中国科学院研究所领导班子建设与干部管理办法
中科院计算所网络与信息安全管理制度
一、目的
目的:
为保证中国科学院计算技术研究所网络与信息的安全,规范所内网络资源的使用和所内网络用户的上网行为。
二、适用范围
中国科学院计算技术研究所所有网络用户。
三、引用文件
《中华人民共和国计算机信息网络国际联网管理暂行规定》;
四、职责
一、中科院计算所网络与信息安全领导小组负责处理中科院计算所网络语信息安全重大问题,协调处理重大突发性的紧急事件。
1.处理计算所网络与信息安全事件;
2.网络安全事件的监控,发现问题及时的报科技网应急小组3.对所用户提供网络与信息安全咨询和技术支持;
4.定期对网络进行安全漏洞扫描,并通知终端用户;
5.开展安全教育培训;
二、中科院计算所网络与信息安全办公室设在网络管理办公室,
1.网络管理办公室负责日常联络和事务处理工作。
2.要保证有专职人员负责计算机与网络管理和维护
3.要对网络进行安全性能的优化,配备必要的软、硬件设施有效抵挡外来入侵
三、各部门管理网络联系人职责
1.负责监控和分析本单位的网络与信息安全状况,及时发现、处理、汇总安全事件信息,在规定的时间内上报;
2.3.4.明确我所应急组织体系、职责和应急处理流程;加强安全防范工作,完善重要业务的数据备份机制,加强信息内容安全的管理,发现有害信息及时清除并上报;
5.
要时刻谨记,对自己的网络行为负责。同时加强安全防护意识,
防止非法盗用的发生。
6.
按要求对接入互联网的网站进行备案。
7.
要配合并协助落实此制度的实行。
五、具体管理办法
1.所有网络用户必须遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》等国家有关法律、法规及《计算所通信、计算机信息系统及办公自动化设备管理规定》(见附件1)等所内的相关规章制度,在发生网络与信息安全突发事件时要立即启动《中科院计算所网络与信息安全应急预案》(见附件2),并努力将损失减到最小。
2.所内的计算机网络及计算机软、硬件资源仅用于与科研、教育及相关的业务,通过网络系统进行的数据传输、邮件通讯或新闻发布,其内容也必须是上述性质的范围,不得违反国家对计算机和国际互联网有关的安全条例和规定,严格执行安全保密制度,对所提供的信息负责。
3.所内计算机的帐号只授予个人使用,被授权者对自己享用(或因特殊需要由集体享用的)资源负有保护责任,口令密码必须选择六个字符以上,不得泄漏给外人。集体享有的账号,在上网时要有完善的登记制度。账号信息如有泄漏,应及时变更,严格禁止将自己帐号让与他人使用的情况。并且不得在邮件服务器端保留已收取的邮件。
4.遵守有利于科技交流的国际惯例,在非授权情况下,不得私自拷贝不属于自己的软件资源,严禁将带病毒的文件输入计算机。要及时安装最新系统升级程序,并进行病毒库的升级。
5.遵守国家有关法律、行政法规,严格执行计算所安全保密规章制度,不得利用网络从事危害国家安全、泄漏国家秘密等违法犯罪活动,不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息;接入internet的计算机严禁处理涉密信息,严禁通过任何无保密保障措施的通信设备传递国家秘密信息,涉密计算机系统须符合国家有关规定和标准。
6.对在计算机上被动收到的不良信息,严禁扩散,应及时报告网络管理员,协助删除,并报有关部门处理。
7.严禁私自在网络和计算机上进行大量消耗资源且没有科学意义的测试操作、广告型或链式通讯操作、游戏型或赌博型操作。所内计算机严禁在线看电视,下载电影。
8.严禁盗用他人ip地址或自行使用未分配的ip地址。因其而产生的流量费用自付。
9.任何人不得在电子公告服务系统中发布含有下列内容之一的信息:
(一)反对宪法所确定的基本原则的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)损害国家荣誉和利益的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)破坏国家宗教政策,宣扬邪教和封建迷信的;
