資源描述:
《關(guān)于加強(qiáng)網(wǎng)站安全保障工作的通知》由會(huì)員上傳分享,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1����、關(guān)于加強(qiáng)網(wǎng)站安全保障工作的通知各部門、二級學(xué)院:目前���,我校各類二級網(wǎng)站和獨(dú)立課程網(wǎng)站數(shù)量已達(dá)100多個(gè),其中多數(shù)網(wǎng)站缺少必要的安全保障措施��,存在較大的網(wǎng)站信息安全隱患�����,為進(jìn)一步加強(qiáng)網(wǎng)站安全保障工作��,堅(jiān)決防止各類網(wǎng)站安全事件的發(fā)生��。根據(jù)《中共麗水市委辦公室麗水市人民政府辦公室關(guān)于加強(qiáng)網(wǎng)站安全保障工作的通知》��,結(jié)合我校實(shí)際��,現(xiàn)就做好我校網(wǎng)站安全保障工作通知如下:一��、各單位要重視和加強(qiáng)對網(wǎng)站安全保障工作的組織領(lǐng)導(dǎo)���,按照“誰主管誰負(fù)責(zé),誰運(yùn)行誰負(fù)責(zé)�����,誰使用誰負(fù)責(zé)”�����、“誰發(fā)布���、誰審查��,誰審查�����、誰負(fù)責(zé)”的原則���,結(jié)合各自實(shí)際,健全工作機(jī)制��,完
2�、善規(guī)章制度�����,強(qiáng)化技術(shù)防范措施����,切實(shí)做到領(lǐng)導(dǎo)到位�����、人員到位�����、責(zé)任到位�、措施到位���,形成長效機(jī)制����。二��、各單位要在保障網(wǎng)站安全運(yùn)行的前提下����,立即組織開展網(wǎng)站安全保障自查工作(自查重點(diǎn)及處理建議見附件1)�����,對自查中發(fā)現(xiàn)的問題�����,立即整改�����,盡早堵塞漏洞�。三�����、各單位要加強(qiáng)網(wǎng)站日常監(jiān)控管理�����,明確各相關(guān)人員的工作職責(zé)和應(yīng)急處置流程����,發(fā)生安全事件后�����,必須在2小時(shí)內(nèi)報(bào)送宣傳部或信息技術(shù)中心(聯(lián)系電話:0578-2683288)。四�、凡從屬于麗水學(xué)院名稱下的所有二級以下網(wǎng)站�����,不得使用校外的服務(wù)器空間發(fā)布信息�����,不得私自使用專線接入等����,對于自有服務(wù)器的可申請
3、IP地址和端口映射,也可以托管到中心機(jī)房���。沒有服務(wù)器的可以向信息技術(shù)中心申請?zhí)摂M主機(jī)���。五、對于各種渠道發(fā)現(xiàn)存在有安全隱患的網(wǎng)站����,信息技術(shù)中心將先行暫停網(wǎng)站的信息服務(wù),并通知網(wǎng)站所有人進(jìn)行整改��,整改完成通過審定后再予以重新開放��。一���、網(wǎng)站申辦者必須與學(xué)校簽定《麗水學(xué)院網(wǎng)站信息安全責(zé)任書》(見附件2)����,未簽定的責(zé)任書的網(wǎng)站不得開通任何信息服務(wù)��。對于已經(jīng)開通服務(wù)但尚未簽定責(zé)任書的網(wǎng)站��,限期在9月30日之前補(bǔ)簽責(zé)任書�����,屆時(shí)仍未簽定的�,暫停網(wǎng)站服務(wù)。附件1:網(wǎng)站安全自查重點(diǎn)及處理建議附件2:麗水學(xué)院網(wǎng)站信息安全責(zé)任書麗水學(xué)院黨委宣傳部麗水學(xué)
