網(wǎng)站安全管理制度

1、目錄一、總則1二、范圍2三、角色和責(zé)任2四、網(wǎng)絡(luò)安全維護(hù)管理制度24.1網(wǎng)絡(luò)設(shè)備管理2賬號管理3遠(yuǎn)程管理44.2軟件管理44.3安全信息管理54.4風(fēng)險評估和災(zāi)難分析6五、系統(tǒng)安全維護(hù)管理制度65.1主機(jī)維護(hù)管理65.2系統(tǒng)軟件維護(hù)管理65.3系統(tǒng)信息服務(wù)維護(hù)管理75.4安全與殺毒維護(hù)管理85.5主機(jī)備份9XXXXXXXX網(wǎng)站安全管理制度一、總則 為了更好的確保XXXXXXXXXXX網(wǎng)站的安全穩(wěn)定運行，合理、可靠、安全、高效地組織和管理XXXXXXXXXXX網(wǎng)站，提高XXXXXXXXXXX網(wǎng)站的服務(wù)質(zhì)量，提高維護(hù)隊伍的整體素質(zhì)和水平，特制定本管理制度，作為維護(hù)和管理XXXXXXXXXXX網(wǎng)站的

2、依據(jù)。二、范圍本制度的適用范圍包括XXXXXXXXXXX網(wǎng)站系統(tǒng)的物理資產(chǎn)（包括：網(wǎng)絡(luò)設(shè)備，主機(jī)設(shè)備，安全設(shè)備，監(jiān)控設(shè)備等）、軟件資產(chǎn)（操作系統(tǒng)，數(shù)據(jù)庫，應(yīng)用程序等）、數(shù)據(jù)資產(chǎn)（業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)系統(tǒng)、主機(jī)數(shù)據(jù)，應(yīng)用程序數(shù)據(jù)等）以及網(wǎng)站系統(tǒng)的技術(shù)人員等。三、角色和責(zé)任本手冊適用于XXXXXXXXXXX網(wǎng)站的網(wǎng)絡(luò)維護(hù)人員、系統(tǒng)維護(hù)人員、信息安全員及安全審計員等角色閱讀。四、網(wǎng)絡(luò)安全維護(hù)管理制度4.1網(wǎng)絡(luò)設(shè)備管理網(wǎng)站系統(tǒng)的所有網(wǎng)絡(luò)設(shè)備（包括交換機(jī)、路由器、防火墻、IDS以及其他網(wǎng)絡(luò)設(shè)備）應(yīng)由專職網(wǎng)絡(luò)維護(hù)人員負(fù)責(zé)管理，定期檢查設(shè)備的物理環(huán)境，并按照機(jī)房物理安全要求進(jìn)行維護(hù)。網(wǎng)絡(luò)維護(hù)人員應(yīng)對所有網(wǎng)絡(luò)設(shè)備進(jìn)

3、行資產(chǎn)登記，登記記錄上應(yīng)該標(biāo)明硬件型號，廠家，操作系統(tǒng)版本，已安裝的補(bǔ)丁程序號，安裝和升級的時間等內(nèi)容。網(wǎng)絡(luò)維護(hù)人員應(yīng)至少每天1次，對所有網(wǎng)絡(luò)設(shè)備進(jìn)行檢查，確保各設(shè)備都能正常工作。4.1.1賬號管理網(wǎng)絡(luò)維護(hù)人員應(yīng)制定網(wǎng)絡(luò)設(shè)備用戶賬號的管理制度，對各個網(wǎng)絡(luò)設(shè)備上擁有用戶賬號的人員、權(quán)限以及賬號的認(rèn)證和管理方式做出明確規(guī)定。網(wǎng)絡(luò)維護(hù)人員應(yīng)制訂網(wǎng)絡(luò)設(shè)備用戶賬號口令的管理策略，對口令的選取、組成、長度、保存、修改周期以及存儲做出規(guī)定：1）禁止使用名字、姓氏、電話號碼、生日等容易猜測的字符作為口令，也不應(yīng)使用單個單詞或命令作為口令，組成口令的字符應(yīng)包含大小寫英文字母、數(shù)字、標(biāo)點、控制字符等，口令長度要求

