緒論:在尋找寫作靈感嗎?愛發(fā)表網(wǎng)為您精選了8篇信息安全整改方案�����,愿這些內(nèi)容能夠啟迪您的思維,激發(fā)您的創(chuàng)作熱情����,歡迎您的閱讀與分享�����!
篇1
隨著信息安全等級保護工作的不斷深化�����,已延伸到醫(yī)療衛(wèi)生行業(yè)���。衛(wèi)計委要求三級醫(yī)院核心業(yè)務(wù)系統(tǒng)定級不低于第三級。本文結(jié)合醫(yī)院實際����,介紹了醫(yī)院信息安全等級保護工作的建設(shè)�,闡明了信息系統(tǒng)的定級、備案���、整改�、測評四個實施步驟�,以供大家探討。
關(guān)鍵詞:
醫(yī)院信息安全�����;等級保護工作;等級測評
一���、引言
隨著我國信息化建設(shè)的快速發(fā)展與廣泛應(yīng)用�,信息安全的重要性愈發(fā)突出��。在國家重視信息安全的大背景下���,推出了信息安全等級保護制度�。為統(tǒng)一管理規(guī)范和技術(shù)標(biāo)準(zhǔn)���,公安部等四部委聯(lián)合了《信息安全等級保護管理辦法》(公通字[2007]43號)�����。隨著等級保護工作的深入開展��,原衛(wèi)生部制定了《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》(衛(wèi)辦發(fā)[2011]85號)����,進一步規(guī)范和指導(dǎo)了我國醫(yī)療衛(wèi)生行業(yè)信息安全等級保護工作��,并對三級甲等醫(yī)院核心業(yè)務(wù)信息系統(tǒng)的安全等級作了要求�����,原則上不低于第三級。從《關(guān)于信息安全等級保護工作的實施意見》中可知信息安全等級保護對象是國家秘密信息�、法人和其他組織以及公民的專有信息和公開信息。對信息系統(tǒng)及其安全產(chǎn)品進行等級劃分�,并按等級對信息安全事件響應(yīng)[1]。
二�����、醫(yī)院信息安全等級保護工作實施步驟
2.1定級與備案[2]���。
根據(jù)公安部信息安全等級保護評估中心編制的《信息安全等級保護政策培訓(xùn)教程》���,有兩個定級要素決定了信息系統(tǒng)的安全保護等級�����,一個是等級保護對象受到破壞時所侵害的客體�,另外一個是對客體造成侵害的程度。對于三級醫(yī)院���,門診量與床位相對較多��,影響范圍較廣��,一旦信息系統(tǒng)遭到破壞�,將會給患者造成生命財產(chǎn)損失,對社會秩序帶來重大影響����。因此,從影響范圍和侵害程度來看���,我們非常認(rèn)同國家衛(wèi)計委對三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)安全等級的限制要求�。在完成定級報告編制工作后��,填寫備案表���,并按屬地化管理要求到市級公安機關(guān)辦理備案手續(xù)��,在取得備案回執(zhí)后才算完成定級備案工作�。我院已按照要求向我市公安局網(wǎng)安支隊�,同時也是我市信息安全等級保護工作領(lǐng)導(dǎo)小組辦公室,提交了定級報告與備案表���。
2.2安全建設(shè)與整改[3]��。
在完成定級備案后�,就要結(jié)合醫(yī)院實際,分析信息安全現(xiàn)狀�,進行合理規(guī)劃與整改。
2.2.1等保差距分析與風(fēng)險評估����。
了解等級保護基本要求?�!缎畔⑾到y(tǒng)安全等級保護基本要求》分別從技術(shù)和管理兩方面提出了基本要求�����?��;炯夹g(shù)要求包括五個方面:物理安全��、網(wǎng)絡(luò)安全、主機安全�����、應(yīng)用安全和數(shù)據(jù)安全�����,主要是由在信息系統(tǒng)中使用的網(wǎng)絡(luò)安全產(chǎn)品(包括硬件和軟件)及安全配置來實現(xiàn);基本管理要求也包括五個方面:安全管理制度�、安全管理機構(gòu)、人員安全管理�、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理,主要是根據(jù)相關(guān)政策��、制度以及規(guī)范流程等方面對人員活動進行約束控制���,以期達到安全管理要求[4]����。技術(shù)類安全要求按保護側(cè)重點進一步劃分為三類:業(yè)務(wù)信息安全類(S類)���、系統(tǒng)服務(wù)安全類(A類)�����、通用安全保護類(G類)�。如受條件限制���,可以逐步完成三級等級保護��,A類和S類有一類滿足即可���,但G類必須達到三級��,最嚴(yán)格的G3S3A3控制項共計136條[5]����。醫(yī)院可以結(jié)合自身建設(shè)情況�,選擇其中一個標(biāo)準(zhǔn)進行差距分析。管理方面要求很嚴(yán)格����,只有完成所有的154條控制項,達到管理G3的要求�,才能完成三級等級保護要求。這需要我們逐條對照���,發(fā)現(xiàn)醫(yī)院安全管理中的不足與漏洞�����,找出與管理要求的差距。對于有條件的三甲醫(yī)院����,可以先進行風(fēng)險評估��,通過分析信息系統(tǒng)的資產(chǎn)現(xiàn)狀�、安全脆弱性及潛在安全威脅���,形成《風(fēng)險評估報告》����。經(jīng)過與三級基本要求對照�,我院還存在一定差距。比如:在物理環(huán)境安全方面��,我院機房雖有滅火器��,但沒安裝氣體滅火裝置���。當(dāng)前的安全設(shè)備產(chǎn)品較少�,不能很好的應(yīng)對網(wǎng)絡(luò)入侵�。在運維管理方面,缺乏預(yù)警機制�,無法提前判斷系統(tǒng)潛在威脅等。
2.2.2建設(shè)整改方案。
根據(jù)差距分析情況�,結(jié)合醫(yī)院信息系統(tǒng)安全實際需求和建設(shè)目標(biāo),著重于保證業(yè)務(wù)的連續(xù)性與數(shù)據(jù)隱私方面����,滿足于臨床的實際需求,避免資金投入的浪費�、起不到實際效果。整改方案制訂應(yīng)遵循以下原則:安全技術(shù)和安全管理相結(jié)合�,技術(shù)作保障,管理是更好的落實安全措施���;從安全區(qū)域邊界�����、安全計算環(huán)境和安全通信網(wǎng)絡(luò)進行三維防護�,建立安全管理中心[6]�。方案設(shè)計完成后,應(yīng)組織專家或經(jīng)過第三方測評機構(gòu)進行評審���,以保證方案的可用性�。整改方案實施��。實施過程中應(yīng)注意技術(shù)與管理相結(jié)合,并根據(jù)實際情況適當(dāng)調(diào)整安全措施���,提高整體保護水平。我院整改方案是先由醫(yī)院內(nèi)部自查�����,再邀請等級測評公司進行預(yù)測評��,結(jié)合醫(yī)院實際最終形成的方案�。網(wǎng)絡(luò)技術(shù)人員熟悉系統(tǒng)現(xiàn)狀,易于發(fā)現(xiàn)潛在安全威脅�����,所以醫(yī)院要先自查�,對自身安全進行全面了解。等級測評公司派專業(yè)安全人員進駐醫(yī)院���,經(jīng)過與醫(yī)院技術(shù)人員溝通�����,利用安全工具進行測試�����,可以形成初步的整改報告�,對我院安全整改具有指導(dǎo)意義。
2.3開展等級保護測評[7]���。
下一步工作就是開展等級測評��。在測評機構(gòu)的選擇上���,首先要查看其是否具有“DICP”認(rèn)證,有沒有在當(dāng)?shù)毓膊块T進行備案���,還可以到中國信息安全等級保護網(wǎng)站進行核實�����。測評周期一般為1至2月�,其測評流程如下�����。
2.3.1測評準(zhǔn)備階段����。
醫(yī)院與測評機構(gòu)共同成立項目領(lǐng)導(dǎo)小組�����,制定工作任務(wù)與測評計劃等前期準(zhǔn)備工作�。項目啟動前����,為防止醫(yī)院信息泄露��,還需要簽訂保密協(xié)議�����。項目啟動后�����,測評機構(gòu)要進行前期調(diào)研���,主要是了解醫(yī)院信息系統(tǒng)的拓撲結(jié)構(gòu)�、設(shè)備運行狀況�����、信息系統(tǒng)應(yīng)用情況及安全管理等情況,然后再選擇相應(yīng)的測評工具和文檔�。在測評準(zhǔn)備階段,主要是做好組織機構(gòu)建設(shè)工作�����,配合等級測評公司人員的調(diào)查工作���。
2.3.2測評方案編制階段�����。
測評內(nèi)容主要由測評對象與測評指標(biāo)來確定��。我院測評對象包含三級的醫(yī)院信息系統(tǒng)�����、基礎(chǔ)網(wǎng)絡(luò)和二級的門戶網(wǎng)站��。測評機構(gòu)要與醫(yī)院溝通��,制定工具測試方法與測評指導(dǎo)書�,編制測評方案。在此階段���,主要工作由等級測評機構(gòu)來完成�。
2.3.3現(xiàn)場測評階段����。
在經(jīng)過實施準(zhǔn)備后,測評機構(gòu)要對上述控制項進行逐一測評�,大約需要1至2周,需要信息科人員密切配合與注意�。為保障醫(yī)院業(yè)務(wù)正常開展���,測評工作應(yīng)盡量減少對業(yè)務(wù)工作的沖擊�。當(dāng)需要占用服務(wù)器和網(wǎng)絡(luò)資源時應(yīng)避免業(yè)務(wù)高峰期��,可以選擇下班時間或晚上����。為避免對現(xiàn)有業(yè)務(wù)造成影響,測評工具應(yīng)在接入前進行測試����,同時要做好應(yīng)急預(yù)案準(zhǔn)備���,一旦影響醫(yī)院業(yè)務(wù),應(yīng)立即啟動應(yīng)急預(yù)案[8]��。在對209條控制項進行測評后應(yīng)進行結(jié)果確認(rèn)����,并將資料歸還醫(yī)院。該階段是從真實情況中了解信息系統(tǒng)全面具體的主要工作����,也是技術(shù)人員比較辛苦的階段。除了要密切配合測評����,還不能影響醫(yī)院業(yè)務(wù)開展,除非必要�����,不然安全測試工作必須在夜間進行����。
2.3.4報告編制階段。
通過判定測評單項,測評機構(gòu)對單項測評結(jié)果進行整理���,逐項分析�,最終得出整體測評報告�����。測評報告包含了醫(yī)院信息安全存在的潛在威脅點���、整改建議與最終測評結(jié)果[9]�。對于公安機關(guān)來講�,醫(yī)院能否通過等級測評的主要標(biāo)準(zhǔn)就是測評結(jié)果。因此��,測評報告的結(jié)果至關(guān)重要����。測評結(jié)果分為:不符合���、部分符合��、全部符合���。有的測評機構(gòu)根據(jù)單項測評結(jié)果進行打分���,最后給出總分,以分值來判定是否通過測評��。為得到理想測評結(jié)果�����,需要醫(yī)院落實安全整改方案����。
2.4安全運維。
我們必須清醒地認(rèn)識到�����,實施安全等級保護是一項長期工作�,它不僅要在信息化建設(shè)規(guī)劃中考慮,還要在日常運維管理中重視���,是不斷循環(huán)的過程�。按照等級保護制度要求��,信息系統(tǒng)等級保護級別定為三級的三甲醫(yī)院每年要自查一次,還要邀請測評機構(gòu)進行測評并進行整改����,監(jiān)管部門每年要抽查一次。因此�,醫(yī)院要按照PDCA的循環(huán)工作機制,不斷改進安全技術(shù)與管理上����,完善安全措施,更好地保障醫(yī)院信息系統(tǒng)持續(xù)穩(wěn)定運行[10]�。
三、結(jié)語
醫(yī)院信息安全工作是信息化建設(shè)的一部分��,是一項長期的系統(tǒng)工程���,需要分批分期的循序改建���。還要結(jié)合醫(yī)院實際,考慮安全產(chǎn)品的實用性�,不能盲目的進行投資��。醫(yī)院通過實施等級保護工作�����,可以有效增強網(wǎng)絡(luò)與信息系統(tǒng)整體安全性,有力保障醫(yī)院各項業(yè)務(wù)的持續(xù)開展�����,適應(yīng)醫(yī)院信息化不斷發(fā)展的需求����。
作者:王磊 單位:蚌埠醫(yī)學(xué)院第二附屬醫(yī)院
參考文獻
[1]公安部,國家保密局,國家密碼管理局,國務(wù)院信息化辦公室文件.關(guān)于信息安全等級保護工作的實施意見(公通字[2004]66號)[R],2004-9-15.
