第一章　总则

第一条　为加强学校网络与信息安全管理工作，提高安全防护能力，保障校园网络与信息安全，维护安全稳定的校园网络环境和正常工作秩序，维护我校师生合法权益，根据《中华人民共和国网络安全法》等法律法规，结合我校实际，制定本办法。

第二条　本办法所指网络与信息安全管理，是为维护校内服务于教学、科研或管理工作的校园网络(公共基础网络设施)、数据中心(公共基础信息系统平台)、应用系统(业务系统)和互联网站等的正常运行，防止网络攻击、信息破坏、有害程序入 侵、信息化设备设施故障等隐患威胁而开展的预防和防御工作，可分为基础网络设施安全、信息系统安全和信息内容安全三个方面。
(一)校园网公共基础设施安全是指包括校园网出口层、核心层、接入层的服务器、路由器、交换机、光传输线路、中心机房、弱电间等网络互联设备设施的安全。
(二)信息系统安全是指承载信息系统的服务器和存储设备、软件运行环境以及系统数据的安全，包括公共基础信息平台安全和业务应用信息系统安全两个层面。
1.校园公共基础信息平台(数字化校园基础信息平台)的安全主要包括数字聊大统一身份认证平台、统一信息门户平台、统 一通讯平台、数据中心云平台、网站群系统、电子邮箱系统等软硬件设施的物理安全、系统与数据安全等。
2.业务应用信息系统包括各单位使用学校域名、IP地址建 设运行的互联网站及业务管理系统的运行安全，主要包括教务管 理系统、研究生管理系统、学工系统、资产管理系统、人力资源管理系统、财务管理系统、图书管理系统等。
(三)信息内容安全是指通过互联网站发布的各种信息内容的安全、网络舆情管控等。

第三条　按照校内、校外防控并举，人防、技防并重的安全防护原则，监测、防御、处置来源于校内外的网络安全风险和威胁，保护信息系统、关键信息基础设施免受攻击、侵入、干扰和破坏；加强校园网络信息和舆情管控引导；维护学校网络空间安全和秩序。

第四条　坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络设施建设，促进信息系统互联互通、数据共享，鼓励网络技术创新和应用，加强网络安全技术队伍建设，健全网络安全保障体系，提高网络安全保护能力。

第五条　倡导诚实守信、健康文明的网络行为；围绕立德树人，推动传播社会主义核心价值观，构建积极向上的校园网络文化氛围；加强宣传教育与培训，提高全校师生的网络安全意识和水平，形成全员共同参与促进网络安全的良好环境。

第六条　全体师生使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害 国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第二章　机构与职责

第七条　聊城大学网络安全与信息化工作领导小组(简称“领导小组”)是学校网络安全与信息化工作的组织领导与决策机构，负责研究、决策、部署全校网络安全和信息化工作重大事项。

第八条　网络安全与信息化工作领导小组办公室(简称“网络与信息化办公室”)分别设在宣传部和实验与网络信息中心，负责统一管理、具体落实学校网络安全与信息化工作。
(一)宣传部是学校网络信息内容发布与传播安全的监管职能部门，负责学校主网站建设与管理，网络舆情监管，全校二级单位网站的宏观管理。
(二)实验与网络信息中心是学校基础网络设施安全、信息系统安全的日常管理和技术支撑部门，负责定期开展网络安全等 级保护测评与备案工作；负责网络安全技术防护体系的建设、维护；负责学校信息系统的日常安全检测、安全漏洞信息监测收集、安全漏洞预警及系统安全加固；监督各单位信息系统安全漏洞的整改，并提供技术支持。

第九条　按照“谁主管谁负责、谁运维谁负责、谁使用谁负 责”的原则，全校各单位及全体师生员工应依照本办法及其相关 标准规范履行网络与信息安全的义务和责任。学校各单位是本单位网络与信息安全工作的责任主体，单位主要负责人是本单位网络与信息安全工作第一责任人，并专设网络安全信息员(须为在 职教职工),负责管理和协调本单位的具体网络信息安全工作，采取必要措施保障网络安全、稳定运行，有效应对网络安全威胁 和事件，防范网络违法犯罪活动，维护网络数据信息的完整性、保密性和可用性。

