1、设立防火墙,隔离相关网络,其作用是:
(1)分隔互联网与交易服务器,防止互联网用户的非法入侵。
(2)用于交易服务器与企业内部网的分隔,又小保护企业内部网,同时防止内部网对交易服务器的入侵
2、按照电信机房标准建设,公司机房内有必备的独立 UPS 不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。除网络管理员外,任何人不得擅自进入机房,不得擅自接触机房设备。
3、每天下班时,检查设备的运转情况,并填写日志记录。
4、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。
5、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。
6、制定完善的系统备份计划。我公司的策略是以一个月为一个周期,一个月进行一次完全备份,每天晚上进行这一天改变的数据备份,即增量备份。这样做虽然工作量要大,但数据丢失的风险最小。备份完成后,还定期地检验备份数据的有效性。避免类似到急需恢复数据时才发现数据损坏等情况的发生,确保数据万无一失。
7、我公司计划招聘多名经验丰富、具有相当理论基础的外聘专家。并有专职工程师分别负责系统管理、系统实施、系统网络安全等方面工作。定期组织安全管理人员学习,及时了解网络安全防护的最新动态和防护知识,只有不断的学习才能提高在实际工作中运用能力,及时发现问题迅速有效的解决问题。
8、对网络进行24小时实时安全监控,由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、破译、篡改的可能,为了防止此种情况发生,我司将采用SSL数据加密协议来保证安全。
9、病毒防护:包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。我公司在病毒防护方面,主要工作有以下几方面:
(1)阻止病毒的传播:在防火墙、数据库服务器、WEB服务器、公司内部的网络服务器上安装病毒过滤软件。
(2)检查和清除病毒:使用防病毒软件检查和清除病毒。
(3)关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。
(4)病毒数据库的升级:病毒数据库应不断更新。
我公司已在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。
10、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。
11、如在网上发现反动、黄色的宣传和出版物,按公司管理办法立即锁定数据,依据有关规定处理,如发现泄露国家机密的情况,要及时报市信息管理中心采取措施。对违反规定造成后果的,依据有关规定进行处理。
12、自觉接受公安机关的安全监督、检查和指导。如实向公安机关提供安全操作的信息、资料及数据文件,协助公安机关查处各项违法犯罪行为。
1、为了保障用户信息安全,特制定信息系统安全保密规定。
2、网络中心负责指导各部门入网人员的保密技术培训,落实技术防范措施。
3、各部门要有一名同志主管此项工作,要指定专人负责接入网络的安全保密管理工作和对上网信息的保密检查,落实好保密防范措施,对公司人员进行保密教育和管理。
4、用户涉密信息不得在与国际网络的计算机系统中存储,处理和传输。
5、凡网站公布的信息,发布前必须进行审查,进行登记,确保用户机密信息安全。
6、用户不得利用我公司网站平台从事危害国家安全,泄露国家机密的活动。
7、网站信息必须在网页上标明来源(即有关转载信息都必须标明转载的地址)
8、相关责任人定期或不定期检查网站信息内容,实施有效监控,做好安全监督工作;
9、如在网上发现反动、黄色的宣传和出版物,要保护好现场,及时报向有关部门汇报,依据有关规定处理,如发现泄露用户机密的情况,要及时报网络中心采取措施,同时向领导小组报告,对违反规定建设造成后果的,依据有关规定进行处理,并追究部门领导的责任。
10、对于问题突出,管理失控,造成有害信息传播的网站和网页,坚决依法预以关闭和清除;对于制度、复制、印发和传播有害信息的单位和个人要依法移交有关部门处理。
组织结构设置:
设置专门的网络安全小组,并由法人直接进行监督、凡向国际联网的站点提供或发布信息,必须经过保密审查批准。保密审批实行部门管理,有关单位应当根据国家保密法规,审核批准后发布,坚持做到来源不名的不发、未经过上级部门批准的不发、内容有问题的不发的三不发制度。
对网站的管理人员,以及领导明确各级人员的责任,管理网站的正常运行,严格抓管理工作,实行谁管理谁负责。
1、对用户需要设置权限,不得擅自进入系统,篡改他人信息。
2、对用户的信息进行有效管理并保证其信息的安全保密。
3、计算机网络日志文件要有专人负责、备份等操作,保留日志记录。
4、建立信息编辑、审核、发布责任制及流程,信息发布之前必须经过相关人员审核。
5、设定网站管理权限,不得越权管理网站信息。
6、一旦发生信息安全事故,必须积极采取有效措施,同时保存记录并按规定报告给有关部门。
7、对有害的信息进行过滤、对用户信息进行保密。
8、保存用户的账号登录记录30天以上,保障用户账号安全。
9、用户登记的私人信息资料,网站不得向外界散发、告知。未经许可,任何单位、团体、个人不得查阅、拷贝、抄录私人信息资料内容。