企业网络与信息安全保障措施

XXXX公司1企业网络与信息安全保障措施一、网络安全保障措施1.网络安全网络安全主要是指网络硬件基础设施的安全和网络访问的安全。主要用于防范黑客攻击手段，目前市场上存在大量的产品用于解决网络安全。如：防火墙系统，入侵检测安全技术。2.系统安全系统安全重点解决操作系统、数据库和各服务器（如WEB服务器等）等系统级安全问题，以建立一个安全的系统运行平台，来有效抵抗黑客利用系统的安全缺陷对系统进行攻击，主要措施包括：安全操作系统、安全数据库、黑客入侵检测、系统漏洞扫描及病毒防护系统等。（1）定期用漏洞扫描软件扫描系统漏洞，对服务器进行安全漏洞检测，关闭不必要的端口；（2）每天升级服务器系统，安装服务器补丁，预防可能存在的网络系统安全漏洞；（3）安全人员在漏洞扫描检测完成后，应编写检测报告，需详细记叙是否检测到漏洞，结果、建议和实施的补救措施与安全策略。检测报告存入系统档案；（4）对系统进行更改的文件，上传至服务器前要进行完整的病毒扫描，确保在最新病毒库检测下没有发现病毒感染后方可上传；（5）对服务器的杀毒软件要做到每天都升级病毒库，确保病毒库始终都处于最新状态，防止服务器的病毒入侵、感染和传播；（6）采用经过国家许可的正版防病毒软件并及时更新软件版本。不定期的经常性更改管理员口令，口令的最长使用时间不能超过一个月，口令的选择应该选择较长、同时大小写字母和数字、符号混和的，以防止口令被暴力破解。对口令数据库的访问和存取必须加以控制，以防止口令被非法修改或泄露。3.管理安全网络信息系统的安全管理的最根本核心是人员管理，提高安全意识，行于具体的安全技术工作中。为此，安全的人事组织管理主要基于以下三个原则：（1）多人负责每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统安全主管领导指XXXX公司2派的，工作认真可靠，能胜任此项工作；他们应该签署工作情况记录以证明安全工作已得到保障。负责的安全活动范围包括：1.访问控制使用证件的发放与回收；2.信息处理系统使用的媒介发放与回收；3.处理保密信息；4.硬件和软件的维护；5.系统的设计、实现和修改；6.重要程序和数据的备份、删除和销毁等。（2）任期有限任何人最好不要长期担任与安全有关的职务，遵循任期有限原则，工作人员应不定期地循环任职，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。（3）职责明确在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。出于对安全的考虑，下面每组内的两项信息处理工作应当尽可能分开。1.系统管理与计算机编程；2.机密资料的接收和传送；3.安全管理和系统管理；4.访问证件的管理与其它工作；5.计算机操作与信息处理系统使用媒介的保管等。4.机硬件环境（1）机房设施楼层每平方米650公斤的承重能力可在各种特殊情况下最大限度地保障客户设备和数据的安全，高达4．5米的层高和3000平米的建筑面积为客户提供了充足的机柜存放空间。（2）电力保障：机房采用双路高压供电，供电容量为1200KVA。双路冗余(1+1)UPS电源，超大功率的柴油发电机组提供可靠的后备供电能力，从而保障充足、持续的电力供应，保证99．99％以上的持续供电率。XXXX公司3（3）空调系统：先进的专用机房空气调节系统采用下送风，上回风方式精确控制机房空间的温度及湿度，新风系统高压输入洁净的新鲜空气，为客户的网络系统提供最佳运行条件。（4）消防系统：采用高灵敏度的早期烟雾探测报警系统，保证在第一时间发现火灾隐患，并利用环保型气体灭火系统在不停电的情况下实施灭火。（5）安全系统：有线电视监控系统7x24小时进行全方位机房监控、录像。门禁系统严格验证来人身份，防止任何无关人员进入，保证机房空间的私密性。专业的保安人员24x7x365小时在岗，随时巡视。二、信息安全保密管理制度配备2至4名计算机安全员（由技术负责人和技术操作人员组成），履行下列职责：严格审核系统所发布消息：根据法律法规要求，必须监视本系统的信息，对本系统的信息实行24小时审核巡查，防止有人通过本系统发布有害信息。