技术安全保障制度

技术安全保障制度

(一)网站安全保障措施

1、构建网络隔离体系，通过部署防火墙实现：

(1)隔离互联网与交易服务器，阻断外部非法入侵路径

(2)建立交易服务器与企业内网的双向防护，既保障内网安全又防止内部违规访问

2、参照电信机房规范建设运维环境，配置独立UPS不间断供电系统、高灵敏度烟雾探测装置及自动消防系统，建立电力、温湿度、防磁防鼠等定期检测机制。机房实行准入管理制度，非网络管理人员禁止接触设备。

3、实施每日设备巡检制度，工作结束前开展运行状态检查并规范填写运维日志。

4、建立集中式权限管理体系，根据应用系统、终端类型及岗位职责，由系统管理员设置差异化数据访问权限，实施动态密码管理。操作人员实行专人专户，定期强制更换密码，严禁账号共享。权限设置严格遵循最小化原则，定期开展权限复核。

5、服务器保持锁定状态，严格保管登录凭证；后台管理界面配置超级账户，实施IP绑定策略，防止未授权登录。

6、制定分级备份方案：每月执行全量备份，每日实施增量备份。建立备份有效性验证机制，定期开展数据恢复测试，确保备份数据可用性。

7、组建专业运维团队，引入多名具备理论功底的网络专家，配置专职工程师负责系统管理、实施及网络安全。建立常态化学习机制，及时掌握网络安全最新动态，提升应急处置能力。

8、实施7×24小时安全监控，针对密码、交易指令等敏感信息传输，采用SSL加密协议保障通信安全。

9、病毒防护体系包含：

(1)多节点病毒过滤：在防火墙、服务器群及内部网络部署杀毒软件

(2)常态化病毒查杀：定期使用防病毒软件扫描清理

(3)系统加固：关闭非必要服务端口，及时安装系统补丁，定期全盘查杀

(4)病毒库动态更新：保持防病毒软件特征库最新版本

所有服务器及工作站均安装正版杀毒软件，建立计算机病毒、恶意邮件的综合防御机制。

10、建立信息监管制度，落实数据留存、清除及备份规范。开展有害信息专项清理，发现违法犯罪线索及时向公安机关报告并配合调查。

11、发现反动、色情等违法内容立即锁定数据，按公司规程处置；发现泄密事件须及时上报市信息管理中心。对违规操作导致后果的，依规追究责任。

12、主动接受公安机关安全监管，如实提供系统运行数据及技术文档，配合查处网络违法犯罪活动。

(二)信息安全保密管理制度

1、制定信息系统安全保密规范，保障用户信息安全。

2、网络中心统筹各部门入网人员的保密技术指导工作，落实技术防护措施。

3、各部门指定保密管理专员，负责网络安全监管及信息发布审查，开展常态化保密教育。

4、涉密信息禁止在接入国际网络的计算机系统中存储、处理或传输。

5、网站发布信息须经保密审查并登记备案，确保信息发布安全。

6、禁止利用网站平台从事危害国家安全、泄露国家秘密的活动。

7、转载信息须在网页显著位置标注来源地址。

8、建立信息巡查制度，相关负责人定期检查网站内容，实施动态安全监管。

9、发现违法内容须保护现场并立即上报，泄密事件须同时通报网络中心及领导小组。违规操作导致后果的，依规处理并追究部门领导责任。

10、对传播有害信息的网站坚决依法关闭，对制作、传播违法信息的单位及个人移交司法机关处理。

组织架构：

设立网络安全专项小组，由法人代表直接领导。国际联网信息发布须经保密审查，实行部门负责制，严格执行"来源不明不发、未经批准不发、内容存疑不发"的三不原则。

明确管理人员责任，建立"谁主管谁负责"的运维责任体系，保障网站规范运行。

(三)用户信息安全管理制度

1、实施用户权限分级管理机制，禁止未经授权的系统访问行为。

2、建立用户信息全生命周期保护体系，确保数据存储传输安全。

3、指定专人负责网络日志管理，实施日志备份及归档制度。

4、建立信息发布三级审核机制，内容须经编辑、审核、发布流程确认。

5、实施网站管理权限分离制度，禁止越权操作。

6、发生安全事件须立即启动应急预案，完整保留事件记录并按流程上报。

7、部署内容过滤系统，实施用户信息加密存储。

8、用户登录记录保留期限不少于30日，保障账户安全可追溯。

9、用户注册信息实行严格保密，未经本人授权，任何单位及个人不得查询、复制或传播。