近年来项目的一些重要记录

一,内容限制和审核
1,产品中所涉及的广告内容不能违规,不能有VPN能国家禁止的一些广告内容;

2,内容信息的敏感字过滤和审查&审核机制;
[1],用户发布的信息必须有审核机制才能公共显示;
[2],系统自查机制,发布时候有敏感词过滤(最好前台也有判断,后台可动态增加敏感词);
[3],评论内容也需要进行审核再展示;
[4],最重要的一点,必须有特定的人员进行内容/评论的审查,这里不仅仅包括文字,还有图片和视频内容;

3,某用户内容频繁违规,因如何处理:
[1],对违规内容的删除和隐藏(主要);
[2],对用户的警告通知;
[3],限制用户部分功能;
[4],封禁用户;
[5],严重可报警立案;

4,必须有网络安全事件应急预案,以下几点预案仅供参考,其余总结了一些个人认为应急时的可行预案:
个人:
[1],服务器的及时手动关闭;
[2],不定时手动备份数据库或服务器镜像,且记录时间;
[3],技术人员对服务器漏洞的监察;
[4],部分网络恶意多次请求,可封禁IP段;

预案:
[1],漏洞管理预案:对系统中可能存在的漏洞进行监控和管理,定期进行漏洞扫描和修复,并及时发布安全补丁以确保系统的安全。
[2],病毒防范预案:定期更新病毒库,加强系统安全防护,对病毒事件进行紧急处理。
[3],网络攻击应急预案:建立网络攻击事件的应急响应机制,及时阻止攻击行为,保护系统的安全。
[4],数据备份和恢复预案:制定数据备份和恢复计划,确保系统的数据可以及时备份和恢复。
[5],安全审计和监控预案:对系统的安全状况进行审计和监控,发现异常情况及时报警并进行处理。
[6],安全意识教育预案:加强员工安全意识教育和培训,提高员工对网络安全问题的认识和应对能力。


服务器的一些保护措施:

[1],更新系统和软件补丁:服务器操作系统和软件需要定期更新最新的补丁,以修复已知漏洞和强化系统安全性。
[2],配置强密码:设置强密码,包括数字、字母和符号,长度不少于8位,避免使用常见密码和弱密码。
[3],禁用不必要的服务和端口:禁用不必要的服务和端口,减少攻击面,提高服务器的安全性。
[4],安装防火墙:安装防火墙,限制入站和出站流量,可以有效保护服务器免受恶意攻击。
[5],安装杀毒软件:安装杀毒软件和恶意软件检测工具,能够及时发现和清除病毒和恶意软件,防止其破坏服务器。
[6],加密传输数据:对敏感数据进行加密传输,如使用SSL/TLS协议进行网站访问和数据传输,避免信息泄露和篡改。
[7],定期备份数据:定期备份服务器数据,以备不时之需,同时备份数据也可以恢复因数据丢失或损坏而导致的损失。
[8],控制访问权限:对服务器的访问进行严格控制,设置合适的访问权限,避免未经授权的人员访问服务器。
[9],审计日志:开启系统审计日志,记录系统操作和事件,有助于检测和排查异常情况。

二,用户数据的保存和清除
1,用户信息保护,不能将用户信息卖给第三方,不能因为系统漏洞而被其他组织机构获取;

2,用户信息的保密性和留存(登录日志及注册信息的必须留存),留有备份为以后调查取证所用;

3,用户主动注销账户后,个人信息去向问题。《个人信息安全规范》《数安办法》均提出了”注销后应及时删除其个人信息或做匿名化处理”;
“在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态”;
“因法律规定需要留存的个人信息应妥善保管,不能将其再次用于业务场景”;

注销状态表述:
[1],删除用户在平台的特定账户;
[2],注销账户后,用户无法再通过该账户登陆平台、查询信息;
[3],再次注册时,该用户视为平台的新用户。

三,部分法律法规的学习;

《个人信息保护法》
http://scjgj.cq.gov.cn/zz/wsjjjskfq/zwgk/fdzdgknr_146781/lzyj_146821/fg/202204/W020230106411772820729.pdf

《网络安全法》
http://www.zgyq.gov.cn/zwzxrdzt/xfzl/202208/t20220819_76128304.html

《网络信息内容生态治理规定》
http://www.cac.gov.cn/2019-12/20/c_1578375159509309.htm

《即时通信工具公众信息服务发展管理暂行规定》
http://www.lzwxb.gov.cn/hdmbi/bas/col_detail.php?id=389

一些设想策略:

1,部分用户注册时,前台和后台进行敏感词过滤;
2,脱敏显示;
3,发布时,后台进行敏感词匹配,如果内容违规,则提交时直接阻拦;
4,反垃圾系统;
5,人工审核。

反垃圾系统具体:
1,黑产/广告用户注册,可根据地区,ip,手机号进行封禁或禁止注册使用;
2,内容方面进行拦截或者删除,具体有用户昵称、头像、发布的文字、图片、视频,以及评论的内容;
3,可根据发帖频率,操作不当频率,用户举报次数作为依据进行审核;
4,发布的图片和视频等内容,因成本原因,人工进行审核,后台管理系统实时排查且审核;
5,根据用户发布的内容(用户昵称、帖子、评论),每日凌晨12:00,系统定时开始反垃圾系统,再次进行审核当日用户发布内容,防止遗漏;

第三方API策略:
阿里内容安全审核:
https://www.aliyun.com/product/lvwang?spm=5176.21176964.J_4VYgf18xNlTAyFFbOuOQe.231.52406d64scA6Zt&scm=20140722.X_data-da871adc2d18323bf98a._.V_1

腾讯内容安全审核:
https://www.tencentcloud.com/zh/products/tms?from_qcintl=click_common_product_center_level7-no.4_item2_nav&ext1=%E4%B8%9A%E5%8A%A1%E5%AE%89%E5%85%A8&ext2=%E6%96%87%E6%9C%AC%E5%86%85%E5%AE%B9%E5%AE%89%E5%85%A8

Leave a Reply

Required fields are marked *