时间:2023-01-06 15:19:20
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全整改报告,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、2020年度网络安全检查工作组织开展情况
一、统一思想认识,提高政治站位。迅速召开专题会议,传达学习财政部网络安全和信息化领导小组办公室《关于地方财政部门进一步强化网络安全暨开展2020年网络安全检查的通知》文件精神,并对网络安全工作作出了重要指示和部署。
二、加强统一领导,落实安全责任。为进一步加强对网络安全检查自查工作的组织领导,成立了由局党组书记、局长吴冰同志为组长,各党组成员为副组长的自查工作领导小组,负责网络安全检查自查工作安排部署,严格对照核查内容和工作要求,认真开展了自查工作。
三、加强督查督导,确保整改到位。结合我县财政实际情况,组织安排好本地区财政系统网络安全检查工作,全面排查网络风险、漏洞和突出问题,及时部署整改措施,提高网络安全防护能力。
二、2020年网络安全检查情况汇总
一是组织领导方面。成立了由主要领导担任第一责任人、各相关股室参与、信息中心负责具体工作的财政系统安全保护工作领导小组,统一协调全局开展财政专网运行安全管理工作。
二是网络安全方面。一是做好本级计算机安全检查。从内外网是否混接、财政应用软件是否使用ukey登录、计算机杀毒、系统漏洞补丁修复、计算机实名制管理等方面对全局所有财政专网计算机进行网络安全检查。二是重新部署内网杀毒确保安全。所有金财网pc端及服务器均安装了省厅统一部署的亚信防病毒软件,所有外网安装了360、金山毒霸等杀毒软件;pc端及服务器均采用了登录强口令密码、数据库异地存储备份、数据加密等安全防护措施。三是切实抓好金财网、外网、媒介和应用软件的管理,对金财网pc端、外网pc端实行分网管理,严格区分内网和外网,确保内外网不混用、不同用。四是加强对硬件安全的管理,包括防尘、防潮、防雷、防火、防盗、和电源连接等;加强密码管理、ip管理、互联网行为管理等;加强计算机应用安全管理,包括邮件系统、资源库管理、软件管理等。
三是落实责任方面。一是建立健全相关制度。为确保计算机网络安全、建立健全了《计算机安全保密制度》、《网络信息安全管理制度》等一系列规章制度,确保本单位信息系统建设和网络安全能够正常运行。二是制定了《县财政局网络安全应急预案》,按照要求定期开展应急演练。三是按照州财政局要求,联合县电信公司对全县金财网ip地址进行了规范改造。四是结合省财政厅相关要求,正在对关键系统开展等保评测工作,严格按照网络安全行业主管部门的要求,及时查漏补缺,完成评测整改工作。确保核心业务系统安全运行,保障全县财政业务正常开展。五是对照国家等级保护2.0标准及省财政厅制定的相关技术规范添置入侵检测、入侵防护、安全审计、数据备份等网络安全防护设备。强化网络安全硬件保障基础,补齐网络安全硬件建设上的短板。
四是宣传教育方面。一是加强网络安全学习培训。定期不定期组织全局人员专题培训等方式全方位宣传学习《网络安全法》等。二是积极主动对接当地网信办及网安部门,参加网络安全宣传周活动,每年定期组织预算单位财务人员集中培训网络安全知识与日常管理技巧,提高网络安全意识,防范不规范操作,规避内外网互联风险。
五是落实经费方面。将网络安全建设经费纳入年初预算,确保经费保障充足,相继采购防火墙、堡垒机、安全管理系统等网络安全产品,进一步提高了网络安全技术保障能力。
三、存在的问题
一、整体安全状况的基本判断
从检查情况看,网络与信息安全总体情况良好。始终把信息安全作为信息化工作的重点内容,网络信息安全工作机构健全、责任明确,日常管理维护工作比较规范;管理制度完善,技术防护措施得当,信息安全风险得到有效降低;比较重视信息系统系统管理员和网络安全技术人员培训,应急预案与应急处置技术队伍有落实,工作经费有一定保障,基本保证了网信息系统持续安全稳定运行。
二、发现的主要问题和薄弱环节
虽然我县财政系统网络安全在上级部门的指导下取得了一定的成绩,但在检查过程中也发现了一些管理方面存在的薄弱环节,如网络信息安全知识宣传较少、网络安全管理专业技术力量薄弱等。
以下是《通信网络安全防护监督管理办法(征求意见稿)》全文:
为切实履行通信网络安全管理职责,提高通信网络安全防护水平,依据《中华人民共和国电信条例》,工业和信息化部起草了《通信网络安全防护监督管理办法(征求意见稿)》,现予以公告,征求意见。请于2009年9月4日前反馈意见。
联系地址:北京西长安街13号工业和信息化部政策法规司(邮编:100804)
电子邮件:wangxiaofei@miit.gov.cn
附件:《通信网络安全防护监督管理办法(征求意见稿)》
通信网络安全防护监督管理办法
(征求意见稿)
第一条(目的依据)为加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通,根据《中华人民共和国电信条例》,制定本办法。
第二条(适用范围)中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
本办法所称互联网域名服务,是指设置域名数据库或域名解析服务器,为域名持有者提供域名注册或权威解析服务的行为。
本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或被非法控制等以及通信网络中传输、存储、处理的数据信息丢失、泄露或被非法篡改等而开展的相关工作。
第三条(管辖职责)中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调、监督和检查,建立健全通信网络安全防护体系,制订通信网络安全防护标准。
省、自治区、直辖市通信管理局(以下简称“通信管理局”)依据本办法的规定,对本行政区域内通信网络安全防护工作进行指导、协调、监督和检查。
工业和信息化部和通信管理局统称“电信管理机构”。
第四条(责任主体)通信网络运行单位应当按照本办法和通信网络安全防护政策、标准的要求开展通信网络安全防护工作,对本单位通信网络安全负责。
第五条(方针原则)通信网络安全防护工作坚持积极防御、综合防范的方针,实行分级保护的原则。
第六条(同步要求)通信网络运行单位规划、设计、新建、改建通信网络工程项目,应当同步规划、设计、建设满足通信网络安全防护标准要求的通信网络安全保障设施,并与主体工程同时进行验收和投入运行。
已经投入运行的通信网络安全保障设施没有满足通信网络安全防护标准要求的,通信网络运行单位应当进行改建。
通信网络安全保障设施的规划、设计、新建、改建费用,应当纳入本单位建设项目预算。
第七条(分级保护要求)通信网络运行单位应当按照通信网络安全防护标准规定的方法,对本单位已正式投入运行的通信网络进行单元划分,将各通信网络单元按照其对国家和社会经济发展的重要程度由低到高分别划分为一级、二级、三级、四级、五级。
通信网络单元的分级结果应由接受其备案的电信管理机构组织专家进行评审。
