第一章 引言

第一條 編寫目的

為了加強信息系統的網絡安全管理，建立健全學校各信息系統的網絡安全管理責任製，提高整體的安全水平👨🏼‍🔬，保證網絡通信暢通和信息系統的正常運營，提高網絡服務質量，特製定本策略🥯。

                   第二章 範圍

第二條 邏輯範圍

本策略邏輯範圍包括生產系統及內部辦公網絡等信息系統的物理資產、軟件資產🍘、數據資產、服務資產等。本策略涉及的工作包括了對所有上述系統的保密性🤏🏿、完整性和可用性的安全管理工作。

第三條 物理範圍

本策略物理範圍包括整個本校和IDC數據中心環境🧑🏽‍🎓。

第三章 網絡與安全設備策略

1.

2.

3.

第四條 網絡地址

網絡地址應事先規劃、統一管理👨🏻‍🏫、分配，網絡管理人員負責建立並及時維護互聯網IP地址，及內網設備IP地址，個人上網用戶使用統一身份認證登錄獲得上網IP地址；

第五條 新設備投運

新設備上線運行🥰，或可能引起網絡中斷的主幹網絡配置工作，需經本校信息化工作辦公室批準，並在盡可能在晚上或非工作日時間操作；

第六條 網絡管理人員

網絡管理人員應根據需要增加、修改或刪除網絡過濾規則，符合數據傳送的保密性🧎🏻‍♀️、可用性，使用最小化規則；

第七條 防火墻

防火墻應根據業務和安全性要求謹慎開啟適當的策略，在不影響正常的業務數據通行的基礎上，最小化開啟必需的端口👮🏼‍♂️；

第八條 網絡及安全設備

網絡及安全設備的配置應遵循最小化原則⛺️，所有不必要的服務都應當關閉。

第九條 網絡使用權限

當發現有損害本校網絡系統的行為發生時🧈，網絡管理人員有權在不事先通知的情況下禁止或限製該教職工或學生使用本校網絡的權限💿，直到該問題的解決⛽️；

第十條 安全隔離

對不同網絡區域應使用防火墻♎️👐🏻、路由器等設備對不同安全等級的網絡進行隔離，實現測試網絡和生產業務網絡的安全隔離🧗🏼‍♂️，低安全等級區域向高安全等級區域的網絡訪問應被嚴格限製🐘，經審批通過後才能夠開通；直接連接互聯網的防火墻應啟用NAT隱藏自有應用系統區域網絡結構；

第十一條 權限賬號

網絡和安全設備配置的管理員權限賬號在技術可行時登錄口令長度應設置為至少12位👲🏽，且至少包含大寫字母、小寫字母、數字🌿、特殊字符中的三種；普通賬號的口令長度應設置為至少8位，且至少包含大寫字母🏷、小寫字母、數字🖊、特殊字符中的兩種；

第十二條 備份

應定期對網絡和安全設備的配置、日誌進行離線備份👩🏼‍🍼，以保證系統的可用性🧘🏼‍♂️🫏，備份數據保留時間不少於6個月🧑🏼‍🔬。

第十三條 漏洞掃描

至少每年對網絡進行漏洞掃描，所發現的網絡系統安全漏洞應及時進行修補。

第四章 網絡訪問控製

第十四條 訪問權限

本校在默認狀態下所有教職工和學生均可以訪問互聯網；

第十五條 公用互聯網

外部人員來訪時，如有需要訪問公用互聯網，必須由接待管理員同意🌩，並為訪客提供互聯網區域的密碼，一般情況下，本校內部網絡不對外部人員開放🤷🏽‍♂️。

第五章 網絡監控管理

第十六條 網絡監控

網絡安全管理人員應通過系統監控、上網行為日誌分析及態勢感知等設備🎾，對校園網的運行情況實施監控，發現異常上網行為立即予以處置。

第十七條 日常巡檢

網絡管理人員及安全擔當應對網絡✊🏼、安全設備運行情況進行日常巡檢並記錄；

第十八條 網絡監控設備

網絡監控設備運行不應影響業務系統的性能和正常運行👟🦸🏻‍♂️；

第十九條 網絡設備維護

網絡設備定期進行維護；

第二十條 售後維保服務

重要的網絡及安全設備應采購售後維保服務，並在維保協議過期前及時續保，保證維護服務的持續性；

第二十一條 熱備冗余

生產業務網核心網絡及安全設備應有熱備冗余，防止出現設備單點故障；

第二十二條 補丁部署

對廠家提供的網絡和安全設備的升級補丁安裝采取謹慎和必要的原則，需綜合分析補丁的緊急程度、現有設備的運行環境、風險程度👊🏿，並做嚴格的測試🕵️‍♀️，並在對相關設備配置及數據做好備份工作後方可部署補丁。

第二十三條 維護服務

供應商對網絡設備或安全設備維護時⛹️‍♂️，必須由網絡管理人員或安全員在場，雙方共同進行❣️，必要時🤼⌛️，可要求供應商簽訂保密協議，並填寫相關服務表單👩🏿‍🎨。

意昂3体育平台信息化工作辦公室             2024年3月20日印發