時(shí)間:2023-01-06 15:19:20
開(kāi)篇:寫(xiě)作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網(wǎng)絡(luò)安全整改報(bào)告,希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友,陪伴您不斷探索和進(jìn)步。
一、2020年度網(wǎng)絡(luò)安全檢查工作組織開(kāi)展情況
一、統(tǒng)一思想認(rèn)識(shí),提高政治站位。迅速召開(kāi)專(zhuān)題會(huì)議,傳達(dá)學(xué)習(xí)財(cái)政部網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室《關(guān)于地方財(cái)政部門(mén)進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全暨開(kāi)展2020年網(wǎng)絡(luò)安全檢查的通知》文件精神,并對(duì)網(wǎng)絡(luò)安全工作作出了重要指示和部署。
二、加強(qiáng)統(tǒng)一領(lǐng)導(dǎo),落實(shí)安全責(zé)任。為進(jìn)一步加強(qiáng)對(duì)網(wǎng)絡(luò)安全檢查自查工作的組織領(lǐng)導(dǎo),成立了由局黨組書(shū)記、局長(zhǎng)吳冰同志為組長(zhǎng),各黨組成員為副組長(zhǎng)的自查工作領(lǐng)導(dǎo)小組,負(fù)責(zé)網(wǎng)絡(luò)安全檢查自查工作安排部署,嚴(yán)格對(duì)照核查內(nèi)容和工作要求,認(rèn)真開(kāi)展了自查工作。
三、加強(qiáng)督查督導(dǎo),確保整改到位。結(jié)合我縣財(cái)政實(shí)際情況,組織安排好本地區(qū)財(cái)政系統(tǒng)網(wǎng)絡(luò)安全檢查工作,全面排查網(wǎng)絡(luò)風(fēng)險(xiǎn)、漏洞和突出問(wèn)題,及時(shí)部署整改措施,提高網(wǎng)絡(luò)安全防護(hù)能力。
二、2020年網(wǎng)絡(luò)安全檢查情況匯總
一是組織領(lǐng)導(dǎo)方面。成立了由主要領(lǐng)導(dǎo)擔(dān)任第一責(zé)任人、各相關(guān)股室參與、信息中心負(fù)責(zé)具體工作的財(cái)政系統(tǒng)安全保護(hù)工作領(lǐng)導(dǎo)小組,統(tǒng)一協(xié)調(diào)全局開(kāi)展財(cái)政專(zhuān)網(wǎng)運(yùn)行安全管理工作。
二是網(wǎng)絡(luò)安全方面。一是做好本級(jí)計(jì)算機(jī)安全檢查。從內(nèi)外網(wǎng)是否混接、財(cái)政應(yīng)用軟件是否使用ukey登錄、計(jì)算機(jī)殺毒、系統(tǒng)漏洞補(bǔ)丁修復(fù)、計(jì)算機(jī)實(shí)名制管理等方面對(duì)全局所有財(cái)政專(zhuān)網(wǎng)計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)安全檢查。二是重新部署內(nèi)網(wǎng)殺毒確保安全。所有金財(cái)網(wǎng)pc端及服務(wù)器均安裝了省廳統(tǒng)一部署的亞信防病毒軟件,所有外網(wǎng)安裝了360、金山毒霸等殺毒軟件;pc端及服務(wù)器均采用了登錄強(qiáng)口令密碼、數(shù)據(jù)庫(kù)異地存儲(chǔ)備份、數(shù)據(jù)加密等安全防護(hù)措施。三是切實(shí)抓好金財(cái)網(wǎng)、外網(wǎng)、媒介和應(yīng)用軟件的管理,對(duì)金財(cái)網(wǎng)pc端、外網(wǎng)pc端實(shí)行分網(wǎng)管理,嚴(yán)格區(qū)分內(nèi)網(wǎng)和外網(wǎng),確保內(nèi)外網(wǎng)不混用、不同用。四是加強(qiáng)對(duì)硬件安全的管理,包括防塵、防潮、防雷、防火、防盜、和電源連接等;加強(qiáng)密碼管理、ip管理、互聯(lián)網(wǎng)行為管理等;加強(qiáng)計(jì)算機(jī)應(yīng)用安全管理,包括郵件系統(tǒng)、資源庫(kù)管理、軟件管理等。
三是落實(shí)責(zé)任方面。一是建立健全相關(guān)制度。為確保計(jì)算機(jī)網(wǎng)絡(luò)安全、建立健全了《計(jì)算機(jī)安全保密制度》、《網(wǎng)絡(luò)信息安全管理制度》等一系列規(guī)章制度,確保本單位信息系統(tǒng)建設(shè)和網(wǎng)絡(luò)安全能夠正常運(yùn)行。二是制定了《縣財(cái)政局網(wǎng)絡(luò)安全應(yīng)急預(yù)案》,按照要求定期開(kāi)展應(yīng)急演練。三是按照州財(cái)政局要求,聯(lián)合縣電信公司對(duì)全縣金財(cái)網(wǎng)ip地址進(jìn)行了規(guī)范改造。四是結(jié)合省財(cái)政廳相關(guān)要求,正在對(duì)關(guān)鍵系統(tǒng)開(kāi)展等保評(píng)測(cè)工作,嚴(yán)格按照網(wǎng)絡(luò)安全行業(yè)主管部門(mén)的要求,及時(shí)查漏補(bǔ)缺,完成評(píng)測(cè)整改工作。確保核心業(yè)務(wù)系統(tǒng)安全運(yùn)行,保障全縣財(cái)政業(yè)務(wù)正常開(kāi)展。五是對(duì)照國(guó)家等級(jí)保護(hù)2.0標(biāo)準(zhǔn)及省財(cái)政廳制定的相關(guān)技術(shù)規(guī)范添置入侵檢測(cè)、入侵防護(hù)、安全審計(jì)、數(shù)據(jù)備份等網(wǎng)絡(luò)安全防護(hù)設(shè)備。強(qiáng)化網(wǎng)絡(luò)安全硬件保障基礎(chǔ),補(bǔ)齊網(wǎng)絡(luò)安全硬件建設(shè)上的短板。
四是宣傳教育方面。一是加強(qiáng)網(wǎng)絡(luò)安全學(xué)習(xí)培訓(xùn)。定期不定期組織全局人員專(zhuān)題培訓(xùn)等方式全方位宣傳學(xué)習(xí)《網(wǎng)絡(luò)安全法》等。二是積極主動(dòng)對(duì)接當(dāng)?shù)鼐W(wǎng)信辦及網(wǎng)安部門(mén),參加網(wǎng)絡(luò)安全宣傳周活動(dòng),每年定期組織預(yù)算單位財(cái)務(wù)人員集中培訓(xùn)網(wǎng)絡(luò)安全知識(shí)與日常管理技巧,提高網(wǎng)絡(luò)安全意識(shí),防范不規(guī)范操作,規(guī)避內(nèi)外網(wǎng)互聯(lián)風(fēng)險(xiǎn)。
五是落實(shí)經(jīng)費(fèi)方面。將網(wǎng)絡(luò)安全建設(shè)經(jīng)費(fèi)納入年初預(yù)算,確保經(jīng)費(fèi)保障充足,相繼采購(gòu)防火墻、堡壘機(jī)、安全管理系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品,進(jìn)一步提高了網(wǎng)絡(luò)安全技術(shù)保障能力。
三、存在的問(wèn)題
一、整體安全狀況的基本判斷
從檢查情況看,網(wǎng)絡(luò)與信息安全總體情況良好。始終把信息安全作為信息化工作的重點(diǎn)內(nèi)容,網(wǎng)絡(luò)信息安全工作機(jī)構(gòu)健全、責(zé)任明確,日常管理維護(hù)工作比較規(guī)范;管理制度完善,技術(shù)防護(hù)措施得當(dāng),信息安全風(fēng)險(xiǎn)得到有效降低;比較重視信息系統(tǒng)系統(tǒng)管理員和網(wǎng)絡(luò)安全技術(shù)人員培訓(xùn),應(yīng)急預(yù)案與應(yīng)急處置技術(shù)隊(duì)伍有落實(shí),工作經(jīng)費(fèi)有一定保障,基本保證了網(wǎng)信息系統(tǒng)持續(xù)安全穩(wěn)定運(yùn)行。
二、發(fā)現(xiàn)的主要問(wèn)題和薄弱環(huán)節(jié)
雖然我縣財(cái)政系統(tǒng)網(wǎng)絡(luò)安全在上級(jí)部門(mén)的指導(dǎo)下取得了一定的成績(jī),但在檢查過(guò)程中也發(fā)現(xiàn)了一些管理方面存在的薄弱環(huán)節(jié),如網(wǎng)絡(luò)信息安全知識(shí)宣傳較少、網(wǎng)絡(luò)安全管理專(zhuān)業(yè)技術(shù)力量薄弱等。
以下是《通信網(wǎng)絡(luò)安全防護(hù)監(jiān)督管理辦法(征求意見(jiàn)稿)》全文:
為切實(shí)履行通信網(wǎng)絡(luò)安全管理職責(zé),提高通信網(wǎng)絡(luò)安全防護(hù)水平,依據(jù)《中華人民共和國(guó)電信條例》,工業(yè)和信息化部起草了《通信網(wǎng)絡(luò)安全防護(hù)監(jiān)督管理辦法(征求意見(jiàn)稿)》,現(xiàn)予以公告,征求意見(jiàn)。請(qǐng)于2009年9月4日前反饋意見(jiàn)。
聯(lián)系地址:北京西長(zhǎng)安街13號(hào)工業(yè)和信息化部政策法規(guī)司(郵編:100804)
電子郵件:wangxiaofei@miit.gov.cn
附件:《通信網(wǎng)絡(luò)安全防護(hù)監(jiān)督管理辦法(征求意見(jiàn)稿)》
通信網(wǎng)絡(luò)安全防護(hù)監(jiān)督管理辦法
(征求意見(jiàn)稿)
第一條(目的依據(jù))為加強(qiáng)對(duì)通信網(wǎng)絡(luò)安全的管理,提高通信網(wǎng)絡(luò)安全防護(hù)能力,保障通信網(wǎng)絡(luò)安全暢通,根據(jù)《中華人民共和國(guó)電信條例》,制定本辦法。
第二條(適用范圍)中華人民共和國(guó)境內(nèi)的電信業(yè)務(wù)經(jīng)營(yíng)者和互聯(lián)網(wǎng)域名服務(wù)提供者(以下統(tǒng)稱(chēng)“通信網(wǎng)絡(luò)運(yùn)行單位”)管理和運(yùn)行的公用通信網(wǎng)和互聯(lián)網(wǎng)(以下統(tǒng)稱(chēng)“通信網(wǎng)絡(luò)”)的網(wǎng)絡(luò)安全防護(hù)工作,適用本辦法。
本辦法所稱(chēng)互聯(lián)網(wǎng)域名服務(wù),是指設(shè)置域名數(shù)據(jù)庫(kù)或域名解析服務(wù)器,為域名持有者提供域名注冊(cè)或權(quán)威解析服務(wù)的行為。
本辦法所稱(chēng)網(wǎng)絡(luò)安全防護(hù)工作,是指為防止通信網(wǎng)絡(luò)阻塞、中斷、癱瘓或被非法控制等以及通信網(wǎng)絡(luò)中傳輸、存儲(chǔ)、處理的數(shù)據(jù)信息丟失、泄露或被非法篡改等而開(kāi)展的相關(guān)工作。
第三條(管轄職責(zé))中華人民共和國(guó)工業(yè)和信息化部(以下簡(jiǎn)稱(chēng)工業(yè)和信息化部)負(fù)責(zé)全國(guó)通信網(wǎng)絡(luò)安全防護(hù)工作的統(tǒng)一指導(dǎo)、協(xié)調(diào)、監(jiān)督和檢查,建立健全通信網(wǎng)絡(luò)安全防護(hù)體系,制訂通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)。
省、自治區(qū)、直轄市通信管理局(以下簡(jiǎn)稱(chēng)“通信管理局”)依據(jù)本辦法的規(guī)定,對(duì)本行政區(qū)域內(nèi)通信網(wǎng)絡(luò)安全防護(hù)工作進(jìn)行指導(dǎo)、協(xié)調(diào)、監(jiān)督和檢查。
工業(yè)和信息化部和通信管理局統(tǒng)稱(chēng)“電信管理機(jī)構(gòu)”。
第四條(責(zé)任主體)通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)按照本辦法和通信網(wǎng)絡(luò)安全防護(hù)政策、標(biāo)準(zhǔn)的要求開(kāi)展通信網(wǎng)絡(luò)安全防護(hù)工作,對(duì)本單位通信網(wǎng)絡(luò)安全負(fù)責(zé)。
第五條(方針原則)通信網(wǎng)絡(luò)安全防護(hù)工作堅(jiān)持積極防御、綜合防范的方針,實(shí)行分級(jí)保護(hù)的原則。
第六條(同步要求)通信網(wǎng)絡(luò)運(yùn)行單位規(guī)劃、設(shè)計(jì)、新建、改建通信網(wǎng)絡(luò)工程項(xiàng)目,應(yīng)當(dāng)同步規(guī)劃、設(shè)計(jì)、建設(shè)滿足通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)要求的通信網(wǎng)絡(luò)安全保障設(shè)施,并與主體工程同時(shí)進(jìn)行驗(yàn)收和投入運(yùn)行。
已經(jīng)投入運(yùn)行的通信網(wǎng)絡(luò)安全保障設(shè)施沒(méi)有滿足通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)要求的,通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)進(jìn)行改建。
