网络安全等级保护办法
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全等级保护办法范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全等级保护办法范文第1篇
关键词 云安全模型 信息系统 保护测评
中图分类号:TP3 文献标识码:A
文中以云安全服务模型为研究依据,从云计算信息系统的安全特性入手,提出建立云安全服务模型及管理中心,介绍了云安全等级保护模型的建立情况。
1简述云计算信息系统安全特性
以传统的互联网信息系统相比较,云计算信息系统把全部数据的处理与存储都放在服务端,终端用户根据网络可以及时获取需要的信息和服务,没有必须在本地配置的情况下进行数据的处理和存储。根据网络中所设置的网络安全防护设施,可以在服务端设置统一的身份兼备与安全审计系统,确保多数系统出现的安全问题得到有效解决,但此时新的设计服务模式又会带来新的安全问题,例如:滥用云计算、不安全的服务接口、数据泄露、安全管理等多个方面的问题。
2建立云安全服务模型及管理中心
现实中的不同云产品,在部署模型、资源位置、服务模型等各个方面都展现出不一样的形态和模式,进而形成各不相同的安全风险特征及安全控制范围。所以,必须从安全控制的角度创建云计算的模型,对各个属性组合的云服务架构进行描述,从而确保云服务架构到安全架构的合理映射,为设备的安全控制和风险识别提供有效依据。建立的云安全服务模型如图1所示。
3云安全模型的信息安全等级测评办法
云安全信息安全保护测评的办法就是根据云安全服务模型与云安全中心模型,考察用户在云安全方面的不同需求,安全模型处在安全等级保护体系下的不同位置。安全模型一端连接着等级保护技术,另一端连接着等级保护管理的要求。根据云安全信息中心的建模情况,对云安全模型下的核心基础、支撑安全展开分析,获取企业在云安全领域的信息安全等级测评模型,依照模型开展下一步的测评工作。
3.1分析等级测评云安全模型下的控制项
根据上述分析情况,可以把云安全模型嵌套在云安全等级保护模式中,从而展开与云安全有关的信息安全等级评价,并对安全模型下的有关控制项展开分析。首先察看云认证及授权情况,对是否存在登陆认证、程序授权、敏感文件授权等进行测评。依照不同的访问控制模型,选择访问控制的目标是强制性访问、自主性访问、角色型访问,进而采取与之相对应的方法。为了确保网络访问资源可以有效的控制和分配,需要创建统一、可靠的执行办法和解决策略。自由具备统一、可靠地方式才可以保障安全策略达到自动执行的目的。测试网络数据的加密情况,要对标准的加密功能及服务类型,做到静态和动态的安全保护。探测数据的备份与恢复情况,就必须查看云备份是否安全、数据销毁情况、磁带是否加密及密码钥匙的管理,检查的重点是供应商的数据备份情况。查看对管理用户的身份是否可以控制管理,是否可以管理用户角色的访问内容。查看用户的安全服务及审计日志,其中包括网络设备的监控管理、主机的维护、告警管理与维护等。
3.2分析等级测评云安全模型的风险性
依照等级保护的有关要求,运用风险分析的办法,对信息系统展开分析时必须重视下面的内容。
(1)云身份认证、授权及访问控制
云安全对于选择用户身份的认证、授权和访问控制尤为重要,但它所发挥的实际效果必须依赖具体的实施情况。
(2)设置云安全边界
云安全内部的网络设备运用防火墙这系列的措施展开安全防护。但外部的云用户只能运用虚拟技术,该技术自身携带安全风险,所以必须对其设置高效的安全隔离。
(3)云安全储存及数据信息备份
一般情况下,云供应商采用数据备份的方式是最为安全的保护模式,即使供应商进行数据备份更加安全,仍然会发生数据丢失的情况。所以,如果有条件的,公司应该采用云技术共享的所有数据进行备份,或在保留数据发生彻底丢失事件时提出诉讼,从而获取有效的赔偿。云计算中一直存在因数据的交互放大而导致数据丢失或泄露的情况。如果出现安全时间,导致用户数据丢失,系统应该快速把发生的安全时间通报给用户,防止出现大的损失。
4结束语
综上所述,随着云计算技术的发展,云计算信息系统会成为日后信息化建设的重要组成部分。文中从云安全等级保护测试为研究依据,简述了云计算信息系统安全特性,对云安全服务模型及管理中心的建立情况进行分析,提出云安全模型的信息安全等级测评办法。
参考文献
网络安全等级保护办法范文第2篇
信息安全等级保护制度是我国信息安全保障工作的基本制度。本文从信息安全等级保护的概念入手,结合金融行业的实际情况阐述了信息安全等级保护实施的必要性。
【关键词】信息安全 等级保护 建设
随着全球信息化程度的不断提高,人类生活对信息网络的依赖程度不断提高,信息网络科技已经逐步渗透到人们生活的方方面面,对国家安全、社会秩序和公众权益的影响日益突出,各国在信息安全方面的重视程度也日趋提高。我国为了保障国家安全,维护社会秩序和公众利益不受侵害,在2007年制定了信息安全等级保护制度。实施信息安全等级保护工作不仅是提升信息化安全防护水平的重要手段,更是落实国家信息安全保障要求的重要内容。
