時間:2023-01-06 15:19:20
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網(wǎng)絡(luò)安全整改報告,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
一、2020年度網(wǎng)絡(luò)安全檢查工作組織開展情況
一、統(tǒng)一思想認(rèn)識,提高政治站位。迅速召開專題會議,傳達學(xué)習(xí)財政部網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室《關(guān)于地方財政部門進一步強化網(wǎng)絡(luò)安全暨開展2020年網(wǎng)絡(luò)安全檢查的通知》文件精神,并對網(wǎng)絡(luò)安全工作作出了重要指示和部署。
二、加強統(tǒng)一領(lǐng)導(dǎo),落實安全責(zé)任。為進一步加強對網(wǎng)絡(luò)安全檢查自查工作的組織領(lǐng)導(dǎo),成立了由局黨組書記、局長吳冰同志為組長,各黨組成員為副組長的自查工作領(lǐng)導(dǎo)小組,負責(zé)網(wǎng)絡(luò)安全檢查自查工作安排部署,嚴(yán)格對照核查內(nèi)容和工作要求,認(rèn)真開展了自查工作。
三、加強督查督導(dǎo),確保整改到位。結(jié)合我縣財政實際情況,組織安排好本地區(qū)財政系統(tǒng)網(wǎng)絡(luò)安全檢查工作,全面排查網(wǎng)絡(luò)風(fēng)險、漏洞和突出問題,及時部署整改措施,提高網(wǎng)絡(luò)安全防護能力。
二、2020年網(wǎng)絡(luò)安全檢查情況匯總
一是組織領(lǐng)導(dǎo)方面。成立了由主要領(lǐng)導(dǎo)擔(dān)任第一責(zé)任人、各相關(guān)股室參與、信息中心負責(zé)具體工作的財政系統(tǒng)安全保護工作領(lǐng)導(dǎo)小組,統(tǒng)一協(xié)調(diào)全局開展財政專網(wǎng)運行安全管理工作。
二是網(wǎng)絡(luò)安全方面。一是做好本級計算機安全檢查。從內(nèi)外網(wǎng)是否混接、財政應(yīng)用軟件是否使用ukey登錄、計算機殺毒、系統(tǒng)漏洞補丁修復(fù)、計算機實名制管理等方面對全局所有財政專網(wǎng)計算機進行網(wǎng)絡(luò)安全檢查。二是重新部署內(nèi)網(wǎng)殺毒確保安全。所有金財網(wǎng)pc端及服務(wù)器均安裝了省廳統(tǒng)一部署的亞信防病毒軟件,所有外網(wǎng)安裝了360、金山毒霸等殺毒軟件;pc端及服務(wù)器均采用了登錄強口令密碼、數(shù)據(jù)庫異地存儲備份、數(shù)據(jù)加密等安全防護措施。三是切實抓好金財網(wǎng)、外網(wǎng)、媒介和應(yīng)用軟件的管理,對金財網(wǎng)pc端、外網(wǎng)pc端實行分網(wǎng)管理,嚴(yán)格區(qū)分內(nèi)網(wǎng)和外網(wǎng),確保內(nèi)外網(wǎng)不混用、不同用。四是加強對硬件安全的管理,包括防塵、防潮、防雷、防火、防盜、和電源連接等;加強密碼管理、ip管理、互聯(lián)網(wǎng)行為管理等;加強計算機應(yīng)用安全管理,包括郵件系統(tǒng)、資源庫管理、軟件管理等。
三是落實責(zé)任方面。一是建立健全相關(guān)制度。為確保計算機網(wǎng)絡(luò)安全、建立健全了《計算機安全保密制度》、《網(wǎng)絡(luò)信息安全管理制度》等一系列規(guī)章制度,確保本單位信息系統(tǒng)建設(shè)和網(wǎng)絡(luò)安全能夠正常運行。二是制定了《縣財政局網(wǎng)絡(luò)安全應(yīng)急預(yù)案》,按照要求定期開展應(yīng)急演練。三是按照州財政局要求,聯(lián)合縣電信公司對全縣金財網(wǎng)ip地址進行了規(guī)范改造。四是結(jié)合省財政廳相關(guān)要求,正在對關(guān)鍵系統(tǒng)開展等保評測工作,嚴(yán)格按照網(wǎng)絡(luò)安全行業(yè)主管部門的要求,及時查漏補缺,完成評測整改工作。確保核心業(yè)務(wù)系統(tǒng)安全運行,保障全縣財政業(yè)務(wù)正常開展。五是對照國家等級保護2.0標(biāo)準(zhǔn)及省財政廳制定的相關(guān)技術(shù)規(guī)范添置入侵檢測、入侵防護、安全審計、數(shù)據(jù)備份等網(wǎng)絡(luò)安全防護設(shè)備。強化網(wǎng)絡(luò)安全硬件保障基礎(chǔ),補齊網(wǎng)絡(luò)安全硬件建設(shè)上的短板。
四是宣傳教育方面。一是加強網(wǎng)絡(luò)安全學(xué)習(xí)培訓(xùn)。定期不定期組織全局人員專題培訓(xùn)等方式全方位宣傳學(xué)習(xí)《網(wǎng)絡(luò)安全法》等。二是積極主動對接當(dāng)?shù)鼐W(wǎng)信辦及網(wǎng)安部門,參加網(wǎng)絡(luò)安全宣傳周活動,每年定期組織預(yù)算單位財務(wù)人員集中培訓(xùn)網(wǎng)絡(luò)安全知識與日常管理技巧,提高網(wǎng)絡(luò)安全意識,防范不規(guī)范操作,規(guī)避內(nèi)外網(wǎng)互聯(lián)風(fēng)險。
五是落實經(jīng)費方面。將網(wǎng)絡(luò)安全建設(shè)經(jīng)費納入年初預(yù)算,確保經(jīng)費保障充足,相繼采購防火墻、堡壘機、安全管理系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品,進一步提高了網(wǎng)絡(luò)安全技術(shù)保障能力。
三、存在的問題
一、整體安全狀況的基本判斷
從檢查情況看,網(wǎng)絡(luò)與信息安全總體情況良好。始終把信息安全作為信息化工作的重點內(nèi)容,網(wǎng)絡(luò)信息安全工作機構(gòu)健全、責(zé)任明確,日常管理維護工作比較規(guī)范;管理制度完善,技術(shù)防護措施得當(dāng),信息安全風(fēng)險得到有效降低;比較重視信息系統(tǒng)系統(tǒng)管理員和網(wǎng)絡(luò)安全技術(shù)人員培訓(xùn),應(yīng)急預(yù)案與應(yīng)急處置技術(shù)隊伍有落實,工作經(jīng)費有一定保障,基本保證了網(wǎng)信息系統(tǒng)持續(xù)安全穩(wěn)定運行。
二、發(fā)現(xiàn)的主要問題和薄弱環(huán)節(jié)
雖然我縣財政系統(tǒng)網(wǎng)絡(luò)安全在上級部門的指導(dǎo)下取得了一定的成績,但在檢查過程中也發(fā)現(xiàn)了一些管理方面存在的薄弱環(huán)節(jié),如網(wǎng)絡(luò)信息安全知識宣傳較少、網(wǎng)絡(luò)安全管理專業(yè)技術(shù)力量薄弱等。
以下是《通信網(wǎng)絡(luò)安全防護監(jiān)督管理辦法(征求意見稿)》全文:
為切實履行通信網(wǎng)絡(luò)安全管理職責(zé),提高通信網(wǎng)絡(luò)安全防護水平,依據(jù)《中華人民共和國電信條例》,工業(yè)和信息化部起草了《通信網(wǎng)絡(luò)安全防護監(jiān)督管理辦法(征求意見稿)》,現(xiàn)予以公告,征求意見。請于2009年9月4日前反饋意見。
聯(lián)系地址:北京西長安街13號工業(yè)和信息化部政策法規(guī)司(郵編:100804)
電子郵件:wangxiaofei@miit.gov.cn
附件:《通信網(wǎng)絡(luò)安全防護監(jiān)督管理辦法(征求意見稿)》
通信網(wǎng)絡(luò)安全防護監(jiān)督管理辦法
(征求意見稿)
第一條(目的依據(jù))為加強對通信網(wǎng)絡(luò)安全的管理,提高通信網(wǎng)絡(luò)安全防護能力,保障通信網(wǎng)絡(luò)安全暢通,根據(jù)《中華人民共和國電信條例》,制定本辦法。
第二條(適用范圍)中華人民共和國境內(nèi)的電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)域名服務(wù)提供者(以下統(tǒng)稱“通信網(wǎng)絡(luò)運行單位”)管理和運行的公用通信網(wǎng)和互聯(lián)網(wǎng)(以下統(tǒng)稱“通信網(wǎng)絡(luò)”)的網(wǎng)絡(luò)安全防護工作,適用本辦法。
本辦法所稱互聯(lián)網(wǎng)域名服務(wù),是指設(shè)置域名數(shù)據(jù)庫或域名解析服務(wù)器,為域名持有者提供域名注冊或權(quán)威解析服務(wù)的行為。
本辦法所稱網(wǎng)絡(luò)安全防護工作,是指為防止通信網(wǎng)絡(luò)阻塞、中斷、癱瘓或被非法控制等以及通信網(wǎng)絡(luò)中傳輸、存儲、處理的數(shù)據(jù)信息丟失、泄露或被非法篡改等而開展的相關(guān)工作。
第三條(管轄職責(zé))中華人民共和國工業(yè)和信息化部(以下簡稱工業(yè)和信息化部)負責(zé)全國通信網(wǎng)絡(luò)安全防護工作的統(tǒng)一指導(dǎo)、協(xié)調(diào)、監(jiān)督和檢查,建立健全通信網(wǎng)絡(luò)安全防護體系,制訂通信網(wǎng)絡(luò)安全防護標(biāo)準(zhǔn)。
省、自治區(qū)、直轄市通信管理局(以下簡稱“通信管理局”)依據(jù)本辦法的規(guī)定,對本行政區(qū)域內(nèi)通信網(wǎng)絡(luò)安全防護工作進行指導(dǎo)、協(xié)調(diào)、監(jiān)督和檢查。
工業(yè)和信息化部和通信管理局統(tǒng)稱“電信管理機構(gòu)”。
第四條(責(zé)任主體)通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)按照本辦法和通信網(wǎng)絡(luò)安全防護政策、標(biāo)準(zhǔn)的要求開展通信網(wǎng)絡(luò)安全防護工作,對本單位通信網(wǎng)絡(luò)安全負責(zé)。
第五條(方針原則)通信網(wǎng)絡(luò)安全防護工作堅持積極防御、綜合防范的方針,實行分級保護的原則。
