制度不仅是社会治理的重要手段,也是国家与社会互动的竞技场,持续规训着各类主体的思想和行为,具有引领、规范、促进和保障等重要作用。那么,制度如何发挥其最大的作用呢?以下是小编为您收集的《网站网络安全管理制度》的文章,希望能够很好的帮助到大家,谢谢大家对小编的支持和鼓励。
第一篇:网站网络安全管理制度
网站安全管理制度
为加强网站安全管理,确保该网站的整体安全,根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,制定本制度。
第一条 网站的建设应坚持“统一规划,统一标准,资源共享,安全保密”的原则。信息资源遵循“谁发布,谁负责;谁主管,谁管理”。
第二条 拟对外公开的信息在上网发布前,应经网站负责人审核确认。对在线互动性栏目,要加强网上互动内容的监管,确保信息的健康和安全。以下有害信息不得在网上发布:
1、反对宪法所确定的基本原则的;
2、危害国家安全、泄露国家秘密、颠覆国家政权、破坏国家统一的;
3、损害国家荣誉和利益的;
4、煽动民族仇恨、民族歧视、破坏民族团结的;
5、破坏国家宗教政策,宣扬邪教和封建迷信的;
6、散布谣言,扰乱社会秩序,破坏社会稳定的;
7、散布淫秽、色情、赌博、暴力、凶杀、恐怖或教唆犯罪的;
8、侮辱或者诽谤他人,侵害他人的合法权益的;
9、含有法律、行政法规禁止的其他内容的。
第三条 网站在建设和运行中,要加强安全措施,增强安全技术手段。保证网站每天24小时正常开通运转,以方便公众访问。网站应当对重要文件、数据、操作系统及应用系统作定期备份,以便应急恢复。严禁将各个人登录帐号和密码泄露给他人使用。
第四条 网站负责人、技术开发人员和信息采编人员所用电脑必须加强病毒、黑客安全防范措施,必须有相应的安全软件实施保护,确保电脑内的资料和帐号、密码的安全、可靠。
第五条 网站应当充分估计各种突发事件的可能性,做好应急响应方案。制定详细的工作人员管理制度,明确工作人员的职责和权限。同时,规范人员调离制度,做好保密义务承诺、资料退还、系统口令更换等必要的安全保密工作。
第六条 本制度即发布之日起实施。
通联禽业信息服务有限公司
2012-5
第二篇:网站安全管理制度
一、总则
为了更好的确保XXXXX网站的安全稳定运行,合理、可靠、安全、高效地组织和管理XXXX网站,提高XXXX网站的服务质量,提高维护队伍的整体素质和水平,特制定本 管理制度,作为维护和管理XXXX网站的依据。
二、范围
本制度的适用范围包括XXXX网站系统的物理资产(包括:网络设备,主机设备,安全设备,监控设备等)、软件资产(操作系统,数据库,应用程序等)、数据资产(业务数据、网络系统、主机数据,应用程序数据等)以及网站系统的技术人员等。
三、角色和责任
本手册适用于XXXX网站的网络维护人员、系统维护人员、信息安全员及安全审计员等角色阅读。本手册由信息管理处修改和维护。
四、网络安全维护管理制度
1. 网站系统的所有网络设备(包括交换机、路由器、防火墙、IDS以及其他网络设备)应由专职网络维护人员负责管理,定期检查设备的物理环境,并按照机房物理安全要求进行维护。 2. 网络维护人员应对所有网络设备进行资产登记,登记记录上应该标明硬件型号,厂家,操作系统版本,已安装的补丁程序号,安装和升级的时间等内容。
3. 网络维护人员应至少每天1次,对所有网络设备进行检查,确保各设备都能正常工作。
4. 网络维护人员应制定网络设备用户账号的管理制度,对各个网络设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确规定。
5. 网络维护人员应制订网络设备用户账号口令的管理策略,对口令的选取、组成、长度、保存、修改周期以及存储做出规定;禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令,也不应使用单个单词或命令作为口令,组成口令的字符应包含大小写英文字母、数字、标点、控制字符等,口令长度要求在8位以上;不应将口令存放在个人计算机文件中,或写到容易被其它人获取的地方;对于重要的网络设备,要求至少每个月修改一次口令,或者使用一次性口令设备;若掌握口令的管理人员调离本职工作时,必须立即更改所有相关口令;用户账号口令应以加密方式存储,如MD5方式。
6. 严格禁止非网络管理人员直接进入网络设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入网络设备进行操作时,必须由网络管理员登录,并对操作全过程进行记录备案。禁止将系统用户账号及口令直接交给外部人员,在紧急情况下需要为外部人员开放临时账号时,必须向信息管理处相关领导申请,在申请中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方法、负责开放和注销临时账号的人员等内容,并严格根据安全管理机构的批复进行临时账号的开放、注销、监控,并记录备案。
