技术安全保障措施
第一部分:网站安全保障措施
1.释义
1、公司成立信息安全领导小组,是信息安全的最高决策机构,下设信息安全部,负责信息安全日常工作的开展执行。
2、网络信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括: 根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责,指导、监督信息安全工作开展。
信息安全部门人员分为两个工作组:信息内容分拣研判组、违规信息处理工作组。
信息内容分拣研判组的主要职责包括:
1)根据公司网络中部署的技术系统中过滤抓包到的各类关键词、图片、视频信息根据信息安全处置的要求进行分析研判,将确认为违法的信息下发至违规信息处理工作组进行屏蔽、过滤、删除。如有违规的药图片、文字等信息将一律不得上传。
2)及时向各类上级监管部门学习最新的信息安全知识,把握有害信息出现的新动向、新方式、新内容,能举一反三,将已经发现的违规信息及时遏制在萌芽阶段。
3)负责对各类投诉或其他渠道转接过来的涉嫌违规的信息进行侦别、分拣,确认是否属于违法信息并对如果处理作出明确答复。积极学习相关行业法规。
吉安滨宇网站日常维护、更新:
(一)技术人员将“吉安滨宇”设置为主页,每天对网站进行查看,密切监视信息内容。每天上午和下午各切换内网一次,查看内网运行情况。
(二)检查各服务器杀毒软件及防火墙升级情况,及时给系统打补丁。
(三)每月对内、外网站及数据进行光盘备份,并由专人归档保存。
安全事件分类及应急处置办法:
(一)硬件故障
指因自然灾害、供电不正常、人为因素等造成的服务器硬件损坏、丢失情况。
1、吉安滨宇网站服务器中心工作人员每月对其进行硬件检测,网站服务器由维护公司每月进行软硬件检测,并填写记录,每年度进行汇报。
2、发生硬件损坏或丢失后要立即报告技术部门,并联系设备供应商及有关单位处理。
(二)攻击、篡改类故障
指网站系统遭到网络攻击不能正常运作,或出现非法信息、页面被篡改。
1、发现网站出现非法信息或页面被篡改,要第一时间对其进行删除,恢复相关信息及页面,同时报告技术部门,必要时可对网站服务器进行关闭,待检测无故障后再开启服务。
2、网站维护员要妥善保存有关记录及日志或审计记录,并立即追查非法信息来源,将有关情况进行上报,情况非常严重的要向公安部门报案。
(三)病毒木马类故障
指网站服务器感染病毒木马,存在安全隐患。
1、每周对服务器杀毒安全软件进行系统升级,并进行病毒木马扫描,封堵系统漏洞。
2、发现服务器感染病毒木马,要立即对其进行查杀,报告技术部门,根据具体情况,酌情发布网站公告通知联网的相关单位进行终端的病毒木马查杀。
3、由于病毒木马入侵服务器造成数据丢失或系统崩溃的,要第一时间报告技术部门,并联系相关单位进行数据恢复。
(四)系统类故障
指网站系统由于长时间运行或系统存在的bug造成网站不能正常运行。
1、相关负责人要每月对网站数据进行备份,并刻录光盘进行存档。
2、发现此类问题,要报告技术部门,并联系网站维护单位进行检测修复。
应急保障:
1、记录服务器供应商及网站维护公司电话,出现问题能及时联络处理。
2、技术人员应掌握应急笔记本电脑、数据备份光盘的存放和使用。
3、技术人员应学习各类软硬件知识,提高应对和处理突发网络故障的能力。
网站安全防护:
1、物理安全:包括环境安全、设备安全、人员的访问控制、审计记录、异常情况的追查等。我公司在保障网络物理安全方面,采取如下措施:
(1)机房安全管理措施:
除网络管理员外,任何人不得擅自进入机房,不得擅自接触机房设备。不得擅自改动或移动机房内的电源、空调及机柜、服务器、交换机等计算机、网络设备。
未经许可不得随意允许非机房内工作人员进入机房。
未经批准不能带外人参观、演示、查询信息等网上操作
。严禁带火种进入机房。如发现机房内有烟雾甚至火焰,立即切断电源。
下班时,检查设备的运转情况,并填写日志记录。
(2)系统口令的安全管理:
严格控制知道密码的人数。
网络管理员、系统管理员调离岗位后一小时内由上级监督检查更换新的密码。
对网络管理员、系统管理员和系统操作员所用口令每十五天更换一次,重要口令要多于八位。
口令要无规则,防止口令被猜出。
员工离职后,其所有账号和口令应立即从相应PASSWORD文件中清除。
调试人员调试维护完成后一小时内,由系统管理员删除其所用账号和密码。
(3)完善的系统备份计划
我公司的策略是以一个月为一个周期,一个月进行一次完全备份,每天晚上进行这一天改变的数据备份,即增量备份。这样一旦发生数据丢失,首先恢复前一个完全备份,然后按日期一个一个恢复每天的备份,就能恢复到前一天的情况。这样做虽然工作量要大,但数据丢失的风险最小。
