信息安全保障措施28658

1、信息安全保障措施網(wǎng)絡與信息的安全不僅關(guān)系到公司正常業(yè)務的開展，還將影響到國家的安全， 社會的穩(wěn)定。我公司將認真開展網(wǎng)絡與信息安全工作，建立健全的管理制度，落實技術(shù)防范措施，保證必要的經(jīng)費和條件。對有毒有害的信息進行過濾，對用戶信息進行保密，確保網(wǎng)絡與信息安全。我公司承諾在開展信息服務業(yè)務時, 將依照信息產(chǎn)業(yè)部頒布的增值電信業(yè)務網(wǎng)絡信息安全保障基本要求（YDN126-2005）完善公司的網(wǎng)絡與信息安全保障措施 , 制定相應的信息安全管理制度, 建立網(wǎng)絡與信息安全應急流程, 落實信息安全責任 . 具體措施如下：8-1 、信息安全管理人員的要求：8-1-1 、信息安全聯(lián)絡員制度：我公司將建立信息安全

2、聯(lián)絡員制度，具體由趙建強擔任，7*24 小時，我公司承諾， 如我公司信息安全聯(lián)絡員人員有變動和調(diào)整，將在 2 個工作日內(nèi)以書面的方式向陜西省通信管理局進行匯報。8-1-2 、信息安全管理組織機構(gòu)：我公司將建立以副總經(jīng)理徐國華為主的的，以公司技術(shù)部、研發(fā)部、 市場部、客戶部三個部門主管領(lǐng)導為成員的信息安全管理組織機構(gòu)，全面負責公司網(wǎng)絡與信息安全工作. 具體由信息安全聯(lián)絡員趙建強負責實施，由公司技術(shù)部經(jīng)理高強（ 7*24 小時）擔任公司信息系統(tǒng)安全員，由研發(fā)部經(jīng)理劉斌（7*24 小時）擔任公司網(wǎng)絡技術(shù)安全員具體實施和維護網(wǎng)絡和信息安全。8-2、信息安全管理制度要求：8-2-1 、信息安全管理職責我

3、公司信息安全主要由我公司信息安全聯(lián)絡員趙建強督促技術(shù)部和研發(fā)部實施，具體包含以下方面：A、對整個所管范圍的信息系統(tǒng)安全問題負責。在安全方面網(wǎng)絡安全員、系統(tǒng)管理員、網(wǎng)絡管理員和操作員要服從信息系統(tǒng)安全員的領(lǐng)導和管理；B 、負責信息系統(tǒng)安全策略、計劃和事件處理程序的決策；C 、負責安全建設和運營方案的決策；D 、負責安全事件處理的決策；E 、負責信息系統(tǒng)安全培訓。8-2-2 、信息安全管理考核制度：西安鵬博士數(shù)碼科技有限公司網(wǎng)絡信息安全及保密責任管理考核制度 第一章總則第一條為西安鵬博士數(shù)碼科技有限公司網(wǎng)絡系統(tǒng)及網(wǎng)絡的安全運行，特制定本制度。第二條本制度所指計算機和設備為公司所有的辦公計算機以及托

4、管在IDC 機房的計算機及設備。第三條本制度所指網(wǎng)絡為公司局域網(wǎng)和公司業(yè)務服務器網(wǎng)絡。第二章計算機使用管理第四條各指定專門計算機和服務器管理人員，負責計算機的日常管理和維護。第五條計算機管理人員應愛護機器，熟悉計算機性能，定期做好維護和保養(yǎng)工作，發(fā)現(xiàn)問題及時報告和排除。第六條計算機和服務器設備必須專機專用，并設置 6 位以上的密碼。非計算機管理人員和授權(quán)操作人員外任何人員不得以任何理由和任何形式使用計算機。第七條離開計算機時，必須切換到密碼保護狀態(tài)，非工作時間切斷電源，做到人走機停，確保計算機安全。第八條嚴禁在計算機和服務器上安裝與公司日常辦公無關(guān)的任何程序與軟件，確需安裝的，報公司技術(shù)部門批

