黔南人才网网站安全隐患整改报告

都匀市公安局：  

自2018年1月26日接到都匀市公安局下发的《网络与信息安全限期整改通知书》匀公信安限字【2018】3号文件后，我公司技术部组织人力，针对检查后发现的问题，迅速修补安全漏洞，并对所属网站进行彻底检查，进一步完善安全防范措施，提高网络安全防范意识，有效增强了黔南人才网网站对有害信息的防范能力和防泄密水平。现将整改情况告知如下：

完成问题整改  针对通知附件的检测结果，我公司网站在防sql注入等方面存在一些问题。针对以上问题，我公司技术部组织大量技术人员，检测了整个网站的防注入隐患，制订了新的地址过滤算法，完成了网页地址过滤等工作。  

进一步提高网络与信息安全工作水平  

一是加强理论知识学习。建立学习制度，每半个月组织部门工作人员及专业技术人员，学习网络安全知识及网络信息保密的相关法律法规。通过学习，全面提高工作人员网络安全知识水平，尤其是在网络新病毒、网站新漏洞等网络安全技术方面，做到及时沟通、信息共享。  

二是加强网络与信息安全管理。通过“责任落实到人，工作落实到纸”的方法，全面加强网络与信息安全管理工作。我们设立了网站服务器安全员、机房管理员、网站检测员、网站后台技术员等，把责任具体到人，同时要求，各责任岗位要随时做好工作记录，各项工作最终落实到纸面。通过以上工作，我公司网站网络信息安全管理水平得到整体提高。  

三是建立健全信息网络安全制度。在工作中，进一步细化工作程序，建立各项工作制度。完善了服务器数据定期备份制度、网络信息发布签审制度等。通过完善各类制度，使网络安全信息工作有章可循，为做好黔南人才网网站信息网络安全工作，奠定了坚实的基础。  

在今后的工作中，我们将进一步加强学习，严格管理，完善制度，努力提升黔南人才网网站信息网络安全工作水平。    

2018年1月31日

附件1：

黔南人才网网站信息安全管理制度

信息发布登记制度

在信源接入时要落实安全保护技术措施，保障本网络的运行安全和信息安全；

对以虚拟主机方式接入的单位，系统要做好用户权限设定工作，不能开放 其信息目录以外的其他目录的操作权限。  

对委托发布信息的单位和个人进行登记并存档。  

对信源单位提供的信息进行审核，不得有违犯《计算机信息网络国际联网安全保护管理办法》的内容出现。  

发现有违犯《计算机信息网络国际联网安全保护管理办法》情形的，应当保留有关原始记录，并在二十四小时内向当地公安机关报告。

信息内容审核制度

必须认真执行信息发布审核管理工作，杜绝违犯《计算机信息网络国际联网安全保护 管理办法》的情形出现。

对在本网站发布信息的信源单位提供的信息进行认真检查，不得有危害国家安全、泄露国家秘密，侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。

对在BBS公告板等发布公共言论的栏目建立完善的审核检查制度，并定时检查，防止违犯《计算机信息网络国际联网安全保护管理办法》的言论出现。

一旦在本人才网发现用户制作、复制、查阅和传播下列信息的：

煽动抗拒、破坏宪法和法律、行政法规实施

煽动颠覆国家政权，推翻社会主义制度

煽动分裂国家、破坏国家统一

煽动民族仇恨、民族歧视、破坏民族团结

捏造或者歪曲事实、散布谣言，扰乱社会秩序

宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪

公然侮辱他人或者捏造事实诽谤他人

损害国家机关信誉

其他违反宪法和法律、行政法规

按照国家有关规定，删除本网络中含有上述内容的地址、目录或者关闭服务器。并保留原始记录，在二十四小时之内向当地公安机关报告。

信息监视、保存、清除和备份制度

为促进公司网站健康、安全，高效的应用和发展，维护国家和社会的稳定，杜绝各类违法、犯罪行为的发生，根据《计算机信息网络国际互联网安全保护管理办法》的规定，特制定本制度：

