信息系统管理员承担着单位信息系统(网站)及后台服务器管理的责任,在管理过程中应注意以下要点:
1、系统建设过程符合学校规定
信息系统(网站)建设过程应符合《兰州文理学院校园网安全管理暂行办法》《兰州文理学院网络与信息服务管理办法》要求,并实施信息系统安全等级保护工作。建设仅用于新闻、通知发布的网站,必须采用学校网站群平台。学校网站群平台由信息中心建设并负责后台维护,二级单位管理员只需负责新闻、通知发布,无需进行后台管理及安全维护工作。
2、账号管理
信息系统账号分两类:用户账号、管理账号。信息系统用户认证原则上必须集成学校统一认证。管理账号应设置高强度密码,避免使用电话号码、生日、姓名、单位名称等作为密码,定期修改密码,管理人员调岗离职应及时回收账号。在开发商交付系统时,应做好管理账号交接、并修改密码。
3、避免泄露敏感信息
以“涉密不上网,上网不涉密”原则,不得在任何互联网服务器存储、传输涉密信息。根据《网络安全法》规定,作为信息系统管理单位有责任和义务保护用户个人信息,个人信息包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。在信息系统开发和运维过程中,应重视平台安全、代码安全和逻辑安全,及时修复漏洞及后门,避免泄露用户个人信息。在网站发布公开新闻、通知时,应重点检查是否泄露涉密信息、单位内部信息、学生教职工个人信息等。
4、信息系统(网站)校内备案
根据教育部相关文件关于治理校园信息系统(网站)小散乱现象的要求,学校加强校内信息系统(网站)管理,校内各单位及在校师生建立、运营、维护的信息系统(网站)必须进行信息系统(网站)校内备案。校内各级单位及在校师生建立的信息系统(网站),需明确其直接负责人及其他相关信息,在学校信息系统(网站)备案登记系统上进行备案登记。需登记的主机包括在数据中心托管、在自建机房放置或自行搭建、租用的物理主机、虚拟主机、云主机。校内备案流程是:1)信息系统(网站)负责人登录网上业务办理平台进行“信息系统(网站)备案登记”(登记网址:xxxxxx);2)学校二级单位安全负责人审批;3)信息中心受理登记。
5、信息系统(网站)ICP备案
独立域名是指信息系统网站管理单位单独向域名注册商申请的域名。我校域名主域名为luas.edu.cn,ICP备案号为陇ICP备14001863号-1,前缀为luas.edu.cn的网站不需要再进行ICP备案。根据《非经营性互联网信息服务备案管理办法》(信息产业部令第33号)要求,我校校内信息系统(网站)凡使用独立域名的网站必须向教育网运营商赛尔网络有限公司提交备案申请。
6、系统服务端口的开放
服务器部署网站系统后,需要在服务器上开放相应的服务端口。应以最小原则开放服务器端口,仅向公众开放用户访问的服务端口。原则上不向校外开放管理端口、运维端口。代维公司在校外需访问运维端口,可由系统管理单位向信息中心申请运维VPN账号。
7、避免泄露敏感信息
由于系统开发不严谨或平台、插件采用旧版本、未及时打补丁等原因,信息系统出现安全漏洞。我校信息系统漏洞报告主要来源于网络中心不定期的安全漏洞扫描、教育行业漏洞报告平台以及安全管理部门下发的安全通报等。在开发过程中,应要求开发商采用新版本、稳定、可靠的系统开发平台;在项目验收时,做好系统安全漏洞检查;在运维过程中,做好系统升级、打补丁等工作,收到漏洞报告及时修复。网络中心为校内信息系统提供免费的WAB应用漏洞扫描、服务器远程安全评估服务,在项目验收及日常运维过程中,系统管理员可向网络中心提出扫描申请。
8、学校关于网络安全的通知
网信办通过学校办公系统通知、网信办主页发布上级管理部门下发的网络安全通知要求、最新网络安全相关法律法规、近期网络安全预警等信息。
9、参加网信办组织的网络安全培训
网信办每年至少组织一次线下的网络安全培训,线上安全培训课程。
信息中心相关业务支持
相关法律
中华人民共和国网络安全法
中华人民共和国计算机信息系统安全保护条例
互联网新闻信息服务新技术新应用安全评估管理规定
互联网新闻信息服务单位内容管理从业人员管理办法
互联网跟帖评论服务管理规定
互联网论坛社区服务管理规定
互联网用户公众账号信息服务管理规定
互联网群组信息服务管理规定
互联网信息服务管理办法
