- 相关推荐
壹购物商城信息安全保障措施
一:信息安全保障措施
采用阿里云服务器作主机
1、 软件系统:
操作系统:Linux-Centos 6.5 64位 web前端使用nginx+php
数据库:MS SQL Server5.5
防火墙:linux自带的iptables+阿里云的云盾
2、硬件系统:
主机及带宽:8核心CPU,32G内存,100Mbps带宽。
二:信息安全保密管理制度
1. 建立全员安全意识,合理规划信息安全
安全意识的强弱对于整个信息系统避免或尽量减小损失,乃至整个具备主动防御能力的信息安全体系的搭建,都具有重要的战略意义。我们首先建立起全员防护的环境。在意识上建立牢固的防患意识,并有足够的资金支持,形成企业内部的信息安全的共识与防御信息风险的基本常识,其次是选用安全性强的软硬件产品,构筑软硬协防的安全体系,确保安全应用。
2. 建立信息采集(来源)、审核、发布管理制度并结合关键字过滤系统,保障信息安全。采编部按照采编制度和相关互联网规定,严格把关。
3. 涉密信息,包括在对外交往与合作中经审查、批准与外部交换的秘密信息,不得在连有外网的计算机信息系统中存储、处理、传递。加强对计算机介质(软盘、磁带、光盘、磁卡等)的管理,对储存有秘密文件、资料的计算机等设备要有专人操作,采取必要的防范措施,严格对涉密存储介质的管理,建立规范的管理制度,存储有涉密内容的介质一律不得进入互联网络使用
4. 建立系统保密措施,严格实行安全管理。系统的安全、帐号及权限的管理,责任到人;对系统软件的管理;在系统维护过程中,产生的记录:系统维护日志、系统维护卡片、详细维护记录。
5. 对涉密信息实行加密、解密及管理,确保数据传输的安全。
6. 建立数据库的信息保密管理制度,保障数据库安全。数据库由专人管理并负责。
7. 建立日志的跟踪、记录及查阅制度,及时发现和解决安全漏洞。
三:技术保障措施
1. 加强内部网络管理、监测违规
(1)在强、弱电安全方面,采用双路交流电供电形成电源冗余并配置UPS的设计方案保证强电安全,另外,采用避雷防电和放置屏蔽管道的方法来保证弱电线路(交换机、网线)的安全。
(2)在IP资源管理方面,采用IP+MAC捆-绑的技术手段防止用户随意更改IP地址和随意更换交换机上的端口。通过网管中心的管理软件,对该交换机远程实施Port Security策略,将客户端网卡MAC地址固定绑在相应端口上。
(3)在网络流量监测方面,使用网络监测软件对网络传输数据协议类型进行分类统计,查看数据、视频、语音等各种应用的利用带宽,防止频繁进行大文件的传输,甚至发现病毒的转移及传播方向。
(4)在违规操作监控方面,对涉秘信息的处理,严禁“一机两用”事件的发生。即一台计算机同时联接内部网和互联网,还包括轮流上内部网和国际互联网的情形,因此我们对每个客户端安装了监控系统,实行电脑在线监测、电脑在线登记、一机两用监测报警、电脑阻断、物理定位等措施。
2. 管理服务器
应用服务器安装的操作系统为Windows系列,服务器的管理包括服务器安全审核、组策略实施、服务器的备份策略。
服务器安全审核的范围包括安全漏洞检查、日志分析、补丁安装情况检查等,审核的对象是DC、Exchange Server、SQL Server、IIS等。
在组策略实施时,使用软件限制策略,即哪些内部用户不能使用哪个软件,对操作用户实行分权限管理。
服务器的备份策略包括系统软件备份和数据库备份两部分,系统软件备份拟利用现有的ARC Server 专用备份程序,制定合理的备份策略,每周日晚
上做一次完全备份,然后周一到周五晚上做增量备份或差额备份;定期对服务器备份工作情况进行检查(数据库备份后面有论述)。
3. 管理客户端
(1)将客户端都加入到域中,客户端纳入管-理-员集中管理的范围。出于安全上的考虑,安装win2000系列客户端。
(2)只给用户以普通域用户的身份登录到域,因为普通域用户不属于本地Administrators和Power Users组,这样就可以限制他们在本地计算机上安装大多数软件。当然为了便于用户工作,通过本地安全策略措施,授予基本操作权利。
(3)实现客户端操作系统补丁程序的自动安装。
(4)实现客户端防病毒软件的自动更新。
(5)利用SMS对客户端进行不定期监控,发现不正常情况及时处理。
4. 数据备份与冗余
《壹购物商城信息安全保障措施》全文内容当前网页未完全显示,剩余内容请访问下一页查看。
考虑到综合因素,采用如下数据备份和冗余方案:
(1)在网络中心的异地机房建立单机+磁盘阵列的硬件环境,作为容灾异地在线备份点,安装VERITAS的服务器端软件。
