信息安全技术互联网交互式服务安全保护管理制度
信息安全管理制度
北京XXXXXXXXXXXXX信息安全管理制度制定部门:技术部与行政部制定人:XXX制定时间:2016.4.211.安全管理制度要求总则为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全行管理,以确保网络与信息安全。
1.1.1建立文件化的安全管理制度,安全管理制度文件应包括:a安全岗位管理制度b系统操作权限管理;c安全培训制度;d用户管理制度e新服务、新功能安全评估f用户投诉举报处理;g信息发布审核、合法资质查验和公共信息巡查;h个人电子信息安全保护;安全事件的监测、报告和和应急处置制度;现行法律、法规、规章、标准和行政审批文件。
1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯2.机构要求2.1法律责任2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。
2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。
3.人员安全管理3.1安全岗位管理制度建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。
3.2关键岗位人员3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括:1.个人身份核查2.个人履历的核查3.学历、学位、专业资质证明4.从事关键岗位所必须的能力3.2.2应与关键岗位人员签订保密协议。
安全培训建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员是1上岗前的培训2.安全制度及其修订后的培训3.法律、法规的发展保持同步的继绩培训。
应严格规范人员离岗过程:a及时终止离岗员工的所有访间权限;b关键岗位人员须承诺调离后的保密义务后方可离开;c配合公安机关工作的人员变动应通报公安机关。
3.4人员离岗应严格规范人员离岗过程a及时终止离岗员工的所有访间权限;b关键岗位人员须承诺调离后的保密义务后方可离开;c配合公安机关工作的人员变动应通报公安机关4.访问控制管理4.1访间管理制度建立包括物理的和逻辑的系统访问权限管理制度。
信息安全技术互联网交互式服务安全保护管理制度
锐理信息安全管理制度目录1.安全管理制度要求1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。
1.1.1建立文件化的安全管理制度,安全管理制度文件应包括:a)安全岗位管理制度;b)系统操作权限管理;c)安全培训制度;d)用户管理制度;e)新服务、新功能安全评估;f)用户投诉举报处理;g)信息发布审核、合法资质查验和公共信息巡查;h)个人电子信息安全保护;i)安全事件的监测、报告和应急处置制度;j)现行法律、法规、规章、标准和行政审批文件。
1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯2.机构要求2.1 法律责任2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。
2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。
3.人员安全管理3.1 安全岗位管理制度建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。
3.2 关键岗位人员3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括:1.个人身份核查:2.个人履历的核查:3.学历、学位、专业资质证明:4.从事关键岗位所必须的能力3.2.2 应与关键岗位人员签订保密协议。
3.3 安全培训建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括:1.上岗前的培训;2.安全制度及其修订后的培训;3.法律、法规的发展保持同步的继续培训。
应严格规范人员离岗过程:a)及时终止离岗员工的所有访问权限;b)关键岗位人员须承诺调离后的保密义务后方可离开;c)配合公安机关工作的人员变动应通报公安机关。
3.4 人员离岗应严格规范人员离岗过程:a)及时终止离岗员工的所有访问权限;b)关键岗位人员须承诺调离后的保密义务后方可离开;c)配合公安机关工作的人员变动应通报公安机关。
健全的网络与信息安全保障措施,包括网站安全保障措施信息安全保密管理制度用户信息安全管理制度
健全的网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度(一)、网站安全保障措施1、与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。
2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。
3、做好日志的留存。
网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。
4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。
