第一章 总 则

第一条 为全面加强我校网络安全和信息安全，提高学校整体安全防护能力和水平，使我校的网络资源、信息资源得到有效的保护，避免窃密和泄密事件的发生，确保学校各项事业健康有序发展，根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《教育部关于加强教育行业网络与信息安全工作的指导意见》等国家有关法律、法规，结合学校实际情况，制定本办法。

第二条 学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，建立健全信息网络安全责任体系，学校各单位及校内人员依照本办法要求履行网络安全和信息安全的义务和责任。

第三条 本办法适用但不限于我校所有的校园网络、信息系统以及互联网网站技术安全管理工作。

第四条 学校各部门及校内人员应高度重视网络安全和信息安全管理工作，严格执行国家和学校有关于网络安全和信息安全的有关规定及办法，确保学校信息网络安全。

第二章 职责划分

第五条 北京语言大学网络安全和信息化领导小组负责指导全校的网络安全和信息安全管理工作。

第六条 学校主要负责人是学校网络安全和信息安全的第一责任人，分管信息化工作与安全稳定工作的校领导协助主要负责人履行学校网络安全和信息安全责任。

第七条 校内各部门及单位是本单位网络安全和信息安全的责任主体，各单位主管领导（党政一把手）是本单位网络安全和信息安全工作第一责任人，各单位信息网络安全联络人协助主要负责人履行各单位网络安全和信息安全责任，并负责按本办法落实网络安全和信息安全工作。

第八条 信息化办公室是学校网络安全和信息安全归口管理部门，负责统筹学校网络安全和信息安全工作。具体职责包括：

（一）协助北京语言大学网络安全和信息化领导小组，制定学校网络安全和信息安全总体规划、学校网络安全和信息安全规章制度，并组织实施。

（二）依据教育部和北京市有关规定，组织开展信息系统安全等级保护工作；

（三）接收教育部、北京市公安局等上级部门有关学校网络安全和信息安全相关文件,协调并处理与上级网络安全管理部门的关系，协助上级网络安全管理部门在校内进行的网络安全和信息安全相关工作；

（四）负责全校范围内的网络安全和信息安全监督检查工作；

（五）学校有关网络安全和信息安全管理的其他工作。

第三章 信息系统定级、备案与测评

第九条 信息系统建设完成后，应进行信息系统定级备案，定级备案由信息化办公室负责实施，信息系统使用部门配合完成。

第十条 信息化办公室应依据《国家信息系统安全等级保护定级指南》（GBT 22240-2008）对相关信息系统进行定级，明确信息系统的边界和安全保护等级。

第十一条 应以书面的形式说明确定信息系统为相应安全保护等级的方法和理由，形成信息系统等级保护定级报告，根据业务系统的部署情况完成信息系统安全等级保护备案表。

第十二条 信息系统安全级别在二级或二级以上，应由信息化办公室组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和评审，由上级主管单位和安全监控单位进行审定。

第十三条 信息系统定级备案资料完成后，由信息化办公室向相应的公安机关进行备案。

第十四条 对安全保护等级为二级或二级以上的信息系统，信息化办公室应聘请第三方安全测评机构（具有国家相关技术资质和安全资质）开展等级测评工作，第三方安全测评机构提交信息系统相应等级保护报告，由网络安全工作组审查并备案。

第十五条 系统发生变更时，及时对系统进行等级测评，发现级别发生变化的及时调整级别并进行安全改造，发现不符合相应等级保护标准要求的及时整改。

第十六条 信息系统定级备案测评相关的资料文档由信息化办公室统一保存管理。

第十七条 信息系统建设达到学校安全等级要求后，经信息化办公室核准接入校园网。

第四章 介质安全

第十八条 存储介质是指记录存储数据的设备，主要包括磁带、磁盘、光盘、闪存、硬盘、U盘等，存储介质保存环境应保证具有足够的防火、电力、温度、湿度及其他保护措施。

第十九条 存储介质应分类标识，磁带、磁盘及其它存储介质等需有不同的分类标签，并区分原件与拷贝件，存储介质标识必须贴在表面容易看到的地方；用于数据存储、备份或灾难恢复的存储介质应存放在一定安全级别的区域，当无人看管时，要将这些介质存放在保密柜中。

