信息安全保障措施

1、服務與質(zhì)量保障措施網(wǎng)站運行安全保障措施1、網(wǎng)站服務器和其他計算機之間設置防火墻（硬件防火墻正在采購中）,做好安全策略,拒絕外來的惡意攻擊，保障網(wǎng)站正常運行。2、在網(wǎng)站的服務器及工作站上均安裝了相應的防病毒軟件，對計算機病毒、有害電子郵件有整套的防范措施，防止有害信息對網(wǎng)站系統(tǒng)的干擾和破壞。3、做好訪問日志的留存。網(wǎng)站具有保存六月以上的系統(tǒng)運行日志和用戶使用日志記錄功能，內(nèi)容包括IP地址及使用情況，主頁維護者、對應的IP地址情況等。4、交互式欄目具備有IP地址、身份登記和識別確認功能，對非法貼子或留言能做到及時刪除并進行重要信息向相關(guān)部門匯報。5、網(wǎng)站信息服務系統(tǒng)建立多機備份機制，一旦主系統(tǒng)遇到

2、故障或受到攻擊導致不能正常運行，可以在最短的時間內(nèi)替換主系統(tǒng)提供服務。6、關(guān)閉網(wǎng)站系統(tǒng)中暫不使用的服務功能,及相關(guān)端口,并及時用補丁修復系統(tǒng)漏洞,定期查殺病毒。7、服務器平時處于鎖定狀態(tài),并保管好登錄密碼;后臺管理界面設置超級用戶名及密碼,并綁定IP,以防他人登入。8、網(wǎng)站提供集中式權(quán)限管理，針對不同的應用系統(tǒng)、終端、操作人員，由網(wǎng)站系統(tǒng)管理員設置共享數(shù)據(jù)庫信息的訪問權(quán)限，并設置相應的密碼及口令。不同的操作人員設定不同的用戶名，且定期更換，嚴禁操作人員泄漏自己的口令。對操作人員的權(quán)限嚴格按照崗位職責設定，并由網(wǎng)站系統(tǒng)管理員定期檢查操作人員權(quán)限。9、公司機房按照電信機房標準建設，內(nèi)有必備的獨立U

3、PS不間斷電源，能定期進行電力、防火、防潮、防磁和防鼠檢查。信息安全保密管理制度1、我公司建立了健全的信息安全保密管理制度，實現(xiàn)信息安全保密責任制，切實負起確保網(wǎng)絡與信息安全保密的責任。嚴格按照“誰主管、誰負責”、“誰主辦、誰負責”的原則，落實責任制，明確責任人和職責，細化工作措施和流程，建立完善管理制度和實施辦法，確保使用網(wǎng)絡和提供信息服務的安全。2、網(wǎng)站信息內(nèi)容更新全部由網(wǎng)站工作人員完成或管理,工作人員素質(zhì)高、專業(yè)水平好,有強烈的責任心和責任感。網(wǎng)站相關(guān)信息發(fā)布之前有一定的審核程序。工作人員采集信息將嚴格遵守國家的有關(guān)法律、法規(guī)和相關(guān)規(guī)定。嚴禁通過我公司網(wǎng)站散布互聯(lián)網(wǎng)信息管理辦法等相關(guān)法律

4、法規(guī)明令禁止的信息（即“九不準”），一經(jīng)發(fā)現(xiàn)，立即刪除。3、遵守對網(wǎng)站服務信息監(jiān)視，保存、清除和備份的制度。開展對網(wǎng)絡有害信息的清理整治工作，對違法犯罪案件，報告并協(xié)助公安機關(guān)查處。4、所有信息都及時做備份。按照國家有關(guān)規(guī)定，網(wǎng)站將保存6月內(nèi)系統(tǒng)運行日志和用戶使用日志記錄。5、制定并遵守安全教育和培訓制度。加大宣傳教育力度，增強用戶網(wǎng)絡安全意識，自覺遵守互聯(lián)網(wǎng)管理有關(guān)法律、法規(guī)，不泄密、不制作和傳播有害信息，不鏈接有害信息或網(wǎng)頁。三、用戶信息安全管理制度1、我公司鄭重承諾尊重并保護用戶的個人隱私，除了在與用戶簽署的隱私政策和網(wǎng)站服務條款以及其他公布的準則規(guī)定的情況下，未經(jīng)用戶授權(quán)我公司不會隨意

