第一篇：網(wǎng)站安全管理制度

網(wǎng)站安全管理制度

為加強網(wǎng)站安全管理，確保該網(wǎng)站的整體安全，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)規(guī)定，制定本制度。

第一條 網(wǎng)站的建設(shè)應(yīng)堅持“統(tǒng)一規(guī)劃，統(tǒng)一標準，資源共享，安全保密”的原則。信息資源遵循“誰發(fā)布，誰負責(zé)；誰主管，誰管理”。

第二條 擬對外公開的信息在上網(wǎng)發(fā)布前，應(yīng)經(jīng)網(wǎng)站負責(zé)人審核確認。對在線互動性欄目，要加強網(wǎng)上互動內(nèi)容的監(jiān)管，確保信息的健康和安全。以下有害信息不得在網(wǎng)上發(fā)布：

1、反對憲法所確定的基本原則的；

2、危害國家安全、泄露國家秘密、顛覆國家政權(quán)、破壞國家統(tǒng)一的；

3、損害國家榮譽和利益的；

4、煽動民族仇恨、民族歧視、破壞民族團結(jié)的；

5、破壞國家宗教政策，宣揚邪教和封建迷信的；

6、散布謠言，擾亂社會秩序，破壞社會穩(wěn)定的；

7、散布淫穢、色情、賭博、暴力、兇殺、恐怖或教唆犯罪的；

8、侮辱或者誹謗他人，侵害他人的合法權(quán)益的；

9、含有法律、行政法規(guī)禁止的其他內(nèi)容的。

第三條 網(wǎng)站在建設(shè)和運行中，要加強安全措施，增強安全技術(shù)手段。保證網(wǎng)站每天24小時正常開通運轉(zhuǎn)，以方便公眾訪問。網(wǎng)站應(yīng)當(dāng)對重要文件、數(shù)據(jù)、操作系統(tǒng)及應(yīng)用系統(tǒng)作定期備份，以便應(yīng)急恢復(fù)。嚴禁將各個人登錄帳號和密碼泄露給他人使用。

第四條 網(wǎng)站負責(zé)人、技術(shù)開發(fā)人員和信息采編人員所用電腦必須加強病毒、黑客安全防范措施，必須有相應(yīng)的安全軟件實施保護，確保電腦內(nèi)的資料和帳號、密碼的安全、可靠。

第五條 網(wǎng)站應(yīng)當(dāng)充分估計各種突發(fā)事件的可能性，做好應(yīng)急響應(yīng)方案。制定詳細的工作人員管理制度，明確工作人員的職責(zé)和權(quán)限。同時，規(guī)范人員調(diào)離制度，做好保密義務(wù)承諾、資料退還、系統(tǒng)口令更換等必要的安全保密工作。

第六條 本制度即發(fā)布之日起實施。

通聯(lián)禽業(yè)信息服務(wù)有限公司

2012-5

第二篇：網(wǎng)站安全管理制度

網(wǎng)站安全管理制度

一、總則

為了更好的確保XXXXX網(wǎng)站的安全穩(wěn)定運行，合理、可靠、安全、高效地組織和管理XXXX網(wǎng)站，提高XXXX網(wǎng)站的服務(wù)質(zhì)量，提高維護隊伍的整體素質(zhì)和水平，特制定本 管理制度，作為維護和管理XXXX網(wǎng)站的依據(jù)。

二、范圍

本制度的適用范圍包括XXXX網(wǎng)站系統(tǒng)的物理資產(chǎn)（包括：網(wǎng)絡(luò)設(shè)備，主機設(shè)備，安全設(shè)備，監(jiān)控設(shè)備等）、軟件資產(chǎn)（操作系統(tǒng)，數(shù)據(jù)庫，應(yīng)用程序等）、數(shù)據(jù)資產(chǎn)（業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)系統(tǒng)、主機數(shù)據(jù)，應(yīng)用程序數(shù)據(jù)等）以及網(wǎng)站系統(tǒng)的技術(shù)人員等。

三、角色和責(zé)任

本手冊適用于XXXX網(wǎng)站的網(wǎng)絡(luò)維護人員、系統(tǒng)維護人員、信息安全員及安全審計員等角色閱讀。本手冊由信息管理處修改和維護。

四、網(wǎng)絡(luò)安全維護管理制度

1.網(wǎng)站系統(tǒng)的所有網(wǎng)絡(luò)設(shè)備（包括交換機、路由器、防火墻、IDS以及其他網(wǎng)絡(luò)設(shè)備）應(yīng)由專職網(wǎng)絡(luò)維護人員負責(zé)管理，定期檢查設(shè)備的物理環(huán)境，并按照機房物理安全要求進行維護。2.網(wǎng)絡(luò)維護人員應(yīng)對所有網(wǎng)絡(luò)設(shè)備進行資產(chǎn)登記，登記記錄上應(yīng)該標明硬件型號，廠家，操作系統(tǒng)版本，已安裝的補丁程序號，安裝和升級的時間等內(nèi)容。

3.網(wǎng)絡(luò)維護人員應(yīng)至少每天1次，對所有網(wǎng)絡(luò)設(shè)備進行檢查，確保各設(shè)備都能正常工作。

4.網(wǎng)絡(luò)維護人員應(yīng)制定網(wǎng)絡(luò)設(shè)備用戶賬號的管理制度，對各個網(wǎng)絡(luò)設(shè)備上擁有用戶賬號的人員、權(quán)限以及賬號的認證和管理方式做出明確規(guī)定。

5.網(wǎng)絡(luò)維護人員應(yīng)制訂網(wǎng)絡(luò)設(shè)備用戶賬號口令的管理策略，對口令的選取、組成、長度、保存、修改周期以及存儲做出規(guī)定；禁止使用名字、姓氏、電話號碼、生日等容易猜測的字符作為口令，也不應(yīng)使用單個單詞或命令作為口令，組成口令的字符應(yīng)包含大小寫英文字母、數(shù)字、標點、控制字符等，口令長度要求在8位以上；不應(yīng)將口令存放在個人計算機文件中，或?qū)懙饺菀妆黄渌双@取的地方；對于重要的網(wǎng)絡(luò)設(shè)備，要求至少每個月修改一次口令，或者使用一次性口令設(shè)備；若掌握口令的管理人員調(diào)離本職工作時，必須立即更改所有相關(guān)口令；用戶賬號口令應(yīng)以加密方式存儲，如MD5方式。