第二十条 对含有敏感信息的存储介质，每件表面均需要注明当前介质编号，妥善保管，并控制授权范围，不允许将其与非敏感信息的存储介质混放在一起。

第二十一条 信息系统相关各部门应通过《存储介质管理登记表》对介质进行登记管理，并定期对介质目录清单进行盘点，填写《介质盘点记录表》。

第二十二条 各类介质管理的责任人负责对介质的访问进行控制，对磁带、磁盘和文档库等介质的访问必须严格限制。

第二十三条 安装和使用存储设备时必须防止非授权的访问。

第二十四条 所有含有内部信息的存储介质对外部人员都是保密的，严禁员工、合作方或其他人员带走。

第二十五条 重要介质中的数据和软件应采取加密存储。

第二十六条 存储介质上删除敏感信息后，必须执行重复写操作防止数据恢复；任何包含敏感信息的中间存储介质，都需要销毁其中信息。

第二十七条 当介质损坏需要送出维修或销毁时，应首先清除其中的敏感数据，以防止内部信息的非法泄漏。

第二十八条 如果将存储介质给第三方使用，需要各部门领导确认敏感信息已经删除。

第二十九条 应对存储介质的销毁做统一管理，填写《存储介质处理记录表》，并由信息化办公室做集中报废处置。

第三十条 对含有敏感信息的存储介质不再使用时，应与安全工作人员联系，销毁这些敏感信息存储介质。

第三十一条 含有硬拷贝形式的敏感信息存储介质的报废处理方式为切碎或者烧毁。

第五章 设备安全

第三十二条 所有硬件设备采购、变更、废弃时，信息化办公室资产管理员必须首先在资产清单进行记录和描述。

第三十三条 设备在到货验收或配置之后，必须由信息化办公室资产管理员，做出相应的标识，直接体现在设备上醒目的位置。

第三十四条 处理核心数据信息的小型机、服务器、交换机、路由器、安全设备等重要设备应当放置在专用的带锁的机柜中。

第三十五条 机房设备一般不得外借，因工作原因确需外借时，须经信息化办公室领导批准，并填写《机房设备带出登记表》，归还时应检验设备是否完好，设备有转移要及时做好固定资产转移手续。

第三十六条 信息处理设施应根据其重要程度不同，设置不同的访问控制权限，仅允许对于设备的必要访问。

第三十七条 存放处理核心数据信息的小型机、服务器、交换机、路由器、安全设备等重要设备应当减少对其设备直接物理访问，并确保周边物理环境的安全性，同时采取安全监控措施，包括对门禁系统的监视，必要时对已授权的内部访问进行监视。

第三十八条 未经批准，严禁在机房内擅自对设备进行操作，包括：

（一）关闭、启动、更换路由器、交换机、服务器以及网络安全设备等；

（二）调整和更改网络系统、网络设备、服务器、操作系统的配置参数；

（三）添加、更换和拆卸硬件设备；

（四）增加、撤除和调整网络设备和服务器的网络跳线和电源线；

（五）安装、下载、使用各种扫描、攻击、探测、侦听等安全类和黑客类软件；

（六）在域控制器上生成域用户名，在成员或独立服务器上生成服务器本机用户名；

（七）调整机房内报警、空调、通风系统参数。

第三十九条 信息系统所有硬件设备均应指定维护管理人员，由管理人员负责对所辖设备建立日常维护工作计划，并根据供应商推荐的服务时间间隔对设备进行检查、监控和维护；

第四十条 设备维护工作应按照各类设备的日常维护安全操作规程进行操作，控制关键设备（包括备份和冗余设备）的启动、停止、加电和断电等操作。

第四十一条 要注意保存《设备维修申请表》，包括所有可疑和实际的故障记录，以及预防和维护过程中的记录。

第四十二条 设备需要断电、停机检查时，应向相关部门主管领导申请，填写《重要操作申请表》。操作前需要保存并备份设备中的数据和配置，方可执行断电操作，并做详细记录；影响多个核心业务系统运行的加电、断电操作应由网络安全工作组领导进行审批，批准后方可操作。

