运营部网站管理制度

1、沃税网网站管理制度第一章 总 则第一条 为了加强沃税网（以下简称网站）的管理，规范网站信 息发布行为，根据国务院令第 292 号互联网信息服务管理办法和 信息产业部令第 33 号非经营性互联网信息服务备案管理办法和 其他法律、法规的规定，制定本制度。第二条 网站以长久稳定持续的为纳税人提供沃税通业务服务、 信息发布、客户交流为主要运营目的。第二章 网站的管理机构和职责第三条 网站由运营部统一管理， 供沃税通用户、 河北联通集团 公司、地方税务局 使用。网站管理中具体职能如下：（一）负责网站运营设备管理，负责网站总体结构设计、根据公 司发展规划设定业务流程和开发实现；（二）负责网站日常维护工作（

2、包括服务器维护、数据库维护、 程序维护），保证网站正常运行；（三）负责网站上全部网页统筹规划；（四）在开展网站管理相关工作时， 对各管理人员和用户行使管 理权；（五）每季度提供网站整体运行报告，从网站架构、功能设置、 用户关注、用户需求等方面对公司主管领导进行汇报。（六）运营部设置技术服务部，每天监控网站的运行状态。对突 发事件，要和时进行处理，并向运营总监汇报，避免造成损失。（七）技术服务部负责网站防病毒、 防黑客攻击以和为网站的正 常运行日常维护提供技术与保障。 若发现网站被病毒、 黑客攻击或发 现网站运行不正常， 应和时向运营总监报告， 并协助技术服务工程师 进行问题处理。（八）运营部设

3、置网站运营专员，负责网站的信息收集汇总、 日 常管理与维护，负责网站版面设计需求编写、调整、改换栏目设置、 内容更新、新闻发布以和其他信息材料的管理、录入与发布。第三章 网站版面与栏目更新第四条 网站主页面原则上每年进行一次外观改版， 改版内容包 括页面的动画、颜色、栏目组合等；原则上每两年进行一次后台程序 调整，主要针对运行期出现的问题进行增加或修改。第五条 网站栏目根据用户需求适时修改， 页面应适应网站特色 和用户特点。第六条 标题新闻、 浮动广告等小栏目根据需要更新， 应具备动 感和多样形式。第七条 页面改版由网站运营专员预先设计出方案， 报运营总监 审批后执行。第八条 网站运营专员如发

4、现本网站某板块设计不再满足工作 需求，可向运营总监提出具体修改建议，并审批通过后执行。第九条 公司各管理人员有责任和权利和时报送相关信息， 对网 站的建设、发展提出意见和建议第四章 信息的搜集与发布第十条 网站内容信息的搜索和整理， 主要由网站运营专员提供 最新相关信息。（一）重大事务、活动；（二）网站发展、大事记；（三）新闻、媒介、客户、市场动态；第十一条 企业内外部业务部门若需更新或发布的图文资料， 预 先与网站运营专员进行技术实现可行性沟通，经报请运营总监批准 后，由网站运营专员在网站后台管理后台对外发布， 并做好信息发布 记录（包括信息内容、发布时间、操作者签字等信息） 。第十二条 网

5、站运营专员对准备发布的信息， 进行统一分类、 整 理、汇总后发布：（一）一般信息，如市场动态等相关信息由各网站运营专员整理、 汇总，报网站运营总监审批后， 48 小时内发布；（二）重要信息，如重要事项、重要新闻等重要信息由网站运营 专员和时整理，报运营总监审批后， 24 小时内发布；（三）网站动态信息栏目内容的更新，由网站运营专员整理、汇 总后，报运营总监审批通过后 12 小时内发布；（四）网站静态信息栏目内容的更新，由相关人员组织材料，提 供电子文档，报运营总监审批后，适时发布。第十三条 网站运营专员责网站涉密内容的审核和保密工作 第五章 网站安全管理第十四条 网站系统的所有网络设备（包括交

