门户网站安全管理制度

门户网站安全管理制度（精选9篇）

门户网站安全管理制度 篇1

第一章 总 则

第一条 为加强安顺市工业和信息化委员会门户网站（以下简称委门户网站）安全管理，确保委门户网站的整体安全，根据《中华人民共和国计算机信息系统安全保护条例》制定本制度。

第二条本制度所称信息资源，是指各县(区)工贸局(工经局)及委各科室以及依法行使行政管理职能的组织在履行管理职责或提供公共服务过程中制作、获得或掌握的应公开发布的政务信息和公共服务信息。

第三条 安顺市工业和信息化委员会是委门户网站的领导机构。暂由通信电子信息管理科(以下简称信息科)具体负责组织指导、协调委门户网站的统筹规划和建设管理工作，并具体承办网站的建设、运行维护和日常管理。

第二章 信息资源管理

第四条 委门户网站信息资源开发建设管理工作由委信息科负责，委各科室和各县（区）工贸局（工经局）有义务根据行政管理和公共服务需要进行信息资源的采集、加工和开发工作。

第五条 委门户网站信息资源必须按《安顺市工业和信息化委员会网站内容保障制度》有关内容要求进行提供和审核，并遵循“谁提供，谁负责；谁承诺，谁办理”原则。

第六条 委门户网站建立规范的信息采集、审核和发布机制，实行网站内容专人发布制度（暂定为信息科专人负责）。委各科室、各县（区）指定专人负责网站信息的采编、提供和审核工作。网站信息员负责信息发布日常事务，代表委各科室和各县（区）工贸局（工经局）在委门户网站上进行实时信息发布工作。

第七条 拟对外公开的政务信息在上网发布前，应经《安顺市工业和信息化委员会网站内容保障制度》中规定的负责人审查同意，对审查上传的内容进行登记建档。

第八条 对互动性栏目，要加强网上互动内容的监管，确保信息的健康和安全。建立网上互动应用的接收、处理、反馈工作机制，确定专人及时处理、答复网上办理、投诉、咨询和意见、建议。

第九条 根据国家有关保密法律、法规，严禁涉密信息上网。

第十条 委信息科根据需要提供网站相关信息资源采集及上报的操作培训工作。

第三章 网站运行维护

第十一条 委门户网站运行维护工作由中国联合通信有限公司安顺分公司负责。

第十二条 委门户网站有关设备要定期巡检，保证网站每天24小时正常开通运转。

第十三条 建立委门户网站信息更新维护责任制。委各科室和各县（区）工贸局（工经局）应明确分管负责人和具体责任人员，负责本科室和本单位网站信息的日常采集、审核、提供工作，并建立相应的工作制度。

第十四条 定期备份制度。委门户网站应当对重要文件、数据、操作系统及应用系统作定期备份，以便应急恢复。此工作由安顺联通公司负责。

第十五条 口令管理制度。委门户网站应当设置网站后台管理及上传的登录口令。口令的位数不应少于8位，且不应与管理者个人信息、单位信息、设备（系统）信息等相关联。每一个月须更换一次网站登录口令，严禁将个人登录帐号和密码泄露给他人。

第十六条 机房管理制度。委门户网站机房应建立严格的门禁制度和日常管理制度，机房及机房内所有设备必须由专人负责管理，每日应有机房值班记录和主要设备运行情况的记录。外来系统维护人员进入机房，应由技术人员陪同并对工作内容做详细记录。此工作由联通公司负责。

第十七条 服务器和网站定期检测制度。委门户网站应及时对网站管理及服务器系统漏洞进行定期检测，并根据检测结果采取相应的措施。要及时对操作系统、数据库等系统软件进行补丁包升级或者版本升级，以防黑客利用系统漏洞和弱点非法入侵。此工作由联通公司负责。第十八条 客户端或录入电脑安全防范制度。网站负责人、技术开发人员和信息发布人员所用电脑必须加强病毒、黑客安全防范措施，必须有相应的安全软件实施保护，确保电脑内的资料和帐号、密码的安全、可靠。

第十九条 应急响应制度。委门户网站应当充分估计各种突发事件的可能性，做好应急响应方案。同时，要与岗位责任制度相结合，保证应急响应方案的及时实施，将损失降到最低程度。此工作由联通公司负责

第二十条 安全事件报告及处理制度。委门户网站在发生安全突发事件后，除在第一时间组织人员进行解决外，应当及时向委领导进行报告，并由其给予及时的指导，并视安全突发事件的严重程度，及时协调公安、电信等部门进行处理。

第二十一条 人员管理制度。委门户网站应当制定详细的工作人员管理制度，明确工作人员的职责和权限。要通过定期开展业务培训，提高人员素质，重点加强负责系统操作和维护工作的人员的培训考核工作，实行考核上岗制度。同时，规范人员调离制度，做好保密义务承诺、资料退还、系统口令更换等必要的安全保密工作。

第五章 监督管理

第二十二条 委信息科定期检查各县（区）及委各科室信息采集报送、管理及更新维护工作，并将监测结果进行通报。

第二十三条 委门户网站将不定期组织开展网上评议，由公众评议网站相关建设和维护情况。

第二十四条 委门户网站信息发布审核、把关不严，造成失、泄密的，按照国家保密法有关规定处理。

第六章 附 则

门户网站安全管理制度 篇2

外网与互联网之间有防火墙, Web服务器直接通向互联网, 因此外网的安全重点是网络控制、 入侵防护和安全审计。对于网站发布的页面安全性可通过防篡改系统和Web应用防护系统实现防止外部入侵, 自动告警, 自动防护被篡改的网站页面, 及时有效地保护人社网的正常运行。

对门户网站及网站内系统通过监控软件实施7X24 小时监控, 监控运行情况、 记录系统异常并报警, 提醒管理员对异常情况进行维护。

2 系统总体设计

对外部入侵通过入侵防护设备来阻止外部非法访问和攻击。

对网络行为的监控通过漏洞扫描和入侵检测设备 (IDS) 实现, 及时了解网络行为, 做好防护措施。

人社厅门户网站系统, 采用独立子网的形式建设门户网站网络, 该网络对外接入互联网, 对内接入到人社专网。

网络安全系统构架如图1 所示。 根据现有网络状况、 业务需求状况、 以及安全要求, 设立了多层安全防护, 并将门户网站应用网络分为了3 个业务区: 互联网隔离区、 内网业务区、 外网业务区。 各个网络区域之间相互独立, 通过网络安全设备进行划分, 保证业务通畅并保证数据安全。

