网管职责
第一章 总则
第一条 为了加强各个部门对网络安全工作的管理,全面提高网络安全管理能力,规范网络安全管理组织体系,建立健全网络安全机构职责,特制定本规定。
第二条 本规定依据《国家信息化领导小组关于加强信息安全保障工作的意见》、《GB/T20269-2006 信息安全技术 信息系统安全管理要求》等政策标准制定。
第三条 本规定依照“信息安全管理的主要领导负责、全员参与、依法管理、分权和授权和体系化管理”原则编制,具体原则如下:
(一)主要领导负责原则:信息安全管理应确保主要领导参与并确立组织统一的信息安全保障宗旨和政策,组织有效的安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;
(二)全员参与原则:信息系统所有相关人员普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;
(三)依法管理原则:信息安全管理工作应保证管理主体合法、管理行为合法、管理内容合法、管理程序合法;
(四)分权和授权原则:对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。
(五)体系化管理原则: 信息安全管理整体应符合信息系统等级保护二级的体系化管理目标和要求。
第四条 本规定适用于信息技术中心。
第二章 建网管理
第五条 在信息化办公室领导小组的领导下,信息技术中心负责校园网的计划决策、规划实施,网络的安全运行、管理维护,信息发布、多媒体与数据库的开发等工作。信息技术中心为校园网络建设的常设业务单位,负责受理全院的用户帐号申请、IP地址分配、系统资源配置、系统维护和日常管理工作。协助各系、部、室规划、建设二级子网。
第六条 校园网络各主干节点由信息技术中心负责管理。鼓励有技术力量的学院、各职能部处在做好已有信息点建设的情况下,发展自己的局部网络。经信息技术中心审核、主管领导批准后可连入校园网,并由信息技术中心提供相应IP地址、网络配置和指导。
第七条 各教学院、各职能部处应认真研究并积极提供需要上网的各种信息系统和管理软件,并与信息技术中心联系,以便规范化后上网应用。
第八条 信息技术中心将根据我校建网的具体情况编写相关上网培训教材,对我校各类上网用户分期进行培训。
第三章 校园网运行管理
第九条 信息技术中心24小时不间断开机工作,并有专人值班,以确保校园网正常运转及Cernet、Internet的畅通。
第十条 各学院、各职能部处的信息节点所在单位必须在工作日的8:00--18:00开机正常工作。如设备有异常情况,应及时与信息技术中心联系,以保证校园网络日常通讯。
第十一条 进入Cernet和Internet网的计算机应有专人负责本地软件维护,入网使用情况应有记录可查,入网软件的使用由信息技术中心审核、控制,特别应严格控制软盘的使用,严防病毒和黄色软件侵入网内。
第十二条 网络用户必须遵守《中华人民共和国计算机信息网络国际互联网络管理暂行规定》和《中华人民共和国计算机信息系统安全保护条例》,信息技术中心有权对违反有关规定和用户守则的用户提出警告并有权停止对其进行服务。
第四章 网络资源管理
第十三条 信息技术部网络管理员对网络设备进行维护监控等工作。
第十四条 网络设备的登录口令必须足够强壮难以被破译。
第十五条 网络设备的当前配置文件必须在主机上有备份文件。
第十六条 网络设备的拓扑结构、IP地址等信息在一定范围内保密。
第十七条 网络整体的拓扑结构需进行严格的规划、设计和管理,一经确定,不能轻易更改。
第十八条 定期检查网络设备的日志,及时发现攻击行为。
第十九条 网络设备的软件版本应该统一升级到较新版本。
第二十条 网络设备的安装、配置、变更、撤销等操作必须严格按照相关流程进行。
第二十一条 网络管理员应每季度对网络进行漏洞扫描,并与系统管理员、安全管理员一起进行扫描结果的分析。如发现重大安全隐患,应立即上报。
第二十二条 网络管理员进行漏洞扫描前需提出申请,详细描述扫描的技术、范围、时间及可能的影响,在获得数据管理中心领导审批后,方可执行。
第二十三条 对重要网段要进行重点保护,要使用防火墙等安全设备以及VLAN或其他访问控制方式与技术将重要网段与其它网段隔离开。
第二十四条 网络结构要按照分层网络设计的原则来进行规划,合理清晰的层次划分和设计,可以保证网络系统骨干稳定可靠、接入安全、便于扩充和管理、易于故障隔离和排除。
第二十五条 网络管理员定期对网络的性能分析,以充分了解系统资源的运行情况及通信效率情况,提出网络优化方案。
第二十六条 按照最小服务原则为每台基础网络设备进行安全配置。
第二十七条 网络连接管理过程中,需明确网络的外联种类,包括互联网、合作伙伴企业网、上级部门网络和管理部门网络等,根据外联种类确定授权与批准程序,保证所有与外部系统的连接均得到授权和批准,并具备连接策略及对应的控制措施。