6.嚴格禁止非網(wǎng)絡(luò)管理人員直接進入網(wǎng)絡(luò)設(shè)備進行操作，若在特殊情況下（如系統(tǒng)維修、升級等）需要外部人員（主要是指廠家技術(shù)工程師、非本系統(tǒng)技術(shù)工程師、安全管理員等）進入網(wǎng)絡(luò)設(shè)備進行操作時，必須由網(wǎng)絡(luò)管理員登錄，并對操作全過程進行記錄備案。禁止將系統(tǒng)用戶賬號及口令直接交給外部人員，在緊急情況下需要為外部人員開放臨時賬號時，必須向信息管理處相關(guān)領(lǐng)導(dǎo)申請，在申請中寫明開放臨時賬號的原因、時間、期限、對外部人員操作的監(jiān)控方法、負責(zé)開放和注銷臨時賬號的人員等內(nèi)容，并嚴格根據(jù)安全管理機構(gòu)的批復(fù)進行臨時賬號的開放、注銷、監(jiān)控，并記錄備案。

7.網(wǎng)絡(luò)維護人員應(yīng)盡可能減少網(wǎng)絡(luò)設(shè)備的管理方式，例如Telnet、web、SNMP等；如果的確需要進行遠程管理，應(yīng)使用SSH代替Telnet，使用HTTPS代替HTTP，并且限定遠程登錄的超時時間，遠程管理的用戶數(shù)量，遠程管理的終端IP地址，同時按照“網(wǎng)絡(luò)安全配置管理策略”中的規(guī)定進行嚴格的身份認證和訪問權(quán)限的授予，并在配置完后，立刻關(guān)閉此類遠程連接；應(yīng)盡可能避免使用SNMP協(xié)議進行管理，如果的確需要，應(yīng)使用V3版本替代V1、V2版本，并啟用MD5等驗證功能；進行遠程管理時，應(yīng)設(shè)置控制口和遠程登錄口的超時時間，讓控制口和遠程登錄口在空閑一定時間后自動斷開。

8.網(wǎng)絡(luò)維護人員應(yīng)及時監(jiān)視、收集網(wǎng)絡(luò)以及安全設(shè)備生產(chǎn)廠商公布的軟件以及補丁更新，要求下載補丁程序的站點必須是相應(yīng)的官方站點，并對更新軟件或補丁進行評測，在獲得信息管理處領(lǐng)導(dǎo)的批準下，對生產(chǎn)環(huán)境實施軟件更新或者補丁安裝。

9.軟件更新或者補丁安裝應(yīng)盡量安排在非業(yè)務(wù)繁忙時段進行。操作必須由兩人以上完成，由一人監(jiān)督，另一人進行實際操作，并在升級（或修補）前后做好數(shù)據(jù)和軟件的備份工作，同時將整個過程記錄備案。

10.軟件更新或者補丁安裝后網(wǎng)絡(luò)維護人員應(yīng)重新對系統(tǒng)進行安全設(shè)置，并進行系統(tǒng)的安全檢查。11.網(wǎng)絡(luò)維護人員應(yīng)及時報告任何已知的或可疑的信息安全問題、違規(guī)行為或緊急安全事件，并在采取適當(dāng)措施的同時，應(yīng)向信息管理處領(lǐng)導(dǎo)報告細節(jié)；并不得試圖干擾、防止、阻礙或勸阻其他員工報告此類事件；同時禁止以任何形式報復(fù)報告或調(diào)查此類事件的個人。

12.網(wǎng)絡(luò)維護人員應(yīng)定期提交安全事件和相關(guān)問題的管理報告，以備領(lǐng)導(dǎo)檢查。

13.網(wǎng)絡(luò)維護人員應(yīng)制訂網(wǎng)絡(luò)設(shè)備日志的管理制定，對于日志功能的啟用，日志記錄的內(nèi)容，日志的管理形式，日志的審查分析做明確的規(guī)定。對于重要網(wǎng)絡(luò)設(shè)備，應(yīng)建立集中的日志管理服務(wù)器，實現(xiàn)對重要網(wǎng)絡(luò)設(shè)備日志的統(tǒng)一管理，以利于對網(wǎng)絡(luò)設(shè)備日志的審查分析。

14.網(wǎng)絡(luò)維護人員應(yīng)保證各設(shè)備的系統(tǒng)日志處于運行狀態(tài)，并每兩周對日志做一次全面的分析，對登錄的用戶、登錄時間、所做的配置和操作做檢查，在發(fā)現(xiàn)有異常的現(xiàn)象時應(yīng)及時向信息安全工作組報告。

15.網(wǎng)絡(luò)維護人員應(yīng)通過各種手段監(jiān)控網(wǎng)絡(luò)的流量狀況，當(dāng)突發(fā)異常流量時，應(yīng)立即上報信息安全工作組，并同時采取適當(dāng)控制措施，并記錄備案。

16.網(wǎng)絡(luò)維護人員應(yīng)至少每年1次對整個網(wǎng)絡(luò)進行風(fēng)險評估。17.網(wǎng)絡(luò)維護人員應(yīng)至少每年1次對整個網(wǎng)絡(luò)進行災(zāi)難影響分析，并進行災(zāi)難恢復(fù)演習(xí)。

五、系統(tǒng)安全維護管理制度 1.所有主機設(shè)備應(yīng)由系統(tǒng)維護人員負責(zé)管理，定期檢查服務(wù)器主機的物理環(huán)境，并按照相關(guān)物理安全要求進行維護。

