中国科学院计算关键技术研究应用所网络与信息安全管理新规制度.doc

1、中科院计算所网络和信息安全管理制度一目标目标：为确保中国科学院计算技术研究所网络和信息安全，规范所内网络资源使用和所内网络用户上网行为。二适用范围中国科学院计算技术研究所全部网络用户。三引用文件中国计算机信息网络国际联网管理暂行要求；四职责 一、 中科院计算所网络和信息安全领导小组负责处理中科院计算所网络语信息安全重大问题，协调处理重大突发性紧急事件。1 处理计算所网络和信息安全事件；2 网络安全事件监控，发觉问题立即报科技网应急小组3 对所用户提供网络和信息安全咨询和技术支持；4 定时对网络进行安全漏洞扫描，并通知终端用户；5 开展安全教育培训；二、中科院计算所网络和信息安全办公室设在网络管

2、理办公室， 1. 网络管理办公室负责日常联络和事务处理工作。2. 要确保有专职人员负责计算机和网络管理和维护3. 要对网络进行安全性能优化，配置必需软、硬件设施有效抵挡外来入侵三、 各部门管理网络联络人职责1. 负责监控和分析本单位网络和信息安全情况，立即发觉、处理、汇总安全事件信息，在要求时间内上报；2. 明确我所应急组织体系、职责和应急处理步骤；3. 加强安全防范工作，完善关键业务数据备份机制，4. 加强信息内容安全管理，发觉有害信息立即清除并上报； 5. 要时刻谨记，对自己网络行为负责。同时加强安全防护意识，预防非法盗用发生。 6 按要求对接入互联网网站进行立案。7 要配合并帮助落实此制

3、度实施。五具体管理措施1全部网络用户必需遵守中国计算机信息网络国际联网管理暂行要求等国家相关法律、法规及计算所通信、计算机信息系统及办公自动化设备管理要求（见附件1）等所内相关规章制度,在发生网络和信息安全突发事件时要立即开启中科院计算所网络和信息安全应急预案（见附件2），并努力将损失减到最小。2所内计算机网络及计算机软、硬件资源仅用于和科研、教育及相关业务，经过网络系统进行数据传输、邮件通讯或新闻公布，其内容也必需是上述性质范围，不得违反国家对计算机和国际互联网相关安全条例和要求，严格实施安全保密制度，对所提供信息负责。3所内计算机帐号只授予个人使用，被授权者对自己享用（或因特殊需要由集体享

4、用）资源负有保护责任，口令密码必需选择六个字符以上，不得泄漏给外人。集体享受账号，在上网时要有完善登记制度。账号信息如有泄漏，应立即变更，严格严禁将自己帐号让和她人使用情况。而且不得在邮件服务器端保留已收取邮件。4遵守有利于科技交流国际通例，在非授权情况下，不得私自拷贝不属于自己软件资源，严禁将带病毒文件输入计算机。要立即安装最新系统升级程序，并进行病毒库升级。5遵守国家相关法律、行政法规，严格实施计算所安全保密规章制度，不得利用网络从事危害国家安全、泄漏国家秘密等违法犯罪活动，不得制作、查阅、复制和传输妨碍社会治安信息和淫秽色情等信息；接入Internet计算机严禁处理涉密信息,严禁经过任何

5、无保密保障方法通信设备传输国家秘密信息，涉密计算机系统须符合国家相关要求和标准。6对在计算机上被动收到不良信息，严禁扩散，应立即汇报网络管理员，帮助删除，并报相关部门处理。7严禁私自在网络和计算机上进行大量消耗资源且没有科学意义测试操作、广告型或链式通讯操作、游戏型或赌博型操作。所内计算机严禁在线看电视，下载电影。8严禁盗用她人IP地址或自行使用未分配IP地址。因其而产生流量费用自付。9. 任何人不得在电子公告服务系统中公布含有下列内容之一信息：(一)反对宪法所确定基础标准；(二)危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一；(三)损害国家荣誉和利益；(四)煽动民族仇恨、民族歧视，破

