信息安全保障措施資料講解

1、服務(wù)與質(zhì)量保障措施網(wǎng)站運行安全保障措施1、網(wǎng)站服務(wù)器和其他計算機之間設(shè)置防火墻 （硬件防火墻正在采購中） , 做好安 全策略, 拒絕外來的惡意攻擊，保障網(wǎng)站正常運行。2、在網(wǎng)站的服務(wù)器及工作站上均安裝了相應(yīng)的防病毒軟件，對計算機病毒、有 害電子郵件有整套的防范措施，防止有害信息對網(wǎng)站系統(tǒng)的干擾和破壞。3、做好訪問日志的留存。網(wǎng)站具有保存六月以上的系統(tǒng)運行日志和用戶使用日 志記錄功能，內(nèi)容包括 IP 地址及使用情況，主頁維護者、對應(yīng)的 IP 地址情況等。4、交互式欄目具備有 IP 地址、身份登記和識別確認功能， 對非法貼子或留言能 做到及時刪除并進行重要信息向相關(guān)部門匯報。5、網(wǎng)站信息服務(wù)系統(tǒng)建

2、立多機備份機制，一旦主系統(tǒng)遇到故障或受到攻擊導致 不能正常運行，可以在最短的時間內(nèi)替換主系統(tǒng)提供服務(wù)。6、關(guān)閉網(wǎng)站系統(tǒng)中暫不使用的服務(wù)功能 ,及相關(guān)端口 ,并及時用補丁修復系統(tǒng)漏 洞, 定期查殺病毒。7、服務(wù)器平時處于鎖定狀態(tài) ,并保管好登錄密碼 ; 后臺管理界面設(shè)置超級用戶名 及密碼,并綁定 IP, 以防他人登入。8、網(wǎng)站提供集中式權(quán)限管理，針對不同的應(yīng)用系統(tǒng)、終端、操作人員，由網(wǎng)站 系統(tǒng)管理員設(shè)置共享數(shù)據(jù)庫信息的訪問權(quán)限， 并設(shè)置相應(yīng)的密碼及口令。 不同的 操作人員設(shè)定不同的用戶名， 且定期更換， 嚴禁操作人員泄漏自己的口令。 對操 作人員的權(quán)限嚴格按照崗位職責設(shè)定， 并由網(wǎng)站系統(tǒng)管理員定

3、期檢查操作人員權(quán) 限。9、公司機房按照電信機房標準建設(shè)，內(nèi)有必備的獨立UPS不間斷電源，能定期進行電力、防火、防潮、防磁和防鼠檢查。信息安全保密管理制度1、我公司建立了健全的信息安全保密管理制度，實現(xiàn)信息安全保密責任制，切 實負起確保網(wǎng)絡(luò)與信息安全保密的責任。 嚴格按照“誰主管、 誰負責”、 “誰主 辦、誰負責”的原則，落實責任制，明確責任人和職責，細化工作措施和流程， 建立完善管理制度和實施辦法，確保使用網(wǎng)絡(luò)和提供信息服務(wù)的安全。2、網(wǎng)站信息內(nèi)容更新全部由網(wǎng)站工作人員完成或管理 ,工作人員素質(zhì)高、 專業(yè)水 平好, 有強烈的責任心和責任感。網(wǎng)站相關(guān)信息發(fā)布之前有一定的審核程序。工 作人員采集信

4、息將嚴格遵守國家的有關(guān)法律、 法規(guī)和相關(guān)規(guī)定。 嚴禁通過我公司 網(wǎng)站散布互聯(lián)網(wǎng)信息管理辦法等相關(guān)法律法規(guī)明令禁止的信息（即“九不 準”），一經(jīng)發(fā)現(xiàn)，立即刪除。3、遵守對網(wǎng)站服務(wù)信息監(jiān)視，保存、清除和備份的制度。開展對網(wǎng)絡(luò)有害信息 的清理整治工作，對違法犯罪案件，報告并協(xié)助公安機關(guān)查處。4、 所有信息都及時做備份。按照國家有關(guān)規(guī)定，網(wǎng)站將保存6月內(nèi)系統(tǒng)運行日 志和用戶使用日志記錄。5、制定并遵守安全教育和培訓制度。加大宣傳教育力度，增強用戶網(wǎng)絡(luò)安全意 識，自覺遵守互聯(lián)網(wǎng)管理有關(guān)法律、法規(guī)，不泄密、不制作和傳播有害信息，不 鏈接有害信息或網(wǎng)頁。三、用戶信息安全管理制度1、我公司鄭重承諾尊重并保護用

