第一条 为了加强对计算机信息系统的安全保护，进一步推进校园信息化建设，落实安全等保制度，确保校园网络与信息系统安全、高效的运行。根据《信息安全技术信息系统安全等级保护基本要求》和其他法律、行政法规，结合我校实际，特制定本制度。

第二条 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并保证系统补丁及时得到更新。

第三条 及时报告所发现的安全漏洞和可疑事件。必须每周一次进行系统漏洞扫描，对发现的系统安全漏洞进行及时修补。

第四条主机须安装防病毒软件，必须每周一次升级防病毒软件及病毒库，对系统进行病毒检查，及时清除病毒和恶意代码。

第五条主机须安装防火墙软件，启用访问控制功能，应根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包出入。关闭与应用系统无关的所有网络端口。

第六条登录操作系统和应用系统的用户须进行身份鉴别。操作系统和应用系统的用户身份标识应具有不易被冒用的特点，不同用户分配不同的用户名，确保用户名具有唯一性。口令应有复杂度要求（例如采用字母、数字及特殊字符的组合，口令长度至少为八个字符），每个月更换一次口令。

第七条系统的管理员登录地址须进行限制。

第八条 提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。

第九条 启用访问控制功能，控制用户组/用户对系统功能和用户数据的访问。

第十条 应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令。

第十一条 系统管理员应及时删除多余的、过期的账户，避免共享账户的存在。

第十二条 应具有数据备份功能，每周一次对重要数据进行备份。

第十三条 系统管理员应对系统的运行状况、用户行为等进行日志记录，每周备份一次日志，至少保存一个月的日志量。每周对日志分析一次，以便及时发现异常行为。

第十四条 系统管理员应对系统代码进行安全检查，找出安全漏洞及安全隐患并改正。

第十五条 系统管理员应对上传到服务器的数据内容进行合法性和安全性检查，禁止上传病毒、木马后门等恶意代码。禁止上传可执行文件。对上传文件所存放的目录进行执行权限的限制。

第十六条 账户及口令的保护应遵循“谁管理，谁负责”的原则，账户所引发的安全事故由该账户的具有人员负全部责任。系统管理人员离岗时应及时上报数据与信息化处（中心），离岗人员的系统账户将被立即删除，并取消其具有的所有系统访问权限。

第十七条 应对系统的各类相关信息严格保密，如系统的软件厂商和版本号、系统的IP地址、系统的域名、系统的配置信息等。

第十八条 系统安全管理员优先享有参加安全方面的技术培训和相关活动的权力。

第十九条 应每个月进行安全巡检一次，并填写《信息系统安全检查报告》。

第二十条 系统安全管理员发现重大安全问题要及时上报数据与信息化处（中心），应保持通信手段的畅通，具有应急响应的能力。

第二十一条 信息系统出现重大安全事件时，应果断采取控制措施，立即上报数据与信息化处（中心）领导以及学校网络信息安全领导小组。重大安全事件发生后，协助有关人员保护事件现场，积极协助安全事件的调查，做好善后处理工作。重大安全事件的处理情况，系统安全管理员必须形成书面材料。

附件：信息系统安全检查报告.doc

数据与信息化处（中心）

二〇一二年三月二日