编号6网络和交易安全

保障网络和交易安全的管理制度及措施

XXX大药房连锁有限公司

1、目的：确保网络交易安全。

2、依据：《互联网药品信息服务管理办法》

3、适用范围：网络交易安全管理。

4、职责：网络交易安全管理员。

5、内容：

5.1、为加强网站安全管理，确保本网站的整体安全，根据《中华人民共和国计算机信息系统安全保护条例》等有关规定，制定本措施。

5.2、公司网站管理小组负责组织指导、协调网站的统筹规划，建设管理工作及指导、检查网站的安全工作。由信息部具体承办网站的建设、运行维护和日常管理。

5.3、网站的建设应坚持为客户安全服务的原则。

5.4、网站采用托管主机方式，网站安全运行及网络管理由信息部负责。

5.5、网站在建设和运行中，要加强安全措施，制订完善的安全管理制度，增强安全技术手段。保证网站每天24小时正常开通运转，以方便公众访问。

5.6、建立网站信息更新维护责任制。各部门应明确分管负责人、承办部门和具体责任人员，负责本部门网站日常维护工作，并建立相应的工作制度。

5.7、定期备份制度。网站应当对重要文件、数据、操作系统及应用系统作定期备份，以便应急恢复。特别重要的部门还应当对重要文件和数据进行异地备份。

5.8、口令管理制度。网站应当设置网站后台管理及上传的登录口令。不应与管理者个人信息、单位信息、设备（系统）信息等相关联。严禁将各个人登录帐号和密码泄露给他人使用。

5.9、建立安全测评制度。

5.10、网站定期检测制度。网站应及时对网站管理及服务器系统漏洞进行定期检测，并根据检测结果采取相应措施。及时对操作系统、

数据库漏洞进行修补和升级，防止被黑客利用和入侵。

5.11、客户端或录入电脑安全防范制度。网站负责人、技术开发人员和信息采编人员所用电脑必须加强病毒、黑客安全防范措施，必须有相应的安全软件实施保护。确保电脑内帐号、密码及资料的安全、可靠。

5.12、应急响应制度。网站管理人员应当充分估计各种突发事件的可能性，做好应急响应方案。同时，要与岗位责任制度相结合，保证应急响应方案的及时实施，将损失降到最低程度。

5.13、安全事件报告及处理制度。网站在发生安全突发事件后，除在第一时间组织人员进行解决外，应当及时向网站管理小组报告。

5.14、人员管理制度。网站应当制定详细的工作人员管理制度，明确工作人员的职责和权限。要通过定期开展业务培训，提高人员素质，重点加强负责系统操作和维护工作的人员的培训考核工作。同时，规范人员调离制度，做好保密义务承诺、资料退还、系统口令更换等必要的安全保密工作。

5.15、网站管理小组定期检查各部门信息采集报送、运行管理及更新维护情况。

保障网络交易安全的措施

第一、硬件设施保障措施

本网站服务器的标准机房环境，包括：空调、照明、湿度、不间断电源、防静电地板等。做用BGP高速互联互通线路做为接入网络。系统主机的应用模式决定了系统将面向大量的用户和面对大量的并发访问，系统要求是高可靠性的关键性应用系统，要求系统避免任何可能的停机和数据的破坏与丢失。系统要求采用最新的应用服务器技术实现负载均衡和避免单点故障。

1、网站系统主机硬件

服务器：强氧RS1600TH 1U机架式

防火墙：思科－ASA5505-SEC-BUN-K9

2、服务器配置原则

(1)处理器的负荷峰值为70%；

(2)处理器、内存和磁盘需要配置平衡以提供好效果；

(3)磁盘(以镜像为佳)应有30-40%冗余量应付高峰；

(4)内存配置应配合数据库指标；

(5)I/O与处理器同样重要。

3、服务器系统的存储能力

系统的存储能力主要考虑用户等数据的存储空间、文件系统、备份空间、测试系统空间、数据库管理空间和系统的扩展空间。

4、服务器系统的扩容能力

系统主机的扩容能力主要包括三个方面：性能、处理能力的扩充－包括CPU及内存的扩充；存储容量的扩充－磁盘存储空间的扩展；I/O能力的扩充,包括网络适配器的扩充及外部设备的扩充。 第二、软件系统保证措施

