XX大學信息化建設與管理處

　　第一部分 網絡與信息安全規章制度

　　信息系統防病毒管理規范

　　第一章 總則

　　第一條 網絡中心機房(以下簡稱機房)是XX大學網絡核心設備、應用系統和數據運行、存儲的關鍵部位，為了更好地保障學校網絡互聯、域名服務、辦公自動化、教學科研等工作的順利進行，為科學、有效地管理機房，促進網絡系統安全高效的運行，特制定機房管理制度細則。

　　第二條 本規定適用于XX大學網絡與教育技術中心及其指定的信息系統運維單位。

　　第二章 建立病毒預警機制

　　第三條 制定防病毒的管理制度和操作指南;

　　第四條 設立專門的管理員負責防病毒的管理工作;

　　第五條 管理員要及時了解防殺計算機病毒廠商公布的計算機病毒情報，關注新產生的、傳播面廣的計算機病毒，并知道它們的發作特征和存在形態，及時發現計算機系統出現的異常是否與新的計算機病毒有關;

　　第六條 管理員要及時了解操作系統廠商所發布的漏洞情況，對于很可能被病毒利用的遠程控制的漏洞要及時提醒用戶安裝相關補丁;

　　第七條 對有嚴重破壞力的計算機病毒的爆發日期或爆發條件，及時通知所有相關人員進行相應防范。

　　第八條 如遇病毒安全事故，則按照信息安全事件響應。

　　第三章 防病毒軟件的安裝使用

　　第九條 病毒軟件的部署：

　　應在全網范圍內建立多層次的防病毒體系，要使用國家規定的、服務技術支持優秀、具有計算機使用系統安全專用產品銷售許可證的網絡防病毒產品。

　　業務支持中心負責對網絡與教育技術中心防病毒軟件的部署應該做到統一規劃，統一部署，統一管理。

　　(1) 在Internet出口處部署網關型防病毒軟件，重點要對進入網絡的SMTP郵件進行實時病毒過濾;

　　(2) 在群件系統上部署群件防病毒軟件，對郵件、文檔等進行實時的病毒過濾，防止計算機病毒通過群件服務器擴散、傳播;

　　(3) 在所有的Windows服務器與客戶端中部署病毒實時監控軟件;

　　(4) 服務器和客戶端的防病毒系統必須能夠統一管理，可以統一升級、殺毒、監控。

　　第十條 防病毒軟件的安裝：

　　(1) 對新購進的計算機及設備，在安裝完操作系統后，要在第一時間內安裝防病毒軟件;

　　(2) 沒有安裝防病毒軟件的Windows系統不得接入到生產網絡中;

　　(3) 防病毒軟件的類型遵循統一規劃，不得私自安裝其他類型的軟件。

　　第十一條 防病毒軟件的升級：

　　(1) 病毒特征庫至少要做到每天自動升級檢查，自動部署;

　　(2) 對病毒特征庫的升級情況應該進行手工檢查，將當前版本與軟件廠商在網站上公布的版本進行比較。應該每周檢查一次;

　　(3) 一旦出現傳播速度快，威脅大的新病毒，應該立即進行手工升級。

　　第十二條 防病毒軟件的維護：

　　(1) 防病毒系統管理員負責軟件的總體維護，定期(每天)檢查防病毒服務器端軟件的運轉情況，如有異常及時處理;

　　(2) 各個服務器系統的管理員有責任維護本機防病毒系統的正常運轉，也需要定期對防病毒軟件的升級情況進行監控。如果遇到問題或者病毒報警，與防病毒管理員共同解決。

　　第四章 防范病毒措施

　　第十三條 網絡與教育技術中心要求所有服務器及個人電腦均安裝防病毒軟件，并至少實現由防病毒軟件的服務器端強制所有終端聯網后可以自動實時更新病毒庫。

　　第十四條 操作系統和重要應用的管理員帳號的口令應該具備一定的復雜度，防止被病毒利用;

