第一篇:信息網絡安全保護方案
信息網絡安全保護方案
信息安全是指通過各種計算機、網絡(內部信息平臺)和密碼技術,保護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性。具體包括以下幾個方面。
信息處理和傳輸系統的安全: 系統管理員應對處理信息的系統進行詳細的安全檢查和定期維護,避免因為系統崩潰和損壞而對系統內存儲、處理和傳輸的信息造成破壞和損失。
信息內容的安全: 側重于保護信息的機密性、完整性和真實性。系統管理員應對所負責系統的安全性進行評測,采取技術措施對所發現的漏洞進行補救,防止竊取、冒充信息等。
信息傳播安全: 要加強對信息的審查,防止和控制非法、有害的信息通過本委的信息網絡(內部信息平臺)系統傳播,避免對國家利益、公共利益以及個人利益造成損害。
根據以上幾個方面本公司制定以下信息網絡安全保護方案:
(1)網站服務器和其他計算機之間設置防火墻, 并與專業云計算公司阿里云合作,做好安全策略,拒絕外來的惡意攻擊,保障網站正常運行。
(2)在網站的服務器安裝了正版的防病毒軟件,對計算機病毒有整套的防范措施,防止有害信息對網站系統的干擾和破壞。
(3)做好生產日志的留存。網站具有保存60天以上的系統運行日志和用戶使用日志記錄功能,內容包括IP地址及使用情況。
(4)交互式欄目具備有IP地址、身份登記和識別確認功能,對沒有合法手續和不具備條件的交互式欄目立即關閉。
(5)網站信息服務系統建立雙機熱備份機制,一旦主系統遇到故障或受到攻擊導致不能正常運行,保證備用系統能及時替換主系統提供服務。
(6)關閉網站系統中暫不使用的服務功能,及相關端口,并及時用補丁修復系統漏洞,定期查殺病毒。
(7)服務器平時處于鎖定狀態,并保管好登錄密碼;后臺管理界面設置超級用戶名及密碼以防他人登入。(8)網站提供集中式權限管理,針對不同的應用系統、終端、操作人員,由網站系統管理員設置訪問權限,并設置相應的密碼。不同的操作人員設定不同的用戶名,且定期更換,嚴禁操作人員泄漏自己的密碼。對操作人員的權限嚴格按照崗位職責設定,并由網站系統管理員定期檢查操作人員權限。
(9)公司租用阿里云計算有限公司主機,阿里云機房是按照電信機房標準建設,內有必備的獨立UPS不間斷電源、高靈敏度的煙霧探測系統和消防系統,定期進行電力、防火、防潮、防磁和防鼠檢查。
為了全面確保本公司網絡安全,在本公司網絡平臺解決方案設 計中,主要將基于以下設計原則:(1)安全性
在本方案的設計中,我們將從網絡、系統、應用、運行管理、系統冗余等角度綜合分析,采用先進的安全技術,如防火墻、加密技術,為熱點網站提供系統、完整的安全體系。確保系統安全運行。
(2)高性能
考慮本公司網絡平臺未來業務量的增長,在本方案的設計中,我們將從網絡、服務器、軟件、應用等角度綜合分析,合理設計結構與配置,以確保大量用戶并發訪問峰值時段,系統仍然具有足夠的處理能力,保障服務質量。(3)可靠性
本公司網絡平臺作為企業門戶平臺,設計中將在盡可能減少投資的情況下,從系統結構、網絡結構、技術措施、設施選型等方面綜合考慮,以盡量減少系統中的單故障節點,實現7×24小時的不間斷服務。(4)可擴展性
優良的體系結構(包括硬件、軟件體系結構)設計對于系統是否能夠適應未來業務的發展至關重要。在本系統的設計中,硬件系統(如服務器、存貯設計等)將遵循可擴充的原則,以確保系統隨著業務量的不斷增長,在不停止服務的前提下無縫平滑擴展;同時軟件體系結構的設計也將遵循可擴充的原則,適應新業務增長的需要。(5)開放性
考慮到本系統中將涉及不同廠商的設備技術,以及不斷擴展的系統需求,在本項目的產品技術選型中,全部采用國際標準/工業標準,使本系統具有良好的開放性。(6)先進性
本系統中的軟硬件平臺建設、應用系統的設計開發以及系統的維護管理所采用的產品技術均綜合考慮當今互聯網發展趨勢,采用相對先進同時市場相對成熟的產品技術,以滿足未來熱點網站的發展需求。(6)系統集成性
在本方案中的軟硬件系統包括時力科技以及第三方廠商的優秀產品。我們將為滿拉網站提供完整的應用集成服務,使滿拉網站將更多的資源集中在業務的開拓與運營中,而不是具體的集成工作中。
