成都市教育计算机信息安全管理细则

第一章   总     则

第一条  本办法规定了成都市中小学计算机信息系统安全在规划建设使用管理过程中应执行的安全项目和操作规程。

第二条  本办法适用于成都市行政区划范围内的所有中学、小学、师范、职中的计算机信息安全，是计算机信息系统安全规划、建设、监理、验收的依据。

第三条  教育计算机信息安全管理应本着积极预防、突出重点、狠抓落实的原则。

第四条  教育计算机信息系统应严格按照国家教育部、省教育厅和公安部门的有关规定进行管理，严格执行安全保密制度，对所提供的信息负责。不得利用网络从事危害国家安全、泄露国家秘密等犯罪活动，不得制作、查询、复制和传播有碍社会治安的信息。必须接受并配合国家有关部门、各级网络中心依法进行监督检查。

第五条  利用互联网实施违法行为，构成犯罪的，依照刑法有关规定追究刑事责任；违反社会治安管理，尚不构成犯罪的，由公安机关依照《治安管理处罚条例》予以处罚；违反其他法律、行政法规，尚不构成犯罪的，由有关行政管理部门依法给予行政处罚；对直接负责的主管人员和其他直接责任人员，依法给予行政处分或者纪律处分。 利用互联网侵犯他人合法权益，构成民事侵权的，依法承担民事责任。

第六条  用于重要部门的计算机系统投入运行前，应报请教育信息技术中心的专家组进行安全检查。

第二章   机构人员职责

第七条  机构

第一款  建立安全组织并制定学校计算机信息系统的安全规划和实施计划。

第二款  单位应将使用计算机信息系统的情况报公安部门计算机监察部门备案，取得《成都市计算机信息系统安全使用合格证》。

第三款  单位按分层负责的原则，建立信息安全保障责任制。

第八条  人员

第一款  单位应有主要领导分管计算机信息系统的安全工作，

第二款  单位有计算机信息系统安全负责人和安全管理员，负责系统管理维护，制定计算机信息系统的安全策略、风险防范。

第三款  各单位的计算机信息系统管理负责人和安全管理员，应经成都市公安局计算机安全应用知识的培训，取得《四川省计算机安全应用资格证》。应用人员应经过安全培训，具有较好的计算机信息系统安全意识。

第四款  安全管理员应具有相应的安全意识、法律观念、技术知识和管理水平，能预防、处理或针对计算机信息系统进行的违法犯罪活动，能预防、处理各种安全事故，能进行软件系统的正常升级维护。

第九条  制度

第一款  单位应建立计算机信息系统安全管理制度，张贴上墙并严格执行。

第二款  必须制定有关电源设备、电气设备、防水防盗消防等防范设备的管理规章制度，确定专人负责维护和制度实施。

第十条  各单位有建设计算机信息安全系统的专项经费，并认真有效地管理已有的计算机信息系统财产，有计划有步骤的添置相应的软硬件资源。

第三章   网络安全

第十一条  外部信息接口

第一款  各单位连接的外部信息接口必须符合《计算机信息网络国际连网出入口信道管理办法》、中国公用计算机互联网管理办法。

第二款  各单位的计算机和其他通信终端进行国际联网，必须使用国家公用电信网提供的国际出入的信道，必须通过接入网络进行。可以通过专线或通过公用电信交换网进入接入网络。

第十二条  日志管理：计算机系统必须有完整的日志记录：用户名、节点名、终端点、登录时间、操作的数据或程序名、操作的类型、修改前后数据值、访问的网站名、访问者的ＩＰ等。记录日志应完整而连续，保存至少3个月。

第十三条  数据备份

第一款  安全管理员要审阅每天的系统报告，包括控制台操作记录、系统日志、系统报警记录、系统活动统计及其他与安全有关的材料。应定期用存档的源程序与现行运行程序进行对照，以有效的防止对程序的非法修改。应实时检查数据库的逻辑结构、数据元素的关连及数据内容。对于从日志或实时终端上查获的全部非法操作都应加以分析，找出原因及对策。

