为提高网络和信息安全防护能力和水平，保证学校网络与信息系统持续稳定可靠运行，保障学校各项事业健康有序发展，防范各种网络攻击和破坏行为，根据《中华人民共和国网络安全法》《中华人民共和国保守国家秘密法》《中华人民共和国计算机信息系统安全保护条例》等国家相关法律法规，以及国家互联网信息办公室文件精神，结合学校实际情况，制定本办法。

第一章 总则

第一条 网络与信息安全包括支持我校教学、科研、管理和服务工作的各类管理信息系统、业务应用系统、媒体资源系统、网站以及网络基础设施等所涉及的硬、软件系统和其内容信息的安全。

第二条 学校按照国家有关网络安全和信息化建设的法律、法规、规章，制定网络与信息安全总体规划，加强安全管理与技术研究，建立健全相关规章制度，并在实际工作中予以落实。

第二章 组织机构与管理职责

第三条 网络安全与信息化工作领导小组是学校网络与信息安全的决策议事协调机构，负责统筹谋划、安排部署；网络安全与信息化工作领导小组办公室具体负责学校网络安全与信息化工作协调推进、督促落实；各二级学院、部门、单位（以下统称校内各单位）应在本单位内部成立相应网络与信息安全工作小组，落实部门相关职责。

网络安全与信息化工作领导小组职责为：贯彻落实国家和省市关于网络安全和信息化工作的方针、政策，落实省教育厅网络安全和信息化工作部署，负责统一领导、统一谋划、统一部署全校网络安全和信息化工作，审定学校网络安全和信息化发展战略、宏观规划和重大政策，统一领导网络安全与网络舆情的预防、监测、报告和应急处置工作，研究网络安全与信息化工作的重要问题。

网络安全与信息化工作领导小组办公室职责为：承担学校网络安全与信息化工作领导小组的日常工作，统筹推进网络安全与信息工作的。

校内各单位网络与信息安全工作小组职责为：单位党政主要负责人为第一责任人，并指定专人担任信息安全员，负责本单位及下属部门的网络与信息系统安全工作。

第四条 教育信息技术中心负责学校网络与信息安全的技术支撑工作。加强学校网络与信息系统的日常管理和维护，保障网络与信息系统的正常运行；保存网络运行日志（至少180天），配合调查取证；负责入网单位和个人办理入网登记手续；负责校园网络设施设备安全，任何单位和个人不得擅自拆除、变动校园网络设施设备，确若因工作、业务需拆除、变动的须向中心报告并经同意后方可实施。

第五条 学校党委宣传统战部负责推进学校网络文化建设，加强对各类网络意识形态阵地的管理、落实网络意识形态工作，防范处置网络意识形态风险，加强网络统一战线建设。负责网络信息内容的安全监管，强化校园网络舆情信息的监控和管理，组织开展网上舆情疏导和正面宣传，负责学校官方媒体平台和校园电子屏的管理。负责组织开展网络安全宣传教育等工作。

第六条 学校党委保卫处负责网络普法工作，加强网络法治宣传教育，提高师生网络法治意识。依法治理网络，协助相关部门、单位处置网络信息安全事件及隐患。

第七条 校内各单位按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则切实落实网络与信息安全责任。网络与信息系统的主管部门承担系统的安全管理和监督责任；网络与信息系统的运行维护部门承担系统的技术安全保障责任，网络与信息系统的使用单位和个人承担系统操作与信息内容的直接安全责任。网络与信息系统通过外包服务方式进行维护的，主管单位负责督促外包服务单位做好安全运维工作，网络与信息系统的安全监管责任主体仍为主管单位。

