计算机信息网络安全管理制度.docx
《计算机信息网络安全管理制度.docx》由会员分享,可在线阅读,更多相关《计算机信息网络安全管理制度.docx(10页珍藏版)》请在冰豆网上搜索。
计算机信息网络安全管理制度
罗湖教育区域网及校园网安全运行管理规范
(滨河小学)
罗湖教育区域网和各学校校园网主要是为罗湖区内中小学校、师生、家长、社会提供教育、教学、管理等信息服务的专用网络,为了保证网络的正常运行,发挥应有的作用,网内各学校的管理人员和用户必须遵守下列规定:
一、遵守国家公安部颁布的《计算机信息网络国际互联网安全保护管理办法》和国家信息产业部颁布的《互联网电子公告服务管理规定》《维护互联网安全的决定》
要求各学校组织有关工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。
负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护几个颁布的规定,使他们具备基本的网络安全知识。
加强对信源单位的信息发布和BBS公告系统的审核管理工作,杜绝违犯《管理办法》的内容出现。
严禁发布下列内容的信息,一旦发现从事下列危害信息网络安全纪律的活动,必须保留有关原始记录,在二十四小时内向学校、教育局主要负责领导和当地公安机关报告,进行严肃处理。
(一)煽动抗拒、破坏宪法和法律、行政法规实施;
(二)煽动颠覆国家政权,推翻社会主义制度;
(三)煽动分裂国家、破坏国家统一;
(四)煽动民族仇恨、民族歧视、破坏民族团结;
(五)捏造或者歪曲事实、散布谣言,扰乱社会秩序;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪;
(七)公然侮辱他人或者捏造事实诽谤他人;
(八)损害国家机关信誉;
(九)其他违反宪法和法律、行政法规。
二、加强对网络各级授权栏目管理员和系统管理员的职责教育,不得做下列影响网络信息资源安全的事
(一)XX允许进入计算机网络使用网络资源信息;
(二)未经允许对计算机信息网络功能进行删除、修改或者增加;
(三)未经允许对计算机信息网络中存储、处理或者传输数据及应用程序进行删除、修改或者增加;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)从事其他危害计算机信息网络安全的活动。
如发生上列事件,一经查实将追究责任,对肇事者实行组织处理。
三、各级网络管理员必须遵守的职责以及规范制度
各学校必须落实网络安全第一责任人,一般必须由校长负责,校长要经常重视网络安全工作,安排好本校的各层责任和负责人。
(一)提高安全意识,严格口令及服务器等系统的工作规范
1、采取有效措施,保障主机房空调、UPS、电源等24小时运行工作状态,注意解决电源负荷及插座防火等问题;
2、加强主机房隔离管理,主机房钥匙不得给网络管理员之外的其他人员;禁止非工作人员操纵系统服务器主机,不使用系统主机时,应注意锁屏;每周检查主机登录及日志,及时发现不合法的登录情况;
3、对网络管理员、系统管理员和系统操作员所用口令原则上要求每十五天更换一次,口令要无规则,重要口令要多于八位;
4、加强口令管理,对PASSWORD文件用隐性密码方式保存;每半月检查本地的PASSWORD文件,确认所有帐号都有口令,当系统中的帐号不再被使用时,应立即从相应PASSWORD数据库中清除;
5、ROOT(Administrator)口令只被系统管理员掌握,尽量不直接使用ROOT(Administrator)口令登录系统主机;
6、系统目录应属ROOT所有,应完全禁止其他用户有写权限;
7、对TELNET、FTP到主机的用户进行权限限制,或完全禁止;
8、网络系统管理员、栏目操作员调离岗位时应移交学校的网络拓扑图、校园网主交换机的密码与设置、服务器的超级管理员密码、罗湖网的admin帐号密码,新任管理员应及时对这些密码进行更新。
(二)做好防病毒的工作。
紧密配合落实局网络中心布置的清除病毒的任务。
1、强化每一位电脑使用者都有责任防杀本机计算机病毒责任的教育,注意拷贝转移文件时带来病毒传播的问题,注重经常性的防杀工作。
2、学校网络管理员要经常性检查本校园网内计算机病毒情况,强化全校教职工防病毒意识,布置勤防勤杀工作;
3、掌握计算机病毒暴发信息和病毒特征,及时给计算机打补丁;
4、学习掌握一些基本的排杀毒方法和技巧。
如进入安全模式杀毒、重安装计算机时先断开网络再安装、安装结束时先打上补丁再连接网络、禁用网络邻居、关闭计算机的135、139端口等;