第二款  必须对系统口令的查声、登记、更换期限实行严格管理。

第三款  重要应用数据应每月备份一次。

第四款  软件系统应三月备份一次。对系统进行维护时，应采取数据保护措施。

第五款  在发现病毒、发现黑客等紧急时刻，应对重要应用数据和软件系统备份一次。

第六款  实行分布式备份。实行应用者本地、网络共享端、网络发布端三级备份。

第七款  每星期应对系统软件和应用软件进行一次检查，确定是否需要升级。在发现软件漏洞时，应立即下载补丁、升级软件或采取其他安全措施。作到预防在先，及时查缺补漏。

第十四条  网站管理

第一款  凡利用国际互联网信息资源，在国内经营计算机信息服务的，按开放经营电信业务的有关规定审批。

第二款  管理员应对互联网的使用者的有关情况进行必要的登记。

第三款  单位应保证发布的网页不含有害数据。

第四款  以公用数据网作为通信子网的计算机网络，应采取设置闭合用户组等限制非法外来或外出访问，确保网络安全。

第五款  任何单位和个人不得制造或者故意输入、传播计算机病毒和其他有害数据，不得利用非法手段复制、截收、窜改计算机信息系统中的数据。

第六款  不得在网络上发布不真实的信息、散布计算机病毒、进入未经授权使用的计算机和不以真实身份使用网络资源等。应在分中心网站公布公布报警电话或设立电子信箱。

第七款  对病毒感染、黑客攻击等情况要进行登记。

第八款  电子公告服务应符合《互联网电子公告服务管理规定》。

第九款  新闻服务应符合《互联网站从事登载新闻业务管理暂行规定》。

第十款  网页内容应符合《教育部关于加强对教育网站和网校进行管理的公告》。

第十五条  事故报告制度

第一款  学校必须制定较全面的应急计划。根据影响系统正常工作的各种可能出现的紧急情况及其影响范围，如火灾、水灾、意外停电、外部攻击、误操作、突发事件、敏感时期等，指定专人负责计划制定、专人组织计划的实施，保证能有组织有措施的应对紧急情况。

第二款  对计算机信息系统中发生的案件，及发现新的计算机病毒、政治性病毒和其他危害严重的有害数据，有关使用单位应当在24小时内向教育信息技术中心报告，并保护现场及相关资料，条件许可的应停机等候处理。

第三款  对于违反本办法的用户，网络中心有权无条件取消其网络使用权，对于发生重大安全事故的用户，网络中心将上报高一级网络管理部门和公安机关，由公安机关追究其相应责任，直至刑事责任。

第四章   城域网及网站安全管理

第十六条  接入互联网申报备案制度

第一款  需要接入互联网的单位需将安全方案报送市信息中心，由专家组对安全方案进行审定并立即实施。

第二款  审定合格的单位，在办理完毕接入手续后，将接入单位、网络系统构成、接入线路类型、应用范围、联网设备型号数量、域名地址、管理人员及终端用户数据等资料报送成都教育信息技术中心备案。

第三款  接入运行后，上述事项发生变更时，应及时向中心申报。

第十七条  城域网管理中心应保证网络平稳运行，合理分配负载，做好运行检测，做好有害信息的防范、信息过滤，及时对安全漏洞或故障进行处理，指导用户做好安全防范工作。定期对管理中心进行漏洞扫描检查，并建档管理。对存在安全漏洞或隐患的单位，要提出具体的防范、整改措施，并督促其落实。