5、準并對其進行病毒檢測后進行安裝；嚴禁隨意刪除或更改程序文件；嚴禁擅自更改計算機中的任何設置；嚴禁使用計算機進行與本職工作無關(guān)的操作。第九條為公司網(wǎng)絡系統(tǒng)安全工作，軟盤、光盤、u 盤、移動硬盤等外部存儲設備必須做好病毒的防、查、殺工作，確保安全后方可使用。第十條嚴禁任何人私自隨意拆裝、移動計算機設備，更換計算機硬件設備，特殊需要，須報公司技術(shù)部門批準，由計算機管理人員進行操作。第十一條正確地使用和操作計算機和服務器。第三章：操作規(guī)范第十二條服務器操作人員必須設置6 位數(shù)以上的用戶密碼并嚴格保密、定期變更。如遺忘或丟失用戶密碼，要及時與公司技術(shù)部聯(lián)系并重新設置 第十三條業(yè)務操作人員必須執(zhí)行上機操作

6、規(guī)程，嚴格按系統(tǒng)崗位分工和系統(tǒng)授權(quán) 進行規(guī)范化操作。任何人不得越權(quán)或以他人名義進行操作。第十四條在系統(tǒng)運行過程中，操作人員如要離開工作現(xiàn)場，必須在離開前退出系 統(tǒng)，防止他人越權(quán)操作或擅入系統(tǒng)。第十五條業(yè)務操作人員在業(yè)務操作過程中發(fā)現(xiàn)數(shù)據(jù)錯誤或問題， 嚴禁擅自進行數(shù) 據(jù)修改或更改軟件設置。應及時與公司技術(shù)部門聯(lián)系，按規(guī)定的程序進行修改或 設置。第四章網(wǎng)絡安全第十六條網(wǎng)絡系統(tǒng)的安全管理包括保障計算機網(wǎng)絡設備和配套設施的安全、系統(tǒng)數(shù)據(jù)安全和網(wǎng)絡運行環(huán)境的安全。第十七條網(wǎng)絡內(nèi)各客戶端用戶和計算機管理人員必須熟練掌握局域網(wǎng)絡使用的 基本知識，熟悉其使用方法，確保正確、規(guī)范操作。第十八條計算機管理人員要定

7、期和不定期的檢查網(wǎng)絡設備及配套設施是否正常 運行，網(wǎng)絡是否暢通，以保證業(yè)務的正常使用。如發(fā)現(xiàn)問題及時進行解決，不能 解決的與技術(shù)部門聯(lián)系，確保網(wǎng)絡隨時暢通。第十九條嚴格遵守信息傳遞操作流程。各客戶端計算機可根據(jù)工作需要設立共享 硬盤或文件夾，以方便相關(guān)資料、信息的傳遞和使用，設立的共享硬盤或文件夾 使用完畢后應立即取消共享設置。第二十條網(wǎng)絡用戶密碼及共享權(quán)限密碼嚴禁外泄。未經(jīng)同意嚴禁擅自拷貝其他工 作站的程序及內(nèi)容；嚴禁擅自修改他人文件。第二十一條網(wǎng)絡內(nèi)各客戶端計算機必須安裝防病毒軟件，發(fā)現(xiàn)病毒應立即采取殺 毒措施，確實無法解決的，必須盡快與技術(shù)部門聯(lián)系。第二十二條計算機操作人員嚴禁制造、復制

8、病毒并在網(wǎng)上傳播，嚴禁通過網(wǎng)絡干 擾、攻擊服務器和其它工作站，不得破壞、竊取服務器和其它計算機的數(shù)據(jù)文件 資料，不得發(fā)送垃圾信息、散布謠言、發(fā)表反動言論等活動。第二十三條為防止數(shù)據(jù)被非法或越權(quán)竊取， 以及遭受病毒入侵和黑客攻擊，各網(wǎng) 絡嚴格實行與其它任何網(wǎng)絡絕對物理隔離。第二十四條嚴禁瀏覽和傳遞與業(yè)務無關(guān)的信息，節(jié)約網(wǎng)絡資源。第五章責任追究第二十五條因管理人員或業(yè)務操作人員疏忽或操作失誤等原因，給工作帶來影響，但經(jīng)努力可以挽回的，對其進行批評教育；若操作人員違反操作規(guī)程，使工作或財產(chǎn)蒙受損失的，要追究當事人的行政和經(jīng)濟責任。第二十六條因管理人員或業(yè)務操作人員不負責任或管理不善，發(fā)生泄密、數(shù)據(jù)丟

