社区运行以来,每隔一段时间会有人咨询站内信息安全情况,对此表示不解或者担忧,于是在此总结回答。我想这是好事,说明大家对于信息安全越来越重视了。信息安全是信息时代永恒的需求,信息安全是信息的影子。
Q&A
发表帖子为什么需要手机号?
依据法规:《互联网论坛社区服务管理规定》
第八条 互联网论坛社区服务提供者应当按照“后台实名、前台自愿”的原则,要求用户通过真实身份信息认证后注册账号,并对版块发起者和管理者实施真实身份信息备案、定期核验等。用户不提供真实身份信息的,互联网论坛社区服务提供者不得为其提供信息发布服务。
依据法规:《互联网用户账号信息管理规定》
第九条 互联网信息服务提供者为互联网用户提供信息发布、即时通讯等服务的,应当对申请注册相关账号信息的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。用户不提供真实身份信息,或者冒用组织机构、他人身份信息进行虚假注册的,不得为其提供相关服务。
依据法规:《互联网跟帖评论服务管理规定》
第四条(一)按照“后台实名、前台自愿”原则,对注册用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证,不得向未认证真实身份信息或者冒用组织机构、他人身份信息的用户提供跟帖评论服务。
个人页面为什么会显示归属地?
依据法规:《互联网用户账号信息管理规定》
第十二条 互联网信息服务提供者应当在互联网用户账号信息页面展示合理范围内的互联网用户账号的互联网协议(IP)地址归属地信息,便于公众为公共利益实施监督。
为什么需要操作证/执照认证?
站内操作证、执照认证,属于自助服务,非强制认证。通过认证的用户,前台会显示对应的标识,也会开放更多的服务和接口权限。
个人认证是怎么审核的?
操作证认证全程由系统自动完成,不会有人为介入。
执照认证由 @BG5UWQ 依据多因素进行定期审核,没有第三方参与。
社区主体为什么是一家公司?
论坛社区类的开设,需要公司资质。
本站已完成对应的 ICP 备案,公安备案,已按照要求放置于站点底部下方。
数据会共享给第三方吗?
请参考本站:《隐私政策》
社区会对您的个人信息和其它数据进行严格保密,并严格按照中华人民共和国相关法律法规处理您的个人信息。我们会根据您的同意和其它可处理您个人信息的法律依据收集、使用、存储、共享和转移您的个人信息。
发帖为什么需要审核?为什么只允许发送图片?
为了保障社区内容安全,本站使用阿里云计算有限公司提供的内容安全检测服务,每一条内容都会进行「先审后发」。
预防站内出现的版权、信息安全等问题,目前的发帖仅允许发表图片,不允许上传 PDF、压缩包、二进制等文件。
为什么发帖后不允许修改?
发帖采用了 Markdown 格式,发帖前允许用户进行预览,所以请您发布前,可以先进行内容检查。
发帖后,社区提供了 10 分钟的修改窗口期,10 分钟后将固定文章内容,追加内容可在评论区新增。
这样设计是希望每个人都对自己发表的内容负责。
本系统做等保了吗?
依据 《信息安全技术 网络安全等级保护定级指南GB/T 22240—2020》提到的:
4 定级原理及流程
4.1 安全保护等级
根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能 或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织 的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:
a) 第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但 不危害国家安全、社会秩序和公共利益;
b) 第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害 或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;
c) 第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全 造成危害;
d) 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家 安全造成严重危害;
e) 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。
4.4 定级流程
安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据本标准自行确定最终安全保护等级,可不进行专家评审、主管部门核准和备案审核。
本社区系统,目前自主定级为第一级等级保护对象。
*注:二级等保,在厦门区域单次费用(每两年需要进行一次),目前厦门信网安检测技术有限公司的报价为:定级备案 8200 元,测评费用 45000 元,专家费 1800 元(三位)。
社区全站使用 SSL 数字证书加密通信,所有敏感数据均加密存储。社区的信息安全工作,将会根据不同的运行状态时刻做好调整,我们在有限的能力范围极力保护用户的信息安全。
以最近为例,社区所使用的 Flarum 框架 Core 由 1.6.3 升级至了 1.8.3,并采用了 WAF 防护。在 Flarum 框架升级后,发现了用户名校验、中间件校验存在问题,便放弃 Flarum 的存储机制,降低隐患,将全站的敏感信息脱离 Flarum 框架进行存储。
下图简单介绍了近期更改的敏感数据存储方式:加密密钥泄露没事,数据库泄露也没事,代码泄露也没事,三者同时泄露才会出问题。在未来可能加入的开发人员中,不会有任何一方有办法获取到所有要素。
本站所做的相关工作,仅是信息安全行业里的冰山一角,信息安全的攻防没有最高水平,没有十分安全的系统,信息时代里,每年都会有大大小小的安全事件发生,如果要完全做到信息安全,那只能是「涉密不上网」,从你连上互联网的那一刻,就要做好准备。
感谢各位的支持与信任,73。
闽ICP备2021006864号-7
闽公网安备35020602002794号