3 运维管理

门户网站运维实施7X24 小时管理, 为便于监控和维护, 编写了一套网站信息维护系统。

3.1 添加监控网站

对于网站系统的监控主要基于读取网站页面的特征值作为网站系统稳定运行的判定标准, 一旦系统崩溃或掉电, 特征值将不会被检出, 此时可以判定为系统故障。

3.2 定时监控

通过定时程序循环读出各网站的特征值, 则进行报警提示。

主要代码如下:

3.3 监控日志维护

日志维护界面如图2 所示

4 结语

作为四川省人力资源和社会保障厅唯一的门户网站, 从2014 年6 月按照此架构重新部署并实施以来, 网站运行效率和安全都得到了极大的提升。 特别是对网站的监控做到了自动化运行和记录, 节约了大量人力物力, 提高了故障发现和处置效率, 有效保障了站内各信息系统的安全稳定运行。

参考文献

[1]四川省电子政务社会保障工程社会保险信息系统分工程 (金保工程) 项目系统二标段 (网站项目) , 招标编号:GXTC-1226062.

医院网站的日常维护与安全管理 篇3

关键词：网站；日常维护；安全管理

中图分类号：TN915.08

网站与医院形象、医院发展、医院知名度等多个方面有着千丝万缕的联系，若网站遭到木马病毒等非法软件的侵害，不仅会影响网站信息数据的准确性与安全性，同时还会给医院造成一定的负面影响，制约医院发展。基于这一危害性，医院及相关工作人员应树立网站安全管理意识，做好网站日常维护更新工作。

1 网站日常维护的基本内容及作用

1.1 网站日常维护基本内容

（1）网站日常维护。网站的日常维护主要负责对网站内容进行及时更新调整，对于网站中存在的垃圾信息应及时予以处理，从而提升网络运行速度。另外要对网络与计算机的工作状态进行定期检查，在检查中若发现系统故障应立即处理，降低网站系统故障的发生率。与此同时负责网站维护的工作人员还需要提交系统维护报告。

（2）网站故障恢复。网站中的资料应建立备份文件，这是为了预防网站系统在运行中突然发生严重故障导致整个网站系统瘫痪，建立备份可以让网站资料在最短时间内恢复，以免影响工作人员调用资料。若网站中的重要文件或数据信息被木马病毒等破坏后，维护人员应立即采取抢救措施，使文件或者数据信息得到恢复。

（3）网站安全维护。网站安全维护中包括网站数据库备份维护、网站数据库导入导出维护、网站数据库后台维护及及网站紧急恢复等内容。

（4）网站内容更新。文章撰写、图形设计、页面设计及政策发布等都属于网站内容范畴，在网站日常维护中要对这些内容进行实时更新，让患者和人们能够快速了解网站最新动态，及时掌握网站所反馈的信息意见，并做出合理化处理。

（5）网络基础维护。网站基础维护内容主要有网站空间维护、网站流量报告域名续费、网站域名维护及医院邮局维护等。

（6）网站优化。网站优化工作中涉及的范围较为比较广泛，例如医疗信息的更新、招聘信息更新、网站新闻动态更新、网站页面设计的更新制作、网站设计风格更新、网站系统维护服务等。

1.2 网站日常维护的作用

网站日常维护十分必要，对网站进行日常维护，能够及时排除网站系统故障，更新网站内容信息，使整个网站看起来更具生命力。网站日常维护对网站的作用尤为明显主要表现在三方面：

（1）吸引更多的关注。对网站进行日常维护，实现网站内容的及时更新，能够有效吸引人的关注。近年来，各类网站层出不穷，要想在众多网站中脱颖而出，应及时为网站加入新鲜，具有时代意义的新闻，同时在网站维护中不断更新服务信息及预防保健知识等，能够引发人的关注欲望，为网络大力推广服务信息提供帮助。

（2）使网站充满活力。人往往对新鲜事物或者不了解的内容充满好奇，对网站进行日常维护，实时为人们提供其所关注的新闻或内容，只有这样才能保证自身网站内容独具魅力，使整个网站充满活力。

（3）合理维护网站，能够实现网站维护与推广并进。网站维护与网站推广可以说是相辅相成的，两者具有互为连带的关系，在网站日常维护中不仅要对网站进行及时更新，同时还要对网站进行推广，这样能够为网站带来更多的访问量，从根本上提高网站的应用价值与知名度。

2 网站日常维护的方法研究

2.1 安排专人负责网站建设

要做好网站日常维护工作，应从源头做起，网站建设是网站初步工作，在网站建设中要确保后期网站维护所需要的资金与人力。近年来，我国网站业务得到了迅速发展，需要开展与管理的网站业务也随之不断增加，患者向网站提交的电子邮件、留言及多种回馈表单都需要有人及时进行处理与跟进，因此安排专人负责网站建设尤为必要，应对网站建设系统不断完善，从而满足患者不同阶段的需求，为患者提供更好的诊疗咨询服务。

2.2 实时维护与更新网站

网站建设信息内容应实时更新维护，假如说在患者在浏览医院网站时，看到的依然是上次访问内容，那么患者就会对医院的创新力及信息传达能力等因素提出质疑，从而会使患者对医院的印象大打折扣，为了避免这一状况，医院应根据自身发生状况及社会信息等相关内容，对网站进行全面维护更新，对于所要发布的信息要统一处理，经过审核后方可发布到网站上，要保证网站信息内容的及时性、客观性、统一性及实用性。

2.3 全面推广网站

在网站日常维护过程中，要想提高自身网站的知名度，得到广大患者的认可，就应该在网站日常维护工作中对网站进行积极的推广工作。网站推广手段不具有唯一性，搜索引擎注册、论坛留言、邮件宣传、友情链接、新闻组、BBS站点发布信息等等，这些都属于网站推广。另外还可以通过网上与网下相结合的方式，使其准确掌握医院发展最新动态。