4、利用装置的防病毒软件对校园网内所有中毒的电脑进行彻底排杀。
(三)、采用规范的网络安全技术,防止黑客的攻击威胁
1、学校子网的地址设置必须严格按照局网络中心的统一分配的地址,学校不得任意修改;
2、解决内外网络边界安全,防止外部攻击,保护内部网络;
3、解决内部网安全问题,隔离内部不同网段,建立VLAN;
4、内外网络采用两套IP地址,必要时启用网络地址转换功能;
5、支持安全服务器网络SSN;
6、通过IP地址与MAC地址对应防止IP欺骗;
7、凡装有WINDOWSXP以上的系统,建议启用其系统内装的网络防火墙功能。
(四)加强对师生用户上网安全教育指导和监管
1、学校子网内必须安装网络版防范不良信息的过滤软件系统;
2、加强对学生开放电脑室上网以及全校教职工上网的监管;
3、原则上不提倡用设置“共享文件夹”方式工作,避免通过“网络邻居”的访问;
4、专用的财务工作电脑和重要管理数据的电脑,不要接入网络工作。
(五)强化网络信息发布安全管理
1.罗湖教育网以及校园网站上发布的新闻等必须经授权者来发布;
2.论坛要有专人管理,发现不良信息立即删除,并追究发布人责任;
3.对于有网络管理权限的帐号,必须做到密码定时修改,密码不能过于简单,不能向外人泄露其帐号与密码;
4.严格管理罗湖网社区账号的权限分配。
定时查询本校师生帐号的权限,新闻发布、公文发布权限要经过校领导的批准;
5.各学科网站及其他专题网站的栏目管理员,也要加强责任意识,负责经常检查、审核所管理栏目发表的信息是否健康。
(六)学校网络管理员要及时做好本校所有上网人员帐号的添加、调整处理,完善健全本校师生人员信息资料和特别人员网络授权处理等工作。
(七)自觉接受并配合公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。
附件1:
计算机信息网络国际互联网安全保护管理办法
(1997年12月11日国务院批准1997年12月30日公安部发布)
第一章总则
第一条为了加强对计算机信息网络国际联网的安全保护,维护公共秩序和社会稳定,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和其他法律、行政法规的规定,制定本办法。
第二条中华人民共和国境内的计算机信息网络国际联网安全保护管理,适用本办法。
第三条公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。
公安机关计算机管理监察机构应当保护计算机信息网络国际联网的公共安全,维护从事国际联网业务的单位和个人的合法权益和公众利益。
第四条任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
第五条任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、行政法规的。
第六条任何单位和个人不得从事下列危害计算机信息网络安全的活动:
(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
(二)未经允许,对计算机信息网络功能进行删除、修改或者增加的;
(三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)其他危害计算机信息网络安全的。
第七条用户的通信自由和通信秘密受法律保护。
任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。
第二章安全保护责任
第八条从事国际联网业务的单位和个人应当接受公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。
第九条国际出入口信道提供单位、互联单位的主管部门或者主管单位,应当依照法律和国家有关规定负责国际出入口信道、所属互联网络的安全保护管理工作。
第十条互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责:
(一)负责本网络的安全保护管理工作,建立健全安全保护管理制度;
(二)落实安全保护技术措施,保障本网络的运行安全和信息安全;
(三)负责对本网络用户的安全教育和培训;
(四)对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照本办法第五条进行审核;
(五)建立计算机信息网络电子公告系统的用户登记和信息管理制度;
