第一篇：網(wǎng)站運(yùn)行和安全管理制度

網(wǎng)站安全管理制度

第一章 總 則

第一條 為加強(qiáng)網(wǎng)站安全管理，確保該網(wǎng)站的整體安全，根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)規(guī)定，制定本制度。

第二條 本制度所稱(chēng)信息資源，是指各部門(mén)或提供服務(wù)過(guò)程獲得或掌握的可公開(kāi)發(fā)布的信息。

第三條 醫(yī)院網(wǎng)站管理小組負(fù)責(zé)組織指導(dǎo)、協(xié)調(diào)網(wǎng)站的統(tǒng)籌規(guī)劃和建設(shè)管理工作，及指導(dǎo)、檢查網(wǎng)站的安全工作，由瀘州市金網(wǎng)信息技術(shù)服務(wù)有限公司承辦網(wǎng)站的建設(shè)、運(yùn)行維護(hù)和日常管理。

第二章 網(wǎng)站建設(shè)

第四條 按照省衛(wèi)生廳網(wǎng)站建設(shè)要求建設(shè)、完善網(wǎng)上信息發(fā)布及在線服務(wù)。

第五條

網(wǎng)站的建設(shè)應(yīng)堅(jiān)持“統(tǒng)一規(guī)劃，統(tǒng)一標(biāo)準(zhǔn)，資源共享，安全保密”的原則。

第七條 網(wǎng)站采用虛擬主機(jī)方式，網(wǎng)站安全運(yùn)行及網(wǎng)絡(luò)管理統(tǒng)一由瀘州電信負(fù)責(zé)，各部門(mén)負(fù)責(zé)本部門(mén)信息的整理、編輯及上傳和發(fā)布工作。

第三章 信息資源管理

第八條 網(wǎng)站信息資源開(kāi)發(fā)建設(shè)管理工作由宣傳科負(fù)責(zé)。

第九條 信息資源遵循“誰(shuí)發(fā)布，誰(shuí)負(fù)責(zé)；誰(shuí)主管，誰(shuí)管理”

第十條 網(wǎng)站建立規(guī)范的信息采集、審核和發(fā)布機(jī)制，實(shí)行網(wǎng)站信息員制度。網(wǎng)站信息員負(fù)責(zé)信息發(fā)布日常事務(wù)，并負(fù)責(zé)向網(wǎng)站報(bào)送本部門(mén)需要公開(kāi)發(fā)布的信息。

第十一條 擬對(duì)外公開(kāi)的信息在上網(wǎng)發(fā)布前，應(yīng)經(jīng)本部門(mén)分管負(fù)責(zé)人審查同意，對(duì)審查上傳的內(nèi)容進(jìn)行登記建檔，重要信息還需經(jīng)網(wǎng)站負(fù)責(zé)部門(mén)審核確認(rèn)。

第十二條

涉及全院的重大活動(dòng)，有關(guān)部門(mén)應(yīng)及時(shí)將有關(guān)活動(dòng)情況報(bào)送到網(wǎng)站進(jìn)行相應(yīng)信息發(fā)布。

第十三條 對(duì)互動(dòng)性欄目，要加強(qiáng)網(wǎng)上互動(dòng)內(nèi)容的監(jiān)管，確保信息的健康和安全。

以下有害信息不得在網(wǎng)上發(fā)布:

1、反對(duì)憲法所確定的基本原則的；

2、危害國(guó)家安全、泄露國(guó)家秘密、顛覆國(guó)家政權(quán)、破壞國(guó)家統(tǒng)一的；

3、損害國(guó)家榮譽(yù)和利益的；

4、煽動(dòng)民族仇恨、民族歧視、破壞民族團(tuán)結(jié)的；

5、破壞國(guó)家宗教政策,宣揚(yáng)邪教和封建迷信的；

6、散布謠言,擾亂社會(huì)秩序，破壞社會(huì)穩(wěn)定的；

7、散布淫穢、色情、賭博、暴力、兇殺、恐怖或教唆犯罪的；

8、侮辱或者誹謗他人,侵害他人的合法權(quán)益的；

9、含有法律、行政法規(guī)禁止的其他內(nèi)容的。

第十四條 管理部門(mén)根據(jù)需要提供網(wǎng)站信息員信息采集及相關(guān)技術(shù)操作培訓(xùn)工作。

第四章 網(wǎng)站運(yùn)行維護(hù)

第十五條 網(wǎng)站在建設(shè)和運(yùn)行中，要加強(qiáng)安全措施，完善安全管理，增強(qiáng)安全技術(shù)手段。保證網(wǎng)站每天24小時(shí)正常開(kāi)通運(yùn)轉(zhuǎn)，以方便公眾訪問(wèn)。

第十六條 各部門(mén)應(yīng)明確分管負(fù)責(zé)人、承辦部門(mén)和具體責(zé)任人員，負(fù)責(zé)本部門(mén)網(wǎng)站日常維護(hù)工作。

第十七條 定期備份。網(wǎng)站應(yīng)當(dāng)對(duì)重要文件、數(shù)據(jù)、操作系統(tǒng)及應(yīng)用系統(tǒng)作定期備份，以便應(yīng)急恢復(fù)。特別重要的部門(mén)還應(yīng)當(dāng)對(duì)重要文件和數(shù)據(jù)進(jìn)行異地備份。（此條因由瀘州市金網(wǎng)公司負(fù)責(zé)）

第十八條 口令管理。網(wǎng)站應(yīng)當(dāng)設(shè)置網(wǎng)站后臺(tái)管理及上傳的登錄口令?？诹畹奈粩?shù)不應(yīng)少于8位，且不應(yīng)與管理者個(gè)人信息、單位信息、設(shè)備（系統(tǒng)）信息等相關(guān)聯(lián)。嚴(yán)禁將各個(gè)人登錄帳號(hào)和密碼泄露給他人使用。

第十九條 機(jī)房管理。網(wǎng)站機(jī)房應(yīng)建立嚴(yán)格的門(mén)禁制度和日常管理制度，機(jī)房及機(jī)房?jī)?nèi)所有設(shè)備必須由專(zhuān)人負(fù)責(zé)管理，每日應(yīng)有機(jī)房值班記錄和主要設(shè)備運(yùn)行情況的記錄。外來(lái)系統(tǒng)維護(hù)人員進(jìn)入機(jī)房，應(yīng)由技術(shù)人員陪同并對(duì)工作內(nèi)容做詳細(xì)記錄。（此條因由瀘州市電信公司負(fù)責(zé)）

