一、網(wǎng)站安全保障措施
為保證給用戶提供暢通的網(wǎng)絡(luò)服務(wù),公司與提供優(yōu)質(zhì)網(wǎng)絡(luò)服務(wù)的公司簽訂網(wǎng)絡(luò)接入?yún)f(xié)議,以此來保證網(wǎng)絡(luò)的穩(wěn)定性。同時,為保證服務(wù)器的安全, 公司將所有服務(wù)系統(tǒng)放置在硬件防火墻后,并且制定嚴(yán)謹有效的安全訪問策略,定期進行安全分析與系統(tǒng)漏洞測試,適時對硬件與策略進行升級,確保系統(tǒng)安全、可靠、穩(wěn)定地運行。時時刻刻完善自身系統(tǒng),杜絕程序漏洞,防止黑客攻擊。具體內(nèi)容包括:
① 配備專業(yè)的維護人員為用戶提供服務(wù)的系統(tǒng)進行全天候的監(jiān)控,一旦應(yīng)用系統(tǒng)發(fā)生故障,維護人員可立即解決問題并使系統(tǒng)恢復(fù)正常,嚴(yán)格遵守運營商提出的技術(shù)要求,在要求的時間內(nèi)正確處理用戶的請求服務(wù),對用戶的請求進行響應(yīng),并回復(fù)給用戶請求的內(nèi)容,保證內(nèi)容準(zhǔn)確無誤。
② 對用戶提供的各項服務(wù)均確保征得用戶的同意,在提供的各項服務(wù)有明確的收費標(biāo)準(zhǔn),在給用戶提供服務(wù)時提供資費信息,做到資費透明、不設(shè)收費陷阱,不亂收費,不設(shè)置用戶退訂服務(wù)時的門檻。
③ 為不同的運營商建立獨立的數(shù)據(jù)庫,保證對用戶的服務(wù)質(zhì)量,同時保證在向運營商通信平臺傳遞數(shù)據(jù)包時,不產(chǎn)生任何危害網(wǎng)絡(luò)安全的超負荷流量,不影響現(xiàn)有網(wǎng)絡(luò)的正常運行。
④ 補丁程序。及時安裝各種安全補丁程序,不要給入侵者可乘之機。
⑤ 提高物理環(huán)境安全。保證計算機機房內(nèi)計算機設(shè)備不被盜、不被破壞, 如采用高強度電纜在計算機機箱穿過等技術(shù)措施。
⑥ 在局域網(wǎng)(LAN)中安裝防火墻系統(tǒng)。防火墻系統(tǒng)包括軟件和硬件設(shè)施,平時需要加以監(jiān)察和維護。
⑦ 在局域網(wǎng)中安裝網(wǎng)絡(luò)安全審計系統(tǒng)。在要求較高的網(wǎng)絡(luò)系統(tǒng)中,網(wǎng)絡(luò)安全審計系統(tǒng)是與防火墻系統(tǒng)結(jié)合在一起作為對系統(tǒng)安全設(shè)置的防范措施。
⑧ 仔細閱讀"系統(tǒng)日志"和“用戶日志”。對可疑活動一定要仔細分析,如有人在試圖訪問一些不安全的服務(wù)端口,利用 Finger、Tftp 或用 Debug 手段訪問用戶郵件服務(wù)器等。對此系統(tǒng)管理員應(yīng)加以關(guān)注和分析。
⑨ 加密。加密的方法很多,可視要求而定,如:通訊兩端設(shè)置硬件加密機、對數(shù)據(jù)進行加密預(yù)處理等。
⑩ 信息過濾。系統(tǒng)平臺的非法內(nèi)容過濾子系統(tǒng)對發(fā)布的內(nèi)容進行嚴(yán)格的監(jiān)控,一旦發(fā)現(xiàn)敏感、非法、黃色等信息,系統(tǒng)會將此條信息視為無效信息, 阻止信息的發(fā)送!公司有專人負責(zé)過濾內(nèi)容的收集錄入,內(nèi)容包括中文簡體、繁體、英文等各種編碼的信息。公司將盡最大限度確保信息的合法性,阻止造成信息安全的非法行為。
二、信息安全保密管理制度
① 機房安全管理措施
除網(wǎng)絡(luò)管理員外,任何人不得擅自進入機房,不得擅自接觸機房設(shè)備。不得擅自改動或移動機房內(nèi)的電源、空調(diào)及機柜、服務(wù)器、交換機等計算機、網(wǎng)絡(luò)設(shè)備。
嚴(yán)禁帶火種進入機房。如發(fā)現(xiàn)機房內(nèi)有煙霧甚至火焰,立即切斷電源。
② 完善的系統(tǒng)備份計劃