[2]GB/T22240-2008.信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南[S],2008-06-19.
[3]GB/T25058-2010.信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南[S],2010-09-02.
[4]GB/T22239-2008.信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求[S],2008-06-19.
[5]魏世杰.醫(yī)院信息安全等級保護三級建設(shè)思路[J].科技傳播,2013,5(99):208-209.
[6]張濱.構(gòu)建醫(yī)院信息安全等級保護縱深防護體系[J].信息通信,2014(141):148-149.
[7]GB/T28449-2012.信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南[S],2012-06-29.
[8]姚紅磊,楊文.三級系統(tǒng)信息安全等級保護測評指標(biāo)體系研究[J].鐵路計算機應(yīng)用,2015,24(2):59-61.
篇2
一、引言
隨著我國信息化建設(shè)的快速發(fā)展與廣泛應(yīng)用����,信息安全的重要性愈發(fā)突出。在國家重視信息安全的大背景下����,推出了信息安全等級保護制度。為統(tǒng)一管理規(guī)范和技術(shù)標(biāo)準(zhǔn)��,公安部等四部委聯(lián)合了《信息安全等級保護管理辦法》(公通字【2007】43號)���。隨著等級保護工作的深入開展�����,原衛(wèi)生部制定了《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》(衛(wèi)辦發(fā)【2011】85號)����,進一步規(guī)范和指導(dǎo)了我國醫(yī)療衛(wèi)生行業(yè)信息安全等級保護工作,并對三級甲等醫(yī)院核心業(yè)務(wù)信息系統(tǒng)的安全等級作了要求��,原則上不低于第三級���。
從《關(guān)于信息安全等級保護工作的實施意見》中可知信息安全等級保護對象是國家秘密信息��、法人和其他組織以及公民的專有信息和公開信息�。對信息系統(tǒng)及其安全產(chǎn)品進行等級劃分�����,并按等級對信息安全事件響應(yīng)��。
二�����、醫(yī)院信息安全等級保護工作實施步驟
2.1定級與備案��。根據(jù)公安部信息安全等級保護評估中心編制的《信息安全等級保護政策培訓(xùn)教程》���,有兩個定級要素決定了信息系統(tǒng)的安全保護等級�����,一個是等級保護對象受到破壞時所侵害的客體����,另外一個是對客體造成侵害的程度����。表1是根據(jù)定級要素制訂的信息系統(tǒng)等級保護級別。
對于三級醫(yī)院��,門診量與床位相對較多���,影響范圍較廣��,一旦信息系統(tǒng)遭到破壞��,將會給患者造成生命財產(chǎn)損失�����,對社會秩序帶來重大影響�。因此,從影響范圍和侵害程度來看��,我們非常認(rèn)同國家衛(wèi)計委對三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)安全等級的限制要求��。
在完成定級報告編制工作后�����,填寫備案表�,并按屬地化管理要求到市級公安機關(guān)辦理備案手續(xù),在取得備案回執(zhí)后才算完成定級備案工作����。我院已按照要求向我市公安局網(wǎng)安支隊,同時也是我市信息安全等級保護工作領(lǐng)導(dǎo)小組辦公室���,提交了定級報告與備案表�����。
2.2安全建設(shè)與整改�����。在完成定級備案后��,就要結(jié)合醫(yī)院實際�,分析信息安全現(xiàn)狀,進行合理規(guī)劃與整改�����。
2.2.1等保差距分析與風(fēng)險評估���。了解等級保護基本要求?!缎畔⑾到y(tǒng)安全等級保護基本要求》分別從技術(shù)和管理兩方面提出了基本要求?��;炯夹g(shù)要求包括五個方面:物理安全�、網(wǎng)絡(luò)安全�����、主機安全���、應(yīng)用安全和數(shù)據(jù)安全��,主要是由在信息系統(tǒng)中使用的網(wǎng)絡(luò)安全產(chǎn)品(包括硬件和軟件)及安全配置來實現(xiàn)����;基本管理要求也包括五個方面:安全管理制度、安全管理機構(gòu)�、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理�,主要是根據(jù)相關(guān)政策、制度以及規(guī)范流程等方面對人員活動進行約束控制�����,以期達到安全管理要求����。
技術(shù)類安全要求按保護側(cè)重點進一步劃分為三類:業(yè)務(wù)信息安全類(S類)、系統(tǒng)服務(wù)安全類(A類)����、通用安全保護類(G類)。如受條件限制��,可以逐步完成三級等級保護��,A類和S類有一類滿足即可�,但G類必須達到三級,最嚴(yán)格的G3S3A3控制項共計136條.醫(yī)院可以結(jié)合自身建設(shè)情況,選擇其中一個標(biāo)準(zhǔn)進行差距分析��。
管理方面要求很嚴(yán)格�,只有完成所有的154條控制項,達到管理G3的要求�����,才能完成三級等級保護要求����。這需要我們逐條對照���,發(fā)現(xiàn)醫(yī)院安全管理中的不足與漏洞��,找出與管理要求的差距����。
對于有條件的三甲醫(yī)院���,可以先進行風(fēng)險評估���,通過分析信息系統(tǒng)的資產(chǎn)現(xiàn)狀、安全脆弱性及潛在安全威脅,形成《風(fēng)險評估報告》��。
經(jīng)過與三級基本要求對照�����,我院還存在一定差距����。比如:在物理環(huán)境安全方面,我院機房雖有滅火器�����,但沒安裝氣體滅火裝置�。當(dāng)前的安全設(shè)備產(chǎn)品較少,不能很好的應(yīng)對網(wǎng)絡(luò)人侵�。在運維管理方面,缺乏預(yù)警機制����,無法提前判斷系統(tǒng)潛在威脅等。
2.2.2建設(shè)整改方案��。根據(jù)差距分析情況����,結(jié)合醫(yī)院信息系統(tǒng)安全實際需求和建設(shè)目標(biāo)����,著重于保證業(yè)務(wù)的連續(xù)性與數(shù)據(jù)隱私方面����,滿足于臨床的實際需求,避免資金投入的浪費�、起不到實際效果。
整改方案制訂應(yīng)遵循以下原則:安全技術(shù)和安全管理相結(jié)合���,技術(shù)作保障��,管理是更好的落實安全措施;從安全區(qū) 域邊界�、安全計算環(huán)境和安全通信網(wǎng)絡(luò)進行三維防護,建立安全管理中心�����。方案設(shè)計完成后�,應(yīng)組織專家或經(jīng)過第三方測評機構(gòu)進行評審,以保證方案的可用性����。
整改方案實施���。實施過程中應(yīng)注意技術(shù)與管理相結(jié)合,并根據(jù)實際情況適當(dāng)調(diào)整安全措施����,提高整體保護水平。
我院整改方案是先由醫(yī)院內(nèi)部自查���,再邀請等級測評#司進行預(yù)測評�����,結(jié)合醫(yī)院實際最終形成的方案�。網(wǎng)絡(luò)技術(shù)義員熟悉系統(tǒng)現(xiàn)狀�,易于發(fā)現(xiàn)潛在安全威脅,所以醫(yī)院要先自查�,對自身安全進行全面了解。等級測評公司派專業(yè)安全人員進駐醫(yī)院�,經(jīng)過與醫(yī)院技術(shù)人員溝通,利用安全工具進行測試���,可以形成初步的整改報告��,對我院安全整改具有指導(dǎo)意義��。
2.3開展等級保護測評�。下一步工作就是開展等級測評。在測評機構(gòu)的選擇上�,首先要查看其是否具有“DICP”認(rèn)證,有沒有在當(dāng)?shù)毓膊块T進行備案��,還可以到中國信息安全等級保護網(wǎng)站(網(wǎng)站地址:djbh.net)進行核實�����。測評周期一般為1至2月�����,其測評流程如下����。
2.3.1測評準(zhǔn)備階段�。醫(yī)院與測評機構(gòu)共同成立項目領(lǐng)導(dǎo)小組,制定工作任務(wù)與測評計劃等前期準(zhǔn)備工作��。項目啟動前�,為防止醫(yī)院信息泄露����,還需要簽訂保密協(xié)議��。項目啟動后����,測評機構(gòu)要進行前期調(diào)研,主要是了解醫(yī)院信息系統(tǒng)的拓撲結(jié)構(gòu)�����、設(shè)備運行狀況���、信息系統(tǒng)應(yīng)用情況及安全管理等情況��,然后再選擇相應(yīng)的測評工具和文檔����。
在測評準(zhǔn)備階段�,主要是做好組織機構(gòu)建設(shè)工作,配合等級測評公司人員的調(diào)査工作�。
2.3.2測評方案編制階段。測評內(nèi)容主要由測評對象與測評指標(biāo)來確定����。我院測評對象包含三級的醫(yī)院信息系統(tǒng)����、基礎(chǔ)網(wǎng)絡(luò)和二級的門戶網(wǎng)站���。測評機構(gòu)要與醫(yī)院溝通�,制定工具測試方法與測評指導(dǎo)書����,編制測評方案。在此階段��,主要工作由等級測評機構(gòu)來完成�。
2.3.3現(xiàn)場測評階段。在經(jīng)過實施準(zhǔn)備后�,測評機構(gòu)要對上述控制項進行逐一測評,大約需要1至2周�,需要信息科人員密切配合與注意。為保障醫(yī)院業(yè)務(wù)正常開展���,測評工作應(yīng)盡量減少對業(yè)務(wù)工作的沖擊。當(dāng)需要占用服務(wù)器和網(wǎng)絡(luò)資源時應(yīng)避免業(yè)務(wù)高峰期��,可以選擇下班時間或晚上。為避免對現(xiàn)有業(yè)務(wù)造成影響��,測評工具應(yīng)在接人前進行測試�,同時要做好應(yīng)急預(yù)案準(zhǔn)備,一旦影響醫(yī)院業(yè)務(wù)�����,應(yīng)立即啟動應(yīng)急預(yù)案�、在對209條控制項進行測評后應(yīng)進行結(jié)果確認(rèn),并將資料歸還醫(yī)院����。
該階段是從真實情況中了解信息系統(tǒng)全面具體的主要工作,也是技術(shù)人員比較辛苦的階段�。除了要密切配合測評,還不能影響醫(yī)院業(yè)務(wù)開展���,除非必要����,不然安全測試工作必須在夜間進行�。
