网络安全保障措施

详情

1、网络安全保障措施

(1)物理安全:包括环境安全、设备安全、人员的访问控制、审计记录、异常情况的追查等。我公司在保障网络物理安全方面,采取如下措施:

    a、机房安全管理措施:

    除网络管理员外,任何人不得擅自进入机房,不得擅自接触机房设备。不得擅自改动或移动机房内的电源、空调及机柜、服务器、交换机等计算机、网络设备。未经许可不得随意允许非机房内工作人员进入机房。·未经批准不能带外人参观、演示、查询信息等网上操作。严禁带火种进入机房。如发现机房内有烟雾甚至火焰,立即切断电源。·下班时,检查设备的运转情况,并填写日志记录。

    b、系统口令的安全管理:

    严格控制知道密码的人数。网络管理员、系统管理员调离岗位后一小时内由上级监督检查更换新的密码。

    c、完善的系统备份计划

    d、配备高素质人员

(2)网络安全:包括网络拓扑结构、网络设备的管理、网络安全访问措施(防火墙、入侵检测系统、VPN 等)、安全扫描、远程访问、不同级别网络的访问

    控制方式、识别/认证机制等。我公司建立了包括网络拓扑结构、网络设备的管

    理、网络安全访问措施(防火墙、入侵检测系统、VPN 等)、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等,旨在防范和抵御网络可能受到的攻击,保证网络资源不被非法使用和访问,保护网内流转的数据安全。其中访问控制是网络安全核心策略之一,包括入网访问、网络授权、目录级安全、属性安全、网络服务器安全、网络监测和锁定、网络端口和节点的安全控制以及防火墙控制等。而安全检查和内容检查又是保护网络安全的有效措施,在加强访问控制的同时,公司对网络传输的数据进行了加密,从而保证网上注册用户的信息安全。

(3)数据备份:包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。

(4)病毒防护:包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。我公司在病毒防护方面,主要工作有以下几方面:

    a、阻止病毒的传播:在防火墙、数据库服务器、WEB 服务器、动漫服务

    器、公司内部的网络服务器上安装病毒过滤软件。

    b、检查和清除病毒:使用防病毒软件检查和清除病毒。

    c、病毒数据库的升级:病毒数据库应不断更新。

(5)系统安全:包括 WWW 访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略等。在网络安全领域,攻击随时可能发生,系统随时可能崩溃,因此必须一年 365天、一天 24 小时地监视网络系统的状态。这些工作仅靠人工完成是不可的。所以,必须借助先进的技术和工具来帮助企业完成如此繁重的劳动,以保证计算机网络的安全。计算机网络的安全性主要包括网络服务的可用性(Availability)、网络信息的保密性(Confidentiality)和网络信息的完整性(Intergrity)。

我公司为确保网络运行的安全,采用如下措施:

    a、防火墙

    b、智能卡技术

    c、加密技术

    d、密码技术

    e、网络隔离技术

    f、网络行为安全监管技术,为了保证本公网络畅通,安全运行,保证网络信息安全,特制定网络信息安全。


2、信息安全保密管理制度

(1)在公司领导下,贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规;落实贯彻公安部门和省教育厅关网络和信息安全管理的有关文件精神,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,尽快使网络和系统恢复正常,做好网络和信息安全保障工作。

(2)信息网络安全事件定义

    a、网络突然发生中断,如停电、线路故障、网络通信设备损坏等。

    b、公司网站受到黑客攻击,主页被恶意篡改、交互式栏目里发表有煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实,故意散布谣言,扰乱秩序;破坏社会稳定的信息及损害国家、学校声誉和稳定的谣言等。

    c、公司内网络服务器及其他服务器被非法入侵,服务器上的数据被非法拷贝、修改、删除,发生泄密事件。

(3)设置网上应急小组,组长由公司有关领导担任,成员有信息中心、宣传处后勤、保卫等部门人员组成。采取统一管理体制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法。设置网络运行维护小组,成员由信息中心网络技术部人员组成,确保网络畅通与信息安全。

