網(wǎng)絡(luò)安全管理規(guī)范

#TOC\o"1-5"\h\z目錄1\o"CurrentDocument"第一章總則3\o"CurrentDocument"范疇3\o"CurrentDocument"目標(biāo)3\o"CurrentDocument"原則3\o"CurrentDocument"制定與實(shí)施4\o"CurrentDocument"第二章安全組織結(jié)構(gòu)5\o"CurrentDocument"2.1安全組織結(jié)構(gòu)建立原則5\o"CurrentDocument"安全組織設(shè)置5\o"CurrentDocument"安全組織職責(zé)6\o"CurrentDocument"人員安全管理8\o"CurrentDocument"第三章基本安全管理制度10\o"CurrentDocument"入網(wǎng)安全管理制度10\o"CurrentDocument"操作安全管理制度10\o"CurrentDocument"機(jī)房與設(shè)施安全管理制度10\o"CurrentDocument"設(shè)備安全使用管理制度11\o"CurrentDocument"應(yīng)用系統(tǒng)安全管理12\o"CurrentDocument"媒體/技術(shù)文檔安全管理制度12\o"CurrentDocument"第四章用戶權(quán)限管理14\o"CurrentDocument"用戶權(quán)限14\o"CurrentDocument"用戶登錄管理14\o"CurrentDocument"用戶口令管理15\o"CurrentDocument"第五章運(yùn)行安全17\o"CurrentDocument"網(wǎng)絡(luò)攻擊防范17\o"CurrentDocument"病毒防范18\o"CurrentDocument"訪問控制18\o"CurrentDocument"行為審計(jì)19\o"CurrentDocument"5.5異常流量監(jiān)控20\o"CurrentDocument"操作安全21\o"CurrentDocument"IP地址管理制度21\o"CurrentDocument"防火墻管理制度22第六章安全事件的處理23安全事件的定義23安全事件的分類24安全事件的處理和流程25安全事件通報(bào)制度27第一章總則范疇安全管理辦法的范疇是運(yùn)行維護(hù)過程中所涉及到的各種安全管理問題，主要包括人員、組織、技術(shù)、服務(wù)等方面的安全管理要求和規(guī)定。本文所指的管理范圍包括國藥集團(tuán)總公司和各分支機(jī)構(gòu)的承載網(wǎng)絡(luò)，同時包括其上承載的BI系統(tǒng)、BOA辦公系統(tǒng)、編碼系統(tǒng)、Email以及后續(xù)還要開發(fā)的HR系統(tǒng)和門戶網(wǎng)站等各應(yīng)用系統(tǒng)。目標(biāo)安全管理的目標(biāo)是在合理的安全成本基礎(chǔ)上，實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)行安全（網(wǎng)絡(luò)自身安全）和業(yè)務(wù)安全（為網(wǎng)上承載的業(yè)務(wù)提供安全保證），確保各類網(wǎng)元設(shè)備的正常運(yùn)行，確保信息在網(wǎng)絡(luò)上的安全存儲傳輸以及信息內(nèi)容的合法性。全網(wǎng)安全管理辦法的目標(biāo)主要就是為網(wǎng)絡(luò)安全運(yùn)行和業(yè)務(wù)安全提供管理上的保障，用科學(xué)規(guī)范的管理來配合先進(jìn)的技術(shù)，以確保各項(xiàng)安全工作落到實(shí)處，真正保證網(wǎng)絡(luò)安全。