4�、院信息技術(shù)中心2009年9月17日附件1麗水學(xué)院二級網(wǎng)站安全自查重點(diǎn)及處理建議一��、管理制度建設(shè)情況1�����、領(lǐng)導(dǎo)�����、機(jī)構(gòu)�����、人員�、職責(zé)是否到位����?二級部門和學(xué)院的網(wǎng)站,設(shè)立相應(yīng)的領(lǐng)導(dǎo)和管理機(jī)構(gòu),確定人員分工和職責(zé)��,安全責(zé)任人須為部門主要負(fù)責(zé)人���。教師的獨(dú)立課程網(wǎng)站,安全責(zé)任人須為課程主要負(fù)責(zé)人����,直接監(jiān)管部門為教師所在二級學(xué)院。學(xué)生社團(tuán)組織等網(wǎng)站����,安全責(zé)任人須為社團(tuán)所屬的學(xué)校處級以上機(jī)構(gòu)主要負(fù)責(zé)人。2�、是否建立信息采集、編輯����、審核、發(fā)布制度��?所有網(wǎng)站的信息采集�����、編輯、審核和發(fā)布都必須有專人負(fù)責(zé)��。留言板���、評論等交互式欄目必須采用審核發(fā)布制度�。3��、
5���、是否定期執(zhí)行網(wǎng)站安全檢查制度�����?對于所有運(yùn)行中的網(wǎng)站���,不管是否發(fā)布過新的信息,必須保證每天有專人對網(wǎng)站內(nèi)容進(jìn)行全面檢查����,及時(shí)發(fā)現(xiàn)安全隱患并加以處理。二���、安全管理措施1��、網(wǎng)站是否存在SQL注入攻擊����、跨站腳本攻擊、弱口令等漏洞���?利用網(wǎng)站程序漏洞是非法入侵的最常用手段,入侵者通過漏洞取得權(quán)限進(jìn)行頁面修改��、網(wǎng)頁掛馬等�。很多網(wǎng)站程序設(shè)計(jì)有缺陷,存在較多漏洞���,必須及時(shí)進(jìn)行修補(bǔ)���。弱口令也是常被利用的手段,很容易被暴力猜解�,用戶必須設(shè)置復(fù)雜的口令(不應(yīng)只由字母和數(shù)字組成,可加入鍵盤可輸入的特殊字符�����,且長度在8位以上)�,并做好嚴(yán)格保密和定期修改工作
6��、�。2�����、是否保管好網(wǎng)站的FTP帳戶和密碼����?很多網(wǎng)站的所有者,都是委托他人(電腦公司或計(jì)算機(jī)專業(yè)人員)進(jìn)行網(wǎng)站設(shè)計(jì)和開發(fā)��,制作完成后由其代為上傳和管理�����,因?yàn)檫@些技術(shù)人員掌握著網(wǎng)站的FTP權(quán)限��,網(wǎng)站所有人必須與其達(dá)成FTP權(quán)限使用協(xié)議���,約束其權(quán)限�����,避免發(fā)生人為的安全事件���,同時(shí)防止FTP空間被挪作它用����。建議網(wǎng)站制作完成后��,及時(shí)收回FTP權(quán)限�����,由負(fù)責(zé)人自行妥善保管����。3��、是否做到網(wǎng)站不在互聯(lián)網(wǎng)上顯示后臺管理地址�?為防止入侵者窮舉猜解管理員帳戶密碼,網(wǎng)站的后臺管理地址不應(yīng)在網(wǎng)頁上鏈接���,不應(yīng)使用通用的文件夾和文件名����,如admin等����,自己進(jìn)行管理
7����、時(shí)�,通過地址欄直接輸入管理后臺的地址。4�����、是否對登錄網(wǎng)站后臺的IP地址進(jìn)行限制���?推薦用戶在后臺登錄頁驗(yàn)證用戶的IP地址����,屏蔽校外的IP地址登錄網(wǎng)站進(jìn)行管理�����,如管理者自己在校外需要管理時(shí)�����,通過VPN方式登錄校園網(wǎng)再進(jìn)行���,更好的保障安全����。5、網(wǎng)站管理員用戶的前后臺帳戶是否分離��?網(wǎng)站前臺用戶和后臺管理帳戶應(yīng)獨(dú)立設(shè)置用戶名和密碼���。6�、網(wǎng)站是否啟用了日志記錄��,并定期檢查��?網(wǎng)站必須啟用訪問日志記錄���,并定期下載進(jìn)行查看,及早發(fā)現(xiàn)安全隱患���。日志記錄應(yīng)保存6個(gè)月以上����。7�、對于自有服務(wù)器或托管服務(wù)器的單位���,還應(yīng)做好以下方面的檢查:1)是否做好操作系
8、統(tǒng)安全性設(shè)置和日常安全檢查���,安全漏洞是否修補(bǔ)��,用戶是否定期修改密碼�����,不必要的應(yīng)用���、服務(wù)、端口是否刪除�?2)是否存在多臺服務(wù)器或多個(gè)帳號使用同一口令的情況?3)是否做好系統(tǒng)�、網(wǎng)站、數(shù)據(jù)庫的安全性日志保存和檢查��?4)是否定期優(yōu)化��、調(diào)整防火墻����、交換機(jī)系統(tǒng)安全策略配置�?
