《2023年互联网信息服务业务网络与信息安全保障措施全套篇.docx》由会员分享,可在线阅读,更多相关《2023年互联网信息服务业务网络与信息安全保障措施全套篇.docx(39页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全负责人联系电话(手机)网络与信息安全保障措施信息安全管理组织机构设立及工作职责网络与信息安全管理人员配备情况及相应资质信息安全管理责任制有害信息发现受理处置机制有害信息投诉受理处置机制重大信息安全事件应急处置和报告制度信息安全管理政策和业务培训制度网络安全管理责任制度网络安全防护制度网络安全事件应急处置和报告制度有害信息发现和过滤技术手段用户日记留存所采用的技术手段网络安全防护技术手段安全联络员变动承诺其他安全管理组织机构及岗位职责1 总则1.1为规范大连比来比去网络科技有限公司(以下简称“公司”)信息安全管理工作,建立自上而下的信息安全工作管理体系,需建立健全相应的组织管理体系,以推
2、动信息安全工作的开展。2 范围本管理办法合用于公司的信息安全组织机构和重要岗位的管理。3 规范性引用文献下列文献中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文献,其随后所有的修改单或修订版均不合用于本标准(不涉及勘误、告知单),然而,鼓励根据本标准达成协议的各方研究是否可使用这些文献的最新版本。凡未注日期的引用文献,其最新版本合用于本标准信息安全技术 信息系统安全保障评估框架(GB/T 20274.1-2023)信息安全技术 信息系统安全管理规定(GB/T 20269-2023 )信息安全技术 信息系统安全等级保护基本规定(GBT 22239-2023)4组织机构4.1公司成立
3、信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的平常事务。4.2信息安全领导小组负责研究重大事件,贯彻方针政策和制定总体策略等。职责重要涉及:根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;拟定公司信息安全各有关部门工作职责,指导、监督信息安全工作。4.3信息安全领导小组下设两个工作组:信息安全工作组、应急解决工作组。组长均由公司负责人担任。4.4信息安全工作组的重要职责涉及:4.4.1贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作;4.4.2根据信息安全领导小组的工作部署,对信息安全工作进行具体安排
4、、贯彻;4.4.3组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;4.4.4负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;4.4.5组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;4.4.6负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析因素、涉及范围,并评估安全事件的严重限度,提出信息安全事件防范措施;4.4.7及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。4.4.8跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。4.5应急
5、解决工作组的重要职责涉及:4.5.1审定公司网络与信息系统的安全应急策略及应急预案;4.5.2决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;4.5.3每年组织对信息安全应急策略和应急预案进行测试和演练。4.6公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设立信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,贯彻本单位信息安全工作和应急解决工作。5 关键岗位5.1设立信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员,规定五人各自独立。要害岗位人员必须严格遵守保密法规和有
6、关信息安全管理规定。5.2系统管理员重要职责有:5.2.1负责系统的运营管理,实行系统安全运营细则;5.2.2严格用户权限管理,维护系统安全正常运营;5.2.3认真记录系统安全事项,及时向信息安全人员报告安全事件;5.2.4对进行系统操作的其别人员予以安全监督。5.3网络管理员重要职责有:5.3.1负责网络的运营管理,实行网络安全策略和安全运营细则;5.3.2安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运营;5.3.3监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;5.3.4对操作网络管理功能的其别人员进行安全监督。5.4应用开发管理员重
7、要职责有:5.4.1负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的准的确现;5.4.2系统投产运营前,完整移交系统相关的安全策略等资料;5.4.3不得对系统设立“后门”;5.4.4对系统核心技术保密等。5.5 安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督,重要职能涉及:5.5.1 按操作员证书号进行审计;5.5.2 按操作时间审计;5.5.3 按操作类型审计;5.5.4 事件类型进行审计;5.5.5 日记管理等。5.6安全保密管理员负责平常安全保密管理活动,重要职责有:5.6.1 监视全网运营和安全告警信息5.6.2 网络审计信息的常规分析5.6.4 安