　　第十五條 關鍵服務器要盡量做到專機專用，不應該開啟任何網絡共享;

　　第十六條 對共享的網絡文件服務器，應特別加以維護，控制讀寫權限，盡量不在服務器上遠程運行軟件程序;

　　第十七條 對于出現的最新病毒，在廠家沒有發布特征庫解決方案之前，要根據病毒自身特點在網關處進行內容過濾;

　　第十八條 在網絡設備上關閉病毒的常用端口;

　　第十九條 IE安全級別設置在中以上，對ActiveX控件要確認安全后才可打開;

　　第二十條 建立網內防病毒技術支持系統，使用電話、郵件等手段對用戶在防病毒方面進行技術支持。

　　第五章 病毒處理

　　第二十一條 隔離受感染主機：

　　當出現計算機病毒傳染跡象時，立即隔離被感染的系統和網絡，并進行處理，原則上不應帶“毒”繼續運行;

　　第二十二條 確定病毒種類特征：

　　采用多種手段確定病毒的類型和傳播途徑，如查看防病毒軟件的報警信息、搜索互聯網相關信息、和防病毒廠商溝通等途徑。對于未知病毒，可以盡快提交給有關部門或廠商;

　　第二十三條 防止擴散：

　　如果出現大面積傳播的趨勢，要根據病毒的傳播形式，采取網絡訪問控制、內容過濾等手段控制病毒的擴散;

　　第二十四條 查殺病毒：

　　盡量使用專殺工具對病毒進行查殺，殺毒完成后，重啟計算機，再次用最新升級的防病毒軟件檢查系統中是否還存在該病毒，如是系統漏洞應及時打上相應補丁，并確定被感染破壞的數據是否確實完全恢復;

　　第二十五條 如果重要數據文件被感染，無法修復，可以請數據恢復的專業人員進行處理。

　　第六章 員工防病毒安全管理

　　第二十六條 重視管理員發布的病毒和補丁通告，提高病毒的防范意識，及時安裝操作系統補丁;

　　第二十七條 只有安裝了防病毒軟件的計算機系統才能夠接入網絡與教育技術中心內部計算機網絡，防病毒軟件必須選擇網絡與教育技術中心統一指定的類型;

　　第二十八條 用戶有協助管理員維護本機系統防病毒軟件的義務，如果防病毒軟件出現工作異常，病毒特征庫過舊(更新時間為兩周前)等問題，應該及時通知管理員進行維護;

　　第二十九條 嚴禁用戶以任何方式卸載防病毒軟件和停止防病毒服務;

　　第三十條 軟盤、光盤等移動媒體，以及外來的系統和軟件，下載軟件等，要先進行計算機病毒檢查，確認無計算機病毒后才可以使用;嚴禁使用未經清查的、來歷不明的軟盤、光盤等;

　　第三十一條 不要閱讀和傳播來歷不明的郵件，用郵件客戶端收取郵件時設置默認為文本方式;

　　第三十二條 如果發現本機有感染病毒的跡象，應立刻通知系統管理員，必要時拔掉網線。

　　第三十三條 定期對所有重要敏感數據進行備份;

　　第三十四條 用戶有義務為自己的電腦設置帳戶口令，口令長度8位以上，不得設置簡單口令;

　　第三十五條 定期對自己的電腦進行殺毒和漏洞掃描。

篇2：大學網站和信息系統安全責任書

　　附件

　　大學網站和信息系統安全責任書

　　根據《中華人民共和國網絡安全法》、《中華人民共和國計算機信息系統安全保護條例》(國務院令第147號)、《計算機信息網絡國際聯網安全保護管理辦法》(公安部令第33號)和《信息安全等級保護管理辦法》(公通字〔2007〕43號)等規定，為加強我校的網絡與信息安全保護工作，由學校網絡與信息安全工作領導小組與學校各網站和信息系統安全責任單位簽訂責任書，明確和落實網站和信息系統安全責任單位的安全管理責任和學校網絡與信息安全工作領導小組的安全監管責任。網站和信息系統安全責任人承諾內容如下：