第十八条  在成都教育城域网上不允许进行任何干扰其他网络用户、破坏网络服务和网络设备的活动。

第五章   校园网安全管理

第十九条  学校面向互联网提供公开服务的网站页服务器、域名服务器、邮件服务器及文件服务器等均应在市信息中心备案。

第二十条  权限管理：

第一款  学校网络控制中心负责网络设备的运行管理、网络资源、用户账户和安全管理，系统管理员口令绝对保密，网络用户口令应经常更新。

第二款  根据用户需求严格控制、合理分配用户权限。

第三款  网络中心有专人负责WWW信息发布，一般应用人员只有浏览权和使用权。

第二十一条  校园内的光缆及其他网络设施应妥善保护，避免人为损坏。

第二十二条  校园网分为内部网和互联网两部分，技术上采用虚拟网络管理。一般用户不提供与Intemet直接连接。

第二十三条  数据由网络信息中心及各级网络管理部门进行定期备份，对备份后的数据应有专人保管，确保发生意外情况时能及时恢复系统运行。

第二十四条  防杀病毒软件应妥善保管，确保防杀病毒软件本身无毒。向学生开放的教学实验室应禁止使用软驱和光驱，以杜绝病毒的传播。

第六章   党政网安全管理

第二十五条  使用者必须按照所分配的用户名称和IP地址进行接入、登录。

第二十六条  接入、登录信息及网上内容不得外传。

第二十七条  使用党政网必须按照管理规定执行。

第二十八条  上网必须采用加密卡

第二十九条  必须与互联网物理隔离。

第七章   保密

第三十条  坚持谁上网谁负责、谁泄密追究谁的原则，建立完善保密工作责任体系。

第三十一条  将保密工作纳入目标管理。

第三十二条  有专人对上网信息严格把关。

第三十三条  写有涉密文件、资料的计算机软盘不使用时应存放在铁皮柜内锁好，严禁乱丢乱放。

第三十四条  不允许在与互联网相联的计算机中采集、处理、存储和传递涉密信息。

第三十五条  对涉密计算机维修、涉密载体的保管和销毁，应有专人负责。

第三十六条  对重点涉密部位必须安装“三铁一器”，即：铁门、铁栏杆、铁皮柜和报警器。

第三十七条  加强监督管理工作，使用过程中的重要信息记录要保存到审计文件中，以便掌握使用情况，发现可疑现象，及时追查安全事故责任。

第七章  其他

第三十八条  成都市教育信息技术中心在计算机信息系统安全保护工作中的主要职责是：

对计算机信息系统安全保护工作事实监督、检查、指导

开展计算机信息系统安全的保护宣传教育工作

对计算机信息系统的新建、改建、扩建工程进行安全指导

进行安全系统建设使用和管理的验收

管理计算机病毒和其他有害数据的防治工作

制定安全系统的技术规范

进行管理使用人员的培训。

第三十九条  教育信息技术中心发现影响计算机信息系统安全的隐患时，应当及时向使用单位发出安全管理公告。

附件二

成都市教育计算机信息系统安全建设规范

第一章　　总则

第四十条  本办法规定了成都市中小学计算机信息系统安全的规划要求和建设标准。

第四十一条  本办法适用于成都市行政区划范围内的所有中学、小学、师范、职中的计算机信息系统安全，是计算机信息系统安全规划、建设、监理、验收的依据。

第四十二条  建设教育计算机信息安全系统应本着预防为主、因地制宜、注重实效、及时补漏的原则。

第四十三条  计算机信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

第四十四条  计算机信息系统的安全保护，应当保障计算机及其相关配套设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，维护计算机信息系统的安全运行。

第四十五条  有害数据是指计算机信息系统及其存储介质中存在、出现的，以计算机程序、图像、文字、声音等多种形式表示的，含有攻击人民民主专政、社会主义制度，攻击党和国家领导人，破坏民族团结等危害国家安全内容的信息；含有宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容的信息，以及危害计算机信息系统运行和功能发挥，应用软件、数据可靠性、完整性和保密性，用于违法活动的计算机程序（含计算机病毒）。

第二章        安全防范机构及制度

第四十六条  安全组织

第一款  单位必须建立安全机构，单位主要领导必须主管计算机信息系统安全防范工作。

第二款  安全机构的任务是根据本单位的实际情况制定安全防范策略、作出风险分析、建立安全保障体系。

第三款  单位必须实行安全防范制度。

第四款  安全负责人负责安全机构的具体工作。

第四十七条  人事管理

第一款  人员审查：必须根据计算机信息系统所定的保密级别确定审查标准。

第二款  必须保证关键岗位的人选安全可靠。

第三款  所有工作人员必须进行相应的计算机安全防范培训。

第四款  人事部门应定期对系统所有工作人员进行考核，对不适于接触信息系统的人员要及时调离，要向其申明调离后的保密义务，收回所有资料和证件，退还全部技术手册及有关材料。系统必须更换口令和机要锁。

