平台网站运营服务规范

平台网站运营服务规范账户保密与安全管理账号密码开通及使用平台新用户开通账号，需向其部门分管领导提出账号开通书面申请，经直接上级>网络部门经理核准后，由账号管理专员为其开通平台登录账号。账号密码的变更在账号管理专员创建或初始化用户帐号和密码后，用户需要立即改变初始密码。所有账号的登录密码必须定期进行变更（所有密码的变更周期应小于3个月，并大于5天），以最大程度确保密码的安全性。账户丢失或遗忘密码，必须向其所在部门分管领导提出书面密码初始化申请，经核准后，由账号管理专员具体实施密码的初始化程序，然后通知有关用户，并登记备案。账号管理专员在发现任何企图非法使用某用户帐号的情况时，应立即强制该用户更改密码，并记录备案。用户帐号的禁止在超过规定登录次数限制时，用户帐号会被系统自动锁住5。用户帐号在规定时间（30天）内没有使用，用户帐号会被账号管理专员手工禁止。用户没有按密码定期变更的规定定期修改密码，超过系统设定的时限（5天）后，用户帐号会被系统自动禁止。用户在外长期休假（事、病假）、出差，在此期间，其相应的用户帐号应被账号管理专员手工禁止。当用户发现帐号由于其他原因被禁止时，应及时报告部门分管领导和账号管理专员，账号管理专员在查明原因后再为其开通，并记录在案。用户帐号的删除用户如果因变动而不再需要访问平台信息资源时，账号管理专员在收到该用户所在部门分管领导的书面通知后，删除该用户相应的用户帐号。用户离职后，账号管理专员在接到离职手续后，删除该用户所有的用户帐号。为了项目或其他特殊原因而临时开放的用户帐号，如不再需要，经由项目负责人或分管领导同意后，由账号管理专员立即删除。用户帐号权限的变更如果用户因职责变动或其他工作原因需要修改平台系统访问权限，其部门分管领导需要书面通知账号管理专员，由账号管理专员修改权限。账号管理专员需要依照“最小需要知道”原则对用户权限分配情况进行定期检查，如有必要，将修改用户权限，并通知该用户和其部门分管领导。账号使用其他注意事项各级用户对自己所能查看到的信息负有保密的责任和义务，不得向任何无关人员泄露信息内容。用户要定期更改密码，防止被盗。用户要妥善保管个人的帐号及密码，合理利用拥有的使用权限；每个用户要对本人帐号中的所有活动和事件负责。若其他人员因工作需要使用到个人账户的密码，须经账户负责人同意后才可将密码提供他人使用。在相关人员使用密码后的一个工作日内，须及时对密码进行修改。离职用户必须通知平台系统管理人员，由平台系统管理人员注销其帐号信息，并签字后，方可办理离职手续。网络故障处理流程网络故障包括网络中断、服务器异常、平台页面打开速度异常缓慢、平台展示数据错误、页面错误等需要紧急处理的异常情况。故障的提出用户发现网络异常情况后，应立即通过电话、邮件等方式通知系统管理人员。服务的响应系统管理人员应首先判断各自局域网及所租用城域网线路是否正常，公司机关局域网由技术中心系统管理部门负责检查。若网络连接中断，应尽快通知线路服务提供商；若局域网设备、线路、配置等出现故障或由于病毒引起网络中断，应立即修复；网络恢复正常后，应通过电话、邮件等方式通知使用人员；技术中心管理人员应立即安排网络管理人员进行问题排查，对于重大问题，部门负责人应及时向分管领导汇报；系统管理人员应及时判断故障原因，无法解决时，应尽快联系设备或服务提供商，对于超出服务期的，部门负责人应协助联系人员处理；对于大面积的病毒发作，网络管理人员应立即排查，迅速切断病毒的传播途径，对传播病毒的机器隔离清除，必要时对其系统重新安装；服务的反馈故障排除后，系统管理部门应通知用户，并填写《故障处理情况登记表》。输入全角、半角的英文、数字、特殊字符等，是否报错；是否有必填项的控制；不输入必填项，是否有友好提示信息；输入超长字段，页面是否被撑开；分别输入大于、等于、小于数据表规定字段长度的数据，是否报错；输入非数据表中规定的数据类型的字符，是否有友好提示信息；在文本框中输入回车键，显示时是否回车换行；非法的输入或操作应有足够的提示说明。分页测试当没有数据时，首页、上一页、下一页、尾页标签全部置灰；在首页时，“首页”“上一页”标签置灰；在尾页时，“下一页”“尾页”标签置灰；在中间页时，四个标签均可点击，且跳转正确；翻页后，列表中的数据是否任然按照指定的顺序进行了排序；各个分页标签是否在同一水平线上；各个页面的分页标签样式是否一致；分页的总页数及当前页数显示是否正确；是否能正确跳转到指定的页数；在分页处输入非数字的字符（英文、特殊字符等），输入0或超出总页数的数字，是否有友好提示信息；是否支持回车键的监听。交互性测试前台的数据操作是否对后台产生相应正确的影响。可实现前后台数据的交互；数据传递是否正确；前后台大数据量信息传递数据是否丢失（如500个字符）；多用户交流时用户信息控制是否严谨；用户的权限，是否随着授权而变化；对于修改、删除等可能造成数据无法恢复的操作必须提供确认信息，给用户放弃选择的机会。安全性测试在测试路径上出现：示例16:8080/dzgh/xwzx/khzl/2008/11/13/58127.html把/2008/11/13/58127.html去掉，看是否能出现目录下文件；访问文件目录如果出现403错误，说明网页加以限制拒绝访问；访问文件目录如果出现SSH其他根目录路径，说明有漏洞缺陷；用X-Scan-v3.2-cn工具对网站服务器扫描。可以对网站参透出开启的端口号，SSH弱口令，网站是否存在高风险；比如:在扫描参数中输入测试网站的地址，点击扫描。如果扫描出网站端口号高风险或SSH弱口令可以与开发人员沟通进行修改；测试有效和无效的用户名和密码，要注意到是否大小写敏感，可以试多少次的限制，是否可以不登陆而直接浏览某个页面等。网站是否有超时的限制，也就是说，用户登陆后在一定时间内（例如15分钟）没有点击任何页面，是否需要重新登陆才能正常使用。为了保证网站的安全性，日志文件是至关重要的。需要测试相关信息是否写进了日志文件、是否可追踪。当使用了