通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别。通信网络运行单位调整通信网络单元的划分和级别的,应当按照前款规定重新进行评审。
第八条(备案要求1)通信网络运行单位应当按照下列规定在通信网络投入运行后30日内将通信网络单元向电信管理机构备案:
(一)基础电信业务经营者集团公司直接管理的通信网络单元,向工业和信息化部备案;基础电信业务经营者各省(自治区、直辖市)子公司、分公司负责管理的通信网络单元,向当地通信管理局备案。
(二)增值电信业务经营者的通信网络单元,向电信业务经营许可证的发证机构备案。
(三)互联网域名服务提供者的通信网络单元,向工业和信息化部备案。
第九条(备案要求2)通信网络运行单位办理通信网络单元备案,应当提交以下信息:
(一)通信网络单元的名称、级别、主要功能等。
(二)通信网络单元责任单位的名称、联系方式等。
(三)通信网络单元主要负责人的姓名、联系方式等。
(四)通信网络单元的拓扑架构、网络边界、主要软硬件及型号、关键设施位址等。
前款规定的备案信息发生变化的,通信网络运行单位应当自变更之日起15日内向电信管理机构变更备案。
第十条(备案审核)电信管理机构应当自收到通信网络单元备案申请后20日内完成备案信息审核工作。备案信息真实、齐全、符合规定形式的,应当予以备案;备案信息不真实、不齐全或者不符合规定形式的,应当通知备案单位补正。
第十一条(符合性评测要求)通信网络运行单位应当按照通信网络安全防护标准的要求,落实与通信网络单元级别相适应的安全防护措施,并自行组织进行符合性评测。评测方法应当符合通信网络安全防护标准的有关规定。
三级及三级以上通信网络单元,应当每年进行一次符合性评测;二级通信网络单元,应当每两年进行一次符合性评测。通信网络单元的级别调整后,应当及时重新进行符合性评测。
符合性评测结果及整改情况或者整改计划应当于评测结束后30日内报送通信网络单元的备案机构。
第十二条(风险评估要求)通信网络运行单位应当对通信网络单元进行经常性的风险评估,及时消除重大网络安全隐患。风险评估方法应当符合通信网络安全防护标准的有关规定。
三级及三级以上通信网络单元,应当每年进行一次风险评估;二级通信网络单元,应当每两年进行一次风险评估;国家重大活动举办前,三级及三级以上通信网络单元应当进行风险评估。
风险评估结果及隐患处理情况或者处理计划应当于风险评估结束后30日内上报通信网络单元的备案机构。
第十三条(灾难备份要求)通信网络运行单位应当按照通信网络安全防护标准的要求,对通信网络单元的重要线路、设备、系统和数据等进行备份。
第十四条(演练要求)通信网络运行单位应当定期或不定期组织演练检验通信网络安全防护措施的有效性,并参加电信管理机构组织开展的演练。
第十五条(监测要求)通信网络运行单位应当对本单位通信网络的安全状况进行自主监测,按照通信网络安全防护标准建设和运行通信网络安全监测系统。
通信网络运行单位的监测系统应当按照电信管理机构的要求,与电信管理机构的监测系统互联。
第十六条(CNCERT职责)工业和信息化部委托国家计算机网络应急技术处理协调中心建设和运行互联网网络安全监测系统。
第十七条(安全服务规范)通信网络运行单位委托其他单位进行安全评测、评估、监测等工作的,应当加强对受委托单位的管理,保证其服务符合通信网络安全防护标准及有关法律、法规和政策的要求。
第十八条(监督检查)电信管理机构应当根据本办法和通信网络安全防护政策、标准,对通信网络运行单位开展通信网络安全防护工作的情况进行监督检查。
第十九条(检查措施)电信管理机构有权采取以下措施对通信网络安全防护工作进行监督检查:
(一)查阅通信网络运行单位的符合性评测报告和风险评估报告。
(二)查阅通信网络运行单位的有关文档和工作记录。
(三)向通信网络运行单位工作人员询问了解有关情况。
(四)查验通信网络运行单位的有关设施。
(五)对通信网络进行技术性分析和测试。
(六)采用法律、行政法规规定的其他检查方式。
第二十条(委托检查)电信管理机构可以委托网络安全检测专业机构开展通信网络安全检测活动。
第二十一条(配合检查的义务)通信网络运行单位对电信管理机构及其委托的专业机构依据本办法开展的监督检查和检测活动应当予以配合,不得拒绝、阻挠。
第二十二条(规范检查单位)电信管理机构及其委托的专业机构对通信网络安全防护工作进行监督检查和检测,不得影响通信网络的正常运行,不得收取任何费用,不得要求接受监督检查的单位购买指定品牌或者指定生产、销售单位的安全软件、设备或者其他产品。
第二十三条(规范检查人员)电信管理机构及其委托的专业机构的监督检查人员应当忠于职守、坚持原则,不得泄漏监督检查工作中知悉的国家秘密、商业秘密、技术秘密和个人隐私。
第二十四条(对专业机构的要求)电信管理机构委托的专业机构进行检测时,应当书面记录检查的对象、时间、地点、内容、发现的问题等,由检查单位和被检查单位相关负责人签字盖章后,报委托方。
第二十五条(罚则1)违反本办法第六条、第七条、第八条、第九条、第十一条、第十二条、第十三条、第十四条、第十五条、第十七条、第二十一条规定的,由电信管理机构责令改正,给予警告,并处5000元以上3万元以下的罚款。
第二十六条(罚则2)未按照通信网络安全防护标准落实安全防护措施或者存在重大网络安全隐患的,由电信管理机构责令整改,并对整改情况进行监督检查。拒不改正的,由电信管理机构给予警告,并处1万元以上3万元以下的罚款。
医院网络与信息安全自查报告
按照卫健发[2019]52号文件通知精神,我院领导高度重视,召开全院职工会议,深入学习和认真贯彻落实文件精神,充分认识到开展网络与信息安全自查工作的重要性和必要性,对自查工作做了详细部署,院长亲自负责安排信息安全自查工作,并就自查中发现的问题认真做好相关记录,及时整改,完善。现将我院信息安全工作自查情况汇报如下:
一、我院的网络为联通互联网专线,带防火墙,以确保网络能够独立、安全、高效运行。重点抓好“三大安全”排查。
1.硬件安全,组织人员对全院设备进行防雷、防火、防盗电源进行检查,目前均无安全隐患。
2.网络安全:包括网络结构、密码管理、IP管理、互联网行为管理等;网络结构包括网络结构合理,网络连接的稳定性,网络设备(交换机、路由器、光纤收发器等)的稳定性。HIS系统的操作员,每人有自己的登录名和密码,并分配相应的操作员权限,不得使用其他人的操作账户,账户施行“谁使用、谁管理、谁负责” 的管理制度。互联网施行固定IP地址,由医院统一分配、管理,不允许私自添加新IP,未经分配的IP均无法实现上网。
3.数据安全:未经院方批准,任何人不得将医院内各科室的数据向外传递或泄露,一经发现将严肃处理。
二、我院每季度组织全院工作人员进行一次网络安全教育培训,并按照“谁使用谁负责”的制度管理并定期对全院网络设备进行检查、排查,防止安全隐患的设备运行,对存在安全隐患的设备及时处理并向上级单位报告。
根据xx信息化领导小组办公室下发的相关通知,我院依照通知精神成立了信息安全工作领导小组,制定计划,明确责任,具体落实,对我院的信息网络与信息安全进行了一次全面的调查。发现问题,分析问题,解决问题。确保了网络安全,更好的为检务工作服务。