第四十八条  制定严格的计算中心出入管理制度。

第四十九条  制定严格的技术文件管理制度。

第五十条  制定严格的操作规程。

第五十一条  制定完备的系统维护制度。

第五十二条  制定数据记录媒体管理制度。

第三章        实体安全

第五十三条  设计或改建计算机机房时必须符合下列标准：《计算站场地安全要求》（GB2887-82）、《计算站场地技术条件》、《电子计算机机房设计规范》的规定。在计算机机房附近施工，不得危害计算机信息系统的安全。单位采购的计算机信息系统安全产品和保密专业产品必须具有公安部门核发的销售许可证。新购进的计算机及其设备、软件系统，应经单位计算机安全人员进行检查，确认无有害数据后方可投入使用。

第五十四条  防雷措施：应符合《建筑防雷设计规范》。计算机信息系统在建设时，应进行防雷安全技术检测，并取得防雷检测合格证。凡未安装防雷安全装置或检测不合格的系统，必须整改。计算机信息系统、电源系统、天馈系统所使用的防雷产品，应有相关部门质量认可，符合《计算机信息系统防雷保安器》要求，方能投入使用。

第五十五条  防静电措施：计算机信息系统在建设时，应进行防静电安全技术检测。凡未安装防静电安全装置或检测不合格的系统，必须整改。计算机信息系统、电源系统、天馈系统所使用的防静电产品，应有相关部门质量认可，方能投入使用。

第五十六条  防盗措施：计算机信息系统建设时，应安装必备的防盗设施，应包括教室、楼层和校园三级防盗设施。并设置必备的安全岗位，安排合格的人员上岗。外部容易接近的门窗应采取防范措施，如钢化玻璃、嵌网玻璃、及卷帘和铁窗。无人值守时应有自动报警设备。重要部门的计算机中心外部不应设置标明系统及有关设备所在位置的标志。

第五十七条  防火措施：应符合《高层民用建筑设计防火规范》、《建筑设计防火规范》。应设置二氧化碳或卤代烷灭火设备。机房内的电源切断开关应靠近工作人员的操作位置或主要出入口。

第五十八条  防水措施：位于用水设备下层的计算机机房，应在吊顶上设防水层，并设漏水检查装置。

第五十九条  防磁的防护：应符合《计算站场地技术条件》方能投入使用。主机及外设的电磁干扰辐射必须符合国家标准或军队标准的要求，外国产品必须符合生产国家的标准。

第四章        软件安全

第六十条  操作系统应具有以下安全措施：

第一款  应有可靠的日志记录。

第二款  应有较完善的存取控制功能，以防止用户越权存取信息。

第三款  应有良好的存储保护功能，以防止用户作业在指定范围以外的存储区域进行读写。

第四款  应有较完善的管理功能，以记录系统的运行情况，监测对数据文件的存取。

第六十一条  数据库

第一款  应有可靠的日志记录。

第二款  必须有严格的存取控制措施。

第三款  数据库管理系统应对输入数据进行逻辑检验，数据库更新时应保证数据的准确性。应具有检查跟踪能力，可以记录数据库查询、密码利用率、终端动作、系统利用率、错误情况及重新启动和恢复等。

第四款  数据库管理系统应能检测出涉及事务处理内容及处理格式方面的错误，应能确定是否由于系统故障而引起了文件或数据的丢失，并予以记录。

第五款  数据库管理软件应具备从各种人为故障、软件故障和硬件故障中进行恢复的能力。

第六十二条  应用软件

第一款  必须考虑充分利用系统所提供的安全控制功能。

第二款  在保证完成业务处理要求的同时，应在设计时增加必要的安全控制功能。 

第六十三条  防火墙

第一款  应提供安全、快速和可管理的Internet连接。提供快速和全面的控制访问和网络使用检测方法，保护网络免受未授权访问的侵害，检测网络数据流，当出现网络攻击的时候给管理员提示报警信息。

