3互联网信息服务业务网络与信息安全保障措施.docx
《3互联网信息服务业务网络与信息安全保障措施.docx》由会员分享,可在线阅读,更多相关《3互联网信息服务业务网络与信息安全保障措施.docx(6页珍藏版)》请在冰点文库上搜索。
互联网信息服务业务网络与信息安全保障措施
信息安全负责人:
王鹏
联系电话(手机)18666010429
网络与信息安全保障措施
信息安全管理组织机构设置及工作职责
建立以单位领导为首的信息安全管理机构,成员包括信息管理员、技术员。
设有信息安全管理保障工作组,对信息安全提供预警、救援、恢复、监控和测评,负责网络与信息安全保障体系建设的规划、协调和监督,并对相关重大事项做出决定。
建立健全的单位信息网络安全小组。
安全小组由单位领导负责,网络技术、安全保卫、主页主管部门参加,并确定一名安全负责人作为网站突发事件处理的联系人。
各单位及时检查网络、网站、网络节点安全保障措施。
检查发现在网管、实时监测、防火墙、防病毒等方面存在问题,网站管理部门将督促整改,探索和建立互联网信息安全管理长效工作机制。
信息安全管理工作组负责公司的信息安全工作,并对执行情况进行检查监督。
各部门根据各自的职能分工负责与部门信息安全相关的具体工作。
遵守对网站服务信息监视,保存、清除和备份的制度。
开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。
制定并遵守安全教育和培训制度。
加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。
公司其他部门员工在使用计算机过程中需寻求技术帮助时,技术部人员一律不得拒绝。
网络管理员必须定期了解、检查网络运行情况并作如实记录,发现问题及时分析解决,对各类网络记录不得擅自删除。
我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。
严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。
各岗位员工应严格遵守保密制度,对各自的系统口令保密,禁止越权操作;为保障公司数据、信息、资料的准确、安全、可靠,应对重要的信息处理系统加设系统口令,防止泄露机密信息。
网络管理员应当依据公司制定的计算机安全保密管理的具体措施对上传信息严格审查,严禁将涉及国家秘密、公司秘密的信息在网络上传输。
网络管理员负有安全管理和规范操作的义务。
若因违反操作而引发的事故,公司将按有关规定追究其责任。
明确各级信息安全保障管理人员的工作职责,严格把握各个环节的信息安全。
公司为确保网站安全运行,对网站的更新及资料上传下载实行专人负责。
如有违反本规定者,公司将视其情节轻重并结合有关规定给予相应的处理。
公司制定相应的安全审核领导小组,负责公司的信息安全工作,并对执行情况进行检查监督。
各部门根据各自的职能分工负责与部门信息安全相关的具体工作。
制定完善的安全审核流程,从每个环节上严格把关,一旦发现问题,迅速查清是哪个部门出现的漏洞和失误,并予以立刻解决,并且对相应的负责人进行严格教育,必要时给予相应的处分。
信息安全管理领导、执行机构的职责、专职安全人员职责流程说明:
1、信息安全管理工作,由总经理负责,产品总监与技术总监具体负责。
各执行机构和部门专门设立信息安全员,具体信息安全事务可直接向产品总监汇报,信息安全员可以由部门负责人兼任。
2、服务内容策划由产品策划部完成,策划方案由信息安全审核小组审核后由产品策划部的制作部门制作。
3、制作部门将任务分配给美工和编辑人员,制作完成后的信息服务内容经产品总监签字确认并由总经理签字确认,交给技术部上传
网络与信息安全管理人员配备情况及相应资质
公司成立安全管理小组,设定相应的信息安全负责人,信息安全负责人必须定期组织各项安全管理教育及技术培训,巩固技术安全知识;必须24小时开机,保证联络畅通,有网络安全信息及时通知。
信息安全负责人在本公司主管领导的直接领导下。
负有以下职责和义务:
负责做好安全工作,及时进行信息反馈和修改;
