上海四中网络中心机房管理办法

为规范学校网络中心机房设备管理，提高处理学校网络突发事件的能力，形成反应迅速的应急工作机制，确保重要网络设备和服务器硬件安全以及运行安全和数据安全，最大限度地减少突发事件造成的危害，特制定《上海四中网络中心机房管理办法》。本文件适用于有计划性、有预防性地管理我公司的网络中心机房以及发生和可能发生的与机房有关的突发事件，对异常流量来源进行监控，并妥善处理各种异常情况。 

第一条 机房内禁止明火禁止吸烟，机房内的所有设备需要定期维护并做巡检记录、根据机房实际情况进行清扫工作。

第二条 机房网络设备维护由网络管理员进行，如发现机器故障应及时排除故障，在遇到硬件三包范围内的故障时，应及时联系供应公司上门或将机器送供应公司维修。 

第三条 学校教工必须严格遵守有关机房、设备及系统运行管理规定，不得在机房内从事与系统管理、运行维护、系统安装和调试等无关的工作。

第四条 做好防火、防雨、防湿、防盗工作，注意用电安全；机房内的环境要每周检查温度、湿度、电力系统、是否满足机房相关的标准要求。

第五条 机房内的交换机和服务器系学校运营的关键设备，任何人不得自行配置或更改其系统参数。

第六条 要做好机房的安全工作，对服务器的各种帐户、密码严格保密。

第七条 应及时做好数据的备份工作，保证在系统发生故障时，数据能够快速、安全的恢复。所有备份数据不得更改，并要求做到本地和异地分别备份保存。

第八条 为了确保本学校网络正常运行，每日对机房内的设备进行巡视，主要着重于服务器及网络设备运行正常与否。 1.对机房里的温度进行调节，如室内温度过高，调节空调对机房进行有效的通风。2.查看交换机与防火墙及接入设备的工作状态，如发生异常，对其进行及时有效的维护。3.监测网络运行状况。

第九条 除本学校网络管理员外，公司其他人员因工作需要进入机房的，需网络管理员陪同下进入机房。 

第十条 严禁带外单位人员或无关人员进入机房，确因工作需要，如：系统故障诊断和处理，设备维修维护、系统或设备安装等进入机房，必须由网络管理员陪同进入，配合项目的实施。 

第十一条 进入机房的设备应在进入机房前拆除外包装，以保证机房环境的清洁和安静。

第十二条 严禁携带易燃、易爆、易腐蚀等危险性物品进入机房。

第十三条 机房内提供的UPS电源只允许为主机、服务器、网络及存储等核心设备供电，严禁安插其他设备，增加UPS电源供电负荷。 

第十四条 严禁擅自切断供电系统，确因工作需要断电时，首先应做好相应准备工作，经部门领导批准，然后给所有部门发放断电或断网通知，最后方可实施。 

第十五条 机房内安装用电设备或有用电需求的项目时，必须经过专业人员或设备提供商的安装工程师进行现场勘查，经确认在满足或符合要求后工程才能实施。

上海四中学生机房管理制度

一、上机前准备好上机所需的一切物品：书、笔、纸等，不准带与上机无关的东西，如食物、水果、饮料、口香糖等进入机房;也不能将任何物品放在主机、显示器等微机设备上。

二、学生应在上课前五分钟有秩序的进入机房上机，并保持安静；上机期间，不得在机房内走动。

三、按时上下机，不准迟到、早退，有事需履行请假手续；上机时非本班学生一律不得进入。

四、进入机房后必须对号入座，不得擅自调换座位。

五、保持机房安静、整洁。机房内不准大声喧哗，不聊天、嬉笑、打闹和做与计算机学习无关的事情。

六、爱清洁讲卫生，不随地吐痰，不吃东西，不乱丢垃圾，不准在电脑设备及桌、凳、墙壁上乱涂乱画。

七、不得利用机房电脑或其他信息技术散布不当言论，影响学校声誉或扰乱学校正常的教学、生活秩序。

八、不得在机房收看、复制、传播淫秽物品，不得浏览、制作黄色网站、网页，不得利用互联网传播黄色淫秽影片、图片、文章等。

九、爱护机房设施，爱护公物及他人的物品，不乱摸乱动，不准击打室内的桌凳、机器、地面、墙壁等；严禁动用机房内的其它设施，未经允许不得改动或移动机房内的电源、空调、终端、双绞线等；不得碰动机器后面的网络电缆线、电源线、电源插座；

