下载文档原格式
学院网站安全管理及运行维护制度一、学院网站安全管理及运行维护的目的学院网站作为学院对外宣传、信息发布、教学资源共享的重要平台,其安全性和稳定性对于学院的发展具有重要意义。
为了保障学院网站的安全运行,提高网站服务质量,确保网站信息的安全性、准确性和及时性,特制定本制度。
二、学院网站安全管理及运行维护的范围本制度适用于学院网站的所有安全管理及运行维护工作,包括网站内容管理、网站技术维护、网站安全防护、网站数据备份等方面。
三、学院网站安全管理及运行维护的原则1. 安全第一:确保网站信息的安全性、准确性和及时性,防止网站遭受黑客攻击、病毒感染等安全风险。
2. 规范管理:建立健全网站内容管理、技术维护等各项规章制度,规范网站运营管理。
3. 高效服务:提高网站运行维护效率,确保网站稳定、快速地提供服务。
4. 持续改进:不断优化网站内容和技术,提升网站整体质量和用户体验。
四、学院网站安全管理及运行维护的职责分工1. 网站管理员:负责网站的日常运行维护,包括网站内容更新、技术支持、安全防护等。
2. 网站内容审核员:负责对网站内容进行审核,确保网站信息的准确性、合规性和及时性。
3. 技术支持人员:负责网站技术维护,包括服务器、数据库、网络安全等方面的技术支持。
4. 信息安全员:负责网站信息安全防护,包括病毒防护、黑客攻击防范、数据备份等。
五、学院网站安全管理及运行维护的具体措施1. 网站内容管理:(1)网站内容更新:定期更新网站内容,确保信息的准确性和及时性。
(2)内容审核:对网站内容进行审核,确保信息的合规性。
(3)信息发布:按照审批流程,确保信息发布的准确性和及时性。
2. 网站技术维护:(1)服务器维护:定期检查服务器运行状态,确保服务器稳定、安全地运行。
(2)数据库维护:定期备份数据库,防止数据丢失。
(3)网络安全:定期检查网络安全,防止黑客攻击、病毒感染等安全风险。
3. 网站安全防护:(1)防火墙设置:配置防火墙,防止非法访问和攻击。
学校网站管理规章制度一、引言随着信息化时代的到来,学校网站成为学校与师生交流的主要平台之一。
为了保证学校网站的正常运行与良好管理,制定本规章制度。
二、网站管理责任与分工1. 学校网站管理员负责网站的技术维护和更新。
2. 学校网站编辑负责网站内容的发布和更新。
3. 学校领导负责对网站管理工作给予指导和督导。
三、网站内容审核1. 网站内容应符合相关法律法规,不得含有违法信息。
2. 网站内容应积极向上,符合学校文化,不得含有低俗、恶搞等内容。
3. 网站内容应真实可信,不得散布虚假信息。
四、网站更新频率1. 网站的更新应保持一定的频率,不得长时间无更新。
2. 网站的更新内容应丰富多样,包括校园新闻、教学活动、学生作品等。
五、网站安全管理1. 学校网站应定期备份,确保数据安全。
2. 学校网站应加强对网站服务器的安全防护,防止黑客攻击。
3. 禁止网站存在任何可能导致信息泄漏的漏洞。
六、网站用户管理1. 网站用户应注册账号并登录,遵守相关网站用户协议。
2. 网站用户应正确使用账号,不得冒用他人账号。
3. 网站用户应尊重其他用户,不得发表恶意言论。
4. 学校网站应建立用户投诉机制,处理用户投诉。
七、违规处理1. 对于违反规章制度的网站内容,应及时删除,并进行相应的追责。
2. 对于严重违规行为的网站用户,应采取相应措施,包括限制登录、注销账号等。
八、监督与评估1. 学校领导应定期对学校网站的运行情况进行监督与评估。
2. 学校网站管理员应按时提交网站运行报告,向学校领导汇报网站运行情况。
九、附则1. 本规章制度自发布之日起生效。
2. 对于规章制度的解释权归学校领导。
最后,希望通过本规章制度的制定和执行,能够确保学校网站的正常运行和良好管理,为师生提供一个良好的信息交流平台。
公司计算机网络及网站管理规定
一、网络规定
1.公司网络使用范围及用途:公司网络仅限于公司内部职员使用,用于
工作和沟通交流目的。
2.禁止的网站访问:禁止访问成人网站、赌博网站、违法或涉及侵权等
内容的网站,一经发现将追究责任。
3.账户与密码管理:每位员工必须妥善保管个人账户与密码,不得将账
户密码泄露给他人。
二、网站管理规定
1.网站内容审核:公司网站发布的内容必须符合法律法规,不得发布虚
假信息、侵权内容等。
2.网站更新与维护:公司网站需定期更新内容,并保持良好的访问速度