4、在8位以上；2）不應(yīng)將口令存放在個人計算機(jī)文件中，或?qū)懙饺菀妆黄渌双@取的地方；對于重要的網(wǎng)絡(luò)設(shè)備，要求至少每個月修改一次口令，或者使用一次性口令設(shè)備；若掌握口令的管理人員調(diào)離本職工作時，必須立即更改所有相關(guān)口令。3）嚴(yán)格禁止非網(wǎng)絡(luò)管理人員直接進(jìn)入網(wǎng)絡(luò)設(shè)備進(jìn)行操作，若在特殊情況下（如系統(tǒng)維修、升級等）需要外部人員（主要是指廠家技術(shù)工程師、非本系統(tǒng)技術(shù)工程師、安全管理員等）進(jìn)入網(wǎng)絡(luò)設(shè)備進(jìn)行操作時，必須由網(wǎng)絡(luò)管理員登錄，并對操作全過程進(jìn)行記錄備案。4）禁止將系統(tǒng)用戶賬號及口令直接交給外部人員，在緊急情況下需要為外部人員開放臨時賬號時，必須向信息管理處相關(guān)領(lǐng)導(dǎo)申請，在申請中寫明開放臨時賬號的原因、時

5、間、期限、對外部人員操作的監(jiān)控方法、負(fù)責(zé)開放和注銷臨時賬號的人員等內(nèi)容，并嚴(yán)格根據(jù)安全管理機(jī)構(gòu)的批復(fù)進(jìn)行臨時賬號的開放、注銷、監(jiān)控，并記錄備案。4.1.2遠(yuǎn)程管理網(wǎng)絡(luò)維護(hù)人員應(yīng)盡可能減少網(wǎng)絡(luò)設(shè)備的管理方式，例如Telnet、web、SNMP等；如果的確需要進(jìn)行遠(yuǎn)程管理，應(yīng)使用SSH代替Telnet，使用HTTPS代替HTTP，并且限定遠(yuǎn)程登錄的超時時間，遠(yuǎn)程管理的用戶數(shù)量，遠(yuǎn)程管理的終端IP地址，同時按照“網(wǎng)絡(luò)安全配置管理策略”中的規(guī)定進(jìn)行嚴(yán)格的身份認(rèn)證和訪問權(quán)限的授予，并在配置完后，立刻關(guān)閉此類遠(yuǎn)程連接；進(jìn)行遠(yuǎn)程管理時，應(yīng)設(shè)置控制口和遠(yuǎn)程登錄口的超時時間，讓控制口和遠(yuǎn)程登錄口在空閑一定時間后

6、自動斷開。4.2軟件管理網(wǎng)絡(luò)維護(hù)人員應(yīng)及時監(jiān)視、收集網(wǎng)絡(luò)以及安全設(shè)備生產(chǎn)廠商公布的軟件以及補(bǔ)丁更新，要求下載補(bǔ)丁程序的站點必須是相應(yīng)的官方站點，并對更新軟件或補(bǔ)丁進(jìn)行評測，在獲得信息管理處領(lǐng)導(dǎo)的批準(zhǔn)下，對生產(chǎn)環(huán)境實施軟件更新或者補(bǔ)丁安裝。軟件更新或者補(bǔ)丁安裝應(yīng)盡量安排在非業(yè)務(wù)繁忙時段進(jìn)行。操作必須由兩人以上完成，由一人監(jiān)督，另一人進(jìn)行實際操作，并在升級（或修補(bǔ)）前后做好數(shù)據(jù)和軟件的備份工作，同時將整個過程記錄備案。軟件更新或者補(bǔ)丁安裝后網(wǎng)絡(luò)維護(hù)人員應(yīng)重新對系統(tǒng)進(jìn)行安全設(shè)置，并進(jìn)行系統(tǒng)的安全檢查。4.3安全信息管理網(wǎng)絡(luò)維護(hù)人員應(yīng)及時報告任何已知的或可疑的信息安全問題、違規(guī)行為或緊急安全事件，并在