5、公布與用戶個人身份有關(guān)的資料，除非有法律或程序要求。2、嚴格遵守網(wǎng)站用戶帳號使用登記和操作權(quán)限管理制度，對用戶信息專人管理，嚴格保密，未經(jīng)允許不得向他人泄露。公司定期對相關(guān)人員進行網(wǎng)絡信息安全培訓并進行考核，使相關(guān)人員能夠充分認識到網(wǎng)絡安全的重要性，嚴格遵守相應規(guī)章制度。四、對公司內(nèi)部服務質(zhì)量的管理在互聯(lián)網(wǎng)業(yè)務迅速發(fā)展的今天，服務質(zhì)量的高低已漸漸成為評價一家服務提供商業(yè)務能力的重要指標，同時也成為業(yè)務發(fā)展成敗的關(guān)鍵，直接關(guān)系到眾商家的經(jīng)濟利益，因此，IT服務管理工作日漸被眾多企業(yè)提到議事日程上來。電信與信息服務是一個動態(tài)過程，它包括規(guī)劃設計、協(xié)商、服務提供、服務的使用和服務的終止5個過程；相應

6、地，服務質(zhì)量管理也應該是一個動態(tài)過程。從生命周期法的原理來看，服務質(zhì)量管理由四個階段組成：設計、協(xié)商、實施和反饋。首先，作為服務提供者，我們根據(jù)客戶的實際情況和需求，對服務的質(zhì)量水平、質(zhì)量參數(shù)和成本等進行計劃和設計；然后，我們和合作伙伴就服務質(zhì)量進行協(xié)商，分配、明確各自的職責，并簽署相應協(xié)議，這是為客戶提供可靠服務，服務提供者之間平衡并達成一致的過程；之后，雙方根據(jù)服務質(zhì)量協(xié)議，對IT服務質(zhì)量進行控制、監(jiān)督、改正和提高，并在需要時重新進入第二階段；最后，雙方對整個服務過程的服務質(zhì)量加以評審，確定相關(guān)費用。具體來看，基于生命周期的增值業(yè)務服務質(zhì)量管理具有下列幾部分：系統(tǒng)地管理服務質(zhì)量。我們保證為

7、用戶提供24X7小時的支持、不少于3個客戶服務工位，不少于5個客戶服務人員,每一白班不少于2名客服。服務質(zhì)量的管理與服務流程本身緊密結(jié)合。在決定提供增值業(yè)務服務時，一方面從客戶的角度，考慮怎樣才能使客戶滿意，并以此為原則來設計服務；另一方面，以服務提供者的角度，從成本、收益和風險等角度確定能提供和保證的服務質(zhì)量。服務質(zhì)量本身就是服務協(xié)商階段的一項非常重要的內(nèi)容。在提供和實施服務時，服務質(zhì)量是雙方交流的共同語言，實施服務質(zhì)量管理與提供相應服務是一個不可分割的過程。最后，只有在評審服務質(zhì)量，雙方確認服務水平協(xié)議執(zhí)行情況后，才能終止服務。有效反饋。在業(yè)務提供的過程中，作為服務提供商中擁有主要技術(shù)力量