2.3.4報告編制階段。通過判定測評單項��,測評機構(gòu)對單項測評結(jié)果進行整理,逐項分析�����,最終得出整體測評報告�。測評報告包含了醫(yī)院信息安全存在的潛在威脅點、整改建議與最終測評結(jié)果�����。對于公安機關(guān)來講��,醫(yī)院能否通過等級測評的主要標(biāo)準(zhǔn)就是測評結(jié)果�。因此,測評報告的結(jié)果至關(guān)重要��。測評結(jié)果分為:不符合����、部分符合、全部符合��。有的測評機構(gòu)根據(jù)單項測評結(jié)果進行打分����,最后給出總分���,以分值來判定是否通過測評�����。為得到理想測評結(jié)果����,需要醫(yī)院落實安全整改方案。
2.4安全運維���。我們必須清醒地認(rèn)識到��,實施安全等級保護是一項長期工作����,它不僅要在信息化建設(shè)規(guī)劃中考慮�����,還要在日常運維管理中重視��,是不斷循環(huán)的過程。按照等級保護制度要求����,信息系統(tǒng)等級保護級別定為三級的三甲醫(yī)院每年要自查一次,還要邀請測評機構(gòu)進行測評并進行整改��,監(jiān)管部門每年要抽查一次�。因此,醫(yī)院要按照PDCA的循環(huán)工作機制���,不斷改進安全技術(shù)與管理上��,完善安全措施���,更好地保障醫(yī)院信息系統(tǒng)持續(xù)穩(wěn)定運行。―
三��、結(jié)語
篇3
一��、工作目標(biāo)
依據(jù)國家信息安全等級保護制度����,遵循相關(guān)標(biāo)準(zhǔn)規(guī)范,在衛(wèi)生行業(yè)全面開展信息安全等級保護定級備案���、建設(shè)整改和等級測評等工作���,明確信息安全保障重點���,落實信息安全責(zé)任�,建立信息安全等級保護工作長效機制,切實提高衛(wèi)生行業(yè)信息安全防護能力���、隱患發(fā)現(xiàn)能力��、應(yīng)急處置能力����,為衛(wèi)生信息化健康發(fā)展提供可靠保障�,全面維護公共利益、社會秩序和國家安全����。
二、工作原則
(一)遵循標(biāo)準(zhǔn)����,重點保護�。遵循國家信息安全等級保護相關(guān)標(biāo)準(zhǔn)規(guī)范���,結(jié)合衛(wèi)生行業(yè)信息系統(tǒng)特點���,優(yōu)先保護重要衛(wèi)生信息系統(tǒng),優(yōu)先滿足重點信息安全需求�����。
(二)行業(yè)指導(dǎo)��,屬地管理�����。衛(wèi)生行業(yè)信息安全等級保護工作實行行業(yè)指導(dǎo)��、屬地管理��。地方各級衛(wèi)生行政部門要按照國家信息安全等級保護制度有關(guān)要求��,做好本地區(qū)衛(wèi)生信息系統(tǒng)安全等級保護的指導(dǎo)和管理工作�。衛(wèi)生行業(yè)各單位要按照“誰主管、誰負責(zé)���,誰運營�����、誰負責(zé)”的要求���,落實信息安全責(zé)任�����。
(三)同步建設(shè),動態(tài)完善�。在信息系統(tǒng)規(guī)劃設(shè)計與建設(shè)過程中,同步開展信息安全等級保護工作��。因信息和信息系統(tǒng)的業(yè)務(wù)類型��、應(yīng)用范圍等條件改變導(dǎo)致安全需求發(fā)生變化時����,應(yīng)當(dāng)重新調(diào)整信息系統(tǒng)安全保護等級,及時完善安全保障措施���。
三����、工作機制
地方各級衛(wèi)生行政部門承擔(dān)本地衛(wèi)生信息安全責(zé)任,信息化工作領(lǐng)導(dǎo)小組統(tǒng)籌組織本地衛(wèi)生信息安全等級保護工作��。衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組負責(zé)對全國衛(wèi)生行業(yè)信息安全等級保護工作的組織協(xié)調(diào)���、監(jiān)督指導(dǎo)���,并組織開展部機關(guān)信息安全等級保護工作。省級�、地市級衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組負責(zé)對本地區(qū)衛(wèi)生行業(yè)信息安全等級保護工作的組織協(xié)調(diào)、監(jiān)督指導(dǎo)�����,并組織開展本單位信息安全等級保護工作����。
衛(wèi)生部建立信息安全等級保護工作聯(lián)絡(luò)員機制,各省級衛(wèi)生行政部門應(yīng)當(dāng)設(shè)置信息安全等級保護工作聯(lián)絡(luò)員��。聯(lián)絡(luò)員職責(zé)是落實國家信息安全等級保護工作的有關(guān)政策和技術(shù)標(biāo)準(zhǔn)�����,掌握本地區(qū)信息安全等級保護工作動態(tài)和總體情況,代表本地區(qū)與衛(wèi)生部及同級信息安全等級保護管理部門進行日常聯(lián)系和交流����,協(xié)調(diào)落實本地區(qū)信息安全等級保護工作。
衛(wèi)生部和各省級衛(wèi)生行政部門應(yīng)當(dāng)分別建立信息安全技術(shù)專家委員會��,參與信息系統(tǒng)定級指導(dǎo)����、備案審查、方案論證���、安全咨詢��、安全檢查等技術(shù)工作。信息安全技術(shù)專家委員會應(yīng)當(dāng)包含衛(wèi)生行業(yè)�����、公安機關(guān)及信息安全技術(shù)等專家�。
四、工作任務(wù)
(一)定級備案����。
1.衛(wèi)生行業(yè)各單位應(yīng)當(dāng)對本單位建設(shè)與運營的衛(wèi)生信息系統(tǒng)進行自查�����,對未定級���、定級不準(zhǔn)的信息系統(tǒng),應(yīng)當(dāng)按照《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》開展定級工作。
國家信息安全等級保護制度將信息安全保護等級分為五級:第一級為自主保護級����,第二級為指導(dǎo)保護級,第三級為監(jiān)督保護級�����,第四級為強制保護級�,第五級為專控保護級����。以下重要衛(wèi)生信息系統(tǒng)安全保護等級原則上不低于第三級:
(1)衛(wèi)生統(tǒng)計網(wǎng)絡(luò)直報系統(tǒng)、傳染性疾病報告系統(tǒng)��、衛(wèi)生監(jiān)督信息報告系統(tǒng)���、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨省全國聯(lián)網(wǎng)運行的信息系統(tǒng)�����;
(2)國家�����、省�����、地市三級衛(wèi)生信息平臺���,新農(nóng)合�、衛(wèi)生監(jiān)督��、婦幼保健等國家級數(shù)據(jù)中心����;
(3)三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)�����;
(4)衛(wèi)生部網(wǎng)站系統(tǒng)���;
(5)其他經(jīng)過信息安全技術(shù)專家委員會評定為第三級以上(含第三級)的信息系統(tǒng)����。
2.擬定為第三級以上(含第三級)的衛(wèi)生信息系統(tǒng),應(yīng)當(dāng)經(jīng)信息安全技術(shù)專家委員會論證�����、評審���。
3.衛(wèi)生行業(yè)各單位在確定信息系統(tǒng)安全保護等級后�����,對第二級以上(含第二級)信息系統(tǒng)����,應(yīng)當(dāng)報屬地公安機關(guān)及衛(wèi)生行政部門備案���?����?缡∪珖?lián)網(wǎng)運行并由衛(wèi)生部定級的信息系統(tǒng)����,由衛(wèi)生部報公安部備案;在各地運行����、應(yīng)用的分支系統(tǒng),應(yīng)當(dāng)報屬地公安機關(guān)備案��。
(二)建設(shè)與整改�。
1.對已確定安全保護等級的第二級以上(含第二級)衛(wèi)生信息系統(tǒng),應(yīng)當(dāng)按照國家信息安全等級保護工作規(guī)范和《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》等國家標(biāo)準(zhǔn)�,開展安全保護現(xiàn)狀分析,查找安全隱患及與國家信息安全等級保護標(biāo)準(zhǔn)之間的差距�,確定安全需求。
2.根據(jù)信息系統(tǒng)安全保護現(xiàn)狀分析結(jié)果���,按照《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》��、《信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》等國家標(biāo)準(zhǔn)�,制訂信息系統(tǒng)安全等級保護建設(shè)整改方案�。第三級以上(含第三級)衛(wèi)生信息系統(tǒng)安全建設(shè)整改方案應(yīng)當(dāng)經(jīng)信息安全技術(shù)專家委員會論證。
3.衛(wèi)生行業(yè)各單位應(yīng)當(dāng)按照信息系統(tǒng)安全建設(shè)整改方案��,完善安全保護設(shè)施�,建立安全管理制度,落實安全管理措施����,形成信息安全技術(shù)防護體系和信息安全管理體系,有效保障衛(wèi)生信息系統(tǒng)安全�。
(三)等級測評。
1.系統(tǒng)建設(shè)整改工作完成后����,應(yīng)當(dāng)按照《信息安全等級保護管理辦法》要求,從全國信息安全等級保護測評機構(gòu)推薦目錄中選擇等級測評機構(gòu)�,對第三級以上(含第三級)衛(wèi)生信息系統(tǒng)進行等級測評。
2.測評合格后����,應(yīng)當(dāng)將測評報告報屬地公安機關(guān)及衛(wèi)生行政部門備案。
3.應(yīng)當(dāng)每年對第三級以上(含第三級)衛(wèi)生信息系統(tǒng)進行等級測評����。對于重要部門的第二級信息系統(tǒng),可參照上述要求進行等級測評�����。
(四)宣傳培訓(xùn)。
1.各級衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組應(yīng)當(dāng)對本地區(qū)各級各類醫(yī)療衛(wèi)生機構(gòu)開展等級保護政策和標(biāo)準(zhǔn)規(guī)范培訓(xùn)��,提高各單位信息安全管理人員的技術(shù)能力和管理水平��。
2.衛(wèi)生行業(yè)各單位應(yīng)當(dāng)開展內(nèi)部信息安全培訓(xùn)�����,提升全員信息安全意識�,規(guī)范信息安全操作行為,提高信息安全保障能力���。
(五)監(jiān)督檢查����。
1.衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組負責(zé)督導(dǎo)檢查各地醫(yī)療衛(wèi)生機構(gòu)信息安全等級保護工作落實情況���,并督促部機關(guān)重要信息系統(tǒng)責(zé)任單位開展信息安全等級保護工作����。
