2023年11月28日发(作者:)
xxxxx 科技有限公司
我司 xxxxx 科技有限公司在用户信息、 日志留存技术的设
计中严格按照 2022 年 3 月 1 日起施行的在 2005 年 11 月 23
日公安部部长办公会议通过,二 00 五年十二月十三日中华
人民共和国公安部令第 82 号发布的《互联网安全保护技术
措施规定》的第八条规定 ,既互联网平台应记录并存用户注
册信息;使用内部网络地址与互联网网络地址转换方式为用
户提供接入服务的,能够记录并留存用户使用的互联网网络
地址和内部网络地址对应关系;记录、跟踪网络运行状态,
监测、记录网络安全事件等安全审计功能的规定,在对网约
车后台系统的设计中,将留存用户注册信息并将以日志的形
式详细记录后台管理人员登录系统的 IP 地址、时间以及所
做的操作。
遵照 2022 年 7 月 14 日经交通运输部第 15 次部务会议通 过,
并经工业和信息化部、公安部、商务部、工商总局、质 检
总局、国家网信办允许,现予发布的《网络预约出租汽车
经营服务管理暂行办法》中关于网约车平台公司不得利用其
服务平台发布法律法规禁止传播的信息,不得为企业、个人
及其他团体、组织发布有害信息提供便利,并采取有效措施
过滤阻断有害信息传播。发现他人利用其网络服务平台传播
1
xxxxx 科技有限公司
有害信息的,应当即将住手传输,保存有关记录,并向国家
有关机关报告。网约车平台公司应当依照法律规定,为公安
机关依法开展国家安全工作,防范、调查违法犯罪活动提供
必要的技术支持与协助的规定,建立了完善的敏感词汇审查
系统和完备的通知、公告、活动等信息发布的管理流程.
通过日志留存设备检查是否能将单位用户身份信息、 计算
机终端内网 IP 地址、MAC 地址和上网所用账号进行有效绑定,
并任意找一个上网用户和其所使用的计算机终端,检查其对
应关系是否准确。
要求被检查单位的网络安全管理员告知单位内部是否存
在公用计算机 ,如果存在,则通过日志留存设备检查是否备
有公用帐号,并做好公用帐号的使用登记。
在被检查单位任选一台连接互联网的计算机终端访问互
联网任意网页,找到该网页互联网 IP 地址,再通过日志留
存设备以此为条件查找计算机终端.
查看该计算机终端上是否私自安装了代理上网软件, 检查
是否有电脑通过内网中其他计算机终端作为代理进行互联
网访问记录并留存用户登录和退出时间、主叫号码、账号、
互联网地址或者域名、系统维护日志的技术措施.
2
xxxxx 科技有限公司
在被检查单位任选一台连接互联网的计算机终端 ,通过日
志留存设备检查是否记录了这些上网行为;通过日志留存设
备,用最高级的管理员的权限对日志内的数据进行修改和删
除,并要求被检查单位的网络安全管理员告知单位内部重要
服务器的数量与在网络中的位置。 够设定网址、 关键字等),
并在其中设定特定网址和关键字,任选一台连接互联网的计
算机终端分别进行访问该网址。
在公共信息服务中发现、 住手传输违法信息, 并保留相关
记录。
查看日志留存设备中是否具有特定黑名单(能够设定网址、
关键字等) ,并在其中设定特定网址和关键字,任选一台连 接
互联网的计算机终端分别进行访问该网址,在论坛上发布 带
有关键字的帖子,发送带有关键字的邮件,检查是否能够 告
警、拦截和进行相关记录.
是否实施了破坏日志留存设备或者互联网公共上网服务场
所安全管理系统的行为 ;对于已落实日志留存的单位,应检 查
其是否实施下列行为:擅自住手或者部份住手日志留存设 备
运行;故意破坏日志留存设备;擅自删除、篡改日志留存 设
备运行程序和记录;擅自改变日志留存设备的用途和范围;
其他故意破坏日志留存设备或者妨碍其功能正常发挥的行 为。
3
xxxxx 科技有限公司
主要依据: 《互联网安全保护技术措施规定》第十条第一
款。罚则依据为《计算机信息网络国际联网安全保护管理办
法》第二十一条。
记录并留存用户注册信息。
通过日志留存设备检查是否能将单位用户身份信息、 计算
机终端内网 IP 地址、MAC 地址和上网所用账号进行有效绑定,
并查看该对应关系数据库(表),并任意找一个上网用户和其
所使用的计算机终端,检查其对应关系是否准确.
