Four Hints for Office Safety

1.         Bulky objects should not be stored at high cabinets, it should be keep clear for all high cabinets.

2.         Make sure the pathway is clean and clear, please remove all unusable objects along the corridor.

3.         Any broken electrical plugs, sockets or equipment should be removed.

4.         Overloaded sockets should be separated the plug.

GDPR compliant

On May 25, 2018, the GDPR (General Data Protection Regulation) will go into effect and change how organizations deal with personal data of EU citizens. Though GDPR was built to protect Europeans, it will affect organizations around the world doing business in the EU. In preparation, you have to update your Terms of Use and Privacy Policy to give client more control over their data and make it more clear how to use client data. All client, not just those in the EU, will have the same data privacy rights.

搭建Shadowscoks和VPN翻墙

1 为什么翻墙

作为一个技术人员, 最常用的就是Google、StackOverflow、Github这些网站, 工作期间几乎每分钟都在用。

另外,偶尔也上上Facebook、YouTube、草榴以及Porn, 娱乐一下自己。

如果不能翻墙, 几乎就是鱼离开了水, 人离开了空气, 感觉一刻都不能待下去。

2 常用的翻墙方法

常用的翻墙方法是:

1 购买一台大陆以外的服务器,搭建VPN或者ShadowScoks。

2 购买第三方的代理服务。 (我试用过后,觉得速度不可控,而且限制多。 况且我们公司人多, 算下来不如自己搭建划算)

3 使用自由门、GoAgent(速度比较慢、经常不能用、mac或者手机上用不了)

我用的电脑是Mac, 电脑支持VPN、ShadowScoks, 手机是iPhone, 没有越狱,不支持ShadowScoks。

ShadowScoks支持自动代理模式,国内的不走代理,国外的走代理,而且能自定义。

而VPN只能完全代理。 所以我决定Shadowscoks和VPN都搭建。 电脑上主要用Shadowscoks,手机上用VPN。

那么,如何选择一家合适的代理服务器呢?

国外比较知名的云服务运营商有有Linode、DigitalOcean等, 费用基本10美元一个月。ping值在200左右。

国内阿里云也有香港和美国节点,香港节点价格117元/月, ping值在50左右。

之前2年用的是linode, 一直比较稳定,但是最近, 速度实在太慢了, 决定签回阿里云香港试一下。 在这里做个记录。

3 实施

3.1 购买服务器

在阿里云后台,购买 1核CPU 1GB内存 的服务器, 操作系统选择的是 CentOS 7.0 64位, 价格117元/月。

3.2 使用Shdowsocks翻墙

1) 安装Shdowsocks服务端

登录阿里云服务器, 执行以下命令

# 安装pip
yum install python-pip

# 使用pip安装shadowsocks
pip install shadowsocks

2) 配置Shdowsocks服务,并启动

新建 /etc/shadowsocks.json 文件, 并写入以下内容

{
	"server":"remote-shadowsocks-server-ip-addr",
	"server_port":443,
	"local_address":"127.0.0.1",
	"local_port":1080,
	"password":"your-passwd",
	"timeout":300,
	"method":"aes-256-cfb",
	"fast_open":false,
	"workers":5
}

注意修改 server 和 passwordworkers 表示启动的进程数量。

然后使用以下命令启动: ssserver -c /etc/shadowsocks.json -d start

3) 使用本机Shdowsocks客户端, 连接服务端上网

如果用的是mac, 上网站 https://sourceforge.net/projects/shadowsocksgui/ 下载客户端。

安装完后进行如下配置:

shodowsocks client config

如果是windows, 上面的网站也有客户端下载链接。

如果是android, 参考网站 https://github.com/shadowsocks/shadowsocks-android

如果是iPhone, 那你用不了shadowsocks, 只能用下面的VPN了。

3.3 使用VPN翻墙

VPN 隧道协议PPTP、L2TP、IPSec和SSLVPN(SSTP,OpenVPN)中安全性逐级提高,相应的受到墙的干扰逐级减弱。 考虑到跨平台,PPTP穿透力及安全性,这里搭建支持 ikev1/ikev2 的 Ipsec VPN,适用于iOS、Android、Windows 7+ 、MacOS X,及Linux。 为了兼容Windows 7以下的系统,同时搭建L2TP/IPSec支持。