通信網(wǎng)絡(luò)安全保障設(shè)施的規(guī)劃、設(shè)計(jì)、新建、改建費(fèi)用,應(yīng)當(dāng)納入本單位建設(shè)項(xiàng)目預(yù)算。
第七條(分級(jí)保護(hù)要求)通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)按照通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)規(guī)定的方法,對(duì)本單位已正式投入運(yùn)行的通信網(wǎng)絡(luò)進(jìn)行單元?jiǎng)澐郑瑢⒏魍ㄐ啪W(wǎng)絡(luò)單元按照其對(duì)國(guó)家和社會(huì)經(jīng)濟(jì)發(fā)展的重要程度由低到高分別劃分為一級(jí)、二級(jí)、三級(jí)、四級(jí)、五級(jí)。
通信網(wǎng)絡(luò)單元的分級(jí)結(jié)果應(yīng)由接受其備案的電信管理機(jī)構(gòu)組織專(zhuān)家進(jìn)行評(píng)審。
通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)根據(jù)實(shí)際情況適時(shí)調(diào)整通信網(wǎng)絡(luò)單元的劃分和級(jí)別。通信網(wǎng)絡(luò)運(yùn)行單位調(diào)整通信網(wǎng)絡(luò)單元的劃分和級(jí)別的,應(yīng)當(dāng)按照前款規(guī)定重新進(jìn)行評(píng)審。
第八條(備案要求1)通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)按照下列規(guī)定在通信網(wǎng)絡(luò)投入運(yùn)行后30日內(nèi)將通信網(wǎng)絡(luò)單元向電信管理機(jī)構(gòu)備案:
(一)基礎(chǔ)電信業(yè)務(wù)經(jīng)營(yíng)者集團(tuán)公司直接管理的通信網(wǎng)絡(luò)單元,向工業(yè)和信息化部備案;基礎(chǔ)電信業(yè)務(wù)經(jīng)營(yíng)者各省(自治區(qū)、直轄市)子公司、分公司負(fù)責(zé)管理的通信網(wǎng)絡(luò)單元,向當(dāng)?shù)赝ㄐ殴芾砭謧浒浮?/p>
(二)增值電信業(yè)務(wù)經(jīng)營(yíng)者的通信網(wǎng)絡(luò)單元,向電信業(yè)務(wù)經(jīng)營(yíng)許可證的發(fā)證機(jī)構(gòu)備案。
(三)互聯(lián)網(wǎng)域名服務(wù)提供者的通信網(wǎng)絡(luò)單元,向工業(yè)和信息化部備案。
第九條(備案要求2)通信網(wǎng)絡(luò)運(yùn)行單位辦理通信網(wǎng)絡(luò)單元備案,應(yīng)當(dāng)提交以下信息:
(一)通信網(wǎng)絡(luò)單元的名稱(chēng)、級(jí)別、主要功能等。
(二)通信網(wǎng)絡(luò)單元責(zé)任單位的名稱(chēng)、聯(lián)系方式等。
(三)通信網(wǎng)絡(luò)單元主要負(fù)責(zé)人的姓名、聯(lián)系方式等。
(四)通信網(wǎng)絡(luò)單元的拓?fù)浼軜?gòu)、網(wǎng)絡(luò)邊界、主要軟硬件及型號(hào)、關(guān)鍵設(shè)施位址等。
前款規(guī)定的備案信息發(fā)生變化的,通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)自變更之日起15日內(nèi)向電信管理機(jī)構(gòu)變更備案。
第十條(備案審核)電信管理機(jī)構(gòu)應(yīng)當(dāng)自收到通信網(wǎng)絡(luò)單元備案申請(qǐng)后20日內(nèi)完成備案信息審核工作。備案信息真實(shí)、齊全、符合規(guī)定形式的,應(yīng)當(dāng)予以備案;備案信息不真實(shí)、不齊全或者不符合規(guī)定形式的,應(yīng)當(dāng)通知備案單位補(bǔ)正。
第十一條(符合性評(píng)測(cè)要求)通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)按照通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)的要求,落實(shí)與通信網(wǎng)絡(luò)單元級(jí)別相適應(yīng)的安全防護(hù)措施,并自行組織進(jìn)行符合性評(píng)測(cè)。評(píng)測(cè)方法應(yīng)當(dāng)符合通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)的有關(guān)規(guī)定。
三級(jí)及三級(jí)以上通信網(wǎng)絡(luò)單元,應(yīng)當(dāng)每年進(jìn)行一次符合性評(píng)測(cè);二級(jí)通信網(wǎng)絡(luò)單元,應(yīng)當(dāng)每?jī)赡赀M(jìn)行一次符合性評(píng)測(cè)。通信網(wǎng)絡(luò)單元的級(jí)別調(diào)整后,應(yīng)當(dāng)及時(shí)重新進(jìn)行符合性評(píng)測(cè)。
符合性評(píng)測(cè)結(jié)果及整改情況或者整改計(jì)劃應(yīng)當(dāng)于評(píng)測(cè)結(jié)束后30日內(nèi)報(bào)送通信網(wǎng)絡(luò)單元的備案機(jī)構(gòu)。
第十二條(風(fēng)險(xiǎn)評(píng)估要求)通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)對(duì)通信網(wǎng)絡(luò)單元進(jìn)行經(jīng)常性的風(fēng)險(xiǎn)評(píng)估,及時(shí)消除重大網(wǎng)絡(luò)安全隱患。風(fēng)險(xiǎn)評(píng)估方法應(yīng)當(dāng)符合通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)的有關(guān)規(guī)定。
三級(jí)及三級(jí)以上通信網(wǎng)絡(luò)單元,應(yīng)當(dāng)每年進(jìn)行一次風(fēng)險(xiǎn)評(píng)估;二級(jí)通信網(wǎng)絡(luò)單元,應(yīng)當(dāng)每?jī)赡赀M(jìn)行一次風(fēng)險(xiǎn)評(píng)估;國(guó)家重大活動(dòng)舉辦前,三級(jí)及三級(jí)以上通信網(wǎng)絡(luò)單元應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。
風(fēng)險(xiǎn)評(píng)估結(jié)果及隱患處理情況或者處理計(jì)劃應(yīng)當(dāng)于風(fēng)險(xiǎn)評(píng)估結(jié)束后30日內(nèi)上報(bào)通信網(wǎng)絡(luò)單元的備案機(jī)構(gòu)。
第十三條(災(zāi)難備份要求)通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)按照通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)的要求,對(duì)通信網(wǎng)絡(luò)單元的重要線路、設(shè)備、系統(tǒng)和數(shù)據(jù)等進(jìn)行備份。
第十四條(演練要求)通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)定期或不定期組織演練檢驗(yàn)通信網(wǎng)絡(luò)安全防護(hù)措施的有效性,并參加電信管理機(jī)構(gòu)組織開(kāi)展的演練。
第十五條(監(jiān)測(cè)要求)通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)對(duì)本單位通信網(wǎng)絡(luò)的安全狀況進(jìn)行自主監(jiān)測(cè),按照通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)建設(shè)和運(yùn)行通信網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)。
通信網(wǎng)絡(luò)運(yùn)行單位的監(jiān)測(cè)系統(tǒng)應(yīng)當(dāng)按照電信管理機(jī)構(gòu)的要求,與電信管理機(jī)構(gòu)的監(jiān)測(cè)系統(tǒng)互聯(lián)。
第十六條(CNCERT職責(zé))工業(yè)和信息化部委托國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心建設(shè)和運(yùn)行互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)。
第十七條(安全服務(wù)規(guī)范)通信網(wǎng)絡(luò)運(yùn)行單位委托其他單位進(jìn)行安全評(píng)測(cè)、評(píng)估、監(jiān)測(cè)等工作的,應(yīng)當(dāng)加強(qiáng)對(duì)受委托單位的管理,保證其服務(wù)符合通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)及有關(guān)法律、法規(guī)和政策的要求。
第十八條(監(jiān)督檢查)電信管理機(jī)構(gòu)應(yīng)當(dāng)根據(jù)本辦法和通信網(wǎng)絡(luò)安全防護(hù)政策、標(biāo)準(zhǔn),對(duì)通信網(wǎng)絡(luò)運(yùn)行單位開(kāi)展通信網(wǎng)絡(luò)安全防護(hù)工作的情況進(jìn)行監(jiān)督檢查。
第十九條(檢查措施)電信管理機(jī)構(gòu)有權(quán)采取以下措施對(duì)通信網(wǎng)絡(luò)安全防護(hù)工作進(jìn)行監(jiān)督檢查:
(一)查閱通信網(wǎng)絡(luò)運(yùn)行單位的符合性評(píng)測(cè)報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告。
(二)查閱通信網(wǎng)絡(luò)運(yùn)行單位的有關(guān)文檔和工作記錄。
(三)向通信網(wǎng)絡(luò)運(yùn)行單位工作人員詢問(wèn)了解有關(guān)情況。
(四)查驗(yàn)通信網(wǎng)絡(luò)運(yùn)行單位的有關(guān)設(shè)施。
(五)對(duì)通信網(wǎng)絡(luò)進(jìn)行技術(shù)性分析和測(cè)試。
(六)采用法律、行政法規(guī)規(guī)定的其他檢查方式。
第二十條(委托檢查)電信管理機(jī)構(gòu)可以委托網(wǎng)絡(luò)安全檢測(cè)專(zhuān)業(yè)機(jī)構(gòu)開(kāi)展通信網(wǎng)絡(luò)安全檢測(cè)活動(dòng)。
第二十一條(配合檢查的義務(wù))通信網(wǎng)絡(luò)運(yùn)行單位對(duì)電信管理機(jī)構(gòu)及其委托的專(zhuān)業(yè)機(jī)構(gòu)依據(jù)本辦法開(kāi)展的監(jiān)督檢查和檢測(cè)活動(dòng)應(yīng)當(dāng)予以配合,不得拒絕、阻撓。
第二十二條(規(guī)范檢查單位)電信管理機(jī)構(gòu)及其委托的專(zhuān)業(yè)機(jī)構(gòu)對(duì)通信網(wǎng)絡(luò)安全防護(hù)工作進(jìn)行監(jiān)督檢查和檢測(cè),不得影響通信網(wǎng)絡(luò)的正常運(yùn)行,不得收取任何費(fèi)用,不得要求接受監(jiān)督檢查的單位購(gòu)買(mǎi)指定品牌或者指定生產(chǎn)、銷(xiāo)售單位的安全軟件、設(shè)備或者其他產(chǎn)品。
第二十三條(規(guī)范檢查人員)電信管理機(jī)構(gòu)及其委托的專(zhuān)業(yè)機(jī)構(gòu)的監(jiān)督檢查人員應(yīng)當(dāng)忠于職守、堅(jiān)持原則,不得泄漏監(jiān)督檢查工作中知悉的國(guó)家秘密、商業(yè)秘密、技術(shù)秘密和個(gè)人隱私。
第二十四條(對(duì)專(zhuān)業(yè)機(jī)構(gòu)的要求)電信管理機(jī)構(gòu)委托的專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行檢測(cè)時(shí),應(yīng)當(dāng)書(shū)面記錄檢查的對(duì)象、時(shí)間、地點(diǎn)、內(nèi)容、發(fā)現(xiàn)的問(wèn)題等,由檢查單位和被檢查單位相關(guān)負(fù)責(zé)人簽字蓋章后,報(bào)委托方。
第二十五條(罰則1)違反本辦法第六條、第七條、第八條、第九條、第十一條、第十二條、第十三條、第十四條、第十五條、第十七條、第二十一條規(guī)定的,由電信管理機(jī)構(gòu)責(zé)令改正,給予警告,并處5000元以上3萬(wàn)元以下的罰款。