7. 网络维护人员应尽可能减少网络设备的管理方式,例如Telnet、web、SNMP等;如果的确需要进行远程管理,应使用SSH代替Telnet,使用HTTPS代替HTTP,并且限定远程登录的超时时间,远程管理的用户数量,远程管理的终端IP地址,同时按照“网络安全配置管理策略”中的规定进行严格的身份认证和访问权限的授予,并在配置完后,立刻关闭此类远程连接;应尽可能避免使用SNMP协议进行管理,如果的确需要,应使用V3版本替代V
1、V2版本,并启用MD5等验证功能;进行远程管理时,应设置控制口和远程登录口的超时时间,让控制口和远程登录口在空闲一定时间后自动断开。
8. 网络维护人员应及时监视、收集网络以及安全设备生产厂商公布的软件以及补丁更新,要求下载补丁程序的站点必须是相应的官方站点,并对更新软件或补丁进行评测,在获得信息管理处领导的批准下,对生产环境实施软件更新或者补丁安装。
9. 软件更新或者补丁安装应尽量安排在非业务繁忙时段进行。操作必须由两人以上完成,由一人监督,另一人进行实际操作,并在升级(或修补)前后做好数据和软件的备份工作,同时将整个过程记录备案。
10. 软件更新或者补丁安装后网络维护人员应重新对系统进行安全设置,并进行系统的安全检查。 11. 网络维护人员应及时报告任何已知的或可疑的信息安全问题、违规行为或紧急安全事件,并在采取适当措施的同时,应向信息管理处领导报告细节;并不得试图干扰、防止、阻碍或劝阻其他员工报告此类事件;同时禁止以任何形式报复报告或调查此类事件的个人。
12. 网络维护人员应定期提交安全事件和相关问题的管理报告,以备领导检查。
13. 网络维护人员应制订网络设备日志的管理制定,对于日志功能的启用,日志记录的内容,日志的管理形式,日志的审查分析做明确的规定。对于重要网络设备,应建立集中的日志管理服务器,实现对重要网络设备日志的统一管理,以利于对网络设备日志的审查分析。
14. 网络维护人员应保证各设备的系统日志处于运行状态,并每两周对日志做一次全面的分析,对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时应及时向信息安全工作组报告。
15. 网络维护人员应通过各种手段监控网络的流量状况,当突发异常流量时,应立即上报信息安全工作组,并同时采取适当控制措施,并记录备案。
16. 网络维护人员应至少每年1次对整个网络进行风险评估。 17. 网络维护人员应至少每年1次对整个网络进行灾难影响分析,并进行灾难恢复演习。
五、系统安全维护管理制度 1. 所有主机设备应由系统维护人员负责管理,定期检查服务器主机的物理环境,并按照相关物理安全要求进行维护。
2. 系统维护人员应对所有主机设备进行资产登记,登记记录上应该标明硬件型号,厂家,操作系统版本,已安装的补丁程序号,安装和升级的时间等内容。
3. 系统维护人员应至少每天1次,对所有主机设备进行检查,确保各设备都能正常工作。
4. 系统维护人员应对各个主机设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确定义,并定期进行审查,在发现有可疑的用户账号时进行核实并采取相应的措施。
5. 在用户权限的设置时应遵循最小授权和权限分割的原则,只给系统用户、数据库系统用户或其它应用系统用户授予业务所需的最小权限,应禁止为所管理主机系统无关的人员提供主机系统用户账号,并且关闭一切不需要的系统账号。对两个月以上不使用的用户账号进行锁定。同时对主机设备中所有用户账号进行登记备案。
6. 系统维护人员应制订主机系统的帐户口令管理策略,对口令的选取、组成、长度、保存、修改周期做出规定。禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令,也不要使用单个单词或命令作为口令,组成口令的字符应包含大小写英文字母、数字、标点、控制字符等,口令长度要求在8位以上。不应将口令存放在个人计算机文件中,或写到容易被其它人获取的地方。口令文件(如:系统中的/etc/shadow)及其所有拷贝的访问权限应该严格限制为超级用户可读,并且定期检查。对于重要的主机系统,要求至少每个月修改一次口令,或者使用一次性口令设备;对于管理用的工作站和个人计算机,要求至少每两个月修改一次口令。若掌握口令的管理人员调离本职工作时,必须立即更改所有相关口令;用户账号口令应以加密方式存储,如MD5方式。
7. 系统维护人员应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时采取强制性的补救修改措施。
8. 严格禁止非本维护管理人员直接进入主机设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入主机设备进行操作时,必须由系统管理员登录,并对操作全过程进行记录备案。禁止将系统用户账号及口令直接交给外部人员,在紧急情况下需要为外部人员开放临时账号时,必须向信息管理处相关领导申请,在申请中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方法、负责开放和注销临时账号的人员等内容,并严格根据主管领导的批复进行临时账号的开放、注销、监控,并记录备案。
9. 系统软件安装之后,系统维护人员应立即进行备份;在后续使用过程中,在系统软件的变更以及配置的修改之前和之后,也应立即进行备份工作。