第二十八条 除网络管理员特别授权外,员工内严禁拨号上网。经授权的拨号上网,必须首先与内部网络断开。
第二十九条 网络互连原则:
(一)与互联网的连接中,在互连点上的防火墙上应该进行IP地址转换;
(二)任何部门不得自行建立新的信息平台,如确有需求,需经由相关部门认证批准后实施;
(三)互联网接入必须有防火墙等安全防范设备。未经许可,任何部门或个人不得私自在网络内新增与互联网的连接。
第三十条 办公网络中不同业务的网络之间互连原则:
(一)互连点上必须实施安全措施,如网络访问控制列表、安装防火墙等;
(二)网络之间互连点采取集中原则,并考虑安全冗余;
(三)网络互连点及安全设备必须纳入到网管体系的监控。
第五章 安全管理
第三十一条 校内信息安全组织中应建立信息安全岗位,明确信息安全岗位职责。
第三十二条 信息安全工作主管(信息技术中心主任)的岗位职责如下:
(一)组织、协调落实各项信息安全工作;
(二)组织评审信息安全总体策略、规划方案、管理制度和技术规范;
(三)组织评审信息安全产品技术规格和相关产品安全规格;
(四) 组织监督、检查信息安全工作的落实情况。
第三十三条 安全管理员(专职)的岗位职责如下:
(一)起草和编制校内信息安全方针、信息安全保障体系框架和信息安全策略、制度和技术规范;
(二)起草和编制整体信息安全总体规划,收集信息系统安全需求;
(三)推动校内信息安全方针、信息安全策略、信息安全管理制度及信息安全技术规范的实施落实。
(四)定期组织信息系统漏洞扫描和信息安全风险评估工作,形成信息系统和整体安全现状报告,并向信息技术中心网络信息安全保密领导小组办公室进行汇报;
(五)负责制定总体网络访问控制策略和规则,并对其进行监控和审计工作,定期发布策略执行情况;
(六)负责制定全员的安全培训计划,组织开展安全培训工作;
(七)对网络、系统、应用、数据库管理员进行安全指导;
(八)定期收集信息安全漏洞和公告信息,并告知相关部门的信息安全运维管理人员及安全员;
(九) 协调信息安全应急响应组织和技术支撑单位。
第三十四条 安全审计员的岗位职责如下:
(一)定期审计信息安全策略执行情况,收集信息系统日志和审计记录,并提供审计报告;
(二)对安全、网络、系统、应用、数据库、机房管理员的操作行为进行监督,安全职责落实情况进行检查;
(三)组织检查相关单位和下级单位信息系统安全人员及要害岗位人员的信息安全工作。
第三十五条 系统管理员的安全职责如下:
(一)根据信息系统安全策略定期对系统进行自评估;
(二)依照安全策略对系统进行安全配置和漏洞修补;
(三)对系统进行日常安全运维管理,定期更改系统账号,并定期提交安全运行维护记录或报告;
(四)在发生系统异常和安全事件时对系统进行应急处置。
第三十六条 网络管理员的安全职责如下:
(一)根据设备安全策略定期对网络设备、网络架构进行自评估;
(二)依照安全策略对网络设备进行安全配置;
(三)对网络设备、安全设备进行日常安全运维管理,并定期提交安全运行维护记录或报告;
(四)在发生系统异常和安全事件时,对网络设备、安全设备进行应急处置。
第三十七条 数据库管理员的安全职责如下:
(一)根据信息系统安全策略定期对数据库安全进行自评估;
(二)依照安全策略对数据库进行安全配置和漏洞修补;
(三)对数据库进行日常安全运维管理,定期检查数据库用户,并提交安全运行维护记录或报告;
(四)在发生数据库异常和安全事件时,对数据库以及备份数据进行应急处置和恢复。
第三十八条 应用管理员的安全职责如下:
(一)根据应用系统安全策略定期对应用进行自评估;
(二)依照安全策略对应用进行安全配置和漏洞修补;
(三)对应用进行日常安全运维管理,并提交安全运行维护记录或报告;
(四)在发生应用异常和安全事件时,对应用进行应急处置和恢复。
第三十九条 机房管理员的安全职责如下:
(一)负责机房的物资管理和日常维护工作;
(二)根据信息技术中心的要求,严格遵守工作流程,确保日常工作的正常进行;
(三) 完成信息技术中心交办的其他工作。
第四十条 重要业务系统操作人员的安全职责如下:
(一)根据业务系统安全策略对业务系统进行安全操作;
(二)负责定期对业务系统操作进行自评估,如发现非法或违反安全策略的操作应及时报告安全审计员。
第四十一条 相关部门安全员的岗位职责如下:
(一)负责本部门信息安全工作的开展,并配合信息技术中心的信息安全工作;
(二)遵照技术工程师的信息安全策略协调本部门的信息安全技术落实;
(三)指导并参与信息安全相关项目的建设;
(四)协调本部门的信息安全工作,并接受数据信息技术中心定期和不定期的检查。
第六章 附则
第四十二条 本规定的解释权归信息技术中心。
第四十三条 本规定自发布之日起生效。