安全管理辦法將用于指導(dǎo)中國醫(yī)藥集團(tuán)網(wǎng)絡(luò)安全建設(shè)和管理，加強(qiáng)人員的安全管理，防止數(shù)據(jù)丟失、損壞、篡改、泄漏，提高網(wǎng)絡(luò)及相關(guān)業(yè)務(wù)系統(tǒng)的安全性。原則安全管理工作的基本原則：網(wǎng)絡(luò)安全管理應(yīng)以國家相關(guān)政策法規(guī)和條例為依據(jù)。網(wǎng)絡(luò)安全管理遵循統(tǒng)一規(guī)劃、集中監(jiān)控的原則。中國醫(yī)藥集團(tuán)總公司負(fù)責(zé)對網(wǎng)絡(luò)安全管理工作進(jìn)行統(tǒng)一規(guī)劃，負(fù)責(zé)安全策略的制定和監(jiān)督實(shí)施。網(wǎng)絡(luò)安全管理采用三級集中管理的方式。由中國醫(yī)藥集團(tuán)總公司負(fù)責(zé)對全網(wǎng)的網(wǎng)絡(luò)安全進(jìn)行統(tǒng)一規(guī)劃管理，協(xié)調(diào)處理重大事件，由中國醫(yī)藥集團(tuán)信息中心對骨干承載網(wǎng)的安全運(yùn)營進(jìn)行集中管理，由各分支機(jī)構(gòu)負(fù)責(zé)對各分公司的安全運(yùn)營進(jìn)行集中管理。網(wǎng)絡(luò)安全管理工作應(yīng)建立符合網(wǎng)絡(luò)和業(yè)務(wù)發(fā)展要求的安全管理組織體系和安全技術(shù)支援保障體系。網(wǎng)絡(luò)安全管理應(yīng)建立并不斷積累完善針對實(shí)際情況的各類安全管理章程或規(guī)定，全面提高的網(wǎng)絡(luò)安全管理水平。制定與實(shí)施本安全管理辦法遵照我國信息安全的有關(guān)法律法規(guī)，并結(jié)合具體的情況，依據(jù)中國醫(yī)藥集團(tuán)公司頒布的各種服務(wù)管理規(guī)定和安全管理規(guī)定而制定。第二章安全組織結(jié)構(gòu)2.1安全組織結(jié)構(gòu)建立原則本章描述安全組織的建設(shè)，包括建立原則，組織設(shè)置，組織職責(zé)，針對人員的安全管理，和涉及應(yīng)該指定的安全管理制度。中國醫(yī)藥集團(tuán)公司網(wǎng)絡(luò)安全組織體系是中國醫(yī)藥集團(tuán)公司安全體系的組織保障。應(yīng)遵循中國醫(yī)藥集團(tuán)公司相關(guān)的規(guī)章制度、維護(hù)規(guī)程，制定的安全管理制度和內(nèi)部的法規(guī)政策，指導(dǎo)、監(jiān)督、考核安全制度的執(zhí)行，確保全網(wǎng)安全工作的有序進(jìn)行。采取中國醫(yī)藥集團(tuán)總公司安全組織主管與各分支機(jī)構(gòu)兼管相結(jié)合的組織建設(shè)原則。安全組織設(shè)置中國醫(yī)藥集團(tuán)安全協(xié)調(diào)組織1．中國醫(yī)藥集團(tuán)公司安全主管人員2．中國醫(yī)藥集團(tuán)公司安全專家指導(dǎo)人員。中國醫(yī)藥集團(tuán)安全響應(yīng)中心1．中國醫(yī)藥集團(tuán)公司安全主管人員2．中國醫(yī)藥集團(tuán)公司安全運(yùn)營管理人員：由中國醫(yī)藥集團(tuán)公司信息中心從事安全工作的管理和技術(shù)人員組成。2.2.3各分支機(jī)構(gòu)安全組織各分支機(jī)構(gòu)網(wǎng)絡(luò)安全主管人員：由相關(guān)主管人員組成。