第二十條 安全測(cè)評(píng)工作。

第二十一條 服務(wù)器和網(wǎng)站定期檢測(cè)。網(wǎng)站應(yīng)及時(shí)對(duì)網(wǎng)站管理及服務(wù)器系統(tǒng)漏洞進(jìn)行定期檢測(cè)，并根據(jù)檢測(cè)結(jié)果采取相應(yīng)的措施。要及時(shí)對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)等系統(tǒng)軟件進(jìn)行補(bǔ)丁包升級(jí)或者版本升級(jí)，以防黑客利用系統(tǒng)漏洞和弱點(diǎn)非法入侵。（此條因由瀘州市電信公司負(fù)責(zé)）

第二十二條 客戶(hù)端或錄入電腦安全防范工作。網(wǎng)站負(fù)責(zé)人、技術(shù)開(kāi)發(fā)人員和信息采編人員所用電腦必須加強(qiáng)病毒、黑客安全防范措施，必須有相應(yīng)的安全軟件實(shí)施保護(hù)，確保電腦內(nèi)的資料和帳號(hào)、密碼的安全、可靠。（此條因由瀘州市金網(wǎng)公司負(fù)責(zé)）

第二十三條 安全事件報(bào)告及處理工作。網(wǎng)站在發(fā)生安全突發(fā)事件后，除在第一時(shí)間組織人員進(jìn)行解決外，應(yīng)當(dāng)及時(shí)向網(wǎng)站管理領(lǐng)導(dǎo)小組報(bào)告。

第五章 附 則

第二十七條 本制度即發(fā)布之日起實(shí)施。

第二篇：網(wǎng)站系統(tǒng)運(yùn)行維護(hù)管理制度

網(wǎng)站系統(tǒng)運(yùn)行維護(hù)管理制度

管理制度：

（一）管理人員按照相應(yīng)系統(tǒng)的要求，設(shè)置軟件的系統(tǒng)運(yùn)行及操作環(huán)境。

（二）系統(tǒng)運(yùn)行環(huán)境及操作環(huán)境參數(shù)設(shè)定后，如工作需要進(jìn)行改動(dòng)時(shí)，由管理人員提出書(shū)面申請(qǐng)，經(jīng)負(fù)責(zé)人批準(zhǔn)后，并做好相應(yīng)數(shù)據(jù)的備份與記錄后方可實(shí)施改動(dòng)。

（三）用于服務(wù)器及其外設(shè)、終端，專(zhuān)機(jī)專(zhuān)用，非指定人員未經(jīng)許可不得使用，不得改變專(zhuān)機(jī)的用途。

（四）各終端需要安裝工具軟件時(shí)，須經(jīng)負(fù)責(zé)人同意后，并由管理人員協(xié)助安裝。

（五）管理人員不得在非授權(quán)的情況下，直接打開(kāi)數(shù)據(jù)庫(kù)文件隨意增、刪、查、改數(shù)據(jù)。管理人員進(jìn)行系統(tǒng)維護(hù)操作時(shí)要作詳盡記錄。如：要登記好操作的時(shí)間，操作的內(nèi)容等。

（六）管理人員在非必要的情況下不得私自進(jìn)入網(wǎng)站的服務(wù)器進(jìn)行操作。

（七）對(duì)網(wǎng)站進(jìn)行修改的時(shí)候需得在本地修改后能正常運(yùn)行，在修改前要對(duì)網(wǎng)站文件做好備份后，方可進(jìn)入服務(wù)器對(duì)網(wǎng)站文件進(jìn)行修改。運(yùn)行制度：

（一）每天定時(shí)運(yùn)行啟動(dòng)后臺(tái)的搜索功能，保證平臺(tái)每天的信息數(shù)據(jù)的更新。

（二）定期對(duì)平臺(tái)搜索地址進(jìn)行更新，以保證搜索功能的完善。

（三）每天在平臺(tái)與論壇上更新發(fā)布市場(chǎng)資訊。

（四）及時(shí)的做好信息的發(fā)布與更新工作。

（五）定期對(duì)平臺(tái)的垃圾信息進(jìn)行處理。

（六）定期對(duì)平臺(tái)上的友情鏈接進(jìn)行核查，以保證其有效信。

（七）定期做好對(duì)平臺(tái)廣告信息的核對(duì)與更新。

第三篇：網(wǎng)站安全管理制度

第一章 總 則

第一條 為加強(qiáng)我中心網(wǎng)站管理，確保網(wǎng)站的安全，加強(qiáng)網(wǎng)站信息資源建設(shè)，根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)管理暫行規(guī)定》、《中華人民共和國(guó)政府信息公開(kāi)條例》等有關(guān)規(guī)定，制定本制度。

第二章 網(wǎng)站信息保障措施

第二條

根據(jù)政務(wù)信息公開(kāi)要求，各部門(mén)應(yīng)及時(shí)在網(wǎng)站上發(fā)布工作中產(chǎn)生的不涉密政務(wù)信息與新聞。

第三條

各部門(mén)指派專(zhuān)人擔(dān)任信息員，負(fù)責(zé)采集、編錄本部門(mén)的信息并向網(wǎng)站提供。

第四條

信息員采集的信息經(jīng)部門(mén)負(fù)責(zé)人審核后方可向網(wǎng)站提供，信息內(nèi)容按“誰(shuí)提供，誰(shuí)負(fù)責(zé)”的原則進(jìn)行責(zé)任認(rèn)定。

第五條

網(wǎng)上發(fā)布的文件、數(shù)據(jù)、文字及圖像等信息統(tǒng)一由網(wǎng)站管理員存檔管理。

第三章 安全管理制度

第六條 網(wǎng)站安全管理由信息中心負(fù)責(zé)。各部門(mén)應(yīng)明確分管負(fù)責(zé)人、承辦部門(mén)和具體責(zé)任人員。

