网站安全保障措施

(一)网站安全保障措施

网络与信息的安全不仅关系到正常工作的开展,还将影响到国家的安全、社会的稳定。国安广告将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全,闻谦平台,网站安全保障措施如下:

1、网站服务器和其他计算机之间设置防火墙,做好安全策略,拒绝外来的恶意程序攻击,保障网站正常运行。

2、在网站的服务器及工作站上均安装了相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。

3、做好访问日志的留存。网站具有保存6个月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。

4、具有IP地址、身份登记和识别确认功能,对非法内容能做到及时删除并进行重要信息向相关部门汇报。

5、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。

6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。

7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。

8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。

9、机房按照5A机房标准建设,内有必备的独立UPS不间断电源,能定期进行电力、防火、防潮、防磁和防鼠检查。

10.服务器安全配置:

(1)采用安全的 NTFS 文件格式,以提高系统的安全性、稳定性。

(2)删除系统默认的帐号和密码,禁止 Guest 用户。只设定唯一的管理员帐号,密码设定为 18 位,密码区含有字母和特殊字符,以防止黑客进行暴力破解,增加黑客攻击成本。

(3)关闭系统默认打开的端口,如1433、445端口等,只保留80端口。另外增设一个2301端口,在防火墙内配置好 2301 端口的设定和监控,以保证正常应用。

(4)进行敏感信息的管理及备份。敏感信息包括系统日志和配置文件等。可以将重要的敏感信息拷贝到U盘或者刻录到光盘中,进行异地保存备份。

(5)对信息访问进行严格控制,必要时采用硬件设备进行身份验证。通过身份验证登录系统后,进行登录。这个身份验证采用的是通过CA认证的U盘密钥。这种方式可以有效阻止非授权用户进行访问。

(6)对关键数据进行加密处理。系统中涉及用户隐私等重要的数据,通过加密等手段进行保护。具体过程如下:①通过 CA 认证中心发行认证证书,在服务端数据库 SQL server配置管理器中,通过进行【网络配置】,将证书协议安装到服务中②在客户端进行 SQL Server Native Client 配置,加载认证证书,完成【强制协议加密】功能③通过SQL Server Management Studio 进行加密连接设置,最后就完成了进行数据库的加密访问。

11.制定周密的安全管理策略:

(1)可信度策略。具体包括:①对系统定期进行安全审计工作,确保其可信度;②新的服务器应该由管理员安装和准备,并且应该由安全人员进行审计和认证工作,将其归入一个敏感级别,如因特殊限制不能实施部分安全策略,则所有不能实施的部分都必须用文档的方式加以确认。

(2)重视数据的安全性,采取有效的措施进行数据的备份和恢复。数据的安全性主要体现在数据信息的加密和访问数据的权限设定,用户必须经过身份认证并具有对应的权限,才可以访问数据;通过设立 Web 备份服务器,采用磁盘阵列共享的方式来实现数据的热备和数据恢复,同时为提高安全性,还采用了数据库导出备份和程序文件备份两种方式进行数据备份,并以刻录光盘的形式进行异地保存。

(3)制定物理安全策略。包括:防雷、防水、防火、防盗;合理的温度、湿度;电磁信息保护。平台机房放置在江苏南京电信机房。机房具有完善的温度、湿度控制设备,良好的监控系统和规范的电器布线实施标准。因此系统物理安全建设主要在于对机房的物理安全管理。目前网站管理层已制定合理的管理规范,由专人进行定期检测、实时监控、故障排除,极大地保证了网站的物理安全。

(4)建立应急与恢复处理方案,减少特殊事件所带来的损失。主要是预防各种不可抗力等造成的危害和硬件设施老化、损毁等对系统造成的损害。这个方案目前采用的是数据异地备份、设备冗余备份和电力设备检修的方式来进行的。

12.制定互联网安全策略:

(1)确认不允许访问的互联网内容(如色情内容、反动言论,下载危险软件等)。

(2)确认使用互联网服务的功能范围,比如哪些人可以使用标准的 WWW 服务,哪些人可以使用 Email 服务,哪些人可以使用 FTP 服务等。功能范围的划分可以使互联网服务得以明确和细化,避免因滥用互联网功能而给系统带来风险。

(3)确认允许采用的访问互联网的客户端软件。

(4)确认不允许访问互联网的主机和时间段。

(5)确认通过网站发布信息的准确性、及时性,发布的信息必须经过主管部门进行审核和认证,严禁发布虚假新闻、恐慌言论、反动信息等不健康内容。

13.网络安全防护技术手段:

应用层防护:采用重认证、身份识别、验证码等手段精确识别恶意访问和真实访问者,针对网站类CC攻击均可防御。

全面的漏洞管理:通过检测服务器上安装软件的版本信息,与CVE官方的漏洞库进行匹配,检测出存在漏洞的软件并推送漏洞信息(可检测如:SSH、OpenSSL、ACCESS数据库等软件漏洞);共享安全情报源,通过目录及文件的检测方案,检出Web-CMS 软件漏洞,并提供云盾补丁。

安全配置全面核查,加固服务器:深度检测服务器上是否存在黑客入侵后,留下的账户,对影子账户、隐藏账户、克隆账户进行提醒;收集了常用的弱口令字典,检测SSH、RDP等服务是否使用了弱密码,黑客入侵实时预警:记录所有登录记录,对于非常用登录的行为进行实时提醒,可自由配置常用登录地;对非法破解密码的行为进行识别,并上报进行拦截,避免被黑客多次猜解密码而入侵。

14.用户日志留存所采用的技术手段:

公司平台服务器安装的操作系统是windows系统,对用户日志留存所采用的技术手段是将IIS的自动日志保存功能和系统相结合的一种Web日志保存技术手段。该方法能够更加全面地获取用户访问信息,为分析用户需求,改进Web站点网页结构提供了丰富的信息;用户访问注册信息直接存储在Web数据库中。

Web服务器程序设计与实现:Web服务器端的文件:index.html是站点的入口。获取用户浏览器消息和用户操作等功能放在该文件。

应用会话记录和系统会话记录大于60天。

告警记录大于六十天。

通过日志留存系统,用最高级的管理员的权限对日志内的数据进行修改和删除,并要求被检查单位的网络安全管理员告知单位内部重要服务器的数量与在网络中的位置。

15.有害信息投诉受理处置机制:

1).我公司网站平台可能存在的有害信息为:平台用户发布的内容,对于此,我公司设立专门客服部接受相关投诉处理。

2).我公司举报投诉中心设在公司客服部。举报投诉的受理和回复工作统一由设专人负责。

举报投诉受理中心对公众对平台的举报、投诉事件,按集中管理、登记的原则办理,由客服部连同技术部一起集中处理,并将处理结果备案。对较重大有害信息事件,立即上报公司负责人邬轶昕。

客服部接受投诉受理的事件,做到即接快办;夜间、节假日值班期间接到的投诉举报,应于次日或节假日后的第一个工作日办理,对需紧急办理的重大信息安全事件可先处理后登记。投诉举报事件及时安排办理,要求在法定时限内处理完毕,如遇特殊情况不能按时处理完毕的,应报负责人邬轶昕说明理由,可适当延长处理时间;处理结果由客服部反馈给举报人。

在处理有害信息投诉事件的记录、登记、交办工作流程时,客服部建立相应表单并随结果报告一同存档。

客服部应对重大有害信息事件举报人或要求保密者做到保密,有关重大的有害信息事件及处理过程不得泄密。

16.设置网络与信息安全应急机制

为了确保网络畅通与信息安全,我公司设立了网络与信息安全应急小组,组长由单位法人担任,成员由信息部成员组成。

技术部对单位网实施24小时值班责任制,保证与上级主管部门、电信部门和公安的联系。发现异常立即向单位负责人报告。

应急小组成员针对网络存在的安全隐患和出现的问题,及时提出整治方案并具体落实到位,创造良好的网络环境。

做好网络机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故,安全员立即组织人员自救,并报警。

加强突发事件的快速反应,信息安全员及时发现、及时报告,在发现后及时报告单位负责人报告;发现后保护现场,立即与网络隔离,防止影响扩大;及时取证,分析、查找原因;

事件发生并得到确认后,由领导指挥处理网络安全事件,及时向当地公安单位报案。阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作,有关违法事件移交公安单位处理。

(二)信息安全保密管理制度

1.健全信息公开审查制度

一是信息安全审查标准尽量细化明确。二是要对保密审查主体进行科学严谨的限定。从本质上来看,对相关公司涉及信息安全主体进行界定,主要是为了避免其盲目扩大,避免信息审核权的应用不合理,或出现被滥用等现象,其会对信息安全的顺利实施造成一定的干扰。三是增强信息安全审查的内部监管力度。

2.建立信息安全威胁预警机制

一是要确保预警的准确性和明确性。公司专人负责加强日常保密检查和建立统一监控终端设备等方式,收集各类失泄密隐患信息。在接收外部威胁预警信息时,警报内容必须准确无误。一旦发生错误,就会降低预警的可信度,贻误战机。二是在本公司建立起有效的应急预案体系。三是不定期开展应急演练。信息安全事件的应急演练工作结合应急预案进行。通过演练,增强工作人员的安全防范意识,管理人员、应急处理人员面对泄密事件的适应能力、处理能力、指挥水平和专业技能,提高应对风险隐患的心理素质和处理效率。

3.提升信息安全岗位人员的管理能力

一是强化对公司人员的保密教育。按照工作岗位需求,科学制定政策,使其教育的针对性不断增强。二是增强工作人员的在职、离职信息安全管理力度,利用采购保密软件、打印学习手册等途径真正地增强涉密员工的信息安全意识和保密能力。三是不断完善信息安全工作机制。在制度上下功夫,要严格落实工作责任制,积极创造相互配合,共同监督的工作环境。其次是完善监管机制。四是提高公司信息安全人员的业务能力,建立高效的队伍。公司人员自觉加强业务技能的学习,掌握更多防范失泄密隐患的技术和手段,不断打造出一支技术熟练的技术人才队伍,公司信息安全工作效能。

(三)用户信息安全管理制度

①我公司郑重承诺尊重并保护用户的个人隐私,除了在与用户签署的隐私政策 和网站服务条款以及其他公布的准则规定的情况下,未经用户授权我公司不会随意 公布与用户个人身份有关的资料,除非有法律或程序要求。

②所有用户信息将得到本公司网站系统的安全保存,并在和用户签署的协议规 定时间内保证不会丢失;

③严格遵守网站用户帐号使用登记和操作权限管理制度,对用户信息专人管理,严格保密,未经允许不得向他人泄露。

公司定期对相关人员进行网络信息安全培训并进行考核,使员工能够充分认识到网络安全的重要性,严格遵守相应规章制度。

我公司将严格执行本规章制度,并形成规范化管理,建立健全信息网络安全小组。安全小组由单位领导负贵,网络技术、客户服务等部门参加。

上一条:全国首批网络直播团体标准发布 女主播服装不应过透过露
下一条:新主播直播教程
Powered by ZZZcms