湖北工业大学网站安全管理制度（试行）

第一章　总　　则

第一条 湖北工业大学网站是湖北工业大学各学院、机关职能部门、直属附属单位等使用湖北工业大学IP地址的网站的总称。湖北工业大学网络安全与信息化建设领导小组办公室有权对这些网站的建设和运行进行有效管理。

第二条 为了更好的塑造湖北工业大学的形象，发挥湖北工业大学各网站的宣传展示作用，提高网站的建设水平、服务水平和管理水平，保证网站安全运行，根据《中华人民共和国政府信息公开条例》、国务院办公厅《关于加强政府网站建设和管理工作的意见》、《互联网信息服务管理办法》、教育部《高等学校信息公开办法》等政策法规，结合实际，制定本办法。

第二章　管理机制和职责

第三条 信息技术中心为学校网站安全的主管部门，负责各类网站系统运行的技术支持、建设与运行维护、运维队伍培训等工作，并对各级各类网站的制度规范、内容设置和信息安全等方面进行监管。

第四条 各网站由各建设单位按照学校统一的要求和规范，负责各网站的版面设计、内容规划、信息发布等事项。

第五条 确立网站运行管理责任机制，各网站的建设单位为责任单位,各网站指定专人担任网站系统管理员。根据“谁使用、谁建设、谁管理、谁负责”的原则，网站的建设单位对本单位及本单位管辖下的网站在内容审核、运行安全等方面具有监督和管理的责任。

第六条 各网站的责任单位和系统管理员，必须制定本单位网站应急响应预案，以最大程度预防和减少突发事件发生，保证能够迅速有效处理突发事件。

第三章 内容管理和审核

第七条 网站内容须遵守相关法律、法规，不得侵犯他人知识产权、署名权、肖像权等合法权益。禁止发布涉密信息。

第八条 网站内容须确保发布内容的质量和安全，注重实用性和服务性，力求客观、准确、及时，贴近校园生活。

第四章 机关职能部门网站建设

第九条 各机关职能部门网站原则上要求采用学校统一的网站群平台系统，实行统一管理。

第十条 发布网站的单位必须确定一名单位负责人（党委书记）和一名系统管理员，全面负责本单位网站的建设、维护和信息安全工作。管理员必须由责任心较强且具有一定计算机网络知识的在职在编教职工担任。

第十一条 信息技术中心提供网站群平台系统进行网站的制作和发布服务以及服务器的技术支持，并将定期组织对各网站系统管理员进行网站群制作平台相关操作的培训，使各管理员具备能够熟练运用工具进行网页制作和管理本单位网站的能力。

第十二条 对于在网站群平台上新开设的网站或需要对原有网站进行重新制作或者迁移的单位，首先需要向党委宣传部和信息技术中心提出申请并获批准后才可建设（详见湖北工业大学网站建设申请流程）。对于新建和重新制作的网站，系统管理员可以在网络部技术人员的帮助下完成网站的初步设计和构建。建站单位在网站制作上如有困难可向信息技术中心提出申请，由信息技术中心负责帮助其完成网站的制作。

第十三条 各网站原则上不允许开设具有信息交互功能的栏目。

第五章 学院和其他部门网站建设

第十四条 各学院及各学院下属的实验室等非机关职能部门的网站原则上不纳入学校统一管理。

第十五条 发布网站的学院和实验室必须确定一名单位负责人和一名系统管理员，全面负责本网站的建设、维护和信息安全工作。管理员必须由责任心较强且具有一定计算机网络知识的在职在编教职工担任。

第十六条 对于新开设的网站，首先需要向党委宣传部和信息技术中心提出申请被批准后才可进行建设（详见湖北工业大学网站建设申请流程）。

第六章 系统管理与维护

第十七条 学校网站群系统管理与维护工作，由信息技术中心承担，确保稳定运行，维护服务及时高效。

第十八条 在学校网站群系统平台上建设网站的校属单位和在自有服务器上建设网站的各学院，负责各自子站的系统维护工作。网站页面维护、栏目调整、专题制作等工作原则上由各主管单位自行承担。

第七章 安全与保密

第十九条 各单位网站必须建立备份制度，系统管理员必须定期对其网站数据进行本地备份。

第二十条 学校建立健全网站群安全管理制度。各网站需按照要求采取有效措施加强网站安全管理，随时检查网页，发现受到攻击等安全问题必须在第一时间进行处理并向主管领导及上级部门报告。