举例:
个人信息
工作经验
2006年:
参与常德华油燃气公司建站项目,
2013年:
广州联通驻地网项目及代理商多元合作项目
资质:
H2CSE华为3com高级网络工程师
信息产业部认证网络工程师
信息安全管理责任制
建立和健全法人代表、总经理或行政负责人信息安全责任制,严格对信息发布的审查和监督。
加强内部管理制度,做到信息安全责任到人。
(1)信息安全责任领导及员工定期参加上级部门举办的各项安全管理教育及技术培训,巩固技术安全知识。
当责任人有变动时,我公司保证在2天内以书面形式上报通信管理局。
流程如下:
进入工信部备案网站申请责任人变更申请;然后整理关于责任人变更相关信息,包括责任人姓名、手机、办公电话、电子邮箱、通信地址等信息,以正式的书面形式上报给通信管理局,申请相关责任人的变更。
(2)由指定检测员负责网站内的信息内容的日常检测工作,做好检测纪录。
单位与检测员签定检测责任书。
(3)检测员做好有关密码和权限的保密工作,未经允许不得随意更改密码或向第三方泄露。
(4)为保密需要,定期或不定期地更换不同保密方法或密码口令。
(5)经申报批准,才能查询、打印有关资料。
(6)电脑操作员对保密信息严加看管,不得遗失、私自传播。
有害信息发现受理处置机制
凡本公司工作人员,均有责任和义务监督、发现、报告、处理互联网信息系统的有害信息。
发现有害信息时的处置程序如下:
及时取证:
包括信息全部内容及有关来源网址的信息。
及时报告:
应在发现后24小时内向信息安全员报告并保护相关资料,条件许可的应停机等候处理。
消除有害信息:
经信息安全员许可,发现单位和个人,在自己技术许可条件下,有权及时清除所发现的有害信息,以免进一步传播。
相关技术人员应在接到通知后立即赶到现场,作好必要记录,清理非法信息,妥善保存有关记录及日志或审计记录,强化安全防范措施,并将网站网页重新投入使用。
情况紧急的,应先及时采取删除等处理措施,再按程序报告。
遵守对网站服务信息监视,保存、清除和备份制度。
继续开展对网络有害信息的清理整治工作。
对违反本办法的,予以通报批评;情节严重的,追究责任人的责任;对违反有关法律、法规的,有关部门依法追究法律责任。
有害信息投诉受理处置机制
按照“早发现、早报告、早处置”的原则,加强对网络与信息安全突发公共事件和可能引发网络与信息安全突发公共事件的有关信息的收集、分析判断和持续监测。
工作人员要密切监测网络状况,一旦发现异常应立即通知相关部门并及时向单位领导和应急领导小组汇报。
加强内容关键字过滤,对非法关键字或其他引起信息安全问题的关键字进行过滤,尤其是政治敏感词汇,防止他人利用非法字符的谐音或者变音达到宣传非法事件的目的,确保流向各公众通信网络公司网络信息源的安全和健康。
(一)投诉受理
1、受理投诉举报问题和案件,应本着从速从快的原则,需立案调查的,及时按案件审批程序办理。
对不属我公司责职范围的,要耐心做好解释工作,并告知投诉举报人向有处理权的机关投诉或举报。
2、接待投诉举报要态度和蔼,耐心听取陈诉,属受理范围的案件,要及时受理,不得推诿。
3、受理举报工作人员必须为举报人保密,不得将举报人或举报材料等情况透露或转送给被举报单位和被举报人。
4、受理投诉举报实行“首问责任制”,即谁接到投诉举报,谁负责做好接待(登记)和情况记录,并及时向有关领导汇报。
(二)处置机制
1、对投诉失实的,被投诉单位负责人应向投诉者进行解释,澄清事实。
投诉者和被投诉者对投诉处理结论不服的,可向作出处理结论部门的上一级信息安全机构申请复查。
2、对因特殊情况未能在规定的时限内办结有关事项而被投诉的,由被投诉单位派员上门向投诉者进行说明情况,进行解释或赔礼道歉。
3、对网站所传输的信息内容难以辨别的,暂停传输,并经相关主管部门审核同意后再发布。
我公司承诺自觉接受电信管理机构和有关管理部门的监督检查,积极配合相关管理部门的管理工作
重大信息安全事件应急处置和报告制度
本公司采用相应的技术手段,对计算机网络与信息安全进行实时检测与监控,发现问题应当及时向网络与信息安全管理部门报告并采取处理措施。