第三章 安全秩序

第八条 强化网络与信息系统安全。仅适用于学校师生的网络服务原则上在校园网内开展，需校外使用的须采用安全访问技术进行访问。学校接入互联网的校园网络和开展面向社会的服务信息系统必须采取防火墙、身份认证、MAC或IP地址绑定、安全审计、病毒防护及入侵检测等安全技术手段。学校师生使用校园网络和通过校园网访问互联网必须实名认证。校内互联网接入由教育信息技术中心统一管理，包括IP地址、域名及网络帐号等。

第九条 学校域名为abtu.edu.cn，各主办单位若需使用域名，原则上只能使用学校二级域名，按信息系统名称的拼音或英文缩写简写设置域名并提出申请，经教育信息技术中心批准后使用。任何单位和个人均须落实实名登记网络帐号信息，并对网络帐号安全使用负责。

第十条 任何单位和个人不得私自与校外单位联网，不得私自发展校外用户。

第十一条 校园网络实行信息系统报批备案制。需要在校园网上开办信息系统的单位，应到教育信息技术中心办理登记注册手续，其中BBS、论坛、聊天室、博客、微博等公众信息服务系统，以及在微信、QQ等互联网社交平台上开办公众服务号，应到党委宣传统战部报备批准。未经许可，任何入网单位或个人不得以冠有“阿坝师范学院”、“阿坝师院”或“阿师院”等中外文字样、校徽等学校标识的任何名义开通信息发布、BBS、论坛、聊天室、博客、微博、微信等公众信息服务系统。

第十二条 各单位原则上应依托校园网开展信息系统建设。涉及学校基础数据、师生员工个人信息或敏感信息的信息系统，不得部署在校外。需要在校外开办信息系统的单位，应到教育信息技术中心办理备案手续。部署在校外的网络和信息系统，安全监管责任主体为主办单位。

第十三条 经批准建立的公众信息服务系统应明确专门的管理员和制订相应管理制度，包括安全保护技术措施、信息发布审核登记制度、信息监视保存清除备份制度、不良信息报告和协助查处制度、管理人员岗位责任制。

第十四条 各单位应建立健全信息发布、信息审查、应急处置机制，指定人员负责审查上网信息和信息系统保密管理，负责涉及学校或本单位舆情的处置引导，以及监管本单位师生开设的博客、微博、微信等自媒体平台。

第十五条 在网络上严禁制作、查阅、复制或传播下列信息:

（一）煽动抗拒、破坏宪法和国家法律、行政法规实施；

（二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一；

（三）损害国家荣誉和利益；

（四）煽动民族仇恨、民族歧视，破坏民族团结，或者侵害民族风俗习惯；

（五）宣扬恐怖主义、邪教、封建迷信，违反国家宗教政策；

（六）捏造或者歪曲事实，散布谣言，扰乱社会秩序，破坏社会稳定；

（七）侮辱他人或者捏造事实诽谤他人;

（八）含有淫秽、色情、赌博、暴力、欺诈等内容；

（九）含有法律、法规禁止的其他内容。

第十六条 在网络上严禁下列行为：

（一）破坏、盗用、篡改计算机网络中的信息资源；

（二）故意泄露、窃取、篡改个人电子信息，擅自利用网络收集、使用个人电子信息，出售或者非法向他人提供个人电子信息；

（三）违背他人意愿、冒用他人名义发布信息；

（四）攻击、入侵、破坏计算机网络、信息系统及设备设施；

（五）故意阻塞、中断校园网络，恶意占用网络资源；

（六）故意制作、传播、使用计算机病毒、木马、恶意软件等破坏性程序；

（七）故意大量发送垃圾电子邮件、垃圾短信等，干扰正常网络秩序；

（八）盗用他人帐号、盗用他人IP地址；

（九）私自转借、转让用户帐号造成危害；

（十）私自开设二级代理和路由接纳网络用户；

（十一）上网信息审查不严，造成严重后果；

（十二）以端口扫描和私搭DHCP服务器等方式，破坏网络正常运行；

（十三）私自将外网串接到校园网络；

（十四）其它违反法律法规或危害网络与信息安全的行为。

第四章 安全防护

第十七条 各单位作为安全等级保护的责任主体，应当按照国家信息安全等级保护的管理规范、技术标准确定信息系统的安全保护等级，并报学校有关部门审核。学校按相关规定选择具有相关技术资质和安全资质的测评单位，对二级及以上的信息系统进行等级测评。经测评，信息安全状况未达到安全保护等级要求的，信息系统的主办单位应制定整改方案并落实到位。