Info Source: http://yijingping.github.io/2016/11/29/fanqiang.html

read more

电信业务信息安全责任承诺书

XXX通信有限公司东莞市分公司:

为切实加强广东联通电信业务的安全使用和规范管理,维护国家安全和社会稳定,保障社会公众利益和公民合法权益,保障其它客户的合法权益,根据国家相关法律法规对信息(注:本承诺书所指的信息,是指运行在贵司的通信和计算机网络上并由我单位负责提供的任何介质的信息,包括但不限于语音信息、移动通信信息、互联网信息等,若相关法律法规对此有专门定义且与本处所指定义不一致的,以相关法律法规规定的为准)安全管理的要求,我单位承诺并保证遵守以下各项规定(以下规定包括通用条款和专用条款,通用条款完全适用于我单位,专用条款中与我单位使用贵司的实际业务情形一致)。
第一部分 通用条款
一、遵守国家有关法律、行政法规、行政规章和贵司的有关规定,严格执行信息安全管理规定。
二、对我单位发送信息的真实性、准确性、合法性负责。我单位发布的内容必须严格遵守《中华人民共和国电信条例》有关规定,不得发布和传播有害信息,不得散发传播违法、不健康反动等信息,不得违规制作、发布、传播任何含有“九不准”内容的信息、不开展“六不许”不允许的内容。
“九不准”,即:
1. 反对宪法所确定的基本原则的;
2. 危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
3. 损害国家荣誉和利益的;
4. 煽动民族仇恨、民族歧视,破坏民族团结的;
5. 破坏国家宗教政策,宣扬邪教和封建迷信的;
6. 散布谣言,扰乱社会秩序,破坏社会稳定的;
7. 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
8. 侮辱或者诽谤他人,侵害他们合法权益的;
9. 含有法律、行政法规禁止的其他内容的。
“六不许”,即:
1. 决不允许在群众中散布违背党的理论和路线方针政策的意见;
2. 决不允许公开发表同中央的决定相违背的言论;
3. 决不允许对中央的决策部署阳奉阴违;
4. 决不允许编造、传播政治谣言及丑化党和国家形象的言论;
5. 决不允许以任何形式泄露党和国家的秘密;
6. 决不允许参与各种非法组织和非法活动。
三、我单位承诺所使用的贵司电信业务不开展与诈骗、骚扰、涉黄、涉恐、危害国家安全和社会稳定相关的违法活动。如因此引发的社会群众投诉和违法责任将由我单位全部承担,当收到工信部、12321、10019、10010等各类投诉举报时,凡有关主管部门、贵司核查确认投诉举报内容涉嫌上述情况的,我单位同意贵司关停涉事电信业务(包括但不限于在不通知我单位的情况下立刻关停业务)。若我单位在经营中发现存在上述情形的,则我单位同意立即整改或责令有关合作单位整改,并及时将有关情况及时报告贵司。
四、我单位承诺使用贵司的电信业务,保证所提供的资料真实性和准确性,并在资料、业务用途等发生变更时及时以正式函通知贵司,凡因我单位提供资料不详或不准确造成我单位无法收到贵司发出的业务通知的,由此产生的一切后果均由我单位承担。
五、我单位未经贵司同意不得以任何形式转租、转售电信业务使用权,与贵司签订入网协议的企业必须是符合贵司要求、使用贵司电信业务且经贵司同意的最终客户。如发现转租、转售行为,贵司有权单方终止所有与我单位相关的合同。
六、我单位有提供电信业务使用用途、开放范围的义务,不按协议约定超范围使用所造成的一切后果由我单位承担。
七、我单位须建立信息安全保密制度和用户信息安全管理制度,做好用户信息加密和保密工作,不得以任何形式向第三方泄漏贵司用户个人资料,遵守工业与信息化部《电信和互联网用户信息保护规定》(工信部令〔2013〕24 号)对个人用户信息进行保护,否则,贵司有权单方终止所有与我单位相关的合同。
八、我单位承诺严格按照国家及工信部对用户实名制的要求办理贵司移动业务(包括移动电话、行业卡)及固定业务(包括固定电话、宽带)等业务入网,根据工业和信息化部于2016年5 月18 日印发《关于贯彻落实<反恐怖主义法>等法律规定进一步做好用户真实身份信息登记工作的通知》(工信部网安〔2016〕182 号),对入网业务严格实名登记通信业务的具体使用人/责任人信息。
九、我单位须建立信息安全责任人联系制度,并报送贵司和通信主管部门,保证贵司和通信主管部门可以随时与该安全责任人沟通联系。贵司向如下责任人发送的信息或拨打的电话、发送的邮件、传真均视为向我单位送达。