2.省級衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組負責(zé)督導(dǎo)檢查本地區(qū)衛(wèi)生行業(yè)各單位信息安全等級保護工作落實情況��,并督促本單位開展信息安全等級保護工作�����。
3.省級衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組應(yīng)當(dāng)于每年年底,向衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組報送本地區(qū)信息系統(tǒng)定級備案���、建設(shè)整改、等級測評和自查等工作開展情況�����。
五�、工作要求
(一)高度重視,加強領(lǐng)導(dǎo)����。衛(wèi)生行業(yè)各單位要高度重視,充分認(rèn)識信息安全等級保護工作對保護居民健康信息安全��、醫(yī)療衛(wèi)生機構(gòu)正常運轉(zhuǎn)和社會穩(wěn)定的重要意義����。各單位主要負責(zé)同志要負總責(zé),分管負責(zé)同志要具體抓����,明確職責(zé)與任務(wù)�,突出重點�����,將信息安全等級保護工作列入重要議事日程和工作績效考核指標(biāo)���,一級抓一級�����,層層抓落實��。
篇4
[關(guān)鍵詞]黨政建設(shè)�;信息化�����;技術(shù)�;網(wǎng)絡(luò);整改方案
隨著科技時代的前進�����,在經(jīng)濟全球化和全球信息化時刻前進的今天���,政治���、經(jīng)濟��、社會活動�、社會管理���、民眾等都在不斷的受到信息化的影響。這些影響深入各個領(lǐng)域��。自然在黨政建設(shè)中也開始了全面的深刻影響��。信息化的來臨促進各級黨委�、政府以及各個執(zhí)法行政部門各項事物的提高,同時也在為這些黨政部門不斷的創(chuàng)造更加便利的條件���。例如在黨政建設(shè)中����,不斷的提高社會管理以及服務(wù)水平���。幫助黨政部門保障知情權(quán)以及監(jiān)督權(quán)力等各項權(quán)力�。在對黨委政府自身建設(shè)上也開始全面的服務(wù)??傊谛畔⒒臅r代下我們黨政各個部門都享受著它的特殊性?,F(xiàn)在新時期新的變化新的改進,黨政建設(shè)就要在新時期下開始全面的信息化整改����。具體我們就來詮釋一下在科技飛速發(fā)展的時代下黨政建設(shè)是如何進行信息化整改的。
一�����、對現(xiàn)有的黨政信息化情況的了解
現(xiàn)在���,要對黨政建設(shè)信息化進行全面的整改��,就要及時的�����、詳細的了解黨政信息化的實時情況�����,并且針對其中的關(guān)鍵處進行整改���。首先要做的就是要及時的做好信息化整改的目標(biāo)以及方向��。那么就要找到信息化整改的目標(biāo)以及方向�。根據(jù)相關(guān)人員的調(diào)查以及數(shù)據(jù)分析���,現(xiàn)在我們看到一些黨政建設(shè)中的相關(guān)網(wǎng)站管理不規(guī)范是一個非常大的弊端����,主要體現(xiàn)在幾個方面上��,一方面是很多縣���、區(qū)、鄉(xiāng)黨政機關(guān)的網(wǎng)站管理域名注冊的非?�;靵y����。有很多單位甚至使用了不按照規(guī)定的一級域名cn,二級域名gov����;并且還會隨意使用gov和com類域名�。而那么已經(jīng)停止了的域名根本不去按時的去注銷�,更談不上按照規(guī)定去辦理注銷手續(xù)。更加惡劣的就是仍在外包IT企業(yè)服務(wù)器上運行�����。這是信息化管理上的一大漏洞����。還有一方面就是一些黨政機關(guān)對于集中網(wǎng)站的管理程度不高。并且其中的服務(wù)器比較分散����,利用率也不是很完善。自然就會導(dǎo)致安全性能大幅的降低�����。最后風(fēng)險襲來��。這種狀況常見于鄉(xiāng)鎮(zhèn)一級����。隱患比較大。還有一方面就是管理比較薄弱。有些工作人員對于信息化根本不是很了解�����,工作懈怠��,最后導(dǎo)致網(wǎng)站被攻擊��、網(wǎng)頁被篡改����。在黨政建設(shè)過程中,網(wǎng)站信息內(nèi)容非常重要����,這一方面的工作如果不能及時的整改,那么會造成很大的損失��,有些信息會出現(xiàn)一種局面那就是該公開的不公開�,不公開的出來了����。還有些內(nèi)容不能及時的更新,更新速度尤為緩慢����,總之這些問題成為了關(guān)鍵性的問題�����,這些問題需要相關(guān)部門及時的進行整改�?����?梢?����,加強維護網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)管理非常重要�。
二、整合方案���,及時整改
在黨政建設(shè)信息化整改的過程中���,相關(guān)部門看到了需要整改的方向以及目標(biāo),找到了需要整改的內(nèi)容�,就要及時的找到、規(guī)劃以及總結(jié)出相關(guān)的方案�����,主要是要思路明確。在整改過程中相關(guān)部門要及時的進行強化權(quán)力��,對于那些網(wǎng)絡(luò)系統(tǒng)要定期的優(yōu)化�����,形成一定的網(wǎng)絡(luò)架構(gòu)���,在技術(shù)上要加大力度���,對于政府相關(guān)部門的網(wǎng)站要安裝檢測預(yù)警并且互聯(lián)網(wǎng)接入“五個統(tǒng)一”的一體化建設(shè)管理與安全保障體系。讓全市黨政機關(guān)的網(wǎng)站建設(shè)都有一個全面的維護���。要做就要做到最好����,所以還要針對找到的信息化問題進行及時的處理���。
(一)網(wǎng)站域名
對于黨政建設(shè)的網(wǎng)站上,網(wǎng)絡(luò)域名要進行嚴(yán)格化�、規(guī)范化�。對于網(wǎng)站域名的注冊以及登記�����、變更和注銷上要有相關(guān)的手續(xù)�����。還要統(tǒng)一域名�。例如,規(guī)范使用“gov”�����、“org”等英文域名和“政務(wù)”��、“公益”中文域名�,不得使用“com”、“net”等一級域名����。各地有條件的街道(社區(qū))、鄉(xiāng)鎮(zhèn)(村)可申請獨立域名�,也可在當(dāng)?shù)卣T戶網(wǎng)站域名下衍生次級域名。
(二)網(wǎng)絡(luò)接入點
對于黨政信息化建設(shè)的整改過程中對于網(wǎng)絡(luò)接入點要規(guī)范化�,并且一定要嚴(yán)格按照國家的要求進行接入�,同時對于地級市政府以及各個部門要及時的做好鏈接工作���,實現(xiàn)共享資源以及整體的聯(lián)動�����,嚴(yán)格控制非業(yè)務(wù)性的工作�,在接入點上要實行統(tǒng)一安全的制度��。在管理上要開展集中管理�。減少不必要的危害。
(三)網(wǎng)站運維
篇5
[關(guān)鍵詞] 信息等級保護概述�����;中國石油����;等級保護建設(shè)
[中圖分類號] TP391;X913.2 [文獻標(biāo)識碼] A [文章編號] 1673 - 0194(2013)05- 0057- 02
1 信息等級保護制度概述
信息安全等級保護制度是國家信息安全保障工作的基本制度���,是促進信息化健康發(fā)展的根本保障��。其具體內(nèi)容包括:①對國家秘密信息��,法人和其他組織及公民的專有信息以及公開信息��,存儲��、傳輸��、處理這些信息的信息系統(tǒng)實行分等級安全保護���、分等級監(jiān)管;②對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理���;③對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)�����、處置���。信息安全等級保護配套政策體系及標(biāo)準(zhǔn)體系如圖1、圖2所示����。
定條件的測評機構(gòu)開展等級測評;④建設(shè)整改:備案單位根據(jù)信息系統(tǒng)安全等級�,按照國家政策�、標(biāo)準(zhǔn)開展安全建設(shè)整改����;⑤檢查:公安機關(guān)定期開展監(jiān)督、檢查�、指導(dǎo)。
2 中國石油信息安全等級保護制度建設(shè)
中國石油信息化建設(shè)處于我國大型企業(yè)領(lǐng)先地位���,在國資委歷年信息化評比中都名列前茅�����。2007 年全國開展信息安全等級保護工作之后�����,中國石油認(rèn)真貫徹國家信息安全等級保護制度各項要求����,全面開展信息安全等級保護工作�����。逐步建成先進實用、完整可靠的信息安全體系�����,保障信息化建設(shè)和應(yīng)用��,支撐公司業(yè)務(wù)發(fā)展和總體戰(zhàn)略的實施����,使中國石油的信息安全保障能力顯著提高����。主要采取的措施有以下幾個方面:
(1)以信息安全等級保護工作為契機 , 全面梳理業(yè)務(wù)系統(tǒng)并定級備案����。中國石油根據(jù)國家信息安全等級保護制度要求,建立自上而下的工作組織體系����,明確信息安全責(zé)任部門,對中國石油統(tǒng)一建設(shè)的應(yīng)用系統(tǒng)進行等級保護定級和備案��,通過制定《中國石油天然氣集團公司重要信息系統(tǒng)安全等級保護定級實施暫行意見》�,加強桌面安全、網(wǎng)絡(luò)安全、身份認(rèn)證等安全基礎(chǔ)防護工作���,加快開展重要信息系統(tǒng)的等級測評和安全建設(shè)整改工作����,進一步提高信息系統(tǒng)的安全防御能力����,提高系統(tǒng)的可用性和安全性。在全面組織開展信息系統(tǒng)等級保護定級備案工作之后���,聘請專業(yè)測評機構(gòu)�,及時開展等級測評�����、安全檢查和風(fēng)險評估工作����,并通過等級測評工作查找系統(tǒng)的不足和安全隱患,制訂安全整改方案����,開展安全整改和加固改造��,保障信息系統(tǒng)持續(xù)安全穩(wěn)定運行��。
