互联网信息服务业务网络与信息安全保障措施(全套14篇).pdf

1、信息安全负责人联系电话（手机）信息安全管理组织机构设置及工作职责网络与信息安全管理人员配备情况及相应资质信息安全管理责任制有害信息发现受理处置机制有害信息投诉受理处置机制重大信息安全事件应急处置和报告制度信息安全管理政策和业务培训制度网络安全管理责任制度网络安全防护制度网络安全事件应急处置和报告制度有害信息发现和过滤技术手段用户日志留存所采用的技术手段网络安全防护技术手段安全联络员变动承诺网络与信息安全保障措施其他安全管理组织机构及岗位职责安全管理组织机构及岗位职责1 1 总则总则1.1 为规范大连比来比去网络科技有限公司（以下简称“公司”）信息安全管理工作，建立自上而下的信息安全工作管理体系

2、，需建立健全相应的组织管理体系，以推动信息安全工作的开展。2 2 范围范围本管理办法适用于公司的信息安全组织机构和重要岗位的管理。3 3 规范性引用文件规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件，其随后所有的修改单或修订版均不适用于本标准（不包括勘误、通知单），然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件，其最新版本适用于本标准信息安全技术 信息系统安全保障评估框架（GB/T 20274.1-2006）信息安全技术 信息系统安全管理要求（GB/T 20269-2006）信息安全技术 信息系统安全等级保护基本

3、要求（GBT 22239-2008）4 4 组织机构组织机构4.1 公司成立信息安全领导小组，是信息安全的最高决策机构，下设办公室，负责信息安全领导小组的日常事务。4.2 信息安全领导小组负责研究重大事件，落实方针政策和制定总体策略等。职责主要包括：根据国家和行业有关信息安全的政策、法律和法规，批准公司信息安全总体策略规划、管理规范和技术标准；确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。4.3 信息安全领导小组下设两个工作组：信息安全工作组、应急处理工作组。组长均由公司负责人担任。4.4 信息安全工作组的主要职责包括：4.4.1 贯彻执行公司信息安全领导小组的决议，协调和规范公

4、司信息安全工作；4.4.2 根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实；4.4.3 组织对重大的信息安全工作制度和技术操作策略进行审查，拟订信息安全总体策略规划，并监督执行；4.4.4 负责协调、督促各职能部门和有关单位的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行；4.4.5 组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策；4.4.6 负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施；4.4.7 及时向信息安全工作领导小组和上级有关部门、单位

5、报告信息安全事件。4.4.8 跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。4.5 应急处理工作组的主要职责包括：4.5.1 审定公司网络与信息系统的安全应急策略及应急预案；4.5.2 决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统；4.5.3 每年组织对信息安全应急策略和应急预案进行测试和演练。4.6 公司应指定分管信息的领导负责本单位信息安全管理，并配备信息安全技术人员，有条件的应设置信息安全工作小组或办公室，对公司信息安全领导小组和工作小组负责，落实本单位信息安全工作和应急处理工作。5 5 关键岗位关键岗位5.1 设置信息系统的关键岗位并加强管理，配备

6、系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员，要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。5.2 系统管理员主要职责有：5.2.1 负责系统的运行管理，实施系统安全运行细则；5.2.2 严格用户权限管理，维护系统安全正常运行；5.2.3 认真记录系统安全事项，及时向信息安全人员报告安全事件；5.2.4 对进行系统操作的其他人员予以安全监督。5.3 网络管理员主要职责有：5.3.1 负责网络的运行管理，实施网络安全策略和安全运行细则；5.3.2 安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行；5.3.3 监控网络关键设备、网络

7、端口、网络物理线路，防范黑客入侵，及时向信息安全人员报告安全事件；5.3.4 对操作网络管理功能的其他人员进行安全监督。5.4 应用开发管理员主要职责有：5.4.1 负责在系统开发建设中，严格执行系统安全策略，保证系统安全功能的准确实现；5.4.2 系统投产运行前，完整移交系统相关的安全策略等资料；5.4.3 不得对系统设置“后门”；5.4.4 对系统核心技术保密等。5.5 安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督，主要职能包括：5.5.1 按操作员证书号进行审计；5.5.2 按操作时间审计；5.5.3 按操作类型审计；5.5.4 事件类型进行审计；5.5.5 日志

