一.網(wǎng)站安全保障措施
· 1、網(wǎng)站服務(wù)器和其他計算機之間設(shè)置經(jīng)公安部門認(rèn)證的防火墻,并與專業(yè)網(wǎng)絡(luò)安全公司合作,做好安全策略,拒絕外來的惡意攻擊,保障網(wǎng)站正常運行。
· 2、在網(wǎng)站的服務(wù)器及工作站上均安裝了正版的防病毒軟件,對計算機病毒、有害電子郵件有整套的防范措施,防止有害信息對網(wǎng)站系統(tǒng)的干擾和破壞。
· 3、做好生產(chǎn)日志的留存。網(wǎng)站具有保護60天以上的系統(tǒng)運行日志和用戶使用日志記錄功能,內(nèi)容包括IP地址及使用情況,主頁維護者、郵箱使用者和對應(yīng)的IP地址情況等。
· 4、交互式欄目具備有IP地址、身份登記和識別確認(rèn)功能,對沒有合法手續(xù)和不具備條件的電子公告服務(wù)立即關(guān)閉。
· 5、網(wǎng)站信息服務(wù)系統(tǒng)建立雙機熱備份機制,一旦主系統(tǒng)遇到故障或受到攻擊導(dǎo)致不能正常運行,保證備用系統(tǒng)能及時替換主系統(tǒng)提供服務(wù)。
· 6、關(guān)閉網(wǎng)站系統(tǒng)中暫不使用的服務(wù)功能,及相關(guān)端口,并及時用不定修復(fù)系統(tǒng)漏洞,定期查殺病毒。
· 7、服務(wù)器平時處于鎖定狀態(tài),并保管好登錄密碼;后臺管理界面設(shè)置超級用戶名及密碼,并綁定IP,以防他人登入。
· 8、網(wǎng)站提供集中式權(quán)限管理,針對不同的應(yīng)用系統(tǒng)、終端、操作人員,由網(wǎng)站系統(tǒng)管理員設(shè)置共享數(shù)據(jù)庫信息的訪問權(quán)限,并設(shè)置相應(yīng)密碼及口令。不同的操作人員設(shè)定不同的用戶名,且定期更換,嚴(yán)禁操作人員泄露自己的口令。對操作人員的權(quán)限嚴(yán)格按照崗位職責(zé)設(shè)定,并由網(wǎng)站系統(tǒng)管理員定期檢查操作人員權(quán)限。
· 9、公司機房按照電信機房標(biāo)準(zhǔn)建設(shè),內(nèi)有必備的獨立UPS不間斷電源、高靈敏度的煙霧探測系統(tǒng)和消防系統(tǒng),定期進行電力、防火、防潮、防磁和防鼠檢查。
2. 信息安全保密管理制度
· 1、為防止病毒造成嚴(yán)重后果,對外來光盤、軟件要嚴(yán)格管理,原則上不允許外來光盤、軟件在本所局域網(wǎng)計算機上使用。確因工作需要使用的,事先必須進行防(殺)毒處理,證實無病毒感染后,方可使用。
· 2、接入網(wǎng)絡(luò)的計算機嚴(yán)禁將計算機設(shè)定為網(wǎng)絡(luò)共享,嚴(yán)禁將機內(nèi)文件設(shè)定為網(wǎng)絡(luò)共享文件。
· 3、為防止黑客攻擊和網(wǎng)絡(luò)病毒的侵襲,接入網(wǎng)絡(luò)的計算機一律安裝殺毒軟件,并要定時對殺毒軟件進行升級。
· 4、嚴(yán)禁將材料存放在網(wǎng)絡(luò)硬盤上。
· 5、嚴(yán)禁將涉密辦公計算機擅自連接國際互聯(lián)網(wǎng)。
· 6、保密級別在秘密一下的材料可通過電子信箱傳遞和報送,嚴(yán)禁保密級別在秘密以上的材料通過電子信箱、QQ等網(wǎng)上傳遞和報送。
· 7、涉密計算機嚴(yán)禁直接或間接連接國際互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡(luò),必須實行物理隔離。