8、全设备的常规设立和维护5.6.5 执行应急中心制定的具体安全策略5.6.6 向应急管理机构和领导机构报告重大的网络安全事件等。6 附则6.1本办法由比来比去网络科技有限公司负责解释。6.2本办法自发布之日起施行。网络与信息安全管理人员配备情况及相应资质姓名身份证号码性别学历毕业学校专业职称类别李xx 男本科至少3个计算机专业杨xx 女本科王xx 韩xx 徐xx 雷xx 填表单位盖章: 附:重要管理、技术人员身份证、学历或职称证书复印件(5人以上)信息安全管理责任制网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我司将认真开展网络与信息安全工作,通过检查进一步明确
9、安全责任,建立健全的管理制度,贯彻技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,保证网络与信息安全。1 网站运营安全保障措施1.1网站服务器和其他计算机之间设立经公安部认证的防火墙, 并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意袭击,保障网站正常运营。1.2在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 1.3做好生产日记的留存。网站具有保存60天以上的系统运营日记和用户使用日记记录功能,内容涉及IP地址及使用情况,主页维护者、邮箱使用者和相应的IP地址情况等。 1
10、.4交互式栏目具有有IP地址、身份登记和辨认确认功能,对没有合法手续和不具有条件的电子公告服务立即关闭。1.5网站信息服务系统建立双机热备份机制,一旦主系统碰到故障或受到袭击导致不能正常运营,保证备用系统能及时替换主系统提供服务。1.6关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。1.7服务器平时处在锁定状态,并保管好登录密码;后台管理界面设立超级用户名及密码,并绑定IP,以防别人登入。1.8网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设立共享数据库信息的访问权限,并设立相应的密码及口令。不同的操作人员设定不同的用户名,且
11、定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。2 信息安全保密管理制度2.1我司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起保证网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,贯彻责任制,明确负责人和职责,细化工作措施和流程,建立完善管理制度和实行办法,保证使用网络和提供信息服务的安全。 2.2网站信息内容更新所有由网站工作人员完毕,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。工作人员采集信息将严格遵守国家的有关法律、法规
12、和相关规定。严禁通过我司网站及短信平台散布互联网信息管理办法等相关法律法规明令严禁的信息(即“九不准”),一经发现,立即删除。2.3遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。 2.4所有信息都及时做备份。按照国家有关规定,网站将保存60天内系统运营日记和用户使用日记记录,短信服务系统将保存5个月以内的系统及用户收发短信记录。2.5制定并遵守安全教育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。3 用户信息安全管理制度3.1我
13、司郑重承诺尊重并保护用户的个人隐私,除了在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下,未经用户授权我司不会随意公布与用户个人身份有关的资料,除非有法律或程序规定。3.2所有用户信息将得到本公司网站系统的安全保存,并在和用户签署的协议规定期间内保证不会丢失; 3.3严格遵守网站用户帐号使用登记和操作权限管理制度,对用户信息专人管理,严格保密,未经允许不得向别人泄露。3.4公司定期对相关人员进行网络信息安全培训并进行考核,使员工可以充足结识到网络安全的重要性,严格遵守相应规章制度。3.5我司将严格执行本规章制度,并形成规范化管理,建立健全信息网络安全小组。安全小组由单位领导负
14、责,网络技术、客户服务等部门参与,并拟定两名安全负责人作为突发事件解决的联系人。有害信息发现受理处置机制 1 为了加强网络安全保护,根据中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际互联网管理暂行规定及其他有关法律、行政法规的规定,制定本机制。 2 有害信息时间是指单位和个人运用网络资源制作、复制、查阅及传播下列的事件: 2.1 煽动抗拒、破坏宪法和法律、行政法规实行的; 2.2 煽动颠覆国家政权、推翻社会主义制度的; 2.3 煽动分裂国家、破坏国家统一的; 2.4 煽动民族仇恨、民族歧视、破坏民族团结的; 2.5 捏造或者歪曲事实,散布谣言,扰乱社会秩序的; 2.
