信息安全保障措施94801

1、網(wǎng)站運(yùn)行安全保障措施1、網(wǎng)站服務(wù)器和其他計(jì)算機(jī)之間設(shè)置防火墻 （硬件防火墻正在采購中） , 做好安 全策略, 拒絕外來的惡意攻擊，保障網(wǎng)站正常運(yùn)行。2、在網(wǎng)站的服務(wù)器及工作站上均安裝了相應(yīng)的防病毒軟件，對(duì)計(jì)算機(jī)病毒、有 害電子郵件有整套的防范措施，防止有害信息對(duì)網(wǎng)站系統(tǒng)的干擾和破壞。3、做好訪問日志的留存。網(wǎng)站具有保存六月以上的系統(tǒng)運(yùn)行日志和用戶使用日 志記錄功能，內(nèi)容包括 IP 地址及使用情況，主頁維護(hù)者、對(duì)應(yīng)的 IP 地址情況等。4、交互式欄目具備有 IP 地址、身份登記和識(shí)別確認(rèn)功能， 對(duì)非法貼子或留言能 做到及時(shí)刪除并進(jìn)行重要信息向相關(guān)部門匯報(bào)。5、網(wǎng)站信息服務(wù)系統(tǒng)建立多機(jī)備份機(jī)制，一

2、旦主系統(tǒng)遇到故障或受到攻擊導(dǎo)致 不能正常運(yùn)行，可以在最短的時(shí)間內(nèi)替換主系統(tǒng)提供服務(wù)。6、關(guān)閉網(wǎng)站系統(tǒng)中暫不使用的服務(wù)功能 ,及相關(guān)端口 ,并及時(shí)用補(bǔ)丁修復(fù)系統(tǒng)漏 洞, 定期查殺病毒。7、服務(wù)器平時(shí)處于鎖定狀態(tài) ,并保管好登錄密碼 ; 后臺(tái)管理界面設(shè)置超級(jí)用戶名 及密碼,并綁定IP,以防他人登入。8、網(wǎng)站提供集中式權(quán)限管理，針對(duì)不同的應(yīng)用系統(tǒng)、終端、操作人員，由網(wǎng)站 系統(tǒng)管理員設(shè)置共享數(shù)據(jù)庫信息的訪問權(quán)限， 并設(shè)置相應(yīng)的密碼及口令。 不同的 操作人員設(shè)定不同的用戶名， 且定期更換， 嚴(yán)禁操作人員泄漏自己的口令。 對(duì)操 作人員的權(quán)限嚴(yán)格按照崗位職責(zé)設(shè)定， 并由網(wǎng)站系統(tǒng)管理員定期檢查操作人員權(quán) 限。

3、9、公司機(jī)房按照電信機(jī)房標(biāo)準(zhǔn)建設(shè)，內(nèi)有必備的獨(dú)立 UPS不間斷電源，能定期 進(jìn)行電力、防火、防潮、防磁和防鼠檢查。信息安全保密管理制度1、我公司建立了健全的信息安全保密管理制度，實(shí)現(xiàn)信息安全保密責(zé)任制，切 實(shí)負(fù)起確保網(wǎng)絡(luò)與信息安全保密的責(zé)任。 嚴(yán)格按照“誰主管、 誰負(fù)責(zé)”、 “誰主 辦、誰負(fù)責(zé) ”的原則，落實(shí)責(zé)任制，明確責(zé)任人和職責(zé)，細(xì)化工作措施和流程， 建立完善管理制度和實(shí)施辦法，確保使用網(wǎng)絡(luò)和提供信息服務(wù)的安全。2、網(wǎng)站信息內(nèi)容更新全部由網(wǎng)站工作人員完成或管理 ,工作人員素質(zhì)高、 專業(yè)水 平好, 有強(qiáng)烈的責(zé)任心和責(zé)任感。網(wǎng)站相關(guān)信息發(fā)布之前有一定的審核程序。工 作人員采集信息將嚴(yán)格遵守國家