(2)以信息安全等級保護工作為抓手 ����, 全面推動中國石油信息安全體系建設(shè)�����。中國石油以信息安全等級保護工作為抓手�,完善信息安全整體解決方案��,建立技術(shù)保障體系���、管理保障體系和控制保障體系���。采用分級、分域的縱深防御理念�����,將桌面安全�、身份認(rèn)證、網(wǎng)絡(luò)安全、容災(zāi)等相關(guān)技術(shù)相互結(jié)合���,建立統(tǒng)一的安全監(jiān)控平臺和安全運行中心�����,實現(xiàn)對應(yīng)用系統(tǒng)的授權(quán)訪問�����、桌面計算機的安全控制����、網(wǎng)絡(luò)流量的異常監(jiān)控���、惡意軟件與攻擊行為的及時發(fā)現(xiàn)與防御����、業(yè)務(wù)與數(shù)據(jù)安全保障等功能��,顯著提高抵御外部和內(nèi)部信息安全威脅的能力�。建立了總部、區(qū)域網(wǎng)絡(luò)中心����、企事業(yè)單位三級信息系統(tǒng)安全運維隊伍�;采用集中管理�����、分級維護的管理模式��,網(wǎng)絡(luò)與安全運維人員采用授權(quán)方式����,持證上崗,建立網(wǎng)絡(luò)管理員��、安全管理員和安全審計員制度��;初步建立起中國石油內(nèi)部信息安全風(fēng)險評估隊伍����,并于 2010 年完成地區(qū)公司的網(wǎng)絡(luò)安全風(fēng)險評估工作���。
(3)建立重要信息系統(tǒng)應(yīng)急處置預(yù)案��,完善災(zāi)難恢復(fù)機制�����。2008 年�,中國石油了《網(wǎng)絡(luò)與信息安全突發(fā)事件專項應(yīng)急預(yù)案》,所有業(yè)務(wù)系統(tǒng)���、網(wǎng)絡(luò)管理�、安全管理等都建立了應(yīng)急響應(yīng)處置預(yù)案和災(zāi)備系統(tǒng)���,保障業(yè)務(wù)系統(tǒng)在遭遇突發(fā)事件時��,能快速反應(yīng)并恢復(fù)業(yè)務(wù)系統(tǒng)可用性�����。通過災(zāi)難恢復(fù)項目研究�,形成了現(xiàn)狀及風(fēng)險分析����、災(zāi)難恢復(fù)等級劃分、災(zāi)備部署策略分析和災(zāi)備部署方案四步法���,劃分了信息系統(tǒng)災(zāi)難恢復(fù)等級�����,完善了災(zāi)難恢復(fù)機制��。
(4)規(guī)劃信息安全運行中心����,建立重要信息系統(tǒng)安全監(jiān)控機制。中國石油規(guī)劃了信息安全運行中心的建設(shè)方案����,提出了信息安全運行中心建設(shè)目標(biāo),通過網(wǎng)絡(luò)運行狀態(tài)�����、安全信息數(shù)據(jù)匯集�����、安全監(jiān)測分析功能和安全管理流程的有機整合����,實現(xiàn)中國石油 信息安全狀況的可感知�����、可分析、可展示��、可管理和可指揮���,形成中國石油信息安全事件分析�、風(fēng)險分析�、預(yù)警管理和應(yīng)急響應(yīng)處理一體化的技術(shù)支撐能力;通過完善安全運行管理體系���,將安全運行管理組織��、安全運維管理流程和安全監(jiān)測預(yù)警系統(tǒng)三方面有機結(jié)合�����,實現(xiàn)事前預(yù)警防范���、事中監(jiān)控處置、事后追溯定位的信息安全閉環(huán)運行機制���,形成中國石油統(tǒng)一的應(yīng)急指揮與協(xié)調(diào)調(diào)度能力��,為中國石油信息安全保障奠定良好的基礎(chǔ)����。
3 信息安全等級保護工作存在的不足及改進建議
信息安全等級保護管理辦法 (公通字[2007]43號)正式標(biāo)志著全國范圍內(nèi)的信息安全等級保護工作開始,通過5年的努力�,全國信息安全工作形成了以落實信息安全等級保護制度為核心,信息通報���、應(yīng)急處理����、技術(shù)研究�、產(chǎn)業(yè)發(fā)展、網(wǎng)絡(luò)信任體系和標(biāo)準(zhǔn)化建設(shè)等工作快速發(fā)展的良好局面���,重要行業(yè)部門的信息安全意識�����、重視程度���、工作能力有了顯著提高��。40余個重要行業(yè)出臺了100余份行業(yè)等級保護政策文件,20余個重要行業(yè)出臺了40余份行業(yè)等級保護標(biāo)準(zhǔn)����,但同時存在著以下不足:
(1)對信息安全工作的認(rèn)識不到位,對重要信息系統(tǒng)安全保護缺乏應(yīng)有的重視�。依據(jù)公安部相關(guān)資料統(tǒng)計,截至2012年6月�,我國有18%的單位未成立信息安全工作領(lǐng)導(dǎo)機構(gòu);21%的單位未落實信息安全責(zé)任部門���,缺乏信息安全整體規(guī)劃�����;14個行業(yè)重要信息系統(tǒng)底數(shù)不清���、安全保護狀況不明;12個行業(yè)未組織全行業(yè)信息安全專門業(yè)務(wù)培訓(xùn)���,開展信息安全工作的思路和方法不得當(dāng)�,措施不得力���。20%的單位在信息系統(tǒng)規(guī)劃過程中�����,沒有認(rèn)真制定安全策略和安全體系規(guī)劃�����,導(dǎo)致安全策略不得當(dāng)��;22%的信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)劃分不合理�,核心業(yè)務(wù)區(qū)域部署位置不當(dāng),業(yè)務(wù)應(yīng)用不合理�,容易導(dǎo)致黑客入侵攻擊,造成網(wǎng)絡(luò)癱瘓�,數(shù)據(jù)被竊取和破壞。34.6%的重要信息系統(tǒng)未配置專職安全管理人員����,相關(guān)崗位設(shè)置不完整,安全管理人員身兼多職�����;48%的單位信息安全建設(shè)資金投入不足��,導(dǎo)致重要信息系統(tǒng)安全加固和整改經(jīng)費嚴(yán)重缺乏;27%的單位沒有針對安全崗位人員制訂相關(guān)的培訓(xùn)計劃����,沒有組織開展信息安全教育和培訓(xùn)�����,安全管理�����、運維技術(shù)人員能力較弱��。
(2)重要信息系統(tǒng)未落實關(guān)鍵安全保護技術(shù)措施��。重要信息系統(tǒng)未落實安全審計措施�����。在主機層面����,有34.9%的信息系統(tǒng)沒有保護主機審計記錄,34.8%的信息系統(tǒng)沒有保護主機審計進程��,容易導(dǎo)致事故責(zé)任無法認(rèn)定,無法確定事故(事件)原因����,影響應(yīng)急處理效率。38%的信息系統(tǒng)沒有落實對重要系統(tǒng)程序和文件進行完整性檢測和自動恢復(fù)的技術(shù)措施��,35%的信息系統(tǒng)沒有采取監(jiān)測重要服務(wù)器入侵行為的技術(shù)措施���,容易使內(nèi)部網(wǎng)絡(luò)感染病毒�,對攻擊行為無法進行有效監(jiān)測和處置�����。
(3)我國信息技術(shù)與國外存在一定差距����,安全專業(yè)化服務(wù)力量薄弱。具有我國自主知識產(chǎn)權(quán)的重要信息技術(shù)產(chǎn)品和核心技術(shù)水平還有待提高���,依賴國外產(chǎn)品的情況還比較普遍�;國內(nèi)信息安全專業(yè)化服務(wù)力量薄弱���,安全服務(wù)能力不強�,部分重要信息系統(tǒng)的關(guān)鍵產(chǎn)品維護和系統(tǒng)運維依賴國外廠商,給重要信息系統(tǒng)安全留下了隱患���。
為了有效提高我國企業(yè)信息安全水平���,增加等級保護的可行性及執(zhí)行力�,建議:①各企業(yè)開展以信息安全等級保護為核心的安全防范工作,提高網(wǎng)絡(luò)主動防御能力���,并制訂應(yīng)急處置預(yù)案���,加強應(yīng)急演練,提高網(wǎng)絡(luò)應(yīng)急處置能力��。②加大人員和資金投入�,提高保障能力。③國家層面加快關(guān)鍵技術(shù)研究和產(chǎn)品化�����,重視產(chǎn)品供應(yīng)鏈的安全可控����。
主要參考文獻
[1]中國石油天然氣集團公司. 中國石油天然氣集團公司全面開展信息安全等級保護工作為信息化建設(shè)保駕護航[J].信息網(wǎng)絡(luò)安全���,2012(1).
篇6
【關(guān)鍵字】 桌面終端 補丁 準(zhǔn)入管理 綜合網(wǎng)管
防患于未然――這是一句古話。這句話用在信息網(wǎng)絡(luò)安全中最能體會���。
隨著信息化建設(shè)的逐步深入�,網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜�,信息系統(tǒng)趨于多元化,信息安全面臨許多問題��,如內(nèi)外網(wǎng)安全�、主機安全、應(yīng)用系統(tǒng)安全��、物理環(huán)境安全�����、桌面終端安全成為信息化建設(shè)的重中之重���。桌面終端任意接入��,安全策略得不到統(tǒng)一和有效控制�����,對資產(chǎn)信息采集統(tǒng)計與遠程監(jiān)控手段不足�����,用戶行為難以控制���,存在引發(fā)信息安全事件的風(fēng)險�,終端維護成本較高等問題制約和影響著信息化健康持續(xù)發(fā)展����?���?茖W(xué)、合理的構(gòu)建和完善信息安全防護體系成為解決信息安全的有效途徑����。
如何將信息安全隱患降到最低,如何抵御病毒��、黑客的入侵�����,如何安心使用網(wǎng)絡(luò)這都是在信息行業(yè)中醒目的問題。
桌面安全管理系統(tǒng)是一個完全集成的模塊化桌面管理解決方案�,可以管理企業(yè)所有Windows平臺設(shè)備。涵蓋了策略管理中心�����、設(shè)備管理��、遠程協(xié)助�����、移動存儲介質(zhì)管理等模塊����,對信息網(wǎng)絡(luò)安全起到了重要的作用。
設(shè)備和資產(chǎn)管理
隨著公司企業(yè)的發(fā)展���,IT產(chǎn)業(yè)也在不斷擴展�,終端設(shè)備增加了不少���。作為IT管理員�����,要將不同配置���,位置分散的PC機等相關(guān)設(shè)備進行統(tǒng)一管理��,把設(shè)備臺帳做好做細是件比較費時的事情�。
在桌面管理系統(tǒng)里�����,每新增一臺終端設(shè)備�,不管是PC機還是其他辦公設(shè)備等,只要設(shè)有IP地址��,分配了部門����,在終端上注冊了桌面管理系統(tǒng)�����,都能在桌面安全管理系統(tǒng)內(nèi)監(jiān)測到��。并且終端機的詳細參數(shù)配置���、進程�、安裝軟件等都能一目了然,這對設(shè)備資產(chǎn)管理有很大的幫助���。
遠程協(xié)助和成本控制管理
桌面管理系統(tǒng)內(nèi)的遠程協(xié)助�,可以幫助網(wǎng)絡(luò)管理員遠程運維電腦終端�����,這樣不僅降低了故障響應(yīng)時間也提升信息運維人員的工作效率��,還可通過系統(tǒng)內(nèi)的點對點控制��,遠程取得計算機的安裝程序�����,應(yīng)用進程�����,系統(tǒng)版本等關(guān)鍵資料和使用狀況�����。