和稳定性。
3.网站备份:公司网站数据需定期备份,确保数据安全性与完整性。
三、违规处理措施
1.对于违反网络规定的员工,将给予警告、扣减奖金等处罚措施,情节
严重者将追究法律责任。
2.对于违反网站管理规定的员工,将暂停其网站发布权限,并进行内部
调查处理。
结语
以上是公司计算机网络及网站管理的规定,每位员工都应当遵守规定并加以遵循,共同维护公司网络与网站的安全与稳定。
以上内容为公司计算机网络及网站管理规定,希望大家能认真遵守,共同维护公司网络与网站的安全与稳定。
网站管理制度规范第一章总则第一条为了规范网站管理行为,保障网站安全,维护网站秩序,健全网站管理机制,保护网站用户的合法权益,制定本规定。
第二条本规定适用于网站管理人员及用户。
第三条网站管理人员应当遵守国家法律法规和相关规定,坚持网站负责、公正、透明、有效的原则,为网站用户提供优质的服务。
第四条网站管理人员应当具备相应的专业知识和技能,熟悉网站管理制度和操作规程,严格遵守工作纪律,保守网站机密,不得泄露用户信息。
第五条网站用户应当遵守网站规定,自觉遵守国家法律法规和相关规定,不得利用网站违反法律法规。
第六条网站用户应当尊重他人,不得制作、复制、发布、传播侵犯他人合法权益的信息。
第七条网站管理人员及用户应当加强自律,不得利用网站从事危害国家安全、社会稳定和公共利益的活动。
第八条网站管理人员及用户应当保护网站的知识产权,不得侵犯他人的知识产权。
第二章网站管理人员的职责第九条网站管理人员应当维护网站的安全稳定,保障网站用户的合法权益,有效解决用户在使用网站过程中遇到的问题。
第十条网站管理人员应当定期检查网站设备和设施的性能和状态,发现问题及时处理,确保网站的正常运行。
第十一条网站管理人员应当加强对网站信息的审核和监控,及时发现并处理违法违规信息,保障网站的健康发展。
第十二条网站管理人员应当制定完善的网站管理制度和操作规程,加强对网站用户的培训和引导,提高用户维护网站秩序的意识和能力。
第十三条网站管理人员应当加强与相关部门和单位的合作,及时掌握国家政策法规和相关知识,不断完善网站管理工作。
第三章网站用户的权利和义务第十四条网站用户有权享受网站所提供的各项服务,有权获得网站管理人员的指导和帮助,提出合理意见和建议。
第十五条网站用户应当遵守网站规定,不得利用网站从事违法违规活动,不得干扰网站的正常运行。
第十六条网站用户应当保护网站的设备和设施,不得损坏、盗窃或占用网站的资源,不得私自安装、更改或拆卸设备。
第十七条网站用户应当自觉遵守网络礼仪,不得利用网站侵犯他人的合法权益,不得传播淫秽、暴力、恐怖或者其他违法信息。
网站信息安全保密管理制度(五篇模版)第一篇:网站信息安全保密管理制度网站信息安全保密管理制度1、实行信息安全保密责任制,确保网络与信息安全保密的责任到位。
严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。
2、网站内容更新全部由公司正式工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。
网站所有信息发布之前都经分管领导审核批准。
工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。
严禁通过我公司网站散布相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。
3、遵守对网站服务信息监视,保存、清除和备份的制度。
开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。
4、所有信息都及时做备份。
按照国家有关规定,网站服务系统将保存5个月以内的系统及用户收发网站记录。
5、制定并遵守安全教育和培训制度。
加大宣传教育力度,增强用户网络安全意识,自觉遵守信息安全管理有关法律、法规,不泄密、不制作和传播有害信息。
第二篇:信息安全保密管理制度信息安全保密管理制度一、为了处理工作中涉及的办公秘密和业务秘密信息,特制定计算机信息系统安全保密规定。
二、信息中心负责指导公司各部门入网人员的保密技术培训,落实技术防范措施。
三、各部门要指定专人负责接入网络的安全保密管理工作和对上网信息的保密检查,落实好保密防范措施,对本单位上网人员进行保密教育和管理。