第七條

網(wǎng)站管理員應(yīng)當(dāng)對(duì)重要文件、數(shù)據(jù)及應(yīng)用系統(tǒng)作定期備份，以便應(yīng)急恢復(fù)。

第八條 應(yīng)當(dāng)設(shè)置網(wǎng)站后臺(tái)管理及上傳的登錄口令?？诹畹奈粩?shù)不應(yīng)少于8位，嚴(yán)禁將個(gè)人登錄帳號(hào)和密碼泄露給他人使用。

第九條 網(wǎng)站和機(jī)房應(yīng)建立嚴(yán)格的門(mén)禁制度和日常管理制度，機(jī)房及機(jī)房?jī)?nèi)所有設(shè)備必須由專(zhuān)人負(fù)責(zé)管理，每日應(yīng)有機(jī)房值班記錄和主要設(shè)備運(yùn)行情況的記錄。外來(lái)系統(tǒng)維護(hù)人員進(jìn)入機(jī)房，應(yīng)由技術(shù)人員陪同并對(duì)工作內(nèi)容做詳細(xì)記錄。

第十條 應(yīng)及時(shí)對(duì)網(wǎng)站管理及服務(wù)器系統(tǒng)漏洞進(jìn)行定期檢測(cè)，并根據(jù)檢測(cè)結(jié)果采取相應(yīng)的措施。要及時(shí)對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)等系統(tǒng)軟件進(jìn)行補(bǔ)丁包升級(jí)或者版本升級(jí)，以防黑客利用系統(tǒng)漏洞和弱點(diǎn)非法入侵。

第十一條 應(yīng)當(dāng)充分估計(jì)各種突發(fā)事件的可能性，做好應(yīng)急響應(yīng)方案。同時(shí)，要與崗位責(zé)任制度相結(jié)合，保證應(yīng)急響應(yīng)方案的及時(shí)實(shí)施，將損失降到最低程度。

第十二條 網(wǎng)站在發(fā)生安全突發(fā)事件后，除在第一時(shí)間組織人員進(jìn)行解決外，應(yīng)當(dāng)及時(shí)向交易中心中心相關(guān)負(fù)責(zé)人報(bào)告，由其給予及時(shí)的指導(dǎo)和必要的技術(shù)支持，并視安全突發(fā)事件的嚴(yán)重程度，及時(shí)協(xié)調(diào)公安及網(wǎng)絡(luò)服務(wù)商等單位進(jìn)行處理。

第十三條 應(yīng)當(dāng)制定工作人員管理制度，明確工作人員的職責(zé)和權(quán)限，通過(guò)定期開(kāi)展業(yè)務(wù)培訓(xùn)，提高人員素質(zhì)，同時(shí)，規(guī)范人員調(diào)離制度，做好保密義務(wù)承諾、資料退還、系統(tǒng)口令更換等必要的安全保密工作。

第四章 網(wǎng)站應(yīng)急處置預(yù)案

第十四條

網(wǎng)站、網(wǎng)頁(yè)出現(xiàn)非法言論時(shí)的緊急措施：

(一)、當(dāng)發(fā)現(xiàn)網(wǎng)站或接到舉報(bào)出現(xiàn)非法信息時(shí)，網(wǎng)站管理員應(yīng)立即向相關(guān)負(fù)責(zé)人通報(bào)情況；

(二)、負(fù)責(zé)人在接到網(wǎng)站管理員報(bào)告后及時(shí)組織安排技術(shù)人員進(jìn)行處理；(三)、技術(shù)人員在接到通知后立即清理非法信息，強(qiáng)化安全防范措施，將網(wǎng)站網(wǎng)頁(yè)重新投入使用；

(四)、網(wǎng)站管理員應(yīng)妥善保存有關(guān)記錄、日志或?qū)徲?jì)記錄。

第十五條

網(wǎng)站遭到黑客攻擊時(shí)的緊急處置措施：

(一)、當(dāng)有網(wǎng)頁(yè)內(nèi)容被篡改，或通過(guò)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)有黑客正在進(jìn)行攻擊時(shí)，網(wǎng)站管理員首先應(yīng)將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來(lái)，同時(shí)向負(fù)責(zé)人匯報(bào)情況；

(二)、負(fù)責(zé)人在接到網(wǎng)站管理員報(bào)告后及時(shí)組織安排技術(shù)人員進(jìn)行處理；

(三)、技術(shù)人員立即進(jìn)行被破壞系統(tǒng)的恢復(fù)與重建工作；(四)、網(wǎng)站管理員應(yīng)妥善保存有關(guān)記錄、日志或?qū)徲?jì)記錄。第十六條

病毒安全緊急處置措施：

(一)、當(dāng)網(wǎng)站管理員發(fā)現(xiàn)計(jì)算機(jī)感染有病毒后，應(yīng)立即將該機(jī)從網(wǎng)絡(luò)上隔離出來(lái)；

(二)、對(duì)該設(shè)備的硬盤(pán)進(jìn)行數(shù)據(jù)備份；

(三)、啟用病毒軟件對(duì)該機(jī)進(jìn)行殺毒處理，同時(shí)利用病毒檢測(cè)軟件對(duì)其他機(jī)器進(jìn)行病毒掃描和清除工作；

(四)、如發(fā)現(xiàn)反病毒軟件無(wú)法清除該病毒，應(yīng)立即向技術(shù)人員報(bào)告；

(五)、經(jīng)技術(shù)人員確認(rèn)無(wú)法查殺該病毒后，應(yīng)作好記錄，同時(shí)立即向相關(guān)負(fù)責(zé)人報(bào)告，并迅速研究解決問(wèn)題；

(六)、如果感染病毒的設(shè)備是服務(wù)器或者主機(jī)系統(tǒng)，經(jīng)負(fù)責(zé)人同意，立即告知各相關(guān)單位做好相應(yīng)的病毒清查工作。

第十七條

軟件系統(tǒng)遭受破壞性攻擊的緊急處置措施：

(一)、一旦軟件遭到破壞性攻擊，網(wǎng)站管理員應(yīng)立即向技術(shù)人員報(bào)告，并將系統(tǒng)停止運(yùn)行；

(二)、技術(shù)人員立即進(jìn)行軟件系統(tǒng)和數(shù)據(jù)的恢復(fù)；(三)、網(wǎng)站管理員應(yīng)妥善保存有關(guān)記錄、日志或?qū)徲?jì)記錄。第十八條