遠程控制使工程師在任何內(nèi)網(wǎng)接入的工作場所就能對任何出現(xiàn)的故障做出迅速的反應(yīng)并處理問題。這方面大大節(jié)約了工作人員的時間��,降低了運維成本�����。
桌面管理系統(tǒng)補丁管理
桌面終端管理系統(tǒng)重要的補丁下發(fā)功能可為公司內(nèi)網(wǎng)終端自動下發(fā)并安裝最新的系統(tǒng)補丁�����,使系統(tǒng)保持最安全的運行方式���,可以根據(jù)各種計劃任務(wù)����,或者根據(jù)批處理策略統(tǒng)一下發(fā)下載補丁����。當(dāng)系統(tǒng)監(jiān)測到有終端未安裝補丁時�,可對缺少的補丁進行重新下發(fā)。并能夠?qū)ρa丁下載及安裝的情況進行查詢��,避免因病毒侵襲及應(yīng)用系統(tǒng)漏洞而導(dǎo)致?lián)p失。
違規(guī)外聯(lián)準(zhǔn)入管理
針對違規(guī)外聯(lián)進行全面整改����,不僅出臺了公司違規(guī)外聯(lián)事件整改方案,而且在管理上加強力度�����。一是做到定期病毒及安全使用公告��,禁止手機聯(lián)入內(nèi)網(wǎng)充電�;二是定期開展信息安全知識教育培訓(xùn),將違規(guī)外聯(lián)原理�����、違規(guī)外聯(lián)的嚴(yán)重性�、可能發(fā)生違規(guī)外聯(lián)情況公示;三是全網(wǎng)粘貼內(nèi)網(wǎng)計算機標(biāo)簽標(biāo)識��,杜絕違規(guī)外聯(lián)誤操作����。四是違規(guī)外聯(lián)堅決執(zhí)行公司的規(guī)定,懲治力度決不放松��。
防非法外聯(lián)系統(tǒng)在終端連接內(nèi)網(wǎng)前,通過安裝準(zhǔn)入系統(tǒng)認(rèn)證客戶端對計算機進行健康狀況檢查�,是否安裝防病毒軟件,是否安裝桌面管理系統(tǒng)��,對不滿足安全要求的終端禁止分配內(nèi)網(wǎng)合法IP地址�����,當(dāng)用戶完成入網(wǎng)的要求后����,準(zhǔn)入系統(tǒng)會自動識別系統(tǒng)狀態(tài)并分配合法的內(nèi)網(wǎng)IP地址,完整用戶終端的準(zhǔn)入流程�,并通過桌面管理系統(tǒng)下發(fā)防違規(guī)外聯(lián)IP策略,進一步控制非法外聯(lián)的發(fā)生���。
移動存儲介質(zhì)管理
移動存儲的隨意接入網(wǎng)絡(luò)或者丟失出現(xiàn)信息數(shù)據(jù)泄密的都對信息安全造成很大威脅����。桌面管理系統(tǒng)內(nèi)的移動存儲管理可大大提高移動存儲的安全性��。通過桌面終端管理系統(tǒng)能夠安全的進行移動存儲的管理�,防止信息泄密事件的發(fā)生,杜絕因移動存儲介質(zhì)泄密對內(nèi)網(wǎng)安全的威脅�����。
雙數(shù)據(jù)區(qū)交互使用:專用U盤支持交換區(qū)和保密區(qū)�����。交換區(qū)在分配相同桌面標(biāo)簽的計算機上支持口令登錄使用����;保密區(qū)在分配相同桌面標(biāo)簽的計算機上受限制使用,在不同標(biāo)簽的計算機上無法使用�,插入即會報警。
綜合以上幾個模塊的功能��,作為管理員能充分體會桌面管理系統(tǒng)在信息網(wǎng)絡(luò)安全中的起到的強大作用����。
參 考 文 獻
[1]徐沛沛.統(tǒng)一桌面管理系統(tǒng)建設(shè)分析與研究 電力信息化 2012(10)
篇7
一、嚴(yán)格要求���,搞好自查
我局把做好“回頭看”和整改落實工作作為學(xué)習(xí)實踐活動的一個重要環(huán)節(jié)來抓�����,切實加強領(lǐng)導(dǎo)���,穩(wěn)步推進��,取得了良好效果�����。
(一)提出明確要求
3月18日全省深入學(xué)習(xí)實踐科學(xué)發(fā)展觀活動總結(jié)動員大會召開后�,我局及時進行了傳達貫徹����,認(rèn)真學(xué)習(xí)省委書記徐光春同志、中央學(xué)習(xí)實踐活動第6巡回檢查組副組長同志在總結(jié)動員大會上的重要講話精神���,并對開展學(xué)習(xí)實踐活動整改落實情況“回頭看”工作進行了安排部署�。4月27日����,省委第1巡回檢查組召開座談會,對第一批深入學(xué)習(xí)實踐科學(xué)發(fā)展觀活動單位整改落實情況繼續(xù)進行巡回檢查工作進行了安排�。會后,我局參會人員及時將會議精神向局黨組作了匯報�。黨組書記、局長宋靈恩要求各單位��、各處室充分認(rèn)識做好“回頭看”和整改落實工作對確保學(xué)習(xí)實踐活動取得實效、促進全省電信行業(yè)平穩(wěn)較快發(fā)展的重要意義���,以高度負責(zé)的精神,通過深入扎實的整改落實工作���,把學(xué)習(xí)實踐活動開展以來積累的學(xué)習(xí)成果�����、調(diào)研成果����、解放思想討論的成果���、分析檢查的成果轉(zhuǎn)化為業(yè)務(wù)工作成果���、制度建設(shè)成果和群眾能得到的實惠。
(二)認(rèn)真開展自查
各單位��、各處室按照局學(xué)習(xí)實踐活動領(lǐng)導(dǎo)小組關(guān)于做好“回頭看”和整改落實工作的要求�,對照局整改落實方案,逐項自查整改落實內(nèi)容���、時限���、目標(biāo)�、措施是否得到落實�。各責(zé)任單位、責(zé)任人通過多種方式����,廣泛征求群眾對整改落實情況的意見,認(rèn)真聽取群眾對整改落實工作的評價���。各責(zé)任單位����、主要責(zé)任人依據(jù)整改落實方案�,逐項對照、逐條分析�����、深入查擺�,對整改落實工作分類排隊,落實掛銷號制度,確保整改落實工作的深入開展��。
(三)加強督促檢查
局學(xué)習(xí)實踐活動領(lǐng)導(dǎo)小組辦公室加強對各單位�、各處室“回頭看”和整改落實工作的督促檢查,采取聽����、看、查���、考等方式,督促各單位����、各處室切實負起責(zé)任,充分聽取群眾意見�,認(rèn)真抓好整改,務(wù)求取得實效��。在各責(zé)任單位責(zé)任人自查�、發(fā)動群眾排查的基礎(chǔ)上,局黨組召開專題會議����,聽取各單位、各處室主要負責(zé)同志對本單位整改落實情況的工作匯報,了解掌握整改方案落實情況�,并提出明確要求。
二�、整改落實基本情況
圍繞支持經(jīng)濟發(fā)展、服務(wù)民生�,我局狠抓整改落實,加強電信管理��,努力推動全省電信行業(yè)科學(xué)發(fā)展���。
(一)繼續(xù)推進整改任務(wù)落實
針對全省電信行業(yè)發(fā)展和電信管理工作中存在的10個方面整改問題��,我局對照整改落實方案���,認(rèn)真整改落實,一些整改任務(wù)已經(jīng)完成�,一些整改任務(wù)正在穩(wěn)步推進,還有一些整改任務(wù)正在按計劃開展�。
5個方面的整改任務(wù)基本完成:成立電信基礎(chǔ)設(shè)施共建共享協(xié)調(diào)小組及省、市兩級電信基礎(chǔ)設(shè)施共建共享專家組���,研究制定貫徹落實意見�����,組織簽署合作協(xié)議�����,建立溝通協(xié)商機制��,一季度����,共完成98個移動通信基站、鐵塔共享����,105個基站�����、鐵塔共建��,總計節(jié)約建設(shè)投資2000多萬元���;召開全省自然村“村村通電話”會議�����,部署村通工程和“信息下鄉(xiāng)”工作�,制定《關(guān)于全面完成我省自然村“村村通電話”任務(wù)積極推進農(nóng)村信息化建設(shè)的意見》,建設(shè)和完善農(nóng)村綜合信息服務(wù)平臺,積極推進“信息下鄉(xiāng)”活動;建立每月垃圾短信息治理工作情況通報制度�����,重點加大對非端口類垃圾短信息�、網(wǎng)間和省間垃圾短信息以及違法類����、廣告類垃圾短信息等突出問題的治理力度,從3月份開始�����,我局共受理垃圾短信息投訴26119件�����,暫停發(fā)送垃圾短信息號碼15078個���,攔截垃圾短信息1799851條����,對5家SP進行了處理;從1月份開始�����,開展為期半年的電信資費套餐清理專項活動��,截止目前���,共清理減少資費套餐750個����,資費套餐數(shù)量減少13.2%�����;認(rèn)真開展整治互聯(lián)網(wǎng)低俗之風(fēng)專項行動���,依法關(guān)閉違法違規(guī)網(wǎng)站95個(含1個WAP網(wǎng)站),通知相關(guān)接入服務(wù)單位對我局核查出的2170個未備案網(wǎng)站進行關(guān)閉處理�,注銷違法網(wǎng)站備案20個,配合有關(guān)部門刪除非法不良信息45條��,向3家違規(guī)互聯(lián)網(wǎng)接入服務(wù)單位下發(fā)了責(zé)令改正通知書��。
9個方面的整改任務(wù)正扎實推進:對全省通信業(yè)經(jīng)濟運行主要情況進行統(tǒng)計分析,對各公司的季度分析報告進行整理和研究�����,形成全省通信業(yè)發(fā)展分析報告��;將TD移動通信網(wǎng)絡(luò)建設(shè)項目列入2009年全省重點建設(shè)項目�,省政府將電信基礎(chǔ)設(shè)施納入城市建設(shè)規(guī)劃,為TD的建設(shè)運營提供政策支持��,全省17個省轄市的TD三期工程也已全面啟動���;成立領(lǐng)導(dǎo)小組���,制定《2009年民主評議政風(fēng)行風(fēng)工作實施方案》,印發(fā)工作安排�,從2月份起在全省電信行業(yè)組織開展民主評議政風(fēng)行風(fēng)工作,黨組書記�、局長宋靈恩做客省人民廣播電臺《政府在線》政風(fēng)行風(fēng)熱線節(jié)目,就電信行業(yè)政風(fēng)行風(fēng)建設(shè)問計于民����;加強網(wǎng)絡(luò)信息安全管理,探索建立互聯(lián)網(wǎng)管理的長效機制工作��,全面開展互聯(lián)網(wǎng)接入服務(wù)市場和手機(含小靈通)代收費服務(wù)清理整頓,完善落實信息安全管理制度��,逐步建立防范處理網(wǎng)絡(luò)違法不良信息的長效機制���,重點開展手機媒體����、特別是WAP網(wǎng)站的違法違規(guī)內(nèi)容清理工作�����,切實凈化網(wǎng)絡(luò)環(huán)境�;加快專用通信網(wǎng)絡(luò)擴容,提高網(wǎng)絡(luò)承載能力���,跟蹤應(yīng)用新技術(shù)����、新業(yè)務(wù)���,全面提高技術(shù)水平,增強保障能力����,為黨政機關(guān)��、各級領(lǐng)導(dǎo)提供便捷暢通����、安全可靠的專用通信服務(wù)����;努力加快應(yīng)急通信指揮平臺的立項、可研��、設(shè)計����、建設(shè)等工作,進一步健全應(yīng)急通信保障體系��,完善預(yù)案����,開展應(yīng)急通信演練,加大物資儲備力度�,加強隊伍建設(shè),確保重要機關(guān)通信暢通���;加強干部作風(fēng)建設(shè)�����,深入開展“講黨性修養(yǎng)�、樹良好作風(fēng)、促科學(xué)發(fā)展”教育活動���,組織黨員干部參觀唐莊鎮(zhèn)和焦裕祿事跡展覽����,參加全省領(lǐng)導(dǎo)干部警示教育大會���,邀請專家作專題輔導(dǎo)����,落實每月一次機關(guān)集體學(xué)習(xí)制度����,印發(fā)機關(guān)黨的建設(shè)和精神文明建設(shè)工作要點,推動機關(guān)精神文明創(chuàng)建工作再上新臺階�����;加強黨風(fēng)廉政建設(shè)��,黨組書記�����、局長宋靈恩與各部門負責(zé)人簽訂《黨風(fēng)廉政建設(shè)目標(biāo)管理責(zé)任書》��,狠抓黨風(fēng)廉政建設(shè)責(zé)任制的落實��,將黨紀(jì)黨規(guī)知識考試作為預(yù)備黨員轉(zhuǎn)正的必要程序���;調(diào)整局行政執(zhí)法領(lǐng)導(dǎo)小組成員�,認(rèn)真開展2008年度機關(guān)內(nèi)部行政執(zhí)法責(zé)任目標(biāo)考評��,針對我局行政執(zhí)法存在的問題�����,采取措施努力改進���。