15、6 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的; 2.7 公然欺侮别人或者捏造事实诽谤别人的; 2.8 损害网站形象和网站利益的; 2.9 其他违反宪法和法律、行政法规的。 信息安全小组负责对公司所有网络资源进行实时监控,做到及时发现、即时解决的原则办理,并对解决结果备案,对重大有害信息事件,应在第一时间上报主管领导及相关部门。 信息安全小组负责界定、监控、受理有害信息事件,要做到即接快办;夜间、节假日值班期间接到、发现的,应于次日或节假日后的第一个工作日办理,对需紧急办理的重大信息安全事件可先解决后登记(如遇紧急情况,可直接关闭服务器等设备,暂停网络运营)。 负责查办的相关
16、人员接到交办的事件后,应及时安排办理,规定在最短时限内解决完毕,如遇特殊情况不能准时解决完毕的,应报主管领导说明情况,可适当延长解决时间,解决结果应及时反馈给信息安全小组组长。在解决有害信息事件时,应按照解决流程,及时填写相应表单,并随解决结果报告一并存档。 解决人员应对重大有害信息事件的举报人、发现人规定保密者做到保密,有关重大的有害信息事件及解决过程不得泄密。有害信息投诉受理处置机制1 为了加强对网络的安全保护,根据中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际互联网管理暂行规定及其他有关法律、行政法规的规定,制定本机制。 2 举报、投诉中心设在集团信息部。举报
17、投诉的受理和回复工作统一由信息部设专人负责,向社会公开投诉举报电话号码,设立举报箱。 3 受理的有害信息投诉事件重要指单位和个人运用网络制作、复制、查阅和传播下列信息的事件: 3.1煽动抗拒、破坏宪法和法律、行政法规实行的;3.2煽动颠覆国家政权、推翻社会主义制度的;3.3煽动分裂国家、破坏国家统一的; 3.4煽动民族仇恨、民族歧视,破坏民族团结的;3.5捏造或者歪曲事实,散布谣言,扰乱社会秩序的; 3.6宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;3.7公然欺侮别人或者捏造事实诽谤别人的; 3.8损害网站形象和网站利益的; 3.9其他违反宪法和法律、行政法规的。 举报投诉受
18、理中心对公众举报、投诉事件,按集中管理、登记的原则办理,由信息部带领网络信息安全小组集中解决,并对解决结果备案。对较重大有害信息事件,应立即上报主管领导。 举报投诉受理中心受理的事件,要做到即接快办;夜间、节假日值班期间接到的投诉举报,应于次日或节假日后的第一个工作日办理,对需紧急办理的重大信息安全事件可先解决后登记。 负责查办的相关人员接到交办的投诉举报事件后应及时安排办理,规定在法定期限内解决完毕,如遇特殊性情况不能准时解决完毕的,应报主管领导说明理由,可适当延长解决时间;解决结果应及时反馈给举报投诉受理中心,由举报投诉受理中心反馈绘投诉举报人。 在解决有害信息投诉事件的记录、登记、交办工
19、作流程时,应填写相应表单、并随结果报告一同存档。 解决人员应对重大有害信息事件举报人或规定保密者做到保密,有关重大的有害信息事件及解决过程不得泄密。重大信息安全事件应急处置和报告制度为防止和及时处置网络突发事件,保证网络信息安全,维护社会稳定,特制订网络信息安全事件应急处置预案。1 在公司领导的统一管理下,贯彻执行中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际互联网管理暂行规定等相关法律法规,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,防止和控制风险,在发生信息安全事故或事件时最大限度地减少损失,维护社会和公司稳定,尽快使网络和系统恢复正常,做好网