9、失、 資產(chǎn)損失等重大安全事故，將按照國家法律有關(guān)規(guī)定，追究相關(guān)人員的法律責任。8-2-3 、有害信息發(fā)現(xiàn)處置機制：A、有害信息的發(fā)現(xiàn)；公司信息安全責任小組7*24小時有信息安全員在線負責有害信息的篩選，當發(fā)現(xiàn)有害信息出現(xiàn)的時候，第一時間聯(lián)絡公司網(wǎng)絡信息安全相關(guān)責任人，并同時上報公司信息安全聯(lián)絡員，同時采取必要的手段，防止有害信息的進一步擴散和滿意；B、 有害信息的處理；當信息安全人員查看或發(fā)現(xiàn)有害信息時，信息安全人員再通知和上報公司網(wǎng)絡安全責任人和信息安全聯(lián)絡員之后，將立即刪除有害信息，同時保存有關(guān)記錄，并立即向通信管理局和公安機關(guān)報告。C、 公司接受并配合通信管理局和公安機關(guān)的安全監(jiān)督、檢查

10、和指導，如實向以上兩個部門提供有關(guān)安全保護的信息、資料和數(shù)據(jù)文件，協(xié)助公安機關(guān)查處通過國際互聯(lián)網(wǎng)的計算機信息網(wǎng)絡的違法犯罪行為。8-2-4 、有害信息投訴受理處置機制：我公司客服電話對用戶提供7*24 小時服務，如有用戶投訴我公司業(yè)務出現(xiàn)有害信息，我公司客服將第一時間通知主管客服以及信息安全聯(lián)絡員，同時啟動“有害信息發(fā)現(xiàn)處置機制”。8-2-5 、重大信息安全事件應急處置和報告制度：A、 當發(fā)生網(wǎng)絡與信息安全事件時，首先應區(qū)分事件性質(zhì)為自然災害事件或人為破壞事件，根據(jù)兩種情況分別采用不同處置流程。流程一： 當事件為自然災害事件時，應根據(jù)實際情況，在保障人身安全的前提下，首先保障數(shù)據(jù)安全，然后保障

11、設備安全。具體方法有：硬盤拔出與保存，設備斷電與拆卸、搬遷等。流程二： 當事件為人為或病毒破壞事件時，首先判斷破壞來源與性質(zhì)，然后斷開影響安全的網(wǎng)絡設備，斷開與破壞來源的網(wǎng)絡連接，跟蹤并鎖定破壞來源IP 地址或其它用戶信息，修復被破壞的信息，恢復信息系統(tǒng)。B、事件報告當發(fā)生網(wǎng)絡與信息安全事件時，事發(fā)部門要第一時間向公司信息安全聯(lián)絡員進行報告。初次報告最遲不超過2 小時，報告內(nèi)容包括信息來源、影響范圍、事件性質(zhì)、事件趨勢和擬采取措施等。8-2-6 、信息安全管理政策和業(yè)務培訓制度：A、公司服務器安全制度1、公司服務器和其他計算機之間設置經(jīng)公安部認證的防火墻, 并與專業(yè)網(wǎng)絡安全公司合作，做好安全策

12、略, 拒絕外來的惡意攻擊，保障服務器正常運行。2、在服務器及工作站上均安裝了正版的防病毒軟件，對計算機病毒、有害電子郵件有整套的防范措施，防止有害信息對網(wǎng)站系統(tǒng)的干擾和破壞。3 、 做好生產(chǎn)日志的留存。網(wǎng)站具有保存60 天以上的系統(tǒng)運行日志和用戶使用日志記錄功能，內(nèi)容包括IP 地址及使用情況，主頁維護者、郵箱使用者和對應的 IP 地址情況等。4 、對于信息服務系統(tǒng)建立雙機熱備份機制，一旦主系統(tǒng)遇到故障或受到攻擊導致不能正常運行，保證備用系統(tǒng)能及時替換主系統(tǒng)提供服務。5、關(guān)閉服務器系統(tǒng)中暫不使用的服務功能, 及相關(guān)端口, 并及時用補丁修復系統(tǒng)漏洞, 定期查殺病毒。6、服務器平時處于鎖定狀態(tài), 并