數(shù)據(jù)庫(kù)安全緊急處置措施：

(一)、一旦數(shù)據(jù)庫(kù)崩潰，網(wǎng)站管理員應(yīng)立即向負(fù)責(zé)人與技術(shù)人員報(bào)告，經(jīng)負(fù)責(zé)人同意后通知各相關(guān)單位暫緩上傳上報(bào)數(shù)據(jù)；

(二)、技術(shù)人員對(duì)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行維護(hù)，如無(wú)法正常維護(hù)，采取數(shù)據(jù)

庫(kù)備份恢復(fù)的辦法；

(三)、如果備份均無(wú)法恢復(fù)，應(yīng)立即向有關(guān)廠商請(qǐng)求緊急技術(shù)支援。第十九條

設(shè)備安全緊急處置措施：

(一)、小型機(jī)、服務(wù)器等關(guān)鍵設(shè)備損壞后，網(wǎng)站管理員應(yīng)立即向負(fù)責(zé)人報(bào)告并通知技術(shù)人員；

(二)、技術(shù)人員應(yīng)立即查明原因，具有備份服務(wù)器的要馬上啟用備份服務(wù)器提供網(wǎng)站服務(wù)；

(三)、如果能夠自行處理，應(yīng)立即用備件替換受損部件；

(四)、如果不能自行處理的，立即與設(shè)備提供商聯(lián)系，請(qǐng)求派維修人

員前來(lái)維修。

第四篇：網(wǎng)站安全管理制度

網(wǎng)站安全管理制度

一、總則

為了更好的確保XXXXX網(wǎng)站的安全穩(wěn)定運(yùn)行，合理、可靠、安全、高效地組織和管理XXXX網(wǎng)站，提高XXXX網(wǎng)站的服務(wù)質(zhì)量，提高維護(hù)隊(duì)伍的整體素質(zhì)和水平，特制定本 管理制度，作為維護(hù)和管理XXXX網(wǎng)站的依據(jù)。

二、范圍

本制度的適用范圍包括XXXX網(wǎng)站系統(tǒng)的物理資產(chǎn)（包括：網(wǎng)絡(luò)設(shè)備，主機(jī)設(shè)備，安全設(shè)備，監(jiān)控設(shè)備等）、軟件資產(chǎn)（操作系統(tǒng)，數(shù)據(jù)庫(kù)，應(yīng)用程序等）、數(shù)據(jù)資產(chǎn)（業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)系統(tǒng)、主機(jī)數(shù)據(jù)，應(yīng)用程序數(shù)據(jù)等）以及網(wǎng)站系統(tǒng)的技術(shù)人員等。

三、角色和責(zé)任

本手冊(cè)適用于XXXX網(wǎng)站的網(wǎng)絡(luò)維護(hù)人員、系統(tǒng)維護(hù)人員、信息安全員及安全審計(jì)員等角色閱讀。本手冊(cè)由信息管理處修改和維護(hù)。

四、網(wǎng)絡(luò)安全維護(hù)管理制度

1.網(wǎng)站系統(tǒng)的所有網(wǎng)絡(luò)設(shè)備（包括交換機(jī)、路由器、防火墻、IDS以及其他網(wǎng)絡(luò)設(shè)備）應(yīng)由專(zhuān)職網(wǎng)絡(luò)維護(hù)人員負(fù)責(zé)管理，定期檢查設(shè)備的物理環(huán)境，并按照機(jī)房物理安全要求進(jìn)行維護(hù)。2.網(wǎng)絡(luò)維護(hù)人員應(yīng)對(duì)所有網(wǎng)絡(luò)設(shè)備進(jìn)行資產(chǎn)登記，登記記錄上應(yīng)該標(biāo)明硬件型號(hào)，廠家，操作系統(tǒng)版本，已安裝的補(bǔ)丁程序號(hào)，安裝和升級(jí)的時(shí)間等內(nèi)容。

3.網(wǎng)絡(luò)維護(hù)人員應(yīng)至少每天1次，對(duì)所有網(wǎng)絡(luò)設(shè)備進(jìn)行檢查，確保各設(shè)備都能正常工作。

4.網(wǎng)絡(luò)維護(hù)人員應(yīng)制定網(wǎng)絡(luò)設(shè)備用戶(hù)賬號(hào)的管理制度，對(duì)各個(gè)網(wǎng)絡(luò)設(shè)備上擁有用戶(hù)賬號(hào)的人員、權(quán)限以及賬號(hào)的認(rèn)證和管理方式做出明確規(guī)定。

5.網(wǎng)絡(luò)維護(hù)人員應(yīng)制訂網(wǎng)絡(luò)設(shè)備用戶(hù)賬號(hào)口令的管理策略，對(duì)口令的選取、組成、長(zhǎng)度、保存、修改周期以及存儲(chǔ)做出規(guī)定；禁止使用名字、姓氏、電話號(hào)碼、生日等容易猜測(cè)的字符作為口令，也不應(yīng)使用單個(gè)單詞或命令作為口令，組成口令的字符應(yīng)包含大小寫(xiě)英文字母、數(shù)字、標(biāo)點(diǎn)、控制字符等，口令長(zhǎng)度要求在8位以上；不應(yīng)將口令存放在個(gè)人計(jì)算機(jī)文件中，或?qū)懙饺菀妆黄渌双@取的地方；對(duì)于重要的網(wǎng)絡(luò)設(shè)備，要求至少每個(gè)月修改一次口令，或者使用一次性口令設(shè)備；若掌握口令的管理人員調(diào)離本職工作時(shí)，必須立即更改所有相關(guān)口令；用戶(hù)賬號(hào)口令應(yīng)以加密方式存儲(chǔ)，如MD5方式。