各分支機(jī)構(gòu)原則上不設(shè)置專職的安全管理機(jī)構(gòu)，但應(yīng)設(shè)立專(兼)職安全管理員，由從事安全工作的管理人員、技術(shù)人員或業(yè)務(wù)監(jiān)管人員擔(dān)任。安全組織職責(zé)2.3.1中國醫(yī)藥集團(tuán)公司安全協(xié)調(diào)組織職責(zé)中國醫(yī)藥集團(tuán)公司網(wǎng)絡(luò)安全主管人員：貫徹、落實(shí)中國醫(yī)藥集團(tuán)公司關(guān)于計(jì)算機(jī)安全以及通信網(wǎng)絡(luò)安全工作的規(guī)章規(guī)程；研究決定系統(tǒng)安全工作的重大事項(xiàng)；制定系統(tǒng)安全工作和中國醫(yī)藥集團(tuán)公司所管設(shè)備的規(guī)范、制度；組織、領(lǐng)導(dǎo)安全相關(guān)的工作。中國醫(yī)藥集團(tuán)公司網(wǎng)絡(luò)安全專家指導(dǎo)人員：在安全主管人員的領(lǐng)導(dǎo)下，從理論上、技術(shù)上，宏觀上指導(dǎo)中國醫(yī)藥集團(tuán)網(wǎng)絡(luò)安全體系建設(shè)。發(fā)生重大安全事件時，協(xié)調(diào)各公司資源共同處理。定期分析研究全網(wǎng)的安全管理問題，并提出相應(yīng)的改進(jìn)措施、意見和辦法3．中國醫(yī)藥集團(tuán)公司安全協(xié)調(diào)組織具體職責(zé)：制定安全管理制度，統(tǒng)一對網(wǎng)絡(luò)安全工作進(jìn)行管理。協(xié)助指導(dǎo)并監(jiān)督各分支機(jī)構(gòu)的安全管理人員進(jìn)行本網(wǎng)管理范圍內(nèi)的日常安全管理和安全制度的執(zhí)行。協(xié)助指導(dǎo)各分支機(jī)構(gòu)安全管理人員處理網(wǎng)絡(luò)中發(fā)生的重大安全事故，必要時派人到事故點(diǎn)處理。負(fù)責(zé)和監(jiān)督對各分支機(jī)構(gòu)安全管理人員的安全技術(shù)培訓(xùn)工作中國醫(yī)藥集團(tuán)公司安全響應(yīng)中心職責(zé)中國醫(yī)藥集團(tuán)公司安全主管人員：貫徹、落實(shí)中國醫(yī)藥集團(tuán)公司關(guān)于網(wǎng)絡(luò)安全工作的策略、制度；研究決定骨干網(wǎng)設(shè)備安全工作的重大事項(xiàng)；制定骨干網(wǎng)設(shè)備安全工作的實(shí)施細(xì)則；組織、領(lǐng)導(dǎo)各分支機(jī)構(gòu)網(wǎng)絡(luò)相關(guān)的安全工作安全響應(yīng)中心安全管理人員：具體組織落實(shí)中國醫(yī)藥集團(tuán)公司網(wǎng)絡(luò)安全工作主管人員的工作計(jì)劃；指導(dǎo)、監(jiān)督、協(xié)調(diào)、規(guī)范骨干網(wǎng)系統(tǒng)安全工作的開展；對骨干網(wǎng)的網(wǎng)絡(luò)運(yùn)行和設(shè)備的安全實(shí)施監(jiān)控管理；管理和維護(hù)、處理骨干網(wǎng)的具體安全工作；3．安全響應(yīng)中心具體職責(zé)：對骨干網(wǎng)的網(wǎng)絡(luò)運(yùn)行和設(shè)備的安全實(shí)施監(jiān)控管理，實(shí)施日常安全管理和監(jiān)督安全管理制度的執(zhí)行；負(fù)責(zé)骨干網(wǎng)網(wǎng)絡(luò)設(shè)備和系統(tǒng)的安全評估和定期系統(tǒng)安全性增強(qiáng)。