8、管理等。5.6 安全保密管理员负责日常安全保密管理活动，主要职责有：5.6.1 监视全网运行和安全告警信息5.6.2 网络审计信息的常规分析5.6.4 安全设备的常规设置和维护5.6.5 执行应急中心制定的具体安全策略5.6.6 向应急管理机构和领导机构报告重大的网络安全事件等。6 6 附则附则6.1 本办法由比来比去网络科技有限公司负责解释。6.2 本办法自发布之日起施行。网络与信息安全管理人员配备情况及相应资质网络与信息安全管理人员配备情况及相应资质姓名姓名身份证号码身份证号码性别性别学历学历毕业学校毕业学校专业专业职称职称类别类别李李 xxxx 男男本科本科至少至少 3 3 个个计算机专

9、计算机专业业杨杨 xxxx 女女本科本科王王 xxxx 韩韩 xxxx 填表单位盖章：附附:主要管理、技术人员身份证、学历或职称证书复印件（5 人以上）信息安全管理责任制信息安全管理责任制网络与信息的安全不仅关系到公司正常业务的开展，还将影响到国家的安全、社会的稳定。我徐徐 xxxx 雷雷 xxxx 司将认真开展网络与信息安全工作，通过检查进一步明确安全责任，建立健全的管理制度，落实技术防范措施，保证必要的经费和条件，对有毒有害的信息进行过滤、对用户信息进行保密，确保网络与信息安全。1 1 网站运行安全网站运行安全保障措施保障措施1.1 网站服务器和其他计算机之间设置经公安部认证的防火墙,并与

10、专业网络安全公司合作，做好安全策略，拒绝外来的恶意攻击，保障网站正常运行。1.2 在网站的服务器及工作站上均安装了正版的防病毒软件，对计算机病毒、有害电子邮件有整套的防范措施，防止有害信息对网站系统的干扰和破坏。1.3 做好生产日志的留存。网站具有保存 60 天以上的系统运行日志和用户使用日志记录功能，内容包括 IP 地址及使用情况，主页维护者、邮箱使用者和对应的 IP 地址情况等。1.4 交互式栏目具备有 IP 地址、身份登记和识别确认功能，对没有合法手续和不具备条件的电子公告服务立即关闭。1.5 网站信息服务系统建立双机热备份机制，一旦主系统遇到故障或受到攻击导致不能正常运行，保证备用系统

11、能及时替换主系统提供服务。1.6 关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。1.7 服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定 IP,以防他人登入。1.8 网站提供集中式权限管理，针对不同的应用系统、终端、操作人员，由网站系统管理员设置共享数据库信息的访问权限，并设置相应的密码及口令。不同的操作人员设定不同的用户名，且定期更换，严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定，并由网站系统管理员定期检查操作人员权限。2 2 信息安全保密管理制度信息安全保密管理制度2.1 我司建立了健全的信息安全

12、保密管理制度，实现信息安全保密责任制，切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法，确保使用网络和提供信息服务的安全。2.2 网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我司网站及短信平台散布互联网信息管理办法等相关法律法规明令禁止的信息（即“九不准”），一经发现，立即删除。2.3 遵守对网站服务信息监视，保存、清除和

13、备份的制度。开展对网络有害信息的清理整治工作，对违法犯罪案件，报告并协助公安机关查处。2.4 所有信息都及时做备份。按照国家有关规定，网站将保存 60 天内系统运行日志和用户使用日志记录，短信服务系统将保存 5 个月以内的系统及用户收发短信记录。2.5 制定并遵守安全教育和培训制度。加大宣传教育力度，增强用户网络安全意识，自觉遵守互联网管理有关法律、法规，不泄密、不制作和传播有害信息，不链接有害信息或网页。3 3 用户信息安全管理制度用户信息安全管理制度3.1 我司郑重承诺尊重并保护用户的个人隐私，除了在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下，未经用户授权我司不会随意

14、公布与用户个人身份有关的资料，除非有法律或程序要求。3.2 所有用户信息将得到本公司网站系统的安全保存，并在和用户签署的协议规定时间内保证不会丢失;3.3 严格遵守网站用户帐号使用登记和操作权限管理制度，对用户信息专人管理，严格保密，未经允许不得向他人泄露。3.4 公司定期对相关人员进行网络信息安全培训并进行考核，使员工能够充分认识到网络安全的重要性，严格遵守相应规章制度。3.5 我司将严格执行本规章制度，并形成规范化管理，建立健全信息网络安全小组。安全小组由单位领导负责，网络技术、客户服务等部门参加，并确定两名安全负责人作为突发事件处理的联系人。有害信息发现受理处置机制有害信息发现受理处置机