10. 严禁随意安装、卸载系统组件和驱动程序,如确实需要,应及时评测可能由此带来的影响,并需要获得主管领导的批准。
11. 系统维护人员应制定软件使用制度,禁止在服务器系统上禁止安装与该服务器所提供服务和应用无关的其它软件。 12. 系统维护人员应制定重要主机系统的安全使用制度,禁止在重要的主机系统上浏览外部网站网页、接收电子邮件、编辑文档以及进行与主机系统维护无关的其它操作。如果需要安装补丁程序,补丁程序必须通过日常维护管理用的工作站或PC机进行下载,然后再移到相应的主机系统安装。
13. 禁止主机系统上开放具有“写”权限的共享目录,如果确实必要,可临时开放,但要设置强共享口令,并在使用完之后立刻取消共享。
14. 系统维护人员应禁止不被系统明确使用的服务、协议和设备的特性,避免使用不安全的服务,例如:SNMP、RPC、Telnet、Finger、Echo、Chargen、Remote Registry、Time、NIS、NFS、R系列服务等。
15. 系统维护人员应严格控制重要文件的许可权和拥有权,重要的数据应当加密存放在主机上,取消匿名FTP访问,并合理使用信任关系。
16. 系统维护人员应及时监视、收集主机设备操作系统生产厂商公布的软件以及补丁更新,要求下载补丁程序的站点必须是相应的官方站点,并对更新软件或补丁进行评测,在获得主管领导的批准下,再实施软件更新或者补丁安装。
17. 软件更新或者补丁安装应尽量安排在非业务繁忙时段进行。操作必须由两人以上完成,由一人监督,另一人进行实际操作,并在升级(或修补)前后做好数据和软件的备份工作,同时将整个过程记录备案。
18. 软件更新或者补丁安装后应重新对系统进行安全设置,并进行系统的安全检查。 19. 系统维护人员应及时报告任何已知的或可疑的信息安全问题、违规行为或紧急安全事件,并在采取适当措施的同时,应向主管领导报告细节;并不得试图干扰、防止、阻碍或劝阻其他员工报告此类事件;同时禁止以任何形式报复报告或调查此类事件的个人。
20. 系统维护人员应制订主机设备日志的管理制定,对于日志功能的启用,日志记录的内容,日志的管理形式,日志的审查分析做明确的规定。对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。
21. 系统维护人员应保证各主机设备的系统日志处于运行状态,并每两周对日志做一次全面的分析,对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时应及时向信息安全工作组报告。
22. 系统维护人员应定期进行安全漏洞扫描和病毒查杀工作,平均频率应不低于每2周一次,重大安全漏洞发布后,应在3个工作日内进行;并且为了防止网络安全扫描以及病毒查杀对网络性能造成影响,应根据业务的实际情况对扫描时间做出规定,应一般安排在非业务繁忙时段;当发现主机设备上存在病毒、异常开放的服务或者开放的服务存在安全漏洞时应及时上报主管领导,并采取相应措施。
23. 系统维护人员应通过各种手段监控主机系统的CPU利用率,进程,内存和启动脚本等的使用状况,在发现异常系统进程或者系统进程数量异常变化时,或者CPU利用率,内存占用量等突然异常时,应立即上报主管领导,并同时采取适当控制措施,并记录备案。 24. 当主机系统出现以下现象之一时,系统维护人员必须进行安全问题的报告和诊断:
系统中出现异常系统进程或者系统进程数量有异常变化。 系统突然不明原因的性能下降。 系统不明原因的重新启动。 系统崩溃,不能正常启动。 系统中出现异常的系统账号。 系统账号口令突然失控。 系统账号权限发生不明变化。 系统出现来源不明的文件。 系统中文件出现不明原因的改动。 系统时钟出现不明原因的改变。
系统日志中出现非正常时间系统登录,或有不明IP地址的系统登录。
发现系统不明原因的在扫描网络上其它主机。
25. 系统维护人员对主机系统进行维护管理应编写运行维护的日报、周报、月报和年报。
26. 主机的备份分两种,一种是数据的备份,另一种是系统配置的备份。网站系统维护人员需要作数据备份的服务器为:数据库主机、电子邮件服务器、WWW主机等。所有主机均应有较详细的系统配置的备份,以便系统的恢复。重要数据应定期进行0级备份和增量备份,并妥善保存存储介质。鉴于现在网络的主机和备份介质,建议采用如下备份计划: 每月做一次系统0级备份; 每周做一次增量备份;
每个服务器至少保持最近的三个月的系统和数据备份。
二0一0年三月五日
第三篇:网络网站管理规范制度
(一)网络中心主机房管理规则
主控机房是图书馆计算机网络系统的核心,起着保障图书馆整个自动化系统正常运行的作用。图书馆主机房内放置:各种服务器、网络交换机、电源等设备以及相应的管理软件。具体管理细则:
一、主机房的管理由信息技术部负责,非主机房工作人员未经允许不准进入。各门钥匙由指定的专人保管,不能转借。丢失要声明。
二、严禁带易燃易爆物品入主机房。
三、主机房内应保持整洁,严禁吸烟、吃喝、聊天、会客。严禁在计算机及工作台附近放置可能危及设备安全的物品。
四、主机房内设备、资料、系统软件等物件要妥善保管,主机房内的一切公用物品未经许可一律不得挪用和外借。特殊情况,需经上级领导批准。确需带出的,征得同意后,在指定的时间内归还。