十、严禁私自拆卸配件，更改设置参数、添加口令、删除文件。未经允许，严禁接入U盘，手机等各类网络和存储设备，严禁安装软件和文件。

十一、如遇计算机和其它设备发生故障损坏时，应立即停止使用，向指导教师报告，听候指导教师安排。

十二、上机结束后，把凳子摆放整齐，做好机位周围的清洁工作并离场。

上海四中病毒检测和网络安全漏洞检测措施及制度

一、计算机网络系统安全工作小组应对所有进入校园网的信息进行有效的病毒检测。对于新发现的病毒要及时备份染毒文件并提交杀毒软件提供商，以尽快获得解决方案。

二、所有对外发布的信息必须进行有效的病毒检测，以防止病毒的扩散，对于新发现的病毒要及时备份染毒文件，并追查病毒来源。

三、计算机网络系统安全领导小组应随时检查防火墙、网络病毒检测等网络安全技术措施的配置，以防止网络安全漏洞造成的后果扩散。

四、计算机网络系统安全工作小组应对学校网络进行有效的网络安全配置，并要求各办公室报告已发现网络安全漏洞。

五、计算机网络系统安全工作小组应采用合理的技术手段对网络运行安全进行有效的监控。

严禁校园网内各办公室及功能室任何上网计算机对全网络范围内进行网络扫描、侦听、欺骗、对校园网主机或其他部门的主机进行非法攻击或侵入等非法活动，一经发现，将按情节予以中断网络连接或校内公开批评处理。

六、严禁校园网内的用户利用网络有意或无意的传播病毒，在通过网络向其他用户传送文件时，应先进行病毒检测，确认无病毒后方可传送，对于有意传播病毒的将取消上网资格，情节严重的将送交公安机关处理。

上海四中计算机网络违法案件报告和协助查处制度

为防微杜渐，防患于未然，明确和规范计算机网络违法案件报告和协助查处，特制订本制度。

一、各接入校园网的部门和个人用户应当自觉遵守网络法规，严禁利用计算机从事违法犯罪行为。

二、对于本部门发生的计算机违法犯罪行为，各部门应当及时制止并立即上报计算机网络信息安全工作小组，同时做好系统保护工作。

三、对于所遭受到的攻击，各部门应当首先及时上报计算机网络信息安全工作小组，同时做好系统保护工作。

四、各接入部门及用户有义务接受计算机网络信息安全工作小组和上级主管部门对计算机网络和设备的监督、检查，并应积极配合做好计算机网络违法犯罪事件的查处工作。

五、涉及计算机网络违法行为的，计算机网络信息安全工作小组应及时通知主管校领导，并上报公安机关，尽量做到防患于未然。

六、网络运行日志应进行有效的保存，以便于对网络违法事件的查处。

七、积极的配合公安机关对违法案件的查处。

八、及时掌握校园网内各接入单位网络违法情况，并定期向主管校领导和上级主管部门报告，并应协助各主管部门做好查处工作。

上海四中帐号口令管理办法

第一章 总  则

第一条 为加强学校计算机网络系统安全管理，提高计算机网络信息系统安全管理的规范化、制度化水平，完善信息安全管理体系，特制定本规定。

第二条 学校下属各校区、年级组、教研组的网络设备、服务器，PC终端系统帐户密码的安全管理适用本规定。

第三条 本规定所称账号口令是指在登录计算机系统过程中，用于验证用户身份的字符串，以下简称计算机系统用户口令。计算机系统用户口令主要为静态口令、动态口令等。静态口令一般是指在一段时间内有效，需要用户记忆保管的口令。动态口令一般是指根据动态机制生成的、一次有效的口令。计算机系统用户口令主要包括：主机系统（数据库系统）、网络设备、安全设备等系统用户口令；前端计算机系统用户口令；应用系统用户口令；桌面计算机系统用户口令。

第四条 计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。

第五条 计算机系统帐号口令持有人应保证口令的保密性，不应将口令记录在未妥善保管的笔记本以及其他纸质介质中（密码信封除外），严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上，同时严禁将计算机系统帐号口令借给他人使用，任何情况下不应泄漏计算机系统帐号口令，一旦发现或怀疑计算机系统帐号口令泄漏，应立即更换。

第六条 计算机系统帐号口令必须加密存储计算机系统中，严禁在网络上明文传输计算机系统帐号口令，在用户输入口令时，严禁在屏幕上显示口令明文，严禁计算机信息系统输出口令明文（密码信封除外）。

第七条 计算机系统帐号口令持有人应保证口令具有较高安全性。选择使用口令安全强度较高的口令，不应使用简单的代码和标记，禁止使用重复数字、生日、电话号码、字典单词等容易破译的计算机系统帐号口令。

第八条 任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统帐号口令，盗用他人访问权限，威胁信息系统安全。