第四十三条 建立设备维护档案，详细记录设备的基本情况（包括升级、更新情况等）、故障现象、故障分析、维修过程、处理结果等内容。

第六章 网络安全

第四十四条 网络访问控制的授权：只有网络管理员才有权登录网络核心设备，发生人员变更后，应及时更改网络设备账户和口令设置。

第四十五条 网络管理员应保持拓扑结构图与现行网络运行环境的一致性，拓扑图上包含信息应包括网络设备、安全设备的型号、名称以及与链路的链接情况等信息。

第四十六条 通过必要的安全技术措施对网络信息进行统一管理，包括信息资产管理、网络拓扑管理、信息资源管理、网络异常流量管理、安全事件监控管理、安全策略管理、安全预警管理等网络信息。

第四十七条 网络管理员应监控网络的运行状况，发现影响较大的网络故障时，应按照《北京语言大学网络与信息系统安全应急响应管理规定》协调处理并及时上报。

第四十八条 网络设备及安全设备中的运行配置文件和启动配置文件应该随时保持一致，网络设备及安全设备的日志应转发到审计系统保存，保存至少半年内的相关安全日志。

第四十九条 定期对网络设备和安全设备进行安全检查和扫描，及时发现安全隐患，升级设备修复安全漏洞。

第五十条 网络管理员应加强网络安全监控管理，监测项目包括通信线路状态、网络设备运行状况、网络流量、网络基础服务等，及时检查网络安全隐患，发现安全事件。

第五十一条 应对网络区域中的非法访问部署检测和审计措施，能够做到安全事件可监控、可追踪和可审计，形成安全审计报告，及时发现安全隐患，调整安全策略消除安全风险。

第五十二条 应建立全面的安全监控中心，对信息资产的运行状态、安全状态、告警信息等进行集中管理，关联分析。

第七章 应用系统安全

第五十三条 北京语言大学应用系统的安全管理工作应根据“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，各个部门按照应用系统安全管理规定开展应用系统安全管理工作。

第五十四条 北京语言大学应用系统运维管理应遵照以下安全原则：

（一）最小权限原则：指系统只能授予应用程序和用户必要的权限，而不能授予额外的权限；

（二）最少服务原则：指在保证系统和应用运行正常的前提下，关闭其它无关的系统服务和网络服务。

第五十五条 各类系统应分别建立系统管理、安全管理和安全审计三类管理用户，并依据“权限分离”的原则分配相应的管理权限，各类管理人员只能进行职责权限下的管理维护操作，不得越权访问。

第五十六条 为各类用户分配的权限以满足其所在岗位最低工作要求为准。

第五十七条 应用系统安全管理员应定期检查用户的账号及其权限，及时根据用户的安全责任和工作要求对用户身份和相应的权限进行变更。

第五十八条 应依据应用系统操作手册对系统进行维护，严禁进行未经授权的操作，安装各类应用软件时遵从最小化安装原则，关闭和卸载与业务运行无关的功能和服务。

第五十九条 针对数据库数据的读取、修改、查询，由申请人向业务部门领导提交申请，经业务部门领导审批通过后，数据库管理员方可对数据库进行操作。操作结束后，数据库管理员通过邮件向业务部门负责人说明处理细节及处理结果。

第六十条 信息系统安全管理员应定期进行漏洞扫描，以及时发现系统漏洞，扫描完毕后，应会同应用系统管理员分析扫描结果，然后针对扫描分析结果进行适当的处置，对漏洞及时进行修补。

第六十一条 补丁管理就是通过技术和管理两种手段，对应用系统软件进行安全补丁的管理与维护，从而保证系统的即时安全性，具体实现方式包括以下几点：

（一）应及时跟进各产品的安全漏洞信息和产品厂商发布的安全补丁信息；

（二）根据漏洞的严重程度补丁分为三个级别：紧急补丁、重要补丁和一般补丁；紧急补丁必须在15天内完成加载，重要补丁必须在一个月内完成加载，一般补丁要求六个月内完成加载，对于不能加载补丁的情况，一定要采取其他的有效安全控制措施；