一、 加强领导,成立了网络与信息安全工作领导小组
为进一步加强网络信息系统安全管理工作,xx成立了网络信息系统安全工作小组,做到分工明确,责任到人。安全工作领导小组组长为xx,副组长xx,成员xx。分工职责如下:xx为信息安全工作第一负责人,全面负责信息安全管理工作。xx负责信息安全管理工作的日常事务。xx负责计算机网络与信息安全管理工作的日常协调、网络维护和技术管理。
二、 信息安全工作主要方面
1、技术方面,网站服务器计算机设置防火墙,拒绝外来恶意攻击。安装正版防病毒软件,对计算机病毒、有害电子邮件有效过滤。
2、设备方面,内网与外网严格分开,并按xx高院要求,安装密码机,有效维护网络安全。机房按照“三铁两器”要求设置,即铁窗、铁门、保险柜、监控器、报警器齐全。
3、应急处理方面,我院具备专业技术人员,一旦发生网络安全事故可立即报告相关人员,对突发网络安全事故可快速安全处理。
4、容灾备份,对重要信息采取备份,当遇故障时能够保障重点重要数据的完整。
三、自查中发现的主要问题及整改情况
经过自查,我院信息安全总体状况良好,未发生信息安全事故。在本次检查过程中也暴露了一些问题,机房设施投入不足,个别人员计算机安全意识不强等。
自2020年12月加入***医疗集团以来担任信息安全经理一职,在这六个月的试用期中通过与各位同事、领导的相处,使我渐渐开始适应现在的工作环境和节奏,在工作中体会到的领导和同事踏实认真的工作态度,让我更加严格的要求主机,把工作做好做细。在此,我需真诚的向各位领导和同事表达我深深的谢意,感谢大家在这段时间给予我足够的宽容、鼓励和帮助。下面就我六个月的试用期工作进行总结。
1. 已完成项目总结:
1)三级等保测评:根据国家相关法律法规要求,北京和睦家医院需通过等级保护三级测评。入职时,此项目已过初测阶段进入到整改阶段,根据测评机构给出的差异分析报告进行高风险项和中风险项的整改工作,作为整个项目的执行者,之前的工作经验在整改过程中起到了一定的作用,提高了整改工作的效率并编写了等级保护要求相关文档,例如:信息安全应急预案,操作系统基线检查模板等,同时也存在一些不足,例如对于等级保护要求的一些条例理解不够深刻,对于等保测评的算分公式不够熟悉等。在最终测评时,积极配合测评机构的测评工作,回答测评机构提到的关键问题,使得终测过程较为顺利的完成,并以优异的分数通过了三级等保测评,拿到了三级等保报告,当然这也少不了其他同事的共同努力。
2)安全体系建设--评估阶段:根据领导要求,负责和睦家信息安全体系建设,作为此项目的负责人,我将此项目分为三个阶段完成,分别为:评估阶段,建设阶段,以及运营阶段。在评估阶段的主要目标是需要评估和睦家现状,以及为安全体系建设第二阶段做准备,如不做评估的话是无法进行从0-1的安全体系建设,在评估的过程中利用自己的专业知识并结合等级保护三级的要求,进行了多维度的评估。完成评估后,列出了安全体系建设架构图,但由于做评估时有些方向没有做深入的调研,导致安全体系架构图的某些模块无法实现,后期会进行一系列的调整及优化。
3)安全意识培训:企业无时无刻都面临着信息安全的威胁及风险,根据领导要求,作为该项目的负责人,已于近期针对于和睦家内部IT部门进行了安全意识培训工作,培训内容包括安全意识概念、密码安全、系统安全、邮件安全、物理安全、社会工程攻击等内容,通过安全意识培训,提升了企业内部对于信息安全的理解以及信息安全的重要性,同时也在一定程度上提升了员工识别信息安全风险的技能和意识,但美中不足的是培训内容过多,培训时间较长,所以需要对培训的素材进行优化。
4)支持其他Site网络安全工作情况:
远程支持**网安检查,配合IT Manger通过青岛市网安的例行检查,并提出与网安检查相关的检查项及关键点,最终***以较高的分数通过检查。
青岛互联网医院上线前审查,配合IT Manager通过青岛互联网医院上线前审查,提供了网络安全应急预案的培训以及相关检查项的整改方案,并在审查当天进行远程技术支持。
***三级等保测评工作,远程配合***在三级等保终测,并提供相关漏扫报告,以及技术答疑等,最终***复核等保三级测评要求,通过三级等保测评。
2. 正在进行中的项目:
a)安全运营中心部署:根据三级等保要求以及安全体系建设需求,需成立安全运营中心,和睦家购买了IBM的SIEM平台QRadar,目前该项目已完成北京区域部署,进入到优化策略阶段,目前已将AD认证类的告警策略优化完成,下一步准备优化病毒类告警以及服务器相关告警,待策略优化完成后,部署全国各Site日志采集器和流量采集器,预计本年度完成全国部署。
b)Knowbe4钓鱼邮件测试平台:由于钓鱼邮件对企业造成的安全风险较高,威胁较大,所以准备采购响应的钓鱼邮件测试平台,通过该平台的钓鱼邮件测试来提升员工对于防钓鱼的安全意识,目前该项目已将报价提交给采购进行价格评估,待采购评估价格后进行购买实施。
c) ***全国安全意识培训:为提升和睦家员工的信息安全意识,计划于本年度完成***全国员工的信息安全意识培训,目前已完成北京***部门的培训,下一步进行***的信息安全意识培训。
3. 个人能力自我评估:
通过六个月的工作,我发现了自身存在的一些优点与不足:
a)沟通能力方面:乐于与同事及领导积极沟通,并了解自己的任务和角色,乐于与同事合作以达成目标,但有的时候沟通方式存在一定的问题,导致沟通效果欠佳。在今后的工作中,也会注意自己与领导和同事之间的沟通方式及方法,做到高效沟通。
b)项目管理能力:擅长项目管理,因为之前系统的学习过项目管理的知识,所以在工作中可以利用学习到的知识去进行高效工作,但偶尔会出现不熟悉企业内部的工作流程导致对于项目的管理出现偏差,我会在未来的工作中尽快的熟悉各项工作流程,避免再次出现同样的问题。
c) 岗位知识方面:在信息安全体系建设、安全运营、安全意识培训以及安全事件分析方面较为擅长,由于网络安全涉及到的知识面非常广,在工作的过程中也意识到我所在的岗位上,有些需要用到的信息安全相关知识自己并不够专业,所以在今后的工作和生活中还需要加强学习相关岗位知识,并实际运用到工作中。
d)工作态度方面:工作态度积极、主动,时常保持良好的状态完成工作或解决问题。
【关键词】信息安全等级保护 测评实施
1 引言
医院信息化建设快速发展,信息系统应用深入到各个环节,信息业务系统承载了门诊收费、门诊药房、住院收费、住院药房、医保、财务、门急诊医生护士站、住院医生护士站、电子病历、病案首页、检验LIS系统、检查PACS系统、体检系统等。保障重点信息系统的安全,规范信息安全等级保护,完善信息保护机制,提高信息系统的防护能力和应急水平,有效遏制重大网络与信息安全事件的发生,创造良好的信息系统安全运营环境势在必要。根据卫生部印发的《卫生行业信息安全等级保护工作的指导意见》,卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。
2 确定测评对象与等级
我院是一所二级甲等综合医院,日门诊人次1000人左右,住院日人次400余人。医院信息系统HIS、LIS、PACS、电子病历、体检等50余个系统无缝结合,信息双向交流。按照《信息系统安全等级保护定级指南》定级原理,确定医院信息业务系统的安全保护等级为第2级,其中业务信息安全保护等级为2级,系统服务安全保护等级为2级。