第二款  应具备可扩展性和可伸缩的高性能Web缓存系统，能对数据层、链路层和应用层进行数据过滤、对穿过防火墙的数据进行状态检查、对访问策略进行控制并对网络通信进行路由。对所有客户端的透明，有流量监测、状态监测、入侵检测、高级验证、VPN、智能应用程序过滤器、安全服务器发布等。

第三款  提供基于策略的安全、加速和管理。管理基础构架，提供一致、有效的方法来管理组的访问、配置和规则设定。能够进行策略定义、流量路由、服务器发布和监视过程。

第四款  可扩展的开放平台，有广泛的应用程序支持和可扩展管理选择。

第六十四条  软件开发过程应按照下述标准的要求进行：国家教育部〈中小学教学软件审查标准〉、〈教育软件适用文档编写指南〉、〈中小学软件开发指南〉。

第五章        安全策略

第六十五条  组策略

第一款  使应用到域或组织单位中的用户的组策略对象数量最小。

第二款  按照安全组成员身份筛选策略。

第三款  主要使用基于用户的组策略，仅在必要时才用基于计算机的组策略替代基于用户的组策略。

第四款  使用组策略而不是系统策略。

第六十六条  软件限制策略

第一款  运用散列规则、证书规则、路径规则或 Internet 区域规则，使应用程序可在策略中得到标识。

第二款  软件可以运行在两个级别上：“不受限制的”与“不允许的”。

第三款  有助于保护计算机免受电子邮件病毒侵扰的步骤：审阅最佳操作，为邮件程序用来运行电子邮件附件的所有文件夹创建路径规则，并将安全级别设为“不允许的”， 指定该规则将适用的文件类型。

第四款  在将策略应用到任何其他计算机上之前，始终在测试机上对其进行测试。不应将软件限制策略用作防病毒软件的替代产品。

第六章        网络安全

第六十七条  网络安全的目标：  为了增加网络的安全性，必须对信息资源加以保护(存取和传输)，对服务资源加以控制和管理。

第一款  信息资源有三类：公众信息：不需访问控制。内部信息：需要身份验证以及根据身份进行访问控制。敏感信息：需要验证身份和传输加密。

第二款  服务资源包括：内部服务资源：面向已知客户，管理和控制内部用户对信息资源的访问。公众服务资源：面向匿名客户，防止和抵御外来的攻击。

第六十八条  网络安全需求层次

第一款  连接子网安全需求：主要解决传输的安全性，该子网的安全要求是在网络层控制出入的路由功能以及对进出的数据包进行较粗粒度的控制，即保证数据的完整性和保密性。在与外界的出入口设置防火墙，进行较粗粒度的访问控制，实施第一层次的安全保护。

第二款  公共子网安全需求：以该层次网络作为安全管理单位，针对应用服务进行细粒度访问控制，对客户和服务器双方进行身份验证。同时对服务子网和内部网内部服务器的服务提供代理。

第三款  服务子网安全需求：服务子网的服务器安全要求最高。服务子网应防止内外部的攻击和非授权访问，服务子网不能完全暴在内部网中。该子网服务器不直接对外服务，只接受公共子网应用代理的服务，所有用户都必须通过应用代理才能对这些服务器访问。 

第四款  内部网安全需求：应防止外部的用户直接进入内部网络，对内部用户的对外访问必须实施控制和管里。内部应用或开发服务器应实施安全管理和控制，必须建立从内部用户到应用服务器直接的安全通道。安全通道包括安全通汛和身份认证。

第六十九条  整体安全要求有四个层次：

第一款  数据完整性和保密性：在非可靠网络上的传输安全性，

第二款  访问控制：即保证数据不被修改和窃取。对已知用户或匿名用户访问网络信息资源提供细粒度的访问控制。

第三款  双向身份验证：验证已知用户和服务提供者的身份，即验证服务器和客户双方的身份。

第四款  审计和记录：监听和记录网上的访问活动，加强网络管理。

第七十条  安全机制和手段

第一款  安全机制：访问控制、认证、加密、审计和记录、数字签名、数据完整性、信息流填充、路由控制、公正

第二款  安全技术：防火墙、身份认证、内容检查、主机安全、访问控制、密码、安全审计、安全管理、系统漏洞监测、黑客跟踪