为规范OPENCLAW(龙虾)在欧博官网的安装、部署、使用与运维,防范网络安全、数据泄漏等风险,保障校园网络安全、教学科研数据安全及师生个人信息安全,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《教育部关于加强高校网络安全工作的意见》等相关规定,结合欧博官网实际,制定本办法。
第一章 总 则
第一条 目的与依据
为规范OPENCLAW(龙虾)(以下简称“OPENCLAW”)在欧博官网的使用管理,防范数据泄露、系统入侵、网络攻击等安全风险,保障校园网络稳定运行、教学科研数据安全及师生个人信息权益,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《教育部关于加强高校网络安全工作的意见》及学校网络安全管理相关规定,结合欧博官网本科办学及信息化建设实际,制定本办法。
第二条 适用范围
本办法适用于欧博官网全体在校师生、教职工,各二级学院、职能部门,以及所有接入校园网络、使用学校公用设备(服务器、办公电脑、教学终端、实验室设备等)与信息系统的单位和个人。覆盖OPENCLAW的安装、部署、使用、运维、安全管控、应急处置及责任追究全流程。
第三条 核心原则
1.安全优先、风险可控:以校园网络安全、数据安全为底线,对OPENCLAW使用场景进行分级管控,严防各类安全风险发生;
2.最小权限、隔离部署:遵循权限最小化原则,严禁在校园核心设备、核心网络及生产环境中直接部署,优先采用隔离环境管控;
3.分级审批、全程留痕:不同使用场景实行分级审批管理,所有安装、部署、使用及运维操作全程留痕,确保可追溯;
4.责任到人、违规必究:明确各单位、各个人的安全管理责任,对违反本办法的行为,依法依规追究相关责任。
第二章 管理职责
第四条 学校层面职责
1.学校网络安全与信息化领导小组:统筹决策OPENCLAW安全管理重大事项,审批全校性OPENCLAW使用方案、安全管控规则及应急处置预案,协调解决管理过程中的重大问题;
2.信息中心:牵头负责本办法的组织实施、宣传培训与监督检查;制定OPENCLAW技术管控标准与安全部署规范;负责校园网络层面的安全监控、漏洞扫描、日志审计与应急处置;对接上级网信、公安等主管部门,及时上报安全事件;
3.各二级学院、职能部门:落实安全主体责任,组织本单位人员学习本办法及相关安全规定;开展本单位OPENCLAW使用自查自纠,严禁违规部署、使用;指定1名专人作为安全管理员,负责本单位相关事宜的对接与上报;
4.师生个人:严格遵守本办法规定,对个人设备及账号使用安全负责;主动学习OPENCLAW安全使用知识,拒绝违规操作;发现安全隐患或违规行为,及时向所在单位及信息中心报告。
第五条 使用场景管控
(一)严禁使用场景
1.未经允许,严禁在学校服务器、办公电脑、教学终端、实验室核心设备、校园云平台等公用设备上,安装、运行OPENCLAW本体、衍生版本、第三方插件及相关脚本;
2.未经允许,严禁在校园网、校园VPN、校内WiFi等校园网络环境中,部署、运行OPENCLAW,严禁将其网关端口、服务端口暴露于公网或校园内网;
3.严禁将学校敏感数据(教学数据、科研成果、学生信息、财务数据、行政办公敏感信息等)、个人隐私信息、账号密码、涉密资料等输入OPENLAW,严禁用于处理学校核心业务、涉密工作;
4.严禁以学校名义对外提供OPENCLAW相关服务,严禁利用OPENCLAW从事商业活动、非法爬虫、网络攻击、数据窃取等违法违规行为;
5.严禁使用破解版、修改版、非官方渠道获取的OPENCLAW程序及插件,防范恶意代码、后门植入风险。
(二)允许使用场景
仅允许在非校园网环境、个人非工作设备、指定隔离测试环境中,用于个人学习、技术研究、非敏感测试,且必须同时满足以下条件:
1.采用虚拟机、Docker沙箱、独立网段等隔离技术部署,与校园网络实现物理或逻辑隔离,严禁接入校园内网;
2.仅授予普通用户权限,严禁使用ROOT/管理员权限运行,高危操作(如端口开放、权限变更、插件安装)需人工审批并进行二次确认;
3.优先使用本地部署模型,谨慎连接云端模型,关闭不必要的网络访问、数据同步及日志上传功能;
4.定期更新OPENCLAW版本、修复安全漏洞,每月至少开展1次安全扫描,及时清除恶意插件与异常配置。
第三章 安装与部署管理
第六条 安装审批流程
1.OPENCLAW(龙虾)实行学校统一规划、统一审批、统一部署的管理模式,统一提供给全校师生共享使用,且更适合高校内网私有化、安全可控的场景。
2.各二级学院、职能部门因教学、科研、管理等工作确需使用 OPENCLAW 的,由使用单位通过云之家填写《OPENCLAW申请表》(见附件),明确使用用途、部署范围、安全防护方案、使用期限及责任人,经单位负责人审批后,由信息中心统一安排相关使用技术培训。