第九条 同一信息系统相同访问权限的帐号应具有一致的口令安全要求。

第十条 具有登录计算机系统权限的帐号必须设置帐号口令或其它验证帐号身份的方式，严禁不验证帐号身份直接登录信息系统。

第二章 岗位及其职责

第十一条 重要核心设备应设立口令安全管理专职人员，统一管理重要主机系统、核心网络设备、安全设备等超级用户以及重要系统中具有关键访问权限用户的口令。

第十二条 计算机帐号口令持有人负责所持计算机用户口令在使用过程中的保密，负责设置、保存、更换计算机用户口令，负责口令自身的安全强度。

第十三条 系统管理人员、网络和安全设备管理人员负责启用计算机系统、网络和安全设备的口令安全管理相关功能；负责删除计算机系统、网络和安全设备多余用户和口令。

第十四条 应用系统开发项目经理应负责组织实现应用系统支持口令安全管理的相关功能和机制。

第三章 口令基本安全要求

第十五条 计算机用户口令基本要求由口令长度、口令字符复杂度、口令历史，口令最长有效期组成：

（一） 口令最小长度：8位

（二） 口令字符组成复杂度：口令由数字、大小写字母及特殊字符组成；

（三） 口令历史：修改后的口令至少与前5次口令不同；

（四） 口令最长有效期限：90 天，可根据系统重要性和用户权限采取不同的有效期。

第十六条 信息系统原则上应具有支持计算机系统用户口令基本要求的相关功能、机制。

第四章 主机系统、网络和安全设备用户口令安全要求

第十七条 系统用户口令主要包括主机系统、网络设备、安全设备等系统用户口令。主机系统用户是指能够登录主机系统的用户。

第十八条 主机系统、网络设备、安全设备等应启动口令管理相关功能、机制，满足第三章口令基本安全要求，对于原有系统不支持或不具备相关技术功能、机制的，必须逐步建立、完善相应的安全管理制度措施，弥补技术机制上的不足。

第十九条 主机系统、网络设备、安全设备等的超级用户口令以及重要系统中具有关键访问权限用户的口令应由专人设置与管理，超级用户口令应由口令设置人员将口令装入密码信封，在骑缝处盖章或签字后存档并登记。

第二十条 存放超级用户口令的密码信封应放置在保险箱或带密码锁的箱、柜中，并由专人负责。

第二十一条 主机系统超级用户口令，网络设备、安全设备超级用户口令以及具有修改配置权限用户的口令应设置口令登记薄，记录口令使用相关信息，至少包括：设备名称、用户名称、口令启用时间、口令更换时间、口令使用者等内容。

第二十二条 如遇特殊情况需启用封存的口令，必须经过部门负责人审批，使用完毕后，须立即更换并封存，同时在口令管理登记簿中登记。

第二十三条 当系统用户口令持有人岗位调整时，原则上应删除其使用的用户，因工作需要，需要保留原用户的，必须及时更换系统用户对应的口令，严禁使用原口令登录系统。

第二十四条 对于主机系统、网络设备、安全设备的用户口令以及具有系统配置权限的用户，可根据实际情况使用动态口令。

第五章  应用系统用户口令安全要求

第二十五条 应用系统用户口令是指只用于访问应用系统的用户口令，口令对应的用户为应用系统用户，在操作系统中并不存在相应用户。

第二十六条 应用系统在开发过程中必须同步实现满足计算机系统用户口令基本要求的机制和功能，通过技术手段实现安全管理要求。对于现运行的、没有达到第三章口令基本要求的计算机系统的改造或升级，可结合具体情况稳步开展。同时，必须采用相应的管理措施，加强计算机系统用户口令的安全管理，保障应用系统的安全。

第二十七条 应用系统用户必须设置口令或使用其它身份认证方式，严禁不验证用户身份访问应用系统（对于信息网站中只浏览网页的用户，可不设置口令）。

第二十九条 应用系统必须提供用户口令更换机制，严禁应用系统代码中包含用户口令。

第三十条   应用系统用户的口令应定期更换，口令最长有效期可根据应用系统的重要程度和用户的权限设定，同时符合第三章口令基本安全要求的最长有效期范围规定。

第三十一条 使用密码设备的员工必须经过专业培训和严格审查。

第三十二条 对于应用系统的用户口令，可根据实际情况使用动态口令。

第六章  桌面计算机系统用户口令安全要求

第三十三条 桌面计算机系统用户口令主要是指员工用于日常办公信息处理的计算机系统的用户口令，如台式微机、笔记本电脑及其它个人计算设备的用户口令。

第三十四条 桌面计算机系统应设置用户登录口令、屏幕保护口令。

第三十五条 桌面计算机系统用户登录口令、屏幕保护口令应定期更换（操作系统不具有此功能除外），口令最长有效期可为90天。

第七章  检查和监督

第三十六条 定期对计算机系统用户口令安全管理的情况进行检查，检查的主要内容包括：岗位和职责情况，口令登记簿登记情况，口令安全管理相关功能及其启用情况，多余用户口令删除情况，口令安全管理规定的落实和执行情况。