第六條(同步要求)通信網(wǎng)絡(luò)運行單位規(guī)劃、設(shè)計、新建、改建通信網(wǎng)絡(luò)工程項目,應(yīng)當(dāng)同步規(guī)劃、設(shè)計、建設(shè)滿足通信網(wǎng)絡(luò)安全防護標(biāo)準(zhǔn)要求的通信網(wǎng)絡(luò)安全保障設(shè)施,并與主體工程同時進行驗收和投入運行。
已經(jīng)投入運行的通信網(wǎng)絡(luò)安全保障設(shè)施沒有滿足通信網(wǎng)絡(luò)安全防護標(biāo)準(zhǔn)要求的,通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)進行改建。
通信網(wǎng)絡(luò)安全保障設(shè)施的規(guī)劃、設(shè)計、新建、改建費用,應(yīng)當(dāng)納入本單位建設(shè)項目預(yù)算。
第七條(分級保護要求)通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)按照通信網(wǎng)絡(luò)安全防護標(biāo)準(zhǔn)規(guī)定的方法,對本單位已正式投入運行的通信網(wǎng)絡(luò)進行單元劃分,將各通信網(wǎng)絡(luò)單元按照其對國家和社會經(jīng)濟發(fā)展的重要程度由低到高分別劃分為一級、二級、三級、四級、五級。
通信網(wǎng)絡(luò)單元的分級結(jié)果應(yīng)由接受其備案的電信管理機構(gòu)組織專家進行評審。
通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)根據(jù)實際情況適時調(diào)整通信網(wǎng)絡(luò)單元的劃分和級別。通信網(wǎng)絡(luò)運行單位調(diào)整通信網(wǎng)絡(luò)單元的劃分和級別的,應(yīng)當(dāng)按照前款規(guī)定重新進行評審。
第八條(備案要求1)通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)按照下列規(guī)定在通信網(wǎng)絡(luò)投入運行后30日內(nèi)將通信網(wǎng)絡(luò)單元向電信管理機構(gòu)備案:
(一)基礎(chǔ)電信業(yè)務(wù)經(jīng)營者集團公司直接管理的通信網(wǎng)絡(luò)單元,向工業(yè)和信息化部備案;基礎(chǔ)電信業(yè)務(wù)經(jīng)營者各省(自治區(qū)、直轄市)子公司、分公司負責(zé)管理的通信網(wǎng)絡(luò)單元,向當(dāng)?shù)赝ㄐ殴芾砭謧浒浮?/p>
(二)增值電信業(yè)務(wù)經(jīng)營者的通信網(wǎng)絡(luò)單元,向電信業(yè)務(wù)經(jīng)營許可證的發(fā)證機構(gòu)備案。
(三)互聯(lián)網(wǎng)域名服務(wù)提供者的通信網(wǎng)絡(luò)單元,向工業(yè)和信息化部備案。
第九條(備案要求2)通信網(wǎng)絡(luò)運行單位辦理通信網(wǎng)絡(luò)單元備案,應(yīng)當(dāng)提交以下信息:
(一)通信網(wǎng)絡(luò)單元的名稱、級別、主要功能等。
(二)通信網(wǎng)絡(luò)單元責(zé)任單位的名稱、聯(lián)系方式等。
(三)通信網(wǎng)絡(luò)單元主要負責(zé)人的姓名、聯(lián)系方式等。
(四)通信網(wǎng)絡(luò)單元的拓撲架構(gòu)、網(wǎng)絡(luò)邊界、主要軟硬件及型號、關(guān)鍵設(shè)施位址等。
前款規(guī)定的備案信息發(fā)生變化的,通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)自變更之日起15日內(nèi)向電信管理機構(gòu)變更備案。
第十條(備案審核)電信管理機構(gòu)應(yīng)當(dāng)自收到通信網(wǎng)絡(luò)單元備案申請后20日內(nèi)完成備案信息審核工作。備案信息真實、齊全、符合規(guī)定形式的,應(yīng)當(dāng)予以備案;備案信息不真實、不齊全或者不符合規(guī)定形式的,應(yīng)當(dāng)通知備案單位補正。
第十一條(符合性評測要求)通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)按照通信網(wǎng)絡(luò)安全防護標(biāo)準(zhǔn)的要求,落實與通信網(wǎng)絡(luò)單元級別相適應(yīng)的安全防護措施,并自行組織進行符合性評測。評測方法應(yīng)當(dāng)符合通信網(wǎng)絡(luò)安全防護標(biāo)準(zhǔn)的有關(guān)規(guī)定。
三級及三級以上通信網(wǎng)絡(luò)單元,應(yīng)當(dāng)每年進行一次符合性評測;二級通信網(wǎng)絡(luò)單元,應(yīng)當(dāng)每兩年進行一次符合性評測。通信網(wǎng)絡(luò)單元的級別調(diào)整后,應(yīng)當(dāng)及時重新進行符合性評測。
符合性評測結(jié)果及整改情況或者整改計劃應(yīng)當(dāng)于評測結(jié)束后30日內(nèi)報送通信網(wǎng)絡(luò)單元的備案機構(gòu)。
第十二條(風(fēng)險評估要求)通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)對通信網(wǎng)絡(luò)單元進行經(jīng)常性的風(fēng)險評估,及時消除重大網(wǎng)絡(luò)安全隱患。風(fēng)險評估方法應(yīng)當(dāng)符合通信網(wǎng)絡(luò)安全防護標(biāo)準(zhǔn)的有關(guān)規(guī)定。
三級及三級以上通信網(wǎng)絡(luò)單元,應(yīng)當(dāng)每年進行一次風(fēng)險評估;二級通信網(wǎng)絡(luò)單元,應(yīng)當(dāng)每兩年進行一次風(fēng)險評估;國家重大活動舉辦前,三級及三級以上通信網(wǎng)絡(luò)單元應(yīng)當(dāng)進行風(fēng)險評估。
風(fēng)險評估結(jié)果及隱患處理情況或者處理計劃應(yīng)當(dāng)于風(fēng)險評估結(jié)束后30日內(nèi)上報通信網(wǎng)絡(luò)單元的備案機構(gòu)。
第十三條(災(zāi)難備份要求)通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)按照通信網(wǎng)絡(luò)安全防護標(biāo)準(zhǔn)的要求,對通信網(wǎng)絡(luò)單元的重要線路、設(shè)備、系統(tǒng)和數(shù)據(jù)等進行備份。
第十四條(演練要求)通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)定期或不定期組織演練檢驗通信網(wǎng)絡(luò)安全防護措施的有效性,并參加電信管理機構(gòu)組織開展的演練。
第十五條(監(jiān)測要求)通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)對本單位通信網(wǎng)絡(luò)的安全狀況進行自主監(jiān)測,按照通信網(wǎng)絡(luò)安全防護標(biāo)準(zhǔn)建設(shè)和運行通信網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)。
通信網(wǎng)絡(luò)運行單位的監(jiān)測系統(tǒng)應(yīng)當(dāng)按照電信管理機構(gòu)的要求,與電信管理機構(gòu)的監(jiān)測系統(tǒng)互聯(lián)。
第十六條(CNCERT職責(zé))工業(yè)和信息化部委托國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心建設(shè)和運行互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)。
第十七條(安全服務(wù)規(guī)范)通信網(wǎng)絡(luò)運行單位委托其他單位進行安全評測、評估、監(jiān)測等工作的,應(yīng)當(dāng)加強對受委托單位的管理,保證其服務(wù)符合通信網(wǎng)絡(luò)安全防護標(biāo)準(zhǔn)及有關(guān)法律、法規(guī)和政策的要求。
第十八條(監(jiān)督檢查)電信管理機構(gòu)應(yīng)當(dāng)根據(jù)本辦法和通信網(wǎng)絡(luò)安全防護政策、標(biāo)準(zhǔn),對通信網(wǎng)絡(luò)運行單位開展通信網(wǎng)絡(luò)安全防護工作的情況進行監(jiān)督檢查。
第十九條(檢查措施)電信管理機構(gòu)有權(quán)采取以下措施對通信網(wǎng)絡(luò)安全防護工作進行監(jiān)督檢查:
(一)查閱通信網(wǎng)絡(luò)運行單位的符合性評測報告和風(fēng)險評估報告。
(二)查閱通信網(wǎng)絡(luò)運行單位的有關(guān)文檔和工作記錄。
(三)向通信網(wǎng)絡(luò)運行單位工作人員詢問了解有關(guān)情況。
(四)查驗通信網(wǎng)絡(luò)運行單位的有關(guān)設(shè)施。
(五)對通信網(wǎng)絡(luò)進行技術(shù)性分析和測試。
(六)采用法律、行政法規(guī)規(guī)定的其他檢查方式。
第二十條(委托檢查)電信管理機構(gòu)可以委托網(wǎng)絡(luò)安全檢測專業(yè)機構(gòu)開展通信網(wǎng)絡(luò)安全檢測活動。
第二十一條(配合檢查的義務(wù))通信網(wǎng)絡(luò)運行單位對電信管理機構(gòu)及其委托的專業(yè)機構(gòu)依據(jù)本辦法開展的監(jiān)督檢查和檢測活動應(yīng)當(dāng)予以配合,不得拒絕、阻撓。
第二十二條(規(guī)范檢查單位)電信管理機構(gòu)及其委托的專業(yè)機構(gòu)對通信網(wǎng)絡(luò)安全防護工作進行監(jiān)督檢查和檢測,不得影響通信網(wǎng)絡(luò)的正常運行,不得收取任何費用,不得要求接受監(jiān)督檢查的單位購買指定品牌或者指定生產(chǎn)、銷售單位的安全軟件、設(shè)備或者其他產(chǎn)品。