（三）必须从各产品厂商官方渠道获取安全补丁，补丁加载应制定严格的计划；补丁加载之前必须经过严格的测试，测试环境与生产环境尽可能一致，严禁未经测试直接在生产系统上加载补丁；

（四）补丁功能性测试主要测试补丁是否对安全漏洞进行了修补；补丁加载必须安排在业务比较空闲的时间进行，对补丁加载的操作过程必须按照计划严格操作，并详细记录；

（五）系统管理员对加载补丁后的系统必须按照计划和验证方案进行测试验证，确保补丁加载后不影响系统的性能，确保各项业务操作正常；

（六）信息系统安全管理员每季度向各系统管理员下发补丁升级自查表，检查系统的补丁升级情况。

第六十二条 安全审计是通过对用户行为和操作、网络连接等应用审计内容进行统计分析，及时检查安全隐患，发现安全事件。

第六十三条 为了能够发现和跟踪系统中发生的各种可疑事件，各个应用系统都需要启用安全审计功能，以日志的形式记录用户登录系统、文件访问操作、账户修改、访问连接等行为的过程和结果信息，做到发生可疑事件时有据可查。

第八章 防病毒安全

第六十四条 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

第六十五条 安全管理员防病毒职责：

（一）负责对信息数据中心各信息系统内的所有服务器及客户端防病毒软件的统一安装和统一管理，更新病毒库,同时下发防毒策略，定期进行全网扫描；

（二）负责对数据中心各信息系统进行防病毒监控，及时发现防病毒预警，由网络管理员协助对防火墙和路由等设备进行配置；

（三）定期检查恶意代码库的升级情况，对截获的危险病毒或恶意代码及时进行分析处理，并形成书面的报表和总结汇报；

（四）负责数据中心各信息系统病毒事件的协调处理和及时解决。

第六十六条 各信息系统应统一规划、统一部署具有国家许可的正版计算机防病毒系统软件，信息系统中所有服务器和终端必须安装配发的计算机防病毒软件，否则不允许连入网络和处理工作。

第六十七条 各信息系统内所有的服务器和计算机终端应安装信息化办公室要求的网络防病毒软件，并对安装情况做相应记录，使用各种介质复制或者从网络上下载文件到计算机上，应首先进行病毒查杀。

第六十八条 各信息系统内的所有服务器和计算机终端应使用信息化办公室下发的正版软件，禁止随意安装软件，防止其中可能存在恶意软件。

第六十九条 各信息系统内的服务器、桌面计算机及便携式计算机一旦发现被计算机病毒感染，应先将计算机与网络隔离，确保病毒库已更新至最新版本,并及时进行病毒查杀处理；当情况严重且无法在规定时限内紧急恢复或有效控制时，应按照《北京语言大学网络与信息系统安全应急响应管理规定》及时上报启动相应应急响应预案，应注意保留防病毒系统记录。

第七十条 应定期执行计算机病毒检测、清除工作，检测应扫描所有的计算机硬盘分区，以发现硬盘中可能存在的病毒或异常情况，同时将检测结果进行集中保存，作为后期检查的依据。

第九章 身份鉴别

第七十一条 严格限制创建共用账号，且共用账号不得具有访问敏感信息以及“写”和“执行”的系统权限。

第七十二条 用户账号的权限设置应遵循“最小化”原则，即给用户能完成工作的最小权限。

第七十三条 特殊原因需要创建临时用户账号时，由项目负责人向应用系统管理员提出书面申请，经核准后，再由系统管理员统一创建（临时用户账号的密码由项目负责人统一指定和保管）；严禁在重要业务系统中创建临时用户或测试用户，账户到期后，应立即删除临时用户账号。