5、戶的個人隱私，除了在與用戶簽署的隱私政策 和網(wǎng)站服務(wù)條款以及其他公布的準則規(guī)定的情況下，未經(jīng)用戶授權(quán)我公司不會隨 意公布與用戶個人身份有關(guān)的資料，除非有法律或程序要求。2、嚴格遵守網(wǎng)站用戶帳號使用登記和操作權(quán)限管理制度，對用戶信息專人管理,嚴格保密，未經(jīng)允許不得向他人泄露。公司定期對相關(guān)人員進行網(wǎng)絡(luò)信息安全培訓并進行考核，使相關(guān)人員能夠充 分認識到網(wǎng)絡(luò)安全的重要性，嚴格遵守相應(yīng)規(guī)章制度。四、對公司內(nèi)部服務(wù)質(zhì)量的管理在互聯(lián)網(wǎng)業(yè)務(wù)迅速發(fā)展的今天，服務(wù)質(zhì)量的高低已漸漸成為評價一家服務(wù)提 供商業(yè)務(wù)能力的重要指標，同時也成為業(yè)務(wù)發(fā)展成敗的關(guān)鍵，直接關(guān)系到眾商家 的經(jīng)濟利益，因此，IT服務(wù)管理工作日漸被眾

6、多企業(yè)提到議事日程上來。電信 與信息服務(wù)是一個動態(tài)過程，它包括規(guī)劃設(shè)計、協(xié)商、服務(wù)提供、服務(wù)的使用和 服務(wù)的終止5個過程；相應(yīng)地，服務(wù)質(zhì)量管理也應(yīng)該是一個動態(tài)過程。從生命周期法的原理來看，服務(wù)質(zhì)量管理由四個階段組成：設(shè)計、協(xié)商、實 施和反饋。首先，作為服務(wù)提供者，我們根據(jù)客戶的實際情況和需求，對服務(wù)的 質(zhì)量水平、 質(zhì)量參數(shù)和成本等進行計劃和設(shè)計； 然后，我們和合作伙伴就服務(wù)質(zhì) 量進行協(xié)商，分配、明確各自的職責，并簽署相應(yīng)協(xié)議，這是為客戶提供可靠服 務(wù)，服務(wù)提供者之間平衡并達成一致的過程；之后，雙方根據(jù)服務(wù)質(zhì)量協(xié)議，對 IT 服務(wù)質(zhì)量進行控制、監(jiān)督、改正和提高，并在需要時重新進入第二階段；最 后

7、，雙方對整個服務(wù)過程的服務(wù)質(zhì)量加以評審，確定相關(guān)費用。具體來看，基于生命周期的增值業(yè)務(wù)服務(wù)質(zhì)量管理具有下列幾部分：系統(tǒng)地管理服務(wù)質(zhì)量。我們保證為用戶提供 24X 7小時的支持、不少于3 個客戶服務(wù)工位，不少于 5個客戶服務(wù)人員 ,每一白班不少于 2 名客服。服務(wù)質(zhì)量的管理與服務(wù)流程本身緊密結(jié)合。 在決定提供增值業(yè)務(wù)服務(wù)時， 一 方面從客戶的角度， 考慮怎樣才能使客戶滿意， 并以此為原則來設(shè)計服務(wù)； 另一 方面，以服務(wù)提供者的角度， 從成本、 收益和風險等角度確定能提供和保證的服 務(wù)質(zhì)量。服務(wù)質(zhì)量本身就是服務(wù)協(xié)商階段的一項非常重要的內(nèi)容。 在提供和實施 服務(wù)時，服務(wù)質(zhì)量是雙方交流的共同語言， 實

8、施服務(wù)質(zhì)量管理與提供相應(yīng)服務(wù)是 一個不可分割的過程。 最后，只有在評審服務(wù)質(zhì)量， 雙方確認服務(wù)水平協(xié)議執(zhí)行 情況后，才能終止服務(wù)。有效反饋。在業(yè)務(wù)提供的過程中， 作為服務(wù)提供商中擁有主要技術(shù)力量的一 方，我們嚴格按照服務(wù)質(zhì)量評價指標，總結(jié)、分析客戶投訴，以更有效的利用反 饋信息，改正服務(wù)、提高服務(wù)質(zhì)量。電信增值業(yè)務(wù)內(nèi)部服務(wù)質(zhì)量管理的“對象” （ITIL ）主要有：領(lǐng)導人員、市 場人員、開發(fā)人員、客戶服務(wù)人員。為實現(xiàn)控制產(chǎn)品質(zhì)量，對上述不同角色的要 求有不同的標準。考核領(lǐng)導人員工作質(zhì)量的指標有：是否正確把握市場方向；是否很好的 協(xié)調(diào)公司內(nèi)部員工的工作；是否對相關(guān)行業(yè)的發(fā)展有一定的前瞻性等 , 對

