欧宝体育app官方

湖北工业大学:网站安全暂行规定

发布时间:2017-06-08文章来源: 浏览次数:

网站安全暂行规定

(待发文)


  网站是对外宣传的重要窗口。为了全面加强欧宝体育app官方网站安全,根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》(公通字[2007]43号),结合欧宝体育app官方实际,规定如下:
  一、人员管理
  各级党委应加强对网站安全工作的领导。党委宣传部加强全校网站的归口管理,信息技术中心配合做好网站的技术与安全管理。各单位的党委书记,要抓好本单位的网站建设与安全工作,并配备相应的网站管理人员。
  二、域名管理
  1、全校网站实施域名统一管理。欧宝体育app官方域名为教育网域名,一般不设商用域名和其他域名。我校的教育网域名划分为三级:一级为欧宝体育app官方的主网域名.icedbakerycr.com,二级域名为校属单位(部门)域名或业务功能域名xxx.icedbakerycr.com,三级域名为各单位(部门)下属机构(实验室、中心等)域名xxx.xxx.icedbakerycr.com。
  2、欧宝体育app官方域名实行备案制(详见《湖北工业大学二级网站备案信息表》)。需要开办网站的机构,应阐明网站建设的必要性,规划宣传栏目,落实网站人员和管理制度,向党委宣传部提出业务开办申请,经过同意后到信息技术中心办理其他事项(分配域名、地址、计算及存贮资源)。
  根据上级规定,一级域名由欧宝体育app官方向省级通信主管部门办理备案手续,并向属地公安机关办理信息安全等级保护手续;二级、三级域名由我校向中国教育网办理备案手续。
  域名的变更、停用、撤销,须向党委宣传部报告。但因网络安全需要而采取的应急措施除外(事后通报制)。
  三、网站建设
  全校网站统一纳入站群,实施统一的安全管理与栏目管制。在此基础上,各单位可根据自身业务需要和特点,选用自己的网站表现风格,或自行研发具有自我特色的网站表现形式。
  上下级网站之间的栏目协同推送,须经党委宣传部同意。
  除经党委宣传部同意开设的网站栏目外,各单位不能自行设置其他栏目。不得设置公开的论坛、聊天室等社交类功能(点赞功能除外)。
  三、网站运维
  常态化的发稿与审稿由各网站的管理员、审稿员完成。
  站群的技术维护(含升级)和欧宝体育app官方主站的改版由欧宝体育app官方负责;校属各单位、机关各部门的网站改版,由各单位负责。
  欧宝体育app官方将根据工作需要,阶段性开展网站管理的技术培训,提高网站管理人员的业务技能和安全本领。
  网站管理员应当定期备份网站内容,以便应急恢复。
  数据中心机房及其所有设备必须由专人负责管理,每日应有机房值班记录,主要设备应有运行日志。外来的系统维护人员进入机房,应由技术人员旁站陪同,并对其工作内容做详细记录。
  对站群、网站内容及服务器系统进行定期检测,并根据检测结果采取相应的措施。要及时对操作系统、数据库等系统软件进行补丁包升级或者版本升级,以防黑客利用系统漏洞和弱点非法入侵。
  四、安全守则
  1、角色。网站发稿员、审稿(含初审、终审)员,系统管理员、安全与保密管理员、审计员等均由欧宝体育app官方正式员工担任。其中审稿(含初审、终审)员由中共党员担任,站群的系统管理员、安全与保密管理员、审计员必须持证上岗。
  2、密码。
  网站发稿员、审稿员的密码采用强密码,且须阶段性更改;发稿员与审稿员不能由同一名人员担任,密码相互独立。确保流程合规和使用安全。严禁将登录账号和密码泄露给他人使用。
  3、内容审核。全校各级网站要牢固树立和坚决落实“涉密不上网、上网不涉密”的要求,严格执行全国人大关于加强个人信息保护的规定。同时,涉及校务管理及公众利益的事项,应坚持“公开为常态,不公开为例外”的校务公开工作要求。
  4、站群安全
  站群的业务管理(栏目设置与内容编审)由党委宣传部牵头管理;站群的技术与安全管理由信息技术中心负责。各网站的目录及网页安全,由各网站管理员负责。
  站群安全实行内部年检制度。根据上级要求,两年进行一次安全测评并重新备案。

