第三章 网络信息安全及防护



                  二、网络信息安全监管体系构建

                  （一）进一步落实网络信息安全防范
                  加强网站软硬件系统及管理制度的安全防范。在物理层安全方面，要加强对
              通信线路、物理设备、机房的安全管理；在系统层安全方面，要加强对操作系统

              的安全管理和防范，尽可能地排除操作系统本身的缺陷带来的不安全因素，包括
              身份认证、访问控制、系统漏洞、安全配置、病毒威胁等；在网络层安全方面，
              要加强网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程

              接入安全、域名系统安全、路由系统安全、入侵检测手段、网络设施防病毒等。
                  在企业内部管理制度方面，要制定严格的管理规范，包括：成立网络安全小组，
              确立安全小组负责人（单位领导任组长），确立组长负责制；组长落实小组人员

              岗位工作职责；配备一定数量的计算机安全员，须持证上岗；制定网络安全事故
              处置措施；制定计算机机房安全保护管理制度；制定用户登记制度和操作权限管
              理制度；制定网络安全漏洞检测和系统升级管理制度；制定交互式栏目 24 小时

              巡查制度；制定电子公告系统用户登记制度；制定信息发布审核、登记、保存、
              清除和备份制度，信息群发服务管理制度；制定违法案件报告和协助查处制度；
              制定备案制度等。
                  在网站安全保护技术措施方面，要求：具有保存 3 个月以上系统网络运行日

              志和用户使用日志功能，内容包括 IP 地址分配及使用情况、交互式信息发布者、
              主页维护者、邮箱使用者和拨号用户上网的起止时间和对应 IP 地址、交互式栏
              目的信息等；具备安全审计及预警措施，网络攻击防范、追踪措施，计算机病毒

              防治措施，身份登记和识别确认措施；交互式栏目具有关键字过滤技术措施；开
              设短信息服务的具有短信群发限制、过滤和删除等技术措施；开设邮件服务的，
              具有垃圾邮件清理功能等。
                  加强互联网行业从业人员教育培训。根据公安部、人事部于 1999 年联合下

              发的《关于开展计算机安全员培训工作的通知》相关要求，凡从事计算机信息网
              络国际联网的互联单位和接入单位的有关人员均需参加由公安、人事部门联合组
              织的统一教育培训与考核，考核通过后，由公安、人事部门认定其计算机安全员

              培训合格，并在合格证明材料上加盖省、自治区、直辖市计算机安全员培训考试
              专用章，方可继续从事互联网行业相关信息安全工作。


                                                                                   ·83·