首页

You are here

网站安全

图书馆网站安全管理制度

 

一、总则

为了更好的确保图书馆内部网站的安全稳定运行,合理、可靠、安全、高效地组织和管理内部网站,提高内部网站的服务质量,提高维护队伍的整体素质和水平,特制定本管理制度,作为维护和管理内部网站的依据。

二、范围

本制度的适用范围包括图书馆内部网站系统的物理资产(包括:网络设备,主机设备,安全设备等)、软件资产(操作系统,数据库,应用程序等)、数据资产(业务数据、主机数据,应用程序数据等)。

三、系统安全维护管理制度

系统维护人员应至少每天1次,对网站主机设备进行检查,确保各设备都能正常工作。

用户权限的设置应遵循最小授权和权限分割的原则,只给系统用户、数据库系统用户或其它应用系统用户授予业务所需的最小权限,应禁止为所管理主机系统无关的人员提供主机系统用户账号,并且关闭一切不需要的系统账号。

系统维护人员应制订主机系统的帐户口令管理策略,对口令的选取、组成、长度、保存、修改周期做出规定。禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令,也不使用单个单词或命令作为口令,组成口令的字符应包含大小写英文字母、数字、标点、控制字符等,口令长度要求在8位以上。不应将口令存放在个人计算机文件中,或写到容易被其它人获取的地方。对于网站主机要求至少每两个月修改一次口令,若掌握口令的管理人员调离本职工作时,必须立即更改所有相关口令;

严格禁止非本维护管理人员直接进入主机设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入主机设备进行操作时,必须由系统管理员登录,并对操作全过程进行记录备案。禁止将系统用户账号及口令直接交给外部人员。

系统软件安装之后,系统维护人员应立即进行备份;在后续使用过程中,系统软件的变更以及配置的修改之前和之后,也应立即进行备份工作。

严禁随意安装、卸载系统组件和驱动程序,如确实需要,应及时评测可能由此带来的影响,并需要获得分管领导的批准。禁止在服务器系统上安装与该服务器所提供服务和应用无关的其它软件。禁止在主机系统上浏览外部网站网页、接收电子邮件、编辑文档以及进行与主机系统维护无关的其它操作。禁止在主机系统上开放具有“写”权限的共享目录,如果确实必要,可临时开放,但要设置强共享口令,并在使用完之后立刻取消共享。

系统维护人员应定期进行安全漏洞扫描和病毒查杀工作,平均频率应不低于每2周一次,重大安全漏洞发布后,应在3个工作日内进行修补;并且为了防止网络安全扫描以及病毒查杀对网络性能造成影响,应根据业务的实际情况对扫描时间做出规定,应一般安排在非业务繁忙时段;当发现主机设备上存在病毒、异常开放的服务或者开放的服务存在安全漏洞时应及时上报分管领导,并采取相应措施。

网站主机的备份分两种,一种是系统配置的备份,另一种是数据的备份。网站主机至少保持最近三个月的系统和数据备份,以便系统的恢复。