網絡安全等保條例
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全等保條例范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全等保條例范文第1篇
1 引言
隨著醫院的發展和信息化的進步,信息系統滲透到醫院的各個角落。醫院的醫療業務、教學、研究對信息系統的依賴性是不容置疑的。醫院的信息安全不僅是保證醫院有效秩序的前提 ,還是保障醫院的財務管理等方面巨大的支撐,并且安全的醫療信息數據才能夠有效地提高病人的治療效果、維護病人的權益。因此加強管理和監控,加強醫院有關信息安全系統方面的建設 ,是醫院良好有序發展的前提以及客觀要求[1]。因此對信息安全的認識從方方面面都得到了前所未有的重視。作為走在信息安全研究前列的大國,美、俄、日等國家都已制定自己的信息安全發展戰略和計劃,確保信息安全沿著正確的方向發展。2000年初美國出臺了電腦空間安全計劃,旨在加強關鍵基礎設施、計算機系統網絡免受威脅的防御能力。2000年7月日本信息技術戰略本部及信息安全會擬定了信息安全指導方針。2000年9月俄羅斯批準了《國家信息安全構想》,明確了保護信息安全的措施。
我國對信息安全研究起步較晚,目前已初步建成了國家信息安全組織保障體系[2]。我國在1994年頒布了《中華人民共和國計算機信息系統安全保護條例》。在以后的十幾年中,國家又出臺了多個法律、法規,對信息安全等級保護的具體內容、職責和工作方法做了具體的規定。在2007年公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室出臺了《信息安全等級保護管理辦法》。首都醫科大學附屬醫院北京婦產醫院(以下簡稱“北京婦產醫院”)正是借著《信息安全等級保護管理辦法》的實行,促進了院信息安全工作的發展,提高了信息安全的水平。從2007年到今天,院信息安全等級保護工作已經走到了第十個年頭。這十年信息安全建設大約分為兩個階段。
2 第一階段:夯實制度基礎,加強邊界防護
北京婦產醫院于2007年10月根據《信息安全等級保護管理辦法》的要求和醫院的實際情況,把醫院的核心系統HIS和LIS系統定為二級系統。在隨后的幾年中嚴格按照等級保護二級系統的規范進行建設。
2.1 制定和完善制度,促進安全管理
任何技術都只是手段,而人是最重要的因素,能把兩者有效的、高效的結合在一起的是管理。管理又是通過制度實現的。參照等級保護的要求,增加制定了網絡安全管理制度、計算機病毒防治管理制度、業務網絡安全管理規定、信息安全數據使用授權制度和重大信息安全事件報告制度等制度,基本做到了制度完備。通過信息安全管理相關規范的制訂與,確立信息安全方針,對信息安全管理體系文檔的制訂、、修訂、評審進行約定,以保證信息安全管理規范文檔的嚴肅性。通過制訂全院統一的信息安全策略,有效指導信息安全管理與技術工作的開展,為全院建立了統一的信息安全策略標準。
2.2 提高信息安全意識
在領導層面,北京婦產醫院建立了醫院信息系統安全領導小組,明確信息安全工作由院長負責,成員包括信息科、院辦、醫務科等相關科室領導。在基層層面,根據技術專長和日常工作把工作人員安排為信息安全管理員、安全審計員、系統管理員等。這樣不僅使每個人了解信息安全,還要負責信息安全的事,同時也讓工作人員時時刻刻有信息安全的意識,還把信息安全內容納入到每年進修人員和新入職人員培訓日程之中。
2.3 加強中心機房的安全建設和管理
北京婦產醫院參照《信息系統安全等級保護基本要求》進行信息化基礎設施建設。中心機房配置門禁系統,機房出入口安排專人值守,控制、鑒別和記錄進入的人員。外來人員進出機房須獲得機房管理員的授權,對人員及設備進出情況進行記錄。中心機房內服務器、網絡設備均安置在機柜內并固定,對設備與走線進行了標識。中心機房設置防盜報警系統、視頻監控系統、自動消防系統、空調周圍安裝漏水檢測報警系統等物理安全設備。目前中心機房物理環境基本達到了等級保護三級系統所要求的物理環境,物理安全防護措施相對完善。