2.1 招标比选测评公司
医院通过四川警察网了解到四川省获得信息安全等级保护测评有资质的5家公司。医院电话通知该5家公司,简单介绍医院信息化情况,其中有3家公司到现场进行调查,掌握了信息系统情况。然后通过招标比选确定一家公司为我院测评安全等级保护。
2.2 测评实施
2.2.1 准备阶段
医院填报《安全等级保护备案申报表》、《安全等级保护定级报告》,确定安全主管人员、系统管理员、数据库管理员、审计管理员、安全管理员。医院组织相关人员到市级计算机安全学会进行安全培训学习。确定医院信息安全主管人员协助测评公司人员就医院信息业务系统做调研,提交准备资料。调研内容涉及网络拓扑结构图、线路链接情况、中心机房位置分布情况、应用系统组成情况、服务器操作系统、数据库系统以及相应的IP地址、网络互连设备的配置、网络安全设备的配置、安全文档等。
2.2.2 测评主要内容
主要针对医院信息系统技术安全和安全管理两方面实施测评,其中技术安全包括物理安全、网络安全、主机安全、应用系统安全、数据安全及备份恢复进行5;安全管理包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
2.2.3 测评方式与测评范围
测评公司综合采用了现场测评与风险分析方法测评、单元测评与整体测评。单元测评实施过程中采用现场访谈、检查和测试等测评方法。就各类岗位人员进行访谈,了解医院业务运作以及网络运行状况;查看主机房、应用系统软件、主机操作系统及安全相关软件、数据库管理系统、安全设备管理系统、安全文档、网络分布链接情况。检查物理安全、主机安全、网络安全、应用安全和数据安全及备份恢复等技术类测评任务,以及安全管理类测评任务;查阅分析文档、核查安全配置、监听与分析网络等检查方法查证防火墙、路由器、交换机部署及其配置情况、端口开放情况等;测评人员采用手工验证和工具测试进行漏洞扫描、系统渗透测试,检查系统的安全有效性。
整体测评主要应用于安全控制间、层面间和区域间等三个方面。主要就是针对同一区域内、同一层面上或不同层面上的不同安全控制间存在的安全问题以及不同区域间的互连互通时的安全性。
医院信息系统运用了身份鉴别措施、软件容错机制、用户权限分组管理、密码账户登录、数据库表中记录用户操作、对重要事件进行审计并留存记录。网络边界处部署防火墙防御入侵,终端使用了趋势网络版本防病毒产品,抵御恶意代码。开启系统审计日志,制定和实施有效安全管理制度,加强安全管理,降低系统安全风险。网络进行了有效的区域划分,区域之间通过访问控制列表实现安全控制,与社保局、医管办等第三方外联区之间通过防火墙严格限制访问端口。
2.2.5 差距分析与测评整改
通过测评,测评公司写出测评报告,提出整改建议。按照《信息系统安全等级保护基本要求》要求6,测评公司人员根据医院当前安全管理需要和管理特点,针对等级保护所要求的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理,从人员、制度、运作、规范等角度,进行全面的建设7,提供技术建设措施,落实等级保护制度的各项要求,就各类人员进行安全培训,提升医院信息系统管理的能力。医院分期逐步投入防网络入侵系统、数据库审计系统等。
2.2.6 编制报告,成功备案
测评公司编制报告,上报市公安局备案成功,获得二级信息系统备案证书。二级信息系统,每两年进行一次信息安全等级测评。实施安全等级保护测评备案使医院信息系统安全管理水平提高,安全保护能力增强,有效保障信息化健康发展。
3 结语
网络安全问题是一个集技术、管理和法规于一体的长期系统工程,始终有其动态性,医院需要不断进行完善,加强管理,持续增加安全设备以保障医院数据安全有效,保障信息系统安全稳定运行。医院信息安全建设要切合自身条件特点,分期分批循序建设,保证医院各系统长期稳定安全运行,以适应医院不断扩展的业务应用和管理需求8。
参考文献
[1]卫办发.〔2011〕85号,卫生部关于印发“卫生行业信息安全等级保护工作的指导意见”的通知,2011.
[2]尚邦治.做好信息安全等级保护工作[J].中国卫生信息管理杂志,2005.
[3]王建英,陈文霞,胡雯,张鹏.医院信息安全分析及措施[J].中国病案,2013.
[4]王俊.医院信息安全等级保护管理体系的构建[J].医学信息,2013.
[5]韩作为.医院信息安全等级保护三级建设流程与要点[J].中国数字医学,2006.
派出所贯彻落实“三防”活动情况总结
为深入贯彻落实全国公安机关“增强敌情观念,维护政治纪律”座谈会和全省公安机关“三防”活动动员大会精神,切实加强公安队伍教育和管理,坚决防止和杜绝公安民警因理想信念动摇,敌情观念淡化,违反政治纪律而导致被境外敌对势力策反、渗透、出卖情报的案件发生,根据市局、分局党委的部署,从__年x月x日至x月x日,深入开展了“增强敌情观念,维护政治纪律,防策反、防渗透、防窃密”的活动。现将我所贯彻落实“三防”活动的情况总结如下:
一、 抓好民警的动员教育。
我所召开了所支部会和全所民警会,认真传达和学习了全国公安机关“增强敌情观念,维护政治纪律”座谈会和全省公安机关“三防”活动动员大会以及市局、分局行动方案的精神,《保密法》等,使全所民警掌握了“三防”活动的主要指导思想、目标要求和主要内容。同时加强了民警的忠诚教育、敌情教育、纪律教育、保密教育、反腐倡廉教育和警示教育。
二、查摆问题,积极整改。
在查摆问题阶段,发现在民警中存在敌情观念淡薄、保密观念不强的问题,在公安专线网络使用中存在安全隐患与漏洞、防范措施不强问题。针对这些问题,我们逐项逐条进行分析原因并整改。首先是对聘用的工作人员进行了严格的审批;其次对使用公安专线的计算机按市局要求粘贴了“严禁一机两用”和“公安专线,严禁交叉使用”的标签;第三是及时给每位民警下发省厅的《公安信息网络安全知识手册》;第四是加强对文件的管理。通过一系列整改措施,使发现的问题得到了有效解决。
三、整章建制,建立健全了“三防”工作长效机制。
通过整章建制阶段,我所建立了日常保密工作制度、安全检查督促制度、报告制度等制度,在日常工作中具体贯彻运用,以落实“三防”工作的长效机制。
通过“三防”活动和以社会主义法治理念教育为主要内容的执法执纪大整顿活动。进一步增强民警的政治立场,提高了政治觉悟、政治敏锐性和政治鉴别力,增强了敌情观念;进一步增强了民警的政治纪律性,确保了公安队伍的坚强战斗力;进一步增强了民警的保密意识。
大家好!首先,我代表中国联通**分公司全体员工,对各位领导在百忙之中莅临我公司视察指导工作表示热忱的欢迎。
安全生产及运行维护是通信企业的“两大项重要工作”。近年来,我公司在省分公司的正确领导下,全面落实“安全第一、预防为主”的安全生产方针,安全生产形势保持稳定。2005年,我们认真贯彻落实总部《关于开展2005年“全国安全生产月”活动的通知》精神,牢固树立“安全生产重于泰山”的观念,实施全员、全方位、全过程的安全监督,以加强监管制度、加大考核制度为2005年安全生产的切入点,进一步夯实了安全生产基础,推动了公司经营工作的发展。
