03 買粉絲發布流程和信息安全管理制度(私人買粉絲可以發區領導調研新聞嗎)

務管理規定》

第五條 互聯網用戶公眾賬號信息服務提供者應當落實信息內容安全管理主體責任，配備與服務規模相適應的專業人員和技術能力，設立總編輯等信息內容安全負責人崗位，建立健全用戶注冊、信息審核、應急處置、安全防護等管理制度。

互聯網用戶公眾賬號信息服務提供者應當制定和公開管理規則和平臺公約，與使用者簽訂服務協議，明確雙方權利義務。

第六條 互聯網用戶公眾賬號信息服務提供者應當按照“后臺實名、前臺自愿”的原則，對使用者進行基于組織機構代碼、身份證件號碼、移動電話號碼等真實身份信息認證。使用者不提供真實身份信息的，不得為其提供信息發布服務。

互聯網用戶公眾賬號信息服務提供者應當建立互聯網用戶公眾賬號信息服務使用者信用等級管理體系，根據信用等級提供相應服務。

信息安全管理實踐

信息安全管理平臺的設計和實現離不開整體的信息安全規劃和建設思路，而信息安全的實踐根據不同行業、不同組織的自身特點也有著相應的建設思路。針對歸納提煉的信息安全三大屬性即機密性、可用性和完整性，不同實踐思路也有著不同側重點。

7.3.1金融行業安全管理實踐

改革開放30多年來，中國的金融信息化建設是從無到有、從單一業務向綜合業務發展，取得了一定的成績。如今已從根本上改變了傳統金融業務的處理模式，建立了以計算機和互聯網為基礎的電子清算系統和金融管理系統。

隨著金融行業信息化的發展，業務系統對信息系統的依賴程度也越來越高，信息安全的問題也越來越突出。為了有效防范和化解風險，保證金融組織信息系統平穩運行和業務持續開展，需要建立金融組織信息安全保障體系，以增強金融組織的信息安全風險防范能力。

7.3.1.1需求分析

隨著世界經濟全球化和網絡化的發展，國外的金融變革對我國的影響越來越大。由于利益的驅使，針對金融業的安全威脅越來越多，金融業必須加強自身的信息安全保護工作，建立完善的安全機制來抵御外來和內在的信息安全威脅。

隨著銀行業務的不斷發展，其網絡系統也經歷了多年的不斷建設，多數商業銀行進行了數據的大集中。在業務水平、網絡規模不斷提升的同時，銀行的網絡也變得越來越復雜，而這種復雜也使其安全問題越來越嚴峻。目前各金融體系的建設標準很難統一，阻礙了金融信息化的進一步發展。在國有商業銀行全面實施國家金融信息化標準前，許多銀行都已經建立了自己的體系，由于機型、系統平臺、計算機接口以及數據標準的不統一，使得各地的差距比較大，系統的整合比較困難，標準化改造需要一段時間。金融組織充分認識到安全保證對于業務系統的重要性，采取了相應的安全措施，部署了一些安全設備。公眾對信息安全的防范意識也有所提高，但信息犯罪的增加、安全防護能力差、信息基礎嚴重依賴國外、設備缺乏安全檢測等信息安全方面由來已久的問題并未得到解決。加強對計算機系統、網絡技術的安全研究，完善內控管理機制，確保業務數據和客戶信息的安全，全面提高計算機的安全防范水平已是國內各大銀行面臨的共同問題。但是安全的動態性、系統性的屬性決定了安全是一個逐步完善、整體性的系統工程，需要管理、組織和技術各方面的合力。

7.3.1.2安全體系建設

安全體系建設的目標是通過建立完善的信息安全管理制度和智能、深度的安全防御技術手段，構建一個管理手段與技術手段相結合的全方位、多層次、可動態發展的縱深安全防范體系，來實現信息系統的可靠性、保密性、完整性、有效性、不可否認性，為金融業務的發展提供一個堅實的信息系統基礎保證。信息安全防范體系的覆蓋范圍是整個信息系統。

