《河北科技师范学院二级网站安全工作实施意见》全文.doc
《河北科技师范学院二级网站安全工作实施意见》全文.doc
河北科技师范学院二级网站安全工作实施意见 为保障我校网站信息安全工作健康有序发展,现根据《教育部、共青团中央关于进一 步加强高等学校校园网络管理工作的意见》 ([2004]17 号)、教育部、国信办《关于进一步 加强高等学校网络建设和管理工作的意见》教思政﹝2013﹝3 号等文件精神要求,并结合我 校网站管理工作实际,研究制定河北科技师范学院二级网站安全工作实施意见如下。 一、各部门要认真履行各自所承办网站的安全管理责任,把网站信息安全工作纳入部 门日常工作,使部门网站内容的更新速度、信息质量、信息安全等不断适应形势发展。 二、各部门要认真实网站备案管理责任,明确本部门网站管理员、信息发布审核责任 人。遇有因为岗位聘用、工作调整或变更的,要及时将本部门新的信息安全管理人及联系 方式报送学校党委宣传部和网络与现代教育技术中心备案,以便及时联系和处理网络信息 相关工作。 三、网站站点建在校内的二级网站的域名和 IP,由网络与现代教育技术中心统一分 配。 四、需要在公网建站的单位,其网站域名需要经过网络与现代教育技术中心审定后, 由承办单位向有关部门申请,并按国家法规注册备案,相关材料报送网络与现代教育技术 中心备案。 五、网站管理员要适时地负责检查本部门网站的安全管理工作。 (一)对本部门直接管理的(非托管服务器)进行系统安全检查; (二)对网站后台管理系统安全、口令安全、木马检测、SQL 注入检测等进行检查; (三)对存在漏洞网站程序,要及时修复。对未修复的网站,网络与现代教育技术中 心将视该网站的安全情况,进行暂时关闭; (四)对已不用的网站及网站链接,要及时报网络与现代教育技术中心注销和删除; (五)遇有被篡改和无法修复情况,要及时联系网络与现代教育技术中心,以便进行 及时补救处理。 六、各部门网站管理员,要每天定时查看本部门服务器工作情况和本部门网站内容, 加强服务器和网站管理,加强网站内容审查。用户名和密码要每隔一星期更换一次,发现 异常情况,应立即做好工作记录,并向网络与现代教育技术中心报送有关情况。 七、网络网站信息安全是一项复杂的系统性工程,涉及软、硬件安全技术防护、信息 采集与发布工作流程、网站系统安全管理工作机制等,各网站管理单位要高度重视,认真 研究,确保部门网站信息安全工作持续健康发展。 附件: 河北科技师范学院二级网站建设与管理工作要求 党委宣传部 网络与现代教育技术中心 2015 年 8 月 31 日 附件: 河北科技师范学院二级网站建设与管理工作要求 一、网站建设相关要求 1 开发语言及数据库要求 由于 Web 服务器有限,目前只能发布应用 Html、 Asp+Access、 Asp.net(c#)+Access、 Asp.net(c#)+SQL Server(2005 或 2008) 语言开发的网站。 2 开发要求 由于每个 Web 服务器上发布多个网站,出于对服务器整体安全性的考虑,二级网站的 开发要在考虑实用性的前提下,必须充分保证安全性。如:对有上传要求的网站,一定要限 制上传文件的格式、大小及权限;密码一定要有加密措施(MD5) ;防止 SQL 注入及跨站点 脚本攻击;后台登陆时要有验证码;后台要有数据及相关文件的备份功能等等。 各单位在网站开发前要与网络中心联系,确认服务器环境是否支持其开发语言,以确 保在开发后能在服务器上发布,防止因环境不支持而造成网站无法发布。 各单位新开发的网站,在发布前需经相关部门进行一定的安全测试,坚决杜绝存在安 全漏洞的代码在服务器上发布。已经发布的网站,如有安全漏洞,管理单位要及时更新代码, 若由于单位的网页漏洞造成网站被攻击及网页被篡改,由该单位自己负责;若影响服务器的 工作,网络中心将暂停该单位网站的运行,直至漏洞修复。 3 网站应用要求 二级网站由各二级学院(系部) 、处室自行管理,建议符合以下要求: 3.1 网站交互管理方面要求。 各二级网站不允许有交互类型的栏目及功能,如论坛、留言版、博客、文章评论等功 能,如确实需要有交互功能的,需在网络中心备案,必须有专门的管理员进行管理,并且具 备审核功能,即需发表的任何言论必须经过管理员审核方可发布出去。 3.2 网站账户及后台管理方面要求。 与网站管理相关的账户、密码必须有专人管理,且密码具有一定的复杂度(密码包括 数字、字符,且长度不低于 16 位,不要采用如“12345678”这样的简单密码),定期更改 (一般最少为两周);后台至少要采用验证码验证登陆。 3.3 网站内容方面要求。 网站所发布内容由二级网站负责人及联络员负责,网站内所包含的链接一定是国家政 府或正规网站的链接,并且要定期检查链接是否存在错误、空链接等情况。同时要定期检查 本单位网站内容,防止出现被黑客入侵并篡改内容的事件发生。 3.4 网站数据备份。 网站后台要具有备份数据库功能,网站系统管理员要定期备份数据并下载到本地计算 机中,以备发生突发事件后使用。 二、托管服务器及虚拟主机的要求 在网络与现代教育技术中心机房托管服务器的单位,要定期登录本单位服务器或及虚拟 主机,监控其运行状况,要缩短检查周期,以便及时发现异常情况。 三、网站建设流程 1 网站开发前到网络中心填写《河北科技师范学院二级网站建设申请书》,以确认开发 语言及环境支持。 2 网站发布前要由相关部门对代码进行安全检测,安全测试合格后,填写《河北科技 师范学院二级网站发布申请表》及《河北科技师范学院二级网站管理单位备案表》 3 如需二级域名,则还需要填写《河北科技师范学院二级网站域名申请表》。 4 网站发布后,如需更新程序,需填写《网站程序更新申请表》 。 四、主机托管或虚拟主机流程 1 主机托管填写《主机托管申请表》 。 2 虚拟主机填写《虚拟主机申请表》 。