1、网站服务器和其他计算机之间设置经公安部认证的防火墙, 并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。
2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。
3、做好生产日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。
4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。
5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。
6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。
7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。
8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。
为加强公司网络管理,保障网络畅通,杜绝利用网络进行非法活动,使之更好地方便游客,特制定本制度。
(一)、安全教育与培训
1.组织管理员认真学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息发布审核、登记制度》,提高工作人员的维护网络安全的警惕性和自觉性。
2.对公司所有网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,具备基本的网络安全知识。
3.不定期地邀请网安支队有关人员、设备提供商专业技术人员进行信息安全方面的培训,加强对有害信息,特别是影射性有害信息的识别能力,提高防范能力。
4.严格遵守国家、省、市制定的相关法律、行政法规,严格执行我公司制定的《网络安全工作制度》,以人为本,依法管理,确保公司网络安全有序。
(二)、病毒检测和网络安全漏洞检测
1.服务器如果发现漏洞要及时修补漏洞或进行系统升级。
2.网络信息安全员履行对所有上网信息进行审查的职责,根据需要采取措施,监视、记录、检测、制止、查处、防范针对其所管辖网络或入网计算机的人或事。
3.所有用户有责任对所发现或发生的违反有关法律、法规和规章制度的人或事予以制止或向网络中心反映、举报,协助有关部门或管理人员对上述人或事进行调查、取证、处理,应该向调查人员如实提
供所需证据。
4.网络管理员应根据实际情况和需要采用新技术调整网络结构、系统功能,变更系统参数和使用方法,及时排除系统隐患。保障公司网络畅通和网络信息安全。
1.人员管理:系统中的用户要对自己的行为负责,要遵守《机房管理制度》。
2.文档管理:系统所有的网络配置、日常维护等都要有文档可查。
3.日志审计管理:所有的网络节点,包括网络设备和服务器要有日志,并定期对这些日志进行分析,检查违规行为。
4.访问控制管理:安全主管协调组织各管理员严格权限控制,要求系统提供最少的服务、最小的权限。
5.风险管理:安全主管定期进行安全评估、安全加固,加强网络安全。
6.服务可靠性管理:网络要持续不断的运行。维护工作要在用户使用量小的时候进行。要监视网络的运行情况,注意错误和性能问题。尽量在发生之前采取保护措施。系统升级、配置改变要有记录。
7.登录策略:管理员须互相配合制定健全、周密的登录策略。
8.信息存储管理:对涉密信息进行加密与数字签名处理。
9.攻击入侵管理制度:遇有攻击入侵迹象按照《网络安全紧急预案》告知安全主管进行处理。
10.故障报告制度:各管理员须依据现实情况不同向相关部门及公司领导做出汇报。
a)每日汇报内容:
1.受理故障数;
2.当日16:00前未处理故障,内容及原因。
b)立即汇报的内容:
1.机房总电源故障;
2.系统发生故障超过1小时或是阻断;
3.中继中断通信30分钟以上。
11.技术人员24小时值班,确保问题处理的及时性和有效性。
a)运维人员必须根据值班人员顺序表,随时听从上级安排值班任务,如有变动,须提前报告并落实好替代人员,一旦值班名单对外公布后不得更改。
b)值班形式分为现场值班和电话值班两种。
i.现场值班人员职责:
1.值班人员在自己负责的范围内,规定至少每日履行一次常规的业务功能巡检并及时进行问题处理。
2.值班人员应及时受理自己负责的范围内问题电话,而且必须接听其它的维护电话并协助处理,需要求助处理时,可联系负责相应模块的维护人员进行协同处理。
ii.电话值班人员职责:
1.保证移动电话24小时畅通,遇到远程不能解决的问题时,需及时到运维现场处理。
2.重要事件须立即报告业务组主管,并联系有关人员及时处理。
3.值班情况统计记录在运维日志上。
1.落实网络安全岗位责任制,并与公安一旦发现网络违法案件,应详细、如实记录事件经过,保存相关日志,及时通知有关人员部门取得联系。
2.接到有关网络违法案件举报时,要详细记录,对举报人的身份等要严格保密,及时通知有关人员,并及时与公安部门取得联系。
3.当有关网络安全监察部门进行网络违法案件及其他网络安全检查时,网络安全员和其他有关人员必须积极配合。
4.对于所有客户域名和网站内容进行实时监控,对于违反国家规定的相关网站和域名立即关停。
5.相关责任人定期或不定期检查客户网站信息内容,实施有效监控,做好安全监督工作;
6.客户不得利用国际互联网制作、复制、查阅和传播一系列以下信息,如有违反规定立即关停网站;
A、违反宪法所确定的基本原则的;
B、危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
C、损害国家荣誉和利益的;
D、煽动民族仇恨、民族歧视、破坏民族团结的;
E、破坏国家宗教政策,宣扬邪教和封建迷信的;
F、散布谣言,扰乱社会秩序,破坏社会稳定的;
G、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
H、侮辱或者诽谤他人,侵害他人合法权益的;
I、含有法律、行政法规禁止的其他内容的。
1、登记注册表应由专人负责保管,未经授权不得复制、透露给第三方;
2、只允许用户的单一登录;即单一用户名只对应单一口令
3、对登陆用户信息阅读与发布按需要设置权限 。用户可自主改变登录密码,以保护用户信息的隐私权;
4、对会员进行会员专区形式的信息管理;
5、对用户在网站上的行为进行有效监控,保证内部信息安全;
6、规定用户不得传播、发布国家法律禁止的内容。
7、针对用户发布信息建立审核机制,设定信息开关,所有信息一律师事务所审核后再开放显示。
8、除用户授权外,系统管理员不得对用户信息进行复制、删改;
9、定期将用户信息备份并保存,以防用户误操作,丢失原有信息;
10、加强对用户的网络制度、法律法规的宣传;并组织集中学习与培训,加强用户相关的法律意识,提高用户的自我束约能力。
11、固定用户不得传播、发布国家法律禁止的内容。
12、如用户要求对服务器网络配置进行改动、增减信息目录结构,用户需要向系统分析员提出书面申请。
三、网络安全防护技术手段
为加强公司网络管理,保障网络畅通,公司采用的软硬结合的网络安全技术防护手段,分别介绍如下:
(一、软件安全防护
1、在服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,通过定期查杀病毒,防止有害信息对网站系统的干扰和破坏。
2、所有服务器操作系统必须及时更新修补漏洞。
3、操作系统本身要足够强壮,访问策略要安全合理,密码复杂程度要符合要求。系统进行权限控制,针对不同部门和不同角色进行分层控制。将系统使用风险局限在局部人员。
4、关闭系统中暂不使用的服务功能,及相关端口,避免不必要的入侵和信息泄露的可能。
5、定期修改服务器及系统登录密码,避免人为泄露造成公司网络安全事故。
6、所有系统都具有系统运行日志和用户使用日志功能,内容包括客户操作IP地址及功能使用情况。
7、所有信息服务系统建立了备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。
8、服务器及公司业务后台页面均设置为通过V-P-N访问,非我司允许的特定IP,不能够登录系统和服务器,降低和避免入侵风险。
9、定期对公司技术人员进行安全教育培训,提高全员的安全意识和业务技能。
二、硬件防护
1、在网络出入口安装了金盾2000+硬件防火墙。
2、所有交换机都开启ARP攻击防护功能及策略。
3、所有交换端口做静态绑定,并做好每个端口的绑定日志记录。
4、在交换机和服务器上均设置访问策略,禁止未授权访问请求通过。
5、交换机均为可管理网络行为的交换机,对服务器网络行为进行安全策略配置。
三、架构设计合理
1、数据库服务器不直接联通公网,避免数据库服务器受到攻击,导致数据外泄。
2、应用程序和数据库分别安装在不同的服务器上,通过内网交换机进行互通访问。
3、所有服务器均仅开放指定端口进行互通访问。
4、内外交换机均设置安全管理策略,保证故障点的准确定位及及时处理。
5、所有服务器均配置备用设备,保证网站的持续访问。