网络安全等保条例
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全等保条例范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全等保条例范文第1篇
1 引言
随着医院的发展和信息化的进步,信息系统渗透到医院的各个角落。医院的医疗业务、教学、研究对信息系统的依赖性是不容置疑的。医院的信息安全不仅是保证医院有效秩序的前提 ,还是保障医院的财务管理等方面巨大的支撑,并且安全的医疗信息数据才能够有效地提高病人的治疗效果、维护病人的权益。因此加强管理和监控,加强医院有关信息安全系统方面的建设 ,是医院良好有序发展的前提以及客观要求[1]。因此对信息安全的认识从方方面面都得到了前所未有的重视。作为走在信息安全研究前列的大国,美、俄、日等国家都已制定自己的信息安全发展战略和计划,确保信息安全沿着正确的方向发展。2000年初美国出台了电脑空间安全计划,旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月日本信息技术战略本部及信息安全会拟定了信息安全指导方针。2000年9月俄罗斯批准了《国家信息安全构想》,明确了保护信息安全的措施。
我国对信息安全研究起步较晚,目前已初步建成了国家信息安全组织保障体系[2]。我国在1994年颁布了《中华人民共和国计算机信息系统安全保护条例》。在以后的十几年中,国家又出台了多个法律、法规,对信息安全等级保护的具体内容、职责和工作方法做了具体的规定。在2007年公安部、国家保密局、国家密码管理局、国务院信息化工作办公室出台了《信息安全等级保护管理办法》。首都医科大学附属医院北京妇产医院(以下简称“北京妇产医院”)正是借着《信息安全等级保护管理办法》的实行,促进了院信息安全工作的发展,提高了信息安全的水平。从2007年到今天,院信息安全等级保护工作已经走到了第十个年头。这十年信息安全建设大约分为两个阶段。
2 第一阶段:夯实制度基础,加强边界防护
北京妇产医院于2007年10月根据《信息安全等级保护管理办法》的要求和医院的实际情况,把医院的核心系统HIS和LIS系统定为二级系统。在随后的几年中严格按照等级保护二级系统的规范进行建设。
2.1 制定和完善制度,促进安全管理
任何技术都只是手段,而人是最重要的因素,能把两者有效的、高效的结合在一起的是管理。管理又是通过制度实现的。参照等级保护的要求,增加制定了网络安全管理制度、计算机病毒防治管理制度、业务网络安全管理规定、信息安全数据使用授权制度和重大信息安全事件报告制度等制度,基本做到了制度完备。通过信息安全管理相关规范的制订与,确立信息安全方针,对信息安全管理体系文档的制订、、修订、评审进行约定,以保证信息安全管理规范文档的严肃性。通过制订全院统一的信息安全策略,有效指导信息安全管理与技术工作的开展,为全院建立了统一的信息安全策略标准。
2.2 提高信息安全意识
在领导层面,北京妇产医院建立了医院信息系统安全领导小组,明确信息安全工作由院长负责,成员包括信息科、院办、医务科等相关科室领导。在基层层面,根据技术专长和日常工作把工作人员安排为信息安全管理员、安全审计员、系统管理员等。这样不仅使每个人了解信息安全,还要负责信息安全的事,同时也让工作人员时时刻刻有信息安全的意识,还把信息安全内容纳入到每年进修人员和新入职人员培训日程之中。
2.3 加强中心机房的安全建设和管理
北京妇产医院参照《信息系统安全等级保护基本要求》进行信息化基础设施建设。中心机房配置门禁系统,机房出入口安排专人值守,控制、鉴别和记录进入的人员。外来人员进出机房须获得机房管理员的授权,对人员及设备进出情况进行记录。中心机房内服务器、网络设备均安置在机柜内并固定,对设备与走线进行了标识。中心机房设置防盗报警系统、视频监控系统、自动消防系统、空调周围安装漏水检测报警系统等物理安全设备。目前中心机房物理环境基本达到了等级保护三级系统所要求的物理环境,物理安全防护措施相对完善。