备份完成后,还定期地检验备份数据的有效性。避免类似到急需恢复数据时才发现数据损坏等情况的发生,确保数据万无一失。
(4)配备高素质人员
我公司有多名经验丰富、具有相当理论基础的外聘专家。并有专职工程师分别负责系统管理、系统实施、系统网络安全等方面工作。
定期组织安全管理人员学习,及时了解网络安全防护的最新动态和防护知识,只有不断的学习才能提高在实际工作中运用能力,及时发现问题迅速有效的解决问题。
2、网络安全:包括网络拓扑结构、网络设备的管理、网络安全访问措施(防火墙、入侵检测系统、VPN等)、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。我公司建立了包括网络拓扑结构、网络设备的管理、网络安全访问措施(防火墙、入侵检测系统、VPN等)、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等,旨在防范和抵御网络可能受到的攻击,保证网络资源不被非法使用和访问,保护网内流转的数据安全。
其中访问控制是网络安全核心策略之一,包括入网访问、网络授权、目录级安全、属性安全、网络服务器安全、网络监测和锁定、网络端口和节点的安全控制以及防火墙控制等。而安全检查和内容检查又是保护网络安全的有效措施,在加强访问控制的同时,公司对网络传输的数据进行了加密,从而保证网上注册用户的信息安全。
第二部分:信息安全保密管理制度
为保守秘密,防止泄密问题的发生,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,结合本单位实际,制定本制度。
一、计算机网络信息安全保密管理规定
(1)为防止病毒造成严重后果,对外来光盘、软件要严格管理,坚决不允许外来光盘、软件在公安专网计算机上使用。
(2)接入公安专网的计算机严禁将计算机设定为网络共享,严禁将机内文件设定为网络共享文件。
(3)为防止黑客攻击和网络病毒的侵袭,接入公安专网的计算机一律安装杀毒软件,并要定时对杀毒软件进行升级。
(4)禁止将保密文件存放在网络硬盘上。
(5)禁止将涉密办公计算机擅自联接国际互联网。
(6)保密级别在秘密以下的材料可通过电子信箱传递和报送,严禁保密级别在秘密以上的材料通过警综平台传递和报送。
(7)涉密计算机严禁直接或间接连接国际互联网和其他公共信息网络,必须实行物理隔离。
(8)要坚持“谁上网,谁负责”的原则,各部门要有一名领导负责此项工作,信息上网必须经过所领导严格审查,并经主管领导批准。
(9)国际互联网必须与涉密计算机系统实行物理隔离。
(10)在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。
(11)应加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。
(12)涉密人员在其它场所上国际互联网时,要提高保密意识,不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。使用电子函件进行网上信息交流,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。
(13)严禁互联网计算机接入公安专网。
(14)严禁公安业务计算机接入互联网。
二、涉密存储介质保密管理规定
(1)涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及U盘等。
(2)存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上,不得转借他人,存放在本单位指定的密码柜中。
(3)需归档的涉密存储介质,因及时归档。
(4)各部门负责管理其使用的各类涉密存储介质,应当根据有关规定确定密级及保密期限,并视同纸制文件,按相应密级的文件进行分密级管理,严格借阅、使用、保管及销毁制度。借阅、复制、传递和清退等必须严格履行手续,不能降低密级使用。
(5)涉密存储介质的维修应保证信息不被泄露,由各涉密部门负责人负责。需外送维修的,要经领导批准,到国家保密主管部门指定的维修点维修,并有保密人员在场。
(6)不再使用的涉密存储介质应由使用者提出报告,由所领导批准后,交保密办公室负责销毁。
三、计算机维修维护管理规定
(1)涉密计算机和存储介质发生故障时,应当向所信息中心提出维修申请,经批准后到指定维修地点修理,一般应当由本局内部维修人员实施,须由外部人员到现场维修时,整个过程应当由有关人员全程旁站陪同,禁止外来维修人员读取和复制被维修设备中的涉密信息,维修后应当进行保密检查。
(2)凡需外送修理的涉密设备,必须经保密小组和主管领导批准,并将涉密信息进行不可恢复性删除处理后方可实施。