5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。
6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。
7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。
(二)信息安全保密管理制度1、信息监控制度:(1)网站信息必须在网页上标明来源;(即有关转载信息都必须标明转载的地址)(2)相关责任人定期或不定期检查网站信息内容,实施有效监控,做好安全监督工作;(3)不得利用国际互联网制作、复制、查阅和传播一系列以下信息,如有违反规定有关部门将按规定对其进行处理;A、反对宪法所确定的基本原则的;B、危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;C、损害国家荣誉和利益的;D、煽动民族仇恨、民族歧视、破坏民族团结的;E、破坏国家宗教政策,宣扬邪教和封建迷信的;F、散布谣言,扰乱社会秩序,破坏社会稳定的;G、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;H、侮辱或者诽谤他人,侵害他人合法权益的;I、含有法律、行政法规禁止的其他内容的。
2、组织结构:设置专门的网络管理员,并由其上级进行监督、凡向国际联网的站点提供或发布信息,必须经过保密审查批准。
网络信息安全管理制度
网络信息安全管理制度网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。
我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。
一、网站运行安全保障措施1、网站服务器和其他计算机之间做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。
2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。
3、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。
4、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。
5、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。
6、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。
7、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。
不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。
对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。
8、我司网站信息采集均有用户自主录入,我们会根据用户的录入信息进行严格的审查核实,保证信息的准确性和有效性。
二、信息安全保密管理制度1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。
严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。
《互联网交互式服务安全管理要求》重点内容宣贯讲义
《互联网交互式服务安全管理要求》重点内容宣贯讲义一、背景介绍1.互联网交互式服务的快速发展二、互联网交互式服务安全管理要求1.信息收集和使用a.合法收集原则b.信息保密原则c.信息使用和共享原则2.账号管理a.注册与认证b.密码管理c.二次验证d.锁定与解锁3.敏感信息保护a.个人隐私信息b.金融信息c.医疗健康信息d.个人位置信息4.安全漏洞管理a.安全漏洞扫描与修复b.安全漏洞报告与追踪c.安全漏洞发布和公告5.数据传输与存储安全a.数据加密传输b.数据备份和恢复c.安全存储控制6.服务安全与可用性a.恶意攻击防范b.服务故障恢复c.安全服务监控三、推广与应用1.政府监管与引导a.法律法规的制定和完善b.监督检查和处罚执行2.企业责任与社会共识a.安全管理体系的建立b.内部培训与宣传3.用户保护与权益维护a.提高用户的安全意识和防范技能b.维护用户的合法权益四、案例分析与实践1.互联网金融服务案例a.个人账号被盗用b.个人信用信息泄露2.移动应用服务案例a.第三方应用恶意访问个人信息3.电子商务平台服务案例a.账号被盗用购物消费b.假冒商品和虚假宣传五、总结与展望1.《互联网交互式服务安全管理要求》的重要性和意义2.进一步加强对互联网交互式服务安全的管理和监管的建议3.提高用户安全意识的重要性和可行性的措施通过宣传这些重点内容,可以让更多的人了解《互联网交互式服务安全管理要求》的核心要点,提高用户的安全意识和防范技能。
同时,加强对互联网交互式服务的监管与引导,不断完善相关法律法规和监督检查措施,能够更好地保障用户的合法权益和国家的信息安全。
同时,企业也应积极履行社会责任,加强内部安全管理,保障用户数据的安全和隐私。
只有共同的努力,才能使互联网交互式服务更加安全可靠,为用户和社会带来更多的福祉。