· 8、要堅持“誰上網(wǎng),誰負(fù)責(zé)”的原則,各部門要有一名領(lǐng)導(dǎo)負(fù)責(zé)此項工作,信息上網(wǎng)必須經(jīng)過所領(lǐng)導(dǎo)嚴(yán)格審查,并經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)。
· 9、國際互聯(lián)網(wǎng)必須與涉密計算機系統(tǒng)實行物理隔離。
· 10、在與國際互聯(lián)網(wǎng)相連的信息設(shè)備上不得儲存、處理、和傳輸任何涉密信息。
· 11、應(yīng)加強對上網(wǎng)人員的保密意識教育,提高上網(wǎng)人員保密觀念,增強防范意識,自覺執(zhí)行保密規(guī)定。
· 12、涉密人員在其它場所上國際互聯(lián)網(wǎng)是,要提高保密意識,不得在聊天室、電子公告系統(tǒng)、網(wǎng)絡(luò)新聞上發(fā)布、談?wù)摵蛡鞑颐孛苄畔?。使用電子函件進行網(wǎng)上信息交流,應(yīng)當(dāng)遵守國家保密規(guī)定,不得利用電子函件傳遞、轉(zhuǎn)發(fā)或抄送國家秘密信息。
3. 用戶信息安全管理制度
· 1、定期對相關(guān)人員進行網(wǎng)絡(luò)信息安全培訓(xùn)并進行考核,使網(wǎng)站相關(guān)管理人員充分認(rèn)識到網(wǎng)絡(luò)安全的重要性,嚴(yán)格遵守相應(yīng)規(guī)章制度
· 2、網(wǎng)站平臺采用嚴(yán)格的用戶注冊流程,全面的用戶信息登記功能,設(shè)定記錄基礎(chǔ)密碼、和用戶郵箱等信息,包括用戶私人信息和身份證信息,全面保障用戶的登記信息完整有效。尊重并保護用戶的個人隱私,除了在與用戶簽署的隱私保護協(xié)議和網(wǎng)站服務(wù)條款以及其他公布的準(zhǔn)則規(guī)定的情況下,未經(jīng)用戶授權(quán)不隨意公布和泄露用戶個人身份信息
· 3、網(wǎng)站平臺對用戶所提供的實名身份信息進行嚴(yán)格的管理及保護,并將使用現(xiàn)有的技術(shù),盡力防止用戶的個人資料丟失、泄露、被盜用或遭篡改。 網(wǎng)站平臺未經(jīng)用戶授權(quán)不公開、修改。透露用戶身份信息資料及其他保密性內(nèi)容,除遇下列情形:
· ① 反相關(guān)法律法規(guī)或本網(wǎng)站服務(wù)協(xié)議規(guī)定;
· ② 照主管部門的要求,有必要向相關(guān)法律部門提供備案的內(nèi)容;
· ③ 維護社會個體和公眾的權(quán)利、財產(chǎn)或人身安全的需要;
· ④ 侵害的第三人提出合法的權(quán)利主張;
· ⑤ 為維護用戶及社會公共利益、本網(wǎng)站的合法權(quán)益的需要;
· ⑥ 事先獲得用戶的明確授權(quán)或其它符合需要公開的相關(guān)要求。
· 4、因用戶自身保護疏忽,造成賬號信息泄露、賬號被盜等情況。給用戶造成損失的,可通過密碼找回機制,提供真實有效的注冊資料進行核對,由公司網(wǎng)站平臺給予賬號找回。
我公司嚴(yán)格執(zhí)行本規(guī)章制度,并形成規(guī)范化管理,并成立由單位負(fù)責(zé)人、其他部門負(fù)責(zé)人、信息管理主要技術(shù)人員組成的網(wǎng)絡(luò)信息安全小組,并確定至少兩名安全負(fù)責(zé)人作為突發(fā)事件處理的直接責(zé)任人。