要求被检查单位的网络安全管理员告知单位内部是否存
在公用计算机,如果存在,则通过日志留存设备检查是否备
有公用帐号,并做好公用帐号的使用登记。
4
xxxxx 科技有限公司
具有单位用户身份信息、 计算机终端内网 IP 地址、Mac
地址和上网所用账号对应关系数据库(表);
抽查的对应关系准确。
保存有公用帐号;
记录公用帐号的使用者信息。
主要依据为《互联网安全保护技术措施规定》第十条第
三款,罚则主要依据为《计算机信息网络国际联网安全保护
管理办法》第二十一条.
记录并留存用户使用的互联网网络地址和内部网络地
址对应关系
在被检查单位任选一台连接互联网的计算机终端访问
互联网任意网页,找到该网页互联网 IP 地址,再通过日志留
5
xxxxx 科技有限公司
存设备以此为条件查找计算机终端.
查看该计算机终端上是否私自安装了代理上网软件,检
查是否有电脑通过内网中其他计算机终端作为代理进行互
联网访问。
准确记录互联网 IP 地址与所使用计算机终端内网 IP 地 址
的对应关系。
无此类现象.
主要依据为 (1)依据《互联网安全保护技术措施规定》
第七条第三款 ,罚则为《计算机信息网络国际联网安全保护
管理办法》第二十一条.
记录并留存用户登录和退出时间、主叫号码、账号、 互联
网地址或者域名、系统维护日志的技术措施。
6
xxxxx 科技有限公司
在被检查单位任选一台连接互联网的计算机终端, 通过日
志留存设备检查是否记录了这些上网行为。
通过日志留存设备提供的查询模块, 查找所对应的计算机
终端和其使用人。
通过日志留存设备, 用最高级的管理员的权限对日志内的
数据进行修改和删除,并要求被检查单位的网络安全管理员
告知单位内部重要服务器的数量与在网络中的位置。
强化密码策略, 加强用户口令长度与复杂度要求, 并定期
更换,降低受到口令猜测、 非授权访问的风险;开启失败登
录处理功能,如限制非法登录次数、 自动退出功能、 锁定
时间; 不同用户分配相应权限的帐户, 并确保用户名具有
惟一性。
7
xxxxx 科技有限公司
把 IIS 的自动日志保存功能和系统相结合的 Web 日志保存
方案并予以实现 .该方法能够更加全面地获取用户注册信息
和访问信息 .采用两种或者两种以上方式进行用户身份鉴别 .
制定用户权限表,并根据权限表进行用户权限分配 .操作系
统与数据库管理员分权管理,如安排不同的人员担任操作系
统与数据库管理员,并分配不同的帐号。
通过日志留存设备检查是否能将单位用户身份信息、 计算
机终端内网 IP 地址、MAC 地址和上网所用账号进行有效绑定,
并查看该对应关系数据库(表)。
能够保存用户注册信息和主要的用户访问信息,如用
户 IP 地址,访问时间,访问页面;
8
xxxxx 科技有限公司
能够自动保存在数据库或者文件中;
能够保存服务器的运行信息, 如发送字节数,接收字节
数和处理时间等。
1. xxxxx 管理平台对用户日志留存所采用的技术手段是将 IIS
的自动日志保存功能和系统相结合的一种 Web 日志保 存
技术手段.该方法能够更加全面地获取用户访问信息, 为
分析用户需求,改进 Web 站点网页结构提供了丰富的信 息;
用户访问注册信息直接存储在 Web 数据库中。
2. 该数据库有 3 个表:IISLog,GuestLog 和 BrowserLog。
BrowserLog 存放通过 JAVA 程序获得的用户浏览器信息
(类型,版本),GuestLog 存放通过 JAVA 程序获得的来宾
注册登记与留言; IISLog 存放其它由 IIS 自动存储的信 息.