15、制 1 为了加强网络安全保护，根据中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际互联网管理暂行规定及其他有关法律、行政法规的规定，制定本机制。2 有害信息时间是指单位和个人利用网络资源制作、复制、查阅及传播下列的事件：2.1 煽动抗拒、破坏宪法和法律、行政法规实施的；2.2 煽动颠覆国家政权、推翻社会主义制度的；2.3 煽动分裂国家、破坏国家统一的；2.4 煽动民族仇恨、民族歧视、破坏民族团结的；2.5 捏造或者歪曲事实，散布谣言，扰乱社会秩序的；2.6 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；2.7 公然侮辱他人或者捏造事实诽谤他人的；2.8

16、 损害网站形象和网站利益的；2.9 其他违反宪法和法律、行政法规的。信息安全小组负责对公司所有网络资源进行实时监控，做到及时发现、即时处理的原则办理，并对处理结果备案，对重大有害信息事件，应在第一时间上报主管领导及相关部门。信息安全小组负责界定、监控、受理有害信息事件，要做到即接快办；夜间、节假日值班期间接到、发现的，应于次日或节假日后的第一个工作日办理，对需紧急办理的重大信息安全事件可先处理后登记（如遇紧急情况，可直接关闭服务器等设备，暂停网络运行）。负责查办的相关人员接到交办的事件后，应及时安排办理，要求在最短时限内处理完毕，如遇特殊情况不能按时处理完毕的，应报主管领导说明情况，可适当延长

17、处理时间，处理结果应及时反馈给信息安全小组组长。在处理有害信息事件时，应按照处理流程，及时填写相应表单，并随处理结果报告一并存档。处理人员应对重大有害信息事件的举报人、发现人要求保密者做到保密，有关重大的有害信息事件及处理过程不得泄密。有害信息投诉受理处置机制有害信息投诉受理处置机制1 为了加强对网络的安全保护，根据中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际互联网管理暂行规定及其他有关法律、行政法规的规定，制定本机制。2 举报、投诉中心设在集团信息部。举报投诉的受理和回复工作统一由信息部设专人负责，向社会公开投诉举报电话号码，设置举报箱。3 受理的有害信息投诉事

18、件主要指单位和个人利用网络制作、复制、查阅和传播下列信息的事件：3.1 煽动抗拒、破坏宪法和法律、行政法规实施的；3.2 煽动颠覆国家政权、推翻社会主义制度的；3.3 煽动分裂国家、破坏国家统一的；3.4 煽动民族仇恨、民族歧视，破坏民族团结的；3.5 捏造或者歪曲事实，散布谣言，扰乱社会秩序的；3.6 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；3.7 公然侮辱他人或者捏造事实诽谤他人的；3.8 损害网站形象和网站利益的；3.9 其他违反宪法和法律、行政法规的。举报投诉受理中心对公众举报、投诉事件，按集中管理、登记的原则办理，由信息部带领网络信息安全小组集中处理，并对处理结

19、果备案。对较重大有害信息事件，应立即上报主管领导。举报投诉受理中心受理的事件，要做到即接快办；夜间、节假日值班期间接到的投诉举报，应于次日或节假日后的第一个工作日办理，对需紧急办理的重大信息安全事件可先处理后登记。负责查办的相关人员接到交办的投诉举报事件后应及时安排办理，要求在法定时限内处理完毕，如遇特殊性情况不能按时处理完毕的，应报主管领导说明理由，可适当延长处理时间；处理结果应及时反馈给举报投诉受理中心，由举报投诉受理中心反馈绘投诉举报人。在处理有害信息投诉事件的记录、登记、交办工作流程时，应填写相应表单、并随结果报告一同存档。处理人员应对重大有害信息事件举报人或要求保密者做到保密，有关重

20、大的有害信息事件及处理过程不得泄密。重大信息安全事件应急处置和报告制度重大信息安全事件应急处置和报告制度为预防和及时处置网络突发事件，保证网络信息安全，维护社会稳定，特制订网络信息安全事件应急处置预案。1 在公司领导的统一管理下，贯彻执行中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际互联网管理暂行规定等相关法律法规，坚持积极防御、综合防范的方针，本着以防为主、注重应急工作原则，预防和控制风险，在发生信息安全事故或事件时最大程度地减少损失，维护社会和公司稳定，尽快使网络和系统恢复正常，做好网络运行和信息安全保障工作。2 信息网络安全事件定义2.1 网站受到黑客攻击，主