第二十三條(規(guī)范檢查人員)電信管理機構(gòu)及其委托的專業(yè)機構(gòu)的監(jiān)督檢查人員應(yīng)當(dāng)忠于職守、堅持原則,不得泄漏監(jiān)督檢查工作中知悉的國家秘密、商業(yè)秘密、技術(shù)秘密和個人隱私。
第二十四條(對專業(yè)機構(gòu)的要求)電信管理機構(gòu)委托的專業(yè)機構(gòu)進行檢測時,應(yīng)當(dāng)書面記錄檢查的對象、時間、地點、內(nèi)容、發(fā)現(xiàn)的問題等,由檢查單位和被檢查單位相關(guān)負責(zé)人簽字蓋章后,報委托方。
第二十五條(罰則1)違反本辦法第六條、第七條、第八條、第九條、第十一條、第十二條、第十三條、第十四條、第十五條、第十七條、第二十一條規(guī)定的,由電信管理機構(gòu)責(zé)令改正,給予警告,并處5000元以上3萬元以下的罰款。
第二十六條(罰則2)未按照通信網(wǎng)絡(luò)安全防護標(biāo)準(zhǔn)落實安全防護措施或者存在重大網(wǎng)絡(luò)安全隱患的,由電信管理機構(gòu)責(zé)令整改,并對整改情況進行監(jiān)督檢查。拒不改正的,由電信管理機構(gòu)給予警告,并處1萬元以上3萬元以下的罰款。
醫(yī)院網(wǎng)絡(luò)與信息安全自查報告
按照衛(wèi)健發(fā)[2019]52號文件通知精神,我院領(lǐng)導(dǎo)高度重視,召開全院職工會議,深入學(xué)習(xí)和認(rèn)真貫徹落實文件精神,充分認(rèn)識到開展網(wǎng)絡(luò)與信息安全自查工作的重要性和必要性,對自查工作做了詳細部署,院長親自負責(zé)安排信息安全自查工作,并就自查中發(fā)現(xiàn)的問題認(rèn)真做好相關(guān)記錄,及時整改,完善。現(xiàn)將我院信息安全工作自查情況匯報如下:
一、我院的網(wǎng)絡(luò)為聯(lián)通互聯(lián)網(wǎng)專線,帶防火墻,以確保網(wǎng)絡(luò)能夠獨立、安全、高效運行。重點抓好“三大安全”排查。
1.硬件安全,組織人員對全院設(shè)備進行防雷、防火、防盜電源進行檢查,目前均無安全隱患。
2.網(wǎng)絡(luò)安全:包括網(wǎng)絡(luò)結(jié)構(gòu)、密碼管理、IP管理、互聯(lián)網(wǎng)行為管理等;網(wǎng)絡(luò)結(jié)構(gòu)包括網(wǎng)絡(luò)結(jié)構(gòu)合理,網(wǎng)絡(luò)連接的穩(wěn)定性,網(wǎng)絡(luò)設(shè)備(交換機、路由器、光纖收發(fā)器等)的穩(wěn)定性。HIS系統(tǒng)的操作員,每人有自己的登錄名和密碼,并分配相應(yīng)的操作員權(quán)限,不得使用其他人的操作賬戶,賬戶施行“誰使用、誰管理、誰負責(zé)” 的管理制度。互聯(lián)網(wǎng)施行固定IP地址,由醫(yī)院統(tǒng)一分配、管理,不允許私自添加新IP,未經(jīng)分配的IP均無法實現(xiàn)上網(wǎng)。
3.數(shù)據(jù)安全:未經(jīng)院方批準(zhǔn),任何人不得將醫(yī)院內(nèi)各科室的數(shù)據(jù)向外傳遞或泄露,一經(jīng)發(fā)現(xiàn)將嚴(yán)肅處理。
二、我院每季度組織全院工作人員進行一次網(wǎng)絡(luò)安全教育培訓(xùn),并按照“誰使用誰負責(zé)”的制度管理并定期對全院網(wǎng)絡(luò)設(shè)備進行檢查、排查,防止安全隱患的設(shè)備運行,對存在安全隱患的設(shè)備及時處理并向上級單位報告。
根據(jù)xx信息化領(lǐng)導(dǎo)小組辦公室下發(fā)的相關(guān)通知,我院依照通知精神成立了信息安全工作領(lǐng)導(dǎo)小組,制定計劃,明確責(zé)任,具體落實,對我院的信息網(wǎng)絡(luò)與信息安全進行了一次全面的調(diào)查。發(fā)現(xiàn)問題,分析問題,解決問題。確保了網(wǎng)絡(luò)安全,更好的為檢務(wù)工作服務(wù)。
一、 加強領(lǐng)導(dǎo),成立了網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組
為進一步加強網(wǎng)絡(luò)信息系統(tǒng)安全管理工作,xx成立了網(wǎng)絡(luò)信息系統(tǒng)安全工作小組,做到分工明確,責(zé)任到人。安全工作領(lǐng)導(dǎo)小組組長為xx,副組長xx,成員xx。分工職責(zé)如下:xx為信息安全工作第一負責(zé)人,全面負責(zé)信息安全管理工作。xx負責(zé)信息安全管理工作的日常事務(wù)。xx負責(zé)計算機網(wǎng)絡(luò)與信息安全管理工作的日常協(xié)調(diào)、網(wǎng)絡(luò)維護和技術(shù)管理。
二、 信息安全工作主要方面
1、技術(shù)方面,網(wǎng)站服務(wù)器計算機設(shè)置防火墻,拒絕外來惡意攻擊。安裝正版防病毒軟件,對計算機病毒、有害電子郵件有效過濾。
2、設(shè)備方面,內(nèi)網(wǎng)與外網(wǎng)嚴(yán)格分開,并按xx高院要求,安裝密碼機,有效維護網(wǎng)絡(luò)安全。機房按照“三鐵兩器”要求設(shè)置,即鐵窗、鐵門、保險柜、監(jiān)控器、報警器齊全。
3、應(yīng)急處理方面,我院具備專業(yè)技術(shù)人員,一旦發(fā)生網(wǎng)絡(luò)安全事故可立即報告相關(guān)人員,對突發(fā)網(wǎng)絡(luò)安全事故可快速安全處理。
4、容災(zāi)備份,對重要信息采取備份,當(dāng)遇故障時能夠保障重點重要數(shù)據(jù)的完整。
三、自查中發(fā)現(xiàn)的主要問題及整改情況
經(jīng)過自查,我院信息安全總體狀況良好,未發(fā)生信息安全事故。在本次檢查過程中也暴露了一些問題,機房設(shè)施投入不足,個別人員計算機安全意識不強等。
自2020年12月加入***醫(yī)療集團以來擔(dān)任信息安全經(jīng)理一職,在這六個月的試用期中通過與各位同事、領(lǐng)導(dǎo)的相處,使我漸漸開始適應(yīng)現(xiàn)在的工作環(huán)境和節(jié)奏,在工作中體會到的領(lǐng)導(dǎo)和同事踏實認(rèn)真的工作態(tài)度,讓我更加嚴(yán)格的要求主機,把工作做好做細。在此,我需真誠的向各位領(lǐng)導(dǎo)和同事表達我深深的謝意,感謝大家在這段時間給予我足夠的寬容、鼓勵和幫助。下面就我六個月的試用期工作進行總結(jié)。
1. 已完成項目總結(jié):
1)三級等保測評:根據(jù)國家相關(guān)法律法規(guī)要求,北京和睦家醫(yī)院需通過等級保護三級測評。入職時,此項目已過初測階段進入到整改階段,根據(jù)測評機構(gòu)給出的差異分析報告進行高風(fēng)險項和中風(fēng)險項的整改工作,作為整個項目的執(zhí)行者,之前的工作經(jīng)驗在整改過程中起到了一定的作用,提高了整改工作的效率并編寫了等級保護要求相關(guān)文檔,例如:信息安全應(yīng)急預(yù)案,操作系統(tǒng)基線檢查模板等,同時也存在一些不足,例如對于等級保護要求的一些條例理解不夠深刻,對于等保測評的算分公式不夠熟悉等。在最終測評時,積極配合測評機構(gòu)的測評工作,回答測評機構(gòu)提到的關(guān)鍵問題,使得終測過程較為順利的完成,并以優(yōu)異的分?jǐn)?shù)通過了三級等保測評,拿到了三級等保報告,當(dāng)然這也少不了其他同事的共同努力。
2)安全體系建設(shè)--評估階段:根據(jù)領(lǐng)導(dǎo)要求,負責(zé)和睦家信息安全體系建設(shè),作為此項目的負責(zé)人,我將此項目分為三個階段完成,分別為:評估階段,建設(shè)階段,以及運營階段。在評估階段的主要目標(biāo)是需要評估和睦家現(xiàn)狀,以及為安全體系建設(shè)第二階段做準(zhǔn)備,如不做評估的話是無法進行從0-1的安全體系建設(shè),在評估的過程中利用自己的專業(yè)知識并結(jié)合等級保護三級的要求,進行了多維度的評估。完成評估后,列出了安全體系建設(shè)架構(gòu)圖,但由于做評估時有些方向沒有做深入的調(diào)研,導(dǎo)致安全體系架構(gòu)圖的某些模塊無法實現(xiàn),后期會進行一系列的調(diào)整及優(yōu)化。
3)安全意識培訓(xùn):企業(yè)無時無刻都面臨著信息安全的威脅及風(fēng)險,根據(jù)領(lǐng)導(dǎo)要求,作為該項目的負責(zé)人,已于近期針對于和睦家內(nèi)部IT部門進行了安全意識培訓(xùn)工作,培訓(xùn)內(nèi)容包括安全意識概念、密碼安全、系統(tǒng)安全、郵件安全、物理安全、社會工程攻擊等內(nèi)容,通過安全意識培訓(xùn),提升了企業(yè)內(nèi)部對于信息安全的理解以及信息安全的重要性,同時也在一定程度上提升了員工識別信息安全風(fēng)險的技能和意識,但美中不足的是培訓(xùn)內(nèi)容過多,培訓(xùn)時間較長,所以需要對培訓(xùn)的素材進行優(yōu)化。
4)支持其他Site網(wǎng)絡(luò)安全工作情況:
遠程支持**網(wǎng)安檢查,配合IT Manger通過青島市網(wǎng)安的例行檢查,并提出與網(wǎng)安檢查相關(guān)的檢查項及關(guān)鍵點,最終***以較高的分?jǐn)?shù)通過檢查。
青島互聯(lián)網(wǎng)醫(yī)院上線前審查,配合IT Manager通過青島互聯(lián)網(wǎng)醫(yī)院上線前審查,提供了網(wǎng)絡(luò)安全應(yīng)急預(yù)案的培訓(xùn)以及相關(guān)檢查項的整改方案,并在審查當(dāng)天進行遠程技術(shù)支持。
***三級等保測評工作,遠程配合***在三級等保終測,并提供相關(guān)漏掃報告,以及技術(shù)答疑等,最終***復(fù)核等保三級測評要求,通過三級等保測評。
2. 正在進行中的項目:
a)安全運營中心部署:根據(jù)三級等保要求以及安全體系建設(shè)需求,需成立安全運營中心,和睦家購買了IBM的SIEM平臺QRadar,目前該項目已完成北京區(qū)域部署,進入到優(yōu)化策略階段,目前已將AD認(rèn)證類的告警策略優(yōu)化完成,下一步準(zhǔn)備優(yōu)化病毒類告警以及服務(wù)器相關(guān)告警,待策略優(yōu)化完成后,部署全國各Site日志采集器和流量采集器,預(yù)計本年度完成全國部署。