　　一、高度重視網站與信息系統安全保護工作，按照“誰主管、誰負責，誰運行、誰負責，誰使用、誰負責”的原則，明確責任，落實網站、信息系統各項安全保護措施，保障網站、信息系統的安全穩定運行。

　　二、必須完成互聯網資產自查、清查、所有信息系統遷入學校數據中心、網站遷入網站群系統等工作，納入信息化建設與管理處統一管理。

　　三、制定完善的網絡安全應急預案，定期開展應急演練。對重要數據和系統，建立相應的備份制度。做好技術力量、資源的儲備，應對重大突發事件的發生。

　　四、應配合學校網絡與信息安全工作領導小組、網信部門、公安機關開展安全檢查，并建立重大網絡安全事件(事故)發現、報告、應急處置等工作機制。

　　五、對網站、信息系統安全責任和工作要求不落實的，被不法分子攻擊、篡改及傳播、鏈接有害信息的，學校網絡與信息安全工作領導小組督促相關單位及時整改，情節嚴重的，由公安機關依法追究相關單位及責任人的法律責任，并進行通報。

　　六、本“責任書”簽署后，交由學校網絡與信息安全工作領導小組保存，督促執行。

　　網站和信息系統安全責任單位領導(簽字)：

　　網站和信息系統安全責任單位(蓋章)

篇3：大學信息化校園信息系統規劃建設管理細則

　　大學信息化校園信息系統規劃建設管理細則

　　第一部分 總 則

　　第一條 為了貫徹我校“統一標準、統一規范、統籌規劃、協同建設和統一管理”的信息化建設原則，規范各單位對信息系統的申報，經校信息化建設與管理領導小組批準，特制定本信息系統規劃建設管理細則。

　　第二條 信息化建設與管理處全面統籌我校信息化發展建設規劃，審核信息系統項目申報，制定信息標準、網絡安全等級保護規范、網絡與信息安全管理辦法等。

　　第三條 信息應用系統分為三級：

　　一級為學校公共信息服務系統和平臺。如學校電子郵件系統、域名解析系統、數字化校園數據交換與共享平臺、統一身份認證系統、信息標準管理平臺、網站群平臺、移動服務平臺等，由信息化建設與管理處負責建設維護管理。

　　二級為各單位建設維護的、與單位業務密切相關、面向全校的信息系統。如人事系統、本科教務管理、研究生教務管理、綜合財務、采購系統、科研管理系統、學工系統等。信息化建設與管理處負責協助審核、規范標準、監督實施、上線安全審核及協助驗收。

　　三級為各單位、科研團隊或個人建設維護的、單位內部或小范圍內使用的，不能列入一二級的其他信息應用系統。信息化建設與管理處負責協助審核、指導實施。

　　第四條 學校所有信息應用系統建設項目必須符合學校信息化規劃的要求，要確保在規劃總體框架內實現業務協同。系統建設必須遵循學校制定的信息標準和技術規范;建立與學校數字校園數據交換與共享平臺的數據同步機制，提供標準化的交互接口;通過統一身份認證系統和數據交換平臺，實現各信息應用系統的用戶認證和數據交換共享;共享數據同步至公共數據庫，保證全校數據的唯一性、一致性、完整性、時效性和業務協同。

　　第五條 信息應用系統安全設計必須達到學校網絡與信息安全等級保護要求。應用系統正式上線運行前，必須由國家認定或校方認可的安全評測機構進行安全漏洞掃描、系統配置核查、WEB漏洞掃描及人工滲透測試。通過測試后才能上線。

　　第二部分 項目立項

　　第六條 項目立項

　　(一)年度建設項目。各單位根據本部門業務發展的需要，在整體規劃的框架下，向信息化建設與管理處報送《信息化校園應用系統建設項目申請表》及可行性論證報告。信息化建設與管理處結合信息化校園的整體規劃與本校實際發展的情況，制訂《信息化校園建設項目年度計劃》，提交信息化領導小組研究，校財經委審批。在年度財政預算確定后，將其統一納入年度建設計劃中，實行經費歸口管理。