21、页被恶意篡改、交互式栏目里发表煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度；煽动抗拒、破坏宪法和国家法律、行政法规的实施；捏造或者歪曲事实，故意散布谣言，扰乱社会秩序；公然侮辱他人或者捏造事实诽谤他人；宣扬封建迷信、淫秽色情、暴力、凶杀、恐怖；发送危害国家安全、宣扬“法轮功”等邪教及宗教极端势力的信息；破坏社会稳定的信息及损害国家、公司声誉和稳定的谣言等。2.2 网内网络应用服务器被非法入侵，应用服务器上的数据被非法拷贝、修改、删除，发生泄密事件。2.3 在网站上发布的内容违反国家的法律法规、侵犯知识产权等，已经造成严重后果。3 加大培训和宣传力度，加强和完善互联网安全管理，设置专门

22、管理部门，采取统一管理体制，落实负责人。各部门要建立健全内部安全保障制度，按照“谁主管、谁负责”、“谁主办、谁负责”的原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法，加强信息的审查和备案工作，确保网络与信息安全。加强我公司互联网络信息安全管理，连接国际互联网的计算机用户绝对不能存储涉及国家秘密、公司内部机密的文件。4 加强信息审查工作，若发现主页被恶意更改，应立即停止主页服务并恢复正确内容，同时检查分析被更改的原因，在被更改的原因找到并排除之前，不得重新开放主页服务。各级各类服务器提供信息服务，必须事先登记、审批，建立使用规范，落实责任人，并具备相应的安全防

23、范措施(如：日志留存、安全认证、实时监控、防黑客、防病毒等)，加强网络设备日志分析，及时收集信息，排查不安定因素。加强 BBS、留言板等交互式栏目的专人管理，交互式栏目内容发布实行审核制度。对于非法网站要做到：发现一个，禁止一个，并及时向主管领导汇报，杜绝其蔓延。建立有效的网络防病毒工作机制，及时做好防病毒软件的网上升级，保证病毒库的及时更新。5 网络部对互联网实施 24 小时值班责任制，必要时实行远程控制。网络管理人员应定期对互联网的硬件设备进行状态检查。对用户上网进行监控，若发现有异常行为应立即关闭该用户的网络连接，及时记录在案，并对其警告和批评教育，严重违法行为立即上报有关部门。6 加强

24、突发事件的快速反应。网络管理员具体负责相应的网络安全和信息安全工作，不允许有任何触犯国家网络管理条例的网络信息，对突发的信息网络安全事件应做到：6.1 及时发现、及时报告，在发现后在第一时间向上一级领导或部门报告。6.2 保护现场，立即与网络隔离，防止影响扩大。6.3 及时取证，分析、查找原因。6.4 消除有害信息，防止进一步传播，将事件的影响降到最低。6.5 在处置有害信息的过程中，任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。6.6 追究相关责任。根据实际情况提出口头警告、书面警告、停止使用网络，情节严重和后果影响较大者，提交公司及国家司法机关处理，追究部门负责人和直接责任人的

25、行政或法律责任。7 及时整顿，加强防范。各部门要积极配合上级网络安全管理部门的例行检查，并接受其技术指导。针对网络存在的安全隐患和出现的问题，及时提出整治方案并具体落实到位，完善网络安全机制，防范网络安全事件再度发生。逐步建立网络信息安全管理长效工作机制，实现公司信息安全管理，创造良好的网络环境。8 在重要、敏感时期，加大网络安全教育宣传力度，加强员工的法律意识和安全意识教育，提高其安全意识和防范能力；开展安全文明上网的教育引导工作，净化互联网网上环境，及时收集信息，排查不安定因素；坚持 24 小时值班制度，开通值班电话，保证与上级主管部门、电信部门和当地公安机关的热线联系，积极做好预防工作，

26、发现问题及时处理，防患于未然。9 做好机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故，应立即组织人员自救，并报警。10 网络安全事件报告与处置。事件发生并得到确认后，有关人员应立即将情况报告有关领导，由领导指挥处理网络安全事件。应及时向当地公安机关报案。阻断网络连接，进行现场保护，协助调查取证和系统恢复等工作，有关违法事件移交公安机关处理。信息安全管理政策和业务培训制度信息安全管理政策和业务培训制度一、信息安全管理制度：为了充分发挥公司网络作用，确保使用网络和网络信息的安全，特制定本制度。1 公司网络用户必须遵守国家有关法律、法规。严格执行安全信息安全制度，并对所提供的信息