第二十六條(罰則2)未按照通信網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)落實(shí)安全防護(hù)措施或者存在重大網(wǎng)絡(luò)安全隱患的,由電信管理機(jī)構(gòu)責(zé)令整改,并對(duì)整改情況進(jìn)行監(jiān)督檢查。拒不改正的,由電信管理機(jī)構(gòu)給予警告,并處1萬(wàn)元以上3萬(wàn)元以下的罰款。
醫(yī)院網(wǎng)絡(luò)與信息安全自查報(bào)告
按照衛(wèi)健發(fā)[2019]52號(hào)文件通知精神,我院領(lǐng)導(dǎo)高度重視,召開(kāi)全院職工會(huì)議,深入學(xué)習(xí)和認(rèn)真貫徹落實(shí)文件精神,充分認(rèn)識(shí)到開(kāi)展網(wǎng)絡(luò)與信息安全自查工作的重要性和必要性,對(duì)自查工作做了詳細(xì)部署,院長(zhǎng)親自負(fù)責(zé)安排信息安全自查工作,并就自查中發(fā)現(xiàn)的問(wèn)題認(rèn)真做好相關(guān)記錄,及時(shí)整改,完善。現(xiàn)將我院信息安全工作自查情況匯報(bào)如下:
一、我院的網(wǎng)絡(luò)為聯(lián)通互聯(lián)網(wǎng)專(zhuān)線,帶防火墻,以確保網(wǎng)絡(luò)能夠獨(dú)立、安全、高效運(yùn)行。重點(diǎn)抓好“三大安全”排查。
1.硬件安全,組織人員對(duì)全院設(shè)備進(jìn)行防雷、防火、防盜電源進(jìn)行檢查,目前均無(wú)安全隱患。
2.網(wǎng)絡(luò)安全:包括網(wǎng)絡(luò)結(jié)構(gòu)、密碼管理、IP管理、互聯(lián)網(wǎng)行為管理等;網(wǎng)絡(luò)結(jié)構(gòu)包括網(wǎng)絡(luò)結(jié)構(gòu)合理,網(wǎng)絡(luò)連接的穩(wěn)定性,網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器、光纖收發(fā)器等)的穩(wěn)定性。HIS系統(tǒng)的操作員,每人有自己的登錄名和密碼,并分配相應(yīng)的操作員權(quán)限,不得使用其他人的操作賬戶,賬戶施行“誰(shuí)使用、誰(shuí)管理、誰(shuí)負(fù)責(zé)” 的管理制度。互聯(lián)網(wǎng)施行固定IP地址,由醫(yī)院統(tǒng)一分配、管理,不允許私自添加新IP,未經(jīng)分配的IP均無(wú)法實(shí)現(xiàn)上網(wǎng)。
3.數(shù)據(jù)安全:未經(jīng)院方批準(zhǔn),任何人不得將醫(yī)院內(nèi)各科室的數(shù)據(jù)向外傳遞或泄露,一經(jīng)發(fā)現(xiàn)將嚴(yán)肅處理。
二、我院每季度組織全院工作人員進(jìn)行一次網(wǎng)絡(luò)安全教育培訓(xùn),并按照“誰(shuí)使用誰(shuí)負(fù)責(zé)”的制度管理并定期對(duì)全院網(wǎng)絡(luò)設(shè)備進(jìn)行檢查、排查,防止安全隱患的設(shè)備運(yùn)行,對(duì)存在安全隱患的設(shè)備及時(shí)處理并向上級(jí)單位報(bào)告。
根據(jù)xx信息化領(lǐng)導(dǎo)小組辦公室下發(fā)的相關(guān)通知,我院依照通知精神成立了信息安全工作領(lǐng)導(dǎo)小組,制定計(jì)劃,明確責(zé)任,具體落實(shí),對(duì)我院的信息網(wǎng)絡(luò)與信息安全進(jìn)行了一次全面的調(diào)查。發(fā)現(xiàn)問(wèn)題,分析問(wèn)題,解決問(wèn)題。確保了網(wǎng)絡(luò)安全,更好的為檢務(wù)工作服務(wù)。
一、 加強(qiáng)領(lǐng)導(dǎo),成立了網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組
為進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全管理工作,xx成立了網(wǎng)絡(luò)信息系統(tǒng)安全工作小組,做到分工明確,責(zé)任到人。安全工作領(lǐng)導(dǎo)小組組長(zhǎng)為xx,副組長(zhǎng)xx,成員xx。分工職責(zé)如下:xx為信息安全工作第一負(fù)責(zé)人,全面負(fù)責(zé)信息安全管理工作。xx負(fù)責(zé)信息安全管理工作的日常事務(wù)。xx負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理工作的日常協(xié)調(diào)、網(wǎng)絡(luò)維護(hù)和技術(shù)管理。
二、 信息安全工作主要方面
1、技術(shù)方面,網(wǎng)站服務(wù)器計(jì)算機(jī)設(shè)置防火墻,拒絕外來(lái)惡意攻擊。安裝正版防病毒軟件,對(duì)計(jì)算機(jī)病毒、有害電子郵件有效過(guò)濾。
2、設(shè)備方面,內(nèi)網(wǎng)與外網(wǎng)嚴(yán)格分開(kāi),并按xx高院要求,安裝密碼機(jī),有效維護(hù)網(wǎng)絡(luò)安全。機(jī)房按照“三鐵兩器”要求設(shè)置,即鐵窗、鐵門(mén)、保險(xiǎn)柜、監(jiān)控器、報(bào)警器齊全。
3、應(yīng)急處理方面,我院具備專(zhuān)業(yè)技術(shù)人員,一旦發(fā)生網(wǎng)絡(luò)安全事故可立即報(bào)告相關(guān)人員,對(duì)突發(fā)網(wǎng)絡(luò)安全事故可快速安全處理。
4、容災(zāi)備份,對(duì)重要信息采取備份,當(dāng)遇故障時(shí)能夠保障重點(diǎn)重要數(shù)據(jù)的完整。
三、自查中發(fā)現(xiàn)的主要問(wèn)題及整改情況
經(jīng)過(guò)自查,我院信息安全總體狀況良好,未發(fā)生信息安全事故。在本次檢查過(guò)程中也暴露了一些問(wèn)題,機(jī)房設(shè)施投入不足,個(gè)別人員計(jì)算機(jī)安全意識(shí)不強(qiáng)等。
自2020年12月加入***醫(yī)療集團(tuán)以來(lái)?yè)?dān)任信息安全經(jīng)理一職,在這六個(gè)月的試用期中通過(guò)與各位同事、領(lǐng)導(dǎo)的相處,使我漸漸開(kāi)始適應(yīng)現(xiàn)在的工作環(huán)境和節(jié)奏,在工作中體會(huì)到的領(lǐng)導(dǎo)和同事踏實(shí)認(rèn)真的工作態(tài)度,讓我更加嚴(yán)格的要求主機(jī),把工作做好做細(xì)。在此,我需真誠(chéng)的向各位領(lǐng)導(dǎo)和同事表達(dá)我深深的謝意,感謝大家在這段時(shí)間給予我足夠的寬容、鼓勵(lì)和幫助。下面就我六個(gè)月的試用期工作進(jìn)行總結(jié)。
1. 已完成項(xiàng)目總結(jié):
1)三級(jí)等保測(cè)評(píng):根據(jù)國(guó)家相關(guān)法律法規(guī)要求,北京和睦家醫(yī)院需通過(guò)等級(jí)保護(hù)三級(jí)測(cè)評(píng)。入職時(shí),此項(xiàng)目已過(guò)初測(cè)階段進(jìn)入到整改階段,根據(jù)測(cè)評(píng)機(jī)構(gòu)給出的差異分析報(bào)告進(jìn)行高風(fēng)險(xiǎn)項(xiàng)和中風(fēng)險(xiǎn)項(xiàng)的整改工作,作為整個(gè)項(xiàng)目的執(zhí)行者,之前的工作經(jīng)驗(yàn)在整改過(guò)程中起到了一定的作用,提高了整改工作的效率并編寫(xiě)了等級(jí)保護(hù)要求相關(guān)文檔,例如:信息安全應(yīng)急預(yù)案,操作系統(tǒng)基線檢查模板等,同時(shí)也存在一些不足,例如對(duì)于等級(jí)保護(hù)要求的一些條例理解不夠深刻,對(duì)于等保測(cè)評(píng)的算分公式不夠熟悉等。在最終測(cè)評(píng)時(shí),積極配合測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)工作,回答測(cè)評(píng)機(jī)構(gòu)提到的關(guān)鍵問(wèn)題,使得終測(cè)過(guò)程較為順利的完成,并以優(yōu)異的分?jǐn)?shù)通過(guò)了三級(jí)等保測(cè)評(píng),拿到了三級(jí)等保報(bào)告,當(dāng)然這也少不了其他同事的共同努力。
2)安全體系建設(shè)--評(píng)估階段:根據(jù)領(lǐng)導(dǎo)要求,負(fù)責(zé)和睦家信息安全體系建設(shè),作為此項(xiàng)目的負(fù)責(zé)人,我將此項(xiàng)目分為三個(gè)階段完成,分別為:評(píng)估階段,建設(shè)階段,以及運(yùn)營(yíng)階段。在評(píng)估階段的主要目標(biāo)是需要評(píng)估和睦家現(xiàn)狀,以及為安全體系建設(shè)第二階段做準(zhǔn)備,如不做評(píng)估的話是無(wú)法進(jìn)行從0-1的安全體系建設(shè),在評(píng)估的過(guò)程中利用自己的專(zhuān)業(yè)知識(shí)并結(jié)合等級(jí)保護(hù)三級(jí)的要求,進(jìn)行了多維度的評(píng)估。完成評(píng)估后,列出了安全體系建設(shè)架構(gòu)圖,但由于做評(píng)估時(shí)有些方向沒(méi)有做深入的調(diào)研,導(dǎo)致安全體系架構(gòu)圖的某些模塊無(wú)法實(shí)現(xiàn),后期會(huì)進(jìn)行一系列的調(diào)整及優(yōu)化。
3)安全意識(shí)培訓(xùn):企業(yè)無(wú)時(shí)無(wú)刻都面臨著信息安全的威脅及風(fēng)險(xiǎn),根據(jù)領(lǐng)導(dǎo)要求,作為該項(xiàng)目的負(fù)責(zé)人,已于近期針對(duì)于和睦家內(nèi)部IT部門(mén)進(jìn)行了安全意識(shí)培訓(xùn)工作,培訓(xùn)內(nèi)容包括安全意識(shí)概念、密碼安全、系統(tǒng)安全、郵件安全、物理安全、社會(huì)工程攻擊等內(nèi)容,通過(guò)安全意識(shí)培訓(xùn),提升了企業(yè)內(nèi)部對(duì)于信息安全的理解以及信息安全的重要性,同時(shí)也在一定程度上提升了員工識(shí)別信息安全風(fēng)險(xiǎn)的技能和意識(shí),但美中不足的是培訓(xùn)內(nèi)容過(guò)多,培訓(xùn)時(shí)間較長(zhǎng),所以需要對(duì)培訓(xùn)的素材進(jìn)行優(yōu)化。
4)支持其他Site網(wǎng)絡(luò)安全工作情況:
遠(yuǎn)程支持**網(wǎng)安檢查,配合IT Manger通過(guò)青島市網(wǎng)安的例行檢查,并提出與網(wǎng)安檢查相關(guān)的檢查項(xiàng)及關(guān)鍵點(diǎn),最終***以較高的分?jǐn)?shù)通過(guò)檢查。
青島互聯(lián)網(wǎng)醫(yī)院上線前審查,配合IT Manager通過(guò)青島互聯(lián)網(wǎng)醫(yī)院上線前審查,提供了網(wǎng)絡(luò)安全應(yīng)急預(yù)案的培訓(xùn)以及相關(guān)檢查項(xiàng)的整改方案,并在審查當(dāng)天進(jìn)行遠(yuǎn)程技術(shù)支持。
***三級(jí)等保測(cè)評(píng)工作,遠(yuǎn)程配合***在三級(jí)等保終測(cè),并提供相關(guān)漏掃報(bào)告,以及技術(shù)答疑等,最終***復(fù)核等保三級(jí)測(cè)評(píng)要求,通過(guò)三級(jí)等保測(cè)評(píng)。
2. 正在進(jìn)行中的項(xiàng)目:
a)安全運(yùn)營(yíng)中心部署:根據(jù)三級(jí)等保要求以及安全體系建設(shè)需求,需成立安全運(yùn)營(yíng)中心,和睦家購(gòu)買(mǎi)了IBM的SIEM平臺(tái)QRadar,目前該項(xiàng)目已完成北京區(qū)域部署,進(jìn)入到優(yōu)化策略階段,目前已將AD認(rèn)證類(lèi)的告警策略優(yōu)化完成,下一步準(zhǔn)備優(yōu)化病毒類(lèi)告警以及服務(wù)器相關(guān)告警,待策略優(yōu)化完成后,部署全國(guó)各Site日志采集器和流量采集器,預(yù)計(jì)本年度完成全國(guó)部署。
b)Knowbe4釣魚(yú)郵件測(cè)試平臺(tái):由于釣魚(yú)郵件對(duì)企業(yè)造成的安全風(fēng)險(xiǎn)較高,威脅較大,所以準(zhǔn)備采購(gòu)響應(yīng)的釣魚(yú)郵件測(cè)試平臺(tái),通過(guò)該平臺(tái)的釣魚(yú)郵件測(cè)試來(lái)提升員工對(duì)于防釣魚(yú)的安全意識(shí),目前該項(xiàng)目已將報(bào)價(jià)提交給采購(gòu)進(jìn)行價(jià)格評(píng)估,待采購(gòu)評(píng)估價(jià)格后進(jìn)行購(gòu)買(mǎi)實(shí)施。