8、的一方，我們嚴格按照服務質(zhì)量評價指標，總結(jié)、分析客戶投訴，以更有效的利用反饋信息，改正服務、提高服務質(zhì)量。電信增值業(yè)務內(nèi)部服務質(zhì)量管理的“對象”（ITIL）主要有：領(lǐng)導人員、市場人員、開發(fā)人員、客戶服務人員。為實現(xiàn)控制產(chǎn)品質(zhì)量，對上述不同角色的要求有不同的標準?？己祟I(lǐng)導人員工作質(zhì)量的指標有：是否正確把握市場方向；是否很好的協(xié)調(diào)公司內(nèi)部員工的工作；是否對相關(guān)行業(yè)的發(fā)展有一定的前瞻性等,對產(chǎn)品的研究開發(fā)方向是否能準確把握?？己耸袌鋈藛T工作質(zhì)量的指標有：是否按時完成相關(guān)市場銷售計劃；是否能按照公司業(yè)務開展的要求完成市場拓展等，是否能及時反饋新的市場需求?？己碎_發(fā)人員工作質(zhì)量的指標有：是否按質(zhì)按量完成

9、公司開發(fā)計劃,是否能及時完成新的功能開發(fā)等。考核客戶服務人員工作質(zhì)量的指標有：是否及時響應客戶請求；是否讓用戶對自己的解答感到滿意；態(tài)度是否被用戶接受等。下面將對生命周期每個階段怎樣實施問題逐一進行分析。1、服務質(zhì)量的規(guī)劃與設計具體來說，在服務質(zhì)量設計階段我們主要做以下工作：(1) 根據(jù)提供的服務，分析客戶質(zhì)量需求。(2) 根據(jù)客戶質(zhì)量需求進行“成本-效益”分析。同一質(zhì)量標準的增值服務對不同的客戶可能成本不相同。比如，服務質(zhì)量要求是在1小時內(nèi)重啟客戶的主機，對主機分散的客戶和主機集中的客戶成本可能差別很大。進一步，如果將這個任務分包給第三方，對成本的影響也需事先加以測算。最后，即使某一單項服務

10、質(zhì)量保證從“成本-效益”分析不可行，但從整體上也許是可行的。正如戴爾公司的經(jīng)營哲學“我們有限承諾，但超值交付”。(3) 風險分析。即使“有限承諾”也是有風險的。由于信息系統(tǒng)和信息技術(shù)對企業(yè)戰(zhàn)略及其業(yè)務運作越來越關(guān)鍵，并且隨著信息技術(shù)的發(fā)展，信息系統(tǒng)也越來越復雜，前后一致地有效管理服務質(zhì)量對我們服務提供商來說是巨大的挑戰(zhàn)。質(zhì)量風險可分為兩個方面，一是為了提供某種質(zhì)量要求的服務，我們所面臨的風險，另一個是，如果服務質(zhì)量沒有符合要求，要彌補客戶損失的風險。2、服務質(zhì)量的協(xié)調(diào)溝通完善階段根據(jù)服務復雜性的不同，協(xié)商階段可能是一個非常耗費時間和精力的過程。雙方至少要就下列問題進行討論并達成一致：(1) 質(zhì)

11、量評價指標。歸納起來，質(zhì)量評價指標分為四類：基于時間的指標：如7天x24小時技術(shù)支持、一年中網(wǎng)絡崩潰的時間不超過1小時等；基于數(shù)目的指標：如系統(tǒng)在業(yè)務高峰時允許最多100個用戶同時使用等；基于頻率的指標：如每隔2天備份一次客戶的數(shù)據(jù)庫，實時性信息每隔天更新一次等免責條款。它規(guī)定在何種情況下，如不可抗拒的自然災害等，服務提供者可免除因此而沒有達到服務質(zhì)量標準的責任。(2) 懲罰條款。當服務質(zhì)量沒有達到事先制定的標準時，視具體情況分析怎樣懲罰服務提供者，或者當因此造成客戶重大損失時，我們與客戶協(xié)商彌補損失的方法。3、計劃的具體實現(xiàn)階段任何計劃都要付諸實施才能發(fā)揮起價值，實施階段既是前兩個階段成果的

