湖南大学网络安全管理办法.docxVIP

湖南大学网络安全管理办法

第一章网络运行安全管理

第一条本校网络运行安全管理覆盖校园网基础设施、信息系统及用户终端设备，包含网络建设、接入认证、设备运维、边界防护等全流程环节，遵循“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则。

第二条网络建设安全要求：

（一）新建、改建、扩建网络信息系统（含硬件设备、软件平台、数据存储设施等）须在立项阶段同步规划网络安全保护措施，形成安全方案并经信息化中心组织的专家评审。评审内容包括但不限于系统架构安全性、数据加密方式、访问控制策略、容灾备份能力等。

（二）采购网络安全产品（如防火墙、入侵检测系统、加密设备等）或服务（如安全测评、漏洞修复）时，须选择通过国家相关认证（如中国网络安全审查技术与认证中心认证）的产品或具备合法资质的服务提供商，采购合同中须明确安全责任条款及违约处置机制。

（三）新系统上线前须完成安全检测，检测内容包括漏洞扫描、渗透测试、配置合规性检查等，检测报告须经信息化中心备案；未通过检测或未完成整改的系统不得接入校园网。

第三条网络接入管理：

（一）校园网接入实行实名认证制。教职工、学生通过统一身份认证系统（UIS）登录接入，校外合作单位人员需由校内业务主管部门提交申请，经信息化中心审核后开通临时账号，账号有效期不超过合作项目周期。

（二）物联网设备（如校园监控摄像头、智能教室终端、实验室传感器等）接入校园网须通过专用接入区，禁止直接接入核心网络；设备需绑定MAC地址与IP地址，启用设备身份认证，未完成认证的设备不得接入。

（三）无线局域网（WLAN）实行分区域管控。教学科研区域WLAN采用802.1X认证+MAC地址白名单双重验证；公共区域WLAN（如图书馆、食堂）需限制访问权限，仅开放HTTP/HTTPS基础服务，禁止访问校园网内部业务系统。

第四条设备与系统运维安全：

（一）核心网络设备（如路由器、交换机、核心服务器）由信息化中心统一管理，配置参数（包括访问控制列表、路由策略、端口状态等）变更需填写《网络设备配置变更申请表》，经信息化中心负责人审批后执行，变更过程需全程记录并留存日志至少6个月。

（二）各二级单位（如学院、职能部门）管理的业务系统服务器须部署在校园网安全域内，安装防病毒软件、主机入侵防御系统（HIPS），定期更新系统补丁；服务器管理员须每季度提交《系统安全自查报告》，内容包括漏洞修复情况、日志审计结果、权限分配记录等，报告由信息化中心存档备查。

（三）关键信息基础设施（如教务管理系统、财务系统、人事管理系统）须符合网络安全等级保护三级要求，每年开展一次等级保护测评，测评中发现的问题须在30个工作日内完成整改并提交整改报告。

第五条网络边界防护与访问控制：

（一）校园网与互联网边界部署下一代防火墙（NGFW），启用入侵防御（IPS）、应用层过滤、流量清洗等功能，实时阻断恶意扫描、DDoS攻击、勒索软件传播等行为；边界防火墙规则每月至少审核一次，冗余规则须及时清理。

（二）内部网络划分安全域（如教学科研域、管理服务域、公共服务域），域间访问实行最小权限原则。跨域访问需由业务主管部门提交申请，明确访问主体、目的、时间及权限范围，经信息化中心审核后配置单向访问策略，策略有效期不超过6个月。

（三）重要业务系统（如研究生招生系统、科研数据管理平台）访问须启用多因素认证（MFA），认证方式包括动态令牌、短信验证码、生物识别（如指纹、人脸）等；管理员账号实行双人管理制，操作日志须记录IP地址、时间、具体行为，留存至少1年。

第二章数据安全管理

第六条本校数据安全管理涵盖教学、科研、管理等全场景数据，包括结构化数据（如学生成绩、教职工信息）、非结构化数据（如科研论文、会议纪要）及半结构化数据（如电子档案、表单），实行分类分级保护。

第七条数据分类分级标准：

（一）核心数据：涉及国家秘密、科研成果知识产权、个人敏感信息（如身份证号、银行账号）或可能影响学校正常运转的关键数据（如财务收支明细、招生录取数据）。

（二）重要数据：涉及教学质量评估、学科建设成果、教职工职称评审等对学校管理有重要影响的数据，或包含个人一般信息（如姓名、联系方式）但可通过关联分析识别特定个体的数据。

（三）一般数据：公开可查的校园新闻、活动通知、公共服务指南等不涉及敏感内容的数据。

第八条数据全生命周期管理要求：

（一）数据收集：遵循“最小必要”原则，仅收集与业务需求直接相关的数据；收集个人信息时须向数据主体明示收集目的、方式、范围及存储期限，取得书面或电子形式同意（学生、教职工可通过信息门户在线确认）；跨部门收集数据需通过校园数据共享平台申请，禁止私自拷贝或抓取其他部门数据