第七十四条 基础运行环境（包括网络系统、安全系统、主机服务器操作系统、数据库、公共平台、中间件等）和应用系统的管理员密码设置要求如下：

（一）长度不得少于8个字符；

（二）复杂度要求：必须是大小写字母、数字和符号的3种或3种以上组合；

（三）修改周期：不低于180天； 

（四）密码修改：再次修改的密码应确保未使用最近5次内的重复的密码。

第七十五条 普通终端用户密码设置要求如下：

（一）长度不得少于8个字符；

（二）复杂度要求：至少达到大小写字母和数字的2种或2种以上组合；

（三）修改周期：不低于365天； 

第七十六条 密码设置应避免以下选择：

（一）亲戚、朋友、单位等的名字，生日、电话号码等数字；

（二）一串相同的数字或字母；

（三）明显的键盘序列；

（四）所有上面情况的逆序或前后加一个数字；

（五）常见的词语或字典词语。

第七十七条 应避免在纸上记录密码，或以明文方式记录存储在计算机内；应采取有效措施，保证用户密码在传输和存储时的安全，例如对密码进行加密传输和保存。

第七十八条 发生以下情况时，相关密码必须立即更改并做好记录：

（一）账号使用人由于工作的变动不再需要访问权限；

（二）工程施工、厂商维护完成；

（三）账号使用者违背了有关密码管理规定；

（四）一旦有迹象表明密码可能被泄露；

（五）发生其他情况，由上级主管人员认为不应再具有访问权限的。

第七十九条 对于自动生成密码的系统，必须确保密码生成算法的可靠性和安全性以及密码生成“种子”的随机性。

第八十条 用户严禁向任何人公开其本人或他人的账号和密码的全部或部分，特别是拥有管理员权限或超级管理员权限的用户，严禁以任何明文格式存储账号和密码。

第八十一条 严禁通过公共网络（例如，互联网、公共电话网等），以明文格式传送账号和密码。

第八十二条 信息安全管理员必须设定所有用户登录尝试的次数限制，对于信息安全管理员和系统管理员账号，登录尝试次数为3次。对于其他账号，登录尝试次数为5次，一旦在一定时间内使用同一个用户账号的失败登录超过限定次数，该账号会被自动禁止，直到重新激活该用户账号。

第八十三条 信息安全管理员在发现任何企图非法使用某用户账号的情况时，必须强制该用户更改密码。

第八十四条 系统管理员应开启系统内建的用户账号、用户权限管理和登录管理的审计功能，并对其生成的日志文件进行妥善保管，以确保日志文件的安全性和完整性。

第十章 数据备份与恢复

第八十五条 信息安全管理员根据业务需求制定相关数据保护的总体规划、预算与建设方案，并实施，负责数据备份系统的运行和维护工作。

第八十六条 信息系统负责人根据具体情况，定期对备份数据的机密性、完整性和可用性进行测试，填写《数据备份登记表》和《备份数据测试、恢复登记表》。

第八十七条 信息系统数据备份策略的制定原则如下： 

（一） 所有涉及的备份数据应复制两份，分别存放在本地和异地备份介质库房；

（二） 各业务部门科室每日对变更的业务数据进行备份，保存期限最少为一个月；

（三） 各业务部门科室每月对业务数据进行完整备份，保存期限至少为半年；

（四） 系统发生重大变更或系统开关机前后，需进行完整的系统备份（或系统全备份）；

（五） 数据备份工作必须由管理信息部指定人员负责；

（六） 信息安全管理员定期（每一年）对备份策略进行评估并抽验库存备份介质，以确保库存备份介质的可用性。

第八十八条 数据备份需求主要包括以下内容：

（一） 备份项目和名称，数据备份目的和要求；

（二） 备份目标机器（机器名称和类型、网络地址）；

（三） 备份内容（目标、目录、盘符、格式等）；

（四） 备份方式（全备份、增量备份、差分备份）及数据量估算；

（五） 备份执行时间和周期；

（六） 备份介质类型、循环周期和保存期限；

（七） 备份介质的存放地点（本地或异地）。

第八十九条 数据恢复测试在信息安全管理员的协同下由数据库管理员每年至少进行一次，数据恢复测试不得影响业务系统、生产环境的正常运行。

第九十条 数据管理员在进行数据恢复测试时，须确认备份数据的可读性和完整性，以及恢复方案的可执行性，并填写测试记录，编写恢复性测试报告，签字确认并存档。

第十一章 附 则

第九十一条 本管理办法条款的解释权归信息化办公室。

第九十二条 本规定自公布之日起执行。原有《北京语言大学信息系统安全管理办法》（校网技字〔2015〕4号）作废。

信息化办公室

2019年3月