四、涉密信息不得在与国际网络的计算机系统中存储,处理和传输。
五、凡上网的信息,上网前必须进行审查,进行登记,“谁上网,谁负责”,确保公司机密不上网。
六、不得利用公司互联网从事危害国家安全,泄露国家机密的活动。
七、如在网上发现反动、黄色的宣传和出版物,要保护好现场,及时报向公司信息部门汇报,依据有关规定处理,如发现泄露国家机密的情况,要及时报信息中心采取措施,同时向领导报告,对违反规定建设造成后果的,依据有关规定进行处理,并追究部门领导的责任。
一、总则为加强网络安全管理,确保网站安全稳定运行,保障公司业务顺利开展,特制定本制度。
二、适用范围本制度适用于公司所有网站及其相关系统,包括但不限于公司官网、内部系统、客户服务平台等。
三、管理职责1. 网安部门负责制定、修订和监督执行本制度。
2. 各相关部门应积极配合网安部门开展网站安全管理相关工作。
3. 网站管理员负责具体实施网站安全管理措施。
四、网站安全管理措施1. 网站内容安全(1)严格遵守国家法律法规,不得发布违法违规信息。
(2)加强内容审核,确保网站内容真实、准确、健康。
(3)对涉及敏感信息的页面,实施访问权限控制。
2. 网站技术安全(1)定期对网站进行安全漏洞扫描,及时修复漏洞。
(2)对网站系统进行安全加固,确保系统稳定运行。
(3)采用SSL加密技术,保障数据传输安全。
(4)对网站进行防攻击措施,如DDoS防护、防火墙设置等。
3. 网站运维安全(1)制定网站运维规范,明确运维人员职责。
(2)定期对网站进行备份,确保数据安全。
(3)对运维操作进行权限控制,防止未授权操作。
4. 网站访问安全(1)实施访问控制策略,限制非法访问。
(2)对用户密码进行加密存储,确保用户信息安全。
(3)对重要页面和功能进行访问权限控制。
五、安全事件处理1. 发现网站安全事件,立即启动应急预案。
2. 对安全事件进行调查分析,确定事件原因和影响范围。
3. 采取有效措施,消除安全风险,恢复网站正常运行。
4. 对安全事件进行总结,完善安全管理制度,提高安全防护能力。
六、监督检查1. 网安部门定期对网站安全管理制度执行情况进行检查。
2. 对违反本制度的行为,依法依规进行处理。
3. 对在网站安全管理工作中表现突出的单位和个人给予表彰和奖励。
七、附则1. 本制度由网安部门负责解释。
2. 本制度自发布之日起施行。
3. 本制度如有未尽事宜,由网安部门另行制定补充规定。
网络安全管理制度规范5篇网络传输的安全与传输的信息内容有密切的关系。
信息内容的安全即信息安全,包括信息的保密性、真实性和完整性。
下面小编给大家带来网络安全管理制度规范,希望大家喜欢!网络安全管理制度规范篇11、遵守国家有关法律、法规,严格执行安全保密制度,不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、浏览、复制、传播反动及黄色信息,不得在网络上发布反动、非法和虚假的消息,不得在网络上漫骂攻击他人,不得在网上泄露他人隐私。
严禁通过网络进行任何黑客活动和性质类似的破坏活动,严格控制和防范计算机病毒的侵入。
2、网络安全管理员主要负责全单位网络(包含局域网、广域网)的系统安全性。
3、良好周密的日志审计以及细致的分析经常是预测攻击,定位攻击,以及遭受攻击后追查攻击者的有力武器。
应对网络设备运行状况、网络流量、用户行为等进行日志审计,审计内容应包括事件的日期和时间、用户、事件类型、事件是否成功等内容,对网络设备日志须保存三个月。
4、网络管理员察觉到网络处于被攻击状态后,应确定其身份,并对其发出警告,提前制止可能的网络犯罪,若对方不听劝告,在保护系统安全的情况下可做善意阻击并向主管领导汇报。
5、每月安全管理人员应向主管人员提交当月值班及事件记录,并对系统记录文件保存收档,以备查阅。
6、网络设备策略配置的更改,各类硬件设备的添加、更换必需经负责人书面批准后方可进行;更改前需经过技术验证,必须按规定进行详细登记和记录,对各类软件、现场资料、档案整理存档。
7、定期对网络设备进行漏洞扫描并进行分析、修复,网络设备软件存在的安全漏洞可能被利用,所以定期根据厂家提供的升级版本进行升级。
8、对于需要将计算机外联及接入的,需填写网络外联及准入申请表(附件十、《网络外联及准入申请表》)。
