(站点名)平台安全防护措施
网页app网络与信息的安全不仅关系公司业务的正常开展,同时还将影响到国家的安全、社会的稳定。(站点名)作为本地化的新媒体运营及技术服务提供商,对内部的网络与信息的安全极其重视。分别从物理网络主机业务以及制度等层面来保证平台安全具体措施如下
一、物理层面
1.(站点名)网站服务器均采购阿里云服务,并且是阿里云华东1区的重要客户,由阿里云苏州分公司提供专属保障服务。(站点名)网络在阿里云租用各类云资源服务实例愈千个,借助阿里云强大的云计算能力以及安全、稳定、可伸缩的保障能力,为(站点名)的用户提供持续、可靠的互联网服务。
2.(站点名)网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。同时,通过云端网络机房以及阿里云华东1区机房实现了数据异地备份,即便发生地震、火灾、洪水等重大自然灾害也可以确保用户数据安全无虞,并能在最短时间内恢复用户数据及互联网服务访问。
网络层面
1.在外部网络安全层面,(站点名)网站采用区域访问隔离技术,对省内和省外用户采取不同的安全防护措施,针对省外乃至国外用户使用了阿里云严格的人机识别技术,过滤恶意机器访问与黑客攻击。针对省内用户采用服务器端构建本地软件WAF防火墙系统来进行安全防护与过滤。(根据自身情况,选择性填写)
2.在互联网接入层采用阿里云WAF旗舰版,支持自动防护漏洞、多重动态防御、防扫描探测、全场景流量管理于爬虫防控、API安全防护、敏感信息泄露防护,页面防篡改等强大的安全防护功能,有效的保护和抵御来自外部网络的各种黑客行为与黑客攻击;在服务器网络层采用阿里云VPC网络隔离技术对业务进行网络分组,建立安全边界和不同安全策略加强服务器的安全控制。(根据自身情况,选择性填写)
3.在服务器端,(站点名)运维技术团队结合自身的技术优势,自研精细的waf防护系统,利用更细致的防护策略抵御各类数据爬虫,恶意访问行为、CC攻击等非法访问请求。
4.服务器端的访问上,运用阿里云ECS安全组配置以及服务器系统层面的iptables服务,屏蔽一切不必要的端口访问,仅开放相关业务层端口访问。
5.(站点名)运维技术部通过多年的技术及经验积累,内部形成一整套的安全管理策及机制,比如通过自动系统部署系统来确保系统运行环境的安全一致性和稳定性、合规性;通过自动发布系统来确保发布代码的一致性,提升网站服务的稳定性和可靠性。
主机层面
1.(站点名)针对服务器的管理采用堡垒机管理方式,所有linux服务器全部采用密钥认证,并仅授权堡垒机访问,所有运维和开发人员必须通过堡垒机登录服务器来完成日常维护操作,通过堡垒机记录运维和开发人员的操作内容,同时对敏感操作,如数据导出、删除等实施先审后执行的策略,确保内部运维安全和数据安全。(根据自身情况,选择性填写)
2.(站点名)针对服务器采用阿里云安骑士安防产品,主动对主机层面的后门文件,DDOS木马文件以及系统文件被污染等安全事件进行检测,避免主机遭受攻击。能够对主机进行漏洞检测,发现漏洞,可以主动修复处理。切实保障主机层面的安全。
3.严格按照国家相关法律法规及监管部门的要求做好访问日志的留存。网站具有保存六个月以上的系统运行日志和用户使用日志记录的功能,内容包括IP地、访问页面,客户端信息、请求数据信息等,并对网站访问日志进行异机备份,集中存储,并部署有日志分析系统。
业务层面
1.针对用户交互内容,(站点名)还另外开发了用户发帖日志系统,用于记录用户信息、用户发贴行为、手机信息、位置信息等身份登记和识别确认功能,对非法贴子或留言能做到及时审核、删除并配合监管部门进行信息安全管控。
2.(站点名)客户端层面,对用户基本信息,比如用户密码,手机号中间几位数字信息都进行了相关隐藏处理。用户端的操作基于角进行了相关的权限控制。
3.业务上对异常注册用户,绑定手机号或疑似设备都有关联监控,对一设备绑定多账号,一账号关联多设备的用户都会实施监控,方便及时做封禁处理。
制度层面
1.严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。
2.网站信息的更新内容全部由公司职业素养较高、专业水平较好,有强烈的责任心和责任感的网站工作人员来完成或审核。所有网站相关信息发布之前都会经过人工智能审核平台初审,再由工作人员人工复审,确保信息发布内容符合国家的有关法律、法规,以及当地政府的相关规定。
3.遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。
4.网站所有访问信息都及时备份,并按照国家有关规定保存不低于6个月内的系统运行日志和用户使用日志记录。
5.制定并遵守安全教育和培训制度。加大宣传教育力度,增强员工网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。
6.尊重并保护用户的个人隐私,在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不得公布与用户个人身份有关的资料,除非因法律或者执法机关的执法要求。
7.严格遵守网站用户帐号使用登记和操作权限管理制度,对用户信息专人管理,严格保密,未经允许不得向他人泄露。
8.公司定期对相关人员进行网络信息安全培训并进行考核,使相关人员能够充分认识到网络安全的重要性,严格遵守相应规章制度。
9.公司严格执行本规章制度,并形成规范化管理,建立健全信息网络安全小组。安全小组由单位领导负责,网络技术、客户服务等部门参加,并确定至少一名安全负责人作为突发事件处理的联系人。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。