(2)在网络中心的SQL Server服务器、Lotus Note Mail服务器、Oracle服务器以及文件服务器上分别安装VERITAS的相关客户端Agent软件。
(3)在服务器上设置在线备份策略,每天凌晨1点自动备份SQL数据库、凌晨2点自动备份Oracle数据库、凌晨3点自动备份邮件,主要用于系统层恢复后的数据加载。
(4)采用本地硬件RAID 5对硬件级磁盘故障进行保护。
5. 数据加密
考虑到网络上非认证用户可能试图旁路系统的情况,如物理地“取走”数据库,在通信线路上窃-听截获。对这样的威胁采取了有效方法:数据加密。即以加密格式存储和传输敏感数据。发送方用加密密钥,通过加密设备或算法,将信息加密后发送出去。接收方在收到密文后,用解密密钥将密文解密,恢
复为明文。如果传输中有人窃取,他只能得到无法理解的密文,从而对信息起到保密作用。
6. 病毒防治措施
我们对防病毒软件的要求是:能支持多种平台,至少是在Windows系列操作系统上都能运行;能提供中心管理工具,对各类服务器和工作站统一管理和控制;在软件安装、病毒代码升级等方面,可通过服务器直接进行分发,尽可能减少客户端维护工作量;病毒代码的升级要迅速有效。所以,综合以上各种因素,我们选择了SYMANTEC公司的Norton Antivirus企业版。在实施过程中,本单位以一台服务器作为中央控制一级服务器,实现对网络中所有计算机的保护和监控,并使用其中有效的管理功能,如: 管-理-员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端等。正常情况下,一级服务器病毒代码库升级后半分钟内,客户端的病毒代码库也进行了同步更新。
7. 补丁更新与软件分发
网络安全防御不是简单的防病毒或者防火墙。只有通过提高网络整体系统安全,才能让病毒进攻无门。然而提高网络整体系统安全不仅仅是一个技术问题,更重要的是管理问题。
自动分发软件、升级补丁等工作是确保系统安全的关键步骤。我们使用微软的Systems Management Server(SMS)和Software Update Service(SUS)软件来自动实现这一功能。
(1)我们使用微软的Software Update Service(SUS)解决运行Windows操作系统的计算机免受病毒和黑客攻击,将需要升级的软件从Internet下载到公司Intranet的服务器上,并为公司内的所有客户端PC提供自动升级,打上所有需要的“补丁”。
(2)我们使用微软Systems Management Server(SMS)进行软件分发、资产管理、远程问题解决等。
四:信息安全审核制度
1) 设立信息安全岗位,实行信息安全责任制
(1)设立专职信息安全管理领导岗位和3个信息安全管理岗位;
(2)信息安全岗位工作人员不得在其他单位兼任信息安全岗位;
(3)信息安全管理岗位人员负责本单位制作、复制、发布、批量传播的信息的初审,信息安全管理领导岗位负责信息审核和批准,信息非经审核批准不得予以发布、传播。
(4)不得制作、复制、发布、传播含有下列内容的信息:
反对宪法所确定的基本原则的;
危害国-家-安-全,泄露国家秘密,颠-覆-国-家-政-权,破坏国家统一的; 损害国家荣誉和利益的;
煽动民族仇恨、民族歧视,破坏民族团结的;
破坏国家宗教政策,宣扬邪教和封建迷信的;
散布谣言,扰乱社会秩序,破坏社会稳定的;
散布淫秽、色情、赌博、暴-力、凶杀、恐怖或者教唆犯罪的; 侮辱或者诽谤他人,侵害他人合法权益的;
含有法律、行政法规禁止的其他内容的。
(5)信息安全部门统一规划、组织、协调、监督、管理和实施内外部网络安全,具体职责如下:
负责各种资源的安全监测、安全运行和安全管理;
负责计算机病毒防御、黑客入侵防范和不良信息过滤;
负责各种安全产品的正常运行、管理和维护;
普及信息安全常识、建立相关安全制度、应急处理重大安全事件; 负责安全规划和安全项目的研究,全面提高网络安全管理的技术和水平。
2) 建立并实行服务器日常维护及管理制度
(1)服务器监控:管-理-员经常性的监控服务器的运行状况,如发现异常情况,及时处理,并作详细记录。
《壹购物商城信息安全保障措施》全文内容当前网页未完全显示,剩余内容请访问下一页查看。
(2)重要数据备份:对于数据服务器中的用户信息、重要文件和数据进行及时备份。信息天天更新备份,每周一次完全备份,备份信息应保存一个月。
(3)定期系统升级:对于windows操作系统的服务器每周做一次升级,如遇到安全问题立即升级。
3) 建立并实行机房值班安全制度
(1)确保线路畅通。上班后与下班前检查线路,寻找网络隐患。对在运行期间发生的主要事件记录在案。按时定期对设备进行检修。每月的最后一个工作日对所有设备进行测试,并填写报告。
