河北科技师范学院二级网站安全工作实施意见

 

为保障我校网站信息安全工作健康有序发展，现根据《教育部、共青团中央关于进一步加强高等学校校园网络管理工作的意见》（[2004]17号）、教育部、国信办《关于进一步加强高等学校网络建设和管理工作的意见》教思政﹝2013﹞3号等文件精神要求，并结合我校网站管理工作实际，研究制定河北科技师范学院二级网站安全工作实施意见如下。

一、各部门要认真履行各自所承办网站的安全管理责任，把网站信息安全工作纳入部门日常工作，使部门网站内容的更新速度、信息质量、信息安全等不断适应形势发展。

二、各部门要认真实网站备案管理责任，明确本部门网站管理员、信息发布审核责任人。遇有因为岗位聘用、工作调整或变更的，要及时将本部门新的信息安全管理人及联系方式报送学校党委宣传部和网络与现代教育技术中心备案，以便及时联系和处理网络信息相关工作。

三、网站站点建在校内的二级网站的域名和IP，由网络与现代教育技术中心统一分配。

四、需要在公网建站的单位，其网站域名需要经过网络与现代教育技术中心审定后，由承办单位向有关部门申请，并按国家法规注册备案，相关材料报送网络与现代教育技术中心备案。

五、网站管理员要适时地负责检查本部门网站的安全管理工作。

（一）对本部门直接管理的（非托管服务器）进行系统安全检查；

（二）对网站后台管理系统安全、口令安全、木马检测、SQL注入检测等进行检查；

（三）对存在漏洞网站程序，要及时修复。对未修复的网站，网络与现代教育技术中心将视该网站的安全情况，进行暂时关闭；

（四）对已不用的网站及网站链接，要及时报网络与现代教育技术中心注销和删除；

（五）遇有被篡改和无法修复情况，要及时联系网络与现代教育技术中心，以便进行及时补救处理。

六、各部门网站管理员，要每天定时查看本部门服务器工作情况和本部门网站内容，加强服务器和网站管理，加强网站内容审查。用户名和密码要每隔一星期更换一次，发现异常情况，应立即做好工作记录，并向网络与现代教育技术中心报送有关情况。

七、网络网站信息安全是一项复杂的系统性工程，涉及软、硬件安全技术防护、信息采集与发布工作流程、网站系统安全管理工作机制等，各网站管理单位要高度重视，认真研究，确保部门网站信息安全工作持续健康发展。

 

 

附件: 河北科技师范学院二级网站建设与管理工作要求

 

 

 

 

 

                                     　               党委宣传部

网络与现代教育技术中心

2015年8月31日

 

附件: 河北科技师范学院二级网站建设与管理工作要求

 

一、网站建设相关要求

1 开发语言及数据库要求

由于Web服务器有限，目前只能发布应用Html、 Asp+Access、 Asp.net(c#)+Access、Asp.net(c#)+SQL Server(2005或2008) 语言开发的网站。

2 开发要求

由于每个Web服务器上发布多个网站，出于对服务器整体安全性的考虑，二级网站的开发要在考虑实用性的前提下，必须充分保证安全性。如：对有上传要求的网站，一定要限制上传文件的格式、大小及权限；密码一定要有加密措施（MD5）；防止SQL注入及跨站点脚本攻击；后台登陆时要有验证码；后台要有数据及相关文件的备份功能等等。

各单位在网站开发前要与网络中心联系，确认服务器环境是否支持其开发语言，以确保在开发后能在服务器上发布，防止因环境不支持而造成网站无法发布。

各单位新开发的网站，在发布前需经相关部门进行一定的安全测试，坚决杜绝存在安全漏洞的代码在服务器上发布。已经发布的网站，如有安全漏洞，管理单位要及时更新代码，若由于单位的网页漏洞造成网站被攻击及网页被篡改，由该单位自己负责；若影响服务器的工作，网络中心将暂停该单位网站的运行，直至漏洞修复。

3 网站应用要求

二级网站由各二级学院（系部）、处室自行管理，建议符合以下要求：

3.1 网站交互管理方面要求。

各二级网站不允许有交互类型的栏目及功能，如论坛、留言版、博客、文章评论等功能，如确实需要有交互功能的，需在网络中心备案，必须有专门的管理员进行管理，并且具备审核功能，即需发表的任何言论必须经过管理员审核方可发布出去。

3.2 网站账户及后台管理方面要求。

与网站管理相关的账户、密码必须有专人管理，且密码具有一定的复杂度（密码包括数字、字符，且长度不低于16位，不要采用如“12345678”这样的简单密码），定期更改（一般最少为两周）；后台至少要采用验证码验证登陆。

3.3 网站内容方面要求。

网站所发布内容由二级网站负责人及联络员负责，网站内所包含的链接一定是国家政府或正规网站的链接，并且要定期检查链接是否存在错误、空链接等情况。同时要定期检查本单位网站内容，防止出现被黑客入侵并篡改内容的事件发生。

3.4 网站数据备份。

网站后台要具有备份数据库功能，网站系统管理员要定期备份数据并下载到本地计算机中，以备发生突发事件后使用。

 

二、托管服务器及虚拟主机的要求

在网络与现代教育技术中心机房托管服务器的单位，要定期登录本单位服务器或及虚拟主机，监控其运行状况，要缩短检查周期，以便及时发现异常情况。

 

三、网站建设流程

1 网站开发前到网络中心填写《河北科技师范学院二级网站建设申请书》，以确认开发语言及环境支持。

2 网站发布前要由相关部门对代码进行安全检测，安全测试合格后，填写《河北科技师范学院二级网站发布申请表》及《河北科技师范学院二级网站管理单位备案表》

3 如需二级域名，则还需要填写《河北科技师范学院二级网站域名申请表》。

4 网站发布后，如需更新程序，需填写《网站程序更新申请表》。

四、主机托管或虚拟主机流程

1 主机托管填写《主机托管申请表》。

2 虚拟主机填写《虚拟主机申请表》。