7、采取適當(dāng)措施的同時，應(yīng)向信息管理處領(lǐng)導(dǎo)報告細(xì)節(jié)；并不得試圖干擾、防止、阻礙或勸阻其他員工報告此類事件；同時禁止以任何形式報復(fù)報告或調(diào)查此類事件的個人。網(wǎng)絡(luò)維護(hù)人員應(yīng)定期提交安全事件和相關(guān)問題的管理報告，以備領(lǐng)導(dǎo)檢查。網(wǎng)絡(luò)維護(hù)人員應(yīng)制訂網(wǎng)絡(luò)設(shè)備日志的管理制定，對于日志功能的啟用，日志記錄的內(nèi)容，日志的管理形式，日志的審查分析做明確的規(guī)定。對于重要網(wǎng)絡(luò)設(shè)備，應(yīng)建立集中的日志管理服務(wù)器，實現(xiàn)對重要網(wǎng)絡(luò)設(shè)備日志的統(tǒng)一管理，以利于對網(wǎng)絡(luò)設(shè)備日志的審查分析。網(wǎng)絡(luò)維護(hù)人員應(yīng)保證各設(shè)備的系統(tǒng)日志處于運行狀態(tài)，并每兩周對日志做一次全面的分析，對登錄的用戶、登錄時間、所做的配置和操作做檢查，在發(fā)現(xiàn)有異常的現(xiàn)象時應(yīng)

8、及時向信息安全工作組報告。網(wǎng)絡(luò)維護(hù)人員應(yīng)通過各種手段監(jiān)控網(wǎng)絡(luò)的流量狀況，當(dāng)突發(fā)異常流量時，應(yīng)立即上報信息安全工作組，并同時采取適當(dāng)控制措施，并記錄備案。4.4風(fēng)險評估和災(zāi)難分析1）網(wǎng)絡(luò)維護(hù)人員應(yīng)至少每年1次對整個網(wǎng)絡(luò)進(jìn)行風(fēng)險評估。2）網(wǎng)絡(luò)維護(hù)人員應(yīng)至少每年1次對整個網(wǎng)絡(luò)進(jìn)行災(zāi)難影響分析，并進(jìn)行災(zāi)難恢復(fù)演習(xí)。五、系統(tǒng)安全維護(hù)管理制度5.1主機(jī)維護(hù)管理1）系統(tǒng)維護(hù)人員應(yīng)對所有主機(jī)設(shè)備進(jìn)行資產(chǎn)登記，登記記錄上應(yīng)該標(biāo)明硬件型號，廠家，操作系統(tǒng)版本，已安裝的補(bǔ)丁程序號，安裝和升級的時間等內(nèi)容。2）系統(tǒng)維護(hù)人員應(yīng)至少每天1次，對所有主機(jī)設(shè)備進(jìn)行檢查，確保各設(shè)備都能正常工作。5.2系統(tǒng)軟件維護(hù)管理1）系統(tǒng)軟

9、件安裝之后，系統(tǒng)維護(hù)人員應(yīng)立即進(jìn)行備份；在后續(xù)使用過程中，在系統(tǒng)軟件的變更以及配置的修改之前和之后，也應(yīng)立即進(jìn)行備份工作。2）嚴(yán)禁隨意安裝、卸載系統(tǒng)組件和驅(qū)動程序，如確實需要，應(yīng)及時評測可能由此帶來的影響，并需要獲得主管領(lǐng)導(dǎo)的批準(zhǔn)。3）系統(tǒng)維護(hù)人員應(yīng)制定軟件使用制度，禁止在服務(wù)器系統(tǒng)上禁止安裝與該服務(wù)器所提供服務(wù)和應(yīng)用無關(guān)的其它軟件。4）系統(tǒng)維護(hù)人員應(yīng)及時監(jiān)視、收集主機(jī)設(shè)備操作系統(tǒng)生產(chǎn)廠商公布的軟件以及補(bǔ)丁更新，要求下載補(bǔ)丁程序的站點必須是相應(yīng)的官方站點，并對更新軟件或補(bǔ)丁進(jìn)行評測，在獲得主管領(lǐng)導(dǎo)的批準(zhǔn)下，再實施軟件更新或者補(bǔ)丁安裝。5.3系統(tǒng)信息服務(wù)維護(hù)管理1）系統(tǒng)維護(hù)人員應(yīng)制定重要主機(jī)系統(tǒng)

