電信業(yè)務經(jīng)營許可證信息安全保障措施
辦理增值電信業(yè)務經(jīng)營許可證時填寫的關(guān)于網(wǎng)絡(luò)與信息安全保障措施方面的內(nèi)容。
一、網(wǎng)站安全保障措施
1、網(wǎng)絡(luò)安全及系統(tǒng)安全
網(wǎng)絡(luò)安全主要用于防范黑客攻擊手段,利用市場存在的大量的產(chǎn)品解決網(wǎng)絡(luò)安全,如利用防火墻系統(tǒng),入侵檢測安全技術(shù)。系統(tǒng)安全重點解決操作系統(tǒng)、數(shù)據(jù)庫和各個服務器,例如WEB服務器及WAP服務器等,系統(tǒng)級安全問題,以建立一個安全的系統(tǒng)運行平臺,來有效抵抗黑客利用系統(tǒng)的安全缺陷對系統(tǒng)進行攻擊,主要措施包括:
(1)、定期使用漏洞掃描全殲掃描系統(tǒng)漏洞,對服務器進行安全漏洞檢測,關(guān)閉不必要的端口;
(2)、每天對服務器系統(tǒng)進行升級,安裝服務器補丁,預防可能存在的網(wǎng)絡(luò)系統(tǒng)安全漏洞;
(3)、安全人員在漏洞掃描檢測完成后,應編寫檢測報告,詳細記載漏洞檢測結(jié)果記錄及實施的補救措施與安全策略,并整理歸檔;
(4)、對系統(tǒng)進行更改的文件,上傳至服務器前要進行完整的病毒掃描,確保沒有發(fā)現(xiàn)病毒;
(5)、每天升級服務器殺毒軟件的病毒庫,確保病毒庫始終處于最新狀態(tài),防止病毒入侵、感染及傳播。
(6)不定期經(jīng)常性更改管理員密碼,密碼使用期不超過一個月,密碼選擇較長、包含大小寫字母和數(shù)字、符號混合的。
2、管理安全
提高安全意識,建立安全的人事組織管理基于以下三個原則:
(1)、多人負責制
每一項與安全相關(guān)的活動時必須至少有兩人在場,并且這些人必須是系統(tǒng)安全主管領(lǐng)導指派的工作認真可靠,能夠勝任此項工作的要求,并應該填寫工作情況記錄。其主要負責的安全活動范圍包括:
①、信息處理系統(tǒng)使用的媒介及訪問控制權(quán)限的發(fā)放與回收;
②、處理保密信息;
③、軟件及硬件的維護;
④、系統(tǒng)設(shè)計及重要程序和數(shù)據(jù)的備份、刪除和銷毀等。
(2)、任期時限制度
任何人最好不要長期擔任與安全有關(guān)的職務,遵循任期有限原則,工作人員應不定期地循環(huán)任職,并規(guī)定對工作人員進行輪流培訓,以使任期有限制度切實可行。
二、信息安全保密管理制度
1、信息監(jiān)控制度:
(1)、網(wǎng)站信息必須在網(wǎng)頁上標明來源;(即有關(guān)轉(zhuǎn)載的信息全部標明轉(zhuǎn)載的地址)
(2)、相關(guān)責任人定期或不定期檢查網(wǎng)站內(nèi)部的信息內(nèi)容,實施有效的監(jiān)控,做好安全監(jiān)督工作;
(3)、嚴禁利用互聯(lián)網(wǎng)制作、復制、查閱和傳播以下一系列的信息,如違反規(guī)定有關(guān)部門將按規(guī)定對其進行處理;
①、反對憲法所確定的基本原則的;
②、危害國家安全,泄露國家秘密,顛覆國家政權(quán),破壞國家統(tǒng)一的;
③、損害國家榮譽和利益的;
④、煽動民族仇恨、民族歧視、破壞民族團結(jié)的;
⑤、破壞國家宗教政策,宣揚*和封建迷信的;
⑥、散布謠言,擾亂社會秩序,破壞社會穩(wěn)定的;
⑦、散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的;
⑧、侮辱或者誹謗他人,侵害他人合法權(quán)益的;
⑨、含有法律、行政法規(guī)禁止的其他內(nèi)容的。
2、組織結(jié)構(gòu):
設(shè)置專職的網(wǎng)絡(luò)管理員,并由其上級進行檢查及監(jiān)督,所有向聯(lián)網(wǎng)站點提供或者發(fā)布信息,必須經(jīng)過保密審查的批準。保密審批實行部門管理,有關(guān)單位應當根據(jù)國家保密法規(guī),審核批準后發(fā)布、堅持做到來源不名的不發(fā)、未經(jīng)過上級部門批準的不發(fā)、內(nèi)容有問題的不發(fā)的三不發(fā)制度。對網(wǎng)站管理實行責任制對網(wǎng)站的管理人員,以及領(lǐng)導明確各級人員的責任,管理網(wǎng)站的正常運行,嚴格抓管理
工作,實行誰管理誰負責。
三、用戶信息安全管理制度
1、信息安全內(nèi)部人員保密管理制度:
(1)、相關(guān)所有的內(nèi)部人員嚴禁對外泄露需要保密的信息;
(2)、相關(guān)所有的內(nèi)部人員不得發(fā)布、傳播國家法律禁止的內(nèi)容;
(3)、信息發(fā)布之前應該經(jīng)過相關(guān)人員審核;
(4)、對相關(guān)管理人員設(shè)定網(wǎng)站管理權(quán)限,不得越權(quán)管理網(wǎng)站信息;
(5)、一旦發(fā)生網(wǎng)站信息安全事故,應立即報告相關(guān)方并及時進行協(xié)調(diào)處理;
(6)、對有毒有害的信息進行過濾、用戶信息進行保密。
2、登陸用戶信息安全管理制度:
(1)、對登陸用戶信息閱讀與發(fā)布按需要設(shè)置權(quán)限;