(3)高密级设备调换到低密级单位使用,要进行降密处理,并做好相应的设备转移和降密记录。
(4)由局保密委员会指定专人负责办公室计算机软件的安装和设备的维护维修工作,严禁使用者私自安装计算机软件和擅自拆卸计算机设备
。四、用户密码安全保密管理规定
(1)用户密码管理的范围是指办公室所有涉密计算机所使用的密码。
(2)机密级涉密计算机的密码管理由涉密科室负责人负责,秘密级涉密计算机的密码管理由使用人负责。
(3)密码必须由数字、字符和特殊字符组成,秘密级计算机设置的密码长度不能少于8个字符,机密级计算机设置的密码长度不得少于10个字符,密码更换周期不得超过60天。
(4)秘密级计算机设置的用户密码由使用人自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示所保密委员会负责人认可。
五、涉密电子文件保密管理规定
(1)涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。
(2)电子文件必须定期、完整、真实、准确地存储到不可更改的介质上,并集中保存,然后从计算机上彻底删除。
(3)各涉密部门自用信息资料由本部门管理员定期做好备份,备份介质必须标明备份日期、备份内容以及相应密级,严格控制知悉此备份的人数,做好登记后进保密柜保存。
(4)各部门要对备份电子文件进行规范的登记管理,备份可采用磁盘、光盘、移动硬盘、U盘等存储介质。
(5)涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限,并视同纸制文件,分密级管理,严格借阅、使用、保管及销毁制度。
(6)备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施,并进行异地备份。
六、涉密计算机系统病毒防治管理规定
(1)涉密计算机必须安装经过国家安全保密部门许可的查、杀病毒软件。
(2)每周升级和查、杀计算机病毒软件的病毒样本。确保病毒样本始终处于最新版本,同时将升级记录登记备案。
(3)绝对禁止涉密计算机在线升级防病毒软件病毒库,同时对离线升级包的来源进行登记。
(4)涉密计算机应限制信息入口,如软盘、光盘、U盘、移动硬盘等的使用。
(5)对必须使用的外来介质(磁盘、光盘,U盘、移动硬盘等),必须先进行计算机病毒的查、杀处理,然后才可使用。
(6)对于因未经许可而擅自使用外来介质导致严重后果的,要严格追究相关人员的责任。
七、上网发布信息保密规定
(1)上网信息的保密管理坚持“谁发布谁负责”的原则。凡向国际联网的站点提供或发布信息,必须经过保密审查批准,报分管领导审批。提供信息的部门应当按照一定的工作程序,健全信息保密审批制度。
(2)凡以提供网上信息服务为目的而采集的信息,除在其它新闻媒体上已公开发表的,组织者在上网发布前,应当征得提供信息单位的同意。凡对网上信息进行扩充或更新,应当认真执行信息保密审核制度。
第三部分:用户信息安全管理制度
网站为充分保护用户的个人隐私、保障用户信息安全,特制订用户信息安全管理制度。
1、定期对相关人员进行网络信息安全培训并进行考核,使网站相关管理人员充分认识到网络安全的重要性,严格遵守相应规章制度。
2、尊重并保护用户的个人隐私,除了在与用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不随意公布和泄露用户个人身份信息。
3、对用户的个人信息严格保密,并承诺未经用户授权,不得编辑或透露其个人信息及保存在本网站中的非公开内容,但下列情况除外:
①违反相关法律法规或本网站服务协议规定;
②按照主管部门的要求,有必要向相关法律部门提供备案的内容;
③因维护社会个体和公众的权利、财产或人身安全的需要;
④被侵害的第三人提出合法的权利主张;
⑤为维护用户及社会公共利益、本网站的合法权益的需要;
⑥事先获得用户的明确授权或其它符合需要公开的相关要求。
4、用户应当严格遵守网站用户帐号使用登记和操作权限管理制度,并对自己的用户账号、密码妥善保管,定期或不定期修改登录密码,严格保密,严禁向他人泄露。
5、每个用户都要对其帐号中的所有活动和事件负全责。用户可随时改变用户的密码和图标,也可以结束旧的帐号而重新申请注册一个新帐号。用户同意若发现任何非法使用用户帐号或安全漏洞的情况,有义务立即通告本网站。
6、如用户不慎泄露登陆账号和密码,应当及时与网站管理员联系,请求管理员及时锁定用户的操作权限,防止他人非法操作;在用户提供有效身份证明和有效凭据并审查核实后,重新设定密码恢复正常使用。
严格执行本规章制度,并形成规范化管理,并成立由单位负责人、其他部门负责人、信息管理主要技术人员组成的网络信息安全小组,并确定至少两名安全负责人作为突发事件处理的直接责任人。