为确保服务器安全，防范运维操作导致的安全事件（如网站后门、勒索软件、APT攻击等）及漏洞风险（如SQL注入、弱口令、敏感信息泄露等），现要求乙方严格遵守以下规范。若因乙方违规导致表中风险事件发生，需承担相应责任及赔偿。

一、责任范围

（1）甲方职责：

·提供服务器资源及基础网络环境

·监督乙方操作合规性，定期抽查漏洞修复记录

（2）乙方职责：

全面规避《服务器运维可能存在的危险事件和风险漏洞.xlsx》中列出的所有风险（见附件）。承担因操作不当导致的以下后果：

·数据泄露（如配置文件泄露、源码泄露）

·服务中断（如DDoS攻击、失陷主机）

·法律追责（如网页篡改、反共黑客事件）

二、运维安全要求

漏洞风险防控：

（1）输入验证类

·禁止出现SQL注入、跨站脚本（XSS）、代码注入、操作系统命令注入漏洞

·所有用户输入需强制过滤特殊字符，文件上传功能需限制格式并扫描恶意代码

（2）权限管理类

·禁用弱口令，账户密码需符合12位+大小写/数字/符号要求

·禁止权限绕过、路径遍历、任意文件操作，严格限制sudo授权范围

（3）系统安全类

·预防Struts框架漏洞、缓冲区溢出、竞争条件等高风险漏洞

·关闭HTTP报头追踪，禁用敏感调试接口，防止内网地址泄露

危险事件防范：

（1）恶意攻击类

·部署WAF防范网页挂马、植入暗链、网页篡改

·配置IPS/IDS检测暴力破解、APT攻击、木马病毒传播

（2）数据安全类

·数据库连接需加密，禁止源码管理错误导致源码泄露

·敏感信息（如密钥、师生数据）禁止明文存储，加密算法需符合国密标准

（3）服务安全类

·禁止未加密登录请求，强制使用SSH密钥认证

·限制服务器暴露面，关闭非必要端口（如Telnet、FTP）

三、高风险操作禁令

以下操作需甲方申请审批后方可执行：

·修改防火墙规则或开放新端口（防范DDoS攻击入口）

·安装第三方组件（防范框架钓鱼漏洞、逻辑后门）

·执行rm、chmod777、mv/etc等危险命令（防范误删、权限失控）

四、事件应急与追责

（1）事件响应：

·发现漏洞（如弱口令、跨站请求伪造）需2小时内通知甲方，并提交修复方案

·发生数据泄露（如敏感信息泄露）或攻击事件（如勒索软件）时，立即隔离服务器并保留日志证据

（2）责任追究：

·若因乙方未修复已知漏洞（如Struts漏洞、解析漏洞）导致事件，需承担监管部门罚款及系统恢复成本

·若因违规操作（如使用弱口令、未加密传输）引发风险，甲方有权停止服务器系统服务并追究相应责任

五、审计与合规检查

乙方需配合甲方完成以下检查：

·月度漏洞扫描报告（覆盖SQL注入、XSS等OWASPTOP10漏洞）

·季度渗透测试（模拟APT攻击、路径遍历等场景）

·甲方有权调取以下记录

·操作日志（追溯命令执行、文件上传记录）

·登录日志（审计暴力破解、异常IP访问）

六、附件与生效

附件：《服务器运维可能存在的危险事件和风险漏洞.xlsx》列为本告知书组成部分。

生效条款：乙方签署后需在3个工作日内提交《风险规避承诺书》，明确具体负责人及应急预案。