一、总则

1、为加强网络系统的安全性，降低网络系统存在的安全风险，确保网络系统安全可靠地运行，特制订此制度。

2、本制度适用于牡丹江医学院。

3、信息系统网络安全实行统一管理，分级负责的原则。牡丹江医学院负责制订网络管理的基本原则和规定，网络系统的每个部分都必须严格遵守。牡丹江医学院现代教育技术中心是信息系统网络安全的主管职能部门，对信息系统网络安全进行统一管理。

4、网络系统信息资源严格按牡丹江医学院的有关规定进行管理。涉及国家秘密的信息、部门秘密信息和不宜公开的内部信息，均不得使用国际互联网传输或利用已联入互联网的计算机系统进行处理或存储。

5、进入信息系统的信息（数据）的安全保密工作由信息管理者负责，严格按照“谁使用、谁负责”的原则执行，各自做好本职内的安全保密工作。

6、现代教育技术中心负责为用户统一分配IP地址。电子邮箱按部门分组，统一规划。在网络上需要使用公共计算机资源（大、小型计算机，大型打印机，存储系统等设备）的用户需办理“牡丹江医学院计算机网络资源申请”，由现代教育技术中心安排实施。

7、除网络管理人员，其他用户不得以任何方式试图登录网络设备、服务器进行修改、设置及删除操作。

8、重要网站及数据库应用系统的授权用户，对用户名及密码要严格保密，不得上传非法文件，严格履行执责，保证应用系统正常运行。

9、用户应当遵守国家有关法律、行政法规，严格执行国家安全保密制度；不得利用互联网从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、查阅、复制和传播妨碍社会治安和淫秽色情等有害信息。

二、网络设备管理

1、现代教育技术中心安排专人负责网络运行日志、网络监控记录的日常维护和报警信息分析和处理工作。对重要网段、主机采取ARP绑定，重要端口MAC绑定措施。

2、不允许单独开通对外线路，定期检查，及时切断。

3、为网络设备管理员分配工作所需的最小权限，控制其对网络设备配置的更改权限。

4、网络设备的登录口令必须足够强壮难以被破译。

5、网络设备的当前配置文件必须在主机上有备份文件。

6、网络设备的拓扑结构、IP地址等信息在一定范围内保密。

7、网络整体的拓扑结构需进行严格的规划、设计和管理，一经确定，不能轻易更改。

8、定期检查网络设备的日志，及时发现攻击行为。

9、网络设备的软件版本应该统一升级到较新版本。

10、网络设备的安装、配置、变更、撤销等操作必须严格按照相关流程进行。

11、网络管理员应每季度对网络进行漏洞扫描，并与系统管理员、安全管理员一起进行扫描结果的分析。如发现重大安全隐患，应立即上报。

12、网络管理员进行漏洞扫描前需提出申请，详细描述扫描的技术、范围、时间及可能的影响，在获得现代教育技术中心领导审批后，方可执行。

13、对重要网段要进行重点保护，要使用防火墙等安全设备以及VLAN或其他访问控制方式与技术将重要网段与其它网段隔离开。

14、网络结构要按照分层网络设计的原则来进行规划，合理清晰的层次划分和设计，可以保证网络系统骨干稳定可靠、接入安全、便于扩充和管理、易于故障隔离和排除。

15、网络管理员定期对网络的性能分析，以充分了解系统资源的运行情况及通信效率情况，提出网络优化方案。

16、按照最小服务原则为每台基础网络设备进行安全配置。

17、网络连接管理过程中，需明确网络的外联种类，包括互联网、合作伙伴企业网、上级部门网络和管理部门网络等，根据外联种类确定授权与批准程序，保证所有与外部系统的连接均得到授权和批准，并具备连接策略及对应的控制措施。

18、除网络管理员特别授权外，员工内严禁拨号上网。经授权的拨号上网，必须首先与内部网络断开。

19、网络互连原则：

a)与互联网的连接中，在互连点上的防火墙上应该进行IP地址转换；

b)任何部门不得自行建立新的信息平台，如确有需求，需经由相关部门认证批准后实施；

c)互联网接入必须有防火墙等安全防范设备。未经许可，任何部门或个人不得私自在网络内新增与互联网的连接。

20、办公网络中不同业务的网络之间互连原则：

a)互连点上必须实施安全措施，如网络访问控制列表、安装防火墙等；

b)网络之间互连点采取集中原则，并考虑安全冗余；

c)网络互连点及安全设备必须纳入到网管体系的监控。

三、用户和口令管理

1、要求对网络设备的登录帐号的设置权限级别，授权要遵循最小授权原则。

2、保证用户身份标志的唯一性，即不同的个人用户必须采用不同的用户名和口令登录，并且拥有不同的权限级别。不同用户的登录操作在设备日志文件上均有记录，便于追查问题。

3、网络设备的直接责任人拥有超级用户权限，其他网络管理员按照工作需求拥有相应的用户权限．网络管理员不得私开用户权限给其它人员。

4、用户的口令必须采用数字、字母、特殊符号组成，长度至少为8位，每三个月更换一次，不可重复使用以前的密码。

四、配置文件管理

1、配置文件存储着网络设备的所有配置信息。网络设备中的运行配置文件和启动配置文件应该随时保持一致。

2、所有的网络配置文件有文档记录，网络设备的配置文件需要定期备份。

3、通过TFTP或FTP的方式可以将设备的配置文件下载到本地主机上作备份文件以防不测，在设备配置文件损坏时可再通过TFTP或FTP的方式从本地主机上下载到设备的FLASH中恢复备份的配置文件。