1 信息安全等级保护综述
“信息安全等级保护”是国家制定的信息安全管理规范和技术标准,是保障和促进信息化建设健康发展的一项基本制度。具体地说,就是对基础信息网络和重要信息系统按其重要程度及实际安全需求,分等级进行保护,按标准进行建设,按要求进行管理和监督,确保信息系统安全正常运行,提高信息系统安全综合防护能力,维护国家安全、社会稳定和公共利益。
2 信息安全等级保护的现状
2.1 各主要行业信息安全等级保护工作开展程度不一
电力、电信、铁路、税务等一些重要行业等级保护工作进展较快,在进行信息安全等级保护工作中结合各行业特点和行业的特殊安全需求制定了行业的等级保护规范或细则。相对而言,银行、交通、文化等行业目前等级保护工作进展缓慢。中国电力财务有限公司(以下简称“公司”)作为电力行业直属的非银行金融机构,按照国家电网公司要求很早已经开展相关工作,但由于公司业务与机构设置对于电力行业主业有很大区别,在信息安全等级保护的建设上只涉及公司总部,对于各分支机构的相关工作并未开展。直到2012年7月中国人民银行正式了《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息系统信息安全等级保护测评指南》、《金融行业信息安全等级保护测评服务安全指引》三个文件,对金融行业信息系统信息安全等级保护建设提出了具体要求,为等级保护实施、测评、整改工作提供了强大的政策支持,并明确了区域性金融机构信息系统安全等级保护工作的具体要求。金融行业等级保护标准依据国家要求和行业特点,细化、补充了大量内容,保留国家等级保护基本要求二级要求、三级要求、四级要求项590项,补充细化要求项193项,新增金融行业特色要求项269项。
2.2 金融机构对信息安全等级保护的认识不足
由于对信息安全的理解不够,在对于信息安全的资金投入,往往用于购买硬件安全设备,认为有了这些看得见摸得着的安全产品就可以确保安全了。但是根据人民银行颁布的《金融行业信息系统信息安全等级保护实施指引》中以国家等级保护要求为原则,以金融行业特点为基础,提出了构建“两项要求”和“两个体系”的金融行业信息安全保障总体框架。
该框架通过技术要求与管理要求的交融以及技术体系与管理体系的互补,从安全保障要求和安全保障方法两方面体现技术与管理并重的基本思想。也就是说必须是管理制度体系和技术防护体系互相融合,仅仅靠技术防护体系是无法构建完善的安全保障体系。同时,管理体系是遵照“建立、实施、执行、监控、审计、保持、改进”的过程进行类似生命周期的思路形成生命环的管理方法,而公司在这方面的认知还有待提高。与此同时金融行业从业人员以为财务及管理人员为主,而具有计算机、信息安全等级保护知识的人非常少,加强信息化人才与金融人才相结合的复合型人才培养,是推进金融行业信息化建设和信息安全等级保护工作的重点。
2.3 缺少信息安全等级保护相关知识经验
目前信息安全等级保护工作采用自主定级的方法,缺乏精确参考的标准和考量值。如果负责信息安全工作的人员对等级保护的概念不明晰,对等级保护的适用范围把握不准确,就会导致对信息系统的定级备案不合适,同时对于信息系统的升级或者调整导致需要重新定级备案的,如未能及时将信息上报备案,也将影响信息安全等级保护后续工作的顺利开展。如果信息安全定级过高,大于本单位要需要的等级,也将导致本单位资源浪费,降低系统运行效率,增加日常管理负担;如定级过低,将导致系统得不到必要安全保护,也容易引发系统安全问题。
3 开展信息安全等级保护的必要性
开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障。实行信息安全等级保护是在借鉴国外先进经验和结合我国国情的基础上,解决我国信息网络安全的必然选择。
3.1 落实国家政策标准和要求
对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全工作的有效办法,是信息安全工作的发展方向。我国政府对基础架构的安全一直非常重视,在“十二五规划”中首次将“加强网络与信息安全保障”作为重要章节突出,这充分显示了国家对信息安全的重视程度。国家态度明确了,信息安全等级保护制度作为国家信息安全保障领域的一项基本制度,必须在各单位得到有效贯彻落实。
3.2 有效降低信息化建设成本
等级保护测评的核心思想就是按照信息系统的重要程度及实际安全需求,合理投入,分级进行保护,将有限的资源最大化的投入到重要信息系统的建设中,更加有效的保障重要信息系统安全可靠运行,促进信息化建设健康发展。按照定级标准对信息系统进行符合性测评,根据测评结果,有针对性的在建设整改时,对造成信息系统高风险的漏洞和问题进行建设整改,能有效的控制信息化建设成本,既促进了信息化建设的健康发展,也保证了系统的可靠运行。