操作系统：Windows Server 2003 R2 Enterprise Edition SP2 IIS：IIS 6.0

数据库：SQL Server 2000 SP4

杀毒/防火墙：ESET Smart Security 4 Business Edition 操作系统上建立了严格的安全策略和日志访问记录。保障了用户安全、密码安全、以及网络对系统的访问控制安全、并且记录了网络对系统的一切访问以及动作。

1、平台的性能设计

可伸缩性：允许开发系统和应用程序，以简单的方式满足不断增长的业务需求。

安全性：利用各种加密技术，身份和授权控制及会话安全技术，以及Web安全性技术，避免用户信息免受非法入侵的损害。

完整性：系统实现可靠、高性能的分布式交易功能，确保准确的数据更新。

可维护性：能方便地利用新技术升级现有应用程序，满足不断增长的企业发展需要。

互操作性和开放性：中间件技术应基于开放标准的体系，提供开发分布交易应用程序功能，可跨异构环境实现现有系统的互操作性。能支持多种硬件和操作系统平台环境。

2、网络安全方面

采用ESET Smart Security 4 Business Edition（集成软件防火墙），杜绝病毒对系统主机的感染，有效防范黑客及木马的攻击。

入侵检测：专业的安全软件，提供基于网络、主机、数据库、应用程序的入侵检测服务，在防火墙的基础上又增加了几道安全措施，确保系统的高度安全。

漏洞扫描：定期对系统主机及应用系统进行安全漏洞扫描和分

析，排除安全隐患，做到安全防患于未然。

应急响应服务机制：当计算机或网络系统遇到安全事件时，服务器提供紧急响应和快速救援与恢复服务。

备份还原系统：服务器提供备份策略，对配置环境、应用程序、数据库，每天进行备份，且数据库部署了冷备服务器，与主服务器实时同步。

第三、管理应用措施

为了保障网站系统安全稳定运行，特制订以下管理措施和制度。

1、机房管理

机房管理主要包括机房人员管理、机房设备管理、机房综合管理。机房是放置系统服务器的地方，所以一定要做好机房管理措施和制订机房管理制度。

1.1、机房人员管理

机房的管理人员首先应该有过硬的技术，能够及时处理机房中软件、硬件、网络等突发情况，并能对未发生的状况有一定的预见性。其次，管理人员应该有高尚的道德，不能对机房的任何设各有恶意损坏、恶意攻击其它计算机甚至盗窃机房设备的想法。最后机房管理人员应该有很强的责任心。应该肩负一个机房的维护、建设、保护等多重任务。

机房人员管理包括：（1）出入管理 ；（2）操作人员管理；（3）值班人员管理；（4）机房参观管理。

1.2、机房设备管理

设备管理包括：（1）设备登记、编号；（2）设备状态定期检查；

（3）设备借用；（4）设备采购；（5）设备报废；（6）硬件日常维护；

（7）硬件特殊维护；（8）系统软件维护；（9）应用软件维护；（10）线缆管理；（11）数据安全。

1.3、机房综合管理 机房综合管理指其它一切有利于机房运行的管理措施，用电安全等。

(1)值班人员和操作人员应熟悉机房内部消防安全操作和规则，了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。并不定期对机房内设置的消防监控设备进行检查，以保证其有效性。

(2)应保证机房内的整洁，每周对主机房、电池间、消防间、配电间等进行一次清洁;对人员经常活动的区域，应每天进行清洁。

(3)机房内严禁吸烟、喝水、吃食物、进行剧烈运动。

(4)机房内禁止放置易燃、易爆、腐蚀、强磁性物品。

(5)值班人员须经常注意机房内温度、湿度、供电系统是否正常，如没有相应管理软件，应定时远程登录或实地察看相关设备运行数据。空调等重要设施由专人操作，严禁随意开关。