2.4 部署了基线网络监控管理系统
此系统能够通过SNMP协议获得被监控网络设备、服务器、通讯线路、网段、应用等有关信息,包括系统信息、网络连接、TCP连接、程序运行、 ARP表、路由表以及CPU负荷等。网络管理员可以通过此系统对全网络可以实时的监控。此系统还可以对IP地址的全局使用情况有一个清晰准确的统计,对于 IP地址使用的管理、分配都可以起到很好的辅助作用。
2.5 部署了桌面管理系统
此系统能够远程维护、远程控制为网络的管理、维护与故障诊断提供了全方位的平台。在管理、维护或故障排除需要时,网络管理员可以通过本功能远程登录客户机,当服务器显示客户机桌面后,即可以对其进行相应的操作。通过桌面管理系统可以管理外部设备,我院业务网禁用了U盘、软驱、光驱、UBS等各种各样的外部存储设备,减少病毒通过外部存储设备进入到业务网中的可能。通过桌面管理系统指定部分关键终端进行IP地址绑定,进一步提升了业务网的安全性。桌面管理系统还不断地进行更新、升级,以提升网络的防护水平。
北京妇产医院通过信息系统的等级保护定级工作,对医院的信息安全状况进行了一次较为全面的摸底,认识到自身信息安全水平和问题所在。针对信息安全投入了相当的力量,通过以上和其他措施加强了防篡改、防病毒、防泄密等方面的安全,提升了业务网的边界防护能力,使其处于基本安全的环境中。
3 第二阶段:持续性推进,再上台阶
2007年至2012年,北京妇产医院年门诊量从7万人次增长11万人次;年出院人次从2.5万人次增长到约3万人次;病房手术人次从1.9 万人次增长到2.5万人次。HIS系统的主要用户医生、护士、医技人员也从500余个增加到约1200余个。HIS系统的应用大大提高了医院工作效率,使医院的资源得到了更合理的优化配置。但是同时对信息系统的依赖性越高,也就对信息系统的安全有了更高的要求。在2012年《北京地区卫生行业信息安全等级保护工作实施细则》中提出:“三级甲等医院的核心业务信息系统的安全保护等级原则上不低于第三级”。针对过去的问题和三级的要求,积极进行整改和推动信息安全工作,在2014年将核心系统 - HIS系统原定级2级提升为3级系统。
3.1 确定保护对象及其区域边界,打好建设基础。
根据北京妇产医院业务的发展需要,原有的内、外网物理的隔离的网络拓扑将随着区域卫生平台、网上预约挂号等业务的推进而发生结构性的改变。如图1所示。
因此,医院原有相对独立的业务网将会受到来自互联网以及其他第三方网络威胁源的攻击。北京妇产医院与时俱进,根据《信息系统安全等级保护基本要求》首先确定了保护对象及其区域边界。根据医院信息系统的计算环境划分情况,围绕信息系统确定出区域边界:
(1)东院业务域计算环境区域边界;
(2)西院业务域计算环境区域边界;
(3)东院终端控制域计算环境区域边界;
(4)外网业务应用域计算环境区域边界;
(5)内网数据交换前置域计算环境区域边界;
(6)外网无线网络域边界;
(7)安全管理域计算环境区域边界;
(8)内网办公终端域计算环境区域边界;
(9)外网办公终端域计算环境区域边界。
保护对象及其区域边界的确定,为以后的计算环境、区域边界、通信网络等安全保护设计和实施奠定了坚实地基础。
3.2 完善日常安全管理,切实落实安全制度
北京妇产医院以前更多地关注技术的提升,有了等级保护要求之后,使得大家能全方位来看待信息安全。从安全管理平台角度来看,技术安全和管理安全同等重要,而在实际工作中,网络维护人员常常忽视管理层面的安全防护,如安全制度的建立和长期执行,机房登记制度等[3]。
北京妇产医院的信息安全制度根据实际情况进行不定期修改,使其具有科学性和可操作性。为保证信息安全制度及各种安全管理手段与技术的落实,信息科制定了完善的巡检制度。巡检人员按规定时间、内容及技术路线对设备进行巡回检查,巡检的内容涵盖了全院。硬件包括中心机房的服务器、交换机;门诊大厅的自助打印机、排号机;中心机房和各个楼层设备间的环境监控和消防等,软件包括数据库监控、病毒监控和移动存储设备的监控;磁盘空间容量、系统运行情况等。巡检人员每日巡检项目11大类504小项,巡检内容还要及时向上级进行反馈,以保证各种安全隐患的得到及时处理。同时还记录每天的程序改动、软件问题等信息,便于事后追溯。