采用先进的防火墻、功能强大的入侵检测系统、防病毒系统对网络及系统安全方面加以保护。
按照事件的严重情况分为四个等级:
特别重大事件(I级)、重大事件(Ⅱ级)、较大事件(III级)和一般事件(Ⅳ级)。
(1)应急事件报告
出现公司内所管辖的网络和信息安全事件时,一般事件在公司内报警并作相关处理;重大事件和影响超出本公司管辖范围时,向上级管理部门紧急报警。
一般安全事件,向入侵者所在的网络管理员投诉;遇到重大信息安全事件时(如造成重大经济损失、涉及破坏国家信息安全的反动政治言论),及时消除、保留证据,立即向网络和信息安全事件应急小组报告。
网络和信息安全事件应急小组接到报告后,立即对发生的事件进行调查核实、保存相关证据,确定事件等级,上报相关材料或提出启动预案申请。
整个事件过程及处理事故阶段必须落实专人负责,认真调查分析事件发生的原因、责任,并作出客观的评析,如实向有关部门作出汇报。
(2)应急处置
网络环境安全事件,包括火灾、盗窃、破坏、供电等;网络运行相关事件,包括线路中断、路由故障、流量异常、域名系统故障等。
发生信息安全事件时紧急通知我公司信息主管负责人,及时消除非法信息,恢复系统。
无法迅速消除或恢复系统、影响较大时实施紧急关闭,并及时上报。
发生网络与信息安全突发事件的单位应当在事件发生后,首先以口头方式立即向信息化应急领导小组报告,信息化应急领导小组接到报告后,应当立即向网络与信息安全应急预案小组办公室报告。
(3)保障措施
高度重视网络与信息安全事件应急预案工作。
充分认识到网络与信息安全事件应急预案工作的重要性,落实工作责任,加强安全应急的宣传教育和技术培训,确保此项工作落到实处。
建立健全指挥调度机制和信息安全通报制度,进一步完善信息安全应急协调机制。
建立应急处理技术平台,进一步提高安全事件的发现和分析能力,从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。
各部门要经常性地开展信息安全方面的自检自查,审核领导小组将积极做好指导、协调、服务并不定期地进行抽查。
审核领导小组将对不重视信息系统安全,疏于管理严重失职而造成重大信息安全事故的有关单位及责任人特别是单位领导进行严肃追究。
凡发生重大信息安全事件,责任部门应及时派人到现场了解情况,准确掌握动态,并在2小时内向信息安全小组报送相关信息,并续报处置善后情况。
若在规定时间内无法报送文字材料,应通过电话口头汇报事件经过,再报送文字资料。
遇到重大信息安全事件,整个事件过程及处理事故阶段必须落实专人负责,认真调查分析事件发生的原因、责任,并作出客观的评析,如实向有关部门作出汇报。
上报重大信息安全事件必须认真核实信息发生的时间、地点、人员、原因、处置方案、后果等相关要素,必须由分管领导签字把关,特别重要的还须由主要领导审签。
信息安全管理政策和业务培训制度
1、建立以单位领导为首的信息安全管理机构,成员包括信息管理员、技术员,信息安全责任领导及员工定期参加上级部门举办的各项安全管理教育及技术培训,巩固技术安全知识。
2、公司定期对相关人员进行网络信息安全培训并进行考核,使员工能够充分认识到网络安全的重要性,严格遵守响应规章制度。
做到坚持不懈,不放松警惕,将安全管理工作长期进行下去,并且不断的加以完善。
3、遵守安全教育和培训制度。
加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网有关法律、法规,遵守《自律公约》,不泄密、不制作和传播有害信息,不链接有害信息或网页。
4、遵守对网站服务信息监视,保存、清除和备份制度。
5、严格遵守网站用户帐号使用登记和操作权限管理制度。
6、继续开展对网络有害信息的清理整治工作。
7、对违法犯罪案件,报告并协助公安机关查处。
8、遇到安全问题时,及时汇报上级领导,采取措施及时解决。
业务培训制度
1、培训目标:
贯彻国家关于计算机网络和信息安全的有关规定,加强计算机网络的安全管理,树立网络用户的安全和保密意识,提升技术人员在计算机网络方面的专业知识与实战技能;提升员工的网络与信息安全知识水平。