6、坏民族团结；(五)破坏国家宗教政策，宣扬邪教和封建迷信；(六)散布谣言，扰乱社会秩序，破坏社会稳定；(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或教唆犯罪；(八)欺侮或诽谤她人，侵害她人正当权益；(九)含有法律、行政法规严禁其它内容。10. 如发觉违反上述任何要求者，将视情节严重程度及造成影响和损失，给停止使用网络和帐号36个月处罚，直至提交相关部门追究法律责任。11如发觉她人有违反上述任何要求行为，应立即汇报网络管理员。12所网络相关工作人员和用户必需接收并配合国家相关部门依法进行监督检验。六 本措施解释权在计算所科研支撑处七、 本守则自公布之日起正式实施 二七年五月再次修订 附件一、计算所

7、通信、计算机信息系统 及办公自动化设备保密管理要求一、总 则(一)为保护计算机信息系统处理国家秘密安全，依据中国保守国家秘密法和国家相关要求，结累计算所实际，制订本管理要求，本要求适应于对全所涉密通信、计算机信息系统及办公自动化设备管理。我所计算机信息系统包含涉密计算机信息系统和非涉密计算机信息系统。本要求所称涉密计算机信息系统，是指全部采集、存放、处理、传输、输出国家秘密信息计算机系统(简称内网)。非涉密信息系统是指连接因特网局域网，简称外网。(二) 本要求所称通信、办公自动化和计算机信息系统是指以计算机、电话机、传真机、打印机、文字处理机、声像设备等为终端设备，利用计算机、通信、网络等技术

8、进行信息采集、处理、存放和传输设备、技术、管理组合。二、保密管理责任(一)涉密计算机信息系统保密管理实施领导负责制，我所主管领导负责我所涉密计算机信息系统保密工作我所保密委员会对涉密计算机信息系统进行保密工作指导、协调和监督，其相关人员是计算机系统保密责任人。(二)各单位保密责任人及保密兼职管理人员要加强对计算机信息系统管理，认真推行职责。要配置必需保密设备，定时根据相关保密法规对我所计算机信息系统进行保密技术检验；要建立系统工作统计和安全应急机制，进行安全隐患分析，立即发觉和排除泄密隐患。(三)有涉密计算机信息系统单位，应依据所从事项目涉密等级制订对应保密管理方法。各单位保密责任人应对涉密计

9、算机信息系统安全保密管理员进行严格审查，定时考评，并保持相对稳定。(四)各单位保密责任人和项目责任人依据涉密管理工作需要和涉密项目研制需求，在确定涉密计算机和撤销涉密计算机时，需填写涉密计算机确定、撤销审批表，经所保密委员会审批同意后，到设备管理部门、保密办公室办理相关事宜。(五)有涉密计算机信息系统单位，应指定涉密项目标安全保密管理员，负责本单位内网网络安全运行和上机人员管理，担负计算机信息系统保密监控管理任务。三、计算机系统保密管理(一)我所涉密计算机信息系统需进行安全保密方案设计，其涉密计算机信息系统建设，必需和保密设施建设同时进行，涉密计算机信息系统在投入使用前，须根据国家保密局制订包

10、含国家秘密通信，办公自动化和计算机信息系统审批暂行措施，经上级保密工作部门或地市级(含)以上地方保密工作部门审批；使用安全保密设备必需经过国家主管部门指定评测认证机构测评认证，建立涉密内网需标明密级，并有文字说明。(二)涉密计算机信息网络，不得直接或间接联入国际互联网或其它公共信息网络，必需和外网实施物理隔离。(三)涉密网络安全管理员要严格控制对系统各级访问权限，其密码口令不得泄露。依据相关要求，对数据进行存放、更新和删除，预防对已经有数据和文件进行非法传输和破坏。(四)各单位(部门)严禁涉密信息在外网传输，必需时需使用涉密介质进行涉密信息相互传输，并严格登记；涉密内网上需要交流涉密信息，应放