网络安全管理制度规范篇2为了保护学校校园网络系统的安全、促进学校计算机网络的应用和发展、保证校园网络的正常运行和网络用户的使用权益,制定本安全管理制度:1.校园网络使用者必须遵守国家有关法律、法规,必须遵守《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统国际互联网保密管理规定》。
国家网站管理制度一、总则为了规范国家网站的管理,保障国家网站的正常运行和信息公开,促进政务公开、便民利民,特制定本制度。
二、管理范围本制度适用于所有国家机关、国有企事业单位和其他相关单位设立和管理的网站。
三、管理原则1. 依法管理:国家网站应当严格遵守国家法律法规,合法合规开展网站管理和运营。
2. 信息公开:国家网站应当及时准确地向社会公开相关信息,保障公众知情权。
3. 服务便民:国家网站应当以服务公众、简化程序、便民利民为宗旨,为公众提供方便高效的服务。
4. 安全可靠:国家网站应当加强信息安全管理,保障网站数据的安全可靠。
四、网站设立和管理1. 网站设立程序(1)需要设立国家网站的单位应当向上级主管单位报告,并按照相关规定进行备案。
(2)网站的命名应当规范、清晰,不得有违法、违规内容。
2. 网站管理责任(1)每个国家网站应当设置专门负责网站管理的责任部门或岗位。
(2)网站管理部门应当定期审查网站内容,确保网站信息的真实、准确、完整。
3. 网站运营国家网站应当及时更新网站内容,保持网站运营的活跃性和时效性。
五、信息公开1. 信息公开范围国家网站应当及时公开其所属单位的组织机构、职能职责、办事流程、服务指南、预决算公开等信息。
2. 信息发布原则(1)信息发布应当准确、清晰,便于公众理解和获取。
(2)信息发布应当及时更新,保持信息的时效性。
3.信息公开审查国家网站的信息公开应当经过专门部门的审查,确保信息的规范和合法性。
六、安全管理1. 网站安全保障国家网站应当制定安全管理制度,加强对网站数据、系统和用户信息的保护,防范黑客攻击等网络安全风险。
2. 突发事件处理国家网站应当制定应对突发事件的预案和应急处理措施,及时应对各种突发事件,保障网站的正常运行。
七、监督检查1. 上级主管单位对国家网站的管理工作进行定期检查和评估,发现问题及时进行整改。
2. 公众监督公众有权对国家网站的信息公开、服务质量、安全管理等进行监督,网站应当及时接受公众的意见和建议。
网站管理制度范本一、总则1.1 为了加强网站管理,规范网站行为,保障网站健康、有序、安全运行,根据《中华人民共和国网络安全法》、《互联网信息服务管理办法》等法律法规,制定本制度。
1.2 本制度适用于公司所属网站及其从事互联网信息服务的行为。
1.3 公司应建立健全网站管理制度,明确相关部门和人员的职责,加强对网站内容、技术、安全等方面的管理。
二、网站内容管理2.1 网站内容应符合国家法律法规、社会公德、职业道德和社会主义核心价值观,不得含有违法违规信息。
2.2 网站应设立内容审核机制,对发布的信息进行审查,确保内容真实、准确、合法。
2.3 网站应加强对用户生成内容的监管,对用户发布的不良信息进行处置,并及时报告有关部门。
2.4 网站应禁止发布涉及国家机密、个人隐私、侵犯他人合法权益等信息。
三、网站技术管理3.1 网站应采用安全的技术措施,保障网站数据的安全性和完整性。
3.2 网站应定期进行安全检查和漏洞修复,提高网站的安全防护能力。
3.3 网站应制定应急预案,应对突发事件,确保网站快速恢复运行。
3.4 网站应按照国家有关规定,对用户信息进行保护,不得泄露、出售或者非法提供用户信息。
四、网站安全管理4.1 网站应建立健全安全管理制度,明确安全责任人和安全管理制度。
4.2 网站应加强对服务器、数据库等基础设施的安全管理,防止黑客攻击、病毒感染等安全事件。
4.3 网站应加强对网站访问者的身份验证和权限控制,防止未经授权的访问和操作。
4.4 网站应定期进行安全培训和演练,提高员工的安全意识和应急能力。
五、网站经营与管理5.1 网站应依法开展经营活动,严格遵守国家有关互联网信息服务的规定。
5.2 网站应建立健全用户服务体系,提供优质服务,保障用户权益。
5.3 网站应加强内部管理,建立健全人力资源、财务、行政等管理制度,确保网站正常运营。
5.4 网站应加强与相关部门的沟通与合作,积极参与互联网行业自律,营造良好的行业发展环境。