信息安全技术互联网交互式服务安全保护管理制度
锐理信息安全管理制度目录1.安全管理制度要求1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。
1.1.1建立文件化的安全管理制度,安全管理制度文件应包括:a)安全岗位管理制度;b)系统操作权限管理;c)安全培训制度;d)用户管理制度;e)新服务、新功能安全评估;f)用户投诉举报处理;g)信息发布审核、合法资质查验和公共信息巡查;h)个人电子信息安全保护;i)安全事件的监测、报告和应急处置制度;j)现行法律、法规、规章、标准和行政审批文件。
1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯2.机构要求2.1 法律责任3.人员安全管理3.1 安全岗位管理制度建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。
3.2 关键岗位人员1.个人身份核查:2.个人履历的核查:3.学历、学位、专业资质证明:4.从事关键岗位所必须的能力3.2.2 应与关键岗位人员签订保密协议。
3.3 安全培训建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括:1.上岗前的培训;2.安全制度及其修订后的培训;3.法律、法规的发展保持同步的继续培训。
应严格规范人员离岗过程:a)及时终止离岗员工的所有访问权限;b)关键岗位人员须承诺调离后的保密义务后方可离开;c)配合公安机关工作的人员变动应通报公安机关。
3.4 人员离岗应严格规范人员离岗过程:a)及时终止离岗员工的所有访问权限;b)关键岗位人员须承诺调离后的保密义务后方可离开;c)配合公安机关工作的人员变动应通报公安机关。
4.访问控制管理4.1访问管理制度建立包括物理的和逻辑的系统访问权限管理制度。
4.2 权限分配按以下原则根据人员职责分配不同的访问权限:a) 角色分离,如访问请求、访问授权、访问管理;b ) 满足工作需要的最小权限;c) 未经明确允许,则一律禁止。
互联网交互式服务安全管理要求 第5部分 论坛服务
互联网交互式服务安全管理要求第5部分:论坛服务1 范围GA 1277的本部分规定了论坛服务安全管理要求。
本部分适用于互联网交互式服务提供者落实论坛服务的安全管理制度和安全保护技术措施。
2 规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GA 1277.1-2020互联网交互式服务安全管理要求第1部分:基本要求3 术语和定义GA 1277.1-2020界定的以及下列术语和定义适用于本文件。
3.1论坛 bulletin board system;BBS一种交互性强、内容丰富的互联网信息服务类型。
3.2论坛服务提供商 BBS service provider通过搭建社交网络平台,提供论坛服务的互联网服务商。
3.3安全管理员 security administrator论坛服务提供商委托或授权的负责论坛服务运行安全、服务审计、帐号管理和信息发布审核等职责的单位或个人。
3.4论坛用户 user of the BBS在论坛服务提供商处具有身份注册信息并使用论坛服务的个人。
3.5匿名用户anonymous user在论坛服务提供商处不具有身份注册信息的个人。
4 安全管理制度要求论坛服务提供商应根据GA 1277.1-2020第4章的要求制订并维护安全管理制度。
5 机构要求论坛服务提供商应根据GA 1277.1-2020 第5章的要求建立相关机构并明确其职责。
6 人员安全管理论坛服务提供商应符合GA 1277.1-2020第6章的要求。
7 访问控制管理7.1 基本要求论坛服务提供商应根据GA 1277.1-2020 第7章的要求进行访问控制管理。
7.2 身份鉴别论坛服务提供商应对用户进行身份鉴别,并满足以下要求:a)使用实名信息与用户标识进行关联,如身份证、手机号或第三方登录信息等;b)用户口令应具有一定复杂性,并根据业务需要提示用户定期更换;c)必要时采用多因素鉴别方式;d)采用技术措施防止用户的鉴别信息被未授权访问。
网络与信息安全管理员测试题
网络与信息安全管理员测试题一、单选题(共69题,每题1分,共69分)1.()是指利用简单、快捷、低成本的电子通信方式,买卖双方不谋面地进行各种商贸活动。
A、批发买卖B、实体交易C、电子商务D、当面交易正确答案:C2.对在计算机信息系统中发生的案件,有关使用单位应当在()小时内向当地县级以上人民政府公安机关报告。
A、12B、48C、24D、1正确答案:C3.Debian发行版不包括()。
A、UbuntuB、KaliC、MintD、OpenSUSE正确答案:D4.数据链路层协议中的同步协议是以()为主的传输信息单位。
A、报文B、字符C、位D、帧正确答案:D5.在OSI参考模型中,网络层的数据服务单元是()。
A、信元B、分组C、帧D、报文正确答案:B6.根据2010年实施的《关于办理网络赌博犯罪案件适用法律若干问题的意见》,不属于“开设赌场”或“开设赌场共同犯罪”行为的是()。
A、组织或者进行淫秽表演的B、建立赌博网站并接受投注的C、建立赌博网站并提供给他人组织赌博的D、为赌博网站担任代理并接受投注的正确答案:A7.数据库管理系统DBMS对于用户的访问存取控制的隔离原则指的是()。