2.系統(tǒng)維護人員應(yīng)對所有主機設(shè)備進行資產(chǎn)登記，登記記錄上應(yīng)該標明硬件型號，廠家，操作系統(tǒng)版本，已安裝的補丁程序號，安裝和升級的時間等內(nèi)容。

3.系統(tǒng)維護人員應(yīng)至少每天1次，對所有主機設(shè)備進行檢查，確保各設(shè)備都能正常工作。

4.系統(tǒng)維護人員應(yīng)對各個主機設(shè)備上擁有用戶賬號的人員、權(quán)限以及賬號的認證和管理方式做出明確定義，并定期進行審查，在發(fā)現(xiàn)有可疑的用戶賬號時進行核實并采取相應(yīng)的措施。

5.在用戶權(quán)限的設(shè)置時應(yīng)遵循最小授權(quán)和權(quán)限分割的原則，只給系統(tǒng)用戶、數(shù)據(jù)庫系統(tǒng)用戶或其它應(yīng)用系統(tǒng)用戶授予業(yè)務(wù)所需的最小權(quán)限，應(yīng)禁止為所管理主機系統(tǒng)無關(guān)的人員提供主機系統(tǒng)用戶賬號，并且關(guān)閉一切不需要的系統(tǒng)賬號。對兩個月以上不使用的用戶賬號進行鎖定。同時對主機設(shè)備中所有用戶賬號進行登記備案。

6.系統(tǒng)維護人員應(yīng)制訂主機系統(tǒng)的帳戶口令管理策略，對口令的選取、組成、長度、保存、修改周期做出規(guī)定。禁止使用名字、姓氏、電話號碼、生日等容易猜測的字符作為口令，也不要使用單個單詞或命令作為口令，組成口令的字符應(yīng)包含大小寫英文字母、數(shù)字、標點、控制字符等，口令長度要求在8位以上。不應(yīng)將口令存放在個人計算機文件中，或?qū)懙饺菀妆黄渌双@取的地方。口令文件（如：系統(tǒng)中的/etc/shadow）及其所有拷貝的訪問權(quán)限應(yīng)該嚴格限制為超級用戶可讀，并且定期檢查。對于重要的主機系統(tǒng)，要求至少每個月修改一次口令，或者使用一次性口令設(shè)備；對于管理用的工作站和個人計算機，要求至少每兩個月修改一次口令。若掌握口令的管理人員調(diào)離本職工作時，必須立即更改所有相關(guān)口令；用戶賬號口令應(yīng)以加密方式存儲，如MD5方式。

7.系統(tǒng)維護人員應(yīng)定期利用口令破解軟件進行口令模擬破解測試，在發(fā)現(xiàn)脆弱性口令后及時采取強制性的補救修改措施。

8.嚴格禁止非本維護管理人員直接進入主機設(shè)備進行操作，若在特殊情況下（如系統(tǒng)維修、升級等）需要外部人員（主要是指廠家技術(shù)工程師、非本系統(tǒng)技術(shù)工程師、安全管理員等）進入主機設(shè)備進行操作時，必須由系統(tǒng)管理員登錄，并對操作全過程進行記錄備案。禁止將系統(tǒng)用戶賬號及口令直接交給外部人員，在緊急情況下需要為外部人員開放臨時賬號時，必須向信息管理處相關(guān)領(lǐng)導(dǎo)申請，在申請中寫明開放臨時賬號的原因、時間、期限、對外部人員操作的監(jiān)控方法、負責(zé)開放和注銷臨時賬號的人員等內(nèi)容，并嚴格根據(jù)主管領(lǐng)導(dǎo)的批復(fù)進行臨時賬號的開放、注銷、監(jiān)控，并記錄備案。

9.系統(tǒng)軟件安裝之后，系統(tǒng)維護人員應(yīng)立即進行備份；在后續(xù)使用過程中，在系統(tǒng)軟件的變更以及配置的修改之前和之后，也應(yīng)立即進行備份工作。

10.嚴禁隨意安裝、卸載系統(tǒng)組件和驅(qū)動程序，如確實需要，應(yīng)及時評測可能由此帶來的影響，并需要獲得主管領(lǐng)導(dǎo)的批準。

11.系統(tǒng)維護人員應(yīng)制定軟件使用制度，禁止在服務(wù)器系統(tǒng)上禁止安裝與該服務(wù)器所提供服務(wù)和應(yīng)用無關(guān)的其它軟件。12.系統(tǒng)維護人員應(yīng)制定重要主機系統(tǒng)的安全使用制度，禁止在重要的主機系統(tǒng)上瀏覽外部網(wǎng)站網(wǎng)頁、接收電子郵件、編輯文檔以及進行與主機系統(tǒng)維護無關(guān)的其它操作。如果需要安裝補丁程序，補丁程序必須通過日常維護管理用的工作站或PC機進行下載，然后再移到相應(yīng)的主機系統(tǒng)安裝。

13.禁止主機系統(tǒng)上開放具有“寫”權(quán)限的共享目錄，如果確實必要，可臨時開放，但要設(shè)置強共享口令，并在使用完之后立刻取消共享。

14.系統(tǒng)維護人員應(yīng)禁止不被系統(tǒng)明確使用的服務(wù)、協(xié)議和設(shè)備的特性，避免使用不安全的服務(wù)，例如：SNMP、RPC、Telnet、Finger、Echo、Chargen、Remote Registry、Time、NIS、NFS、R系列服務(wù)等。

15.系統(tǒng)維護人員應(yīng)嚴格控制重要文件的許可權(quán)和擁有權(quán)，重要的數(shù)據(jù)應(yīng)當(dāng)加密存放在主機上，取消匿名FTP訪問，并合理使用信任關(guān)系。

16.系統(tǒng)維護人員應(yīng)及時監(jiān)視、收集主機設(shè)備操作系統(tǒng)生產(chǎn)廠商公布的軟件以及補丁更新，要求下載補丁程序的站點必須是相應(yīng)的官方站點，并對更新軟件或補丁進行評測，在獲得主管領(lǐng)導(dǎo)的批準下，再實施軟件更新或者補丁安裝。