下面我就中国联通**分公司安全生产及运行维护工作向大家作一个汇报,敬请批评指正,并提出宝贵意见。
一、认真开展安全生产工作:
(一)树立安全生产意识,明确安全生产工作的重要意义。
安全生产工作事关公司发展和稳定的大局。尤其是对我们通信行业来说,实现生产安全,保证网络畅通,就是保障社会稳定,建立和谐社会的一个不可忽视的部分。因此,树立先进的安全文化理念,建立先进的安全生产文化,提高员工的安全生产意识,也就是推进公司做大做强的有力保证。
几年来,我们始终把安全生产作为头等大事来抓,坚持“安全第一,预防为主”的生产方针,坚持管理、培训、落实并重,坚持党政工团齐抓共管,正确处理安全与生产、安全与改革、安全与效益的关系,全面加强安全管理,营造“关注安全,平安是福”的浓厚氛围,为建设“管理精细化”的平安公司奠定了基础,实现了长治久安。
(二)落实组织机构,加大监管力度,加强应急预案的制定和完善。
1、成立了以***总经理为组长,***、***、***副总经理为副组长以及各部门经理为成员的安全生产领导小组。以文件的形式明确了各部门安全生产第一责任人,制定了相关的安全生产制度,签订了安全生产责任书,明确了各级员工安全生产职责所在,并将绩效考核与之挂钩,严格执行,把它扩大到整个公司整个安全生产中,明确“责任不落实就是安全隐患”的全局观念。
2、2002年为我公司管理规范年,该年度,我公司依据总部及省分公司相关文件精神,参照其他运营商的相关制度,结合我公司实际情况,编制了《企业管理制度汇编》。对安全生产工作进行了全方位的描述,明确规定了各个岗位员工的职责与义务,同时根据安全生产工作形势的发展,不断完善充实,建立健全定期检查和日常防范相结合的安全生产规章制度,严禁一切违反安全生产工作的现象,坚决杜绝违纪违章事故的发生,使我公司的安全生产做到有章可循,违章必究。
3、按照省分公司“安全事故应急救援预案编制指导意见”的要求,进一步完善我公司的各类安全事故应急救援预案,组织各部门安全生产管理人和员工认真学习预案的各项内容,熟悉掌握应急救援职责、事故报告及救援程序、步骤和应采取的措施,做好必需的物资储备,真正做到事故发生后第一时间到达事故现场,有条不紊地开展应急救援工作。由于荆州地处长江中下游,容易受到洪涝灾害的浸袭,我公司每年都在省分公司的组织下对各类应急预案进行修订,以确保网络安全运行。多年来我们制定了GSM网应急预案、CDMA网应急预案、基站应急预案、关口局应急预案、长途/IP应急预案、传输应急预案、互联网应急预案等多类应急预案。并经过多方论证,可操作性强,同时建立和健全安全生产预警机制,及时准确预警,探索事故发生的规律性,尤其是做好生产经营一线的预警工作,从预测、预警、预防三个方面入手,坚持关口前移,重心下移,充分发挥了人的主观能动性,用科学完善的防范措施,建好事故防范的“防火墙”,坚决避免各类重大事故的发生。
(三)加大宣传力度,加强安全意识,开展各项检查及整治工作。
1、本年度,我公司根据省分安排结合当地实际情况,截至现在,开展了一月的“安全生产宣传周”活动、六月的“关注安全、平安是福”的安全生产月宣传活动。进行了两次消防安全知识培训,二次消防演练,讲解了各种消防知识,学习了各种消防器械的使用方法,传授了应对各种灾害时的自保、自救方法。组织全体员工117人进行了一次安全生产培训,并进行了考试。通过以上各项活动,帮助员工树立了正确的安全生产意识,掌握了各种消防器材的使用方法,提高了应对突发事件的能力。
2、大力开展检查及整治工作。一是切实抓好防火和重大电器设备的安全工作,特别是通信机房、电力机房、库房、营业场所、客服等重要场所的消防安全,定期组织检查,发现问题、堵塞漏洞,加大排查力度,进一步理顺防火防灾的重要部位、环节和对象,彻底消除火灾隐患,确保公司网络稳定运行。二是随着近年来,我公司业务的迅速发展,各县市营业网点的不断增多,营业厅的资金管理、人身的安全等问题呈现出来,针对这一情况,我公司立即调查解决,加强所有营业网点的安全防护措施。抽调专项资金购置了电警棍、消防灭火器及自救式呼吸器,分别安放在营业厅、办公区域、机房、电视电话会议室、电力室等地。从硬件上保证了安全生产工作的落实,确保了各项业务的正常运行。同时各分公司安全管理人员通过相互交流、观摩,相互学习,取长补短,提升了全市安全管理水平。三是每年度计划财务部根据公司上年的实际开支情况,结合各部门上报的各项整改预算,制定年度的安全生产维护费用,确保能及时对生产中发现的隐患进行整改,有效的保证了安全设施的维护、维修工作。
二、狠抓运行维护工作:
在日益激烈的竞争环境下,联通荆州分公司牢固树立“运行维护出质量,网络优化出效益”的理念,加强运行维护基础管理工作,提高我公司网络维护、网络优化的水平。
(一)加大新规程、制度的贯彻执行力度。从2004年10月开始,荆州分公司多次组织新规程、制度的学习及考试,要求各专业不折不扣执行新规程、制度,并建立了与省分KPI考核挂钩的考核奖励办法,将运行维护的各项KPI考核指标分解到各专业部门,落实到具体执行人,强化了执行力,取得了较好的效果。
(二)建立“全程全网”的运维管理体系,加强对干线的维护管理,清理维护管理流程。认真贯彻落实总部及省分下发的各项规章制度,完成了一干机房、二干机房、中心机房及城区各基站的标准化工作,并根据总部有关光缆线路更新改造工作的安排,对一干、二干网络进行了改造和调整,以确保网络安全稳定运行。防汛期间,我们还制定了相应的巡线计划和三盯措施,委派巡线人员认真填写巡检日志,定时上报外力情况,并建立应急处理体制,提高自维能力。
(三)建立三级维护体系,落实维护人员,强化维护力量。目前,在维护工作上我公司实行由运行监督部全面负责监管,***进行代维的管理模式。为保证网络质量,各专业部门分别与***签订了协议,每月对代维情况进行考核通报并结算费用,同时***负责人每月还定期对维护中出现的难点与专业部门进行沟通,有效确保了代维工作的顺利开展。05年以来,***已对***境内的一、二干线路进行了多次整改,消除了隐患,降低了故障率。目前移动基站总数已超过300个,为此我们成立了传输优化小组,全盘考虑传输网络规划,全面掌握网络资源,及时调整网络结构。数据方面:对IP超市进行了多次的硬件优化和软件升级,针对互联网电路丢包严重而ATM电路相对较空闲的情况提出了宽带IP超市走ATM路由的建议,经过实施后话音质量明显改善。针对县市互联网带宽低,与对手相比处于劣势的实际情况,我们提出了IPOVERSDH的技术实现方案,借传输建设2.5G本地网的楔机,通过加装以太网板卡实现了县市100M互联网电路的开通,从而大大增强了县市互联网业务的竞争实力。通过这些网络优化工作大大改善了网络运行的状态,为业务发展创造了良好的机遇。
