欢迎访问大学官方网站!
首页 > 规章制度 > 正文

哈尔滨理工大学网站安全管理方案(试行)

哈尔滨理工大学网站安全管理方案

(试行)

第一章

第一条 为加强我校网站管理,确保网站的安全,加强网站信息资源建设,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《中华人民共和国政府信息公开条例》等有关规定,制定本制度。

 

第二章网站信息保障措施

第二条 根据信息公开要求,各部门应及时在网站上发布工作中产生的不涉密政务信息与新闻。

第三条 各部门指派专人担任信息员,负责采集、编录本部门的信息并向网站提供。

第四条 信息员采集的信息经部门负责人审核后方可向网站提供,信息内容按“谁发布,谁负责”的原则进行责任认定。

第五条 网上发布的文件、数据、文字及图像等信息统一由网站管理员存档管理。

 

第三章安全管理制度

第六条 网站安全管理由现教中心信息部负责。各部门应明确分管负责人、承办部门和具体责任人员。

第七条 网站管理员应当对重要文件、数据及应用系统作定期备份,以便应急恢复。

第八条 应当设置网站后台管理及上传的登录口令。口令的位数不应少于8位,严禁将个人登录帐号和密码泄露给他人使用。

第九条 网站和机房应建立严格的门禁制度和日常管理制度,机房及机房内所有设备必须由专人负责管理,每日应有机房值班记录和主要设备运行情况的记录。外来系统维护人员进入机房,应由技术人员陪同并对工作内容做详细记录。

第十条 应及时对网站管理及服务器系统漏洞进行定期检测,并根据检测结果采取相应的措施。要及时对操作系统、数据库等系统软件进行补丁包升级或者版本升级,以防黑客利用系统漏洞和弱点非法入侵。

第十一条 应当充分估计各种突发事件的可能性,做好应急响应方案。同时,要与岗位责任制度相结合,保证应急响应方案的及时实施,将损失降到最低程度。

第十二条 网站在发生安全突发事件后,除在第一时间组织人员进行解决外,应当及时向中心相关负责人报告,由其协调和给予及时的指导和必要的技术支持,并视安全突发事件的严重程度,及时协调公安及网络服务商等单位进行处理。

第十三条 应当制定工作人员管理制度,明确工作人员的职责和权限,通过定期开展业务培训,提高人员素质,同时,规范人员调离制度,做好保密义务承诺、资料退还、系统口令更换等必要的安全保密工作。

第十四条 学院、部处二级网站上线之前要进行漏洞检测,对不符合安全管理要求的网站不予上线。学院、部处对自己网站的信息安全负责。

 

第四章 网站信息安全保障措施

第十五条 网站运行安全保障措施

(一)、网站服务器和其他计算机之间设置防火墙,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。

(二)、在网站的服务器及工作站上安装相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。

(三)、做好访问日志的留存。网站具有保存六个月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。

(四)、交互式栏目信息不可以直接发布。应具有IP地址、身份登记和识别确认功能,并具有管理员审核功能。对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。

(五)、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。

(六)、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。

(七)、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。

(八)、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。

(九)、机房按照标准建设,必备的独立UPS不间断电源,能定期进行温度、电力、防火、防潮、防磁和防鼠检查。

 

第十六条 信息安全保密管理制度

(一)、严格按照“谁主管、谁负责”、“谁主办、谁负责”、“谁发布、谁负责”的原则,落实责任制,明确责任人和职责,确保使用网络和提供信息服务的安全。

(二)、网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。

(三)、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。

(四)、所有信息都及时做备份。按照国家有关规定,网站将保存6个月内系统运行日志和用户使用日志记录。

(五)、制定并遵守安全教育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。

 

第十七条 用户信息安全管理制度

(一)、除了在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下,未经用户授权我校不会随意公布与用户个人身份有关的资料,除非有法律或程序要求。

(二)、严格遵守网站用户帐号使用登记和操作权限管理制度,对用户信息专人管理,严格保密,未经允许不得向他人泄露。

 

第五章网站应急处置预案

第十八条 网站、网页出现非法言论时的紧急措施:

(一)、当发现网站或接到举报出现非法信息时,网站管理员应立即向相关负责人通报情况;

(二)、负责人在接到网站管理员报告后及时组织安排技术人员进行处理;

(三)、技术人员在接到通知后立即清理非法信息,强化安全防范措施,将网站网页重新投入使用;

(四)、网站管理员应妥善保存有关记录、日志或审计记录。

 

第十九条 网站遭到黑客攻击时的紧急处置措施:

(一)、当有网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,网站管理员首先应将被攻击的服务器等设备从网络中隔离出来,同时向负责人汇报情况;

(二)、负责人在接到网站管理员报告后及时组织安排技术人员进行处理;

(三)、技术人员立即进行被破坏系统的恢复与重建工作;

(四)、网站管理员应妥善保存有关记录、日志或审计记录。

 

第二十条 病毒安全紧急处置措施:

(一)、当网站管理员发现计算机感染有病毒后,应立即将该机从网络上隔离出来;

(二)、对该设备的硬盘进行数据备份;

(三)、启用病毒软件对该机进行杀毒处理,同时利用病毒检测软件对其他机器进行病毒扫描和清除工作;

(四)、如发现反病毒软件无法清除该病毒,应立即向技术人员报告;

(五)、经技术人员确认无法查杀该病毒后,应作好记录,同时立即向相关负责人报告,并迅速研究解决问题;

(六)、如果感染病毒的设备是服务器或者主机系统,经负责人同意,立即告知各相关单位做好相应的病毒清查工作。

 

第二十一条 软件系统遭受破坏性攻击的紧急处置措施:

(一)、一旦软件遭到破坏性攻击,网站管理员应立即向技术人员报告,并将系统停止运行;

(二)、技术人员立即进行软件系统和数据的恢复;

(三)、网站管理员应妥善保存有关记录、日志或审计记录。

 

第二十二条 数据库安全紧急处置措施:

(一)、一旦数据库崩溃,网站管理员应立即向负责人与技术人员报告,经负责人同意后通知各相关单位暂缓上传上报数据;

(二)、技术人员对数据库系统进行维护,如无法正常维护,采取数据库备份恢复的办法;

(三)、如果备份均无法恢复,应立即向有关厂商请求紧急技术支援。

 

第二十三条 设备安全紧急处置措施:

(一)、小型机、服务器等关键设备损坏后,网站管理员应立即向负责人报告并通知技术人员;

(二)、技术人员应立即查明原因,具有备份服务器的要马上启用备份服务器提供网站服务;

(三)、如果能够自行处理,应立即用备件替换受损部件;

(四)、如果不能自行处理的,立即与设备提供商联系,请求派维修人员前来维修。

 

第二十四条 网站应用程序服务器未知原因宕机的处理措施:

(一)、网站管理员应立即向负责人报告并通知相关技术人员;

(二)、技术人员应立即查明原因,隔离或停用导致应用服务器宕机的网站;

(三)、对于二级网站,立即通知所属的院、部处相关负责人,待问题解决并通过漏洞扫描和安全测试之后,给予上线;

哈尔滨理工大学网站安全管理方案(试行)