(六)发现有本办法第四条、第五条、第六条、第七条所列情形之一的,应当保留有关原始记录,并在二十四小时内向当地公安机关报告;
(七)按照国家有关规定,删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。
第十一条用户在接入单位办理入网手续时,应当填写用户备案表。
备案表由公安部监制。
第十二条互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起三十日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。
前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案,并及时报告本网络中接入单位和用户的变更情况。
第十三条使用公用帐号的注册者应当加强对公用帐号的管理,建立帐号使用登记制度。
用户帐号不得转借、转让。
第十四条涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位办理备案手续时,应当出具其行政主管部门的审批证明。
前款所列单位的计算机信息网络与国际联网,应当采取相应的安全保护措施。
第三章安全监督
第十五条省、自治区、直辖市公安厅(局),地(市)、县(市)公安局,应当有相应机构负责国际联网的安全保护管理工作。
第十六条公安机关计算机管理监察机构应当掌握互联单位、接入单位和用户的备案情况,建立备案档案,进行备案统计,并按照国家有关规定逐级上报。
第十七条公安机关计算机管理监察机构应当督促互联单位、接入单位及有关用户建立健全安全保护管理制度。
监督、检查网络安全保护管理以及技术措施的落实情况。
公安机关计算机管理监察机构在组织安全检查时,有关单位应当派人参加。
公安机关计算机管理监察机构对安全检查发现的问题,应当提出改进意见,作出详细记录,存档备查。
第十八条公安机关计算机管理监察机构发现含有本办法第五条所列内容的地址、目录或者服务器时,应当通知有关单位关闭或者删除。
第十九条公安机关计算机管理监察机构应当负责追踪和查处通过计算机信息网络的违法行为和针对计算机信息网络的犯罪案件,对违反本办法第四条、第七条规定的违法犯罪行为,应当按照国家有关规定移送有关部门或者司法机关处理。
第四章法律责任
第二十条违反法律、行政法规,有本办法第五条、第六条所列行为之一的,由公安机关给予警告,有违法所得的,没收违法所得,对个人可以并处五千元以下的罚款,对单位可以并处一万五千元以下的罚款;情节严重的,并可以给予六个月以内停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格;构成违反治安管理行为的,依照治安管理处罚条例的规定处罚;构成犯罪的,依法追究刑事责任。
第二十一条有下列行为之一的,由公安机关责令限期改正,给予警告,有违法所得的,没收违法所得;在规定的限期内未改正的,对单位的主管负责人员和其他直接责任人员可以并处五千元以下的罚款,对单位可以并处一万五千元以下的罚款;情节严重的,并可以给予六个月以内的停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。
(一)未建立安全保护管理制度的;
(二)未采取安全技术保护措施的;
(三)未对网络用户进行安全教育和培训的;
(四)未提供安全保护管理所需信息、资料及数据文件,或者所提供内容不真实的;
(五)对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的;
(六)未建立电子公告系统的用户登记和信息管理制度的;
(七)未按照国家有关规定,删除网络地址、目录或者关闭服务器的;
(八)未建立公用帐号使用登记制度的;
(九)转借、转让用户帐号的。
第二十二条违反本办法第四条、第七条规定的,依照有关法律、法规予以处罚。
第二十三条违反本办法第十一条、第十二条规定,不履行备案职责的,由公安机关给予警告或者停机整顿不超过六个月的处罚。
第五章附则
第二十四条与香港特别行政区和台湾、澳门地区联网的计算机信息网络的安全保护管理,参照本办法执行。
第二十五条本办法自发布之日起施行
附件2:
互联网电子公告服务管理规定
(信息产业部2000年10月8日第4次部务会议通过)
第一条 为了加强对互联网电子公告服务(以下简称电子公告服务)的管理,规范电子公告信息发布行为,维护国家安全和社会稳定,保障公民、法人和其他组织的合法权益,根据《互联网信息服务管理办法》的规定,制定本规定。
