一、信息系统服务器安全管理要点
信息系统管理员承担着单位信息系统(网站)及后台服务器管理的责任,在管理过程中应注意以下要点:
1、系统建设过程符合学校规定
信息系统(网站)建设过程应符合《华南理工大学软件和信息服务项目建设管理办法》(华南工网信【2016】3号)要求,并实施信息系统安全等级保护工作。建设仅用于新闻、通知发布的网站,建议采用学校网站群平台。学校网站群平台由网络中心建设并则后台维护的大型站点群。在网站群平台完成网站建站后,二级单位管理员只需负责新闻、通知发布,无需进行后台管理及安全维护工作。
2、账号管理
信息系统账号分两类:用户账号、管理账号。信息系统用户认证建议集成学校统一认证。信息系统账号应采用“SSL安全登录”、以加密形式存储密码。管理账号应设置高强度密码,避免使用电话号码、生日、姓名、单位名称等作为密码,定期修改密码,管理人员调岗离职应及时回收账号。在开发商交付系统时,应做好管理账号交接、并修改密码。
3、避免泄露敏感信息
以“涉密不上网,上网不涉密”原则,不得在任何互联网服务器存储、传输涉密信息。根据《网络安全法》规定,作为信息系统管理单位有责任和义务保护用户个人信息,个人信息包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。在信息系统开发和运维过程中,应重视平台安全、代码安全和逻辑安全,及时修复漏洞及后门,避免泄露用户个人信息。在网站发布公开新闻、通知时,应重点检查是否泄露涉密信息、单位内部信息、学生教职工个人信息等。
4、信息系统(网站)校内备案
根据教育部相关文件关于治理校园信息系统(网站)小散乱现象的要求,学校加强校内信息系统(网站)管理,校内各单位及在校师生建立、运营、维护的信息系统(网站)必须进行信息系统(网站)校内备案。校内各级单位及在校师生建立的信息系统(网站),需明确其直接负责人及其他相关信息,在学校信息系统(网站)备案登记系统上进行备案登记。需登记的主机包括在数据中心托管、在自建机房放置或自行搭建、租用的物理主机、虚拟主机、云主机。校内备案流程是:1)信息系统(网站)负责人登录网上业务办理平台进行“信息系统(网站)备案登记”(登记网址:xxxxxx);2)学校二级单位安全负责人审批;3)网络中心受理登记。
5、信息系统(网站)ICP备案
独立域名是指信息系统网站管理单位单独向域名注册商申请的域名。我校域名主域名为scut.edu.cn,ICP备案号为粤ICP备05084312号-1,前缀为scut.edu.cn的网站不需要再进行ICP备案。根据《非经营性互联网信息服务备案管理办法》(信息产业部令第33号)要求,我校校内信息系统(网站)凡使用独立域名的网站必须向教育网运营商赛尔网络有限公司提交备案申请。
6、系统服务端口的开放
服务器部署网站系统后,需要在服务器上开放相应的服务端口。应以最小原则开放服务器端口,仅向公众开放用户访问的服务端口。原则上不向校外开放管理端口、运维端口。代维公司在校外需访问运维端口,可由系统管理单位向网络中心申请运维VPN账号。
7、避免泄露敏感信息
由于系统开发不严谨或平台、插件采用旧版本、未及时打补丁等原因,信息系统出现安全漏洞。我校信息系统漏洞报告主要来源于网络中心不定期的安全漏洞扫描、教育行业漏洞报告平台以及安全管理部门下发的安全通报等。在开发过程中,应要求开发商采用新版本、稳定、可靠的系统开发平台;在项目验收时,做好系统安全漏洞检查;在运维过程中,做好系统升级、打补丁等工作,收到漏洞报告及时修复。网络中心为校内信息系统提供免费的WAB应用漏洞扫描、服务器远程安全评估服务,在项目验收及日常运维过程中,系统管理员可向网络中心提出扫描申请。
8、学校关于网络安全的通知
网络中心通过学校公务通知、网络中心主页发布上级管理部门下发的网络安全通知要求、最新网络安全相关法律法规、近期网络安全预警等信息。
9、参加网络中心组织的网络安全培训
网络中心每年至少组织一次线下的网络安全培训,线上安全培训课程。
三、相关法律
中华人民共和国网络安全法
中华人民共和国计算机信息系统安全保护条例
互联网新闻信息服务新技术新应用安全评估管理规定
互联网新闻信息服务单位内容管理从业人员管理办法
互联网跟帖评论服务管理规定
互联网论坛社区服务管理规定
互联网用户公众账号信息服务管理规定
互联网群组信息服务管理规定
互联网信息服务管理办法
版权所有与网站维护:信息化办公室 信息网络工程研究中心
地址:励吾科技大楼一楼 邮编:510641
服务电话:87110228(24小时服务、投诉)87110596(办公)
传真:87110019 服务邮箱:service@scut.edu.cn 公共邮箱:Z2wl@scut.edu.cn
网上业务办理平台登录