(2)、對會員進行會員專區(qū)形式的信息管理;
(3)、對用戶在網(wǎng)站上的行為進行有效監(jiān)控,保證內(nèi)部信息安全;
(4)、固定用戶不得傳播、發(fā)布國家法律禁止的內(nèi)容。
3、用戶隱私制度
(1)、尊重用戶個人隱私是本網(wǎng)站的一項基本政策,本網(wǎng)站一定不會在未經(jīng)合法用戶授權(quán)時公開、編輯或者透露其注冊資料及保存在本網(wǎng)站中的非公開內(nèi)容,除非有法律許可要求或本網(wǎng)站在誠信的基礎(chǔ)上認為透露這些信息在以下三種情況是必要的:
①、遵守有關(guān)法律規(guī)定,遵從本網(wǎng)站合法服務程序;
②、在緊急情況下竭力維護用戶個人和社會大眾的隱私安全;
③、符合其他相關(guān)的要求。
(2)、用戶的賬號、密碼和安全性
①、用戶一旦注冊成功,成為本網(wǎng)站的合法用戶,將得到一個密碼和用戶名;
②、用戶將對用戶名和密碼安全負全部責任。另,每個用戶都要對以其用戶名進行的所有活動和事件負全責。用戶可隨時根據(jù)指示改變密碼;
③、用戶若發(fā)現(xiàn)任何非法使用用戶賬號或存在安全漏洞的情況,請立即通告本網(wǎng)站。
(3)用戶權(quán)利對于自己的個人資料享有以下權(quán)利:
①、隨時查詢以及請求閱覽;
②、隨時請求補充或者更正;
③、隨時請求刪除;
④、請求停止電腦處理以及利用。
(4)、任何人不得在網(wǎng)站上發(fā)布含有下列內(nèi)容之一的信息:
①、反對憲法所確定的基本原則的;
②、危害國家安全,泄露國家秘密,顛覆國家政權(quán),破壞國家統(tǒng)一的;
③、損害國家榮譽和利益的;
④、煽動民族仇恨、民族歧視、破壞民族團結(jié)的;
⑤、破壞國家宗教政策,宣揚*和封建迷信的;
⑥、散布謠言,擾亂社會秩序,破壞社會穩(wěn)定的;
⑦、散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的;
⑧、侮辱或者誹謗他人,侵害他人合法權(quán)益的;
⑨、含有法律、行政法規(guī)禁止的其他內(nèi)容的。
篇2:網(wǎng)絡(luò)信息安全保護措施
一、網(wǎng)絡(luò)安全保障措施
為了全面確保本公司網(wǎng)絡(luò)安全,在本公司網(wǎng)絡(luò)平臺解決方案設(shè)
計中,主要將基于以下設(shè)計原則:
a安全性
在本方案的設(shè)計中,我們將從網(wǎng)絡(luò)、系統(tǒng)、應用、運行管理、系統(tǒng)冗余等角度綜合分析,采用先進的安全技術(shù),如防火墻、加密技術(shù),為
熱點網(wǎng)站提供系統(tǒng)、完整的安全體系。確保系統(tǒng)安全運行。
b高性能
考慮本公司網(wǎng)絡(luò)平臺未來業(yè)務量的增長,在本方案的設(shè)計中,我們將從網(wǎng)絡(luò)、服務器、軟件、應用等角度綜合分析,合理設(shè)計結(jié)構(gòu)與配置
,以確保大量用戶并發(fā)訪問峰值時段,系統(tǒng)仍然具有足夠的處理能力,保障服務質(zhì)量。
c可靠性
本公司網(wǎng)絡(luò)平臺作為企業(yè)門戶平臺,設(shè)計中將在盡可能減少投資的情況下,從系統(tǒng)結(jié)構(gòu)、網(wǎng)絡(luò)結(jié)構(gòu)、技術(shù)措施、設(shè)施選型等方面綜合考慮
,以盡量減少系統(tǒng)中的單故障節(jié)點,實現(xiàn)7×24小時的不間斷服務
d可擴展性
優(yōu)良的體系結(jié)構(gòu)(包括硬件、軟件體系結(jié)構(gòu))設(shè)計對于系統(tǒng)是否能夠適應未來業(yè)務的發(fā)展至關(guān)重要。在本系統(tǒng)的設(shè)計中,硬件系統(tǒng)(如服務器
、存貯設(shè)計等)將遵循可擴充的原則,以確保系統(tǒng)隨著業(yè)務量的不斷增長,在不停止服務的前提下無縫平滑擴展;同時軟件體系結(jié)構(gòu)的設(shè)計也
將遵循可擴充的原則,適應新業(yè)務增長的需要。
e開放性
考慮到本系統(tǒng)中將涉及不同廠商的設(shè)備技術(shù),以及不斷擴展的系統(tǒng)需求,在本項目的產(chǎn)品技術(shù)選型中,全部采用國際標準/工業(yè)標準,使本
系統(tǒng)具有良好的開放性。
f先進性
本系統(tǒng)中的軟硬件平臺建設(shè)、應用系統(tǒng)的設(shè)計開發(fā)以及系統(tǒng)的維護管理所采用的產(chǎn)品技術(shù)均綜合考慮當今互聯(lián)網(wǎng)發(fā)展趨勢,采用相對先進同時
市場相對成熟的產(chǎn)品技術(shù),以滿足未來熱點網(wǎng)站的發(fā)展需求。
g系統(tǒng)集成性
在本方案中的軟硬件系統(tǒng)包括時力科技以及第三方廠商的優(yōu)秀產(chǎn)品。我們將為滿拉網(wǎng)站提供完整的應用集成服務,使?jié)M拉網(wǎng)站將更多的資源集
中在業(yè)務的開拓與運營中,而不是具體的集成工作中。
1、硬件設(shè)施保障措施:
重慶市滿拉科技發(fā)展有限公司的信息服務器設(shè)備符合郵電公用通信網(wǎng)絡(luò)的各項技術(shù)接口指標和終端通信的技術(shù)標準、電氣特性和通信方式等,
不會影響公網(wǎng)的安全。本公司租用重慶聯(lián)通的IDC放置信息服務器的標準機房環(huán)境,包括:空調(diào)、照明、濕度、不間斷電源、防靜電地板等。重慶聯(lián)通為本公司服務器提供一條高速數(shù)據(jù)端口用以接入CHINANET網(wǎng)絡(luò)。系統(tǒng)主機系統(tǒng)的應用模式?jīng)Q定了系統(tǒng)將面向大量的用戶和面對大量的并發(fā)訪問,系統(tǒng)要求是高可靠性的關(guān)鍵性應用系統(tǒng),要求系統(tǒng)避免任何可能的停機和數(shù)據(jù)的破壞與丟失。系統(tǒng)要求采用最新的應用服務器技術(shù)實
現(xiàn)負載均衡和避免單點故障。
系統(tǒng)主機硬件技術(shù)
CPU:64位長以上CPU,支持多CPU結(jié)構(gòu),并支持平滑升級。
服務器具有高可靠性,具有長時間工作能力,系統(tǒng)整機平均無故障時間(MTBF)不低于100000小時,系統(tǒng)提供強大的診斷軟件,對系統(tǒng)進行診斷
服務器具有鏡象容錯功能,采用雙盤容錯,雙機容錯。
主機系統(tǒng)具有強大的總線帶寬和I/O吞吐能力,并具有靈活強大的可擴充能力
配置原則
(1)處理器的負荷峰值為75%;
(2)處理器、內(nèi)存和磁盤需要配置平衡以提供好效果;
(3)磁盤(以鏡像為佳)應有30-40%冗余量應付高峰。
(4)內(nèi)存配置應配合數(shù)據(jù)庫指標。
(5)I/O與處理器同樣重要。
系統(tǒng)主機軟件技術(shù):
服務器平臺的系統(tǒng)軟件符合開放系統(tǒng)互連標準和協(xié)議。
操作系統(tǒng)選用通用的多用戶、多任務winduws2000或者Linu*操作系統(tǒng),系統(tǒng)應具有高度可靠性、開放性,支持對稱多重處理(SMP)功能,支持包括TCP/IP在內(nèi)的多種網(wǎng)絡(luò)協(xié)議。符合C2級安全標準:提供完善的操作系統(tǒng)監(jiān)控、報警和故障處理。應支持當前流行的數(shù)據(jù)庫系統(tǒng)和開發(fā)工具。
系統(tǒng)主機的存儲設(shè)備:
系統(tǒng)的存儲設(shè)備的技術(shù)RAID0+1或者RAID5的磁盤陣列等措施保證系統(tǒng)的安全和可靠。I/O能力可達6M/s。
提供足夠的擴充槽位。
系統(tǒng)的存儲能力設(shè)計
系統(tǒng)的存儲能力主要考慮用戶等數(shù)據(jù)的存儲空間、文件系統(tǒng)、備份空間、測試系統(tǒng)空間、數(shù)據(jù)庫管理空間和系統(tǒng)的擴展空間。
服務器系統(tǒng)的擴容能力
系統(tǒng)主機的擴容能力主要包括三個方面:
性能、處理能力的擴充-包括CPU及內(nèi)存的擴充
存儲容量的擴充-磁盤存儲空間的擴展
I/O能力的擴充,包括網(wǎng)絡(luò)適配器的擴充(如FDDI卡和ATM卡)及外部設(shè)備的擴充(如外接磁帶庫、光盤機等)
2、軟件系統(tǒng)保證措施:
操作系統(tǒng):Windows2003SERVER網(wǎng)絡(luò)操作系統(tǒng)
防火墻:CISCOPI*硬件防火墻
Windows2003SERVER操作系統(tǒng)和美國微軟公司的windowsupdate站點升級站點保持數(shù)據(jù)聯(lián)系,確保操作系統(tǒng)修補現(xiàn)已知的漏洞。利用NTFS分區(qū)技術(shù)嚴格控制用戶對服務器數(shù)據(jù)訪問權(quán)限。
操作系統(tǒng)上建立了嚴格的安全策略和日志訪問記錄.保障了用戶安全、密碼安全、以及網(wǎng)絡(luò)對系統(tǒng)的訪問控制安全、并且記錄了網(wǎng)絡(luò)對系統(tǒng)的一切訪問以及動作。系統(tǒng)實現(xiàn)上采用標準的基于WEB中間件技術(shù)的三層體系結(jié)構(gòu),即:所有基于WEB的應用都采用WEB應用服務器技術(shù)來實現(xiàn)。
中間件平臺的性能設(shè)計:
可伸縮性:允許用戶開發(fā)系統(tǒng)和應用程序,以簡單的方式滿足不斷增長的業(yè)務需求。
安全性:利用各種加密技術(shù),身份和授權(quán)控制及會話安全技術(shù),以及Web安全性技術(shù),避免用戶信息免受非法入侵的損害。
完整性:通過中間件實現(xiàn)可靠、高性能的分布式交易功能,確保準確的數(shù)據(jù)更新。
可維護性:能方便地利用新技術(shù)升級現(xiàn)有應用程序,滿足不斷增長的企業(yè)發(fā)展需要。
互操作性和開放性:中間件技術(shù)應基于開放標準的體系,提供開發(fā)分布交易應用程序功能,可跨異構(gòu)環(huán)境實現(xiàn)現(xiàn)有系統(tǒng)的互操作性。能支持多
種硬件和操作系統(tǒng)平臺環(huán)境。
網(wǎng)絡(luò)安全方面:
多層防火墻:根據(jù)用戶的不同需求,采用多層高性能的硬件防火墻對客戶托管的主機進行全面的保護。