第二条 在中华人民共和国境内开展电子公告服务和利用电子公告发布信息,适用本规定。
本规定所称电子公告服务,是指在互联网上以电子布告牌、电子白板、电子论坛、网络聊天室、留言板等交互形式为上网用户提供信息发布条件的行为。
第三条 电子公告服务提供者开展服务活动,应当遵守法律、法规,加强行业自律,接受信息产业部及省、自治区、直辖市电信管理机构和其他有关主管部门依法实施的监督检查。
第四条 上网用户使用电子公告服务系统,应当遵守法律、法规,并对所发布的信息负责。
第五条 从事互联网信息服务,拟开展电子公告服务的,应当在向省、自治区、直辖市电信管理机构或者信息产业部申请经营性互联网信息服务许可或者办理非经营性互联网信息服务备案时,提出专项申请或者专项备案。
省、自治区、直辖市电信管理机构或者信息产业部经审查符合条件的,应当在规定时间内连同互联网信息服务一并予以批准或者备案,并在经营许可证或备案文件中专项注明;不符合条件的,不予批准或者不予备案,书面通知申请人并说明理由。
第六条开展电子公告服务,除应当符合《互联网信息服务管理办法》规定的条件外,还应当具备下列条件:
(一)有确定的电子公告服务类别和栏目;
(二)有完善的电子公告服务规则;
(三)有电子公告服务安全保障措施,包括上网用户登记程序、上网用户信息安全管理制度、技术保障设施;
(四)有相应的专业管理人员和技术人员,能够对电子公告服务实施有效管理。
第七条 已取得经营许可或者已履行备案手续的互联网信息服务提供者,拟开展电子公告服务的,应当向原许可或者备案机关提出专项申请或者专项备案。
省、自治区、直辖市电信管理机构或者信息产业部,应当自收到专项申请或者专项备案材料之日起60日内进行审查完毕。
经审查符合条件的,予以批准或者备案,并在经营许可证或备案文件中专项注明;不符合条件的,不予批准或者不予备案,书面通知申请人并说明理由。
第八条 未经专项批准或者专项备案手续,任何单位或者个人不得擅自开展电子公告服务。
第九条 任何人不得在电子公告服务系统中发布含有下列内容之一的信息:
(一)反对宪法所确定的基本原则的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)损害国家荣誉和利益的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)破坏国家宗教政策,宣扬邪教和封建迷信的;
(六)散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
(八)侮辱或者诽谤他人,侵害他人合法权益的;
(九)含有法律、行政法规禁止的其他内容的;
第十条 电子公告服务提供者应当在电子公告服务系统的显著位置刊载经营许可证编号或者备案编号、电子公告服务规则,并提示上网用户发布信息需要承担的法律责任。
第十一条 电子公告服务提供者应当按照经批准或者备案的类别和栏目提供服务,不得超出类别或者另设栏目提供服务。
第十二条 电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意不得向他人泄露,但法律另有规定的除外。
第十三条 电子公告服务提供者发现其电子公告服务系统中出现明显属于本办法第九条所列的信息内容之一的,应当立即删除,保存有关记录,并向国家有关机关报告。
第十四条 电子公告服务提供者应当记录在电子公告服务系统中发布的信息内容及其发布时间、互联网地址或者域名。
记录备份应当保存60日,并在国家有关机关依法查询时,予以提供。
第十五条 互联网接入服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息,记录备份应保存60日,并在国家有关机关依法查询时,予以提供。
第十六条 违反本规定第八条、第十一条的规定,擅自开展电子公告服务或者超出经批准或者备案的类别、栏目提供电子公告服务的,依据《互联网信息服务管理办法》第十九条的规定处罚。
第十七条 在电子公告服务系统中发布本规定第九条规定的信息内容之一的,依据《互联网信息服务管理办法》第二十条的规定处罚。
第十八条 违反本规定第十条的规定,未刊载经营许可证编号或者备案编号、未刊载电子公告服务规则或者未向上网用户作发布信息需要承担法律责任提示的,依据《互联网信息服务管理办法》第二十二条的规定处罚。
第十九条 违反本规定第十二条的规定,未经上网用户同意,向他人非法泄露上网用户个人信息的,由省、自治区、直辖市电信管理机构责令改正;给上网用户造成损害或者损失的,依法承担法律责任。