2個方面的中長期整改任務(wù)正按計劃進行:積極促進信息化與工業(yè)化融合����,大力支持省各基礎(chǔ)電信運營公司信息化應(yīng)用項目,加快信息技術(shù)在經(jīng)濟社會各個領(lǐng)域的廣泛應(yīng)用����,通過信息化手段改造提升傳統(tǒng)產(chǎn)業(yè);加快增值電信業(yè)務(wù)發(fā)展步伐�����,完善產(chǎn)業(yè)鏈��,壯大實力�����,規(guī)范市場秩序�,力爭到2010年,在我省經(jīng)營的增值電信業(yè)務(wù)經(jīng)營單位超過1400家����,業(yè)務(wù)收入突破120億元,增值電信業(yè)務(wù)規(guī)模和數(shù)量位居中西部前列���,形成10個以上在全國有影響力的增值電信業(yè)務(wù)經(jīng)營單位和知名業(yè)務(wù)品牌����。
(二)加大完善體制機制力度
認(rèn)真清理完善現(xiàn)有的各類政策措施、意見辦法�����、規(guī)章制度��,廢止過時政策性文件5個�����,新出臺政策性文件25個�,正在抓緊研究制訂政策性文件13個���。自去年12月份以來���,對機關(guān)各項管理制度逐一進行討論研究,該廢止的及時廢止���,需要完善的及時修訂完善��,為加強電信管理工作和機關(guān)自身建設(shè)提供了制度保障��。對2008年以來的電信管理法律法規(guī)規(guī)章和政策規(guī)定進行整理�,編印了《電信管理政策法規(guī)選編》。開展規(guī)范通信行政處罰權(quán)工作�,努力提高通信行政處罰水平。在制定電信管理政策性文件時�,注重提高制定政策的科學(xué)性、實用性和可操作性���。今年以來�,出臺了《河南省通信管理局2009年工作要點》��、《關(guān)于開展電信資費套餐清理專項活動的通知》�、《關(guān)于進一步支持河南移動TD-SCDMA網(wǎng)絡(luò)建設(shè)工作的通知》、《關(guān)于進一步深入開展垃圾短信息專項治理活動的通知》���、《河南省通信管理局2009年民主評議政風(fēng)行風(fēng)工作實施方案》�����、《2009年河南省通信管理局?jǐn)M辦好的支持經(jīng)濟發(fā)展服務(wù)民生的十件實事》����、《關(guān)于全面完成我省自然村“村村通電話”任務(wù)積極推進農(nóng)村信息化建設(shè)的意見》�、《關(guān)于印發(fā)〈河南省電信業(yè)2009年“安全生產(chǎn)年”活動實施方案〉的通知》����、《關(guān)于加強全省電信行業(yè)2009年重點項目建設(shè)的通知》����、《2009年河南省電信業(yè)發(fā)展指導(dǎo)意見》、《關(guān)于加強通信業(yè)運行分析工作的通知》�、《關(guān)于印發(fā)〈河南省通信管理局凈化網(wǎng)絡(luò)文化環(huán)境工作方案〉的通知》、《關(guān)于做好第二季度全省電信基礎(chǔ)設(shè)施共建共享工作的通知》等13個政策性文件�����,引導(dǎo)電信運營企業(yè)努力打贏保持電信行業(yè)平穩(wěn)較快發(fā)展這場硬仗��,為服務(wù)全省經(jīng)濟社會發(fā)展做出新的貢獻�。同時���,創(chuàng)新和完善了領(lǐng)導(dǎo)班子及領(lǐng)導(dǎo)干部考核評價機制����、行業(yè)運行監(jiān)測機制��、總經(jīng)理聯(lián)席會議機制�、電信基礎(chǔ)設(shè)施共建共享機制���、互聯(lián)互通溝通協(xié)商機制、電信資費備案機制����、應(yīng)急通信保障機制、網(wǎng)絡(luò)信息安全管理機制���、電信法制工作協(xié)調(diào)機制等9項工作機制����,進一步提高了電信管理工作效率����。
(三)努力為群眾辦實事好事
我局充分發(fā)揚民主,堅持群眾路線�,從組織領(lǐng)導(dǎo)班子分析檢查報告評議到開展群眾滿意度測評,廣泛吸收群眾參與���,自覺接受群眾監(jiān)督���。在整改落實工作中,堅持把人民群眾得實惠作為開展學(xué)習(xí)實踐活動的出發(fā)點和落腳點��,將群眾滿意度作為衡量學(xué)習(xí)實踐活動是否取得實效的重要標(biāo)準(zhǔn),細化整改項目�,逐項落實責(zé)任,使群眾切實感受到了學(xué)習(xí)實踐活動帶來的新變化�����、新氣象�。把切實解決事關(guān)群眾切身利益的服務(wù)熱點問題作為頭等大事來抓,逐項落實向群眾承諾的好事實事����。積極發(fā)展3G業(yè)務(wù),加快以TD為重點的3G網(wǎng)絡(luò)建設(shè)���,使我省廣大電信用戶能夠享受新一代的通信服務(wù)。提前1個月完成了TD二期鄭州建設(shè)任務(wù)�����,實現(xiàn)了TD網(wǎng)絡(luò)建設(shè)良好的開局����。同時,全省17個省轄市的TD三期工程也已全面啟動�����。扎實推進自然村“村村通電話”工程,進一步開發(fā)適合農(nóng)村需要的電信業(yè)務(wù)和信息資源���,加大支農(nóng)���、惠農(nóng)力度,使更多的農(nóng)民用得上���、用得起���、用得好電話。著力抓好垃圾短信息����、電信資費套餐過多等群眾關(guān)注的問題,切實改進電信服務(wù)質(zhì)量�。加強網(wǎng)站備案管理,制定《加強互聯(lián)網(wǎng)網(wǎng)站備案管理工作方案》����,不斷提高網(wǎng)站設(shè)備備案和備案信息準(zhǔn)確率,為省委宣傳部等互聯(lián)網(wǎng)相關(guān)內(nèi)容主管部門做好支撐服務(wù)。同時���,機關(guān)內(nèi)部形成了干事創(chuàng)業(yè)�����、銳意進取的良好風(fēng)氣���,黨員干部精神面貌呈現(xiàn)出新的變化,進一步牢固樹立了責(zé)任意識�����、服務(wù)意識���、創(chuàng)新意識�。
(四)保持電信行業(yè)平穩(wěn)發(fā)展
我局將通過學(xué)習(xí)實踐活動凝聚的共識�、取得的成效�、積累的經(jīng)驗轉(zhuǎn)化為應(yīng)對國際金融危機、保持電信行業(yè)平穩(wěn)較快發(fā)展的強大動力����,有力地推動了各項電信管理工作,促進了全省電信行業(yè)的科學(xué)發(fā)展���。認(rèn)真貫徹省委�����、工業(yè)和信息化部黨組重大決策部署����,準(zhǔn)確把握“十一五”規(guī)劃后期行業(yè)發(fā)展的基本態(tài)勢、工作重點和指導(dǎo)方針�,緊密跟蹤、及時反饋實施中存在的問題�,努力提高規(guī)劃的指導(dǎo)性和可行性。積極爭取省政府對3G建設(shè)的扶持政策�����,加快3G在我省的建設(shè)和應(yīng)用�����,重點鼓勵和扶持TD發(fā)展����,擴大內(nèi)需,拉動投資,促進我省經(jīng)濟社會發(fā)展�。加強行業(yè)運行情況分析,關(guān)注金融危機對我省電信業(yè)的影響����。完善統(tǒng)計分析指標(biāo)體系,提高行業(yè)統(tǒng)計工作水平和宏觀指導(dǎo)水平�����,促進了行業(yè)平穩(wěn)較快發(fā)展�。
三、存在不足及努力方向
我局學(xué)習(xí)實踐活動整改落實工作雖然取得了預(yù)期效果�����,但與部省的要求相比還存在一些不足�,主要是:對完成整改落實任務(wù)遇到的困難估計不足;不同部門之間的整改落實情況和成效還不平衡��;一些矛盾和問題還有待進一步解決����,等等���。針對這些問題��,我們將重點做好以下工作:
(一)繼續(xù)抓好整改落實工作
把整改落實工作擺上重要議事日程����,加強對整改落實工作的組織領(lǐng)導(dǎo)和督促檢查。各單位��、各處室主要負責(zé)同志作為整改落實工作的第一責(zé)任人��,對有關(guān)工作親自抓���,加大整改落實力度���,確保各項任務(wù)全面完成。有關(guān)單位按照任務(wù)分工����,密切配合,形成上下聯(lián)動�����、左右互動�、通力合作����、協(xié)調(diào)一致的工作格局����。緊密結(jié)合電信管理工作實際,集中力量解決影響和制約全省電信行業(yè)科學(xué)發(fā)展的突出問題�����,努力辦好群眾普遍期待的實事好事����,讓群眾看得見、感受到學(xué)習(xí)實踐活動的成效���。對于需要較長時間才能解決的問題�����,積極創(chuàng)造條件�����,深入調(diào)查研究�����,廣泛征求意見��,加強溝通協(xié)調(diào)��,逐步加以解決��。建立“掛號”整改�、“銷號”落實制度��,列出問題清單��,逐問題“掛號”整改����,逐條目“銷號”落實。建立信息反饋制度����,牽頭單位定期向黨組報告解決問題的進展情況。建立公示監(jiān)督制度�,通過局網(wǎng)站、辦公網(wǎng)����,面向干部群眾�、面向服務(wù)對象��、面向社會�����,公示解決問題情況��,接受群眾監(jiān)督����。
(二)繼續(xù)開展學(xué)習(xí)實踐活動“回頭看”