c) ***全國(guó)安全意識(shí)培訓(xùn):為提升和睦家員工的信息安全意識(shí),計(jì)劃于本年度完成***全國(guó)員工的信息安全意識(shí)培訓(xùn),目前已完成北京***部門(mén)的培訓(xùn),下一步進(jìn)行***的信息安全意識(shí)培訓(xùn)。
3. 個(gè)人能力自我評(píng)估:
通過(guò)六個(gè)月的工作,我發(fā)現(xiàn)了自身存在的一些優(yōu)點(diǎn)與不足:
a)溝通能力方面:樂(lè)于與同事及領(lǐng)導(dǎo)積極溝通,并了解自己的任務(wù)和角色,樂(lè)于與同事合作以達(dá)成目標(biāo),但有的時(shí)候溝通方式存在一定的問(wèn)題,導(dǎo)致溝通效果欠佳。在今后的工作中,也會(huì)注意自己與領(lǐng)導(dǎo)和同事之間的溝通方式及方法,做到高效溝通。
b)項(xiàng)目管理能力:擅長(zhǎng)項(xiàng)目管理,因?yàn)橹跋到y(tǒng)的學(xué)習(xí)過(guò)項(xiàng)目管理的知識(shí),所以在工作中可以利用學(xué)習(xí)到的知識(shí)去進(jìn)行高效工作,但偶爾會(huì)出現(xiàn)不熟悉企業(yè)內(nèi)部的工作流程導(dǎo)致對(duì)于項(xiàng)目的管理出現(xiàn)偏差,我會(huì)在未來(lái)的工作中盡快的熟悉各項(xiàng)工作流程,避免再次出現(xiàn)同樣的問(wèn)題。
c) 崗位知識(shí)方面:在信息安全體系建設(shè)、安全運(yùn)營(yíng)、安全意識(shí)培訓(xùn)以及安全事件分析方面較為擅長(zhǎng),由于網(wǎng)絡(luò)安全涉及到的知識(shí)面非常廣,在工作的過(guò)程中也意識(shí)到我所在的崗位上,有些需要用到的信息安全相關(guān)知識(shí)自己并不夠?qū)I(yè),所以在今后的工作和生活中還需要加強(qiáng)學(xué)習(xí)相關(guān)崗位知識(shí),并實(shí)際運(yùn)用到工作中。
d)工作態(tài)度方面:工作態(tài)度積極、主動(dòng),時(shí)常保持良好的狀態(tài)完成工作或解決問(wèn)題。
【關(guān)鍵詞】信息安全等級(jí)保護(hù) 測(cè)評(píng)實(shí)施
1 引言
醫(yī)院信息化建設(shè)快速發(fā)展,信息系統(tǒng)應(yīng)用深入到各個(gè)環(huán)節(jié),信息業(yè)務(wù)系統(tǒng)承載了門(mén)診收費(fèi)、門(mén)診藥房、住院收費(fèi)、住院藥房、醫(yī)保、財(cái)務(wù)、門(mén)急診醫(yī)生護(hù)士站、住院醫(yī)生護(hù)士站、電子病歷、病案首頁(yè)、檢驗(yàn)LIS系統(tǒng)、檢查PACS系統(tǒng)、體檢系統(tǒng)等。保障重點(diǎn)信息系統(tǒng)的安全,規(guī)范信息安全等級(jí)保護(hù),完善信息保護(hù)機(jī)制,提高信息系統(tǒng)的防護(hù)能力和應(yīng)急水平,有效遏制重大網(wǎng)絡(luò)與信息安全事件的發(fā)生,創(chuàng)造良好的信息系統(tǒng)安全運(yùn)營(yíng)環(huán)境勢(shì)在必要。根據(jù)衛(wèi)生部印發(fā)的《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》,衛(wèi)生信息安全工作是我國(guó)衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級(jí)保護(hù)工作,對(duì)于促進(jìn)衛(wèi)生信息化健康發(fā)展,保障醫(yī)藥衛(wèi)生體制改革,維護(hù)公共利益、社會(huì)秩序和國(guó)家安全具有重要意義。
2 確定測(cè)評(píng)對(duì)象與等級(jí)
我院是一所二級(jí)甲等綜合醫(yī)院,日門(mén)診人次1000人左右,住院日人次400余人。醫(yī)院信息系統(tǒng)HIS、LIS、PACS、電子病歷、體檢等50余個(gè)系統(tǒng)無(wú)縫結(jié)合,信息雙向交流。按照《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》定級(jí)原理,確定醫(yī)院信息業(yè)務(wù)系統(tǒng)的安全保護(hù)等級(jí)為第2級(jí),其中業(yè)務(wù)信息安全保護(hù)等級(jí)為2級(jí),系統(tǒng)服務(wù)安全保護(hù)等級(jí)為2級(jí)。
2.1 招標(biāo)比選測(cè)評(píng)公司
醫(yī)院通過(guò)四川警察網(wǎng)了解到四川省獲得信息安全等級(jí)保護(hù)測(cè)評(píng)有資質(zhì)的5家公司。醫(yī)院電話通知該5家公司,簡(jiǎn)單介紹醫(yī)院信息化情況,其中有3家公司到現(xiàn)場(chǎng)進(jìn)行調(diào)查,掌握了信息系統(tǒng)情況。然后通過(guò)招標(biāo)比選確定一家公司為我院測(cè)評(píng)安全等級(jí)保護(hù)。
2.2 測(cè)評(píng)實(shí)施
2.2.1 準(zhǔn)備階段
醫(yī)院填報(bào)《安全等級(jí)保護(hù)備案申報(bào)表》、《安全等級(jí)保護(hù)定級(jí)報(bào)告》,確定安全主管人員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、審計(jì)管理員、安全管理員。醫(yī)院組織相關(guān)人員到市級(jí)計(jì)算機(jī)安全學(xué)會(huì)進(jìn)行安全培訓(xùn)學(xué)習(xí)。確定醫(yī)院信息安全主管人員協(xié)助測(cè)評(píng)公司人員就醫(yī)院信息業(yè)務(wù)系統(tǒng)做調(diào)研,提交準(zhǔn)備資料。調(diào)研內(nèi)容涉及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、線路鏈接情況、中心機(jī)房位置分布情況、應(yīng)用系統(tǒng)組成情況、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)以及相應(yīng)的IP地址、網(wǎng)絡(luò)互連設(shè)備的配置、網(wǎng)絡(luò)安全設(shè)備的配置、安全文檔等。
2.2.2 測(cè)評(píng)主要內(nèi)容
主要針對(duì)醫(yī)院信息系統(tǒng)技術(shù)安全和安全管理兩方面實(shí)施測(cè)評(píng),其中技術(shù)安全包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全及備份恢復(fù)進(jìn)行5;安全管理包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。
2.2.3 測(cè)評(píng)方式與測(cè)評(píng)范圍
測(cè)評(píng)公司綜合采用了現(xiàn)場(chǎng)測(cè)評(píng)與風(fēng)險(xiǎn)分析方法測(cè)評(píng)、單元測(cè)評(píng)與整體測(cè)評(píng)。單元測(cè)評(píng)實(shí)施過(guò)程中采用現(xiàn)場(chǎng)訪談、檢查和測(cè)試等測(cè)評(píng)方法。就各類(lèi)崗位人員進(jìn)行訪談,了解醫(yī)院業(yè)務(wù)運(yùn)作以及網(wǎng)絡(luò)運(yùn)行狀況;查看主機(jī)房、應(yīng)用系統(tǒng)軟件、主機(jī)操作系統(tǒng)及安全相關(guān)軟件、數(shù)據(jù)庫(kù)管理系統(tǒng)、安全設(shè)備管理系統(tǒng)、安全文檔、網(wǎng)絡(luò)分布鏈接情況。檢查物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等技術(shù)類(lèi)測(cè)評(píng)任務(wù),以及安全管理類(lèi)測(cè)評(píng)任務(wù);查閱分析文檔、核查安全配置、監(jiān)聽(tīng)與分析網(wǎng)絡(luò)等檢查方法查證防火墻、路由器、交換機(jī)部署及其配置情況、端口開(kāi)放情況等;測(cè)評(píng)人員采用手工驗(yàn)證和工具測(cè)試進(jìn)行漏洞掃描、系統(tǒng)滲透測(cè)試,檢查系統(tǒng)的安全有效性。
整體測(cè)評(píng)主要應(yīng)用于安全控制間、層面間和區(qū)域間等三個(gè)方面。主要就是針對(duì)同一區(qū)域內(nèi)、同一層面上或不同層面上的不同安全控制間存在的安全問(wèn)題以及不同區(qū)域間的互連互通時(shí)的安全性。
醫(yī)院信息系統(tǒng)運(yùn)用了身份鑒別措施、軟件容錯(cuò)機(jī)制、用戶權(quán)限分組管理、密碼賬戶登錄、數(shù)據(jù)庫(kù)表中記錄用戶操作、對(duì)重要事件進(jìn)行審計(jì)并留存記錄。網(wǎng)絡(luò)邊界處部署防火墻防御入侵,終端使用了趨勢(shì)網(wǎng)絡(luò)版本防病毒產(chǎn)品,抵御惡意代碼。開(kāi)啟系統(tǒng)審計(jì)日志,制定和實(shí)施有效安全管理制度,加強(qiáng)安全管理,降低系統(tǒng)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)進(jìn)行了有效的區(qū)域劃分,區(qū)域之間通過(guò)訪問(wèn)控制列表實(shí)現(xiàn)安全控制,與社保局、醫(yī)管辦等第三方外聯(lián)區(qū)之間通過(guò)防火墻嚴(yán)格限制訪問(wèn)端口。
2.2.5 差距分析與測(cè)評(píng)整改
通過(guò)測(cè)評(píng),測(cè)評(píng)公司寫(xiě)出測(cè)評(píng)報(bào)告,提出整改建議。按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》要求6,測(cè)評(píng)公司人員根據(jù)醫(yī)院當(dāng)前安全管理需要和管理特點(diǎn),針對(duì)等級(jí)保護(hù)所要求的安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理,從人員、制度、運(yùn)作、規(guī)范等角度,進(jìn)行全面的建設(shè)7,提供技術(shù)建設(shè)措施,落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求,就各類(lèi)人員進(jìn)行安全培訓(xùn),提升醫(yī)院信息系統(tǒng)管理的能力。醫(yī)院分期逐步投入防網(wǎng)絡(luò)入侵系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)等。
2.2.6 編制報(bào)告,成功備案
測(cè)評(píng)公司編制報(bào)告,上報(bào)市公安局備案成功,獲得二級(jí)信息系統(tǒng)備案證書(shū)。二級(jí)信息系統(tǒng),每?jī)赡赀M(jìn)行一次信息安全等級(jí)測(cè)評(píng)。實(shí)施安全等級(jí)保護(hù)測(cè)評(píng)備案使醫(yī)院信息系統(tǒng)安全管理水平提高,安全保護(hù)能力增強(qiáng),有效保障信息化健康發(fā)展。
3 結(jié)語(yǔ)
網(wǎng)絡(luò)安全問(wèn)題是一個(gè)集技術(shù)、管理和法規(guī)于一體的長(zhǎng)期系統(tǒng)工程,始終有其動(dòng)態(tài)性,醫(yī)院需要不斷進(jìn)行完善,加強(qiáng)管理,持續(xù)增加安全設(shè)備以保障醫(yī)院數(shù)據(jù)安全有效,保障信息系統(tǒng)安全穩(wěn)定運(yùn)行。醫(yī)院信息安全建設(shè)要切合自身?xiàng)l件特點(diǎn),分期分批循序建設(shè),保證醫(yī)院各系統(tǒng)長(zhǎng)期穩(wěn)定安全運(yùn)行,以適應(yīng)醫(yī)院不斷擴(kuò)展的業(yè)務(wù)應(yīng)用和管理需求8。
參考文獻(xiàn)
[1]衛(wèi)辦發(fā).〔2011〕85號(hào),衛(wèi)生部關(guān)于印發(fā)“衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)”的通知,2011.
[2]尚邦治.做好信息安全等級(jí)保護(hù)工作[J].中國(guó)衛(wèi)生信息管理雜志,2005.
[3]王建英,陳文霞,胡雯,張鵬.醫(yī)院信息安全分析及措施[J].中國(guó)病案,2013.
[4]王俊.醫(yī)院信息安全等級(jí)保護(hù)管理體系的構(gòu)建[J].醫(yī)學(xué)信息,2013.
[5]韓作為.醫(yī)院信息安全等級(jí)保護(hù)三級(jí)建設(shè)流程與要點(diǎn)[J].中國(guó)數(shù)字醫(yī)學(xué),2006.