如发现传输有害信息，应当立即停止传输，防止信息扩散，保存有关记录，并向公安机关网监部门报告；同时应配合公安机关追查有害信息的来源，协助做好取证工作。其中，网站发布的信息不得包含以下内容：·煽动抗拒、破坏宪法和法律、行政法规实施的；·煽动颠覆国家政权、推翻社会主义制度的；·煽动分裂国家、破坏国家统一的；·煽动民族仇恨、民族歧视，破坏民族团结的；·捏造或者歪曲事实，散布谣言，扰乱社会秩序的；·宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的；·公然侮辱他人或者捏造事实诽谤他人的，或者进行其他恶意攻击的；·损害国家机关信誉的；·其他违反宪法和法律行政法规的；1、对电脑文件、数据进行加密处理。2、定期对网站上的信息进行备份，对数据库进行定期的备份和保存。实行每天进行增量XXXX公司4备份，每周实行一次全备份。并且每月把备份的内容刻录成光盘进行存储3、经申报批准，才能查询、打印有关资料。4、对发布的信息，我们会对信息日志的记录至少保存3个月的记录，并建立有害信息过滤等管理制度。遵守国家有关规定，实行关键字过滤，对敏感的字和词组进行过滤5、对相关管理人员设定网站管理权限，不得越权管理网站信息，对保密信息严加看管，不得遗失、私自传播。6、采用多种硬件、软件技术对网站信息数据进行加密。(1)从中国境内向外传输技术性资料时必须符合中国有关法规。(2)使用网络服务不作非法用途。(3)不干扰或混乱网络服务。(4)遵守所有使用网络服务的网络协议、规定、程序和惯例。三、用户信息安全管理制度1、用户隐私制度尊重用户个人隐私是本网站的一项基本政策。本网站一定不会在未经合法用户授权时公开、编辑或透露其注册资料及保存在本网站中的非公开内容，除非有法律许可要求或本网站在诚信的基础上认为透露这些信件在以下三种情况是必要的：(1)遵守有关法律规定，遵从本网站合法服务程序。(2)在紧急情况下竭力维护用户个人和社会大众的隐私安全。(3)符合其他相关的要求。2、用户的帐号，密码和安全性（1）用户一旦注册成功，成为本网站的合法用户，将得到一个密码和用户名。（2）用户将对用户名和密码安全负全部责任。另外，每个用户都要对以其用户名进行的所有活动和事件负全责。您可随时根据指示改变您的密码。（3）用户若发现任何非法使用用户帐号或存在安全漏洞的情况，请立即通告本网站3、用户权利对于自己的个人资料享有以下权利：XXXX公司5（1）随时查询及请求阅览；（2）随时请求补充或更正；（3）随时请求删除；（4）请求停止电脑处理及利用。4、限制利用原则本网站惟在符合下列条件之一，方对收集之个人资料进行必要范围以外之利用：（1）已取得您的书面同意；（2）为免除您在生命、身体或财产方面之急迫危险；（3）为防止他人权益之重大危害；（4）为增进公共利益，且无害于您的重大利益。5、个人资料之披露当政府机关依照法定程序要求本网站披露个人资料时，本网站将根据执法单位之要求或为公共安全之目的提供个人资料。在此情况下之任何披露，本公司站均得免责。下列情况时本网站亦毋需承担任何责任：由于您将用户密码告知他人或与他人共享注册帐户，由此导致的任何个人资料泄露。任何由于计算机2000年问题、黑客政击、计算机病毒侵入或发作、因政府管制而造成的暂时性关闭等影响网络正常经营之不可抗力而造成的个人资料泄露、丢失、被盗用或被窜改等。由于与本网站链接的其它网站所造成之个人资料泄露及由此而导致的任何法律争议和后果。6、任何人不得在网站上发布含有下列内容之一的信息：（1）反对宪法所确定的基本原则的；（2）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（3）损害国家荣誉和利益的；（4）煽动民族仇恨、民族歧视，破坏民族团结的；（5）破坏国家宗教政策，宣扬邪教和封建迷信的；（6）散布谣言，扰乱社会秩序，破坏社会稳定的；XXXX公司6（7）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；（8）侮辱或者诽谤他人，侵害他人合法权益的；（10）含有法律、行政法规禁止的其他内容的。附表：网络安全小组成员名单组长：（总负责）成员：紧急情况第一联系人：（电话：）紧急情况第二联系人：（电话：）公司名称日期：