12、應用和檢驗，更是后階段即評審階段的分析基礎(chǔ)。實施階段實質(zhì)上是一個控制、監(jiān)督、測量和改進的不斷循環(huán)的過程?？刂乒ぷ魇怯晒緦ｉT的質(zhì)量控制人員對公司全體員工的工作進度、質(zhì)量進行監(jiān)督管理的過程，還要對服務質(zhì)量進行測量，確保服務符合質(zhì)量要求。在正常情況下，定期或不定期測量客戶滿意度，調(diào)整服務過程，提高服務質(zhì)量。若出現(xiàn)質(zhì)量問題，就應該協(xié)調(diào)相關(guān)責任人一起找出原因并加以改正或改進。4、服務成果的驗收階段評審階段是對前面三個階段作綜合分析和評價。它主要有兩個作用，一是“評定”，即從整體上評定所提供的服務是否達到服務水平協(xié)議規(guī)定的質(zhì)量標準，是否讓客戶滿意；另外一個是“審核”，即我們對自己提供的該項服務全過程進行

13、審核，找出不足和差距，加以總結(jié)，反饋給相關(guān)部門和人員。如前所述，傳統(tǒng)的IT管理是面向技術(shù)的管理，而基于生命周期的IT服務管理則是面向業(yè)務和應用，科學地配置設備、人員及流程。我們采取的就是面向業(yè)務和應用的質(zhì)量管理。這種方法能夠解決客戶最常提出的疑問如何制定一個科學的流程，再按照這個流程針對不同的IT應用配置相應的人員與資源，使IT運作得最好，既可滿足業(yè)務需求，又不至于有資源的浪費。一般來說，我們對這項工作的操作過程是：首先，制定一個完整的客戶服務計劃，其內(nèi)容涵蓋了服務的各個環(huán)節(jié)，如：日常管理記錄、緊急處理流程、變更管理等；而后在實施的過程中對此計劃還會不斷地評價和改善，最后進行評審并加以總結(jié)。另

14、外，我們還將在今后的工作中注意以下問題：1、從客戶的角度出發(fā)看問題，逐步完善流程；2、建立客戶化的支持服務流程，將客戶支持服務工作制度化、流程化；3、針對客戶不同需求制定不同的策略和流程；五、硬件系統(tǒng)為用戶提供長期服務的保障能力1、不斷提高硬件設備的可靠性以及處理能力硬件系統(tǒng)的穩(wěn)定是網(wǎng)絡系統(tǒng)存在的基礎(chǔ)，只有最好的硬件環(huán)境才能建設最好的網(wǎng)絡系統(tǒng)。在此，我們選用了國內(nèi)頂級的服務器，用來確保系統(tǒng)硬件平臺的安全、穩(wěn)定。外部網(wǎng)絡環(huán)境的連貫性和可靠性是網(wǎng)絡系統(tǒng)存在必要條件。電信通公司穩(wěn)定的服務質(zhì)量，完善的安全制度，全面的技術(shù)，豐富的經(jīng)驗，世界一流的設施與專業(yè)服務，是我們最好的合作伙伴。2、建立健全公司內(nèi)部安全體制信息安全管理規(guī)范：包括根據(jù)工作的重要程度，確定該系統(tǒng)的安全需求；根據(jù)確定的安全需求，確定安全管理的范圍；制訂相應的機房出入管理制度；制訂完備的系統(tǒng)維護制度；制訂應急措施。人員管理機制：包括多人負責制度；任期有限制度；職責分離制度。3、完善公司的自有軟件系統(tǒng)和業(yè)務處理軟件專人負責隨時保持系統(tǒng)的更新與完善，定期檢測，做到防患于未然。認真做好備份還原工作，以減少突發(fā)事件造成的損失。此外，對于軟件的可靠性，健壯性等功能，我們由專門的測試技術(shù)小組使用專業(yè)的測試工具以及流程來提供可靠的保障，將故障幾率降低到不多于3