20、络运营和信息安全保障工作。2 信息网络安全事件定义2.1网站受到黑客袭击,主页被恶意篡改、交互式栏目里发表煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实行;捏造或者歪曲事实,故意散布谣言,扰乱社会秩序;公然欺侮别人或者捏造事实诽谤别人;宣扬封建迷信、淫秽色情、暴力、凶杀、恐怖;发送危害国家安全、宣扬“法轮功”等邪教及宗教极端势力的信息;破坏社会稳定的信息及损害国家、公司声誉和稳定的谣言等。2.2网内网络应用服务器被非法入侵,应用服务器上的数据被非法拷贝、修改、删除,发生泄密事件。2.3在网站上发布的内容违反国家的法律法规、侵犯知识产权等,已经
21、导致严重后果。3 加大培训和宣传力度,加强和完善互联网安全管理,设立专门管理部门,采用统一管理体制,贯彻负责人。各部门要建立健全内部安全保障制度,按照“谁主管、谁负责”、“谁主办、谁负责”的原则,贯彻责任制,明确负责人和职责,细化工作措施和流程,建立完善管理制度和实行办法,加强信息的审查和备案工作,保证网络与信息安全。加强我公司互联网络信息安全管理,连接国际互联网的计算机用户绝对不能存储涉及国家秘密、公司内部机密的文献。4 加强信息审查工作,若发现主页被恶意更改,应立即停止主页服务并恢复对的内容,同时检查分析被更改的因素,在被更改的因素找到并排除之前,不得重新开放主页服务。各级各类服务器提供信
22、息服务,必须事先登记、审批,建立使用规范,贯彻负责人,并具有相应的安全防范措施(如:日记留存、安全认证、实时监控、防黑客、防病毒等),加强网络设备日记分析,及时收集信息,排查不安定因素。加强BBS、留言板等交互式栏目的专人管理,交互式栏目内容发布实行审核制度。对于非法网站要做到:发现一个,严禁一个,并及时向主管领导报告,杜绝其蔓延。建立有效的网络防病毒工作机制,及时做好防病毒软件的网上升级,保证病毒库的及时更新。5 网络部对互联网实行24小时值班责任制,必要时实行远程控制。网络管理人员应定期对互联网的硬件设备进行状态检查。对用户上网进行监控,若发现有异常行为应立即关闭该用户的网络连接,及时记录
23、在案,并对其警告和批评教育,严重违法行为立即上报有关部门。6 加强突发事件的快速反映。网络管理员具体负责相应的网络安全和信息安全工作,不允许有任何触犯国家网络管理条例的网络信息,对突发的信息网络安全事件应做到:6.1及时发现、及时报告,在发现后在第一时间向上一级领导或部门报告。6.2保护现场,立即与网络隔离,防止影响扩大。6.3及时取证,分析、查找因素。6.4消除有害信息,防止进一步传播,将事件的影响降到最低。6.5在处置有害信息的过程中,任何单位和个人不得保存、贮存、散布、传播所发现的有害信息。6.6追究相关责任。根据实际情况提出口头警告、书面警告、停止使用网络,情节严重和后果影响较大者,提
24、交公司及国家司法机关解决,追究部门负责人和直接负责人的行政或法律责任。7 及时整顿,加强防范。各部门要积极配合上级网络安全管理部门的例行检查,并接受其技术指导。针对网络存在的安全隐患和出现的问题,及时提出整治方案并具体贯彻到位,完善网络安全机制,防范网络安全事件再度发生。逐步建立网络信息安全管理长效工作机制,实现公司信息安全管理,发明良好的网络环境。8 在重要、敏感时期,加大网络安全教育宣传力度,加强员工的法律意识和安全意识教育,提高其安全意识和防范能力;开展安全文明上网的教育引导工作,净化互联网网上环境,及时收集信息,排查不安定因素;坚持24小时值班制度,开通值班电话,保证与上级主管部门、电
