黔南人才網(wǎng)網(wǎng)站安全隱患整改報告
都勻市公安局:
自2018年1月26日接到都勻市公安局下發(fā)的《網(wǎng)絡(luò)與信息安全限期整改通知書》勻公信安限字【2018】3號文件后,我公司技術(shù)部組織人力,針對檢查后發(fā)現(xiàn)的問題,迅速修補安全漏洞,并對所屬網(wǎng)站進行徹底檢查,進一步完善安全防范措施,提高網(wǎng)絡(luò)安全防范意識,有效增強了黔南人才網(wǎng)網(wǎng)站對有害信息的防范能力和防泄密水平?,F(xiàn)將整改情況告知如下:
完成問題整改 針對通知附件的檢測結(jié)果,我公司網(wǎng)站在防sql注入等方面存在一些問題。針對以上問題,我公司技術(shù)部組織大量技術(shù)人員,檢測了整個網(wǎng)站的防注入隱患,制訂了新的地址過濾算法,完成了網(wǎng)頁地址過濾等工作。
進一步提高網(wǎng)絡(luò)與信息安全工作水平
一是加強理論知識學(xué)習(xí)。建立學(xué)習(xí)制度,每半個月組織部門工作人員及專業(yè)技術(shù)人員,學(xué)習(xí)網(wǎng)絡(luò)安全知識及網(wǎng)絡(luò)信息保密的相關(guān)法律法規(guī)。通過學(xué)習(xí),全面提高工作人員網(wǎng)絡(luò)安全知識水平,尤其是在網(wǎng)絡(luò)新病毒、網(wǎng)站新漏洞等網(wǎng)絡(luò)安全技術(shù)方面,做到及時溝通、信息共享。
二是加強網(wǎng)絡(luò)與信息安全管理。通過“責(zé)任落實到人,工作落實到紙”的方法,全面加強網(wǎng)絡(luò)與信息安全管理工作。我們設(shè)立了網(wǎng)站服務(wù)器安全員、機房管理員、網(wǎng)站檢測員、網(wǎng)站后臺技術(shù)員等,把責(zé)任具體到人,同時要求,各責(zé)任崗位要隨時做好工作記錄,各項工作最終落實到紙面。通過以上工作,我公司網(wǎng)站網(wǎng)絡(luò)信息安全管理水平得到整體提高。
三是建立健全信息網(wǎng)絡(luò)安全制度。在工作中,進一步細(xì)化工作程序,建立各項工作制度。完善了服務(wù)器數(shù)據(jù)定期備份制度、網(wǎng)絡(luò)信息發(fā)布簽審制度等。通過完善各類制度,使網(wǎng)絡(luò)安全信息工作有章可循,為做好黔南人才網(wǎng)網(wǎng)站信息網(wǎng)絡(luò)安全工作,奠定了堅實的基礎(chǔ)。
在今后的工作中,我們將進一步加強學(xué)習(xí),嚴(yán)格管理,完善制度,努力提升黔南人才網(wǎng)網(wǎng)站信息網(wǎng)絡(luò)安全工作水平。
2018年1月31日
附件1:
黔南人才網(wǎng)網(wǎng)站信息安全管理制度
信息發(fā)布登記制度
在信源接入時要落實安全保護技術(shù)措施,保障本網(wǎng)絡(luò)的運行安全和信息安全;
對以虛擬主機方式接入的單位,系統(tǒng)要做好用戶權(quán)限設(shè)定工作,不能開放 其信息目錄以外的其他目錄的操作權(quán)限。
對委托發(fā)布信息的單位和個人進行登記并存檔。
對信源單位提供的信息進行審核,不得有違犯《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》的內(nèi)容出現(xiàn)。
發(fā)現(xiàn)有違犯《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》情形的,應(yīng)當(dāng)保留有關(guān)原始記錄,并在二十四小時內(nèi)向當(dāng)?shù)毓矙C關(guān)報告。
信息內(nèi)容審核制度
必須認(rèn)真執(zhí)行信息發(fā)布審核管理工作,杜絕違犯《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護 管理辦法》的情形出現(xiàn)。