3 网站安全管理措施

3.1 使用防火墙，强化网站服务器的安全性能

防火墙可以说是计算机与外界进行通讯的通道，对网站安全运行具有一定的保护作用。将防火墙应用到网站中，那么计算机所流入流出的信息数据需要经过防火墙，此时防火墙会将一些带有威胁性或者病毒的文件或者软件过滤掉，以免其影响文件或者软件整体的安全性，在一定程度上防火墙能够实现网站的安全控制。入侵检测产品是防火墙产品之一，在网站安全管理中应用较为广泛，利用它能够实现度网站中非法行为的实时监控。一般情况下，防火墙默认的安全选项都是拒绝所有流量，因此若在网站中使用防火墙，需要将一些必要端口打开，使用户通过验证之后能够顺利访问网站系统，由此可见，防火墙配置十分重要。现今，有部分医院采取的硬件防火墙，这种防火墙安全性能一般，其成本较低。选择防火墙配置时应以自身医院的网站安全级别要求及自身医院的资金投入状况为依据，确保防火墙配置符合医院网站要求，使防火墙辅助网站安全管理人员共同管理网站。

3.2 强化网站自身安全管理

在网站安全管理中仅仅依靠防火墙等安全设置是不够的，还需要强化网站自身安全管理。首先应规范网站安全管理，以免网站数据库受损而影响整个网站业务活动，并且不能够随意更改网站数据库中的用户名、使用权限及密码等内容。另外还需要间将IIS服务器设置成独立的服务器，定时进行服务器重启操作，重启时要对服务器进行仔细检查，确保服务器各项服务恢复正常及安全运行。其次，应定期对服务器中的信息数据进行备份设置，以免网站系统遭到破坏影响信息数据的安全性、真实性与完整性，达到网站安全管理的目的。

4 结束语

患者通过网站可以了解医院内部信息、最新的医疗咨询、预防保健知识等服务信息。从某种角度来看，网站设计及内容发布可以突出医院的形象，所以网站在医院发展中扮演者重要角色，医院应安排专业人员进行网站建设、网站维护与更新及网站安全管理等工作，保证网站系统的安全与稳定运行，为患者提供实时准确的信息内容。

参考文献：

[1]龚建明.浅谈网站的日常维护与安全管理[J].计算机光盘软件与应用，2011（11）：139.

[2]朱传玲.中小企业网站的管理与维护[J].安徽科技，2012（05）：147-148.

[3]杨晔.谈网站的安全性管理[J].电脑与电信，2010（32）：265-268.

[4]王智强.浅谈网站的日常维护与安全管理[J].同煤科技，2010（03）：72-73.

门户网站安全管理制度 篇4

情况报告

随着我委信息化建设的发展和电子政务的深入推进，做好电子政务信息网络的安全和保密管理工作成为重中之重。为切实加强我委门户网站安全和保密管理工作，严防失密泄密问题的发生，根据《关于**市人民政府办公室转发自治区人民政府办公厅关于进一步加强政府网站安全保密管理工作的通知》（*政办电„2012‟**号）文件要求，我委对门户网站进行安全自查，现就自查情况报告如下：

一、我委门户网站安全保密管理工作总体情况

我委门户网站信息安全保密管理工作认真贯彻执行新修订的《中华人民共和国保守国家秘密法》、《计算机信息网络国际互联网安全保护管理办法》和《计算机信息系统国际互联网保密管理规定》等法律法规，严格遵照《政府信息公开条例》和自治区关于政府信息公开的保密审查要求，切实做好电子政务网络信息的保密防范工作，严禁通过门户网发布有危害国家安全、泄漏国家机密的信息。

信息安全组织机构健全，委主要领导主抓，分管领导落实，成立了专门的信息安全和保密管理小组，负责信息安全工作。日常信息安全管理到位，建立了保密责任、资产管理制度，签订了安全保密协议，制定了各项安全管理规定。

二、我委门户网站安全保密管理工作主要工作情况

1、用于处理、传递和发布上网信息的计算机均为非涉密计算机，与涉密计算机物理隔离。

2、信息发布遵循“谁发布，谁审核，谁负责”的原则。各科室设有专门从事信息发布工作的信息员，信息发布必须经科室领导审核批准后方可在网站上发布公开;若科室领导无法核定信息是否属于可对外公开范畴，则需交由分管领导或信息安全保密工作小组审核方可发布。

3、门户网站管理员帐号信息严格保密，只有信息员与门户网站系统管理员有相应的帐号。

4、信息发布准确，更新及时。我委准确及时地发布了有关项目投资、经济建设，发展规划的经济信息，为企业和民众提供了最新的发展信息，及时地进行政策解读。

5、信息安全保密审查小组对各科室的网络设备定期检查，确保硬件方面和软件方面的安全性。信息中心时刻注意网站的内容，防止网站被恶意修改，或被病毒传染，发布不良信息。

三、存在问题和整改意见

我委在自查过程中发现个别工作人员在信息发布时保密意识有欠缺，因此未来将加强保密工作宣传教育，从根本上杜绝涉密信息被公开。

**市**委员会

网站信息维护及安全管理办法 篇5

一、安全管理制度

（一）网络安全管理

1、接入电子政务平台的计算机，必须安装并启用趋势网络防病毒软件，不得自行关闭或删除。

2、严禁下载、安装、使用各种黑客程序、木马程序、病毒等有碍计算机安全的软件和程序，严禁使用任何方式对网络中的计算机、服务器、交换机进行攻击。

3、加强对本人（本单位）在电子政务平台上使用的用户名、密码的保密和管理。密码必须是8位以上的字符和数字的组合，不得将密码写在纸上或其它介质上，不得将本人（本单位）的用户名、密码告知他人。一旦发现泄密情况，应及时报告市委市政府网络信息中心，并及时更换用户名和密码。严禁盗用他人用户名和密码。

（二）应用安全管理

1、工作人员离开岗位时应退出应用系统界面，防止未经授权的用户进入各业务应用系统。

2、严禁在Intermet上浏览、下载、发布有害信息（如反党反政府的反动网站、黄色网站等）。

3、电子政务平台运行过程中出现异常情况或发现故障现象，应及时报告单位公务员之家http://领导和市委市政府网络信息中心，及时检查维护。

4、严禁在连接办公网络的计算机上安装、运行游戏软件。

（三）数据安全管理

1、禁止将计算机上的文件夹或文件设置为完全共享。

2、各种业务数据和应用程序一律要求定期做好备份。

3、未经批准，不得擅自将本单位的程序、文件、数据等拷贝或传输给他人。

4、不得擅自将涉密信息或重要的数据资料发布在内部网或因特网上，严禁在网络中传递、存储、处理涉密文件资料。

5、电子政务平台上的公文、信息应按有关文件管理的规定处理，不得任意扩大阅读范围，或向非权限用户单位和个人传送。

门户网站安全管理制度 篇6

第一章 总 则

第一条 为加强我局政府网站安全管理，根据《中华人民共和国计算机信息系统安全保护条例》等有关规定，结合本局实际情况，制定本规定。

第二条 合肥市规划局信息化建设领导小组是我局政府网站的领导机构。合肥市规划信息中心负责组织、协调网站的统筹规划和建设管理工作，并具体承办网站的建设、运行维护和日常管理，负责为网站提供网络环境和技术支持。