11、置在专门目录区进行存放、处理、传输。(五)涉密计算机信息系统在内网进行联网时，应采取访问控制、数据保护、审计跟踪和系统安全保密监控管理等技术方法。(六)涉密信息和数据必需根据计算所国家秘密载体保密管理措施进行存放、处理、传输、使用和销毁。(七)涉密信息处理场所和涉密信息系统硬件设备，应该符合下列要求: 1、涉密信息处理场所应该根据国家相关要求，和境外机构驻地、人员住所保持对应安全距离；2、涉密信息处理场所应该依据涉密程度和相关要求设置控制区，未经本单位责任人同意，无关人员不得进入；3、涉密信息处理场所应定时或依据需要进行保密安全检验；4、硬件设备应该经过保密安全检验；5、根据国家相关标准，采取

12、防电磁泄露保密防护方法，涉密计算机电磁泄漏发射距离必需在安全范围之内；处理绝密级信息计算机防护要符合保密安全要求。6、计算机信息系统所采取多种保密技术设备及技术方法，必需是经过国家相关主管部门审批许可； 7、涉密计算机信息系统硬件设备，不得用于其它系统。确需转入其它涉密项目使用设备，必需进行严格保密技术处理，并经所保密办确定无涉密信息后，方可使用。8、涉密计算机需作对应密级标识，涉密及非涉密计算机需建立总台帐，研究室随时更新并定时向设备管理部门上报。9、其它物理安全要求，应符合国家相关保密标准。(八)存放有涉密内容计算机和各类磁盘，要按行业保密范围要求，在机器和磁盘外表、存放涉密文件名和文件首

13、页上标明密级。并严格按涉密载体进行管理。(九)个人使用涉密活动硬盘要妥善保管，不使用时应放在密码文件柜或密码保险柜中，未经同意严禁将存贮有涉密事项活动硬盘携带出楼。 (十)工作需要携带U盘外出时必需注意存放、保管和使用安全。 (十一)严禁使用非涉密便携式计算机处理和存放涉密信息。需处理涉密信息便携式计算机要经所保密委员会审批后方可使用；涉密便携式计算机需外接涉密磁介质方可处理涉密信息；涉密便携式计算机及涉密磁介质携带外出时需填写涉密载体便携式计算机外出审批表，经同意后方可携带外出，返回时需保密办检验和注销。(十二)存放过国家秘密信息计算机载体不能降低密级使用。不再使用涉密载体应交回保密办统一处

14、理。 (十三)存放过国家秘密信息计算机载体维修时应严格实施监督，确保所存放国家秘密不被泄露。(十四)涉密计算机信息系统处理信息应按国家相关要求确定密级和保密期限。涉密计算机信息系统包含国家秘密信息，其密级和保密期限一经确定，应采取下列保密方法: 1、根据存放信息最高密级标注对应密级标识，密级标识不能和正文分离；涉密电子文档、过程文件、图纸全部应有密级标识。 2、应按摄影应密级文件管理要求进行管理。3、涉密计算机信息系统口令设置秘密级为8位，口令更换周期不得长于30天；机密级为10位以上，口令更换周期不得长于一周；绝密级应采取一次性口令或生理特征等强认证方法，口令更改作对应统计。4、涉密计算机杀

15、毒软件要立即升级。(十五)计算机信息系统打印输出涉密文件，应该按对应密级文件进行管理。(十六)涉密计算机信息系统多种计算机软件及信息，不得公开进行学术交流，不得公开发表。(十七)使用计算机和涉密载体处理涉密信息时，如需要较长时间离开，必需退出计算机系统或关机，并将涉密载体存入保险柜。(十八)涉密部门领导和关键涉密岗位工作人员不得使用她人赠和手机和带有发射装置而又无保密方法无线通信工具。(十九)所内部通信网络组成、线路、防范方法等保密事项，不得向外泄露。四、国际互联网保密管理(一)国家秘密信息不得在和国际互联网计算机信息系统中存放、处理和传输。(二)我所使用涉密计算机网络远程通信设备必需是经上级

