1、网站安全保障措施
为保证给用户提供畅通的网络服务,公司与提供优质网络服务的公司签订网络接入协议,以此来保证网络的稳定性。同时,为保证服务器的安全, 公司将所有服务系统放置在硬件防火墙后,并且制定严谨有效的安全访问策略,定期进行安全分析与系统漏洞测试,适时对硬件与策略进行升级,确保系统安全、可靠、稳定地运行。时时刻刻完善自身系统,杜绝程序漏洞,防止黑客攻击。具体内容包括:
① 配备专业的维护人员为用户提供服务的系统进行全天候的监控,一旦应用系统发生故障,维护人员可立即解决问题并使系统恢复正常,严格遵守运营商提出的技术要求,在要求的时间内正确处理用户的请求服务,对用户的请求进行响应,并回复给用户请求的内容,保证内容准确无误。
② 对用户提供的各项服务均确保征得用户的同意,在提供的各项服务有明确的收费标准,在给用户提供服务时提供资费信息,做到资费透明、不设收费陷阱,不乱收费,不设置用户退订服务时的门槛。
③ 为不同的运营商建立独立的数据库,保证对用户的服务质量,同时保证在向运营商通信平台传递数据包时,不产生任何危害网络安全的超负荷流量,不影响现有网络的正常运行。
④ 补丁程序。及时安装各种安全补丁程序,不要给入侵者可乘之机。
⑤ 提高物理环境安全。保证计算机机房内计算机设备不被盗、不被破坏, 如采用高强度电缆在计算机机箱穿过等技术措施。
⑥ 在局域网(LAN)中安装防火墙系统。防火墙系统包括软件和硬件设施,平时需要加以监察和维护。
⑦ 在局域网中安装网络安全审计系统。在要求较高的网络系统中,网络安全审计系统是与防火墙系统结合在一起作为对系统安全设置的防范措施。
⑧ 仔细阅读"系统日志"和“用户日志”。对可疑活动一定要仔细分析,如有人在试图访问一些不安全的服务端口,利用 Finger、Tftp 或用 Debug 手段访问用户邮件服务器等。对此系统管理员应加以关注和分析。
⑨ 加密。加密的方法很多,可视要求而定,如:通讯两端设置硬件加密机、对数据进行加密预处理等。
⑩ 信息过滤。系统平台的非法内容过滤子系统对发布的内容进行严格的监控,一旦发现敏感、非法、黄色等信息,系统会将此条信息视为无效信息, 阻止信息的发送!公司有专人负责过滤内容的收集录入,内容包括中文简体、繁体、英文等各种编码的信息。公司将尽最大限度确保信息的合法性,阻止造成信息安全的非法行为。
2、信息安全保密管理制度
① 机房安全管理措施
除网络管理员外,任何人不得擅自进入机房,不得擅自接触机房设备。不得擅自改动或移动机房内的电源、空调及机柜、服务器、交换机等计算机、网络设备。
严禁带火种进入机房。如发现机房内有烟雾甚至火焰,立即切断电源。
② 完善的系统备份计划
我公司一个月进行一次完全备份,每天进行这一天改变的数据备份,即增量备份,将数据丢失的风险降到最低。备份完成后,会定期检验备份数据的有效性,确保数据万无一失。
③ 系统口令的安全管理
对系统管理员和系统操作员所用口令定时更换,并且位数不能少于8 位。系统管理员调离岗位后应由上级监督检查更换新的密码。员工离职后,其所有账号和口令应立即从相应 PASSWORD 文件中清除。
④ 网络安全
我公司建立了包括网络拓扑结构、网络设备的管理、网络安全访问措施
(防火墙、入侵检测系统、VPN 等)、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等,旨在防范和抵御网络可能受到的攻击, 保证网络资源不被非法使用和访问,保护网内流转的数据安全。其中访问控制是网络安全核心策略之一,包括入网访问、网络授权、目录级安全、属性安全、网络服务器安全、网络监测和锁定、网络端口和节点的安全控制以及防火墙控制等。而安全检查和内容检查又是保护网络安全的有效措施,在加强访问控制的同时,公司对网络传输的数据进行了加密,从而保证网上注册用户的信息安全。
⑤ 系统安全
我公司的系统安全主要是通过制定系统操作人员职责来实现,操作职责是各类人员进入后台系统,进行业务操作的权限。我们的操作职责暂时分为系统管理员、网站编辑两类。
系统管理员职责设置与管理:
系统管理员负责各项子系统的维护,安全性设定等所有基础设置操作; 系统管理员进行系统设置、修改等操作,必须有其上级授权;
系统管理员不得使用他人职责进行业务操作;
系统管理员调离岗位,相关负责人应及时注销其账号并生成新的系统管理员账号。
网站编辑职责:
网站编辑主要负责日常信息的编辑与发布,与用户的沟通与交通网站编辑需要对网站互动性栏目发布内容进行审核。
网站编辑调离岗位,系统管理员应及时注销其账号并生成新的网站编辑账号。
3、用户信息安全管理制度
① 信息安全内部人员保密管理制度:
相关内部人员不得对外泄露需要保密的信息; 内部人员不得发布、传播国家法律禁止的内容; 信息发布之前应该经过相关人员审核;
对相关管理人员设定网站管理权限,不得越权管理网站信息;
一旦发生网站信息安全事故,应立即报告相关方并及时进行协调处理; 对有毒有害的信息进行过滤、用户信息进行保密。
② 登陆用户信息安全管理制度:
对登陆用户信息阅读与发布按需要设置权限; 对会员进行会员专区形式的信息管理;
对用户在网站上的行为进行有效监控,保证内部信息安全; 固定用户不得传播、发布国家法律禁止的内容。