第一章 范围及职责

第一条  本制度适用于网络安全管理，包括：网络系统安全管理、账号管理、病毒防治管理、网络事件报告和查处。

第二条  单位信息安全工作办公室主要负责网络安全管理制度的制定和修订；系统管理员负责网络维护。

第二章  网络管理

第三条  应在系统内外网网络边界部署防火墙、审计系统、IPS/IDS 等安全设备；对内部网络进行区域隔离、保护。重要的业务应用服务器去部署单独的防火墙进行保护。

第四条  内外网网络之间要实行物理隔离。

第五条  所有在互联网发布的应用系统须使用网页防篡改技术或专用安全设备进行保护，确保网站在受到破坏时能自动发现、报警并拦截。

第六条  在互联网发布的应用系统须经过第三方技术机构的安全测评，确保网站的安全性。

第七条  采用技术手段对网络接入进行控制。内部终端如因工作需要接入Internet 或其他网络，应向所在部门领导提出申请，经批准后由系统管理员提供接入服务。管理员对接入端信息做详细登记并存档备案。外部人员如需接入网络，需由部门主管领导批准，再由系统管理员提供临时接入服务。

第八条  系统管理员负责网络拓扑图的绘制。若网络结构发生变化要及时更新拓扑图，确保网络拓扑图完整、真实。

第九条  未经行装科主管领导批准，任何人不得改变网络拓扑结构，网络设备布局、服务器和路由器配置以及网络参数。

第十条  在未经许可的情况下、任何人不得进入计算机系统更改系统信息和用户数据。

第十一条  任何人不得利用计算机技术侵害用户合法利益，不得制作和传播有害信息。

第三章  运维管理

第十二条  尽可能对信息系统核心设备采取冗余措施（包括线路及设备冗余），确保网络正常运行。

第十三条  对网络、安全设备进行管理时须采用安全的方式（如SSL、SSH等），并严格控制可访问该设备的地址和网段。

第十四条  定期对网络系统（服务器、网络设备）进行漏洞扫描，并及时修补已发现的安全漏洞。

第十五条  根据设备厂商提供的更新软件对网络设备和安全设备进行升级，在升级之前要注意对重要文件的配置进行备份。

第十六条  定期对重要的网络、安全设备进行巡检，确保重要设施工作正常，并填写相关记录表单归档保存。若在巡检中发现安全问题要及时上报处理。

第十七条  定期对重要系统服务器和相关业务数据进行备份，备份数据应一式两份，分别进行保存管理。

第十八条  开启网络防护设备审计功能记录网络事件日志，日志的最小保存期限不低于30天，且应保证无一天以上的中断。

第四章  账号管理

第十九条  对系统管理员、信息安全管理员、信息安全审计员等不同用户建立不同的账号，并对资源管理权限进行划分，以便于审计。

第二十条  网络账号、密码设计必须满足长度、复杂度要求，用户须定期更改密码以保障网络账户安全。

第二十一条  指定专人对服务器和网络设备的账号、密码进行统一登记，一式两份存档管理。管理员须严守职业道德和职业纪律，不得将任何账号、密码等信息泄露出去。

第五章  恶意代码管理

第二十二条  不得制造和传播任何计算机病毒。

第二十三条  网络服务器的病毒防治由系统管理员负责，系统管理员股负责对各部门计算机的病毒防治工作进行指导和协助。

第二十四条  及时更新网络系统服务器病毒库，定期对服务器进行全盘扫描杀毒。

第二十五条  提高自身的恶意代码防范意识，在接收文件和邮件之前，必须先进行恶意代码检查。

第二十六条  已授权的外来计算机或存储设备在接入网络之前，必须对其进行恶意代码扫描。

第六章 恶意事件处理

第二十七条  发现制造病毒、故意传播病毒等行为，须立即通知行装科，同时通告信息安全工作办公室，并协助有关部门进行调查。

第二十八条  发现恶意网络攻击行为，须立即通知行装科，同时通告信息中心，并协助有关部门进行调查。

网络信息系统管理制度

（厦安防教字【2023】修订）

第一章 总则

第一条  为保障厦门安防科技职业学院（以下简称“本单位”）基础网络系统的操作系统和数据库管理系统的安全、稳定运行，规范操作系统和数据库管理系统的安全配置和日常操作管理，特制订本制度。

第二条  本办法适用于本单位，以及各部门的信息系统的操作系统和数据库系统的管理和运行。其他联网本单位参照执行。

第二章 操作系统运行管理

第三条  系统管理员、信息安全管理员、信息安全审计员的任命

系统管理员、信息安全管理员、信息安全审计员的任命应遵循“任期有限、权限分散”的原则；

对每个操作系统要分别设立系统管理员、信息安全管理员、信息安全审计员，并分别由不同的人员担任。在多个应用系统的环境下，系统管理员、信息安全管理员、信息安全审计员岗位可交叉担任；

系统管理员、信息安全管理员、信息安全审计员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任；

系统管理员、信息安全管理员、信息安全审计员必须签订保密协议书。

第四条  口令的复杂性、安全性要求和检查

系统账户的口令长度设置至少为8位，口令必须从字符（a-z,A-Z）、数字（0-9）、符号(~!@#$%^&*()_<>)中至少选择两种进行组合设置；

系统账户的口令必须经常更改，至少每月更改一次，每次更新的口令不得与旧的口令相同，操作系统应设置相应的口令规则；

系统用户的帐号、口令、权限等禁止告知其他人员；

须根据系统的安全要求对操作系统密码策略进行设置和调整，以确保口令符合要求。

第五条  系统维护和应急处理记录

系统管理员记录系统的运行情况；

应对系统安装、设置更改、帐号变更、组变更、备份等系统维护工作进行记录，以备查阅；

应对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录。

第六条 操作系统软件、资料以及许可证的管理

必须对操作系统软件的介质、资料和许可证进行登记，并设专人负责保管；

登记的内容应包括软件的名称和版本、软件出版商、许可证类型和数量、介质的编号和数量、软件安装序列号、手册名称和数量、购买日期等；

应有软件和资料的借用审批和借还登记手续；

对重要的系统软件介质和资料要进行复制，借用时宜提供复制品，以保护好原件及避免丢失。

第七条 操作系统的系统管理员帐户名称、口令的管理

操作系统的系统管理员账户名称不得使用系统安装时默认的系统管理员账户名，应按照经行装科经理批准的账户名称、权限和有效期予以设置；必须更改系统安装时默认系统管理员账户和具有特殊权限的账户的口令，关闭不必使用的账号；