(2)及时、准确、无误地填写运行记录。出现事故尽快处理,马上填写故障记录。当自己不能解决或不能立即解决时,及时与安全主管联系,并保持与其他值班人员的联系,在己方线路或设备出现故障时,尽快查明原因,及时处理,并填写故障记录。
(3)负担整个网络的性能管理任务。对网络性能进行动态监测,并要有详细的记录及统计分析。必要时把网络性能记录以图表形式打印出来。
(4)注意网络运行安全,对网络异常现象进行反应。利用路由器等安全系统控制网络非法侵入。
(5)保证机房的供电及室内空气的温度、湿度正常。注意UPS的工作情况。注意网络设备安全,加强防火,防盗及防止他人破坏的工作。注意临走时门窗关好,锁紧。禁止在机房内吸烟。禁止无关人员进入机房。值班人员不得随意离开。
(6)完成网络设备的安装,调试。并对安装,测试过程中的主要事件,做到有据可查。
(7)主动监测网络,随时发现问题,及时查清故障点,并主动与相关主管和部门联系。
4) 建立并实行防火墙等软件更新制度
(1)防火墙软件的使用与更新:
采用诺顿企业级防火墙;
及时更新防火墙
(2)坚持使用正确、安全的软件及软件操作流程,从细节保障系统安全。
5) 建立应急处理流程
(1)清点数字资产,确定每项资产应受多大程度的保护
(2)明确界定资源的合理使用,明确规定系统的使用规范,比如谁可以拥有网络的远程访问权,在访问之前须采取哪些安全措施。
(3)控制系统的访问权限,公司在允许一些人访问系统的同时,必须阻止另外一些人进入。网络防火墙、验证和授权系统、加密技术都为了保证信息安全。同时采用监视工具和入侵探测工具来查询公司网络上的电脑活动,及时发现可疑行为。
(4)使用安全的软件;
(5)找出问题根源;
(6)提出解决方案并及时解决问题;
(7)加入应急知识库,预防类似事件再次发生。
6) 实行关键字的设立、过滤与更新规则
(1)通信平台具有信息内容的过滤功能。信息过滤包括对播放的相关短信、页面内容进行有效过滤。具体包括关键字设定、修改、查询功能,提供相应的测试端口,并具有严格的权限管理功能;对发现的有害短信及时向有关部门汇报,并从技术上予以保证,包括有害信息的内容、发现时间、发现来源;
(2)关键字的设立规则根据相关法律和互联网规定制定
(3)过滤引擎的建立:过滤引擎设定关键字、日志管理、报警的管理。管理控制中心显示详细的有害信息(有害信息的发送方、接受方、内容、时间),并截断该短消息。
(4)对不良信息和事件的发生进行记录,并储存,以备后需。
7) 建立并实行信息储存与查阅制度
(1)信息采集:信息资料的来源渠道必须正规,不能侵犯他人版权,杜绝政治性和常识性的错误;信息采集的内容要广泛、真实、可靠、健康,要有时效性,有使用价值。
(2)信息审核:信息采集人员要杜绝信息资源格式不规范、措辞不严谨等问题出现,减少或避免初审失误;切实做到“三密”信息不失密、不上网;重大的信息、来源不清的信息、披露性信息要报经信息审核主管终审后才能发布
(3)信息的发布更新:限时更新的信息要及时采集、整理,经审核后尽快发布。要确保及时、准确无误;各自分工的任务,如不能按规定时限及时更新的,将追究有关人员责任。
(4)信息的存储:对采集的各种信息进行科学分类,以文本格式存放在统一的文件中;建立信息的汇总渠道,开辟专用空间存放归集信息,方便保存与查找;数据的备份参见“数据备份与冗余”
(5)信息查阅制度:根据信息的重要性和保密级别的不同,实行区别对待,对涉秘信息、重要数据的查询需向相关主管人员申请并报总负责人审批。
8)投诉流程与方式,处理结构
五:信息安全责任落实
信息安全重在管理,而安全管理又贯穿在整个网络的运行之中。为此,首先抓好组织机构建设。在原来的基础上,建立健全了公司计算机安全监察领导小组,并建立了决策层、管理层、执行层的三级计算机安全组织机构。从而将安全工作落实到各个部门,做到分工明细,责任明确。从组织上、技术上切实保障了计算机信息系统的安全运行。
在此基础上,公司制定了完善的安全管理方案,涵盖安全风险管理、物理安全管理、逻辑安全管理和日常安全管理等各方面。通过各级安全组织机构,全面抓好制度的落实,真正做到事事有人管,事事管理有规章。
其中安全风险管理是通过对全网、特别是关键资产的周期性风险计算,合理分配资源,为安全控制的范围、类型和力度等提供决策参考;物理安全管理主要体现在针对物理基础设施、物理设备和物理访问的控制中,主要通过机房物理安全来体现; 逻辑安全管理则是从技术层面建立诸如用户管理、口令管理、网络设备安全管理和主机系统安全管理的制度,进一步保障网络的安全性;日常安全管理则偏重于日常安全审计以及安全事件响应的内容。
定期对高层管理人员进行信息安全意识和技术培训,及时组织信息安全员参加信息安全知识技术讲座;并通过多种宣传手段增强各级部门的安全意识。为跟踪最新的安全技术和了解更多的安全产品,