一、总则为加强我单位互联网安全管理,保障网络安全、信息安全,维护国家安全和社会公共利益,根据《中华人民共和国网络安全法》等相关法律法规,结合我单位实际情况,制定本规定。
二、安全管理制度1. 网络安全责任制(1)明确各级领导和部门在网络安全管理中的职责,确保网络安全责任到人。
(2)建立健全网络安全责任追究制度,对违反网络安全规定的行为进行严肃处理。
2. 网络设备安全管理(1)严格按照国家规定,采购、使用符合安全标准的网络设备。
(2)对网络设备进行定期检查、维护,确保设备安全稳定运行。
3. 网络安全防护措施(1)加强网络边界防护,设置防火墙、入侵检测系统等安全设备,防止外部攻击。
(2)对内部网络进行分段隔离,限制不同部门之间的访问权限。
(3)定期对网络进行安全漏洞扫描,及时修复漏洞,降低安全风险。
4. 信息安全管理制度(1)建立健全信息安全管理制度,明确信息安全管理责任。
(2)对重要信息进行加密存储、传输,确保信息安全。
(3)对内部员工进行信息安全培训,提高信息安全意识。
5. 网络安全事件处理(1)建立网络安全事件报告制度,确保网络安全事件得到及时处理。
(2)对网络安全事件进行调查、分析,找出原因,采取措施防止类似事件再次发生。
6. 网络安全监督检查(1)定期对网络安全管理情况进行监督检查,确保各项措施落实到位。
(2)对监督检查中发现的问题,及时进行整改,提高网络安全管理水平。
三、奖惩措施1. 对在网络安全管理工作中表现突出的单位和个人,给予表彰和奖励。
2. 对违反网络安全规定,造成网络安全事故的单位和个人,按照相关规定进行处罚。
四、附则1. 本规定自发布之日起施行。
2. 本规定由我单位网络安全管理部门负责解释。
3. 本规定未尽事宜,按照国家有关法律法规执行。
网站安全管理制度一、总则为了更好的确保XXXXX网站的安全稳定运行,合理、可靠、安全、高效地组织和管理XXXX网站,提高XXXX网站的服务质量,提高维护队伍的整体素质和水平,特制定本管理制度,作为维护和管理XXXX网站的依据。
二、范围本制度的适用范围包括XXXX网站系统的物理资产(包括:网络设备,主机设备,安全设备,监控设备等)、软件资产(操作系统,数据库,应用程序等)、数据资产(业务数据、网络系统、主机数据,应用程序数据等)以及网站系统的技术人员等。
三、角色和责任本手册适用于XXXX网站的网络维护人员、系统维护人员、信息安全员及安全审计员等角色阅读。
本手册由信息管理处修改和维护。
四、网络安全维护管理制度1. 网站系统的所有网络设备(包括交换机、路由器、防火墙、IDS以及其他网络设备)应由专职网络维护人员负责管理,定期检查设备的物理环境,并按照机房物理安全要求进行维护。
2. 网络维护人员应对所有网络设备进行资产登记,登记记录上应该标明硬件型号,厂家,操作系统版本,已安装的补丁程序号,安装和升级的时间等内容。
3. 网络维护人员应至少每天1次,对所有网络设备进行检查,确保各设备都能正常工作。
4. 网络维护人员应制定网络设备用户账号的管理制度,对各个网络设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确规定。
5. 网络维护人员应制订网络设备用户账号口令的管理策略,对口令的选取、组成、长度、保存、修改周期以及存储做出规定;禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令,也不应使用单个单词或命令作为口令,组成口令的字符应包含大小写英文字母、数字、标点、控制字符等,口令长度要求在8位以上;不应将口令存放在个人计算机文件中,或写到容易被其它人获取的地方;对于重要的网络设备,要求至少每个月修改一次口令,或者使用一次性口令设备;若掌握口令的管理人员调离本职工作时,必须立即更改所有相关口令;用户账号口令应以加密方式存储,如MD5方式。
6. 严格禁止非网络管理人员直接进入网络设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入网络设备进行操作时,必须由网络管理员登录,并对操作全过程进行记录备案。