　　(二)臨時增補項目。需要申報增補項目的各單位，填寫《信息化校園新增業務應用系統申請表》，由單位蓋章，提交給信息化建設與管理處。信息處根據應用系統具體情況，組織學校信息化專家咨詢小組統籌規劃和科學論證后，統一申報項目。由信息化建設與管理處統籌信息化建設經費，具體組織實施。

　　(三)參與信息化校園建設的單位，按照項目的建設要求，與信息化建設與管理處簽訂項目任務書，并指定主要領導為項目負責人，確定項目聯系人負責項目立項、項目建設、項目管理的全過程跟蹤。并充分調動本部門參與人員的積極性，保證項目進度與完成時間。

　　第七條 項目建設經費。信息化校園建設的主要經費來源為學校專項建設經費，統籌安排，統一使用。

　　第三部分 項目建設

　　第八條 項目建設

　　(一)需求調研分析。各單位考察調研信息應用系統實施單位時務必慎重選擇，實施單位應在相關行業處于領先位置，具有成熟的系統產品，積累豐富的實施經驗，具備良好業界口碑;一般須具有相應的計算機軟件研發資質、系統集成資質，能夠提供人員穩定、實力較強、經驗豐富的團隊和良好的后期服務。

　　建設責任單位開展需求分析和業務流程梳理的調研，根據調研結果與業務需求，提出系統需求說明書和開發計劃。建設責任單位主要負責人簽字后，報送信息化建設與管理處。

　　(二)技術方案。建設責任單位根據需求分析，完成系統技術方案，其中技術方案除實現業務需求外，還應該就學校認證集成、信息標準規范、軟件安全規范、保密協議、移動和PC開發規范提出可行方案，由建設責任單位組織論證會，通過后提交信息化建設與管理處審核通過后項目方可實施。

　　(三)項目建設方式。應用系統立項后，建設責任單位結合學校信息化建設實際情況，在需求調研和技術方案的基礎上制訂招標文件。其中招標文件需包含學校統一身份認證集成要求、信息標準規范要求、數據交換規范要求、軟件安全規范要求、保密協議要求、移動和PC規范要求。招標流程按學校招標管理的有關辦法進行。

　　(四)系統開發。開發商(或校內承建單位)根據需求分析，技術方案和開發計劃，嚴格遵照軟件工程規范進行項目系統開發和管理，并與信息化建設與管理處共同確認數據、程序交換接口的開發，按時完成系統開發。其中具體技術規范可詳見《XX大學信息應用系統建設技術規范》。

　　(五)系統部署及試運行。開發商(或校內承建單位)將完成后的、滿足各項設計要求的應用系統進行現場部署，由項目責任單位組織進行系統功能測試、壓力測試，并形成系統測試報告;由信息化建設與管理處組織進行安全掃描，集成規范檢查，并形成安全評估報告、集成規范報告。由信息化建設與管理處審核通過后方可進入試運行。

　　第九條 項目驗收

　　(一)初驗。系統測試通過后，試運行無問題后，開發商(或校內承建單位)向項目建設責任單位提出初驗申請，項目建設責任單位進行初驗，并形成初驗報告。

　　(二)終驗。開發商根據初驗報告進行整改，整改完成之后，可提出驗收申請。驗收由信息化建設與管理處組織專家和項目建設責任單位主要負責人參加。重點針對需求設計、系統測試報告、安全評估報告、集成規范報告、試運行報告和初驗報告進行審核，通過驗收后，方可進入報銷、歸檔流程。