異構(gòu)防火墻:同時采用業(yè)界最先進成熟的CiscoPI*硬件防火墻進行保護,不同廠家不同結(jié)構(gòu)的防火墻更進一步保障了用戶網(wǎng)絡(luò)和主機的安全。
防病毒掃描:專業(yè)的防病毒掃描軟件,杜絕病毒對客戶主機的感染。
入侵檢測:專業(yè)的安全軟件,提供基于網(wǎng)絡(luò)、主機、數(shù)據(jù)庫、應用程序的入侵檢測服務,在防火墻的基礎(chǔ)上又增加了幾道安全措施,確保用戶系統(tǒng)的高度安全。漏洞掃描:定期對用戶主機及應用系統(tǒng)進行安全漏洞掃描和分析,排除安全隱患,做到安全防患于未然。CISCOPI*硬件防火墻運行在CISCO交換機上層提供了專門的主機上監(jiān)視所有網(wǎng)絡(luò)上流過的數(shù)據(jù)包,發(fā)現(xiàn)能夠正確識別攻擊在進行的攻擊特征。攻擊的識別是實時的,用戶可定義報警和一旦攻擊被檢測到的響應。此處,我們有如下保護措施:全部事件監(jiān)控策略此項策略用于測試目的,監(jiān)視報告所有安全事件。在現(xiàn)實環(huán)境下面,此項策略將嚴重影響檢測服務器的性能。攻擊檢測策略此策略重點防范來自網(wǎng)絡(luò)上的惡意攻擊,適合管理員了解網(wǎng)絡(luò)上的重要的網(wǎng)絡(luò)事件。
協(xié)議分析此策略與攻擊檢測策略不同,將會對網(wǎng)絡(luò)的會話進行協(xié)議分析,適合安全管理員了解網(wǎng)絡(luò)的使用情況。
網(wǎng)站保護此策略用于監(jiān)視網(wǎng)絡(luò)上對HTTP流量的監(jiān)視,而且只對HTTP攻擊敏感。適合安全管理員了解和監(jiān)視網(wǎng)絡(luò)上的網(wǎng)站訪問情況。Windows網(wǎng)絡(luò)保護此策略重點防護Windows網(wǎng)絡(luò)環(huán)境。會話復制此項策略提供了復制Telnet,FTP,SMTP會話的功能。此功能用于安全策略的定制。
DMZ監(jiān)控此項策略重點保護在防火墻外的DMZ區(qū)域的網(wǎng)絡(luò)活動。這個策略監(jiān)視網(wǎng)絡(luò)攻擊和典型的互聯(lián)網(wǎng)協(xié)議弱點攻擊,例如(HTTP,FTP,SMTP,POP和DNS),適合安全管理員監(jiān)視企業(yè)防火墻以外的網(wǎng)絡(luò)事件。防火墻內(nèi)監(jiān)控此項策略重點針對穿越防火墻的網(wǎng)絡(luò)應用的攻擊和協(xié)議弱點利用,適合防火墻內(nèi)部安全事件的監(jiān)視。
數(shù)據(jù)庫服務器平臺
數(shù)據(jù)庫平臺是應用系統(tǒng)的基礎(chǔ),直接關(guān)系到整個應用系統(tǒng)的性能表現(xiàn)及數(shù)據(jù)的準確性和安全可靠性以及數(shù)據(jù)的處理效率等多個方面。本系統(tǒng)對數(shù)據(jù)庫平臺的設(shè)計包括:數(shù)據(jù)庫系統(tǒng)應具有高度的可靠性,支持分布式數(shù)據(jù)處理;支持包括TCP/IP協(xié)議及Ipx/Spx協(xié)議在內(nèi)的多種網(wǎng)絡(luò)協(xié)議;支持UNI*和MSNT等多種操作系統(tǒng),支持客戶機/服務器體系結(jié)構(gòu),具備開放式的客戶編程接口,支持漢字操作;具有支持并行操作所需的技術(shù)(如:多服務器協(xié)同技術(shù)和事務處理的完整性控制技術(shù)等);支持聯(lián)機分析處理(OLAP)和聯(lián)機事務處理(OLTP),支持數(shù)據(jù)倉庫的建立;要求能夠?qū)崿F(xiàn)數(shù)據(jù)的快速裝載,以及高效的并發(fā)處理和交互式查詢;支持C2級安全標準和多級安全控制,提供WEB服務接口模塊,對客戶端輸出協(xié)議支持HTTP2.0、SSL3.0等;支持聯(lián)機備份,具有自動備份和日志管理功能。
二、信息安全保密管理制度
1、信息監(jiān)控制度:
(1)、網(wǎng)站信息必須在網(wǎng)頁上標明來源;(即有關(guān)轉(zhuǎn)載信息都必須標明轉(zhuǎn)載的地址)
(2)、相關(guān)責任人定期或不定期檢查網(wǎng)站信息內(nèi)容,實施有效監(jiān)控,做好安全監(jiān)督工作;
(3)、不得利用國際互聯(lián)網(wǎng)制作、復制、查閱和傳播一系列以下信息,如有違反規(guī)定有關(guān)部門將按規(guī)定對其進行處理;
A、反對憲法所確定的基本原則的;
B、危害國家安全,泄露國家秘密,顛覆國家政權(quán),破壞國家統(tǒng)一的;
C、損害國家榮譽和利益的;
D、煽動民族仇恨、民族歧視、破壞民族團結(jié)的;
E、破壞國家宗教政策,宣揚*和封建迷信的;
F、散布謠言,擾亂社會秩序,破壞社會穩(wěn)定的;
G、散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的;
H、侮辱或者誹謗他人,侵害他人合法權(quán)益的;
含有法律、行政法規(guī)禁止的其他內(nèi)容的。
2、組織結(jié)構(gòu):