五、主机房内严禁一切与工作无关的操作。严禁外来盘片带入主机房使用,未经允许严禁将数据带出主机房。
六、认真做好主机房内各类记录介质的保管工作,落实专人收集、保管,信息载体必须安全存放、保管、防止丢失或失效。主机房资料外借必须经批准并履行手续,作废资料严禁外泄。
七、系统管理员须按制定的IP地址分配表,和中心内部线路的布局图,给每个交换机端口编上号码,以便操作和维护。
八、主机房工作人员须经常注意主机房内温度、湿度、电压等参数,并做好记录;发现异常及时采取相应措施。
九.保证机房空调设备性能良好,通风管道应清扫干净,达到洁净度规定要求,室内温度和相对湿度应满足局用程控交换设备运转条件要求,即温度:18~28℃,相对湿度:20%~80%。
十、主机房设备必须先经检查确认正常后再按顺序依次开机;下班前必须检查确认正常后方可离开。
十一、主机房工作人员对主机房存在的隐患及设备故障要及时报告,并与有关部门及时联系处理。非常情况下应立即采取应急措施并保护现场。
十二、主机房设备应由专人操作、使用。对各种设备应按规范要求操作、保养。发现故障,应及时报请维修,以免影响工作。
十三、外来人员因工作需要进入主机房时,必须由领导批准。进入主机房后听从工作人员的指挥,未经许可,不得乱动主机房内设施。 十
四、外来人员参观主机房,须有馆内指定人员陪同。工作人员按陪同人员要求可以电脑演示、咨询;对参观人员不合理要求,陪同人员应婉拒,其他人员不得擅自操作,未经许可一律不准触碰开关和设备。
十五、严禁利用主机房设备从事不利于网络安全的任何操作,列如:游戏,电影等。
十六、保证整个网络安全运行,定时进行网络安全检查,防止“黑客”和“病毒”的侵入,及时更新系统。
十七、主机房工作人员要掌握防火技能,定期检查消防设施是否正常。出现异常情况应立即报警,切断电源,用灭火设备扑救。
十八、要有安全防范意识。值班人员不能擅离岗位。做好日常工作记录。早进入、晚离开时要检查设备情况;离开时察看灯、门、窗、锁是否关闭好。
十九、主机房的设备、设施由专人负责管理,每天应设值班人员负责;值班人员每天应填写工作日志,及时记录下本部门当天的工作内容和发生的主要事件;非主控机房工作人员不得擅自进入主控机房。
二
十、值班人员应负责当天整个机房的卫生清扫工作和机房的安全。
(二)图书馆计算机设备管理维修制度
一、 新设备到馆验收
1、所购设备到馆后,应根据装箱单验收主设备、辅助设备、资料、说明书、维修卡等。
2、按照操作规程安装设备并测试性能,作好测试记录。
3、根据测试结果,由负责人签发验收单。
4、建立资料齐全的设备安装、测试、运行及维修档案。
5、 由馆办公室及信息技术部建立全馆设备分类帐,其内容必须反映所有设备的数量与金额,凭此进行管理和清查核对。
6、实行馆、部室、个人三级的分级负责归口管理制度。馆级:负责全馆设备的配置规划,制定设备使用、维护、检修的各项规章制度,并检查执行情况、进行业务指导;安排业务培训。部室级:执行各项规章制度,负责本部门所用设备的管理工作。
7、负责人要定期与各部室核对卡片与实物,做到帐、卡、物相符。
8、需要维修设备须由部室负责人或个人使用者提出申请,经技术人员检查确定,报有关负责人批准后送修。
9、本馆设备及资料一般不外借。外部门确因工作需要借用,则必须在不影响本馆日常工作前提下,经馆长批准办理登记手续方可外借。值班人员负责响应各业务部门提出的要求,遇重大问题或无法解决的问题应及时向部主任汇报。
10、所有由本部门负责维护的设备均应登记造册,以便随时查验。
二、设备配置
(一)计算机设备主要包括:计算机主机、显示器、键盘、软驱、光驱、打印机、刻录机、扫描仪、不间断电源及网络配套设施等。
(二)计算机设备的配置,原则上根据图书馆网络和办公自动化建设需要,由馆里统筹安排:
(三)所有计算机设备,由信息技术部统一论证、确定技术指标和购置。
三、设备管理
(一)计算机设备实行统一管理、分科负责。信息技术部负责全馆网络系统计算机、服务器、交换机、路由器等全院网络设备的规划、技术论证、维护、维修和管理。各科室操作使用人员负责所用设备的环境卫生和日常清洁维护,各科室操作应用的班、组长或科室负责人负责本科设备的管理。
(二)配备的计算机设备,原则上不允许由外单位人员擅自使用;或安装与工作无关的软件。否则后果由使用者自行承担。
(三)计算机设备的维修费用
1、统一配置的计算机设备,由信息技术部维修。现场无法修复的设备,各科室送信息技术部办公室,由信息技术部负责维修处理。涉及的维修更换配件费用由维护金费支付。
2、擅自使用游戏软件或上网造成计算机病毒感染,或人为使用不当造成设备故障,其维修处理及费用由致故障责任人自己承担。
四、设备报废
(一)出现以下情况之一,可以申请报废
1、主要部件或结构已经损坏,不能达到最低使用要求,且无修复价值的,可申请报废。
2、经技术鉴定,确属质量问题或损坏过重,无法修复及维修费用超过、接近新购设备价格的可申请报废。
(二)计算机设备的报废必须严格履行手续。具体程序是科室提出报废申请,由信息技术部进行技术论证和签署意见,报请馆领导审批后,由资产办为科室办理报废手续和对计算机设备进行报废处置。
(二)图书馆检索台管理制度