配合安全管理人員對骨干網(wǎng)相關(guān)安全事件處理；貫徹和執(zhí)行網(wǎng)絡(luò)安全管理辦法及原則，并對骨干網(wǎng)的安全運(yùn)營提出相應(yīng)工作細(xì)則和操作規(guī)章制度，并組織實(shí)施；2.3.3各分支機(jī)構(gòu)安全組織職責(zé)各分支機(jī)構(gòu)網(wǎng)絡(luò)安全主管人員：貫徹、落實(shí)中國醫(yī)藥集團(tuán)公司關(guān)于網(wǎng)絡(luò)安全工作的策略、制度；研究決定分支機(jī)構(gòu)網(wǎng)絡(luò)設(shè)備安全工作的重大事項(xiàng)；制定分支機(jī)構(gòu)網(wǎng)絡(luò)設(shè)備安全工作的實(shí)施細(xì)則；組織、領(lǐng)導(dǎo)分支機(jī)構(gòu)網(wǎng)絡(luò)相關(guān)的安全工作。各分支機(jī)構(gòu)安全管理人員：具體執(zhí)行集團(tuán)總公司網(wǎng)絡(luò)安全主管人員的工作計(jì)劃；指導(dǎo)、監(jiān)督、協(xié)調(diào)、規(guī)范分支機(jī)構(gòu)網(wǎng)絡(luò)安全工作的開展；管理、維護(hù)和處理分支機(jī)構(gòu)網(wǎng)絡(luò)的安全工作。3．分支機(jī)構(gòu)安全組織具體職責(zé)對分支機(jī)構(gòu)網(wǎng)絡(luò)設(shè)備的安全實(shí)施監(jiān)控管理，實(shí)施日常安全管理和監(jiān)督安全管理制度的執(zhí)行；負(fù)責(zé)本網(wǎng)網(wǎng)絡(luò)設(shè)備和系統(tǒng)的安全評估和定期系統(tǒng)安全性增強(qiáng)；定期分析研究全網(wǎng)的安全管理問題，并提出相應(yīng)的改進(jìn)措施、意見和辦法；配合集團(tuán)總公司安全管理人員對骨干網(wǎng)相關(guān)安全事件處理；處理本網(wǎng)絡(luò)中發(fā)生的重大安全事故，向中國醫(yī)藥集團(tuán)公司安全工作小組上報(bào)安全事故情況；貫徹和執(zhí)行集團(tuán)總公司網(wǎng)絡(luò)安全管理辦法及原則，提出分支機(jī)構(gòu)內(nèi)的相應(yīng)工作細(xì)則和操作規(guī)章制度，并組織實(shí)施；負(fù)責(zé)和組織相關(guān)人員的安全技術(shù)培訓(xùn)工作。人員安全管理人員安全管理的主要內(nèi)容包括：1.關(guān)鍵崗位人選：對關(guān)鍵崗位人員進(jìn)行審查，保證具備較強(qiáng)業(yè)務(wù)技術(shù)能力，確?？尚趴煽?，勝任本職工作2.人員考核：應(yīng)定期組織對在中從事關(guān)鍵業(yè)務(wù)的人員進(jìn)行全面考核；對違規(guī)人員視情節(jié)輕重進(jìn)行批評、教育、調(diào)離工作崗位。人員調(diào)離：關(guān)鍵崗位人員調(diào)離，應(yīng)嚴(yán)格辦理調(diào)離手續(xù)。自人員調(diào)離決定通知之日起，應(yīng)及時更換系統(tǒng)口令和機(jī)要鎖。人員培訓(xùn)：應(yīng)定期對相關(guān)安全工作人員進(jìn)行安全知識和安全意識培訓(xùn)。第三章基本安全管理制度入網(wǎng)安全管理制度入網(wǎng)安全管理制度內(nèi)容包括：1.無關(guān)主機(jī)不得隨意入網(wǎng)，所有需要入網(wǎng)的主機(jī)必須經(jīng)過審批同意后方能入網(wǎng)；2.