設(shè)置專門的網(wǎng)絡(luò)管理員,并由其上級進行監(jiān)督、凡向國際聯(lián)網(wǎng)的站點提供或發(fā)布信息,必須經(jīng)過保密審查批準。保密審批實行部門管理,有關(guān)單位應當根據(jù)國家保密法規(guī),審核批準后發(fā)布、堅持做到來源不名的不發(fā)、為經(jīng)過上級部門批準的不發(fā)、內(nèi)容有問題的不發(fā)、的三不發(fā)制度。
對網(wǎng)站管理實行責任制對網(wǎng)站的管理人員,以及領(lǐng)導明確各級人員的責任,管理網(wǎng)站的正常運行,嚴格抓管理工作,實行誰管理誰負責。
三、用戶信息安全管理制度
一、信息安全內(nèi)部人員保密管理制度:
1、相關(guān)內(nèi)部人員不得對外泄露需要保密的信息;
2、內(nèi)部人員不得發(fā)布、傳播國家法律禁止的內(nèi)容;
3、信息發(fā)布之前應該經(jīng)過相關(guān)人員審核;
4、對相關(guān)管理人員設(shè)定網(wǎng)站管理權(quán)限,不得越權(quán)管理網(wǎng)站信息;
5、一旦發(fā)生網(wǎng)站信息安全事故,應立即報告相關(guān)方并及時進行協(xié)調(diào)處理;
6、對有毒有害的信息進行過濾、用戶信息進行保密。
二、登陸用戶信息安全管理制度:
1、對登陸用戶信息閱讀與發(fā)布按需要設(shè)置權(quán)限;
2、對會員進行會員專區(qū)形式的信息管理;
3、對用戶在網(wǎng)站上的行為進行有效監(jiān)控,保證內(nèi)部信息安全;
4、固定用戶不得傳播、發(fā)布國家法律禁止的內(nèi)容。
篇3:信息安全保障措施范本
一:信息安全保障措施采用浪潮英信服務器作主機1、軟件系統(tǒng):
操作系統(tǒng):WINGDOWS2000SERVER
數(shù)據(jù)庫:MSSQLServer2000
防火墻:天融信、諾頓防病毒軟件2、硬件系統(tǒng):?主機位置及帶寬:系統(tǒng)主機設(shè)在IDC主機房內(nèi),通過100M帶寬光纖與CHINGANET骨干網(wǎng)相連接。二:信息安全保密管理制度1.?建立全員安全意識,合理規(guī)劃信息安全
安全意識的強弱對于整個信息系統(tǒng)避免或盡量減小損失,乃至整個具備主動防御能力的信息安全體系的搭建,都具有重要的戰(zhàn)略意義。我們首先建立起全員防護的環(huán)境。在意識上建立牢固的防患意識,并有足夠的資金支持,形成企業(yè)內(nèi)部的信息安全的共識與防御信息風險的基本常識,其次是選用安全性強的軟硬件產(chǎn)品,構(gòu)筑軟硬協(xié)防的安全體系,確保安全應用。
?2.?建立信息采集(來源)、審核、發(fā)布管理制度并結(jié)合關(guān)鍵字過濾系統(tǒng),保障信息安全。采編部按照采編制度和相關(guān)互聯(lián)網(wǎng)規(guī)定,嚴格把關(guān)。
?3.?涉密信息,包括在對外交往與合作中經(jīng)審查、批準與外部交換的秘密信息,不得在連有外網(wǎng)的計算機信息系統(tǒng)中存儲、處理、傳遞。加強對計算機介質(zhì)(軟盤、磁帶、光盤、磁卡等)的管理,對儲存有秘密文件、資料的計算機等設(shè)備要有專人操作,采取必要的防范措施,嚴格對涉密存儲介質(zhì)的管理,建立規(guī)范的管理制度,存儲有涉密內(nèi)容的介質(zhì)一律不得進入互聯(lián)網(wǎng)絡(luò)使用
?4.?建立系統(tǒng)保密措施,嚴格實行安全管理。系統(tǒng)的安全、帳號及權(quán)限的管理,責任到人;對系統(tǒng)軟件的管理;在系統(tǒng)維護過程中,產(chǎn)生的記錄:系統(tǒng)維護日志、系統(tǒng)維護卡片、詳細維護記錄。
?5.?對涉密信息實行加密、解密及管理,確保數(shù)據(jù)傳輸?shù)陌踩?/p>
?6.?建立數(shù)據(jù)庫的信息保密管理制度,保障數(shù)據(jù)庫安全。數(shù)據(jù)庫由專人管理并負責。
?7.?建立日志的跟蹤、記錄及查閱制度,及時發(fā)現(xiàn)和解決安全漏洞。三:技術(shù)保障措施1.?加強內(nèi)部網(wǎng)絡(luò)管理、監(jiān)測違規(guī)
(1)在強、弱電安全方面,采用雙路交流電供電形成電源冗余并配置UPS的設(shè)計方案保證強電安全,另外,采用避雷防電和放置屏蔽管道的方法來保證弱電線路(交換機、網(wǎng)線)的安全。?
(2)在IP資源管理方面,采用IP+MAC捆綁的技術(shù)手段防止用戶隨意更改IP地址和隨意更換交換機上的端口。通過網(wǎng)管中心的管理軟件,對該交換機遠程實施Port?Security策略,將客戶端網(wǎng)卡MAC地址固定綁在相應端口上。
(3)在網(wǎng)絡(luò)流量監(jiān)測方面,使用網(wǎng)絡(luò)監(jiān)測軟件對網(wǎng)絡(luò)傳輸數(shù)據(jù)協(xié)議類型進行分類統(tǒng)計,查看數(shù)據(jù)、視頻、語音等各種應用的利用帶寬,防止頻繁進行大文件的傳輸,甚至發(fā)現(xiàn)病毒的轉(zhuǎn)移及傳播方向。?