27、负责。2 任何个人不得利用计算机网络从事危害国家安全、泄露国家秘密的活动。不得查阅、复制和传播有碍社会治安和伤风败俗的信息。3 公司网络用户必须接受和配合系统运维部门依法进行的监督检查和采取的必要措施。4 公司网络由系统运维部门统一管理、分层负责制。明确专人负责审查相关的上网信息，严禁涉及国家秘密的信息上网。5 公司网络用户由系统运维部门统一规划接入，严禁任何用户擅自接入网络，增加用户必须经经理部批准。6 公司网络用户如在发现有碍社会治安和不健康的信息，有义务及时上报管理人员并自觉立即销毁。7 设立网络安全员，负责网络安全和信息安全工作，定期对网络用户进行有关信息安全和网络安全教育。8 违反本

28、制度规定，有下列行为之一者，公司可提出警告、停止其使用网络，情节严重者给予行政处分或提交司法部门处理。（1）查阅、复制或传播下列信息者：a、煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度；b、煽动抗拒、破坏宪法和国家法律、行政法规的实施；c、捏造或者歪曲事实，故意散布谣言，扰乱社会秩序；d、公然侮辱他人或者捏造事实诽谤他人；e、宣扬封建迷信、淫秽、色情、暴力、凶案、恐怖等。（2）破坏、盗用计算机网络中的信息资源和进行危害计算机网络安全的活动。（3）盗用他人账号或私自转借、转让用户账号造成危害者。（4）故意制作、传播计算机病毒等破坏性程序者。（5）上网信息审查不严，造成严重后果者。二、培

29、训制度 1 每年至少安排一次计算机网络使用人员参加上级主办或自办的计算机网络安全教育活动，自觉遵守和维护计算机信息网络国际互联网安全保护管理办法，加强计算机网络安全认识管理。2 网络安全员必须接受上级专业部门的安全培训，加强对有害、反动信息的识别能力，提高网络安全防范能力。3 组织网络安全员认真学习计算机信息网络国际互联网安全保护管理办法、网络安全管理制度及中华人民共和国计算机信息系统安全保护条例，提高工作人员的维护网络安全的警惕性和自觉性。4 对公司各承担信息发布工作的有关部门进行安全教育和培训，自觉遵守和维护计算机信息网络国际互联网安全保护管理办法，杜绝发布违犯计算机信息网络国际互联网安全

30、保护管理办法的信息内容。网络安全管理责任制度网络安全管理责任制度为加强计算机网络的维护和管理，确保网络安全、可靠、稳定地运行，促进学院网络的健康发展特制定本管理规定。第一条 各用户必须自觉遵守国家有关保密法规：不得利用国际互联网泄露国家秘密；涉密文件、资料、数据严禁上网流传、处理、储存；与涉密文件、资料、数据和涉密科研课题相关的微机严禁联网运行。第二条 任何用户不得利用国际互联网制作、复制、查阅和传播下列信息：煽动抗拒、破坏宪法和法律、行政法规实施；煽动颠覆国家政权，推翻社会主义制度；煽动分裂国家、破坏国家统一；煽动民族仇恨、民族歧视，破坏民族团结；捏造或者歪曲事实，散布谣言，扰乱社会秩序；宣

31、扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪；公然侮辱他人或者捏造事实诽谤他人；损害国家机关信誉的；其他违反宪法和法律、行政法规的。第三条 任何用户不得从事下列危害计算机信息网络安全的活动：未经允许，进入计算机信息网络或者使用计算机信息网络资源；未经允许，对计算机信息网络功能进行删除、修改或者增加的；未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的；故意制作、传播计算机病毒等破坏性程序的；其他危害计算机信息网络安全的。第四条 用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。第五条 网

32、络责任人和各科室网络用户应当履行下列安全保护职责：负责本网络的安全保护管理工作，建立健全安全保护管理制度；落实安全保护技术措施，保障本网络的运行安全和信息安全；负责对本网络用户的安全教育和培训；对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照相关规定进行审核；建立计算机信息网络电子公告系统的用户登记和信息管理制度；发现有违法乱纪行为的，应当保留有关原始记录，并在二十四小时内向学院领导和相关职能部门报告；按照国家有关规定，删除本网络中含有违法内容的地址、目录或者关闭服务器。第六条 网络责任人和各科室网络用户必须实行以下安全管理制度：分级管理，分级负责，网络建设与管理成效与年终考核挂钩

