高等学校校园网络安全管理规范
第一章总则
第一条为保障高等学校校园网络安全、数据安全与个人信息安全,维护校园网络秩序与教学科研秩序,依据《网络安全法》《数据安全法》《个人信息保护法》《高等学校数字校园建设规范(试行)》(教科技函〔2021〕14号)、《关于提高高等学校网络管理和服务质量的通知》(教科信厅函〔2021〕33号)等制定本规范 。
第二条适用于全国高等学校校园网络、信息系统、网站、数据中心、终端及相关软硬件设施的规划、建设、运维、使用与安全管理,覆盖全体师生员工、访问校园网的校外人员与第三方服务商。
第三条基本原则
1.安全优先、预防为主:安全融入全生命周期
2.谁主管谁负责、谁使用谁负责:落实网络安全责任制
3.技术与管理并重:技防+人防+制度防
4.依法合规、保障权益:保护师生合法网络权益
第四条学校网络安全和信息化领导小组统筹领导;网络与信息中心(或网信部门)归口管理;各二级单位履行主体责任;师生员工履行使用安全义务。
第二章网络安全责任制与组织管理
第五条学校主要负责人为第一责任人;分管校领导牵头;各单位主要负责人为本单位第一责任人;设网络安全管理机构与专职岗位。
第六条建立学校—二级单位—使用人三级网络安全责任体系,签订责任书,明确岗位职责、考核与追责机制。
第七条安全管理机构
设立专门网络安全管理部门,负责:安全规划、等级保护、风险评估、监测预警、应急处置、审计检查、安全培训。
第三章网络基础设施安全
第八条网络架构安全
1.合理划分安全域(核心区、教学区、办公区、宿舍区、访客区、数据中心区),实施逻辑隔离与访问控制。
2.校园网出口集中管控,统一部署防火墙、入侵检测/防御(IDS/IPS)、上网行为管理、防病毒网关、流量审计。
3.核心网络设备、链路冗余备份,关键设备双机热备,保障高可用 。
第九条网络设备安全
1.采用安全管理协议(SSH/HTTPS),禁用Telnet、HTTP等明文协议。
2.强密码策略、定期改密、权限最小化、多因素认证(MFA)。
3.及时固件升级、漏洞修复、配置合规、定期备份配置。
4.设备台账、运维日志、责任人明确。
第十条网络接入与认证
1.实行上网实名认证,一人一号、账号实名绑定 。
2.实施802.1X准入、IP-MAC绑定、端口隔离、设备注册认证。
3.禁止私接路由器、AP、交换机,禁止私设代理、VPN。
4.访客网络独立、限时、限权限、实名登记、日志留存 。
第十一条无线校园网安全
1.采用WPA3-Enterprise加密,禁用WEP、WPA2-PSK弱加密。
2.无线AC集中管控、SSID分区、接入隔离、非法AP检测与反制。
第四章数据与信息安全
第十二条按敏感程度分为核心数据、重要数据、一般数据;核心/重要数据加密存储、访问审计、权限严控。
第十三条数据采集与存储
1.最小必要采集,明示用途,合规获取师生同意 。
2.重要数据异地备份、定期演练、防篡改、防泄露 。
3.日志留存不少于6个月,满足溯源与审计要求 。
第十四条数据传输与共享
1.跨网/公网传输采用TLS/SSL加密、VPN安全通道。
2.数据共享审批、脱敏、水印、溯源、签订保密协议。
3.禁止违规导出、外传、售卖校园数据与个人信息 。
第十五条严格落实《个人信息保护法》:告知同意、最小必要、存储限期、访问更正删除、安全防护、禁止非法买卖。
第五章应用与系统安全
第十六条等保与密评
1.信息系统按网络安全等级保护2.0定级、备案、测评、整改。
2.涉及国家秘密/敏感数据系统开展密码应用安全性评估 。
第十七条系统建设安全
1.安全同步规划、同步建设、同步运行(三同步)。
2.开发安全(SDL)、第三方组件漏洞扫描、代码审计 。
3.上线前安全测评、渗透测试、风险评估 。
第十八条运行安全
1.系统账号最小权限、强密码、定期审计、离岗即销权 。
2. Web应用防火墙(WAF)、防注入、防篡改、防爬虫 。
3.定期漏洞扫描、渗透测试、补丁管理、病毒木马查杀 。
第六章终端与用户安全
第十九条终端安全
1.统一安全基线、系统加固、杀毒软件、EDR终端检测响应 。
2.禁用不必要服务、端口、自动播放、移动存储管控。
3.违规外联监控、非法外联阻断与追责。
第二十条用户行为规范
1.严禁利用校园网从事危害国家安全、泄露国家秘密、传播违法信息、网络攻击、侵权盗版、诈骗、赌博等违法犯罪活动 。
2.严禁制作、传播计算机病毒、木马、恶意程序 。
3.严禁盗用账号、冒用他人身份、越权访问、篡改数据 。
4.严禁发布、浏览、传播色情、暴力、谣言、邪教等不良信息 。
第七章监测预警与应急处置
第二十一条安全监测
1.部署安全态势感知平台,7×24小时监控流量、攻击、异常、漏洞、违规 。
2.实时监测DDoS、网页篡改、数据泄露、挖矿、勒索病毒、钓鱼攻击 。
3.建立威胁情报、预警通报、快速处置闭环 。
第二十二条应急管理
1.制定网络安全事件应急预案,定期演练(每年≥1次) 。
2.明确事件分级、响应流程、处置措施、责任分工、上报机制 。
3.发生事件立即处置、留存证据、及时上报、溯源追责、事后复盘 。
第八章安全审计与监督检查
第二十三条安全审计
1.全面审计:用户认证、授权、操作、系统变更、数据访问、网络行为 。
2.审计记录包含:时间、用户、IP、事件、结果、终端信息 。
3.审计日志防篡改、加密存储、定期归档、专人管理、授权查阅 。
第二十四条检查考核
1.定期开展安全检查、专项督查、风险评估、等级测评 。
2.纳入单位与个人绩效考核,实行安全一票否决。
3.对隐患限期整改,拒不整改或整改不力予以通报、约谈、追责 。
第九章安全教育与培训
第二十五条全员培训
1.新生入学、新职工入职必训;每年全员安全培训 。
2.重点培训:网络安全、数据安全、个人信息保护、反诈、防钓鱼、密码安全、应急处置 。
第二十六条安全管理人员、运维人员持证上岗(等保、CISAW、渗透测试等),定期技能提升 。
第十章附则
第二十七条违反本规范,给予批评教育、通报、暂停网络权限、纪律处分;造成损失的依法赔偿;涉嫌违法犯罪的移送司法机关。
第二十八条高职高专、科研院所等可参照执行。
第二十九条本规范由教育部科技司、网信部门解释。
第三十条自发布之日起施行。