所有入網(wǎng)的主機(jī)必須經(jīng)過安全配置，打補(bǔ)丁、改密碼、病毒查殺等，確認(rèn)滿足安全運(yùn)行要求后方能上線；所有入網(wǎng)的主機(jī)必須實(shí)時進(jìn)行攻擊檢測和定期的脆弱性檢查，如發(fā)現(xiàn)有安全威脅的主機(jī)一律強(qiáng)制下網(wǎng)；主機(jī)入網(wǎng)后，需上報(bào)上級安全主管人員，以便實(shí)時監(jiān)控和檢查；操作安全管理制度1.明確安全職責(zé)：按照分工協(xié)作,互相制約的原則制定各類系統(tǒng)操作人員職責(zé)。職責(zé)不允許交叉覆蓋；2.履行安全職責(zé)：各類人員必須按規(guī)定行事，不得從事超越自己職責(zé)以外的任何作業(yè)；崗位監(jiān)督：進(jìn)行系統(tǒng)維護(hù)、復(fù)原、強(qiáng)行更改數(shù)據(jù)時，至少有兩名操作人員相互監(jiān)督操作，并進(jìn)行詳細(xì)的登記及簽名；稽核：安全管理人員有權(quán)對一線操作、管理人員進(jìn)行監(jiān)督與核查；機(jī)房與設(shè)施安全管理制度按照國家《計(jì)算機(jī)場地安全要求》、《計(jì)算站場地技術(shù)條件》等標(biāo)準(zhǔn)，對場地與設(shè)施進(jìn)行安全等級劃分，制定安全管理規(guī)定的技術(shù)措施和管理辦法。主要內(nèi)容包括：場地與設(shè)施的物理安全管理：?選擇安全的機(jī)房場地:?配備防火、防水、防靜電、防雷擊、防鼠害等機(jī)房安全設(shè)施；?機(jī)房裝修、供配電系統(tǒng)?？照{(diào)系統(tǒng)、電磁波輻射控制等應(yīng)滿足相應(yīng)的技術(shù)標(biāo)準(zhǔn)。機(jī)房出入控制：對內(nèi)部人員和外部人員進(jìn)出工作現(xiàn)場都做相應(yīng)的限制和規(guī)定，并進(jìn)行登記。電磁波的輻射控制與防護(hù)：防止計(jì)算機(jī)系統(tǒng)受工作環(huán)境中電磁波干擾，避免計(jì)算機(jī)電磁波輻射造成的信息泄露。媒體管理：對各種信息存儲媒休，按照所存儲信息的重要度分成不同的安全等級，嚴(yán)格保管，確保存儲信息的保密性、完整性和可用性。設(shè)備安全使用管理制度設(shè)備安全使用管理制度包括：設(shè)備使用管理包括指定專人負(fù)責(zé)設(shè)備的使用、建立詳細(xì)的運(yùn)行日志、設(shè)備的維護(hù)和定期保養(yǎng)、設(shè)備故障處理等。設(shè)備維修管理包括指定專人負(fù)責(zé)設(shè)備的維修，建立滿足正常運(yùn)行的最低要求的易損件備件庫，記錄設(shè)備維修對象、故障原因、排除方法、主要維修過程及其它的有關(guān)情況3）設(shè)備倉儲管理指未被使用或修復(fù)后性能正常的各種設(shè)備的集中統(tǒng)一管理。應(yīng)用系統(tǒng)安全管理1）指定應(yīng)用系統(tǒng)管理人員2）管理人員應(yīng)有操作日志（如日志、改變記錄、升級安裝過程等）3）有相應(yīng)的應(yīng)急恢復(fù)管理制度媒體/技術(shù)文檔安全管理制度各級安全管理機(jī)構(gòu)應(yīng)制定技術(shù)文檔資料的管理制度，明確管理方法與管理人員職責(zé)。媒體是指以光盤、軟盤、磁帶等形式存放數(shù)據(jù)的載體。技術(shù)文檔是指相關(guān)數(shù)據(jù)以紙張形式存放的實(shí)體。媒體安全包括：包括媒體數(shù)據(jù)的安全及媒體本身的安全。1）安全存放管理：技術(shù)資料存放的環(huán)境必須具有安全防護(hù)與保密設(shè)施，對重要的技術(shù)資料，應(yīng)進(jìn)行備份和異地存放。2）媒體的管理：?