当前位置:首页 > 技术安全保障管理制度
一、网站安全保障措施
1、网站服务器和其他计算机之间设置经公安部门认证的防火墙,并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。
2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。
3、做好生产日志的留存。网站具有保护60天以上的系统运行日志和用户使用日志记录功能,内容包括 IP 地址及使用情况,主页维护者、邮箱使用者和对应的 IP 地址情况等。
4、交互式栏目具备有 IP 地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。
5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。
6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用不定修复系统漏洞,定期查杀病毒。
7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定 IP,以防他人登入。
8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄露自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。
9、公司机房按照电信机房标准建设,内有必备的独立 UPS 不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力 、防火、防潮、防磁和防鼠检查。
10、在网站运行维护人员任用前、任用中、任用终止过程中进行相应的筛选、教育,纪律规范,规避过程中的安全风险。
二、用户信息安全及保密管理制度
1、遵守《中华人民共和国计算机信息系统安全保护条例》及其他有关的国家法律、法规和规定。
2、制定和严格执行安全管理制度。
3、保存会员登录记录60天以上。
4、会员登记的私人信息资料,网站不得向外界散发、告知。未经许可,任何单位、团体、个人不得查阅、拷贝、抄录私人信息资料内容。
5、会员不得传播违反国家法律的言论,对传播淫秽资料的,管理员和版主有责任阻止。
6、切实落实各项制度,做好各项管理制度的工作。
7、信息安全内部人员保密管理制度:
(1)相关内部人员不得对外泄露需要保密的信息;
(2)内部人员不得发布、传播国家法律禁止的内容;
(3) 信息发布之前应该经过相关人员审核;
(4)对相关管理人员设定网站管理权限,不得越权管理网站信息;
(5)一旦发生网站信息安全事故,应立即报告相关方并及时进行协调处理;
(6)对有毒有害的信息进行过滤、用户信息进行保密设置
8、 登陆用户信息安全管理制度:
(1)对登陆用户信息阅读与发布按需要设置权限,不得擅自进入系统,篡改他人信息 ;
(2)对有害的信息进行过滤,对用户的信息进行有效管理并保证其信息的安全保密 ;
(3)建立信息编辑、审核、发布责任制及流程,信息发布之前必须经过相关人员审核 ;
(4) 对用户在网站上的行为进行有效监控,保证内部信息安全;
(5)固定用户不得传播、发布国家法律禁止的内容;
(6)一旦发生信息安全事故,就积极采取有效措施,并保存记录按规定报告有关部门。
9、为防止病毒造成严重后果,对外来光盘、软件要严格管理,原则上不允许外来光盘、软件在本所局域网计算机上使用。确因工作需要使用的,事先必须进行防(杀)毒处理,证实无病毒感染后,方可使用。
10、接入网络的计算机严禁将计算机设定为网络共享,严禁将机内文件设定为网络共享文件。
11、为防止黑客攻击和网络病毒的侵袭,接入网络的计算机一律安装杀毒软件,并要定时对杀毒软件进行升级。
12、严禁将材料存放在网络硬盘上。
13、严禁将涉密办公计算机擅自连接国际互联网。
14、保密级别在秘密一下的材料可通过电子信箱传递和报送, 严禁保密级别在秘密以上的材料通过电子信箱、QQ等网上传递和报送。
15、涉密计算机严禁直接或间接连接国际互联网和其他公共信息网络,必须实行物理隔离。
16、要坚持“谁上网,谁负责”的原则,各部门要有一名领导负责此项工作,信息上网必须经过所领导严格审查,并经主管领导批准。
17、国际互联网必须与涉密计算机系统实行物理隔离。
18、在与国际互联网相连的信息设备上不得储存、处理、和传输任何涉密信息。
19、应加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。
20、涉密人员在其它场所上国际互联网是,要提高保密意识, 不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。使用电子函件进行网上信息交流,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。
21、为确保信息安全工作有明确的方向和获得可见的管理者支持,设立以下不同级别的信息安全管理机构负责网络安全、信息安全、数据安全,进行统筹:CEO、信息安全委员会、信息安全部、内审风控部、法务部、公共安全中心、人力资源中心、开发运维中心、业务部门。