4、网络设备的拓扑结构、IP地址等信息文档属于机密信息，应该在一定范围内予以保密。

5、网络配置信息的修改要获得各业务处室安全管理员的批准方可进行。

6、各业务处室定期对网络配置信息是否符合当前网络状况进行检查和分析，并做详细记录。

五、日志管理

1、网络设备需开启日志功能，日志可以直接登录到设备上查看，也可以设置将日志发送到某台指定的UNIX主机上查看。日志中具体包含的内容可以在命令行配置方式下设定。

2、在日志文件中可以查看到曾经登录过该设备的用户名、时间和所作的命令操作等详细信息，为发现潜在攻击者的不良行为提供有力依据。

3、网络管理员必须定期查看所管设备的日志文件，发现异常情况要及时处理和报告上级主管，尽早消除网络安全隐患。

4、网络管理员要定期对日志文件进行备份。日志文件保存时间应在6个月以上。

5、对日志文件的访问要获得各业务安全管理员的批准。

六、设备软件管理

1、网络设备的软件版本（IOS或VRP等）较低可能会带来安全性和稳定性方面的隐患，因此要求在设备的FLASH容量许可的情况下统一升级到较新的版本。必要情况下可升级设备的FLASH容量。

2、定期为网络设备打补丁，保证网络设备正常运行。

七、设备登录管理

1、网络设备一般都具有允许远程登录的功能，远程登录给网络管理员带来很多方便，但同时也带来一定的网络安全隐患，远程管理时需采用加密方式管理。

2、通常在网络设备上可以设置相应的ACL限定可远程登录的主机在指定网段范围内，拒绝部分潜在的攻击者，保证网络安全。

8、VPN管理规范

1、需要接入信息内网的用户必须重新提交申请，申请须由主管领导签字并加盖单位公章，同时上交原有密钥，新证书仍使用原密钥存储，丢失和损坏的密钥将不再进行更新。

2、新密钥有效期为三年，到期需重新申请。

3、用户使用时必须对密钥密码进行更换，密码应满足复杂度要求（8位以上，字母、数字和特殊字符两者以上组合，不易被猜测）

4、4VPN密钥只能在本人机器上使用，必须安装防病毒软件，及时更新系统补丁，不能随意在网上下载软件和接收邮件，以避免黑客、木马以及病毒的攻击。

5、VPN用户不能使用网络扫描软件以及黑客软件对网络进行扫描和攻击或有意传播病毒，一经发现将严肃处理。

6、vpn密钥应妥善保存，专人负责，避免丢失。一旦丢失，应立即上报。

九、计算机上网管理规定

1、牡丹江医学院的计算机业务网络分为涉密网和非涉密网，各单位单位均应严格按照本规定要求使用计算机网络。

2、涉密网是牡丹江医学院内部的涉及国家秘密信息处理和信息传输并支持办公自动化（OA）系统运行和独立专网，该网与因特网实行物理隔离。内部凡需处理、传输和查询涉密信息的计算机应连入涉密网。

3、非涉密网是牡丹江医学院的非涉及国家秘密统计业务处理和信息传输的主干网，内部各单位凡符合网络前台环境的计算机均可连入该网。

4、因特网是牡丹江医学院对外发布信息的窗口和采集企业信息的重要通道。内部各部门确因工作需要连接因特网的计算机批准后可通过非涉密网接入因特网。

5、需连入涉密网的涉密计算机，经本单位领导确认后，应在现代教育技术中心领取“牡丹江医学院涉密网注册申请表”，“牡丹江医学院涉密电子邮件注册申请表”，经保密委员会审批，报办公室备案后与现代教育技术中心签写“牡丹江医学院用户入网责任书”。

6、业务网由现代教育技术中心统一管理，统一分配IP地址。在业务网络上需要使用公共计算机资源（大、小型计算机，大型打印机，存储系统等设备）的用户需办理“牡丹江医学院计算机网络资源申请”，由现代教育技术中心安排实施。

7、用户应当遵守国家有关法律、行政法规，严格执行国家安全保密制度；不得利用国际互联网从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、查阅、复制和传播妨碍社会治安和淫秽色情等有害信息。发现有害信息应当及时向有关主管部门报告，并采取有效措施，不得使其扩散。

8、对已感染病毒的计算机必须马上断开网络，进行杀毒，由现代教育技术中心确认病毒已清除后才能重新上网。

9、用户不能利用网络资源进行炒股票，玩游戏等与工作无关的事情。

10、上网用户应当服从网络安全管理部门的管理，不得擅自进入未经许可的计算机系统，篡改他人信息；不得在网络上散发恶意信息，冒用他人名义发出信息，侵犯他人隐私；不得制造、传播计算机病毒及从事其它侵犯网络和他人合法权益的活动。

11、本规定与在此之前的有关规定发生矛盾时，以本规定为准。

12、现代教育技术中心定期审计、检查上网用户的使用情况。对于用户违反入网责任书规定的上网行为，依据有关规定进行处理。

十、网络准入管理

1、禁止无线路由和“随身wifi”设备接入内网。确实有工作需要通过无线设备访问互联网的，以部门为单位提出申请，领导签字，报现代教育技术中心备案。

2、要求安装杀毒软件的计算机终端，才可以访问互联网。

十一、附则

1、本制度的解释权归牡丹江医学院。

2、本制度自发布之日起生效。