我公司一個月進行一次完全備份,每天進行這一天改變的數(shù)據(jù)備份,即增量備份,將數(shù)據(jù)丟失的風(fēng)險降到最低。備份完成后,會定期檢驗備份數(shù)據(jù)的有效性,確保數(shù)據(jù)萬無一失。
③ 系統(tǒng)口令的安全管理
對系統(tǒng)管理員和系統(tǒng)操作員所用口令定時更換,并且位數(shù)不能少于8 位。系統(tǒng)管理員調(diào)離崗位后應(yīng)由上級監(jiān)督檢查更換新的密碼。員工離職后,其所有賬號和口令應(yīng)立即從相應(yīng) PASSWORD 文件中清除。
④ 網(wǎng)絡(luò)安全
我公司建立了包括網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備的管理、網(wǎng)絡(luò)安全訪問措施
(防火墻、入侵檢測系統(tǒng)、VPN 等)、安全掃描、遠程訪問、不同級別網(wǎng)絡(luò)的訪問控制方式、識別/認證機制等,旨在防范和抵御網(wǎng)絡(luò)可能受到的攻擊, 保證網(wǎng)絡(luò)資源不被非法使用和訪問,保護網(wǎng)內(nèi)流轉(zhuǎn)的數(shù)據(jù)安全。其中訪問控制是網(wǎng)絡(luò)安全核心策略之一,包括入網(wǎng)訪問、網(wǎng)絡(luò)授權(quán)、目錄級安全、屬性安全、網(wǎng)絡(luò)服務(wù)器安全、網(wǎng)絡(luò)監(jiān)測和鎖定、網(wǎng)絡(luò)端口和節(jié)點的安全控制以及防火墻控制等。而安全檢查和內(nèi)容檢查又是保護網(wǎng)絡(luò)安全的有效措施,在加強訪問控制的同時,公司對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進行了加密,從而保證網(wǎng)上注冊用戶的信息安全。
⑤ 系統(tǒng)安全
我公司的系統(tǒng)安全主要是通過制定系統(tǒng)操作人員職責(zé)來實現(xiàn),操作職責(zé)是各類人員進入后臺系統(tǒng),進行業(yè)務(wù)操作的權(quán)限。我們的操作職責(zé)暫時分為系統(tǒng)管理員、網(wǎng)站編輯兩類。
1)系統(tǒng)管理員職責(zé)設(shè)置與管理
系統(tǒng)管理員負責(zé)各項子系統(tǒng)的維護,安全性設(shè)定等所有基礎(chǔ)設(shè)置操作; 系統(tǒng)管理員進行系統(tǒng)設(shè)置、修改等操作,必須有其上級授權(quán);
系統(tǒng)管理員不得使用他人職責(zé)進行業(yè)務(wù)操作;
系統(tǒng)管理員調(diào)離崗位,相關(guān)負責(zé)人應(yīng)及時注銷其賬號并生成新的系統(tǒng)管理員賬號
2)網(wǎng)站編輯職責(zé)
網(wǎng)站編輯主要負責(zé)日常信息的編輯與發(fā)布,與用戶的溝通與交通網(wǎng)站編輯需要對網(wǎng)站互動性欄目發(fā)布內(nèi)容進行審核。
網(wǎng)站編輯調(diào)離崗位,系統(tǒng)管理員應(yīng)及時注銷其賬號并生成新的網(wǎng)站編輯賬號。
三、用戶信息安全管理制度
① 信息安全內(nèi)部人員保密管理制度:
相關(guān)內(nèi)部人員不得對外泄露需要保密的信息; 內(nèi)部人員不得發(fā)布、傳播國家法律禁止的內(nèi)容; 信息發(fā)布之前應(yīng)該經(jīng)過相關(guān)人員審核;
對相關(guān)管理人員設(shè)定網(wǎng)站管理權(quán)限,不得越權(quán)管理網(wǎng)站信息;
一旦發(fā)生網(wǎng)站信息安全事故,應(yīng)立即報告相關(guān)方并及時進行協(xié)調(diào)處理; 對有毒有害的信息進行過濾、用戶信息進行保密。
② 登陸用戶信息安全管理制度:
對登陸用戶信息閱讀與發(fā)布按需要設(shè)置權(quán)限; 對會員進行會員專區(qū)形式的信息管理;
對用戶在網(wǎng)站上的行為進行有效監(jiān)控,保證內(nèi)部信息安全; 固定用戶不得傳播、發(fā)布國家法律禁止的內(nèi)容。