13、保管好登錄密碼; 后臺管理界面設置超級用戶名及密碼, 并綁定 IP, 以防他人登入。7、服務器提供集中式權(quán)限管理，針對不同的應用系統(tǒng)、終端、操作人員，由網(wǎng)站系統(tǒng)管理員設置共享數(shù)據(jù)庫信息的訪問權(quán)限，并設置相應的密碼及口令。不同的操作人員設定不同的用戶名，且定期更換，嚴禁操作人員泄漏自己的口令。對操作人員的權(quán)限嚴格按照崗位職責設定，并由網(wǎng)站系統(tǒng)管理員定期檢查操作人員權(quán)限。B、信息安全保密管理制度1 、 我公司建立了健全的信息安全保密管理制度，實現(xiàn)信息安全保密責任制，切實負起確保網(wǎng)絡與信息安全保密的責任。嚴格按照“誰主管、誰負責”、 “誰主辦、誰負責”的原則，落實責任制，明確責任人和職責，細化工作措

14、施和流程，建立完善管理制度和實施辦法，確保使用網(wǎng)絡和提供信息服務的安全。2 、信息內(nèi)容更新全部由網(wǎng)站工作人員完成, 工作人員素質(zhì)高、專業(yè)水平好,有強烈的責任心和責任感。網(wǎng)站所有信息發(fā)布之前都經(jīng)分管領(lǐng)導審核批準。工作人員采集信息將嚴格遵守國家的有關(guān)法律、法規(guī)和相關(guān)規(guī)定。嚴禁通過我公司短信平臺散布互聯(lián)網(wǎng)信息管理辦法等相關(guān)法律法規(guī)明令禁止的信息（即“九不準” ） ，一經(jīng)發(fā)現(xiàn)，立即刪除。3 、遵守對短信平臺服務信息監(jiān)視，保存、清除和備份的制度。開展對網(wǎng)絡有害信息的清理整治工作，對違法犯罪案件，報告并協(xié)助公安機關(guān)查處。4 、 所有信息都及時做備份。按照國家有關(guān)規(guī)定，服務器將保存60天內(nèi)系統(tǒng)運行日志和用戶

15、使用日志記錄，短信服務系統(tǒng)將保存5 個月以內(nèi)的系統(tǒng)及用戶收發(fā)短信記錄。5、制定并遵守安全教育和培訓制度。加大宣傳教育力度，增強用戶網(wǎng)絡安全意識， 自覺遵守互聯(lián)網(wǎng)管理有關(guān)法律、法規(guī)， 不泄密、 不制作和傳播有害信息，不鏈接有害信息或網(wǎng)頁。6、公司定期對相關(guān)人員進行網(wǎng)絡信息安全培訓并進行考核，使員工能夠充分認識到網(wǎng)絡安全的重要性，嚴格遵守相應規(guī)章制度。8-3、信息安全技術(shù)手段要求：8-3-1 、有害信息發(fā)現(xiàn)和過濾實施方案在網(wǎng)關(guān)處理的短信中，可能含有不良的信息，如果不加阻隔，可能會產(chǎn)生不良的社會影響，所以在網(wǎng)關(guān)的設計中，就包含過濾的處理邏輯。具體實現(xiàn)是，設計一張記錄信息匹配項的過濾表，網(wǎng)關(guān)在初始化時

16、讀入，處理每一條短信業(yè)務時，將短信內(nèi)容和過濾項進行匹配，如果命中，則按規(guī)則將匹配的內(nèi)容過濾或替換成提示信息，然后將原始信息保留到過濾歷史記錄表中備案。8-3-2 、用戶日志60 日留存：保留用戶60天的上下行短信記錄（MO MT和基本的用戶信息表，其中用戶的上下行短信每天各自記錄兩張日志表備案；基本的用戶信息表每天通過數(shù)據(jù)庫作業(yè)每天自動備份到服務器硬盤。同時每周備份完整的數(shù)據(jù)庫信息到服務器硬盤。8-3-3 、網(wǎng)站備案動態(tài)管理：我公司暫不從事經(jīng)營性和非經(jīng)營性互聯(lián)網(wǎng)信息服務，如后續(xù)需要增加經(jīng)營性互聯(lián)網(wǎng)業(yè)務，一方面將重新提交材料向陜西省通信管理局申請，在獲批可以開展經(jīng)營性互聯(lián)網(wǎng)信息服務時，或公司建非經(jīng)營性互聯(lián)網(wǎng)另外將按照工業(yè)和信息化部印發(fā)互聯(lián)網(wǎng)站備案管理工作方案，進行網(wǎng)站備案工作。同時我公司承諾：A、在公司網(wǎng)站開通時在主頁底部的中央位置標明其備案編號，并在備案編號下方按要求鏈接信息