派出所貫徹落實(shí)“三防”活動(dòng)情況總結(jié)
為深入貫徹落實(shí)全國(guó)公安機(jī)關(guān)“增強(qiáng)敵情觀念,維護(hù)政治紀(jì)律”座談會(huì)和全省公安機(jī)關(guān)“三防”活動(dòng)動(dòng)員大會(huì)精神,切實(shí)加強(qiáng)公安隊(duì)伍教育和管理,堅(jiān)決防止和杜絕公安民警因理想信念動(dòng)搖,敵情觀念淡化,違反政治紀(jì)律而導(dǎo)致被境外敵對(duì)勢(shì)力策反、滲透、出賣(mài)情報(bào)的案件發(fā)生,根據(jù)市局、分局黨委的部署,從__年x月x日至x月x日,深入開(kāi)展了“增強(qiáng)敵情觀念,維護(hù)政治紀(jì)律,防策反、防滲透、防竊密”的活動(dòng)。現(xiàn)將我所貫徹落實(shí)“三防”活動(dòng)的情況總結(jié)如下:
一、 抓好民警的動(dòng)員教育。
我所召開(kāi)了所支部會(huì)和全所民警會(huì),認(rèn)真?zhèn)鬟_(dá)和學(xué)習(xí)了全國(guó)公安機(jī)關(guān)“增強(qiáng)敵情觀念,維護(hù)政治紀(jì)律”座談會(huì)和全省公安機(jī)關(guān)“三防”活動(dòng)動(dòng)員大會(huì)以及市局、分局行動(dòng)方案的精神,《保密法》等,使全所民警掌握了“三防”活動(dòng)的主要指導(dǎo)思想、目標(biāo)要求和主要內(nèi)容。同時(shí)加強(qiáng)了民警的忠誠(chéng)教育、敵情教育、紀(jì)律教育、保密教育、反腐倡廉教育和警示教育。
二、查擺問(wèn)題,積極整改。
在查擺問(wèn)題階段,發(fā)現(xiàn)在民警中存在敵情觀念淡薄、保密觀念不強(qiáng)的問(wèn)題,在公安專(zhuān)線網(wǎng)絡(luò)使用中存在安全隱患與漏洞、防范措施不強(qiáng)問(wèn)題。針對(duì)這些問(wèn)題,我們逐項(xiàng)逐條進(jìn)行分析原因并整改。首先是對(duì)聘用的工作人員進(jìn)行了嚴(yán)格的審批;其次對(duì)使用公安專(zhuān)線的計(jì)算機(jī)按市局要求粘貼了“嚴(yán)禁一機(jī)兩用”和“公安專(zhuān)線,嚴(yán)禁交叉使用”的標(biāo)簽;第三是及時(shí)給每位民警下發(fā)省廳的《公安信息網(wǎng)絡(luò)安全知識(shí)手冊(cè)》;第四是加強(qiáng)對(duì)文件的管理。通過(guò)一系列整改措施,使發(fā)現(xiàn)的問(wèn)題得到了有效解決。
三、整章建制,建立健全了“三防”工作長(zhǎng)效機(jī)制。
通過(guò)整章建制階段,我所建立了日常保密工作制度、安全檢查督促制度、報(bào)告制度等制度,在日常工作中具體貫徹運(yùn)用,以落實(shí)“三防”工作的長(zhǎng)效機(jī)制。
通過(guò)“三防”活動(dòng)和以社會(huì)主義法治理念教育為主要內(nèi)容的執(zhí)法執(zhí)紀(jì)大整頓活動(dòng)。進(jìn)一步增強(qiáng)民警的政治立場(chǎng),提高了政治覺(jué)悟、政治敏銳性和政治鑒別力,增強(qiáng)了敵情觀念;進(jìn)一步增強(qiáng)了民警的政治紀(jì)律性,確保了公安隊(duì)伍的堅(jiān)強(qiáng)戰(zhàn)斗力;進(jìn)一步增強(qiáng)了民警的保密意識(shí)。
大家好!首先,我代表中國(guó)聯(lián)通**分公司全體員工,對(duì)各位領(lǐng)導(dǎo)在百忙之中蒞臨我公司視察指導(dǎo)工作表示熱忱的歡迎。
安全生產(chǎn)及運(yùn)行維護(hù)是通信企業(yè)的“兩大項(xiàng)重要工作”。近年來(lái),我公司在省分公司的正確領(lǐng)導(dǎo)下,全面落實(shí)“安全第一、預(yù)防為主”的安全生產(chǎn)方針,安全生產(chǎn)形勢(shì)保持穩(wěn)定。2005年,我們認(rèn)真貫徹落實(shí)總部《關(guān)于開(kāi)展2005年“全國(guó)安全生產(chǎn)月”活動(dòng)的通知》精神,牢固樹(shù)立“安全生產(chǎn)重于泰山”的觀念,實(shí)施全員、全方位、全過(guò)程的安全監(jiān)督,以加強(qiáng)監(jiān)管制度、加大考核制度為2005年安全生產(chǎn)的切入點(diǎn),進(jìn)一步夯實(shí)了安全生產(chǎn)基礎(chǔ),推動(dòng)了公司經(jīng)營(yíng)工作的發(fā)展。
下面我就中國(guó)聯(lián)通**分公司安全生產(chǎn)及運(yùn)行維護(hù)工作向大家作一個(gè)匯報(bào),敬請(qǐng)批評(píng)指正,并提出寶貴意見(jiàn)。
一、認(rèn)真開(kāi)展安全生產(chǎn)工作:
(一)樹(shù)立安全生產(chǎn)意識(shí),明確安全生產(chǎn)工作的重要意義。
安全生產(chǎn)工作事關(guān)公司發(fā)展和穩(wěn)定的大局。尤其是對(duì)我們通信行業(yè)來(lái)說(shuō),實(shí)現(xiàn)生產(chǎn)安全,保證網(wǎng)絡(luò)暢通,就是保障社會(huì)穩(wěn)定,建立和諧社會(huì)的一個(gè)不可忽視的部分。因此,樹(shù)立先進(jìn)的安全文化理念,建立先進(jìn)的安全生產(chǎn)文化,提高員工的安全生產(chǎn)意識(shí),也就是推進(jìn)公司做大做強(qiáng)的有力保證。
幾年來(lái),我們始終把安全生產(chǎn)作為頭等大事來(lái)抓,堅(jiān)持“安全第一,預(yù)防為主”的生產(chǎn)方針,堅(jiān)持管理、培訓(xùn)、落實(shí)并重,堅(jiān)持黨政工團(tuán)齊抓共管,正確處理安全與生產(chǎn)、安全與改革、安全與效益的關(guān)系,全面加強(qiáng)安全管理,營(yíng)造“關(guān)注安全,平安是福”的濃厚氛圍,為建設(shè)“管理精細(xì)化”的平安公司奠定了基礎(chǔ),實(shí)現(xiàn)了長(zhǎng)治久安。
(二)落實(shí)組織機(jī)構(gòu),加大監(jiān)管力度,加強(qiáng)應(yīng)急預(yù)案的制定和完善。
1、成立了以***總經(jīng)理為組長(zhǎng),***、***、***副總經(jīng)理為副組長(zhǎng)以及各部門(mén)經(jīng)理為成員的安全生產(chǎn)領(lǐng)導(dǎo)小組。以文件的形式明確了各部門(mén)安全生產(chǎn)第一責(zé)任人,制定了相關(guān)的安全生產(chǎn)制度,簽訂了安全生產(chǎn)責(zé)任書(shū),明確了各級(jí)員工安全生產(chǎn)職責(zé)所在,并將績(jī)效考核與之掛鉤,嚴(yán)格執(zhí)行,把它擴(kuò)大到整個(gè)公司整個(gè)安全生產(chǎn)中,明確“責(zé)任不落實(shí)就是安全隱患”的全局觀念。
2、2002年為我公司管理規(guī)范年,該年度,我公司依據(jù)總部及省分公司相關(guān)文件精神,參照其他運(yùn)營(yíng)商的相關(guān)制度,結(jié)合我公司實(shí)際情況,編制了《企業(yè)管理制度匯編》。對(duì)安全生產(chǎn)工作進(jìn)行了全方位的描述,明確規(guī)定了各個(gè)崗位員工的職責(zé)與義務(wù),同時(shí)根據(jù)安全生產(chǎn)工作形勢(shì)的發(fā)展,不斷完善充實(shí),建立健全定期檢查和日常防范相結(jié)合的安全生產(chǎn)規(guī)章制度,嚴(yán)禁一切違反安全生產(chǎn)工作的現(xiàn)象,堅(jiān)決杜絕違紀(jì)違章事故的發(fā)生,使我公司的安全生產(chǎn)做到有章可循,違章必究。
3、按照省分公司“安全事故應(yīng)急救援預(yù)案編制指導(dǎo)意見(jiàn)”的要求,進(jìn)一步完善我公司的各類(lèi)安全事故應(yīng)急救援預(yù)案,組織各部門(mén)安全生產(chǎn)管理人和員工認(rèn)真學(xué)習(xí)預(yù)案的各項(xiàng)內(nèi)容,熟悉掌握應(yīng)急救援職責(zé)、事故報(bào)告及救援程序、步驟和應(yīng)采取的措施,做好必需的物資儲(chǔ)備,真正做到事故發(fā)生后第一時(shí)間到達(dá)事故現(xiàn)場(chǎng),有條不紊地開(kāi)展應(yīng)急救援工作。由于荊州地處長(zhǎng)江中下游,容易受到洪澇災(zāi)害的浸襲,我公司每年都在省分公司的組織下對(duì)各類(lèi)應(yīng)急預(yù)案進(jìn)行修訂,以確保網(wǎng)絡(luò)安全運(yùn)行。多年來(lái)我們制定了GSM網(wǎng)應(yīng)急預(yù)案、CDMA網(wǎng)應(yīng)急預(yù)案、基站應(yīng)急預(yù)案、關(guān)口局應(yīng)急預(yù)案、長(zhǎng)途/IP應(yīng)急預(yù)案、傳輸應(yīng)急預(yù)案、互聯(lián)網(wǎng)應(yīng)急預(yù)案等多類(lèi)應(yīng)急預(yù)案。并經(jīng)過(guò)多方論證,可操作性強(qiáng),同時(shí)建立和健全安全生產(chǎn)預(yù)警機(jī)制,及時(shí)準(zhǔn)確預(yù)警,探索事故發(fā)生的規(guī)律性,尤其是做好生產(chǎn)經(jīng)營(yíng)一線的預(yù)警工作,從預(yù)測(cè)、預(yù)警、預(yù)防三個(gè)方面入手,堅(jiān)持關(guān)口前移,重心下移,充分發(fā)揮了人的主觀能動(dòng)性,用科學(xué)完善的防范措施,建好事故防范的“防火墻”,堅(jiān)決避免各類(lèi)重大事故的發(fā)生。
(三)加大宣傳力度,加強(qiáng)安全意識(shí),開(kāi)展各項(xiàng)檢查及整治工作。
1、本年度,我公司根據(jù)省分安排結(jié)合當(dāng)?shù)貙?shí)際情況,截至現(xiàn)在,開(kāi)展了一月的“安全生產(chǎn)宣傳周”活動(dòng)、六月的“關(guān)注安全、平安是福”的安全生產(chǎn)月宣傳活動(dòng)。進(jìn)行了兩次消防安全知識(shí)培訓(xùn),二次消防演練,講解了各種消防知識(shí),學(xué)習(xí)了各種消防器械的使用方法,傳授了應(yīng)對(duì)各種災(zāi)害時(shí)的自保、自救方法。組織全體員工117人進(jìn)行了一次安全生產(chǎn)培訓(xùn),并進(jìn)行了考試。通過(guò)以上各項(xiàng)活動(dòng),幫助員工樹(shù)立了正確的安全生產(chǎn)意識(shí),掌握了各種消防器材的使用方法,提高了應(yīng)對(duì)突發(fā)事件的能力。
2、大力開(kāi)展檢查及整治工作。一是切實(shí)抓好防火和重大電器設(shè)備的安全工作,特別是通信機(jī)房、電力機(jī)房、庫(kù)房、營(yíng)業(yè)場(chǎng)所、客服等重要場(chǎng)所的消防安全,定期組織檢查,發(fā)現(xiàn)問(wèn)題、堵塞漏洞,加大排查力度,進(jìn)一步理順?lè)阑鸱罏?zāi)的重要部位、環(huán)節(jié)和對(duì)象,徹底消除火災(zāi)隱患,確保公司網(wǎng)絡(luò)穩(wěn)定運(yùn)行。二是隨著近年來(lái),我公司業(yè)務(wù)的迅速發(fā)展,各縣市營(yíng)業(yè)網(wǎng)點(diǎn)的不斷增多,營(yíng)業(yè)廳的資金管理、人身的安全等問(wèn)題呈現(xiàn)出來(lái),針對(duì)這一情況,我公司立即調(diào)查解決,加強(qiáng)所有營(yíng)業(yè)網(wǎng)點(diǎn)的安全防護(hù)措施。抽調(diào)專(zhuān)項(xiàng)資金購(gòu)置了電警棍、消防滅火器及自救式呼吸器,分別安放在營(yíng)業(yè)廳、辦公區(qū)域、機(jī)房、電視電話會(huì)議室、電力室等地。從硬件上保證了安全生產(chǎn)工作的落實(shí),確保了各項(xiàng)業(yè)務(wù)的正常運(yùn)行。同時(shí)各分公司安全管理人員通過(guò)相互交流、觀摩,相互學(xué)習(xí),取長(zhǎng)補(bǔ)短,提升了全市安全管理水平。三是每年度計(jì)劃財(cái)務(wù)部根據(jù)公司上年的實(shí)際開(kāi)支情況,結(jié)合各部門(mén)上報(bào)的各項(xiàng)整改預(yù)算,制定年度的安全生產(chǎn)維護(hù)費(fèi)用,確保能及時(shí)對(duì)生產(chǎn)中發(fā)現(xiàn)的隱患進(jìn)行整改,有效的保證了安全設(shè)施的維護(hù)、維修工作。
二、狠抓運(yùn)行維護(hù)工作:
在日益激烈的競(jìng)爭(zhēng)環(huán)境下,聯(lián)通荊州分公司牢固樹(shù)立“運(yùn)行維護(hù)出質(zhì)量,網(wǎng)絡(luò)優(yōu)化出效益”的理念,加強(qiáng)運(yùn)行維護(hù)基礎(chǔ)管理工作,提高我公司網(wǎng)絡(luò)維護(hù)、網(wǎng)絡(luò)優(yōu)化的水平。
(一)加大新規(guī)程、制度的貫徹執(zhí)行力度。從2004年10月開(kāi)始,荊州分公司多次組織新規(guī)程、制度的學(xué)習(xí)及考試,要求各專(zhuān)業(yè)不折不扣執(zhí)行新規(guī)程、制度,并建立了與省分KPI考核掛鉤的考核獎(jiǎng)勵(lì)辦法,將運(yùn)行維護(hù)的各項(xiàng)KPI考核指標(biāo)分解到各專(zhuān)業(yè)部門(mén),落實(shí)到具體執(zhí)行人,強(qiáng)化了執(zhí)行力,取得了較好的效果。
(二)建立“全程全網(wǎng)”的運(yùn)維管理體系,加強(qiáng)對(duì)干線的維護(hù)管理,清理維護(hù)管理流程。認(rèn)真貫徹落實(shí)總部及省分下發(fā)的各項(xiàng)規(guī)章制度,完成了一干機(jī)房、二干機(jī)房、中心機(jī)房及城區(qū)各基站的標(biāo)準(zhǔn)化工作,并根據(jù)總部有關(guān)光纜線路更新改造工作的安排,對(duì)一干、二干網(wǎng)絡(luò)進(jìn)行了改造和調(diào)整,以確保網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。防汛期間,我們還制定了相應(yīng)的巡線計(jì)劃和三盯措施,委派巡線人員認(rèn)真填寫(xiě)巡檢日志,定時(shí)上報(bào)外力情況,并建立應(yīng)急處理體制,提高自維能力。