　　第十條 項目文檔

　　項目完成后應建立完整的書面和電子的建設技術文檔，便于運行維護的文檔資料。項目建設責任單位和信息化建設與管理處各保留一套。

　　應具備的文檔有：《需求分析規格說明書》《系統詳細設計說明書》《數據庫詳細設計說明書》《測試計劃與報告》《安全評估報告》《集成規范報告》《安裝部署手冊》《用戶使用手冊》《維護手冊》，如果涉及到數據集成或接口對接，還應有：《數據同步對照與集成》《接口開發與說明》等。視具體項目分析，除上述文檔，還應有《功能函數文檔》以備后續程序員修改、接手和擴展。若是項目重大，需要對文檔召開評審，以評審結果確認文檔是否合格，是否可以歸檔入庫。

　　第四部分 項目管理

　　第十一條 信息化校園的二級應用系統，均由各單位負責管理與維護，設置系統運行負責人，專人與信息化建設與管理處聯絡?？绮块T的綜合應用系統，按照“統一建設，統一管理，分權運行”的原則進行管理。

　　第十二條 信息化校園的各應用系統，原則上均應在XX大學數據中心托管。系統業務的日常管理和維護由責任單位負責，信息化建設與管理處負責軟硬件安全管理與支持。

　　第十三條 信息標準管理

　　XX大學信息標準編碼為學校信息化建設提供編碼規范、數據共享、數據交換、和各類數據應用服務，保障校內各類信息系統的穩定和可靠，有效發揮信息系統作為公共服務體系在教學、科研和管理中的重要作用。各個業務部門制定的業務標準需及時匯總上報。具體管理辦法詳見《XX大學信息標準編碼規范管理辦法》。

　　第十四條 集成管理

　　信息化校園的建設是一個整體，原有系統應積極配合進行系統認證整合和數據集成工作，納入信息化校園基礎平臺統一運行和管理。不能進行整合的，應提供系統接口，實現與信息化校園的連接，并考慮系統的更新改造計劃。具體管理辦法詳見《XX大學信息應用系統集成規范要求》。

　　第十五條 數據管理

　　信息化校園的數據管理按照“誰產生，誰負責”的原則進行，各單位負責的相關應用系統的數據更新、維護、備份均納入本部門日常系統管理范疇，并有義務提供給數據共享中心，根據需要面向全校的應用系統服務。數據共享中心由信息化建設與管理處維護和管理。信息化建設與管理處對共享數據中心的數據進行組織存儲、運行維護、更新、共享等工作，實現對數據資源的有效組織和應用; 對數據和數據庫進行的日常維護與監控、備份與恢復、應急處理和監督管理等。具體管理辦法詳見《XX大學共享數據庫運行管理制度》。

　　第十六條 系統升級

　　信息化校園的各個應用系統，應適應信息技術的發展，逐步安排系統升級，可按照新建項目的流程，向信息化建設與管理處申請納入信息化校園整體建設中進行。

　　第十七條 推廣與培訓

　　一級信息應用系統，即學校公共信息服務系統和平臺，由信息化建設與管理處負責全校范圍的信息化校園的基礎培訓工作。二級信息應用系統，即各單位建設維護的、與單位業務密切相關的信息系統，由各單位全權負責該系統的推廣與培訓工作。

　　第十八條 售后維保

　　信息應用系統驗收通過后，項目實施單位應提供至少一年的免費維護，對于免費期后的升級維護由業務管理單位與實施單位協商，根據情況通過采購中心招標或者其他形式確定。

　　第五部分 其他

　　第十九條 學校對在信息化校園建設中一貫嚴格執行制度，管理嚴格、數據完整齊全、維護優良，并在提高學校管理效率等方面做出貢獻者給予表揚和獎勵。對積極應用推廣、主動采取措施維護系統安全的單位和個人給予獎勵。

　　第二十條 學校對在系統管理和使用過程中不負責任、玩忽職守，造成數據損壞和丟失的個人，按情節輕重、損失大小、態度表現給予處分。

　　第二十一條 本實施細則由信息化建設領導小組負責解釋。實施細則自下發之日起執行。