互聯(lián)網(wǎng)藥品信息網(wǎng)絡與信息安全保障措施

網(wǎng)絡與信息安全保障措施網(wǎng)絡與信息的安全不僅關系到公司網(wǎng)站正常業(yè)務的開展，還將影響到國家的安全、社會的穩(wěn)定。我公司將認真開展網(wǎng)絡與信息安全工作，通過檢查進一步明確安全責任，建立健全的管理制度，落實技術防范措施，保證必要的經(jīng)費和條件，對有毒有害的信息進行過濾、對用戶信息進行保密，確保網(wǎng)絡與信息安全。I、計算機信息網(wǎng)絡安全防范策略（一） 物理安全策略公司建立安全管理制度：對計算機系統(tǒng)等主要設備放置、運行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設施進行每周定期檢查制度；電腦管理實行專人負責制，未經(jīng)負責人許可任何人不得隨意使用；對公司內(nèi)部服務器、網(wǎng)絡設備及辦公設備的管理由技術部專人負責維護；對公司的辦公場所的安全配合軟件園二期物業(yè)的安保管理制度；同時對辦公場所及機房的安全防盜設施（如門窗鎖具），安排人員每天下班前輪流檢查確認制度。以上措施目的是保護公司計算機系統(tǒng)、網(wǎng)絡服務器、打印機等硬件實體和通信鏈路免受自然災害、及防止非法進入計算機控制室和各種偷竊、人為破壞活動的發(fā)生。（二） 網(wǎng)絡系統(tǒng)登陸的安全策略由于各個部門的有關人員均在使用信息系統(tǒng)，所以對網(wǎng)絡進行設置工作組，每個工作組有一定的權限，組下的每個用戶又有一定的權限，每一級均設置密碼。這樣每個用戶只能在自己的權限范圍內(nèi)登陸到某個數(shù)據(jù)庫或數(shù)個數(shù)據(jù)庫，并擁有指定的查詢、編輯、刪除資料等不同的權限。（三）訪問控制策略訪問控制是網(wǎng)絡安全防范和保護的主要策略，任務是保證網(wǎng)絡資源不被非法使用和非常訪問。也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段，可以說是保證網(wǎng)絡安全最重要的核心策略之一。具體措施如下：1、 入網(wǎng)訪問控制。入網(wǎng)訪問控制為網(wǎng)絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源，控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制，公司采取如下三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網(wǎng)絡。2、網(wǎng)絡的權限控制。網(wǎng)絡的權限控制是針對網(wǎng)絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。我們根據(jù)訪問權限將用戶分為以下幾類：①特殊用戶（即系統(tǒng)管理員）；②一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權限；③審計用戶，負責網(wǎng)絡的安全控制與資源使用情況的審計。用戶對網(wǎng)絡資源的訪問權限采用如下控制手段：A、 目錄級安全控制。網(wǎng)絡可允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的操作權限。網(wǎng)絡系統(tǒng)管理員針對用戶指定適當?shù)脑L問權限，這些訪問權限控制著用戶對服務器的訪問，從而加強了網(wǎng)絡和服務器的安全性。B、 網(wǎng)絡服務器安全控制。網(wǎng)絡管理員對服務器的安全控制通過設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；設定服務器登錄時間限制非法訪問者檢測和關閉的時間。管理員對服務器有所有權限；普通用戶對服務器只有訪問權限。C、 網(wǎng)絡監(jiān)測和鎖定控制。網(wǎng)絡管理員對網(wǎng)絡實施監(jiān)控，設置服務器應記錄用戶對網(wǎng)絡資源的訪問，對非法的網(wǎng)絡訪問，服務器會以圖形或文字或聲音等形式報警，以引起網(wǎng)絡管理員的注意。如果不法之徒試圖進入網(wǎng)絡，網(wǎng)絡服務器應會自動記錄企圖嘗試進入網(wǎng)絡的次數(shù)，如果非法訪問的次數(shù)達到設定數(shù)值，那么該賬戶將被自動鎖定。