33、制度；信息发布文责自负、审核、登记制度；有害信息监视、保存、清除和备份制度；违法案件报告和协助查处制度；帐号使用登记和操作权限管理制度；安全教育和培训制度；BBS 注册实名登记制度；禁止涉密微机入网制度。第七条 对于不符合安全管理规定的站点，一经发现，即从网上隔离，并要追究有关人员的责任。第八条 网络责任人和各科室要定期对相应的网络用户进行有关的信息安全和网络安全教育，并根据国家有关规定对上网信息进行检查。发现问题应及时上报，并采取处理措施。第九条网络责任人和各科室和用户必须接受并配合国家和学校有关部门依法进行的监督检查。网络安全防护制度网络安全防护制度为加强公司网络管理，保障网络畅通，杜绝利

34、用网络进行非法活动，使之更好地方便游客，特制定本制度。一、安全教育与培训 1组织管理员认真学习计算机信息网络国际互联网安全保护管理办法、网络安全管理制度及信息发布审核、登记制度，提高工作人员的维护网络安全的警惕性和自觉性。2对公司所有网络用户进行安全教育和培训，使用户自觉遵守和维护计算机信息网络国际互联网安全保护管理办法，具备基本的网络安全知识。3不定期地邀请公安机关有关人员、设备提供商专业技术人员进行信息安全方面的培训，加强对有害信息，特别是影射性有害信息的识别能力，提高防范能力。二、病毒检测和网络安全漏洞检测 1服务器如果发现漏洞要及时修补漏洞或进行系统升级。2网络信息安全员履行对所有上网

35、信息进行审查的职责，根据需要采取措施，监视、记录、检测、制止、查处、防范针对其所管辖网络或入网计算机的人或事。3所有用户有责任对所发现或发生的违反有关法律、法规和规章制度的人或事予以制止或向网络中心反映、举报，协助有关部门或管理人员对上述人或事进行调查、取证、处理，应该向调查人员如实提供所需证据。4网络管理员应根据实际情况和需要采用新技术调整网络结构、系统功能，变更系统参数和使用方法，及时排除系统隐患。三、网络安全管理员岗位职责 1保障公司网络畅通和网络信息安全。2严格遵守国家、省、市制定的相关法律、行政法规，严格执行我学院制定的网络安全工作制度，以人为本，依法管理，确保公司网络安全有序。3服

36、务器如果发现漏洞要及时修补漏洞或进行系统升级。4网络信息安全员履行对所有上网信息进行审查的职责，根据需要采取措施，监视、记录、检测、制止、查处、防范针对其所管辖网络或入网计算机的人或事。5所有用户有责任对所发现或发生的违反有关法律、法规和规章制度的人或事予以制止或向网络中心反映、举报，协助有关部门或管理人员对上述人或事进行调查、取证、处理，应该向调查人员如实提供所需证据。6网络管理员应根据实际情况和需要采用新技术调整网络结构、系统功能，变更系统参数和使用方法，及时排除系统隐患。四、病毒检测和网络安全漏洞检测 1服务器如果发现漏洞要及时修补漏洞或进行系统升级。2网络信息安全员履行对所有上网信息进

37、行审查的职责，根据需要采取措施，监视、记录、检测、制止、查处、防范针对其所管辖网络或入网计算机的人或事。3所有用户有责任对所发现或发生的违反有关法律、法规及规章制度的人或事予以制止或向网络中心反映、举报，协助有关部门或管理人员对上述人或事进行调查、取证、处理，应该向调查人员如实提供所需证据。4网络管理员应根据实际情况和需要采用新技术调整网络结构、系统功能，变更系统参数和使用方法，及时排除系统隐患。五、网络违法案件报告和协助查处 1落实网络安全岗位责任制，并与公安一旦发现网络违法案件，应详细、如实记录事件经过，保存相关日志，及时通知有关人员部门取得联系。2接到有关网络违法案件举报时，要详细记录，

38、对举报人的身份等要严格保密，及时通知有关人员，并及时与公安部门取得联系。3当有关网络安全监察部门进行网络违法案件及其他网络安全检查时，网络安全员和其他有关人员必须积极配合。4以下行为属于违法使用网络：破坏网络通讯设施，包括光缆、室内网络布线、室内信息插座、配线间网络设备等。随意改变网络接入位置。盗用他人的 IP 地址、更改网卡地址、盗用他人帐号（包括上网帐号、电子邮件帐号、信息发布帐号等）；通过电子邮件、网络、存储介质等途径故意传播计算机病毒。对网络进行恶意侦听和信息截获，在网络上发送干扰正常通信的数据。对网络各种攻击，包括利用已知的系统漏洞、网络漏洞、安全工具、端口扫描等进行攻击，以后、以及