(4)在違規(guī)操作監(jiān)控方面,對涉秘信息的處理,嚴禁“一機兩用”事件的發(fā)生。即一臺計算機同時聯(lián)接內(nèi)部網(wǎng)和互聯(lián)網(wǎng),還包括輪流上內(nèi)部網(wǎng)和國際互聯(lián)網(wǎng)的情形,因此我們對每個客戶端安裝了監(jiān)控系統(tǒng),實行電腦在線監(jiān)測、電腦在線登記、一機兩用監(jiān)測報警、電腦阻斷、物理定位等措施。?
?2.?管理服務器
應用服務器安裝的操作系統(tǒng)為Windows系列,服務器的管理包括服務器安全審核、組策略實施、服務器的備份策略。?
服務器安全審核的范圍包括安全漏洞檢查、日志分析、補丁安裝情況檢查等,審核的對象是DC、E*change?Server、SQL?Server、IIS等。?
在組策略實施時,使用軟件限制策略,即哪些內(nèi)部用戶不能使用哪個軟件,對操作用戶實行分權(quán)限管理。
服務器的備份策略包括系統(tǒng)軟件備份和數(shù)據(jù)庫備份兩部分,系統(tǒng)軟件備份擬利用現(xiàn)有的ARC?Server?專用備份程序,制定合理的備份策略,每周日晚上做一次完全備份,然后周一到周五晚上做增量備份或差額備份;定期對服務器備份工作情況進行檢查(數(shù)據(jù)庫備份后面有論述)。
?3.?管理客戶端
(1)將客戶端都加入到域中,客戶端納入管理員集中管理的范圍。出于安全上的考慮,安裝win2000系列客戶端。?
(2)只給用戶以普通域用戶的身份登錄到域,因為普通域用戶不屬于本地Administrators和Power?Users組,這樣就可以限制他們在本地計算機上安裝大多數(shù)軟件。當然為了便于用戶工作,通過本地安全策略措施,授予基本操作權(quán)利。?
(3)實現(xiàn)客戶端操作系統(tǒng)補丁程序的自動安裝。
(4)實現(xiàn)客戶端防病毒軟件的自動更新。
(5)利用SMS對客戶端進行不定期監(jiān)控,發(fā)現(xiàn)不正常情況及時處理。
?4.?數(shù)據(jù)備份與冗余
考慮到綜合因素,采用如下數(shù)據(jù)備份和冗余方案:
(1)在網(wǎng)絡(luò)中心的異地機房建立單機+磁盤陣列的硬件環(huán)境,作為容災異地在線備份點,安裝VERITAS的服務器端軟件。?
(2)在網(wǎng)絡(luò)中心的SQL?Server服務器、Lotus?Note?Mail服務器、Oracle服務器以及文件服務器上分別安裝VERITAS的相關(guān)客戶端Agent軟件。?
(3)在服務器上設(shè)置在線備份策略,每天凌晨1點自動備份SQL數(shù)據(jù)庫、凌晨2點自動備份Oracle數(shù)據(jù)庫、凌晨3點自動備份郵件,主要用于系統(tǒng)層恢復后的數(shù)據(jù)加載。?
(4)采用本地硬件RAID?5對硬件級磁盤故障進行保護。
?5.?數(shù)據(jù)加密
考慮到網(wǎng)絡(luò)上非認證用戶可能試圖旁路系統(tǒng)的情況,如物理地“取走”數(shù)據(jù)庫,在通信線路上竊聽截獲。對這樣的威脅采取了有效方法:數(shù)據(jù)加密。即以加密格式存儲和傳輸敏感數(shù)據(jù)。發(fā)送方用加密密鑰,通過加密設(shè)備或算法,將信息加密后發(fā)送出去。接收方在收到密文后,用解密密鑰將密文解密,恢復為明文。如果傳輸中有人竊取,他只能得到無法理解的密文,從而對信息起到保密作用。
?6.?病毒防治措施
我們對防病毒軟件的要求是:能支持多種平臺,至少是在Windows系列操作系統(tǒng)上都能運行;能提供中心管理工具,對各類服務器和工作站統(tǒng)一管理和控制;在軟件安裝、病毒代碼升級等方面,可通過服務器直接進行分發(fā),盡可能減少客戶端維護工作量;病毒代碼的升級要迅速有效。所以,綜合以上各種因素,我們選擇了SYMANTEC公司的Norton?Antivirus企業(yè)版。在實施過程中,本單位以一臺服務器作為中央控制一級服務器,實現(xiàn)對網(wǎng)絡(luò)中所有計算機的保護和監(jiān)控,并使用其中有效的管理功能,如:?管理員可以向客產(chǎn)端發(fā)送病毒警報、強制對遠程客戶端進行病毒掃描、鎖定遠程客產(chǎn)端等。正常情況下,一級服務器病毒代碼庫升級后半分鐘內(nèi),客戶端的病毒代碼庫也進行了同步更新。?
?7.?補丁更新與軟件分發(fā)
網(wǎng)絡(luò)安全防御不是簡單的防病毒或者防火墻。只有通過提高網(wǎng)絡(luò)整體系統(tǒng)安全,才能讓病毒進攻無門。然而提高網(wǎng)絡(luò)整體系統(tǒng)安全不僅僅是一個技術(shù)問題,更重要的是管理問題。
自動分發(fā)軟件、升級補丁等工作是確保系統(tǒng)安全的關(guān)鍵步驟。我們使用微軟的Systems?Management?Server(SMS)和Software?Update?Service(SUS)軟件來自動實現(xiàn)這一功能。?
(1)我們使用微軟的Software?Update?Service(SUS)解決運行Windows操作系統(tǒng)的計算機免受病毒和黑客攻擊,將需要升級的軟件從Internet下載到公司Intranet的服務器上,并為公司內(nèi)的所有客戶端PC提供自動升級,打上所有需要的“補丁”。?