10、的安全使用制度，禁止在重要的主機(jī)系統(tǒng)上瀏覽外部網(wǎng)站網(wǎng)頁、接收電子郵件、編輯文檔以及進(jìn)行與主機(jī)系統(tǒng)維護(hù)無關(guān)的其它操作。如果需要安裝補(bǔ)丁程序，補(bǔ)丁程序必須通過日常維護(hù)管理用的工作站或PC機(jī)進(jìn)行下載，然后再移到相應(yīng)的主機(jī)系統(tǒng)安裝。2）禁止主機(jī)系統(tǒng)上開放具有“寫”權(quán)限的共享目錄，如果確實必要，可臨時開放，但要設(shè)置強(qiáng)共享口令，并在使用完之后立刻取消共享。3）系統(tǒng)維護(hù)人員應(yīng)禁止不被系統(tǒng)明確使用的服務(wù)、協(xié)議和設(shè)備的特性，避免使用不安全的服務(wù)，例如：SNMP、RPC、Telnet、Finger、Echo、Chargen、Remote Registry、Time、NIS、NFS、R系列服務(wù)等。4）系統(tǒng)維護(hù)人員應(yīng)

11、嚴(yán)格控制重要文件的許可權(quán)和擁有權(quán)，重要的數(shù)據(jù)應(yīng)當(dāng)加密存放在主機(jī)上，取消匿名FTP訪問，并合理使用信任關(guān)系。5.4安全與殺毒維護(hù)管理1）系統(tǒng)維護(hù)人員應(yīng)定期進(jìn)行安全漏洞掃描和病毒查殺工作，平均頻率應(yīng)不低于每2周一次，重大安全漏洞發(fā)布后，應(yīng)在3個工作日內(nèi)進(jìn)行；并且為了防止網(wǎng)絡(luò)安全掃描以及病毒查殺對網(wǎng)絡(luò)性能造成影響，應(yīng)根據(jù)業(yè)務(wù)的實際情況對掃描時間做出規(guī)定，應(yīng)一般安排在非業(yè)務(wù)繁忙時段；當(dāng)發(fā)現(xiàn)主機(jī)設(shè)備上存在病毒、異常開放的服務(wù)或者開放的服務(wù)存在安全漏洞時應(yīng)及時上報主管領(lǐng)導(dǎo)，并采取相應(yīng)措施。2）系統(tǒng)維護(hù)人員應(yīng)通過各種手段監(jiān)控主機(jī)系統(tǒng)的CPU利用率，進(jìn)程，內(nèi)存和啟動腳本等的使用狀況，在發(fā)現(xiàn)異常系統(tǒng)進(jìn)程或者系統(tǒng)

12、進(jìn)程數(shù)量異常變化時，或者CPU利用率，內(nèi)存占用量等突然異常時，應(yīng)立即上報主管領(lǐng)導(dǎo)，并同時采取適當(dāng)控制措施，并記錄備案。3）當(dāng)主機(jī)系統(tǒng)出現(xiàn)以下現(xiàn)象之一時，系統(tǒng)維護(hù)人員必須進(jìn)行安全問題的報告和診斷：l 系統(tǒng)中出現(xiàn)異常系統(tǒng)進(jìn)程或者系統(tǒng)進(jìn)程數(shù)量有異常變化。l 系統(tǒng)突然不明原因的性能下降。l 系統(tǒng)不明原因的重新啟動。l 系統(tǒng)崩潰，不能正常啟動。l 系統(tǒng)中出現(xiàn)異常的系統(tǒng)賬號l 系統(tǒng)賬號口令突然失控。l 系統(tǒng)賬號權(quán)限發(fā)生不明變化。l 系統(tǒng)出現(xiàn)來源不明的文件。l 系統(tǒng)中文件出現(xiàn)不明原因的改動。l 系統(tǒng)時鐘出現(xiàn)不明原因的改變。l 系統(tǒng)日志中出現(xiàn)非正常時間系統(tǒng)登錄，或有不明IP地址的系統(tǒng)登錄。l 發(fā)現(xiàn)系統(tǒng)不明原因的在掃描網(wǎng)絡(luò)上其它主機(jī)。5.5主機(jī)備份主機(jī)的備份分兩種，一種是數(shù)據(jù)的備份