1.制度适用于本网站发布信息及网站用户发布信息。  

2.严格执行国家及地方制定的信息安全条例。

3.本网站自身发布的信息，必须认真检查，杜绝隐含下列行为的内容出现： 

（一） 煽动抗拒、破坏宪法和法律、行政法规实施；  

（二） 煽动颠覆国家政权，推翻社会主义制度； 

（三） 煽动分裂国家、破坏国家统一；   

（四） 煽动民族仇恨、民族歧视、破坏民族团结；  

（五） 捏造或者歪曲事实、散布谣言，扰乱社会秩序；   

（六） 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪； 

（七） 公然侮辱他人或者捏造事实诽谤他人； 

（八） 损害国家机关信誉；   

（九） 其他违反宪法和法律、行政法规。  

4.对网站引用的他人信息，必须注明来源。 

5. 对网站用户发布信息，必须首先经过程序核查，对其发布内容进行检查、过滤、限制。若发现其他网站有不良有害信息，应主动举报。   

做好备份工作，配合各类安全检查，一旦遇到不良信息，均按照国家有关规定，删除本网络中含有上述内容的地址、目录，并保留原始记录，在二十四小时之内向市公安局网监支队报告。 

病毒检测和网络安全漏洞检测制度

为保证公司网站的正常运行，防止各类病毒、黑客软件对我公司联网主机构成的威胁，最大限度的减少此类损失，特制定本制度：  

1、各接入单位计算机内应安装防病毒软件、防黑客软件及垃圾邮件消除软件，并对软件定期升级。  

2、各接入单休计算机内严禁安装病毒软件、黑客软件，严禁攻击其它联网主机，严禁散布黑客软件和病毒。  

3、网管中心应定期发布病毒信息，检测网站内病毒和安全漏洞，并采取必要措施加以防治。  

4、网站内主要服务器应当安装防火墙系统，加强网络安全管理。  

5、网管中心定期对网络安全和病毒检测进行检查，发现问题及时处理。 

违法案件报告和协助查处制度

1.各接入终端使用者应当自觉遵守网络法规，严禁利用计算机从事违法犯罪行为。 

2.对于本单位发生的计算机违法犯罪行为，各级网络安全管理员应当及时制止并立即上报网络管理中心，同时做好系统保护工作。  

3.对于所遭受到的攻击，各接入终端使用者同样应当上报网络管理中心，同时做好系统保护工作。  

4.各接入终端使用者有义务接受公司网络管理中心和上级主管部门的监督、检查，并应积极配合做好违法犯罪事件的查处工作。  

网站帐号使用登记审核管理制度

  1.凡符合条件的求职人员免费审核通过 

2.用工企业发布信息需要有工商营业执照副本复印件（加盖公章）或有关部门批准成立的文件；

   3. 任何账户用户享有完全平等的网络接入权。此权利不因账号建立的早晚、连网的先后而变化。 

4. 任何用户不得私自窃取他人上网账号。 

5. 黔南人才网服务器系统及网络设备由相关网络技术人员负责管理非授权人员不得擅自操作网络设备修改服务器及网络设备设置。 

6. 黔南人才网服务器系统、各类网络设备及其口令应予以保护口令应定期修改任何非系统管理员严禁使用、猜测、修改各类管理员口令。 

安全管理人员岗位工作职责

1、根据信息中心有关计算机和网络运行的条例对公司计算机和网络系统的使用进行规范化的管理，及时制止违规现象发生。    

2、对计算机和公司网络系统进行日常维护，做好网络设备的巡检工 作和安全防范工作，确保网络畅通无阻。  

  3、认真做好计算机和网络系统的数据记录、安全备份和用户管理工 作，保证各类运行数据记录的正确性和实时性。  

  4、为公司应用信息网络的工作提供技术支持，保证公司计算机和网络设备安全运行的环境要求。   

  5、 做好公司内网和 Internet 接入情况的监测工作， 及时向有关信息中心网管提供信息。   

  6、根据公司管理理念，策划、设计、制作和管理公司网站，负责公 司网站的信息发布和日常维护。   

  7、及时收集公司内外的动态信息，通过公司网站宣传公司取得的各项成果，扩大公司的影响。   

  8、为公司员工有效利用网站资源提供技术支持。  

  9、负责公司网站的安全防护和运行监控，做好网站运行数据的记录 和安全备份，及时向有关信息中心提供信息。   

  10、完成上级交办的其他工作任务。