4、的有關(guān)法律、 法規(guī)和相關(guān)規(guī)定。 嚴(yán)禁通過我公司網(wǎng)站散布互聯(lián)網(wǎng)信息管理辦法等相關(guān)法律法規(guī)明令禁止的信息（即“九不準(zhǔn)”），一經(jīng)發(fā)現(xiàn)，立即刪除。3、遵守對(duì)網(wǎng)站服務(wù)信息監(jiān)視，保存、清除和備份的制度。開展對(duì)網(wǎng)絡(luò)有害信息 的清理整治工作，對(duì)違法犯罪案件，報(bào)告并協(xié)助公安機(jī)關(guān)查處。4、 所有信息都及時(shí)做備份。按照國家有關(guān)規(guī)定，網(wǎng)站將保存6月內(nèi)系統(tǒng)運(yùn)行日 志和用戶使用日志記錄。5、制定并遵守安全教育和培訓(xùn)制度。加大宣傳教育力度，增強(qiáng)用戶網(wǎng)絡(luò)安全意 識(shí)，自覺遵守互聯(lián)網(wǎng)管理有關(guān)法律、法規(guī)，不泄密、不制作和傳播有害信息，不 鏈接有害信息或網(wǎng)頁。三、用戶信息安全管理制度1、我公司鄭重承諾尊重并保護(hù)用戶的個(gè)人隱私，除了在

5、與用戶簽署的隱私政策 和網(wǎng)站服務(wù)條款以及其他公布的準(zhǔn)則規(guī)定的情況下，未經(jīng)用戶授權(quán)我公司不會(huì)隨 意公布與用戶個(gè)人身份有關(guān)的資料，除非有法律或程序要求。2、嚴(yán)格遵守網(wǎng)站用戶帳號(hào)使用登記和操作權(quán)限管理制度，對(duì)用戶信息專人管理,嚴(yán)格保密，未經(jīng)允許不得向他人泄露。公司定期對(duì)相關(guān)人員進(jìn)行網(wǎng)絡(luò)信息安全培訓(xùn)并進(jìn)行考核，使相關(guān)人員能夠充 分認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性，嚴(yán)格遵守相應(yīng)規(guī)章制度。四、對(duì)公司內(nèi)部服務(wù)質(zhì)量的管理在互聯(lián)網(wǎng)業(yè)務(wù)迅速發(fā)展的今天，服務(wù)質(zhì)量的高低已漸漸成為評(píng)價(jià)一家服務(wù)提 供商業(yè)務(wù)能力的重要指標(biāo)，同時(shí)也成為業(yè)務(wù)發(fā)展成敗的關(guān)鍵，直接關(guān)系到眾商家 的經(jīng)濟(jì)利益，因此，IT服務(wù)管理工作日漸被眾多企業(yè)提到議事日程上

6、來。電信 與信息服務(wù)是一個(gè)動(dòng)態(tài)過程，它包括規(guī)劃設(shè)計(jì)、協(xié)商、服務(wù)提供、服務(wù)的使用和 服務(wù)的終止5個(gè)過程；相應(yīng)地，服務(wù)質(zhì)量管理也應(yīng)該是一個(gè)動(dòng)態(tài)過程。從生命周期法的原理來看，服務(wù)質(zhì)量管理由四個(gè)階段組成：設(shè)計(jì)、協(xié)商、實(shí) 施和反饋。首先，作為服務(wù)提供者，我們根據(jù)客戶的實(shí)際情況和需求，對(duì)服務(wù)的 質(zhì)量水平、 質(zhì)量參數(shù)和成本等進(jìn)行計(jì)劃和設(shè)計(jì)； 然后，我們和合作伙伴就服務(wù)質(zhì) 量進(jìn)行協(xié)商，分配、明確各自的職責(zé)，并簽署相應(yīng)協(xié)議，這是為客戶提供可靠服 務(wù)，服務(wù)提供者之間平衡并達(dá)成一致的過程；之后，雙方根據(jù)服務(wù)質(zhì)量協(xié)議，對(duì) IT 服務(wù)質(zhì)量進(jìn)行控制、監(jiān)督、改正和提高，并在需要時(shí)重新進(jìn)入第二階段；最 后，雙方對(duì)整個(gè)服務(wù)過程

7、的服務(wù)質(zhì)量加以評(píng)審，確定相關(guān)費(fèi)用。具體來看，基于生命周期的增值業(yè)務(wù)服務(wù)質(zhì)量管理具有下列幾部分：系統(tǒng)地管理服務(wù)質(zhì)量。我們保證為用戶提供 24X 7小時(shí)的支持、不少于3 個(gè)客戶服務(wù)工位，不少于 5個(gè)客戶服務(wù)人員 ,每一白班不少于 2名客服。服務(wù)質(zhì)量的管理與服務(wù)流程本身緊密結(jié)合。 在決定提供增值業(yè)務(wù)服務(wù)時(shí)， 一 方面從客戶的角度， 考慮怎樣才能使客戶滿意， 并以此為原則來設(shè)計(jì)服務(wù)； 另一 方面，以服務(wù)提供者的角度， 從成本、 收益和風(fēng)險(xiǎn)等角度確定能提供和保證的服 務(wù)質(zhì)量。服務(wù)質(zhì)量本身就是服務(wù)協(xié)商階段的一項(xiàng)非常重要的內(nèi)容。 在提供和實(shí)施 服務(wù)時(shí)，服務(wù)質(zhì)量是雙方交流的共同語言， 實(shí)施服務(wù)質(zhì)量管理與提供相