對在本網(wǎng)站發(fā)布信息的信源單位提供的信息進行認(rèn)真檢查,不得有危害國家安全、泄露國家秘密,侵犯國家的、社會的、集體的利益和公民的合法權(quán)益的內(nèi)容出現(xiàn)。
對在BBS公告板等發(fā)布公共言論的欄目建立完善的審核檢查制度,并定時檢查,防止違犯《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》的言論出現(xiàn)。
一旦在本人才網(wǎng)發(fā)現(xiàn)用戶制作、復(fù)制、查閱和傳播下列信息的:
煽動抗拒、破壞憲法和法律、行政法規(guī)實施
煽動顛覆國家政權(quán),推翻社會主義制度
煽動分裂國家、破壞國家統(tǒng)一
煽動民族仇恨、民族歧視、破壞民族團結(jié)
捏造或者歪曲事實、散布謠言,擾亂社會秩序
宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪
公然侮辱他人或者捏造事實誹謗他人
損害國家機關(guān)信譽
其他違反憲法和法律、行政法規(guī)
按照國家有關(guān)規(guī)定,刪除本網(wǎng)絡(luò)中含有上述內(nèi)容的地址、目錄或者關(guān)閉服務(wù)器。并保留原始記錄,在二十四小時之內(nèi)向當(dāng)?shù)毓矙C關(guān)報告。
信息監(jiān)視、保存、清除和備份制度
為促進公司網(wǎng)站健康、安全,高效的應(yīng)用和發(fā)展,維護國家和社會的穩(wěn)定,杜絕各類違法、犯罪行為的發(fā)生,根據(jù)《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》的規(guī)定,特制定本制度:
1.制度適用于本網(wǎng)站發(fā)布信息及網(wǎng)站用戶發(fā)布信息。
2.嚴(yán)格執(zhí)行國家及地方制定的信息安全條例。
3.本網(wǎng)站自身發(fā)布的信息,必須認(rèn)真檢查,杜絕隱含下列行為的內(nèi)容出現(xiàn):
(一) 煽動抗拒、破壞憲法和法律、行政法規(guī)實施;
(二) 煽動顛覆國家政權(quán),推翻社會主義制度;
(三) 煽動分裂國家、破壞國家統(tǒng)一;
(四) 煽動民族仇恨、民族歧視、破壞民族團結(jié);
(五) 捏造或者歪曲事實、散布謠言,擾亂社會秩序;
(六) 宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪;
(七) 公然侮辱他人或者捏造事實誹謗他人;
(八) 損害國家機關(guān)信譽;
(九) 其他違反憲法和法律、行政法規(guī)。
4.對網(wǎng)站引用的他人信息,必須注明來源。
5. 對網(wǎng)站用戶發(fā)布信息,必須首先經(jīng)過程序核查,對其發(fā)布內(nèi)容進行檢查、過濾、限制。若發(fā)現(xiàn)其他網(wǎng)站有不良有害信息,應(yīng)主動舉報。
做好備份工作,配合各類安全檢查,一旦遇到不良信息,均按照國家有關(guān)規(guī)定,刪除本網(wǎng)絡(luò)中含有上述內(nèi)容的地址、目錄,并保留原始記錄,在二十四小時之內(nèi)向市公安局網(wǎng)監(jiān)支隊報告。
病毒檢測和網(wǎng)絡(luò)安全漏洞檢測制度
為保證公司網(wǎng)站的正常運行,防止各類病毒、黑客軟件對我公司聯(lián)網(wǎng)主機構(gòu)成的威脅,最大限度的減少此類損失,特制定本制度:
1、各接入單位計算機內(nèi)應(yīng)安裝防病毒軟件、防黑客軟件及垃圾郵件消除軟件,并對軟件定期升級。
2、各接入單休計算機內(nèi)嚴(yán)禁安裝病毒軟件、黑客軟件,嚴(yán)禁攻擊其它聯(lián)網(wǎng)主機,嚴(yán)禁散布黑客軟件和病毒。
3、網(wǎng)管中心應(yīng)定期發(fā)布病毒信息,檢測網(wǎng)站內(nèi)病毒和安全漏洞,并采取必要措施加以防治。
