(一)网站安全保障措施
1.1互联网接入日志审计技术措施
互联网日志审计措施是维护互联网络和信息安全的基石,是公安机关打击计算机犯罪的重要依据。日志审计重点考虑系统时钟和操作系统日志,其技术指标主要包括:系统的启动时间、用户登陆帐号、登陆时间、用户进行的操作、下线时间等。对每一次网络连接应记录连接的源IP地址、目的机器IP地址、连接的时间、使用的协议等信息。
日志审计系统原则上使用经公安机关检测合格的产品。所采用的产品必须保证日志记录的完整性,日志保存的时间至少为60天。
1.2防病毒、防黑客攻击技术措施
防病毒、防黑客攻击技术措施是防止不法分子利用互联网络进行破坏活动,保护互联网络和本公司的信息安全的需要。我公司将制定以下防病毒、防黑客攻击的安全技术措施:
(1)所有接入互联网的计算机应使用经公安机关检测合格的防病毒产品并定期下载病毒特征码对杀毒软件升级,确保计算机不会受到已发现的病毒的攻击。
(2)确保物理网络安全,防范因为物理介质、信号辐射等造成的安全风险。
(3)采用网络安全控制技术,采用防火墙、IDS等设备对网络安全进行防护。
(4)制订系统安全技术措施,使用漏洞扫描软件扫描系统漏洞,关闭不必要的服务端口。
(5)制订口令管理制度,防止系统口令泄露和被暴力破解。
(6)制定系统补丁的管理制度,确定系统补丁的更新、安装、发布措施,及时堵住系统漏洞。
1.3关键字过滤技术
采用关键字过滤技术防止不法分子利用互联网传播反动、黄色和敏感信息,保护互联网信息安全是所有提供交互式栏目的联网单位依法履行的责任和义务。我公司也将采用关键字过滤技术对交互式信息的内容和标题进行过滤。
1.4其它技术措施
多层防火墙:根据用户的不同需求,采用多层高性能的硬件防火墙对客户托管的主机进行全面的保护。
异构防火墙:同时采用业界最先进成熟的F5防火墙硬件防火墙进行保护,不同厂家不同结构的防火墙更进一步保障了用户网络和主机的安全。
防病毒扫描:专业的防病毒扫描软件,杜绝病毒对客户主机的感染。
入侵检测:专业的安全软件,提供基于网络、主机、数据库、应用程序的入侵检测服务,在防火墙的基础上又增加了几道安全措施,确保用户系统的高度安全。
漏洞扫描:定期对用户主机及应用系统进行安全漏洞扫描和分析,排除安全隐患,做到安全防患于未然。
F5bigip防火墙硬件防火墙运行在CISCO交换机上层提供了专门的主机上监视所有网络上流过的数据包,发现能够正确识别攻击在进行的攻击特征。
攻击的识别是实时的,用户可定义报警和一旦攻击被检测到的响应。此处,我们有如下保护措施:
全部事件监控策略:此项策略用于测试目的,监视报告所有安全事件。在现实环境下面,此项策略将严重影响检测服务器的性能。
攻击检测策略:此策略重点防范来自网络上的恶意攻击,适合管理员了解网络上的重要的网络事件。
协议分析:此策略与攻击检测策略不同,将会对网络的会话进行协议分析,适合安全管理员了解网络的使用情况。
网站保护:此策略用于监视网络上对HTTP流量的监视,而且只对HTTP攻击敏感。适合安全管理员了解和监视网络上的网站访问情况。
Windows网络保护:此策略重点防护Windows网络环境。
会话复制:此项策略提供了复制Telnet, FTP, SMTP会话的功能。此功能用于安全策略的定制。
linux远程登录采用1024位密钥的安全防护,确保服务器万无一失。
DMZ监控此项策略重点保护在防火墙外的DMZ区域的网络活动。这个策略监视网络攻击和典型的互联网协议弱点攻击,例如(HTTP,FTP,SMTP,POP和DNS),适合安全管理员监视企业防火墙以外的网络事件。
防火墙内监控:此项策略重点针对穿越防火墙的网络应用的攻击和协议弱点利用,适合防火墙内部安全事件的监视。
1.5总体技术发展策略:
(1)配备专业的维护人员为用户提供服务的系统进行全天候的监控,一旦应用系统发生故障,维护人员可立即解决问题并使系统恢复正常,在要求的时间内正确处理用户的请求服务,对用户的请求进行响应,并回复给用户请求的内容,保证内容准确无误。
(2)用备份技术来提高数据恢复时的完整性。备份工作可以手工完成,也可以自动完成。现有的操作系统都带有比较初级的备份系统。由于备份本身含有秘密信息,备份介质也是偷窃者的目标,因此,计算机系统允许用户的某些特别文件不进行系统备份,而做涉密介质备份。