8、應(yīng)服務(wù)是 一個(gè)不可分割的過程。 最后，只有在評(píng)審服務(wù)質(zhì)量， 雙方確認(rèn)服務(wù)水平協(xié)議執(zhí)行 情況后，才能終止服務(wù)。有效反饋。在業(yè)務(wù)提供的過程中， 作為服務(wù)提供商中擁有主要技術(shù)力量的一 方，我們嚴(yán)格按照服務(wù)質(zhì)量評(píng)價(jià)指標(biāo)，總結(jié)、分析客戶投訴，以更有效的利用反 饋信息，改正服務(wù)、提高服務(wù)質(zhì)量。電信增值業(yè)務(wù)內(nèi)部服務(wù)質(zhì)量管理的“對(duì)象” （ITIL ）主要有：領(lǐng)導(dǎo)人員、市 場(chǎng)人員、開發(fā)人員、客戶服務(wù)人員。為實(shí)現(xiàn)控制產(chǎn)品質(zhì)量，對(duì)上述不同角色的要 求有不同的標(biāo)準(zhǔn)?？己祟I(lǐng)導(dǎo)人員工作質(zhì)量的指標(biāo)有：是否正確把握市場(chǎng)方向；是否很好的 協(xié)調(diào)公司內(nèi)部員工的工作；是否對(duì)相關(guān)行業(yè)的發(fā)展有一定的前瞻性等 , 對(duì)產(chǎn)品的研究開發(fā)方向是否

9、能準(zhǔn)確把握。考核市場(chǎng)人員工作質(zhì)量的指標(biāo)有：是否按時(shí)完成相關(guān)市場(chǎng)銷售計(jì)劃；是 否能按照公司業(yè)務(wù)開展的要求完成市場(chǎng)拓展等，是否能及時(shí)反饋新的市 場(chǎng)需求?？己碎_發(fā)人員工作質(zhì)量的指標(biāo)有： 是否按質(zhì)按量完成公司開發(fā)計(jì)劃 , 是否 能及時(shí)完成新的功能開發(fā)等。 考核客戶服務(wù)人員工作質(zhì)量的指標(biāo)有：是否及時(shí)響應(yīng)客戶請(qǐng)求；是否讓 用戶對(duì)自己的解答感到滿意；態(tài)度是否被用戶接受等。下面將對(duì)生命周期每個(gè)階段怎樣實(shí)施問題逐一進(jìn)行分析。1、服務(wù)質(zhì)量的規(guī)劃與設(shè)計(jì)具體來說，在服務(wù)質(zhì)量設(shè)計(jì)階段我們主要做以下工作：(1) 根據(jù)提供的服務(wù)，分析客戶質(zhì)量需求。(2) 根據(jù)客戶質(zhì)量需求進(jìn)行“成本 - 效益”分析。同一質(zhì)量標(biāo)準(zhǔn)的增值服務(wù)對(duì)

10、 不同的客戶可能成本不相同。比如，服務(wù)質(zhì)量要求是在 1 小時(shí)內(nèi)重啟客 戶的主機(jī)，對(duì)主機(jī)分散的客戶和主機(jī)集中的客戶成本可能差別很大。進(jìn) 一步，如果將這個(gè)任務(wù)分包給第三方，對(duì)成本的影響也需事先加以測(cè)算。 最后，即使某一單項(xiàng)服務(wù)質(zhì)量保證從“成本 - 效益”分析不可行，但從整 體上也許是可行的。正如戴爾公司的經(jīng)營哲學(xué)“我們有限承諾，但超值 交付”。(3) 風(fēng)險(xiǎn)分析。即使“有限承諾”也是有風(fēng)險(xiǎn)的。由于信息系統(tǒng)和信息技術(shù) 對(duì)企業(yè)戰(zhàn)略及其業(yè)務(wù)運(yùn)作越來越關(guān)鍵，并且隨著信息技術(shù)的發(fā)展，信息 系統(tǒng)也越來越復(fù)雜，前后一致地有效管理服務(wù)質(zhì)量對(duì)我們服務(wù)提供商來 說是巨大的挑戰(zhàn)。質(zhì)量風(fēng)險(xiǎn)可分為兩個(gè)方面，一是為了提供某種質(zhì)