6.嚴(yán)格禁止非網(wǎng)絡(luò)管理人員直接進(jìn)入網(wǎng)絡(luò)設(shè)備進(jìn)行操作，若在特殊情況下（如系統(tǒng)維修、升級(jí)等）需要外部人員（主要是指廠家技術(shù)工程師、非本系統(tǒng)技術(shù)工程師、安全管理員等）進(jìn)入網(wǎng)絡(luò)設(shè)備進(jìn)行操作時(shí)，必須由網(wǎng)絡(luò)管理員登錄，并對(duì)操作全過(guò)程進(jìn)行記錄備案。禁止將系統(tǒng)用戶(hù)賬號(hào)及口令直接交給外部人員，在緊急情況下需要為外部人員開(kāi)放臨時(shí)賬號(hào)時(shí)，必須向信息管理處相關(guān)領(lǐng)導(dǎo)申請(qǐng)，在申請(qǐng)中寫(xiě)明開(kāi)放臨時(shí)賬號(hào)的原因、時(shí)間、期限、對(duì)外部人員操作的監(jiān)控方法、負(fù)責(zé)開(kāi)放和注銷(xiāo)臨時(shí)賬號(hào)的人員等內(nèi)容，并嚴(yán)格根據(jù)安全管理機(jī)構(gòu)的批復(fù)進(jìn)行臨時(shí)賬號(hào)的開(kāi)放、注銷(xiāo)、監(jiān)控，并記錄備案。

7.網(wǎng)絡(luò)維護(hù)人員應(yīng)盡可能減少網(wǎng)絡(luò)設(shè)備的管理方式，例如Telnet、web、SNMP等；如果的確需要進(jìn)行遠(yuǎn)程管理，應(yīng)使用SSH代替Telnet，使用HTTPS代替HTTP，并且限定遠(yuǎn)程登錄的超時(shí)時(shí)間，遠(yuǎn)程管理的用戶(hù)數(shù)量，遠(yuǎn)程管理的終端IP地址，同時(shí)按照“網(wǎng)絡(luò)安全配置管理策略”中的規(guī)定進(jìn)行嚴(yán)格的身份認(rèn)證和訪問(wèn)權(quán)限的授予，并在配置完后，立刻關(guān)閉此類(lèi)遠(yuǎn)程連接；應(yīng)盡可能避免使用SNMP協(xié)議進(jìn)行管理，如果的確需要，應(yīng)使用V3版本替代V1、V2版本，并啟用MD5等驗(yàn)證功能；進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)設(shè)置控制口和遠(yuǎn)程登錄口的超時(shí)時(shí)間，讓控制口和遠(yuǎn)程登錄口在空閑一定時(shí)間后自動(dòng)斷開(kāi)。

8.網(wǎng)絡(luò)維護(hù)人員應(yīng)及時(shí)監(jiān)視、收集網(wǎng)絡(luò)以及安全設(shè)備生產(chǎn)廠商公布的軟件以及補(bǔ)丁更新，要求下載補(bǔ)丁程序的站點(diǎn)必須是相應(yīng)的官方站點(diǎn)，并對(duì)更新軟件或補(bǔ)丁進(jìn)行評(píng)測(cè)，在獲得信息管理處領(lǐng)導(dǎo)的批準(zhǔn)下，對(duì)生產(chǎn)環(huán)境實(shí)施軟件更新或者補(bǔ)丁安裝。

9.軟件更新或者補(bǔ)丁安裝應(yīng)盡量安排在非業(yè)務(wù)繁忙時(shí)段進(jìn)行。操作必須由兩人以上完成，由一人監(jiān)督，另一人進(jìn)行實(shí)際操作，并在升級(jí)（或修補(bǔ)）前后做好數(shù)據(jù)和軟件的備份工作，同時(shí)將整個(gè)過(guò)程記錄備案。

10.軟件更新或者補(bǔ)丁安裝后網(wǎng)絡(luò)維護(hù)人員應(yīng)重新對(duì)系統(tǒng)進(jìn)行安全設(shè)置，并進(jìn)行系統(tǒng)的安全檢查。11.網(wǎng)絡(luò)維護(hù)人員應(yīng)及時(shí)報(bào)告任何已知的或可疑的信息安全問(wèn)題、違規(guī)行為或緊急安全事件，并在采取適當(dāng)措施的同時(shí)，應(yīng)向信息管理處領(lǐng)導(dǎo)報(bào)告細(xì)節(jié)；并不得試圖干擾、防止、阻礙或勸阻其他員工報(bào)告此類(lèi)事件；同時(shí)禁止以任何形式報(bào)復(fù)報(bào)告或調(diào)查此類(lèi)事件的個(gè)人。

12.網(wǎng)絡(luò)維護(hù)人員應(yīng)定期提交安全事件和相關(guān)問(wèn)題的管理報(bào)告，以備領(lǐng)導(dǎo)檢查。

13.網(wǎng)絡(luò)維護(hù)人員應(yīng)制訂網(wǎng)絡(luò)設(shè)備日志的管理制定，對(duì)于日志功能的啟用，日志記錄的內(nèi)容，日志的管理形式，日志的審查分析做明確的規(guī)定。對(duì)于重要網(wǎng)絡(luò)設(shè)備，應(yīng)建立集中的日志管理服務(wù)器，實(shí)現(xiàn)對(duì)重要網(wǎng)絡(luò)設(shè)備日志的統(tǒng)一管理，以利于對(duì)網(wǎng)絡(luò)設(shè)備日志的審查分析。

14.網(wǎng)絡(luò)維護(hù)人員應(yīng)保證各設(shè)備的系統(tǒng)日志處于運(yùn)行狀態(tài)，并每?jī)芍軐?duì)日志做一次全面的分析，對(duì)登錄的用戶(hù)、登錄時(shí)間、所做的配置和操作做檢查，在發(fā)現(xiàn)有異常的現(xiàn)象時(shí)應(yīng)及時(shí)向信息安全工作組報(bào)告。

15.網(wǎng)絡(luò)維護(hù)人員應(yīng)通過(guò)各種手段監(jiān)控網(wǎng)絡(luò)的流量狀況，當(dāng)突發(fā)異常流量時(shí)，應(yīng)立即上報(bào)信息安全工作組，并同時(shí)采取適當(dāng)控制措施，并記錄備案。

16.網(wǎng)絡(luò)維護(hù)人員應(yīng)至少每年1次對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估。17.網(wǎng)絡(luò)維護(hù)人員應(yīng)至少每年1次對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行災(zāi)難影響分析，并進(jìn)行災(zāi)難恢復(fù)演習(xí)。