(2)我們使用微軟Systems?Management?Server(SMS)進行軟件分發(fā)、資產(chǎn)管理、遠程問題解決等。四:信息安全審核制度1)?設(shè)立信息安全崗位,實行信息安全責任制
(1)設(shè)立專職信息安全管理領(lǐng)導崗位和3個信息安全管理崗位;
(2)信息安全崗位工作人員不得在其他單位兼任信息安全崗位;
(3)信息安全管理崗位人員負責本單位制作、復制、發(fā)布、批量傳播的信息的初審,信息安全管理領(lǐng)導崗位負責信息審核和批準,信息非經(jīng)審核批準不得予以發(fā)布、傳播。
(4)不得制作、復制、發(fā)布、傳播含有下列內(nèi)容的信息:
?反對憲法所確定的基本原則的;
?危害國家安全,泄露國家秘密,顛覆國家政權(quán),破壞國家統(tǒng)一的;
?損害國家榮譽和利益的;
?煽動民族仇恨、民族歧視,破壞民族團結(jié)的;
?破壞國家宗教政策,宣揚*和封建迷信的;
?散布謠言,擾亂社會秩序,破壞社會穩(wěn)定的;
?散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的;
?侮辱或者誹謗他人,侵害他人合法權(quán)益的;
?含有法律、行政法規(guī)禁止的其他內(nèi)容的。
(5)信息安全部門統(tǒng)一規(guī)劃、組織、協(xié)調(diào)、監(jiān)督、管理和實施內(nèi)外部網(wǎng)絡(luò)安全,具體職責如下:
?負責各種資源的安全監(jiān)測、安全運行和安全管理;
?負責計算機病毒防御、黑客入侵防范和不良信息過濾;
?負責各種安全產(chǎn)品的正常運行、管理和維護;
?普及信息安全常識、建立相關(guān)安全制度、應急處理重大安全事件;
?負責安全規(guī)劃和安全項目的研究,全面提高網(wǎng)絡(luò)安全管理的技術(shù)和水平。
?2)?建立并實行服務器日常維護及管理制度
(1)服務器監(jiān)控:管理員經(jīng)常性的監(jiān)控服務器的運行狀況,如發(fā)現(xiàn)異常情況,及時處理,并作詳細記錄。
(2)重要數(shù)據(jù)備份:對于數(shù)據(jù)服務器中的用戶信息、重要文件和數(shù)據(jù)進行及時備份。信息天天更新備份,每周一次完全備份,備份信息應保存一個月。
(3)定期系統(tǒng)升級:對于windows操作系統(tǒng)的服務器每周做一次升級,如遇到安全問題立即升級。
?3)?建立并實行機房值班安全制度
(1)確保線路暢通。上班后與下班前檢查線路,尋找網(wǎng)絡(luò)隱患。對在運行期間發(fā)生的主要事件記錄在案。按時定期對設(shè)備進行檢修。每月的最后一個工作日對所有設(shè)備進行測試,并填寫報告。
(2)及時、準確、無誤地填寫運行記錄。出現(xiàn)事故盡快處理,馬上填寫故障記錄。當自己不能解決或不能立即解決時,及時與安全主管聯(lián)系,并保持與其他值班人員的聯(lián)系,在己方線路或設(shè)備出現(xiàn)故障時,盡快查明原因,及時處理,并填寫故障記錄。
(3)負擔整個網(wǎng)絡(luò)的性能管理任務。對網(wǎng)絡(luò)性能進行動態(tài)監(jiān)測,并要有詳細的記錄及統(tǒng)計分析。必要時把網(wǎng)絡(luò)性能記錄以圖表形式打印出來。
(4)注意網(wǎng)絡(luò)運行安全,對網(wǎng)絡(luò)異常現(xiàn)象進行反應。利用路由器等安全系統(tǒng)控制網(wǎng)絡(luò)非法侵入。
(5)保證機房的供電及室內(nèi)空氣的溫度、濕度正常。注意UPS的工作情況。注意網(wǎng)絡(luò)設(shè)備安全,加強防火,防盜及防止他人破壞的工作。注意臨走時門窗關(guān)好,鎖緊。禁止在機房內(nèi)吸煙。禁止無關(guān)人員進入機房。值班人員不得隨意離開。
(6)完成網(wǎng)絡(luò)設(shè)備的安裝,調(diào)試。并對安裝,測試過程中的主要事件,做到有據(jù)可查。
(7)主動監(jiān)測網(wǎng)絡(luò),隨時發(fā)現(xiàn)問題,及時查清故障點,并主動與相關(guān)主管和部門聯(lián)系。
?4)?建立并實行防火墻等軟件更新制度
(1)防火墻軟件的使用與更新:
?采用諾頓企業(yè)級防火墻;
?及時更新防火墻
(2)堅持使用正確、安全的軟件及軟件操作流程,從細節(jié)保障系統(tǒng)安全。
?5)建立應急處理流程
(1)清點數(shù)字資產(chǎn),確定每項資產(chǎn)應受多大程度的保護
(2)明確界定資源的合理使用,明確規(guī)定系統(tǒng)的使用規(guī)范,比如誰可以擁有網(wǎng)絡(luò)的遠程訪問權(quán),在訪問之前須采取哪些安全措施。
(3)控制系統(tǒng)的訪問權(quán)限,公司在允許一些人訪問系統(tǒng)的同時,必須阻止另外一些人進入。網(wǎng)絡(luò)防火墻、驗證和授權(quán)系統(tǒng)、加密技術(shù)都為了保證信息安全。同時采用監(jiān)視工具和入侵探測工具來查詢公司網(wǎng)絡(luò)上的電腦活動,及時發(fā)現(xiàn)可疑行為。
(4)使用安全的軟件;
(5)找出問題根源;
(6)提出解決方案并及時解決問題;
(7)加入應急知識庫,預防類似事件再次發(fā)生。
?6)實行關(guān)鍵字的設(shè)立、過濾與更新規(guī)則