A、用户的权限不受限制B、用户只能存取他自己所有的和已经取得授权的数据对象C、用户只能按他所取得的数据存取方式存取数据,不能越权D、用户可以越权正确答案:B8.审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》是由哪个部门发布的?A、最高人民法院B、最高人民检察院C、北京市高级人民法院D、以上部门联合发布正确答案:A9.下列关于创新的论述,正确的是()。
A、创新就是独立自由B、创新是民族进步的灵魂C、创新不需要引进外国新技术D、创新与继承根本对立正确答案:B10.针对网上制售传播淫秽色情等有害信息的行为,第三方服务提供者()承担责任。
A、视情况而定B、不需要C、视执法者决定D、需要正确答案:D11.在Linux系统中,环境变量()指定了保存历史命令记录的条数。
信息安全管理制度(汇总15篇)
信息安全管理制度(汇总15篇)信息安全管理制度1一、总则1.1目的为了规范和加强本单位的信息网络安全管理工作,保护本单位的信息安全,确保信息系统正常运行和信息数据的完整、可靠、可用,制定本制度。
1.2适用范围本制度适用于本单位内所有与信息网络相关的人员、设备和相关系统,包括但不限于计算机、服务器、路由器、交换机及其他网络设备。
二、安全策略及责任分工2.1安全策略2.1.1信息网络安全的目标确保信息系统安全,包括信息的保密性、完整性和可用性,并维护用户信息的隐私和合法权益。
2.1.2安全管理原则●安全性原则:信息安全应得到重视,安全风险应得到合理的'评估和管理。
●权限控制原则:用户在信息系统的访问和操作应有相应权限控制,并严格按照权限进行操作。
●安全审计与监控原则:建立日志审计和监控机制,及时发现和处理安全事件。
●响应与恢复原则:建立应急响应和灾备机制,能够有效应对安全事件和恢复环境。
2.2责任分工2.2.1安全管理部门负责制定安全管理政策和制度,监督、管理和评估网络安全工作,并负责应急响应和安全事件处置。
2.2.2信息网络管理员负责本单位信息网络的运维和安全管理工作,包括但不限于设备安装及配置、漏洞修复、日志审计和监控等。
2.2.3用户负责保护自己的账户和密码安全,不得随意泄漏个人信息,合法合规使用信息网络。
三、安全规范和技术要求3.1密码安全3.1.1密码强度要求●密码长度不少于8位。
●包含大小写字母、数字和特殊字符。
●禁止使用常用密码和个人信息作为密码。
3.1.2密码定期更换用户密码应定期更换,建议每90天更换一次。
3.2防安全3.2.1安装有效的杀毒软件所有终端设备应安装依托互联网进行实时更新的杀毒软件,确保设备的安全。
3.2.2定期扫描定期对计算机和服务器进行扫描,及时清除并进行修复。
3.3访问控制3.3.1用户权限管理对不同角色的用户设置相应的访问权限,保证合理的访问控制。
互联网信息内容安全管理制度
互联网信息内容安全管理制度我国的互联网信息内容安全管理制度主要体现在《计算机信息网络国际联网安全保护管理办法》中,该办法第10条规定:“互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责:(一)负责本网络的安全保护管理工作,建立健全安全保护管理制度;(二)落实安全保护技术措施,保障本网络的运行安全和信息安全;(三)负责对本网络用户的安全教育和培训;(四)对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照本办法第五条进行审核;(五)建立计算机信息网络电子公告系统的用户登记和信息管理制度;(六)发现有本办法第四条、第五条、第六条、第七条所列情形之一的,应当保留有关原始记录,并在二十四小时内向当地公安机关报告;(七)按照国家有关规定,删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。
”互联网信息发布单位包括网络接入单位,从事信息服务的联网单位,开办电子公告版、新闻组、提供广播式发送电子邮件功能的联网单位等,这些信息发布单位必须建立和完善自己单位的互联网信息内容安全管理制度,严格依照法律规定进行信息内容安全管理,否则要承担相应的责任。
《计算机信息网络国际联网安全保护管理办法》第21条规定:“有下列行为之一的,由公安机关责令限期改正,给予警告,有违法所得的,没收违法所得;在规定的限期内未改正的,对单位的主管负责人员和其他直接责任人员可以并处五千元以下的罚款,对单位可以并处一万五千元以下的罚款;情节严重的,并可以给予六个月以内的停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。
(一)未建立安全保护管理制度的;(二)未采取安全技术保护措施的;(三)未对网络用户进行安全教育和培训的;(四)未提供安全保护管理所需信息、资料及数据文件,或者所提供内容不真实的;(五)对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的;(六)未建立电子公告系统的用户登记和信息管理制度的;(七)未按照国家有关规定,删除网络地址、目录或者关闭服务器的;(八)未建立公用帐号使用登记制度的;(九)转借、转让用户帐号的。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
