互联网药品信息网络与信息安全保障措施

《互联网药品信息网络与信息安全保障措施》由会员分享，可在线阅读，更多相关《互联网药品信息网络与信息安全保障措施（13页珍藏版）》请在金锄头文库上搜索。

1、网络与信息安全保障措施网络与信息的安全不仅关系到公司网站正常业务的开展，还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作，通过检查进一步明确安全责任，建立健全的管理制度，落实技术防范措施，保证必要的经费和条件，对有毒有害的信息进行过滤、对用户信息进行保密，确保网络与信息安全。、计算机信息网络安全防范策略、 物理安全策略公司建立安全管理制度：对计 算机系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施进行每周定期检查制度；电脑 管理实行专人负责制，未经负责人许可任何人不得随意使用；对公司内部服务器、网络设备及办公设备的管理由技术部专人负责维护；对公司

2、的办公场所的安全配合软件园二期物业的安保管理制度；同时对办公场所及机房的安全防盗设施（如门窗锁具），安排人员每天下班前轮流检查确认制度。以上措施目的是保护公司计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、及防止非法进入计算机控制室和各种偷窃、人为破坏活动的发生。（二）网络系统登陆的安全策略由于各个部门的有关人员均在使用信息系统，所以对网络进行设置工作组，每个工作组有一定的权限，组下的每个用户又有一定的权限，每一级均设置密码。这样每个用户只能在自己的权限范围内登陆到某个数据库或数个数据库，并拥有指定的查询、编辑、 删除资料等不同的权限。（三）访问控制策略访问控制是网络安全防范和

3、保护的主要策略，任务是保证网络资源不被非法使用和非常访问。也是维护网络系统安全、保护网络资源的重要手段，可以说 是保证网络安全最重要的核心策略之一。具体措施如下：1、 入网访问控制。入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制，公司采取如下三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。2、网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。我们根据访

4、问权限将用户分为以下几类：特殊用 户 （即系统管理员）；一般用户，系统管理员根据他们的实际需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审计。用 户对网络资源的访问权限采用如下控制手段：A、 目录级安全控制。网络可允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的操作权限。网络系统管理员针对用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问，从而加强了网络和服务器的安全性。B、 网络服务器安全控制。网络管理员对服务器的安全控制通过设置口令锁定服务器控制台，以防止非法用户修改、删除重要信

5、息或破坏数据；设定服务器登录时间限制、非法访问者检测和关闭的时间。管理员对服务器有所有权限；普通用户对服务器只有访问权限。C、 网络监测和锁定控制。网络管理员对网络实施监控，设置服务器应记录用户对网络资源的访问， 对非法的网络访问，服务器会以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该账户将被自动锁定。D、 网络端口和节点的安全控制。对网络中服务器的端口进行控制。SQL 服 务器开放 1433 端口及相应的服务端口FTP 服务器开放 21 端口及相应的服务端口WEB 服务器开放

6、 80 端口及相应的服务端口通过设置用户组，达到不同的访问控制权限。E、 防火墙控制。防火墙是网络安全的屏障，配置防火墙是实现网络安全最基本、最经济最有效的安全措施之一。我司现使用软件防火墙设置，通过对软件防火墙的安全方案配置，将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次对网络存取和访问进行监控。所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。设置 Windows 自带防火墙、安全策略等（四）公司内网安全管理策略公司

7、对内部网络使用的 IP 地址资源实行统一管理、统一分配。对于盗用 IP 资源的用户依据公司管理制度严肃处理。、安全组织体系建立以公司总经理为网络安全负责的第一责任人的网络信息安全小组。组织结构如下：副 组 长专职安全负责人组 长 总 经 理各部门经理专业技术人员1、组长职责： 、根据国家有关法 规政策，全面落实本公司的网络安全保护工作，确保网络运行安全。 、在公安机关及信息监察部门的指导、监督下进行信息网络安全检查和宣传工作。、向公安机关报告有关在本公司的发生的重大安全事故及违法犯罪案件，并协助公安机关做好现场保护和取证工作。 有关危害计算机的信息网络安全病毒、黑客等方面信息及时向公安机关报告

8、。 与信息网络安全的其他管理工作。2、副组长职责： 、协 助安全组长推行和监督本公司的网络安全管理制度。、不定期对公司网络安全进行测试。 、对发生重大安全事故，及 时进行现场处理解决。 、在安全组长不在公司时，负责本公司的安全管理工作。、向安全组长报告安全事故。3、专职安全负责人职责：、全面 执行公司的网络安全管理规定。、每天对公司的网络进行时时监控管理。定期检查公司网络设备与环境的安全性。 对发 生病毒入侵或黑客攻击时，及 时进行处理，并同时向副组长报告突发事件。 负责重大安全事故的调查工作。、公司网络安全管理制度为加强公司网络系统的安全管理，防止因偶发性事件、网络病毒等造成系统故障，妨碍正

9、常的工作秩序，特制定本管理办法。一、网络系统的安全运行，是我公司网络信息安全的一个重要内容，公司安排专人负责全公司网络系统的安全运行工作。并不定期对公司员工进行网络安全培训，以提高 员工的网络安全防范意识。二、网络系统的安全运行包括三个方面的内容：是网络系统数据资源的安全保护， 是网 络硬件设备及机房环境的安全运行，是网络病毒的防治管理， 是上网信息安全及 电子邮件。1、数据资源的安全保护。网络系统中存贮的各种数据信息，是供调用和管理所必须的重要数据，数据资源的破坏将严重影响系统工作的正常运行。数据资源安全保护的主要手段是数据备份，规定如下：、网 络应 用重要部门的数据必须做到每日一备份。、网