16、单位认可密码传输通讯设备。(三)严禁经过任何无保密保障方法通信设备传输国家秘密信息。(四)涉密便携式计算机不能上互联网、不能存放涉密信息；非涉密便携式计算机不能处理涉密信息。(五)包含国家秘密信息，包含在对外交往和合作中经审查、同意和境外特定对象正当交换国家秘密信息，不得在国际网络联网计算机信息系统中存放、处理、传输；内部事项不得在外网上公布。(六)上网信息保密管理实施“谁上网谁负责”标准。用户应该依据国家保密法规，实施上网信息保密审批领导责任制。向国际联网站点提供或公布信息，必需经过所保密委员会审查，建立保密审查和存档制度。(七)凡以提供网上信息服务为目标而采集信息，组织者在上网公布前，填写

17、审批表经同意同意后方可公布；凡对上网信息内容进行扩充或更新，除经领导同意已公开在新闻媒体上发表外，要认真实施信息保密审核制度。(八)对于非涉密且开通了国际互联网服务计算机必需专机专用，不能处理任何涉密信息。和社会公共网连接必需经过本部门领导同意并在各单位立案，未经同意任何人不得私自在所内联通社会公共网。五、办公自动化设备保密管理(一)所属各单位需指派专员对办公自动化设备进行管理，使用专门保密设备进行涉密文件打印、传真、安全传输、涉密介质复制、加密通话时需经同意方可使用。(二)涉密文件复印、传真、安全传输、加密通话时必需填写审批表，经同意后到保密办公室使用专门保密设备办理。(三)密收传真、涉密文

18、件安全传输时要推行涉密载体登记签收手续，用后收回，未经所主管责任人同意不得私自复印或抄存。(四)严禁在无任何安全保密传输话机上谈及军工项目相关涉密信息，任何部门和个人发觉违规情况全部有权力提醒、阻止，对严重违规者需上报保密委员会。(五)打印、复印、传真涉密文件产生废纸必需按涉密文件销毁。(六)从事保密文件打印、复印、传真等使用保密设备存放处应严加管理，无关人员不得随意接触设备。(七)使用密码传真时传真件上应有发件人署名和加盖“密传”图章，传真件需拿回应先行复制，发件人署名和加盖“密传”图章后传发，操作员应将密传件留存备查1年。 (八)密码传真应密收密复，严禁密件明发、明件密发和明密混发。(九)

19、中央和国务院文件不得利用密码传真、密码网络传输。(十)从事涉密工作单位(部门)应在一台指定计算机上从事涉密信息打印，不能使用连接外网打印机。(十一)所属各单位需要配置保密设备时，需向所保密办公室提出设备申请，并填写保密设备申请表，由本单位课题组责任人和保密责任人同意后交所保密办公室，经保密委领导同意后方可配置。(十二)设备维修时工作人员必需在场实施保密监督。六、其 它(一)应急方法(1)发觉保密关键部位、涉密计算机信息系统、涉密介质、密码设备等被恶意破坏或盗抢等情况需采取应急方法：发觉人应立即阻止或做好保护现场工作，并通知保密办公室及相关保密责任人；保密办公室接到通知后应立即汇报主管所领导及上

20、级相关部门，配合相关部门进行调查。(2)发生地震、火灾等自然灾难应急方法：保密委员会主任负责全所各项工作分工和协调，保密办公室人员、涉密系统管理员及相关部门主管保密工作责任人和实施人参与，做好保密抢救工作。灾难处理完成后，立即恢复正常工作，并对应急工作进行总结。(二)任何单位和个人发觉计算机信息系统泄密后，应立即采取补救方法，并按相关要求立即上报。(三)各单位保密责任人应认真推行职责，组织对本单位进行定时检验，所保密委员会将进行不定时抽查，抽查中对认真推行职责和违规行为单位和人员根据保密奖惩措施进行奖励和处罚。(四)本要求解释权在所保密委员会。(五)本要求自所务会经过之日起开始实施。附件二 中

