中国科学院计算技术研究所网络与信息安全管理制度.doc

中国科学院计算技术研究所网络与信息安全管理制度 26 2020年4月19日 文档仅供参考 中科院计算所网络与信息安全管理制度 一．目的 目的：为保证中国科学院计算技术研究所网络与信息的安全，规范所内网络资源的使用和所内网络用户的上网行为。 二．适用范围 中国科学院计算技术研究所所有网络用户。 三．引用文件 《中华人民共和国计算机信息网络国际联网管理暂行规定》； 四．职责 一、 中科院计算所网络与信息安全领导小组负责处理中科院计算所网络语信息安全重大问题，协调处理重大突发性的紧急事件。 1． 处理计算所网络与信息安全事件； 2． 网络安全事件的监控，发现问题及时的报科技网应急小组 3． 对所用户提供网络与信息安全咨询和技术支持； 4． 定期对网络进行安全漏洞扫描，并通知终端用户； 5． 开展安全教育培训； 二、中科院计算所网络与信息安全办公室设在网络管理办公室， 1. 网络管理办公室负责日常联络和事务处理工作。 2. 要保证有专职人员负责计算机与网络管理和维护 3. 要对网络进行安全性能的优化，配备必要的软、硬件设施有效抵挡外来入侵 三、 各部门管理网络联系人职责 1. 负责监控和分析本单位的网络与信息安全状况，及时发现、处理、汇总安全事件信息，在规定的时间内上报； 2. 明确我所应急组织体系、职责和应急处理流程； 3. 加强安全防范工作，完善重要业务的数据备份机制， 4. 加强信息内容安全的管理，发现有害信息及时清除并上报； 5. 要时刻谨记，对自己的网络行为负责。同时加强安全防护意识， 防止非法盗用的发生。 6． 按要求对接入互联网的网站进行备案。 7． 要配合并协助落实此制度的实行。 五．具体管理办法 1．所有网络用户必须遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》等国家有关法律、法规及《计算所通信、计算机信息系统及办公自动化设备管理规定》（见附件1）等所内的相关规章制度,在发生网络与信息安全突发事件时要立即启动《中科院计算所网络与信息安全应急预案》（见附件2），并努力将损失减到最小。 2．所内的计算机网络及计算机软、硬件资源仅用于与科研、教育及相关的业务，经过网络系统进行的数据传输、邮件通讯或新闻发布，其内容也必须是上述性质的范围，不得违反国家对计算机和国际互联网有关的安全条例和规定，严格执行安全保密制度，对所提供的信息负责。 3．所内计算机的帐号只授予个人使用，被授权者对自己享用（或因特殊需要由集体享用的）资源负有保护责任，口令密码必须选择六个字符以上，不得泄漏给外人。集体享有的账号，在上网时要有完善的登记制度。账号信息如有泄漏，应及时变更，严格禁止将自己帐号让与她人使用的情况。而且不得在邮件服务器端保留已收取的邮件。 4．遵守有利于科技交流的国际惯例，在非授权情况下，不得私自拷贝不属于自己的软件资源，严禁将带病毒的文件输入计算机。要及时安装最新系统升级程序，并进行病毒库的升级。 5．遵守国家有关法律、行政法规，严格执行计算所安全保密规章制度，不得利用网络从事危害国家安全、泄漏国家秘密等违法犯罪活动，不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息；接入Internet的计算机严禁处理涉密信息,严禁经过任何无保密保障措施的通信设备传递国家秘密信息，涉密计算机系统须符合国家有关规定和标准。 6．对在计算机上被动收到的不良信息，严禁扩散，应及时报告网络管理员，协助删除，并报有关部门处理。 7．严禁私自在网络和计算机上进行大量消耗资源且没有科学意义的测试操作、广告型或链式通讯操作、游戏型或赌博型操作。所内计算机严禁在线看电视，下载电影。 8．