以“講黨性修養(yǎng)、樹良好作風(fēng)�、促科學(xué)發(fā)展”教育活動為載體,集中3個月的時間�����,對整個學(xué)習(xí)實踐活動繼續(xù)進行“回頭看”:回頭看學(xué)習(xí)��,繼續(xù)深化認(rèn)識�����;回頭看問題,深刻剖析原因�����;回頭看成果���,狠抓整改落實,加快整改進度�����,將“回頭看”與完善體制機制結(jié)合起來�����;回頭看作風(fēng)���,加強隊伍建設(shè)�����。組織黨員干部開展“四查四看”�,即查理想信念和宗旨意識�����,看是否存在信念淡化、不思進取的問題��;查工作作風(fēng)�,看是否存在辦事不踏實、不嚴(yán)謹(jǐn)?shù)膯栴}����;查法制觀念,看是否存在執(zhí)法不嚴(yán)����、不文明、不作為的問題�;查工作紀(jì)律,看是否存在黨紀(jì)政紀(jì)觀念松懈��、自由散漫的問題�����。通過“四查四看”���,努力打造一支政治堅定���、業(yè)務(wù)精通���、作風(fēng)優(yōu)良、廉潔勤政的高素質(zhì)電信管理干部隊伍��。同時�����,通過開展“講黨性修養(yǎng)��、樹良好作風(fēng)���、促科學(xué)發(fā)展”教育活動,以堅強的黨性和優(yōu)良的作風(fēng)保證科學(xué)發(fā)展觀的貫徹落實��,努力把全局黨員干部建設(shè)成為貫徹落實科學(xué)發(fā)展觀的堅定信仰者�����、忠誠實踐者和積極推動者��。
篇8
兩個發(fā)展階段
衛(wèi)生監(jiān)督中心信息安全等級保護工作大致經(jīng)歷了兩個發(fā)展階段。
啟動與探索階段(2007年~2008年):2007年12月���,原衛(wèi)生部組織專家組對部直屬機關(guān)報送的信息安全等級保護定級情況進行了評審�����。衛(wèi)生監(jiān)督中心的衛(wèi)生監(jiān)督信息報告系統(tǒng)和衛(wèi)生行政許可受理評審系統(tǒng)確定為第三級保護��,衛(wèi)生監(jiān)督中心網(wǎng)站確定為第二級保護��。衛(wèi)生監(jiān)督中心在了解了信息安全等級保護制度的同時���,啟動了信息安全等級保護相關(guān)工作。為摸清信息安全隱患�,2008年衛(wèi)生監(jiān)督中心聘請了具有信息安全相關(guān)資質(zhì)的信息安全咨詢公司對等保涉及的信息系統(tǒng)進行了信息安全測評,并制定了相應(yīng)的整改方案����。由于2008年信息安全整改資金等原因,未開展相關(guān)整改工作�。
發(fā)展階段(2009年至今):本著統(tǒng)籌考慮、分布實施的原則��,在實施國家級衛(wèi)生監(jiān)督信息系統(tǒng)建設(shè)項目之初就參照等級保護有關(guān)要求規(guī)劃和設(shè)計業(yè)務(wù)應(yīng)用系統(tǒng)及其運行環(huán)境��,同時積極開展等級保護備案等工作。在國家級項目二期中���,專項對信息安全進行加固����。并每年邀請公安部信息安全等級保護評估中心��,對衛(wèi)生監(jiān)督中心的第三級保護系統(tǒng)進行了安全等級測評�。
截至目前,衛(wèi)生監(jiān)督中心共有3個信息安全等級保護第三級的信息系統(tǒng)���,4個信息安全等級保護第二級的信息系統(tǒng)�����。
信息安全技術(shù)體系
衛(wèi)生監(jiān)督信息系統(tǒng)信息安全技術(shù)體系建設(shè),嚴(yán)格遵循等級保護第三級的技術(shù)要求進行詳細設(shè)計��、技術(shù)選擇����、產(chǎn)品選型、產(chǎn)品部署�����。技術(shù)體系從物理安全、網(wǎng)絡(luò)安全��、主機安全�����、應(yīng)用安全�����、數(shù)據(jù)安全及備份恢復(fù)等5個方面進行設(shè)計����。
1.物理安全
衛(wèi)生監(jiān)督中心現(xiàn)有南北兩個機房,機房及相關(guān)配套設(shè)施面積總計160平方米����。北機房部署等級保護第三級信息系統(tǒng),南機房部署等級保護第二級信息系統(tǒng)�,實現(xiàn)了第三級系統(tǒng)與第二級系統(tǒng)物理環(huán)境隔離。根據(jù)等級保護有關(guān)要求�,機房均采用了精密空調(diào)、門禁系統(tǒng)���、環(huán)境監(jiān)測系統(tǒng)等設(shè)備設(shè)施及技術(shù)手段�����,有效地保證了機房的物理安全����。
2.網(wǎng)絡(luò)安全
主干網(wǎng)絡(luò)鏈路均采用雙鏈路連接,關(guān)鍵網(wǎng)絡(luò)���、安全設(shè)備均采用雙機冗余方式��,避免單點故障���。采用防火墻、入侵防護系統(tǒng)�����、DDoS系統(tǒng)進行邊界防護��,各網(wǎng)絡(luò)區(qū)域之間采用防火墻進行區(qū)域隔離���,在對外服務(wù)區(qū)部署了入侵檢測系統(tǒng)���,在交換服務(wù)區(qū)部署了網(wǎng)絡(luò)審計系統(tǒng)。在核心數(shù)據(jù)區(qū)部署了數(shù)據(jù)庫審計系統(tǒng)��,對網(wǎng)絡(luò)行為進行監(jiān)控和記錄���。在安全管理區(qū)部署安全管理系統(tǒng)�,實現(xiàn)設(shè)備日志的統(tǒng)一收集及分析�����。
3.主機安全
所有服務(wù)器和管理終端配置了密碼安全策略��;禁止用戶遠程管理�����,管理用戶必須進入機房通過KVM進行本地管理�����;所有服務(wù)器和管理終端進行了補丁更新��,刪除了多余賬戶���,關(guān)閉了不必要的端口和服務(wù)��;所有服務(wù)器和管理終端開啟了安全審計功能���;通過對數(shù)據(jù)庫的安全配置�,實現(xiàn)管理用戶和特權(quán)用戶的分離����,并實現(xiàn)最小授權(quán)要求。
4.應(yīng)用安全
衛(wèi)生監(jiān)督中心7個應(yīng)用系統(tǒng)均完成了定級備案��,并按照等級保護要求開展了測評工作����。應(yīng)用服務(wù)器采取了集群工作部署,保證了系統(tǒng)的高可用性���,同時建立了安全審計功能模塊���,記錄登錄日志、業(yè)務(wù)操作日志����、系統(tǒng)操作日志3種日志,并實現(xiàn)查詢和審計統(tǒng)計功能���,配置了獨立的審計賬戶�����。門戶網(wǎng)站也采用了網(wǎng)頁防篡改���、DDoS等系統(tǒng)。信息安全等級保護第三級系統(tǒng)管理人員及高權(quán)限用戶均使用CA證書登錄相應(yīng)系統(tǒng)�����。
5.數(shù)據(jù)安全及備份恢復(fù)
衛(wèi)生監(jiān)督信息報告系統(tǒng)數(shù)據(jù)庫服務(wù)器使用了雙機熱備����,應(yīng)用服務(wù)器采用多機負載均衡,每天本地備份���,保證了業(yè)務(wù)系統(tǒng)的安全�、穩(wěn)定和可靠運行�����。其余等級保護第三級信息系統(tǒng)使用了雙機備份,無論是軟件還是硬件問題�,都可以及時準(zhǔn)確地進行恢復(fù)并正常提供服務(wù)。同時���,衛(wèi)生監(jiān)督中心在云南建立了異地數(shù)據(jù)備份中心�����,每天進行增量備份����,每周對數(shù)據(jù)進行一次全備份����。備份數(shù)據(jù)在一定時間內(nèi)進行恢復(fù)測試,保證備份的有效性�����。
信息安全管理體系
在開展信息安全等級保護工作中����,我們深刻體會到,信息安全工作“三分靠技術(shù),七分靠管理”��。為保證信息安全等級保護工作順利進行�����,參考ISO/IEC 27001《信息安全管理體系要求》�����,衛(wèi)生監(jiān)督中心建立了符合實際工作情況的信息安全管理制度體系���,明確了“統(tǒng)一領(lǐng)導(dǎo),技管并重����;預(yù)防為主,責(zé)權(quán)分明����;重點防護,適度安全”的安全方針����,涵蓋等級保護管理要求中安全管理制度、安全管理機構(gòu)、人員安全管理���、系統(tǒng)建設(shè)管理��、系統(tǒng)運維管理五大方面的要求��。
衛(wèi)生監(jiān)督中心建立了較為完善的信息安全責(zé)任制�����,設(shè)立了信息安全領(lǐng)導(dǎo)小組��,領(lǐng)導(dǎo)小組組長由衛(wèi)生監(jiān)督中心主任擔(dān)任�����,成員由衛(wèi)生監(jiān)督中心有關(guān)處室負責(zé)人組成���,信息處作為信息安全工作辦公室負責(zé)衛(wèi)生監(jiān)督中心日常信息安全管理工作。信息處設(shè)立了信息安全管理崗位��,分別為網(wǎng)絡(luò)管理員�、系統(tǒng)管理員、應(yīng)用管理員�����、安全管理員、安全審計員����、機房管理員,并建立了信息安全崗位責(zé)任制度���。
此外,衛(wèi)生監(jiān)督中心依據(jù)上年度運維中存在的信息安全隱患每年對其進行修訂��,確保信息安全工作落到實處��。
信息安全運維體系
在信息安全工作中��,建立信息安全管理制度不是目的����,要以信息安全等級保護有關(guān)要求指導(dǎo)信息安全運維實踐。
衛(wèi)生監(jiān)督中心結(jié)合實際情況�,編制了《國家級衛(wèi)生監(jiān)督信息系統(tǒng)運行維護工作規(guī)范》,從運行維護流程�����、資源管理和環(huán)境管理三個方面進行了規(guī)范,將安全運維理念落到實處���。
運維人員在實際工作中���,嚴(yán)格按照工作規(guī)范要求。利用衛(wèi)生監(jiān)督中心OA系統(tǒng)���,建立了統(tǒng)一的服務(wù)臺�����,實現(xiàn)了事件�����、問題的全流程閉環(huán)管理(即:發(fā)現(xiàn)問題��、登記問題��、解決問題����、解決反饋��、解決確認(rèn))。年均處理信息安全事件近百件����,將信息安全問題消滅在萌芽階段,有效地保證了信息系統(tǒng)穩(wěn)定運行����,保證了衛(wèi)生監(jiān)督中心信息安全目標(biāo)和方針的實現(xiàn)。
信息安全等級保護實踐經(jīng)驗
1.規(guī)范管理�����,細化流程
衛(wèi)生監(jiān)督中心從安全管理制度���、安全管理組織機構(gòu)及人員、安全建設(shè)管理和安全運維管理等方面建立了較為完善的安全管理體系����。通過管理體系的建設(shè),為國家級衛(wèi)生監(jiān)督信息系統(tǒng)運維管理工作中安全管理提供了重要指導(dǎo)���。
國家級衛(wèi)生監(jiān)督信息系統(tǒng)運維工作從安全管理體系的建設(shè)中吸取了很多有益經(jīng)驗�,不僅合理調(diào)配了運維管理人員����,落實了運維管理組織機構(gòu)和崗位職責(zé)�����,而且細化了運維管理流程�,形成了“二級三線”的運維處理機制�。
2.循序漸進,持續(xù)完善