(三)建立三級(jí)維護(hù)體系,落實(shí)維護(hù)人員,強(qiáng)化維護(hù)力量。目前,在維護(hù)工作上我公司實(shí)行由運(yùn)行監(jiān)督部全面負(fù)責(zé)監(jiān)管,***進(jìn)行代維的管理模式。為保證網(wǎng)絡(luò)質(zhì)量,各專(zhuān)業(yè)部門(mén)分別與***簽訂了協(xié)議,每月對(duì)代維情況進(jìn)行考核通報(bào)并結(jié)算費(fèi)用,同時(shí)***負(fù)責(zé)人每月還定期對(duì)維護(hù)中出現(xiàn)的難點(diǎn)與專(zhuān)業(yè)部門(mén)進(jìn)行溝通,有效確保了代維工作的順利開(kāi)展。05年以來(lái),***已對(duì)***境內(nèi)的一、二干線路進(jìn)行了多次整改,消除了隱患,降低了故障率。目前移動(dòng)基站總數(shù)已超過(guò)300個(gè),為此我們成立了傳輸優(yōu)化小組,全盤(pán)考慮傳輸網(wǎng)絡(luò)規(guī)劃,全面掌握網(wǎng)絡(luò)資源,及時(shí)調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)。數(shù)據(jù)方面:對(duì)IP超市進(jìn)行了多次的硬件優(yōu)化和軟件升級(jí),針對(duì)互聯(lián)網(wǎng)電路丟包嚴(yán)重而ATM電路相對(duì)較空閑的情況提出了寬帶IP超市走ATM路由的建議,經(jīng)過(guò)實(shí)施后話音質(zhì)量明顯改善。針對(duì)縣市互聯(lián)網(wǎng)帶寬低,與對(duì)手相比處于劣勢(shì)的實(shí)際情況,我們提出了IPOVERSDH的技術(shù)實(shí)現(xiàn)方案,借傳輸建設(shè)2.5G本地網(wǎng)的楔機(jī),通過(guò)加裝以太網(wǎng)板卡實(shí)現(xiàn)了縣市100M互聯(lián)網(wǎng)電路的開(kāi)通,從而大大增強(qiáng)了縣市互聯(lián)網(wǎng)業(yè)務(wù)的競(jìng)爭(zhēng)實(shí)力。通過(guò)這些網(wǎng)絡(luò)優(yōu)化工作大大改善了網(wǎng)絡(luò)運(yùn)行的狀態(tài),為業(yè)務(wù)發(fā)展創(chuàng)造了良好的機(jī)遇。
(四)加強(qiáng)對(duì)各網(wǎng)絡(luò)運(yùn)行狀態(tài)的監(jiān)測(cè)及維護(hù)基礎(chǔ)管理工作的檢查和考核。要求各專(zhuān)業(yè)部門(mén)進(jìn)一步加強(qiáng)對(duì)班組、縣市維護(hù)基礎(chǔ)工作的制度執(zhí)行情況的檢查和考核,運(yùn)維部加強(qiáng)對(duì)各專(zhuān)業(yè)部門(mén)和縣市分公司維護(hù)工作的檢查和考核。主要是檢查原始記錄登統(tǒng)計(jì)的管理,作業(yè)計(jì)劃執(zhí)行情況,值班制度、安全管理制度、維護(hù)操作規(guī)范的落實(shí)情況。進(jìn)一步完善事故報(bào)告分析制度,加大對(duì)障礙處理的預(yù)見(jiàn)性和及時(shí)性,將障礙降低到最低限度。同時(shí)將各專(zhuān)業(yè)部門(mén)對(duì)縣市維護(hù)工作的指導(dǎo)和監(jiān)督納入對(duì)專(zhuān)業(yè)部門(mén)的考核范圍之中,將運(yùn)行維護(hù)分析工作落實(shí)到縣市分公司,對(duì)運(yùn)維中存在問(wèn)題進(jìn)行通報(bào),并責(zé)成相關(guān)部門(mén)與單位進(jìn)行限期整改,從而將運(yùn)行維護(hù)工作形成有效的閉環(huán),不斷的將運(yùn)維工作推向深入,使縣市的維護(hù)水平再上一個(gè)新臺(tái)階。
(五)狠抓指標(biāo)分析和提升工作,提高網(wǎng)絡(luò)運(yùn)行質(zhì)量。05年以來(lái)我公司開(kāi)展了多次專(zhuān)項(xiàng)分析,不斷提升網(wǎng)絡(luò)質(zhì)量。對(duì)G網(wǎng)位置更新成功率進(jìn)行了專(zhuān)題分析,通過(guò)減小周期性位置更新的時(shí)間間隔使該項(xiàng)指標(biāo)從78%上升到93%;對(duì)G網(wǎng)錄音通知機(jī)擁塞情況;對(duì)IP電話忙時(shí)落地應(yīng)答率指標(biāo);對(duì)G網(wǎng)交換系統(tǒng)接通率等進(jìn)行了分析,通過(guò)聯(lián)系網(wǎng)管修改ISUP消息參數(shù)方式,將此類(lèi)不規(guī)范ACM修改為規(guī)范ACM。從而將去話系統(tǒng)接通率由78%提高到95%,整個(gè)交換機(jī)的系統(tǒng)接通率也提高了1.5%。
一、高度重視,精心組織
縣經(jīng)信局和農(nóng)網(wǎng)辦高度重視農(nóng)電安全工作,12月22日至29日,會(huì)同縣水務(wù)局、安監(jiān)局組建3個(gè)工作組,由三名副局長(zhǎng)帶隊(duì)深入全縣供電企業(yè)及供區(qū)全面開(kāi)展安全檢查。檢查前進(jìn)行了統(tǒng)一培訓(xùn),制定了《縣農(nóng)村配電網(wǎng)絡(luò)安全檢查評(píng)分細(xì)則》,明確了檢查內(nèi)容、方法和工作要求,對(duì)15家發(fā)供電企業(yè),采用事先不打招呼直接赴現(xiàn)場(chǎng)、不聽(tīng)匯報(bào)直接查閱資料、詢問(wèn)領(lǐng)導(dǎo)及員工等方式,詳細(xì)了解各電力企業(yè)2014年安全生產(chǎn)工作開(kāi)展情況,針對(duì)發(fā)現(xiàn)的問(wèn)題,提出了整改措施和建議,要求對(duì)照國(guó)家法律法規(guī),認(rèn)真排查安全隱患,加大整治力度,建立長(zhǎng)效機(jī)制,堅(jiān)決杜絕各類(lèi)事故發(fā)生。
二、突出重點(diǎn),嚴(yán)格檢查
此次檢查突出五個(gè)重點(diǎn):一是對(duì)各單位的安全生產(chǎn)“雙主體”責(zé)任落實(shí)及履職情況。二是安全生產(chǎn)制度及執(zhí)行情況。三是主要設(shè)備、設(shè)施安全運(yùn)行情況。四是隱患排查和治理情況。五是事故應(yīng)急預(yù)案制定情況。
三、發(fā)現(xiàn)問(wèn)題,及時(shí)整改
通過(guò)檢查,督促了各供電企業(yè)的安全生產(chǎn)工作的開(kāi)展。大部分企業(yè)都已落實(shí)了安全生產(chǎn)責(zé)任,成立了安全生產(chǎn)工作領(lǐng)導(dǎo)小組,落實(shí)了專(zhuān)(兼)職安全人員,做到了有機(jī)構(gòu)、有制度,層層簽訂了安全生產(chǎn)責(zé)任書(shū);制定了應(yīng)急處置預(yù)案,能?chē)?yán)格執(zhí)行“兩票三制”;能積極組織職工安規(guī)培訓(xùn)和考試,持證上崗制度落實(shí)較好。通過(guò)檢查,共查出安全隱患136處,下達(dá)了整改通知書(shū)16份,并限期整改,定期復(fù)查。綜合全縣電力安全生產(chǎn)檢查情況,發(fā)現(xiàn)主要存在以下問(wèn)題:
1、部分企業(yè)安全生產(chǎn)雙主體責(zé)任不落實(shí)。個(gè)別企業(yè)年初未簽訂安全生責(zé)任書(shū),未落實(shí)專(zhuān)兼職安全生產(chǎn)員,員工未進(jìn)行安全培訓(xùn)和考試,未定期召開(kāi)安全生產(chǎn)例會(huì),分析解決安全生產(chǎn)中的問(wèn)題。如:紅渠電站未簽訂2014年安全目標(biāo)責(zé)任書(shū),安全員未取得安全員資格證上崗。
2、電網(wǎng)安全隱患嚴(yán)重。由于投入不足,小水電供區(qū)未實(shí)施農(nóng)網(wǎng)改造,木電桿多,線路對(duì)地安全距離不夠,檔距跨度大,線徑小,長(zhǎng)期超負(fù)荷帶病運(yùn)行,安全隱患十分突出。如:西清電業(yè)公司匯灘供區(qū)低壓線全部使用木質(zhì)電桿且電桿高度不夠;電力公司供區(qū)村3社220V線路對(duì)地距離不夠,村一社低壓線路老化;桃園電站工地線路凌亂,對(duì)地對(duì)物安全距離不夠,消防器材未定期檢修,滅火器超過(guò)使用期且受潮嚴(yán)重。
3、小水電站,由于建設(shè)年代久遠(yuǎn),生產(chǎn)設(shè)備陳舊老化,未全面實(shí)施技術(shù)改造,設(shè)備更新進(jìn)度緩慢;人員技術(shù)素質(zhì)較低,規(guī)范管理差,潛在安全隱患較多。機(jī)械傳動(dòng)部分無(wú)防護(hù)罩,設(shè)施設(shè)備未進(jìn)行評(píng)級(jí)和編號(hào)掛牌。小水電站對(duì)發(fā)供電設(shè)備設(shè)施提出保護(hù)的水平參差不齊,部份小水電企業(yè)不能及時(shí)排除故障,可能導(dǎo)致主網(wǎng)跳閘事故的發(fā)生,嚴(yán)重威脅電網(wǎng)的安全穩(wěn)定運(yùn)行。
4、安全經(jīng)費(fèi)投入不足。小水電供區(qū)資產(chǎn)清理后,對(duì)低壓供電設(shè)施維護(hù)和隱患整治無(wú)積極性,不愿意再投入,存在的隱患不能完全消除。S101線升級(jí)改造,造成新的安全隱患未整治。上關(guān)10KV、上銀10KV線路,由于業(yè)主單位未支付補(bǔ)助資金,遷改不及時(shí),S101線道路施工,部分電桿基礎(chǔ)破壞,隨時(shí)都有倒桿斷線涉及施工、行人觸電的危險(xiǎn),同時(shí)危及110KV寨坡變電站安全運(yùn)行。
5、高低壓線路障礙多,進(jìn)戶線、廣播通訊線路交叉,用戶用電安全保護(hù)裝置不齊全,入戶線路零亂,線徑小,導(dǎo)線老化嚴(yán)重。
6、用電企業(yè)安全隱患排查不到位,整改責(zé)任不落實(shí),措施不具體,造成了重大安全生產(chǎn)事故,如趕場(chǎng)供電公司年內(nèi)發(fā)生人員傷亡事故,下兩電站排查的安全隱患未落實(shí)責(zé)任人限期整治。
7、個(gè)別企業(yè)兩票三制執(zhí)行不到位。工作票未執(zhí)行,操作票填寫(xiě)不規(guī)范。
8、安全工器具、消防器材未配備齊全,無(wú)臺(tái)賬,未定置擺放。
9、配電臺(tái)區(qū)警示標(biāo)志不齊全,變壓器未按規(guī)定校驗(yàn)。如鄉(xiāng)街道變壓器跌落開(kāi)關(guān)、接地裝置銹蝕嚴(yán)重。鎮(zhèn)村4社變臺(tái)開(kāi)關(guān)箱銹蝕嚴(yán)重。
10、安全管理軟件資料不齊全,填寫(xiě)不規(guī)范。如:桃園電站2014年未建立安全管理制度,應(yīng)急預(yù)案未及時(shí)修訂和演練,無(wú)安全管理記錄,未建立隱患排查整治臺(tái)賬。
【關(guān)鍵詞】 政務(wù)云 云安全 IaaS服務(wù)
信息化建設(shè)是我國(guó)現(xiàn)階段發(fā)展的主要內(nèi)容和方向,但同時(shí)也就面臨著信息安全的眾多問(wèn)題。根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心的報(bào)告,15年接收境內(nèi)外報(bào)告的網(wǎng)絡(luò)安全事件同比增長(zhǎng)125.9%,主要遭受攻擊的對(duì)象就包括政府。因此在電子政務(wù)云建設(shè)時(shí)信息安全方面的內(nèi)容必須作為重點(diǎn)進(jìn)行考慮。
一、電子政務(wù)云安全問(wèn)題分析
云計(jì)算服務(wù)采購(gòu)方式作為電子政務(wù)基礎(chǔ)設(shè)施建設(shè)的主要方式,而IaaS服務(wù)模式是目前常用的政務(wù)云服務(wù)提供模式。
政務(wù)云面臨的安全風(fēng)險(xiǎn)呈現(xiàn)出3個(gè)主要特點(diǎn)。需要管控的角色更多:除一般的系統(tǒng)建設(shè)者和訪問(wèn)用戶外,還有服務(wù)提供商、政府內(nèi)部政務(wù)云的統(tǒng)一管理人員等。需要解決的管控問(wèn)題更多:虛擬化安全的問(wèn)題、對(duì)資源管控能力減弱的問(wèn)題、過(guò)渡依賴和鎖定的問(wèn)題等。影響更深遠(yuǎn):政務(wù)云上的信息出現(xiàn)安全問(wèn)題時(shí)存在影響面更廣、更敏感、政府公信力受損等問(wèn)題。
二、建設(shè)方案探討
按照我國(guó)政府對(duì)信息安全的要求,境內(nèi)的計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)制度。除此外國(guó)家還下發(fā)黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的相關(guān)要求,明確了安全管理責(zé)任不變、數(shù)據(jù)歸屬關(guān)系不變、安全管理標(biāo)準(zhǔn)不變、敏感信息不出境、要參照信息安全國(guó)家標(biāo)準(zhǔn)等的要求。
2.1安全防范需求分析
整體要求:滿足等保要求外,還需滿足黨政內(nèi)部的信息管理要求。
監(jiān)管要求:對(duì)云服務(wù)提供商各方面的管理和監(jiān)督較一般企業(yè)用戶強(qiáng)、要求更高。
數(shù)據(jù)要求:對(duì)數(shù)據(jù)的安全性、機(jī)密性、完整性的要求更高,對(duì)殘余數(shù)據(jù)的處置也更謹(jǐn)慎,對(duì)服務(wù)商數(shù)據(jù)管理的流程和制度提出更高要求。
物理要求:υ浦行牡慕ㄉ櫛恢煤透衾攵紉求更敏感。
分工要求:對(duì)于服務(wù)合同中的責(zé)任義務(wù)要求更明晰,對(duì)云服務(wù)商內(nèi)部的各項(xiàng)管理、監(jiān)測(cè)、檢查、配合度等有更高的要求。