媒體進(jìn)行分類、編目、登記、歸檔；?需要利用媒體的人員必須經(jīng)過申請、審批和登記，并對所有使的資料承擔(dān)保管與保密義務(wù)；3）妥善處理失效的媒體：對報(bào)廢的媒體要有嚴(yán)格的銷毀和監(jiān)銷措施。技術(shù)文檔安全包括：安全存放管理：技術(shù)資料存放的環(huán)境必須具有安全防護(hù)與保密設(shè)施，對重要的技術(shù)資料，應(yīng)進(jìn)行備份和異地存放。技術(shù)資料的管理：?建立技術(shù)資料檔案室；?技術(shù)資料必須進(jìn)行分類、編目、登記、歸檔；?需要利用技術(shù)資料的人員必須經(jīng)過申請、審批和登記，并對所有使用的資料承擔(dān)保管與保密義務(wù)。妥善處理失效的技術(shù)文檔資料：對報(bào)廢的技術(shù)資料要有嚴(yán)格的銷毀和監(jiān)銷措施。第四章用戶權(quán)限管理用戶權(quán)限管理是網(wǎng)絡(luò)安全管理的一項(xiàng)重要內(nèi)容。本章對全網(wǎng)的用戶權(quán)限進(jìn)行了劃分，并明確了用戶登陸管理和用戶口令管理的一些辦法。4.1用戶權(quán)限全網(wǎng)中不同設(shè)備的權(quán)限配置和功能實(shí)現(xiàn)雖然有所差別，但都應(yīng)在確保安全的基礎(chǔ)上盡可能提供用戶分級管理的功能。原則上用戶權(quán)限可分為系統(tǒng)管理級、操作配置級和監(jiān)控查看級等三個級別。1)系統(tǒng)管理級：擁有所有權(quán)限。2)操作配置級：具備修改配置權(quán)限，但不具備用戶管理權(quán)限。監(jiān)控查看級：具備查看系統(tǒng)配置文件和設(shè)備運(yùn)行狀態(tài)的權(quán)限。用戶權(quán)限的設(shè)置應(yīng)遵循以下原則：1)特權(quán)分散原則：維護(hù)管理的重要操作權(quán)力分散給若干個程序、節(jié)點(diǎn)或用戶，必須由規(guī)定的若干個具有特權(quán)的程序、節(jié)點(diǎn)或用戶到齊后才能實(shí)現(xiàn)該操作。2)最小授權(quán)原則：僅將那些用戶進(jìn)行操作時必需的權(quán)限分配給用戶，而不要為其分配無關(guān)的或更大的權(quán)限。用戶登錄管理用戶通過統(tǒng)一的過程進(jìn)行系統(tǒng)登錄。登錄過程應(yīng)具有以下功能：原則上使用唯一的用戶識別符，以區(qū)分每一個用戶的權(quán)限。只在特殊需要的情況下使用組識別符。對用戶進(jìn)行身份驗(yàn)證，檢查用戶是否是被系統(tǒng)授權(quán)的合法用戶提示用戶的訪問級別及權(quán)限。確保身份驗(yàn)證結(jié)束前，用戶無法訪問系統(tǒng)。為所有用戶維護(hù)一份統(tǒng)一的記錄。當(dāng)用戶注銷后，應(yīng)立即刪除此用戶的所有權(quán)限。定期檢查、整理用戶帳戶，對于過期的帳號要及時封閉，對于長期不用的帳號要定期檢查，必要時封閉。用戶口令管理用戶的口令是用戶登錄系統(tǒng)的關(guān)鍵，為保證口令的安全性，對用戶口令的管理應(yīng)該遵循以下安全原則：在進(jìn)行網(wǎng)絡(luò)安全管理時，對所管設(shè)備中的各級管理口令和密碼，由系統(tǒng)管理員統(tǒng)一進(jìn)行管理，注意保密；口令和密碼的設(shè)置符合保密要求，針對不同設(shè)備不同的管理權(quán)限設(shè)置不同的分級口令；選擇長的口令，一般不少于6個字符；口令包括大小寫英文字母與數(shù)字的組合；不使用姓名的漢語拼音和常見的英文單詞；定期改變口令，3個月更換一次；對重要設(shè)備和系統(tǒng)可采用一次一密的動態(tài)密鑰卡等方式；用戶口令不能以明文顯示在顯示器上；用戶口令與系統(tǒng)應(yīng)用數(shù)據(jù)分開保存；采用有效措施，保證用戶口令的傳輸和存儲時安全，例如口令的加密傳輸和保存第五章運(yùn)行安全本章描述在運(yùn)營維護(hù)過程中應(yīng)該采取的安全防范和安全管理的策略與措施。