网站安全管理制度

第一篇：网站安全管理制度网站安全管理制度为加强网站安全管理，确保该网站的整体安全，根据《中华人民共和国计算机信息系统安全保护条例》等有关规定，制定本制度。第一条网站的建设应坚持“统一规划，统一标准，资源共享，安全保密”的原则。信息资源遵循“谁发布，谁负责；谁主管，谁管理”。第二条拟对外公开的信息在上网发布前，应经网站负责人审核确认。对在线互动性栏目，要加强网上互动内容的监管，确保信息的健康和安全。以下有害信息不得在网上发布：1、反对宪法所确定的基本原则的；2、危害国家安全、泄露国家秘密、颠覆国家政权、破坏国家统一的；3、损害国家荣誉和利益的；4、煽动民族仇恨、民族歧视、破坏民族团结的；5、破坏国家宗教政策，宣扬邪教和封建迷信的；6、散布谣言，扰乱社会秩序，破坏社会稳定的；7、散布淫秽、色情、赌博、暴力、凶杀、恐怖或教唆犯罪的；8、侮辱或者诽谤他人，侵害他人的合法权益的；9、含有法律、行政法规禁止的其他内容的。第三条网站在建设和运行中，要加强安全措施，增强安全技术手段。保证网站每天24小时正常开通运转，以方便公众访问。网站应当对重要文件、数据、操作系统及应用系统作定期备份，以便应急恢复。严禁将各个人登录帐号和密码泄露给他人使用。第四条网站负责人、技术开发人员和信息采编人员所用电脑必须加强病毒、黑客安全防范措施，必须有相应的安全软件实施保护，确保电脑内的资料和帐号、密码的安全、可靠。第五条网站应当充分估计各种突发事件的可能性，做好应急响应方案。制定详细的工作人员管理制度，明确工作人员的职责和权限。同时，规范人员调离制度，做好保密义务承诺、资料退还、系统口令更换等必要的安全保密工作。第六条本制度即发布之日起实施。通联禽业信息服务有限公司2012-5第二篇：网站安全管理制度网站安全管理制度一、总则为了更好的确保XXXXX网站的安全稳定运行，合理、可靠、安全、高效地组织和管理XXXX网站，提高XXXX网站的服务质量，提高维护队伍的整体素质和水平，特制定本管理制度，作为维护和管理XXXX网站的依据。二、范围本制度的适用范围包括XXXX网站系统的物理资产（包括：网络设备，主机设备，安全设备，监控设备等）、软件资产（操作系统，数据库，应用程序等）、数据资产（业务数据、网络系统、主机数据，应用程序数据等）以及网站系统的技术人员等。三、角色和责任本手册适用于XXXX网站的网络维护人员、系统维护人员、信息安全员及安全审计员等角色阅读。本手册由信息管理处修改和维护。四、网络安全维护管理制度1.网站系统的所有网络设备（包括交换机、路由器、防火墙、IDS以及其他网络设备）应由专职网络维护人员负责管理，定期检查设备的物理环境，并按照机房物理安全要求进行维护。2.网络维护人员应对所有网络设备进行资产登记，登记记录上应该标明硬件型号，厂家，操作系统版本，已安装的补丁程序号，安装和升级的时间等内容。3.网络维护人员应至少每天1次，对所有网络设备进行检查，确保各设备都能正常工作。4.网络维护人员应制定网络设备用户账号的管理制度，对各个网络设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确规定。5.网络维护人员应制订网络设备用户账号口令的管理策略，对口令的选取、组成、长度、保存、修改周期以及存储做出规定；禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令，也不应使用单个单词或命令作为口令，组成口令的字符应包含大小写英文字母、数字、标点、控制字符等，口令长度要求在8位以上；不应将口令存放在个人计算机文件中，或写到容易被其它人获取的地方；对于重要的网络设备，要求至少每个月修改一次口令，或者使用一次性口令设备；若掌握口令的管理人员调离本职工作时，必须立即更改所有相关口令；用户账号口令应以加密方式存储，如MD5方式。6.严格禁止非网络管理人员直接进入网络设备进行操作，若在特殊情况下（如系统维修、升级等）需要外部人员（主要是指厂家技术工程师、非本系统技术工程师、安全管理员等）进入网络设备进行操作时，必须由网络管理员登录，并对操作全过程进行记录备案。禁止将系统用户账号及口令直接交给外部人员，在紧急情况下需要为外部人员开放临时账号时，必须向信息管理处相关领导申请，在申请中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方法、负责开放和注销临时账号的人员等内容，并严格根据安全管理机构的批复进行临时账号的开放、注销、监控，并记录备案。7.网络维护人员应尽可能减少网络设备的管理方式，例如Telnet、web、SNMP等；如果的确需要进行远程管理，应使用SSH代替Telnet，使用HTTPS代替HTTP，并且限定远程登录的超时时间，远程管理的用户数量，远程管理的终端IP地址，同时按照“网络安全配置管理策略”中的规定进行严格的身份认证和访问权