严禁盗用她人IP地址或自行使用未分配的IP地址。因其而产生的流量费用自付。 9. 任何人不得在电子公告服务系统中发布含有下列内容之一的信息： (一)反对宪法所确定的基本原则的； (二)危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的； (三)损害国家荣誉和利益的； (四)煽动民族仇恨、民族歧视，破坏民族团结的； (五)破坏国家宗教政策，宣扬邪教和封建迷信的； (六)散布谣言，扰乱社会秩序，破坏社会稳定的； (七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆 犯罪的； (八)侮辱或者诽谤她人，侵害她人合法权益的； (九)含有法律、行政法规禁止的其它内容的。 10. 如发现违反上述任何规定者，将视情节严重程度及造成的影响和损失，给予停止使用网络和帐号3～6个月的处罚，直至提交有关部门追究法律责任。 11．如发现她人有违反上述任何规定的行为，应立即报告网络管理员。 12．所网络的有关工作人员和用户必须接受并配合国家有关部门依法进行的监督检查。 六． 本办法的解释权在计算所科研支撑处 七、 本守则自发布之日起正式实行 二○○七年五月再次修订 附件一、 计算所通信、计算机信息系统 及办公自动化设备保密管理规定 一、总 则 (一)为保护计算机信息系统处理的国家秘密安全，根据《中华人民共和国保守国家秘密法》和国家有关规定，结合计算所实际，制定本管理规定，本规定适应于对全所涉密通信、计算机信息系统及办公自动化设备的管理。我所计算机信息系统包括涉密计算机信息系统和非涉密计算机信息系统。本规定所称涉密计算机信息系统，是指所有采集、存储、处理、传递、输出国家秘密信息的计算机系统(简称内网)。非涉密信息系统是指连接因特网的局域网，简称外网。 (二) 本规定所称的通信、办公自动化和计算机信息系统是指以计算机、电话机、传真机、打印机、文字处理机、声像设备等为终端设备，利用计算机、通信、网络等技术进行信息采集、处理、存储和传输的设备、技术、管理的组合。 二、保密管理责任 (一)涉密计算机信息系统的保密管理实行领导负责制，我所主管领导负责我所涉密计算机信息系统的保密工作我所的保密委员会对涉密计算机信息系统进行保密工作的指导、协调和监督，其有关人员是计算机系统的保密责任人。 (二)各单位保密负责人及保密兼职管理人员要加强对计算机信息系统的管理，认真履行职责。要配备必要的保密设备，定期按照有关保密法规对我所计算机信息系统进行保密技术检查；要建立系统的工作记录和安全应急机制，进行安全隐患分析，及时发现和排除泄密隐患。 (三)有涉密计算机信息系统的单位，应根据所从事的项目涉密等级制定相应的保密管理措施。各单位保密负责人应对涉密计算机信息系统的安全保密管理员进行严格审查，定期考核，并保持相对稳定。 (四)各单位保密负责人和项目负责人根据涉密管理工作需要和涉密项目研制的需求，在确定涉密计算机和撤销涉密计算机时，需填写涉密计算机确定、撤销审批表，经所保密委员会审批同意后，到设备管理部门、保密办公室办理相关事宜。 (五)有涉密计算机信息系统的单位，应指定涉密项目的安全保密管理员，负责本单位内网的网络安全运行和上机人员的管理，担负计算机信息系统保密监控管理的任务。 三、计算机系统保密管理 (一)我所涉密计算机信息系统需进行安全保密方案设计，其涉密计算机信息系统的建设，必须与保密设施的建设同步进行，涉密计算机信息系统在投入使用前，须按照国家保密局制定的《涉及国家秘密的通信，办公自动化和计算机信息系统审批暂行办法》，经上级保密工作部门或地市级(含)以上地方保密工作部门审批；使用的安全保密设备必须经过国家主管部门指定的评测认证机构的测评认证，建立的涉密内网需标明密级，并有文字说明。 (二)涉密计算机信息网络，不得直接或间接联入国际互联网或其它公共信息网络，必须与外网实行物理隔离。 (三)涉密网络安全管理员要严格控制对系统的各级访问权限，其密码口令不得泄露。根据相关规定，对数据进行存储、更新和删除，防止对已有数据和文件进行非法传播和破坏。 (四)各单位(部门)严禁涉密信息在外网传递，必要时需使用涉密介质进行涉密信息的相互传递，并严格登记；涉密内网上需要交流的涉密信息，应放置在专门的目录区进行存储、处理、传递。 (五)涉密计算机信息系统在内网进行联网时，应采取访问控制、数据保护、审计跟踪和系统安全保密监控管理等技术措施。 (六)涉密信息和数据必须按照《计算所国家秘密载体保密管理办法》进行存储、处理、传递、使用和销毁。 (七)涉密信息处理场所和涉密信息系统的硬件设备，应当符合下列要求: 1、涉密信息处理场所应当按照国家有关规定，与境外机构驻地、人员住所保持相应的安全距离； 2、涉密信息处理场所应当根据涉密程度和有关规定设立控制区，未经本单位负责人批准，无关人员不得进入； 3、涉密信息处理场所应定期或根据需要进行保密安全检查； 4、硬件设备应当经过保密安全检查； 5、按照国家有关标准，采取防电磁泄露的保密防护措施，涉密计算机电磁泄漏发射距离必须在安全范围之内；处理绝密级信息的计算机的防护要符合保密安全要求。 6、计算机信息系统所采用的各种保密技术设备及技术措施，必须是经过国家有关主管部门审批许可的； 7、涉密计算机信息系统的硬件设备，不得用于其它系统。确需转入其它涉密项目使用的设备，必须进行严格的保密技术处理，并经所保密办确认无涉密信息后，方可使用。 8、涉密计算机需作相应的密级标识，涉密及非涉密计算机需建立总台帐，研究室随时更新并定期向设备管理部门上报。 9、其它物理安全要求，应符合国家有关保密标准。 (八)存储有涉密内容的计算机和各类磁盘，要按行业保密范围的规定，在机器和磁盘外表、存储涉密文件名与文件首页上标明密级。并严格按涉密载体进行管理。 (九)个人使用的涉密活动硬盘要妥善保管，不使用时应放在密码文件柜或密码保险柜中，未经批准禁止将存贮有涉密事项的活动硬盘携带出楼。 (十)工作需要携带U盘外出时必须注意存放、保管和使用安全。 (十一)严禁使用非涉密便携式计算机处理和存储涉密信息。需处理涉密信息的便携式计算机要经所保密委员会审批后方可使用；涉密便携式计算机需外接涉密磁介质方可处理涉密信息；涉密便携式计算机及涉密磁介质携带外出时需填写涉密载体便携式计算机外出审批表，经批准后方可携带外出，返回时需保密办检查和注销。 (十二)存储过国家秘密信息的计算机载体不能降低密级使用。不再使用的涉密载体应交回保密办统一处理。 (十三)存储过国家秘密信息的计算机载体维修时应严格实施监督，保证所存储的国家秘密不被泄露。 (十四)涉密计算机信息系统处理的信息应按国家有关规定确定密级和保密期限。涉密计算机信息系统涉及的国家秘密信息，其密级和保密期限一经确定，应采取下列保密措施: 1、按照存储信息的最高密级标注相应的密级标识，密级标识不能与正文分离；涉密电子文档、过程文件、图纸都应有密级标识。 2、应按照相应密级文件的管理规定进行管理。 3、涉密计算机信息系统口令设置秘密级为8位，口令更换周期不得长于一个月；机密级为10位以上，口令更换周期不得长于一周；绝密级应采用一次性口令或生理特征等强认证措施，口令更改作相应记录。 4、涉密计算机杀毒软件要及时升级。 (十五)计算机信息系统打印输出的涉密文件，应当按相应密级的文件进行管理。 (十六)涉密计算机信息系统的各种计算机软件及信息，不得公开进行学术交流，不得公开发表。 (十七)使用计算机和涉密载体处理涉密信息时，如需要较长时间离开，必须退出计算机系统或关机，并将涉密载体存入保险柜。 (十八)涉密部门的领导和重要涉密岗位的工作人员不得使用她人赠与的手机和带有发射装置而又无保密措施的无线通信工具。 (十九)所内部通信网络的构成、线路、防范措施等保密事项，不得向外泄露。 四、国际互联网保密管理 (一)国家秘密信息不得在与国际互联网的计算机信息系统中存储、处理和传递。 (二)我所使用的涉密计算机网络远程通信设备必须是经上级单位认可的密码传输通讯设备。 (三)严禁经过任何无保密保障措施的通信设备传递国家秘密信息。 (四)涉密便携式计算机不能上互联网、不能存储涉密信息；非涉密便携式计算机不能处理涉密信息。 (五)涉及国家秘密的信息，包括在对外交往与合作中经审查、批准与境外特定对象合法交换的国家秘密信息，不得在国际网络联网的计算机信息系统中存储、处理、传递；内部事项不得在外网上公布。 (六)上网信息的保密管理实行“谁上网谁负责”的原则。用户应当根据国家保密法规，实行上网信息保密审批领导责任制。向国际联网的站点提供或发布信息，必须经过所保密委员会审查，建立保密审查和存档制度。 (七)凡以提供网上信息服务为目的而采集的信息，组织者在上网发布前，填写审批表经批准同意后方可发布；凡对上网信息内容进行扩充或更新，除经领导批准已公开在新闻媒体上发表的外，要认真执行信息保密审核制度。 (八)对于非涉密且开通了国际互联网服务的计算机必须专机专用，不能处理任何涉密信息。与社会公共网连接必须经过本部门领导批准并在各单位备案，未经批准任何人不得私自在所内联通社会公共网。 五、办公自动化设备的保密管理 (一)所属各单位需指派专人对办公自动化设备进行管理，使用专门保密设备进行涉密文件打印、传真、安全传输、涉密介质复制、加密通话时需经批准方可使用。 (二)涉密文件的复印、传真、安全传输、加密通话时必须填写审批表，经批准后到保密办公室使用专门保密设备办理。 (三)密收传真、涉密文件安全传输时要履行涉密载体登记签收手续，用后收回，未经所主管负责人批准不得私自复印或抄存。 (四)严禁在无任何安全保密传输的话机上谈及军工项目相关的涉密信息，任何部门和个人发现违规情况都有权力提醒、制止，对严重违规者需上报保密委员会。 (五)打印、复印、传真涉密文件产生的废纸必须按涉密文件销毁。 (六)从事保密文件打印、复印、传真等使用的保密设备存放处应严加管理，无关人员不得随意接触设备。 (七)使用密码传真时传真件上应有发件人签名和加盖“密传”图章，传真件需拿回的应先行复制，发件人签名和加盖“密传”图章后传发，操作员应将密传件留存备查1年。 (八)密码传真应密收密复，禁止密件明发、明件密发和明密混发。 (九)中央和国务院文件不得利用密码传真、密码网络传输。 (十)从事涉密工作的单位(部门)应在一台指定的计算机上从事涉密信息的打印，不能使用连接外网的打印机。 (十一)所属各单位需要配备保密设备时，需向所保密办公室提出设备申请，并填写保密设备申请表，由本单位课题组负责人和保密负责人同意后交所保密办公室，经保密委领导同意后方可配备。 (十二)设备维修时工作人员必须在场实施保密监督。 六、其 它 (一)应急措施 (1)发现保密重点部位、涉密计算机信息系统、涉密介质、密码设备等被恶意破坏或盗抢等情况需采取的应急措施： 发现人应立即制止或做好保护现场工作，并通知保密办公室及相关保密负责人；保密办公室接到通知后应立即报告主管所领导及上级相关部门，配合有关部门进行调查。 (2)发生地震、火灾等自然灾害应急措施： 保密委员会主任负责全所各项工作的分工和协调，保密办公室人员、涉密系统管理员及相关部门主管保密工作负责人和执行人参与，做好保密抢救工作。灾难处理完毕后，尽快恢复正常工作，并对应急工作进行总结。 (二)任何单位和个人发现计算机信息系统泄密后，应及时采取补救措施，并按有关规定及时上报。 (三)各单位保密负责人应认真履行职责，组织对本单位进行定期检查，所保密委员会将进行不定期抽查，抽查中对认真履行职责和违规行为的单位和人员按照保密奖惩办法进行奖励和处罚。 (四)本规定的解释权在所保密委员会。 (五)本规定自所务会经过之日起开始执行。 附件二 中科院计算所网络与信息安全应急预案 密级：内部     １　总则     １．１　编制目的     建立健全中科院计算所网络与信息安全的应急工作机制，提高应对突发事件的应急处理能力，保证网络与信息安全指挥调度工作迅速、高效、有序地进行，满足突发情况下中科院计算所网络稳定、持续运行，根据国家有关规定结合中科院网络中心具体要求，特制订此预案。     １．２　编制依据     依据《中华人民共和国电信条例》、《国家突发公共事件总体应急预案》《中国科技网网络与信息安全应急预案》等有关法规和规章制度，制定本预案。     １．３　适用范围     本预案适用于下述情况下的重大通信保障或通信恢复工作。 （１）中科院计算所网络发生或可能发生重大网络与信息安全事件； （２）国内特别重大自然灾害、事故灾难、突发公共卫生事件、突发社会安全事件；       １．４　工作原则     在中科院计算所网络与信息安全领导小组的统一指挥下，计算所各用户单位应遵循，明确责任，分级负责，严密组织、密切协同，快速反应、保障有力的原则。     ２　组织指挥体系及职责   中科院计算所网络与信息安全领导小组负责处理中科院计算所网络与信息安全重大问题，协调处理重大突发性的紧急事件，具体内容如下： 6． 处理计算所网络与信息安全事件； 7． 网络安全事件的监控，发现问题及时的报科技网应急小组 8． 对所用户提供网络与信息安全咨询和技术支持； 9． 定期对网络进行安全漏洞扫描，并通知终端用户； 10． 开展安全教育培训； 中科院计算所网络与信息安全办公室设在网络管理办公室， 网络管理办公室负责日常联络和事务处理工作。 各部门管理网络联系人职责 5. 负责监控和分析本单位的网络与信息安全状况，及时发现、处理、汇总安全事件信息，在规定的时间内上报； 6. 明确我所应急组织体系、职责和应急处理流程； 7. 加强安全防范工作，完善重要业务的数据备份机制， 8. 加强信息内容安全的管理，发现有害信息及时清除并上报；        ３　预防和预警机制 ３.１ 安全事件分级 中科院计算所网络与信息安全事件根据危害和紧急程度，分“一级/紧急”、“二级/报警”、“三级/预警”、“四级/一般”四种。一级为重大网络事故，二级为一般的网络事故。 ３．１．１ 一级/紧急 下列情况之一为“一级/紧急”级别的网络与信息安全事件 （1） 新的网络蠕虫爆发或出现网络瘫痪的安全事故； （2） 计算所网络因网络攻击造成的或不能找出确切原因的网络中断或出现路由器失去控制； （3） 发生关键网站服务器（中科院计算所网络与信息安全领导小组确确定）瘫痪，或者发生其它有恶劣影响的网络与信息安全相关事件 ３．１．２ 二级/报警 下列情况之一为“二级/报警”级别的网络与信息安全事件 （1） 出现一种新的利用主流操作系统合应急程序漏洞的网络蠕虫； （2） 计算所因发生网络攻击造成的或不能找出确切原因的网络性能明显下降的事件； （3） 网站内容被非法篡改，或者利用网络服务进行仿冒诈骗（如：网络防冒钓鱼等）； （4） 发生敏感的信息类内容安全事件，尚未造成较大影响的。 ３．１．３ 三级/预警 下列情况之一为“三级/预警”级别的网络与信息安全事件 （1） 出现针对近两个月内发布的主流操作系统和应用程序漏洞的攻击方法 （2） 个别计算机出现已知的病毒或蠕虫发作 （3） 个别主机发布非法信息内容（如：色情信息、迷幻药、购买枪支弹药等），对国家安全和社会秩序造成一定损害； ３．１．