校园网安全等级

校园网络的发展到今天，大多都已成为了Internet的一部分。安全策略越来越成为学校计算机网络的关键因素。特别是随着多协议新业务的发展、电子商务、网上办公、各种中间业务的应用，学校网络不再是一个封闭的网络，极大地扩展了学校的业务，提高了学校的竞争力，但同时也带来网络安全的风险。网络设计中必须制定网络安全策略，保证内部网络的完整性和安全性。

我国根据国际形势也把计算机安全等级做了一定的划分。具体分类为如下级别：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。湖北警官学院的校园网依照上述分级标准，应该属于系统审计保护级。系统审计保护级的计算机信息系统可信计算机实施了程度更细的自主访问控制，它通过登录规则，审计安全性相关事件和隔离资源，使用户对自己的行为负责。

湖北警官学院校园网存在着许多安全隐患和漏洞，严重威胁着校园网的安全。例如：

1.黑客攻击

校园网同时与CERNET、Internet 相连, 通过CERNET与Internet 相连, 在享受Internet 方便快捷的同时,也面临着遭遇攻击的风险。黑客攻击活动日益猖獗, 成为当今社会关注的焦点。典型的黑客攻击有入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。黑客攻击不仅来自校园网外部, 还有相当一部分来自校园网内部, 由于内部用户对网络的结构和应用模式都比较了解, 因此来自内部的安全威胁会更大一些。

2.BUG影响

目前使用的软件尤其是操作系统或多或少都存在安全漏洞, 对网络安全构成了威胁。现在网络服务器安装的操作系统有UNIX、Windows NTP2000、Linux 等, 这些系统安全风险级别不同, UNIX因其技术较复杂通常会导致一些高级黑客对其进行攻击; 而Windows NTP2000 操作系统由于得到了广泛的普及, 加上其自身安全漏洞较多, 因此, 导致它成为较不安全的操作系统。在去年一段时期、冲击波病毒比较盛行, 冲击波”这个利用微软RPC 漏洞进行传播的蠕虫病毒至少攻击了全球80 %的Windows 用户, 使他们的计算机无法工作并反复重启, 该病毒还引发了DoS (Denial of service) 攻击, 使多个国家的互联网也受到相当影响。

3.不良信息传播

在校园网接入Internet 后, 师生都可以通过校园网络进入Internet 。目前Internet 上各种信息良莠不齐, 其中有些不良信息违反人类的道德标准和有关法律法规, 对人生观、世界观正在形成中的学生危害非常大。特别是中小学生,由于年龄小, 分辨是非和抵御干扰能力较差, 如果不采取切实可行安全措施, 势必会导致这些信息在校园内传播,侵蚀学生的心灵。

4.病毒危害

学校接入广域网后, 给大家带来方便的同时, 也为病毒进入学校之门提供了方便, 下载的程序、电子邮件都可能带有病毒。随着校园内计算机应用的大范围普及, 接入校园网的节点数日益增多, 这些节点大都没有采取安全防护措施, 随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、甚至系统瘫痪等严重后果。

5.管理漏洞

一个健全的安全体系, 实际上应该体现的是“三分技术、七分管理”, 网络的整体安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的, 更重要的是体现在对人、对设备的安全管理以及一套行之有效的安全管理制度, 尤其重要的是加强对内部人员的管理和约束, 由于内部人员对网络的结构、模式都比较了解, 若不加强管理, 一但有人出于某种目的破坏网络, 后果将不堪设想。IP 地址盗用、滥用是校园网必须加强管理的方面, 特别是学生区、机房等。IP 配置不当也会造成部分区域网络不通。如在学生学习机房, 有学生不甚将自己的计算机的IP 地址设成本网段的网关地址, 这会导致整个学生机房无法正常访问外网。