1、检索台每天由值班人员上午8:25开机,下午5:00关机。双休日及节假日除外。
2、检索台由专人负责管理维护,严格按照值班制度表由值班技术人员全面负责。
3、每天开机后必须严格检查计算机运行情况,保证检索台的正常工作。
4、检索台如出现异常情况,值班人员须及时处理,如值班人员无法解决,须及时报主负责人和主管部主任解决问题。
(三)读者用计算机管理制度
为使电子阅览室及检索台正常运行,提高用户网上信息利用效益,创造良好的工作环境和条件,对读者用机管理如下:
1、 每台工作站进行设置时有意删除其中某些文件、工具软件, 甚至切断软驱线路,以预防和限制用户的不良用机行为。
2、 每台工作站安装硬盘保护卡。一则可预防用户滥改设置造成系统瘫痪,二则可起到一定防病毒的作用。
3、 采用专门的管理软件安装在服务器上,对每台工作站进行使用权限限定及管理控制。
4、 每台工作站进行初始化设置的备份,并将所有备份存储于服务器硬盘或专门的外置硬盘中。当某台机器的系统遭到破坏时,既可迅速通过相应的备份重新进行安装,恢复机器的正常运行。
5、 对电子阅览室及检索台硬件设施进行经常的维护,及时排除各种机器故障。
6、 每周必须对电子阅览室及检索台的计算机内外部环境优化整理一次。
(四)工作人员用计算机管理制度
1、计算机的使用
(1)必须严格按操作规程进行。对初次使用者,应采取先培训操作的原则。
(2)禁止在计算机上玩游戏,禁止随意在机上用自带软盘拷贝,以免使机器感染病毒。 (3)馆外人员绝对禁止操作计算机,非职责内人员未经容许不得上机操作。上机操作人员必须严格执行操作规程,否则带来后果由本人负责。
(4)工作人员不得随意设置各种本机参数。凡因参数被改动而影响工作的,按工作失职做一次记录,并进行一定的经济处罚。
(5)各部门要根据时间及工作要求按时开机,下班前应关闭所有的电源开关并拔掉电源插头。
(6)键盘上及周围禁止堆放书等物品,以防损坏键盘。
(7)使用中一旦出现故障应做好记录,并及时通知计算机维护人员来处理。非维护人员不得擅自拆卸机器。
(8)计算机的开、关机流程如下:
开机顺序:开电源→开显示器→开主机
关机顺序:关主机→关显示器→关电源
2、计算机管理
(1)各部门的计算机设备,要实行专人负责和专人管理。由各部主任指定专人负责某个设备,进行登记注册,标志清楚,以延长其使用寿命。 (2)保持机房和机器的清洁。
(3)原始软件和数据(或备份)应存放在安全的地方,远离火源和水源。 (4)计算机硬件和软件的购入和使用情况,要建立档案,分类管理。 (5) 对于受到知识产权保护的软件或数据,不得擅自拷贝或转借。
(五)网络管理维护规则
一、网络通讯管理设备
(一)网络通讯管理设备由信息技术部统一配置和安装,由网络管理员负责参数设置和管理,并做文字记录。
(二)禁止其他人员擅自改动网络配置和网卡的参数设置。如遇非法改动须及时校正,并记录在册,追查相关人员的责任。
(三)路由器、交换机等网络设备由信息管理统一规划设置,使用部门不能随意挪动。
(四)网络设备要定期进行清洁维护,保证设备的电源供给稳定,线头接插稳固。
二、网络安全设备
(一)网络安全设备必须通过相关部门的安全认证。
(二)网络安全设备由网络管理员负责其参数的设置和管理。
三、 局域网的安全控制
图书馆自动化系统普遍采用微软网络操作系统,这种网络操作系统提供了网络的安全机制。这些安全机制的设置需要网络系统管理员根据工作人员的具体业务来合理设置,使每个人既能上网正常工作,又没有权力做其权限以外的操作。网络安全控制一般分四个等级,做好安全控制的设置,就是做好四个等级权限的设置 (1)登录安全
图书馆局域网的上网用户应采用登录方式上网,这样,未授权的用户就不能注册上网操作。系统管理员对馆内经常上网的工作人员根据其工作性质,每人设定一个账户和密码,对于临时的网络用户和公用用户(如检索机)可设置一个公用账号,并严格控制操作权限。当用户较多时,可以把用户分成几个组,对每个组分别设置权限控制和管理,这样就加大了系统安全登录的力度,避免非法用户上网使用。 (2)权限安全
严格控制用户上网后对哪些文件及文件夹拥有使用权,以及有什么样的使用权,如浏览、读、写、删除等权限。这样,用户只能对自己工作范围内的文件拥有使用权,避免操作使用其它与业务工作无关的数据。 (3)属性安全
控制用户使用服务器上的文件目录的各种属性,如创建、修改、删除等。 (4)服务安全
文件服务器是网络操作系统的核心部位,它应用网络系统管理专门管理。当系统管理员在不操作服务器时,应把服务器用Monitor将控制台锁住,只有知道密码的用户才能进行操作。
四、线路
(一)网络布线要避免交叉。
(二)易损线路须加套管保护。
(三)通讯线路不得挪作他用。
(四)定期检测线路,网络的畅通。
(五) 主干网络及重要场所的线路应布设备用线路。
五. 图书馆集成系统用户账号管理