9、產(chǎn)品的研究開發(fā)方向是否能準確把握?？己耸袌鋈藛T工作質(zhì)量的指標有：是否按時完成相關(guān)市場銷售計劃；是 否能按照公司業(yè)務(wù)開展的要求完成市場拓展等，是否能及時反饋新的市 場需求?？己碎_發(fā)人員工作質(zhì)量的指標有： 是否按質(zhì)按量完成公司開發(fā)計劃 , 是否 能及時完成新的功能開發(fā)等。 考核客戶服務(wù)人員工作質(zhì)量的指標有：是否及時響應(yīng)客戶請求；是否讓 用戶對自己的解答感到滿意；態(tài)度是否被用戶接受等。下面將對生命周期每個階段怎樣實施問題逐一進行分析。1、服務(wù)質(zhì)量的規(guī)劃與設(shè)計具體來說，在服務(wù)質(zhì)量設(shè)計階段我們主要做以下工作：(1) 根據(jù)提供的服務(wù)，分析客戶質(zhì)量需求。(2) 根據(jù)客戶質(zhì)量需求進行“成本 - 效益”分析。同

10、一質(zhì)量標準的增值服務(wù)對 不同的客戶可能成本不相同。比如，服務(wù)質(zhì)量要求是在 1 小時內(nèi)重啟客 戶的主機，對主機分散的客戶和主機集中的客戶成本可能差別很大。進 一步，如果將這個任務(wù)分包給第三方，對成本的影響也需事先加以測算。 最后，即使某一單項服務(wù)質(zhì)量保證從“成本 - 效益”分析不可行，但從整 體上也許是可行的。正如戴爾公司的經(jīng)營哲學“我們有限承諾，但超值 交付”。(3)(4) 風險分析。即使“有限承諾”也是有風險的。由于信息系統(tǒng)和信息技術(shù) 對企業(yè)戰(zhàn)略及其業(yè)務(wù)運作越來越關(guān)鍵，并且隨著信息技術(shù)的發(fā)展，信息 系統(tǒng)也越來越復雜，前后一致地有效管理服務(wù)質(zhì)量對我們服務(wù)提供商來 說是巨大的挑戰(zhàn)。質(zhì)量風險可分為

11、兩個方面，一是為了提供某種質(zhì)量要 求的服務(wù)，我們所面臨的風險，另一個是，如果服務(wù)質(zhì)量沒有符合要求， 要彌補客戶損失的風險。2、服務(wù)質(zhì)量的協(xié)調(diào)溝通完善階段根據(jù)服務(wù)復雜性的不同，協(xié)商階段可能是一個非常耗費時間和精力的過程雙方至少要就下列問題進行討論并達成一致：(1)(2) 質(zhì)量評價指標。歸納起來，質(zhì)量評價指標分為四類：基于時間的指標：如7天X 24小時技術(shù)支持、一年中網(wǎng)絡(luò)崩潰的時間不超過 1小時等；基 于數(shù)目的指標：如系統(tǒng)在業(yè)務(wù)高峰時允許最多 100 個用戶同時使用等； 基于頻率的指標：如每隔 2 天備份一次客戶的數(shù)據(jù)庫，實時性信息每隔 一天更新一次等。(3)(4) 免責條款。它規(guī)定在何種情況下，

12、如不可抗拒的自然災(zāi)害等，服務(wù)提供 者可免除因此而沒有達到服務(wù)質(zhì)量標準的責任。(5) 懲罰條款。當服務(wù)質(zhì)量沒有達到事先制定的標準時，視具體情況分析怎 樣懲罰服務(wù)提供者，或者當因此造成客戶重大損失時，我們與客戶協(xié)商 彌補損失的方法。3、計劃的具體實現(xiàn)階段任何計劃都要付諸實施才能發(fā)揮起價值， 實施階段既是前兩個階段成果的應(yīng) 用和檢驗， 更是后階段即評審階段的分析基礎(chǔ)。 實施階段實質(zhì)上是一個控制、 監(jiān) 督、測量和改進的不斷循環(huán)的過程。 控制工作是由公司專門的質(zhì)量控制人員對公 司全體員工的工作進度、質(zhì)量進行監(jiān)督管理的過程，還要對服務(wù)質(zhì)量進行測量， 確保服務(wù)符合質(zhì)量要求。 在正常情況下， 定期或不定期測量