17.軟件更新或者補丁安裝應(yīng)盡量安排在非業(yè)務(wù)繁忙時段進行。操作必須由兩人以上完成，由一人監(jiān)督，另一人進行實際操作，并在升級（或修補）前后做好數(shù)據(jù)和軟件的備份工作，同時將整個過程記錄備案。

18.軟件更新或者補丁安裝后應(yīng)重新對系統(tǒng)進行安全設(shè)置，并進行系統(tǒng)的安全檢查。19.系統(tǒng)維護人員應(yīng)及時報告任何已知的或可疑的信息安全問題、違規(guī)行為或緊急安全事件，并在采取適當(dāng)措施的同時，應(yīng)向主管領(lǐng)導(dǎo)報告細節(jié)；并不得試圖干擾、防止、阻礙或勸阻其他員工報告此類事件；同時禁止以任何形式報復(fù)報告或調(diào)查此類事件的個人。

20.系統(tǒng)維護人員應(yīng)制訂主機設(shè)備日志的管理制定，對于日志功能的啟用，日志記錄的內(nèi)容，日志的管理形式，日志的審查分析做明確的規(guī)定。對于重要主機設(shè)備，應(yīng)建立集中的日志管理服務(wù)器，實現(xiàn)對重要主機設(shè)備日志的統(tǒng)一管理，以利于對主機設(shè)備日志的審查分析。

21.系統(tǒng)維護人員應(yīng)保證各主機設(shè)備的系統(tǒng)日志處于運行狀態(tài)，并每兩周對日志做一次全面的分析，對登錄的用戶、登錄時間、所做的配置和操作做檢查，在發(fā)現(xiàn)有異常的現(xiàn)象時應(yīng)及時向信息安全工作組報告。

22.系統(tǒng)維護人員應(yīng)定期進行安全漏洞掃描和病毒查殺工作，平均頻率應(yīng)不低于每2周一次，重大安全漏洞發(fā)布后，應(yīng)在3個工作日內(nèi)進行；并且為了防止網(wǎng)絡(luò)安全掃描以及病毒查殺對網(wǎng)絡(luò)性能造成影響，應(yīng)根據(jù)業(yè)務(wù)的實際情況對掃描時間做出規(guī)定，應(yīng)一般安排在非業(yè)務(wù)繁忙時段；當(dāng)發(fā)現(xiàn)主機設(shè)備上存在病毒、異常開放的服務(wù)或者開放的服務(wù)存在安全漏洞時應(yīng)及時上報主管領(lǐng)導(dǎo)，并采取相應(yīng)措施。

23.系統(tǒng)維護人員應(yīng)通過各種手段監(jiān)控主機系統(tǒng)的CPU利用率，進程，內(nèi)存和啟動腳本等的使用狀況，在發(fā)現(xiàn)異常系統(tǒng)進程或者系統(tǒng)進程數(shù)量異常變化時，或者CPU利用率，內(nèi)存占用量等突然異常時，應(yīng)立即上報主管領(lǐng)導(dǎo)，并同時采取適當(dāng)控制措施，并記錄備案。24.當(dāng)主機系統(tǒng)出現(xiàn)以下現(xiàn)象之一時，系統(tǒng)維護人員必須進行安全問題的報告和診斷：

? 系統(tǒng)中出現(xiàn)異常系統(tǒng)進程或者系統(tǒng)進程數(shù)量有異常變化。? 系統(tǒng)突然不明原因的性能下降。? 系統(tǒng)不明原因的重新啟動。? 系統(tǒng)崩潰，不能正常啟動。? 系統(tǒng)中出現(xiàn)異常的系統(tǒng)賬號。? 系統(tǒng)賬號口令突然失控。? 系統(tǒng)賬號權(quán)限發(fā)生不明變化。? 系統(tǒng)出現(xiàn)來源不明的文件。? 系統(tǒng)中文件出現(xiàn)不明原因的改動。? 系統(tǒng)時鐘出現(xiàn)不明原因的改變。

? 系統(tǒng)日志中出現(xiàn)非正常時間系統(tǒng)登錄，或有不明IP地址的系統(tǒng)登錄。

? 發(fā)現(xiàn)系統(tǒng)不明原因的在掃描網(wǎng)絡(luò)上其它主機。

25.系統(tǒng)維護人員對主機系統(tǒng)進行維護管理應(yīng)編寫運行維護的日報、周報、月報和年報。

26.主機的備份分兩種，一種是數(shù)據(jù)的備份，另一種是系統(tǒng)配置的備份。網(wǎng)站系統(tǒng)維護人員需要作數(shù)據(jù)備份的服務(wù)器為：數(shù)據(jù)庫主機、電子郵件服務(wù)器、WWW主機等。所有主機均應(yīng)有較詳細的系統(tǒng)配置的備份，以便系統(tǒng)的恢復(fù)。重要數(shù)據(jù)應(yīng)定期進行0級備份和增量備份，并妥善保存存儲介質(zhì)。鑒于現(xiàn)在網(wǎng)絡(luò)的主機和備份介質(zhì)，建議采用如下備份計劃： ? 每月做一次系統(tǒng)0級備份； ? 每周做一次增量備份；

? 每個服務(wù)器至少保持最近的三個月的系統(tǒng)和數(shù)據(jù)備份。

二0一0年三月五日

第三篇：網(wǎng)站安全管理制度

第一章 總 則

第一條 為加強我中心網(wǎng)站管理，確保網(wǎng)站的安全，加強網(wǎng)站信息資源建設(shè)，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)管理暫行規(guī)定》、《中華人民共和國政府信息公開條例》等有關(guān)規(guī)定，制定本制度。