第三十七条 对于安全检查中发现的问题和隐患，各计算机系统主管和使用部门及口令持有人要进行认真整改。对于违反本安全管理规定造成严重后果的，给予警告至开除处分，情节严重触犯法律的将移交司法机关。

第八章  附  则

第三十八条 本规定由计算机网络信息安全工作小组负责解释。

第四十条 本规定自发布之日起施行

上海四中网站信息监视、保存、清除和备份制度

学校网站建设是学校教育信息化建设的重要方面，是适应现代教育技术和信息技术的发展、加大学校对外交流与宣传力度、提高教学、科研、管理效率的重要途径。为了加大学校网站建设力度，科学有效管理好学校网站，特就我校的信息撰写、审核与发布制度提出以下实施办法：

    1、网络管理员应当对本部门的网络使用情况监督、检查，坚决杜绝访问境内外反动、黄色网站，不阅览、传播各类反动、黄色信息；

    2、网络管理员应当保证本部门计算机内日志文件及其他重要数据的完整性、真实性，并做好备份工作，配合各类安全检查；

    3、发现本部门计算机存有各类反动及不健康信息，各级管理员应当及时清除，情节较重的应及时上报安全工作小组；

    4、网络管理员应定期检查各接入学校计算机内信息状况，对于发现的问题及时处理；

    5、网络使用者应当强化思想意识，自觉遵守网络法规，积极配合网络管理员做好计算机网络信息安全工作；

6、网络管理员在收到网络使用者的报告后应立即向主管领导汇报，并组织调查取证工作，配合上级主管部门的调查。

7、网络管理员负责建立数据备份系统，防止系统、数据的丢失，并认真填写备份日志。

8、数据备份的主要内容为：数据库信息、网站信息、文档数据库、共享资源平台。

9、备份具体工作是将以上信息存储于备份服务器上，并严格管理、妥善保存。

10、数据每月底备份一次，应用系统每次修改后备份一次，并保留最新的版本。

11、如遇服务器遭受攻击或网络病毒，造成数据丢失或系统崩溃，需要进行数据恢复，需由网络管理员执行恢复程序。同时将具体情况做记录。

上海四中信息发布审核、登记制度

     第一条 为保证我校网站的长效、稳定、健康的发展，促进网站与社会各界的信息交流，根据《计算机信息网络国际互联网安全保护管理办法》的规定，特制定本制度。

    第二条  我校网站的整体结构由徐汇区教育局网络信息中心规划，任何部门、任何人需修改网站的结构均应提出书面的请示，经相关领导批示后方能改动。

    第三条  网站由专人进行维护管理，管理者必须认真执行信息发布审核管理制度，信息必须由主管部门的领导批准后方可上传发布，保证网站信息的权威性和准确性，并对其管理的栏目所发布的信息内容负责，杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。

    第四条  对在本网站发布信息的信源单位提供的信息进行认真人工检查，不得有危害国家安全、泄露国家秘密，侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。

第五条  建立长效的考核机制，重要信息可随时上传，确保网站信息常换常新。

    第六条  对委托发布信息的单位和个人的相关信息进行登记并存档。

　　第七条  一旦在本站发现用户制作、复制、查阅和传播下列信息的：

　　（一）煽动抗拒、破坏宪法和法律、行政法规实施；

　　（二）煽动颠覆国家政权，推翻社会主义制度；

　　（三）煽动分裂国家、破坏国家统一；

　　（四）煽动民族仇恨、民族歧视、破坏民族团结；

　　（五）捏造或者歪曲事实、散布谣言，扰乱社会秩序；

　　（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪；

　　（七）公然侮辱他人或者捏造事实诽谤他人；

　　（八）损害国家机关信誉；

　　（九）其他违反宪法和法律、行政法规。

　　均按照国家有关规定，删除本网络中含有上述内容的地址、目录，并保留原始记录，在二十四小时之内向市公安局网络安全监察处报告。

    第八条 网站设置专门人员负责检查链接网站、个人注册的信息内容与发布内容，若发现其包含有害信息的应及时取消其链接域删除发布信息。

附网站内容发布及审核人员表

上海四中网站内容发布和审核人员表

网站内容发布人	发布内容	审核人
网管	新闻中心	校办主任
网管	百年风采	校办主任
网管	信息公开	校办主任
网管	文明在线	校办主任
网管	教学空间	教学主任
网管	德育天地	政教主任
网管	科研园地	科研主任
网管	师生之家	校办主任
网管	一周公告	校办主任
网管	公示栏	人事

 

上海四中信息安全管理员岗位职责

 

