网络与信息安全监管措施

 

一、网站的安全监管措施

    1、我司与阿里云计算有限公司签署协议,安全可靠。同时在工作站中安装专业防病毒系统,实时监控病毒以及外来的恶意攻击,建立整套的防范措施。

    2、对于网站可能出现的一般性故障,我司配有专业人员固守,做到及时处理故障,并向上级领导人报备情况。

3、我司网站会记录并保存半年以上的系统运行日志和用户使用日志内容,做到实时监控、及时跟踪处理异常日志等情况。

4、网站信息服务系统建立双备份制度,一旦主系统遇到故障或受到攻击导致不能正常运行,备用系统能及时替换主系统提供服务;同时对数据库等重要资料也进行双备份,防止数据丢失无法复原系统的情况出现。

5、网站的互动栏目具备有IP地址、身份登记和识别确认功能,并做到立即关闭不正常登录的IP。

6、网站内容设置关键字过滤功能,所有关联敏感词的内容都会预先不予显示,需要由管理员进行审核和删除等操作。

7、网站系统中没有投入使用的服务功能以及端口全都关闭,防止病毒入侵。

8、网站严格限制登录人员访问权限,不同的岗位人员开放不同的功能以及服务。登录人员需要定期修改登录账号和密码,严禁出现泄密的情况。

 

、用户个人信息保护制度

我司已经制定适合本公司的《用户个人信息保护制度》,确定各部门、各岗位在用户个人信息安全管理的责任,以及须共同遵守的规章制度。保证用户信息不被非法使用。其中,主要内容包括:  

1、对公司各级人员实行严格的操作人员权限管理,信息安全管理部负责监管个人用户的信息,由信息安全管理部负责人统一管理内部操作人员权限,针对内部操作人员的用户名、密码,由系统强制要求定期每月更换一次,严禁操作人员泄漏自己口令。  

2、我司把网站和用户个人重要信息存储在境内,并根据《网络安全法》实行用户注册实名制,用户注册时必须绑定个人实名制手机号,若用户异地登陆,需对用户身份进行验证方可登陆。  

3、信息安全管理部负责人对用户信息的批量备份、销毁信息实行审查,如发现有公司任何人员泄露、损坏、更改用户信息或其它损坏个人用户利益的事件发生,将追究其责任,并给予相应处罚,情况严重的,将给予降职或开除处罚。  

4、涉及个人用户信息,公司采用严格的用户登录认证,防止恶意登录。  

5、按照省通信管理局要求定期每月开展一次信息安全评估工作。信息安全管理部负责个人用户信息安全事件的监测工作,以防随时可能发生的个人用户信息安全事件。建立专门的网络安全保障团队,开展安全事件的监测和应急处置,并与省通信管理局或其他相关部门建立工作机制,及时报告和处置安全事件。  

6、信息安全管理部负责及时修复系统漏洞,每周查杀一次病毒,对所有个人用户信息都及时备份,进一步确保个人用户信息的安全。  

7、信息安全管理部每天对个人用户日志进行排查,以确保信息的准确性、安全性。对于用户信息通过DES、MD5和RSA加密技术进行加密保护。

8、所有网络日志都会强行存储半年以上,在公共信息服务中发现、停止传输违法信息,并保留相关记录。定期记录并留存用户使用的互联网网络地址和内部网络地址对应关系;记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施;记录并留存用户注册信息,通过日志留存设备检查是否能将单位用户身份信息、计算机终端内网IP地址、MAC地址和上网所用账号进行有效绑定,并查看该对应关系数据库(表),并任意找一个上网用户和其所使用的计算机终端,检查其对应关系是否准确。  

 

、信息安全保密管理制度

    1、信息网络安全防护手段

1)完善的系统备份计划

我公司一个月进行一次完全备份,每天进行这一天改变的数据备份,即增量备份,将数据丢失的风险降到最低。

     备份完成后,会定期检验备份数据的有效性,确保数据万无一失。

2)系统口令的安全管理

对系统管理员和系统操作员所用口令定时更换,并且位数不能少于8位。

系统管理员调离岗位后应由上级监督检查更换新的密码。员工离职后,其所有账号和口令应立即从相应PASSWORD文件中清除。

3)网络安全

我公司建立了包括网络拓扑结构、网络设备的管理、网络安全访问措施(防火墙、入侵检测系统、VPN等)、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等,旨在防范和抵御网络可能受到的攻击,保证网络资源不被非法使用和访问,保护网内流转的数据安全。其中访问控制是网络安全核心策略之一,包括入网访问、网络授权、目录级安全、属性安全、网络服务器安全、网络监测和锁定、网络端口和节点的安全控制以及防火墙控制等。而安全检查和内容检查又是保护网络安全的有效措施,在加强访问控制的同时,公司对网络传输的数据进行了加密,从而保证网上注册用户的信息安全。

    4)系统安全

    我公司的系统安全主要是通过制定系统操作人员职责来实现,操作职责是各类人员进入后台系统,进行业务操作的权限。我们的操作职责暂时分为系统管理员、网站编辑两类。

 系统管理员职责设置与管理

l 系统管理员负责各项子系统的维护,安全性设定等所有基础设置操作;

l 系统管理员进行系统设置、修改等操作,必须有其上级授权;

l 系统管理员不得使用他人职责进行业务操作;

l 系统管理员调离岗位,相关负责人应及时注销其账号并生成新的系统管理员账号

 网站编辑职责

l 网站编辑主要负责日常信息的编辑与发布,与用户的沟通与交通

l 网站编辑需要对网站互动性栏目发布内容进行审核。

l 网站编辑调离岗位,系统管理员应及时注销其账号并生成新的网站编辑账号。

    2、有害信息发现和过滤技术手段

1)成立有害信息安全发现工作小组,主要职责包括:

 负责公司网络与信息安全的监测预警和风险评估控制、隐患排查整改工作;

 组织制订、修订与公司职能相关的专项应急预案,指导各分公司制定、修订网络与信息安全突发事件相关的应急预案;

 负责组织协调网络与信息安全突发事件应急演练;

 负责公司应对网络与信息安全突发事件的宣传教育与培训。

2成立专人审核信息发布制度。公司各部门业务信息发布前,均需经过专人审核,确保信息的合法,安全。

 信息的监控制度

我公司设立了专门的审核人员,实施有效监控,做好安全监督工作,保证网站不出现以下内容:

A、反对宪法所确定的基本原则的;

B、危害国家安全、泄露国家秘密、颠覆国家政权、破坏国家统一的;

C、损害国家荣誉和利益的;

D、煽动民族仇恨、民族歧视、破坏民族团结的;

E、破坏国家宗教政策、宣扬邪教和封建迷信的;

F、散布谣言扰乱社会秩序、破坏社会稳定的;

G、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;

H、侮辱或者诽谤他人、侵害他人合法权益的;

I、 含有法律、行政法规禁止的其他内容的。

3关键字的设立、过滤与更新

信息过滤包括对发布的信息内容、页面内容进行有效过滤。关键字的过滤功能,具体包括关键字设定、修改、查询功能,并提供相应的测试端口,并具有严格的权限管理功能。在发现的有害内容时按有关规定及时向有关部门汇报,并从技术上予以保证,包括有害信息的内容、发现时间、发现来源。

 

 

 

                                      

云梦心悦互动网络科技有限公司