第三条 本规定中提到的信息资源，是指我局及其下属单位部门在履行管理职责或提供公共服务过程中制作、获得或掌握的应公开发布的政务信息和公共服务信息。

第二章 网站建设

第四条 按照全市电子政务工作发展总体要求,建设我局网站，实现网上政府信息公开和在线服务。

第五条网站建设需报市信息办进行登记并经由国家工业与信息产业部备案。

第六条网站采用本地管理方式，设置网站管理人员，负责网站的安全运行。

第三章 信息资源管理

第七条 政府网站信息资源开发建设管理工作由合肥市规划局

信息化建设领导小组负责，局各部门各单位有义务根据行政管理和公

共服务需要进行信息资源的采集、加工和开发工作，必须保证网站所

发布信息的权威性、时效性。

第八条 网站建立规范的信息采集、审核和发布机制，实行网站

信息员制度。

各部门、各单位指定专人负责网站信息的采编工作，并对网站信

息发布实行专职专责。网站信息员负责信息发布日常事务，代表本部

门本单位在网站上提供实时信息咨询服务。

第九条 拟对外公开的政务信息在上网发布前，应经本部门本单

位分管负责人审查同意，对审查上传的内容进行登记建档；涉密信息

需经局保密办审查。对于网站信息发布审核，把关不严，造成失密的，按照《国家保密法》机关规定追究相关当事人的责任。

第十条 对互动性栏目，要加强网上互动内容的监管，确保信息的健康和安全。建立网上互动应用的接收、处理、反馈工作机制，确

定专人及时处理、答复网上办理、投诉、咨询和意见、建议。

第十一条 根据国家有关保密法律和法规，严禁涉密计算机连接

互联网。

第十二条 合肥市规划信息中心需对网站信息员关于信息采集

及相关技术操作进行培训。

第十三条 建立网站信息更新维护责任制。各部门各单位应明确

分管负责人、和具体责任人员，按照网站栏目认为分工，各司其职。

第四章 网站运行维护

第十四条 建立定期备份机制。网站应当对重要文件、数据作定

期备份，以便应急恢复。

第十五条 建立口令管理制度。网站应当设置网站后台管理的登

录口令。口令的位数不应少于8位，且不应与管理者个人信息、单位

信息、设备（系统）信息等相关联。每个月须更换一次网站登录口令，严禁将各个人登录帐号和密码泄露给他人使用。

第十六条 建立机房管理制度。网站机房应建立严格的门禁制度

和日常管理制度，机房及机房内所有设备必须由专人负责管理，每日

应有机房值班记录和主要设备运行情况的记录。外来系统维护人员进

入机房，应由合肥市规划信息中心技术人员陪同并对工作内容做详细

记录。

第十七条 建立网站定期检测制度。应及时对网站有关设备、网

站漏洞和错误进行定期检测，并根据检测结果采取相应的措施。要及

时对操作系统、数据库等系统软件进行补丁包升级或者版本升级，以

防黑客利用系统漏洞和弱点非法入侵，保证网站每天24小时正常开

通运转，以方便公众访问。

第十八条 建立客户端或录入电脑安全防范制度。网站负责人、技术开发人员和信息采编人员所用电脑必须加强病毒、黑客安全防范

措施，必须有相应的安全软件实施保护，确保电脑内的资料和帐号、密码的安全！。

第十九条 建立应急响应制度。网站应当充分估计各种突发事件的可能性，做好应急响应方案。同时，要与岗位责任制度相结合，保

证应急响应方案的及时实施，将损失降到最低程度。

第二十条 建立安全事件报告及处理制度。网站在发生安全突发

事件后，信息中心除在第一时间组织人员进行解决外，应当及时向市

信息化工作办公室报告，并由其给予及时的指导和必要的技术支持！

第二十一条 建立人员管理制度。网站应当制定详细的工作人员

管理制度，明确工作人员的职责和权限。要通过定期开展业务培训，提高人员素质，重点加强负责系统操作和维护工作的人员的培训考核

工作。同时，规范人员调离制度，做好保密义务承诺、资料退还、系

统口令更换等必要的安全保密工作。

第五章 附 则

第二十二条 本规定自批准之日起实施。

高校网站安全管理研究与探讨 篇7

随着高校信息化程度的提高,网站作为信息交换和信息发布的重要工具,在高校的教学、科研、管理中扮演着越来越重要的角色[1]。高校除了学校中英文门户网站外,各部处、各院系、重点实验室甚至各实验团队都有自己的网站,大大小小的网站少则几十个多则几百个。由于经费和人员的限制,大部分高校的二级网站都是由二级单位自行建设管理,通过虚拟主机或者主机托管的形式寄存在网络中心。由于网站建设的入门技术门槛比较低,很多二级网站是委托外面的公司或者学生进行建设,技术架构五花八门,有些甚至弄台服务器下载个开源的网站后台就搭建了一个网站,网站开发水平参差不齐,同时也缺乏专业技术人员进行维护,对安全漏洞无法进行整改,导致网站安全事故频发。本文通过华南理工大学网站安全管理的实践及结合其他高校的网站安全管理的办法,探讨如何在目前复杂的安全形势下对高校网站进行安全管理。

2 高校网站安全现状

根据《2013中国高校网站安全检测报告》显示,国内高校网站安全检测平均成绩仅为55分,约2/3的高校网站安全状况不及格,存在网站被篡改、植入木马病毒等安全风险,中国高校网站安全普遍存在“网站建设和管理不统一、网站日常维护缺失、对于网站安全不重视、网站信息保护意识差、软件系统漏洞、服务器漏洞”六大安全隐患。为黑客入侵提供了机会[2]。