信息安全责任人
责任人 姓名 职务 办公电话 手机
第一责任人
第二责任人
第三责任人
单位邮箱 传真电话
注:表中所列事项发生变更时,我单位将在两个工作日之内通知贵司和通信主管部门,因未能及时通知导致信息不能送达的,责任由我单位承担,并视为我单位已经收到相关信息。
十、我单位若涉及使用贵司电信业务进行通信信息发布的,须建立公共信息内容自动过滤系统和人工值班实时监控制度。对于互联网信息,用户上传的公共信息在贵司网站上网发布前,必须经过我单位网站工作人员的人工审核后,方能上网发布。对于语音信息,我单位电话信息台应当有健全的信息审查责任制,指定专人负责实时电话信息审查工作,完善自我约束机制,加强信息内容的审核和管理。若我单位接到有关举报、投诉、监管或其他指控,声称我单位发布的信息有违法违规情形的,则我单位将第一时间启动核查机制,发现属实的,立即整改,并向贵司报告。
十一、我单位承诺若被发现冒用或伪造身份证照、违法使用、违规外呼、呼叫频次异常、超约定用途使用、转租转售、被公安机关通报以及用户就上述问题投诉较多等情况的,贵司核实确认后,贵司有权立即停止所有电信业务接入服务,且不负任何违约责任。
十二、我单位如出现任何违反此承诺书中承诺的情况,自愿承担违约责任(包括但不限于在不通知我单位的情况下关停业务,直至单方面终止业务合作协议),接受有关部门的处理,包括但不限于限期整改、公开曝光,并承担相应的法律责任等。贵司有权立即停止所有电信业务接入服务,且不负任何违约责任,一切责任后果全部由我单位自行承担,无论我单位与贵司的合同中是否有与此相反的约定。
十三、我单位接受贵司及国家相关部门的管理、监督和检查,有责任和义务积极配合贵司查找、清除非法网络行为,直至按要求处理完毕。
十四、如有其它影响网络安全和信息安全的突发事件,贵司有权采取紧急措施(包括但不限于暂停提供网络服务),以保证网络安全。
十五、如法律或国家主管部门对信息安全管理有新要求,我单位将无条件配合贵司落实相关整改举措,直至符合相关法律及政策文件要求。
十六、若因我单位违反本承诺书的约定给贵司造成损失(包括但不限于被罚款、向其他第三方赔偿)的,我单位同意全额赔偿因此给贵司造成是损失(包括但不限于律师费、诉讼费、调查费、保全费等)。
十七、此承诺书经我单位签署盖章后立即生效,可作为与贵司业务合同的附件,与业务合同具有同等的法律效力,本承诺书赋予我单位更重义务且与业务合同不一致的,我单位同意贵司可以选择适用本承诺书的条款。
第二部分 语音专线业务条款
一、本承诺书适用的语音专线服务范围包括但不限于普通语音专线、呼叫中心直连业务、本地电话、集线通、商E通、沃企总机等语音接入类业务。同时,贵司语音专线业务呼转功能默认为关闭。
二、我单位承诺所使用的贵司语音专线业务的主叫号码为贵司或工信部分配的号码,传送真实有效主叫号码或号段,不隐藏、变更或转租、转售号码。
三、在使用语音专线接入呼叫中心平台的情况下,我单位承诺建立有效的信息安全管理制度和技术保障措施,确保备份呼叫内容录音文件,并接受相关主管部门的管理、监督和检查,为相关主管部门提供技术支持。
四、我单位承诺合法规范使用贵司提供的语音专线业务,包括但不限于:不利用语音专线业务传播非法内容或泄露国家机密,不违规经营、不变更合同约定用途,不隐藏、变更或转租、转售语音专线主叫号码,不开展无特定主被叫的话务批发业务,不私自转接国际来话,不通过技术手段为非法VoIP、改号电话、网络电话(PC软件/APP等)提供语音落地,不采取自动语音群呼方式进行外呼,不经营国家工业和信息化部不允许的业务(如话务批发、落地)。
五、我公司承诺语音专线使用时段及频次,如下:
1.使用时段为:□上午8:00-下午20:00 □其他时段: _______-______________;
2.使用频次为:_____不超过300次/天/号码 。
(1)不针对某一号码进行频繁违规呼叫(违规定义:超出承诺使用时段和频次即为频繁;违规定义:贵司收到上级主管部门下发通报、贵司收到的客户直接投诉或上级主管部门转来的投诉、贵司收到上级主管部门下发的专项规定均视为我单位违规);
(2)每条语音专线号码呼出次数不得超过__30__次/小时,如我单位因正常业务原因将超过该约定须提前至少3个工作日提交加盖我单位公章的申请函至贵司(违规定义:我单位未提前向贵司提交申请函的情况下,贵司监测到我单位某条或多条语音专线号码呼出次数超过了上述约定均视为我单位违规)。