3.3 提高数据备份与恢复能力,降低安全事件带来影响和损失
北京妇产医院原有利用东、西两院区各自独立的机房,采用了后台磁盘阵列之间的远程镜像技术,实现东、西两院区数据同步和远程容灾。通过存储在不同存储设施上的镜像数据,可以实现医院内部关键业务数据的备份与快速恢复。医院对数据保护的方式主要是采用双机高可用和备份系统。但是,双机热备系统也只能避免由于网络故障、服务器故障、物理硬盘故障造成的系统停机问题,如果应用数据受到病毒感染、人为误删除、黑客攻击、甚至是共享磁盘阵列故障,应用系统也是无法运行的。
随着等保工作和信息化建设的推进,医院又配置了CDP保护设备,实现重要数据实时保护;1-3分钟内找回丢失的数据,同时可以恢复到毫秒级的数据版本状态,保障核心业务数据的完整性、一致性、可用性,从而保证核心业务系统正常、稳定、连续运行;数据恢复过程简单方便;后端重建系统,无停机时间;仅复制上次复制后已更改的增量数据,进行有效的系统及数据备份;大大缩短恢复过程,从而减少停机时间并保持生产力;如果出现应用程序故障或硬盘崩溃,可以可靠地捕捉启动应用程序服务器所需的数据。CDP设备部署如2图所示。
CDP设备不仅能够轻而易举的实现本地的应用系统保护和恢复,而且能够很轻松的将保护延伸到远程,建立起更为强大的异地容灾系统。
4 结束语
信息安全是动态的,随着技术的发展而变化。信息安全防护没有完全单一而又绝对保险的安全措施[4]。如果墨守成规,止步不前,必然会影响信息安全的整体水平。每年按照等级保护的要求进行自查,可以让医院查缺补漏,对医院的信息安全是很好的督促。医院在等级保护制度的指导下,持续性的推进信息安全工作,必然会明显地降低信息安全的风险。等级保护制度还促进了卫生行业信息安全建设的标准化和规范化。我们有理由认为信息安全等级保护制度对医院信息安全的建设、管理等方方面面都有极大的促进作用。
网络安全等保条例范文第2篇
明确定位,抓好网站平台建设
2013年,新疆阿克苏地区电子政务管理办公室争取到浙江省智力援疆资金100万元,启动了地区政府网站及部门网站群全新改版和在线访谈系统项目建设,明确了新网站的定位和目标,即:建成地区行署及组成部门政府信息公开第一平台、对外宣传形象窗口、政民互动桥梁纽带、招商引资网上阵地、在线办事主要渠道。围绕这一定位和目标,全新设计了网站栏目架构,在信息公开和对外宣传方面:设置了文字、图片、视频新闻、部门、县(市)政务动态栏目和政府信息公开专栏;在政民互动方面:设置了专员信箱、政务微博、政务微信、在线访谈、民意征集等栏目;在公共服务方面:设置了网上办事大厅、在线查询,链接了行政服务中心行政审批门户网站。
2014年7月,地区政府网主站及38个部门子站组成的网站群上线运行。同年11月,由地区行署和八县一市政府维文网站组成的政府系统维文网站群建成上线。至此,地区及县(市)政府网成功实现由单一信息型网站向综合互动服务型和多语种网站的转变。截止目前,全地区建成开通地区、县(市)、乡镇及所属部门政府网站229个。2012年以来,行署、行署办公室先后印发《关于加强政府网站建设管理工作的意见》、《关于印发〈阿克苏地区行署政府门户网站暨政府网站群运行管理办法(暂行)〉的通知》(、《关于规范地区政府维文网站群管理和内容保障工作的通知》等文件,并从2011年开始,连续四年组织开展了地区政府系统政府网站绩效考评工作,有效提升了全地区政府网站建设水平和综合服务能力。在2014年新疆政府网站发展评估中,阿克苏地区政府网及所辖拜城县、阿瓦提县、新和县、阿克苏市、乌什县政府网被评为A类网站,其中5个县(市)均进入前十名(全疆参评县市政府网站共计98个)。
固本求新,拓展内容建设和对外宣传渠道