3.3 切实提高信息安全整体水平
信息系统安全等级保护作为对信息安全系统分级分类保护的一项国家标准,对于完善信息安全标准体系,提高信息安全的整体水平,以及增强信息系统安全保护的整体性、针对性和时效性都具有非常重要的意义。在信息化建设过程中同步建设信息安全设施,可以有效保障信息安全与信息化建设相协调;通过加强对重要信息系统的安全保护和管理监督,可以明确信息系统的安全责任,强化管理职能,有效落实各项安全建设和安全管理措施,最终切实提高信息安全整体防护能力。
作者简介
朱勇(1978-),男,陕西省西安市人。现为中国电力财务有限公司西北分公司信息化工作部经理助理。
网络安全等级保护办法范文第3篇
关键词:电子政务 信息安全
0 引言
随着电子政务不断推进,社会各阶层对电子政务的依赖程度越来越高,信息安全的重要性日益突出,在电子政务的信息安全管理问题中,基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。
1 电子政务信息安全的总体要求
随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:
1.1 基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
1.2 数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
1.3 网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。
1.4 数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
2 电子政务信息安全体系模型设计
完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略
在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题, 通常是将基于公钥证书(PKC)的PKI(Public Key Infrastructure)与基于属性证书(AC)的PMI(Privilege Management Infrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限, 许多用户也可能有相同的权限集, 这些权限都必须写入属性证书的属性中, 这样就增加了属性证书的复杂性和存储空间, 从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP 目录服务器等实体组成,在该模型中:
2.1 终端用户:向验证服务器发送请求和证书, 并与服务器双向验证。
2.2 验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。
2.3 应用服务器: 与资源数据库连接, 根据验证通过的用户请求,对资源数据库的数据进行处理, 并把处理结果通过验证服务器返回给用户以响应用户请求。
2.4 LDAP目录服务器:该模型中采用两个LDAP目录服务器, 一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP 目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。
安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。
3 电子政务信息安全管理体系中的风险评估
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。
3.1 信息系统的安全定级 信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。
3.2 采用全面的风险评估办法 风险评估具有不同的方法。在ISO/IEC TR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NIST SP800-30、AS/NZS 4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。
电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。
在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。
4 结语
电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。
参考文献:
[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.
