规章制度
规章制度
《宁波大学网站管理若干规定的实施办法(试行)》
发布时间:2016-01-08 14:55:33
    为进一步推动学校的网络应用和网站建设工作,配合“宁波大学网站建设和维护若干规定”的出台,网络中心就宁波大学网站运行现状及安全管理中存在的问题通知如下:

一、各网站运行状况
    自2004年下半学期以来已经有65个校内各学院(部门)的网站在网络中心服务器上运行,经过一个学期的监控,发现了一些安全和管理上的问题。虽然网络中心采取了一系列的技术措施,还是有个别网站因网站代码缺陷或系统漏洞遭到黑客入侵,其中学生就业网站和师范学院网站被入侵者篡改了网站内容,还有一些网站被黑客上传了各种ASP木马程序。为此,网络中心对每个网站设置了独立的用户名密码及其安全级别,禁止了WIN2000服务器部分对文件操作的组件。同时,中心机房的防火墙也对服务器数据通讯端口进行了限制和过滤。

二、安全隐患之所在
    由于众所周知的原因,WINDOWS操作系统本身在带给用户便利的同时,也埋下了很多安全隐患。使用者使用不当或不规范的操作使这些隐患成为网络安全的潜在危害。网络中心通过对服务器的监控,检测到并阻止了一些黑客的入侵行为,但不能百分百的进行防范。因此网络中心希望各学院(部门)加强安全意识,配合网络中心作一些防黑措施。
    通过对网站访问日志的分析,网络中心认为黑客入侵主要有四种途径:
    1、注入SQL方式取得后台管理程序的管理权限,再利用后台管理程序的文件上传功能上传ASP木马。
    2、通过网站的BBS论坛或其它具文件上传功能的程序上传ASP木马。
    3、网站的FTP密码,或者后台管理密码泄露。
    4、通过下载网站的ACCESS数据库文件来获得网站后台管理系统的密码。

三、防范的对策
    1、加强密码的管理,各学院(部门)指定网管员,定岗定责,同时将联系方法报网络中心和保卫处备案。网站FTP密码和后台管理程序密码应由网管员专人保管。网管员更换时应及时通知网络中心更换相应密码,以防止密码泄露。
    2、规范网站后台管理程序代码,建立健全后台管理程序的安全机制,防范黑客SQL注入式入侵。后台管理程序应当在服务器端对用户输入进行过滤,尤其是要过滤掉SQL注入常用的特殊的字符,如 ’、%、等。
    3、建立BBS论坛及程序上传组件的安全机制,对上传的文件类型和内容进行代码过滤,以防止黑客上传ASP木马程序。BBS管理程序对用户输入的特殊的字符,如 ’、%、等进行相应的过滤。如有可能,BBS论坛内容最好采用HTML源码保存机制。
    4、为防止黑客通过ACCESS数据库取得管理员权限,建议对ACCESS数据库进行加密,使用复杂的文件名,并更改文件的后缀,比如改为:*.asp、*.asa等等。
    5、各学院(部门)网站应由网管员负责上传和备份。若网站设计人员为学生或外单位的,应当由网管员在本地测试完毕后上传。由于网站建设包括长期的更新维护工作,网络中心建议没有能力自行制作网站的学院(部门)请正规网站开发公司协助制作网页和更新维护工作,而不是临时请学生做一下。

四、网站相关管理办法
    1. 网络中心负责虚拟空间的分配(100M),并为各学院(部门)提供上传网页的FTP地址和用户名、密码。
    2. 网络中心负责各网站的域名解析。
    3. 网络中心负责各学院(部门)托管主机的网络畅通,提供24小时的不间断电源。
    4. 网络中心负责网站服务器的主机系统安全,各网站的访问安全,负责各网站的病毒监控,并有权对上传的病毒文件进行删除。
    5. 网站中心负责各网站数据和访问日志数据每日同机备份,并定时进行异机备份。
    6. 各学院(部门)网管员负责本单位网站的日常管理。
    7. 各学院(部门)应加强BBS管理,禁止上传EXE\COM\BAT等可执行文件及ASP、JAVA等WEB运行脚本。
    8. 各学院(部门)应建立网站口令保密机制,每更换网站管理员应及时更改口令。
    9. 各学院(部门)应强化网站管理平台的安全机制,规范和审核网页脚本代码,防止黑客SQL注入式入侵。
    10. 网管员应及时更新各学院(部门)网站的内容。网络中心将每周发布网站访问运行周报,同时指定几个学院和部门的网管员每季度按照内容、美观、更新速度和点击率等方面对各学院(部门)网站进行综合打分。年终总评,并公布排名。详细评分细则另订,并建议学校给做得好的单位和个人予以奖励。
    11. 确保学校服务器安全,减轻不必要的网络负担,网管员不得上传与本部门网站无关的文件如MP3,个人图片等,一经发现将直接删除。
    12. 因各学院(部门)网站本身的安全问题而影响到整个服务器运行的,网络中心有权停止该网站服务,并通知其网管员。
    13. 由于各学院(部门)网站自身原因比如用户程序的漏洞,FTP密码泄露等造成的数据丢失、网站破坏的,网络中心将暂停该网站服务,保护现场后向有关部门报案,同时应各学院(部门)要求可提供最近一次的数据备份。
    14. 为个人网站提供服务,每人提供一个目录,放在校外链接,并方便管理。

五、网络中心2005年拟推出的有关服务:
    1. 加强中心机房和网站服务器的远程管理和监控,进一步提高网络服务的可用性和可靠性。
    2. 所有网站数据的灾备工作:做到每周所有数据备份,网站更新后及时备份。
    3. 开展定期的技术培训,包括思科网络技术学院、网络安全基础知识、网页制作基础等。
    4. 开发网站发布系统,制作一些网站模板,让用户可以快速建立美观大方的网站。
    5. 定期对各部门网站进行安全测试和模拟入侵,发现问题及时通知相关网管人员,安全隐患较严重的暂停其网站服务。