D、 網(wǎng)絡端口和節(jié)點的安全控制。對網(wǎng)絡中服務器的端口進行控制。SQL服務器開放1433端口及相應的服務端口FTP服務器開放21端口及相應的服務端口WEB服務器開放80端口及相應的服務端口通過設置用戶組，達到不同的訪問控制權限。E、 防火墻控制。防火墻是網(wǎng)絡安全的屏障，配置防火墻是實現(xiàn)網(wǎng)絡安全最基本、最經(jīng)濟最有效的安全措施之一。我司現(xiàn)使用軟件防火墻設置，通過對軟件防火墻的安全方案配置，將所有安全軟件（如口令、加密、身份認證）配置在防火墻上。其次對網(wǎng)絡存取和訪問進行監(jiān)控。所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶⑻峁┚W(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。再次防止內(nèi)部信息的外泄。設置Windows自帶防火墻、安全策略等（四）公司內(nèi)網(wǎng)安全管理策略公司對內(nèi)部網(wǎng)絡使用的IP地址資源實行統(tǒng)一管理、統(tǒng)一分配。對于盜用IP資源的用戶依據(jù)公司管理制度嚴肅處理。II、安全組織體系建立以公司總經(jīng)理為網(wǎng)絡安全負責的第一責任人的網(wǎng)絡信息安全小組。組織結構如下：1、組長職責：①、根據(jù)國家有關法規(guī)政策，全面落實本公司的網(wǎng)絡安全保護工作，確保網(wǎng)絡運行安全。②、在公安機關及信息監(jiān)察部門的指導、監(jiān)督下進行信息網(wǎng)絡安全檢查和宣傳工作。③、向公安機關報告有關在本公司的發(fā)生的重大安全事故及違法犯罪案件，并協(xié)助公安機關做好現(xiàn)場保護和取證工作。④有關危害計算機的信息網(wǎng)絡安全病毒、黑客等方面信息及時向公安機關報告。⑤與信息網(wǎng)絡安全的其他管理工作。2、 副組長職責：①、協(xié)助安全組長推行和監(jiān)督本公司的網(wǎng)絡安全管理制度。、不定期對公司網(wǎng)絡安全進行測試。③、對發(fā)生重大安全事故，及時進行現(xiàn)場處理解決。④、在安全組長不在公司時，負責本公司的安全管理工作。⑤、向安全組長報告安全事故。3、 專職安全負責人職責：①、全面執(zhí)行公司的網(wǎng)絡安全管理規(guī)定。②、每天對公司的網(wǎng)絡進行時時監(jiān)控管理。③定期檢查公司網(wǎng)絡設備與環(huán)境的安全性。④對發(fā)生病毒入侵或黑客攻擊時，及時進行處理，并同時向副組長報告突發(fā)事件。⑤負責重大安全事故的調(diào)查工作。III、公司網(wǎng)絡安全管理制度為加強公司網(wǎng)絡系統(tǒng)的安全管理，防止因偶發(fā)性事件、網(wǎng)絡病毒等造成系統(tǒng)故障，妨礙正常的工作秩序，特制定本管理辦法。一、 網(wǎng)絡系統(tǒng)的安全運行，是我公司網(wǎng)絡信息安全的一個重要內(nèi)容，公司安排專人負責全公司網(wǎng)絡系統(tǒng)的安全運行工作。并不定期對公司員工進行網(wǎng)絡安全培訓，以提高員工的網(wǎng)絡安全防范意識。二、 網(wǎng)絡系統(tǒng)的安全運行包括三個方面的內(nèi)容：①是網(wǎng)絡系統(tǒng)數(shù)據(jù)資源的安全保護，②是網(wǎng)絡硬件設備及機房環(huán)境的安全運行，③是網(wǎng)絡病毒的防治管理，④是上網(wǎng)信息安全及電子郵件。1、數(shù)據(jù)資源的安全保護。網(wǎng)絡系統(tǒng)中存貯的各種數(shù)據(jù)信息，是供調(diào)用和管理所必須的重要數(shù)據(jù)，數(shù)據(jù)資源的破壞將嚴重影響系統(tǒng)工作的正常運行。數(shù)據(jù)資源安全保護的主要手段是數(shù)據(jù)備份，規(guī)定如下：、網(wǎng)絡應用重要部門的數(shù)據(jù)必須做到每日一備份。、網(wǎng)絡系統(tǒng)的重要數(shù)據(jù)及時備份。、一般使用部門做到每周一備份。、系統(tǒng)軟件和各種應用軟件采用移動硬盤或光盤及時備份。、數(shù)據(jù)備份時必須登記以備檢查，數(shù)據(jù)備份必須正確、可靠。、嚴格管理網(wǎng)絡用戶權限及入網(wǎng)用戶名及口令管理。