五、系統(tǒng)安全維護(hù)管理制度 1.所有主機(jī)設(shè)備應(yīng)由系統(tǒng)維護(hù)人員負(fù)責(zé)管理，定期檢查服務(wù)器主機(jī)的物理環(huán)境，并按照相關(guān)物理安全要求進(jìn)行維護(hù)。

2.系統(tǒng)維護(hù)人員應(yīng)對(duì)所有主機(jī)設(shè)備進(jìn)行資產(chǎn)登記，登記記錄上應(yīng)該標(biāo)明硬件型號(hào)，廠家，操作系統(tǒng)版本，已安裝的補(bǔ)丁程序號(hào)，安裝和升級(jí)的時(shí)間等內(nèi)容。

3.系統(tǒng)維護(hù)人員應(yīng)至少每天1次，對(duì)所有主機(jī)設(shè)備進(jìn)行檢查，確保各設(shè)備都能正常工作。

4.系統(tǒng)維護(hù)人員應(yīng)對(duì)各個(gè)主機(jī)設(shè)備上擁有用戶(hù)賬號(hào)的人員、權(quán)限以及賬號(hào)的認(rèn)證和管理方式做出明確定義，并定期進(jìn)行審查，在發(fā)現(xiàn)有可疑的用戶(hù)賬號(hào)時(shí)進(jìn)行核實(shí)并采取相應(yīng)的措施。

5.在用戶(hù)權(quán)限的設(shè)置時(shí)應(yīng)遵循最小授權(quán)和權(quán)限分割的原則，只給系統(tǒng)用戶(hù)、數(shù)據(jù)庫(kù)系統(tǒng)用戶(hù)或其它應(yīng)用系統(tǒng)用戶(hù)授予業(yè)務(wù)所需的最小權(quán)限，應(yīng)禁止為所管理主機(jī)系統(tǒng)無(wú)關(guān)的人員提供主機(jī)系統(tǒng)用戶(hù)賬號(hào)，并且關(guān)閉一切不需要的系統(tǒng)賬號(hào)。對(duì)兩個(gè)月以上不使用的用戶(hù)賬號(hào)進(jìn)行鎖定。同時(shí)對(duì)主機(jī)設(shè)備中所有用戶(hù)賬號(hào)進(jìn)行登記備案。

6.系統(tǒng)維護(hù)人員應(yīng)制訂主機(jī)系統(tǒng)的帳戶(hù)口令管理策略，對(duì)口令的選取、組成、長(zhǎng)度、保存、修改周期做出規(guī)定。禁止使用名字、姓氏、電話號(hào)碼、生日等容易猜測(cè)的字符作為口令，也不要使用單個(gè)單詞或命令作為口令，組成口令的字符應(yīng)包含大小寫(xiě)英文字母、數(shù)字、標(biāo)點(diǎn)、控制字符等，口令長(zhǎng)度要求在8位以上。不應(yīng)將口令存放在個(gè)人計(jì)算機(jī)文件中，或?qū)懙饺菀妆黄渌双@取的地方?？诹钗募ㄈ纾合到y(tǒng)中的/etc/shadow）及其所有拷貝的訪問(wèn)權(quán)限應(yīng)該嚴(yán)格限制為超級(jí)用戶(hù)可讀，并且定期檢查。對(duì)于重要的主機(jī)系統(tǒng)，要求至少每個(gè)月修改一次口令，或者使用一次性口令設(shè)備；對(duì)于管理用的工作站和個(gè)人計(jì)算機(jī)，要求至少每?jī)蓚€(gè)月修改一次口令。若掌握口令的管理人員調(diào)離本職工作時(shí)，必須立即更改所有相關(guān)口令；用戶(hù)賬號(hào)口令應(yīng)以加密方式存儲(chǔ)，如MD5方式。

7.系統(tǒng)維護(hù)人員應(yīng)定期利用口令破解軟件進(jìn)行口令模擬破解測(cè)試，在發(fā)現(xiàn)脆弱性口令后及時(shí)采取強(qiáng)制性的補(bǔ)救修改措施。

8.嚴(yán)格禁止非本維護(hù)管理人員直接進(jìn)入主機(jī)設(shè)備進(jìn)行操作，若在特殊情況下（如系統(tǒng)維修、升級(jí)等）需要外部人員（主要是指廠家技術(shù)工程師、非本系統(tǒng)技術(shù)工程師、安全管理員等）進(jìn)入主機(jī)設(shè)備進(jìn)行操作時(shí)，必須由系統(tǒng)管理員登錄，并對(duì)操作全過(guò)程進(jìn)行記錄備案。禁止將系統(tǒng)用戶(hù)賬號(hào)及口令直接交給外部人員，在緊急情況下需要為外部人員開(kāi)放臨時(shí)賬號(hào)時(shí)，必須向信息管理處相關(guān)領(lǐng)導(dǎo)申請(qǐng)，在申請(qǐng)中寫(xiě)明開(kāi)放臨時(shí)賬號(hào)的原因、時(shí)間、期限、對(duì)外部人員操作的監(jiān)控方法、負(fù)責(zé)開(kāi)放和注銷(xiāo)臨時(shí)賬號(hào)的人員等內(nèi)容，并嚴(yán)格根據(jù)主管領(lǐng)導(dǎo)的批復(fù)進(jìn)行臨時(shí)賬號(hào)的開(kāi)放、注銷(xiāo)、監(jiān)控，并記錄備案。

9.系統(tǒng)軟件安裝之后，系統(tǒng)維護(hù)人員應(yīng)立即進(jìn)行備份；在后續(xù)使用過(guò)程中，在系統(tǒng)軟件的變更以及配置的修改之前和之后，也應(yīng)立即進(jìn)行備份工作。

10.嚴(yán)禁隨意安裝、卸載系統(tǒng)組件和驅(qū)動(dòng)程序，如確實(shí)需要，應(yīng)及時(shí)評(píng)測(cè)可能由此帶來(lái)的影響，并需要獲得主管領(lǐng)導(dǎo)的批準(zhǔn)。