针对以上诸多安全隐患，特制定以下校园网管理办法，确保校园网的安全运行，为广大师生提供一个安全文明的互联网空间：

第一条 为了加强校园计算机信息网络安全管理，根据《计算机信息网络国际联网安全保护管理办法》等有关规定，结合我校实际，制定本办法。

第二条 信息网络安全领导小组对信息网络系统安全管理工作履行下列职责：

（一）制订学校有关信息网络安全的有关规定；

（二）检查督促各用网单位建立信息网络安全组织，明确负责人和责任人。

（三）组织进行安全检查，落实有关信息安全的法律法规，督促整改安全隐患；

（四）处理违反信息网络安全管理有关规定的事件，配合公安机关查处危害信息系统

安全的违法犯罪案件；

（五）审定安全保护等级，确定要害计算机信息系统，负责计算机信息系统国际联网的安全监督；

（六）履行法律、法规、规章规定的其他职责。

第三条 信息网络安全管理领导小组聘任7-8名同志任信息网络安全管理检查员，颁发检查证。检查员持证可对校园内所有计算机信息系统及网络系统进行安全检查，有关单位应听从指挥，积极提供情况和资料。

第四条 信息网络使用单位的负责人全面负责本单位信息网络的安全管理工作。

第五条 信息网络使用单位应建立以下安全管理制度：

（一）安全管理责任制度，明确本单位工作人员的安全管理职责；

（二）安全保护制度，保障信息安全，保障计算机网络设施、

信息系统、设施和运行环境安全，保障计算机功能正常发挥；

（三）安全操作制度，规定信息网络系统的操作权限和程序；

（四）安全检查制度，经常检查信息网络系统状况，发现问题及时处理；

（五）安全审核制度，开设电子公告版及公共留言版等公共网络交流平台的单位，要

完善登记备案及信息审核制度。

（六）其他安全管理制度。

第六条 单位和个人使用的计算机信息系统进行联网，必须在网络中心按规定办理登记手续。任何单位和个人，均不得擅自联网。凡在校内开设的机房，必须并入校园网，不得直接接入校园网外的网络。

第七条 校园计算机网络是学校重要的信息基础设施。主要用于教学、科研、和管理。严禁有下列行为之一。

（一）违反计算机信息系统安全等级保护制度和本办法有关安全管理的规定，危害计算机网络和信息系统安全；

（二）违反计算机信息系统国际联网备案制度的；

（三）不按照规定时间报告信息网络安全事故的；

（四）接到信息网络安全领导小组要求改进安全状况通知后，在限期内拒不改进的；

（五）任何单位和个人不得制作、复制、查阅和传播下列信息：

1、煽动抗拒、破坏宪法和法律、行政法规实施的；

2、煽动颠覆国家政权，推翻社会主义制度的；

3、煽动分裂国家、破坏国家统一的；

4、煽动民族仇恨、民族歧视，破坏民族团结的；

5、捏造或者歪曲事实，散布谣言，扰乱公共秩序的；

6、宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、 教唆犯罪的；

7、公然侮辱他人或者捏造事实诽谤他人的；

8、损害国家机关信誉的；

9、其他违反宪法和法律、行政法规的。

（六）任何单位和个人不得从事下列危害计算机信息网络安全的活动：

1、未经允许，进入计算机信息网络或者使用计算机信息网络资源的；

2、未经允许，对计算机信息网络功能进行删除、修改或者增加的；

3、未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的；

4、故意制作、传播计算机病毒等破坏程序的；

5、其他危害计算机信息网络安全的。

如上规定依据《中华人民共和国计算机系统安全保护条例》制定：

第二十条 违反本条例的规定，有下列行为之一的，由公安机关处以警告或者停机整顿：

(一) 违反计算机信息系统安全等级保护制度，危害计算机信息系统安全的；

(二) 违反计算机信息系统国际联网备案制度的；

(三) 不按照规定时间报告计算机信息系统中发生的案件的；

(四) 接到公安机关要求改进安全状况的通知后，在限期内拒不改进的；

(五) 有危害计算机信息系统安全的其他行为的。

第二十一条 计算机机房不符合国家标准和国家其他有关规定的，或者在计算机机房附近施工危害计算机信息系统安全的，由公安机关会同有关单位进行处理。

第二十三条 故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，或者未经许可出售计算机信息系统安全专用产品的，由公安机关处以警告或者对个人处以5000元以 下的罚款、对单位处以15000元以下的罚款；有违法所得的，除予以没收外，可以处以违法所得1至3倍的罚款。