25、信部门和本地公安机关的热线联系,积极做好防止工作,发现问题及时解决,防患于未然。9 做好机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故,应立即组织人员自救,并报警。10 网络安全事件报告与处置。事件发生并得到确认后,有关人员应立即将情况报告有关领导,由领导指挥解决网络安全事件。应及时向本地公安机关报案。阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作,有关违法事件移交公安机关解决。信息安全管理政策和业务培训制度一、信息安全管理制度: 为了充足发挥公司网络作用,保证使用网络和网络信息的安全,特制定本制度。 1公司网络用户必须遵守国家有关法律、法规。严格执行安全信息安全
26、制度,并对所提供的信息负责。 2任何个人不得运用计算机网络从事危害国家安全、泄露国家秘密的活动。不得查阅、复制和传播有碍社会治安和伤风败俗的信息。 3公司网络用户必须接受和配合系统运维部门依法进行的监督检查和采用的必要措施。 4公司网络由系统运维部门统一管理、分层负责制。明确专人负责审查相关的上网信息,严禁涉及国家秘密的信息上网。 5公司网络用户由系统运维部门统一规划接入,严禁任何用户擅自接入网络,增长用户必须经经理部批准。 6公司网络用户如在发现有碍社会治安和不健康的信息,有义务及时上报管理人员并自觉立即销毁。 7设立网络安全员,负责网络安全和信息安全工作,定期对网络用户进行有关信息安全和网
27、络安全教育。 8违反本制度规定,有下列行为之一者,公司可提出警告、停止其使用网络,情节严重者给予行政处分或提交司法部门解决。 (1) 查阅、复制或传播下列信息者: a、煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度; b、煽动抗拒、破坏宪法和国家法律、行政法规的实行; c、捏造或者歪曲事实,故意散布谣言,扰乱社会秩序; d、公然欺侮别人或者捏造事实诽谤别人; e、宣扬封建迷信、淫秽、色情、暴力、凶案、恐怖等。 (2)破坏、盗用计算机网络中的信息资源和进行危害计算机网络安全的活动。 (3)盗用别人账号或私自转借、转让用户账号导致危害者。 (4)故意制作、传播计算机病毒等破坏性程序者。 (
28、5)上网信息审查不严,导致严重后果者。 二、培训制度 1每年至少安排一次计算机网络使用人员参与上级主办或自办的计算机网络安全教育活动,自觉遵守和维护计算机信息网络国际互联网安全保护管理办法,加强计算机网络安全结识管理。 2网络安全员必须接受上级专业部门的安全培训,加强对有害、反动信息的辨认能力,提高网络安全防范能力。 3组织网络安全员认真学习计算机信息网络国际互联网安全保护管理办法、网络安全管理制度及中华人民共和国计算机信息系统安全保护条例,提高工作人员的维护网络安全的警惕性和自觉性。 4对公司各承担信息发布工作的有关部门进行安全教育和培训,自觉遵守和维护计算机信息网络国际互联网安全保护管理办
29、法,杜绝发布违犯计算机信息网络国际互联网安全保护管理办法的信息内容。网络安全管理责任制度为加强计算机网络的维护和管理,保证网络安全、可靠、稳定地运营,促进学院网络的健康发展特制定本管理规定。第一条 各用户必须自觉遵守国家有关保密法规:不得运用国际互联网泄露国家秘密;涉密文献、资料、数据严禁上网流传、解决、储存;与涉密文献、资料、数据和涉密科研课题相关的微机严禁联网运营。 第二条 任何用户不得运用国际互联网制作、复制、查阅和传播下列信息:煽动抗拒、破坏宪法和法律、行政法规实行;煽动颠覆国家政权,推翻社会主义制度;煽动分裂国家、破坏国家统一;煽动民族仇恨、民族歧视,破坏民族团结;捏造或者歪曲事实,
30、散布谣言,扰乱社会秩序;宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪;公然欺侮别人或者捏造事实诽谤别人;损害国家机关信誉的;其他违反宪法和法律、行政法规的。 第三条 任何用户不得从事下列危害计算机信息网络安全的活动: 未经允许,进入计算机信息网络或者使用计算机信息网络资源; 未经允许,对计算机信息网络功能进行删除、修改或者增长的; 未经允许,对计算机信息网络中存储、解决或者传输的数据和应用程序进行删除、修改或者增长的; 故意制作、传播计算机病毒等破坏性程序的; 其他危害计算机信息网络安全的。 第四条 用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,运用国际联网