第三章　业务应用信息系统安全

第十条　落实网络安全等级保护制度，及时开展网络安全等 级保护工作。按照《网络安全法》和《计算机信息系统安全保护 条例》的要求进行信息系统的定级和备案工作，并定期进行安全 等级测评、整改、新建、改建、扩建信息系统应在设计阶段确定安全保护等级并同步建设安全防护措施。学校对已上线的信息系 统定期开展网络安全等级保护工作；对拟上线的信息系统，需通过网络安全等级保护工作后，方可上线运行。
各单位建设使用维护信息系统，应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
(一)制定内部安全管理制度和操作规程，制定网络安全隐 患漏洞整改流程，制定网络安全事件应急预案，确定网络安全负责人，落实网络安全保护责任；
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
(三)采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
(四)采取数据分类、重要数据容灾备份和加密等措施；
(五)法律、行政法规规定的其他义务。

第十一条　严禁“双非信息系统”(未经学校许可，内容与学 校相关或带有学校标志标示，且使用非学校域名、非学校IP地 址的网站和信息系统),落实执行国家有关法律规定。各单位网 站和信息系统，须全部纳入学校统一规划与管理，使用学校域名、IP地址，并与学校签署“聊城大学网络安全责任书”。

第十二条　定期清理“僵尸”信息系统。网络与信息化办公 室将定期对存在安全隐患、无人管理、内容不做更新的“僵尸”信息系统(含网站)进行清理。

第十三条　加强对第三方信息系统服务的网络安全监管。各 相关单位因业务需要，使用第三方信息系统与技术服务的，须在 网络与信息化办公室进行登记备案，并提供和第三方信息服务商 签订的合约、协议等，包括安全责任、服务内容、服务方式、服务级别和保密条款等内容。

第十四条　加强各管理部门业务信息系统(也称应用系统或管理系统)的建设管理。
(一)鼓励优先采购安全、成熟和售后服务优良的商业软件 或优秀软件开发商用于应用系统建设。没有相应成品商业软件， 或商业软件不适应我校实际需求的，可以按照学校采购与招标相 关办法委托资质和信誉良好的软件开发商进行开发。对于业务管 理部门具有应用系统开发维护能力并能够保证其信息安全的，可在学校顶层设计和软硬件配置框架内自行组织开发。
(二)软件的采购、开发与维护管理。业务管理部门根据本 部门业务需要撰写需求分析报告，明确详细的功能和性能需求。 实验与网络信息中心负责软件所需的数据中心资源，包括硬件、 运行平台软件和基础数据等，协助制定技术方案。网络与信息化 办公室组织对技术方案进行论证和审批，并确定拟建应用系统信息安全保护等级。应用系统按照相应等级的规范要求进行建设。
对于购买商业软件或委托软件开发的，业务管理部门根据论 证和审批通过后的方案，按照学校采购与招标相关办法进行采购。
业务管理部门为相关应用系统的安全管理责任部门，应指定 专门人员负责系统的建设、运行维护和安全管理，组织软件提供 商并会同实验与网络信息中心制定应用系统运维和安全管理方 案。原则上应由业务管理部门全面负责应用系统运维，可根据实 际需要委托软件开发方提供运维技术支持，并正式签订相关的安全保护协议。
(三)应用系统投入试运行后，由业务管理部门初步验收， 出具初步验收报告，并向网络与信息化办公室申请开展信息安全保护等级测评。
(四)网络与信息化办公室组织开展信息安全保护等级测 评，形成测评报告，该报告为应用系统竣工验收的重要内容。网络与信息化办公室参与应用系统竣工验收。

第四章　网络信息内容安全

第十五条　学校网络信息发布遵循“谁主管、谁负责”的原 则。各单位严格执行《聊城大学网站建设与管理办法》相关规定， 加强网站管理与维护，落实信息发布审核机制。学校门户网站内 容由宣传部负责审核发布，二级网站内容由各单位负责审核发布。

