公務(wù)員期刊網(wǎng) 精選范文 網(wǎng)絡(luò)安全制度及應(yīng)急預(yù)案范文

網(wǎng)絡(luò)安全制度及應(yīng)急預(yù)案精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全制度及應(yīng)急預(yù)案主題范文,僅供參考,歡迎閱讀并收藏。

網(wǎng)絡(luò)安全制度及應(yīng)急預(yù)案

第1篇:網(wǎng)絡(luò)安全制度及應(yīng)急預(yù)案范文

突發(fā)公共事件按影響范圍可分為國(guó)家級(jí)、地區(qū)級(jí)、行業(yè)級(jí)和社區(qū)級(jí)。突發(fā)公共事件具有不確定性、突發(fā)性和破壞性等基本特征。隨著信息化、工業(yè)化進(jìn)程的不斷推進(jìn)和城市的數(shù)量及規(guī)模的迅速擴(kuò)大,突發(fā)公共事件又表現(xiàn)出連動(dòng)性、并發(fā)性和綜合性等特點(diǎn),從而顯著地放大了破壞力,增加了應(yīng)對(duì)的難度。建立健全突發(fā)公共事件的應(yīng)急體系已成為一個(gè)世界性的課題,受到了各國(guó)政府的高度重視。網(wǎng)絡(luò)和信息安全的策略制定經(jīng)歷了由“靜”到“動(dòng)”的轉(zhuǎn)變,安全應(yīng)急響應(yīng)機(jī)制正是信息安全保護(hù)向動(dòng)態(tài)轉(zhuǎn)換的標(biāo)志。直接推動(dòng)此機(jī)制建立的是20世紀(jì)80年代末期發(fā)生在西方的兩起重大信息安全事件。其一是“莫里斯蠕蟲(chóng)”入侵互聯(lián)網(wǎng)。在短短12小時(shí)內(nèi),6200臺(tái)工作站和小型機(jī)陷入癱瘓或半癱瘓狀態(tài),不計(jì)其數(shù)的數(shù)據(jù)和資料毀于一夜之間,造成一場(chǎng)損失近億美元的大劫難。其二是美國(guó)和西德聯(lián)手破獲了前蘇聯(lián)收買西德大學(xué)生黑客,滲入歐美十余個(gè)國(guó)家的計(jì)算機(jī),獲取了大量敏感信息的計(jì)算機(jī)間諜案。因此,建立一種全新的安全防護(hù)及管理機(jī)制以應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全狀況成為共識(shí)。于是,1989年,世界上第一個(gè)計(jì)算機(jī)緊急響應(yīng)小組——美國(guó)計(jì)算機(jī)緊急事件響應(yīng)小組及其協(xié)調(diào)中心(簡(jiǎn)稱CERT/CC)建立,由美國(guó)國(guó)防部資助,信息安全進(jìn)入了以動(dòng)態(tài)防護(hù)機(jī)制為主的時(shí)代。在互聯(lián)網(wǎng)不斷發(fā)展、虛擬社會(huì)逐漸成型的當(dāng)下,政府進(jìn)行治理模式的轉(zhuǎn)型迫在眉睫,對(duì)國(guó)家網(wǎng)絡(luò)安全應(yīng)急體系的建設(shè)與完善提出了更高更新的要求。

二、中國(guó)網(wǎng)絡(luò)安全應(yīng)急體系存在的問(wèn)題

(一)整體網(wǎng)絡(luò)安全應(yīng)急響應(yīng)組織和應(yīng)急體系不完備

中國(guó)網(wǎng)絡(luò)安全應(yīng)急體系主要分為網(wǎng)絡(luò)基礎(chǔ)設(shè)施、公共基礎(chǔ)設(shè)施信息系統(tǒng)、網(wǎng)絡(luò)內(nèi)容管理應(yīng)急幾個(gè)部分,其應(yīng)急管理部門是由國(guó)務(wù)院應(yīng)急管理辦公室、國(guó)家互聯(lián)網(wǎng)信息管理辦公室、工業(yè)和信息化部、公安部、國(guó)家保密局(機(jī)要局)、國(guó)家安全部、總參三部等部門共同組成,其應(yīng)急響應(yīng)分別由這些不同部門來(lái)指導(dǎo)、協(xié)調(diào)和督促管理,其中,國(guó)務(wù)院應(yīng)急辦只是在形式上對(duì)其他部門進(jìn)行應(yīng)急協(xié)調(diào),沒(méi)有統(tǒng)一的頂層領(lǐng)導(dǎo)體系,形成職責(zé)不清和應(yīng)急響應(yīng)不及時(shí)的格局,對(duì)于同時(shí)涉及跨網(wǎng)絡(luò)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、公共基礎(chǔ)設(shè)施信息系統(tǒng)、網(wǎng)絡(luò)內(nèi)容管理等方面的應(yīng)急響應(yīng)難以形成統(tǒng)一應(yīng)對(duì)措施。地方網(wǎng)絡(luò)安全應(yīng)急部門機(jī)構(gòu)的設(shè)置更是五花八門,有的地方設(shè)有專門的應(yīng)急辦,有的地方設(shè)在經(jīng)信局、科技局、政府辦、信息中心、公安局、安全廳等不同部門,沒(méi)有統(tǒng)一的管理機(jī)構(gòu),從上到下的整體應(yīng)急響應(yīng)效率較差。

(二)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)形勢(shì)研判能力不足

當(dāng)前,網(wǎng)絡(luò)信息安全態(tài)勢(shì)處于一個(gè)新的形勢(shì)之下,從信息技術(shù)發(fā)展的角度來(lái)說(shuō),隨著物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)和移動(dòng)互聯(lián)網(wǎng)等新技術(shù)的大規(guī)模應(yīng)用,業(yè)務(wù)與信息技術(shù)的融合程度不斷提高,網(wǎng)絡(luò)和信息安全的風(fēng)險(xiǎn)點(diǎn)不斷增加;從信息安全威脅的角度來(lái)說(shuō),隨著高級(jí)持續(xù)性威脅的案例層出不窮,攻擊者已經(jīng)從攻擊信息系統(tǒng)本身,轉(zhuǎn)向攻擊其背后的業(yè)務(wù)目標(biāo)和政治目標(biāo)。網(wǎng)絡(luò)安全應(yīng)急作為網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)應(yīng)對(duì)的重要過(guò)程和方法,不同于其他常規(guī)行業(yè)應(yīng)急,我們當(dāng)前還是局限于傳統(tǒng)的應(yīng)急角度,沒(méi)有將防御和應(yīng)急救助結(jié)合起來(lái),對(duì)中國(guó)各類信息系統(tǒng)的運(yùn)行狀態(tài)、網(wǎng)絡(luò)攻擊行為、網(wǎng)絡(luò)攻擊目的等方面的形勢(shì)研判能力不足。對(duì)中國(guó)目前面臨的網(wǎng)絡(luò)和信息安全威脅缺少精準(zhǔn)案例和證據(jù),首先是數(shù)量不清,很多部門對(duì)有沒(méi)有受到攻擊不清楚,國(guó)家多大范圍的網(wǎng)絡(luò)和信息產(chǎn)業(yè)受到威脅不清楚;其次是問(wèn)題不清楚,到底入侵滲透到什么程度不清楚,對(duì)于真正的攻擊源頭不清楚。

(三)重大網(wǎng)絡(luò)安全應(yīng)急預(yù)案不完備

在網(wǎng)絡(luò)安全應(yīng)急預(yù)案制定方面,國(guó)務(wù)院應(yīng)急管理辦公室已經(jīng)制定涉及網(wǎng)絡(luò)基礎(chǔ)設(shè)施的國(guó)家通信保障應(yīng)急預(yù)案,國(guó)家互聯(lián)網(wǎng)信息管理辦公室對(duì)于網(wǎng)絡(luò)輿情的應(yīng)急也有一定的預(yù)案,有些部門和地方也都不同程度制定了一些網(wǎng)絡(luò)安全應(yīng)急預(yù)案。不過(guò),各地、各部門的工作不平衡,預(yù)案操作性較差,存在一些缺陷。對(duì)于涉及到國(guó)家安全、民生和經(jīng)濟(jì)等重大基礎(chǔ)設(shè)施信息系統(tǒng)的安全應(yīng)急沒(méi)有整體完備的預(yù)案。

(四)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)措施缺乏

中國(guó)的網(wǎng)絡(luò)安全技術(shù)裝備市場(chǎng)大部分被國(guó)外公司占據(jù),從網(wǎng)絡(luò)設(shè)備到網(wǎng)絡(luò)之上的軟硬件設(shè)備,大多采用國(guó)外裝備和技術(shù),一旦發(fā)生涉及國(guó)家利益的突發(fā)事件,在國(guó)外技術(shù)裝備被攻擊的情況下,我們很難找到可替代的應(yīng)急設(shè)備。例如,2014年4月8日微軟停止了對(duì)WindowsXP的服務(wù),據(jù)不完全統(tǒng)計(jì),中國(guó)當(dāng)前使用WindowsXP的用戶占到70%-80%份額,這些用戶有半數(shù)沒(méi)有升級(jí)到更高操作系統(tǒng)的打算,針對(duì)這種情況,我們到目前還沒(méi)有具體的應(yīng)急措施。如果一旦出現(xiàn)更嚴(yán)重的國(guó)際爭(zhēng)端甚至發(fā)生戰(zhàn)爭(zhēng),我們受制于人的這些網(wǎng)絡(luò)技術(shù)裝備難以采取必要的應(yīng)急措施。

(五)核心信息技術(shù)裝備的自主化水平較低

網(wǎng)絡(luò)信息安全與核心信息技術(shù)裝備的自主化息息相關(guān),核心信息技術(shù)裝備的自主化是網(wǎng)絡(luò)安全應(yīng)急體系的戰(zhàn)略性產(chǎn)業(yè)基礎(chǔ)。目前,雖然中國(guó)的信息技術(shù)產(chǎn)業(yè)規(guī)模不斷擴(kuò)大,產(chǎn)業(yè)體系逐漸完善,但是整體來(lái)看,國(guó)產(chǎn)核心信息技術(shù)裝備的市場(chǎng)占有率不高,與國(guó)外的技術(shù)差距也比較大。在市場(chǎng)占有率方面,國(guó)內(nèi)浪潮、曙光、華為和聯(lián)想等高性能服務(wù)器企業(yè)的整體市場(chǎng)占有率不足三分之一;雖有服務(wù)器和客戶端相關(guān)的研發(fā)產(chǎn)品,但并未走向市場(chǎng)化。國(guó)內(nèi)計(jì)算機(jī)、通信和消費(fèi)電子等主要應(yīng)用領(lǐng)域的芯片企業(yè)的市場(chǎng)占有率低。在技術(shù)差距方面,中國(guó)高性能計(jì)算機(jī)的關(guān)鍵元器件特別是中央處理器芯片目前仍依賴國(guó)外廠商,數(shù)據(jù)庫(kù)的發(fā)展水平和成熟度與國(guó)際標(biāo)準(zhǔn)也存在較大差距。由于市場(chǎng)占有率、技術(shù)差距等因素,直接導(dǎo)致了中國(guó)自主可控的安全技術(shù)裝備不足,存在數(shù)據(jù)泄漏風(fēng)險(xiǎn)和情報(bào)監(jiān)控風(fēng)險(xiǎn)。目前,國(guó)外企業(yè)已廣泛參與了中國(guó)所有大型網(wǎng)絡(luò)項(xiàng)目的建設(shè),涉及政府、海關(guān)、郵政、金融、鐵路、民航、醫(yī)療、軍警等重要行業(yè),長(zhǎng)此以往,中國(guó)的社會(huì)、經(jīng)濟(jì)、軍事等方面將存在嚴(yán)重的戰(zhàn)略風(fēng)險(xiǎn)。有數(shù)據(jù)顯示,中國(guó)主要金融機(jī)構(gòu)的信息化設(shè)備國(guó)產(chǎn)化率不足2%,面向復(fù)雜業(yè)務(wù)處理的中高端服務(wù)器幾乎全部采用了國(guó)外產(chǎn)品。如大中型主機(jī)、高端服務(wù)器產(chǎn)品基本上以IBM、HP、SUN為主,而這樣的選擇也直接導(dǎo)致了處理器、部件甚至操作系統(tǒng)和應(yīng)用軟件相互之間并不兼容,用戶一旦采用某廠家的小型機(jī)后,就很難擺脫高額投資與服務(wù)追加的惡性循環(huán),更為嚴(yán)重的是它直接導(dǎo)致了被境外控制的威脅,對(duì)設(shè)備帶有的“漏洞”和“后門”抵抗力、免疫力減弱。不能預(yù)先檢測(cè)到間諜軟件和隱蔽通道,就無(wú)法有效遏制數(shù)據(jù)竊取。據(jù)統(tǒng)計(jì),2013年前8個(gè)月,境外有2.2萬(wàn)個(gè)IP地址通過(guò)植入后門對(duì)中國(guó)境內(nèi)4.6萬(wàn)個(gè)網(wǎng)絡(luò)實(shí)施控制。中國(guó)關(guān)鍵信息系統(tǒng)對(duì)國(guó)外主機(jī)的長(zhǎng)期依賴,使得信息安全不可控的問(wèn)題日益突出。WindowsXP停止服務(wù)的事件也是沖擊國(guó)內(nèi)2億用戶的重要信息安全事件。對(duì)國(guó)外信息產(chǎn)品的嚴(yán)重依賴導(dǎo)致中國(guó)信息化建設(shè)的安全底數(shù)不清,國(guó)外壟斷信息產(chǎn)品對(duì)中國(guó)而言是一個(gè)“黑盒子”,無(wú)法準(zhǔn)確判斷其安全隱患的嚴(yán)重程度。

三、加強(qiáng)中國(guó)網(wǎng)絡(luò)安全應(yīng)急體系建設(shè)的建議

(一)建設(shè)完備網(wǎng)絡(luò)安全應(yīng)急體系

網(wǎng)絡(luò)安全應(yīng)急體系關(guān)系國(guó)計(jì)民生,這個(gè)系統(tǒng)性的體系是否完備、運(yùn)轉(zhuǎn)是否得當(dāng),會(huì)對(duì)網(wǎng)絡(luò)安全應(yīng)急工作產(chǎn)生重大直接影響。因而,理順網(wǎng)絡(luò)安全應(yīng)急機(jī)制、清晰地明確權(quán)責(zé)是統(tǒng)籌完善網(wǎng)絡(luò)安全應(yīng)急體系的首要工作??梢詮膬蓚€(gè)層面進(jìn)行頂層設(shè)計(jì):一是成立網(wǎng)絡(luò)安全應(yīng)急中心,由中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組直接領(lǐng)導(dǎo)。該中心作為中央政府應(yīng)對(duì)特別重大突發(fā)公共事件的應(yīng)急指揮機(jī)構(gòu),統(tǒng)一指導(dǎo)、協(xié)調(diào)和督促網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)急、公共基礎(chǔ)設(shè)施信息系統(tǒng)應(yīng)急、網(wǎng)絡(luò)內(nèi)容管理應(yīng)急等網(wǎng)絡(luò)安全應(yīng)急工作,建立不同網(wǎng)絡(luò)、系統(tǒng)、部門之間應(yīng)急處理的聯(lián)動(dòng)機(jī)制。如果在短時(shí)間內(nèi)難以實(shí)現(xiàn),可以考慮另行成立相關(guān)的指揮協(xié)調(diào)機(jī)構(gòu),由中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組領(lǐng)導(dǎo),也可以在一定程度上發(fā)揮有效的作用。二是把仍然分散在各部門的網(wǎng)絡(luò)安全應(yīng)急管理職能適當(dāng)加以整合。同時(shí),根據(jù)突發(fā)公共事件分類的特點(diǎn)及管理的重點(diǎn),從中央到地方統(tǒng)一網(wǎng)絡(luò)安全應(yīng)急管理機(jī)構(gòu)。將不同業(yè)務(wù)部門所涉及到的不同類型的網(wǎng)絡(luò)安全應(yīng)急機(jī)制與系統(tǒng)有機(jī)地統(tǒng)籌、結(jié)合在一個(gè)子體系中,以提升網(wǎng)絡(luò)安全應(yīng)急體系與系統(tǒng)的應(yīng)急指揮、協(xié)同部署的效率與效能。

(二)加快網(wǎng)絡(luò)應(yīng)急法制建設(shè)