31、侵犯用户的通信自由和通信秘密。第五条 网络负责人和各科室网络用户应当履行下列安全保护职责: 负责本网络的安全保护管理工作,建立健全安全保护管理制度; 贯彻安全保护技术措施,保障本网络的运营安全和信息安全; 负责对本网络用户的安全教育和培训; 对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照相关规定进行审核; 建立计算机信息网络电子公告系统的用户登记和信息管理制度; 发现有违法乱纪行为的,应当保存有关原始记录,并在二十四小时内向学院领导和相关职能部门报告;按照国家有关规定,删除本网络中具有违法内容的地址、目录或者关闭服务器。 第六条 网络负责人和各科室网络用户必须实行以下安全管理制度
32、: 分级管理,分级负责,网络建设与管理成效与年终考核挂钩制度; 信息发布文责自负、审核、登记制度; 有害信息监视、保存、清除和备份制度; 违法案件报告和协助查处制度; 帐号使用登记和操作权限管理制度; 安全教育和培训制度; BBS注册实名登记制度; 严禁涉密微机入网制度。 第七条 对于不符合安全管理规定的站点,一经发现,即从网上隔离,并要追究有关人员的责任。第八条 网络负责人和各科室要定期对相应的网络用户进行有关的信息安全和网络安全教育,并根据国家有关规定对上网信息进行检查。发现问题应及时上报,并采用解决措施。第九条网络负责人和各科室和用户必须接受并配合国家和学校有关部门依法进行的监督检查。网
33、络安全防护制度为加强公司网络管理,保障网络畅通,杜绝运用网络进行非法活动,使之更好地方便游客,特制定本制度。一、安全教育与培训1组织管理员认真学习计算机信息网络国际互联网安全保护管理办法、网络安全管理制度及信息发布审核、登记制度,提高工作人员的维护网络安全的警惕性和自觉性。2对公司所有网络用户进行安全教育和培训,使用户自觉遵守和维护计算机信息网络国际互联网安全保护管理办法,具有基本的网络安全知识。3不定期地邀请公安机关有关人员、设备提供商专业技术人员进行信息安全面的培训,加强对有害信息,特别是影射性有害信息的辨认能力,提高防范能力。二、病毒检测和网络安全漏洞检测1服务器假如发现漏洞要及时修补漏
34、洞或进行系统升级。2网络信息安全员履行对所有上网信息进行审查的职责,根据需要采用措施,监视、记录、检测、制止、查处、防范针对其所管辖网络或入网计算机的人或事。3所有用户有责任对所发现或发生的违反有关法律、法规和规章制度的人或事予以制止或向网络中心反映、举报,协助有关部门或管理人员对上述人或事进行调查、取证、解决,应当向调查人员如实提供所需证据。4网络管理员应根据实际情况和需要采用新技术调整网络结构、系统功能,变更系统参数和使用方法,及时排除系统隐患。三、网络安全管理员岗位职责1保障公司网络畅通和网络信息安全。2严格遵守国家、省、市制定的相关法律、行政法规,严格执行我学院制定的网络安全工作制度,
35、以人为本,依法管理,保证公司网络安全有序。3服务器假如发现漏洞要及时修补漏洞或进行系统升级。4网络信息安全员履行对所有上网信息进行审查的职责,根据需要采用措施,监视、记录、检测、制止、查处、防范针对其所管辖网络或入网计算机的人或事。5所有用户有责任对所发现或发生的违反有关法律、法规和规章制度的人或事予以制止或向网络中心反映、举报,协助有关部门或管理人员对上述人或事进行调查、取证、解决,应当向调查人员如实提供所需证据。6网络管理员应根据实际情况和需要采用新技术调整网络结构、系统功能,变更系统参数和使用方法,及时排除系统隐患。四、病毒检测和网络安全漏洞检测1服务器假如发现漏洞要及时修补漏洞或进行系
