技术安全保障措施

(一)网站安全保障措施

        ①网站服务器和其他计算机之间设置经公安部认证的防火墙, 并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。
         ②在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。
        ③做好生产日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。
        ④交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。
         ⑤网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。
        ⑥关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。
        ⑦服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。
        ⑧网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。
        ⑨公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。

(二)信息安全保密管理制度

        1、在公司领导下,贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规;落实贯彻公安部门和省教育厅关网络和信息安全管理的有关文件精神,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,尽快使网络和系统恢复正常,做好网络和信息安全保障工作。
        2、信息网络安全事件定义
        a、网络突然发生中断,如停电、线路故障、网络通信设备损坏等。
        b、公司网站受到黑客攻击,主页被恶意篡改、交互式栏目里发表有煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实,故意散布谣言,扰乱秩序;破坏社会稳定的信息及损害国家、学校声誉和稳定的谣言等。
        c、公司内网络服务器及其他服务器被非法入侵,服务器上的数据被非法拷贝、修改、删除,发生泄密事件。
        3、设置网上应急小组,组长由公司有关领导担任,成员有信息中心、宣传处、后勤、保卫等部门人员组成。采取统一管理体制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法。设置网络运行维护小组,成员由信息中心网络技术部人员组成,确保网络畅通与信息安全。
        4、加强网络信息审查工作,若发现主页被恶意更改,应立即停止主页服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放主页服务。信息发布服务,必须落实责任人,实行先审后发(由宣传处负责审核),并具备相应的安全防范措施(如:日志留存、安全认证、实时监控、防黑客、防病毒等)。建立有效的网络防病毒工作机制,及时做好防病毒软件的网上升级,保证病毒库的及时更新。
        5、信息中心对公司网实施24小时值班责任制,开通值班电话,保证与上级主管部门、电信部门和当地公安机关的热线联系。若发现异常应立即向应急小组及有关部门、上级领导报告。
        6、加强突发事件的快速反应。运行维护小组具体负责相应的网络安全和信息安全工作,对突发的信息网络安全事件应做到:
         (1)及时发现、及时报告,在发现后及时向应急小组及上一级领导报告
         (2)保护现场,立即与网络隔离,防止影响扩大。
         (3)及时取证,分析、查找原因。
         (4)消除有害信息,防止进一步传播,将事件的影响降到最低。
         (5)在处置有害信息的过程中,任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。
        7、做好准备,加强防范。应急小组各部门成员对相应工作要有应急准备(如后勤部门做好停电应急,信息中心做好线路和网络设备故障应急)。针对网络存在的安全隐患和出现的问题,及时提出整治方案并具体落实到位,创造良好的网络环境。
        8、加强网络用户的法律意识和网络安全意识教育,提高其安全意识和防范能力;净化校园网络环境,严禁用于上网浏览与教学、科研、学习、工作无关的网站。
        9、做好网络机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故,应立即组织人员自救,并报警。
        10、网络安全事件报告与处置。 事件发生并得到确认后,有关人员应立即将情况报告有关领导,由领导指挥处理网络安全事件。应及时向当地公安机关报案。阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作,有关违法事件移交公安机关处理。

(三)用户信息安全管理制度

        网站为充分保护用户的个人隐私、保障用户信息安全,制定以下制度。
一、用户个人信息保密措施
        (1)定期对相关人员进行网络与信息安全培训并进行考核,使网站相关管理人员充分认识到网络安全的重要性,严格遵守相关规章制度。
        (2)尊重并保护用户个人隐私,除了和用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不随意公布和泄露用户个人身份信息。
        (3)对用户的信息严格保密,并承诺未经用户授权,不得编辑或透露其个人信息及保存在本网站中的非公开内容,但下列情况除外:
        a、违反相关法律法规或本网站服务协议规定;
        b、按照主管部门的要求,有必要向相关法律部门提供备案的内容;
        c、因维护社会个体和公众的权利、财产和人身安全的需要;
        (4)如用户不慎泄露账号和密码,应及时与网站管理员联系,请求管理员及时锁定用户的操作权限,防止他人非法操作;在用户提供有效的身份证明和有效凭据并审查核实后,重新设定密码恢复正常使用。

天空盒子网络科技(北京)有限公司
2018年12月