据媒体报道,自2014年4月至2015年3月的12个月间,补天平台上显示的有效高校网站漏洞多达3495个,涉及高校网站1088个。其中,高危漏洞2611个,占74.7%;中危漏洞691个,占19.8%;低危漏洞193个,占5.5%。过去一年间,在被告知网站存在漏洞后,会修复漏洞的高校网站只有35个,仅186个漏洞被修复,96.8%的高校网站完全无视安全漏洞的存在,94.6%的高校网站安全漏洞未被修复[3]。

高校网站面临的安全形势非常严峻,随着网站数量不断增加,一方面安全漏洞频出,另一方面却漏洞却长期得不到修复,造成高校网站安全困境的原因究竟是什么,结合我们多方面的调查和研究大体分成以下几方面:

1)网站建设和管理不统一。大部分的高校由于人员和经费问题,二级网站建设都是各个学院二级单位各自负责建设,网站建设的技术和水平参差不齐,导致学校网站安全整体上管理困难。

2)网站维护技术力量缺失。由于大部分二级网站的网站维护人员基本都是进行内容维护,对网站的服务器安全和系统漏洞等没有技术力量进行维护,就算被告知有安全漏洞也不知道怎么去修复,特别是涉及程序代码上的sql注入之类的高危漏洞,更是无从下手,导致高校的漏洞修复率极低。

3)对网站安全不重视。目前大部分网站主办单位相关领导缺乏网络和信息安全责任意识,对网站安全的重要性认识不足,对网站安全漏洞的危害性也认识不足,在没有出安全事故前抱有侥幸的心理。

3 高校网站安全管理

高校网站安全面临着重大的挑战,如何在现有情况下对高校网站安全进行高效、统一的管理,经过我们这几年在高校网站安全管理的实践并结合其他高校的经验,从构建网站信息安全台帐、建立网站安全准入与退出机制、实行安全责任人制度、统一网站建设平台、完善安全技术保障等五大方面对高校网站安全管理模式进行探讨,具体如下:

3.1 实行网站信息登记制度构建网站信息安全台帐

信息安全台帐是信息安全管理的基础,我们在做网站安全管理的时候,首先需要了解学校到底有多少网站,分别归属于哪些单位管理和建设,网站的用途,网站采用的技术架构,网站服务器的基本情况,网站管理员的情况等等,只有建立了网站信息安全台帐,我们在网站安全管理的时候才能有的放矢,在出现安全故障时才能够快速联系到网站的负责单位和负责人进行相关处理,相关技术漏洞出现后可以及时通知进行补丁修复。

建立网站信息安全台帐,是通过每年下发公文要求各单位自行申报自办及下属单位网站,这样可以了解大部分网站的建设信息;另外对于新建网站,在申请开通校外访问端口和学校域名之前必须先进行网站信息登记;

3.2 建立网站安全准入与退出机制

网站安全准入是指学校单位在申请自建网站和发布网站的时候必须经过学校的网站备案和安全检测,确保只有安全性符合要求的网站才可入互联网,从源头就把存在安全问题的网站拒之门外。

网站归档退出是针对不再使用的网站或长期无人管理维护的网站而建立的一种退出机制,其目的在于清退无用的网站,减少网站安全风险。同时对于有重大安全隐患的网站采取下线处理,等待整改通过后才允许上线。

3.3 明确安全责任主体实行安全责任人制度

学校成立信息安全领导小组,由校领导担任组长,并任命各单位主要负责人是网络与信息安全的第一责任人,负责整个单位的网络和信息安全;明确网站“谁主办谁负责”的责任制度,之前很多单位都对网站安全认识不足或者认为网站安全问题应该归学校相关技术部门管,通过明确责任主体,让各单位开始重视自建网站的安全问题,推动各级单位领导重视网站安全问题,积极配合网站安全漏洞修复。

3.4 提供统一网站建设平台减少安全风险

高校早期的网站基本上是各部门委托公司或者找学生利用ASP、JSP等语言开发的动态网站,由于网站管理维护跟不上,加上开发人员水平参差不齐,网站漏洞百出,经常面临被挂木马、SQL注入、脚本漏洞攻击等威胁。[4]

在被通报的各类高校网站安全事故中大部分是一些二级单位子网站,高校主网站相对比较安全;遍布在学校各学院、部处、直属单位甚至各实验室的大大小小几十个甚至上百个网站,为高校的网站安全管理带来众多的安全隐患。

通过网站群系统,初步实现高校网站的统一部署、分级管理、信息共享和专人维护,改善了原有网站建设中的管理无序、信息孤岛、资源浪费等现象。更为重要的是网站群系统作为学校信息基础平台是由有专业技术力量的信息办或网络中心进行管理和维护;网站群系统作为校级重点安全防护系统,通过第三方的等级保护评测,定期安全巡检等措施保护网站群系统自身的安全。避免了二级单位自建网站缺乏技术力量导致的安全困境。

3.5 完善网站安全架构和安全设备为网站安全管理提供技术保障

各类安全技术手段是高校网站安全策略的重要组成部分,通过完善网站安全架构,购买网站安全设备,为网站安全防护提供技术保障;

在网站安全部署上一般通过网络防火墙实行内外网隔离方式,网站的管理和发布端分开部署,管理端部署在内网,发布端部署在外网,发布的网站采用静态化的方式,外网访问管理端需要使用VPN进行连接;

重要网站前端采用负载均衡设备,应对大规模访问;实行外部存储一天一备,并实行异地备份,以确保网站数据安全;

核心的网站应用外部署WAF(web应用防火墙)进行防护,阻止网络攻击和sql注入;

重要的静态网站服务器通过采用强认证的网页防篡改系统进行防护,比如主页服务器和网站群系统发布服务器等。

4 结论

高校网站安全管理是一项长期的艰巨的工作。在技术与管理的双轮驱动下,除了文中所述及点外我们还需要通过建立健全的组织体系、管理规章和责任制度,进一步落实国家信息安全等级保护制度,增强安全预警、应急处置和灾难恢复能力,提高高校网站整体安全防护水平。

摘要：目前高校网站普遍存在着网站数量庞大、网站安全状况差、对安全问题不重视等等问题,使网站安全成为高校网络信息安全的短板。文章通过分析高校网站安全的现状及产生的原因,提出通过构建网站信息安全台帐、建立网站安全准入与退出机制、实行安全责任人制度、统一网站建设平台、完善安全技术保障等方式对高校网站安全进行管理,试图为高校网站安全管理提供一些思路和方法。

关键词：网站安全,高校网站,管理模式,网站群

参考文献

[1]张庆吉,曹连刚,赵玉秀.高校网站安全问题分析及其对策[J].电子商务,2010(6):58-59.