當(dāng)前,國(guó)家對(duì)于自然災(zāi)害類、事故災(zāi)難類、公共衛(wèi)生事件類、社會(huì)安全事件類應(yīng)急管理已制訂了相關(guān)的法律法規(guī)和制度條例,來(lái)保障此類事件發(fā)生時(shí)的有效應(yīng)急管理,而對(duì)于網(wǎng)絡(luò)安全應(yīng)急尚缺少相應(yīng)的法律法規(guī)和制度條例。相關(guān)管理部門應(yīng)該盡快出臺(tái)有關(guān)業(yè)務(wù)流程和相關(guān)業(yè)務(wù)標(biāo)準(zhǔn),進(jìn)一步加強(qiáng)有關(guān)信息安全的標(biāo)準(zhǔn)規(guī)范、管理辦法,并進(jìn)一步細(xì)化相關(guān)配套措施。與此同時(shí),全國(guó)立法機(jī)關(guān)也應(yīng)該從戰(zhàn)略全局的高度,盡量加快有關(guān)國(guó)家網(wǎng)絡(luò)安全、網(wǎng)絡(luò)安全應(yīng)急體系與應(yīng)急機(jī)制的相關(guān)法律法規(guī)的規(guī)劃、制定工作,將網(wǎng)絡(luò)應(yīng)急工作全面納入系統(tǒng)化的法制建設(shè)軌道中來(lái)。

(三)健全應(yīng)急情報(bào)共享機(jī)制

任何應(yīng)急響應(yīng)的效果主要取決于兩個(gè)環(huán)節(jié)。一是未雨綢繆,即在事件發(fā)生前的充分準(zhǔn)備,包括風(fēng)險(xiǎn)評(píng)估、制定安全計(jì)劃、安全意識(shí)的培訓(xùn),以安全通告的方式進(jìn)行的預(yù)警及各種防范措施等;二是亡羊補(bǔ)牢,即在事件發(fā)生后采取的措施,以期把事件造成的損失降到最低。在這里,措施的執(zhí)行者可能是人,也可能是系統(tǒng)。這些措施包括:系統(tǒng)備份、病毒檢測(cè)、后門檢測(cè)、清除病毒或后門、隔離、系統(tǒng)恢復(fù)、調(diào)查與追蹤、入侵者取證等一系列操作??梢?jiàn),對(duì)相關(guān)信息的及時(shí)掌控是預(yù)警和采取科學(xué)性措施的關(guān)鍵,必須建立應(yīng)急情報(bào)共享機(jī)制。通過(guò)可信的信息共享,實(shí)現(xiàn)網(wǎng)絡(luò)安全信息情報(bào)的及時(shí)、有效溝通,能夠?yàn)榫W(wǎng)絡(luò)安全應(yīng)急提供充足的預(yù)警、決策、反應(yīng)時(shí)間。在條件允許的情況下,可以考慮由中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組直接領(lǐng)導(dǎo)的網(wǎng)絡(luò)安全應(yīng)急中心負(fù)責(zé)協(xié)調(diào)關(guān)鍵基礎(chǔ)設(shè)施擁有者和經(jīng)營(yíng)者,保障在業(yè)務(wù)連續(xù)性、危害管理、信息系統(tǒng)攻擊、網(wǎng)絡(luò)犯罪、保護(hù)關(guān)鍵場(chǎng)所免受破壞等方面的信息共享,并與中國(guó)情報(bào)分析相關(guān)部門建立密切聯(lián)系,共享網(wǎng)絡(luò)威脅情報(bào),提高網(wǎng)絡(luò)安全風(fēng)險(xiǎn)形勢(shì)研判能力。要充分利用目前相關(guān)政府部門推進(jìn)電子政務(wù)業(yè)務(wù)協(xié)同、信息共享這一有利契機(jī),在做好頂層設(shè)計(jì)的前提下,積極推進(jìn)社會(huì)各方在網(wǎng)絡(luò)安全方面的共建、共享。建立有效的應(yīng)急管理機(jī)構(gòu),保證政令暢通。建立完善的預(yù)警檢測(cè)、通報(bào)機(jī)制,分析安全信息,警報(bào)信息和制訂預(yù)警預(yù)案,做到有備無(wú)患。

(四)強(qiáng)化網(wǎng)絡(luò)安全應(yīng)急演練

應(yīng)急預(yù)案最早始于軍隊(duì),是將平時(shí)制定和執(zhí)行決策的科學(xué)性、嚴(yán)謹(jǐn)性與戰(zhàn)時(shí)的靈活性結(jié)合起來(lái)的一種有效形式。應(yīng)急預(yù)案基于對(duì)潛在危險(xiǎn)源可能導(dǎo)致的突發(fā)公共事件的預(yù)測(cè),將應(yīng)對(duì)的全過(guò)程進(jìn)行全方位的合理規(guī)劃,落實(shí)應(yīng)對(duì)過(guò)程中預(yù)測(cè)、預(yù)警、報(bào)警、接警、處置、結(jié)束、善后和災(zāi)后重建等相關(guān)環(huán)節(jié)的責(zé)任部門和具體職責(zé),是實(shí)現(xiàn)“反應(yīng)及時(shí)、措施果斷”的有效途徑。由于應(yīng)急預(yù)案是在平時(shí)研制的,時(shí)間上比較從容,因此可以采用科學(xué)的方法,并在較大的范圍內(nèi)征求意見(jiàn)、深入論證,從而提高其科學(xué)性、可行性、有效性。通過(guò)應(yīng)急預(yù)案的研制,可以增強(qiáng)政府及有關(guān)部門的風(fēng)險(xiǎn)意識(shí),加強(qiáng)對(duì)危險(xiǎn)源的分析,研究和制定有針對(duì)性的防范措施;也有利于對(duì)應(yīng)急資源的需求和現(xiàn)狀進(jìn)行系統(tǒng)評(píng)估與論證,提高應(yīng)急資源的使用效率。基于網(wǎng)絡(luò)安全的應(yīng)急演練工作需要各有關(guān)單位根據(jù)各自的網(wǎng)絡(luò)安全應(yīng)急預(yù)案定期組織應(yīng)急演練,網(wǎng)絡(luò)安全應(yīng)急中心應(yīng)根據(jù)重大網(wǎng)絡(luò)安全應(yīng)急預(yù)案,定期組織網(wǎng)絡(luò)基礎(chǔ)營(yíng)運(yùn)部門、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)、中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)和相關(guān)網(wǎng)絡(luò)應(yīng)急部門開(kāi)展網(wǎng)絡(luò)安全事件演練,以網(wǎng)絡(luò)安全保障為場(chǎng)景,采用實(shí)戰(zhàn)方式,通過(guò)演練有效檢驗(yàn)各單位的網(wǎng)絡(luò)安全應(yīng)急工作水平,及時(shí)發(fā)現(xiàn)和改進(jìn)存在的問(wèn)題和不足,提高網(wǎng)絡(luò)安全保障能力。可以考慮建立由網(wǎng)絡(luò)基礎(chǔ)運(yùn)營(yíng)部門、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)、中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)和相關(guān)網(wǎng)絡(luò)應(yīng)急的一級(jí)部門以及涉及安全保密的科研機(jī)構(gòu)、民族企業(yè)共同參與的“網(wǎng)絡(luò)安全應(yīng)急演練”聯(lián)盟,在應(yīng)急演練方面形成國(guó)家級(jí)的權(quán)威標(biāo)準(zhǔn),定期進(jìn)行不同業(yè)務(wù)部門的網(wǎng)絡(luò)安全應(yīng)急演練與評(píng)測(cè),以“應(yīng)急演練”的方式促進(jìn)網(wǎng)絡(luò)安全應(yīng)急工作的發(fā)展完善。

(五)加強(qiáng)人才隊(duì)伍的建設(shè)和培訓(xùn)

網(wǎng)絡(luò)屬于高新技術(shù)領(lǐng)域,不斷加強(qiáng)能力建設(shè)是有效提升網(wǎng)絡(luò)安全應(yīng)急管理的關(guān)鍵。要牢固樹(shù)立人才是第一資源的觀念,加快網(wǎng)絡(luò)信息安全人才培養(yǎng)和隊(duì)伍建設(shè)的步伐,建立健全合理的選人、用人機(jī)制和高效的人才培訓(xùn)機(jī)制,以及廣泛的人才交流機(jī)制。要發(fā)揮科學(xué)研究部門和高等院校的優(yōu)勢(shì),積極支持網(wǎng)絡(luò)安全學(xué)科專業(yè)和培訓(xùn)機(jī)構(gòu)建設(shè),努力培養(yǎng)一支管理能力強(qiáng)、業(yè)務(wù)水平高、技術(shù)素質(zhì)過(guò)硬的復(fù)合型人才隊(duì)伍,為加強(qiáng)網(wǎng)絡(luò)安全應(yīng)急管理提供堅(jiān)實(shí)的人才保障和智力支持。同時(shí),要密切跟蹤網(wǎng)絡(luò)信息安全領(lǐng)域新技術(shù)、新應(yīng)用的發(fā)展,加強(qiáng)相關(guān)技術(shù)特別是關(guān)鍵核心技術(shù)的攻關(guān)力度,著力開(kāi)展新的網(wǎng)絡(luò)框架下網(wǎng)絡(luò)安全問(wèn)題的研究,推動(dòng)網(wǎng)絡(luò)信息安全產(chǎn)業(yè)的發(fā)展,以有效應(yīng)對(duì)網(wǎng)絡(luò)信息安全面臨的各種挑戰(zhàn)。同時(shí),應(yīng)不斷提高網(wǎng)絡(luò)安全應(yīng)急人才隊(duì)伍素質(zhì),定期組織對(duì)網(wǎng)絡(luò)安全應(yīng)急人員的能力培訓(xùn),強(qiáng)化和補(bǔ)充新的網(wǎng)絡(luò)安全威脅知識(shí),進(jìn)一步加強(qiáng)對(duì)有關(guān)網(wǎng)絡(luò)安全應(yīng)急一線工作人員、科研人員的有關(guān)政治素養(yǎng)和技術(shù)業(yè)務(wù)培訓(xùn)。網(wǎng)絡(luò)安全應(yīng)急工作與互聯(lián)網(wǎng)技術(shù)密切相關(guān),新技術(shù)新思想的發(fā)展日新月異,相關(guān)領(lǐng)域一線的工作人員與科研人員只有不斷地學(xué)習(xí)新知識(shí)、探索新問(wèn)題、發(fā)現(xiàn)新矛盾、尋求新方法,才能有力地促進(jìn)網(wǎng)絡(luò)安全應(yīng)急工作的不斷發(fā)展;只有培養(yǎng)和儲(chǔ)備足夠的網(wǎng)絡(luò)安全應(yīng)急專業(yè)人才,我們的網(wǎng)絡(luò)安全最后一道屏障才能得到保障。

(六)加速基礎(chǔ)技術(shù)與相關(guān)標(biāo)準(zhǔn)的研究

與網(wǎng)絡(luò)安全應(yīng)急相關(guān)的業(yè)務(wù)部門、科研機(jī)構(gòu)、民族企業(yè)等有關(guān)單位應(yīng)進(jìn)一步組織有關(guān)專家和科研力量,開(kāi)展面向全局、著眼未來(lái)的網(wǎng)絡(luò)安全應(yīng)急運(yùn)作機(jī)制、網(wǎng)絡(luò)安全應(yīng)急處理技術(shù)、網(wǎng)絡(luò)安全預(yù)警和控制等研究,組織參加相關(guān)培訓(xùn),推廣和普及新的網(wǎng)絡(luò)安全應(yīng)急技術(shù)。在充分研究論證的基礎(chǔ)上,盡快制定具有高度概括性與實(shí)際可操作性,又能在短時(shí)間內(nèi)部署測(cè)試的,能夠與不同地方、不同業(yè)務(wù)部門相適應(yīng)的網(wǎng)絡(luò)安全應(yīng)急相關(guān)標(biāo)準(zhǔn),建立包括技術(shù)標(biāo)準(zhǔn)、業(yè)務(wù)標(biāo)準(zhǔn)、流程標(biāo)準(zhǔn)、配套設(shè)施標(biāo)準(zhǔn)在內(nèi)的網(wǎng)絡(luò)安全應(yīng)急標(biāo)準(zhǔn)體系。

(七)加快核心信息技術(shù)裝備國(guó)產(chǎn)化逐步替代的步伐

為實(shí)現(xiàn)核心信息技術(shù)裝備國(guó)產(chǎn)化逐步替代的良好局面,需要有短期和長(zhǎng)期目標(biāo)。在短期內(nèi),確保中國(guó)網(wǎng)絡(luò)空間和數(shù)據(jù)信息運(yùn)行的安全可靠;從長(zhǎng)期看,要確保中國(guó)網(wǎng)絡(luò)和信息的自主可控和網(wǎng)絡(luò)空間的長(zhǎng)治久安。為實(shí)現(xiàn)自主可控的長(zhǎng)期目標(biāo),在信息技術(shù)產(chǎn)業(yè)自主創(chuàng)新方面肩負(fù)重大責(zé)任,事關(guān)國(guó)家信息安全的大事應(yīng)該由國(guó)家來(lái)推動(dòng)。在過(guò)去的幾年中,政府在推動(dòng)使用國(guó)產(chǎn)信息產(chǎn)品方面的力度很大,希望國(guó)家今后更加注重基礎(chǔ)研究和核心產(chǎn)品的研發(fā),有效匯聚國(guó)家重要資源,在影響產(chǎn)業(yè)發(fā)展的安全芯片、操作系統(tǒng)、應(yīng)用軟件、安全終端等核心技術(shù)和關(guān)鍵產(chǎn)品上加大科研資源和優(yōu)勢(shì)要素的投入,實(shí)現(xiàn)信息安全中關(guān)鍵技術(shù)和產(chǎn)品的技術(shù)突破。整合國(guó)家科研資源,通過(guò)多部委合作,加強(qiáng)安全芯片、安全操作系統(tǒng)、安全數(shù)據(jù)庫(kù)等基礎(chǔ)信息安全技術(shù)的攻關(guān)。促進(jìn)上下游應(yīng)用產(chǎn)品的開(kāi)發(fā),完善自主技術(shù)產(chǎn)品應(yīng)用環(huán)境,提高相關(guān)技術(shù)產(chǎn)品的可用性。為實(shí)現(xiàn)安全可靠的短期目標(biāo),可依托高校、研究機(jī)構(gòu)、民族企業(yè)和特定行業(yè)用戶打造自主創(chuàng)新的大平臺(tái),加大核心信息技術(shù)的投入,在嚴(yán)格管理的同時(shí)相互搭橋,推動(dòng)研究成果的轉(zhuǎn)化速度。當(dāng)今世界大項(xiàng)目的運(yùn)作多采用“團(tuán)隊(duì)制”,信息安全技術(shù)攻關(guān)和成果向產(chǎn)品的轉(zhuǎn)化應(yīng)進(jìn)行機(jī)制創(chuàng)新。為實(shí)現(xiàn)以上目標(biāo),需要從科技攻關(guān)、重點(diǎn)企業(yè)培育和政府采購(gòu)等方面下大力氣。一是調(diào)動(dòng)各方積極性和主動(dòng)性,依托核高基重大專項(xiàng),及時(shí)跟蹤新興信息技術(shù)發(fā)展趨勢(shì),引入風(fēng)險(xiǎn)投資機(jī)制,建立廣泛的政產(chǎn)學(xué)研用結(jié)合的創(chuàng)新體系;二是重點(diǎn)培育若干具有較強(qiáng)信息安全實(shí)力的企業(yè),專門為政府、軍隊(duì)等提供整體架構(gòu)設(shè)計(jì)和集成解決方案,形成解決國(guó)家級(jí)信息安全問(wèn)題的承包商;三是加快立法,促進(jìn)政府采購(gòu)自主產(chǎn)品工作有序開(kāi)展。在一些涉及國(guó)計(jì)民生的信息樞紐和關(guān)鍵網(wǎng)絡(luò)系統(tǒng)的采購(gòu)中,禁止具有重大安全隱患的公司介入。軍事國(guó)防、政府辦公、海關(guān)、金融等重要的部門或行業(yè)在采購(gòu)網(wǎng)絡(luò)信息安全設(shè)備時(shí),要堅(jiān)持采用自主可控產(chǎn)品優(yōu)先原則。