网络安全等级保护办法范文第4篇
信息安全等级保护建设背景
信息安全等级保护制度是我们国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。
2011年,原卫生部了《关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)。针对医疗卫生行业的信息系统,原卫生部办公厅于2011年下发了《卫生行业信息安全等级保护工作的指导意见》(卫发办〔2011〕85号)要求三级甲等医院的核心业务信息系统信息安全等级保护定级不低于第三级,并且要求2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。
医疗行业面临的主要风险
1.医疗行业特点
随着我国医疗卫生事业的迅速发展,医学科学的不断进步,医药卫生事业体制改革的逐步深入,医院生存和发展的外部环境和内部机制都发生了很大的变化。当今计算机信息和网络通信技术的深入发展为提高医院管理水平创造了良好的条件,医院信息化建设也因此逐渐在我国各级医院中迅猛发展。目前医疗行业信息化有如下特点:系统运行连续性要求高,要求7×24小时不间断服务;网络间断时间不允许超过2小时;信息高度集成,所有信息需要集中使用;异构系统多,系统复杂度高;系统间接口复杂,涉及厂家多;系统内存储资料价值较高,存储着医院大量运用数据,其中包含大量患者隐私;存储的数据内容本身具备法律效力;核心网络采用网络物理隔离。
2.信息系统的威胁来源
信息系统的威胁来源主要可以分为两个方面,一个是环境因素造成的威胁,另一个方面是人为因素造成的威胁,而人为因素所带来的损失往往是不可估量的。
在环境因素方面,威胁主要来自于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障。
在人员因素方面又可以分为有意和无意两种情况,对于有意而为之的人,通常指恶意造成破坏的人,怀不满情绪的或有预谋的内部人员对信息系统进行恶意破坏,采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益。而外部人员也可以利用信息系统的脆弱性,对网络或系统的保密性、完整性和可用性进行破坏,以获取利益或炫耀能力。对于无意的情况来说,通常指管理人员没有意识到问题或者没有尽心尽责的工作。例如,内部人员由于缺乏责任心,或者由于不关心或不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。
3.信息系统负面影响
医院内部的信息系统如果受到威胁、入侵或被破坏等,会给国家、医院以及人民的利益带来严重的影响。
系统如果出现宕机的现象,首先会造成患者情绪激动,耽误治疗流程,甚至会威胁到患者生命的安危。其次会造成门诊业务人员、主治医生、护士等工作人员的工作慌乱,甚至成为情绪激动患者的放矢对象。门诊办主任、主管院领导、医院院长电话问询,信息中心则会电话不断、手忙脚乱。医院业务停顿,从经济上受损失,而媒体也会曝光医院,使得医院信誉受损。
如果医院信息系统的内部信息丢失,则会造成员工信息被公开、患者信息泄露等风险。例如,据《劳动报》报道,一名负责开发、维护市卫生局出生系统数据库的技术部经理利用工作之便,在2011年至2012年4月期间,每月两次非法进入该院数据库,偷偷下载新生儿出生信息并进行贩卖,累计达到了10万条,给医疗卫生行业带来了严重的负面影响。
信息安全等级保护建设体系
由于医院信息系统复杂的特点、面临的威胁及产生负面影响的严重性,医院开展信息安全等级保护建设工作就尤为重要,急需一套适合医院的等级保护安全防御体系。
信息安全等级保护体系主要包括技术与管理两方面,在安全技术方面包括:物理安全、网络安全、主机安全、应用安全、数据安全;在安全管理方面包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。这10个方面里每一项都有若干控制项,顺利通过测评至少要达到控制项的80%以上(表1)。
如表1所示,控制项中G表示基本要求类,三级必须达到G3标准;S表示业务信息安全类,A表示系统服务保证类,三级标准中S与A任选一项达到三级即可。