5.1網(wǎng)絡(luò)攻擊防范網(wǎng)絡(luò)攻擊防范用于防止對網(wǎng)絡(luò)的惡意攻擊，保證網(wǎng)絡(luò)的正常運(yùn)行。對網(wǎng)絡(luò)的攻擊可能來自公司內(nèi)部、合作伙伴及其他人員等。網(wǎng)絡(luò)攻擊防范的重點(diǎn)保護(hù)對象是核心路由器、核心交換機(jī)、防火墻以及BI系統(tǒng)、BOA辦公系統(tǒng)、編碼系統(tǒng)、HR人力資源系統(tǒng)、門戶網(wǎng)站等重要服務(wù)器等。須防范的網(wǎng)絡(luò)攻擊包括但不局限于：網(wǎng)絡(luò)系統(tǒng)和資源數(shù)據(jù)的非法管理和分配、破壞路由、網(wǎng)絡(luò)和系統(tǒng)的拒絕服務(wù)攻擊DoS、病毒、木馬、緩沖區(qū)溢出、垃圾郵件等。中國醫(yī)藥集團(tuán)總公司和各分支機(jī)構(gòu)應(yīng)制定網(wǎng)絡(luò)攻擊防范的措施和對策，內(nèi)容至少包括網(wǎng)絡(luò)安全防護(hù)、安全漏洞檢測和安全事件響應(yīng)等三個方面。各分支機(jī)構(gòu)制定的具體安全策略應(yīng)上報(bào)總公司審批和備案。網(wǎng)絡(luò)攻擊防范應(yīng)注意以下幾個方面：使用國家主管部門認(rèn)可的網(wǎng)絡(luò)攻擊防范產(chǎn)品。在網(wǎng)絡(luò)邊界以及重要網(wǎng)段處，架設(shè)防火墻，防止非授權(quán)信息的通過。在網(wǎng)絡(luò)邊界以及重要網(wǎng)段處，進(jìn)行網(wǎng)絡(luò)實(shí)時入侵檢測。如果檢測到入侵行為，應(yīng)立即通知相關(guān)主管人員進(jìn)行應(yīng)急處理。在核心節(jié)點(diǎn)和網(wǎng)絡(luò)管理中心安裝網(wǎng)絡(luò)漏洞掃描器，對整個網(wǎng)絡(luò)進(jìn)行安全掃描，以便發(fā)現(xiàn)和預(yù)防可能的破壞活動，發(fā)現(xiàn)漏洞應(yīng)及時通知相關(guān)主管人員進(jìn)行處理。對網(wǎng)絡(luò)中的路由器、關(guān)鍵主機(jī)等定期進(jìn)行系統(tǒng)漏洞掃描，發(fā)現(xiàn)漏洞應(yīng)及時通知相關(guān)主管人員進(jìn)行處理。保證網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備和服務(wù)器之間通信數(shù)據(jù)的可靠傳輸，防止傳輸信息的泄露、篡改和刪除等非法操作。網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)在正常運(yùn)行階段，應(yīng)關(guān)閉與業(yè)務(wù)無關(guān)的端口，防止非法訪問。不允許設(shè)備、軟件供應(yīng)商成為超級用戶或埋下超級用戶。病毒防范病毒防范工作應(yīng)遵循以下原則：中國醫(yī)藥集團(tuán)總公司和各分支機(jī)構(gòu)應(yīng)分別制定所管網(wǎng)絡(luò)的病毒防范規(guī)劃，安裝配置病毒防范系統(tǒng)。