|
||||||||
|
第一章 引言 第一条 编写目的 为了加强信息系统的网络安全管理,建立健全学校各信息系统的网络安全管理责任制,提高整体的安全水平,保证网络通信畅通和信息系统的正常运营,提高网络服务质量,特制定本策略。 第二章 范围 第二条 逻辑范围 本策略逻辑范围包括生产系统及内部办公网络等信息系统的物理资产、软件资产、数据资产、服务资产等。本策略涉及的工作包括了对所有上述系统的保密性、完整性和可用性的安全管理工作。 第三条 物理范围 本策略物理范围包括整个本校和IDC数据中心环境。 第三章 网络与安全设备策略 第四条 网络地址 网络地址应事先规划、统一管理、分配,网络管理人员负责建立并及时维护互联网IP地址,及内网设备IP地址,个人上网用户使用统一身份认证登录获得上网IP地址; 第五条 新设备投运 新设备上线运行,或可能引起网络中断的主干网络配置工作,需经本校信息化工作办公室批准,并在尽可能在晚上或非工作日时间操作; 第六条 网络管理人员 网络管理人员应根据需要增加、修改或删除网络过滤规则,符合数据传送的保密性、可用性,使用最小化规则; 第七条 防火墙 防火墙应根据业务和安全性要求谨慎开启适当的策略,在不影响正常的业务数据通行的基础上,最小化开启必需的端口; 第八条 网络及安全设备 网络及安全设备的配置应遵循最小化原则,所有不必要的服务都应当关闭。 第九条 网络使用权限 当发现有损害本校网络系统的行为发生时,网络管理人员有权在不事先通知的情况下禁止或限制该教职工或学生使用本校网络的权限,直到该问题的解决; 第十条 安全隔离 对不同网络区域应使用防火墙、路由器等设备对不同安全等级的网络进行隔离,实现测试网络和生产业务网络的安全隔离,低安全等级区域向高安全等级区域的网络访问应被严格限制,经审批通过后才能够开通;直接连接互联网的防火墙应启用NAT隐藏自有应用系统区域网络结构; 第十一条 权限账号 网络和安全设备配置的管理员权限账号在技术可行时登录口令长度应设置为至少12位,且至少包含大写字母、小写字母、数字、特殊字符中的三种;普通账号的口令长度应设置为至少8位,且至少包含大写字母、小写字母、数字、特殊字符中的两种; 第十二条 备份 应定期对网络和安全设备的配置、日志进行离线备份,以保证系统的可用性,备份数据保留时间不少于6个月。 第十三条 漏洞扫描 至少每年对网络进行漏洞扫描,所发现的网络系统安全漏洞应及时进行修补。 第四章 网络访问控制 第十四条 访问权限 本校在默认状态下所有教职工和学生均可以访问互联网; 第十五条 公用互联网 外部人员来访时,如有需要访问公用互联网,必须由接待管理员同意,并为访客提供互联网区域的密码,一般情况下,本校内部网络不对外部人员开放。 第五章 网络监控管理 第十六条 网络监控 网络安全管理人员应通过系统监控、上网行为日志分析及态势感知等设备,对校园网的运行情况实施监控,发现异常上网行为立即予以处置。 第十七条 日常巡检 网络管理人员及安全担当应对网络、安全设备运行情况进行日常巡检并记录; 第十八条 网络监控设备 网络监控设备运行不应影响业务系统的性能和正常运行; 第十九条 网络设备维护 网络设备定期进行维护; 第二十条 售后维保服务 重要的网络及安全设备应采购售后维保服务,并在维保协议过期前及时续保,保证维护服务的持续性; 第二十一条 热备冗余 生产业务网核心网络及安全设备应有热备冗余,防止出现设备单点故障; 第二十二条 补丁部署 对厂家提供的网络和安全设备的升级补丁安装采取谨慎和必要的原则,需综合分析补丁的紧急程度、现有设备的运行环境、风险程度,并做严格的测试,并在对相关设备配置及数据做好备份工作后方可部署补丁。 第二十三条 维护服务 供应商对网络设备或安全设备维护时,必须由网络管理人员或安全员在场,双方共同进行,必要时,可要求供应商签订保密协议,并填写相关服务表单。 上海大学信息化工作办公室 2024年3月20日印发 |