39、利用 IP 欺骗手段实施的拒绝服务攻击；访问和传播色情、反动、邪教、谣言等不良信息的。六、网络帐号使用登记和操作权限 1上网 IP 地址是上网主机在网上的合法用户身份标志，所有上网主机必须到网络管理部门进行登记注册，将本机的重要网络技术资料（包括主机型号，技术参数，用户名，主机名，所在域名或工作组名，网卡类型，网卡的 MAC 地址，网管部门分配的 IP 地址）详尽备案，以备核查。2上网用户未经许可，不得擅自改动本机 IP 地址的主机。3网络管理中心对帐号与权限划分要进行有效的备份，以便网络发生故障时进行恢复。4单位帐号与操作权限的设置，必须做到专人专管，不得泄密或外借给他人使用。七、网络违法案

40、件报告和协助查处 1落实网络安全岗位责任制，并与公安一旦发现网络违法案件，应详细、如实记录事件经过，保存相关日志，及时通知有关人员部门取得联系。2接到有关网络违法案件举报时，要详细记录，对举报人的身份等要严格保密，及时通知有关人员，并及时与公安部门取得联系。3当有关网络安全监察部门进行网络违法案件及其他网络安全检查时，网络安全员和其他有关人员必须积极配合。4以下行为属于违法使用网络：（1）破坏网络通讯设施，包括光缆、室内网络布线、室内信息插座、配线间网络设备等。（2）随意改变网络接入位置。（3）盗用他人的 IP 地址、更改网卡地址、盗用他人帐号（包括上网帐号、电子邮件帐号、信息发布帐号等）；（

41、4）通过电子邮件、网络、存储介质等途径故意传播计算机病毒。（5）对网络进行恶意侦听和信息截获，在网络上发送干扰正常通信的数据。（6）对网络各种攻击，包括利用已知的系统漏洞、网络漏洞、安全工具、端口扫描等进行攻击，以后、以及利用 IP 欺骗手段实施的拒绝服务攻击；（7）访问和传播色情、反动、邪教、谣言等不良信息的。网络安全事件应急处置和报告制度网络安全事件应急处置和报告制度为了保证我司网站及网络畅通，安全运行，保证网络信息安全，特制定网络和信息安全事件应急处置和报告制度。一、在公司领导下，贯彻执行中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际互联网管理暂行规定等相关法

42、律法规；落实贯彻公安部门和省、市相关部门关于网络和信息安全管理的有关文件精神，坚持积极防御、综合防范的方针，本着以防为主、注重应急工作原则，预防和控制风险，在发生信息安全事故或事件时最大程度地减少损失，尽快使网络和系统恢复正常，做好网络和信息安全保障工作。二、信息网络安全事件定义 1、网络突然发生中断，如停电、线路故障、网络通信设备损坏等。2、网站受到黑客攻击，主页被恶意篡改、交互式栏目里发表有煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度；煽动抗拒、破坏宪法和国家法律、行政法规的实施；捏造或者歪曲事实，故意散布谣言，扰乱秩序；破坏社会稳定的信息及损害国家、公司声誉和稳定的谣言等。3、

43、单位内网络服务器及其他服务器被非法入侵，服务器上的数据被非法拷贝、修改、删除，发生泄密事件。三、设置网络应急小组，组长由单位有关领导担任，成员由技术部门人员组成。采取统一管理体制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法。设置网络运行维护小组，成员由信息中心人员组成，确保网络畅通与信息安全。四、加强网络信息审查工作，若发现主页被恶意更改，应立即停止主页服务并恢复正确内容，同时检查分析被更改的原因，在被更改的原因找到并排除之前，不得重新开放主页服务。信息发布服务，必须落实责任人，实行先审后发，并具备相应的安全防范措施(如：日志留存、安全认证、实时监控、防黑客、防病毒等)。

44、建立有效的网络防病毒工作机制，及时做好防病毒软件的网上升级，保证病毒库的及时更新。五、信息部对公司网络实施 24 小时值班责任制，开通值班电话，保证与上级主管部门、电信部门和当地公安单位的热线联系。若发现异常应立即向应急小组及有关部门、上级领导报告。六、加强突发事件的快速反应。运行维护小组具体负责相应的网络安全和信息安全工作，网络管理员具体负责相应的网络安全和信息安全工作，不允许有任何触犯国家网络管理条例的网络信息，对突发的信息网络安全事件应做到：(1)及时发现、及时报告，在发现后在第一时间向上一级领导或部门报告。(2)保护现场，立即与网络隔离，防止影响扩大。(3)及时取证，分析、查找原因。(