第二章 網(wǎng)站信息保障措施

第二條

根據(jù)政務(wù)信息公開要求，各部門應(yīng)及時在網(wǎng)站上發(fā)布工作中產(chǎn)生的不涉密政務(wù)信息與新聞。

第三條

各部門指派專人擔(dān)任信息員，負責(zé)采集、編錄本部門的信息并向網(wǎng)站提供。

第四條

信息員采集的信息經(jīng)部門負責(zé)人審核后方可向網(wǎng)站提供，信息內(nèi)容按“誰提供，誰負責(zé)”的原則進行責(zé)任認定。

第五條

網(wǎng)上發(fā)布的文件、數(shù)據(jù)、文字及圖像等信息統(tǒng)一由網(wǎng)站管理員存檔管理。

第三章 安全管理制度

第六條 網(wǎng)站安全管理由信息中心負責(zé)。各部門應(yīng)明確分管負責(zé)人、承辦部門和具體責(zé)任人員。

第七條

網(wǎng)站管理員應(yīng)當(dāng)對重要文件、數(shù)據(jù)及應(yīng)用系統(tǒng)作定期備份，以便應(yīng)急恢復(fù)。

第八條 應(yīng)當(dāng)設(shè)置網(wǎng)站后臺管理及上傳的登錄口令。口令的位數(shù)不應(yīng)少于8位，嚴禁將個人登錄帳號和密碼泄露給他人使用。

第九條 網(wǎng)站和機房應(yīng)建立嚴格的門禁制度和日常管理制度，機房及機房內(nèi)所有設(shè)備必須由專人負責(zé)管理，每日應(yīng)有機房值班記錄和主要設(shè)備運行情況的記錄。外來系統(tǒng)維護人員進入機房，應(yīng)由技術(shù)人員陪同并對工作內(nèi)容做詳細記錄。

第十條 應(yīng)及時對網(wǎng)站管理及服務(wù)器系統(tǒng)漏洞進行定期檢測，并根據(jù)檢測結(jié)果采取相應(yīng)的措施。要及時對操作系統(tǒng)、數(shù)據(jù)庫等系統(tǒng)軟件進行補丁包升級或者版本升級，以防黑客利用系統(tǒng)漏洞和弱點非法入侵。

第十一條 應(yīng)當(dāng)充分估計各種突發(fā)事件的可能性，做好應(yīng)急響應(yīng)方案。同時，要與崗位責(zé)任制度相結(jié)合，保證應(yīng)急響應(yīng)方案的及時實施，將損失降到最低程度。

第十二條 網(wǎng)站在發(fā)生安全突發(fā)事件后，除在第一時間組織人員進行解決外，應(yīng)當(dāng)及時向交易中心中心相關(guān)負責(zé)人報告，由其給予及時的指導(dǎo)和必要的技術(shù)支持，并視安全突發(fā)事件的嚴重程度，及時協(xié)調(diào)公安及網(wǎng)絡(luò)服務(wù)商等單位進行處理。

第十三條 應(yīng)當(dāng)制定工作人員管理制度，明確工作人員的職責(zé)和權(quán)限，通過定期開展業(yè)務(wù)培訓(xùn)，提高人員素質(zhì)，同時，規(guī)范人員調(diào)離制度，做好保密義務(wù)承諾、資料退還、系統(tǒng)口令更換等必要的安全保密工作。

第四章 網(wǎng)站應(yīng)急處置預(yù)案

第十四條

網(wǎng)站、網(wǎng)頁出現(xiàn)非法言論時的緊急措施：

(一)、當(dāng)發(fā)現(xiàn)網(wǎng)站或接到舉報出現(xiàn)非法信息時，網(wǎng)站管理員應(yīng)立即向相關(guān)負責(zé)人通報情況；

(二)、負責(zé)人在接到網(wǎng)站管理員報告后及時組織安排技術(shù)人員進行處理；(三)、技術(shù)人員在接到通知后立即清理非法信息，強化安全防范措施，將網(wǎng)站網(wǎng)頁重新投入使用；

(四)、網(wǎng)站管理員應(yīng)妥善保存有關(guān)記錄、日志或?qū)徲嬘涗洝?/p>

第十五條

網(wǎng)站遭到黑客攻擊時的緊急處置措施：

(一)、當(dāng)有網(wǎng)頁內(nèi)容被篡改，或通過入侵檢測系統(tǒng)發(fā)現(xiàn)有黑客正在進行攻擊時，網(wǎng)站管理員首先應(yīng)將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來，同時向負責(zé)人匯報情況；

(二)、負責(zé)人在接到網(wǎng)站管理員報告后及時組織安排技術(shù)人員進行處理；

(三)、技術(shù)人員立即進行被破壞系統(tǒng)的恢復(fù)與重建工作；(四)、網(wǎng)站管理員應(yīng)妥善保存有關(guān)記錄、日志或?qū)徲嬘涗洝５谑鶙l

病毒安全緊急處置措施：

(一)、當(dāng)網(wǎng)站管理員發(fā)現(xiàn)計算機感染有病毒后，應(yīng)立即將該機從網(wǎng)絡(luò)上隔離出來；

(二)、對該設(shè)備的硬盤進行數(shù)據(jù)備份；

(三)、啟用病毒軟件對該機進行殺毒處理，同時利用病毒檢測軟件對其他機器進行病毒掃描和清除工作；

(四)、如發(fā)現(xiàn)反病毒軟件無法清除該病毒，應(yīng)立即向技術(shù)人員報告；

(五)、經(jīng)技術(shù)人員確認無法查殺該病毒后，應(yīng)作好記錄，同時立即向相關(guān)負責(zé)人報告，并迅速研究解決問題；

(六)、如果感染病毒的設(shè)備是服務(wù)器或者主機系統(tǒng)，經(jīng)負責(zé)人同意，立即告知各相關(guān)單位做好相應(yīng)的病毒清查工作。

第十七條

軟件系統(tǒng)遭受破壞性攻擊的緊急處置措施：

(一)、一旦軟件遭到破壞性攻擊，網(wǎng)站管理員應(yīng)立即向技術(shù)人員報告，并將系統(tǒng)停止運行；

(二)、技術(shù)人員立即進行軟件系統(tǒng)和數(shù)據(jù)的恢復(fù)；(三)、網(wǎng)站管理員應(yīng)妥善保存有關(guān)記錄、日志或?qū)徲嬘涗洝５谑藯l