第二十一条 加强对网站维护人员和系统账户管理。规范上岗、培训、离岗流程，严格管理好账户密码。凡因密码泄露造成损失和不良后果的，要追究相关人员责任。

第二十二条 学校将定期对各单位网站抽查，对存在安全隐患的网站，将停止其服务，并限期整改。

第八章　附　　则

第二十三条 本办法由网络安全与信息化领导小组办公室负责解释。

-------------------------------

补充：

网站安全责任部门和安全责任人落实情况

主要领导对网站网络安全工作的重视情况

单位网站网络安全责任制落实情况

关键岗位人员配备情况

网站定级备案执行情况

网站等级测评情况

安全事件报告处置

开展网站安全监测和预警情况

网站内容管理

网络安全检查情况

网站交互式栏目信息巡查情况

网页防篡改措施

漏洞扫描措施及修复升级情况

网站恶意代码防护

网站内容安全防护措施

管理终端安全防护措施

网站后台管理系统防护措施

网站前、后台系统隔离情况

网站应用远程管理情况

网站内容远程维护情况

网站服务器操作系统安全措施

网站服务器数据库安全措施

网站服务器中间件安全措施

网站安全整治

专项工作情况

================================

网络安全责任追究制度

====================================

网络安全管理制度

------------

网络边界安全防护设备情况

是否部署防火墙？

是否对外屏蔽了不必要的服务/端口？

是否部署入侵检测（防护）设备？

是否部署防病毒网关？

是否部署抗拒绝服务攻击设备？

是否部署Web应用防火墙？

是否部署设备？

------------

网页防篡改措施

是否定期对网站文件进行检测？

是否采取网页防篡改措施？

------------

漏洞扫描措施及修复升级情况

是否进行过系统层漏洞扫描，并有详细记录？

是否进行过应用层漏洞扫描，并有详细记录？

发现的漏洞是否及时修复？

------------

网站恶意代码防护

是否有网页挂马检测系统？

---------------

网站内容安全防护措施

内容编辑、审核及发布权限是否分离？

关键信息发布是否多级审核？

网站发布内容是否过滤？

---------------

管理终端安全防护措施

是否有控制措施（如地址绑定，网络接入控制等）？

---------------

网站后台管理系统防护措施

是否对网站后台管理系统的接口进行隐藏？

网站后台管理系统登录是否采取验证机制？

是否对网站后台管理系统的登录失败尝试次数进行限制？

是否对网站后台管理系统的用户口令复杂度进行强度限制？

---------------

主要设备可用性

网站服务器和数据库服务器是否双机热备？

网站服务器和数据库服务器是否采用冷备方式？

--------------

网站前、后台系统隔离情况

是否采用逻辑隔离？

----------------

网站应用远程管理情况

是否不允许远程管理网站的应用？

应用远程管理时是否采用加密通道？

----------------

网站内容远程维护情况

是否不允许远程维护网站内容？

网站内容远程维护时是否采用加密通道？

----------------

网站服务器操作系统安全措施

网站服务器操作系统安全补丁是否及时更新？

网站服务器操作系统是否存在弱口令？

----------------

网站服务器数据库安全措施

网站服务器数据库是否存在弱口令？

网站服务器数据库是否共用同一管理口令？

网站服务器中间件管理界面是否允许外部访问？

网站服务器中间件是否存在弱口令？

----------------

网站服务器中间件安全措施

网站服务器中间件管理界面是否允许外部访问？

网站服务器中间件是否存在弱口令？

-----------------

网站安全整治专项工作情况

是否完成网站通信管理部门备案？

是否完成网站等级保护备案？

是否完成网站统一标识？

-----------------

============================

网站内容发布管理制度

===========================

网站安全事件（事故）报告制度

是否制定网站安全事件（事故）报告制度？

发生网站安全事件（事故）是否向属地公安机关报告？

是否有完整网站安全事件处置记录？

是否按照要求保留网站完整日志？

本单位是否开展日常网站安全监测？

是否有网站安全监测记录？

是否有网站安全预警和处理记录？

========================

网站内容发布管理制度

是否制定网站内容发布管理制度？

是否制定网站内容发布流程？

是否有网站安全自查工作总结报告？

单位网站是否有交互式栏目？

是否有专人负责网站交互式栏目信息巡查？

============================

机房安全管理制度

本单位机房进出人员管理是否按照制度执行，并有详细记录？

本单位机房日常监控是否制度执行并有监控记录？