特此承诺。

承诺方(单位全称):XXX有限公司
法定代表人或授权委托人姓名:
单位地址:
联系人姓名:
联系人电话:
[法定代表人或授权委托人签字]:
承诺方[单位公章]:
[日期]:20 年 月 日

“OWASP” 是什么?

OWASP is a (开放Web 应用安全项目组-OpenWebApplicationSecurityProject) 每隔数年会更新10个最关键的Web应用安全问题清单,即OWASPTOP10。

2013年OWASP TOP 10版本在2010年版本中新添加了一类风险,以涵盖更普遍、更重要的安全漏洞;并基于最新的流行程度数据,对一些风险重新排序。另外,该版本通过一类特定风险而引入了“组件安全”风险,并移除了2010年版中的A6“安全配置错误”风险。

OWASP

Title 21 CFR Part 11 Requirement

Title 21 CFR Part 11 is the part of Title 21 of the Code of Federal Regulations that establishes the United States Food and Drug Administration(FDA) regulations on electronic records and electronic signatures (ERES). Part 11, as it is commonly called, defines the criteria under which electronic records and electronic signatures are considered trustworthy, reliable, and equivalent to paper records (Title 21 CFR Part 11 Section 11.1 (a)).

Practically speaking, Part 11 applies to drug makers, medical device manufacturers, biotech companies, biologics developers, CROs, and other FDA-regulated industries, with some specific exceptions. It requires that they implement controls, including audits, system validations, audit trails, electronic signatures, and documentation for software and systems involved in processing the electronic data that FDA predicate rules require them to maintain. A predicate rule is any requirement set forth in the Federal Food, Drug and Cosmetic Act, the Public Health Service Act, or any FDA regulation other than Part 11. [1]

The rule also applies to submissions made to the FDA in electronic format (e.g., a New Drug Application) but not to paper submissions by electronic methods (i.e., faxes). It specifically does not require the 21CFR11 requirement for record retention for tracebacks by food manufacturers. Most food manufacturers are not otherwise explicitly required to keep detailed records, but electronic documentation kept for HACCP and similar requirements must meet these requirements.