根据信息安全等级保护标准,我院主要建设经验如下:
1.信息安全技术
(1)物理安全:数据中心机房是物理安全的核心,机房的装修工程、动力配电系统、空调新风系统、消防系统、综合布线系统等均需按照A级机房标准进行建设。此外,日常的管理工作也尤为重要,在物理权限控制方面应配备门禁系统,并且应做到两种或两种以上的身份识别机制,如指纹加密码或IC卡加密码等。环境监控方面除了每天定时的人员巡检还应在机房及各设备间部署监控系统,利用传感器监控温湿度、漏水、电压、设备状态等信息,一旦发生异常通过短信及时告知机房管理人员。
(2)网络安全:按照等级保护思路进行安全域的划分,将不同级别的信息系统通过防火墙和网闸进行隔离,根据每个安全域的特点设定不同的安全策略。服务器安全域制定细粒度访问控制列表,仅开放必要的端口,并在旁路架设网络流量审计设备和入侵检测系统,对所有流量进行记录及审计,能够及时发现攻击行为;客户端安全域制定网络准入和非法外联策略,禁止未经授权的计算机随意接入医院网络,并且通过管理软件和网闸控制内网的计算机随意访问外网或互联网;架设安全管理域,该区域主要用于对网络设备、服务器、安全设备的管理,并集中收集设备的日志,及时通过分析日志发现安全隐患。
(3)安全:服务器进行统一安全策略的制定,部署网络版杀毒系统、补丁分发系统、入侵防范系统等,并结合服务器承载的业务特点制定详细的资源控制列表,按照最小授权原则,授予最低资源访问权限。
(4)应用安全:部署数据库审计系统,对所有流经数据库的网络流量进行数据分析,制定审计策略,发生违规数据操作及时通过短信报给安全审计人员;同时部署CA数字签名系统,医生通过USBKEY进行系统登录,并对其所有操作进行数字签名,有效保证了应用系统的安全性及数据的不可抵赖性。
(5)数据安全:利用专业的数据备份软件在异地部署数据备份中心,对各系统数据库和文件继续高频率集中加密备份,并且应至少六个月进行一次数据还原演练,保证在出现问题是可以有效进行恢复。
2.信息安全管理
(1)安全管理制度:从医院层面制定信息安全管理制度,对信息安全制度进行重新整理修改,规定信息安全的各方面应遵守的原则、方法和指导策略,指定具体管理规定、处罚措施。制度应具备可操作性,同时应由专人负责随时进行修正,并由信息安全领导小组进行评审,最终进行。
(2)安全管理机构:组织建立信息安全工作领导小组,设置信息安全管理岗位,设立独立的系统管理员、网络管理员、安全管理员、安全审计员等岗位,制定各岗位的工作职责,与各岗位相关人员签署保密协议。同时制定沟通协作机制,内部定期组织会议进行信息安全工作部署,外部每日向公安局上报备案信息系统的安全情况,与数据库、存储、网络设备、安全设备等厂商签署协议,提供所有设备的备机备件,每月进行设备巡检,并要求在发生紧急事件时及时到场提供技术支持。
(3)人员安全管理:在人员录用方面,严格审查人员的背景、身份,并签署保密协议,人员离岗时执行离岗流程,各部门主管负责回收本部门负责的相关权限,所有权限回收后方可办理离职手续。同时定期对人员进行相关培训,每周进行一次内部培训,每年进行两次外部培训。对于外部厂商人员,其对设备的相关操作均需进行审批流程,并通过技术手段记录所有操作行为,做好操作记录,并不定期进行行为审计。
网络安全等级保护办法范文第5篇
【关键词】信息安全;数据库;网络应用;安全体系
1信息安全现状
1.1目前医院信息安全存在的问题根据卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知,三级甲等医院的核心业务信息系统不得低于国家安全信息保护等级三级。据此我们对信息系统的各个方面进行了安全评估,发现主要有如下的问题:
(1)物理安全:机房管理混乱问题;机房场地效用不明确;机房人员访问控制问题;
(2)网络设备安全:访问控制问题;网络设备安全漏洞;设备配置安全;
(3)系统安全:补丁问题;运行服务问题;安全策略问题;访问控制问题;默认共享问题;防病毒情况;
(4)数据安全:数据库补丁问题;SQL数据库默认账号问题;SQL数据库弱口令问题;SQL数据库默认配置问题;(5)网络区域安全:医院内网安全措施完善;医院内网的访问控制问题;医院内外网互访控制问题;