2.4 部署了基線網絡監控管理系統
此系統能夠通過SNMP協議獲得被監控網絡設備、服務器、通訊線路、網段、應用等有關信息,包括系統信息、網絡連接、TCP連接、程序運行、 ARP表、路由表以及CPU負荷等。網絡管理員可以通過此系統對全網絡可以實時的監控。此系統還可以對IP地址的全局使用情況有一個清晰準確的統計,對于 IP地址使用的管理、分配都可以起到很好的輔助作用。
2.5 部署了桌面管理系統
此系統能夠遠程維護、遠程控制為網絡的管理、維護與故障診斷提供了全方位的平臺。在管理、維護或故障排除需要時,網絡管理員可以通過本功能遠程登錄客戶機,當服務器顯示客戶機桌面后,即可以對其進行相應的操作。通過桌面管理系統可以管理外部設備,我院業務網禁用了U盤、軟驅、光驅、UBS等各種各樣的外部存儲設備,減少病毒通過外部存儲設備進入到業務網中的可能。通過桌面管理系統指定部分關鍵終端進行IP地址綁定,進一步提升了業務網的安全性。桌面管理系統還不斷地進行更新、升級,以提升網絡的防護水平。
北京婦產醫院通過信息系統的等級保護定級工作,對醫院的信息安全狀況進行了一次較為全面的摸底,認識到自身信息安全水平和問題所在。針對信息安全投入了相當的力量,通過以上和其他措施加強了防篡改、防病毒、防泄密等方面的安全,提升了業務網的邊界防護能力,使其處于基本安全的環境中。
3 第二階段:持續性推進,再上臺階
2007年至2012年,北京婦產醫院年門診量從7萬人次增長11萬人次;年出院人次從2.5萬人次增長到約3萬人次;病房手術人次從1.9 萬人次增長到2.5萬人次。HIS系統的主要用戶醫生、護士、醫技人員也從500余個增加到約1200余個。HIS系統的應用大大提高了醫院工作效率,使醫院的資源得到了更合理的優化配置。但是同時對信息系統的依賴性越高,也就對信息系統的安全有了更高的要求。在2012年《北京地區衛生行業信息安全等級保護工作實施細則》中提出:“三級甲等醫院的核心業務信息系統的安全保護等級原則上不低于第三級”。針對過去的問題和三級的要求,積極進行整改和推動信息安全工作,在2014年將核心系統 - HIS系統原定級2級提升為3級系統。
3.1 確定保護對象及其區域邊界,打好建設基礎。
根據北京婦產醫院業務的發展需要,原有的內、外網物理的隔離的網絡拓撲將隨著區域衛生平臺、網上預約掛號等業務的推進而發生結構性的改變。如圖1所示。
因此,醫院原有相對獨立的業務網將會受到來自互聯網以及其他第三方網絡威脅源的攻擊。北京婦產醫院與時俱進,根據《信息系統安全等級保護基本要求》首先確定了保護對象及其區域邊界。根據醫院信息系統的計算環境劃分情況,圍繞信息系統確定出區域邊界:
(1)東院業務域計算環境區域邊界;
(2)西院業務域計算環境區域邊界;
(3)東院終端控制域計算環境區域邊界;
(4)外網業務應用域計算環境區域邊界;
(5)內網數據交換前置域計算環境區域邊界;
(6)外網無線網絡域邊界;
(7)安全管理域計算環境區域邊界;
(8)內網辦公終端域計算環境區域邊界;
(9)外網辦公終端域計算環境區域邊界。
保護對象及其區域邊界的確定,為以后的計算環境、區域邊界、通信網絡等安全保護設計和實施奠定了堅實地基礎。
3.2 完善日常安全管理,切實落實安全制度
北京婦產醫院以前更多地關注技術的提升,有了等級保護要求之后,使得大家能全方位來看待信息安全。從安全管理平臺角度來看,技術安全和管理安全同等重要,而在實際工作中,網絡維護人員常常忽視管理層面的安全防護,如安全制度的建立和長期執行,機房登記制度等[3]。
北京婦產醫院的信息安全制度根據實際情況進行不定期修改,使其具有科學性和可操作性。為保證信息安全制度及各種安全管理手段與技術的落實,信息科制定了完善的巡檢制度。巡檢人員按規定時間、內容及技術路線對設備進行巡回檢查,巡檢的內容涵蓋了全院。硬件包括中心機房的服務器、交換機;門診大廳的自助打印機、排號機;中心機房和各個樓層設備間的環境監控和消防等,軟件包括數據庫監控、病毒監控和移動存儲設備的監控;磁盤空間容量、系統運行情況等。巡檢人員每日巡檢項目11大類504小項,巡檢內容還要及時向上級進行反饋,以保證各種安全隱患的得到及時處理。同時還記錄每天的程序改動、軟件問題等信息,便于事后追溯。
