黔南人才網(wǎng)網(wǎng)站安全隱患整改報告
都勻市公安局:
自2018年1月26日接到都勻市公安局下發(fā)的《網(wǎng)絡(luò)與信息安全限期整改通知書》勻公信安限字【2018】3號文件后���,我公司技術(shù)部組織人力���,針對檢查后發(fā)現(xiàn)的問題����,迅速修補安全漏洞,并對所屬網(wǎng)站進行徹底檢查��,進一步完善安全防范措施�����,提高網(wǎng)絡(luò)安全防范意識��,有效增強了黔南人才網(wǎng)網(wǎng)站對有害信息的防范能力和防泄密水平?���,F(xiàn)將整改情況告知如下:
完成問題整改 針對通知附件的檢測結(jié)果,我公司網(wǎng)站在防sql注入等方面存在一些問題���。針對以上問題�����,我公司技術(shù)部組織大量技術(shù)人員��,檢測了整個網(wǎng)站的防注入隱患�����,制訂了新的地址過濾算法��,完成了網(wǎng)頁地址過濾等工作���。
進一步提高網(wǎng)絡(luò)與信息安全工作水平
一是加強理論知識學(xué)習(xí)。建立學(xué)習(xí)制度��,每半個月組織部門工作人員及專業(yè)技術(shù)人員����,學(xué)習(xí)網(wǎng)絡(luò)安全知識及網(wǎng)絡(luò)信息保密的相關(guān)法律法規(guī)。通過學(xué)習(xí)���,全面提高工作人員網(wǎng)絡(luò)安全知識水平��,尤其是在網(wǎng)絡(luò)新病毒����、網(wǎng)站新漏洞等網(wǎng)絡(luò)安全技術(shù)方面�����,做到及時溝通��、信息共享���。
二是加強網(wǎng)絡(luò)與信息安全管理��。通過“責(zé)任落實到人���,工作落實到紙”的方法��,全面加強網(wǎng)絡(luò)與信息安全管理工作���。我們設(shè)立了網(wǎng)站服務(wù)器安全員、機房管理員�����、網(wǎng)站檢測員����、網(wǎng)站后臺技術(shù)員等,把責(zé)任具體到人����,同時要求,各責(zé)任崗位要隨時做好工作記錄���,各項工作最終落實到紙面��。通過以上工作��,我公司網(wǎng)站網(wǎng)絡(luò)信息安全管理水平得到整體提高��。
三是建立健全信息網(wǎng)絡(luò)安全制度����。在工作中���,進一步細(xì)化工作程序����,建立各項工作制度�����。完善了服務(wù)器數(shù)據(jù)定期備份制度��、網(wǎng)絡(luò)信息發(fā)布簽審制度等����。通過完善各類制度,使網(wǎng)絡(luò)安全信息工作有章可循�����,為做好黔南人才網(wǎng)網(wǎng)站信息網(wǎng)絡(luò)安全工作,奠定了堅實的基礎(chǔ)���。
在今后的工作中���,我們將進一步加強學(xué)習(xí),嚴(yán)格管理��,完善制度��,努力提升黔南人才網(wǎng)網(wǎng)站信息網(wǎng)絡(luò)安全工作水平���。
2018年1月31日
附件1:
黔南人才網(wǎng)網(wǎng)站信息安全管理制度
信息發(fā)布登記制度
在信源接入時要落實安全保護技術(shù)措施�����,保障本網(wǎng)絡(luò)的運行安全和信息安全���;
對以虛擬主機方式接入的單位,系統(tǒng)要做好用戶權(quán)限設(shè)定工作����,不能開放 其信息目錄以外的其他目錄的操作權(quán)限���。
對委托發(fā)布信息的單位和個人進行登記并存檔。
對信源單位提供的信息進行審核��,不得有違犯《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》的內(nèi)容出現(xiàn)���。
發(fā)現(xiàn)有違犯《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》情形的,應(yīng)當(dāng)保留有關(guān)原始記錄��,并在二十四小時內(nèi)向當(dāng)?shù)毓矙C關(guān)報告����。
信息內(nèi)容審核制度
必須認(rèn)真執(zhí)行信息發(fā)布審核管理工作,杜絕違犯《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護 管理辦法》的情形出現(xiàn)����。