10、 络系 统的重要数据及时备份。、一般使用部 门做到每周一备份。、系 统软 件和各种应用软件采用移动硬盘或光盘及时备份。、数据 备 份时必须登记以备检查，数据 备份必须正确、可靠。、严 格管理网 络用户权限及入网用户名及口令管理。2、硬件设备及机房环境的安全运行、硬件 设备 的供电电源必须保证电压及频率质量，公司同时配有不间断供电(UPS) 电源，避免因市 电不稳定造成硬件设备损坏。、进 行安装有保 护接地线，保 证接地电阻符合技术要求，避免因接地安装不良损坏设备。、设备 的 检修或维护、要求操作必 须严格按要求执行，杜绝因人为因素破坏硬件设备。、公司机房配有防盗锁具及防火措施。、同 时保 证网

11、络运行环境的清洁，避免因集灰尘影响设备正常运行。3、网络病毒的防治、公司服务器安装防病毒软件，同 时对内部网络每台电脑加装防病毒软件。、定期 对 网络系统进行病毒检查及清理。、所有存储设备须检查确认无病毒后，方能上机使用。、严 格控制交 换存储设备和外来存储设备的使用，各部门使用外来存储设备须经检验认可，私自使用造成病毒侵害要追究当事人责任。、加 强员 工的职业道德教育， 严禁使用游戏盘，在网络上玩游戏者一经发现将严肃处理。4、上网信息安全及电子邮件、网 络管理 员必须定期对上网信息进行检查，发现有关泄漏企业机密及反动言论与不健康信息要及时删除，随时上报、并记录。、所有上网人 员如收到反动邮件

12、有责任及时上报网络安全负责人，如不上报，一经发现，公司将 视情节轻重，做相应处罚。、对 信息 发布实行先审后发的信息审查发布管理机制；建立公共信息内容自动过滤系统和人工监控手段；对违法、不良信息进行有效过滤。三、严格执行国家相关法律法规，防止发生窃密、泄密事件。外来人员未经单位主管领导批准同意，任何人不得私自让外来人员使用我公司的网络系统作任何用途。四、各部门要加强对网络安全的管理、检查、监督，一旦发现问题及时上报公司负责人。公司 计算机安全负责人分析并指导有关部门作好善后处理，对造成事故的责任人要依据情节给予必要的经济及行政处理。五、未经公司负责人批准,联结在公司网络上的所有用户,严禁再通过

13、其它入口上以太网或公司外部单位网络. 、网络安全技术手段为了能够安全地开展信息服务，必须在以下层次中采取不同的安全技术来保证系统的安全性。1、网络层安全技术通过安装软件防火墙达到以下作用：访问控制。可以监测数据包的内容并控制连接的类型、地址、协议和端口号，并且可以根据防火墙的规则允许或拒绝该网络上的数据包。审计功能。利用审计和日志记录，可以提前发现不安全的迹象，这对于维护网络安全十分重要；它可以记录入侵尝试者的地址，对于入侵防御和加固防火墙是十分有用的。地址翻译。防火墙的地址翻译功能使得外部网络用户不能了解内部网络的结构，这大大降低了非法入侵的可能性。另外，网络地址翻译为内部网络中具有无效IP

14、 的主机提供了访问互联网的功能。2应用层安全技术身份 鉴别机制：通过对用户名的识别与验证、用户口令的识别与验证、用户账 号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。访问 控制机制：在安全系统中建立安全等级标签，只允许符合安全等级的用户进行访问。同时，对用户进行分级授权，每个用户只能在授权范围内进行操作，从而实现了对资源的访问控制。数据加密机制：采用系统自带 SSL 加密传输 的方式，用户登录并通过身份验证以后，用户和服务方之间在网络上传输的所有数据全部用加密钥加密，直到用户退出系统为止。而且，每次所使用的加密密钥都是随机产生的，这样 攻击者就不可能从数据流中得到任何有

15、用的信息。3.系统层安全技术加装 计算机防毒软件：通过防毒软件，可以隔离及清楚计算机上的病毒，减少在内部网络传播的概率和破坏性。利用系 统 UPDATE 程序：自动链接到微软网站进行漏洞补丁更新，增强系 统防御病毒能力，保障计算机网络系统的安全性。、发布信息内容审核制度一、认真执行信息发布审核管理工作，杜绝违犯计算机信息网络国际联网安全保护管理办法的情形出现。二、对在本公司网站发布信息的信源单位提供的信息进行认真检查，不得有危害国家安全、泄露国家秘密，侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。三、一旦在本公司网站发现用户制作、复制、查阅和传播下列信息的： 煽 动抗拒、破坏 宪法

16、和法律、行政法 规实施； 煽 动颠覆国家政权，推翻社会主义制度； 煽 动分裂国家、破坏国家统一； 煽 动民族仇恨、民族歧视、破坏民族 团结； 捏造或者歪曲事实、散布谣言， 扰乱社会秩序； 宣 扬封建迷信、淫秽、色情、 赌博、暴力、凶杀、恐怖、教唆犯罪； 公然侮辱他人或者捏造事实诽谤他人； 损 害国家机关信誉； 其他 违反宪法和法律、行政法规；按照国家有关规定，本网络中将删除含有上述内容的地址、目录，并保留原始记录，在二十四小时之内向当地公安机关报告。、有害信息处理机制一、发现处理机制公司全体员工对于本司网络，均有责任和义务监督、发现、报告、处理本机互联网信息系统的有害信息。发现有害信息时的处置程序如下：及时 取证：包括信息全部内容及有关来源网址的信息。及时报 告：应在发现后 24 小时内向公司网络安全小组成员报告情况，并保护现场及相关资料，条件许可