第一条 制定依据

根据《中华人民共和国计算机信息系统安全保护条例》制订本制度。

第二条岗位职责：

一、信息安全

负责信息网络系统的信息安全和保密信息的管理。其主要职责是：

（1）负责涉密信息网信息安全，监督检查涉密信息的报送、接受和传输的安全性；

（2）负责监督检查信息网对外发布的信息，保证符合安全保密规定；

（3）负责监督检查各部门的涉密信息安全保密措施，防止泄密事件的发生；

（4）负责监督检查信息网对国际互联网上国家禁止的网站的非法访问记有害信息的侵入；

（5）负责协助有关部门对网络泄密事件进行调查与技术分析。

二、系统安全

负责信息网操作系统及服务器操作系统的安全及管理。其主要职责是：

（1）负责信息网操作系统及服务器操作系统的安装、运行和维护、管理，保障系统的安全稳定地运行。

（2）负责对用户的身份进行验证，防止非法用户进入系统；

（3）负责用户的口令管理，建立口令管理规程和检验创建账户机制，避免口令泄露；

（4）负责实时监控系统，发现异常现象及时采取措施，恢复系统正常运行状态；

（5）负责对系统各种硬软件资源的合理分配和科学使用，避免造成系统资源的浪费。

三、网络安全

负责信息网路系统的安全保密工作。其主要职责是：

（1）负责信息网络系统及其网络安全保密系统的运行于维护，发现故障即使排除，保障系统安全可靠运行；

（2）负责配置和管理访问控制表，根据安全需求为各用户配置相应的访问权限；

（3）负责网络审计系统的管理和维护，认真记录、检查和保管审计日志；

（4）负责检查系统的安全漏洞和隐患，发现安全隐患及时进行修复或提出改进意见；

（5）负责实时对系统进行非法入侵检测，防止和阻止“黑客”入侵。

四、数据库安全

负责数据库管理系统的安全及维护管理工作。其主要管理职责是：

（1）负责数据库管理系统的安装、备份与维护，保证系统安全、正常运行；

（2）负责定期检查系统运行情况，金册并优化系统性能；

（3）负责检查数据库系统的用户权限，防止非法用户的入侵和越权访问；

（4）负责定期检查数据库数据的完整性和可用性，发现系统故障及时排除，做好系统恢复。

五、数据安全

负责信息网络中运行数据的安全。其主要职责是：

（1）负责信息网络数据的安全，保障信息的保密性、完整性和可用性；

（2）负责对信息网络数据备份与灾难恢复系统的维护与管理，实时对重要数据进行安全备份；

（3）负责对信息采集、传输及存储的技术手段和工作环境以及介质管理各环节的监督检查，发现问题及漏洞及时解决；

（4）负责定期对重要数据存储备份介质的检查，防止数据的丢失或被破坏。

六、防病毒安全

负责信息网络系统的计算机病毒的防护工作。其主要职责是：

（1）负责计算机防病毒软件的购置、保管、发放、升级和安装；

（2）负责信息网络系统的计算机病毒的防护，在病毒发作日前及时发布公告，并采取必要的预防措施；

（3）负责定期对信息网络系统镜像病毒检测，发现系统被计算机病毒感染，及时组织清毒、消毒；

（4）负责计算机病毒防护知识的宣传教育工作。

七、机房安全

机房安全员负责计算机机房的安全与管理。其主要职责是：

（1）负责计算机机房的防火、防水、防静电、防雷击和防辐射等安全设施的管理；

（2）负责对计算机机房的内部装修，落实电磁波防护等技术规范与技术要求；

（3）负责计算机机房配电系统、空调系统的维护与管理；

（4）负责计算机机房的进出口的控制机监控系统和门禁系统的维护与管理；

（5）负责对本单位计算机机房及所属各部门计算机机房安全性的检查，发现问题或隐患及时提出整改意见和书面报告。

八、紧急事件的应急预案

（一）准备工作

        1．建立安全政策和发布公告

        2．收集和整理资料信息

        3．组织应急事件响应处理小组

        4．准备一个应急联络计划

        5．准备好一些模式化的报告纸

        6．为安全小组的成员做培训

        7．部门间合作

        8．加强系统管理员和网络负责人之间的关系

        9．和法律部门及计算机紧急响应小组建立联系

（二）确认紧急事件

        1、指定专人来负责辨别紧急事件

        2、区别哪些是真的紧急事件

        3、对证据的有效管理

        4、和网络服务提供商协同工作

        5、通知合适的人员

（三）控制

        1、召集应急响应处理小组成员调查整个事件的情况

        2、保持低调，切勿打草惊蛇

        3、尽可能避免系统被植入特洛伊木马或具有类似功能的恶意代码

        4、备份系统

        5、衡量继续运营的风险

        6、不断和系统所有者保持联系

        7、更改系统的口令

（四）找出事件发生原因