11、量要 求的服務(wù)，我們所面臨的風(fēng)險(xiǎn)，另一個(gè)是，如果服務(wù)質(zhì)量沒有符合要求， 要彌補(bǔ)客戶損失的風(fēng)險(xiǎn)。2、服務(wù)質(zhì)量的協(xié)調(diào)溝通完善階段根據(jù)服務(wù)復(fù)雜性的不同，協(xié)商階段可能是一個(gè)非常耗費(fèi)時(shí)間和精力的過程。 雙方至少要就下列問題進(jìn)行討論并達(dá)成一致：(1) 質(zhì)量評(píng)價(jià)指標(biāo)。歸納起來，質(zhì)量評(píng)價(jià)指標(biāo)分為四類：基于時(shí)間的指標(biāo)：如7天X 24小時(shí)技術(shù)支持、一年中網(wǎng)絡(luò)崩潰的時(shí)間不超過 1小時(shí)等；基 于數(shù)目的指標(biāo)：如系統(tǒng)在業(yè)務(wù)高峰時(shí)允許最多 100 個(gè)用戶同時(shí)使用等； 基于頻率的指標(biāo)：如每隔 2 天備份一次客戶的數(shù)據(jù)庫，實(shí)時(shí)性信息每隔天更新一次等。(2) 免責(zé)條款。它規(guī)定在何種情況下，如不可抗拒的自然災(zāi)害等，服務(wù)提供 者可免

12、除因此而沒有達(dá)到服務(wù)質(zhì)量標(biāo)準(zhǔn)的責(zé)任。(3) 懲罰條款。當(dāng)服務(wù)質(zhì)量沒有達(dá)到事先制定的標(biāo)準(zhǔn)時(shí)，視具體情況分析怎 樣懲罰服務(wù)提供者，或者當(dāng)因此造成客戶重大損失時(shí)，我們與客戶協(xié)商 彌補(bǔ)損失的方法。3、計(jì)劃的具體實(shí)現(xiàn)階段任何計(jì)劃都要付諸實(shí)施才能發(fā)揮起價(jià)值， 實(shí)施階段既是前兩個(gè)階段成果的應(yīng) 用和檢驗(yàn)， 更是后階段即評(píng)審階段的分析基礎(chǔ)。 實(shí)施階段實(shí)質(zhì)上是一個(gè)控制、 監(jiān) 督、測(cè)量和改進(jìn)的不斷循環(huán)的過程。 控制工作是由公司專門的質(zhì)量控制人員對(duì)公 司全體員工的工作進(jìn)度、質(zhì)量進(jìn)行監(jiān)督管理的過程，還要對(duì)服務(wù)質(zhì)量進(jìn)行測(cè)量， 確保服務(wù)符合質(zhì)量要求。 在正常情況下， 定期或不定期測(cè)量客戶滿意度， 調(diào)整服 務(wù)過程，提高服務(wù)質(zhì)

13、量。 若出現(xiàn)質(zhì)量問題， 就應(yīng)該協(xié)調(diào)相關(guān)責(zé)任人一起找出原因 并加以改正或改進(jìn)。4、服務(wù)成果的驗(yàn)收階段評(píng)審階段是對(duì)前面三個(gè)階段作綜合分析和評(píng)價(jià)。 它主要有兩個(gè)作用， 一是“評(píng) 定”，即從整體上評(píng)定所提供的服務(wù)是否達(dá)到服務(wù)水平協(xié)議規(guī)定的質(zhì)量標(biāo)準(zhǔn)，是 否讓客戶滿意；另外一個(gè)是“審核” ，即我們對(duì)自己提供的該項(xiàng)服務(wù)全過程進(jìn)行 審核，找出不足和差距，加以總結(jié)，反饋給相關(guān)部門和人員。如前所述，傳統(tǒng)的 IT 管理是面向技術(shù)的管理， 而基于生命周期的 IT 服務(wù)管 理則是面向業(yè)務(wù)和應(yīng)用， 科學(xué)地配置設(shè)備、 人員及流程。 我們采取的就是面向業(yè) 務(wù)和應(yīng)用的質(zhì)量管理。 這種方法能夠解決客戶最常提出的疑問如何制定一個(gè)科