As of 2007, broad sections of the regulation have been challenged as excessive[who?], and the FDA has stated in guidance that it will exercise enforcement discretion on many parts of the rule. This has led to confusion on exactly what is required, and the rule is being revised. In practice, the requirements on access controls are the only part routinely enforced.[citation needed] The “predicate rules” that required organizations to keep records the first place are still in effect. If electronic records are illegible, inaccessible, or corrupted, manufacturers are still subject to those requirements.

If a regulated firm keeps “hard copies” of all required records, those paper documents can be considered the authoritative document for regulatory purposes, and the computer system is not in scope for electronic records requirements—though systems that control processes subject to predicate rules still require validation.[citation needed] Firms should be careful to make a claim that “hard copies” of required records are authoritative document. For the “hard copy” produced from electronic source to be the authoritative document, the “hard copy” must be a complete and accurate copy of the electronic source. The manufacturer must use the hard copy (rather than electronic versions stored in the system) of the records for regulated activities. The current technical architecture of computer systems increasingly makes the burden of proof for the complete and accurate copy requirement extremely high.[2]

Information Source: https://en.wikipedia.org/wiki/Title_21_CFR_Part_11

新入职员工保密协议 – 样板

甲方(员工):××××身份证号码:×××××

乙方(企业):××××公司

鉴于甲方在乙方任职,并将获得乙方支付的相应报酬,双方当事人就甲方在任职期间及离职以后保守乙方技术秘密和其他商业秘密的有关事项,订定下列条款共同遵守: Read More

电脑内网安全权限管理提纲

1. 上网行为管理:

1.1 在办公时间内滥用互联网现象,主要分为以下几类:

1.1.1  获取与工作无关的资讯活动,如浏览新闻、看小说、看图片、收看收听视频和音频等。

1.1.2  从互联网下载与工作内容无关的数据,如音乐、电影、程序及其他资料等。

1.1.3  从事获取个人收益的活动,如网上购物、炒股、兼职、发布广告等。

1.1.4  进行虚拟世界的沟通活动,如上网聊天、BBS论坛、博客、收发私人邮件等。 Read More

The General Business Principles

Introduction
Underpinning the company commitment to responsible corporate citizenship and the pursuit of a sustainable future – economic, social and environmental – the General Business Principles set out guiding principles on integrity and ethics in business conduct. They govern The company’ business decisions and actions throughout the world and apply equally to corporate actions and to the behavior of individual employees in conducting the company business. They are subject to applicable laws.
The General Business Principles are not all-encompassing, but formulate minimum requirements of behavior. They leave product divisions and country management free to specify further local rules of business conduct. To drive the practical deployment of the General Business Principles, a set of GBP Directives have been published, which are applicable to all employees. There are also separate Directives, which apply to specific categories of employees, such as the Financial Code of Ethics and the Purchasing Code of Ethics. The GBP Directives and the category-specific Directives form an integral part of the General Business Principles (jointly be referred to as ‘GBP’). The General Business Principles, which have been adopted by the Board of Management and approved by its Supervisory Board, are reviewed on a regular basis and revised if necessary. Read More

Information Security Plan

1           Introduction

1.1             General

To realize the business strategy plan of Company, ICT will play, as enabler, an important role. As described hereafter ICT will contribute in the primary, secondary and managed operations processes by enabling global connectivity, integration of business systems and standardization of business processes. The changing business processes will have consequences for the ICT environment. The ICT programdescribes the steps, which are needed to support the business processes as they are being developed in the years to come. In this information plan an overview is given of the expected business processes and the required information architecture in a global environment. It is obvious that changes in the business strategy of Company will have to be reflected in this information plan. Read More