21、科院计算所网络和信息安全应急预案 密级：内部总则 编制目标 建立健全中科院计算所网络和信息安全应急工作机制，提升应对突发事件应急处理能力，确保网络和信息安全指挥调度工作快速、高效、有序地进行，满足突发情况下中科院计算所网络稳定、连续运行，依据国家相关要求结合中科院网络中心具体要求，特制订此预案。 编制依据 依据中国电信条例、国家突发公共事件总体应急预案中国科技网网络和信息安全应急预案等相关法规和规章制度，制订本预案。 适用范围 本预案适适用于下述情况下重大通信保障或通信恢复工作。 （）中科院计算所网络发生或可能发生重大网络和信息安全事件；（）中国尤其重大自然灾难、事故灾难、突发公共卫生事件、突

22、发社会安全事件； 工作标准 在中科院计算所网络和信息安全领导小组统一指挥下，计算所各用户单位应遵照，明确责任，分级负责，严密组织、亲密协同，快速反应、保障有力标准。 组织指挥体系及职责 中科院计算所网络和信息安全领导小组负责处理中科院计算所网络和信息安全重大问题，协调处理重大突发性紧急事件，具体内容以下：6 处理计算所网络和信息安全事件；7 网络安全事件监控，发觉问题立即报科技网应急小组8 对所用户提供网络和信息安全咨询和技术支持；9 定时对网络进行安全漏洞扫描，并通知终端用户；10 开展安全教育培训；中科院计算所网络和信息安全办公室设在网络管理办公室， 网络管理办公室负责日常联络和事务处理工

23、作。各部门管理网络联络人职责5. 负责监控和分析本单位网络和信息安全情况，立即发觉、处理、汇总安全事件信息，在要求时间内上报；6. 明确我所应急组织体系、职责和应急处理步骤；7. 加强安全防范工作，完善关键业务数据备份机制，8. 加强信息内容安全管理，发觉有害信息立即清除并上报； 预防和预警机制 . 安全事件分级 中科院计算所网络和信息安全事件依据危害和紧急程度，分“一级/紧急”、“二级/报警”、“三级/预警”、“四级/通常”四种。一级为重大网络事故，二级为通常网络事故。 一级/紧急下列情况之一为“一级/紧急”等级网络和信息安全事件（1） 新网络蠕虫爆发或出现网络瘫痪安全事故；（2） 计算所网

24、络因网络攻击造成或不能找出确切原因网络中止或出现路由器失去控制；（3） 发生关键网站服务器（中科院计算所网络和信息安全领导小组确确定）瘫痪，或发生其它有恶劣影响网络和信息安全相关事件 二级/报警下列情况之一为“二级/报警”等级网络和信息安全事件（1） 出现一个新利用主流操作系统合应急程序漏洞网络蠕虫；（2） 计算所因发生网络攻击造成或不能找出确切原因网络性能显著下降事件；（3） 网站内容被非法篡改，或利用网络服务进行仿冒诈骗（如：网络防冒钓鱼等）；（4） 发生敏感信息类内容安全事件，还未造成较大影响。 三级/预警下列情况之一为“三级/预警”等级网络和信息安全事件（1） 出现针对近两个月内公布主