        1、查明事件发生的原因和他表现出来的现象

        2、提高防守方法

        3、对已知漏洞进行分析

        4、修补漏洞或停止某项服务

        5、找出最近备份的日志

（五）恢复

        1、系统恢复

        2、检验系统恢复

        3、决定何时恢复运行

        4、监控系统

上海四中信息安全教育培训管理制度

第一条 为加强我校信息安全建设，提高全体教职员工的信息安全意识和技能，保障我校信息系统安全稳定的运行，特制定本制度。

　　第二条 信息安全培训旨在强化我校全体教职员工的信息安全意识，使之明确信息安全是每个人的责任，并掌握其岗位所要求的信息安全操作技能。

第三条 针对不同的培训对象进行分层次的培训，信息安全培训分为管理层培训、技术层培训和普通用户层培训三个层面，分层培训内容的参考范围和需达到的标准如下：

一、管理层信息安全培训

(一)对象：我校各级领导。

(二)内容：宏观信息安全管理理念及高级信息安全管理知识。

(三)标准：使管理层人员能够了解其信息安全职责，具备其工作所需的信息安全管理知识和信息安全管理能力。

二、技术层信息安全培训

(一)对象：我校计算机管理部门的各类技术管理人员。

(二)内容：系统安全策略； 内部和外部攻击的检测；常用计算机及网络安全保护手段、 日常工作中需要注意的信息安全方面的事项；包括的所有制度内容。

　　(三)标准：使技术层人员能够了解其所从事岗位的信息安全职责，熟悉与其工作相关的各项信息安全制度，具备工作所需的信息安全知识和技能。

三、普通用户层信息安全培训

(一)对象：全校的普通计算机用户。

(二)内容：所在岗位的信息安全职责；计算机病毒预防和查杀的基本技能；计算机设备物理安全知识和网络安全常识；所有普通用户应掌握和了解的制度内容。

　　(三)标准：使普通用户了解其信息安全职责，熟悉与工作相关的各项信息安全制度，具备工作所需的信息安全知识和技能。

　　第四条 计算机网络安全工作小组和校人事部门负责每年制定管理层和普通用户层的信息安全培训计划

上海四中计算机网络信息安全责任书

为了认真贯彻落实本校信息化工作精神，进一步强化全员信息安全意识，落实信息安全责任，确保学校计算机网络信息安全目标的实现，决定与计算机使用人员签订信息安全责任书。

一、责任目标：无重大网络及信息安全事件；无重大病毒或木马感染事件；无重要信息泄漏事件；无数据丢失事件。

二、工作责任

1、认真学习、贯彻、执行国家、地方、行业及学校相关信息安全法律法规及信息安全规章制度。

2、不擅自安装、拆卸、更换、维修或移动计算机、打印机、网络设备等信息化设施；不擅自重装操作系统；不擅自使用他人的计算机。

3、不擅自更改学校所分配IP地址，不盗用他人IP地址。

4、不擅自使用代理服务器，不擅自将无线AP、路由器、交换机、HUB及拨号上网等网络设备接入学校网络中。

5、不擅自卸载学校统一安装的应用软件；不擅自安装和使用盗版的办公软件、应用软件；不擅自安装、下载和使用如：游戏、炒股、聊天、视频、迅雷、电驴、Pplive、 P2P等与工作无关的应用软件。

6、不得故意制作、传播病毒、木马等破坏性程序；不得攻击学校网络设备和他人的计算机；不得访问不信任、不安全的站点；不随意接收、打开来路不明的文件或邮件。

7、不得把非工作需要的U盘、光盘、移动硬盘、照相机、手机等移动存储介质接入学校信息设备中。

8、不得利用学校网络访问非法网站；不得制作、复制、发布、传播含有以下内容的信息：

a.反对宪法所确定的基本原则的；

b.危害国家安全,泄露国家及企业秘密,颠覆国家政权,破坏国家统一的；

c.损害国家荣誉和利益的；

d.煽动民族仇恨、民族歧视，破坏民族团结的；

e.破坏国家宗教政策，宣扬邪教和封建迷信的；

f.散布谣言，扰乱社会秩序，破坏社会稳定的；

g.散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；

h.侮辱或者诽谤他人，侵害他人合法权益的；

i.含有法律、行政法规禁止的其他内容的。

9、计算机要设置登录及屏保密码（8位以上，大小写英文字母、阿拉伯数字与符号混合使用），定期更改密码，密码更改周期不超过90天。严格保管好密码，不得随意告诉他人。

10、雷电期间、下班、节假日及办公场所无人值守时，要关闭信息化设备并切断信息化设备电源。

11、工作期间，或遇雷电，发现信息化设备有异味、异声及冒烟等现象，立即关闭信息化设备，同时切断信息化设备电源，并立即向信息主管部门报告。

三、检查与考核

按照《上海四中信息安全管理办法》规定执行。

双方确认在签署本责任书前已经详细审阅过责任书的全部内容，并悉知责任书各条款的规定。

本责任书一式两份，甲乙双方各一份，双方签字生效。

 