b)Knowbe4釣魚郵件測試平臺:由于釣魚郵件對企業(yè)造成的安全風(fēng)險較高,威脅較大,所以準(zhǔn)備采購響應(yīng)的釣魚郵件測試平臺,通過該平臺的釣魚郵件測試來提升員工對于防釣魚的安全意識,目前該項目已將報價提交給采購進行價格評估,待采購評估價格后進行購買實施。
c) ***全國安全意識培訓(xùn):為提升和睦家員工的信息安全意識,計劃于本年度完成***全國員工的信息安全意識培訓(xùn),目前已完成北京***部門的培訓(xùn),下一步進行***的信息安全意識培訓(xùn)。
3. 個人能力自我評估:
通過六個月的工作,我發(fā)現(xiàn)了自身存在的一些優(yōu)點與不足:
a)溝通能力方面:樂于與同事及領(lǐng)導(dǎo)積極溝通,并了解自己的任務(wù)和角色,樂于與同事合作以達成目標(biāo),但有的時候溝通方式存在一定的問題,導(dǎo)致溝通效果欠佳。在今后的工作中,也會注意自己與領(lǐng)導(dǎo)和同事之間的溝通方式及方法,做到高效溝通。
b)項目管理能力:擅長項目管理,因為之前系統(tǒng)的學(xué)習(xí)過項目管理的知識,所以在工作中可以利用學(xué)習(xí)到的知識去進行高效工作,但偶爾會出現(xiàn)不熟悉企業(yè)內(nèi)部的工作流程導(dǎo)致對于項目的管理出現(xiàn)偏差,我會在未來的工作中盡快的熟悉各項工作流程,避免再次出現(xiàn)同樣的問題。
c) 崗位知識方面:在信息安全體系建設(shè)、安全運營、安全意識培訓(xùn)以及安全事件分析方面較為擅長,由于網(wǎng)絡(luò)安全涉及到的知識面非常廣,在工作的過程中也意識到我所在的崗位上,有些需要用到的信息安全相關(guān)知識自己并不夠?qū)I(yè),所以在今后的工作和生活中還需要加強學(xué)習(xí)相關(guān)崗位知識,并實際運用到工作中。
d)工作態(tài)度方面:工作態(tài)度積極、主動,時常保持良好的狀態(tài)完成工作或解決問題。
【關(guān)鍵詞】信息安全等級保護 測評實施
1 引言
醫(yī)院信息化建設(shè)快速發(fā)展,信息系統(tǒng)應(yīng)用深入到各個環(huán)節(jié),信息業(yè)務(wù)系統(tǒng)承載了門診收費、門診藥房、住院收費、住院藥房、醫(yī)保、財務(wù)、門急診醫(yī)生護士站、住院醫(yī)生護士站、電子病歷、病案首頁、檢驗LIS系統(tǒng)、檢查PACS系統(tǒng)、體檢系統(tǒng)等。保障重點信息系統(tǒng)的安全,規(guī)范信息安全等級保護,完善信息保護機制,提高信息系統(tǒng)的防護能力和應(yīng)急水平,有效遏制重大網(wǎng)絡(luò)與信息安全事件的發(fā)生,創(chuàng)造良好的信息系統(tǒng)安全運營環(huán)境勢在必要。根據(jù)衛(wèi)生部印發(fā)的《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》,衛(wèi)生信息安全工作是我國衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級保護工作,對于促進衛(wèi)生信息化健康發(fā)展,保障醫(yī)藥衛(wèi)生體制改革,維護公共利益、社會秩序和國家安全具有重要意義。
2 確定測評對象與等級
我院是一所二級甲等綜合醫(yī)院,日門診人次1000人左右,住院日人次400余人。醫(yī)院信息系統(tǒng)HIS、LIS、PACS、電子病歷、體檢等50余個系統(tǒng)無縫結(jié)合,信息雙向交流。按照《信息系統(tǒng)安全等級保護定級指南》定級原理,確定醫(yī)院信息業(yè)務(wù)系統(tǒng)的安全保護等級為第2級,其中業(yè)務(wù)信息安全保護等級為2級,系統(tǒng)服務(wù)安全保護等級為2級。
2.1 招標(biāo)比選測評公司
醫(yī)院通過四川警察網(wǎng)了解到四川省獲得信息安全等級保護測評有資質(zhì)的5家公司。醫(yī)院電話通知該5家公司,簡單介紹醫(yī)院信息化情況,其中有3家公司到現(xiàn)場進行調(diào)查,掌握了信息系統(tǒng)情況。然后通過招標(biāo)比選確定一家公司為我院測評安全等級保護。
2.2 測評實施
2.2.1 準(zhǔn)備階段
醫(yī)院填報《安全等級保護備案申報表》、《安全等級保護定級報告》,確定安全主管人員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、審計管理員、安全管理員。醫(yī)院組織相關(guān)人員到市級計算機安全學(xué)會進行安全培訓(xùn)學(xué)習(xí)。確定醫(yī)院信息安全主管人員協(xié)助測評公司人員就醫(yī)院信息業(yè)務(wù)系統(tǒng)做調(diào)研,提交準(zhǔn)備資料。調(diào)研內(nèi)容涉及網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖、線路鏈接情況、中心機房位置分布情況、應(yīng)用系統(tǒng)組成情況、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及相應(yīng)的IP地址、網(wǎng)絡(luò)互連設(shè)備的配置、網(wǎng)絡(luò)安全設(shè)備的配置、安全文檔等。
2.2.2 測評主要內(nèi)容
主要針對醫(yī)院信息系統(tǒng)技術(shù)安全和安全管理兩方面實施測評,其中技術(shù)安全包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全及備份恢復(fù)進行5;安全管理包括安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理。
2.2.3 測評方式與測評范圍
測評公司綜合采用了現(xiàn)場測評與風(fēng)險分析方法測評、單元測評與整體測評。單元測評實施過程中采用現(xiàn)場訪談、檢查和測試等測評方法。就各類崗位人員進行訪談,了解醫(yī)院業(yè)務(wù)運作以及網(wǎng)絡(luò)運行狀況;查看主機房、應(yīng)用系統(tǒng)軟件、主機操作系統(tǒng)及安全相關(guān)軟件、數(shù)據(jù)庫管理系統(tǒng)、安全設(shè)備管理系統(tǒng)、安全文檔、網(wǎng)絡(luò)分布鏈接情況。檢查物理安全、主機安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等技術(shù)類測評任務(wù),以及安全管理類測評任務(wù);查閱分析文檔、核查安全配置、監(jiān)聽與分析網(wǎng)絡(luò)等檢查方法查證防火墻、路由器、交換機部署及其配置情況、端口開放情況等;測評人員采用手工驗證和工具測試進行漏洞掃描、系統(tǒng)滲透測試,檢查系統(tǒng)的安全有效性。
整體測評主要應(yīng)用于安全控制間、層面間和區(qū)域間等三個方面。主要就是針對同一區(qū)域內(nèi)、同一層面上或不同層面上的不同安全控制間存在的安全問題以及不同區(qū)域間的互連互通時的安全性。
醫(yī)院信息系統(tǒng)運用了身份鑒別措施、軟件容錯機制、用戶權(quán)限分組管理、密碼賬戶登錄、數(shù)據(jù)庫表中記錄用戶操作、對重要事件進行審計并留存記錄。網(wǎng)絡(luò)邊界處部署防火墻防御入侵,終端使用了趨勢網(wǎng)絡(luò)版本防病毒產(chǎn)品,抵御惡意代碼。開啟系統(tǒng)審計日志,制定和實施有效安全管理制度,加強安全管理,降低系統(tǒng)安全風(fēng)險。網(wǎng)絡(luò)進行了有效的區(qū)域劃分,區(qū)域之間通過訪問控制列表實現(xiàn)安全控制,與社保局、醫(yī)管辦等第三方外聯(lián)區(qū)之間通過防火墻嚴(yán)格限制訪問端口。
2.2.5 差距分析與測評整改
通過測評,測評公司寫出測評報告,提出整改建議。按照《信息系統(tǒng)安全等級保護基本要求》要求6,測評公司人員根據(jù)醫(yī)院當(dāng)前安全管理需要和管理特點,針對等級保護所要求的安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理,從人員、制度、運作、規(guī)范等角度,進行全面的建設(shè)7,提供技術(shù)建設(shè)措施,落實等級保護制度的各項要求,就各類人員進行安全培訓(xùn),提升醫(yī)院信息系統(tǒng)管理的能力。醫(yī)院分期逐步投入防網(wǎng)絡(luò)入侵系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)等。
2.2.6 編制報告,成功備案
測評公司編制報告,上報市公安局備案成功,獲得二級信息系統(tǒng)備案證書。二級信息系統(tǒng),每兩年進行一次信息安全等級測評。實施安全等級保護測評備案使醫(yī)院信息系統(tǒng)安全管理水平提高,安全保護能力增強,有效保障信息化健康發(fā)展。
3 結(jié)語
網(wǎng)絡(luò)安全問題是一個集技術(shù)、管理和法規(guī)于一體的長期系統(tǒng)工程,始終有其動態(tài)性,醫(yī)院需要不斷進行完善,加強管理,持續(xù)增加安全設(shè)備以保障醫(yī)院數(shù)據(jù)安全有效,保障信息系統(tǒng)安全穩(wěn)定運行。醫(yī)院信息安全建設(shè)要切合自身條件特點,分期分批循序建設(shè),保證醫(yī)院各系統(tǒng)長期穩(wěn)定安全運行,以適應(yīng)醫(yī)院不斷擴展的業(yè)務(wù)應(yīng)用和管理需求8。
參考文獻
[1]衛(wèi)辦發(fā).〔2011〕85號,衛(wèi)生部關(guān)于印發(fā)“衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見”的通知,2011.
[2]尚邦治.做好信息安全等級保護工作[J].中國衛(wèi)生信息管理雜志,2005.
[3]王建英,陳文霞,胡雯,張鵬.醫(yī)院信息安全分析及措施[J].中國病案,2013.
[4]王俊.醫(yī)院信息安全等級保護管理體系的構(gòu)建[J].醫(yī)學(xué)信息,2013.
[5]韓作為.醫(yī)院信息安全等級保護三級建設(shè)流程與要點[J].中國數(shù)字醫(yī)學(xué),2006.