2、硬件設備及機房環(huán)境的安全運行、硬件設備的供電電源必須保證電壓及頻率質(zhì)量，公司同時配有不間斷供電(UPS)電源，避免因市電不穩(wěn)定造成硬件設備損壞。、進行安裝有保護接地線，保證接地電阻符合技術要求，避免因接地安裝不良損壞設備。、設備的檢修或維護、要求操作必須嚴格按要求執(zhí)行，杜絕因人為因素破壞硬件設備。、公司機房配有防盜鎖具及防火措施。、同時保證網(wǎng)絡運行環(huán)境的清潔，避免因集灰塵影響設備正常運行。3、 網(wǎng)絡病毒的防治、公司服務器安裝防病毒軟件，同時對內(nèi)部網(wǎng)絡每臺電腦加裝防病毒軟件。、定期對網(wǎng)絡系統(tǒng)進行病毒檢查及清理。、所有存儲設備須檢查確認無病毒后，方能上機使用。、嚴格控制交換存儲設備和外來存儲設備的使用，各部門使用外來存儲設備須經(jīng)檢驗認可，私自使用造成病毒侵害要追究當事人責任。、加強員工的職業(yè)道德教育，嚴禁使用游戲盤，在網(wǎng)絡上玩游戲者一經(jīng)發(fā)現(xiàn)將嚴肅處理。4、 上網(wǎng)信息安全及電子郵件、網(wǎng)絡管理員必須定期對上網(wǎng)信息進行檢查，發(fā)現(xiàn)有關泄漏企業(yè)機密及反動言論與不健康信息要及時刪除，隨時上報、并記錄。、所有上網(wǎng)人員如收到反動郵件有責任及時上報網(wǎng)絡安全負責人，如不上報，一經(jīng)發(fā)現(xiàn)，公司將視情節(jié)輕重，做相應處罰。、對信息發(fā)布實行先審后發(fā)的信息審查發(fā)布管理機制；建立公共信息內(nèi)容自動過濾系統(tǒng)和人工監(jiān)控手段；對違法、不良信息進行有效過濾。三、嚴格執(zhí)行國家相關法律法規(guī)，防止發(fā)生竊密、泄密事件。外來人員未經(jīng)單位主管領導批準同意，任何人不得私自讓外來人員使用我公司的網(wǎng)絡系統(tǒng)作任何用途。四、各部門要加強對網(wǎng)絡安全的管理、檢查、監(jiān)督，一旦發(fā)現(xiàn)問題及時上報公司負責人。公司計算機安全負責人分析并指導有關部門作好善后處理，對造成事故的責任人要依據(jù)情節(jié)給予必要的經(jīng)濟及行政處理。五、未經(jīng)公司負責人批準,聯(lián)結在公司網(wǎng)絡上的所有用戶,嚴禁再通過其它入口上以太網(wǎng)或公司外部單位網(wǎng)絡.IV、網(wǎng)絡安全技術手段為了能夠安全地開展信息服務，必須在以下層次中采取不同的安全技術來保證系統(tǒng)的安全性。1、網(wǎng)絡層安全技術通過安裝軟件防火墻達到以下作用：①訪問控制?？梢员O(jiān)測數(shù)據(jù)包的內(nèi)容并控制連接的類型、地址、協(xié)議和端口號，并且可以根據(jù)防火墻的規(guī)則允許或拒絕該網(wǎng)絡上的數(shù)據(jù)包。②審計功能。利用審計和日志記錄，可以提前發(fā)現(xiàn)不安全的跡象，這對于維護網(wǎng)絡安全十分重要；它可以記錄入侵嘗試者的地址，對于入侵防御和加固防火墻是十分有用的。③地址翻譯。防火墻的地址翻譯功能使得外部網(wǎng)絡用戶不能了解內(nèi)部網(wǎng)絡的結構，這大大降低了非法入侵的可能性。另外，網(wǎng)絡地址翻譯為內(nèi)部網(wǎng)絡中具有無效IP的主機提供了訪問互聯(lián)網(wǎng)的功能。2．應用層安全技術身份鑒別機制：通過對用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網(wǎng)絡。訪問控制機制：在安全系統(tǒng)中建立安全等級標簽，只允許符合安全等級的用戶進行訪問。同時，對用戶進行分級授權，每個用戶只能在授權范圍內(nèi)進行操作，從而實現(xiàn)了對資源的訪問控制。數(shù)據(jù)加密機制：采用系統(tǒng)自帶SSL加密傳輸?shù)姆绞?，用戶登錄并通過身份驗證以后，用戶和服務方之間在網(wǎng)絡上傳輸?shù)乃袛?shù)據(jù)全部用加密鑰加密，直到用戶退出系統(tǒng)為止。而且，每次所使用的加密密鑰都是隨機產(chǎn)生的，這樣攻擊者就不可能從數(shù)據(jù)流中得到任何有用的信息。系統(tǒng)層安全技術加裝計算機防毒軟件：通過防毒軟件，可以隔離及清楚計算機上的病毒，減少在內(nèi)部網(wǎng)絡傳播的概率和破壞性。