13、客戶滿意度， 調(diào)整服 務(wù)過程，提高服務(wù)質(zhì)量。 若出現(xiàn)質(zhì)量問題， 就應(yīng)該協(xié)調(diào)相關(guān)責任人一起找出原因 并加以改正或改進。4、服務(wù)成果的驗收階段評審階段是對前面三個階段作綜合分析和評價。 它主要有兩個作用， 一是“評 定”，即從整體上評定所提供的服務(wù)是否達到服務(wù)水平協(xié)議規(guī)定的質(zhì)量標準，是 否讓客戶滿意；另外一個是“審核” ，即我們對自己提供的該項服務(wù)全過程進行 審核，找出不足和差距，加以總結(jié)，反饋給相關(guān)部門和人員。如前所述，傳統(tǒng)的 IT 管理是面向技術(shù)的管理， 而基于生命周期的 IT 服務(wù)管 理則是面向業(yè)務(wù)和應(yīng)用， 科學地配置設(shè)備、 人員及流程。 我們采取的就是面向業(yè) 務(wù)和應(yīng)用的質(zhì)量管理。 這種方法

14、能夠解決客戶最常提出的疑問如何制定一個科 學的流程，再按照這個流程針對不同的 IT 應(yīng)用配置相應(yīng)的人員與資源，使 IT 運作得最好，既可滿足業(yè)務(wù)需求，又不至于有資源的浪費。一般來說，我們對這 項工作的操作過程是： 首先，制定一個完整的客戶服務(wù)計劃， 其內(nèi)容涵蓋了服務(wù) 的各個環(huán)節(jié)，如：日常管理記錄、緊急處理流程、變更管理等；而后在實施的過 程中對此計劃還會不斷地評價和改善，最后進行評審并加以總結(jié)。另外，我們還將在今后的工作中注意以下問題：1、從客戶的角度出發(fā)看問題，逐步完善流程； 2、建立客戶化的支持服務(wù)流程，將客戶支持服務(wù)工作制度化、流程化；3、針對客戶不同需求制定不同的策略和流程；五、硬件系

15、統(tǒng)為用戶提供長期服務(wù)的保障能力1、不斷提高硬件設(shè)備的可靠性以及處理能力硬件系統(tǒng)的穩(wěn)定是網(wǎng)絡(luò)系統(tǒng)存在的基礎(chǔ)， 只有最好的硬件環(huán)境才能建設(shè)最好 的網(wǎng)絡(luò)系統(tǒng)。 在此，我們選用了國內(nèi)頂級的服務(wù)器， 用來確保系統(tǒng)硬件平臺的安 全、穩(wěn)定。外部網(wǎng)絡(luò)環(huán)境的連貫性和可靠性是網(wǎng)絡(luò)系統(tǒng)存在必要條件。 電信通公司穩(wěn)定 的服務(wù)質(zhì)量，完善的安全制度，全面的技術(shù)，豐富的經(jīng)驗，世界一流的設(shè)施與專 業(yè)服務(wù)，是我們最好的合作伙伴。2、建立健全公司內(nèi)部安全體制信息安全管理規(guī)范： 包括根據(jù)工作的重要程度， 確定該系統(tǒng)的安全需求； 根 據(jù)確定的安全需求， 確定安全管理的范圍； 制訂相應(yīng)的機房出入管理制度； 制訂 完備的系統(tǒng)維護制度；制訂應(yīng)急措施。人員管理機制：包括多人負責制度；任期 有限制度；職責分離制度。3、完善公司的自有軟件系統(tǒng)和業(yè)務(wù)處理軟件專人負責隨時保持系統(tǒng)的更新與完善， 定期檢測， 做到防患于未然。 認真做 好備份還原工作，以減少突發(fā)事件造成的損失。此外，對于軟件的可靠性， 健壯性等功能， 我們由專門的測試技術(shù)小組使用 專業(yè)的測試工具以及流程來提供可靠的保障， 將故障幾率降低到不多于 3 次/