派出所貫徹落實“三防”活動情況總結(jié)
為深入貫徹落實全國公安機關(guān)“增強敵情觀念,維護政治紀(jì)律”座談會和全省公安機關(guān)“三防”活動動員大會精神,切實加強公安隊伍教育和管理,堅決防止和杜絕公安民警因理想信念動搖,敵情觀念淡化,違反政治紀(jì)律而導(dǎo)致被境外敵對勢力策反、滲透、出賣情報的案件發(fā)生,根據(jù)市局、分局黨委的部署,從__年x月x日至x月x日,深入開展了“增強敵情觀念,維護政治紀(jì)律,防策反、防滲透、防竊密”的活動。現(xiàn)將我所貫徹落實“三防”活動的情況總結(jié)如下:
一、 抓好民警的動員教育。
我所召開了所支部會和全所民警會,認(rèn)真?zhèn)鬟_和學(xué)習(xí)了全國公安機關(guān)“增強敵情觀念,維護政治紀(jì)律”座談會和全省公安機關(guān)“三防”活動動員大會以及市局、分局行動方案的精神,《保密法》等,使全所民警掌握了“三防”活動的主要指導(dǎo)思想、目標(biāo)要求和主要內(nèi)容。同時加強了民警的忠誠教育、敵情教育、紀(jì)律教育、保密教育、反腐倡廉教育和警示教育。
二、查擺問題,積極整改。
在查擺問題階段,發(fā)現(xiàn)在民警中存在敵情觀念淡薄、保密觀念不強的問題,在公安專線網(wǎng)絡(luò)使用中存在安全隱患與漏洞、防范措施不強問題。針對這些問題,我們逐項逐條進行分析原因并整改。首先是對聘用的工作人員進行了嚴(yán)格的審批;其次對使用公安專線的計算機按市局要求粘貼了“嚴(yán)禁一機兩用”和“公安專線,嚴(yán)禁交叉使用”的標(biāo)簽;第三是及時給每位民警下發(fā)省廳的《公安信息網(wǎng)絡(luò)安全知識手冊》;第四是加強對文件的管理。通過一系列整改措施,使發(fā)現(xiàn)的問題得到了有效解決。
三、整章建制,建立健全了“三防”工作長效機制。
通過整章建制階段,我所建立了日常保密工作制度、安全檢查督促制度、報告制度等制度,在日常工作中具體貫徹運用,以落實“三防”工作的長效機制。
通過“三防”活動和以社會主義法治理念教育為主要內(nèi)容的執(zhí)法執(zhí)紀(jì)大整頓活動。進一步增強民警的政治立場,提高了政治覺悟、政治敏銳性和政治鑒別力,增強了敵情觀念;進一步增強了民警的政治紀(jì)律性,確保了公安隊伍的堅強戰(zhàn)斗力;進一步增強了民警的保密意識。
大家好!首先,我代表中國聯(lián)通**分公司全體員工,對各位領(lǐng)導(dǎo)在百忙之中蒞臨我公司視察指導(dǎo)工作表示熱忱的歡迎。
安全生產(chǎn)及運行維護是通信企業(yè)的“兩大項重要工作”。近年來,我公司在省分公司的正確領(lǐng)導(dǎo)下,全面落實“安全第一、預(yù)防為主”的安全生產(chǎn)方針,安全生產(chǎn)形勢保持穩(wěn)定。2005年,我們認(rèn)真貫徹落實總部《關(guān)于開展2005年“全國安全生產(chǎn)月”活動的通知》精神,牢固樹立“安全生產(chǎn)重于泰山”的觀念,實施全員、全方位、全過程的安全監(jiān)督,以加強監(jiān)管制度、加大考核制度為2005年安全生產(chǎn)的切入點,進一步夯實了安全生產(chǎn)基礎(chǔ),推動了公司經(jīng)營工作的發(fā)展。
下面我就中國聯(lián)通**分公司安全生產(chǎn)及運行維護工作向大家作一個匯報,敬請批評指正,并提出寶貴意見。
一、認(rèn)真開展安全生產(chǎn)工作:
(一)樹立安全生產(chǎn)意識,明確安全生產(chǎn)工作的重要意義。
安全生產(chǎn)工作事關(guān)公司發(fā)展和穩(wěn)定的大局。尤其是對我們通信行業(yè)來說,實現(xiàn)生產(chǎn)安全,保證網(wǎng)絡(luò)暢通,就是保障社會穩(wěn)定,建立和諧社會的一個不可忽視的部分。因此,樹立先進的安全文化理念,建立先進的安全生產(chǎn)文化,提高員工的安全生產(chǎn)意識,也就是推進公司做大做強的有力保證。
幾年來,我們始終把安全生產(chǎn)作為頭等大事來抓,堅持“安全第一,預(yù)防為主”的生產(chǎn)方針,堅持管理、培訓(xùn)、落實并重,堅持黨政工團齊抓共管,正確處理安全與生產(chǎn)、安全與改革、安全與效益的關(guān)系,全面加強安全管理,營造“關(guān)注安全,平安是福”的濃厚氛圍,為建設(shè)“管理精細化”的平安公司奠定了基礎(chǔ),實現(xiàn)了長治久安。
(二)落實組織機構(gòu),加大監(jiān)管力度,加強應(yīng)急預(yù)案的制定和完善。
1、成立了以***總經(jīng)理為組長,***、***、***副總經(jīng)理為副組長以及各部門經(jīng)理為成員的安全生產(chǎn)領(lǐng)導(dǎo)小組。以文件的形式明確了各部門安全生產(chǎn)第一責(zé)任人,制定了相關(guān)的安全生產(chǎn)制度,簽訂了安全生產(chǎn)責(zé)任書,明確了各級員工安全生產(chǎn)職責(zé)所在,并將績效考核與之掛鉤,嚴(yán)格執(zhí)行,把它擴大到整個公司整個安全生產(chǎn)中,明確“責(zé)任不落實就是安全隱患”的全局觀念。
2、2002年為我公司管理規(guī)范年,該年度,我公司依據(jù)總部及省分公司相關(guān)文件精神,參照其他運營商的相關(guān)制度,結(jié)合我公司實際情況,編制了《企業(yè)管理制度匯編》。對安全生產(chǎn)工作進行了全方位的描述,明確規(guī)定了各個崗位員工的職責(zé)與義務(wù),同時根據(jù)安全生產(chǎn)工作形勢的發(fā)展,不斷完善充實,建立健全定期檢查和日常防范相結(jié)合的安全生產(chǎn)規(guī)章制度,嚴(yán)禁一切違反安全生產(chǎn)工作的現(xiàn)象,堅決杜絕違紀(jì)違章事故的發(fā)生,使我公司的安全生產(chǎn)做到有章可循,違章必究。
3、按照省分公司“安全事故應(yīng)急救援預(yù)案編制指導(dǎo)意見”的要求,進一步完善我公司的各類安全事故應(yīng)急救援預(yù)案,組織各部門安全生產(chǎn)管理人和員工認(rèn)真學(xué)習(xí)預(yù)案的各項內(nèi)容,熟悉掌握應(yīng)急救援職責(zé)、事故報告及救援程序、步驟和應(yīng)采取的措施,做好必需的物資儲備,真正做到事故發(fā)生后第一時間到達事故現(xiàn)場,有條不紊地開展應(yīng)急救援工作。由于荊州地處長江中下游,容易受到洪澇災(zāi)害的浸襲,我公司每年都在省分公司的組織下對各類應(yīng)急預(yù)案進行修訂,以確保網(wǎng)絡(luò)安全運行。多年來我們制定了GSM網(wǎng)應(yīng)急預(yù)案、CDMA網(wǎng)應(yīng)急預(yù)案、基站應(yīng)急預(yù)案、關(guān)口局應(yīng)急預(yù)案、長途/IP應(yīng)急預(yù)案、傳輸應(yīng)急預(yù)案、互聯(lián)網(wǎng)應(yīng)急預(yù)案等多類應(yīng)急預(yù)案。并經(jīng)過多方論證,可操作性強,同時建立和健全安全生產(chǎn)預(yù)警機制,及時準(zhǔn)確預(yù)警,探索事故發(fā)生的規(guī)律性,尤其是做好生產(chǎn)經(jīng)營一線的預(yù)警工作,從預(yù)測、預(yù)警、預(yù)防三個方面入手,堅持關(guān)口前移,重心下移,充分發(fā)揮了人的主觀能動性,用科學(xué)完善的防范措施,建好事故防范的“防火墻”,堅決避免各類重大事故的發(fā)生。
(三)加大宣傳力度,加強安全意識,開展各項檢查及整治工作。
1、本年度,我公司根據(jù)省分安排結(jié)合當(dāng)?shù)貙嶋H情況,截至現(xiàn)在,開展了一月的“安全生產(chǎn)宣傳周”活動、六月的“關(guān)注安全、平安是福”的安全生產(chǎn)月宣傳活動。進行了兩次消防安全知識培訓(xùn),二次消防演練,講解了各種消防知識,學(xué)習(xí)了各種消防器械的使用方法,傳授了應(yīng)對各種災(zāi)害時的自保、自救方法。組織全體員工117人進行了一次安全生產(chǎn)培訓(xùn),并進行了考試。通過以上各項活動,幫助員工樹立了正確的安全生產(chǎn)意識,掌握了各種消防器材的使用方法,提高了應(yīng)對突發(fā)事件的能力。
2、大力開展檢查及整治工作。一是切實抓好防火和重大電器設(shè)備的安全工作,特別是通信機房、電力機房、庫房、營業(yè)場所、客服等重要場所的消防安全,定期組織檢查,發(fā)現(xiàn)問題、堵塞漏洞,加大排查力度,進一步理順防火防災(zāi)的重要部位、環(huán)節(jié)和對象,徹底消除火災(zāi)隱患,確保公司網(wǎng)絡(luò)穩(wěn)定運行。二是隨著近年來,我公司業(yè)務(wù)的迅速發(fā)展,各縣市營業(yè)網(wǎng)點的不斷增多,營業(yè)廳的資金管理、人身的安全等問題呈現(xiàn)出來,針對這一情況,我公司立即調(diào)查解決,加強所有營業(yè)網(wǎng)點的安全防護措施。抽調(diào)專項資金購置了電警棍、消防滅火器及自救式呼吸器,分別安放在營業(yè)廳、辦公區(qū)域、機房、電視電話會議室、電力室等地。從硬件上保證了安全生產(chǎn)工作的落實,確保了各項業(yè)務(wù)的正常運行。同時各分公司安全管理人員通過相互交流、觀摩,相互學(xué)習(xí),取長補短,提升了全市安全管理水平。三是每年度計劃財務(wù)部根據(jù)公司上年的實際開支情況,結(jié)合各部門上報的各項整改預(yù)算,制定年度的安全生產(chǎn)維護費用,確保能及時對生產(chǎn)中發(fā)現(xiàn)的隱患進行整改,有效的保證了安全設(shè)施的維護、維修工作。
二、狠抓運行維護工作:
在日益激烈的競爭環(huán)境下,聯(lián)通荊州分公司牢固樹立“運行維護出質(zhì)量,網(wǎng)絡(luò)優(yōu)化出效益”的理念,加強運行維護基礎(chǔ)管理工作,提高我公司網(wǎng)絡(luò)維護、網(wǎng)絡(luò)優(yōu)化的水平。
(一)加大新規(guī)程、制度的貫徹執(zhí)行力度。從2004年10月開始,荊州分公司多次組織新規(guī)程、制度的學(xué)習(xí)及考試,要求各專業(yè)不折不扣執(zhí)行新規(guī)程、制度,并建立了與省分KPI考核掛鉤的考核獎勵辦法,將運行維護的各項KPI考核指標(biāo)分解到各專業(yè)部門,落實到具體執(zhí)行人,強化了執(zhí)行力,取得了較好的效果。
(二)建立“全程全網(wǎng)”的運維管理體系,加強對干線的維護管理,清理維護管理流程。認(rèn)真貫徹落實總部及省分下發(fā)的各項規(guī)章制度,完成了一干機房、二干機房、中心機房及城區(qū)各基站的標(biāo)準(zhǔn)化工作,并根據(jù)總部有關(guān)光纜線路更新改造工作的安排,對一干、二干網(wǎng)絡(luò)進行了改造和調(diào)整,以確保網(wǎng)絡(luò)安全穩(wěn)定運行。防汛期間,我們還制定了相應(yīng)的巡線計劃和三盯措施,委派巡線人員認(rèn)真填寫巡檢日志,定時上報外力情況,并建立應(yīng)急處理體制,提高自維能力。