6、换机、路由器、防 火墙、 IDS 以和其他网络设备） 、操作软件目前应由技术服务部负责 管理，按要求定期检查设备的网络和物理环境、 检查操作软件系统更 新维护，并按照机房物理安全要求进行维护。第十五条 技术服务部应配合行政部第一时间对所有网络设备进 行资产登记，登记记录上应该标明硬件型号，厂家，操作系统版本， 已安装的补丁程序号，安装和升级的时间等内容。第十六条 技术服务部应至少每天 1 次，对所有网络设备进行检 查，确保各设备都能正常工作。第十七条 技术服务部应对各个网站设备上拥有用户账号的人 员、权限以和账号的认证和管理方式做出明确的使用培训。第十八条 技术服务部对各网站设备的密码口令的选

7、取、 组成、长 度、保存、修改周期以和存储应遵循如下原则： 禁止使用名字、 姓氏、 电话号码、 生日等容易猜测的字符作为口令， 也不应使用单个单词或 命令作为口令， 组成口令的字符应包含大小写英文字母、 数字、标点、 控制字符等，口令长度要求在 8 位以上；不应将口令存放在个人计算 机文件中，或写到容易被其它人获取的地方；对于重要的网络设备， 要求至少每个月修改一次口令， 或者使用一次性口令设备； 若掌握口 令的人员调离本职工作时， 行政部安排专员陪同技术服务工程师立即 更改所有相关口令；用户账号口令应以加密方式存储。第十九条 严格禁止非运营部相关人员直接进入网络设备进行操 作，若在特殊情况下

8、（如系统维修、升级等）需要外部人员（主要是 指厂家技术工程师、非本系统技术工程师、安全管理员等）进入网络 设备进行操作时， 必须由技术服务工程师登录， 并对操作全过程进行 记录备案。 禁止将系统用户账号和口令直接交给外部人员， 在紧急情 况下需要为外部人员开放临时账号时， 必须向运营总监申请， 在申请 中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方 法、负责开放和注销临时账号的人员等内容， 并严格根据安全管理机 构的批复进行临时账号的开放、注销、监控，并记录备案。第二十条 技术服务部应尽可能减少网络设备的管理方式，例如Tel net、web SNM等；如果的确需要进行远程管理，应

9、使用 SSH代 替Telnet，使用HTTPS弋替HTTP并且限定远程登录的超时时间， 远程管理的用户数量，远程管理的终端 IP 地址，同时按照“网络安 全配置管理策略”中的规定进行严格的身份认证和访问权限的授予， 并在配置完后，立刻关闭此类远程连接；进行远程管理时，应设置控 制口和远程登录口的超时时间， 让控制口和远程登录口在空闲一定时 间后自动断开。第二十一条 技术服务部应和时监视、 收集网络以和安全设备生产厂 商公布的软件以和补丁更新， 要求下载补丁程序的站点必须是相应的 官方站点， 并对更新软件或补丁进行评测， 在获得信息管理处领导的 批准下，对生产环境实施软件更新或者补丁安装。第二十

10、二条 软件更新或者补丁安装应尽量安排在非业务繁忙时段 进行。操作必须由两人以上完成， 由一人监督， 另一人进行实际操作， 并在升级（或修补）前后做好数据和软件的备份工作，同时将整个过 程记录备案。第二十三条 软件更新或者补丁安装后技术服务工程师应重新对系 统进行安全设置，并进行系统的安全检查。第二十四条 技术服务部应和时报告任何已知的或可疑的信息安全 问题、违规行为或紧急安全事件，并在采取适当措施的同时，应向运 营总监报告细节；并不得试图干扰、防止、阻碍或劝阻其他员工报告 此类事件；同时禁止以任何形式报复报告或调查此类事件的个人 第二十五条 技术服务部应定期提交安全事件和相关问题的管理报 告，

