网络与信息安全保障措.doc

网络与信息安全保障措施为切实保证我公司的网络和信息安全，根据我国计算机信息网络国际互联网安全保护管理办法和互联网安全保护技术措施规定的相关规定，特制定如下措施。一、技术保障措施（一）对所有接入移动网的计算机使用经公安机关检测合格的防病毒产品并定期下载病毒特征码对杀毒软件升级，确保计算机不会受到已发现的病毒攻击。（二）确保物理网络安全，防范因为物理介质、信号辐射等造成的安全风险。（三）采用网络安全控制技术、防火墙、IDS等设备对网络安全进行防护。（四）制定系统安全技术措施，使用漏洞扫描软件扫描系统漏洞，关闭不必要的服务端口。（五）制定口令管理制度，防止系统口令泄漏和被暴力破解。（六）制定系统补丁的管理制度，确定系统补丁的更新、安装、发布措施，及时堵住系统漏洞。二、硬件设置的保障硬件采用IBM、DELL等高性能商用服务器，系统以位于主干网上的服务器为硬件平台，即作为数据服务器，管理原始商业信息并响应商业服务器提出的服务请求，又作为WEB服务器，以高速率发布信息，服务器还具有定位其他服务器的功能。三、安全员制度1、公司设立2人以上专职或兼职计算机信息网络安全员（以下简称安全员）；2、安全员主要负责公司网络的系统安全性；3、安全员负责全公司员工网络安全方面操作和知识的培训；4、安全员负责重要数据库和系统主要设备的冗灾备份工作；5、安全员必须按照有关规定做好网络运行日志留存工作，并保留60天以上；6、定期进行防病毒系统、防火墙和入侵检测系统的升级工作。定期对系统作安全检测，及时发现安全漏洞予以消除，对检测结果和漏洞消除情况有记录；7、安全员应经常学习网络信息安全知识，做好预防为主；8、安全员承担对不良、有害信息上报、处置工作职责；四、机房管理制度1、机房由专人专管，严禁无关人员进入机房，进入机房必须进行身份登记。2、禁止携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品进入机房；3、严禁随意设定、更改和增减运行设备的各种配置，操作权限仅限个别人员掌握。4、关键系统的超级用户权限由专人负责，安全负责人应定期修改操作密码（以前使用过的密码不得再次使用）；5、定期做好各种主要数据的冗灾备份；6、每日做好机房管理工作记录，软件维护、增删、配置的更改，以及各类硬件设备的添加、更换应及时认真准确登记；7、应定期检查机房消防器材，确保能正常工作；8、保持机房环境整洁，无杂物。网络布线整齐，主要线路标记清楚。五、信息安全管理责任制为保证公司网络的信息安全，公司实行“谁主管、谁主办、谁负责”的原则，加强对网络信息的日常管理。1、公司网络信息管理，总经理是第一责任人。2、分管信息安全小组的成员负领导责任及主要责任。 3、信息安全协调工作组负责网络信息管理的协调、监控，负责信息汇总、组织检查、督促整改。4、各网站建设部门负责网络信息的检查、有害信息的删除、上报。检查的重点内容：（1）反对宪法所确定的基本原则的：（2）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（3）损害国家荣誉和利益的；（4）煽动民族仇恨、民族歧视，破坏民族团结的；（5）破坏国家宗教政策，宣扬邪教和封建迷信的；（6）散布谣言，扰乱社会秩序，破坏社会稳定的；（7）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；（8）侮辱或者诽谤他人，侵害他人合法权益的；（9）含有法律、行政法规禁止的其他内容的。凡发现有明显属于上述所列内容之一者，应当立即删除，保存有关记录，并向上级领导报告。六、信息安全保密管理制度（一）、 信息安全内部人员保密管理制度：1、 相关内部人员不得对外泄露需要保密的信息；2、 内部人员不得发布、传播国家法律禁止的内容；3、 信息发布之前应该经过相关人员审核；4、 对相关管理人员设定网站管理权限，不得越权管理网站信息；（二）、 登陆用户信息安全管理制度：1、对用户在网站上的行为进行有效监控，保证内部信息安全；2、 固定用户不得传播、发布国家法律禁止的内容。 七、有害信息发现处置机制凡本公司工作人员，均有责任和义务监督、发现、报告和处理网站信息系统的有害信息，发现有害信息时的处置程序如下：及时取证：包括信息全部内容及有关来源网址的信息。及时报告：应在发现后24小时内向信息安全员报告并保护相关资料，条件允许的情况下应停机等候处理。消除有害信息：经信息安全员许可，发现单位和个人，在技术许可的条件下，有权及时清除所发现的有害信息，以免进一步传播。相关技术人员必须在接到通知后立即赶到现场，做好必要记录，清理非法信息，妥善保存有关记录及日志或审计记录，强化安全防范措施，并将网站网页重新投入使用。情况紧急的，先采取删除等处理措施，再按程序报告。遵守对网站服务信息监视，保存、清除和备份制度，继续开展对网络有害信息的清理整治工作。对于在工作中违反公司规定的，予以通报批评，追究负责人的责任。有害信息包括：（一）煽动抗拒、破坏宪法和法律、行政法规实施的；（二）煽动颠覆国家政权，推翻社会主义制度的；（三）煽动分裂国家、破坏国家统一的；（四）煸动民族仇恨、民族歧视，破坏民族团结的；（五）捏造或者歪曲事实，散布谣言，扰乱社会秩序的；（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；（七）公然侮辱他人或者捏造事实诽谤他人的；（八）损害国家机关信誉的；（九）其他违反宪法和法律、行政法规的。 八、有害信息投诉受理处置机制（一）投诉受理1、受理投诉举报实行“首问责任制”，即谁接到投诉举报，谁负责做及时处理，不得推诿。2、接待投诉举报态度要和蔼，耐心听取陈述，属受理范围的投诉，要及时受理，不得推诿。3、受理投诉举报问题和案件，应本着从速从快的原则，需立案调查的，及时按案件审批程序办理。（二）处置机制1、对因特殊情况未能在规定时间内办结有关事项而被投诉的，由我公司派人上门向投诉者进行说明情况，进行解释或赔礼道歉。2、对投诉失实的，我公司负责人应向投诉者进行解释，澄清事实。投诉者对投诉结论不服的，向作出处理结论部门的上一级信息安全机构申请复查。3、对网站传输的信息内容难以辨别的，暂时传输，并经相关主管部门审核同意后再发布。我公司承诺直觉接受电信管理机构和有关管理部门的监督检查，积极配合相关管理部门的管理工作。九、重大信息安全事件应急处置和报告制度公司采用相应的技术手段，对计算机网络与信息安全进行实时检测与监控，发现重大信息安全事件及时向网络与信息安全管理部门报告并采取处理措施。按照事件的严重情况分为四个等级：特别重大事件（1级）、重大事件（2级）、较大事件（3级）和一般事件（4级）。（一） 应急事件报告出现公司内部所管辖的网络和信息安全事件时，一般事件在公司内报警并作相关处理。重大事件和影响超出公司管辖范围时，向上级管理部门紧急报警。一般安全事件，向入侵者所在的网络管理员投诉。遇到重大信息安全事件时（如造成重大经济损失，破坏国家信息安全的反动政治言论），及时清除、保留证据，立即向网络和信息安全事件应急小组报告。网络和信息安全事件应急小组接到报告后，立即对发生的事件进行调查核实、保持相关证据，确定事件等级，上报相关材料或提出启动原申请。整个事件过程及处理事故阶段由专人负责，认真调查分析事件发生的原因