4、網(wǎng)站內(nèi)主要服務(wù)器應(yīng)當(dāng)安裝防火墻系統(tǒng),加強網(wǎng)絡(luò)安全管理。
5、網(wǎng)管中心定期對網(wǎng)絡(luò)安全和病毒檢測進行檢查,發(fā)現(xiàn)問題及時處理。
違法案件報告和協(xié)助查處制度
1.各接入終端使用者應(yīng)當(dāng)自覺遵守網(wǎng)絡(luò)法規(guī),嚴(yán)禁利用計算機從事違法犯罪行為。
2.對于本單位發(fā)生的計算機違法犯罪行為,各級網(wǎng)絡(luò)安全管理員應(yīng)當(dāng)及時制止并立即上報網(wǎng)絡(luò)管理中心,同時做好系統(tǒng)保護工作。
3.對于所遭受到的攻擊,各接入終端使用者同樣應(yīng)當(dāng)上報網(wǎng)絡(luò)管理中心,同時做好系統(tǒng)保護工作。
4.各接入終端使用者有義務(wù)接受公司網(wǎng)絡(luò)管理中心和上級主管部門的監(jiān)督、檢查,并應(yīng)積極配合做好違法犯罪事件的查處工作。
網(wǎng)站帳號使用登記審核管理制度
1.凡符合條件的求職人員免費審核通過
2.用工企業(yè)發(fā)布信息需要有工商營業(yè)執(zhí)照副本復(fù)印件(加蓋公章)或有關(guān)部門批準(zhǔn)成立的文件;
3. 任何賬戶用戶享有完全平等的網(wǎng)絡(luò)接入權(quán)。此權(quán)利不因賬號建立的早晚、連網(wǎng)的先后而變化。
4. 任何用戶不得私自竊取他人上網(wǎng)賬號。
5. 黔南人才網(wǎng)服務(wù)器系統(tǒng)及網(wǎng)絡(luò)設(shè)備由相關(guān)網(wǎng)絡(luò)技術(shù)人員負(fù)責(zé)管理非授權(quán)人員不得擅自操作網(wǎng)絡(luò)設(shè)備修改服務(wù)器及網(wǎng)絡(luò)設(shè)備設(shè)置。
6. 黔南人才網(wǎng)服務(wù)器系統(tǒng)、各類網(wǎng)絡(luò)設(shè)備及其口令應(yīng)予以保護口令應(yīng)定期修改任何非系統(tǒng)管理員嚴(yán)禁使用、猜測、修改各類管理員口令。
安全管理人員崗位工作職責(zé)
1、根據(jù)信息中心有關(guān)計算機和網(wǎng)絡(luò)運行的條例對公司計算機和網(wǎng)絡(luò)系統(tǒng)的使用進行規(guī)范化的管理,及時制止違規(guī)現(xiàn)象發(fā)生。
2、對計算機和公司網(wǎng)絡(luò)系統(tǒng)進行日常維護,做好網(wǎng)絡(luò)設(shè)備的巡檢工 作和安全防范工作,確保網(wǎng)絡(luò)暢通無阻。
3、認(rèn)真做好計算機和網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)記錄、安全備份和用戶管理工 作,保證各類運行數(shù)據(jù)記錄的正確性和實時性。
4、為公司應(yīng)用信息網(wǎng)絡(luò)的工作提供技術(shù)支持,保證公司計算機和網(wǎng)絡(luò)設(shè)備安全運行的環(huán)境要求。
5、 做好公司內(nèi)網(wǎng)和 Internet 接入情況的監(jiān)測工作, 及時向有關(guān)信息中心網(wǎng)管提供信息。
6、根據(jù)公司管理理念,策劃、設(shè)計、制作和管理公司網(wǎng)站,負(fù)責(zé)公 司網(wǎng)站的信息發(fā)布和日常維護。
7、及時收集公司內(nèi)外的動態(tài)信息,通過公司網(wǎng)站宣傳公司取得的各項成果,擴大公司的影響。
8、為公司員工有效利用網(wǎng)站資源提供技術(shù)支持。
9、負(fù)責(zé)公司網(wǎng)站的安全防護和運行監(jiān)控,做好網(wǎng)站運行數(shù)據(jù)的記錄 和安全備份,及時向有關(guān)信息中心提供信息。
10、完成上級交辦的其他工作任務(wù)。