网络与信息安全保障措.docVIP

网络与信息安全保障措施 为切实保证我公司的网络和信息安全，根据我国《计算机信息网络国际互联网安全保护管理办法》和《互联网安全保护技术措施规定》的相关规定，特制定如下措施。 一、技术保障措施 （一）对所有接入移动网的计算机使用经公安机关检测合格的防病毒产品并定期下载病毒特征码对杀毒软件升级，确保计算机不会受到已发现的病毒攻击。 （二）确保物理网络安全，防范因为物理介质、信号辐射等造成的安全风险。 （三）采用网络安全控制技术、防火墙、IDS等设备对网络安全进行防护。 （四）制定系统安全技术措施，使用漏洞扫描软件扫描系统漏洞，关闭不必要的服务端口。 （五）制定口令管理制度，防止系统口令泄漏和被暴力破解。 （六）制定系统补丁的管理制度，确定系统补丁的更新、安装、发布措施，及时堵住系统漏洞。 二、硬件设置的保障 硬件采用IBM、DELL等高性能商用服务器，系统以位于主干网上的服务器为硬件平台，即作为数据服务器，管理原始商业信息并响应商业服务器提出的服务请求，又作为WEB服务器，以高速率发布信息，服务器还具有定位其他服务器的功能。 三、安全员制度 1、公司设立2人以上专职或兼职计算机信息网络安全员（以下简称安全员）； 2、安全员主要负责公司网络的系统安全性； 3、安全员负责全公司员工网络安全方面操作和知识的培训； 4、安全员负责重要数据库和系统主要设备的冗灾备份工作； 5、安全员必须按照有关规定做好网络运行日志留存工作，并保留60天以上； 6、定期进行防病毒系统、防火墙和入侵检测系统的升级工作。定期对系统作安全检测，及时发现安全漏洞予以消除，对检测结果和漏洞消除情况有记录； 7、安全员应经常学习网络信息安全知识，做好预防为主； 8、安全员承担对不良、有害信息上报、处置工作职责； 四、机房管理制度 1、机房由专人专管，严禁无关人员进入机房，进入机房必须进行身份登记。 2、禁止携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品进入机房； 3、严禁随意设定、更改和增减运行设备的各种配置，操作权限仅限个别人员掌握。 4、关键系统的超级用户权限由专人负责，安全负责人应定期修改操作密码（以前使用过的密码不得再次使用）； 5、定期做好各种主要数据的冗灾备份； 6、每日做好机房管理工作记录，软件维护、增删、配置的更改，以及各类硬件设备的添加、更换应及时认真准确登记； 7、应定期检查机房消防器材，确保能正常工作； 8、保持机房环境整洁，无杂物。网络布线整齐，主要线路标记清楚。 五、信息安全管理责任制 为保证公司网络的信息安全，公司实行“谁主管、谁主办、谁负责”的原则，加强对网络信息的日常管理。 1、公司网络信息管理，总经理是第一责任人。 2、分管信息安全小组的成员负领导责任及主要责任。 3、信息安全协调工作组负责网络信息管理的协调、监控，负责信息汇总、组织检查、督促整改。 4、各网站建设部门负责网络信息的检查、有害信息的删除、上报。检查的重点内容： （1）?反对宪法所确定的基本原则的：（2）?危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（3）?损害国家荣誉和利益的；（4）?煽动民族仇恨、民族歧视，破坏民族团结的；（5）?破坏国家宗教政策，宣扬邪教和封建迷信的；（6）?散布谣言，扰乱社会秩序，破坏社会稳定的；（7）?散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；（8）?侮辱或者诽谤他人，侵害他人合法权益的；（9）?含有法律、行政法规禁止的其他内容的。凡发现有明显属于上述所列内容之一者，应当立即删除，保存有关记录，并向上级领导报告。 六、信息安全保密管理制度 （一）、 信息安全内部人员保密管理制度： 1、 相关内部人员不得对外泄露需要保密的信息； 2、 内部人员不得发布、传播国家法律禁止的内容； 3、 信息发布之前应该经过相关人员审核； 4、 对相关管理人员设定网站管理权限，不得越权管理网站信息； （二）、 登陆用户信息安全管理制度： 1、对用户在网站上的行为进行有效监控，保证内部信息安全； 2、 固定用户不得传播、发布国家法律禁止的内容。 七、有害信息发现处置机制 凡本公司工作人员，均有责任和义务监督、发现、报告和处理网站信息系统的有害信息，发现有害信息时的处置程序如下： 及时取证：包括信息全部内容及有关来源网址的信息。 及时报告：应在发现后24小时内向信息安全员报告并保护相关资料，条件允许的情况下应停机等候处理。 消除有害信息：经信息安全员许可，发现单位和个人，在技术许可的条件下，有权及时清除所发现的有害信息，以免进一步传播。 相关技术人员必须在接到通知后立即赶到现场，做好必要记录，清理非法信息，妥善保存有关记录及日志或审计记录，强化安全防范措施，并将网站网页重新投入使用。情况紧急