數(shù)據(jù)庫安全緊急處置措施：

(一)、一旦數(shù)據(jù)庫崩潰，網(wǎng)站管理員應(yīng)立即向負責(zé)人與技術(shù)人員報告，經(jīng)負責(zé)人同意后通知各相關(guān)單位暫緩上傳上報數(shù)據(jù)；

(二)、技術(shù)人員對數(shù)據(jù)庫系統(tǒng)進行維護，如無法正常維護，采取數(shù)據(jù)

庫備份恢復(fù)的辦法；

(三)、如果備份均無法恢復(fù)，應(yīng)立即向有關(guān)廠商請求緊急技術(shù)支援。第十九條

設(shè)備安全緊急處置措施：

(一)、小型機、服務(wù)器等關(guān)鍵設(shè)備損壞后，網(wǎng)站管理員應(yīng)立即向負責(zé)人報告并通知技術(shù)人員；

(二)、技術(shù)人員應(yīng)立即查明原因，具有備份服務(wù)器的要馬上啟用備份服務(wù)器提供網(wǎng)站服務(wù)；

(三)、如果能夠自行處理，應(yīng)立即用備件替換受損部件；

(四)、如果不能自行處理的，立即與設(shè)備提供商聯(lián)系，請求派維修人

員前來維修。

第四篇：幼兒園網(wǎng)站安全管理制度

幼兒園網(wǎng)站安全管理制度

一、信息發(fā)布、審核、登記制度

為促進我園教育信息交流，維護國家安全和社會穩(wěn)定，保障公民、法人和其他組織的合法權(quán)益，根據(jù)《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》的規(guī)定，特制定本制度。

1、信息發(fā)布申請班級、教師應(yīng)當(dāng)確保發(fā)布信息準確、真實，符合國家有關(guān)的各項法律、法規(guī)制度，不得有危害國家安全、泄露國家秘密，侵犯國家的、社會的、集體的利益和公民的合法權(quán)益的內(nèi)容出現(xiàn)；

2、不得制作、復(fù)制、查閱和傳播下列信息：

（1）煽動抗拒、破壞憲法和法律、行政法規(guī)實施；

（2）煽動顛覆國家政權(quán)，推翻社會主義制度；

（3）煽動分裂國家、破壞國家統(tǒng)一；

（4）煽動民族仇恨、民族歧視、破壞民族團結(jié)；

（5）捏造或者歪曲事實、散布謠言，擾亂社會秩序；

（6）宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪；

（7）公然侮辱他人或者捏造事實誹謗他人，有意影響幼兒園穩(wěn)定局面；

（8）損害國家機關(guān)信譽；

（9）其他違反憲法和法律、行政法規(guī)。

3、幼兒園網(wǎng)網(wǎng)管中心對所發(fā)布的信息備案記錄，以加強管理；

4、幼兒園網(wǎng)管理員應(yīng)在充分理解國家有關(guān)的各項法律、法規(guī)制度的基礎(chǔ)上及時處理信息申請班級、教師的請求，并將審核意見及時反饋給信息申請班級、教師；

5、幼兒園網(wǎng)管理員在審核同意的基礎(chǔ)上應(yīng)將信息及時發(fā)布，并確保發(fā)布信息的準確性。

二、信息監(jiān)視、保存、清除和備份制度

為保證我幼兒園網(wǎng)健康、安全、高效的應(yīng)用和發(fā)展，杜絕各類違法、犯罪行為的發(fā)生，特制定本制度：

1、網(wǎng)絡(luò)管理員應(yīng)當(dāng)對幼兒園的網(wǎng)絡(luò)使用情況監(jiān)督、檢查，堅決杜絕訪問境內(nèi)外反動、黃色網(wǎng)站，不閱覽、傳播各類反動、黃色信息；

2、網(wǎng)絡(luò)管理員應(yīng)當(dāng)保證幼兒園計算機內(nèi)日志文件及其他重要數(shù)據(jù)的完整性、真實性，并做好備份工作，配合各類安全檢查；

3、發(fā)現(xiàn)本單位計算機存有各類反動及不健康信息，各級管理員應(yīng)當(dāng)及時清除，情節(jié)較

重的應(yīng)及時上報網(wǎng)管中心；

4、幼兒園教師應(yīng)當(dāng)強化思想意識，自覺遵守網(wǎng)絡(luò)法規(guī)，積極配合幼兒園網(wǎng)絡(luò)管理員做好幼兒園計算機網(wǎng)絡(luò)信息安全工作；

5、幼兒園網(wǎng)管中心在收到幼兒園教師的報告后應(yīng)立即向主管領(lǐng)導(dǎo)匯報，并配合上級主管部門的調(diào)查，組織調(diào)查取證工作。

三、病毒檢測和網(wǎng)絡(luò)安全漏洞檢測制度

為保證我幼兒園網(wǎng)的正常運行，防止各類病毒、黑客軟件對我園聯(lián)網(wǎng)主機構(gòu)成的威脅，最大限度的減少此類損失，特制定本制度：

1、幼兒園計算機內(nèi)應(yīng)安裝防病毒軟件、防黑客軟件及垃圾郵件消除軟件，并對軟件定期升級。

2、幼兒園計算機內(nèi)嚴禁安裝病毒軟件、黑客軟件，嚴禁攻擊其它聯(lián)網(wǎng)主機，嚴禁散布黑客軟件和病毒。

3、網(wǎng)管中心應(yīng)定期發(fā)布病毒信息，檢測幼兒園網(wǎng)內(nèi)病毒和安全漏洞，并采取必要措施加以防治。

4、網(wǎng)管中心定期對網(wǎng)絡(luò)安全和病毒檢測進行檢查，發(fā)現(xiàn)問題及時處理。

四、違法案件報告和協(xié)助查處制度

1、幼兒園教師、學(xué)生應(yīng)當(dāng)自覺遵守網(wǎng)絡(luò)法規(guī)，嚴禁利用計算機從事違法犯罪行為。

2、對于幼兒園教師、學(xué)生發(fā)生的計算機違法犯罪行為，幼兒園網(wǎng)絡(luò)管理員應(yīng)當(dāng)及時制止并立即上報幼兒園領(lǐng)導(dǎo)，同時做好系統(tǒng)保護工作。