3.3 提高數據備份與恢復能力,降低安全事件帶來影響和損失
北京婦產醫院原有利用東、西兩院區各自獨立的機房,采用了后臺磁盤陣列之間的遠程鏡像技術,實現東、西兩院區數據同步和遠程容災。通過存儲在不同存儲設施上的鏡像數據,可以實現醫院內部關鍵業務數據的備份與快速恢復。醫院對數據保護的方式主要是采用雙機高可用和備份系統。但是,雙機熱備系統也只能避免由于網絡故障、服務器故障、物理硬盤故障造成的系統停機問題,如果應用數據受到病毒感染、人為誤刪除、黑客攻擊、甚至是共享磁盤陣列故障,應用系統也是無法運行的。
隨著等保工作和信息化建設的推進,醫院又配置了CDP保護設備,實現重要數據實時保護;1-3分鐘內找回丟失的數據,同時可以恢復到毫秒級的數據版本狀態,保障核心業務數據的完整性、一致性、可用性,從而保證核心業務系統正常、穩定、連續運行;數據恢復過程簡單方便;后端重建系統,無停機時間;僅復制上次復制后已更改的增量數據,進行有效的系統及數據備份;大大縮短恢復過程,從而減少停機時間并保持生產力;如果出現應用程序故障或硬盤崩潰,可以可靠地捕捉啟動應用程序服務器所需的數據。CDP設備部署如2圖所示。
CDP設備不僅能夠輕而易舉的實現本地的應用系統保護和恢復,而且能夠很輕松的將保護延伸到遠程,建立起更為強大的異地容災系統。
4 結束語
信息安全是動態的,隨著技術的發展而變化。信息安全防護沒有完全單一而又絕對保險的安全措施[4]。如果墨守成規,止步不前,必然會影響信息安全的整體水平。每年按照等級保護的要求進行自查,可以讓醫院查缺補漏,對醫院的信息安全是很好的督促。醫院在等級保護制度的指導下,持續性的推進信息安全工作,必然會明顯地降低信息安全的風險。等級保護制度還促進了衛生行業信息安全建設的標準化和規范化。我們有理由認為信息安全等級保護制度對醫院信息安全的建設、管理等方方面面都有極大的促進作用。
網絡安全等保條例范文第2篇
明確定位,抓好網站平臺建設
2013年,新疆阿克蘇地區電子政務管理辦公室爭取到浙江省智力援疆資金100萬元,啟動了地區政府網站及部門網站群全新改版和在線訪談系統項目建設,明確了新網站的定位和目標,即:建成地區行署及組成部門政府信息公開第一平臺、對外宣傳形象窗口、政民互動橋梁紐帶、招商引資網上陣地、在線辦事主要渠道。圍繞這一定位和目標,全新設計了網站欄目架構,在信息公開和對外宣傳方面:設置了文字、圖片、視頻新聞、部門、縣(市)政務動態欄目和政府信息公開專欄;在政民互動方面:設置了專員信箱、政務微博、政務微信、在線訪談、民意征集等欄目;在公共服務方面:設置了網上辦事大廳、在線查詢,鏈接了行政服務中心行政審批門戶網站。
2014年7月,地區政府網主站及38個部門子站組成的網站群上線運行。同年11月,由地區行署和八縣一市政府維文網站組成的政府系統維文網站群建成上線。至此,地區及縣(市)政府網成功實現由單一信息型網站向綜合互動服務型和多語種網站的轉變。截止目前,全地區建成開通地區、縣(市)、鄉鎮及所屬部門政府網站229個。2012年以來,行署、行署辦公室先后印發《關于加強政府網站建設管理工作的意見》、《關于印發〈阿克蘇地區行署政府門戶網站暨政府網站群運行管理辦法(暫行)〉的通知》(、《關于規范地區政府維文網站群管理和內容保障工作的通知》等文件,并從2011年開始,連續四年組織開展了地區政府系統政府網站績效考評工作,有效提升了全地區政府網站建設水平和綜合服務能力。在2014年新疆政府網站發展評估中,阿克蘇地區政府網及所轄拜城縣、阿瓦提縣、新和縣、阿克蘇市、烏什縣政府網被評為A類網站,其中5個縣(市)均進入前十名(全疆參評縣市政府網站共計98個)。
固本求新,拓展內容建設和對外宣傳渠道