安全體系建設的主要工作內容有：

（1）建立和完善銀行信息安全管理組織架構，專門負責信息系統的安全管理和監督。

（2）設計并實施技術手段，技術手段要包括外網邊界防護、內網區域劃分與訪問控制、端點準入、內網監控與管理、移動辦公接入、撥號安全控制、病毒防范、安全審計、漏洞掃描與補丁管理等諸多方面安全措施。通過劃分安全域的方法，將網絡系統按照業務流程的不同層面劃分為不同的安全域，各個安全域內部又可以根據業務元素對象劃分為不同的安全子域；針對每個安全域或安全子域來標識其中的關鍵資產，分析所存在的安全隱患和面臨的安全風險，然后給出相應的保護措施；不同的安全子域之間和不同的安全域之間存在著數據流，這時候就需要考慮安全域邊界的訪問控制、身份驗證和審計等安全策略的實施。

（3）制訂金融安全策略和安全管理制度。安全管理部門結合銀行信息系統的實際情況，制訂合理的安全策略，對信息資源進行安全分級，劃分不同安全等級的安全域，進行不同等級的保護。如加強系統口令管理；進行權限分離，明確責任人；加強內審機制；注意授權的最小化和時效性，除非真正需要，一般只授最小權限，到一定時間后就收回授權，并且形成制度和流程；對所有服務器進行漏洞掃描，形成資產脆弱性報告；建立數據的異地容災備份中心；物理和環境的安全。制訂并執行各種安全制度和應急恢復方案，保證信息系統的安全運行。這些包括密碼管理制度、數據加密規范、身份認證規范、區域劃分原則及訪問控制策略、病毒防范制度、安全監控制度、安全審計制度、應急反應機制、安全系統升級制度等。

（4）建立安全運維管理中心，集中監控安全系統的運行情況，集中處理各種安全事件。針對金融應用系統、數據庫的黑客攻擊越來越多，僅僅通過設立邊界防火墻，建立、改善、分析服務器日記文件等被動的方式是不夠的，監測黑客入侵行為最好的方法是能夠當時就能監測出惡意的網絡入侵行為，并且馬上采取防范反擊措施加以糾正，因此IDS的部署也就必不可少。

（5）統一制定安全系統升級策略，并及時對安全系統進行升級，以保證提高安全體系防護能力。

（6）容災、備份系統。金融組織關鍵數據丟失會中斷正常業務運行，損失不可估量。要保護數據，保證數據的高可用性和不間斷性，需要建立備份、容災系統。備份和容災兩個系統相輔相成，兩者都是金融組織數據安全的重要保障，而且兩者的目標是不同的。容災系統的目的在于保證系統數據和服務的“在線性”，即當系統發生故障時，仍然能夠正常地向網絡系統提供數據和服務，以使系統不致停頓。備份是“將在線數據轉移成離線數據的過程”，其目的在于應付系統數據中的邏輯錯誤和歷史數據保存。

7.3.2電子政務安全管理實踐

政府組織作為國家的職能機關，其信息系統安全跟國家安全緊密結合在一起。信息的可用性尤為重要，在某些領域信息的機密性也是政府組織信息安全建設的重中之重。電子政務涉及對國家機密和敏感度高的核心政務信息的保護，涉及維護社會公共秩序和行政監管的準確實施，涉及為企業和公民提供公共服務的質量保證。

在電子政務系統中，政府機關的公文往來、資料存儲、服務提供都以電子化的形式來實現。然而，電子政務一方面的確可以提高辦公效率、精簡機構人員、擴大服務內容、提升政府形象，另一方面也為某些居心不良者提供了通過技術手段竊取重要信息的可能。而且考慮到網絡本身所固有的開放性、國際性和無組織性，政府網絡在增加應用自由度的同時，政府網絡對安全提出了更高的要求。

7.3.2.1需求分析

電子政務是一個由政務內網、政務外網和互聯網三級網絡構成。政務內網為政府部門內部的關鍵業務管理系統和核心數據應用系統，政務外網為政府部門內部以及部門之間的各類非公開應用系統，所涉及的信息應在政務外網上傳輸，與互聯網相連的網絡，面向社會提供的一般應用服務及信息發布，包括各類公開信息和非敏感的社會服務。由于我國大部分政府官員和公務員對信息技術、網絡技術和計算機技術還未接觸或接觸不多，防范方法和技術欠缺，整體素質與電子政務安全防范的要求還有很大的距離。電子政務最常見的安全問題，包括網站被黑、數據被篡改和盜用、秘密泄露、越權瀏覽等。

