文档介绍:******网站安全管理制度
一、总则
为了更好的确保******内部网站的安全稳定运行,合理、可靠、安全、高效地组织和管理内部网站,提高内部网站的服务质量,提高维护队伍的整体素质和水平,特制定本管理制度,作为维护和管理内部网站的依据。
二、范围
本制度的适用范围包括******内部网站系统的物理资产(包括:网络设备,主机设备,安全设备等)、软件资产(操作系统,数据库,应用程序等)、数据资产(业务数据、主机数据,应用程序数据等)。
三、系统安全维护管理制度
系统维护人员应至少每天1次,对网站主机设备进行检查,确保各设备都能正常工作。
用户权限的设置应遵循最小授权和权限分割的原则,只给系统用户、数据库系统用户或其它应用系统用户授予业务所需的最小权限,应禁止为所管理主机系统无关的人员提供主机系统用户账号,并且关闭一切不需要的系统账号。
系统维护人员应制订主机系统的帐户口令管理策略,对口令的选取、组成、长度、保存、修改周期做出规定。禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令,也不使用单个单词或命令作为口令,组成口令的字符应包含大小写英文字母、数字、标点、控制字符等,口令长度要求在8位以上。
不应将口令存放在个人计算机文件中,或写到容易被其它人获取的地方。对于网站主机要求至少每两个月修改一次口令,若掌握口令的管理人员调离本职工作时,必须立即更改所有相关口令;
严格禁止非本维护管理人员直接进入主机设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入主机设备进行操作时,必须由系统管理员登录,并对操作全过程进行记录备案。禁止将系统用户账号及口令直接交给外部人员。
系统软件安装之后,系统维护人员应立即进行备份;在后续使用过程中,系统软件的变更以及配置的修改之前和之后,也应立即进行备份工作。
严禁随意安装、卸载系统组件和驱动程序,如确实需要,应及时评测可能由此带来的影响,并需要获得分管领导的批准。禁止在服务器系统上安