(3)防病毒。定期检查网络系统是否被感染了计算机病毒,对引导软盘或下载软件和文档应加以安全控制,对外来软盘在使用前应进行病毒诊断。同时注意不断更新病毒诊断软件版本,及时掌握、发现正在流行的计算机病毒动向,并采取相应的有效措施。
(4)补丁程序。及时安装各种安全补丁程序,不给入侵者以可乘之机。
(5)仔细阅读"系统日志"和“用户日志”。对可疑活动一定要仔细分析,如有人在试图访问一些不安全的服务端口,利用Finger、Tftp或用Debug手段访问用户邮件服务器等。对此系统管理员应加以关注和分析。
(6)信息过滤。系统平台的非法内容过滤子系统对发送的短信内容进行严格的监控,一旦发现敏感、非法、黄色等信息,系统会将此条信息视为无效信息,阻止信息的发送!公司有专人负责过滤内容的收集录入,内容包括中文简体、繁体、英文等各种编码的信息。公司将尽最大限度确保信息的合法性,阻止造成信息安全的非法行为。
(二)、信息安全保密管理制度
1、 充分发挥和有效信息资源,保障门户网站的正常运行,对网络信息进行及时、有效、规范的管理。
2、 在我公司门户网站服务器上提供的信息,不得危害国家安全、泄露国家秘密;不得有害社会稳定、治安和有伤风化。
3、 本公司各部门及信息采集人员对所提供信息的真实性、合法性负责并承担发布信息引起的任何法律责任;
4、 各部门指定专人担任信息管理员,负责本网站信息发布工作。不允许用户 将其帐号、密码转让或借予他人使用;因密码泄密给本网站以及本公司帯来的不利 影响由泄密人承担全部责任。并追究该部门负贲人的管理责任:
5、 不得将任何内部资料、机密资料、涉及他人隐私资料或侵犯任何人的专利、 商标、著作权、商业秘密或其他专属权利之内容加以上载、张贴。
6、 所有信息及时备份,并按规定将系统运行日志和用户使用日志记录保存
3月以上且未经审核不得刪除;网站管理员不得随意芸改后台操作I己录;
7、 严格遵循部门负责制的原则。明确責任人的职责,细化工作流程,网站相 关信息按照编辑上传、初审、终审通过的审核程序发布。切实保障网络信息的 有效性、真实性、合法性;
8、 遵守对网站服务信息监视、保存、淸除和备份的制度,经常开展网络有害信息的排查清理工作,对涉嫌违法犯罪的信息及时报告并协助公安机关查迅。
(三)、用户信息安全管理制度
我公司门户网站为充分保护用户的个人隐私、保障用户信息安全,特制订用户信息安全管理制度。
1、定期的相关人员进行网络信息安全培训并进行考核。使网站相关管理人员充分认识到网络安全的重要性,严格遵守相应规章制度。
2、 尊重并保护用户的个人隐私,除了在与用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不随意公布和泄露 用户个人身份信息。
3、对用户的个人信息严格保密。井承搭未经用户授权,不得编辑或透露其个人信息及保存在本网站中的非公开内容,但下列情况除外:
违反相关法律法规或本网站服务协议规定;
按照主管部门的要求。有必要向相关法律部门提供备案的内容;
因维护社会个体和公众的权利、财产或人身安全的需要;
被侵害的第三人提出合法的权利主张;
为维护用户及社会公共利益、本网站的合法权益的需要;
事先荻得用户的明确授权或其它符合需要公开的相关要求。
4、用户应当严格遵守网站用户帐号使用登记和操作权限管理制度,并对自己的用户账号、密码妥善保管,定期或不定期修改登录密码。严格保密,严禁向他人泄露。
5、毎个用户都要对其帐号中的所有活动和事件负全责。用户可随时改变用户的密码和图标。也可以结束旧的帐号而重新申请注册一个新帐号。用户同意若 发现任何非法使用用户帐号或安全漏洞的情况,有义务立即通告本网站。
6、如用户不慎泄露登陆胀号和密码,应当及时与网站管理员联系,请求管理 员及时锁定用户的操作权限,防止他人非法操作;在用户提供有效身份证明和有效凭据并审查核实后,重新设定密码恢复正常使用。
我公司将严格执行本规章制度,并形成规范化管理。并成立由单位负责人、部门负责人、主要技术人员组成的网络信息安全小组,并确定至少两名安全负责人作为突发事件处理的直接责任人。