数据安全

2018-01-01 00:52:00
ssxys
原创
447

食上行 数据安全保障制度

一、食上行网站安全管理制度
第一章 总 则
第一条 为了确保食上行网站安全,保证交易系统正常运行,促进网站更好地发展,根据《中华人民共和国计算机信息网络国际联网暂行规定》、《中华人民共和国计算机系统安全保护条例》和国家有关法律法规,制定本制度。
第二条 本管理制度所称的网站是指由食上行建立的通过国际互联网面向社会公众的所有网站。
第三条 公司信息中心是网站建设、维护、组织协调和日常管理工作的责任部门,负责网站的安全运行和设备的安全管理工作。其他部门和个人,未经信息中心同意,不得擅自安装、拆卸或改变网络设备。
第四条 任何部门和个人,不得利用网站制作、复制、查阅和传播违反宪法、法律、法规或危害国家安全、社会稳定的有关信息;不得宣扬暴力、色情等内容。
第二章 安全运行
第五条 除网站管理员在权限范围的操作外,任何部门和个人不得对网络功能、数据及程序进行删除、修改或增加;不得制作、传播计算机病毒等破坏性程序。这些行为被视为对网站的破坏行为。
第六条 网站出现异常情况或遭到黑客攻击后,信息中心必须在二十四小时内向分管领导报告并抓紧解决。
第七条 任何单位和个人不得在网站上传送危害国家安全的信息(包括多媒体信息)、录阅传送淫秽、色情、反动资料。
第三章 网站安全技术措施
第八条 利用防火墙将内部网络、Internet外部网络、DMZ服务区、安全监控与备份中心进行有效隔离,避免与外部网络直接通信。
第九条 利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全。
第十条 利用防火墙对来自外网的服务请求进行控制,使非法访问在到达主机前被拒绝。
第十一条 利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内。
第十二条 利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作。
第十三条 利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第二条防线。
第十四条 根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。
第四章 网站防入侵系统
第十五条 对网络边界点的数据进行检测,防止黑客的入侵。
第十六条 对服务器的数据流量进行检测,防止入侵者的蓄意破坏和篡改。
第十七条 对网站服务器及系统的运行状况进行监管,查找非法用户和合法用户的越权操作。
第十八条 对用户的非正常活动进行统计分析,发现入侵行为的规律。
第十九条 实时对检测到的入侵行为进行报警、阻断,能够与防火墙/系统联动。
第二十条 对关键正常事件及异常行为记录日志,进行审计跟踪管理。
第五章 网站病毒防范
第二十一条 不得在网站服务器上上传任何没有经过杀毒软件扫描的文件。
第二十二条 系统维护操作一般应通过没有安全隐患的专用计算机进行。专用计算机是指专门用于网站系统维护、特权操作的计算机。
第六章 备份、升级及灾难恢复
第二十三条 根据网站系统的具体情况,对相关日志、数据实行定期备份。
第二十四条 涉及保密内容的数据的备份应经加密处理。
第二十五条 网站程序更新之前,应提交相应的更新内容记录文档(包括功能更新描述和程序文件包);并已通过相关人员在测试服务上进行必要的测试。
第二十六条 更换网页程序时,必须先将更换前的网站的所有内容作完整备份,准备好更新失败时的应急与恢复方案。
第七章 其
第二十七条 技术总监须定期对网站安全制度的执行情况进行检查,如发现网站安全问题,要立刻报告部门负责人或分管领导,并提出相应的解决措施。
第二十八条 本制度自公布之日起实行。
二、服务器及网络设备密码管理办法
1、为确保公司内部局域网及食上行系统安全运行,规范服务器及网络设备密码使用行为,特制订此管理制度。
2、服务器及网络设备密码种类:超级管理员密码及普通管理员密码。普通管理员的权限由技术总监设置,报部门负责人备案。
3、密码保管:普通管理员密码由具体管理员使用人自行保管和更换;超级管理员密码由设置人员用纸质记录密封后交公司综合管理部负责保管。超级管理员的密码设置人员不得交换所设置的密码,否则按违反制度处理;使用密码时,须由两人同时到场操作。
4、对于超级管理员密码的使用,实行三方牵制管理办法:即技术人员需用时必须提出申请,说明使用原因、目的和具体操作事项,经信息中心负责人和分管领导同意,并经总经理审批后方可使用,总经理不在时,由总经理授权人审批;超级管理员密码的保管人对每一次密码的使用必须进行详细登记。超级管理员密码使用前后,必须由公司领导指定专人对服务器进行安全检查,全部正常的方可交回超级管理员密码保管人;发现异常情况,必须及时提出,并追查原因、追究责任。
5、服务器及网络设备密码的设置:
1)超级管理员密码设置和保管人员不能同为一人;
2)超级管理员密码每次使用后必须及时更改;
3)密码长度为6到20个字符;
4)使用英文字母、数字、特殊字符等组合,且尽量错开不要有规律性;
5)密码设置应避免以下导致安全性过低的情形:
密码和管理员登录名完全一致;
密码和管理员的联系方式,如电话、传真、手机、邮编、邮箱等一致;
密码用连续的数字或字母;
密码用同一个字母或者数字;
密码用管理员登录名或邮件地址中的一部分;
密码用管理员的单位名称等其他任何可轻易获取的信息;
密码用简单有规律的数字;
密码与个人信息内容一致,如:身份证号、生日、亲人的姓名等;
密码用常见的英文单词。
6、服务器及网络设备密码的使用应遵守以下规定:
1)不同级别的管理人员掌握不同权限的密码,各级管理人员不得将掌握的密码记在纸上;
2)在输入服务器及网络设备密码时不能点击让浏览器记住自己的密码;
3)服务器及网络设备密码实行定期更换制度,最长不能超过30天;
4)如因安装软硬件网络设备而需要安装单位知道密码的,在安装调试好后,应及时更改安装设备和相关设备的密码;
5)有关密码授权工作人员调离岗位,部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
7、更换超级管理员密码时必须执行密码备案制度,以防遗失密码,同时需销毁原记录。新的密码不应包括旧密码,并且不应与旧密码相似。
8、服务器及网络设备密码实行分权分级管理,各级管理员不得随意泄露密码,不同级别的管理员不得交换密码使用,如有特殊情况需报告公司领导处理。因泄露密码造成公司安全隐患或财产损失的,由当事人负全部责任。
9、对于网站用户的密码,网站管理人员不得公开、编辑或透露。因用户个人原因造成自己的帐号和密码丢失的,由用户个人承担一切后果。
10、技术总监须定期检查各项保密措施,如发现服务器及网络设备密码有泄露迹象,要立刻报告部门负责人或分管领导,得到批准后再更换密码。
11、本办法自二〇一八年一月一日起施行。
附:超级管理员密码使用申请表
编号:
超级管理员密码使用申请表
申请日期:
申请人 使用单位(人)
使用设备
使用原因(目的)
使用日期
具体操作事项
信息中心负责人意见
分管领导意见
总经理审批意见

 

文章分类
联系我们
联系人: 食上行
电话: 0731-22211716
Email: 411401128@qq.com
QQ: 3361461925
微信: a411401128
旺旺: hnxssx
地址: 湖南省株洲市芦淞区荷叶冲路148号