在對外宣傳和輿論引導工作中,政府網站平臺是基礎,政務微博、微信作為新媒體是其延伸和拓展。近年來,阿克蘇堅持在鞏固優化網站平臺建設的基礎上,積極探索政務微博、政務微信與政府網站的聯動應用,努力打造政府對外宣傳和輿論引導權威平臺。
一是深化政府信息公開工作。全面貫徹落實國務院《政府信息公開條例》,將政府信息公開工作納入績效考核體系,全力拓展政府信息公開廣度和深度。截止到今年9月30日,地區及縣(市)政府網站政府信息公開欄目主動公開政府信息15萬余條,并均開設了權力運行、財政資金、公共資源配置、公共服務、公共監管等重點領域信息公開欄目,其中:阿克蘇地區政府網設置政府信息公開相關欄目23個,政策法規、通知公告、機關事業單位人員招錄、政府招標公告、部門辦事指南等各類信息4248條。通過深化政府信息公開,有效保障了社會公眾的知情權、參與權、監督權和表達權,增進了公眾對政府工作的理解和支持,提高了政府及組成部門的公信力。二是做好每日新聞工作。2008年開始,阿克蘇政府網與阿克蘇日報社、地區電視臺建立起新聞信息資源共享合作機制,每日由報社、電視臺指定專人將當天出版和制作的新聞信息發至阿克蘇政府網后臺,由阿克蘇政府網工作人員審核編排后在網站,從而使報社、電視臺的信息采編優勢與政府網的信息可留存、可回看、可跨地域、跨空間查閱的優勢有機結合,拓寬了新聞信息的受眾面。2011年以來,阿克蘇政府網累計文字、圖片新聞1.8萬余條、阿克蘇新聞視頻1650余期。三是抓好政務動態信息報送工作。制定了《地區政府系統政務動態信息報送工作考核獎懲辦法》,建立起覆蓋各縣(市)、行署各組成部門的動態信息報送網絡,要求每個工作日向政府網報送動態信息,報送采用情況納入年度考核。2011年以來,地區各縣(市)、各部門向阿克蘇政府網報送政務動態信息95762條,被采用47482條,全面、及時、準確地反映了縣(市)、部門工作動態情況。四是用活用好政務微博和政務微信。2011年4月,根據行署安排,各縣(市)、行署各組成部門開通政務微博61個,并在阿克蘇政府網設置專欄集中展示,形成全國政府系統首個政務微博矩陣。2013年8月,又在全疆率先啟動政府網站政務微信應用試點工作,地區及八縣一市政府網全部開通政務微信平臺。各政府網站通過政務微博、微信將每日網站新聞、政務動態信息和重要通知公告事項及時對外。截至目前,地區開通縣(市)、部門政務微博80個,聽眾人數31.47萬,發博數8.53萬條;地、縣(市)政府網政務微信10個,關注人數9270,微信消息3250期,15028條。今年以來,圍繞自治區、地區“去極端化”工作安排,各縣(市)政府網政務微博、微信積極與當地宣傳部“零距離”微信平臺對接,實現信息共享、優勢互補,收到了較好的宣傳效果。五是做好政民互動和網絡問政工作。以“專員信箱”、“縣(市)長信箱”和“政務微博、微信大廳”為主的覆蓋地區、縣(市)兩級和地直各單位的網絡問政平臺,已成為深受老百姓關注和信任的品牌欄目。地區先后制定印發了《阿克蘇政府門戶網站“專員信箱”來信辦理工作制度》、《關于加強地區各級政府網站政民互動應用工作的通知》、《關于印發〈阿克蘇地區政府系統政務微博客應用管理辦法〉的通知》、《關于做好地區行署政府門戶網站“在線訪談”欄目的通知》,指導縣(市)、部門辦好、用好、管好政民互動欄目。2010年8月至今,“專員信箱”累計受理回復群眾來信8065件,“縣(市)長信箱”累計受理回復6715件,通過政務微博,受理群眾留言訴求230余條;邀請地區行署領導和相關部門負責同志舉辦在線訪談節目7期。近期,阿克蘇政府網又在政務微信平臺上開發了信箱功能,使群眾通過手機就可向“專員信箱”反映問題、表達訴求。在做好政民互動工作的同時,阿克蘇政府網還全力配合地委宣傳部做好突發事件權威信息和網絡輿情監控引導分析等工作,并與地委宣傳部及各縣(市)政府網建立起信息聯動機制,實現自治區、地區重大、重要信息第一時間在全網及政務微博、微信上同步,形成網絡正面宣傳和輿論引導強大合力。