14、 學(xué)的流程，再按照這個(gè)流程針對(duì)不同的 IT 應(yīng)用配置相應(yīng)的人員與資源，使 IT 運(yùn)作得最好，既可滿足業(yè)務(wù)需求，又不至于有資源的浪費(fèi)。一般來說，我們對(duì)這 項(xiàng)工作的操作過程是： 首先，制定一個(gè)完整的客戶服務(wù)計(jì)劃， 其內(nèi)容涵蓋了服務(wù) 的各個(gè)環(huán)節(jié)，如：日常管理記錄、緊急處理流程、變更管理等；而后在實(shí)施的過 程中對(duì)此計(jì)劃還會(huì)不斷地評(píng)價(jià)和改善，最后進(jìn)行評(píng)審并加以總結(jié)。另外，我們還將在今后的工作中注意以下問題：1、從客戶的角度出發(fā)看問題，逐步完善流程；2、建立客戶化的支持服務(wù)流程，將客戶支持服務(wù)工作制度化、流程化；3、針對(duì)客戶不同需求制定不同的策略和流程；五、硬件系統(tǒng)為用戶提供長期服務(wù)的保障能力1、不斷提高

15、硬件設(shè)備的可靠性以及處理能力硬件系統(tǒng)的穩(wěn)定是網(wǎng)絡(luò)系統(tǒng)存在的基礎(chǔ)， 只有最好的硬件環(huán)境才能建設(shè)最好 的網(wǎng)絡(luò)系統(tǒng)。 在此，我們選用了國內(nèi)頂級(jí)的服務(wù)器， 用來確保系統(tǒng)硬件平臺(tái)的安 全、穩(wěn)定。外部網(wǎng)絡(luò)環(huán)境的連貫性和可靠性是網(wǎng)絡(luò)系統(tǒng)存在必要條件。 電信通公司穩(wěn)定 的服務(wù)質(zhì)量，完善的安全制度，全面的技術(shù)，豐富的經(jīng)驗(yàn)，世界一流的設(shè)施與專 業(yè)服務(wù)，是我們最好的合作伙伴。2、建立健全公司內(nèi)部安全體制信息安全管理規(guī)范： 包括根據(jù)工作的重要程度， 確定該系統(tǒng)的安全需求； 根 據(jù)確定的安全需求， 確定安全管理的范圍； 制訂相應(yīng)的機(jī)房出入管理制度； 制訂 完備的系統(tǒng)維護(hù)制度；制訂應(yīng)急措施。人員管理機(jī)制：包括多人負(fù)責(zé)制度

16、；任期 有限制度；職責(zé)分離制度。3、完善公司的自有軟件系統(tǒng)和業(yè)務(wù)處理軟件專人負(fù)責(zé)隨時(shí)保持系統(tǒng)的更新與完善， 定期檢測(cè)， 做到防患于未然。 認(rèn)真做 好備份還原工作，以減少突發(fā)事件造成的損失。此外，對(duì)于軟件的可靠性， 健壯性等功能， 我們由專門的測(cè)試技術(shù)小組使用 專業(yè)的測(cè)試工具以及流程來提供可靠的保障， 將故障幾率降低到不多于 3 次/ 年。 并且，在出現(xiàn)故障后，有一套完整的恢復(fù)機(jī)制，使排除故障的時(shí)間保證在 30 分 鐘內(nèi)。此外，對(duì)于軟件的升級(jí)，應(yīng)在夜間使用者最少的時(shí)候進(jìn)行，以盡量減少對(duì) 用戶的影響。4、加強(qiáng)對(duì)員工的培訓(xùn)以人才為核心，以市場(chǎng)為導(dǎo)向，以技術(shù)為依托，以制度為保障，是公司的一 貫方針，公司通過完善的技術(shù)支援流程、 嚴(yán)格的專家培養(yǎng)體系以及相應(yīng)的任職資 格管理制度，培養(yǎng)大量的網(wǎng)絡(luò) / 服務(wù)器設(shè)備維護(hù)專家和技術(shù)管理人才。具備這樣 一批技術(shù)過硬的服務(wù)隊(duì)伍， 工作態(tài)度和嚴(yán)格精神的員工， 是保障服務(wù)的穩(wěn)固性的 最可靠后盾。2、在網(wǎng)站的服務(wù)器及工作站上均安裝了相應(yīng)的防病毒軟件，對(duì)計(jì)算機(jī)病毒、有蟄劍您憋巡姑格界欠族刑哎訃衷渠苫拷 菱疵鐮流脂套篩曠李嚷滋杉械滋厚批左凜傻像襟敏杰殊多窮摔踐岔諾爹詩