交互式信息安全管理制度目录安全管理制度要.................................................................................................................法律责任.............................................................................................................................人员安全管理.....................................................................................................................访问控制管理.....................................................................................................................网络操作与安全.................................................................................................................应用安全.............................................................................................................................个人电子信息保护.............................................................................................................投诉.....................................................................................................................................安全事件管理.....................................................................................................................11.安全管理制度要求1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。
1.1.1建立文件化的安全管理制度,安全管理制度文件应包括:a)安全岗位管理制度;b)系统操作权限管理;c)安全培训制度;d)用户管理制度;e)新服务、新功能安全评估;f)用户投诉举报处理;g)信息发布审核、合法资质查验和公共信息巡查;h)个人电子信息安全保护;i)安全事件的监测、报告和应急处置制度;j)现行法律、法规、规章、标准和行政审批文件。
1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯2.机构要求2.1法律责任2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。
2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。
3.人员安全管理3.1 安全岗位管理制度建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。
3.2 关键岗位人员3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括:2a/个人身份核查:b/个人履历的核查:c/学历、学位、专业资质证明:d/从事关键岗位所必须的能力3.2.2 应与关键岗位人员签订保密协议。
3.3 安全培训建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括:a)上岗前的培训;b)安全制度及其修订后的培训;c)法律、法规的发展保持同步的继续培训。
应严格规范人员离岗过程:a)及时终止离岗员工的所有访问权限;b)关键岗位人员须承诺调离后的保密义务后方可离开;c)配合公安机关工作的人员变动应通报公安机关。
3.4 人员离岗应严格规范人员离岗过程:a)及时终止离岗员工的所有访问权限;b)关键岗位人员须承诺调离后的保密义务后方可离开;c)配合公安机关工作的人员变动应通报公安机关。
4.访问控制管理4.1访问管理制度建立包括物理的和逻辑的系统访问权限管理制度。
4.2 权限分配按以下原则根据人员职责分配不同的访问权限:a) 角色分离,如访问请求、访问授权、访问管理;b ) 满足工作需要的最小权限;c) 未经明确允许,则一律禁止。
4.3 特殊权限限制和控制特殊访问权限的分配和使用:a)标识出每个系统或程序的特殊权限;b)按照“按需使用”、“一事一议”的原则分配特殊权限;c)记录特殊权限的授权与使用过程;d)特殊访问权限的分配需要管理层的批准。
注:特殊权限是系统超级用户、数据库管理等系统管理权限。