因此，政府網絡常見的信息安全需求如下：

（1）統一的安全管理平臺。目前政府信息系統較常見的安全威脅主要來自很多無意的人為因素而造成的風險，如由于用戶安全意識不強導致的病毒泛濫、賬戶口令安全薄弱等。對集中統一的安全管理軟件，如病毒軟件管理系統、身份認證管理系統以及網絡安全設備管理軟件等要求較高。因此，通過安全管理平臺可有效地實現全網的安全管理，同時還可以針對人員進行安全管理和培訓，增強人員的安全防范意識。這就對安全管理平臺和專業的網絡安全服務提出了較高的要求。

（2）信息的保密性和完整性。由于政府網絡上存有重要信息，對信息的保密性和完整性要求非常高。信息可能面臨多層次的安全威脅，如通過電磁輻射或線路干擾等物理威脅、泄漏或者存放機密信息的系統被攻擊等威脅。同時針對網上報稅等電子政務應用還要求嚴格保障信息的完整性，這都需要從網絡安全角度整體考慮，配合統一的網絡安全策略并選擇相應的安全產品，保障網絡的信息安全。

7.3.2.2建設思路

（1）內外網物理隔離。一般來講，政府組織內部網絡可以根據功能劃分為電子政務網與辦公網兩部分。安全域是以信息涉密程度劃分的網絡空間。涉密域就是涉及國家秘密的網絡空間。非涉密域就是不涉及國家的秘密，但是涉及本單位、本部門或者本系統的工作秘密的網絡空間。公共服務域是指不涉及國家秘密也不涉及工作秘密，是一個向互聯網絡完全開放的公共信息交換空間。國家相關文件嚴格規定，政務的內網和政務的外網要實行嚴格的物理隔離。政務的外網和互聯網絡要實行邏輯隔離。按照安全域的劃分，政府的內網就是涉密域，政府的外網就是非涉密域，互聯網就是公共服務域。

（2）建立嚴格的防范機制。政府組織外部網絡面臨最大的威脅是來自互聯網的惡意攻擊行為，重在“防范”，通過部署防垃圾郵件系統、防病毒系統、入侵檢測系統、防拒絕服務攻擊系統，保證政府門戶網站對外宣傳。建立政府上網信息保密審查制度，堅持“誰上網誰負責”的原則，信息上網必須經過信息提供單位的嚴格審查和批準。各級保密工作部門和機構負責本地區本部門網上信息的保密檢查，發現問題，及時處理。

（3）遵循信息安全管理國際標準。改變我國的信息安全管理依靠傳統的管理方法和手段的模式，實現現代的系統管理技術手段。國際標準BS7799和ISO/IEC17799是流行的信息安全管理體系標準。其中的管理目標為數據的保密性、完整性和可用性，具有自組織、自學習、自適應、自修復、自生長的能力和功能，保證持續有效性。通過計劃、實施、檢查、措施四個階段周而復始的循環，應用于其整體過程、其他過程及其子過程，例如信息安全風險評估或者商務持續性計劃的安排等，為信息安全管理體系與質量管理體系、環境管理體系等的整合運行提供了方便。在模式和方法上都兼容，成為統一的內部綜合管理體系，包括按照可信網絡架構方法，編制信息安全解決方案、多層防范多級防護、等級保護、風險評估、重點保護；針對可能發生的事故或災害，制定信息安全應急預案，建立新機制、規避風險、減少損失；根據相應的政策法規在網絡工程數據設計、建設和驗收等階段實行同步審查，建立完善的數據備份、災難恢復等應用，確保實時、安全、高效、可靠的運行效果。

（4）建立健全網絡信息安全基礎設施。我國的網絡安全基礎設施建設還處于初級階段，應該盡快建立網絡監控中心、安全產品評測中心、計算機病毒防治中心、關鍵網絡系統災難恢復中心、網絡安全應急響應中心、電子交易安全證書授權中心、密鑰監管中心等國家網絡安全基礎設施。目前，國際出入口監控中心和安全產品評測認證中心已經初步建成。安全產品評測認證中心由安全標準研究、產品安全測試、系統安全評估、認證注冊部門和網絡安全專家委員會

很赞哦!（98986）