数据库管理系统采用 MySQL。
3. Web 服务器程序设计与实现 :Web 服务器端的文件有 3 个
:index。java, 和 是站点的
入口。 获取用户浏览器消息和用户操作等功能放 在该文件。
9
xxxxx 科技有限公司
4. 应用会话记录和系统会话记录大于六十天。
5. 告警记录大于六十天。
通过日志留存系统,用最高级的管理员的权限对日志内的数
据进行修改和删除,并要求被检查单位的网络安全管理员告
知单位内部重要服务器的数量与在网络中的位置。
“xxxxx”平台采用阿里云云盾抗DDOS 服务,针对网站容易遭 受
攻击的应用类型, 重点针对黑客通过 DNS 解析即可得到网站的 真
实服务器、 通过对真实服务器发起 DDoS 攻击或者 CC 攻击使网 站
陷入瘫痪等问题,进行防护处理,可以做到:
海量 DDoS 清洗能力; 1000G+的 DDoS 清洗能力,可以完美防
御 SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、
SSDP Flood、DNS Flood、HTTP Flood、CC 攻击。
应用层防护;高防 IP 提供实时具备应用层抗 DDoS 攻击的能
力,重认证、身份识别、验证码等多种手段精确识别恶意访问和
真实访问者,针对网站类 CC 攻击均可谨防。
高防 IP 支持弹性扩容DDoS 和 CC 谨防能力, 阿里云平台曾经 谨
防过全球最大 DDoS 攻击和最大的 CC 攻击,给“xxxxx”平台网 络安全
增添了极大的保障。
10
xxxxx 科技有限公司
主机层采用阿里云安骑士服务 ,安骑士是一款主机安全软件,
通过安装在云服务器上轻量级的软件和云端安全中心的联动, 提
供漏洞管理、基线检查和入侵告警等功能。
全面的漏洞管理:通过检测服务器上安装软件的版本信息,
与 CVE 官方的漏洞库进行匹配, 检测出存在漏洞的软件并推送漏
洞信息(可检测如: SSH、OpenSSL、Mysql 等软件漏洞) ;共享
阿里云安全情报源 ,通过目录及文件的检测方案 ,检出 Web-CMS
软件漏洞,并提供云盾补丁。
安全配置全面核查,加固服务器:深度检测服务器上是否存
在黑客入侵后,留下的账户,对影子账户、隐藏账户、克隆账户
进行提醒;采集了常用的弱口令字典,检测 SSH、RDP 等服务是
否使用了弱密码
黑客入侵实时预警:记录所有登录记录 ,对于非常用登录的行
为进行实时提醒, 可自由配置常用登录地; 对非法破解密码的行
为进行识别,并上报进行拦截,避免被黑客多次猜解密码而入侵
公司盖章:
日期:2022 年 月 日
1
xxxxx 科技有限公司
1. xxxxx 管理平台具有黑名单功能,能够设定网址、关键字. 在
司机管理列表中,可通过查询公司、账号状态、联系方
式、车牌号、司机姓名等方式来搜索到指定的司机信息,
可对司机进行新增、查看详情、封号、导入及导出操作 ;
在乘客信息列表中, 可通过查询账号状态、 乘客联系电话
等方式来搜索指定的乘客信息。 并可乘客进行查看详情及
封号/解封等操作.--点击 “封号"或者“解封”,可对账号进 行封
号处理或者解除封号状态。 封号分为可长期性封号和 指定
解封日期的短期封号.
2。 xxxxx 管理平台能够对发布内容信息进行告警、拦截;
xxxxx 管理平台能够对投诉内容进行筛选管理; xxxxx 管理
平台能够对乘客评价信息进行拦截; xxxxx 管理平台能够对
短信发送内容进行处理和编辑能力; xxxxx 管理平台能够对
消息推送内容进行处理和编辑能力;
3、将所有自用组件进行隐藏和封装处理,但是以下暴露的组件
不能被隐藏, 因为外部第三方必须调用以下暴露组件进行功能的
实现, 如住手以下第三方应用组件,安卓版部份功能, 包括:启动
App,分享功能,微信支付功能, 360 加固功能,极光推送,文件
存储等功能, 将无法正常使用。 以下组件是受信任的第三方组件,
已经通过合作协议界定第三方应用调用功能的边界, 不会存在未
12
xxxxx 科技有限公司
经授权的调用其他功能的风险.
4、将 Zookeeper 所在服务器屏蔽外网访问,禁止外网连接服务
器。
5、DUBBO 的暴露端口实现程序之后相互通信,目前已改成内
网 之间访问, 服务器将 DUBBO 暴露端口关闭,只开 22、443 等端口,
访问 DUBBO 服务通过 Nginx 转发请求,避免端口暴露在外网。
6、前端请求后台校验后,若登录失败,后台将会清除当前session
的验证码信息, 并在前台重新调用一次刷新验证码方法, 使前端
验证按刷新,同时刷新后台当前 session 的验证码,若登录失败 后,
重新登录时,将刷新验证码请求屏蔽,此时提交表单,该验 证
码与后台验证码不一致,从而无法登录,并提示验证码错误 . 避
免刷新请求被屏蔽的问题。
xxxxx 科技有限公司
(盖 章)
日期: 2022 年 月 日
13
发布评论