(三)建立三級維護體系,落實維護人員,強化維護力量。目前,在維護工作上我公司實行由運行監(jiān)督部全面負責(zé)監(jiān)管,***進行代維的管理模式。為保證網(wǎng)絡(luò)質(zhì)量,各專業(yè)部門分別與***簽訂了協(xié)議,每月對代維情況進行考核通報并結(jié)算費用,同時***負責(zé)人每月還定期對維護中出現(xiàn)的難點與專業(yè)部門進行溝通,有效確保了代維工作的順利開展。05年以來,***已對***境內(nèi)的一、二干線路進行了多次整改,消除了隱患,降低了故障率。目前移動基站總數(shù)已超過300個,為此我們成立了傳輸優(yōu)化小組,全盤考慮傳輸網(wǎng)絡(luò)規(guī)劃,全面掌握網(wǎng)絡(luò)資源,及時調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)。數(shù)據(jù)方面:對IP超市進行了多次的硬件優(yōu)化和軟件升級,針對互聯(lián)網(wǎng)電路丟包嚴(yán)重而ATM電路相對較空閑的情況提出了寬帶IP超市走ATM路由的建議,經(jīng)過實施后話音質(zhì)量明顯改善。針對縣市互聯(lián)網(wǎng)帶寬低,與對手相比處于劣勢的實際情況,我們提出了IPOVERSDH的技術(shù)實現(xiàn)方案,借傳輸建設(shè)2.5G本地網(wǎng)的楔機,通過加裝以太網(wǎng)板卡實現(xiàn)了縣市100M互聯(lián)網(wǎng)電路的開通,從而大大增強了縣市互聯(lián)網(wǎng)業(yè)務(wù)的競爭實力。通過這些網(wǎng)絡(luò)優(yōu)化工作大大改善了網(wǎng)絡(luò)運行的狀態(tài),為業(yè)務(wù)發(fā)展創(chuàng)造了良好的機遇。
(四)加強對各網(wǎng)絡(luò)運行狀態(tài)的監(jiān)測及維護基礎(chǔ)管理工作的檢查和考核。要求各專業(yè)部門進一步加強對班組、縣市維護基礎(chǔ)工作的制度執(zhí)行情況的檢查和考核,運維部加強對各專業(yè)部門和縣市分公司維護工作的檢查和考核。主要是檢查原始記錄登統(tǒng)計的管理,作業(yè)計劃執(zhí)行情況,值班制度、安全管理制度、維護操作規(guī)范的落實情況。進一步完善事故報告分析制度,加大對障礙處理的預(yù)見性和及時性,將障礙降低到最低限度。同時將各專業(yè)部門對縣市維護工作的指導(dǎo)和監(jiān)督納入對專業(yè)部門的考核范圍之中,將運行維護分析工作落實到縣市分公司,對運維中存在問題進行通報,并責(zé)成相關(guān)部門與單位進行限期整改,從而將運行維護工作形成有效的閉環(huán),不斷的將運維工作推向深入,使縣市的維護水平再上一個新臺階。
(五)狠抓指標(biāo)分析和提升工作,提高網(wǎng)絡(luò)運行質(zhì)量。05年以來我公司開展了多次專項分析,不斷提升網(wǎng)絡(luò)質(zhì)量。對G網(wǎng)位置更新成功率進行了專題分析,通過減小周期性位置更新的時間間隔使該項指標(biāo)從78%上升到93%;對G網(wǎng)錄音通知機擁塞情況;對IP電話忙時落地應(yīng)答率指標(biāo);對G網(wǎng)交換系統(tǒng)接通率等進行了分析,通過聯(lián)系網(wǎng)管修改ISUP消息參數(shù)方式,將此類不規(guī)范ACM修改為規(guī)范ACM。從而將去話系統(tǒng)接通率由78%提高到95%,整個交換機的系統(tǒng)接通率也提高了1.5%。
一、高度重視,精心組織
縣經(jīng)信局和農(nóng)網(wǎng)辦高度重視農(nóng)電安全工作,12月22日至29日,會同縣水務(wù)局、安監(jiān)局組建3個工作組,由三名副局長帶隊深入全縣供電企業(yè)及供區(qū)全面開展安全檢查。檢查前進行了統(tǒng)一培訓(xùn),制定了《縣農(nóng)村配電網(wǎng)絡(luò)安全檢查評分細則》,明確了檢查內(nèi)容、方法和工作要求,對15家發(fā)供電企業(yè),采用事先不打招呼直接赴現(xiàn)場、不聽匯報直接查閱資料、詢問領(lǐng)導(dǎo)及員工等方式,詳細了解各電力企業(yè)2014年安全生產(chǎn)工作開展情況,針對發(fā)現(xiàn)的問題,提出了整改措施和建議,要求對照國家法律法規(guī),認(rèn)真排查安全隱患,加大整治力度,建立長效機制,堅決杜絕各類事故發(fā)生。
二、突出重點,嚴(yán)格檢查
此次檢查突出五個重點:一是對各單位的安全生產(chǎn)“雙主體”責(zé)任落實及履職情況。二是安全生產(chǎn)制度及執(zhí)行情況。三是主要設(shè)備、設(shè)施安全運行情況。四是隱患排查和治理情況。五是事故應(yīng)急預(yù)案制定情況。
三、發(fā)現(xiàn)問題,及時整改
通過檢查,督促了各供電企業(yè)的安全生產(chǎn)工作的開展。大部分企業(yè)都已落實了安全生產(chǎn)責(zé)任,成立了安全生產(chǎn)工作領(lǐng)導(dǎo)小組,落實了專(兼)職安全人員,做到了有機構(gòu)、有制度,層層簽訂了安全生產(chǎn)責(zé)任書;制定了應(yīng)急處置預(yù)案,能嚴(yán)格執(zhí)行“兩票三制”;能積極組織職工安規(guī)培訓(xùn)和考試,持證上崗制度落實較好。通過檢查,共查出安全隱患136處,下達了整改通知書16份,并限期整改,定期復(fù)查。綜合全縣電力安全生產(chǎn)檢查情況,發(fā)現(xiàn)主要存在以下問題:
1、部分企業(yè)安全生產(chǎn)雙主體責(zé)任不落實。個別企業(yè)年初未簽訂安全生責(zé)任書,未落實專兼職安全生產(chǎn)員,員工未進行安全培訓(xùn)和考試,未定期召開安全生產(chǎn)例會,分析解決安全生產(chǎn)中的問題。如:紅渠電站未簽訂2014年安全目標(biāo)責(zé)任書,安全員未取得安全員資格證上崗。
2、電網(wǎng)安全隱患嚴(yán)重。由于投入不足,小水電供區(qū)未實施農(nóng)網(wǎng)改造,木電桿多,線路對地安全距離不夠,檔距跨度大,線徑小,長期超負荷帶病運行,安全隱患十分突出。如:西清電業(yè)公司匯灘供區(qū)低壓線全部使用木質(zhì)電桿且電桿高度不夠;電力公司供區(qū)村3社220V線路對地距離不夠,村一社低壓線路老化;桃園電站工地線路凌亂,對地對物安全距離不夠,消防器材未定期檢修,滅火器超過使用期且受潮嚴(yán)重。
3、小水電站,由于建設(shè)年代久遠,生產(chǎn)設(shè)備陳舊老化,未全面實施技術(shù)改造,設(shè)備更新進度緩慢;人員技術(shù)素質(zhì)較低,規(guī)范管理差,潛在安全隱患較多。機械傳動部分無防護罩,設(shè)施設(shè)備未進行評級和編號掛牌。小水電站對發(fā)供電設(shè)備設(shè)施提出保護的水平參差不齊,部份小水電企業(yè)不能及時排除故障,可能導(dǎo)致主網(wǎng)跳閘事故的發(fā)生,嚴(yán)重威脅電網(wǎng)的安全穩(wěn)定運行。
4、安全經(jīng)費投入不足。小水電供區(qū)資產(chǎn)清理后,對低壓供電設(shè)施維護和隱患整治無積極性,不愿意再投入,存在的隱患不能完全消除。S101線升級改造,造成新的安全隱患未整治。上關(guān)10KV、上銀10KV線路,由于業(yè)主單位未支付補助資金,遷改不及時,S101線道路施工,部分電桿基礎(chǔ)破壞,隨時都有倒桿斷線涉及施工、行人觸電的危險,同時危及110KV寨坡變電站安全運行。
5、高低壓線路障礙多,進戶線、廣播通訊線路交叉,用戶用電安全保護裝置不齊全,入戶線路零亂,線徑小,導(dǎo)線老化嚴(yán)重。
6、用電企業(yè)安全隱患排查不到位,整改責(zé)任不落實,措施不具體,造成了重大安全生產(chǎn)事故,如趕場供電公司年內(nèi)發(fā)生人員傷亡事故,下兩電站排查的安全隱患未落實責(zé)任人限期整治。
7、個別企業(yè)兩票三制執(zhí)行不到位。工作票未執(zhí)行,操作票填寫不規(guī)范。
8、安全工器具、消防器材未配備齊全,無臺賬,未定置擺放。
9、配電臺區(qū)警示標(biāo)志不齊全,變壓器未按規(guī)定校驗。如鄉(xiāng)街道變壓器跌落開關(guān)、接地裝置銹蝕嚴(yán)重。鎮(zhèn)村4社變臺開關(guān)箱銹蝕嚴(yán)重。
10、安全管理軟件資料不齊全,填寫不規(guī)范。如:桃園電站2014年未建立安全管理制度,應(yīng)急預(yù)案未及時修訂和演練,無安全管理記錄,未建立隱患排查整治臺賬。
【關(guān)鍵詞】 政務(wù)云 云安全 IaaS服務(wù)
信息化建設(shè)是我國現(xiàn)階段發(fā)展的主要內(nèi)容和方向,但同時也就面臨著信息安全的眾多問題。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心的報告,15年接收境內(nèi)外報告的網(wǎng)絡(luò)安全事件同比增長125.9%,主要遭受攻擊的對象就包括政府。因此在電子政務(wù)云建設(shè)時信息安全方面的內(nèi)容必須作為重點進行考慮。
一、電子政務(wù)云安全問題分析
云計算服務(wù)采購方式作為電子政務(wù)基礎(chǔ)設(shè)施建設(shè)的主要方式,而IaaS服務(wù)模式是目前常用的政務(wù)云服務(wù)提供模式。
政務(wù)云面臨的安全風(fēng)險呈現(xiàn)出3個主要特點。需要管控的角色更多:除一般的系統(tǒng)建設(shè)者和訪問用戶外,還有服務(wù)提供商、政府內(nèi)部政務(wù)云的統(tǒng)一管理人員等。需要解決的管控問題更多:虛擬化安全的問題、對資源管控能力減弱的問題、過渡依賴和鎖定的問題等。影響更深遠:政務(wù)云上的信息出現(xiàn)安全問題時存在影響面更廣、更敏感、政府公信力受損等問題。
二、建設(shè)方案探討
按照我國政府對信息安全的要求,境內(nèi)的計算機信息系統(tǒng)實行安全等級保護制度。除此外國家還下發(fā)黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的相關(guān)要求,明確了安全管理責(zé)任不變、數(shù)據(jù)歸屬關(guān)系不變、安全管理標(biāo)準(zhǔn)不變、敏感信息不出境、要參照信息安全國家標(biāo)準(zhǔn)等的要求。
2.1安全防范需求分析
整體要求:滿足等保要求外,還需滿足黨政內(nèi)部的信息管理要求。
監(jiān)管要求:對云服務(wù)提供商各方面的管理和監(jiān)督較一般企業(yè)用戶強、要求更高。
數(shù)據(jù)要求:對數(shù)據(jù)的安全性、機密性、完整性的要求更高,對殘余數(shù)據(jù)的處置也更謹(jǐn)慎,對服務(wù)商數(shù)據(jù)管理的流程和制度提出更高要求。
物理要求:υ浦行牡慕ㄉ櫛恢煤透衾攵紉求更敏感。
分工要求:對于服務(wù)合同中的責(zé)任義務(wù)要求更明晰,對云服務(wù)商內(nèi)部的各項管理、監(jiān)測、檢查、配合度等有更高的要求。
2.2設(shè)計思路及方案探討