(4)加强网络信息审查工作,若发现主页被恶意更改,应立即停止主页服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放主页服务。信息发布服务,必须落实责任人,实行先审后发(由宣传处负责审核),并具备相应的安全防范措施(如:日志留存、安全认证、实时监控、防黑客、防病毒等)。建立有效的网络防病毒工作机制,及时做好防病毒软件的网上升级,保证病毒库的及时更新。

(5)信息中心对公司网实施 24 小时值班责任制,开通值班电话,保证与上级主管部门、电信部门和当地公安机关的热线联系。若发现异常应立即向应急小组及有关部门、上级领导报告。

(6)加强突发事件的快速反应。运行维护小组具体负责相应的网络安全和信息安全工作,对突发的信息网络安全事件应做到:

    a、及时发现、及时报告,在发现后及时向应急小组及上一级领导报告。

    b、保护现场,立即与网络隔离,防止影响扩大。

    c、及时取证,分析、查找原因。

    d、消除有害信息,防止进一步传播,将事件的影响降到最低。

e、在处置有害信息的过程中,任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。

(7)做好准备,加强防范。应急小组各部门成员对相应工作要有应急准备(如后勤部门做好停电应急,信息中心做好线路和网络设备故障应急)。针对网络存在的安全隐患和出现的问题,及时提出整治方案并具体落实到位,创造良好的网络环境。

(8)加强网络用户的法律意识和网络安全意识教育,提高其安全意识和防范能力;净化校园网络环境,严禁用于上网浏览与教学、科研、学习、工作无关的网站

(9)做好网络机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作若发生事故,应立即组织人员自救,并报警。

(10)网络安全事件报告与处置。 事件发生并得到确认后,有关人员应立即将情况报告有关领导,由领导指挥处理网络安全事件。应及时向当地公安机关报案。阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作,有关违法事件移交公安机关处理。


3、用户信息安全管理制度

网站为充分保护用户的个人隐私、保障用户信息安全,制定以下制度。

(1)用户个人信息保密措施

    a、定期对相关人员进行网络与信息安全培训并进行考核,使网站相关管理人员充分认识到网络安全的重要性,严格遵守相关规章制度。

    b、尊重并保护用户个人隐私,除了和用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不随意公布和泄露用户个人身份信息。

    c、对用户的信息严格保密,并承诺未经用户授权,不得编辑或透露其个人信息及保存在本网站中的非公开内容,但下列情况除外:违反相关法律法规或本网站服务协议规定;按照主管部门的要求,有必要向相关法律部门提供备案的内容;因维护社会个体和公众的权利、财产和人身安全的需要;如用户不慎泄露账号和密码,应及时与网站管理员联系,请求管理员及时锁定用户的操作权限,防止他人非法操作;在用户提供有效的身份证明和有效凭据并审查核实后,重新设定密码恢复正常使用。

(2)计算机网络信息安全保密管理规定

    a、为防止病毒造成严重后果,对外来光盘、软件要严格管理,坚决不允许外来光盘、软件在系统内部网计算机上使用。

    b、接入系统内部网的计算机严禁将计算机设定为网络共享,严禁将机内文件设定为网络共享文件。

    c、为防止黑客攻击和网络病毒的侵袭,接入系统内部网的计算机一律安装杀毒软件,并要定时对杀毒软件进行升级。

    d、禁止将保密文件存放在网络硬盘上。

    e、禁止将涉密办公计算机擅自联接国际互联网。

    f、要坚持“谁上网,谁负责”的原则,各部门要有一名领导负责此项工作,信息上网必须经过所领导严格审查,并经主管领导批准。

(3)涉密存储介质保密管理规定

    a、涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及 U盘等。

    b、存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上,不得转借他人,存放在本单位指定的密码柜中。

    c、需归档的涉密存储介质,因及时归档。

    d、各部门负责管理其使用的各类涉密存储介质,应当根据有关规定确定密级及保密期限,并视同纸制文件,按相应密级的文件进行分密级管理,严格借阅、使用、保管及销毁制度。借阅、复制、传递和清退等必须严格履行手续,不能降低密级使用。

    e、涉密存储介质的维修应保证信息不被泄露,由各涉密部门负责人负责。需外送维修的,要经领导批准,到国家保密主管部门指定的维修点维修,并有保密人员在场。

    f、不再使用的涉密存储介质应由使用者提出报告,由所领导批准后,交保密办公室负责销毁。