1、目的:为确保网站动漫发布的安全性与可靠性,特制订本制度
2、依据:《网络文化经营单位内容自审管理办法》法律法规、《计算机网络安全与管理》等制度内容。
3、适用范围:网站动漫的发布与交流
4、责任部门:本公司各相关部门和岗位人员的责任制
5、内容包括:网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度、内容自审管理制度。
1、新疆春秋文创科技股份有限公司网站服务器和其他计算机之间设置经公安部认证的防火墙, 并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。
2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。
3、做好生产日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。
4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。
5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。
6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。
1、在网站的服务器及工作站上均安装了正版的防火墙和防病毒软件,做好安全策略,拒绝外来的恶意攻击,对计算机病毒有整套的防范措施,防止有害信息对网站系统的干扰和破坏。
2、做好访问日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。
3、交互式栏目具备有IP地址、身份登记和识别确认功能,并对留言和咨询内容进行审核。
4、网站信息服务系统建立完善的备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,备份数据能够及时恢复以提供服务。
5、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。
6、保管好登录密码,后台管理界面设置超级用户名及密码,以防他人登入。
技术人员将“新疆春秋文创科技股份有限公司”网站首页设置为主页,每天对网站进行查看,密切监视信息内容。
检查各服务器杀毒软件及防火墙升级情况,及时给系统打补丁。
每月对内、外网站及数据进行光盘备份,并由专人归档保存。
(一)硬件故障
指因自然灾害、供电不正常、人为因素等造成的服务器硬件损坏、丢失情况。
1、新疆春秋文创科技股份有限公司网站服务器中心工作人员每月对其进行硬件检测,网站服务器由维护公司每月进行软硬件检测,并填写记录,每年度进行汇报。
2、发生硬件损坏或丢失后要立即报告技术部门,并联系设备供应商及有关单位处理。
(二)攻击、篡改类故障
指网站系统遭到网络攻击不能正常运作,或出现非法信息、页面被篡改。
1、发现网站出现非法信息或页面被篡改,要第一时间对其进行删除,恢复相关信息及页面,同时报告技术部门,必要时可对网站服务器进行关闭,待检测无故障后再开启服务。
2、网站维护员要妥善保存有关记录及日志或审计记录,并立即追查非法信息来源,将有关情况进行上报,情况非常严重的要向公安部门报案。
(三)病毒木马类故障
指网站服务器感染病毒木马,存在安全隐患。
1、每周对服务器杀毒安全软件进行系统升级,并进行病毒木马扫描,封堵系统漏洞。
2、发现服务器感染病毒木马,要立即对其进行查杀,报告技术部门,根据具体情况,酌情发布网站公告通知联网的相关单位进行终端的病毒木马查杀。
3、由于病毒木马入侵服务器造成数据丢失或系统崩溃的,要第一时间报告技术部门,并联系相关单位进行数据恢复。
(四)系统类故障
指网站系统由于长时间运行或系统存在的bug造成网站不能正常运行。
1、相关负责人要每月对网站数据进行备份,并刻录光盘进行存档。
2、发现此类问题,要报告技术部门,并联系网站维护单位进行检测修复。
1、记录门户网站IDC托管机房、服务器供应商及网站维护公司电话,出现问题能及时联络处理。