系统管理员帐户的口令除了要满足本规范第六条中的口令要求外，还必须每两周更改一次，发现有异常情况时应立即更改，每次更新的口令不得与旧的口令相同；

严禁把系统管理员的帐户名称和口令告知其他人员。

第八条 操作系统配置的备份管理

系统管理员应对操作系统的配置参数及相关文件进行备份，当配置发生变更时必须重新备份，以便系统发生故障时能尽快恢复系统配置。

第九条 操作系统的安全检查

信息安全管理员应经常检查操作系统的安全配置，并确保符合安全配置要求；

信息安全审计员应定期查看操作系统的运行日志和审计日志，以及时发现出现的安全问题；

信息安全管理员应定期使用最新的安全检查或安全分析工具对系统进行检查，并及时消除存在的漏洞。特别是在新软件安装或软件更新之后。

第三章 数据库系统运行管理

第十条 数据库管理员、审计员的任命

第十一条 数据库管理员(DBA)的任命应遵循“任期有限、权限分散”的原则；

对每个数据库系统要分别设立数据库管理员和数据库审计员，并分别由不同的人员担任。在多套系统的环境下，数据库管理员和数据库审计员岗位应交叉担任；

数据库管理员、审计员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任；

数据库管理员、审计员必须签订保密协议书。

数据库管理员、审计员帐户的授权，审批

数据库管理员、审计员人员变更后，必须及时更改帐户设置。

第十二条 其他帐户的授权，审批

本本单位其他数据库账户的授权由管理部门负责人批准后，由数据库管理员进行设置；

外本单位人员需要使用本本单位数据库系统时，须经相关业务管理部门主管同意，报管理部门负责人批准后，由数据库管理员按规定的权限、时限设置专门的用户帐号；

严禁本本单位任何人将自己的用户帐号提供给外本单位人员使用。

第十三条 口令的复杂性、安全性要求和检查

数据库账户的口令长度设置至少为6位，口令必须从字符、数字、符号中至少选择两种进行组合设置；不宜使用与账户名称中相同的字符或使用姓名、生日和电话号码等其他容易猜测的字符组合；

数据库账户的口令必须经常更改，至少每季度更改一次，每次更新的口令不得与旧的口令相同，应设置相应的口令规则；

数据库用户的帐号、口令、权限等禁止告知其他人员；

必须根据安全要求对数据库管理系统的密码策略进行设置和调整，以确保口令符合要求。

第十四条 系统维护和应急处理记录

数据库管理员记录系统的运行情况；

应对系统安装、设置更改、帐号变更、表空间变更、数据对象变更、数据库备份等系统维护工作进行记录，以备查阅；

应对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录。

第十五条 数据库系统软件、资料以及许可证的管理

必须对数据系统软件的介质、资料和许可证进行登记，并设专人负责保管；

登记的内容应包括软件的名称和版本、软件出版商、许可证类型和数量、介质的编号和数量、软件安装序列号、资料名称和数量、购买日期等；

应有软件和资料的借用审批和借还登记手续；

对数据库系统软件介质和资料要进行复制，借用时宜提供复制品，以保护原件及避免丢失。

第十六条 数据库管理员帐户名称、口令的管理

数据库管理员账户名称不宜使用系统安装时默认的管理员账户名，应按照《数据库系统账户授权审批表》批准的账户名称、权限和有效期予以设置。必须更改系统安装时默认的管理员账户和具有特殊权限的账户的口令，关闭不必使用的账号；

数据库管理员的口令长度必须设置至少为8位，满足口令的复杂性要求，还必须每两周更改一次，发现有异常情况时应立即更改，每次更新的口令不得与旧的口令相同；

严禁把数据库管理员的帐户名称和口令告知其他人员。

第十七条 数据库系统配置的备份的管理

数据库系统管理员应对数据库系统的配置参数及相关文件进行备份，当配置发生变更时必须重新备份，以便系统故障时能尽快恢复系统配置。

第十八条 数据库系统数据的备份管理

应制定数据库系统的备份策略，定期对数据库系统进行备份；

数据库备份策略的制定要以尽可能高效地进行备份与恢复为目标，并且与操作系统的备份最好地结合，宜采用物理备份与逻辑备份相结合；

必须对备份权限的设置加以严格控制；

必须妥善存放和保管备份介质（包括磁带、从数据库导出的文件等），防止非法访问。对备份的介质应做好标识，存放环境符合要求。

第十九条 数据库系统的安全检查

数据库管理员应经常检查数据库系统的安全配置，并确保符合安全配置要求；

数据库管理员、审计员应定期查看数据库系统的运行日志和审计日志，以及时发现出现的安全问题；

数据库管理员应定期使用最新的安全检查或安全分析工具对系统进行检查，并及时消除存在的漏洞；特别是在新软件安装或软件更新之后。

网络信息安全事件报告和处置管理制度

网络信息设备及系统检查维护制度