武汉城市职业学院网络信息系统安全操作规范

发布者:金燄发布时间:2017-04-03浏览次数:78


NO.

事项

操作规范

1

账号密码管理

1.中心机房主机管理员账号密码由网络管理中心负责保管。

2.各部门应用系统账号密码由其后台管理员负责保管。

3.部门系统交网络管理中心托管的,账号密码由网络管理中心负责。

4.部门仅将物理主机寄放网络中心的,由各部门自行管理主机系统、数据库和应用系统账号密码。

5.要为主机操作系统和数据库系统不同用户分配不同用户名,确保用户名具有唯一性,禁止多人共用一套账号密码。

6.各系统责任人要设置高复杂度的密码并定期更换以防泄露。

2

木马病毒防控与查杀

1.各服务器主机(含虚拟主机)要全部安装杀毒软件并定期升级。

2.严禁将未经查杀的存储介质连接服务器主机。

3.严禁将来历不明的软件安装到服务器主机(含虚拟主机)。

4.网络管理中心要定期执行漏扫,漏扫系统检测出风险后,应立即停止域名解析,降低数据泄露风险,并通知相应部门联系系统厂商,及时修复漏洞页面。

5.相关事项处理要留存整改报告。

3

补丁升级

1.凡负责管理主机(含虚拟主机)账号密码的责任人,均需要注意升级补丁,关注漏洞信息。

2.升级补丁前必须做好系统及数据备份工作。

3.升级补丁成功后必须重启系统使补丁生效。

4.升级操作存在风险时,应要求有专业技术人员辅助参与。

4

数据备份加密

1.网络管理中心负责机房核心主机整体备份(内含全校所有主要系统的宿主虚拟机、所有相关官网、应用系统等)。

2.网络管理中心负责每周执行5次差异化备份、2次整体备份。

3.备份数据异地分开存储并定期检查。

4.各应用系统管理员应使用系统自带功能定期备份。

5.拥有数据库系统账号密码的,可对系统数据库进行备份。

6.客户端界面无备功能的,由网络管理中心协助提供备份通道。

7.数据备份存储介质不得用于存储其他不相关数据,以免备份受损。

8.对敏感数据、核心数据、关键数据等,网络管理中心及相关责任部门实施加密存储(加密工具由网络管理中心协助提供)。

5

应急处理

1.门户被篡改:此属严重恶性事件,应第一时间向网络管理中心报告,同时在官网管理后台能够正常运行的情况下,立即删除被篡改页面,并修改后台密码。在官网后台异常时,应立即通知网络管理中心中心停止域名解析,停止WEB服务(IISAPACHE),由管理员进入系统主机,完成相应备份(以使后期追溯问题原因),删除或恢复被被篡改页面,并立即修改主机系统密码。完成上述相关操作后,根据问题性质及影响程度,根据校领导批示向有关上级报告。

2.掉电事件处置:市电供电中断后,在UPS剩余电量即将低至20%时,网络中心应立即联系后勤部门启动发电机供电。

3.网络中心主机宕机时,由网络中心管理员反馈问题现象,提出维护意见,完成机房重启操作。

4.网络中心主机内置虚拟主机宕机时,如果系统由网络管理中心代管,由网络中心负责重启操作。

5.部门所负责的应用系统宕机时,拥有主机系统管理员账号的,可自行登录主机重启主机系统,无主机系统账号密码的,联系网络管理中心管理负责重启。

6.部门所负责管理的应用系统数据库损坏时,应先完成1次备份操作(以便后期诊断),然后利用应用系统功能菜单完成数据恢复或利用数据库系统功能恢复数据库最近备份。

7.网络中心主机系统损坏时,应先完成1次备份操作(以便后期诊断),然后利用双备份之一恢复主机系统,恢复异常时,再选用第二套备份恢复系统。

8.网络中心主机恢复操作时,需要有管理中心两名技术人员在场。

所有上述应急处理操作均需详细记录台帐,以便后期核查。

6

新增系统

1.各部门根据业务需求新增系统时,需向信息办提供系统需求。

2.所有新增系统需求方案中均需要提供相应的安全方案。

7

IP配置

1.各部门新增主机或应用系统时,须向网络管理中心填报配置参数。

2.网络管理中心要合理分配网络、硬件资源并登记在案。

8

主机托管或寄放

1.各部门新增服务器交信息中心托管的,需要向网络中心填报相关登记表格。

2.主机有多电源模块的,网络管理中心要全部接插。

3.市电停供时网络管理中心根据UPS电量情况可临时关闭托管服务器。

4.关闭托管主机时,网络管理中心需提前告知对应单位,停止业务流程,执行数据备份。

5.凡寄放网络中心的服务器,同样要填相关登记表格,寄放主机的管理由对应单位管理员全权负责。

9

门禁管理

1.进入中心机房的系统管理员须通过刷卡或指纹识别进入。

2.管理身份卡严禁转借他人使用。

3.外来人员需要进入中心机房时,须填写台帐记录,网络管理中心要有两人随同进入。

10

台账记录

1.中心机房进入记录、新增安装记录、杀毒补丁记录、系统宕机记录、数据备份及恢复记录均需要记录在案。

2.台帐记录本由各部门相关系统责任人填写,年终由信息办收集汇总统计。