jù)進行狀態(tài)檢查、對訪問策略進行控制并對網(wǎng)絡通信進行路由。對所有客戶端的透明，有流量監(jiān)測、狀態(tài)監(jiān)測、入侵檢測、高級驗證、VPN、智能應用程序過濾器、安全服務器發(fā)布等。提供基于策略的安全、加速和管理。管理基礎構架，提供一致、有效的方法來管理組的訪問、配置和規(guī)則設定。能夠進行策略定義、流量路由、服務器發(fā)布和監(jiān)視過程?？蓴U展的開放平臺，有廣泛的應用程序支持和可擴展管理選擇。軟件開發(fā)過程應按照下述標準的要求進行：國家教育部〈中小學教學軟件審查標準〉、〈教育軟件適用文檔編寫指南〉、〈中小學軟件開發(fā)指南〉。安全策略組策略使應用到域或組織單位中的用戶的組策略對象數(shù)量最小。按照安全組成員身份篩選策略。主要使用基于用戶的組策略，僅在必要時才用基于計算機的組策略替代基于用戶的組策略。使用組策略而不是系統(tǒng)策略。軟件限制策略運用散列規(guī)則、證書規(guī)則、路徑規(guī)則或Internet區(qū)域規(guī)則，使應用程序可在策略中得到標識。軟件可以運行在兩個級別上：“不受限制的”與“不允許的”。有助于保護計算機免受電子郵件病毒侵擾的步驟：審閱最佳操作，為郵件程序用來運行電子郵件附件的所有文件夾創(chuàng)建路徑規(guī)則，并將安全級別設為“不允許的”，指定該規(guī)則將適用的文件類型。在將策略應用到任何其他計算機上之前，始終在測試機上對其進行測試。不應將軟件限制策略用作防病毒軟件的替代產品。網(wǎng)絡安全網(wǎng)絡安全的目標：為了增加網(wǎng)絡的安全性，必須對信息資源加以保護(存取和傳輸)，對服務資源加以控制和管理。信息資源有三類：公眾信息：不需訪問控制。內部信息：需要身份驗證以及根據(jù)身份進行訪問控制。敏感信息：需要驗證身份和傳輸加密。服務資源包括：內部服務資源：面向已知客戶