一.网站安全保障措施
· 1、网站服务器和其他计算机之间设置经公安部门认证的防火墙,并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。
· 2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。
· 3、做好生产日志的留存。网站具有保护60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。
· 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。
· 5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。
· 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用不定修复系统漏洞,定期查杀病毒。
· 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。
· 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄露自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。
· 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。
2. 信息安全保密管理制度
· 1、为防止病毒造成严重后果,对外来光盘、软件要严格管理,原则上不允许外来光盘、软件在本所局域网计算机上使用。确因工作需要使用的,事先必须进行防(杀)毒处理,证实无病毒感染后,方可使用。
· 2、接入网络的计算机严禁将计算机设定为网络共享,严禁将机内文件设定为网络共享文件。
· 3、为防止黑客攻击和网络病毒的侵袭,接入网络的计算机一律安装杀毒软件,并要定时对杀毒软件进行升级。
· 4、严禁将材料存放在网络硬盘上。
· 5、严禁将涉密办公计算机擅自连接国际互联网。
· 6、保密级别在秘密一下的材料可通过电子信箱传递和报送,严禁保密级别在秘密以上的材料通过电子信箱、QQ等网上传递和报送。
· 7、涉密计算机严禁直接或间接连接国际互联网和其他公共信息网络,必须实行物理隔离。
· 8、要坚持“谁上网,谁负责”的原则,各部门要有一名领导负责此项工作,信息上网必须经过所领导严格审查,并经主管领导批准。
· 9、国际互联网必须与涉密计算机系统实行物理隔离。
· 10、在与国际互联网相连的信息设备上不得储存、处理、和传输任何涉密信息。
· 11、应加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。
· 12、涉密人员在其它场所上国际互联网是,要提高保密意识,不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。使用电子函件进行网上信息交流,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。
3. 用户信息安全管理制度
· 1、定期对相关人员进行网络信息安全培训并进行考核,使网站相关管理人员充分认识到网络安全的重要性,严格遵守相应规章制度
· 2、网站平台采用严格的用户注册流程,全面的用户信息登记功能,设定记录基础密码、和用户邮箱等信息,包括用户私人信息和身份证信息,全面保障用户的登记信息完整有效。尊重并保护用户的个人隐私,除了在与用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不随意公布和泄露用户个人身份信息
· 3、网站平台对用户所提供的实名身份信息进行严格的管理及保护,并将使用现有的技术,尽力防止用户的个人资料丢失、泄露、被盗用或遭篡改。 网站平台未经用户授权不公开、修改。透露用户身份信息资料及其他保密性内容,除遇下列情形:
· ① 反相关法律法规或本网站服务协议规定;
· ② 照主管部门的要求,有必要向相关法律部门提供备案的内容;
· ③ 维护社会个体和公众的权利、财产或人身安全的需要;
· ④ 侵害的第三人提出合法的权利主张;
· ⑤ 为维护用户及社会公共利益、本网站的合法权益的需要;
· ⑥ 事先获得用户的明确授权或其它符合需要公开的相关要求。
· 4、因用户自身保护疏忽,造成账号信息泄露、账号被盗等情况。给用户造成损失的,可通过密码找回机制,提供真实有效的注册资料进行核对,由公司网站平台给予账号找回。
我公司严格执行本规章制度,并形成规范化管理,并成立由单位负责人、其他部门负责人、信息管理主要技术人员组成的网络信息安全小组,并确定至少两名安全负责人作为突发事件处理的直接责任人。