2、技术人员应掌握应急笔记本电脑、数据备份光盘的存放和使用。
3、技术人员应学习各类软硬件知识,提高应对和处理突发网络故障的能力。
1、物理安全:包括环境安全、设备安全、人员的访问控制、审计记录、异常情况的追查等。本公司在保障网络物理安全方面,采取如下措施:
(1)机房安全管理措施:
除网络管理员外,任何人不得擅自进入机房,不得擅自接触机房设备。不得擅自改动或移动机房内的电源、空调及机柜、服务器、交换机等计算机、网络设备。
未经许可不得随意允许非机房内工作人员进入机房。
未经批准不能带外人参观、演示、查询信息等网上操作。
严禁带火种进入机房。如发现机房内有烟雾甚至火焰,立即切断电源。
下班时,检查设备的运转情况,并填写日志记录。
(2)系统口令的安全管理:
严格控制知道密码的人数。
网络管理员、系统管理员调离岗位后一小时内由上级监督检查更换新的密码。
对网络管理员、系统管理员和系统操作员所用口令每十五天更换一次,重要口令要多于八位。
口令要无规则,防止口令被猜出。
员工离职后,其所有账号和口令应立即从相应PASSWORD文件中清除。
调试人员调试维护完成后一小时内,由系统管理员删除其所用账号和密码。
(3)完善的系统备份计划
本公司的策略是以一个月为一个周期,一个月进行一次完全备份,每天晚上进行这一天改变的数据备份,即增量备份。这样一旦发生数据丢失,首先恢复前一个完全备份,然后按日期一个一个恢复每天的备份,就能恢复到前一天的情况。这样做虽然工作量要大,但数据丢失的风险最小。
备份完成后,还定期地检验备份数据的有效性。避免类似到急需恢复数据时才发现数据损坏等情况的发生,确保数据万无一失。
(4)配备高素质人员
本公司有多名经验丰富、具有相当理论基础的外聘专家。并有专职工程师分别负责系统管理、系统实施、系统网络安全等方面工作。
定期组织安全管理人员学习,及时了解网络安全防护的最新动态和防护知识,只有不断的学习才能提高在实际工作中运用能力,及时发现问题迅速有效的解决问题。
2、网络安全:包括网络拓扑结构、网络设备的管理、网络安全访问措施(防火墙、入侵检测系统、VPN等)、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。本公司建立了包括网络拓扑结构、网络设备的管理、网络安全访问措施(防火墙、入侵检测系统、VPN等)、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等,旨在防范和抵御网络可能受到的攻击,保证网络资源不被非法使用和访问,保护网内流转的数据安全。
其中访问控制是网络安全核心策略之一,包括入网访问、网络授权、目录级安全、属性安全、网络服务器安全、网络监测和锁定、网络端口和节点的安全控制以及防火墙控制等。而安全检查和内容检查又是保护网络安全的有效措施,在加强访问控制的同时,公司对网络传输的数据进行了加密,从而保证网上注册用户的信息安全。
1、 信息监控制度:
(1)网站信息必须在网页上标明来源 (即有关转载信息都必须标明转载的地址);
(2)相关责任人定期或不定期检查网站信息内容,实施有效监控,做好安全监督工作;
(3)不得利用国际互联网制作、复制、查阅和传播一系列以下信息,如有违反规定有关部门将按规定对其进行处理;
A、反对宪法所确定的基本原则的;
B、危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
C、损害国家荣誉和利益的;
D、煽动民族仇恨、民族歧视、破坏民族团结的;
E、破坏国家宗教政策,宣扬邪教和封建迷信的;
F、散布谣言,扰乱社会秩序,破坏社会稳定的;
G、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
H、侮辱或者诽谤他人,侵害他人合法权益的;
I、含有法律、行政法规禁止的其他内容的。
2、用户日志留存采取的技术手段:
对用户日志留存所采用的技术手段主要根据网站访问控制和身份鉴别、会话还原和审计三方面来实现。
①、访问控制和身份鉴别:
(1)注册信息通过日志留存设备检查是否能将单位用户身份信息、计算机终端内网IP地址、MAC地址和上网所用账号进行有效绑定,并查看该对应关系数据库(表),并任意找一个上网用户和其所使用的计算机终端,检查其对应关系是否准确。
(2)公用计算机判别,要求被检查单位的网络安全管理员告知单位内部是否存在公用计算机,如果存在,则通过日志留存设备检查是否备有公用帐号,并做好公用帐号的使用登记。
②、会话还原:
(1)内外地址转换,在被检查单位任选一台连接互联网的计算机终端访问互联网任意网页,找到该网页互联网IP地址,再通过日志留存设备以此为条件查找计算机终端。
(2)禁止私设代理,查看该计算机终端上是否私自安装了代理上网软件,检查是否有电脑通过内网中其他计算机终端作为代理进行互联网访问。
(3)系统会话记录,通过日志留存设备,用最高级的管理员的权限对日志内的数据进行修改和删除,并要求被检查单位的网络安全管理员告知单位内部重要服务器的数量与在网络中的位置。
审计查看日志留存设备中是否具有特定黑名单(能够设定网址、关键字等),并在其中设定特定网址和关键字,任选一台连接互联网的计算机终端分别进行访问该网址,发送带有关键字的邮件,检查是否能够告警、拦截和进行相关记录。
系统日志保存:
根据不同互联网服务性质保存相应的日志项目(具体项目参照《互联网安全保护技术措施规定》,项目应达到的标准参照《中华人民共和国公共安全行业标准》GA610-2006、GA611-2006、GA612-2006),做到保存项目完整、保存时间在60天以上。
用户数据保存:
本公司按照相关规定,用户上网记录至少存留60天,仔细阅读“系统日志”和“用户日志”。对可疑活动一定要仔细分析,如有人在试图访问一些不安全的服务端口,利用Finger、Tftp或用Debug手段访问用户邮件服务器等。对此情况,本公司系统管理员将对此加以关注与分析。
新疆春秋文创科技股份有限公司网站上的各个栏目包含表演各种信息,是对用户开放的板块,用户可以点击具体表演了解表演的详情。新疆春秋文创科技股份有限公司网站平台将维护自己的版权,网站平台发布的相关表演信息为我公司所有,杜绝其他网站转载。
注册信息通过日志留存设备检查是否能将单位用户身份信息、计算机终端内网IP地址、MAC地址和上网所用账号进行有效绑定,并查看该对应关系数据库(表),并任意找一个上网用户和其所使用的计算机终端,检查其对应关系是否准确。
公用计算机判别,要求被检查单位的网络安全管理员告知单位内部是否存在公用计算机,如果存在,则通过日志留存设备检查是否备有公用帐号,并做好公用帐号的使用登记。
为了确保用户的信息安全,新疆春秋文创科技股份有限公司网站特制定严密的用户信息安全管理制度,在涉及到网站用户的切身利益的方面,我们要求对用户数据做好备份,同时保证用户信息不外泄、用户访问日志留存,如有发现用户信息遭外泄的行为,我们将针对相关信息安全负责人进行处罚。
网站的用户信息安全第一责任人为辜安琪,第二信息安全负责人肖彩虹,信息安全总负责人方俊标。在具体的制度实施过程中,我们将遵循以下原则与要求:
一、尊重用户选择表演信息服务的权利,严格保守用户秘密,对于用户选择收藏的表演产品,不对外公开。
二、严禁向注册会员用户发送未经用户主动定制的表演推荐类信息网站针对用户个人注册账户发送的都是用户本人定制的表演信息,绝不掺杂垃圾广告等。
三、严禁未经用户同意而强行定制,以注册用户需求为准。
四、严禁违法、不健康信息进入网站,侵损用户利益。
五、在公司网站设立专职监控人员,并采取7*24小时的实时监控,确保信息安全。网站专职监控负责人为方俊标,重点关注注册用户的个人账户的信息安全。
六、设立严格的信息发布、查询、审核、登记机制。并对所有的原始资料承诺保存60天以上,并保证能及时查出所需的IP地址、上网电话、日志记录等资料,对重大或紧急案件应确保随时查询。例如网站用户的账户无法正常登陆、账户内容遭黑客攻击等突发状况,将会在第一时间还原用户数据,保障用户的账户安全。
七、充分发挥新疆春秋文创科技股份有限公司网站的网络优势,在网站的显著位置放置安全教育的内容,对于表演的安全使用信息尤其关注。发布公安机关的相关通告,宣传各种计算机安全法律法规,并与用户签订安全管理责任协议书。网站与注册用户间有着严密的《用户保障协议》,以保障用户利益不受侵损,同时明确双方权利与义务。