第十八条 各单位对于新建、改建、扩建的信息系统，应当在规划、设计阶段同步建设网络信息安全保障措施。

第十九条 各单位对于主办的信息系统的安全负责，应当采取必要的安全措施，严防入侵、篡改、泄露等事件发生。信息系统服务器应当按照等级保护2.0安全基线予以加固，相关服务器仅开放必要的服务端口，独立设置的应用数据库不得发布到公网，校外系统维护采用堡垒机或VPN等通道进行，数据传输的采用https协议。

第二十条 各单位应建立检查巡查机制，定期或不定期组织开展信息系统安全演练，查找安全漏洞和隐患；更新和升级必要的服务器软件，及时安装补丁，包括操作系统、web服务器、应用中间件、数据库等，定期修改系统管理密码（采用强密码），加强服务器应用的安全性。

第二十一条 各单位应建立本单位信息安全值守制度，做到安全事件早发现、早报告、早控制、早解决。

第二十二条 各单位对于主办的信息系统，每季度至少进行1次安全检查，填写检查台账。检查内容包括：

（一）查杀病毒，清除木马、后门等恶意程序，升级系统补丁；

（二）检查网页和重要数据的备份情况；

（三）检查网页内容，及时清除无关网页和暗链；

（四）定期更改口令，清理不必要的管理帐号；杜绝空口令、弱口令和默认口令；

（五）检查SQL注入和跨站脚本等安全漏洞；

（六）检查服务器安全策略，关闭不必要的端口和服务；

（七）检查系统日志留存情况，留存相关日志不少于六个月。

第二十三条 教育信息技术中心应当构建学校网络安全防护体系，采取必要的防护措施，对于重点信息系统重点防护，保障系统和重要数据的安全。每月至少进行1次安全检查，填写检查台账。重点信息系统包括：

（一）学校WWW门户网站；

（二）学校重要办公网站、办公信息系统；

（三）统一身份认证、数据中心等校级重要公共服务平台；

（四）教学、科研、人事、财务、资产等学校重要业务信息系统及相关重要数据库。

第二十四条 建立网络安全监测预警和信息通报制度。教育信息技术中心负责信息收集、分析和通报工作，按照规定向全校统一发布网络安全监测预警信息。各单位应做好网络与信息安全事件的风险评估和隐患排查工作，制订完善相关应急预案，及时采取有效措施，避免和减少网络与信息安全事件的发生及其危害。

第二十五条 建立健全学校网络与信息安全类突发公共事件应急工作机制，提高应对网络与信息安全类突发公共事件的能力，预防和减少由此造成的损失和危害，维护学校的安全和稳定。

第五章 责任追究

第二十六条 对于违反本办法第十五条、第十六条规定的，将依法依规提请学校相关部门或组织认定，并停止其校园网络的使用。需给予处分的，按国家相关法律法规、学校相关制度作相应处理。

第二十七条 未经教育信息技术中心同意，拆除、变动校园网络设备设施，教育信息技术中心可限制网络通信、责令恢复原状，造成设备设施损毁的报国资处按照破坏公物处理，将违规行为纳入部门年度考核。

第二十八条 各单位和个人应当履行安全职责。如因未尽职责或管理不善而造成严重后果的，将依法依规追究其相应责任。

第六章 附则

第二十九条 本办法由学校网络安全与信息化工作领导小组办公室负责解释。

第三十条 本管理办法自公布之日起执行。

（2021年11月12日印发）