[2]360互联网安全中心.2013年中国高校网站安全报告[EB/OL].北京:360互联网安全中心.[2014-1-1].http://zt.360.cn/1101061855.php?dtid=1101062368&did=1101062961.

[3]吕美敬,叶新恩,刘明刚.浅谈高校网站群安全管理与对策分析[J].山东工业技术,2016(9):130-131.

门户网站安全管理制度 篇8

关键词：网站；安全访问；数据加密；证书

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）18-0023-02

HTTPS加密协议是HTTP的安全版本，由ssl+http协议构建，可进行加密传输和身份认证，比http协议更加安全。HTTPS能够为站点提供至少以下2大保障。

1）确保所有经过服务器传输的数据包都是经过加密的。

2）对网站服务器真实身份进行认证，避免被假冒。

那么，站点如何实现HTTPS加密协议呢？首先您需要到合法CA机构如沃通CA申请一张SSL数字证书。对于个人站点或者不涉及敏感信息的站点，可以申请沃通免费SSL证书，对于全球性商业网站（银行、购物、支付类），建议购买高级别的EVSS证书，不仅能保证站点数据安全，还能提高站点服务商的信誉。

HTTPS实际上应用了Netscape的安全全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不是像HTTP那样使用端口80来和TCP/IP进行通信。）SSL使用40位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。

如何在CentOS6.5中配置Apache的HTTPS服务，这将是本文要解决的重点问题，这里以自签证书（仅用于测试）为例来搭建一个基于https访问的网站。

如果CentOS已经安装了Apache Web服务器，我们需要使用OpenSSL生成自签名证书。如果尚未安装OpenSSL，它可以使用yum来安装。

1 企业背景设计

web服务器需要为客户机提供web服务，为了让客户机能够定位到自己，web服务器需要一个固定的IP地址（192.168.1.254）。

使用setup命令配置IP地址或直接修改网卡的配置文件，来配置web服务器的IP地址：#vim/etc/sysconfig/network-scripts/ifcfg-eth0 ，配置完成后，需要重启网络服务：service network restart

搭建DNS服务，在本文中的dns解析情况如下所示：

www.yhy.com 192.168.1.254

2 方案设计

2.1安装Apache，建立主页测试文件

# yum install -y httpd （安装Apache）

#echo “This is a www.yhy.com’s httpstest webpage ”>/var/www/html/index.html

2.2 设计Apache SSL支持模块

# yum install -y mod_ssl （默认yum安装httpd是没有安装该模块的，安装后自动生产/etc/httpd/conf.d/ssl.conf文件）

2.3 证书设计

使用命令产生一个自签名的证书。首先，生成2048位的加密私钥。

# openssl genrsa -out ca.key 2048

[root@300second certs]# make server.csr（建立服务器密钥）

建立服务器证书

#openssl x509 -in server.csr -out server.pem -req -signkey server.key -days 365

#chmod 400 server.*（修改权限为400，只有拥有者可读的权限）

把创建的证书文件复制到对应目录

# cp server.crt /etc/pki/tls/certs/

# cp server.key /etc/pki/tls/private/

# cp server.csr /etc/pki/tls/private/

3 方案实施

3.1设置SSL配置Apache支持https

# vim /etc/httpd/conf.d/ssl.conf（修改SSL的设置文件，制定www.abc.com站点https访问时的相关信息）

# vim /etc/httpd/conf/httpd.conf （配置网站支持https）

NameVirtualHost *：443

SSLEngine on

SSLCertificateFile /etc/pki/tls/certs/server.crt

SSLCertificateKeyFile /etc/pki/tls/private/server.key

ServerAdmin email@yhy.com

DocumentRoot /var/www/html/

ServerName www.yhy.com

3.2设置Apache在系统启动中运行

#chkconfig –-levels 235 httpd on（设置apache服务开机立即启动）

#/etc/init.d/httpd start 或service httpd start（启动服务）

3.3强制Apache Web服务器始终使用HTTPS

如果由于某种原因，公司需要站点的Web服务器仅使用HTTPS，服务器需要将所有HTTP请求（端口80）重定向到HTTPS（端口443）。

1）强制网站使用HTTPS访问，需要在虚拟主机中添加如下语句：

# vim /etc/httpd/conf/httpd.conf

ServerName www.yhy.com：80

Redirect permanent / https：//www.yhy.com

2）强制虚拟主机使用HTTPS，需要在虚拟主机中添加如下语句：

# vim /etc/httpd/conf/httpd.conf

ServerName www.yhy.com

Redirect permanent / https：//www.yhy.com/

3）重启服务#service httpd restart 或#/etc/init.d/httpd restart

总之，站点存在用户注册登录、购买支付等交互时，HTTPS访问是大家一直推崇的访问方式，可以提供服务器的安全性。另外，服务器SSL证书也可根据自己需求去选择各种不同的SSL证书。

4 方案测试

在此可以查看证书信息和自建crt信息一致，点击【是】，看到测试页面：

门户网站安全管理制度 篇9

2012年10月29日 09:51 来源：《电子政务》2012年第6期 作者：咸容禹 字号

打印 纠错 分享 推荐 浏览量

摘要：概要介绍了国体资源部门户网站群的总体规划，从物理安全、网络安全、系统安全、应用安全和数据安全等五个方面对国土资源部门户网站的安全体系架构进行了探讨，并简述了门户网站群采取的安全机制策略。

一、前言

国土资源部门户网站是部网络安全体系中的防护重点，它面向全社会提供服务，是国土资源政务信息发布的门户，代表着国土资源部门的政府形象，具有开放性强、关注度高、访问量大、政治敏感性强等特点，因此，确保门户网站群安全稳定运行的意义重大。

国土资源部门户网站群的业务种类很多，功能较为复杂，包括Web发布、后台管理、数据库集群、身份认证、互动应用、全文检索、信息采集、数据网关、视频点播、文件下载、统计分析、网站论坛、繁简转换等多种应用，分布在近二十台服务器上。所有应用均面向外网公开提供服务．各应用之间存在模块调用、数据交换、访问重定向、应用代理等多种互动关系。因此，需要根据门户网站群自身特点规划设计一个基于网络的较为完善的安全防护体系。