第二十条 未履行本规定第十三条、第十四条、第十五条规定的义务的,依据《互联网信息服务管理办法》第二十一条、第二十三条的规定处罚。
第二十一条 在本规定施行以前已开展电子公告服务的,应当自本规定施行之日起60日内,按照本规定办理专项申请或者专项备案手续。
第二十二条 本规定自发布之日起施行。
(完)
附件3:
维护互联网安全的决定
我国的互联网,在国家大力倡导和积极推动下,在经济建设和各项事业中得到日益广泛的应用,使人们的生产、工作、学习和生活方式已经开始并将继续发生深刻的变化,对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。
同时,如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。
为了兴利除弊,促进我国互联网的健康发展,维护国家安全和社会公共利益,保护个人、法人和其他组织的合法权益,特作如下决定:
一、为了保障互联网的运行安全,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:
(一)侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统;
(二)故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害;
(三)违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行。
二、为了维护国家安全和社会稳定,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:
(一)利用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家、破坏国家统一;
(二)通过互联网窃取、泄露国家秘密、情报或者军事秘密;
(三)利用互联网煽动民族仇恨、民族歧视,破坏民族团结;
(四)利用互联网组织邪教组织、联络邪教组织成员,破坏国家法律、行政法规实施。
三、为了维护社会主义市场经济秩序和社会管理秩序,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:
(一)利用互联网销售伪劣产品或者对商品、服务作虚假宣传;
(二)利用互联网损害他人商业信誉和商品声誉;
(三)利用互联网侵犯他人知识产权;
(四)利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息;
(五)在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片。
四、为了保护个人、法人和其他组织的人身、财产等合法权利,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:
(一)利用互联网侮辱他人或者捏造事实诽谤他人;
(二)非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密;
(三)利用互联网进行盗窃、诈骗、敲诈勒索。
五、利用互联网实施本决定第一条、第二条、第三条、第四条所列行为以外的其他行为,构成犯罪的,依照刑法有关规定追究刑事责任。
六、利用互联网实施违法行为,违反社会治安管理,尚不构成犯罪的,由公安机关依照《治安管理处罚条例》予以处罚;违反其他法律、行政法规,尚不构成犯罪的,由有关行政管理部门依法给予行政处罚;对直接负责的主管人员和其他直接责任人员,依法给予行政处分或者纪律处分。
利用互联网侵犯他人合法权益,构成民事侵权的,依法承担民事责任。
七、各级人民政府及有关部门要采取积极措施,在促进互联网的应用和网络技术的普及过程中,重视和支持对网络安全技术的研究和开发,增强网络的安全防护能力。
有关主管部门要加强对互联网的运行安全和信息安全的宣传教育,依法实施有效的监督管理,防范和制止利用互联网进行的各种违法活动,为互联网的健康发展创造良好的社会环境。
从事互联网业务的单位要依法开展活动,发现互联网上出现违法犯罪行为和有害信息时,要采取措施,停止传输有害信息,并及时向有关机关报告。
任何单位和个人在利用互联网时,都要遵纪守法,抵制各种违法犯罪行为和有害信息。
人民法院、人民检察院、公安机关、国家安全机关要各司其职,密切配合,依法严厉打击利用互联网实施的各种犯罪活动。
要动员全社会的力量,依靠全社会的共同努力,保障互联网的运行安全与信息安全,促进社会主义精神文明和物质文明建设。
升级会员 