(6)机房管理人员，未经批准不得将工作记录或其它保密资料带出机房。

2、数据备份管理

数据备份是保障网络安全的一个重要措施，必须做好数据备份、恢复等管理和制度相关的管理制度。

2.1、备份的基本要求

1、正式使用的应用系统、操作系统、数据库系统、网络系统等业务数据和系统数据必须进行有效备份且具备可复原性。

2、备份数据必须定期、完整、真实、准确地转储到永久介质上，并明显标识。

3、应定时检查备份文件中是否存在备份实在的记录，如发现有备份任务失败的记录，需要检查故障原因，并进行排除。

4、备份人员必须认真、如实、详细填写《数据备份记录表》以备后查。

2.2、备份介质

1、备份介质要有专人负责保管工作，备份介质要严格管理，妥善保存，必要时可建立专门的管理制度

2、备份介质应该指定的数据保险室或者指定场所保管，保存地点应有防火，防热，防潮，防尘，防磁，防盗设施。

3、备份介质要集中和异地保存，按照各系统规定的保存期限存放。

4、备份介质要根据其存储数据的最高密级，确定介质密级，涉密介质和普通应该分别管理，涉密介质按照密级纸质文件的管理要求，进行登记，审批，手法，传递，存放，并由专人负责保管，存储过涉密信息的媒体不能降低密级使用，不再使用的相关介质应按有关规定在指定单位及时消磁，销毁，涉密介质遗失应立即向本单位及上级保密部门报告并组织查处。

2.3、数据恢复

1、一旦发生系统故障或者数据破坏等情况，要有相关管理员进行备份数据的恢复，迅速恢复系统，确保系统正常运行。

2、定期进行备份数据恢复测试，测试应在测试环境中进行，严禁在正式使用的系统中恢复测试。

3、恢复测试内容包括备份数据恢复，系统恢复，故障排除等内容，如果发现不能恢复的数据需及时进行检查，确保备份数据的有效性。

4、数据恢复测试结束后，应记录测试的真实步骤，结果及改进措施等。

5、恢复确认不存在的问题后，要及时清理测试环境数据。

2.4、数据保密

1、根据数据的保密规定和用途，确定使用人员的存取权限、存取方式和审批手续。

2、禁止泄露、外借和转移业务数据信息。

3、备份的数据必须制定专业人员负责保管，有备份人员按照规定的方法同数据保管员进行数据的交接。

3、人员管理

由信息部订制人员管理制度，凡涉及到本网站的人员都要严格遵守本制度。

人员管理制度

第一条：组织全体管理员认真学习《计算机信息网络国际互联网安全保护管理办法》，提高对维护网络安全的警惕性和自觉性。

第二条：负责对本网络用户进行安全教育和培训，使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的网络安全知识。

第三条：加强对信息发布的管理工作。

第四条：网站必须由专人负责管理，遇到电脑有问题时，要及进处理和维修。

第五条：其它人员未经同意，不得擅自更改网站帐户、密码等，以免造成不必要的事情发生。

第六条：网站的商品信息发布内容不准随意发布。

第七条：网站所发布的商品信息内容未经批准，不得擅自进入本网后台管理中心更改本网的信息内容。

第八条：所涉及到保密的信息和网站安全问题，不得随意公布。

第九条：要按照国家保密制度严格执行。

第十条：未经允许的人员不得进入计算机信息网络或者使用计算机信息网络资源。

第十一条：未经允许的人员不得对计算机信息网络功能进行删除、修改或者增加。

第十二条：未经允许的人员不得对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加；

第十三条：不得故意制作、传播计算机病毒等破坏性程序的。 第十四条：不得从事其他危害计算机信息网络安全的活动。 第十五条：网站的内容要充实、及时、准确。

第十六条：所发布的产品信息要按公司产品内容发布，不得发布虚假信息。

第十七条：要反映出公司网站发展的特点和优势。

第十八条：要及时增添新的产品内容，发布网站动态、媒体报道等。 第十九条：要及时回复客户评论、投诉、建议和提出的知识问题。 第二十条：要通过定期开展业务培训，提高人员素质。

第二十一条：要重点加强负责系统操作和维护工作的人员的培训考核工作。

第二十二条：人员调离后，做好保密义务承诺、资料退还、系统口令更换等必要的安全保密工作。

第二十三条：本制度即发布之日起实施。