3、對于所遭受到的攻擊，幼兒園教師應(yīng)當(dāng)立即上報幼兒園網(wǎng)絡(luò)管理員，同時做好系統(tǒng)保護工作。

4、幼兒園教師、學(xué)生有義務(wù)接受園網(wǎng)絡(luò)管理中心和上級主管部門的監(jiān)督、檢查，并應(yīng)積極配合做好違法犯罪事件的查處工作。

5、網(wǎng)管中心應(yīng)及時掌握幼兒園網(wǎng)內(nèi)幼兒園教師、學(xué)生網(wǎng)絡(luò)違法情況，并定期向主管領(lǐng)導(dǎo)和上級主管部門報告，并應(yīng)協(xié)助各主管部門做好查處工作。

五、賬號使用登記和操作權(quán)限管理制度

1、幼兒園網(wǎng)內(nèi)各主要網(wǎng)絡(luò)設(shè)備由幼兒園電教組統(tǒng)一管理，除網(wǎng)管中心工作人員，其他任何人不得擅自操作網(wǎng)絡(luò)設(shè)備，修改網(wǎng)絡(luò)設(shè)置。

2、幼兒園網(wǎng)內(nèi)各主要網(wǎng)絡(luò)設(shè)備應(yīng)當(dāng)正確分配權(quán)限，并加密碼予以保護，密碼應(yīng)定期修改，任何非系統(tǒng)管理員嚴禁使用、猜測各類管理員密碼。

3、對于網(wǎng)絡(luò)系統(tǒng)應(yīng)做好備份工作，確保在系統(tǒng)發(fā)生故障時能及時恢復(fù)。

4、對于網(wǎng)絡(luò)系統(tǒng)的設(shè)置、修改應(yīng)當(dāng)做好登記、備案工作。

六、安全教育和培訓(xùn)制度

1、網(wǎng)絡(luò)管理中心經(jīng)常召開網(wǎng)絡(luò)安全會議，通報網(wǎng)絡(luò)安全狀況，解決網(wǎng)絡(luò)安全問題；

2、網(wǎng)絡(luò)管理中心應(yīng)不定期舉行網(wǎng)絡(luò)安全培訓(xùn)班（每學(xué)期不少于一周），學(xué)習(xí)網(wǎng)絡(luò)法律、法規(guī)，提高各接入單位的網(wǎng)絡(luò)安全意識，提高網(wǎng)絡(luò)安全水平；

3、幼兒園教師、學(xué)生應(yīng)積極配合網(wǎng)絡(luò)管理中心的工作，自覺參加各種培訓(xùn)活動；

4、幼兒園教師應(yīng)當(dāng)經(jīng)常對學(xué)生進行網(wǎng)絡(luò)安全教育，強化網(wǎng)絡(luò)安全意識，增強守法觀念。

七、其他與安全保護相關(guān)的管理制度

1、重視對計算機實體的安全保護工作、網(wǎng)絡(luò)中心工作室、配線間及其他重要部門要做好防火、防水、防盜工作。

2、對于園內(nèi)建筑改造施工涉及到計算機通信線路（光纜、五類線）改建、遷動時、應(yīng)與網(wǎng)絡(luò)管理中心協(xié)商實施。

3、在幼兒園網(wǎng)上不允許進行任何干擾網(wǎng)絡(luò)用戶，破壞網(wǎng)絡(luò)服務(wù)和破壞網(wǎng)絡(luò)設(shè)備的活動，這些活動包括（并不局限于）在網(wǎng)絡(luò)上發(fā)布不真實的信息、散布計算機病毒、在網(wǎng)絡(luò)上進行非法系統(tǒng)攻擊、不以真實身份使用網(wǎng)絡(luò)資源等。

4、用戶在幼兒園網(wǎng)上登記的用戶帳號和電子信箱，只授予登記用戶本人使用，嚴禁讓給他人使用。否則，出現(xiàn)問題，被授權(quán)者必須負全部責(zé)任。

八、安全管理人員崗位工作職責(zé)

為保證我園網(wǎng)絡(luò)的正常運行，對于安全管理人員，特制定本制度。

1、組織全體教師認真學(xué)習(xí)《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》，提高教師的維護網(wǎng)絡(luò)安全的警惕性和自覺性。

2、負責(zé)對本網(wǎng)絡(luò)用戶進行安全教育和培訓(xùn)，使用戶自覺遵守和維護《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》，使他們具備基本的網(wǎng)絡(luò)安全知識。

3、加強對信息發(fā)布的審核管理工作，杜絕違犯《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》的內(nèi)容出現(xiàn)。

4、一旦發(fā)現(xiàn)從事下列危害計算機信息網(wǎng)絡(luò)安全的活動的，做好記錄并立即向幼兒園行政報告：

（1）未經(jīng)允許進入計算機信息網(wǎng)絡(luò)或者使用計算機信息網(wǎng)絡(luò)資源；

（2）未經(jīng)允許對計算機信息網(wǎng)絡(luò)功能進行刪除、修改或者增加；

（3）未經(jīng)允許對計算機信息網(wǎng)絡(luò)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改或者增加；