2.2設(shè)計(jì)思路及方案探討
從其本質(zhì)上看,政務(wù)云仍是一類(lèi)信息系統(tǒng),其防護(hù)體系應(yīng)當(dāng)是以等級(jí)保護(hù)為指導(dǎo)思想,并考慮虛擬化等新的技術(shù)和運(yùn)營(yíng)方式所帶來(lái)的安全問(wèn)題,從技術(shù)和管理兩個(gè)層面全方位保護(hù)信息安全,將安全理念貫穿政務(wù)云建設(shè)、整改、測(cè)評(píng)、運(yùn)維全過(guò)程。
設(shè)計(jì)方案時(shí)建議可從以下幾個(gè)內(nèi)容考慮:
等保等級(jí)劃分:按照等保定級(jí)要素和一般流程進(jìn)行分析定級(jí),并參考云計(jì)算服務(wù)安全指南確定是一般保護(hù)或增強(qiáng)保護(hù)。
責(zé)任范圍劃分:云服務(wù)商和政府客戶間基于IaaS的服務(wù),以虛擬化計(jì)算資源層為界線,以上由政府客戶負(fù)責(zé),以下由云服務(wù)商負(fù)責(zé),虛擬化計(jì)算資源層安全措施由雙方分擔(dān)。
物理安全:根據(jù)等保要求,對(duì)機(jī)房位置、環(huán)境、管理等進(jìn)行規(guī)范。
網(wǎng)絡(luò)安全:這里主要討論區(qū)域的劃分,邊界部分則按要求部署FW、IPS/IDS等設(shè)備。功能區(qū)劃分:政務(wù)云一般設(shè)計(jì)時(shí)按業(yè)務(wù)承載類(lèi)型劃分為互聯(lián)網(wǎng)區(qū)和電子政務(wù)外網(wǎng)區(qū),之間有安全設(shè)備進(jìn)行區(qū)間信息的交換管控,確保互聯(lián)網(wǎng)用戶不能直接訪問(wèn)公用網(wǎng)絡(luò)區(qū)的系統(tǒng)。安全域劃分:各個(gè)區(qū)內(nèi)根據(jù)需求劃分安全域,各域之間根據(jù)業(yè)務(wù)需求進(jìn)行隔離。一般可劃分為:完成對(duì)外安全控制的安全邊界區(qū);完成業(yè)務(wù)部署的業(yè)務(wù)區(qū);完成運(yùn)維管理系統(tǒng)部署的運(yùn)維管理區(qū);完成安全管控設(shè)備部署的安全管理區(qū)。
主機(jī)安全:除部署傳統(tǒng)的漏掃、配置核查、安全審計(jì)等主機(jī)安全系統(tǒng)外,還需要考慮傳統(tǒng)安全設(shè)備對(duì)物理主機(jī)內(nèi)部虛擬化主機(jī)的管控缺失問(wèn)題。目前業(yè)界一般以兩種模式解決:集中部署虛機(jī)安全設(shè)備或在虛機(jī)內(nèi)部署安全軟件。前一種方式主要是流量迂回問(wèn)題,后一種方式主要是服務(wù)器資源占用問(wèn)題,后一種方式一般采用較多。
應(yīng)用安全:云服務(wù)商通過(guò)網(wǎng)管系統(tǒng)和安全系統(tǒng)對(duì)應(yīng)用進(jìn)行資源監(jiān)測(cè),但應(yīng)用的主要安全由云服務(wù)使用者完成。應(yīng)用安全審計(jì)則各自收集所控制部分的審計(jì)數(shù)據(jù),云服務(wù)商以云資源應(yīng)用為主,上層應(yīng)用由云服務(wù)使用者完成審計(jì)。
數(shù)據(jù)安全:主要包括數(shù)據(jù)隔離與訪問(wèn)控制、剩余數(shù)據(jù)刪除、數(shù)據(jù)加密和數(shù)據(jù)備份。政務(wù)云比較特殊的是剩余數(shù)據(jù)問(wèn)題,各子系統(tǒng)之間分配各自的物理空間,虛機(jī)遷移或釋放時(shí),虛擬機(jī)內(nèi)的所有信息應(yīng)該被清空,確保數(shù)據(jù)的不泄露。當(dāng)雙方合作終止時(shí),云服務(wù)商需在政府方相關(guān)管理部門(mén)的監(jiān)督下,進(jìn)行信息銷(xiāo)毀。
結(jié)束語(yǔ):政務(wù)云安全的保障是一個(gè)較復(fù)雜的問(wèn)題,設(shè)計(jì)方案時(shí)需從政府業(yè)務(wù)特殊性、云計(jì)算技術(shù)的特點(diǎn)等進(jìn)行多視角的分析,進(jìn)行全局化的設(shè)計(jì)。
參 考 文 獻(xiàn)
[1] GBT 31167-2014,信息安全技術(shù) 云計(jì)算服務(wù)安全指南,中國(guó)標(biāo)準(zhǔn)出版社,2015-04-01;
1數(shù)據(jù)信息安全威脅信息數(shù)據(jù)
面臨的安全威脅來(lái)自于多個(gè)方面,有通過(guò)病毒、非授權(quán)竊取來(lái)破壞數(shù)據(jù)保密性的安全威脅,有因?yàn)椴僮飨到y(tǒng)故障、應(yīng)用系統(tǒng)故障等導(dǎo)致的破壞數(shù)據(jù)完整性的安全威脅,有因?yàn)橛脖P(pán)故障、誤操作等導(dǎo)致的破壞數(shù)據(jù)可用性的安全威脅,還有因?yàn)椴《就{、非授權(quán)篡改導(dǎo)致的破壞數(shù)據(jù)真實(shí)性的安全威脅,這些潛在的安全威脅將會(huì)導(dǎo)致信息數(shù)據(jù)被刪除、破壞、篡改甚至被竊取,給公共衛(wèi)生行業(yè)帶來(lái)無(wú)法彌補(bǔ)的損失。
2安全管理缺失公共衛(wèi)生行業(yè)
在信息化建設(shè)工作中,如果存在重應(yīng)用、輕安全的現(xiàn)象,在IT系統(tǒng)建設(shè)過(guò)程中沒(méi)有充分考慮信息安全的科學(xué)規(guī)劃,將導(dǎo)致后期信息安全建設(shè)和管理工作比較被動(dòng),業(yè)務(wù)的發(fā)展及信息系統(tǒng)的建設(shè)與信息安全管理建設(shè)不對(duì)稱(chēng);或由于重視信息安全技術(shù),輕視安全管理,雖然采用了比較先進(jìn)的信息安全技術(shù),但相應(yīng)的管理措施不到位,如病毒庫(kù)不及時(shí)升級(jí)、變更管理松懈、崗位職責(zé)不清、忽視數(shù)據(jù)備份等現(xiàn)象普遍存在,很有可能會(huì)導(dǎo)致本不應(yīng)該發(fā)生的信息安全事件發(fā)生。
二分析問(wèn)題產(chǎn)生的主要原因
1經(jīng)費(fèi)投入不足導(dǎo)致的安全防范技術(shù)
薄弱許多公共衛(wèi)生機(jī)構(gòu)的信息化基礎(chǔ)設(shè)施和軟硬件設(shè)備,都是在2003年SARS疫情爆發(fā)以后國(guó)家投入建設(shè)的,運(yùn)行至今,很多省級(jí)以下的公共衛(wèi)生單位由于領(lǐng)導(dǎo)認(rèn)識(shí)不足或經(jīng)費(fèi)所限,只重視疾病防控能力和實(shí)驗(yàn)室檢驗(yàn)檢測(cè)能力的建設(shè),而忽視了對(duì)公共衛(wèi)生信息化的投入,很少將經(jīng)費(fèi)用于信息化建設(shè)和信息安全投入,信息化基礎(chǔ)設(shè)施陳舊、軟硬件設(shè)備老化,信息安全防范技術(shù)比較薄弱,因網(wǎng)絡(luò)設(shè)備損壞、服務(wù)器宕機(jī)等故障或無(wú)入侵檢測(cè)、核心防火墻等安全防護(hù)設(shè)備,導(dǎo)致信息數(shù)據(jù)丟失、竊取的現(xiàn)象時(shí)有發(fā)生,嚴(yán)重影響了重要信息數(shù)據(jù)的保密性、完整性和安全性,一旦發(fā)生信息安全事件后果將不堪設(shè)想。
2專(zhuān)業(yè)技術(shù)人才缺乏
建設(shè)信息化、發(fā)展信息化最大的動(dòng)力資源是掌握信息化的專(zhuān)業(yè)技術(shù)人才,人才的培養(yǎng)是行業(yè)信息化高速發(fā)展的基礎(chǔ),然而,公共衛(wèi)生行業(yè)的人才梯隊(duì)主要以疾病控制、醫(yī)學(xué)檢驗(yàn)專(zhuān)業(yè)為主,信息化、信息安全專(zhuān)業(yè)技術(shù)人才缺乏,隊(duì)伍力量薄弱,不能很好地利用現(xiàn)有的計(jì)算機(jī)軟硬件設(shè)備,也很難對(duì)本單位現(xiàn)有的信息化、信息安全現(xiàn)狀進(jìn)行有效的評(píng)估,缺乏制定本行業(yè)長(zhǎng)期、可持續(xù)信息化建設(shè)發(fā)展規(guī)劃的能力,這也是制約公共衛(wèi)生行業(yè)信息化發(fā)展的重要因素。
3信息安全培訓(xùn)不足
職工安全保密意識(shí)不強(qiáng)信息安全是一項(xiàng)全員參與的工作,它不僅是信息化管理部門(mén)的本職工作,更是整個(gè)公共衛(wèi)生行業(yè)的重要工作職責(zé),很多單位沒(méi)有將信息安全培訓(xùn)放在重要位置,沒(méi)有定期開(kāi)展信息安全意識(shí)教育培訓(xùn),許多職工對(duì)網(wǎng)絡(luò)安全不夠重視,缺乏網(wǎng)絡(luò)安全意識(shí),隨意接收、下載、拷貝未知文件,沒(méi)有查殺病毒、木馬的習(xí)慣,經(jīng)常有意無(wú)意的傳播病毒,使得單位網(wǎng)絡(luò)系統(tǒng)經(jīng)常遭受ARP、宏病毒等病毒木馬的攻擊,嚴(yán)重影響了單位網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行;同時(shí),許多職工對(duì)于單位的移動(dòng)介質(zhì)缺乏規(guī)范化管理意識(shí),隨意將拷貝有信息的移動(dòng)硬盤(pán)、優(yōu)盤(pán)等介質(zhì)帶出單位,在其他聯(lián)網(wǎng)的計(jì)算機(jī)上使用,信息容易失竊,存在非常嚴(yán)重的信息安全隱患。
三如何促進(jìn)公共衛(wèi)生行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全性提升
1強(qiáng)化管理
建立行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度為了確保整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的安全有效運(yùn)行,建立出一套既符合本行業(yè)工作實(shí)際的,又滿足網(wǎng)絡(luò)實(shí)際安全需要的、切實(shí)可行的安全管理制度勢(shì)在必行。主要包括以下三方面的內(nèi)容:
1.1成立信息安全管理機(jī)構(gòu)
引進(jìn)信息安全專(zhuān)業(yè)技術(shù)人才,結(jié)合單位開(kāi)展的工作特點(diǎn),從管理、安全等級(jí)保護(hù)、安全防范、人員管理等方面制定統(tǒng)管全局的網(wǎng)絡(luò)安全管理規(guī)定。
1.2制定信息安全知識(shí)培訓(xùn)制度
定期開(kāi)展全員信息安全知識(shí)培訓(xùn),讓全體員工及時(shí)了解計(jì)算機(jī)網(wǎng)絡(luò)安全知識(shí)最新動(dòng)態(tài),結(jié)合信息安全事件案列,進(jìn)一步強(qiáng)化職工對(duì)信息安全保密重要性的認(rèn)識(shí)。同時(shí),對(duì)信息技術(shù)人員進(jìn)行專(zhuān)業(yè)知識(shí)和操作技能的培訓(xùn),培養(yǎng)一支具有安全管理意識(shí)的隊(duì)伍,提高應(yīng)對(duì)各種網(wǎng)絡(luò)安全攻擊破壞的能力。
1.3建立信息安全監(jiān)督檢查機(jī)制
開(kāi)展定期或不定期內(nèi)部信息安全監(jiān)督檢查,同時(shí)將信息安全檢查納入單位季度、年度綜合目標(biāo)責(zé)任制考核體系,檢查結(jié)果直接與科室和個(gè)人的獎(jiǎng)勵(lì)績(jī)效工資、評(píng)先評(píng)優(yōu)掛鉤,落實(shí)獎(jiǎng)懲機(jī)制,懲防并舉,確保信息安全落實(shí)無(wú)死角。
2開(kāi)展信息安全等級(jí)保護(hù)
建設(shè)開(kāi)展信息安全等級(jí)保護(hù)建設(shè),通過(guò)對(duì)公共衛(wèi)生行業(yè)處理、存儲(chǔ)重要信息數(shù)據(jù)的信息系統(tǒng)實(shí)行分等級(jí)安全保護(hù),對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置,建立健全信息安全應(yīng)急機(jī)制,定期對(duì)信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)情況進(jìn)行測(cè)評(píng),存在問(wèn)題及時(shí)整改,從制度落實(shí)、安全技術(shù)防護(hù)、應(yīng)急處置管理等各個(gè)方面,進(jìn)一步提高公共衛(wèi)生行業(yè)信息安全的防護(hù)能力、應(yīng)急處置能力和安全隱患發(fā)現(xiàn)能力。
3加強(qiáng)網(wǎng)絡(luò)安全技術(shù)防范
隨著信息技術(shù)的高速發(fā)展,信息網(wǎng)絡(luò)安全需要依托防火墻、入侵檢測(cè)、VPN等安全防護(hù)設(shè)施,充分運(yùn)用各個(gè)軟硬件網(wǎng)絡(luò)安全技術(shù)特點(diǎn),建立安全策略層、用戶層、網(wǎng)絡(luò)與信息資源層和安全服務(wù)層4個(gè)層次的網(wǎng)絡(luò)安全防護(hù)體系,全面增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。
3.1防火墻技術(shù)
防火墻技術(shù)在公共衛(wèi)生行業(yè)網(wǎng)絡(luò)安全建設(shè)體系中發(fā)揮著重要的作用,按照結(jié)構(gòu)和功能通常劃分為濾防火墻、應(yīng)用防火墻和狀態(tài)檢測(cè)防火墻三種類(lèi)型,一般部署在核心網(wǎng)絡(luò)的邊緣,將內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離,有效地記錄Internet上的活動(dòng),將網(wǎng)絡(luò)中不安全的服務(wù)進(jìn)行有效的過(guò)濾,并嚴(yán)格限制網(wǎng)絡(luò)之間的互相訪問(wèn),從而提高網(wǎng)絡(luò)的防毒能力和抗攻擊能力,確保內(nèi)部網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。