(六)散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
(八)侮辱或者诽谤他人,侵害他人合法权益的;
(九)含有法律、行政法规禁止的其他内容的。
10.如发现违反上述任何规定者,将视情节严重程度及造成的影响和损失,给予停止使用网络和帐号3~6个月的处罚,直至提交有关部门追究法律责任。
11.如发现他人有违反上述任何规定的行为,应立即报告网络管理员。
12.所网络的有关工作人员和用户必须接受并配合国家有关部门依法进行的监督检查。
六、本办法的解释权在计算所科研支撑处
七、本守则自发布之日起正式实行
二○○七年五月再次修订
附件
一、
计算所通信、计算机信息系统
及办公自动化设备保密管理规定
一、总则
(一)为保护计算机信息系统处理的国家秘密安全,根据《中华人民共和国保守国家秘密法》和国家有关规定,结合计算所实际,制定本管理规定,本规定适应于对全所涉密通信、计算机信息系统及办公自动化设备的管理。我所计算机信息系统包括涉密计算机信息系统和非涉密计算机信息系统。本规定所称涉密计算机信息系统,是指所有采集、存储、处理、传递、输出国家秘密信息的计算机系统(简称内网)。非涉密信息系统是指连接因特网的局域网,简称外网。
(二)本规定所称的通信、办公自动化和计算机信息系统是指以计算机、电话机、传真机、打印机、文字处理机、声像设备等为终端设备,利用计算机、通信、网络等技术进行信息采集、处理、存储和传输的设备、技术、管理的组合。
二、保密管理责任
(一)涉密计算机信息系统的保密管理实行领导负责制,我所主管领导负责我所涉密计算机信息系统的保密工作我所的保密委员会对涉密计算机信息系统进行保密工作的指导、协调和监督,其有关人员是计算机系统的保密责任人。
(二)各单位保密负责人及保密兼职管理人员要加强对计算机信息系统的管理,认真履行职责。要配备必要的保密设备,定期按照有关保密法规对我所计算机信息系统进行保密技术检查;要建立系统的工作记录和安全应急机制,进行安全隐患分析,及时发现和排除泄密隐患。
(三)有涉密计算机信息系统的单位,应根据所从事的项目涉密等级制定相应的保密管理措施。各单位保密负责人应对涉密计算机信息系统的安全保密管理员进行严格审查,定期考核,并保持相对稳定。
(四)各单位保密负责人和项目负责人根据涉密管理工作需要和涉密项目研制的需求,在确定涉密计算机和撤销涉密计算机时,需填写涉密计算机确定、撤销审批表,经所保密委员会审批同意后,到设备管理部门、保密办公室办理相关事宜。
(五)有涉密计算机信息系统的单位,应指定涉密项目的安全保密管理员,负责本单位内网的网络安全运行和上机人员的管理,担负计算机信息系统保密监控管理的任务。
三、计算机系统保密管理
(一)我所涉密计算机信息系统需进行安全保密方案设计,其涉密计算机信息系统的建设,必须与保密设施的建设同步进行,涉密计算机信息系统在投入使用前,须按照国家保密局制定的《涉及国家秘密的通信,办公自动化和计算机信息系统审批暂行办法》,经上级保密工作部门或地市级(含)以上地方保密工作部门审批;使用的安全保密设备必须经过国家主管部门指定的评测认证机构的测评认证,建立的涉密内网需标明密级,并有文字说明。
(二)涉密计算机信息网络,不得直接或间接联入国际互联网或其它公共信息网络,必须与外网实行物理隔离。
(三)涉密网络安全管理员要严格控制对系统的各级访问权限,其密码口令不得泄露。根据相关规定,对数据进行存储、更新和删除,防止对已有数据和文件进行非法传播和破坏。
(四)各单位(部门)严禁涉密信息在外网传递,必要时需使用涉密介质进行涉密信息的相互传递,并严格登记;涉密内网上需要交流的涉密信息,应放置在专门的目录区进行存储、处理、传递。
(五)涉密计算机信息系统在内网进行联网时,应采取访问控制、数据保护、审计跟踪和系统安全保密监控管理等技术措施。
(六)涉密信息和数据必须按照《计算所国家秘密载体保密管理办法》进行存储、处理、传递、使用和销毁。
