各学院、部门及系统和网站管理员:
为加强各学院、部门所属计算机系统、应用系统及网站的安全性,避免各类计算机系统、应用系统及网站因系统漏洞、密码泄露、管理缺陷等造成安全事故,影响部门正常的网上办公业务开展和部门以及学校声誉,为此,信息管理中心提出以下安全管理要求,望各学院、部门及系统和网站管理员按照此要求,对所属各类计算机系统、应用系统和网站加强安全措施,具体要求如下:
一、 对各类计算机系统及应用系统安全性要求
1、 对各类计算机系统安装最新操作系统补丁,详情点击:http://wsus.xjnu.edu.cn/;
2、关闭各类计算机系统不用的端口,关闭不需要的服务,详情查看:http://www.xjnu.edu.cn/imc/zizhu/index.asp
3、安装防病毒软件及软件防火墙,并在防病毒软件中设置定期每天更新病毒库和定时扫描系统杀毒。常用的防病毒软件及软件防火墙下载位置:http://source.xjnu.edu.cn/;
4、各类计算机系统及应用系统所设置密码必须具备一定的复杂度,并定期更换密码,同时,对密码严格保密,防止泄露;
5、经常对计算机系统及应用系统的数据进行备份,避免因误操作、感染病毒、系统故障、黑客攻击等造成数据损坏或丢失;
6、不允许开辟除校园网以外第二条链路,以防止出现新的攻击途径。如发现,信息管理中心将取消其接入校园网络资格。
二、对所属网站安全性要求
1.网站管理后台的路径不允许在首页或其它页面上设置链接地址,防止后台路径很容易进入。
2.网站管理后台的管理帐号、密码专人管理,帐号不允许采用系统默认的admin、root等账号,更换不宜猜测的帐号名称;密码要经常换,尽量采取大小字母、数字和特殊字符组合,以增强密码的安全强度,使非法用户不容易识破网站后台的管理帐号、密码。
3.各学院、部门所属网站需专人管理,避免管理账号、密码泄漏。管理员必须经常访问所属网站,及时查看网站变化情况 ,出现问题后须及时向主管领导反映并做相应处理,同时通知信息管理中心。
4.各学院、部门对所属网站ASP脚本进行仔细检查,加强网页代码安全,过滤掉非法的参数,对传递的参数做严格的检查以免出现漏洞被非法用户利用,另对数据库中的用户密码进行加密处理以及防注入处理(网页代码中增加防注入代码),在调用数据库时不要采用默认的后缀名,把*.mdb改成*.asp,防止数据库被下载,避免帐号、密码失窃破解。具体详见:http://www.xjnu.edu.cn/imc/zizhu/index.asp
5.信息管理中心分配的FTP帐号、密码需专人管理,防止非法用户获知FTP帐号后,传入一些木马程序而使整个服务器瘫痪或者使访问网站的用户计算机中毒。
以上安全性要求,自本通知发布之日起,请各学院、部门及系统和网站管理员尽快予以遵照执行,信息管理中心将于2007年4月20日起对各学院、部门所属网站进行安全性检查,凡没有通过安全检查的网站,一律禁止对外发布,并承担相关责任。
信息管理中心
2007年4月10日