45、4)消除有害信息，防止进一步传播，将事件的影响降到最低。(5)在处置有害信息的过程中，任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。(6)追究相关责任。根据实际情况提出口头警告、书面警告、停止使用网络，情节严重和后果影响较大者，提交公司及国家司法机关处理，追究部门负责人和直接责任人的行政或法律责任。七、做好准备，加强防范。应急小组各部门成员对相应工作要有应急准备。针对网络存在的安全隐患和出现的问题，及时提出整治方案并具体落实到位，创造良好的网络环境。八、加强网络用户的法律意识和网络安全意识教育，提高其安全意识和防范能力；净化网络环境，严禁用于上网浏览与工作无关的网站。九、做好网络机

46、房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故，应立即组织人员自救，并报警。十、网络安全事件报告与处置。事件发生并得到确认后，有关人员应立即将情况报告有关领导，由领导指挥处理网络安全事件。应及时向当地公安单位报案。阻断网络连接，进行现场保护，协助调查取证和系统恢复等工作，有关违法事件移交公安单位处理。有害信息发现受理处置机制有害信息发现受理处置机制网络信息主要有两类有害信息，一类是：1.煽动抗拒、破坏宪法和法律、行政法规实施的；2.煽动颠覆国家政权、推翻社会主义制度的；3.煽动分裂国家、破坏国家统一的；4.煽动民族仇恨、民族歧视、破坏民族团结的；5.捏造或歪曲事实，散布谣言，

47、扰乱社会秩序的；6.宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；7.公然侮辱他人或捏造事实诽谤他人的；8.损害本司网站形象和利益的；9.其他违反宪法和法律、行政法规的。另一类是影响网络本身和用户机器安全的不良代码，如病毒、木马和特殊控制等。有害信息的发现机制主要有“主动发现”和“被动防御”两种方式：主动发现是基于搜索引擎的有害信息主动监测；被动防御以网络内容过滤为主。1、基于搜索引擎的有害信息主动监测采用主动扫描探测方法进行有害信息监控的系统；采用算法实现中文分词，开发信息索引模块，实现对网页的批量和增量索引，并且包含有害信息检索模块，实现有害信息监控及预警功能。2、内容过滤

48、内容过滤包括名单过滤技术、关键词过滤技术、图像过滤技术和智能过滤技术等。3、有害信息监测有害信息监测的核心技术包括分词技术、文本内容分类、关键字识别、变形关键字识别、有害代码特征识别等。发现有害信息的本司员工应立即报告信息安全管理工作领导小组，由工作小组协调处理突发事件，摸清情况，采取对策和措施，最大限度地遏制、封堵有害信息的传播和扩散，并在第一时间向本司主管领导及上级监管部门报告。信息安全管理工作领导小组要对有害信息记录留存，收集相关证据，以有利于事件处理时事实清楚、责任明确。有害信息投诉受理处置机制1、为加强信息安全保护，根据中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信

49、息网络国际互联网管理暂行规定及其他有关法律、行政法规的规定，本司特制定本“有害信息投诉受理处置机制”。2、受理的有害信息投诉事件是指单位和个人利用网络资源制作、复制、查阅及传播下列事件：A.煽动抗拒、破坏宪法和法律、行政法规实施的；B.煽动颠覆国家政权、推翻社会主义制度的；C.煽动分裂国家、破坏国家统一的；D.煽动民族仇恨、民族歧视、破坏民族团结的；E.捏造或歪曲事实，散布谣言，扰乱社会秩序的；F.宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；G.公然侮辱他人或捏造事实诽谤他人的；H.损害本司网站形象和利益的；I.其他违反宪法和法律、行政法规的。本司信息安全管理工作领导小组负责

50、对举报投诉中心的公众举报、投诉事件按集中管理、登记的原则办理，并对处理结果备案，对重大有害信息事件，应在第一时间上报主管领导及相关部门。本司信息安全管理工作领导小组负责界定、监控、受理有害信息事件，做到即接快办；夜间、节假日值班期间接到、发现的应于次日或节假日后的第一个工作日办理，对需要紧急办理的重大信息安全事件可先处理登记(如遇紧急情况，可直接关闭服务器等设备，暂停网络运行)。负责查办的相关人员接到交办的投诉举报事件后应及时安排办理，要求在最短时限内处理完毕，如遇特殊情况不能按时处理完毕的，应报主管领导说明情况，可适当延长处理时间，处理结果应及时反馈给信息安全管理工作领导小组，由工作小组反馈