(6)安全管理:没有建立安全管理组织;没有制定总体的安全策略;没有落实各个部门信息安全的责任人;缺少安全管理文档。
1.2当前医院信息安全存在的问题,主要表现在如下的几个方面
(1)机房所处环境不合格,场地效用不明确,人员访问控制不足,管理混乱。
(2)在办公外网中,医院建立了基本的安全体系,但是还需要进一步的完善,例如办公外网总出口有单点故障的隐患、门户网站有被撰改的隐患。
(3)在医院内网中,内网与办公外网之间没有做访问控制,存在蠕虫病毒相互扩散的可能。
(4)没有成立安全应急小组,虽然有相应的应急事件预案,但缺少安全预案的应急演练;缺少安全事件应急处理流程与规范,也没有对安全事件的处理过程做记录归档。
(5)没有建立数据备份与恢复制度;缺少对备份的数据做恢复演练,保证备份数据的有效性和可用性,在出现数据故障的时候能够及时的进行恢复操作。
2医院信息安全总体规划
2.1设计目标、依据及原则
2.1.1设计目标
信息系统是医院日常工作的重要应用,存储着重要的数据资源,是医院正常运行必不可少的组成部分,所以必须从硬件设施、软件系统、安全管理等方面,加强安全保障体系的建设,为医院工作应用提供安全可靠的运行环境。
2.1.2设计依据
(1)《信息安全等级保护管理办法》;
(2)《信息技术安全技术信息技术安全性评估准则》;
(3)《卫生部卫生行业信息安全等级保护工作的指导意见》;
(4)《电子计算机场地通用规范》。
2.1.3设计原则
医院信息安全系统在整体设计过程中应遵循如下的原则:分级保护原则:以应用为主导,科学划分网络安全防护与业务安全保护的安全等级,并依据安全等级进行安全建设和管理,保证服务的有效性和快捷性。最小特权原则:整个系统中的任何主体和客体不应具有超出执行任务所需权力以外的权力。标准化与一致性原则:医院信息系统是一个庞大的系统工程,其安全保障体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个医院信息系统安全地互联互通、信息共享。多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层被攻破时,其他层仍可保护系统的安全。易操作性原则:安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。适应性及灵活性原则:安全措施必须能随着系统性能及安全需求的变化而变化,要容易适应、容易修改和升级。
2.2总体信息安全规划方案
2.2.1基础保障体系
建设信息安全基础保障体系,是一项复杂的、综合的系统工程,是坚持积极防御、综合防范方针的具体体现。目前医院基础保障体系已经初具规模,但是还存在个别问题,需要进一步的完善。
2.2.2监控审计体系
监控审计体系设计的实现,能完成对医院内网所有网上行为的监控。通过此体系监控到的数据能对医院内部网络的使用率、数据流量、应用提供比例、安全事件记录、网络设备的动作情况、网络内人员的网上行为记录、网络整体风险情况等有较全面的了解。
2.2.3应急响应体系
应急响应体系的主要功能是采取足够的主动措施解决各类安全事件。安全事件可以被许多不同的事件触发并破坏单个系统或整个网络的可用性,完整性、数据的保密性。引发或可能引发本地小范围破坏的安全问题应该就地解决,以避免加重整个医院信息网络的安全风险。
2.2.4灾难备份与恢复体系
为了保证医院信息系统的正常运行,抵抗包括地震、火灾、水灾等自然灾难,以及战争、网络攻击、设备系统故障和人为破坏等无法预料的突发事件造成的损害,应该建立一个灾难备份与恢复体系。在这个体系里主要包括下面三个部分:政务内网线路的冗余备份、主机服务器的系统备份与恢复、数据库系统的备份与恢复。
3结论
通过对医院的信息安全风险评估,我们发现了大量关于物理安全、操作系统、数据库系统、网络设备、应用系统等等方面的漏洞。为了达到对安全风险的长期有效的管理,我们进行了具有体系性和原则性并能够符合医院实际需求的规划。
参考文献
[1]王立,史明磊.医院信息系统的建设与维护[J].医学信息,2007,20(3).
[2]王洪萍,程涛.医院信息系统安全技术分析[J].医院管理杂志,2011,18(11).
[3]尚邦治.医院信息系统安全问题[J].医疗设备信息,2004,19(9).