利用系統(tǒng)UPDATE程序：自動鏈接到微軟網(wǎng)站進行漏洞補丁更新，增強系統(tǒng)防御病毒能力，保障計算機網(wǎng)絡系統(tǒng)的安全性。V、發(fā)布信息內(nèi)容審核制度一、認真執(zhí)行信息發(fā)布審核管理工作，杜絕違犯《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》的情形出現(xiàn)。二、對在本公司網(wǎng)站發(fā)布信息的信源單位提供的信息進行認真檢查，不得有危害國家安全、泄露國家秘密，侵犯國家的、社會的、集體的利益和公民的合法權益的內(nèi)容出現(xiàn)。三、一旦在本公司網(wǎng)站發(fā)現(xiàn)用戶制作、復制、查閱和傳播下列信息的：煽動抗拒、破壞憲法和法律、行政法規(guī)實施；煽動顛覆國家政權，推翻社會主義制度；煽動分裂國家、破壞國家統(tǒng)一；煽動民族仇恨、民族歧視、破壞民族團結；捏造或者歪曲事實、散布謠言，擾亂社會秩序；宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪；公然侮辱他人或者捏造事實誹謗他人；損害國家機關信譽；其他違反憲法和法律、行政法規(guī)；按照國家有關規(guī)定，本網(wǎng)絡中將刪除含有上述內(nèi)容的地址、目錄，并保留原始記錄，在二十四小時之內(nèi)向當?shù)毓矙C關報告。VI、有害信息處理機制一、發(fā)現(xiàn)處理機制公司全體員工對于本司網(wǎng)絡，均有責任和義務監(jiān)督、發(fā)現(xiàn)、報告、處理本機互聯(lián)網(wǎng)信息系統(tǒng)的有害信息。發(fā)現(xiàn)有害信息時的處置程序如下：及時取證：包括信息全部內(nèi)容及有關來源網(wǎng)址的信息。及時報告：應在發(fā)現(xiàn)后24小時內(nèi)向公司網(wǎng)絡安全小組成員報告情況，并保護現(xiàn)場及相關資料，條件許可的應停機等候處理。消除有害信息：在自己技術許可條件下，應及時清除所發(fā)現(xiàn)的有害信息，以免進一步傳播。二、投訴受理處置機制網(wǎng)站建立客服服務投訴電話，電話號碼為：0592-*******?？头藛T在接到投訴電話時，同時進行通話內(nèi)容簡要記錄，對于網(wǎng)上的投訴留言及郵件、QQ交談形式的投訴，以及有關部門轉送的投訴事項，客服人員一并進行登記取證，按照投訴內(nèi)容，分類落實到各部門相關負責人進行處置。各部門負責人在接到投訴后，應當對投訴的事實立即進行核實處置。對投訴事項的處置情況，有關部門負責人，應在規(guī)定時間內(nèi)回復客服部人員，客服部人員視情進行核查。如投訴人留有聯(lián)系方式，須將處置結果告知投訴人。對整改不力、網(wǎng)民用戶仍未息訴的投訴事項，客服部將進入督辦程序，責令限期整改。對造成不良公司形象影響，情節(jié)嚴重的，對責任人實施嚴格問責。對投訴事項的處理情況，客服部將每月進行一次通報。VII、信息安全保密管理制度1、 我公司建立了健全的信息安全保密管理制度，實現(xiàn)信息安全保密責任制，切實負起確保網(wǎng)絡與信息安全保密的責任。嚴格按照“誰主管、誰負責、”“誰主辦、誰負責”的原則，落實責任制，明確責任人和職責，細化工作措施和流程，建立完善管理制度和實施辦法，確保使用網(wǎng)絡和提供信息服務的安全。2、 網(wǎng)站信息內(nèi)容更新全部由網(wǎng)站工作人員完成。網(wǎng)站所有信息發(fā)布之前都經(jīng)分管領導審核批準。工作人員采集信息將嚴格遵守國家的有關法律、法規(guī)和相關規(guī)定。嚴禁通過我公司網(wǎng)站平臺散布《互聯(lián)網(wǎng)信息服務管理辦法》等相關法律法規(guī)明令禁止的信息（即“九不準）”，一經(jīng)發(fā)現(xiàn)，立即刪除。3、 遵守對網(wǎng)站服務信息監(jiān)視，保存、清除和備份的制度。開展對網(wǎng)絡有害信息的清理整治工作，對違法犯罪案件，報告并協(xié)助公安機關查處。4、 所有信息都及時做備份。按照國家有關規(guī)定，網(wǎng)站將保存60天內(nèi)系統(tǒng)運行日志和用戶使用日志記錄，信息服務系統(tǒng)將保存5個月以內(nèi)的系統(tǒng)及用戶收發(fā)信息記錄。5、 制定并遵守安全教育和培訓制度。加大宣傳教育力度，增強用戶網(wǎng)絡安全意識，自覺遵守互聯(lián)網(wǎng)管