2、培训内容:
(1)对信息源接入单位进行安全教育和培训,使他们自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,杜绝发布违犯《计算机信息网络国际互联网安全保护管理办法》的信息内容。
(2)定期组织管理员认真学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息审核管理制度》,提高工作人员的维护网络安全的警惕性和自觉性。
(3)负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使员工具备基本的网络安全知识。
(4)不定期地邀请公安机关有关人员进行信息安全方面的培训,加强对有害信息,特别是影射性有害信息的识别能力,提高防犯能力。
3、培训方式
(1)实行季度考核制度,对考核不合格的的员工采取相应从处理措施。
(2)企业内部定期组织各种信息安全知识培训,加强员工安全意识。
(3)必要时不定期邀请公安机关有关人员来公司对员工进行培训。
网络安全管理责任制度
1、提高认识,建立健全信息系统安全保障体系要充分认识到加强信息系统安全工作的必要性和重要意义,正确处理发展与安全的关系,一手抓信息化建设,一手抓网络信息安全,按照统一标准建立起完善的信息系统安全保障体系。
2、加强领导,落实信息安全责任制
各部门要进一步增强信息安全意识,严格落实信息安全责任制,由“一把手”总经理及部门主管领导全面负责本单位的信息安全工作,建立信息网络安全管理机构,设立专职管理人员,切实扭转和解决信息安全责任落实不到位的状况。
各中心要积极做好信息安全工作的组织领导和指导监督工作。
从信息安全责任制、安全风险评估、日常安全管理制度、定期教育培训、系统和数据备份制度、系统定期检测和升级、应急处理预案及其演练、安全事件报告、安全自查和安全测评等方面加强信息安全工作,确保重要信息系统的安全稳定运行。
3、加强维护、建立信息安全应急预案
各部门要高度重视信息安全工作,建立并细化信息安全应急预案,对潜在的突发事件和重大操作失误,事先要有预防措施、应急处置程序和恢复控制办法,保证关键业务和重大经营活动的连续性;明确各责任区域责任人及其工作职责;定期进行应急预案演练,检验其操作性和效果。
公司将组织在一定范围内逐步开展信息系统安全测评工作。
网络安全防护制度
1、设有信息安全保障工作组,对信息安全提供预警、救援、恢复、监控和测评,负责网络与信息安全保障体系建设的规划、协调和监督,并对相关重大事项做出决定。
2、由专门人员负责计算机网络与信息安全的管理工作。
参与制定公司及本部门信息安全规章制度,检查内部安全管理工作情况,进行内部安全教育,向公司及相关单位汇报本部门网络信息安全管理工作情况等。
专门人员必须认真执行信息发布审核管理工作,杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。
3、本公司加强对本单位计算机信息系统日常维护与使用的管理,建立健全的各项安全和保密制度。
4、本公司采用相应的技术手段,对计算机网络与信息安全进行实时检测与监控,发现问题应当及时向网络与信息安全管理部门报告并采取处理措施。
5、本公司使用的计算机必须安装具有实时监控功能的防病毒软件并及时升级。
6、本公司计算机信息系统不使用盗版软件。
7、本公司上网信息必须履行相关的审批手续,责任到人;在未取得相应的加密措施之前,不得利用电子邮件传递涉及秘密的信息。
网络安全事件应急处置和报告制度
一、应急处置
网络环境安全事件,包括火灾、盗窃、破坏、供电等;网络运行相关事件,包括线路中断、路由故障、流量异常、域名系统故障等。
发生信息安全事件时紧急通知我公司信息主管负责人,及时消除非法信息,恢复系统。
无法迅速消除或恢复系统、影响较大时实施紧急关闭,并及时上报。
二、应急事件报告制度
出现公司内所管辖的网络和信息安全事件时,一般事件在公司内报警并作相关处理;重大事件和影响超出本公司管辖范围时,向上级管理部门紧急报警。