(1)通信平臺具有信息內(nèi)容的過濾功能。信息過濾包括對播放的相關(guān)短信、頁面內(nèi)容進行有效過濾。具體包括關(guān)鍵字設(shè)定、修改、查詢功能,提供相應的測試端口,并具有嚴格的權(quán)限管理功能;對發(fā)現(xiàn)的有害短信及時向有關(guān)部門匯報,并從技術(shù)上予以保證,包括有害信息的內(nèi)容、發(fā)現(xiàn)時間、發(fā)現(xiàn)來源;
(2)關(guān)鍵字的設(shè)立規(guī)則根據(jù)相關(guān)法律和互聯(lián)網(wǎng)規(guī)定制定
(3)過濾引擎的建立:過濾引擎設(shè)定關(guān)鍵字、日志管理、報警的管理。管理控制中心顯示詳細的有害信息(有害信息的發(fā)送方、接受方、內(nèi)容、時間),并截斷該短消息。
(4)對不良信息和事件的發(fā)生進行記錄,并儲存,以備后需。
?7)建立并實行信息儲存與查閱制度
(1)信息采集:信息資料的來源渠道必須正規(guī),不能侵犯他人版權(quán),杜絕政治性和常識性的錯誤;信息采集的內(nèi)容要廣泛、真實、可靠、健康,要有時效性,有使用價值。
(2)信息審核:信息采集人員要杜絕信息資源格式不規(guī)范、措辭不嚴謹?shù)葐栴}出現(xiàn),減少或避免初審失誤;切實做到“三密”信息不失密、不上網(wǎng);重大的信息、來源不清的信息、披露性信息要報經(jīng)信息審核主管終審后才能發(fā)布
(3)信息的發(fā)布更新:限時更新的信息要及時采集、整理,經(jīng)審核后盡快發(fā)布。要確保及時、準確無誤;各自分工的任務,如不能按規(guī)定時限及時更新的,將追究有關(guān)人員責任。
(4)信息的存儲:對采集的各種信息進行科學分類,以文本格式存放在統(tǒng)一的文件中;建立信息的匯總渠道,開辟專用空間存放歸集信息,方便保存與查找;數(shù)據(jù)的備份參見“數(shù)據(jù)備份與冗余”
(5)信息查閱制度:根據(jù)信息的重要性和保密級別的不同,實行區(qū)別對待,對涉秘信息、重要數(shù)據(jù)的查詢需向相關(guān)主管人員申請并報總負責人審批。
?8)投訴流程與方式,處理結(jié)構(gòu)用戶投訴客服人員填寫用戶投訴報告單,并向投訴人告知受理員的姓名、電話記錄:投訴事由、聯(lián)系電話、投訴時間、用戶地區(qū)等立即落實投訴內(nèi)容的解決辦法客服經(jīng)理負責處理投訴相關(guān)事宜記錄投訴處理結(jié)果受理客服人員向用戶反饋處理結(jié)果,滿意后將處理報告單存檔當日報主管副總經(jīng)理,做業(yè)績考察
五:信息安全責任落實信息安全重在管理,而安全管理又貫穿在整個網(wǎng)絡(luò)的運行之中。為此,首先抓好組織機構(gòu)建設(shè)。在原來的基礎(chǔ)上,建立健全了公司計算機安全監(jiān)察領(lǐng)導小組,并建立了決策層、管理層、執(zhí)行層的三級計算機安全組織機構(gòu)。從而將安全工作落實到各個部門,做到分工明細,責任明確。從組織上、技術(shù)上切實保障了計算機信息系統(tǒng)的安全運行。在此基礎(chǔ)上,公司制定了完善的安全管理方案,涵蓋安全風險管理、物理安全管理、邏輯安全管理和日常安全管理等各方面。通過各級安全組織機構(gòu),全面抓好制度的落實,真正做到事事有人管,事事管理有規(guī)章。其中安全風險管理是通過對全網(wǎng)、特別是關(guān)鍵資產(chǎn)的周期性風險計算,合理分配資源,為安全控制的范圍、類型和力度等提供決策參考;物理安全管理主要體現(xiàn)在針對物理基礎(chǔ)設(shè)施、物理設(shè)備和物理訪問的控制中,主要通過機房物理安全來體現(xiàn);?邏輯安全管理則是從技術(shù)層面建立諸如用戶管理、口令管理、網(wǎng)絡(luò)設(shè)備安全管理和主機系統(tǒng)安全管理的制度,進一步保障網(wǎng)絡(luò)的安全性;日常安全管理則偏重于日常安全審計以及安全事件響應的內(nèi)容。定期對高層管理人員進行信息安全意識和技術(shù)培訓,及時組織信息安全員參加信息安全知識技術(shù)講座;并通過多種宣傳手段增強各級部門的安全意識。為跟蹤最新的安全技術(shù)和了解更多的安全產(chǎn)品,1)?信息安全專員負責本網(wǎng)絡(luò)的安全保護管理工作,建立健全安全保護管理制度2)?落實安全保護技術(shù)措施,保障本網(wǎng)絡(luò)的運行安全和信息安全3)?負責對本網(wǎng)絡(luò)用戶的安全教育和培訓4)?對委托發(fā)布信息的單位和個人進行登記,并對所提供的信息內(nèi)容按照信息發(fā)布審核制度進行審核5)?社區(qū)、BBS等實現(xiàn)24小時值班,并將信息安全責任落實到人,各分公司和各網(wǎng)站均有專人負責信息安全工作6)?完善信息安全事件快速處理機制,縮短信息安全事件處理時間和環(huán)節(jié),將不良影響降到最低7)?明確信息安全工作重點,日常信息安全工作重點為容易發(fā)生信息安全事件的欄目,如社區(qū)、BBS、留言簿和郵件等8)?采用技術(shù)手段檢測和保障信息安全。通過采用如關(guān)鍵字過濾、防垃圾郵件等技術(shù)手段來杜絕有害信息9)?通過高標準的控制來強化所有安全設(shè)施、重要的服務器和通訊平臺