對在本網(wǎng)站發(fā)布信息的信源單位提供的信息進行認(rèn)真檢查,不得有危害國家安全��、泄露國家秘密����,侵犯國家的、社會的���、集體的利益和公民的合法權(quán)益的內(nèi)容出現(xiàn)���。
對在BBS公告板等發(fā)布公共言論的欄目建立完善的審核檢查制度����,并定時檢查��,防止違犯《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》的言論出現(xiàn)��。
一旦在本人才網(wǎng)發(fā)現(xiàn)用戶制作��、復(fù)制����、查閱和傳播下列信息的:
煽動抗拒、破壞憲法和法律���、行政法規(guī)實施
煽動顛覆國家政權(quán)����,推翻社會主義制度
煽動分裂國家����、破壞國家統(tǒng)一
煽動民族仇恨����、民族歧視��、破壞民族團結(jié)
捏造或者歪曲事實�����、散布謠言���,擾亂社會秩序
宣揚封建迷信���、淫穢����、色情、賭博���、暴力�����、兇殺�����、恐怖��、教唆犯罪
公然侮辱他人或者捏造事實誹謗他人
損害國家機關(guān)信譽
其他違反憲法和法律���、行政法規(guī)
按照國家有關(guān)規(guī)定��,刪除本網(wǎng)絡(luò)中含有上述內(nèi)容的地址��、目錄或者關(guān)閉服務(wù)器����。并保留原始記錄���,在二十四小時之內(nèi)向當(dāng)?shù)毓矙C關(guān)報告�����。
信息監(jiān)視��、保存�����、清除和備份制度
為促進公司網(wǎng)站健康���、安全����,高效的應(yīng)用和發(fā)展�����,維護國家和社會的穩(wěn)定����,杜絕各類違法、犯罪行為的發(fā)生�����,根據(jù)《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》的規(guī)定�����,特制定本制度:
1.制度適用于本網(wǎng)站發(fā)布信息及網(wǎng)站用戶發(fā)布信息��。
2.嚴(yán)格執(zhí)行國家及地方制定的信息安全條例��。
3.本網(wǎng)站自身發(fā)布的信息��,必須認(rèn)真檢查�����,杜絕隱含下列行為的內(nèi)容出現(xiàn):
(一) 煽動抗拒����、破壞憲法和法律、行政法規(guī)實施����;
(二) 煽動顛覆國家政權(quán),推翻社會主義制度���;
(三) 煽動分裂國家���、破壞國家統(tǒng)一;
(四) 煽動民族仇恨����、民族歧視�����、破壞民族團結(jié)���;
(五) 捏造或者歪曲事實、散布謠言��,擾亂社會秩序���;
(六) 宣揚封建迷信���、淫穢、色情����、賭博、暴力���、兇殺���、恐怖�����、教唆犯罪;
(七) 公然侮辱他人或者捏造事實誹謗他人����;
(八) 損害國家機關(guān)信譽;
(九) 其他違反憲法和法律��、行政法規(guī)�����。
4.對網(wǎng)站引用的他人信息�����,必須注明來源����。
5. 對網(wǎng)站用戶發(fā)布信息,必須首先經(jīng)過程序核查�����,對其發(fā)布內(nèi)容進行檢查���、過濾�����、限制��。若發(fā)現(xiàn)其他網(wǎng)站有不良有害信息����,應(yīng)主動舉報。
做好備份工作�����,配合各類安全檢查����,一旦遇到不良信息,均按照國家有關(guān)規(guī)定��,刪除本網(wǎng)絡(luò)中含有上述內(nèi)容的地址��、目錄����,并保留原始記錄�����,在二十四小時之內(nèi)向市公安局網(wǎng)監(jiān)支隊報告。
病毒檢測和網(wǎng)絡(luò)安全漏洞檢測制度
為保證公司網(wǎng)站的正常運行��,防止各類病毒�����、黑客軟件對我公司聯(lián)網(wǎng)主機構(gòu)成的威脅�����,最大限度的減少此類損失����,特制定本制度:
1、各接入單位計算機內(nèi)應(yīng)安裝防病毒軟件����、防黑客軟件及垃圾郵件消除軟件,并對軟件定期升級��。
2、各接入單休計算機內(nèi)嚴(yán)禁安裝病毒軟件����、黑客軟件,嚴(yán)禁攻擊其它聯(lián)網(wǎng)主機���,嚴(yán)禁散布黑客軟件和病毒�����。
3���、網(wǎng)管中心應(yīng)定期發(fā)布病毒信息,檢測網(wǎng)站內(nèi)病毒和安全漏洞���,并采取必要措施加以防治��。