第十六条　学校各单位建设网站，必须使用学校域名和学校IP地址。
(一)各单位设立互联网站，网站架构可基于学校网站群平 台建设，也可通过委托软件技术开发建设；各单位应按信息安全保护等级的相应规范落实信息安全防护。
(二)学校网站群平台由学校统一部署建设，其运行环境安 全由实验与网络信息中心负责；运行在网站群平台上的网站内容 安全由网站主办者负责。未在学校网站群平台运行的网站，网站主办者对其技术和内容安全全面负责。
(三)各互联网站的主管单位应建立网站应急值守制度，规 范应急处置流程，由专人对网站进行监测，发现网站运行异常及 时处置。对于使用频度不大、阶段性使用的网站，可采取非工作时间或节假日关闭的方式运行。

第十七条　确保上网信息合法且不涉密。各单位网络安全负 责人和信息员要切实负起责任，加强对信息发布的管理，涉密信 息不上网，上网信息不涉密。发现法律、行政法规禁止发布或者 传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散。

第十八条　严格执行《聊城大学舆情管理实施办法(试行)》, 加强校园网络舆情监控管理。发现有害信息，积极开展舆情应对与处置。

第十九条　各单位采集、使用师生个人信息，应当遵循合法、 正当、必要的原则，明示收集、使用信息的目的、方式和范围， 并采取技术措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失，严格保密。

第二十条　单位和个人发送的电子信息、提供的应用软件， 不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。

第五章　网络信息公共基础设施安全

第二十一条　校园信息化基础平台设施的建设须具备支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步 建设、同步使用。重要核心信息基础网络设施要符合行业标准规 范要求进行建设部署与管理。学校对重要核心信息基础设施每年至少进行一次安全检查，对存在的安全隐患进行排查治理。

第二十二条　加强信息基础平台安全防护。健全完善多层级 的校园网安全防护设施，按需配置各级网络安全防护设备和软 件，构建可查、可管、可控的校园网络安全技术设施支撑环境； 加强和完善身份认证威胁识别、态势感知、入侵检测、漏洞扫描、 攻击防护、访问控制、操作审计、容灾备份等安全技术措施，确保关键信息基础设施安全稳定运行。

第二十三条　加强校园网基础设施安全管理
(一)校园信息网络包括校园网络、公用通信网络和专用通信网络，统一归口网络与信息化办公室管理。
(二)校园信息网络管道由网络与信息化办公室负责提出建 设需求，并负责建成后的使用管理；校园建设规划管理部门和建 设部门负责在学校地下管网统一管理的原则下，进行规划、建设和运行维护。
(三)校园网络管理包括校园有线网络和无线网络，涉及校 园网出口层、核心层、接入层的服务器、路由器、交换机、光传 输线路、网络中心机房、弱电间等网络互联设备设施光缆、域名 管理、安全防护、认证计费、网络接入与运维等，由实验与网络信息中心负责建设和运行维护管理。
网络接入单位负责提供本单位所需的网络设备间和电源保障，协助解决网络布线和设备安装所需空间，负责其安防和消防安全管理。
(四)校园网接入互联网遵循“统一出口、统一管理”的规 定，由实验与网络信息中心负责实施。学校各单位在校园内不得擅自通过社会网络资源接入互联网。
(五)师生员工接入校园网络，实行实名注册、认证上网的制度。网络接入实名制由实验与网络信息中心负责实施。
(六)学校所有基建、修缮工程应将工程范围内的校园网络建设纳入工程设计、实施和竣工验收范畴。
(七)严禁任何单位和个人利用校园网络及其网络设施开展经营活动。