11、以备领导检查。第二十五条 系统重新启动前技术服务工程师进行复核备份，以利于 对网络设备审查分析。第二十六条 技术服务部应保证各设备的系统日志处于运行状态，并 每两周对日志做一次全面的分析，对登录的用户、登录时间、所做的 配置和操作做检查， 在发现有异常的现象时应和时向运营总监、 技术 总监报告。第二十七条 技术服务部应通过各种手段监控网络的流量状况，当突 发异常流量时，应立即上报运营总监，并同时采取适当控制措施，并 记录备案。第二十八条 技术服务部每年 1 次对整个网络进行风险评估，并至少 每年 1 次对整个网络进行灾难影响分析，并进行灾难恢复演习。第二十九条 技术服务部严禁随意安装、卸载系统

12、组件和驱动程序， 如确实需要， 应和时评测可能由此带来的影响， 并需要获得运营总监 的批准。第三十条 技术服务部禁止在服务器系统上禁止安装与该服务器所 提供服务和应用无关的其它软件。第三十一条 严禁技术服务部在重要的主机系统上浏览外部网站网 页、接收电子邮件、 编辑文档以和进行与主机系统维护无关的其它操 作。如果需要安装补丁程序， 补丁程序必须通过日常维护管理用的工 作站或PC机进行下载，然后再移到相应的主机系统安装。第三十二条 技术服务部禁止主机系统上开放具有“写”权限的共享 目录，如果确实必要，可临时开放，但要设置强共享口令，并在使用 完之后立刻取消共享。第三十三条 技术服务部和时监视、收

13、集主机设备操作系统生产厂商 公布的软件以和补丁更新， 要求下载补丁程序的站点必须是相应的官 方站点，并对更新软件或补丁进行评测，在获得主管领导的批准下， 再实施软件更新或者补丁安装。 软件更新或者补丁安装后应重新对系 统进行安全设置，并进行系统的安全检查。第三十四条 技术服务部主机设备日志需要对于日志功能的启用，日 志记录的内容，日志的管理形式，日志的审查分析进行详细编写。对 于重要主机设备， 应建立集中的日志管理服务器， 实现对重要主机设 备日志的统一管理， 以利于对主机设备日志的审查分析。 为保证各主 机设备的系统日志处于运行状态，每两周对日志做一次全面的分析，对登录的用户、登录时间、 所

14、做的配置和操作做检查，在发现有异常 的现象时应和时向运营总监报告。第三十五条 技术服务部定期进行安全漏洞扫描和病毒查杀工作，平 均频率应不低于每 2 周一次， 重大安全漏洞发布后， 应在 3 个工作日 内进行；并且为了防止网络安全扫描以和病毒查杀对网络性能造成影 响，根据实际情况对扫描时间向运营总监通报， 应一般安排在非业务 繁忙时段； 当发现主机设备上存在病毒、 异常开放的服务或者开放的 服务存在安全漏洞时应和时上报运营总监，并采取相应措施。第三十六条 技术服务部应通过各种手段监控主机系统的CPU 利用率，进程，内存和启动脚本等的使用状况，在发现异常系统进程或者 系统进程数量异常变化时，或者

15、CPU利用率，内存占用量等突然异常 时，应立即上报运营总监，并同时采取适当控制措施，并记录备案。 第三十七条 当主机系统出现以下现象之一时，技术服务部必须进行 安全问题的报告和诊断：系统中出现异常系统进程或者系统进程数量有异常变化。 系统突然不明原因的性能下降。系统不明原因的重新启动。系统崩溃，不能正常启动。系统中出现异常的系统账号系统账号口令突然失控。系统账号权限发生不明变化。系统出现来源不明的文件 系统中文件出现不明原因的改动。 系统时钟出现不明原因的改变。系统日志中出现非正常时间系统登录，或有不明 IP 地址的系 统登录。发现系统不明原因的在扫描网络上其它主机。第三十八条 技术服务部对主机系统进行维护管理应编写运行维护的 日报、周报、月报和年报。第三十九条 技术服务部在进行主机的备份时分别进行两种备份方 式，一种是数据的备份，另一种是系统配置的备份。需要作数据备份 的服务器为：数据库主机等。 所有主机均应有较详细的系统配置的备 份，以便系统的恢