網絡與信息的安全不僅關系到正常工作的開展��,還將影響到國家的安全�、社會的穩定��。安化縣同城信息服務有限公司將認真開展網絡與信息安全工作��,通過檢查進一步明確安全責任�����,建立健全的管理制度����,落實技術防范措施����,保證必要的經費和條件�,對有毒有害的信息進行過濾�、對用戶信息進行保密�,確保網絡與信息安全����。
一��、網站運行安全保障措施
1����、網站服務器和其他計算機之間設置防火墻��,做好安全策略����,拒絕外來的惡意程序攻擊�,保障網站正常運行�����。
2�、在網站的服務器及工作站上均安裝了相應的防病毒軟件��,對計算機病毒��、有害電子郵件有整套的防范措施�,防止有害信息對網站系統的干擾和破壞�����。
3�����、做好訪問日志的留存����。網站具有保存三個月以上的系統運行日志和用戶使用日志記錄功能��,內容包括IP地址及使用情況��,主頁維護者�、對應的IP地址情況等����。
4����、發布信息功能具備有IP地址�����、身份登記和識別確認功能����,對非法貼子或留言能做到及時刪除并進行重要信息向相關部門匯報�。
5�、網站信息服務系統建立多機備份機制��,一旦主系統遇到故障或受到攻擊導致不能正常運行�,可以在最短的時間內替換主系統提供服務����。
6�、關閉網站系統中暫不使用的服務功能��,及相關端口�����,并及時用補丁修復系統漏洞��,定期查殺病毒�����。
7��、服務器平時處于鎖定狀態����,并保管好登錄密碼�;后臺管理界面設置超級用戶名及密碼��,并綁定IP�����,以防他人登入�����。
8�、網站提供集中式權限管理��,針對不同的應用系統��、終端����、操作人員�����,由網站系統管理員設置共享數據庫信息的訪問權限����,并設置相應的密碼及口令�����。不同的操作人員設定不同的用戶名��,且定期更換����,嚴禁操作人員泄漏自己的口令��。對操作人員的權限嚴格按照崗位職責設定��,并由網站系統管理員定期檢查操作人員權限�����。
9�、公司機房按照電信機房標準建設�,內有必備的獨立UPS不間斷電源�����,能定期進行電力��、防火�、防潮�、防磁和防鼠檢查�。
10�、業務網內的計算機設備不得使用軟盤�、CDROM�、MODEM����、紅外通信設備�、無線通信設備��、USB移動存儲設備和串/并口設備(用于連接打印機設備的并口除外)�。業務網與辦公網間的業務數據交換須通過專用FTP服務器完成�����,嚴禁向FTP服務器上傳非業務數據文件�。
二�、計算機病毒防范管理
1����、計算機病毒是隱藏在計算機系統軟件和數據資源中��,利用系統的軟件程序和數據資源進行繁殖并生存����,它影響計算機系統的正常運行�,并通過系統軟件程序和數據共享的途徑進行傳染�����,屬于攻擊性程序��。當前的計算機病毒呈現出了集病毒�����、網絡蠕蟲和黑客程序為一體的特征�,對網絡和計算機具有極大的破壞性����。
2����、對計算機病毒的防范應以事前預防為主�����,事后處理為輔����。
3�、.公司計算機病毒防范工作由綜合管理部負責統一協調�����,各部門負責組織實施��。
4�、計算機病毒防范工作應指定專人負責����,并要求其掌握常見計算機病毒的原理�、防范處理知識和必要的技術手段��,了解當前計算機病毒的流行發病趨勢和有效對策�。
5����、預防計算機病毒選用的軟����、硬件產品必須是經過國家公安部認證�����、批準的產品�����。接入公司業務網的電腦�,在不影響業務系統正常運行的情況下�,需安裝和運行公司統一購置的防病毒軟件����,接入公司辦公網的電腦����,接入前必須安裝和運行公司統一購置的防病毒軟件��。
6����、對防病毒軟件及病毒庫必須及時升級�、更新�。
三��、互聯網上計算機系統的惡意攻擊防范措施
1�����、對互聯網上計算機系統的惡意攻擊的對象是計算機資源和服務����,其目的是盜取�、破壞計算機資源信息�����,阻止��、威脅計算機的正常運行及服務��。