  每年不少于两次研究网络安全形势,加强网络安全措施。

  全校各类网站的安全情况,实行年度内部通报制。

  五、应急处置

  欧宝体育app官方常设安全应急处置小组(信息技术中心),依靠师生的共同参与,遵照《湖北工业大学网络安全应争预案》,对突发事件,做果断处置。


-------------------------------

补充:

网站安全责任部门和安全责任人落实情况

主要领导对网站网络安全工作的重视情况

单位网站网络安全责任制落实情况

关键岗位人员配备情况

网站定级备案执行情况

网站等级测评情况

安全事件报告处置

开展网站安全监测和预警情况

网站内容管理

网络安全检查情况

网站交互式栏目信息巡查情况

网页防篡改措施

漏洞扫描措施及修复升级情况

网站恶意代码防护

网站内容安全防护措施

管理终端安全防护措施

网站后台管理系统防护措施

网站前、后台系统隔离情况

网站应用远程管理情况

网站内容远程维护情况

网站服务器操作系统安全措施

网站服务器数据库安全措施

网站服务器中间件安全措施

网站安全整治

专项工作情况



================================

网络安全责任追究制度

====================================

网络安全管理制度

------------

网络边界安全防护设备情况

是否部署防火墙?

是否对外屏蔽了不必要的服务/端口?

是否部署入侵检测(防护)设备?

是否部署防病毒网关?

是否部署抗拒绝服务攻击设备?

是否部署Web应用防火墙?

是否部署设备?


------------

网页防篡改措施

是否定期对网站文件进行检测?

是否采取网页防篡改措施?


------------

漏洞扫描措施及修复升级情况

是否进行过系统层漏洞扫描,并有详细记录?

是否进行过应用层漏洞扫描,并有详细记录?

发现的漏洞是否及时修复?


------------

网站恶意代码防护

是否有网页挂马检测系统?


---------------

网站内容安全防护措施

内容编辑、审核及发布权限是否分离?

关键信息发布是否多级审核?

网站发布内容是否过滤?


---------------

管理终端安全防护措施

是否有控制措施(如地址绑定,网络接入控制等)?


---------------

网站后台管理系统防护措施

是否对网站后台管理系统的接口进行隐藏?

网站后台管理系统登录是否采取验证机制?

是否对网站后台管理系统的登录失败尝试次数进行限制?

是否对网站后台管理系统的用户口令复杂度进行强度限制?



---------------

主要设备可用性

网站服务器和数据库服务器是否双机热备?

网站服务器和数据库服务器是否采用冷备方式?



--------------

网站前、后台系统隔离情况

是否采用逻辑隔离?


----------------

网站应用远程管理情况

是否不允许远程管理网站的应用?

应用远程管理时是否采用加密通道?



----------------

网站内容远程维护情况

是否不允许远程维护网站内容?

网站内容远程维护时是否采用加密通道?



----------------

网站服务器操作系统安全措施

网站服务器操作系统安全补丁是否及时更新?

网站服务器操作系统是否存在弱口令?



----------------

网站服务器数据库安全措施

网站服务器数据库是否存在弱口令?

网站服务器数据库是否共用同一管理口令?

网站服务器中间件管理界面是否允许外部访问?

网站服务器中间件是否存在弱口令?



----------------

网站服务器中间件安全措施

网站服务器中间件管理界面是否允许外部访问?

网站服务器中间件是否存在弱口令?



-----------------

网站安全整治专项工作情况

是否完成网站通信管理部门备案?

是否完成网站等级保护备案?

是否完成网站统一标识?



-----------------






============================

网站内容发布管理制度




===========================

网站安全事件(事故)报告制度

是否制定网站安全事件(事故)报告制度?

发生网站安全事件(事故)是否向属地公安机关报告?

是否有完整网站安全事件处置记录?

是否按照要求保留网站完整日志?

本单位是否开展日常网站安全监测?

是否有网站安全监测记录?

是否有网站安全预警和处理记录?





========================

网站内容发布管理制度

是否制定网站内容发布管理制度?

是否制定网站内容发布流程?

是否有网站安全自查工作总结报告?

单位网站是否有交互式栏目?

是否有专人负责网站交互式栏目信息巡查?




============================

机房安全管理制度

本单位机房进出人员管理是否按照制度执行,并有详细记录?

本单位机房日常监控是否制度执行并有监控记录?









关闭 打印责任编辑:
Baidu
sogou