11.系統(tǒng)維護(hù)人員應(yīng)制定軟件使用制度，禁止在服務(wù)器系統(tǒng)上禁止安裝與該服務(wù)器所提供服務(wù)和應(yīng)用無(wú)關(guān)的其它軟件。12.系統(tǒng)維護(hù)人員應(yīng)制定重要主機(jī)系統(tǒng)的安全使用制度，禁止在重要的主機(jī)系統(tǒng)上瀏覽外部網(wǎng)站網(wǎng)頁(yè)、接收電子郵件、編輯文檔以及進(jìn)行與主機(jī)系統(tǒng)維護(hù)無(wú)關(guān)的其它操作。如果需要安裝補(bǔ)丁程序，補(bǔ)丁程序必須通過(guò)日常維護(hù)管理用的工作站或PC機(jī)進(jìn)行下載，然后再移到相應(yīng)的主機(jī)系統(tǒng)安裝。

13.禁止主機(jī)系統(tǒng)上開(kāi)放具有“寫(xiě)”權(quán)限的共享目錄，如果確實(shí)必要，可臨時(shí)開(kāi)放，但要設(shè)置強(qiáng)共享口令，并在使用完之后立刻取消共享。

14.系統(tǒng)維護(hù)人員應(yīng)禁止不被系統(tǒng)明確使用的服務(wù)、協(xié)議和設(shè)備的特性，避免使用不安全的服務(wù)，例如：SNMP、RPC、Telnet、Finger、Echo、Chargen、Remote Registry、Time、NIS、NFS、R系列服務(wù)等。

15.系統(tǒng)維護(hù)人員應(yīng)嚴(yán)格控制重要文件的許可權(quán)和擁有權(quán)，重要的數(shù)據(jù)應(yīng)當(dāng)加密存放在主機(jī)上，取消匿名FTP訪問(wèn)，并合理使用信任關(guān)系。

16.系統(tǒng)維護(hù)人員應(yīng)及時(shí)監(jiān)視、收集主機(jī)設(shè)備操作系統(tǒng)生產(chǎn)廠商公布的軟件以及補(bǔ)丁更新，要求下載補(bǔ)丁程序的站點(diǎn)必須是相應(yīng)的官方站點(diǎn)，并對(duì)更新軟件或補(bǔ)丁進(jìn)行評(píng)測(cè)，在獲得主管領(lǐng)導(dǎo)的批準(zhǔn)下，再實(shí)施軟件更新或者補(bǔ)丁安裝。

17.軟件更新或者補(bǔ)丁安裝應(yīng)盡量安排在非業(yè)務(wù)繁忙時(shí)段進(jìn)行。操作必須由兩人以上完成，由一人監(jiān)督，另一人進(jìn)行實(shí)際操作，并在升級(jí)（或修補(bǔ)）前后做好數(shù)據(jù)和軟件的備份工作，同時(shí)將整個(gè)過(guò)程記錄備案。

18.軟件更新或者補(bǔ)丁安裝后應(yīng)重新對(duì)系統(tǒng)進(jìn)行安全設(shè)置，并進(jìn)行系統(tǒng)的安全檢查。19.系統(tǒng)維護(hù)人員應(yīng)及時(shí)報(bào)告任何已知的或可疑的信息安全問(wèn)題、違規(guī)行為或緊急安全事件，并在采取適當(dāng)措施的同時(shí)，應(yīng)向主管領(lǐng)導(dǎo)報(bào)告細(xì)節(jié)；并不得試圖干擾、防止、阻礙或勸阻其他員工報(bào)告此類(lèi)事件；同時(shí)禁止以任何形式報(bào)復(fù)報(bào)告或調(diào)查此類(lèi)事件的個(gè)人。

20.系統(tǒng)維護(hù)人員應(yīng)制訂主機(jī)設(shè)備日志的管理制定，對(duì)于日志功能的啟用，日志記錄的內(nèi)容，日志的管理形式，日志的審查分析做明確的規(guī)定。對(duì)于重要主機(jī)設(shè)備，應(yīng)建立集中的日志管理服務(wù)器，實(shí)現(xiàn)對(duì)重要主機(jī)設(shè)備日志的統(tǒng)一管理，以利于對(duì)主機(jī)設(shè)備日志的審查分析。

21.系統(tǒng)維護(hù)人員應(yīng)保證各主機(jī)設(shè)備的系統(tǒng)日志處于運(yùn)行狀態(tài)，并每?jī)芍軐?duì)日志做一次全面的分析，對(duì)登錄的用戶(hù)、登錄時(shí)間、所做的配置和操作做檢查，在發(fā)現(xiàn)有異常的現(xiàn)象時(shí)應(yīng)及時(shí)向信息安全工作組報(bào)告。

22.系統(tǒng)維護(hù)人員應(yīng)定期進(jìn)行安全漏洞掃描和病毒查殺工作，平均頻率應(yīng)不低于每2周一次，重大安全漏洞發(fā)布后，應(yīng)在3個(gè)工作日內(nèi)進(jìn)行；并且為了防止網(wǎng)絡(luò)安全掃描以及病毒查殺對(duì)網(wǎng)絡(luò)性能造成影響，應(yīng)根據(jù)業(yè)務(wù)的實(shí)際情況對(duì)掃描時(shí)間做出規(guī)定，應(yīng)一般安排在非業(yè)務(wù)繁忙時(shí)段；當(dāng)發(fā)現(xiàn)主機(jī)設(shè)備上存在病毒、異常開(kāi)放的服務(wù)或者開(kāi)放的服務(wù)存在安全漏洞時(shí)應(yīng)及時(shí)上報(bào)主管領(lǐng)導(dǎo)，并采取相應(yīng)措施。

23.系統(tǒng)維護(hù)人員應(yīng)通過(guò)各種手段監(jiān)控主機(jī)系統(tǒng)的CPU利用率，進(jìn)程，內(nèi)存和啟動(dòng)腳本等的使用狀況，在發(fā)現(xiàn)異常系統(tǒng)進(jìn)程或者系統(tǒng)進(jìn)程數(shù)量異常變化時(shí)，或者CPU利用率，內(nèi)存占用量等突然異常時(shí)，應(yīng)立即上報(bào)主管領(lǐng)導(dǎo)，并同時(shí)采取適當(dāng)控制措施，并記錄備案。24.當(dāng)主機(jī)系統(tǒng)出現(xiàn)以下現(xiàn)象之一時(shí)，系統(tǒng)維護(hù)人員必須進(jìn)行安全問(wèn)題的報(bào)告和診斷：