(八)開(kāi)展網(wǎng)絡(luò)安全應(yīng)急多方合作

第2篇:網(wǎng)絡(luò)安全制度及應(yīng)急預(yù)案范文

關(guān)鍵詞:醫(yī)院網(wǎng)絡(luò)及信息安全;現(xiàn)存風(fēng)險(xiǎn);應(yīng)急預(yù)案

自進(jìn)入21世紀(jì)以來(lái),在社會(huì)經(jīng)濟(jì)蓬勃發(fā)展的大背景下,我國(guó)醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)建設(shè)技術(shù)水平已取得一定進(jìn)步及發(fā)展,社會(huì)對(duì)于醫(yī)院信息網(wǎng)絡(luò)風(fēng)險(xiǎn)應(yīng)對(duì),提出全新的要求及標(biāo)準(zhǔn)。與此同時(shí),為了順應(yīng)時(shí)展潮流,滿足日益嚴(yán)格的風(fēng)險(xiǎn)應(yīng)對(duì)要求,醫(yī)院信息網(wǎng)絡(luò)技術(shù)重心逐步向分析現(xiàn)存安全風(fēng)險(xiǎn)及提出應(yīng)急處理預(yù)案轉(zhuǎn)變。我國(guó)多數(shù)醫(yī)療機(jī)構(gòu)信息網(wǎng)絡(luò)系統(tǒng)較為健全,以內(nèi)外網(wǎng)核心交換設(shè)備及天融信網(wǎng)閘為基礎(chǔ),逐一構(gòu)建涉及放射科、急診、病房及門診在內(nèi)網(wǎng)絡(luò)系統(tǒng)。其中,信息網(wǎng)絡(luò)指電子信息傳輸通道,不止是開(kāi)發(fā)利用信息資源及應(yīng)用信息技術(shù)的基礎(chǔ),更是共享信息、交換信息及傳輸信息的有力手段。鑒于此,本文針對(duì)醫(yī)院網(wǎng)絡(luò)及信息安全現(xiàn)存風(fēng)險(xiǎn)及應(yīng)急處理預(yù)案的研究具有重要意義。

1醫(yī)院信息網(wǎng)絡(luò)現(xiàn)存安全風(fēng)險(xiǎn)

按風(fēng)險(xiǎn)來(lái)源,醫(yī)院信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可分為網(wǎng)絡(luò)病毒、黑客攻擊、軟件漏洞及操作風(fēng)險(xiǎn)。其中,網(wǎng)絡(luò)病毒可細(xì)分為無(wú)害型、無(wú)危險(xiǎn)型、危險(xiǎn)型及破壞型,具有傳播性、隱蔽性、感染性、潛伏性、可激發(fā)性、外在表現(xiàn)性及破壞性等鮮明特點(diǎn),復(fù)制力強(qiáng)且迅速蔓延于信息網(wǎng)絡(luò)中難以徹底根除,直接威脅信息網(wǎng)絡(luò)中傳輸安全性,一旦醫(yī)療機(jī)構(gòu)殺毒軟件過(guò)于落后或更新管理重視程度不足加劇安全風(fēng)險(xiǎn);黑客攻擊可分為破壞性攻擊及非破壞性攻擊,輕者非法擾亂計(jì)算機(jī)系統(tǒng)正常運(yùn)行,重者非法入侵信息網(wǎng)絡(luò)系統(tǒng)盜取重要信息破壞系統(tǒng)內(nèi)數(shù)據(jù),造成不可預(yù)估性損失。

一旦醫(yī)療機(jī)構(gòu)所使用的信息網(wǎng)絡(luò)系統(tǒng)最初編程設(shè)計(jì)科學(xué)性不足或缺乏全面綜合考量,存在產(chǎn)生軟件漏洞的可能性成為黑客等不法分子的利用工具,造成破壞系統(tǒng)及盜取信息等問(wèn)題,甚至設(shè)置木馬程序及網(wǎng)絡(luò)病毒入侵信息網(wǎng)絡(luò)系統(tǒng),導(dǎo)致系統(tǒng)癱瘓或穩(wěn)定性下降等問(wèn)題,大大影響醫(yī)療機(jī)構(gòu)服務(wù)質(zhì)量及服務(wù)效率。同時(shí),IP協(xié)議中非法分子通過(guò)預(yù)測(cè)序列號(hào)等方法,可入侵信息網(wǎng)絡(luò)系統(tǒng)內(nèi)部完成信息盜取及破壞系統(tǒng)等任務(wù)。此外,操作風(fēng)險(xiǎn)屬于人為因素風(fēng)險(xiǎn)范疇,其產(chǎn)生原因與操作人員專業(yè)技術(shù)水平存在著密切聯(lián)系,一旦操作人員操作流程不正確或操作經(jīng)驗(yàn)不足極易造成操作失誤客觀上加劇管理難度,甚至存在引入網(wǎng)絡(luò)病毒的可能性。

2醫(yī)院信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)應(yīng)急處理預(yù)案

2.1重視網(wǎng)絡(luò)隔離

一般說(shuō)來(lái),醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)病毒、黑客攻擊及木馬程序均來(lái)源于信息網(wǎng)絡(luò)外部,而為了保證醫(yī)院信息網(wǎng)絡(luò)安全性,以內(nèi)網(wǎng)及外網(wǎng)為切入點(diǎn)采取相應(yīng)的管理措施。因此在實(shí)際處理的過(guò)程中,相關(guān)技術(shù)人員遵循實(shí)事求是的工作原則,積極轉(zhuǎn)變傳統(tǒng)工作理念,利用網(wǎng)線接口切換內(nèi)網(wǎng)及外網(wǎng),通過(guò)設(shè)置內(nèi)網(wǎng)及外網(wǎng)閘等方法,以達(dá)到有效隔離內(nèi)外網(wǎng)切斷外網(wǎng)木馬程序、黑客供給及網(wǎng)絡(luò)病毒,進(jìn)入途徑的目標(biāo)充分發(fā)揮保護(hù)作用,并且不斷擴(kuò)大成本投入,增設(shè)非法入侵監(jiān)測(cè)環(huán)節(jié),每日定時(shí)檢查醫(yī)療機(jī)構(gòu)信息網(wǎng)絡(luò)內(nèi)多臺(tái)計(jì)算機(jī),排除疑似入侵風(fēng)險(xiǎn),一旦發(fā)現(xiàn)入侵問(wèn)題立刻采取隔離措施,避免非法入侵威脅數(shù)據(jù)安全。

2.2完善網(wǎng)絡(luò)協(xié)議

在實(shí)際處理的過(guò)程中,相關(guān)技術(shù)人員遵循具體問(wèn)題具體分析的工作原則,積極轉(zhuǎn)變傳統(tǒng)工作理念,定期清理信息網(wǎng)絡(luò)系統(tǒng)設(shè)置相同IP地址或相同口令,將IP地址及口令與醫(yī)療機(jī)構(gòu)信息網(wǎng)絡(luò)系統(tǒng)中計(jì)算機(jī)MAC相綁定,避免不法分子冒領(lǐng)IP地址,進(jìn)入醫(yī)療機(jī)構(gòu)信息網(wǎng)絡(luò)系統(tǒng)盜取相關(guān)信息破壞系統(tǒng)安全性,甚至不法分子冒領(lǐng)IP地址或口令受缺少計(jì)算機(jī)MAC綁定,無(wú)法順利進(jìn)入醫(yī)療機(jī)構(gòu)信息網(wǎng)絡(luò)系統(tǒng)內(nèi)部。同時(shí),利用靜態(tài)及動(dòng)態(tài)相結(jié)合防護(hù)技術(shù)納入授權(quán)限制訪問(wèn)等機(jī)制保護(hù)靜態(tài)信息安全性,以達(dá)到限制不法分子隨意查閱及盜取相關(guān)信息的目標(biāo)。此外,通過(guò)數(shù)據(jù)加密等方法或借助RSA加密技術(shù)能實(shí)現(xiàn)動(dòng)態(tài)加密。

總而言之,醫(yī)療機(jī)構(gòu)內(nèi)部構(gòu)建行之有效的信息安全風(fēng)險(xiǎn),應(yīng)急處理系統(tǒng)及健全統(tǒng)一領(lǐng)導(dǎo)協(xié)調(diào)配合管理機(jī)制,對(duì)于實(shí)現(xiàn)醫(yī)療機(jī)構(gòu)信息網(wǎng)絡(luò)有力協(xié)調(diào)、明確分工及統(tǒng)一領(lǐng)導(dǎo)具有不可比擬的積極作用,并且納入重大安全事故報(bào)告機(jī)制能及時(shí)有效處理修復(fù)相關(guān)重大安全問(wèn)題。

3結(jié)語(yǔ)

通過(guò)本文探究,認(rèn)識(shí)到伴隨社會(huì)不斷進(jìn)步及經(jīng)濟(jì)不斷發(fā)展,未來(lái)信息化技術(shù)以無(wú)線網(wǎng)絡(luò)為主流發(fā)展趨勢(shì),而如何保證信息網(wǎng)絡(luò)安全性已成為每一位無(wú)線信息網(wǎng)絡(luò)用戶的要求。因此,相關(guān)技術(shù)人員積極轉(zhuǎn)變傳統(tǒng)工作理念,立足于醫(yī)療機(jī)構(gòu)管理機(jī)制及實(shí)際情況,以現(xiàn)存安全風(fēng)險(xiǎn)為出發(fā)點(diǎn),控制不法分子非法入侵系統(tǒng)行為,確保醫(yī)院信息網(wǎng)絡(luò)處于穩(wěn)定運(yùn)行狀態(tài),為廣大醫(yī)療機(jī)構(gòu)提供便捷、優(yōu)質(zhì)及快速的網(wǎng)絡(luò)服務(wù),進(jìn)一步提高醫(yī)療機(jī)構(gòu)服務(wù)質(zhì)量,贏得社會(huì)及患者支持。

參考文獻(xiàn) 

[1]李飛.醫(yī)院網(wǎng)絡(luò)與信息安全存在的風(fēng)險(xiǎn)及應(yīng)急預(yù)案處理[J].電子技術(shù)與軟件工程,2017(08):224. 

[2]李暢淼.醫(yī)院網(wǎng)絡(luò)與信息安全存在的風(fēng)險(xiǎn)及應(yīng)急預(yù)案處理[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016(11):145-146. 

[3]劉鋒,吳東東,姬曉波.醫(yī)療網(wǎng)絡(luò)與外部網(wǎng)絡(luò)信息安全交互方案設(shè)計(jì)[J].中國(guó)數(shù)字醫(yī)學(xué),2015(10):96-98. 

[4]姚力,馮娟,蔣昆.醫(yī)院網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件應(yīng)急預(yù)案[J].中國(guó)數(shù)字醫(yī)學(xué),2013(02):58-61. 

第3篇:網(wǎng)絡(luò)安全制度及應(yīng)急預(yù)案范文

一、學(xué)校網(wǎng)絡(luò)與信息安全工作情況

本次檢查內(nèi)容主要包含網(wǎng)絡(luò)與信息系統(tǒng)安全的管理機(jī)構(gòu)、規(guī)章制度、設(shè)施設(shè)備、網(wǎng)站和信息運(yùn)行情況、人技防護(hù)、隊(duì)伍建設(shè)等5個(gè)方面,同時(shí)從物理安全差距、網(wǎng)絡(luò)安全差距、主機(jī)安全差距、應(yīng)用安全差距、數(shù)據(jù)安全及恢復(fù)差距等5個(gè)方面對(duì)主機(jī)房和14個(gè)信息系統(tǒng)、1個(gè)網(wǎng)站進(jìn)行等級(jí)保護(hù)安全技術(shù)差距分析,通過(guò)差距分析,明確各層次安全域相應(yīng)等級(jí)的安全差距,為下一步安全技術(shù)解決方案設(shè)計(jì)和安全管理建設(shè)提供依據(jù)。

從檢查情況看,我校網(wǎng)絡(luò)與信息安全總體運(yùn)維情況良好,未出現(xiàn)任何一起重大網(wǎng)絡(luò)安全與信息安全事件(事故)。近幾年,學(xué)校領(lǐng)導(dǎo)重視學(xué)校網(wǎng)絡(luò)信息安全工作,始終把網(wǎng)絡(luò)信息安全作為信息化工作的重點(diǎn)內(nèi)容;網(wǎng)絡(luò)信息安全工作機(jī)構(gòu)健全、責(zé)任明確,日常管理維護(hù)工作比較規(guī)范;管理制度較為完善,技術(shù)防護(hù)措施得當(dāng),信息安全風(fēng)險(xiǎn)得到有效降低;比較重視信息系統(tǒng)(網(wǎng)站)系統(tǒng)管理員和網(wǎng)絡(luò)安全技術(shù)人員培訓(xùn),應(yīng)急預(yù)案與應(yīng)急處置技術(shù)隊(duì)伍有落實(shí);加強(qiáng)對(duì)學(xué)生網(wǎng)絡(luò)宣傳引導(dǎo)教育,日常重視微信、微博、QQ群的管理,提倡爭(zhēng)當(dāng)“綠色網(wǎng)民”;工作經(jīng)費(fèi)有一定保障,網(wǎng)絡(luò)安全工作經(jīng)費(fèi)納入年度預(yù)算,在最近一年學(xué)校信息化經(jīng)費(fèi)投入中,網(wǎng)絡(luò)建設(shè)與設(shè)備購(gòu)置費(fèi)用約占56、5%,數(shù)字資源與平臺(tái)開(kāi)發(fā)費(fèi)用約占40、6%,培訓(xùn)費(fèi)用約占0、6%,運(yùn)行與維護(hù)費(fèi)用約占1、04%,研究及其他費(fèi)用約占1、23%,總計(jì)投入占學(xué)校同期教育總經(jīng)費(fèi)支出的比例約1、57%,基本保證了校園網(wǎng)信息系統(tǒng)(網(wǎng)站)持續(xù)安全穩(wěn)定運(yùn)行。

1、網(wǎng)絡(luò)信息安全組織管理

20xx年學(xué)校成立網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組,校主要領(lǐng)導(dǎo)擔(dān)任組長(zhǎng),網(wǎng)絡(luò)與信息安全工作辦公室設(shè)在黨委工作部,領(lǐng)導(dǎo)小組全面負(fù)責(zé)學(xué)校網(wǎng)絡(luò)信息安全工作,教育技術(shù)與信息中心作為校園網(wǎng)運(yùn)維部門承擔(dān)信息系統(tǒng)安全技術(shù)防護(hù)與技術(shù)保障工作,對(duì)全校網(wǎng)絡(luò)信息安全工作進(jìn)行安全管理和監(jiān)督責(zé)任。各部門承擔(dān)本單位信息系統(tǒng)和網(wǎng)站信息內(nèi)容的直接安全責(zé)任。20xx年,由于人動(dòng),及時(shí)調(diào)整網(wǎng)絡(luò)安全和信息安全領(lǐng)導(dǎo)小組成員名單,依照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)維誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則,明確各部門負(fù)責(zé)人為部門網(wǎng)站的具體負(fù)責(zé)人,建立學(xué)校網(wǎng)絡(luò)信息員隊(duì)伍,同時(shí),還組建網(wǎng)絡(luò)文明志愿者隊(duì)伍,對(duì)網(wǎng)絡(luò)出現(xiàn)的熱點(diǎn)問(wèn)題,及時(shí)跟蹤、跟帖、匯報(bào)。

2、信息系統(tǒng)(含網(wǎng)站)日常安全管理

學(xué)校建有“校園網(wǎng)絡(luò)系統(tǒng)安全管理(暫行)條例”、“學(xué)生上網(wǎng)管理辦法“、“校園網(wǎng)絡(luò)安全保密管理?xiàng)l例(試行)”、“校園網(wǎng)管理制度”、“網(wǎng)絡(luò)與信息安全處理預(yù)案”、“網(wǎng)上信息監(jiān)控制度”等系列規(guī)章制度。各系統(tǒng)(網(wǎng)站)使用單位基本能按要求,落實(shí)責(zé)任人,較好地履行網(wǎng)站信息上傳審簽制度、信息系統(tǒng)數(shù)據(jù)保密與防篡改制度。日常監(jiān)控對(duì)象包括主要網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用服務(wù)器等,其中網(wǎng)絡(luò)中的邊界防火墻、網(wǎng)絡(luò)核心交換機(jī)和路由器、學(xué)校站服務(wù)器均納入重點(diǎn)監(jiān)控。日常維護(hù)操作較規(guī)范,多數(shù)單位做到了杜絕弱口令并定期更改,嚴(yán)密防護(hù)個(gè)人電腦,定期備份數(shù)據(jù),定期查看安全日志等,隨時(shí)掌握系統(tǒng)(網(wǎng)站)狀態(tài),保證正常運(yùn)行。

3、信息系統(tǒng)(網(wǎng)站)技術(shù)防護(hù)

學(xué)校網(wǎng)絡(luò)信息安全前期的防控主要是基于山石防火墻、深信服防火墻及行為管理軟件,20xx年為加強(qiáng)校園網(wǎng)絡(luò)安全管理,購(gòu)置了“網(wǎng)頁(yè)防篡改、教師行為管理、負(fù)載均衡”等相關(guān)安全設(shè)備,20xx年二月中旬完成校園信息系統(tǒng)(含網(wǎng)站)等級(jí)保護(hù)的定級(jí)和備案,并上報(bào)xxx市網(wǎng)安支隊(duì)。同時(shí),按二級(jí)等保要求,約投資110萬(wàn)元,完成“網(wǎng)絡(luò)入侵防御系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、運(yùn)維審計(jì)-堡壘機(jī)系統(tǒng)、服務(wù)及測(cè)評(píng)及機(jī)房改造(物理安全)”等網(wǎng)絡(luò)安全設(shè)備的采購(gòu)工作,目前,方案已經(jīng)通過(guò)專家論證。