在对外宣传和舆论引导工作中,政府网站平台是基础,政务微博、微信作为新媒体是其延伸和拓展。近年来,阿克苏坚持在巩固优化网站平台建设的基础上,积极探索政务微博、政务微信与政府网站的联动应用,努力打造政府对外宣传和舆论引导权威平台。
一是深化政府信息公开工作。全面贯彻落实国务院《政府信息公开条例》,将政府信息公开工作纳入绩效考核体系,全力拓展政府信息公开广度和深度。截止到今年9月30日,地区及县(市)政府网站政府信息公开栏目主动公开政府信息15万余条,并均开设了权力运行、财政资金、公共资源配置、公共服务、公共监管等重点领域信息公开栏目,其中:阿克苏地区政府网设置政府信息公开相关栏目23个,政策法规、通知公告、机关事业单位人员招录、政府招标公告、部门办事指南等各类信息4248条。通过深化政府信息公开,有效保障了社会公众的知情权、参与权、监督权和表达权,增进了公众对政府工作的理解和支持,提高了政府及组成部门的公信力。二是做好每日新闻工作。2008年开始,阿克苏政府网与阿克苏日报社、地区电视台建立起新闻信息资源共享合作机制,每日由报社、电视台指定专人将当天出版和制作的新闻信息发至阿克苏政府网后台,由阿克苏政府网工作人员审核编排后在网站,从而使报社、电视台的信息采编优势与政府网的信息可留存、可回看、可跨地域、跨空间查阅的优势有机结合,拓宽了新闻信息的受众面。2011年以来,阿克苏政府网累计文字、图片新闻1.8万余条、阿克苏新闻视频1650余期。三是抓好政务动态信息报送工作。制定了《地区政府系统政务动态信息报送工作考核奖惩办法》,建立起覆盖各县(市)、行署各组成部门的动态信息报送网络,要求每个工作日向政府网报送动态信息,报送采用情况纳入年度考核。2011年以来,地区各县(市)、各部门向阿克苏政府网报送政务动态信息95762条,被采用47482条,全面、及时、准确地反映了县(市)、部门工作动态情况。四是用活用好政务微博和政务微信。2011年4月,根据行署安排,各县(市)、行署各组成部门开通政务微博61个,并在阿克苏政府网设置专栏集中展示,形成全国政府系统首个政务微博矩阵。2013年8月,又在全疆率先启动政府网站政务微信应用试点工作,地区及八县一市政府网全部开通政务微信平台。各政府网站通过政务微博、微信将每日网站新闻、政务动态信息和重要通知公告事项及时对外。截至目前,地区开通县(市)、部门政务微博80个,听众人数31.47万,发博数8.53万条;地、县(市)政府网政务微信10个,关注人数9270,微信消息3250期,15028条。今年以来,围绕自治区、地区“去极端化”工作安排,各县(市)政府网政务微博、微信积极与当地宣传部“零距离”微信平台对接,实现信息共享、优势互补,收到了较好的宣传效果。五是做好政民互动和网络问政工作。以“专员信箱”、“县(市)长信箱”和“政务微博、微信大厅”为主的覆盖地区、县(市)两级和地直各单位的网络问政平台,已成为深受老百姓关注和信任的品牌栏目。地区先后制定印发了《阿克苏政府门户网站“专员信箱”来信办理工作制度》、《关于加强地区各级政府网站政民互动应用工作的通知》、《关于印发〈阿克苏地区政府系统政务微博客应用管理办法〉的通知》、《关于做好地区行署政府门户网站“在线访谈”栏目的通知》,指导县(市)、部门办好、用好、管好政民互动栏目。2010年8月至今,“专员信箱”累计受理回复群众来信8065件,“县(市)长信箱”累计受理回复6715件,通过政务微博,受理群众留言诉求230余条;邀请地区行署领导和相关部门负责同志举办在线访谈节目7期。近期,阿克苏政府网又在政务微信平台上开发了信箱功能,使群众通过手机就可向“专员信箱”反映问题、表达诉求。在做好政民互动工作的同时,阿克苏政府网还全力配合地委宣传部做好突发事件权威信息和网络舆情监控引导分析等工作,并与地委宣传部及各县(市)政府网建立起信息联动机制,实现自治区、地区重大、重要信息第一时间在全网及政务微博、微信上同步,形成网络正面宣传和舆论引导强大合力。