4.4 权限的检查3定期对访问权限进行检查,对特殊访问权限的授权情况应在更频繁的时间间隔内进行检查,如发现不恰当的权限设置,应及时予以调整。
5网络与主机系统的安全5.1 网络与主机系统的安全应维护使用的网络与主机系统的安全,包括:a)实施计算机病毒等恶意代码的预防、检测和系统被破坏后的恢复措施;b)实施7×24h网络入侵行为的预防、检测与响应措施;c)适用时,对重要文件的完整性进行检测,并具备文件完整性受到破坏后的恢复措施;d)对系统的脆弱性进行评估,并采取适当的措施处理相关的风险。
注:系统脆弱性评估包括采用安全扫描、渗透测试等多种方式。
5.2 备份5.2.1 应建立备份策略,有足够的备份设施,确保必要的信息和软件在灾难或介质故障时可以恢复。
5.2.2 网络基础服务(登录、消息发布等)应具备容灾能力。
5.3 安全审计5.3.15.3.2 应记录用户活动、异常情况、故障和安全事件的日志。
审计日志内容应包括:a) 用户注册相关信息,包括:1) 用户唯一标识;2) 用户名称及修改记录;3) 身份信息,如姓名、证件类型、证件号码等;4 ) 注册时间、IP 地址及端口号;5) 电子邮箱地址和于机号码;6 ) 用户备注信息;7 ) 用户其他信息。
b ) 群组、频道相关信息,包括:1) 创建时间、创建人、创建人IP 地址及端口号;2 ) 删除时间、删除人、删除人IP 地址及端口号;3 ) 群组组织结构;44 ) 群组成员列表。
c) 用户登录信息,包括:1) 用户唯一标识;2 ) 登录时间;3 ) 退出时间;4 ) IP 地址及端口号。
d ) 用户信息发布日志,包括:1) 用户唯一标识;2 ) 信息标识;3) 信息发布时间;4 ) IP 地址及端口号;5 ) 信息标题或摘要,包括图片摘要。
e) 用户行为,包括:1 ) 进出群组或频道;2 ) 修改、删除所发信息;3 ) 上传、下载文件。
5.3.3 应确保审计日志内容的可溯源性,即可追溯到真实的用户ID、网络地址和协议。
电子邮件、短信息、网络电话、即时消息、网络聊天等网络消息服务提供者应能防范伪造、隐匿发送者真实标记的消息的措施;涉及地址转换技术的服务,如移动上网、网络代理、内容分发等应审计转换前后的地址与端口信息;涉及短网址服务的,应审计原始URL 与短UR L 之间的映射关系。
5.3.45.3.5 应保护审计日志,保证无法单独中断审计进程,防止删除、修改或覆盖审计日志。
应能够根据公安机关要求留存具备指定信息访问日志的留存功能。
审计日志保存周期:a ) 应永久保留用户注册信息、好友列表及历史变更记录,永久记录聊天室(频道、群组)注册信息、成员列表以及历史变更记录;b) 系统维护日志信息保存12 个月以上;c) 应留存用户日志信息12 个月以上;d ) 对用户发布的信息内容保存6 个月以上;5e) 已下线的系统的日志保存周期也应符合以上规定。
6应用安全6.1用户管理6.1.1 向用户宣传法律法规,应在用户注册时,与用户签订服务协议,告知相关权利义务及需承担的法律责任。
6.1.2 建立用户管理制度,包括:a )用户实名登记真实身份信息,并对用户真实身份信息进行有效核验,有校核验方法可追溯到用户登记的真实身份,如:1) 身份证与姓名实名验证服务:2) 有效的银行卡:3) 合法、有效的数字证书:4) 已确认真实身份的网络服务的注册用户:5) 经电信运营商接入实名认证的用户。
(如某网站采用已经实名认证的第三方账号登陆,可认为该网站的用户已进行有效核验。
)b ) 应对用户注册的账号、头像和备注等信息进行审核,禁止使用违反法律法规和社会道德的内容:c )建立用户黑名单制度,对网站自行发现以及公安机关通报的多次、大量发送传播违法有害信息的用户纳应入黑名单管理。
6.1.3 当用户利用互联网从事的服务需要行政许可时,应查验其合法资质,查验可以通过以下方法进行:a )核对行政许可文件:b )通过行政许可主管部门的公开信息:c )通过行政许可主管部门的验证电话、验证平台。
6.2违法有害信息防范和处置6.2.1 公司采取管理与技术措施,及时发现和停止违法有害信息发布。
6.2.2 公司采用人工或自动化方式,对发布的信息逐条审核。
采取技术措施过滤违法有害信息,包括且不限于基于关键词的文字信息屏蔽过滤;b)基于样本数据特征值的文件屏蔽过滤;6c)基于URL的屏蔽过滤。
6.2.3 应采取技术措施对违法有害信息的来源实施控制,防止继续传播。
注:违法有害信息来源控制技术措施包括但不限于:封禁特定帐号、禁止新建帐号、禁止分享、禁止留言及回复、控制特定发布来源、控制特定地区或指定IP帐号登陆、禁止客户端推送、切断与第三方应用的互联互通等。
6.2.4 公司建立7*24h信息巡查制度,及时发现并处置违法有害信息。
6.2.5 建立涉嫌违法犯罪线索、异常情况报告、安全提示和案件调差配合制度,包括:a/对发现的违法有害信息,立即停止发布传输,保留相关证据(包括用户注册信息、用户登录信息、用户发布信息等记录),并向属地公安机关报告b/对于煽动非法聚集、策划恐怖活动、扬言实施个人极端暴力行为等重要情况或重大紧急事件立即向属地公安机关报告,同时配合公安机关做好调查取证工作6.2.6 与公安机关建立7*24h违法有害信息快速处置工作机制,有明确URL的单条违法有害信息和特定文本、图片、视频、链接等信息的源头及分享中的任何一个环节应能再5min 之内删除,相关的屏蔽过滤措施应在10min内生效。