相關(guān)設(shè)備上禁止安裝、運(yùn)行與業(yè)務(wù)無關(guān)的軟件，防止經(jīng)過無關(guān)軟件和操作感染病毒。對相關(guān)設(shè)備定期進(jìn)行病毒檢測，發(fā)現(xiàn)病毒立即匯報(bào)有關(guān)部門，進(jìn)行應(yīng)急處理。管理人員應(yīng)采取安全可靠的方式及時進(jìn)行病毒檢測軟件或病毒特征代碼庫的升級。全體員工應(yīng)增強(qiáng)病毒防范意識，配合管理人員做好病毒防范工作。訪問控制訪問控制的主要目的是防止未授權(quán)人員對網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)等資源的使用、修改或破壞，以保證網(wǎng)絡(luò)的安全。在內(nèi)外部網(wǎng)絡(luò)之間設(shè)置防火墻，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的訪問控制；采用防火墻技術(shù)或虛擬LAN技術(shù)，實(shí)現(xiàn)內(nèi)部網(wǎng)不同安全域的隔離及訪問控制；建議相關(guān)設(shè)備具有分級用戶管理功能及嚴(yán)格的身份識別機(jī)制；所有網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)提供的服務(wù)必須具有訪問控制功能，保證認(rèn)證通過前，不能提供服務(wù)；對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)端配置和管理時，必須進(jìn)行身份認(rèn)證；采用有效手段保證網(wǎng)絡(luò)設(shè)備配置和管理數(shù)據(jù)的傳輸安全；網(wǎng)絡(luò)中使用的應(yīng)用軟件應(yīng)防止異常中斷后非法進(jìn)入系統(tǒng)；相關(guān)設(shè)備提供超時鍵盤鎖定功能；對集成、調(diào)試、支持過程分配給合作伙伴的系統(tǒng)用戶身份，必須由系統(tǒng)主管部門登記、建立和授權(quán)，必須無二義地明確指定或變更所定義用戶的權(quán)限內(nèi)容、權(quán)限有效時間。工作人員調(diào)離崗位時，必須立即取消該工作人員系統(tǒng)用戶的授權(quán)。必須詳細(xì)記錄用戶的定義、授權(quán)、變更。行為審計(jì)行為審計(jì)將對相關(guān)設(shè)備的操作進(jìn)行記錄，防止對相關(guān)設(shè)備的非法使用。對路由器、主機(jī)、服務(wù)器、數(shù)據(jù)庫等的運(yùn)行、維護(hù)、管理必須有審計(jì)方案和記錄。應(yīng)定期對審計(jì)記錄進(jìn)行審查和分析。相關(guān)設(shè)備、系統(tǒng)軟件或應(yīng)用軟件都應(yīng)具有并打開審計(jì)功能。對以下事件必須有審計(jì)記錄：?網(wǎng)絡(luò)設(shè)備或服務(wù)啟動或關(guān)閉。?網(wǎng)絡(luò)設(shè)備或服務(wù)配置修改。?網(wǎng)絡(luò)連接方式改變。?登錄到網(wǎng)絡(luò)設(shè)備或服務(wù)器系統(tǒng)。?其它異常情況。審計(jì)記錄應(yīng)包含以下信息：?用戶操作時的用戶識別符。?事件發(fā)生的日期和時間。?事件內(nèi)容或操作結(jié)果。網(wǎng)絡(luò)設(shè)備和服務(wù)器的審計(jì)記錄應(yīng)符合相應(yīng)備份原則。審計(jì)記錄不能被未授權(quán)用戶修改或刪除。及時進(jìn)行審計(jì)記錄的分析，發(fā)現(xiàn)異常