禁止将系统用户账号及口令直接交给外部人员,在紧急情况下需要为外部人员开放临时账号时,必须向信息管理处相关领导申请,在申请中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方法、负责开放和注销临时账号的人员等内容,并严格根据安全管理机构的批复进行临时账号的开放、注销、监控,并记录备案。
7. 网络维护人员应尽可能减少网络设备的管理方式,例如Telnet、web、SNMP等;如果的确需要进行远程管理,应使用SSH代替Telnet,使用HTTPS代替HTTP,并且限定远程登录的超时时间,远程管理的用户数量,远程管理的终端IP地址,同时按照“网络安全配置管理策略”中的规定进行严格的身份认证和访问权限的授予,并在配置完后,立刻关闭此类远程连接;应尽可能避免使用SNMP协议进行管理,如果的确需要,应使用V3版本替代V1、V2版本,并启用MD5等验证功能;进行远程管理时,应设置控制口和远程登录口的超时时间,让控制口和远程登录口在空闲一定时间后自动断开。
8. 网络维护人员应及时监视、收集网络以及安全设备生产厂商公布的软件以及补丁更新,要求下载补丁程序的站点必须是相应的官方站点,并对更新软件或补丁进行评测,在获得信息管理处领导的批准下,对生产环境实施软件更新或者补丁安装。
9. 软件更新或者补丁安装应尽量安排在非业务繁忙时段进行。
操作必须由两人以上完成,由一人监督,另一人进行实际操作,并在升级(或修补)前后做好数据和软件的备份工作,同时将整个过程记录备案。
10. 软件更新或者补丁安装后网络维护人员应重新对系统进行安全设置,并进行系统的安全检查。
11. 网络维护人员应及时报告任何已知的或可疑的信息安全问题、违规行为或紧急安全事件,并在采取适当措施的同时,应向信息管理处领导报告细节;并不得试图干扰、防止、阻碍或劝阻其他员工报告此类事件;同时禁止以任何形式报复报告或调查此类事件的个人。
12. 网络维护人员应定期提交安全事件和相关问题的管理报告,以备领导检查。
13. 网络维护人员应制订网络设备日志的管理制定,对于日志功能的启用,日志记录的内容,日志的管理形式,日志的审查分析做明确的规定。
对于重要网络设备,应建立集中的日志管理服务器,实现对重要网络设备日志的统一管理,以利于对网络设备日志的审查分析。
14. 网络维护人员应保证各设备的系统日志处于运行状态,并每两周对日志做一次全面的分析,对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时应及时向信息安全工作组报告。
15. 网络维护人员应通过各种手段监控网络的流量状况,当突发异常流量时,应立即上报信息安全工作组,并同时采取适当控制措施,并记录备案。
16. 网络维护人员应至少每年1次对整个网络进行风险评估。
17. 网络维护人员应至少每年1次对整个网络进行灾难影响分析,并进行灾难恢复演习。
五、系统安全维护管理制度1. 所有主机设备应由系统维护人员负责管理,定期检查服务器主机的物理环境,并按照相关物理安全要求进行维护。
2. 系统维护人员应对所有主机设备进行资产登记,登记记录上应该标明硬件型号,厂家,操作系统版本,已安装的补丁程序号,安装和升级的时间等内容。
3. 系统维护人员应至少每天1次,对所有主机设备进行检查,确保各设备都能正常工作。
4. 系统维护人员应对各个主机设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确定义,并定期进行审查,在发现有可疑的用户账号时进行核实并采取相应的措施。
5. 在用户权限的设置时应遵循最小授权和权限分割的原则,只给系统用户、数据库系统用户或其它应用系统用户授予业务所需的最小权限,应禁止为所管理主机系统无关的人员提供主机系统用户账号,并且关闭一切不需要的系统账号。
对两个月以上不使用的用户账号进行锁定。
同时对主机设备中所有用户账号进行登记备案。
6. 系统维护人员应制订主机系统的帐户口令管理策略,对口令的选取、组成、长度、保存、修改周期做出规定。
禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令,也不要使用单个单词或命令作为口令,组成口令的字符应包含大小写英文字母、数字、标点、控制字符等,口令长度要求在8位以上。
不应将口令存放在个人计算机文件中,或写到容易被其它人获取的地方。
口令文件(如:系统中的/etc/shadow)及其所有拷贝的访问权限应该严格限制为超级用户可读,并且定期检查。