４ 四级/一般 下列情况之一为“四级/一般”级别的网络与信息安全事件 （1） 发生未达到三级的一般新安全事件； （2） 出现新的漏洞，尚未发现利用方法或者被利用迹象； （3） 出现新的蠕虫/病毒或者其它恶意代码，尚未证明能够造成严重危害。 ３.２ 信息监测与报告 ３.２.１ 信息监测 计算所网络管理办负责对所属的计算机网络与信息进行安全管理和监控，及时汇总并发现问题，出现如下问题向科技网进行通告。 （1） 网络或信息系统通信和资源使用异常，网络和信息系统瘫痪、应用服务中断或数据篡改、丢失等情况； （2） 电子公告服务、群发电子邮件等网络信息服务中反动有害信息的传播情况； （3） 利用网络从事违法犯罪活动的情况； （4） 已经确定或可能发生的计算机病毒、网络攻击情况、 （5） 网络恐怖活动的嫌疑情况和预警信息； （6） 网络安全状况、安全角势分析预测等信息； （7） 其它影响网络安全与信息安全的信息。 ３.２.２ 信息上报 我所网络用户发现问题，应向中科院计算所网络与信息安全领导小组通告，中科院计算所网络与信息安全领导小组要及时地汇总、分析并将问题报科技网应急小组。     ３．３　预防预警行动     在获得网络事故消息时， 中科院计算所网络与信息安全领导小组应立即召开会议，研究部署应急工作的应对措施，通知相关部门做好网络与信息安全应急工作的各项准备工作，并报上级单位。     ４　应急响应 应急响应说明 在国内发生重大自然灾害、重大公共突发事件、与战争、反恐有关的突发事件以及召开重要会议、重大国事活动等特殊重要时期，没有发生三级以上重大互联网安全事件时，应按照“三级/预警”级别安全事件的处理要求和流程做好应急准备；当发生或可能发生三级以上重大互联网安全事件时，按高一级级别安全事件的处理要求和流程进行各项应急处理。 ４. １ 应急事件处理流程 发生网络与信息安全事件时，应立即启用此应急预案，按如下流程进行处理 （1）采取措施，有效控制局势，将危害程度和损失控制到最小； （2）发生技术类安全事件，在规定的时间内及时报告科技网应急小组；若发生信息内容类安全事件应直接报告院安保办； （3）对重大的网络与信息安全事件需按国家有关规定保护现场； （4）对被攻击的系统进行恢复和加固处理； （5）密切监视本单位网络情况；与科技网应急小组保持联系；听候进一步的指示； （6）在安全事件得到有效控制后，要在规定的时间内将本单位事件发生的原因和漏洞、危害程度、处理过程和损失情况报科技网应急小组，信息内容类安全事件直接报院安保办； （7）与科技网应急小组联系解除临时的网络隔离措施； ４．２ 信息共享 ４．２．１ 信息通告机制 在发生或可能发生三级/预警安全事件的情况下，应在24小时内向科技网应急小组报告相关信息；二级/报警安全事件情况应在8小时内报告；一级/紧急安全事件情况应在1小时内报告； 信息内容类安全事件直接报告院安保办； ４．２．２ 信息共享的方式 事件信息的报告能够经过电子邮件、传真、公文、专报等方式，有如下要求 （1） 三级/预警安全事件使用电子邮件或传真报告，并邮件回复或使用电话确认对方收到； （2） 二级以上安全事件必须先经过电话通报，同时经过电子邮件或传真报告，并使用电话确认对方收到； （3） 敏感信息应经过机要渠道报院安保办 （4） 根据情况及时补充正式的公文报告。 ４．３ 应急结束 接院安保办指示终止应急事件流程 ５ 保障措施 在网络与信息安全应急处理工作中，必须遵守以下规范，严格工作纪律，确保不出现任何责任事故 1. 有关人员应服从领导，加强协调，遵守工作程序，注意保密； 2. 应急值班电话和所有应急工作人员应确保24小时通讯畅通 3. 网络与信息安全应急预案启动后，有关人员要坚守岗位 4. 遇到特殊问题、不能判定或需要上级协调的问题，应及时请示汇报 ６ 《中科院计算所网络与信息安全应急预案》自发布之日起生效