第一章 总则

第一条 为了加强网络安全管理，提高化解、消除网络安全事故的能力，确保武汉学院信息系统网络的可用性和可靠性，防范非法入侵，依据信息系统管理规范，特制定本规定。

第二章 适用范围

第二条 本文件适用于武汉学院信息系统网络安全管理的各个环节，包括资源管理、网络运维、访问管理以及变更管理。

第三章 术语定义

第三条 网络资源是包括网络通信线路、网络设备、网络设备配置参数、网络软件、网络软件配置参数及网络技术资料。

第四条 安全域是指具有相同的安全访问控制和边界控制策略的子网或网络，其所承载的系统具有相同的安全保护需求，相互信任，共享同样的安全策略。

第四章 组织职责

第五条 信息系统负责人，其职责：

(一) 负责审核网络安全策略、制度等重要文件。

(二) 负责协调安全管理员、网络管理员与其他部门之间的网络安全工作，并督促落实相关工作。

第六条 安全管理员，其职责：

(一) 配合网络管理员确保网络系统的安全、有效运行。

(二) 配合网络管理员落实信息系统负责人关于网络安全工作的布置。

(三) 配合网络管理员制定网络安全策略。

(四) 定期检查网络安全运行状况。

第七条 网络管理员，其职责：

(一) 确保网络通讯系统的安全、有效运行。

(二) 负责网络安全防范、监控和故障恢复等网络安全技术的实施。

(三) 落实信息中心关于网络安全工作的布置。

(四) 制定网络安全策略。

第八条 中心机房管理员，其职责：

(一) 确保所管辖范围内网站系统网络通讯系统的安全、有效运行。

(二) 配合网络管理人员配合网络管理人员落实信息中心关于网络安全工作的布置。

(三) 确保所管辖范围内网络资源制定和更新。

第五章 网络资源管理

第九条 网络管理员应定期备份网站系统所有在用网络设备的配置文件或参数，对备份的文件或参数应当有防止非授权访问的措施，如加密。

第十条 对重要的网络设备，必须采用负载均衡、双机热备份等措施，以提高网        络的可靠性。

第十一条 必须安装防病毒软件，防病毒软件的升级和实时防护性检查由各部门安全管理员负责。

第十二条 网络IP地址由网络管理部门统一规划，未经允许，任何部门或个人不得随意占用或盗用他人的IP地址，一旦发现有人非法设置和更改IP地址，网络管理员有权中断其网络连接。

第十三条 网络技术资料由网络管理员进行管理并归档，机房管理员对所管辖范围的网络技术资料进行保存和归档。

第六章 网络运维管理

第十四条 网络设备运行状况由网络管理员负责监控，对于中心机房所属的网络设备运行则由机房管理员负责监控。

第十五条 维护或更换网络设备时，应尽量不影响网络正常运行，并做好风险分析及应急处理预案，保证关键业务的连续。

第十六条 当第三方服务提供商进行网络设备维护或更换时，应按照《第三方管理规定》执行，对于涉及机密信息的网络设备时，应当签署保密协议。

第十七条 应根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行备份。

第十八条 网络设备的口令应定期更改，并按《用户密码管理办法》的要求保管、变更，并进行登记。

第七章 网络配置管理

第十九条 应根据不同的设备类型制订相应的安全配置和管理策略，网络端口和服务依据业务最小化原则进行优化。

第二十条 应定期对网络设备和配置的安全进行评估，并形成事后跟踪机制。

第二十一条 应根据业务情况及时维护网络设备配置信息。

第二十二条 应制订明确的配置备份策略，配置更改后及时备份网络设备配置信息。

第二十三条 重要网络设备需开启日志功能，并统一通过日志审计系统进行收集和分析。

第八章 网络访问管理

第二十四条 访问控制应该采用默认禁止的原则，即除非经过审批、许可，否则禁止所有的访问行为，访问控制策略的变更应经过测试和审批。

第二十五条 应根据网络所承载的信息系统安全级别划分相对独立的安全域，更好的控制网络安全风险，降低系统风险。应该进行安全域的逻辑分离，根据各域的信任关系，依据最小授权原则，设置访问控制策略。

第二十六条 应该合理部署防火墙，在边界进行安全防护，在域间进行访问控制，防火墙策略的制定要遵循最小授权原则和默认禁止的原则，只开放必须的地址、协议和端口。要对所有的防火墙策略进行登记和归档，定期备份防火墙日志，安全管理员应定期对防火墙策略及日志进行检查。

第二十七条 用户需要访问网络资源，必须向网络管理员申请临时用户，获得相应权限，然后进行访问，使用完成后，应由网络管理员及时将用户删除。

第二十八条 严禁内网计算机直接拨号上网，可通过部署网络非法外联系统，防止内部用户通过电话等方式非法连接到外部网络。

第二十九条 对于远程接入的用户，应该采用较强的认证方式，如硬件令牌；对于拨号用户要采用回拨机制。

第三十条 无线网络的接入必须通过审批，要防止无线网络信号溢出预定的覆盖范围，无线传输的数据必须加密。

第三十一条 对于核心网络设备的维护必须通过带有加密协议的软件或终端进行访问，并保留所有操作的日志，不得进行直接操作。

第三十二条 应该自动中断在一段时间内没有活动的连接，避免被非法用户利用。

第九章 网络变更管理

第三十三条 网络系统在建设前应充分论证、详细设计，一旦正式投产使用，不得随意修改其结构和参数。

第三十四条 因业务需要必须与外单位网络互联互通时，相关部门或人员应配合网络管理人员和安全管理人员共同制定网络安全防护方案，并报武汉学院领导审批。原则上不得在没有任何安全防范措施（防火墙、入侵检测等）的情况下直接与外单位互联。

第三十五条 已投产的网络系统因业务发展或其它特殊原因确需进行结构及参数调整的，由相关部门提出申请，经武汉学院领导审批过后，由网络管理员进行变更。

第三十六条 由于业务需求，需要新增或变更网络连接时，相关部门必须提供详细的通讯参数（如端口等），作为实施和变更的依据。

第三十七条 涉及临时布线的场景，不得影响现有网络环境的安全，且需严格遵循网络安全建设方案要求执行。

第十章 持续改进

第三十八条 为了保证本文件的时效性、可行性，必须根据相关审核规定进行评审和修订，修订后重新发布。

第十一章 附则

第三十九条 本文件由武汉学院负责制定、解释和修改。

第四十条 本文件自发布之日起执行。