2�、應對計算機系統的用戶賬號采用嚴格的分級管理策略�����,對重要口令定期更換�。
3�、應指定專人定期或必要時對計算機系統的軟件做安全升級����。
4�、架設抗DOS攻擊設備��、防火墻和入侵檢測聯動系統��,防止DOS攻擊和非法訪問及入侵�。
5����、在計算機系統內部實施安全審計功能��,實時跟蹤和記錄對各服務器和交換設備及系統內部的訪問行為�����,對可能發生的非法訪問做及時反應�。
6�����、對重要交易數據庫采用加密保護措施�����,使計算機運行權與信息訪問權分開�����,使攻擊者無法訪問重要數據����。
7��、安裝防病毒產品并定期更新軟件和病毒庫�,有效抑制病毒�。
四�����、信息系統應急處理流程
1�、建立應急處理流程的目的是防范技術事故的發生��,減少可能的損失��。技術事故是指由于硬件故障����、軟件故障和操作失誤等原因引起系統無法運行��,經啟用備用系統仍未恢復正常�����,導致交易中斷并造成經濟損失的事件�。
2�����、技術事故的防范原則是:預防為主�、及時處理�,力爭把損失降低到最小程度�����。
3����、對于重要設備的備份系統的操作�,和重要軟件信息系統的操作�����,應制定應急處理流程�。
4�����、應急處理流程應張貼于明顯處��,定期演練�����,并有至少兩人能熟練掌握操作流程�����。
5�����、.當發生故障需應急處理時��,應在第一時間內向綜合管理部和相關部門報告����,并按應急處理流程在綜合管理部的指導下處理�。
6��、故障處理完畢后��,應查明原因并及時整改����,并將事故原因和處理情況報公司有關部門����。
五�����、信息安全保密管理制度
1��、建立健全的信息安全保密管理制度�,實現信息安全保密責任制�����,切實負起確保網絡與信息安全保密的責任��。嚴格按照個人負責原則�,落實責任制����,明確責任人和職責�����,細化工作措施和流程����,建立完善管理制度和實施辦法����,確保使用網絡和提供信息服務的安全����。
2�、網站信息內容更新全部由網站工作人員完成或管理��,工作人員素質高��、專業水平好����,有強烈的責任心和責任感�����。網站相關信息發布之前有一定的審核程序�����。工作人員采集信息將嚴格遵守國家的有關法律�、法規和相關規定��。嚴禁通過網站散布《互聯網信息管理辦法》等相關法律法規明令禁止的信息(即“九不準”)��,一經發現����,立即刪除�����。
3����、遵守對網站服務信息監視�,保存����、清除和備份的制度�。開展對網絡有害信息的清理整治工作�����,對違法犯罪案件��,報告并協助公安機關查處�。
4��、所有信息都及時做備份��。按照國家有關規定�,網站將保存3月內系統運行日志和用戶使用日志記錄�����。
5��、制定并遵守安全教育和培訓制度�����。加大宣傳教育力度��,增強用戶網絡安全意識�����,自覺遵守互聯網管理有關法律��、法規����,不泄密�����、不制作和傳播有害信息�����,不鏈接有害信息或網頁�。
六�����、用戶信息安全管理制度
1��、尊重并保護用戶的個人隱私��,除了在與用戶簽署的隱私政策和網站服務條款以及其他公布的準則規定的情況下����,未經用戶授權不會隨意公布與用戶個人身份有關的資料��,除非有法律或程序要求�����。
2�、嚴格遵守網站用戶帳號使用登記和操作權限管理制度�,對用戶信息專人管理����,嚴格保密��,未經允許不得向他人泄露�����。
定期對相關人員進行網絡信息安全培訓并進行考核�,使相關人員能夠充分認識到網絡安全的重要性����,嚴格遵守相應規章制度�。
安化縣同城信息服務有限公司將嚴格執行本規章制度�,并形成規范化管理����,建立健全信息網絡安全小組�。安全小組由單位領導負責����,網絡技術����、客戶服務等部門參加�,并確定至少兩名安全負責人作為突發事件處理的聯系人����。