從其本質(zhì)上看,政務(wù)云仍是一類信息系統(tǒng),其防護體系應(yīng)當(dāng)是以等級保護為指導(dǎo)思想,并考慮虛擬化等新的技術(shù)和運營方式所帶來的安全問題,從技術(shù)和管理兩個層面全方位保護信息安全,將安全理念貫穿政務(wù)云建設(shè)、整改、測評、運維全過程。
設(shè)計方案時建議可從以下幾個內(nèi)容考慮:
等保等級劃分:按照等保定級要素和一般流程進行分析定級,并參考云計算服務(wù)安全指南確定是一般保護或增強保護。
責(zé)任范圍劃分:云服務(wù)商和政府客戶間基于IaaS的服務(wù),以虛擬化計算資源層為界線,以上由政府客戶負責(zé),以下由云服務(wù)商負責(zé),虛擬化計算資源層安全措施由雙方分擔(dān)。
物理安全:根據(jù)等保要求,對機房位置、環(huán)境、管理等進行規(guī)范。
網(wǎng)絡(luò)安全:這里主要討論區(qū)域的劃分,邊界部分則按要求部署FW、IPS/IDS等設(shè)備。功能區(qū)劃分:政務(wù)云一般設(shè)計時按業(yè)務(wù)承載類型劃分為互聯(lián)網(wǎng)區(qū)和電子政務(wù)外網(wǎng)區(qū),之間有安全設(shè)備進行區(qū)間信息的交換管控,確保互聯(lián)網(wǎng)用戶不能直接訪問公用網(wǎng)絡(luò)區(qū)的系統(tǒng)。安全域劃分:各個區(qū)內(nèi)根據(jù)需求劃分安全域,各域之間根據(jù)業(yè)務(wù)需求進行隔離。一般可劃分為:完成對外安全控制的安全邊界區(qū);完成業(yè)務(wù)部署的業(yè)務(wù)區(qū);完成運維管理系統(tǒng)部署的運維管理區(qū);完成安全管控設(shè)備部署的安全管理區(qū)。
主機安全:除部署傳統(tǒng)的漏掃、配置核查、安全審計等主機安全系統(tǒng)外,還需要考慮傳統(tǒng)安全設(shè)備對物理主機內(nèi)部虛擬化主機的管控缺失問題。目前業(yè)界一般以兩種模式解決:集中部署虛機安全設(shè)備或在虛機內(nèi)部署安全軟件。前一種方式主要是流量迂回問題,后一種方式主要是服務(wù)器資源占用問題,后一種方式一般采用較多。
應(yīng)用安全:云服務(wù)商通過網(wǎng)管系統(tǒng)和安全系統(tǒng)對應(yīng)用進行資源監(jiān)測,但應(yīng)用的主要安全由云服務(wù)使用者完成。應(yīng)用安全審計則各自收集所控制部分的審計數(shù)據(jù),云服務(wù)商以云資源應(yīng)用為主,上層應(yīng)用由云服務(wù)使用者完成審計。
數(shù)據(jù)安全:主要包括數(shù)據(jù)隔離與訪問控制、剩余數(shù)據(jù)刪除、數(shù)據(jù)加密和數(shù)據(jù)備份。政務(wù)云比較特殊的是剩余數(shù)據(jù)問題,各子系統(tǒng)之間分配各自的物理空間,虛機遷移或釋放時,虛擬機內(nèi)的所有信息應(yīng)該被清空,確保數(shù)據(jù)的不泄露。當(dāng)雙方合作終止時,云服務(wù)商需在政府方相關(guān)管理部門的監(jiān)督下,進行信息銷毀。
結(jié)束語:政務(wù)云安全的保障是一個較復(fù)雜的問題,設(shè)計方案時需從政府業(yè)務(wù)特殊性、云計算技術(shù)的特點等進行多視角的分析,進行全局化的設(shè)計。
參 考 文 獻
[1] GBT 31167-2014,信息安全技術(shù) 云計算服務(wù)安全指南,中國標(biāo)準(zhǔn)出版社,2015-04-01;
1數(shù)據(jù)信息安全威脅信息數(shù)據(jù)
面臨的安全威脅來自于多個方面,有通過病毒、非授權(quán)竊取來破壞數(shù)據(jù)保密性的安全威脅,有因為操作系統(tǒng)故障、應(yīng)用系統(tǒng)故障等導(dǎo)致的破壞數(shù)據(jù)完整性的安全威脅,有因為硬盤故障、誤操作等導(dǎo)致的破壞數(shù)據(jù)可用性的安全威脅,還有因為病毒威脅、非授權(quán)篡改導(dǎo)致的破壞數(shù)據(jù)真實性的安全威脅,這些潛在的安全威脅將會導(dǎo)致信息數(shù)據(jù)被刪除、破壞、篡改甚至被竊取,給公共衛(wèi)生行業(yè)帶來無法彌補的損失。
2安全管理缺失公共衛(wèi)生行業(yè)
在信息化建設(shè)工作中,如果存在重應(yīng)用、輕安全的現(xiàn)象,在IT系統(tǒng)建設(shè)過程中沒有充分考慮信息安全的科學(xué)規(guī)劃,將導(dǎo)致后期信息安全建設(shè)和管理工作比較被動,業(yè)務(wù)的發(fā)展及信息系統(tǒng)的建設(shè)與信息安全管理建設(shè)不對稱;或由于重視信息安全技術(shù),輕視安全管理,雖然采用了比較先進的信息安全技術(shù),但相應(yīng)的管理措施不到位,如病毒庫不及時升級、變更管理松懈、崗位職責(zé)不清、忽視數(shù)據(jù)備份等現(xiàn)象普遍存在,很有可能會導(dǎo)致本不應(yīng)該發(fā)生的信息安全事件發(fā)生。
二分析問題產(chǎn)生的主要原因
1經(jīng)費投入不足導(dǎo)致的安全防范技術(shù)
薄弱許多公共衛(wèi)生機構(gòu)的信息化基礎(chǔ)設(shè)施和軟硬件設(shè)備,都是在2003年SARS疫情爆發(fā)以后國家投入建設(shè)的,運行至今,很多省級以下的公共衛(wèi)生單位由于領(lǐng)導(dǎo)認(rèn)識不足或經(jīng)費所限,只重視疾病防控能力和實驗室檢驗檢測能力的建設(shè),而忽視了對公共衛(wèi)生信息化的投入,很少將經(jīng)費用于信息化建設(shè)和信息安全投入,信息化基礎(chǔ)設(shè)施陳舊、軟硬件設(shè)備老化,信息安全防范技術(shù)比較薄弱,因網(wǎng)絡(luò)設(shè)備損壞、服務(wù)器宕機等故障或無入侵檢測、核心防火墻等安全防護設(shè)備,導(dǎo)致信息數(shù)據(jù)丟失、竊取的現(xiàn)象時有發(fā)生,嚴(yán)重影響了重要信息數(shù)據(jù)的保密性、完整性和安全性,一旦發(fā)生信息安全事件后果將不堪設(shè)想。
2專業(yè)技術(shù)人才缺乏
建設(shè)信息化、發(fā)展信息化最大的動力資源是掌握信息化的專業(yè)技術(shù)人才,人才的培養(yǎng)是行業(yè)信息化高速發(fā)展的基礎(chǔ),然而,公共衛(wèi)生行業(yè)的人才梯隊主要以疾病控制、醫(yī)學(xué)檢驗專業(yè)為主,信息化、信息安全專業(yè)技術(shù)人才缺乏,隊伍力量薄弱,不能很好地利用現(xiàn)有的計算機軟硬件設(shè)備,也很難對本單位現(xiàn)有的信息化、信息安全現(xiàn)狀進行有效的評估,缺乏制定本行業(yè)長期、可持續(xù)信息化建設(shè)發(fā)展規(guī)劃的能力,這也是制約公共衛(wèi)生行業(yè)信息化發(fā)展的重要因素。
3信息安全培訓(xùn)不足
職工安全保密意識不強信息安全是一項全員參與的工作,它不僅是信息化管理部門的本職工作,更是整個公共衛(wèi)生行業(yè)的重要工作職責(zé),很多單位沒有將信息安全培訓(xùn)放在重要位置,沒有定期開展信息安全意識教育培訓(xùn),許多職工對網(wǎng)絡(luò)安全不夠重視,缺乏網(wǎng)絡(luò)安全意識,隨意接收、下載、拷貝未知文件,沒有查殺病毒、木馬的習(xí)慣,經(jīng)常有意無意的傳播病毒,使得單位網(wǎng)絡(luò)系統(tǒng)經(jīng)常遭受ARP、宏病毒等病毒木馬的攻擊,嚴(yán)重影響了單位網(wǎng)絡(luò)的安全穩(wěn)定運行;同時,許多職工對于單位的移動介質(zhì)缺乏規(guī)范化管理意識,隨意將拷貝有信息的移動硬盤、優(yōu)盤等介質(zhì)帶出單位,在其他聯(lián)網(wǎng)的計算機上使用,信息容易失竊,存在非常嚴(yán)重的信息安全隱患。
三如何促進公共衛(wèi)生行業(yè)計算機網(wǎng)絡(luò)安全性提升
1強化管理
建立行業(yè)計算機網(wǎng)絡(luò)安全管理制度為了確保整個計算機網(wǎng)絡(luò)的安全有效運行,建立出一套既符合本行業(yè)工作實際的,又滿足網(wǎng)絡(luò)實際安全需要的、切實可行的安全管理制度勢在必行。主要包括以下三方面的內(nèi)容:
1.1成立信息安全管理機構(gòu)
引進信息安全專業(yè)技術(shù)人才,結(jié)合單位開展的工作特點,從管理、安全等級保護、安全防范、人員管理等方面制定統(tǒng)管全局的網(wǎng)絡(luò)安全管理規(guī)定。
1.2制定信息安全知識培訓(xùn)制度
定期開展全員信息安全知識培訓(xùn),讓全體員工及時了解計算機網(wǎng)絡(luò)安全知識最新動態(tài),結(jié)合信息安全事件案列,進一步強化職工對信息安全保密重要性的認(rèn)識。同時,對信息技術(shù)人員進行專業(yè)知識和操作技能的培訓(xùn),培養(yǎng)一支具有安全管理意識的隊伍,提高應(yīng)對各種網(wǎng)絡(luò)安全攻擊破壞的能力。
1.3建立信息安全監(jiān)督檢查機制
開展定期或不定期內(nèi)部信息安全監(jiān)督檢查,同時將信息安全檢查納入單位季度、年度綜合目標(biāo)責(zé)任制考核體系,檢查結(jié)果直接與科室和個人的獎勵績效工資、評先評優(yōu)掛鉤,落實獎懲機制,懲防并舉,確保信息安全落實無死角。
2開展信息安全等級保護
建設(shè)開展信息安全等級保護建設(shè),通過對公共衛(wèi)生行業(yè)處理、存儲重要信息數(shù)據(jù)的信息系統(tǒng)實行分等級安全保護,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置,建立健全信息安全應(yīng)急機制,定期對信息系統(tǒng)安全等級保護建設(shè)情況進行測評,存在問題及時整改,從制度落實、安全技術(shù)防護、應(yīng)急處置管理等各個方面,進一步提高公共衛(wèi)生行業(yè)信息安全的防護能力、應(yīng)急處置能力和安全隱患發(fā)現(xiàn)能力。
3加強網(wǎng)絡(luò)安全技術(shù)防范
隨著信息技術(shù)的高速發(fā)展,信息網(wǎng)絡(luò)安全需要依托防火墻、入侵檢測、VPN等安全防護設(shè)施,充分運用各個軟硬件網(wǎng)絡(luò)安全技術(shù)特點,建立安全策略層、用戶層、網(wǎng)絡(luò)與信息資源層和安全服務(wù)層4個層次的網(wǎng)絡(luò)安全防護體系,全面增強網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。
3.1防火墻技術(shù)
防火墻技術(shù)在公共衛(wèi)生行業(yè)網(wǎng)絡(luò)安全建設(shè)體系中發(fā)揮著重要的作用,按照結(jié)構(gòu)和功能通常劃分為濾防火墻、應(yīng)用防火墻和狀態(tài)檢測防火墻三種類型,一般部署在核心網(wǎng)絡(luò)的邊緣,將內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離,有效地記錄Internet上的活動,將網(wǎng)絡(luò)中不安全的服務(wù)進行有效的過濾,并嚴(yán)格限制網(wǎng)絡(luò)之間的互相訪問,從而提高網(wǎng)絡(luò)的防毒能力和抗攻擊能力,確保內(nèi)部網(wǎng)絡(luò)安全穩(wěn)定運行。