图书馆用户分为系统管理员和一般用户。系统管理员是用户账号的唯一管理者。只有系统管理员才有权增加、删除和修改一般用户账号。通过系统管理员对一般用户账号设置如下:给使用前五个子系统的每个工作人员设置一个账号,并且每个账号都要设置口令。每个口令都应由工作人员本人设置,必须定期更改口令。对于公共查询子系统,只设一个账号,不设口令。这样每个工作人员在进入集成系统时必须输入用户账号和密码,系统自动验证账号和密码匹配后,方可进入系统。在处理数据,系统自动记载每条记录的创建时间和用户账号及最后一次修改记录的用户账号和修改时间。这样可以分清责任,便于监督和管理。 1.图书馆集成系统用户权限的设定
系统管理员根据用户的业务范围设定用户的权限。每个用户只能创建和增加本业务数据集内的文件和记录、只能删除、修改本人增加的记录,只能使用本业务范围内的其它功能。如统计和打印报表。浏览和查询本系统的全部数据等。图书馆集成系统安全设置的核心是:每个业务人员只能在自己的数据集内处理数据和处理自己制作的数据,这样就保证每个业务人员制作的数据不会被别人删改。
六. 其它安全管理措施 (1)
数据备份
图书馆集成系统中最宝贵的资源是各类数据,因此,必须对数据进行跟踪备份,每天坚持用备份工作站进行硬盘备份两次,平时定是用磁带机备份,每月底用光盘对图书馆集成系统所有文件备份一次。这样就可以在数据被损坏时快速用备份恢复,不会影响图书馆业务的正常开展,避免工作人员重复建库和编目。
(1)
使用不间断电源
在图书馆自动化系统的运动过程中,往往出现意外的停电故障,常常造成数据丢失。为了避免此现象发生,为服务器和各个工作站配备不间断电源,这样就能保证停电时计算机系统内的数据及软件程序不受影响,并让网络管理原从容地备份数据。
(2)
病毒的防范工作
强化管理:对用户宣传防治病毒的一般知识,提高防治意识,减少病毒感染的途径和可能性。除机房主控工作站外,各业务口工作站都关闭软盘驱动器,公共查询站则使用无盘工作站,这样系统适当封闭,可有效减少感染病毒的机会。系统管理员在读写外来磁盘前,必须严格检查后,才能进行。
七.网络系统安全管理规定
一、本规定所称操作人员指信息网络系统有关的所有操作使用人员。通过局域网登陆Internet的其他人员参照本规定执行。
二、操作人员使用计算机信息网络必须严格遵守国家法律、法规和医院的有关规定,不得侵犯国家、社会、集体和个人的合法权益,不得从事违法。犯罪活动.
三、通过网络登录Internet者,不得利用计算机信息网络制作、复制、查阅和传播下列信息:
(一)煽动抗拒和破坏法律、法规实施;煽动颠覆国家政权,推翻社会主义制度;煽动民族仇恨、民族歧视,破坏民族团结以及煽动分裂国家、破坏国家统一的信息。
(二)危害国家安全、泄露国家秘密的信息。
(三)捏造或者歪曲事实,散布谣言,损害国家机关声誉或扰乱社会秩序的信息。
(四)宣扬封建迷信、淫秽、色情、赌博、暴力、恐怖、教唆犯罪的信息。
(五)其他违反宪法和法律、行政法规的信息。
(六)侵犯他人名誉的言论。
五、所有使用网络者,不得从事下列危害计算机信息网络安全的活动:
(一)操作使用人员私自设置、改动入网计算机的IP地址、计算机名以及所属工作组;私自设找电信部门安装宽带网络。
(二)未经允许,进入计算机信息网络系统或者使用计算机信息网络资源。
(三)未经允许,对计算机信息网络功能以及计算机信息网络中储存、处理或者传输的数据和应用程序进行删除、修改或者增加。
(四)制作、传播计算机病毒和黑客程序等破坏性程序。
(五)其他危害计算机信息网络安全的活动。
六、合理利用、保护网络资源,不得有下列行为:
(一)以虚假身份使用网络资源。随意将内部资料或网上登记的用户帐号和电子信箱让给他人使用。
(二)在网上下载或拷贝到本机进行影视观看、聊天、游戏等与工作无关的活动。
(三)违规使用或下载数据资源。
(四)不服从有关部门管理。
(五)私自拆卸机器配件。
七、违反本规定,尚未触犯国家法律者,视其情节和后果,给予批评教育或有关处分;触犯法律者,交由司法部门依法处理。
八、对于违反上述规定造成医院或他人损失者,应当承担赔偿责任。
十、本规定自公布之日起施行。
(七)图书馆自动化集成系统数据备份制度
1、备份设备:移动硬盘、刻录机、磁带机。
2、备份的内容及方式
(1)数据备份内容:系统数据、应用数据、系统日志等。 (2)备份方式:
①完整备份:备份系统中的所有文件。 ②增量备份:只备份自最近一次备份以来修改过的数据库文件。恢复系统时需要一个完整备份和后续的所有增量备份。 ③差异备份:备份自最近一次完整备份以来修改过的数据库文件。恢复系统时需要一个完整备份和一个最新的差异备份。
3、备份制度:
(1)每月在备份设备上对系统进行一次完整备份(包括日志文件),并将数据打包传送到备用服务器上。对每一个用做备份的磁带,贴上标签。定期清洗磁头,注意磁带的使用期限,对于频繁使用的部分备份带要定期更换,将备份的磁带存放在异地或防火箱内。 (2)每天对系统做一次差异备份,同时将数据文件打包送到服务器上。 (3)每周五将传送到服务器上的数据接收到集成系统中。
八
图书馆网站管理制度
1、目的:图书馆网站是高校图书馆的新型服务窗口,是联系图书馆和读者的纽带,以信息提供为目的。
2、风格:庄重大方、时代性、稳定性。
3、原则:主次分明、中心突出、图文并茂。
4、内容:
①介绍部分:本馆概况、工作汇报、服务项目介绍、读者指南等。
②查询部分:馆藏信息服务、虚拟馆藏服务、校园网上光盘数据库、电子出版物服务。 ③传统服务部分:网上续借、预约、摧还、咨询、新书介绍等。 ④特色服务部分:专题导航、自建特色数据库、网上教室等。 ⑤读者交流部分:读者留言等。