25、流操作系统和应用程序漏洞攻击方法（2） 部分计算机出现已知病毒或蠕虫发作（3） 部分主机公布非法信息内容（如：色情信息、迷幻药、购置枪支弹药等），对国家安全和社会秩序造成一定损害； 四级/通常下列情况之一为“四级/通常”等级网络和信息安全事件（1） 发生未达成三级通常新安全事件；（2） 出现新漏洞，还未发觉利用方法或被利用迹象；（3） 出现新蠕虫/病毒或其它恶意代码，还未证实能够造成严重危害。. 信息监测和汇报 . 信息监测 计算所网络管理办负责对所属计算机网络和信息进行安全管理和监控，立即汇总并发觉问题，出现以下问题向科技网进行通告。（1） 网络或信息系统通信和资源使用异常，网络和信息系统瘫

26、痪、应用服务中止或数据篡改、丢失等情况；（2） 电子公告服务、群发电子邮件等网络信息服务中反动有害信息传输情况；（3） 利用网络从事违法犯罪活动情况；（4） 已经确定或可能发生计算机病毒、网络攻击情况、（5） 网络恐怖活动嫌疑情况和预警信息；（6） 网络安全情况、安全角势分析估计等信息；（7） 其它影响网络安全和信息安全信息。. 信息上报 我所网络用户发觉问题，应向中科院计算所网络和信息安全领导小组通告，中科院计算所网络和信息安全领导小组要立即地汇总、分析并将问题报科技网应急小组。预防预警行动 在取得网络事故消息时， 中科院计算所网络和信息安全领导小组应立即召开会议，研究布署应急工作应对方法，

27、通知相关部门做好网络和信息安全应急工作各项准备工作，并报上级单位。应急响应 应急响应说明在中国发生重大自然灾难、重大公共突发事件、和战争、反恐相关突发事件和召开关键会议、重大国事活动等特殊关键时期，没有发生三级以上重大互联网安全事件时，应根据“三级/预警”等级安全事件处理要求和步骤做好应急准备；当发生或可能发生三级以上重大互联网安全事件时，按高一级等级安全事件处理要求和步骤进行各项应急处理。 . 应急事件处理步骤 发生网络和信息安全事件时，应立即启用此应急预案，按以下步骤进行处理（1）采取方法，有效控制局势，将危害程度和损失控制到最小；（2）发生技术类安全事件，在要求时间内立即汇报科技网应急小

28、组；若发生信息内容类安全事件应直接汇报院安保办；（3）对重大网络和信息安全事件需按国家相关要求保护现场；（4）对被攻击系统进行恢复和加固处理；（5）亲密监视本单位网络情况；和科技网应急小组保持联络；听候深入指示；（6）在安全事件得到有效控制后，要在要求时间内将本单位事件发生原因和漏洞、危害程度、处理过程和损失情况报科技网应急小组，信息内容类安全事件直接报院安保办；（7）和科技网应急小组联络解除临时网络隔离方法； 信息共享 信息通告机制在发生或可能发生三级/预警安全事件情况下，应在二十四小时内向科技网应急小组汇报相关信息；二级/报警安全事件情况应在8小时内汇报；一级/紧急安全事件情况应在1小时内

29、汇报；信息内容类安全事件直接汇报院安保办； 信息共享方法 事件信息汇报能够经过电子邮件、传真、公文、专报等方法，有以下要求（1） 三级/预警安全事件使用电子邮件或传真汇报，并邮件回复或使用电话确定对方收到；（2） 二级以上安全事件必需先经过电话通报，同时经过电子邮件或传真汇报，并使用电话确定对方收到；（3） 敏感信息应经过机要渠道报院安保办（4） 依据情况立即补充正式公文汇报。 应急结束 接院安保办指示终止应急事件步骤 保障方法 在网络和信息安全应急处理工作中，必需遵守以下规范，严格工作纪律，确保不出现任何责任事故1. 相关人员应服从领导，加强协调，遵守工作程序，注意保密；2. 应急值班电话和全部应急工作人员应确保二十四小时通讯通畅3. 网络和信息安全应急预案开启后，相关人员要坚守岗位4. 碰到特殊问题、不能判定或需要上级协调问题，应立即请示汇报 中科院计算所网络和信息安全应急预案自公布之日起生效