管托管网站安全管理.docx

管托管网站安全管理为切实加强政府网络的安全使用和规范管理，促进政府网信息服务活动健康有序发展，按照“谁主管，谁负责；谁使用，谁负责；谁提供，谁负责”的信息安全管理原则，根据《中华人民共和国必威体育官网网址法》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等国家相关法律、法规，以及我市政府制定的网络信息安全管理相关规定，针对政府网的应用现状制定。一、安全管理1.各部门托管网站维护管理由各部门自行负责。各部门托管网站前必须向市信息中心提交网站托管受理业务登记表。 2.各部门托管网站有关设备要定期巡检，保证网站每天24小时正常开通运转，以方便公众访问。3.建立网站信息更新维护责任制。各部门应明确分管负责人、承办部门和具体责任人员，负责本部门网站日常维护工作，并建立相应的工作制度；并将人员相关资料告知信息中心进行登记，期间人员的调离应及时将替代人员资料告知信息中心，便于资料更改。4.定期备份制度。托管网站应当由托管单位对代码文件、数据库及后台应用系统作定期备份，以便应急恢复。特别重要的部门还应当对重要文件和数据进行异地备份。 5.口令管理制度。各部门托管网站应当设置网站后台管理登录口令，要求口令的位数不应少于8位，并应用到字母大小写、数字及符号等组合键，且不应与管理者个人信息、单位信息、设备（系统）信息等相关联。每三个月须更换一次网站登录口令，严禁将网站管理员登录帐号和密码泄露给他人使用。 6.机房管理制度。各部门托管网站机房应建立严格的门禁制度和日常管理制度，机房及机房内所有设备必须由专人负责管理，每日应有机房值班记录和主要设备运行情况的记录。外来系统维护人员进入机房，应由技术人员陪同并对工作内容做详细记录。 7.服务器和网站定期检测制度。各部门托管网站应及时对网站管理及服务器系统漏洞进行定期检测，并根据检测结果采取相应的措施。要及时对操作系统、数据库等系统软件进行补丁包升级或者版本升级，以防黑客利用系统漏洞和弱点非法入侵。 8.客户端或录入电脑安全防范制度。网站负责人、技术开发人员和信息采编人员所用电脑必须加强病毒、黑客安全防范措施，必须有相应的安全软件实施保护，确保电脑内的资料和帐号、密码的安全、可靠。9、应急响应制度。各部门托管网站应当充分估计各种突发事件的可能性，做好应急响应方案。同时，要与岗位责任制度相结合，保证应急响应方案的及时实施，将损失降到最低程度。10、安全事件报告及处理制度。各部门托管网站在发生安全突发事件后，除在第一时间组织人员进行解决外，应当及时向市信息中心报告，并由其给予及时的指导和必要的技术支持，并视安全突发事件的严重程度，及时协调公安、电信等部门进行处理。11.人员管理制度。各部门托管网站应当制定详细的工作人员管理制度，明确工作人员的职责和权限。要通过定期开展业务培训，提高人员素质，重点加强负责系统操作和维护工作的人员的培训考核工作，实行考核上岗制度。同时，规范人员调离制度，做好必威体育官网网址义务承诺、资料退还、系统口令更换等必要的安全必威体育官网网址工作。12、托管网站中若发现给篡改内容或上传不良信息时，市信息中心有权对其网站停止服务，待网站完全恢复后再重新启用服务。二、托管网站运维 1.机房的安全直接关系到整个网络应用的可靠性和数据必威体育官网网址性，也是托管服务器安全运行的基础保障，机房安全涉及多个环节，如机房的扩容性，机房电磁干扰屏蔽，提供UPS冗余供电系统，拒绝服务攻击，实行漏洞扫描，安装负载均衡系统等一系列加强机房安全运行的措施及硬件设备。 2.虽然应用了以上安全措施保障机房安全但是由于机房内放置了不同企业及单位且不同应用的服务器，并且一个网段内也有不少服务器同时运行，若其中一台服务器被攻击则很有可能影响其他服务器的正常运行，因此机房安全管理基础上还应从服务器的操作系统本身出发，查找安全漏洞，分析并排除存在的安全隐患，不只依靠第三方软件对服务器进行安全加固，根据隐患，对症下药，才能更高效的管理服务器，保障服务器安全。3.服务器安全加固策略3.1 服务器安全是中心网站得以顺利运行的根本保障，而构建一个安全性能高，不易受病毒感染，被木马攻击的服务器，要对服务器进行多方面，多层次的安全加固才能实现的目标。设置了ARP病毒老化时间后，交换机在设置时间期限后重新进行ARP寻址，这样保证服务器就算服务器遭到此病毒攻击也能注定新寻址而重新建立网络建立，这是ARP病毒攻击防护的必要措施。3.2 目录权限管理是保证服务器文件系统安全的重要的手段。由于磁盘分区均采用NTFS格式，所以在对文件目录进行分配时，可设置只读、可写、可修改、完全控制等权限，并且可为文件夹及其子目录分别配置不同的权限。特别是用这样的管理方式对系统分区中的文件夹，如sys