一般安全事件,向入侵者所在的网络管理员投诉;遇到重大信息安全事件时(如造成重大经济损失、涉及破坏国家信息安全的反动政治言论),及时消除、保留证据,立即向网络和信息安全事件应急小组报告。
网络和信息安全事件应急小组接到报告后,立即对发生的事件进行调查核实、保存相关证据,确定事件等级,上报相关材料或提出启动预案申请。
整个事件过程及处理事故阶段必须落实专人负责,认真调查分析事件发生的原因、责任,并作出客观的评析,如实向有关部门作出汇报。
有害信息发现和过滤技术手段
系统对处理过后的内容进行自动过滤,它能够有效识别和过滤各种非法文本信息。
根据既定的语义范式和过滤词表进行自动对比,在其中发现有害信息。
采用公安局指定使用的信息过滤系统,该系统由公安局方面配置敏感词汇,系统认定为非法信息而会被过滤,同时将非法信息备份在公安部门的过滤系统中,保证定时刷新和监控;同时采用黑名单过滤的方式,建立并维护黑名单表,对于黑名单中用户上下行信息都进行过滤,并记入日志。
工作人员对自动过滤后的结果进行人工校验,人工校验后方可进行数据发布处理。
用户日志留存所采用的技术手段
建立多重备份制度,对重要资料除在电脑贮存外,还拷贝到光盘及相关移动存储设备上,并由专人负责进行保管,以防遭病毒破坏而遗失。
公司内部留有备份服务器,以防IDC服务器出现无法修理的故障。
为保证系统的数据安全,在客户的防伪数据这一层,使两台数据库服务器热备运行,共享磁盘阵列系统。
如果任何一台服务器故障时,可以互相代替;如果磁盘阵列中任何一块磁盘的物理损坏,都可随时更换,其内容可由其他磁盘用算法恢复(RAID5)。
网络安全防护技术手段
1、为保证内网的安全,安装了防火墙、网络隔离卡等网络安全设备,将内网与外网实行物理隔离。
⑴在防火墙使用上,采取内网与外网相结合的方式,一台用于管理外部网络的连接,一台用于管理内部网络的连接,对内外网实行严格的管理。
⑵鉴于内部局域网的有关微机(终端接收机)需要连接互联网,容易发生泄密将有关微机分成了两台虚拟计算机,“双线、双硬盘、双系统”,一个系统连接内部局域网(内网),用于内部综合办公,一个系统连接外部网络(外网),用于浏览网上的信息,使内部局域网与互联网之间物理隔离,达到了安全保密的要求。
2、信息安全过滤系统。
系统对处理过后的内容进行自动过滤,它能够有效识别和过滤各种非法文本信息。
根据既定的语义范式和过滤词表进行自动对比,在其中发现有害信息。
采用公安局指定使用的信息过滤系统,该系统由公安局方面配置敏感词汇,系统认定为非法信息而会被过滤,同时将非法信息备份在公安部门的过滤系统中,保证定时刷新和监控;同时采用黑名单过滤的方式,建立并维护黑名单表,对于黑名单中用户上下行信息都进行过滤,并记入日志。
工作人员对自动过滤后的结果进行人工校验,人工校验后方可进行数据发布处理。
安全联络员变动承诺
保障网络安全,我公司设置信息安全管理组织机构,成立安全管理小组,设定相应的信息安全联络员,同时信息安全联络员或者联系方式发生变动,我公司郑重承诺执行信息安全规章制度,并形成规范化管理。
当安全联络员联系方式变动时,承诺在两个工作日内主动向申请机关作出书面报告。
其他
填表说明
隐藏
注1:
有害信息发现和过滤、日志留存等方面的网络信息安全技术手段的详细材料,包括功能目的、技术方案、处置流程、保障措施等,具体内容应符合《互联网信息服务管理办法》等相关规定。
对于尚未进行实质性系统建设的申请者,应提供同步配套建设信息安全技术手段的承诺,并报送建设方案和实施计划等材料。
注2:
申请因特网数据中心、因特网接入服务、信息服务业务(不含固定网电话信息服务)和互联网信息服务的应提供配合开展公共网络环境治理工作的承诺。
具体内容应符合《通信网络安全防护管理办法》、《互联网网络安全信息通报实施办法》、《木马和僵尸网络监测与处置机制》、《公共互联网网络安全应急预案》、《域名系统安全专项应急预案》和通信网络安全防护系列标准。
书面材料提交要求:
提交在线打印(注意显示页眉页脚中的系统网址和打印日期)后公司盖章的原件。
升级会员 