1) 信息安全专员负责本网络的安全保护管理工作,建立健全安全保护管理制度
2) 落实安全保护技术措施,保障本网络的运行安全和信息安全
3) 负责对本网络用户的安全教育和培训
4) 对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照信息发布审核制度进行审核
5) 社区、BBS等实现24小时值班,并将信息安全责任落实到人,各分公司和各网站均有专人负责信息安全工作
6) 完善信息安全事件快速处理机制,缩短信息安全事件处理时间和环节,将不良影响降到最低
7) 明确信息安全工作重点,日常信息安全工作重点为容易发生信息安全事件的栏目,如社区、BBS、留言簿和邮件等
8) 采用技术手段检测和保障信息安全。通过采用如关键字过滤、防垃圾邮件等技术手段来杜绝有害信息
9) 通过高标准的控制来强化所有安全设施、重要的服务器和通讯平台
商城网站信息安全保障措施2017-03-18 11:22 | #2楼
网络与信息的安全不仅关系到公司业务的开展,还将影响到国家的安全、社会的稳定。公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。
一、网站运行安全保障措施
1、网站服务器和其他计算机之间设置防火墙,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。
2、在网站的服务器及工作站上均安装了相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。
3、做好访问日志的留存。网站具有保存六个月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。
4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。
5、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。
6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。
7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。
8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管-理-员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管-理-员定期检查操作人员权限。
9、机房按照电信机房标准建设,内有必备的独立UPS不间断电源,能定期进行电力、防火、防潮、防磁和防鼠检查。
二、信息安全保密管理制度
1、严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。
2、网站信息内容更新全部由网站工作人员完成或管理,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。
3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。
4、所有信息都及时做备份。按照国家有关规定,网站将保存6个月内系统运行日志和用户使用日志记录。
5、制定并遵守安全教育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。
三、用户信息安全管理制度
1、尊重并保护用户的个人隐私,在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不得公布与用户个人身份有关的资料,除非有法律或程序要求。
2、严格遵守网站用户帐号使用登记和操作权限管理制度,对用户信息专人管理,严格保密,未经允许不得向他人泄露。
公司定期对相关人员进行网络信息安全培训并进行考核,使相关人员能够充分认识到网络安全的重要性,严格遵守相应规章制度。
公司严格执行本规章制度,并形成规范化管理,建立健全信息网络安全小组。安全小组由单位领导负责,网络技术、客户服务等部门参加,并确定至少一名安全负责人作为突发事件处理的联系人。
【壹购物商城信息安全保障措施】相关文章:
安全保障措施08-30
安全保障措施08-01
医院信息系统安全保障措施05-17
安全生产保障措施04-13
安全保障措施[汇总15篇]08-31
【优】安全保障措施15篇08-30
安全保障措施(汇编15篇)08-30
分级安全生产目标及保障措施09-21