(七)涉密信息处理场所和涉密信息系统的硬件设备,应当符合下列要求:
1、涉密信息处理场所应当按照国家有关规定,与境外机构驻地、人员住所保持相应的安全距离;
2、涉密信息处理场所应当根据涉密程度和有关规定设立控制区,未经本单位负责人批准,无关人员不得进入;
3、涉密信息处理场所应定期或根据需要进行保密安全检查;
4、硬件设备应当经过保密安全检查;
5、按照国家有关标准,采取防电磁泄露的保密防护措施,涉密计算机电磁泄漏发射距离必须在安全范围之内;处理绝密级信息的计算机的防护要符合保密安全要求。
6、计算机信息系统所采用的各种保密技术设备及技术措施,必须是经过国家有关主管部门审批许可的;
7、涉密计算机信息系统的硬件设备,不得用于其它系统。确需转入其他涉密项目使用的设备,必须进行严格的保密技术处理,并经所保密办确认无涉密信息后,方可使用。
8、涉密计算机需作相应的密级标识,涉密及非涉密计算机需建立总台帐,研究室随时更新并定期向设备管理部门上报。
9、其他物理安全要求,应符合国家有关保密标准。
(八)存储有涉密内容的计算机和各类磁盘,要按行业保密范围的规定,在机器和磁盘外表、存储涉密文件名与文件首页上标明密级。并严格按涉密载体进行管理。
(九)个人使用的涉密活动硬盘要妥善保管,不使用时应放在密码文件柜或密码保险柜中,未经批准禁止将存贮有涉密事项的活动硬盘携带出楼。
(十)工作需要携带u盘外出时必须注意存放、保管和使用安全。
(十一)严禁使用非涉密便携式计算机处理和存储涉密信息。需处理涉密信息的便携式计算机要经所保密委员会审批后方可使用;涉密便携式计算机需外接涉密磁介质方可处理涉密信息;涉密便携式计算机及涉密磁介质携带外出时需填写涉密载体便携式计算机外出审批表,经批准后方可携带外出,返回时需保密办检查和注销。
(十二)存储过国家秘密信息的计算机载体不能降低密级使用。不再使用的涉密载体应交回保密办统一处理。
(十三)存储过国家秘密信息的计算机载体维修时应严格实施监督,保证所存储的国家秘密不被泄露。
(十四)涉密计算机信息系统处理的信息应按国家有关规定确定密级和保密期限。涉密计算机信息系统涉及的国家秘密信息,其密级和保密期限一经确定,应采取下列保密措施:
1、按照存储信息的最高密级标注相应的密级标识,密级标识不能与正文分离;涉密电子文档、过程文件、图纸都应有密级标识。
2、应按照相应密级文件的管理规定进行管理。
3、涉密计算机信息系统口令设置秘密级为8位,口令更换周期不得长于一个月;机密级为10位以上,口令更换周期不得长于一周;绝密级应采用一次性口令或生理特征等强认证措施,口令更改作相应记录。
4、涉密计算机杀毒软件要及时升级。
(十五)计算机信息系统打印输出的涉密文件,应当按相应密级的文件进行管理。
(十六)涉密计算机信息系统的各种计算机软件及信息,不得公开进行学术交流,不得公开发表。
(十七)使用计算机和涉密载体处理涉密信息时,如需要较长时间离开,必须退出计算机系统或关机,并将涉密载体存入保险柜。
(十八)涉密部门的领导和重要涉密岗位的工作人员不得使用他人赠与的手机和带有发射装置而又无保密措施的无线通信工具。
(十九)所内部通信网络的构成、线路、防范措施等保密事项,不得向外泄露。
四、国际互联网保密管理
(一)国家秘密信息不得在与国际互联网的计算机信息系统中存储、处理和传递。
(二)我所使用的涉密计算机网络远程通信设备必须是经上级单位认可的密码传输通讯设备。
(三)严禁通过任何无保密保障措施的通信设备传递国家秘密信息。
(四)涉密便携式计算机不能上互联网、不能存储涉密信息;非涉密便携式计算机不能处理涉密信息。
此处内容需要权限查看
会员免费查看1.有关人员应服从领导,加强协调,遵守工作程序,注意保密;
2.应急值班电话和所有应急工作人员应确保24小时通讯畅通3.网络与信息安全应急预案启动后,有关人员要坚守岗位4.遇到特殊问题、不能判定或需要上级协调的问题,应及时请示汇报
6《中科院计算所网络与信息安全应急预案》自发布之日起生效