20xx年4月-6月及20xx年3月對(duì)網(wǎng)站系統(tǒng)進(jìn)行安全測(cè)評(píng),特別對(duì)系統(tǒng)層和應(yīng)用層漏洞掃描,發(fā)現(xiàn)(教務(wù)管理系統(tǒng)、教學(xué)資源庫(kù))出現(xiàn)漏洞,及時(shí)整改,并將結(jié)果上報(bào)省教育廳、省網(wǎng)安大隊(duì)、xxx市網(wǎng)安支隊(duì)。同時(shí),對(duì)各防火墻軟件7個(gè)庫(kù)進(jìn)行升級(jí),對(duì)服務(wù)器操作系統(tǒng)存在的漏洞及時(shí)補(bǔ)丁和修復(fù),做好網(wǎng)站的備份工作等。

4、網(wǎng)絡(luò)信息安全應(yīng)急管理

20xx年學(xué)校制定了《xxx職業(yè)技術(shù)學(xué)校網(wǎng)絡(luò)與信息安全處理預(yù)案》、《xxx職業(yè)技術(shù)學(xué)校網(wǎng)絡(luò)安全和學(xué)生校內(nèi)聚集事件應(yīng)急處置預(yù)案》。教育技術(shù)與信息中心為應(yīng)急技術(shù)支持單位,在重大節(jié)日及敏感時(shí)期,采用24小時(shí)值班制度,對(duì)網(wǎng)絡(luò)安全問(wèn)題即知即改,確保網(wǎng)絡(luò)安全事件快速有效處置。

二、檢查發(fā)現(xiàn)的主要問(wèn)題

對(duì)照《通知》中的具體檢查項(xiàng)目,我校在網(wǎng)絡(luò)與信息安全技術(shù)和安全管理建設(shè)上還存在一定的問(wèn)題:

1、由于學(xué)校信息化建設(shè)尚處于起步階段,學(xué)院數(shù)據(jù)中心建設(shè)相對(duì)薄弱,未建成完善的數(shù)據(jù)中心共享體系,各應(yīng)用系統(tǒng)的數(shù)據(jù)資源安全及災(zāi)備均由相關(guān)使用部門獨(dú)自管理。同時(shí),網(wǎng)絡(luò)安全保障平臺(tái)(校園網(wǎng)絡(luò)安全及信息安全等級(jí)保護(hù))尚在建設(shè)中。

2、部分系統(tǒng)(網(wǎng)站)日常管理維護(hù)不夠規(guī)范,仍存在管理員弱口令、數(shù)據(jù)備份重視不夠、信息保密意識(shí)較差等問(wèn)題;學(xué)校子網(wǎng)頁(yè)網(wǎng)管員為兼職,投入精力難以保證,而且未取得相應(yīng)資格證書;由于經(jīng)費(fèi)問(wèn)題,個(gè)別應(yīng)用系統(tǒng)未能及時(shí)升級(jí),容易發(fā)生安全事故。

3、目前尚未開(kāi)展網(wǎng)絡(luò)安全預(yù)案演練,還未真正組建一支校內(nèi)外聯(lián)合的網(wǎng)絡(luò)安全專家隊(duì)伍,未與社會(huì)企業(yè)簽訂應(yīng)急支持協(xié)議和完成應(yīng)急隊(duì)伍建設(shè)規(guī)劃。

三、整改措施

針對(duì)存在的問(wèn)題,學(xué)校網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組專門進(jìn)行了研究部署。

1、全面開(kāi)展信息系統(tǒng)等級(jí)保護(hù)工作。按照相關(guān)《通知》要求,20xx年8月底全面完成網(wǎng)絡(luò)安全保障平臺(tái)建設(shè),根據(jù)系統(tǒng)在不同階段的需求、業(yè)務(wù)特性及應(yīng)用重點(diǎn),采用等級(jí)化與體系化相結(jié)合的安全體系設(shè)計(jì)方案,形成整體的等級(jí)化的安全保障體系,同時(shí)根據(jù)安全技術(shù)建設(shè)和安全管理建設(shè),保障信息系統(tǒng)整體的安全。

2、完善網(wǎng)絡(luò)安全管理制度。根據(jù)等級(jí)保護(hù)要求,進(jìn)行信息安全策略總綱設(shè)計(jì)、信息安全各項(xiàng)管理制度設(shè)計(jì)、信息安全技術(shù)規(guī)范設(shè)計(jì)等,保障信息系統(tǒng)整體安全。

第4篇:網(wǎng)絡(luò)安全制度及應(yīng)急預(yù)案范文

【 關(guān)鍵詞 】 網(wǎng)站;安全;應(yīng)急;機(jī)制

Research About the Information Security Protection and Emergency Response Mechanism

in Anhui Earthquake administration Website

Chen Liang

(Anhui Earthquake Administration HefeiAnhui 230031)

【 Abstract 】 With the increasing application of computers and websites,the safety of websites becomes more and more important. This paper discussed the the website features and potential safety hazard,constructed a integrated website security protection system. Finally,it designed the emergency response mechanism procedure.

【 Keywords 】 website; security; emergency response; mechanism

1 前言

安徽省防震減災(zāi)信息網(wǎng)(以下簡(jiǎn)稱“網(wǎng)站”)是安徽省地震局實(shí)現(xiàn)政務(wù)信息公開(kāi),服務(wù)社會(huì)公眾和穩(wěn)定社會(huì)秩序的重要渠道,網(wǎng)站的信息具有高度的權(quán)威性和嚴(yán)肅性。而地震行業(yè)的敏感及特殊性決定了防震減災(zāi)信息網(wǎng)可能遭遇的突發(fā)事件龐雜、不可預(yù)測(cè),如網(wǎng)站非法言論、感染病毒、網(wǎng)絡(luò)中斷、并發(fā)訪問(wèn)堵塞、網(wǎng)站攻擊篡改等,其中后兩種突發(fā)事件造成的社會(huì)影響更加惡劣,應(yīng)對(duì)能力的提高是解決問(wèn)題的關(guān)鍵。

2008年5月12日汶川8.0級(jí)強(qiáng)震、2009年4月6日肥東3.5級(jí)地震發(fā)生后,網(wǎng)站訪問(wèn)量驟然增加,網(wǎng)絡(luò)堵塞嚴(yán)重,信息部門緊急調(diào)配高性能服務(wù)器,將門戶網(wǎng)站轉(zhuǎn)移以便緩解。之后經(jīng)聯(lián)系,省電信部門決定短期援助互聯(lián)網(wǎng)出口帶寬由10M升級(jí)至100M。近年來(lái)全球地震頻發(fā),社會(huì)公眾關(guān)注度逐漸加深,對(duì)地震信息的需求越來(lái)越高,網(wǎng)站的正常運(yùn)行和訪問(wèn)、信息的即時(shí)都需要應(yīng)急體系的支撐。

在網(wǎng)絡(luò)攻擊愈演愈烈的大環(huán)境下,政府門戶網(wǎng)站遭受攻擊的幾率越來(lái)越高。2008年5月31日、6月1日和6月2日,廣西防震減災(zāi)網(wǎng)被黑客工具多次侵入,網(wǎng)站內(nèi)容被惡意篡改,服務(wù)器全部數(shù)據(jù)被徹底刪除,網(wǎng)站癱瘓。時(shí)值汶川震后敏感時(shí)期,犯罪分子的地震謠言制造了社會(huì)恐慌,嚴(yán)重?cái)_亂了社會(huì)秩序,危害了社會(huì)穩(wěn)定。前車之鑒,嚴(yán)峻的現(xiàn)實(shí)表明,我局要高度關(guān)注網(wǎng)站的安全運(yùn)行。

隨著網(wǎng)站的深入應(yīng)用,網(wǎng)站的安全性問(wèn)題也越來(lái)越得到人們的重視。國(guó)家及各級(jí)政府部門相繼出臺(tái)了一系列法律法規(guī)、文件精神,從政策角度對(duì)網(wǎng)絡(luò)信息安全進(jìn)行規(guī)范和部署,確保政府網(wǎng)站的安全運(yùn)行,各行業(yè)部門對(duì)本行業(yè)所可能產(chǎn)生的安全事件及相應(yīng)的解決措施進(jìn)行研究,并據(jù)此制定了本部門相應(yīng)的網(wǎng)站信息安全應(yīng)急預(yù)案。2010年1月12日百度公司網(wǎng)站突然無(wú)法訪問(wèn)使得網(wǎng)絡(luò)安全問(wèn)題引起了社會(huì)各界的廣泛關(guān)注,安徽省信息化主管部門省經(jīng)濟(jì)和信息化工作委員會(huì)通過(guò)此事件清醒地認(rèn)識(shí)到信息安全的極端重要性,已出臺(tái)《安徽省網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》,全力保障我省網(wǎng)絡(luò)信息安全。

綜上所述,為妥善應(yīng)對(duì)和處置各種網(wǎng)站安全突發(fā)事件,確保網(wǎng)站和重要信息系統(tǒng)的安全可靠運(yùn)行,研究網(wǎng)站應(yīng)急響應(yīng)機(jī)制,在此基礎(chǔ)上建立一套行之有效滿足安徽省防震減災(zāi)信息網(wǎng)網(wǎng)站需求的應(yīng)急預(yù)案是必不可少的措施之一。

2 網(wǎng)站特征及存在的問(wèn)題

2.1 版塊多,更新不易

目前,網(wǎng)站新版本已上線運(yùn)行。新網(wǎng)站采用PHP腳本語(yǔ)言編寫,數(shù)據(jù)庫(kù)使用My SQL進(jìn)行管理。涉及頁(yè)面數(shù)量多,版塊塊類型豐富,不僅有震情、省局動(dòng)態(tài)、直屬單位動(dòng)態(tài)、市縣機(jī)構(gòu)動(dòng)態(tài)、行業(yè)動(dòng)態(tài)、綜合減災(zāi)等需每日更新的版塊,還包括監(jiān)測(cè)預(yù)報(bào)、震災(zāi)預(yù)防、應(yīng)急救援、群團(tuán)組織等需定期更新的業(yè)務(wù)版塊。有的信息需從后臺(tái)直接上傳,有的則需要進(jìn)行網(wǎng)頁(yè)的編輯更新,豐富的內(nèi)容需要組織較多人力進(jìn)行更新。

2.2 部門多,協(xié)調(diào)不易

網(wǎng)站的管理主要包括網(wǎng)站信息、網(wǎng)站應(yīng)用程序開(kāi)發(fā)、功能升級(jí)、服務(wù)器運(yùn)行和安全維護(hù)等工作。一般情況下,日常更新版塊由省局及市縣各所屬部門指定專人通過(guò)網(wǎng)站后臺(tái)上傳,辦公室進(jìn)行審核后;定期更新版塊由各所屬部門提供審核后的信息由局網(wǎng)站技術(shù)人員上傳。網(wǎng)站應(yīng)用程序開(kāi)發(fā)、功能升級(jí)、服務(wù)器運(yùn)行和安全維護(hù)則有局網(wǎng)站技術(shù)人員負(fù)責(zé)。參與網(wǎng)站管理的部門較多,需要完善的網(wǎng)站管理制度來(lái)進(jìn)行管理協(xié)調(diào)工作。

2.3 內(nèi)容多,備份不易

隨著網(wǎng)站版塊的增加和運(yùn)行時(shí)間的延續(xù),網(wǎng)站容量不斷加大,不能及時(shí)清理的垃圾文件也隨之增多。我局網(wǎng)站容量逐年增加,并還將有上漲的趨勢(shì)。如果今后沒(méi)有專門的設(shè)備和技術(shù),網(wǎng)站的集中備份難度將很大。

2.4 人員多,管理不易

參與網(wǎng)站管理人員不僅包括省局各部門,還包括了大量市縣局、臺(tái)站的工作人員,變化快,網(wǎng)絡(luò)知識(shí)不足,很多管理人員會(huì)辦公自動(dòng)化軟件的操作,但是普遍缺少網(wǎng)絡(luò)安全知識(shí)和安全技術(shù),安全意識(shí)淡薄。

3 可能存在的網(wǎng)站安全隱患

3.1 客觀因素

(1)病毒。目前網(wǎng)站安全的頭號(hào)大敵是計(jì)算機(jī)病毒,它是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù),影響計(jì)算機(jī)軟、硬件的正常運(yùn)行并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點(diǎn)。

(2)軟件漏洞。每一個(gè)操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無(wú)缺陷和漏洞的。這就使我們的計(jì)算機(jī)處于危險(xiǎn)的境地,一旦連接入網(wǎng),將成為眾矢之的。

(3)黑客。電腦黑客利用系統(tǒng)中的安全漏洞非法進(jìn)入他人計(jì)算機(jī)系統(tǒng),危害非常大。從某種意義上講,黑客對(duì)信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。

3.2 人為因素

(1)安全意識(shí)不強(qiáng)。網(wǎng)站管理人員不在崗,用戶口令選擇不慎,將自己的賬號(hào)隨意轉(zhuǎn)借給他人或與別人共享等都會(huì)對(duì)網(wǎng)站安全帶來(lái)威脅。

(2)網(wǎng)站后臺(tái)配置不當(dāng)。安全配置不當(dāng)造成安全漏洞。例如防火墻軟件的配置不正確。對(duì)特定的網(wǎng)絡(luò)應(yīng)用程序,當(dāng)它啟動(dòng)時(shí),就打開(kāi)了一系列的安全缺口,許多與該軟件捆綁在一起的應(yīng)用軟件也會(huì)被啟用。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置。否則,安全隱患始終存在。

4 網(wǎng)站信息安全防護(hù)體系建設(shè)

4.1 防護(hù)體系設(shè)計(jì)

中科院劉寶旭等設(shè)計(jì)了一個(gè)基于模型的網(wǎng)絡(luò)安全綜合防護(hù)系統(tǒng)(PERR),該模型由防護(hù)(Protection)、預(yù)警檢測(cè)(Early warning & Detection)、響應(yīng)(Response)、恢復(fù)(Recovery)四個(gè)部分構(gòu)成一個(gè)動(dòng)態(tài)的信息安全周期,同樣可以適用于我局網(wǎng)站信息安全的防護(hù)與應(yīng)急工作。

4.2 防護(hù)體系建設(shè)

4.2.1安全防護(hù)中心

網(wǎng)站目前安全防護(hù)主要采用硬件防火墻、Webgard軟件防火墻、瑞星殺毒、清除木馬、360安全衛(wèi)士及系統(tǒng)安全設(shè)置來(lái)進(jìn)行日常的防護(hù)。

安全防護(hù)中心的主要職能是通過(guò)安全產(chǎn)品、技術(shù)、制度等手段,達(dá)到提高被保護(hù)網(wǎng)絡(luò)信息系統(tǒng)對(duì)安全威脅的防御能力和抗攻擊能力,同時(shí),加強(qiáng)管理人員對(duì)信息系統(tǒng)的安全控管能力。其建設(shè)可從安全加固和安全管理兩個(gè)角度來(lái)考慮。通過(guò)對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的調(diào)整、系統(tǒng)配置的優(yōu)化,并部署入侵檢測(cè)、防病毒、反垃圾郵件、身份認(rèn)證、數(shù)據(jù)加密等安全產(chǎn)品和系統(tǒng)進(jìn)行安全加固;通過(guò)制定管理制度進(jìn)行安全管理,使用安全管理平臺(tái)等技術(shù)手段,統(tǒng)一配置管理系統(tǒng)中的主機(jī)、網(wǎng)絡(luò)設(shè)備及安全設(shè)備,增強(qiáng)監(jiān)控能力,使其運(yùn)轉(zhuǎn)更為協(xié)調(diào),最大程度地發(fā)揮安全防護(hù)效能。

4.2.2安全預(yù)警檢測(cè)中心

網(wǎng)站目前安全檢測(cè)主要采用IDS(Intrusion Detection Systems )入侵檢測(cè)、防病毒熊貓網(wǎng)關(guān)、防火墻等來(lái)進(jìn)行安全預(yù)警檢測(cè)。

安全預(yù)警中心的主要職能:(1)預(yù)警,可通過(guò)漏洞掃描、網(wǎng)絡(luò)異常監(jiān)控、日志分析、問(wèn)題主機(jī)發(fā)現(xiàn)等技術(shù)手段以及評(píng)估、審計(jì)等安全服務(wù)來(lái)實(shí)現(xiàn);(2)檢測(cè),可使用入侵檢測(cè)、病毒檢測(cè)(防病毒墻)等工具和異常流量、異常網(wǎng)絡(luò)行為發(fā)現(xiàn)等手段和工具。