1、基本原则
(1)本公司(新疆春秋文创科技股份有限公司)依照《网络文化经营单位内容自审管理办法》的有关要求制定本制度,针对公司旗下网站产品内容进行自审。
(2)设立专门岗位及专人承担产品内容自审工作,且承担该工作的工作人员须取得自审人员岗位资格;
(3)至少有3名获得自审人员岗位资格的工作人员,其中一人为企业负责经营工作的主要领导(公司副总经理以上职务者),该领导为内容审查管理工作的主要负责人;
(4)企业自审必须由2名以上审核人员实施,审核人员填写审核意见并签字后,报本单位内容审查管理工作的主要负责人复核签字。
2、目的
本制度的规定是为了规范公司在提供网络文化产品及服务内容(包括但不限于产品的宣传推广,活动策划、内容更新)之前对该等内容进行自审工作的规范,明确本公司按照《网络文化经营单位内容自审管理办法》开展相关工作的职责、流程、标准以及责任追究办法。
3、组织架构
建立自审部门,岗位设置具体人员配备如下:
公司已设立专项审核监督组,
本部门共有3人组成,岗位设置为:
内容自审主要负责人1名:张成林。
内容自审专员2名:李景鹏,汤宇航。
4、审查人员职责
(1)应掌握内容审核的政策法规和相关知识;
(2)能独立表达审核意见;
(3)以最终保证本企业的产品和服务的合法性和合规性为目的,对在自身工作中发现的违法违规的产品及服务内容进行记录并提请终止,作出提交修改,督促修改,复审等审核意见。
(4)负责保管审查记录;
(5)组织内部培训工作,对企业开发、运营人员进行内容审查方面的培训。
5、审查流程
(1)对企业自主研发的产品,在研发阶段进行培训,对故事背景、美术素材等进行初步的筛查;
(2)自审人员在产品公测之前,依据内容审查的相关规定,对产品及其服务内容(包括宣传推广和活动策划)进行审查,对违法违规的内容进行记录,并签发初审意见;
(3)对初审有问题的产品,退回研发企业或部门进行修改,并对修改后的内容进行复查;
(4)对复查仍有问题的,应按照上述第2-3项规定的内容重新进行审核;
(5)在产品公测前,对产品客户端、公司官网、产品官网进行审查,审查内容包括证照使用、实名注册、实名信息补填、用户协议必备条款、适龄提示、家长监护工程等内容,合格后方可公测;
(6)对审查完成的产品,自审人员提出同意进行公测的意见并签字确认,上交内容审查管理工作的主要负责人;
(7)内容审查管理工作的主要负责人签字确认后,根据规定要求,向文化行政管理部门提交产品备案;
(8)日常对产品和服务内容进行监督检查,包括产品版本更新后的内容、产品客户端、公司官网、产品官网、宣传推广和活动策划等各个方面和环节,发现问题提交检查意见,报本企业内容审查管理工作主要负责人;
(9)自审人员的所有审查意见应归档留存,保存时间不少于两年;
6、审查标准
本公司网站平台内容不得含有以下内容:
(1)违反宪法规定的基本原则;
(2)危害国家统一、主权或者领土完整的;
(3)泄露国家秘密的、危害国家安全或者损害国家荣誉和利益的;
(4)煽动民族仇恨、民族歧视、破坏民族团结,或者侵害民族风俗习惯的;
(5)宣扬邪教、迷信的;
(6)散布谣言,扰乱社会秩序,破坏社会稳定的;
(7)宣扬淫秽、色情、赌博、暴力、或者教唆犯罪的;
(8)侮辱、诽谤他人,侵害他人合法权益的;
(9)危害社会公德或者民族优秀文化传统的;
(10)有法律、行政法规和国家规定禁止的其他内容的;
7、公司制度未落实责任追究
(1)对审查员未能在审查中发现问题的,予以警告处置,多次出现相同这一状况,取消其审查员资格;
(2)对审查员发现问题,但开发人员拒不修改的,予以警告处置,并通报其上级主管;
(3)对审查员发现问题,但开发人员修改,审查通过后自行予以恢复的, 予以严重警告处置,通报其上级主管,并处以罚款若干;
(4)对运营人员在运营过程中未通知审查员,造成不良后果,而审查员也未及时发现的, 予以涉事双方警告处置,责成改正; (5)其他情形造成不良后果的, 予以警告处置,并通报其上级主管,保留进一步追责的权力。