3.2入侵檢測
入侵檢測是防火墻的合理補充,是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視,在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備,檢測方法包括基于專家系統(tǒng)入侵檢測方法和基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法兩種,利用入侵檢測系統(tǒng),能夠迅速及時地發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象,幫助系統(tǒng)對付內(nèi)部攻擊和外部網(wǎng)絡(luò)攻擊,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵,在安全審計、監(jiān)視、進攻識別等方面進一步擴展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。
3.3虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)
VPN技術(shù)因為低成本、高度靈活的特點,在很多行業(yè)信息化建設(shè)中被廣泛應(yīng)用,公共衛(wèi)生行業(yè)也有很多信息系統(tǒng)都是基于VPN進行數(shù)據(jù)傳輸?shù)模缰袊膊☆A(yù)防控制信息系統(tǒng)等,通過在公用網(wǎng)絡(luò)上建立VPN,利用VPN網(wǎng)關(guān)將數(shù)據(jù)包進行加密和目標(biāo)地址轉(zhuǎn)換,以實現(xiàn)遠程訪問。VPN技術(shù)實現(xiàn)方式目前運用的主要有MPLS、IPSEC和SSL三種類型,中國疾病預(yù)防控制信息系統(tǒng)VPN鏈路網(wǎng)絡(luò)采用的就是IPSECVPN模式,利用VPN鏈路隧道,實現(xiàn)國家到省、市、縣四級的互聯(lián)互通和數(shù)據(jù)傳輸共享。VPN通過使用點到點協(xié)議用戶級身份驗證的方法進行驗證,將高度敏感的數(shù)據(jù)地址進行物理分隔,只有授權(quán)用戶才能與VPN服務(wù)器建立連接,進行遠程訪問,避免非授權(quán)用戶接觸或竊取重要數(shù)據(jù),為用戶信息提供了很高的安全性保護。
四結(jié)語
關(guān)鍵詞:信息安全防護體系;風(fēng)險評估;信息安全隱患;應(yīng)急預(yù)案
中圖分類號:F470.6 文獻標(biāo)識碼:A 文章編號:
信息安全管理是信息安全防護體系建設(shè)的重要內(nèi)容,也是完善各項信息安全技術(shù)措施的基礎(chǔ),而信息安全管理標(biāo)準(zhǔn)又是信息安全管理的基礎(chǔ)和準(zhǔn)則,因此要做好信息安全防護體系建設(shè),必須從強化管理著手,首先制定信息安全管理標(biāo)準(zhǔn)。電力系統(tǒng)借鑒 ISO27000國際信息安全管理理念,并結(jié)合公司信息安全實際情況,制訂了信息安全管理標(biāo)準(zhǔn),明確了各單位、各部門的職責(zé)劃分,固化了信息系統(tǒng)安全檢測與風(fēng)險評估管理、信息安全專項檢查與治理、信息安全預(yù)案管理、安全事件統(tǒng)計調(diào)查及組織整改等工作流程,促進了各單位信息安全規(guī)范性管理,為各項信息安全技術(shù)措施奠定了基礎(chǔ),顯著提升了公司信息安全防護體系建設(shè)水平。
1電力系統(tǒng)信息安全防護目標(biāo)
規(guī)范、加強公司網(wǎng)絡(luò)和信息系統(tǒng)安全的管理,確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運行和確保信息內(nèi)容的機密性、完整性、可用性,防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰, 抵御黑客、病毒、惡意代碼等對信息系統(tǒng)發(fā)起的各類攻擊和破壞,防止信息內(nèi)容及數(shù)據(jù)丟失和失密,防止有害信息在網(wǎng)上傳播,防止公司對外服務(wù)中斷和由此造成的電力系統(tǒng)運行事故,并以此提升公司信息安全的整體管理水平。
2信息安全防護體系建設(shè)重點工作
電力系統(tǒng)信息安全防護體系建設(shè)應(yīng)遵循“強化管理、標(biāo)準(zhǔn)先行”的理念。下面,結(jié)合本公司信息安全防護體系建設(shè)經(jīng)驗,對信息安全防護體系建設(shè)四項重點工作進行闡述。
2.1 信息系統(tǒng)安全檢測與風(fēng)險評估管理
信息管理部門信息安全管理專職根據(jù)年度信息化項目綜合計劃,每年在綜合計劃正式下達后,制定全年新建應(yīng)用系統(tǒng)安全檢測與風(fēng)險評估計劃,確保系統(tǒng)上線前符合國網(wǎng)公司信息安全等級保護要求。 應(yīng)用系統(tǒng)在建設(shè)完成后 10個工作日內(nèi),按照《國家電網(wǎng)公司信息系統(tǒng)上下線管理辦法》要求進行上線申請。 由信息管理部門信息安全管理專職在接到上線申請 10個工作日內(nèi), 組織應(yīng)用系統(tǒng)專職及業(yè)務(wù)主管部門按照《國家電網(wǎng)公司信息安全風(fēng)險評估實施指南》對系統(tǒng)的安全性進行風(fēng)險評估測試,并形成評估報告交付業(yè)務(wù)部門。 對應(yīng)用系統(tǒng)不滿足安全要求的部分, 業(yè)務(wù)部門應(yīng)在收到評估報告后 10個工作日內(nèi)按照《國家電網(wǎng)公司信息安全加固實施指南(試行)》進行安全加固,加固后 5個工作日內(nèi),經(jīng)信息管理部門復(fù)查,符合安全要求后方可上線試運行。應(yīng)用系統(tǒng)進入試運行后,應(yīng)嚴(yán)格做好數(shù)據(jù)的備份、保證系統(tǒng)及用戶數(shù)據(jù)的安全,對在上線后影響網(wǎng)絡(luò)信息安全的,信息管理部門有權(quán)停止系統(tǒng)的運行。
2.2 信息安全專項檢查與治理
信息管理部門信息安全管理專職每年年初制定公司全年信息安全專項檢查工作計劃。檢查內(nèi)容包括公司本部及各基層單位的終端設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、機房安全等。 信息安全專職按照計劃組織公司信息安全督查員開展信息安全專項檢查工作,對在檢查中發(fā)現(xiàn)的問題,檢查后 5 個工作日內(nèi)錄入信息安全隱患庫并反饋給各相關(guān)單位,隱患分為重大隱患和一般隱患,對于重大隱患,信息安全專職負責(zé)在錄入隱患庫 10 個工作日內(nèi)組織制定重大隱患治理方案。 各單位必須在收到反饋 5 個工作日內(nèi)對發(fā)現(xiàn)的問題制定治理方案, 并限期整技信息部信息安全專職。信息管理部門安全專職對隱患庫中所有隱患的治理情況進行跟蹤,并組織復(fù)查,對未能按期完成整改的單位,信息安全專職 10 個工作日內(nèi)匯報信息管理部門負責(zé)人, 信息管理部門有權(quán)向人資部建議對其進行績效考核。
2.3 信息安全應(yīng)急預(yù)案管理
信息管理部門信息安全管理專職每年 年初制定公司全年信息安全應(yīng)急預(yù)案編制、演練及修訂計劃,并下發(fā)給各單位。各單位信息安全專職按照計劃組織本單位開展相關(guān)預(yù)案的制定,各種預(yù)案制定后 5 個工作日內(nèi)交本部門主要負責(zé)人審批,審批通過后 5 個工作日內(nèi)報信息管理部門信息安全專職。各單位信息安全專職負責(zé)組織對系統(tǒng)相關(guān)人員進行應(yīng)急預(yù)案培訓(xùn),并按年度計劃開展預(yù)案演練。 根據(jù)演練結(jié)果,10 個工作日內(nèi)組織對預(yù)案進行修訂。各單位信息安全預(yù)案應(yīng)每年至少進行一次審查修訂, 對更新后的內(nèi)容, 需在 10 個工作日內(nèi)經(jīng)本部門領(lǐng)導(dǎo)審批,并在審批通過后 5 個工作日內(nèi)報信息管理部門備案。
2.4 安全事件統(tǒng)計、調(diào)查及組織整改
信息管理部門信息安全專職負責(zé)每月初對公司本部及各基層單位上個月信息安全事件進行統(tǒng)計。 各系統(tǒng)負責(zé)人、各單位信息安全管理專職負責(zé)統(tǒng)計本系統(tǒng)、單位的信息安全事件,并在每月 30 日以書面形式報告信息管理部門信息安全專職, 對于逾期未報的按無事件處理。 出現(xiàn)信息安全事件后 5 個工作日內(nèi),信息管理部門信息安全專職負責(zé)組織對事件的調(diào)查,調(diào)查過程嚴(yán)格按照《國家電網(wǎng)公司信息系統(tǒng)事故調(diào)查及統(tǒng)計規(guī)定(試行)》執(zhí)行,并組織開展信息系統(tǒng)事故原因分析,堅持“四不放過”原則,調(diào)查后 5 個工作日內(nèi)組織編寫事件調(diào)查報告。調(diào)查、分析完成后 10 個工作日內(nèi)組織落實各項整改措施。信息安全事件調(diào)查嚴(yán)格執(zhí)行《國家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運行情況通報制度》制度。
3評估與改進
通過執(zhí)行“強化管理、標(biāo)準(zhǔn)先行”的信息安全防護體系建設(shè)理念和實施電力公司信息安全管理標(biāo)準(zhǔn), 明確了各項工作的“5W1H”。 使信息管理部門和各部門及下屬各單位的接口與職責(zé)劃分進一步清晰,有效協(xié)調(diào)了相互之間的分工協(xié)作。 并通過 ITMIS 系統(tǒng)進行對上述流程進行固化,在嚴(yán)格執(zhí)行國網(wǎng)公司、省公司各項安全要求的基礎(chǔ)上簡化了工作流程, 搭建了信息安全防護建設(shè)工作的基礎(chǔ)架構(gòu),實現(xiàn)了信息安全防護建設(shè)工作的體系化。同時在標(biāo)準(zhǔn)的 PDCA 四階段循環(huán)周期通過管理目標(biāo)、職責(zé)分工,管理方法,管理流程、考核要求,文檔記錄 6 種管理要素對信息系統(tǒng)安全檢測與風(fēng)險評估管理、信息安全專項檢查與治理、信息安全預(yù)案管理、安全事件統(tǒng)計調(diào)查及組織整改4 項管理內(nèi)容進行持續(xù)改進,使信息安全防護體系建設(shè)工作的質(zhì)量有了質(zhì)變提升。 在信息安全防護建設(shè)工作的基礎(chǔ)架構(gòu)搭建完成后,江蘇省電力公司常州供電公司下一步將重點完善信息安全防護體系中技術(shù)體系建設(shè),管理與技術(shù)措施并舉,構(gòu)建堅強信息安全防護體系。