4��、網(wǎng)站內(nèi)主要服務(wù)器應(yīng)當(dāng)安裝防火墻系統(tǒng)�����,加強網(wǎng)絡(luò)安全管理����。
5、網(wǎng)管中心定期對網(wǎng)絡(luò)安全和病毒檢測進行檢查�����,發(fā)現(xiàn)問題及時處理����。
違法案件報告和協(xié)助查處制度
1.各接入終端使用者應(yīng)當(dāng)自覺遵守網(wǎng)絡(luò)法規(guī)���,嚴(yán)禁利用計算機從事違法犯罪行為���。
2.對于本單位發(fā)生的計算機違法犯罪行為,各級網(wǎng)絡(luò)安全管理員應(yīng)當(dāng)及時制止并立即上報網(wǎng)絡(luò)管理中心����,同時做好系統(tǒng)保護工作。
3.對于所遭受到的攻擊����,各接入終端使用者同樣應(yīng)當(dāng)上報網(wǎng)絡(luò)管理中心,同時做好系統(tǒng)保護工作�����。
4.各接入終端使用者有義務(wù)接受公司網(wǎng)絡(luò)管理中心和上級主管部門的監(jiān)督、檢查����,并應(yīng)積極配合做好違法犯罪事件的查處工作。
網(wǎng)站帳號使用登記審核管理制度
1.凡符合條件的求職人員免費審核通過
2.用工企業(yè)發(fā)布信息需要有工商營業(yè)執(zhí)照副本復(fù)印件(加蓋公章)或有關(guān)部門批準(zhǔn)成立的文件��;
3. 任何賬戶用戶享有完全平等的網(wǎng)絡(luò)接入權(quán)���。此權(quán)利不因賬號建立的早晚����、連網(wǎng)的先后而變化����。
4. 任何用戶不得私自竊取他人上網(wǎng)賬號。
5. 黔南人才網(wǎng)服務(wù)器系統(tǒng)及網(wǎng)絡(luò)設(shè)備由相關(guān)網(wǎng)絡(luò)技術(shù)人員負(fù)責(zé)管理非授權(quán)人員不得擅自操作網(wǎng)絡(luò)設(shè)備修改服務(wù)器及網(wǎng)絡(luò)設(shè)備設(shè)置�����。
6. 黔南人才網(wǎng)服務(wù)器系統(tǒng)���、各類網(wǎng)絡(luò)設(shè)備及其口令應(yīng)予以保護口令應(yīng)定期修改任何非系統(tǒng)管理員嚴(yán)禁使用��、猜測���、修改各類管理員口令����。
安全管理人員崗位工作職責(zé)
1�����、根據(jù)信息中心有關(guān)計算機和網(wǎng)絡(luò)運行的條例對公司計算機和網(wǎng)絡(luò)系統(tǒng)的使用進行規(guī)范化的管理�����,及時制止違規(guī)現(xiàn)象發(fā)生��。
2��、對計算機和公司網(wǎng)絡(luò)系統(tǒng)進行日常維護���,做好網(wǎng)絡(luò)設(shè)備的巡檢工 作和安全防范工作,確保網(wǎng)絡(luò)暢通無阻��。
3�����、認(rèn)真做好計算機和網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)記錄、安全備份和用戶管理工 作�����,保證各類運行數(shù)據(jù)記錄的正確性和實時性���。
4����、為公司應(yīng)用信息網(wǎng)絡(luò)的工作提供技術(shù)支持��,保證公司計算機和網(wǎng)絡(luò)設(shè)備安全運行的環(huán)境要求�����。
5���、 做好公司內(nèi)網(wǎng)和 Internet 接入情況的監(jiān)測工作��, 及時向有關(guān)信息中心網(wǎng)管提供信息�����。
6���、根據(jù)公司管理理念��,策劃��、設(shè)計��、制作和管理公司網(wǎng)站����,負(fù)責(zé)公 司網(wǎng)站的信息發(fā)布和日常維護����。
7�����、及時收集公司內(nèi)外的動態(tài)信息�����,通過公司網(wǎng)站宣傳公司取得的各項成果�����,擴大公司的影響。
8��、為公司員工有效利用網(wǎng)站資源提供技術(shù)支持�����。
9����、負(fù)責(zé)公司網(wǎng)站的安全防護和運行監(jiān)控,做好網(wǎng)站運行數(shù)據(jù)的記錄 和安全備份���,及時向有關(guān)信息中心提供信息��。
10���、完成上級交辦的其他工作任務(wù)。