二、站群安全体系的总体规划

安全体系建设涵盖的范围很广，从传统意义上来讲，要保证信息不被窃取、篡改和破坏，系统不被攻击和入侵：除此之外，良好的的安全架构设计还能够为系统的高可用、高性能、高稳定运行提供保障。在门户网站群的安全体系设计中，技术与管理并重，应采用先进的安全技术并辅以完善的管理机制，从物理、网络、系统、应用、数据等多层次为网站的安全稳定运行保驾护航（参见图1）。

物理安全方面，通过对机房、门禁、电路、硬件设备等方面采取安全措施，从物理上实现安全防护的目的。

网络安全方面，通过划分子网建立独立的安全区域：通过建设CDN的转向解析隐藏真实地址：采用旁路侦听、入侵检测、防火墙过滤、动态监控等方法防范黑客入侵，拒绝访问攻击。

系统安全方面，通过集群架构保证系统的高性能和高可用；对不同应用进行安全区域划分，隐藏重要应用的访问端口；通过系统升级、病毒防护、主机加固、漏洞扫描等方法保障系统主体安全。

应用安全方面，通过身份鉴别防止非法用户访问：通过权限控制体系对资源权限进行细粒度、多层级的访问控制；通过安全审计和日志分析实现对数据和资源访问行为的监控。

数据安全方面，通过数据加密、数据防篡改、数据镜像等方法保障数据的高安全和高可用性。关键词：电子政务；政府网站；安全体系架构；国土资源

安全机制方面，通过人为控制、策略控制等方法修补安全管理漏洞。

三、物理安全

（一）机房

站群置于符合国家相关标准的机房区域，并通过门禁管理系统对出人人员进行授权、监控和记录。

（二）供电

站群所有设备部署在专门的门户网站区，使用独立专用机柜。每个机柜采用两路独立UPS电源供电，荷载量充足，保证供电安全。

（三）设备

站群所有服务器均配备两路及以上冗余电源，硬盘均配置为RAID5及以上级别阵列．支持电源及磁盘的热插拔更换及维修，最大限度提供设备级的安全保障。

四、网络安全

（一）独立子网

门户网站群单独规划了64个连续lP地址的网段，采用成熟稳定的网络链路与交换设备，形成一个专门的门户子网。该子网置于三层防火墙之后，拥有独立的安全区域，通过独立的安全策略保障网络和站群安全。

（二）防火墙策略

防火墙是网站安全的基础和保障，门户网站群采用硬件防火墙。所有相关设备均被置于防火墙之后。除在防火墙上实现lP访问规则策略设定、进行包过滤等日常工作外，在站群安全规划中为每台服务器制定了与IP区域对应的端口开放规则，端口管理规则对应到每个具体lP，关闭所有不对外提供服务的端口，杜绝针对端口发起攻击和植入木马的可能。

（三）CDN转向解析

门户网站群所有数据与服务（包括Web静态发布、视频数据、文件下载、访谈评论等互动应用）均通过CDN缓存系统进行网络分发，在全国十几个骨干节点形成内容镜像，采用缓存和动态链路选择访问机制提升访问性能，消除源站带宽瓶颈，缓解源点压力，同时解决南北网络衔接所带来的用户访问速度问题，提升用户体验。

CDN缓存系统是外部用户访问门户网站时要经过的第一扇安全门，通过使用CDN技术，不仅极大地提升了网站性能，结合DNS转向解析技术还能够隐藏站群源点lP以降低风险，成为防范外部攻击的首道关口。

（四）入侵检测

在外网系统的互联网接入区，采用入侵防护系统，实时对网络攻击和入侵进行过滤和防范。除此之外，在三层防火墙后，采用IDS入侵检测设备通过旁路侦听的方式，专门针对站群网络及关键应用进行异常行为检测，及时发现黑客入侵和拒绝访问攻击等安全问题。

五．系统安全

（一）集群架构

站群发布系统及内容管理系统均采用集群架构，前端使用负载均衡器对来自外部的访问进行动态分发。集群架构扩展性很强，可以随时增添新成员分担访问压力，提升系统性能。同样，在集群单点出现故障的情况下，能够智能监测并调整分发目的地，保证发布系统的安全稳定运行。

（二）内部安全区域控制

为最大限度地提升集群系统的安全性，减少站群应用对外部暴露的端口，在门户子网内部进行了安全区域划分，将站群应用分为接入区、应用区和存储区三个级别的安全区域（参见图2）。

存储区包括站群核心数据库、全文检索数据库、MySql数据库等应用，只对子网应用区的业务提供服务，防火墙关闭所有存储区端口，杜绝一切来自外部的访问链接。

应用区包括站群所有应用主体，内容管理系统、网站互动应用、身份认证应用、全文检索应用、土地市场应用等应用服务器均架设在应用区，仅响应来自接入区应用的访问，并将结果反馈给接入区应用。防火墙禁止一切针对应用服务器端口的外部访问，只对特定管理员lP例外。

接入区为所有Web发布应用．面向来自外部的访问链接，并通过ApacHe代理将请求转发给应用区的具体应用，同时将应用区的处理结果转发给请求方。

通过上述内部安全区域的规划，采用前端反向代理隐藏后端应用，防火墙只开放代理端口，最大限度地降低针对网站应用发起的黑客入侵和外部攻击几率。

（三）系统升级

站群服务器采用的操作系统种类较多，包括Windows Server、UniX、Linux等多种版本。应及时对系统自身的漏洞进行修补和升级，随着技术的发展以及根据用户反馈，产品提供商会不断发布相应的补丁程序并完善系统组件功能的升级包，因此需要实时关注相关信息并即时更新。同时，应为支持自动升级的操作系统设置定时升级。

（四）病毒防护

门户站群选用网络版防杀病毒程序的服务器版客户端，实现对病毒的在线监控和预警：与防病毒中心协作，预先制定升级策略，由防病毒中心按照策略主动推送，完成病毒库的升级。

（五）主机加固

门户网站群采用专门的主机加固产品，通过操作系统底层提供基础支撑，形成安全保障机制，对服务器自身的操作系统和应用系统进行加固，有效地解决来自内部的攻击。通过安全管理中心向所有站群服务器的操作系统内核下发统一的安全策略，形成可信任程序白名单，任何未经认可的程序无法在被加固的主机上运行，通过这种方式实现内核级的访问控制。