（4）故意制作、傳播計算機病毒等破壞性程序的；

（5）從事其他危害計算機信息網(wǎng)絡(luò)安全的活動。

5、在信息發(fā)布的審核過程中，如發(fā)現(xiàn)有以下行為的，將一律不予以發(fā)布，并保留有關(guān)原始記錄：

（1）煽動抗拒、破壞憲法和法律、行政法規(guī)實施；

（2）煽動顛覆國家政權(quán)，推翻社會主義制度；

（3）煽動分裂國家、破壞國家統(tǒng)一；

（4）煽動民族仇恨、民族歧視、破壞民族團結(jié)；

（5）捏造或者歪曲事實、散布謠言，擾亂社會秩序；

（6）宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪；

（7）公然侮辱他人或者捏造事實誹謗他人，有意影響幼兒園穩(wěn)定局面；

（8）損害國家機關(guān)信譽；

（9）其他違反憲法和法律、行政法規(guī)。

6、接受并配合公安機關(guān)的安全監(jiān)督、檢查和指導(dǎo)，如實向公安機關(guān)提供有關(guān)安全保護的信息、資料及數(shù)據(jù)文件，協(xié)助公安機關(guān)查處通過國際聯(lián)網(wǎng)的計算機信息網(wǎng)絡(luò)的違法犯罪行為。

幼兒園

年

第五篇：財政廳網(wǎng)站安全管理制度

財政廳網(wǎng)站安全管理制度

第一章　總　則

第一條

為了保護我廳網(wǎng)站的安全，保證網(wǎng)絡(luò)的正常運行，促進網(wǎng)站更好的應(yīng)用和發(fā)展，根據(jù)有關(guān)法律法規(guī)和《xx省財政廳網(wǎng)站管理辦法》，制定本制度。

第二條

本管理制度所稱的網(wǎng)站是指由省財政廳建立的通過國際互聯(lián)網(wǎng)面向社會公眾的門戶網(wǎng)站。

第三條

廳辦公室負責(zé)我廳的網(wǎng)站建設(shè)、維護、組織協(xié)調(diào)和日常管理工作信息中心負責(zé)網(wǎng)站的安全運行和設(shè)備的安全管理工作。任何單位和個人，未經(jīng)信息中心同意、不得擅自安裝、拆卸或改變網(wǎng)絡(luò)設(shè)備。

第四條

任何單位和個人，不得利用網(wǎng)站制作、復(fù)制、查閱和傳播違反憲法、法律、法規(guī)或危害國家安全、社會穩(wěn)定的有關(guān)信息；不得宣揚暴力、色情等內(nèi)容。

第二章　安全保護運行

第五條

除網(wǎng)站管理員外，任何單位和個人不得對網(wǎng)絡(luò)功能、數(shù)據(jù)及程序進行刪除、修改或增加；不得制作、傳播計算機病毒等破壞性程序

第六條

網(wǎng)站中對外發(fā)布的信息必須經(jīng)廳各單位領(lǐng)導(dǎo)審核后送辦公室，辦公室審核后及時在網(wǎng)上發(fā)布。

第七條

網(wǎng)站出現(xiàn)異常情況或遭到黑客攻擊后，網(wǎng)站負責(zé)單位必須在二十四小時內(nèi)向廳領(lǐng)導(dǎo)報告并抓緊解決。

第八條

任何單位和個人不得在財政廳網(wǎng)站上傳送危害國家安全的信息包括多媒體信息、錄閱傳送淫穢、色情、反動資料。

第三章　網(wǎng)站安全技術(shù)措施

第九條

利用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet外部網(wǎng)絡(luò)、DMZ服務(wù)區(qū)、安全監(jiān)控與備份中心進行有效隔離，避免與外部網(wǎng)絡(luò)直接通信。

第十條

利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護措施，保證系統(tǒng)安全。

第十一條

利用防火墻對來自外網(wǎng)的服務(wù)請求進行控制，使非法訪問在到達主機前被拒絕。

第十二條

利用防火墻使用IP與MAC地址綁定功能，加強終端用戶的訪問認證，同時在不影響用戶正常訪問的基礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi)。

第十三條

利用防火墻全面監(jiān)視對服務(wù)器的訪問，及時發(fā)現(xiàn)和阻止非法操作。

第十四條

利用防火墻及服務(wù)器上的審計記錄，形成一個完善的審計體系，建立第二條防線。

第十五條

根據(jù)需要設(shè)置流量控制規(guī)則，實現(xiàn)網(wǎng)絡(luò)流量控制，并設(shè)置基于時間段的訪問控制。

第四章　網(wǎng)站防入侵系統(tǒng)

第十六條

對網(wǎng)絡(luò)邊界點的數(shù)據(jù)進行檢測，防止黑客的入侵。

第十七條

對服務(wù)器的數(shù)據(jù)流量進行檢測，防止入侵者的蓄意破壞和篡改。

第十八條

監(jiān)視內(nèi)部用戶和系統(tǒng)的運行狀況，查找非法用戶和合法用戶的越權(quán)操作。

第十九條

對用戶的非正常活動進行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律。

第二十條

實時對檢測到的入侵行為進行報警、阻斷，能夠與防火墻系統(tǒng)聯(lián)動。

第二十一條

對關(guān)鍵正常事件及異常行為記錄日志，進行審計跟蹤管理。

第五章　網(wǎng)站病毒防范

第二十二條

進行統(tǒng)一的安全策略管理和集中的防病毒監(jiān)控。

安裝趨勢防病毒系統(tǒng)，支持在Windows、Unix、Linux、Netware、Lotus

Notes和MS

Exchange等各種主流系統(tǒng)上實現(xiàn)防病毒保護，實時監(jiān)視系統(tǒng)病毒活動全面查殺病毒、蠕蟲、木馬、惡意Java/ActiveX程序等，提供靈活多樣的病毒修復(fù)和處理方法，其病毒檢測處理技術(shù)處于業(yè)界領(lǐng)先地位。

第六章　其　他

第二十三條

廳辦公室負責(zé)我廳的網(wǎng)站建設(shè)、維護、組織協(xié)調(diào)和日常管理工作。信息中心負責(zé)為網(wǎng)站提供網(wǎng)絡(luò)環(huán)境和技術(shù)支持。

第二十四條

本制度自公布之日起實行。