36、统升级。2网络信息安全员履行对所有上网信息进行审查的职责,根据需要采用措施,监视、记录、检测、制止、查处、防范针对其所管辖网络或入网计算机的人或事。3所有用户有责任对所发现或发生的违反有关法律、法规及规章制度的人或事予以制止或向网络中心反映、举报,协助有关部门或管理人员对上述人或事进行调查、取证、解决,应当向调查人员如实提供所需证据。4网络管理员应根据实际情况和需要采用新技术调整网络结构、系统功能,变更系统参数和使用方法,及时排除系统隐患。五、网络违法案件报告和协助查处1贯彻网络安全岗位责任制,并与公安一旦发现网络违法案件,应具体、如实记录事件通过,保存相关日记,及时告知有关人员部门取得联系。
37、2接到有关网络违法案件举报时,要具体记录,对举报人的身份等要严格保密,及时告知有关人员,并及时与公安部门取得联系。3当有关网络安全监察部门进行网络违法案件及其他网络安全检查时,网络安全员和其他有关人员必须积极配合。4以下行为属于违法使用网络:破坏网络通讯设施,涉及光缆、室内网络布线、室内信息插座、配线间网络设备等。随意改变网络接入位置。盗用别人的IP地址、更改网卡地址、盗用别人帐号(涉及上网帐号、电子邮件帐号、信息发布帐号等);通过电子邮件、网络、存储介质等途径故意传播计算机病毒。对网络进行恶意侦听和信息截获,在网络上发送干扰正常通信的数据。对网络各种袭击,涉及运用已知的系统漏洞、网络漏洞、安
38、全工具、端口扫描等进行袭击,以后、以及运用IP欺骗手段实行的拒绝服务袭击;访问和传播色情、反动、邪教、谣言等不良信息的。六、网络帐号使用登记和操作权限1上网IP地址是上网主机在网上的合法用户身份标志,所有上网主机必须到网络管理部门进行登记注册,将本机的重要网络技术资料(涉及主机型号,技术参数,用户名,主机名,所在域名或工作组名,网卡类型,网卡的MAC地址,网管部门分派的IP地址)详尽备案,以备核查。2上网用户未经许可,不得擅自改动本机IP地址的主机。3网络管理中心对帐号与权限划分要进行有效的备份,以便网络发生故障时进行恢复。4单位帐号与操作权限的设立,必须做到专人专管,不得泄密或外借给别人使用
39、。七、网络违法案件报告和协助查处1贯彻网络安全岗位责任制,并与公安一旦发现网络违法案件,应具体、如实记录事件通过,保存相关日记,及时告知有关人员部门取得联系。2接到有关网络违法案件举报时,要具体记录,对举报人的身份等要严格保密,及时告知有关人员,并及时与公安部门取得联系。3当有关网络安全监察部门进行网络违法案件及其他网络安全检查时,网络安全员和其他有关人员必须积极配合。4以下行为属于违法使用网络:(1)破坏网络通讯设施,涉及光缆、室内网络布线、室内信息插座、配线间网络设备等。(2)随意改变网络接入位置。(3)盗用别人的IP地址、更改网卡地址、盗用别人帐号(涉及上网帐号、电子邮件帐号、信息发布帐
40、号等);(4)通过电子邮件、网络、存储介质等途径故意传播计算机病毒。(5)对网络进行恶意侦听和信息截获,在网络上发送干扰正常通信的数据。(6)对网络各种袭击,涉及运用已知的系统漏洞、网络漏洞、安全工具、端口扫描等进行袭击,以后、以及运用IP欺骗手段实行的拒绝服务袭击;(7)访问和传播色情、反动、邪教、谣言等不良信息的。网络安全事件应急处置和报告制度为了保证我司网站及网络畅通,安全运营,保证网络信息安全,特制定网络和信息安全事件应急处置和报告制度。 一、在公司领导下,贯彻执行中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际互联网管理暂行规定等相关法律法规;贯彻贯彻公安部