3.个人学习使用:学生可通过“一站式服务平台”提交使用申请备案,并须签署《OPENCLAW安全使用承诺书》(见附件1),承诺严格遵守本办法,仅在指定的校园内网个人非工作设备中学习使用,不输入任何敏感信息;
4.严禁任何单位或个人未经审批,擅自在校园公用设备、校园网络环境中安装、部署OPENCLAW。
第七条 部署规范
1.部署环境要求:必须在独立测试机、沙箱或虚拟机中部署,严禁在生产环境、核心设备中直接安装;隔离环境需配置独立的防火墙、访问控制列表(ACL),限制网络访问源地址;
2.端口与权限配置:关闭OPENCLAW默认端口(如18789)及不必要的服务端口,禁止公网暴露;采用非管理员账号启动服务,仅授予完成任务必需的最小权限,禁用高危系统调用与文件访问权限;
3.安全基线配置:部署前须完成安全基线配置,关闭不必要的功能与插件,清理默认账号与密码,开启日志审计功能;
4. 部署备案:获批部署后,申请人需在3个工作日内将部署详情(设备信息、部署位置、防护措施)上报信息中心备案。
第四章 使用与数据安全管理
第八条 使用规范
1.使用范围限制:仅限个人学习、技术测试、非敏感科研研究,严禁用于教学管理、学生服务、财务处理、科研数据处理等学校核心工作场景;
2.信息输入限制:严禁输入、上传、存储学校敏感数据、个人隐私、账号凭证、涉密信息,所有数据仅在本地隔离环境处理,不得传输至校园网络、云端服务或外部设备;
3.插件与模型管理:谨慎安装第三方技能包、插件及模型,仅从官方可信渠道获取,安装前需进行安全扫描,防范恶意代码与后门风险;
4.操作管控:严禁远程控制OPENCLAW服务、批量执行高危指令,重要操作须人工确认,避免自主执行功能失控;
5.定期自查:使用人需每周对OPENCLAW使用情况进行自查,及时发现并整改安全隐患。
第九条 数据安全管理
1.数据存储:OPENCLAW产生的所有数据仅限本地隔离环境存储,不得存储在校园公用设备、校园云平台或可接入校园网的设备中;
2.数据备份与清理:定期对本地数据进行备份,使用完成后(或使用期限届满),彻底卸载OPENCLAW程序,清除所有配置文件、缓存、日志及残留数据;
3.数据保密:严禁以任何形式泄露、传播、售卖通过OPENCLAW获取的信息,严禁将隔离环境中的数据传输至外部网络或设备。
第五章 安全监控与运维
第十条 安全监控与审计
1.信息中心对校园网络、公用设备进行实时安全监控,定期开展漏洞扫描与违规排查,发现OPENCLAW违规部署、使用痕迹立即告警,并通知相关单位及个人限期整改;
2.获批使用的隔离环境须开启日志审计功能,记录所有操作、访问、数据处理行为,日志留存不少于6个月,以备追溯核查;
3.各单位安全管理员每月开展1次本单位OPENCLAW使用自查,填写自查表上报信息中心;信息中心每季度开展1次全校性抽查,重点排查办公区、实验室、机房的违规部署情况。
第十一条 运维与更新
1.获批使用单位/个人须密切关注OPENCLAW官方安全公告,及时更新程序版本、修复安全漏洞,每月至少进行1次安全加固;
2.信息中心定期发布OPENCLAW安全风险提示、防护指南及漏洞修复方案,为各单位、师生提供技术支持;
3.严禁对OPENLAW程序进行破解、修改,严禁替换官方插件与模型,发现异常情况立即停止使用并上报信息中心。
第六章 应急处置
第十二条 应急响应流程
1.事件发现:发生数据泄露、系统被控制、网络攻击、恶意程序传播等安全事件时,当事人应立即断开网络连接、停止OPENCLAW服务、卸载相关程序,保护现场,第一时间向所在单位及信息中心报告;
2.应急处置:信息中心接到报告后,立即启动应急处置预案,组织技术人员开展溯源、排查、清除、修复工作,防止事件扩大;
3.事件上报:重大安全事件(如造成大规模数据泄露、校园网络瘫痪),信息中心需在1小时内上报学校网络安全与信息化领导小组,并按规定上报上级主管部门;
4.演练机制:学校每年至少开展1次OPENCLAW安全事件应急演练,提升各单位、师生的应急处置能力。
第七章 责任追究
第十三条 违规责任追究
1.违反本办法规定,未经允许在校园公用设备、校园网络环境中违规部署、使用OPENCLAW,或输入敏感信息、从事违法违规行为的,视情节轻重,给予通报批评、取消评优评先资格、暂停网络权限、纪律处分等处理;
2.因违规使用OPENCLAW造成校园网络瘫痪、数据泄露、系统损坏等安全事件,给学校造成损失的,依法依规追究相关人员责任,涉嫌违法的,移送司法机关处理;
3.各单位未履行安全主体责任,未开展自查自纠,导致本单位发生违规行为或安全事件的,追究单位负责人与安全管理员的责任;
4.师生个人因违规使用OPENCLAW造成自身损失或他人损失的,自行承担相应责任。
第八章 附 则
第十四条 解释权
本办法由学校网络安全与信息化领导小组、信息中心负责解释。
第十五条 施行日期
本办法自发布之日起施行,原有相关规定与本办法不一致的,以本办法为准。