(四)加强对各网络运行状态的监测及维护基础管理工作的检查和考核。要求各专业部门进一步加强对班组、县市维护基础工作的制度执行情况的检查和考核,运维部加强对各专业部门和县市分公司维护工作的检查和考核。主要是检查原始记录登统计的管理,作业计划执行情况,值班制度、安全管理制度、维护操作规范的落实情况。进一步完善事故报告分析制度,加大对障碍处理的预见性和及时性,将障碍降低到最低限度。同时将各专业部门对县市维护工作的指导和监督纳入对专业部门的考核范围之中,将运行维护分析工作落实到县市分公司,对运维中存在问题进行通报,并责成相关部门与单位进行限期整改,从而将运行维护工作形成有效的闭环,不断的将运维工作推向深入,使县市的维护水平再上一个新台阶。
(五)狠抓指标分析和提升工作,提高网络运行质量。05年以来我公司开展了多次专项分析,不断提升网络质量。对G网位置更新成功率进行了专题分析,通过减小周期性位置更新的时间间隔使该项指标从78%上升到93%;对G网录音通知机拥塞情况;对IP电话忙时落地应答率指标;对G网交换系统接通率等进行了分析,通过联系网管修改ISUP消息参数方式,将此类不规范ACM修改为规范ACM。从而将去话系统接通率由78%提高到95%,整个交换机的系统接通率也提高了1.5%。
一、高度重视,精心组织
县经信局和农网办高度重视农电安全工作,12月22日至29日,会同县水务局、安监局组建3个工作组,由三名副局长带队深入全县供电企业及供区全面开展安全检查。检查前进行了统一培训,制定了《县农村配电网络安全检查评分细则》,明确了检查内容、方法和工作要求,对15家发供电企业,采用事先不打招呼直接赴现场、不听汇报直接查阅资料、询问领导及员工等方式,详细了解各电力企业2014年安全生产工作开展情况,针对发现的问题,提出了整改措施和建议,要求对照国家法律法规,认真排查安全隐患,加大整治力度,建立长效机制,坚决杜绝各类事故发生。
二、突出重点,严格检查
此次检查突出五个重点:一是对各单位的安全生产“双主体”责任落实及履职情况。二是安全生产制度及执行情况。三是主要设备、设施安全运行情况。四是隐患排查和治理情况。五是事故应急预案制定情况。
三、发现问题,及时整改
通过检查,督促了各供电企业的安全生产工作的开展。大部分企业都已落实了安全生产责任,成立了安全生产工作领导小组,落实了专(兼)职安全人员,做到了有机构、有制度,层层签订了安全生产责任书;制定了应急处置预案,能严格执行“两票三制”;能积极组织职工安规培训和考试,持证上岗制度落实较好。通过检查,共查出安全隐患136处,下达了整改通知书16份,并限期整改,定期复查。综合全县电力安全生产检查情况,发现主要存在以下问题:
1、部分企业安全生产双主体责任不落实。个别企业年初未签订安全生责任书,未落实专兼职安全生产员,员工未进行安全培训和考试,未定期召开安全生产例会,分析解决安全生产中的问题。如:红渠电站未签订2014年安全目标责任书,安全员未取得安全员资格证上岗。
2、电网安全隐患严重。由于投入不足,小水电供区未实施农网改造,木电杆多,线路对地安全距离不够,档距跨度大,线径小,长期超负荷带病运行,安全隐患十分突出。如:西清电业公司汇滩供区低压线全部使用木质电杆且电杆高度不够;电力公司供区村3社220V线路对地距离不够,村一社低压线路老化;桃园电站工地线路凌乱,对地对物安全距离不够,消防器材未定期检修,灭火器超过使用期且受潮严重。
3、小水电站,由于建设年代久远,生产设备陈旧老化,未全面实施技术改造,设备更新进度缓慢;人员技术素质较低,规范管理差,潜在安全隐患较多。机械传动部分无防护罩,设施设备未进行评级和编号挂牌。小水电站对发供电设备设施提出保护的水平参差不齐,部份小水电企业不能及时排除故障,可能导致主网跳闸事故的发生,严重威胁电网的安全稳定运行。
4、安全经费投入不足。小水电供区资产清理后,对低压供电设施维护和隐患整治无积极性,不愿意再投入,存在的隐患不能完全消除。S101线升级改造,造成新的安全隐患未整治。上关10KV、上银10KV线路,由于业主单位未支付补助资金,迁改不及时,S101线道路施工,部分电杆基础破坏,随时都有倒杆断线涉及施工、行人触电的危险,同时危及110KV寨坡变电站安全运行。
5、高低压线路障碍多,进户线、广播通讯线路交叉,用户用电安全保护装置不齐全,入户线路零乱,线径小,导线老化严重。
6、用电企业安全隐患排查不到位,整改责任不落实,措施不具体,造成了重大安全生产事故,如赶场供电公司年内发生人员伤亡事故,下两电站排查的安全隐患未落实责任人限期整治。
7、个别企业两票三制执行不到位。工作票未执行,操作票填写不规范。
8、安全工器具、消防器材未配备齐全,无台账,未定置摆放。
9、配电台区警示标志不齐全,变压器未按规定校验。如乡街道变压器跌落开关、接地装置锈蚀严重。镇村4社变台开关箱锈蚀严重。
10、安全管理软件资料不齐全,填写不规范。如:桃园电站2014年未建立安全管理制度,应急预案未及时修订和演练,无安全管理记录,未建立隐患排查整治台账。
【关键词】 政务云 云安全 IaaS服务
信息化建设是我国现阶段发展的主要内容和方向,但同时也就面临着信息安全的众多问题。根据国家互联网应急中心的报告,15年接收境内外报告的网络安全事件同比增长125.9%,主要遭受攻击的对象就包括政府。因此在电子政务云建设时信息安全方面的内容必须作为重点进行考虑。
一、电子政务云安全问题分析
云计算服务采购方式作为电子政务基础设施建设的主要方式,而IaaS服务模式是目前常用的政务云服务提供模式。
政务云面临的安全风险呈现出3个主要特点。需要管控的角色更多:除一般的系统建设者和访问用户外,还有服务提供商、政府内部政务云的统一管理人员等。需要解决的管控问题更多:虚拟化安全的问题、对资源管控能力减弱的问题、过渡依赖和锁定的问题等。影响更深远:政务云上的信息出现安全问题时存在影响面更广、更敏感、政府公信力受损等问题。
二、建设方案探讨
按照我国政府对信息安全的要求,境内的计算机信息系统实行安全等级保护制度。除此外国家还下发党政部门云计算服务网络安全管理的相关要求,明确了安全管理责任不变、数据归属关系不变、安全管理标准不变、敏感信息不出境、要参照信息安全国家标准等的要求。
2.1安全防范需求分析
整体要求:满足等保要求外,还需满足党政内部的信息管理要求。
监管要求:对云服务提供商各方面的管理和监督较一般企业用户强、要求更高。
数据要求:对数据的安全性、机密性、完整性的要求更高,对残余数据的处置也更谨慎,对服务商数据管理的流程和制度提出更高要求。
物理要求:υ浦行牡慕ㄉ栉恢煤透衾攵纫求更敏感。
分工要求:对于服务合同中的责任义务要求更明晰,对云服务商内部的各项管理、监测、检查、配合度等有更高的要求。
2.2设计思路及方案探讨
从其本质上看,政务云仍是一类信息系统,其防护体系应当是以等级保护为指导思想,并考虑虚拟化等新的技术和运营方式所带来的安全问题,从技术和管理两个层面全方位保护信息安全,将安全理念贯穿政务云建设、整改、测评、运维全过程。
设计方案时建议可从以下几个内容考虑:
等保等级划分:按照等保定级要素和一般流程进行分析定级,并参考云计算服务安全指南确定是一般保护或增强保护。
责任范围划分:云服务商和政府客户间基于IaaS的服务,以虚拟化计算资源层为界线,以上由政府客户负责,以下由云服务商负责,虚拟化计算资源层安全措施由双方分担。
物理安全:根据等保要求,对机房位置、环境、管理等进行规范。