⑥推荐相关网站部分:推荐优秀院校图书馆、连接优秀搜索引擎等。 ⑦娱乐服务:文化欣赏、音乐欣赏、娱乐消遣等。
5、维护:
①WWW服务器及主页的环境与技术由技术人员负责维护。
②主页内容的使用情况由专人负责,出现问题及时记录并交技术人员处理解决。 ③发布信息的内容由馆长办公室负责审查通过方可上传。 ④读者反映的意见及问题必须定专人回复。 ⑤网站架构每半年或一年改变。
⑥网页新闻做到每周更新,及时上传。 ⑦自建特色数据库必须不断补充新内容。
⑧专题导航、相关网站推荐、娱乐服务等每月更新补充新内容。
九
图书馆服务器管理维护制度
服务器是网络的核心部分,为保证图书馆日常业务及网上服务功能的正常进行,服务器由专人全面负责。
一、服务器管理
1.1服务器、路由器和交换机以及通信设备是网络的关键设备,须放置在机房内,不得自行配置或更换,更不能挪作它用。
1.2服务器机房要保持清洁、卫生,并由专人负责管理和维护(包括温度、湿度、电力系统、网络设备等),除系统维护时间外,要保障服务器24小时正常运行。
1.3不得在服务器上使用带有病毒和木马的软件、光盘和可移动存贮设备,使用上述设备前一定要先做好病毒检测;不得利用服务器从事工作以外的事情,无工作需要不得擅自拆卸服务器零部件,严禁更换服务器配套设备。不得擅自删除、移动、更改服务器数据;不得故意破坏服务器系统;不得擅自修改服务器系统时间。
1.4服务器系统必须及时升级安装安全补丁,弥补系统漏洞;必须为服务器系统做好病毒及木马的实时监测,及时升级病毒库。
1.5管理员对超级账户口令应严格保密、定期修改,口令不得少于8个字符,以保证系统安全,防止对系统的非法入侵。同时可对服务器上的管理权限、进行更新设置,防止恶意破译。 1.6建立机房登记制度,对本地局域网的运行建立档案。未发生故障或故障隐患时当班人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等做好详细登记。
1.7无关人员未经管理人员批准严禁进入机房。严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。
1.8网管人员应做好网络安全工作,服务器的各种帐号严格保密。监控网络上的数据流,从中检测出攻击的行为并给予响应和处理。
1.9制定数据管理制度。对数据实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄露、丢失及破坏。管理人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改。
1.10及时处理服务器软硬软件系统运行中出现的各种错误,对所有工作中出现的大小故障均要作详细的登记,包括故障时间,故障现象、处理方法和结果。
1.11要有专人检查网络运行情况,如发现问题及时解决,并做好记录处理,解决不了的及时报告。
二、计算机病毒防范
2.1网络管理人员应有较强的病毒防范意识,定期进行病毒检测,发现病毒立即处理并通知管理部门或专职人员。
2.2采用国家许可的正版防病毒软件并及时更新软件版本。
2.3未经上级管理人员许可,不得在服务器上安装新软件,若确为需要安装,安装前应进行病毒例行检测。
2.4经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。 2.5电脑出现病毒,操作人员不能杀除的,须及时报电脑主管处理。
2.6及时关注电脑界病毒防治情况和提示,根据要求调节电脑参数,避免电脑病毒侵袭。
三、数据保密及数据备份
3.1根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。禁止泄露、外借和转移专业数据信息。
3.2制定重要数据的更改审批制度,未经批准不得随意更改数据。
3.3服务器的数据库必须做好实时备份,每天定期做好日志文件的备份,同时做好服务器的系统备份。至少每周备份一次。对计算机内的重要数据最好每周制作数据的备份并异地存放,确保系统一旦发生故障时能够快速恢复。重要的数据必须定期、完整地转储到不可更改的介质上,并要求集中和异地保存,保存期限至少10年。
3.4备份的数据必须指定专人负责保管,由计算机信息技术人员按规定的方法同数据保管员进行数据的交接。交接后的备份数据应在指定的数据保管室或指定的场所保管,资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
3.5建立双备份制度,对重要资料除在电脑贮存外,还应拷贝到其他介质上,以防遭病毒破坏而遗失。无条件备份的大容量存贮设备做好RAID管理,保障一定的灾难恢复能力
第四篇:网站安全管理自查报告
市公安局、市统计局《关于加强统计计算机信息网络安全管理工作的通知》和市统计局《关于搞好我市统计系统网络及信息安全管理的通知》下发之后,我局领导非常重视,把搞好统计系统网络管理及信息安全当做事关国家安全、社会稳定的大事来抓。为了规范统计系统内计算机信息网络系统的安全管理工作,保证统计网信息系统的安全和推动统计部门精神文明建设,我局成立了安全组织机构,建立健全了各项安全管理制度,严格了备案制度,加强了网络安全技术防范工作的力度,进一步强化了我局机房和办公设备的使用管理,营造出了一个安全使用网络的统计环境。下面将详细情况汇报如下:
一、成立由局长领导负责的、保卫部门和专业技术人员组成的计算机信息安全领导小组
领导小组成员结构:
组长:刘君源(局长)
副组长:郎庆贵(书记)、李桂军(副局长)、李永州(副局长)成员:杨景胜、张景奇(后勤主任负责安全保卫)何秀辉(专业技术人员担任安全员)
张大鹏(负责办公用计算机的安全防范、检查和登记工作)朱亚涛(负责学局机房的安全技术、防范、检查和登记工作)
二、建立健全各项安全管理制度,做到有法可依,有章可循我局根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《统计网站和网局暂行管理办法》、《互联网信息服务管理办法》等法律法规制定出了适合我局的《网络安全管理办法》,同时建立了《局网安全管理责任制》,《局计算机使用制度》,《上网信息审核制度》,《上网登记和日志留存制度》,《上网信息监控巡视制度》,《网异常情况案件报告制度》《配合公安机关检查违法犯罪案件制度》《网站24小时值班制度》。除了建立这些规章制度外,我们还坚持了对我局随时检查监控的运行机制,有效地保证了网络的安全。由于制定了完备的规章制度,所以在网络及信息安全管理方面做到事事有章可循,处处有法可依,人人有责任、有义务确保网络和信息系统的安全,为创建文明和谐的社会文化和统计环境作出了我们努力。
三、严格执行备案制度
我局已经开通的局网站即将在2012年4月6日前到公安机关公共信息网络安全监察部门备案。 局机房坚持了服务于统计教学的原则,严格管理,完全用于学习计算机网络技术和查阅与学习有关的资料,没有出现出租转让等情况。
四、加强网络安全技术防范措施,实行科学管理
我局的技术防范措施主要从以下几个方面来做的:
1. 安装了天网防火墙,防止病毒、反动不良信息入侵局园网,攻击网站。
2. 安装网络版的诺顿杀毒软件,实施监控网络病毒,发现问题立即解决。
3. 绑定IP地址。发现不良信息可以定位信息来源。
4. 密码口令管理。设置复杂密码和经常更换密码,严禁空密码登陆。
5. 用户账号管理。每人使用不同的账号,避免使用公用账号造成交叉感染。
6. 及时修补各种软件的补丁。系统及网络管理员做到:①及时与生产厂家联系,安装各种Security Patch。②密切注意CERT消息。
③参加网络安全讨论小组,及时更新系统软件。
五、加强计算机网络安全统计和网管人员队伍建设
我局是从2003年10月底首批接入统计局城域网的局园网,每位领导和教师都有自己的计算机登陆局园网、城域网和因特网,在查阅资料和进行教学和科研的过程中,我局领导非常重视网络安全统计,每月都进行网络信息安全统计,促使干部职工充分认识到网络信息安全对于保证国家和社会生活的重要意义。
六、我局在本周内将进行网络安全的全面检查
我局网络安全领导小组将在2012年4月12日前对微机房、领导和职工办公用机、各多媒体教室及网络中心的环境安全、设
备安全、信息(尤其是网站)的安全、管理制度落实情况等内容进行一次全面的检查,对存在的问题要及时进行纠正,消除安全隐患。
第五篇:单位网站安全管理员保密协议
安全管理员保密协议甲方: 乙方:
鉴 于:
1、乙方为甲方员工。
2、乙方因履行单位网站管理职责将知悉甲方秘密信息。
为明确乙方的保密义务,甲、乙双方订立本保密协议。
一、根据《中华人民共和国计算机信息系统安全保护条例》等相关法律法规规定、单位的各项规章制度规定,乙方向甲方承诺:
1、不制作、复制、发布、转载、传播和存储国家法律法规和有关规定所禁止的信息内容,不利用办公计算机从事与日常办公无关的事项。
2、不外传单位信息系统运维管理信息(包括计算机、网络相关信息)及其他各项数据信息,确需外传的,提交单位领导审批。
3、不将涉密计算机联入非涉密网络,不在涉密计算机上联接和使用非涉密移动存储设备;不使用非涉密计算机处理和存储涉密信息,不在非涉密计算机上联接和使用涉密移动存储设备。
4、不将涉密计算机和涉密移动存储设备带到与工作无关的场所,确需携带外出的,须经单位主管领导批准。
二、双方同意,乙方离职之后仍对其在甲方任职期间接触、知悉的属于甲方或者虽属于第三方但甲方承诺或负有保密义务的秘密信息,承担如同任职期间一样的保密义务和不擅自使用的义务,直至该秘密信息成为公开信息,而无论乙方因何种原因离职。
四、乙方因职务上的需要所持有或保管的一切记录着甲方秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体,均归甲方所有,乙方承诺决不私自复制、传播、泄露。
五、乙方应当于离职时,或者于甲方提出请求时,返还全部属于甲方的财物,包括记载着甲方秘密信息的一切载体。
六、双方确认,乙方的保密义务自乙方知道秘密信息起,到该秘密信息被甲方对社会不特定的公众公开时止;乙方是否在职,不影响保密义务的承担。
八、本协议自双方签字后生效。独立于双方签订的劳动合同。
九、双方签章:
甲 方: (盖章)
授权代表:(签字)
乙方 (签章) :(身份证号: )
年 月 日