随着我校信息化建设的不断推进，校内网站数量日益增多，技术水平参差不齐，漏洞及信息安全问题日益严峻，为了加强我校网络信息安全工作，贯彻国家及省网络信息安全部门的相关文件要求，同时保障和规范我校对外网站类服务的开发、入网及维护管理工作，特制定本管理规定，本规定适用所有校内院处等部门申请与开通的网站。

一、申请

1.1一般性宣传类网站。

建议申请我校网站群服务，建设对外开放的信息服务，提高网络的安全性。可向现代教育技术中心（以下简称中心）提出开通申请。

1.2定制开发网站。

1）对于确有特殊需要，网站群系统无法满足要求的，可以自行开发系统。

2）必须首先向中心说明开发平台及部署环境、数据库、端口等相关信息，中心确认符合要求后，方可进行开发。

3）凡是未提前告知上述相关信息，中心没有相关部署环境的，中心不予配合部署上线工作。

4）原则上，推荐开发语言：JAVA、C#、PHP。数据库：MySQL，MSSQL Server，Access,应用服务器：Tomcat，Apache，IIS，操作系统：Windows2003，CentOS。

1.3不接收论坛性质的网站申请。

1）单纯论坛性质的网站。

2）变相类似论坛性质的网站。

二、入网

2.1提交书面申请与电子申请（见附件1）。

1）确定网站责任人，维护人员及联系方式等。

2）填报“协同办公--工作流程--网站开通申请”流程，进行电子申请。

3）必须遵守国家有关的管理办法、安全管理协议和用户守则等规定和制度。3）不允许利用网络开展非法经营性活动，禁止将网站用于商业用途。

2.2信息安全检测。

1）强制性安全准则

1.网站需要有专人维护，帐号和密码应妥善保管，帐号禁止使用admin、manager、administrator等常见管理名称，密码禁止使用纯数字（123456）、纯字母（qwerty）等弱口令，密码必须为大小写加数字的组合。

2.网站系统不能存在SQL注入漏洞。

3.禁止安装论坛、留言本等交互程序，如确实有教学管理需要，可申请留言本，但是必须配备管理员。

4.其他后续附加的强制性安全准则。

2）建议性安全准则

1.管理后台应该隐藏，不应将后台管理链接出现在网站界面上，后台路径不应该是admin、manager等，改成不常见的路径。

2.网站系统不能存在XSS漏洞。

3.如后台有附加功能，建议增加限制IP地址进入后台，只允许管理的IP登录后台。

4.上传文件的控件如fckeditor、ewebeditor等，必须升级到最新版，做好安全策略升级。

5.其他后续的一些其他建议性安全准则。

6.对检测通过的网站予以开通服务。

7.对发现安全漏洞及影响服务器运行环境等问题，反馈给相关单位，不予入网，直至解决相关问题。

对违反上述强制性安全原则的网站系统，现代教育技术中心不予上线。

2.3对于网站服务器不在我校的管理。

1）原则上不予开通外部链接跳转服务。

2）对于私自通过我校部门网站设置外部链接，影响我校信息安全的，中心有权关停部门网站。

3）我校不对不受管控的部门服务器负责，也不保证相关服务的可靠性，随时可根据学校相关规定和国家相关要求关停通过我校的跳转服务。

2.4网站整体风格要求。

1）建议对外提供信息服务的网站整体风格要求与我校主站整体风格一致或类似。

2）中心会根据学校要求不定期更换我校主页整体风格，所有部门网站必须能够根据实际情况与主站风格统一。

3）对于风格严重影响学校形象的部门网站采取关停处理。

三、管理与维护

3.1部门网站责任人和维护人员的义务：

1）审核发布的信息，并对发布的信息负责。

2）对敏感信息进行加密保存，脱敏显示等。

3）随时关注网络信息安全，发现问题及时处理和反馈给中心。

4）配合我校主站的整体风格的调整。

5）配合中心及国家有关部门的相关工作。

3.2监督检查。

1）中心不定期通过技术手段对所有部门网站进行检测。

2）发现问题的，中心根据我校《哈尔滨理工大学网站安全管理办法》进行关停处理，并反馈给相关单位。

3）对运行期间发现安全漏洞及影响服务器运行环境等问题，反馈给相关单位，同时关停该网站服务，直至解决相关问题。

3.3信息与数据安全。

1）部门网站发布的信息必须具有审核功能。

2）不得泄漏学校保密信息及个人隐私等相关信息，保障网络信息安全。

3）不得发布违反国家相关规定的信息。

4）部门网站应具有备份功能，保障自己部门的数据安全。

3.4信息的维护与更新。

1）中心有权利对无人维护，长期无人更新，无人关注的废弃网站予以关停下线处理。

2）网站发布的信息必须与主站信息一致。

现代教育技术中心

2016年11月