网络安全:这里主要讨论区域的划分,边界部分则按要求部署FW、IPS/IDS等设备。功能区划分:政务云一般设计时按业务承载类型划分为互联网区和电子政务外网区,之间有安全设备进行区间信息的交换管控,确保互联网用户不能直接访问公用网络区的系统。安全域划分:各个区内根据需求划分安全域,各域之间根据业务需求进行隔离。一般可划分为:完成对外安全控制的安全边界区;完成业务部署的业务区;完成运维管理系统部署的运维管理区;完成安全管控设备部署的安全管理区。
主机安全:除部署传统的漏扫、配置核查、安全审计等主机安全系统外,还需要考虑传统安全设备对物理主机内部虚拟化主机的管控缺失问题。目前业界一般以两种模式解决:集中部署虚机安全设备或在虚机内部署安全软件。前一种方式主要是流量迂回问题,后一种方式主要是服务器资源占用问题,后一种方式一般采用较多。
应用安全:云服务商通过网管系统和安全系统对应用进行资源监测,但应用的主要安全由云服务使用者完成。应用安全审计则各自收集所控制部分的审计数据,云服务商以云资源应用为主,上层应用由云服务使用者完成审计。
数据安全:主要包括数据隔离与访问控制、剩余数据删除、数据加密和数据备份。政务云比较特殊的是剩余数据问题,各子系统之间分配各自的物理空间,虚机迁移或释放时,虚拟机内的所有信息应该被清空,确保数据的不泄露。当双方合作终止时,云服务商需在政府方相关管理部门的监督下,进行信息销毁。
结束语:政务云安全的保障是一个较复杂的问题,设计方案时需从政府业务特殊性、云计算技术的特点等进行多视角的分析,进行全局化的设计。
参 考 文 献
[1] GBT 31167-2014,信息安全技术 云计算服务安全指南,中国标准出版社,2015-04-01;
1数据信息安全威胁信息数据
面临的安全威胁来自于多个方面,有通过病毒、非授权窃取来破坏数据保密性的安全威胁,有因为操作系统故障、应用系统故障等导致的破坏数据完整性的安全威胁,有因为硬盘故障、误操作等导致的破坏数据可用性的安全威胁,还有因为病毒威胁、非授权篡改导致的破坏数据真实性的安全威胁,这些潜在的安全威胁将会导致信息数据被删除、破坏、篡改甚至被窃取,给公共卫生行业带来无法弥补的损失。
2安全管理缺失公共卫生行业
在信息化建设工作中,如果存在重应用、轻安全的现象,在IT系统建设过程中没有充分考虑信息安全的科学规划,将导致后期信息安全建设和管理工作比较被动,业务的发展及信息系统的建设与信息安全管理建设不对称;或由于重视信息安全技术,轻视安全管理,虽然采用了比较先进的信息安全技术,但相应的管理措施不到位,如病毒库不及时升级、变更管理松懈、岗位职责不清、忽视数据备份等现象普遍存在,很有可能会导致本不应该发生的信息安全事件发生。
二分析问题产生的主要原因
1经费投入不足导致的安全防范技术
薄弱许多公共卫生机构的信息化基础设施和软硬件设备,都是在2003年SARS疫情爆发以后国家投入建设的,运行至今,很多省级以下的公共卫生单位由于领导认识不足或经费所限,只重视疾病防控能力和实验室检验检测能力的建设,而忽视了对公共卫生信息化的投入,很少将经费用于信息化建设和信息安全投入,信息化基础设施陈旧、软硬件设备老化,信息安全防范技术比较薄弱,因网络设备损坏、服务器宕机等故障或无入侵检测、核心防火墙等安全防护设备,导致信息数据丢失、窃取的现象时有发生,严重影响了重要信息数据的保密性、完整性和安全性,一旦发生信息安全事件后果将不堪设想。
2专业技术人才缺乏
建设信息化、发展信息化最大的动力资源是掌握信息化的专业技术人才,人才的培养是行业信息化高速发展的基础,然而,公共卫生行业的人才梯队主要以疾病控制、医学检验专业为主,信息化、信息安全专业技术人才缺乏,队伍力量薄弱,不能很好地利用现有的计算机软硬件设备,也很难对本单位现有的信息化、信息安全现状进行有效的评估,缺乏制定本行业长期、可持续信息化建设发展规划的能力,这也是制约公共卫生行业信息化发展的重要因素。
3信息安全培训不足
职工安全保密意识不强信息安全是一项全员参与的工作,它不仅是信息化管理部门的本职工作,更是整个公共卫生行业的重要工作职责,很多单位没有将信息安全培训放在重要位置,没有定期开展信息安全意识教育培训,许多职工对网络安全不够重视,缺乏网络安全意识,随意接收、下载、拷贝未知文件,没有查杀病毒、木马的习惯,经常有意无意的传播病毒,使得单位网络系统经常遭受ARP、宏病毒等病毒木马的攻击,严重影响了单位网络的安全稳定运行;同时,许多职工对于单位的移动介质缺乏规范化管理意识,随意将拷贝有信息的移动硬盘、优盘等介质带出单位,在其他联网的计算机上使用,信息容易失窃,存在非常严重的信息安全隐患。
三如何促进公共卫生行业计算机网络安全性提升
1强化管理
建立行业计算机网络安全管理制度为了确保整个计算机网络的安全有效运行,建立出一套既符合本行业工作实际的,又满足网络实际安全需要的、切实可行的安全管理制度势在必行。主要包括以下三方面的内容:
1.1成立信息安全管理机构
引进信息安全专业技术人才,结合单位开展的工作特点,从管理、安全等级保护、安全防范、人员管理等方面制定统管全局的网络安全管理规定。
1.2制定信息安全知识培训制度
定期开展全员信息安全知识培训,让全体员工及时了解计算机网络安全知识最新动态,结合信息安全事件案列,进一步强化职工对信息安全保密重要性的认识。同时,对信息技术人员进行专业知识和操作技能的培训,培养一支具有安全管理意识的队伍,提高应对各种网络安全攻击破坏的能力。
1.3建立信息安全监督检查机制
开展定期或不定期内部信息安全监督检查,同时将信息安全检查纳入单位季度、年度综合目标责任制考核体系,检查结果直接与科室和个人的奖励绩效工资、评先评优挂钩,落实奖惩机制,惩防并举,确保信息安全落实无死角。
2开展信息安全等级保护
建设开展信息安全等级保护建设,通过对公共卫生行业处理、存储重要信息数据的信息系统实行分等级安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置,建立健全信息安全应急机制,定期对信息系统安全等级保护建设情况进行测评,存在问题及时整改,从制度落实、安全技术防护、应急处置管理等各个方面,进一步提高公共卫生行业信息安全的防护能力、应急处置能力和安全隐患发现能力。
3加强网络安全技术防范
随着信息技术的高速发展,信息网络安全需要依托防火墙、入侵检测、VPN等安全防护设施,充分运用各个软硬件网络安全技术特点,建立安全策略层、用户层、网络与信息资源层和安全服务层4个层次的网络安全防护体系,全面增强网络系统的安全性和可靠性。
3.1防火墙技术
防火墙技术在公共卫生行业网络安全建设体系中发挥着重要的作用,按照结构和功能通常划分为滤防火墙、应用防火墙和状态检测防火墙三种类型,一般部署在核心网络的边缘,将内部网络与Internet之间或者与其他外部网络互相隔离,有效地记录Internet上的活动,将网络中不安全的服务进行有效的过滤,并严格限制网络之间的互相访问,从而提高网络的防毒能力和抗攻击能力,确保内部网络安全稳定运行。
3.2入侵检测