4.2.3應(yīng)急響應(yīng)中心

安全問(wèn)題發(fā)生時(shí)需要盡快響應(yīng),以阻止攻擊行為的進(jìn)一步破壞。所以需要建立一個(gè)完善的的應(yīng)急響應(yīng)中心,對(duì)安全事件、行為、過(guò)程及時(shí)做出響應(yīng)和處理,對(duì)可能發(fā)生的入侵行為進(jìn)行限制,杜絕危害的進(jìn)一步蔓延擴(kuò)大,最大程度降低其造成的影響,避免出現(xiàn)業(yè)務(wù)中斷等安全事故。

應(yīng)急響應(yīng)中心處理的手段包括阻斷、隔離、轉(zhuǎn)移、取證、分析、系統(tǒng)恢復(fù)、手工加固、跟蹤攻擊源甚至實(shí)施反擊等。可通過(guò)制定應(yīng)急響應(yīng)制度、規(guī)范操作流程,并輔以緊急響應(yīng)工具和服務(wù)來(lái)實(shí)現(xiàn)。

4.2.4災(zāi)備恢復(fù)中心

網(wǎng)站災(zāi)備恢復(fù)目前主要采取人工定期備份的方式。災(zāi)備恢復(fù)中心建設(shè)主要通過(guò)冗余備份等方式,確保在被保護(hù)網(wǎng)絡(luò)信息系統(tǒng)發(fā)生了意想不到的安全事故之后,被破壞的業(yè)務(wù)系統(tǒng)和關(guān)鍵數(shù)據(jù)能夠迅速得到恢復(fù),從而達(dá)到降低網(wǎng)絡(luò)信息系統(tǒng)遭受災(zāi)難性破壞的風(fēng)險(xiǎn)的目的。備份包括本地、異地、冷備、熱備等多種方式,按照不同備份策略,利用不同設(shè)備和技術(shù)手段來(lái)實(shí)現(xiàn)。

5 應(yīng)急預(yù)案規(guī)劃設(shè)計(jì)

5.1 應(yīng)急隊(duì)伍建設(shè)

組建一支專業(yè)化程度較高、技術(shù)一流的信息安全技術(shù)服務(wù)隊(duì)伍是網(wǎng)站信息安全應(yīng)急預(yù)案規(guī)劃設(shè)計(jì)的人員保障。為保證應(yīng)急情況下應(yīng)急機(jī)制的迅速啟動(dòng)和指揮順暢,應(yīng)急組織應(yīng)設(shè)立領(lǐng)導(dǎo)組和技術(shù)組。

領(lǐng)導(dǎo)組主要職責(zé)包括:(1)研究布置應(yīng)急行動(dòng)有關(guān)具體事宜;(2)應(yīng)急行動(dòng)期間的總體組織指揮;(3)向上級(jí)匯報(bào)應(yīng)急行動(dòng)的進(jìn)展情況和向有關(guān)部門通報(bào)相關(guān)情況;(4)負(fù)責(zé)與有關(guān)部門進(jìn)行重大事項(xiàng)的工作協(xié)調(diào);(5)負(fù)責(zé)應(yīng)急行動(dòng)其它的有關(guān)組織領(lǐng)導(dǎo)工作。

技術(shù)組主要職責(zé)包括:(1)執(zhí)行領(lǐng)導(dǎo)組下達(dá)的應(yīng)急指令;(2)負(fù)責(zé)應(yīng)急行動(dòng)物資器材的準(zhǔn)備;(3)負(fù)責(zé)處理現(xiàn)場(chǎng)一切故障現(xiàn)象;(4)隨時(shí)向領(lǐng)導(dǎo)小組匯報(bào)應(yīng)急工作的進(jìn)展情況;(5)負(fù)責(zé)聯(lián)系相關(guān)廠商和技術(shù)人員,獲取技術(shù)支持。

5.2 應(yīng)急標(biāo)準(zhǔn)

研究網(wǎng)站安全隱患,結(jié)合我局網(wǎng)站管理現(xiàn)狀,確立應(yīng)急標(biāo)準(zhǔn):(1)網(wǎng)站、網(wǎng)頁(yè)出現(xiàn)非法言論;(2)黑客攻擊、網(wǎng)頁(yè)被篡改;(3)突發(fā)事件發(fā)生后大量并發(fā)訪問(wèn);(4)軟件系統(tǒng)遭受破壞性攻擊;(5)設(shè)備安全故障;(6)數(shù)據(jù)庫(kù)安全受侵害;(7)感染病毒。

5.3 應(yīng)急流程圖設(shè)計(jì)

如圖2所示。

6 結(jié)束語(yǔ)

網(wǎng)站信息安全防護(hù)與應(yīng)急是一項(xiàng)綜合性和專業(yè)化程度較高的安全技術(shù)服務(wù)措施,制度建設(shè)是基礎(chǔ),隊(duì)伍建設(shè)是保證,技術(shù)手段是根本。網(wǎng)站安全隱患和安全時(shí)間是所有網(wǎng)站管理人員不想遇到但又不可避免的事件,只有通過(guò)加強(qiáng)日常的管理和維護(hù),不斷完善防護(hù)與應(yīng)急機(jī)制,提高技術(shù)水平和工作的責(zé)任心,才可以有效抑制網(wǎng)站安全事件的發(fā)生,保障網(wǎng)站的安全正常運(yùn)行。

參考文獻(xiàn)

[1] 劉寶旭,陳秦偉,池亞平等.基于模型的網(wǎng)絡(luò)安全綜合防護(hù)系統(tǒng)研究[J].計(jì)算機(jī)工程,2007,33(12):151~153.

[2] 張帆,劉智.網(wǎng)站安全事件的應(yīng)急響應(yīng)措施討論[J].黃石理工學(xué)院學(xué)報(bào),2008,24(2):38~40.

[3] 陳勝權(quán).基于USB Key的政府門戶網(wǎng)站保護(hù)方案[J].信息安全與通信保密,2007(11):36~39.

[4] 張薇.論政府門戶網(wǎng)站安全保障體系建設(shè)[J].黑龍江科技信息,2008年(21):66~66.

[5] 劉少英.防病毒策略在政府門戶網(wǎng)站中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2003(5):20.

[6] 楊莉.政府網(wǎng)站的安全性問(wèn)題研究[J].科技管理研究,2001(6):77~79.

[7] 曹颯.信息整合是地震政務(wù)網(wǎng)站建設(shè)的基礎(chǔ)和關(guān)鍵[J].國(guó)際地震動(dòng)態(tài),2008,1(1):34~38.

[8] 陳錦華.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急響應(yīng)研究[J].計(jì)算機(jī)安全,2007(12):50~52.

基金項(xiàng)目:

安徽省地震局2010年科研合同制課題項(xiàng)目(201041)。

第5篇:網(wǎng)絡(luò)安全制度及應(yīng)急預(yù)案范文

關(guān)鍵詞:醫(yī)院,信息系統(tǒng),網(wǎng)絡(luò)安全

 

一、建立一套較完善的、操作性強(qiáng)的管理制度

根據(jù)實(shí)際情況,對(duì)不同類型、不同敏感度的信息,規(guī)定合適的管理制度和使用方法,制定詳細(xì)的安全管理制度,保證醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)規(guī)避管理有章可循,有法可依,促使每個(gè)系統(tǒng)管理人員和使用人員將系統(tǒng)安全風(fēng)險(xiǎn)規(guī)避管理形成一種習(xí)慣。。制定系統(tǒng)安全獎(jiǎng)懲制度,對(duì)于違反制度者視情節(jié)輕重給予相應(yīng)的經(jīng)濟(jì)懲罰或行政處分,情節(jié)特別惡劣的可提起法律訴訟,對(duì)違規(guī)制度者進(jìn)行舉報(bào)的人員給予適當(dāng)?shù)莫?jiǎng)勵(lì)。院內(nèi)每人都有義務(wù)和責(zé)任舉報(bào)任何系統(tǒng)不安全現(xiàn)象和行為。

安全管理制度包括中心機(jī)房安全管理制度、子系統(tǒng)使用人員安全管理制度、系統(tǒng)設(shè)備安全管理制度、網(wǎng)絡(luò)安全管理制度、病毒防范安全管理制度、安全管理登記制度、應(yīng)答制度、考核制度等。做好設(shè)備的運(yùn)行情況記錄,檢查記錄,日常維護(hù)記錄及用戶的監(jiān)控記錄等。

二、制定詳細(xì)而周密的應(yīng)急預(yù)案

充分考慮各種系統(tǒng)故障,設(shè)計(jì)與各管理崗位相符的系統(tǒng)安全風(fēng)險(xiǎn)規(guī)避管理常規(guī)處理預(yù)案和緊急處理預(yù)案,根據(jù)安全事件的嚴(yán)重程度適時(shí)采用,以保證醫(yī)院正常的醫(yī)療服務(wù)和就醫(yī)秩序,提高醫(yī)院應(yīng)對(duì)突發(fā)事件的能力。在醫(yī)院信息系統(tǒng)出現(xiàn)故障時(shí),將系統(tǒng)中斷時(shí)間、故障損失和社會(huì)影響降到最低。由分管院長(zhǎng)、相應(yīng)科室及計(jì)算機(jī)中心組成故障排除小組,當(dāng)災(zāi)難發(fā)生時(shí)應(yīng)用應(yīng)急預(yù)案進(jìn)行恢復(fù)。應(yīng)定期進(jìn)行應(yīng)急預(yù)案的演練,查找問(wèn)題,加以整改,提高其針對(duì)性和實(shí)用性。

應(yīng)急預(yù)案包括服務(wù)器、硬件、軟件、網(wǎng)絡(luò)等方面的系統(tǒng)安全風(fēng)險(xiǎn)應(yīng)急措施、具體的協(xié)調(diào)部門及相應(yīng)的工作、常用的應(yīng)急電話等。應(yīng)急預(yù)案須明顯張貼,使應(yīng)急操作人員方便地看到。

三、建立系統(tǒng)安全監(jiān)控體系

設(shè)立安全管理人員,對(duì)那些給醫(yī)院信息系統(tǒng)安全帶來(lái)嚴(yán)重隱患的行為和人員進(jìn)行重點(diǎn)管理和監(jiān)督。建立醫(yī)療、財(cái)務(wù)、藥品物資數(shù)據(jù)質(zhì)量監(jiān)控體系和數(shù)據(jù)操作員、職能科室、部門領(lǐng)導(dǎo)三個(gè)層次的數(shù)據(jù)質(zhì)量監(jiān)控層,對(duì)醫(yī)院信息系統(tǒng)數(shù)據(jù)安全具有重要意義。建立信息系統(tǒng)數(shù)據(jù)質(zhì)量考評(píng)和反饋制度,如掛號(hào)數(shù)據(jù)可由門診收費(fèi)復(fù)查,門診收費(fèi)執(zhí)行科室與開(kāi)單科室可實(shí)行雙向數(shù)據(jù)核查,醫(yī)療科可定期進(jìn)行信息系統(tǒng)數(shù)據(jù)質(zhì)量講評(píng),考核結(jié)果與科室全面責(zé)任制考評(píng)掛鉤。。

四、建立健全風(fēng)險(xiǎn)評(píng)估和檢測(cè)機(jī)制

可采取與專業(yè)安全服務(wù)公司建立長(zhǎng)期合作的策略實(shí)現(xiàn)安全風(fēng)險(xiǎn)評(píng)估機(jī)制的建立,加強(qiáng)多部門之間的安全信息溝通與共享,積極利用其在安全風(fēng)險(xiǎn)評(píng)估技術(shù)、方法等方面的優(yōu)勢(shì),結(jié)合醫(yī)院信息系統(tǒng)安全實(shí)際,建立符合信息安全要求的風(fēng)險(xiǎn)評(píng)估與管理機(jī)制,不斷研究和發(fā)現(xiàn)信息系統(tǒng)存在的漏洞、缺陷以及面臨的風(fēng)險(xiǎn)與威脅,并積極尋找相應(yīng)的補(bǔ)救方法,力求做到防范于未然。

應(yīng)制定安全檢測(cè)計(jì)劃和方案并組織實(shí)施,組成專門的檢測(cè)小組,在醫(yī)院領(lǐng)導(dǎo)和系統(tǒng)運(yùn)行維護(hù)部門的積極配合下,對(duì)系統(tǒng)的基礎(chǔ)設(shè)施、網(wǎng)絡(luò)結(jié)構(gòu)、信息保護(hù)、安全管理以及應(yīng)急預(yù)案等方面進(jìn)行認(rèn)真測(cè)試與核查。

做好硬件設(shè)備的預(yù)防性維護(hù)。定期對(duì)主機(jī)、顯示器、打印機(jī)等設(shè)備內(nèi)部除塵,更換老化的零部件。定期運(yùn)行磁盤碎片整理程序、磁盤清理程序,優(yōu)化硬盤設(shè)置,優(yōu)化每個(gè)工作站子系統(tǒng),確保系統(tǒng)運(yùn)行環(huán)境的安全。

五、加強(qiáng)系統(tǒng)重要信息和文檔的管理

完整的系統(tǒng)文檔是分析故障、排除故障的基礎(chǔ),是系統(tǒng)正常運(yùn)行的保證,因此,應(yīng)加強(qiáng)系統(tǒng)文檔的管理。系統(tǒng)文檔包括計(jì)算機(jī)資料、驅(qū)動(dòng)軟件、系統(tǒng)軟件、應(yīng)用軟件安裝盤、應(yīng)用軟件安裝說(shuō)明書、程序使用說(shuō)明書、源程序代碼及詳細(xì)說(shuō)明、各計(jì)算機(jī)的IP地址、計(jì)算機(jī)名、服務(wù)器配置說(shuō)明書。

六、完善系統(tǒng)功能,提高應(yīng)用程序級(jí)的安全性

根據(jù)各級(jí)操作員的操作范圍,合理設(shè)置系統(tǒng)軟件的權(quán)限,慎重考慮系統(tǒng)功能,如在財(cái)務(wù)收費(fèi)報(bào)表中及時(shí)反映收費(fèi)票據(jù)號(hào)碼,退費(fèi)、退藥票據(jù)號(hào)碼,以便核查,禁止票據(jù)重打功能。

根據(jù)備份原則,醫(yī)院不能只有一個(gè)人能進(jìn)行系統(tǒng)管理或數(shù)據(jù)庫(kù)管理。。嚴(yán)格限制超級(jí)用戶數(shù),系統(tǒng)超級(jí)用戶只能由系統(tǒng)管理人員掌握,并定期更換口令。系統(tǒng)管理員嚴(yán)格按照“審批單”為各工作站子系統(tǒng)用戶分配適當(dāng)?shù)臋?quán)限。嚴(yán)禁帳號(hào)及密碼外借他人,防止非法用戶入侵系統(tǒng)。

七、強(qiáng)化信息系統(tǒng)安全技術(shù)保障

應(yīng)從硬件和軟件兩個(gè)方面強(qiáng)化信息系統(tǒng)安全技術(shù)保障,對(duì)安全技術(shù)的策劃、部署和實(shí)施,建議與專業(yè)安全服務(wù)公司聯(lián)合進(jìn)行。建立相應(yīng)的標(biāo)準(zhǔn),加強(qiáng)相應(yīng)的法律或政策方面的支持。硬件方面的信息系統(tǒng)安全技術(shù)主要包括:

物理隔離。對(duì)內(nèi)部信息系統(tǒng)和外部互聯(lián)網(wǎng)實(shí)行物理隔離;同時(shí),對(duì)內(nèi)部局域網(wǎng)中的醫(yī)療網(wǎng)絡(luò)系統(tǒng)和辦公網(wǎng)絡(luò)系統(tǒng)進(jìn)行物理分割,封閉醫(yī)療網(wǎng)絡(luò)系統(tǒng)中所有對(duì)外的接口;保證存有重要數(shù)據(jù)的子系統(tǒng)只能使用內(nèi)網(wǎng)而不能使用外網(wǎng)。建立一套完整的數(shù)據(jù)備份策略,預(yù)防硬盤損壞等風(fēng)險(xiǎn),保證服務(wù)器長(zhǎng)期可靠地運(yùn)行。數(shù)據(jù)安全是整個(gè)醫(yī)院信息系統(tǒng)安全的核心,數(shù)據(jù)備份是保證數(shù)據(jù)安全避免損失的最佳途徑。不同的數(shù)據(jù)備份方法如雙機(jī)熱備份、異地備份、磁帶備份等有各自的優(yōu)缺點(diǎn),應(yīng)根據(jù)醫(yī)院的實(shí)際情況適當(dāng)采用。預(yù)留一定數(shù)量的備份硬件設(shè)備,保證硬件設(shè)備發(fā)生故障時(shí),可以及時(shí)更換。采用專線供電和大容量長(zhǎng)延時(shí)不間斷電源,有條件的要留有冗余,建立雙路供電保障,設(shè)置應(yīng)急發(fā)電機(jī),保證服務(wù)器不間斷工作,防止停電造成的數(shù)據(jù)庫(kù)損壞。不僅要注意機(jī)房服務(wù)器的供電,還應(yīng)考慮到各配線間交換機(jī)的供電,并做好監(jiān)管。確保良好的中心機(jī)房工作環(huán)境。在設(shè)計(jì)機(jī)房時(shí),按《計(jì)算機(jī)場(chǎng)地技術(shù)條件》要求,機(jī)房鋪設(shè)活動(dòng)抗靜電地板、安裝標(biāo)準(zhǔn)接地線、定期測(cè)試接地電阻值是否合格。安裝避雷設(shè)施,安裝適合機(jī)房面積的空調(diào),安裝恒溫恒濕設(shè)備。機(jī)房要遠(yuǎn)離強(qiáng)磁干擾和有害氣體。中心機(jī)房應(yīng)配有滅火器具,以消除火險(xiǎn)隱患,注意防盜,防塵。保證服務(wù)器、交換機(jī)、工作站、打印機(jī)等硬件免受自然災(zāi)害、人為破壞和攻擊,確保網(wǎng)絡(luò)設(shè)備有良好的工作環(huán)境。軟件方面的信息系統(tǒng)安全技術(shù)主要包括: 選擇符合系統(tǒng)安全要求的操作系統(tǒng)并及時(shí)更新??蛻舳税惭b遠(yuǎn)程監(jiān)控軟件,幫助系統(tǒng)管理員實(shí)時(shí)監(jiān)控和記錄系統(tǒng)各個(gè)終端的運(yùn)行情況,防止非法用戶侵入系統(tǒng)。同時(shí),強(qiáng)化行為管理,對(duì)各種網(wǎng)絡(luò)和操作行為進(jìn)行實(shí)時(shí)監(jiān)控和分類管理,規(guī)定行為的范圍和期限,及時(shí)發(fā)現(xiàn)并去掉一些設(shè)備共享或文件夾共享,盡可能地制止一切與信息管理無(wú)關(guān)的現(xiàn)象和行為,減少網(wǎng)絡(luò)的安全隱患。購(gòu)置網(wǎng)絡(luò)版殺毒軟件,在服務(wù)器及每個(gè)客戶端都安裝相應(yīng)的防病毒軟件,定時(shí)更新病毒庫(kù),周期性地對(duì)系統(tǒng)中的程序進(jìn)行檢查,利用病毒防火墻對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控。選擇和使用更為安全的數(shù)據(jù)庫(kù)系統(tǒng),并嚴(yán)格規(guī)范使用制度及方式。 采用適宜技術(shù)與設(shè)備保證鏈路安全。

參考文獻(xiàn):

[1]劉臣.略論醫(yī)院信息系統(tǒng)建設(shè)[J]現(xiàn)代醫(yī)院管理,2007,(05).

[2]李華才.醫(yī)院信息化建設(shè)存在的問(wèn)題與發(fā)展對(duì)策[J]華北國(guó)防醫(yī)藥,2002,(02).

[3]袁永林.軍隊(duì)衛(wèi)生信息化的建設(shè)與發(fā)展[J]解放軍醫(yī)院管理雜志,2003,(01).

第6篇:網(wǎng)絡(luò)安全制度及應(yīng)急預(yù)案范文

【 關(guān)鍵詞 】 醫(yī)院;網(wǎng)絡(luò)安全管理;策略分析

Analysis of Hospital Network Security Management Strategy

Chen Zhi Sun Hong

(Xiangya Hospital, Central South University HunanChangsha 410008)

【 Abstract 】 At present, the hospital network security management is faced with the risk of poor protection, internal management and external invasion, in order to better protect the hospital network security, we must improve the network security awareness, improve the professional skills and management skills, establish and improve the network security management system, and to strengthen the network security hardware management, and reasonable security risks, the establishment of risk emergency plan.

【 Keywords 】 hospital; network security management; strategy analysis

1 引言

近年來(lái),我國(guó)醫(yī)院已經(jīng)逐步形成了門診、住院系統(tǒng)、電子病歷、遠(yuǎn)程醫(yī)療等集于一體的綜合化信息網(wǎng)絡(luò)平臺(tái)。信息網(wǎng)絡(luò)的安全問(wèn)題將會(huì)直接影響到醫(yī)院的診斷及患者的生命安全,影響正常的信息流通,給社會(huì)造成巨大的混亂,影響社會(huì)安定。

2 醫(yī)院網(wǎng)絡(luò)安全存在的風(fēng)險(xiǎn)與問(wèn)題

2.1 網(wǎng)絡(luò)安全的防護(hù)能力差

一方面,網(wǎng)絡(luò)系統(tǒng)是由人類編碼設(shè)置的虛擬信息傳輸?shù)南到y(tǒng),其本身就存在著一定的安全風(fēng)險(xiǎn)性。在醫(yī)院的信息網(wǎng)絡(luò)管理中,常常由于對(duì)網(wǎng)絡(luò)信息系統(tǒng)管理上的疏忽,缺乏專業(yè)人員的定期維護(hù)和修理,硬件設(shè)施老化或缺失,都使醫(yī)院的信息網(wǎng)絡(luò)系統(tǒng)的抗故障能力減弱。信息網(wǎng)絡(luò)系統(tǒng)的安全對(duì)于光纜電纜的質(zhì)量、走向、布局、防水、防斷電漏電硬件設(shè)施以及服務(wù)器的質(zhì)量等要求較高,同時(shí)醫(yī)院信息管理中的基礎(chǔ)技術(shù)、備份和患者信息數(shù)據(jù)管理等都有潛在的安全隱患。另一方面,醫(yī)院人員對(duì)于信息網(wǎng)絡(luò)開(kāi)發(fā)技術(shù)的儲(chǔ)備不足、專業(yè)技能的缺乏等,不僅無(wú)法對(duì)信息網(wǎng)絡(luò)進(jìn)行科學(xué)、合理的技術(shù)管理,甚至有可能出現(xiàn)軟件相互沖突和信息資料泄露的風(fēng)險(xiǎn),這些都有可能形成網(wǎng)絡(luò)安全隱患。

2.2 醫(yī)院內(nèi)部管理存在的風(fēng)險(xiǎn)

首先,醫(yī)院的工作人員意識(shí)上存在風(fēng)險(xiǎn)性。據(jù)調(diào)查,醫(yī)院的所有工作人員中至少有百分之八十沒(méi)有明顯的信息網(wǎng)絡(luò)安全意識(shí),沒(méi)有合格的網(wǎng)絡(luò)安全行為。主要表現(xiàn)在:第一,醫(yī)院人員在進(jìn)行賬號(hào)登錄時(shí),沒(méi)有意識(shí)到安全問(wèn)題的嚴(yán)重,設(shè)置的登錄密碼都是有簡(jiǎn)單的數(shù)字構(gòu)成,沒(méi)有采取設(shè)置密保問(wèn)題或者密保手機(jī)等防護(hù)措施;第二,醫(yī)護(hù)人員在登錄賬號(hào)時(shí)并不注意觀察周圍的環(huán)境,同事之間賬號(hào)互相交替使用,并且在醫(yī)院以外的人員面前登錄,容易造成賬號(hào)密碼的泄露,相關(guān)資料的流失;第三,一般的醫(yī)護(hù)人員都認(rèn)為信息安全應(yīng)該完全由信息科人員負(fù)責(zé),自己不同特別在意網(wǎng)絡(luò)安全問(wèn)題;其次,醫(yī)院的信息科人員的專業(yè)技能和安全管理方面的不足。信息科人員對(duì)如何管理信息網(wǎng)絡(luò)安全的技能還有待加強(qiáng),醫(yī)院的信息設(shè)備更新較慢,沒(méi)有形成良好的維護(hù)體系。最后,醫(yī)院的領(lǐng)導(dǎo)層對(duì)網(wǎng)絡(luò)信息安全不夠重視,對(duì)網(wǎng)絡(luò)安全的管理沒(méi)有足夠的了解和重視,沒(méi)有正確認(rèn)識(shí)到其對(duì)醫(yī)院及社會(huì)的危害性。醫(yī)院內(nèi)部沒(méi)有形成良好的網(wǎng)絡(luò)安全管理體系,沒(méi)有嚴(yán)格的獎(jiǎng)懲制度,使得醫(yī)護(hù)人員安全意識(shí)薄弱,醫(yī)院的網(wǎng)絡(luò)安全存在巨大風(fēng)險(xiǎn)。

2.3 外來(lái)侵入的風(fēng)險(xiǎn)

醫(yī)院網(wǎng)絡(luò)系統(tǒng)外部鏈接缺乏有效的控制手段主要表現(xiàn)在幾個(gè)方面。第一,醫(yī)院的內(nèi)外部網(wǎng)絡(luò)通用。醫(yī)院的信息設(shè)備通常都是內(nèi)外網(wǎng)絡(luò)通用的,這樣就造成醫(yī)院內(nèi)部人員經(jīng)常使用外部網(wǎng)絡(luò)的情況,此時(shí)如果要進(jìn)行改造,需要花費(fèi)的成本巨大。同時(shí),內(nèi)外網(wǎng)同時(shí)使用會(huì)使改造時(shí)間大大增加,甚至有可能導(dǎo)致醫(yī)院網(wǎng)絡(luò)系統(tǒng)的癱瘓,影響醫(yī)院的正常工作的運(yùn)行。巨大的時(shí)間和經(jīng)濟(jì)成本,是醫(yī)院不愿意形成大型改造的原因之一。第二,網(wǎng)絡(luò)的設(shè)置與管理上存在疏漏。醫(yī)院人員通常不太重視網(wǎng)絡(luò)的安全管理,對(duì)外部鏈接設(shè)備如光驅(qū)、USB接入以及WiFi管理等方面都不夠重視。第三,對(duì)于來(lái)自外部人員侵入網(wǎng)絡(luò)信息系統(tǒng)的監(jiān)察力度不夠。隨著現(xiàn)代科技的發(fā)展,黑客、駭客等不法人員能夠通過(guò)高超的網(wǎng)絡(luò)技術(shù)侵入其他網(wǎng)絡(luò)系統(tǒng),竊取商業(yè)機(jī)密。在這些方面,醫(yī)院的信息科技術(shù)人員的技能仍然有待提高。

2 醫(yī)院網(wǎng)絡(luò)安全管理策略分析

2.2 加強(qiáng)網(wǎng)絡(luò)安全硬件管理

網(wǎng)絡(luò)管理系統(tǒng)首先要能夠 保證服務(wù)器的安全,能夠?qū)Ψ?wù)器及局域網(wǎng)的安裝、安全性配置做出科學(xué)的規(guī)劃與管理。例如對(duì)電腦硬盤的分區(qū)管理、操作系統(tǒng)的選擇與修復(fù)方面,要做到科學(xué)合理,能夠及時(shí)地進(jìn)行補(bǔ)丁修復(fù)。在用戶設(shè)置與權(quán)限上,加強(qiáng)安全登錄、密碼保護(hù)、賬號(hào)登錄異常管理;要加強(qiáng)對(duì)數(shù)據(jù)信息的審核,對(duì)于重要的數(shù)據(jù)要加強(qiáng)防護(hù);選用的防御軟件對(duì)于異常用戶、信息、IP地址能夠進(jìn)行有效的監(jiān)控與阻攔。防病毒系統(tǒng)要有較高的覆蓋率,可以加大投入選用先進(jìn)、安全有效的防病毒軟件,最好能夠覆蓋至計(jì)算機(jī)上的每一個(gè)結(jié)點(diǎn),檢查和查殺已知和未知的病毒。防火墻系統(tǒng)能夠保證網(wǎng)絡(luò)信息與數(shù)據(jù)不受到入侵,確保所有的應(yīng)用數(shù)據(jù)都是授權(quán)訪問(wèn),能夠有效地對(duì)數(shù)據(jù)源進(jìn)行控制,具有加密和反欺騙功能,形成安全的網(wǎng)絡(luò)環(huán)境,抵抗入侵,提高其抗風(fēng)險(xiǎn)能力。備份系統(tǒng)的設(shè)置要包括軟件備份和硬件的備份,對(duì)重要數(shù)據(jù)和加密資料要進(jìn)行多重備份,提高對(duì)風(fēng)險(xiǎn)的應(yīng)對(duì)能力。選用質(zhì)量有保障、穩(wěn)定性強(qiáng)的計(jì)算機(jī)基礎(chǔ)設(shè)備,增加監(jiān)控設(shè)備,同時(shí)對(duì)這些設(shè)施要進(jìn)行不定期的維護(hù)和更新。

2.3 合理預(yù)計(jì)安全風(fēng)險(xiǎn),建立風(fēng)險(xiǎn)應(yīng)急預(yù)案

網(wǎng)絡(luò)安全的復(fù)雜性決定了安全的風(fēng)險(xiǎn)性,一個(gè)細(xì)節(jié)的疏忽都有可能出現(xiàn)安全風(fēng)險(xiǎn)。因此醫(yī)院要提前預(yù)計(jì)可能出現(xiàn)的安全風(fēng)險(xiǎn),并建立好風(fēng)險(xiǎn)經(jīng)濟(jì)預(yù)案,將意外風(fēng)險(xiǎn)的損失率降至最低。這要求醫(yī)院要成立風(fēng)險(xiǎn)預(yù)案小組,小組人員應(yīng)該加強(qiáng)專業(yè)技能的培訓(xùn),提高專業(yè)素質(zhì)及臨場(chǎng)病變能力、協(xié)調(diào)溝通與合作的能力。預(yù)案的成立必須是在科學(xué)分析的基礎(chǔ)上,要切實(shí)可行,并且在每次的風(fēng)險(xiǎn)事故后要進(jìn)行總結(jié),更加完善預(yù)案方案,最大程度降低安全風(fēng)險(xiǎn)帶來(lái)的損失。

3 結(jié)束語(yǔ)

綜上所述,醫(yī)院的網(wǎng)絡(luò)安全管理是一項(xiàng)十分負(fù)責(zé)的巨大工程,需要全體醫(yī)護(hù)人員的共同配合與重視,全面加強(qiáng)對(duì)醫(yī)院網(wǎng)絡(luò)安全的管理。

參考文獻(xiàn)

[1] 卞保軍. 醫(yī)院網(wǎng)絡(luò)安全管理策略探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014,02:63+65.

[2] 劉君.醫(yī)院網(wǎng)絡(luò)安全管理策略分析[J].硅谷,2014,08:172-173.

[3] 何薇.關(guān)于醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全管理工作的維護(hù)策略分析[J].企業(yè)改革與管理,2014,14:23.

[4] 趙浩宇,段然,姬軍生,汪鵬.醫(yī)院網(wǎng)絡(luò)信息安全管理策略與實(shí)踐[J].中國(guó)數(shù)字醫(yī)學(xué),2013,06:92-94.

[5] 王淼.醫(yī)院網(wǎng)絡(luò)安全管理策略分析[J].無(wú)線互聯(lián)科技,2013,04:186.