41、门和省、市相关部门关于网络和信息安全管理的有关文献精神,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,防止和控制风险,在发生信息安全事故或事件时最大限度地减少损失,尽快使网络和系统恢复正常,做好网络和信息安全保障工作。 二、信息网络安全事件定义 1、网络忽然发生中断,如停电、线路故障、网络通信设备损坏等。 2、网站受到黑客袭击,主页被恶意篡改、交互式栏目里发表有煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实行;捏造或者歪曲事实,故意散布谣言,扰乱秩序;破坏社会稳定的信息及损害国家、公司声誉和稳定的谣言等。 3、单位内网络服务器
42、及其他服务器被非法入侵,服务器上的数据被非法拷贝、修改、删除,发生泄密事件。 三、设立网络应急小组,组长由单位有关领导担任,成员由技术部门人员组成。采用统一管理体制,明确负责人和职责,细化工作措施和流程,建立完善管理制度和实行办法。设立网络运营维护小组,成员由信息中心人员组成,保证网络畅通与信息安全。 四、加强网络信息审查工作,若发现主页被恶意更改,应立即停止主页服务并恢复对的内容,同时检查分析被更改的因素,在被更改的因素找到并排除之前,不得重新开放主页服务。信息发布服务,必须贯彻负责人,实行先审后发,并具有相应的安全防范措施(如:日记留存、安全认证、实时监控、防黑客、防病毒等)。建立有效的网
43、络防病毒工作机制,及时做好防病毒软件的网上升级,保证病毒库的及时更新。 五、信息部对公司网络实行24小时值班责任制,开通值班电话,保证与上级主管部门、电信部门和本地公安单位的热线联系。若发现异常应立即向应急小组及有关部门、上级领导报告。 六、加强突发事件的快速反映。运营维护小组具体负责相应的网络安全和信息安全工作,网络管理员具体负责相应的网络安全和信息安全工作,不允许有任何触犯国家网络管理条例的网络信息,对突发的信息网络安全事件应做到: (1)及时发现、及时报告,在发现后在第一时间向上一级领导或部门报告。 (2)保护现场,立即与网络隔离,防止影响扩大。 (3)及时取证,分析、查找因素。 (4)
44、消除有害信息,防止进一步传播,将事件的影响降到最低。 (5)在处置有害信息的过程中,任何单位和个人不得保存、贮存、散布、传播所发现的有害信息。 (6)追究相关责任。根据实际情况提出口头警告、书面警告、停止使用网络,情节严重和后果影响较大者,提交公司及国家司法机关解决,追究部门负责人和直接负责人的行政或法律责任。七、做好准备,加强防范。应急小组各部门成员对相应工作要有应急准备。针对网络存在的安全隐患和出现的问题,及时提出整治方案并具体贯彻到位,发明良好的网络环境。 八、加强网络用户的法律意识和网络安全意识教育,提高其安全意识和防范能力;净化网络环境,严禁用于上网浏览与工作无关的网站。 九、做好网
45、络机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故,应立即组织人员自救,并报警。 十、网络安全事件报告与处置。 事件发生并得到确认后,有关人员应立即将情况报告有关领导,由领导指挥解决网络安全事件。应及时向本地公安单位报案。阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作,有关违法事件移交公安单位解决。 有害信息发现受理处置机制网络信息重要有两类有害信息,一类是:1.煽动抗拒、破坏宪法和法律、行政法规实行的;2.煽动颠覆国家政权、推翻社会主义制度的;3.煽动分裂国家、破坏国家统一的;4.煽动民族仇恨、民族歧视、破坏民族团结的;5.捏造或歪曲事实,散布谣言,扰乱社会秩序的;6.宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;7.公然欺侮别人或捏造事实诽谤别人的;8.损害本司网站形象和利益的;9.其他违反宪法和法律、行政法规的。另一类是影响网络自身和用户机器安全的不良代码,如病毒、木马和特殊控制等。有害信息的发现机制重要有“积