第二十四条　加强公共基础信息平台的安全管理
(一)公共基础信息平台主要包括支撑各类应用系统运行的软硬件基础设施、学校基础数据库、统一数据交换平台、统一身 份认证系统及统一信息门户。实验与网络信息中心负责公共基础信息平台的建设和运行维护管理。
(二)实验与网络信息中心负责公共基础信息平台的物理安全、网络安全和主机安全。公共基础信息平台的资源使用单位负责所使用的操作系统、业务数据库系统、应用系统和数据的安全。
(三)实验与网络信息中心负责学校基础数据库和统一数据 交换平台的建设和安全管理，负责各单位业务数据库与基础数据库之间完成数据交换和共享。
(四)各单位负责建设、维护本单位业务应用系统所配套的业务数据库；对本单位业务数据库的系统安全、数据安全及所申请的共享数据的安全负责。
(五)实验与网络信息中心负责统一身份认证系统的管理维护。统一身份认证系统为校内信息系统提供统一的身份管理、安全的认证机制、审计及标准接口；校内各单位建设面向师生服务的应用系统时，应与统一身份认证系统进行认证集成并备案系统信息；各单位负责本单位应用系统的权限管理及安全。
(六)全校各单位的信息化建设项目(包括建设应用系统或互联网站)应建设部署在校内公共基础信息平台，严禁部署在境外的信息平台；涉及学校基础数据、师生个人信息或敏感信息的应用系统和互联网站，严禁部署在校外信息平台。
(七)学校公共基础信息平台的使用实行准入管理。实验与 网络信息中心负责制定使用公共基础信息平台的技术规范和标 准，在系统上线前进行安全检测。符合技术规范标准并检测通过的系统方可上线运行。
(八)各单位使用公共基础信息平台的应做好以下工作：
1.遵循公共基础信息平台相关管理制度和技术标准，按需申请、有序使用。
2.规范本单位公共基础信息平台资源的使用和管理，不得利用公共基础信息平台资源从事任何与申请项目无关或危害计算机信息系统安全的活动。

第二十五条 加强校园网内计算机终端、无线终端的安全管理。计算机使用正版操作系统，安装杀毒软件，及时更新系统和病毒库；校园网实行实名认证上网；杜绝弱密码和明文密码。

第二十六条　任何单位和个人不得从事非法侵入他人网络、 干扰他人网络正常功能、窃取网络数据等危害网络安全的活动； 不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具。

第六章　监测预警与应急处置

第二十七条　建立网络安全隐患发现、通报及处置机制。通 过上级网络安全管理部门及我校网络安全技术防护人员提供的 网络安全报告，及时获取我校网络安全情况；对出现安全隐患的 信息系统，立即采取关、停、限等措施，及时处置、整改；对隐 患整改情况进行查验核实，确认隐患排除后，解除访问限制、恢复系统正常运行，同时向有关部门及时反馈整改结果。

第二十八条　及时处置系统漏洞、计算机病毒、网络攻击、 网络侵入等安全风险。在发生危害网络安全的事件时，立即启动 应急预案，采取相应的补救措施，消除安全隐患，防止危害扩大。 网络安全突发事件应急处置见《聊城大学网络安全突发事件应急 处置流程》(附件1),信息系统安全漏洞处置见《聊城大学信息系统安全漏洞整改管理细则》(附件2)。

第二十九条　加强网络安全应急演练。各相关单位按照“第 一时间发现、第一时间上报、第一时间处置”的原则，建立健全信息安全值守制度和安全事件应急处置机制，制定安全事件应急预案，定期开展应急演练，提高网络安全事件应急响应与处置能力，确保安全事件早发现、早报告、早控制、早解决。

第七章　宣传与教育

第三十条　加强网络安全的宣传、教育。各单位制定网络与信息安全教育培训规划，定期组织开展形式多样、针对性强的面向全员的普及型培训和网络安全宣传教育，提高管理人员、技术人员、开发运维人员、师生的信息安全和防范意识；按照上级部门网络安全宣传的部署要求，认真组织开展网络安全宣传月和网络安全宣传周等活动；通过加强学生的网络安全教育，提高安全和防范意识，增强识别有害信息的能力，培养学生良好的网络媒介素养和文明健康规范的网络行为习惯。

第三十一条　学校定期组织各单位信息系统管理员(包括网 站信息员)参加校内外举办的信息化管理和技术人员网络安全技术专业培训，增强安全意识，提高安全技术和管理能力。
第八章　责任追究

第三十二条　对违反网络与信息安全相关管理规定建设使用 信息系统、网站以及网络基础平台设施，或未及时处置整改网络 安全隐患、漏洞及安全事件或处置、整改不力的单位，学校将视情节轻重追究相关人员的责任。

第三十三条　师生员工违反网络与信息安全相关管理规定，造成不良后果时，视情节轻重，分别由教职工人事管理部门或学生管理部门按相关规定给予批评教育或纪律处分；触犯法律时，由相关国家机关依法追究法律责任。

第九章　经费保障

第三十四条　学校设立网络安全运行维护、网络安全等级保护、网站建设管理等专项经费，保障学校网络安全工作正常开展。

第十章　附则

第三十五条　本办法自发布之日起施行，由网络与信息化办公室负责解释。