3.2入侵檢測(cè)
入侵檢測(cè)是防火墻的合理補(bǔ)充,是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備,檢測(cè)方法包括基于專(zhuān)家系統(tǒng)入侵檢測(cè)方法和基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法兩種,利用入侵檢測(cè)系統(tǒng),能夠迅速及時(shí)地發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象,幫助系統(tǒng)對(duì)付內(nèi)部攻擊和外部網(wǎng)絡(luò)攻擊,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵,在安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別等方面進(jìn)一步擴(kuò)展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。
3.3虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)技術(shù)
VPN技術(shù)因?yàn)榈统杀尽⒏叨褥`活的特點(diǎn),在很多行業(yè)信息化建設(shè)中被廣泛應(yīng)用,公共衛(wèi)生行業(yè)也有很多信息系統(tǒng)都是基于VPN進(jìn)行數(shù)據(jù)傳輸?shù)模缰袊?guó)疾病預(yù)防控制信息系統(tǒng)等,通過(guò)在公用網(wǎng)絡(luò)上建立VPN,利用VPN網(wǎng)關(guān)將數(shù)據(jù)包進(jìn)行加密和目標(biāo)地址轉(zhuǎn)換,以實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)。VPN技術(shù)實(shí)現(xiàn)方式目前運(yùn)用的主要有MPLS、IPSEC和SSL三種類(lèi)型,中國(guó)疾病預(yù)防控制信息系統(tǒng)VPN鏈路網(wǎng)絡(luò)采用的就是IPSECVPN模式,利用VPN鏈路隧道,實(shí)現(xiàn)國(guó)家到省、市、縣四級(jí)的互聯(lián)互通和數(shù)據(jù)傳輸共享。VPN通過(guò)使用點(diǎn)到點(diǎn)協(xié)議用戶級(jí)身份驗(yàn)證的方法進(jìn)行驗(yàn)證,將高度敏感的數(shù)據(jù)地址進(jìn)行物理分隔,只有授權(quán)用戶才能與VPN服務(wù)器建立連接,進(jìn)行遠(yuǎn)程訪問(wèn),避免非授權(quán)用戶接觸或竊取重要數(shù)據(jù),為用戶信息提供了很高的安全性保護(hù)。
四結(jié)語(yǔ)
關(guān)鍵詞:信息安全防護(hù)體系;風(fēng)險(xiǎn)評(píng)估;信息安全隱患;應(yīng)急預(yù)案
中圖分類(lèi)號(hào):F470.6 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):
信息安全管理是信息安全防護(hù)體系建設(shè)的重要內(nèi)容,也是完善各項(xiàng)信息安全技術(shù)措施的基礎(chǔ),而信息安全管理標(biāo)準(zhǔn)又是信息安全管理的基礎(chǔ)和準(zhǔn)則,因此要做好信息安全防護(hù)體系建設(shè),必須從強(qiáng)化管理著手,首先制定信息安全管理標(biāo)準(zhǔn)。電力系統(tǒng)借鑒 ISO27000國(guó)際信息安全管理理念,并結(jié)合公司信息安全實(shí)際情況,制訂了信息安全管理標(biāo)準(zhǔn),明確了各單位、各部門(mén)的職責(zé)劃分,固化了信息系統(tǒng)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估管理、信息安全專(zhuān)項(xiàng)檢查與治理、信息安全預(yù)案管理、安全事件統(tǒng)計(jì)調(diào)查及組織整改等工作流程,促進(jìn)了各單位信息安全規(guī)范性管理,為各項(xiàng)信息安全技術(shù)措施奠定了基礎(chǔ),顯著提升了公司信息安全防護(hù)體系建設(shè)水平。
1電力系統(tǒng)信息安全防護(hù)目標(biāo)
規(guī)范、加強(qiáng)公司網(wǎng)絡(luò)和信息系統(tǒng)安全的管理,確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運(yùn)行和確保信息內(nèi)容的機(jī)密性、完整性、可用性,防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰, 抵御黑客、病毒、惡意代碼等對(duì)信息系統(tǒng)發(fā)起的各類(lèi)攻擊和破壞,防止信息內(nèi)容及數(shù)據(jù)丟失和失密,防止有害信息在網(wǎng)上傳播,防止公司對(duì)外服務(wù)中斷和由此造成的電力系統(tǒng)運(yùn)行事故,并以此提升公司信息安全的整體管理水平。
2信息安全防護(hù)體系建設(shè)重點(diǎn)工作
電力系統(tǒng)信息安全防護(hù)體系建設(shè)應(yīng)遵循“強(qiáng)化管理、標(biāo)準(zhǔn)先行”的理念。下面,結(jié)合本公司信息安全防護(hù)體系建設(shè)經(jīng)驗(yàn),對(duì)信息安全防護(hù)體系建設(shè)四項(xiàng)重點(diǎn)工作進(jìn)行闡述。
2.1 信息系統(tǒng)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估管理
信息管理部門(mén)信息安全管理專(zhuān)職根據(jù)年度信息化項(xiàng)目綜合計(jì)劃,每年在綜合計(jì)劃正式下達(dá)后,制定全年新建應(yīng)用系統(tǒng)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估計(jì)劃,確保系統(tǒng)上線前符合國(guó)網(wǎng)公司信息安全等級(jí)保護(hù)要求。 應(yīng)用系統(tǒng)在建設(shè)完成后 10個(gè)工作日內(nèi),按照《國(guó)家電網(wǎng)公司信息系統(tǒng)上下線管理辦法》要求進(jìn)行上線申請(qǐng)。 由信息管理部門(mén)信息安全管理專(zhuān)職在接到上線申請(qǐng) 10個(gè)工作日內(nèi), 組織應(yīng)用系統(tǒng)專(zhuān)職及業(yè)務(wù)主管部門(mén)按照《國(guó)家電網(wǎng)公司信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》對(duì)系統(tǒng)的安全性進(jìn)行風(fēng)險(xiǎn)評(píng)估測(cè)試,并形成評(píng)估報(bào)告交付業(yè)務(wù)部門(mén)。 對(duì)應(yīng)用系統(tǒng)不滿足安全要求的部分, 業(yè)務(wù)部門(mén)應(yīng)在收到評(píng)估報(bào)告后 10個(gè)工作日內(nèi)按照《國(guó)家電網(wǎng)公司信息安全加固實(shí)施指南(試行)》進(jìn)行安全加固,加固后 5個(gè)工作日內(nèi),經(jīng)信息管理部門(mén)復(fù)查,符合安全要求后方可上線試運(yùn)行。應(yīng)用系統(tǒng)進(jìn)入試運(yùn)行后,應(yīng)嚴(yán)格做好數(shù)據(jù)的備份、保證系統(tǒng)及用戶數(shù)據(jù)的安全,對(duì)在上線后影響網(wǎng)絡(luò)信息安全的,信息管理部門(mén)有權(quán)停止系統(tǒng)的運(yùn)行。
2.2 信息安全專(zhuān)項(xiàng)檢查與治理
信息管理部門(mén)信息安全管理專(zhuān)職每年年初制定公司全年信息安全專(zhuān)項(xiàng)檢查工作計(jì)劃。檢查內(nèi)容包括公司本部及各基層單位的終端設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、機(jī)房安全等。 信息安全專(zhuān)職按照計(jì)劃組織公司信息安全督查員開(kāi)展信息安全專(zhuān)項(xiàng)檢查工作,對(duì)在檢查中發(fā)現(xiàn)的問(wèn)題,檢查后 5 個(gè)工作日內(nèi)錄入信息安全隱患庫(kù)并反饋給各相關(guān)單位,隱患分為重大隱患和一般隱患,對(duì)于重大隱患,信息安全專(zhuān)職負(fù)責(zé)在錄入隱患庫(kù) 10 個(gè)工作日內(nèi)組織制定重大隱患治理方案。 各單位必須在收到反饋 5 個(gè)工作日內(nèi)對(duì)發(fā)現(xiàn)的問(wèn)題制定治理方案, 并限期整技信息部信息安全專(zhuān)職。信息管理部門(mén)安全專(zhuān)職對(duì)隱患庫(kù)中所有隱患的治理情況進(jìn)行跟蹤,并組織復(fù)查,對(duì)未能按期完成整改的單位,信息安全專(zhuān)職 10 個(gè)工作日內(nèi)匯報(bào)信息管理部門(mén)負(fù)責(zé)人, 信息管理部門(mén)有權(quán)向人資部建議對(duì)其進(jìn)行績(jī)效考核。
2.3 信息安全應(yīng)急預(yù)案管理
信息管理部門(mén)信息安全管理專(zhuān)職每年 年初制定公司全年信息安全應(yīng)急預(yù)案編制、演練及修訂計(jì)劃,并下發(fā)給各單位。各單位信息安全專(zhuān)職按照計(jì)劃組織本單位開(kāi)展相關(guān)預(yù)案的制定,各種預(yù)案制定后 5 個(gè)工作日內(nèi)交本部門(mén)主要負(fù)責(zé)人審批,審批通過(guò)后 5 個(gè)工作日內(nèi)報(bào)信息管理部門(mén)信息安全專(zhuān)職。各單位信息安全專(zhuān)職負(fù)責(zé)組織對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),并按年度計(jì)劃開(kāi)展預(yù)案演練。 根據(jù)演練結(jié)果,10 個(gè)工作日內(nèi)組織對(duì)預(yù)案進(jìn)行修訂。各單位信息安全預(yù)案應(yīng)每年至少進(jìn)行一次審查修訂, 對(duì)更新后的內(nèi)容, 需在 10 個(gè)工作日內(nèi)經(jīng)本部門(mén)領(lǐng)導(dǎo)審批,并在審批通過(guò)后 5 個(gè)工作日內(nèi)報(bào)信息管理部門(mén)備案。
2.4 安全事件統(tǒng)計(jì)、調(diào)查及組織整改
信息管理部門(mén)信息安全專(zhuān)職負(fù)責(zé)每月初對(duì)公司本部及各基層單位上個(gè)月信息安全事件進(jìn)行統(tǒng)計(jì)。 各系統(tǒng)負(fù)責(zé)人、各單位信息安全管理專(zhuān)職負(fù)責(zé)統(tǒng)計(jì)本系統(tǒng)、單位的信息安全事件,并在每月 30 日以書(shū)面形式報(bào)告信息管理部門(mén)信息安全專(zhuān)職, 對(duì)于逾期未報(bào)的按無(wú)事件處理。 出現(xiàn)信息安全事件后 5 個(gè)工作日內(nèi),信息管理部門(mén)信息安全專(zhuān)職負(fù)責(zé)組織對(duì)事件的調(diào)查,調(diào)查過(guò)程嚴(yán)格按照《國(guó)家電網(wǎng)公司信息系統(tǒng)事故調(diào)查及統(tǒng)計(jì)規(guī)定(試行)》執(zhí)行,并組織開(kāi)展信息系統(tǒng)事故原因分析,堅(jiān)持“四不放過(guò)”原則,調(diào)查后 5 個(gè)工作日內(nèi)組織編寫(xiě)事件調(diào)查報(bào)告。調(diào)查、分析完成后 10 個(gè)工作日內(nèi)組織落實(shí)各項(xiàng)整改措施。信息安全事件調(diào)查嚴(yán)格執(zhí)行《國(guó)家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)制度》制度。
3評(píng)估與改進(jìn)
通過(guò)執(zhí)行“強(qiáng)化管理、標(biāo)準(zhǔn)先行”的信息安全防護(hù)體系建設(shè)理念和實(shí)施電力公司信息安全管理標(biāo)準(zhǔn), 明確了各項(xiàng)工作的“5W1H”。 使信息管理部門(mén)和各部門(mén)及下屬各單位的接口與職責(zé)劃分進(jìn)一步清晰,有效協(xié)調(diào)了相互之間的分工協(xié)作。 并通過(guò) ITMIS 系統(tǒng)進(jìn)行對(duì)上述流程進(jìn)行固化,在嚴(yán)格執(zhí)行國(guó)網(wǎng)公司、省公司各項(xiàng)安全要求的基礎(chǔ)上簡(jiǎn)化了工作流程, 搭建了信息安全防護(hù)建設(shè)工作的基礎(chǔ)架構(gòu),實(shí)現(xiàn)了信息安全防護(hù)建設(shè)工作的體系化。同時(shí)在標(biāo)準(zhǔn)的 PDCA 四階段循環(huán)周期通過(guò)管理目標(biāo)、職責(zé)分工,管理方法,管理流程、考核要求,文檔記錄 6 種管理要素對(duì)信息系統(tǒng)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估管理、信息安全專(zhuān)項(xiàng)檢查與治理、信息安全預(yù)案管理、安全事件統(tǒng)計(jì)調(diào)查及組織整改4 項(xiàng)管理內(nèi)容進(jìn)行持續(xù)改進(jìn),使信息安全防護(hù)體系建設(shè)工作的質(zhì)量有了質(zhì)變提升。 在信息安全防護(hù)建設(shè)工作的基礎(chǔ)架構(gòu)搭建完成后,江蘇省電力公司常州供電公司下一步將重點(diǎn)完善信息安全防護(hù)體系中技術(shù)體系建設(shè),管理與技術(shù)措施并舉,構(gòu)建堅(jiān)強(qiáng)信息安全防護(hù)體系。