对于重要的主机系统,要求至少每个月修改一次口令,或者使用一次性口令设备;对于管理用的工作站和个人计算机,要求至少每两个月修改一次口令。
若掌握口令的管理人员调离本职工作时,必须立即更改所有相关口令;用户账号口令应以加密方式存储,如MD5方式。
7. 系统维护人员应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时采取强制性的补救修改措施。
8. 严格禁止非本维护管理人员直接进入主机设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入主机设备进行操作时,必须由系统管理员登录,并对操作全过程进行记录备案。
禁止将系统用户账号及口令直接交给外部人员,在紧急情况下需要为外部人员开放临时账号时,必须向信息管理处相关领导申请,在申请中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方法、负责开放和注销临时账号的人员等内容,并严格根据主管领导的批复进行临时账号的开放、注销、监控,并记录备案。
9. 系统软件安装之后,系统维护人员应立即进行备份;在后续使用过程中,在系统软件的变更以及配置的修改之前和之后,也应立即进行备份工作。
10. 严禁随意安装、卸载系统组件和驱动程序,如确实需要,应及时评测可能由此带来的影响,并需要获得主管领导的批准。
11. 系统维护人员应制定软件使用制度,禁止在服务器系统上禁止安装与该服务器所提供服务和应用无关的其它软件。
12. 系统维护人员应制定重要主机系统的安全使用制度,禁止在重要的主机系统上浏览外部网站网页、接收电子邮件、编辑文档以及进行与主机系统维护无关的其它操作。
如果需要安装补丁程序,补丁程序必须通过日常维护管理用的工作站或PC机进行下载,然后再移到相应的主机系统安装。
13. 禁止主机系统上开放具有“写”权限的共享目录,如果确实必要,可临时开放,但要设置强共享口令,并在使用完之后立刻取消共享。
14. 系统维护人员应禁止不被系统明确使用的服务、协议和设备的特性,避免使用不安全的服务,例如:SNMP、RPC、Telnet、Finger、Echo、Chargen、Remote Registry、Time、NIS、NFS、R系列服务等。
15. 系统维护人员应严格控制重要文件的许可权和拥有权,重要的数据应当加密存放在主机上,取消匿名FTP访问,并合理使用信任关系。
16. 系统维护人员应及时监视、收集主机设备操作系统生产厂商公布的软件以及补丁更新,要求下载补丁程序的站点必须是相应的官方站点,并对更新软件或补丁进行评测,在获得主管领导的批准下,再实施软件更新或者补丁安装。
17. 软件更新或者补丁安装应尽量安排在非业务繁忙时段进行。
操作必须由两人以上完成,由一人监督,另一人进行实际操作,并在升级(或修补)前后做好数据和软件的备份工作,同时将整个过程记录备案。
18. 软件更新或者补丁安装后应重新对系统进行安全设置,并进行系统的安全检查。
19. 系统维护人员应及时报告任何已知的或可疑的信息安全问题、违规行为或紧急安全事件,并在采取适当措施的同时,应向主管领导报告细节;并不得试图干扰、防止、阻碍或劝阻其他员工报告此类事件;同时禁止以任何形式报复报告或调查此类事件的个人。
20. 系统维护人员应制订主机设备日志的管理制定,对于日志功能的启用,日志记录的内容,日志的管理形式,日志的审查分析做明确的规定。
对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。
21. 系统维护人员应保证各主机设备的系统日志处于运行状态,并每两周对日志做一次全面的分析,对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时应及时向信息安全工作组报告。
22. 系统维护人员应定期进行安全漏洞扫描和病毒查杀工作,平均频率应不低于每2周一次,重大安全漏洞发布后,应在3个工作日内进行;并且为了防止网络安全扫描以及病毒查杀对网络性能造成影响,应根据业务的实际情况对扫描时间做出规定,应一般安排在非业务繁忙时段;当发现主机设备上存在病毒、异常开放的服务或者开放的服务存在安全漏洞时应及时上报主管领导,并采取相应措施。