分管领导（签字/章）：                  计算机使用责任人（签字）：

年   月   日                             年   月    日

上海四中网络信息安全应急处置预案

为了切实做好学校网络突发事件的防范和应急处理工作，进一步提高预防和控制网络突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保学校网络与信息安全，结合学校工作实际，制定本预案。

第一章　总则

第一条  本预案所称突发性事件，是指自然因素或者人为活动引发的危害学校校园网网络设施及信息安全等有关的灾害。

第二条  本预案的指导思想是学校有关计算机网络及信息安全基本要求。编制依据于《中华人民共和国计算机信息系统安全保护条例》，《计算机病毒防治管理办法》。

第三条  本预案适用于发生在上海四中网络使用的突发性事件应急工作。

第四条  应急处置工作原则：统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。

第二章　组织指挥和职责任务

第五条  学校计算机网络信息安全工作小组（以下简称：工作小组）为应急处置工作的组织、指挥部门。

工作小组职责：

1、统一领导网络与信息安全的应急工作，全面负责学校信息网络可能出现的各种突发公共事件处置工作。发生网络与信息安全突发公共事件时，启动本预案，组织应急处置。

2、负责和处理日常工作，执行、检查、督促工作小组决定的工作事项。

3、组织开展网络与信息安全的自查自纠，排查安全隐患，发现问题立即整改。定期检查入侵痕迹，检查网络运行状态。

4、建立网站舆情监控机制。一旦发现不良信息或异常舆情，以最快的时间屏蔽信息，必要时进一步关闭服务器，切断网络连接。尽快向相关部门汇报，组织技术力量和相关人员查找原因，提出解决办法。

5、收集有可能导致网络与信息安全突发公共事件的潜在信息，分析情况，预判问题，及时向相关部门提出预处理意见。对可能演变为网络与信息安全突发公共事件的，尽快向校方提出启动本预案的建议。

第三章　处置措施和处置程序

第六条  处置措施

处置的基本措施分灾害发生前与灾害发生后两种情况。（一）灾害发生前，学校要预先对灾害预警预报体系进行建设，开展灾害调查，编制灾害防治规划，建设专业监测网络，及时处理灾害讯情信息。加强灾害险情巡查。工作小组要充分发挥监控的作用，进行定期和不定期的检查，加强对灾害重点部位的监测和防范，发现有不良险情时，要及时处理并向学校报告。建立健全灾情速报制度，保障突发性灾害紧急信息报送渠道畅通。属于大型灾害的，在校方报告的同时报送公安局。 （二）灾害发生后，立即启动应急预案，采取应急处置程序，判定灾害级别，并立即将灾情向相关部门报告，在处置过程中，应及时报告处置工作进展情况，直至处置工作结束。

第七条  处置程序

（一）发现情况

工作小组要做好网络信息安全的日常巡查及其日志记录保存工作，以保障最先发现灾害并及时处置此突发性事件。

（二）预案启动

一旦灾害发生，立即启动应急预案，进入应急预案的处置程序。

（三）应急处置方法

在灾害发生时，首先应区分灾害发生是否为自然灾害与人为破坏两种情况，根据这两种情况把应急处置方法分为两个流程。流程一：当发生的灾害为自然灾害时，应根据当时的实际情况，在保障人身安全的前提下，首先保障数据的安全，然后是设备安全。具体方法包括：服务器硬盘的撤出与保存，设备的断电与拆卸、搬迁等。流程二：当人为或病毒破坏的灾害发生时，具体按以下顺序进行：判断破坏的来源与性质，断开影响安全与稳定的信息网络设备，断开与破坏来源的网络物理连接，跟踪并锁定破坏来源的IP或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照灾害发生的性质分别采用以下方案： 1．病毒传播：针对这种现象，要及时断开传播源，判断病毒的性质、采用的端口，然后关闭相应的端口，在学校公告栏公布病毒攻击信息以及防御方法。 2．入侵：对于网络入侵，首先要判断入侵的来源，区分外网与内网。入侵来自外网的，定位入侵的IP地址，及时关闭入侵的端口，限制入侵地IP地址的访问，在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的，查清入侵来源，如IP地址、上网帐号等信息，同时断开对应的交换机端口。然后针对入侵方法建设或更新入侵检测设备。 3．信息被篡改：这种情况，要求一经发现马上断开相应的信息上网链接，并尽快恢复。 4．网络故障：一旦发现，可根据相应工作流程尽快排除。 5．其它没有列出的不确定因素造成的灾害，可根据总的安全原则，结合具体的情况，做出相应的处理。不能处理的可以请示相关的专业人员。