基金項(xiàng)目:

國(guó)家高技術(shù)研究發(fā)展計(jì)劃(863計(jì)劃)項(xiàng)目(2012AA02A613)。

作者簡(jiǎn)介:

第7篇:網(wǎng)絡(luò)安全制度及應(yīng)急預(yù)案范文

1電力系統(tǒng)信息網(wǎng)絡(luò)安全的重要性

1.1保障電力系統(tǒng)的高效性

由電力信息業(yè)務(wù)功能來(lái)看,我國(guó)電力系統(tǒng)信息安全體系大致可分為三層,分別是自動(dòng)化系統(tǒng)、生產(chǎn)管理系統(tǒng)、電力信息管理系統(tǒng)。電力系統(tǒng)的主體構(gòu)造包括電源、電力網(wǎng)絡(luò)、負(fù)荷中心、變電站、配電線路和輸電線路,在電力系統(tǒng)工作的各個(gè)環(huán)節(jié),如變電、發(fā)電、輸電、用電及配電等環(huán)節(jié),信息網(wǎng)絡(luò)都起著極其重要的作用。無(wú)論是系統(tǒng)保護(hù)、調(diào)節(jié)、控制還是系統(tǒng)通信,都少不了信息網(wǎng)絡(luò)的參與。電力系統(tǒng)的信息網(wǎng)絡(luò)安全防護(hù)問(wèn)題主要有軟硬件維護(hù),確保信息不被丟失、損壞等。從某種程度來(lái)說(shuō),電力系統(tǒng)信息網(wǎng)絡(luò)安全維護(hù)的根本目的就是保證軟硬件的正常運(yùn)轉(zhuǎn),保證信息的完整性、機(jī)密性和系統(tǒng)處理的高效性。

1.2電力系統(tǒng)信息網(wǎng)絡(luò)安全威脅眾多

近年來(lái),雖說(shuō)計(jì)算機(jī)安全技術(shù)取得了顯著進(jìn)步,但是電力系統(tǒng)應(yīng)用的計(jì)算機(jī)安全技術(shù)跟行業(yè)實(shí)際需求還有一定差距。并且,許多電力企業(yè)并沒(méi)有真正認(rèn)識(shí)到信息安全維護(hù)的重要性,電力系統(tǒng)的信息網(wǎng)絡(luò)安全意識(shí)有待進(jìn)一步提高。此外,電力系統(tǒng)信息網(wǎng)絡(luò)安全威脅眾多也是一個(gè)不爭(zhēng)的事實(shí),許多電力企業(yè)都缺乏完善的信息安全管理規(guī)范,在計(jì)算機(jī)信息安全維護(hù)與管理方面的投入也較少,由于缺少專門的網(wǎng)絡(luò)安全管理人員,許多企業(yè)的信息網(wǎng)常常會(huì)受到網(wǎng)絡(luò)病毒和黑客攻擊。嚴(yán)峻的發(fā)展形勢(shì)要求電力系統(tǒng)在今后的管理中,務(wù)必要做好信息網(wǎng)絡(luò)安全管理。

2電力系統(tǒng)信息網(wǎng)絡(luò)安全問(wèn)題

2.1各類安全隱患

電力系統(tǒng)信息網(wǎng)絡(luò)安隱患主要有三大類,分別是計(jì)算機(jī)病毒、內(nèi)部用戶惡意或非法操作、黑客。網(wǎng)絡(luò)病毒主要來(lái)源于用戶數(shù)據(jù)拷貝時(shí)使用的移動(dòng)U盤,許多病毒進(jìn)入軟件系統(tǒng)后,會(huì)破壞相關(guān)數(shù)據(jù)、影響網(wǎng)絡(luò)工作,給電力系統(tǒng)信息網(wǎng)帶來(lái)嚴(yán)重破壞。因此,病毒也成為電力信息網(wǎng)絡(luò)安全防范的主要對(duì)象。黑客、內(nèi)部用戶惡意或非法操作可給電力系統(tǒng)的網(wǎng)絡(luò)信息數(shù)據(jù)帶來(lái)嚴(yán)重破壞,二者的區(qū)別不過(guò)是網(wǎng)絡(luò)黑客會(huì)走局域網(wǎng)、網(wǎng)絡(luò)互聯(lián)通道來(lái)破壞電力網(wǎng)絡(luò)系統(tǒng),而用戶的身份是合法的。以上幾種網(wǎng)絡(luò)安全隱患都可能導(dǎo)致電力信息系統(tǒng)網(wǎng)絡(luò)癱瘓、重要數(shù)據(jù)流失,甚至帶來(lái)嚴(yán)重的經(jīng)濟(jì)損失。

2.2網(wǎng)絡(luò)安全管理不力

在信息網(wǎng)絡(luò)安全上,電力系統(tǒng)存在許多問(wèn)題,如網(wǎng)絡(luò)安全方式意識(shí)淡薄、缺乏完善的信息網(wǎng)絡(luò)安全管理制度、沒(méi)有制定長(zhǎng)遠(yuǎn)的信息網(wǎng)絡(luò)安全策略。許多電力企業(yè)在信息網(wǎng)絡(luò)安全隊(duì)伍建設(shè)和軟硬件配置上的投入嚴(yán)重不足,知識(shí)電力系統(tǒng)信息網(wǎng)絡(luò)管理隊(duì)伍缺乏專業(yè)人才。一些電力系統(tǒng)的信息網(wǎng)絡(luò)安全人員還缺乏安全維護(hù)意識(shí),缺少完善的數(shù)據(jù)備份管理知識(shí),在信息網(wǎng)絡(luò)安全防護(hù)上缺少有效措施,無(wú)法為電力系統(tǒng)的正常運(yùn)轉(zhuǎn)提供有力保障。

3電力系統(tǒng)信息網(wǎng)絡(luò)安全管理策略

3.1提高認(rèn)識(shí),建立系統(tǒng)信息安全防護(hù)框架

在信息安全已經(jīng)上升到國(guó)家戰(zhàn)略高度的大背景下,電力企業(yè)也要提高認(rèn)識(shí),將信息化建設(shè)作為經(jīng)營(yíng)管理的重中之重,為核心業(yè)務(wù)系統(tǒng)的安全管理提供全方位服務(wù)。具體來(lái)說(shuō),首先,電力系統(tǒng)要認(rèn)識(shí)到信息網(wǎng)絡(luò)管理在企業(yè)發(fā)展中的重要作用,在決策制定、部門建設(shè)、人員配置及制度落實(shí)等方面突出信息系統(tǒng)安全維護(hù)的重要性。其次,電力系統(tǒng)要結(jié)合自身發(fā)展需要,采用分層管理的結(jié)構(gòu)模式,逐步建立完善的信息網(wǎng)絡(luò)安全防護(hù)體系,完善電力系統(tǒng)信息安全防護(hù)框架,如電力系統(tǒng)可以自動(dòng)化監(jiān)護(hù)系統(tǒng),為模板、運(yùn)用防火墻技術(shù)構(gòu)建信息安全防護(hù)框架,劃分信息網(wǎng)絡(luò)安全管理區(qū),分區(qū)、分層對(duì)電力系統(tǒng)各環(huán)節(jié)進(jìn)行安全防護(hù)管理。在此基礎(chǔ)上,電力系統(tǒng)的網(wǎng)絡(luò)安全管理人員還要加強(qiáng)信息網(wǎng)絡(luò)體系的密碼、技術(shù)、數(shù)據(jù)管理力度,以提高電力系統(tǒng)信息網(wǎng)絡(luò)的安全系數(shù)。

3.2運(yùn)用多種安全防護(hù)技術(shù),確保信息網(wǎng)絡(luò)安全

安全防護(hù)技術(shù)是電力系統(tǒng)信息網(wǎng)絡(luò)安全維護(hù)的根本,科學(xué)有效的防護(hù)技術(shù)可以為電力系統(tǒng)信息網(wǎng)絡(luò)安全管理提供有力保障。鑒于此,在信息網(wǎng)絡(luò)安全管理中,電力系統(tǒng)應(yīng)采用科學(xué)的具有防病毒功能的軟硬件,加大安全防護(hù)技術(shù)運(yùn)用力度,以確保信息網(wǎng)絡(luò)的安全性。如電力系統(tǒng)可根據(jù)信息系統(tǒng)軟硬件情況,采用數(shù)據(jù)加密技術(shù)對(duì)原始數(shù)據(jù)進(jìn)行加密保管,防治惡意客戶破壞數(shù)據(jù);采用指紋認(rèn)證技術(shù)將合法用戶的指紋輸入到指紋數(shù)據(jù)庫(kù)中,對(duì)用戶身份進(jìn)行認(rèn)證,提高信息網(wǎng)絡(luò)安全系數(shù);利用防火墻和虛擬網(wǎng)建立安全隧道,開(kāi)展用戶和系統(tǒng)信息點(diǎn)對(duì)點(diǎn)服務(wù),確保數(shù)據(jù)的安全性。此外,電力系統(tǒng)還可以運(yùn)用漏洞缺陷檢查技術(shù)對(duì)信息網(wǎng)絡(luò)安全系統(tǒng)中的軟硬件設(shè)備進(jìn)行檢查或風(fēng)險(xiǎn)評(píng)估,及時(shí)發(fā)現(xiàn)設(shè)備存在的問(wèn)題,確保設(shè)備能在最佳狀態(tài)下運(yùn)行。在防火墻技術(shù)和網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)不斷進(jìn)步的情況下,電力系統(tǒng)還可以運(yùn)用防火墻來(lái)防御危險(xiǎn)信息。使用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)限制那些可能存在風(fēng)險(xiǎn)的IP地址,提高網(wǎng)絡(luò)的安全系數(shù)。

3.3制定安全防護(hù)應(yīng)急預(yù)案

“安全第一,預(yù)防為主,綜合治理”是電力系統(tǒng)安全管理的主要原則,在信息網(wǎng)絡(luò)安全管理上,電力系統(tǒng)同樣應(yīng)堅(jiān)持防御和救援相結(jié)合的原則,建立健全網(wǎng)絡(luò)安全應(yīng)急預(yù)案,高效、有序地應(yīng)對(duì)和處理電力網(wǎng)絡(luò)信息系統(tǒng)安全突發(fā)問(wèn)題,確保電力信息系統(tǒng)的數(shù)據(jù)安全和運(yùn)行安全,保障電力正常供應(yīng),維護(hù)社會(huì)穩(wěn)定。首先,電力部門依據(jù)國(guó)家相關(guān)規(guī)范標(biāo)準(zhǔn),針對(duì)電力系統(tǒng)網(wǎng)絡(luò)信息系統(tǒng)安全突發(fā)事件應(yīng)急處理做出明確規(guī)范,組建突發(fā)事件應(yīng)急指揮小組,要求各部門攜起手來(lái),分工負(fù)責(zé),加強(qiáng)聯(lián)動(dòng),共同應(yīng)對(duì)電力系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)。其次,綜合分析近年來(lái)電力系統(tǒng)常見(jiàn)安全事故,并對(duì)不同事故造成的不良結(jié)果進(jìn)行綜合評(píng)估,掌握事故發(fā)生的規(guī)律,為應(yīng)急預(yù)案的制定提供有力參考。最后,一旦發(fā)生事故,電力系統(tǒng)網(wǎng)絡(luò)安全部門認(rèn)真識(shí)別事故風(fēng)險(xiǎn)來(lái)源、特性,準(zhǔn)確評(píng)估風(fēng)險(xiǎn)可能造成的破壞,及時(shí)網(wǎng)絡(luò)信息系統(tǒng)安全事故啟動(dòng)命令,開(kāi)展有效的安全事故處理工作,及時(shí)公布事故處理進(jìn)展情況,爭(zhēng)取盡可能減少突發(fā)事件造成的損失。

3.4組建電力系統(tǒng)信息安全監(jiān)控中心

為了提高電力系統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)效率,電力系統(tǒng)還要根據(jù)實(shí)際情況,盡快組建信息安全監(jiān)控中心,由其負(fù)責(zé)網(wǎng)絡(luò)信息安全監(jiān)控工作,對(duì)系統(tǒng)信息平臺(tái)和業(yè)務(wù)應(yīng)用進(jìn)行實(shí)施監(jiān)控,對(duì)各類信息資源進(jìn)行統(tǒng)一搜集和調(diào)度。首先,要求電力部門結(jié)合當(dāng)前及未來(lái)電力管理需求,充分吸收同類工程建設(shè)經(jīng)驗(yàn),邀請(qǐng)行業(yè)資深專家對(duì)電力系統(tǒng)進(jìn)行綜合評(píng)估,制定科學(xué)、合理的電力系統(tǒng)信息監(jiān)控中心組建方案,并對(duì)其可行性及有效性進(jìn)行充分論證,確保組建的監(jiān)控中心能夠滿足電力系統(tǒng)管理要求。其次,對(duì)安全防護(hù)進(jìn)行分級(jí)、分區(qū)管理,進(jìn)一步規(guī)范、強(qiáng)化系統(tǒng)信息化運(yùn)營(yíng)和維護(hù)工作,提升電力系統(tǒng)信息安全掌控能力,為電力業(yè)務(wù)提供有力支撐。最后,積極引進(jìn)專業(yè)技能較強(qiáng)的復(fù)合型人才,例如,可通過(guò)提高工資待遇吸引更多優(yōu)秀人才,為電力系統(tǒng)信息安全監(jiān)控中心的良好運(yùn)營(yíng)提供堅(jiān)實(shí)的人才支撐。

4結(jié)語(yǔ)

第8篇:網(wǎng)絡(luò)安全制度及應(yīng)急預(yù)案范文

【 關(guān)鍵詞 】 金融機(jī)構(gòu);信息科技;風(fēng)險(xiǎn)管理

1 引言

隨著信息科技水平的不斷提高,信息科技在給小微金融機(jī)構(gòu)中帶來(lái)作用的同時(shí)也不斷增加了信息科技風(fēng)險(xiǎn),給小微金融機(jī)構(gòu)的經(jīng)營(yíng)發(fā)展帶來(lái)了挑戰(zhàn)。當(dāng)前,小微金融機(jī)構(gòu)對(duì)信息科技風(fēng)險(xiǎn)管理的水平還比較低,如何有效控制與管理信息科技風(fēng)險(xiǎn),是當(dāng)前小微金融機(jī)構(gòu)在信息化建設(shè)過(guò)程中必須面對(duì)的重要課題。

2 小微金融機(jī)構(gòu)信息科技所面臨的風(fēng)險(xiǎn)

小微金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)指的小微金融機(jī)構(gòu)在運(yùn)用信息科技的過(guò)程中,因技術(shù)漏洞、管理缺陷等人為的或自然的原因而造成的問(wèn)題或危機(jī)。在當(dāng)前信息技術(shù)與銀行業(yè)務(wù)深度融合的情況下,信息科技風(fēng)險(xiǎn)事件涉及的范圍廣、程度深,給銀行等其他金融機(jī)構(gòu)帶來(lái)較大的經(jīng)濟(jì)損失,尤其在小微金融機(jī)構(gòu)中,信息科技風(fēng)險(xiǎn)帶來(lái)的損失更為嚴(yán)重。

3 小微金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理中存在的問(wèn)題

3.1 信息科技風(fēng)險(xiǎn)管理的技術(shù)水平較低

從現(xiàn)狀來(lái)看,我國(guó)小微金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的技術(shù)水平較低主要體現(xiàn)在如下方面,首先,以銀行為代表的大部分小微金融機(jī)構(gòu)缺乏專業(yè)化的信息資產(chǎn)風(fēng)險(xiǎn)管理機(jī)構(gòu),缺乏系統(tǒng)的信息系統(tǒng)管理政策、技術(shù)標(biāo)準(zhǔn)及監(jiān)督、績(jī)效評(píng)估工作,領(lǐng)導(dǎo)者與風(fēng)險(xiǎn)管理部門無(wú)法實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)管理的有效監(jiān)督。另一方面,小微金融機(jī)構(gòu)對(duì)信息科技安風(fēng)險(xiǎn)管理的工作仍停留在定性的層面,缺乏對(duì)信息技術(shù)風(fēng)險(xiǎn)管理專業(yè)的定量分析。與此同時(shí),金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的IT風(fēng)險(xiǎn)管理手段僅停留在制度檢查層面,缺乏技術(shù)支持,對(duì)風(fēng)險(xiǎn)管理的預(yù)防措施有限,對(duì)風(fēng)險(xiǎn)管理的技術(shù)控制難度大,其信息系統(tǒng)的自我控制的能力較差。

3.2 基礎(chǔ)設(shè)施安全建設(shè)存在隱患

從我國(guó)小微金融機(jī)構(gòu)基礎(chǔ)設(shè)施安全建設(shè)情況來(lái)看,存在較大的隱患。

一方面,機(jī)房管理滯后,在我國(guó)小微金融機(jī)構(gòu)的機(jī)房中,存在著防水火及供電不達(dá)標(biāo)的問(wèn)題,且缺乏相應(yīng)的防雷系統(tǒng)、門禁系統(tǒng)等,機(jī)房安全管理嚴(yán)重滯后;另一方面,網(wǎng)絡(luò)運(yùn)行安全性不高,由于金融機(jī)構(gòu)的分支機(jī)構(gòu)及營(yíng)業(yè)網(wǎng)點(diǎn)及業(yè)務(wù)都處于數(shù)據(jù)集中的狀態(tài)中,這樣就給金融機(jī)構(gòu)網(wǎng)絡(luò)的穩(wěn)定性及通暢性提出了更高要求,而在小微金融機(jī)構(gòu)中,存在未按監(jiān)管要求配置主備通訊線路的現(xiàn)象,容易導(dǎo)致?tīng)I(yíng)業(yè)網(wǎng)點(diǎn)出現(xiàn)業(yè)務(wù)辦理受阻的現(xiàn)象,致使信息科技風(fēng)險(xiǎn)隱患增加。

4 應(yīng)急處置能力低

信息系統(tǒng)的集中及數(shù)據(jù)爆炸式的增長(zhǎng)使金融機(jī)構(gòu)的應(yīng)急處置面臨巨大的挑戰(zhàn),尤其對(duì)于小微金融機(jī)構(gòu)來(lái)說(shuō),其應(yīng)急保障機(jī)制更為落后。在我國(guó)小微金融機(jī)構(gòu)中,一般都設(shè)有信息系統(tǒng)的應(yīng)急預(yù)案,但對(duì)于預(yù)案卻缺乏相應(yīng)的應(yīng)急演練,在系統(tǒng)發(fā)生緊急事故時(shí),無(wú)法對(duì)問(wèn)題實(shí)施預(yù)案應(yīng)急措施。其次,部分小微金融機(jī)構(gòu)的系統(tǒng)應(yīng)急預(yù)案覆蓋面籠統(tǒng),缺乏針對(duì)性和操作性,缺乏有效的技術(shù)支持。另外,風(fēng)險(xiǎn)管理的人員的應(yīng)急處理能力較低,對(duì)重大信息科技風(fēng)險(xiǎn)的應(yīng)急執(zhí)行缺乏有效性,導(dǎo)致風(fēng)險(xiǎn)損失增加。

