为规范我校网络及信息系统安全防护工作特制定本规程。
一、系统分级
系统根据重要程度和受破坏时对学校信息系统的影响程度来分级,系统级别越高越需要更严密的防护方法来保护。
1、 核心级
核心级包含的网络设备有:
主干交换机
主路由
出口防火墙
无线控制器
出口带宽分配和流量整形设备
核心级包含的信息系统有:
域名服务器
校园卡系统身份、帐务、银包系统
邮件服务器
邮件转发网关(垃圾邮件过滤系统)
学校主网站
SSLVPN系统
学校办公自动化系统
2、 控制级
控制级包含的网络设备有:
楼宇主交换机
带有校园卡端口的接入层交换机
除主干交换机外网络中心机房内的其他交换机
波分复用系统
校内专网VPN系统(如财务专网VPN等)
无线AP
控制级包含的信息系统有:
视频会议系统
校内其他网站服务器
IPv6服务器
托管在网络中心的部门业务系统
校园卡门禁、考勤系统
3、 边缘级
除上述两个级别的其他网络设备和信息系统。
二、系统防护方法
1、ACL
核心级:制定严格的ACL,只有特定的计算机可以访问核心级网络设备和信息系统的管理端口,或把管理端口划分在特定的管理网段内。
控制级:制定限制访问的ACL规则,即排除特定计算机访问控制级网络设备和信息系统的管理端口。
边缘级:不作ACL要求。
2、密码保护
系统分级 | 密码特性 | 密码长度 | 更换周期 | 密码要求 | 密码保存 |
核心级 | 分别设置不同密码 | 12位以上 | 1学期 | 包含数字和字母 | 手写封存于保险柜中 |
控制级 | 不同系统密码可以相同 | 8位以上 | 1年 | 包含数字和字母 | 加密的电子文档 |
边缘级 | 所有系统可以使用同一密码 | 6位以上 | 2年 | 无要求 | 可以不加密的电子文档 |
三、密码更换
在密码更换周期到达时或者网络中心发生涉密人员变动时需要更换系统密码。
1、 更换的时间要求
核心级:2天内完成更换
控制级:5天内完成更换
边缘级:15天内完成更换
2、 更换次序
先信息系统后网络设备逐一登录更换
3、 更换要求
更换前列出需要更换的系统列表;
更换因在不受外人干扰的环境进行,操作的电脑需事先查杀病毒和木马程序;
更换后重新登录验证原密码是否有效(要求无效)、新密码是否有效(要求有效);
对更换成功的系统打勾确认。
四、密码管理
只有网络中心的正式在编人员可以操作密码。
核心级密码不可扩散,保持2-3人熟知,紧急时其他人员拆封保险柜中的密码,其他人员使用后应视为更换周期到达,按照要求及时安排密码更换工作。
核心级密码只在网络中心的计算机上进行操作,操作时要注意保密,防止窥探。控制级密码原则上不在网络中心以外的计算机上操作,操作时要注意保密,防止窥探。
密码的电子文档必须在网络中心的计算机上才能打开,使用后及时删除本地拷贝。
数字化办公室