（四）情况报告

灾害发生时，一方面按照应急处置方法进行处置，同时需要判定灾害的级别，首先向工作小组汇报。在大型灾害发生时或上级领导通知的特殊时间内发生的灾害，可以同时向路局相关主管部门或公安局计算机网监大队汇报。中、小型级别的灾害，可以只向工作小组汇报，并及时报告处置工作进展情况，直至处置工作结束。情况报告内容包括：灾害发生的时间、地点，灾害的级别，灾害造成的后果，应急处置的过程、结果，灾害结束的时间，以后如何防范类似灾害发生的建议与方案等。

（五）发布预警

灾害发生时，可根据灾害的危害程度适当地发布预警，特别是一些在其它地方已经出现，或在安全相关网站发布了预警而学校信息网络还没有出现相应的灾害，除了在技术上进行防范以外，还应当向学校网络用户发布预警，直至灾害警报解除。

（六）预案终止

经相关技术专家鉴定，灾害险情或灾情已消除，或者得到有效控制后，由工作小组宣布险情或灾情应急期结束，并予以公告，同时预案终止。

第四章　保障措施

     灾害应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作，是有组织的科学与社会行为，而不是随每次灾害的发生而开始和结束的活动。因此，必须做好应急保障工作。

第八条  人员保障

重视人员的建设与保障，建立包保责任制。确保灾害处置过程和灾后重建中的人员配备到位。

第九条  技术保障

重视网络信息技术的建设和升级换代，在灾害发生前确保网络信息系统的安全，灾害处置过程中和灾后重建中的相关技术支撑。

 第十条  物资保障

学校要将本年度灾害应急经费纳入年度财政计划和预算，购买相应的应急设施。建立应急物资储备制度，保证应急抢险救灾队伍技术装备的及时更新，以确保灾害应急工作的顺利进行。

第十一条  训练和演练

加强全校网络信息用户的防灾、减灾知识的宣传普及，增强这些用户的防灾意识和自救互救能力。有针对性地开展应急抢险救灾演练，确保发灾后应急救助手段及时到位和有效。

第五章　附则

第十二条  本预案由计算机网络信息安全工作小组负责解释。

第十三条  本预案自发布之日起施行。

上海四中网络机房突发事件应急预案

第一条 机房突发事件包括网络设备或服务器故障、自然灾害（水、火、电等）造成的物理破坏、人为失误造成的安全事件等等。 针对突发事件的预防措施如下： 建立安全、可靠、稳定运行的机房环境，防火、防盗、防雷电、防水、防静电、防尘；建立备份电源系统；加强防火、防盗意识。 

第二条 机房漏水应急预案如下： 

1.发生机房漏水时，第一目击者应立即通知机房管理人员。

2.若空调系统出现渗漏水，机房管理人员应立即安排停用故障空调，清除机房积水，并及时联系设备供应方处理，必要情况下可临时用电扇对服务器进行降温。

3.若为墙体或窗户渗漏水，机房管理人员应立即采取有效措施确保机房安全，同时安排通知工程人员及时清除积水，维修墙体或窗户，消除渗漏水隐患。

第三条 机房火灾应急预案如下： 

1.完善机房环境，确保机房放置灭火器；禁止携带易燃易爆物品进入机房。

2.机房管理人员应熟悉机房内部消防安全操作和规则，了解消防设备操作原理，掌握消防应急处理步骤、措施和要领，懂得灭火的方法，会扑救初起火源。

3.一旦发生火灾，迅速切断机房电源，避免灾情的扩散，并迅速和保安部联系必要时立即报火警。

第四条 机房停电应急预案如下： 

1.接到停电通知后，应及时通过办公系统、电话等发布相关信息，部署应对具体措施，要求在停电前停止业务、保存数据。 

2.如遇故障停电，应及时通知学校电路维修部门修理故障。

第五条 通信网络故障应急预案如下：  

1.发生通信线路中断、流量异常等故障后，发现状况的员工或部门领导应及时通知网络管理员。

2.网络管理员了解情况后，迅速组织检测故障区域，并作相关故障处理，逐步恢复故障区与服务器的网络联接，恢复通信网络，保证正常运转。

第六条 服务器故障应急预案如下： 

1.机房管理人员每周检查机房内各服务器状态。 

2.服务器出现严重硬件故障时启用备用服务器以保障正常运转。 

第七条 学校网站故障应急预案如下：

1.如发现网站无法登陆问题，及时检查网站服务器以保证网站正常运转。

2.如发现网站受到黑客攻击，及时关闭网站服务器，联系徐汇区教育局信息中心处理问题。