5 加強(qiáng)小微金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理對(duì)策

5.1 提升信息科技風(fēng)險(xiǎn)管控能力

小微金融機(jī)構(gòu)要提高信息科技風(fēng)險(xiǎn)管理的水平,首先應(yīng)該提高其信息科技風(fēng)險(xiǎn)管控的能力,因此,小微金融機(jī)構(gòu)有必要建立三個(gè)機(jī)制。

第一,信息科技風(fēng)險(xiǎn)管理保障機(jī)制。金融機(jī)構(gòu)領(lǐng)導(dǎo)者應(yīng)該提高風(fēng)險(xiǎn)管理意識(shí),將信息科技風(fēng)險(xiǎn)管理工作納入議事日程,并建立健全的信息科技風(fēng)險(xiǎn)管理機(jī)構(gòu)的和崗位責(zé)任制度,充分發(fā)揮出安全檢查、風(fēng)險(xiǎn)監(jiān)控、審計(jì)監(jiān)督的作用;加強(qiáng)對(duì)信息科技風(fēng)險(xiǎn)管控人員的培訓(xùn)與管理,并加大違規(guī)行為的處罰力度,提高其風(fēng)險(xiǎn)管理的能力。

第二,信息科技風(fēng)險(xiǎn)評(píng)估和預(yù)警機(jī)制。小微金融機(jī)構(gòu)應(yīng)該在充分分析信息科技風(fēng)險(xiǎn)對(duì)金融機(jī)構(gòu)影響的基礎(chǔ)上,有針對(duì)性的落實(shí)風(fēng)險(xiǎn)評(píng)估制度和建立信息科技風(fēng)險(xiǎn)監(jiān)測(cè)制度,將風(fēng)險(xiǎn)分類并制定相應(yīng)的風(fēng)險(xiǎn)報(bào)告機(jī)制,使信息科技部門與業(yè)務(wù)部門緊密聯(lián)合起來(lái),加強(qiáng)溝通協(xié)調(diào),提高對(duì)信息科技風(fēng)險(xiǎn)的評(píng)估與預(yù)防能力。

第三、信息科技風(fēng)險(xiǎn)應(yīng)急處理機(jī)制。小微金融機(jī)構(gòu)要加強(qiáng)對(duì)信息備份、災(zāi)難恢復(fù)及業(yè)務(wù)連續(xù)的管理,對(duì)應(yīng)急預(yù)案要加以培訓(xùn)和演練,將應(yīng)急和災(zāi)備工作從技術(shù)管理層面提升到全行工作層面,以提高應(yīng)對(duì)信息系統(tǒng)安全事件的團(tuán)隊(duì)?wèi)?yīng)急能力。

5.2 加強(qiáng)基礎(chǔ)設(shè)施安全建設(shè)

加強(qiáng)金融機(jī)構(gòu)基礎(chǔ)設(shè)施安全建設(shè),有利于提高基礎(chǔ)設(shè)施安全水平,進(jìn)而有利于降低信息科技風(fēng)險(xiǎn)。小微金融機(jī)構(gòu)應(yīng)加強(qiáng)基礎(chǔ)設(shè)施安全建設(shè)投入,重點(diǎn)加強(qiáng)機(jī)房消防系統(tǒng)、防雷系統(tǒng)、UPS等的技術(shù)投入,完善機(jī)房基礎(chǔ)設(shè)施并完善機(jī)房管理制度,保證系統(tǒng)設(shè)備的正常運(yùn)行,加強(qiáng)對(duì)系統(tǒng)設(shè)備故障的預(yù)測(cè)與報(bào)警。并設(shè)立專門的技術(shù)設(shè)施檢查維修小組,負(fù)責(zé)基礎(chǔ)設(shè)施的安全維護(hù)工作,確?;A(chǔ)設(shè)施安全管理的有效性。

5.3 強(qiáng)化金融交易監(jiān)管

隨著金融環(huán)境與金融交易方式的變化,信息化的金融交易也帶來(lái)了一定的信息科技風(fēng)險(xiǎn),小微金融機(jī)構(gòu)應(yīng)該采取措施強(qiáng)化金融交易監(jiān)管。

一方面,要加快網(wǎng)絡(luò)金融安全立法進(jìn)程,制定金融安全政策和標(biāo)準(zhǔn),成立對(duì)應(yīng)的網(wǎng)絡(luò)金融安全管理部門,指導(dǎo)網(wǎng)絡(luò)金融的發(fā)展,并嚴(yán)厲打擊網(wǎng)絡(luò)金融犯罪;另一方面,要建立跨部門的現(xiàn)代化信息安全管理網(wǎng)絡(luò),實(shí)現(xiàn)對(duì)金融機(jī)構(gòu)業(yè)務(wù)信息安全風(fēng)險(xiǎn)的及時(shí)、動(dòng)態(tài)、全面、連續(xù)的監(jiān)管。還應(yīng)該借鑒國(guó)外的網(wǎng)絡(luò)安全管理模式,建立適合于我國(guó)小微金融機(jī)構(gòu)信息化建設(shè)的網(wǎng)絡(luò)框架,以實(shí)時(shí)的監(jiān)管小微金融機(jī)構(gòu)業(yè)務(wù),保證交易的安全性。

5.4 加強(qiáng)對(duì)從業(yè)人員的素質(zhì)建設(shè)和崗位管理

相對(duì)于大型及核心金融機(jī)構(gòu),小微金融機(jī)構(gòu)從業(yè)人員的專業(yè)素質(zhì)及崗位配置明顯落后,小微金融機(jī)構(gòu)應(yīng)該加大對(duì)農(nóng)村金融機(jī)構(gòu)人員的投入,積極引進(jìn)高素質(zhì)的信息科技人員,并對(duì)原有的從業(yè)人員進(jìn)行定期的培訓(xùn)工作,提高其信息科技風(fēng)險(xiǎn)防范意識(shí)與風(fēng)險(xiǎn)管理能力。同時(shí),金融機(jī)構(gòu)還應(yīng)增加對(duì)信息系統(tǒng)管理、運(yùn)行、維護(hù)等崗位人員的配置,以完善職責(zé)分配,落實(shí)崗位制衡。最后,完善相應(yīng)的信息科技風(fēng)險(xiǎn)管理制度,加強(qiáng)信息科技風(fēng)險(xiǎn)審計(jì),完善激勵(lì)約束機(jī)制,激發(fā)從業(yè)人員的主觀能動(dòng)性,從整體上提升小微金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的水平。

6 結(jié)束語(yǔ)

在信息科技風(fēng)險(xiǎn)管理的工作中,小微金融機(jī)構(gòu)要從安全制度建設(shè)及技術(shù)手段上加強(qiáng)對(duì)風(fēng)險(xiǎn)的防范與管理,在全面、可行的安全防護(hù)措施中,將信息科技風(fēng)險(xiǎn)降低到最低的程度,進(jìn)而才能保證小微金融機(jī)構(gòu)得到穩(wěn)定的發(fā)展。

參考文獻(xiàn)

[1] 陳文雄.發(fā)展銀行業(yè)信息科技 風(fēng)險(xiǎn)管理意識(shí)須先行[J].中國(guó)金融,2009(07).

[2] 唐磊.商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)狀與管理策略分析[J].中國(guó)金融電腦,2009(02).

第9篇:網(wǎng)絡(luò)安全制度及應(yīng)急預(yù)案范文

【關(guān)鍵詞】醫(yī)院信息化;數(shù)字醫(yī)院;HIS系統(tǒng);PSCS系統(tǒng);LIS系統(tǒng);網(wǎng)絡(luò)安全

【中圖分類號(hào)】R197.32 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1006-1959(2009)09-0039-01

醫(yī)院信息化,是近些年國(guó)內(nèi)醫(yī)療行業(yè)比較熱門的話題。目前,中日友好醫(yī)院信息化建設(shè)經(jīng)過(guò)幾個(gè)階段的實(shí)踐和推進(jìn),已經(jīng)充分發(fā)揮了“方便病人、創(chuàng)造社會(huì)效益”的作用,并在逐步由醫(yī)院管理信息化向醫(yī)療管理信息化推進(jìn)。

1 無(wú)處不在的信息化碩果

目前,中日友好醫(yī)院的信息化系統(tǒng)已初具規(guī)模。醫(yī)院網(wǎng)絡(luò)采用以內(nèi)網(wǎng)和外網(wǎng)物理隔離為架構(gòu)。內(nèi)網(wǎng)為醫(yī)院業(yè)務(wù)網(wǎng),所有與醫(yī)療相關(guān)的診療、醫(yī)技檢查、出入院結(jié)算、收費(fèi)、取藥等業(yè)務(wù)都在上面運(yùn)行;外網(wǎng)承載醫(yī)療信息網(wǎng)絡(luò)時(shí)時(shí)申報(bào)、Internet訪問(wèn)、對(duì)外網(wǎng)站維護(hù)等項(xiàng)目,提供包括院內(nèi)最新信息通知、發(fā)放報(bào)文等日常應(yīng)用。兩網(wǎng)物理隔離,且對(duì)登陸人員進(jìn)行了嚴(yán)格的身份限制,既提高了醫(yī)院的工作效率,又保障了系統(tǒng)安全穩(wěn)定運(yùn)行。

就業(yè)務(wù)網(wǎng)而言,我們醫(yī)院目前存在以下幾大類數(shù)字化應(yīng)用,它們之間進(jìn)行有序的數(shù)據(jù)資源共享。首先是HIS(Hospital Information System)系統(tǒng),這是涉及醫(yī)患之間門診、住院費(fèi)用結(jié)算的系統(tǒng),住院病人藥品、手術(shù)、監(jiān)護(hù)、看護(hù)等等諸多收費(fèi)都要經(jīng)由此系統(tǒng)在出院清單上體現(xiàn);其次是PACS系統(tǒng)(Picture Access Communication System),用于展示病人高分辨率的CT和X光片等信息,可以更有利于醫(yī)生做出準(zhǔn)確的判斷。再有就是LIS系統(tǒng)(Laboratory Information System),也就是檢驗(yàn)信息系統(tǒng)。通過(guò)把三系統(tǒng)接口有機(jī)的結(jié)合,極大的為病人高效、準(zhǔn)確地得到醫(yī)治創(chuàng)造了條件。

全方位的信息化最終是為醫(yī)患服務(wù)。中日友好醫(yī)院堅(jiān)持“以病人為中心”的原則,將信息系統(tǒng)已經(jīng)由財(cái)務(wù)延伸到臨床,“信息化”變成了實(shí)實(shí)在在的東西,變成了醫(yī)療的工具。

2 未雨綢繆的風(fēng)險(xiǎn)防范意識(shí)

當(dāng)信息化發(fā)展到一定階段,信息部門就會(huì)面臨巨大的壓力。目前,中日友好醫(yī)院已經(jīng)從管理、技術(shù)等多方面入手,形成了一整套應(yīng)急系統(tǒng),幫助醫(yī)院有效地遏制信息化風(fēng)險(xiǎn)。

2.1 制訂了全面的網(wǎng)絡(luò)管理制度,包括系統(tǒng)運(yùn)行維護(hù)管理制度、機(jī)房安全管理制度、系統(tǒng)安全風(fēng)險(xiǎn)管理制度、數(shù)據(jù)及信息安全管理制度、備份與恢復(fù)制度等,對(duì)內(nèi)部人員實(shí)行全方位規(guī)范。

2.2 十分重視IT系統(tǒng)安全,對(duì)網(wǎng)絡(luò)建設(shè)有著極高的要求。目前,醫(yī)院采用了多個(gè)層次的防范措施來(lái)滿足高度的安全性需求,如核心交換機(jī)之間運(yùn)行VRRP熱備協(xié)議;內(nèi)外網(wǎng)物理隔離、劃分VLAN、身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)加密、防病毒、防攻擊等。

2.3 建立了全面的應(yīng)急響應(yīng)機(jī)制,成立了專門的應(yīng)急指揮機(jī)構(gòu),并制定出信息安全保障應(yīng)急預(yù)案。比如,針對(duì)HIS系統(tǒng)的主服務(wù)器故障排查預(yù)案,針對(duì)UPS系統(tǒng)的故障應(yīng)急預(yù)案,針對(duì)網(wǎng)絡(luò)交換機(jī)癱瘓的應(yīng)急預(yù)案,針對(duì)門、急診收費(fèi)系統(tǒng)中斷的應(yīng)急預(yù)案等等。

2.4 中日友好醫(yī)院特別注重對(duì)“人”的網(wǎng)絡(luò)行為的管理。考慮到內(nèi)部用戶使用互聯(lián)網(wǎng)時(shí)有可能引發(fā)信息安全事故、帶寬資源濫用、工作效率流失等問(wèn)題,醫(yī)院希望規(guī)范員工的上網(wǎng)行為,避免內(nèi)部人員訪問(wèn)惡意網(wǎng)站而泄漏機(jī)密信息,避免不良網(wǎng)站對(duì)公司計(jì)算機(jī)的影響與破壞,并降低無(wú)關(guān)流量對(duì)帶寬的占用。

我院采用網(wǎng)康上網(wǎng)行為管理軟件,對(duì)內(nèi)部員工的上網(wǎng)行為進(jìn)行控制和管理,解決因接入互聯(lián)網(wǎng)而引發(fā)的網(wǎng)頁(yè)訪問(wèn)不合規(guī)(如上班時(shí)間訪問(wèn)低俗類網(wǎng)站)、網(wǎng)絡(luò)應(yīng)用不合規(guī)(如上班時(shí)間觀看網(wǎng)絡(luò)視頻)、帶寬資源濫用(如上班時(shí)間P2P下載電影)、內(nèi)容審計(jì)不完全等問(wèn)題,幫助醫(yī)院提升工作效率、優(yōu)化帶寬使用、降低安全威脅、規(guī)避法律風(fēng)險(xiǎn)、保護(hù)IT投資。

3 數(shù)字醫(yī)院的革命性突破

中日友好醫(yī)院對(duì)信息化的投入逐年增加,信息化成果日趨完善,醫(yī)院也充分嘗到了 “甜頭”。數(shù)字化給我們醫(yī)院帶來(lái)的變化簡(jiǎn)直是革命性的。

首先,信息化使得用藥科學(xué)化,提高了醫(yī)院服務(wù)病患的能力。通過(guò)信息化手段,醫(yī)生為病人建立詳細(xì)的電子病歷,能夠避免由于信息不全或是信息遺失導(dǎo)致的用藥錯(cuò)誤。系統(tǒng)自動(dòng)核對(duì)“配伍禁忌”,也減少了人工記憶帶來(lái)的誤差,使得用藥更加科學(xué)合理。醫(yī)生開(kāi)出的處方中有配伍禁忌的藥物,系統(tǒng)就會(huì)自動(dòng)提示,避免出現(xiàn)用藥事故。

再有,信息化手段節(jié)省了病人的看病時(shí)間,提升了患者的滿意度。例如,病人通過(guò)網(wǎng)上預(yù)約或是自助系統(tǒng)掛號(hào),能大大縮短掛號(hào)時(shí)間。同時(shí),醫(yī)院還省略了劃價(jià)這道程序,醫(yī)生開(kāi)出檢查單或處方時(shí),系統(tǒng)會(huì)自動(dòng)劃價(jià),縮短了病人的交費(fèi)時(shí)間。醫(yī)生對(duì)病人進(jìn)行CT、MRI、CR等數(shù)字醫(yī)療設(shè)備的檢查后,不必等待洗片,就可立即進(jìn)行診斷和報(bào)告,也減少了病人的候診時(shí)間。

另外,信息化優(yōu)化了臨床路徑。醫(yī)院通過(guò)對(duì)優(yōu)秀醫(yī)師診療的臨床路徑進(jìn)行分析、總結(jié),歸納出標(biāo)準(zhǔn)的臨床路徑。醫(yī)生在臨床診療時(shí),只需要對(duì)照病癥從系統(tǒng)里選取最優(yōu)化的臨床路徑即可。不僅如此,電子病歷系統(tǒng)也為醫(yī)院的科研與教學(xué)提供了極大的便利,醫(yī)生們可以方便地對(duì)某類病人使用某種藥物產(chǎn)生的療效進(jìn)行統(tǒng)計(jì)分析。

信息化給醫(yī)院帶來(lái)了全面的規(guī)范化,使得醫(yī)護(hù)人員的工作規(guī)范而有序。信息化提升了醫(yī)生的工作效率,使醫(yī)生有更多的時(shí)間為患者服務(wù),也提高了患者的滿意度,還提高了醫(yī)院的管理水平,無(wú)形之中樹(shù)立起醫(yī)院的科技形象。

4 結(jié)語(yǔ)