入侵检测是防火墙的合理补充,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备,检测方法包括基于专家系统入侵检测方法和基于神经网络的入侵检测方法两种,利用入侵检测系统,能够迅速及时地发现并报告系统中未授权或异常现象,帮助系统对付内部攻击和外部网络攻击,在网络系统受到危害之前拦截和响应入侵,在安全审计、监视、进攻识别等方面进一步扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
3.3虚拟专用网络(VPN)技术
VPN技术因为低成本、高度灵活的特点,在很多行业信息化建设中被广泛应用,公共卫生行业也有很多信息系统都是基于VPN进行数据传输的,如中国疾病预防控制信息系统等,通过在公用网络上建立VPN,利用VPN网关将数据包进行加密和目标地址转换,以实现远程访问。VPN技术实现方式目前运用的主要有MPLS、IPSEC和SSL三种类型,中国疾病预防控制信息系统VPN链路网络采用的就是IPSECVPN模式,利用VPN链路隧道,实现国家到省、市、县四级的互联互通和数据传输共享。VPN通过使用点到点协议用户级身份验证的方法进行验证,将高度敏感的数据地址进行物理分隔,只有授权用户才能与VPN服务器建立连接,进行远程访问,避免非授权用户接触或窃取重要数据,为用户信息提供了很高的安全性保护。
四结语
关键词:信息安全防护体系;风险评估;信息安全隐患;应急预案
中图分类号:F470.6 文献标识码:A 文章编号:
信息安全管理是信息安全防护体系建设的重要内容,也是完善各项信息安全技术措施的基础,而信息安全管理标准又是信息安全管理的基础和准则,因此要做好信息安全防护体系建设,必须从强化管理着手,首先制定信息安全管理标准。电力系统借鉴 ISO27000国际信息安全管理理念,并结合公司信息安全实际情况,制订了信息安全管理标准,明确了各单位、各部门的职责划分,固化了信息系统安全检测与风险评估管理、信息安全专项检查与治理、信息安全预案管理、安全事件统计调查及组织整改等工作流程,促进了各单位信息安全规范性管理,为各项信息安全技术措施奠定了基础,显著提升了公司信息安全防护体系建设水平。
1电力系统信息安全防护目标
规范、加强公司网络和信息系统安全的管理,确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃, 抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的电力系统运行事故,并以此提升公司信息安全的整体管理水平。
2信息安全防护体系建设重点工作
电力系统信息安全防护体系建设应遵循“强化管理、标准先行”的理念。下面,结合本公司信息安全防护体系建设经验,对信息安全防护体系建设四项重点工作进行阐述。
2.1 信息系统安全检测与风险评估管理
信息管理部门信息安全管理专职根据年度信息化项目综合计划,每年在综合计划正式下达后,制定全年新建应用系统安全检测与风险评估计划,确保系统上线前符合国网公司信息安全等级保护要求。 应用系统在建设完成后 10个工作日内,按照《国家电网公司信息系统上下线管理办法》要求进行上线申请。 由信息管理部门信息安全管理专职在接到上线申请 10个工作日内, 组织应用系统专职及业务主管部门按照《国家电网公司信息安全风险评估实施指南》对系统的安全性进行风险评估测试,并形成评估报告交付业务部门。 对应用系统不满足安全要求的部分, 业务部门应在收到评估报告后 10个工作日内按照《国家电网公司信息安全加固实施指南(试行)》进行安全加固,加固后 5个工作日内,经信息管理部门复查,符合安全要求后方可上线试运行。应用系统进入试运行后,应严格做好数据的备份、保证系统及用户数据的安全,对在上线后影响网络信息安全的,信息管理部门有权停止系统的运行。
2.2 信息安全专项检查与治理
信息管理部门信息安全管理专职每年年初制定公司全年信息安全专项检查工作计划。检查内容包括公司本部及各基层单位的终端设备、网络设备、应用系统、机房安全等。 信息安全专职按照计划组织公司信息安全督查员开展信息安全专项检查工作,对在检查中发现的问题,检查后 5 个工作日内录入信息安全隐患库并反馈给各相关单位,隐患分为重大隐患和一般隐患,对于重大隐患,信息安全专职负责在录入隐患库 10 个工作日内组织制定重大隐患治理方案。 各单位必须在收到反馈 5 个工作日内对发现的问题制定治理方案, 并限期整技信息部信息安全专职。信息管理部门安全专职对隐患库中所有隐患的治理情况进行跟踪,并组织复查,对未能按期完成整改的单位,信息安全专职 10 个工作日内汇报信息管理部门负责人, 信息管理部门有权向人资部建议对其进行绩效考核。
2.3 信息安全应急预案管理
信息管理部门信息安全管理专职每年 年初制定公司全年信息安全应急预案编制、演练及修订计划,并下发给各单位。各单位信息安全专职按照计划组织本单位开展相关预案的制定,各种预案制定后 5 个工作日内交本部门主要负责人审批,审批通过后 5 个工作日内报信息管理部门信息安全专职。各单位信息安全专职负责组织对系统相关人员进行应急预案培训,并按年度计划开展预案演练。 根据演练结果,10 个工作日内组织对预案进行修订。各单位信息安全预案应每年至少进行一次审查修订, 对更新后的内容, 需在 10 个工作日内经本部门领导审批,并在审批通过后 5 个工作日内报信息管理部门备案。
2.4 安全事件统计、调查及组织整改
信息管理部门信息安全专职负责每月初对公司本部及各基层单位上个月信息安全事件进行统计。 各系统负责人、各单位信息安全管理专职负责统计本系统、单位的信息安全事件,并在每月 30 日以书面形式报告信息管理部门信息安全专职, 对于逾期未报的按无事件处理。 出现信息安全事件后 5 个工作日内,信息管理部门信息安全专职负责组织对事件的调查,调查过程严格按照《国家电网公司信息系统事故调查及统计规定(试行)》执行,并组织开展信息系统事故原因分析,坚持“四不放过”原则,调查后 5 个工作日内组织编写事件调查报告。调查、分析完成后 10 个工作日内组织落实各项整改措施。信息安全事件调查严格执行《国家电网公司网络与信息系统安全运行情况通报制度》制度。
3评估与改进
通过执行“强化管理、标准先行”的信息安全防护体系建设理念和实施电力公司信息安全管理标准, 明确了各项工作的“5W1H”。 使信息管理部门和各部门及下属各单位的接口与职责划分进一步清晰,有效协调了相互之间的分工协作。 并通过 ITMIS 系统进行对上述流程进行固化,在严格执行国网公司、省公司各项安全要求的基础上简化了工作流程, 搭建了信息安全防护建设工作的基础架构,实现了信息安全防护建设工作的体系化。同时在标准的 PDCA 四阶段循环周期通过管理目标、职责分工,管理方法,管理流程、考核要求,文档记录 6 种管理要素对信息系统安全检测与风险评估管理、信息安全专项检查与治理、信息安全预案管理、安全事件统计调查及组织整改4 项管理内容进行持续改进,使信息安全防护体系建设工作的质量有了质变提升。 在信息安全防护建设工作的基础架构搭建完成后,江苏省电力公司常州供电公司下一步将重点完善信息安全防护体系中技术体系建设,管理与技术措施并举,构建坚强信息安全防护体系。