? 系統(tǒng)中出現(xiàn)異常系統(tǒng)進(jìn)程或者系統(tǒng)進(jìn)程數(shù)量有異常變化。? 系統(tǒng)突然不明原因的性能下降。? 系統(tǒng)不明原因的重新啟動(dòng)。? 系統(tǒng)崩潰，不能正常啟動(dòng)。? 系統(tǒng)中出現(xiàn)異常的系統(tǒng)賬號(hào)。? 系統(tǒng)賬號(hào)口令突然失控。? 系統(tǒng)賬號(hào)權(quán)限發(fā)生不明變化。? 系統(tǒng)出現(xiàn)來(lái)源不明的文件。? 系統(tǒng)中文件出現(xiàn)不明原因的改動(dòng)。? 系統(tǒng)時(shí)鐘出現(xiàn)不明原因的改變。

? 系統(tǒng)日志中出現(xiàn)非正常時(shí)間系統(tǒng)登錄，或有不明IP地址的系統(tǒng)登錄。

? 發(fā)現(xiàn)系統(tǒng)不明原因的在掃描網(wǎng)絡(luò)上其它主機(jī)。

25.系統(tǒng)維護(hù)人員對(duì)主機(jī)系統(tǒng)進(jìn)行維護(hù)管理應(yīng)編寫(xiě)運(yùn)行維護(hù)的日?qǐng)?bào)、周報(bào)、月報(bào)和年報(bào)。

26.主機(jī)的備份分兩種，一種是數(shù)據(jù)的備份，另一種是系統(tǒng)配置的備份。網(wǎng)站系統(tǒng)維護(hù)人員需要作數(shù)據(jù)備份的服務(wù)器為：數(shù)據(jù)庫(kù)主機(jī)、電子郵件服務(wù)器、WWW主機(jī)等。所有主機(jī)均應(yīng)有較詳細(xì)的系統(tǒng)配置的備份，以便系統(tǒng)的恢復(fù)。重要數(shù)據(jù)應(yīng)定期進(jìn)行0級(jí)備份和增量備份，并妥善保存存儲(chǔ)介質(zhì)。鑒于現(xiàn)在網(wǎng)絡(luò)的主機(jī)和備份介質(zhì)，建議采用如下備份計(jì)劃： ? 每月做一次系統(tǒng)0級(jí)備份； ? 每周做一次增量備份；

? 每個(gè)服務(wù)器至少保持最近的三個(gè)月的系統(tǒng)和數(shù)據(jù)備份。

二0一0年三月五日

第五篇：網(wǎng)站安全管理制度

網(wǎng)站安全管理制度

為加強(qiáng)網(wǎng)站安全管理，確保該網(wǎng)站的整體安全，根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)規(guī)定，制定本制度。

第一條 網(wǎng)站的建設(shè)應(yīng)堅(jiān)持“統(tǒng)一規(guī)劃，統(tǒng)一標(biāo)準(zhǔn)，資源共享，安全保密”的原則。信息資源遵循“誰(shuí)發(fā)布，誰(shuí)負(fù)責(zé)；誰(shuí)主管，誰(shuí)管理”。

第二條 擬對(duì)外公開(kāi)的信息在上網(wǎng)發(fā)布前，應(yīng)經(jīng)網(wǎng)站負(fù)責(zé)人審核確認(rèn)。對(duì)在線互動(dòng)性欄目，要加強(qiáng)網(wǎng)上互動(dòng)內(nèi)容的監(jiān)管，確保信息的健康和安全。以下有害信息不得在網(wǎng)上發(fā)布：

1、反對(duì)憲法所確定的基本原則的；

2、危害國(guó)家安全、泄露國(guó)家秘密、顛覆國(guó)家政權(quán)、破壞國(guó)家統(tǒng)一的；

3、損害國(guó)家榮譽(yù)和利益的；

4、煽動(dòng)民族仇恨、民族歧視、破壞民族團(tuán)結(jié)的；

5、破壞國(guó)家宗教政策，宣揚(yáng)邪教和封建迷信的；

6、散布謠言，擾亂社會(huì)秩序，破壞社會(huì)穩(wěn)定的；

7、散布淫穢、色情、賭博、暴力、兇殺、恐怖或教唆犯罪的；

8、侮辱或者誹謗他人，侵害他人的合法權(quán)益的；

9、含有法律、行政法規(guī)禁止的其他內(nèi)容的。

第三條 網(wǎng)站在建設(shè)和運(yùn)行中，要加強(qiáng)安全措施，增強(qiáng)安全技術(shù)手段。保證網(wǎng)站每天24小時(shí)正常開(kāi)通運(yùn)轉(zhuǎn)，以方便公眾訪問(wèn)。網(wǎng)站應(yīng)當(dāng)對(duì)重要文件、數(shù)據(jù)、操作系統(tǒng)及應(yīng)用系統(tǒng)作定期備份，以便應(yīng)急恢復(fù)。嚴(yán)禁將各個(gè)人登錄帳號(hào)和密碼泄露給他人使用。

第四條 網(wǎng)站負(fù)責(zé)人、技術(shù)開(kāi)發(fā)人員和信息采編人員所用電腦必須加強(qiáng)病毒、黑客安全防范措施，必須有相應(yīng)的安全軟件實(shí)施保護(hù)，確保電腦內(nèi)的資料和帳號(hào)、密碼的安全、可靠。

第五條 網(wǎng)站應(yīng)當(dāng)充分估計(jì)各種突發(fā)事件的可能性，做好應(yīng)急響應(yīng)方案。制定詳細(xì)的工作人員管理制度，明確工作人員的職責(zé)和權(quán)限。同時(shí)，規(guī)范人員調(diào)離制度，做好保密義務(wù)承諾、資料退還、系統(tǒng)口令更換等必要的安全保密工作。

第六條 本制度即發(fā)布之日起實(shí)施。

通聯(lián)禽業(yè)信息服務(wù)有限公司

2012-5