（六）安全漏洞扫描

对门户网站群的部分应用，还邀请了国家认定的具有一级安全资质的第三方评估机构或有关专家对网络安全进行评估。通过远程扫描或模拟远程攻击的方法，主动发现应用程序代码漏洞、木马植入、SQL注入、跨站脚本等问题，针对这些问题进行修补，在恶意入侵者发现安全漏洞之前自行预警，并提前加以防范。

六、应用安全

（一）身份认证

门户网站群采用了IDS(Identity Server)统一身份认证系统，实现对站群应用系统的统一管理。IDS身份认证系统是一个遵循“统一身份认证和分布式授权管理”机制的网络信任体系，支持各应用间跨域的单点登录、单点退出和统一的身份管理。

IDS身份认证体系是为了防止非法用户或冒用他人身份的用户进入系统危害系统安全，同时也可以用来确认正常用户的操作痕迹，使其行为具有不可抵赖性。IDS系统保存所有用户信息及其对网站各子系统的相应权限，通过统一的身份认证，确保用户身份不会被冒用，用户正确登录后即可拥有相应权限。各子系统再对资源进行细粒度分布式授权管理，确保整个系统向正确的用户提供有效的服务。

IDS还可以很方便地实现对第三方产品的集成，在集成过程中，不需要修改其他应用系统的已有代码。通过IDS代理模块可以截获集成应用的请求，并与IDS主应用通信。被集成的应用只需完成自己本地的逻辑处理过程，并与IDS提供的协作接口互动，即可完成和IDS的集成，将分散的应用系统变为一个有机的整体。

IDS身份认证系统采用的是静态密码方式。不过，目前最得到认可的用户身份识别的方法是通过CA中心进行基于公钥(PKI)的用户身份认证。为此．IDS身份认证系统留有标准接口，可以与CA认证系统集成，为每位系统用户发放数字证书，通过数字签名验证用户身份，并使用公钥实现数据传输的加密。

（二）权限控制

权限控制是实施系统安全保护最常用的措施之一，门户网站的内容管理平台采用一套完整的用户权限管理体系，针对用户和资源提供灵活、易用的权限控制功能。可以通过对不同用户角色授予不同的权限来控制相应用户对系统的应用范围和操作能力。

内容管理平台的权限控制包括人员组织、数据标识、权限类型、授权模型等内容。网站或应用系统的合法用户、组织与角色被赋予一定的权限，规定他们可以访问的站点、栏目、子栏目、文档等资源。

在内容管理系统中，通过角色的分配，将授权用户分为几个大类：①系统管理员：拥有最高权限，可以建立新用户，并授予权限。②组管理员：由系统管理员授予所属组管理权限，协助管理员管理本组人员和资源。③普通用户：系统管理员根据他们的实际需要为他们分配操作权限。

门户网站中还包括一系列系统级权限．如对服务器、数据库以及文档的访问权限等。这些权限控制手段按层次逐渐细化，可以细化到系统中的每一个应用或数据。

（三）安全审计

除在各应用系统建立安全审计策略外，门户网站群还采用专门的数据库安全审计系统对数据库系统和数据的访问、修改等行为进行监控和记录，并提供审计日志。

（四）日志分析

通过操作系统的日志功能或安装专门的日志统计分析软件对系统进行监测，记录下任何对服务器的操作。日志记录项包括用户的各项操作以及网络中数据接收的正确性、有效性及合法性的检查结果，为日后网络安全分析提供依据。

通过对日志的分析、统计和审计，可以检测所有来自客户机的还是浏览器的恶意攻击，在一定程度上可以预防各种入侵，提高网络安全。

七、数据安全

（一）数据加密

门户网站的内容管理和维护都是通过网络交互进行的，在数据传输和处理的过程中，最重要的是要保证源数据与最终数据的完整一致性，一般是通过算法加密的方法来完成的。

在门户网站中通过在服务器端建立根证书体系，发放证书并建立SSL加密访问信道方式，以及对数据进行加密等来确保发送数据的安全。

（二）数据防篡改

在站群服务器上部署数据防篡改模块，服务器中的数据、文件都能得到控制和保护，根据各应用的具体情况设置可信目录和可信进程。任何不可信进程均无法在主机运行，非经策略允许的数据也无法写入，可有效实现网站数据防篡改和防止非法程序运行等目的。

（三）数据镜像

门户网站群的核心数据库采用Oracle的DataGuard主备集群架构。DataGuard是Oracle的高可用性数据库方案．在主节点和备节点间通过日志实时同步的方式来保证数据同步，可以实现快速切换和灾难性恢复。

在站群规划中．每台数据库服务器都采用双光纤连接SAN交换机，保障链路安全。后端连接SAN存储阵列，并通过DataGuard体系镜像主节点数据．形成双实例双数据的数据安全体系。

八、安全机制

（一）加强人为控制

站群设备所在机房按照国家相关安全标准制定了配套的机房管理制度。机房门禁系统通过中控统一管理，以有效杜绝非授权人员出入．并对出入行为进行监控和记录。

（二）提升安全意识

通过制定完善的安全体制并加强技术人员安全意识培训来提升网站安全。如要求相关人员不使用服务器上网或下载软件，谨慎利用或不用共享软件；建立健壮的服务器口令机制等。

（三）完善备份策略

数据是门户网站的核心，需要制定完善的应用与数据备份策略，以备在遭到攻击或系统出现故障时能迅速恢复系统的正常运行。门户网站群的核心数据库采用定时任务的方式，执行预先编写好的备份脚本，实现双实例双备份。

九、结语

门户网站群的安全体系建设将在现有基础上不断完善，如采用专用设备对系统和应用进行动态监测，包括对服务器的CPU负载．内存使用、IO量、磁盘空间、集群状态监测等：对应用的可用性，性能，会话数、连接数、进程等的监测。在数据安全方面将进一步考虑异地灾备方案，在制度方面形成定期安全评估机制等。

参考文献：

[1]黄旭鹏，安全审计系统中日志数据整合的研究[J].电脑知识与技术，2008(14)．

[2]高美蓉网站安全性管理策略探讨[J]软件导刊,2010(5)