信息安全保密管理制度
(一)信息監控制度:
(1)、網站信息必須在網頁上標明來源;(即有關轉載信息都必須標明轉載的地址)(2)、相關責任人定期或不定期檢查網站信息內容,實施有效監控,做好安全監督工作;
(3)、不得利用國際互聯網制作、復制、查閱和傳播一系列以下信息,如有違反規定有關部門將按規定對其進行處理; A、反對憲法所確定的基本原則的;
B、危害國家安全,泄露國家秘密,顛覆國家政權,破壞國家統一的; C、損害國家榮譽和利益的;
D、煽動民族仇恨、民族歧視、破壞民族團結的; E、破壞國家宗教政策,宣揚邪教和封建迷信的; F、散布謠言,擾亂社會秩序,破壞社會穩定的;
G、散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的; H、侮辱或者誹謗他人,侵害他人合法權益的; I、含有法律、行政法規禁止的其他內容的。
(二)組織結構:
設置專門的網絡管理員,并由其上級進行監督、凡向國際聯網的站點提供或發布信息,必須經過保密審查批準。保密審批實行部門管理,有關單位應當根據國家保密法規,審核批準后發布、堅持做到來源不名的不發、為經過上級部門批準的不發、內容有問題的不發、的三不發制度。
對網站管理實行責任制對網站的管理人員,以及領導明確各級人員的責任,管理網站的正常運行,嚴格抓管理工作,實行誰管理誰負責。
用戶信息安全管理制度
(一)信息安全內部人員保密管理制度:
1、相關內部人員不得對外泄露需要保密的信息;
2、內部人員不得發布、傳播國家法律禁止的內容;
3、信息發布之前應該經過相關人員審核;
4、對相關管理人員設定網站管理權限,不得越權管理網站信息;
5、一旦發生網站信息安全事故,應立即報告相關方并及時進行協調處理;
6、對有毒有害的信息進行過濾、用戶信息進行保密。
(二)登陸用戶信息安全管理制度:
1、對登陸用戶信息閱讀與發布按需要設置權限;
2、對會員進行會員專區形式的信息管理;
3、對用戶在網站上的行為進行有效監控,保證內部信息安全;
4、固定用戶不得傳播、發布國家法律禁止的內容。
沈陽小川游魚科技有限公司 2018年3月12日
第二篇:信息網絡安全等級保護
信息網絡安全等級保護
自檢自查報告
臨河人民醫院的的信息網絡安全建設在上級部門的 關心指導下,近年取得了快速的進步和發展,根據市衛生局《關于開展信息系統等級保護檢查工作的通知》文件精神和要求及接到公安局文件后,醫院高度重視,及時召開院信息系統安全等級保護工作領導小組會議,積極部署工作、明確責任、具體落實,按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,認真對照信息安全等級保護自查項目表,對我院信息安全等級保護工作進行了一次摸底調查,現將此項工作自查情況匯報如下:
一、等級保護工作組織開展、實施情況:
成立了臨河區人民醫院信息系統安全等級保護工作領導小組,落實了信息安全責任制;對等級保護責任部門和崗位人員進行了確定,確保專人落實;制定了等級保護工作的文件及相關工作方案;嚴格按照國家等級保護政策、標準規范和行業主管部門的要求,組織開展各項工作;及時召開了信息系統安全等級保護工作領導小組工作會議;醫院主要領導對等級保護工作作出了重要批示,并在工作會議上提出了四點要求。
2信息安全管理制度的建立和落實情況 院信息中心制定了《臨河區人民醫院信息化建設總體規劃》、《臨河區人民醫院信息系統工作制度與人員崗位職責目錄》、《臨河區人民醫院計算機管理系統應急預案》、《臨河區人民醫院HIS信息系統工作制度》等相關制度,并在實際工作中對照制度嚴格執行各項操作流程。
3按照信息安全法律法規、標準規范的要求制定具體實施方案和落實情況
遵照有關法律法規,對醫院信息服務網遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,對醫院信息服務網信息安全保護等級進行了自主定級。
二、信息系統定級備案情況,信息系統變化及定級備案變動情況:
按照《關于開展全國重要信息系統安全等級保護定級工作的通知》(公通字,2007?861號),對本單位維護的醫院內網站(醫院信息和服務網)安全保護等級級別定位第二級。
三、信息安全設施建設情況和信息安全整改情況:
1安全設施建設情況:我院計算機、公文處理軟件和信息系統安全產品均為國產產品,包括使用360、金山安全衛士、金山毒霸、諾頓nod正版軟件等安全軟件。公文處理軟件使用了Microsoft Office系統。單位使用的工資系統、業務系統、數據傳輸平臺系統、數據庫等應用軟件均為市委、市政府政府相關部門、市財政局和市衛生局統一指定的產品系統。重點信息系統使用的服務器、路由器、交換機等均為國產產品。2信息安全整改情況:
一信息系統安全工作還需要繼續完善和提高相應的維護能力。隨著移動護理查房的展開,信息工作人員還需要繼續提高信息系統安全管理和管護工作的水平。二設備維護、更新有待加強。科室的正版nod殺毒軟件維護能夠自動更新升級,并進行了定時掃描,確保不存在系統漏洞,偶爾更換新主機ip地址會有沖突,IP網絡地址也進行了統一管理。今后將對線路、系統等的及時維護和保養,及時更新升級軟件和管理網絡地址。
三信息系統安全工作機制還有待完善。部門信息系統安全相關工作機制制度、應急預案等還不健全,還要完善信息系統安全工作機制,建立完善信息系統安全應急響應機制,以提高醫院網絡信息工作的運行效率,促進醫療、辦公秩序的進一步規范,防范風險。
四、信息安全管理制度建設和落實情況:
1制定了醫院信息服務網信息安全管理制度,按照“誰主管誰負責”的原則開展工作,我單位負責人為第一責任人,對醫院信息服務網信息安全管理負直接責任,并接受上級單位的監管。
2對醫院信息服務網機房實施了24小時值班,操作系統、數據庫系統、防病毒系統、網站軟件系統實時升級,3發現安全隱患,第一時間由技術人員解決。
五、信息安全產品選擇和使用情況:
醫院內部服務器使用了IBM和戴爾的服務器,交換機使用了H3C.六、聘請測評機構按規范要求開展技術測評工作情況,根據測評結果開展整改情況:暫無聘請測評機構開展技術測評工作。
七、自行定期開展自查情況:
1每半年對醫院信息服務網進行一次信息系統安全保護自查和應急演練措施。2開展信息安全知識和技能培訓情況:主動學習信息安全法律法規,積極參加公安機關、上級主管部門組織的信息安全知識和技能培訓。
第三篇:信息網絡安全檢查方案
克什克騰旗聯社信息安全檢查方案
為提高信息網絡安全防護水平,確保各項信息化業務安全穩定運行,克旗聯社決定于3月中旬至4月中旬組織一次全旗科技信息安全專項檢查工作。具體方案如下:
一、檢查對象
各網點核心業務系統操作、設備管理及級網絡運行情況。
二、檢查依據和檢查內容
(一)檢查依據
依據監管部門《商業銀行信息科技風險管理指引》以及自治區聯社下發的《內蒙古農村信用社信息科技風險管理辦法》等有關文件。
(二)檢查內容
1、核心業務系統操作,查看網點是否按規定時間進行簽到、簽退,柜員是否按規定管理柜員卡和密碼;授權業務進入密碼錄入時,是否進行遮掩,《營業網點工作日志》登記是否齊全。
2、設備運行情況,檢查終端各接口連接是否結實,打印機打印憑證是否完整清楚;點鈔機能否識別假鈔,對鈔票準確計數,各電子機程序運行是否正常,殺毒軟件是否安裝,電子設備是否能做到定期清理和保養,一體化機柜 1
是否能起到應急需求。
3、網絡設備運行情況(包括:路由器、交換機、防火墻等設備)。排查影響網絡設備安全穩定運行的主要問題,檢查網絡設備狀態和使用情況,檢查網絡設備運行基于的線路狀況,檢查網絡設備的環境情況,徹底解決影響信息網絡運行的不利因素。
三、其他事項
檢查工作結束后,由聯社財務部對信息網絡安全檢查情況進行歸檔整理,建立檢查檔案。并撰寫檢查報告。2
第四篇:單位計算機信息網絡安全保護管理制度
單位計算機信息網絡安全保護管理制度
計算機信息網絡國際聯網安全保護管理是社會公共安全的重要組成部分,根據《全國人大常委會關于維護互聯網安全的決定》、《中華人民共和國計算機信息系統安全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法》等法律法規要求,計算機信息網絡單位應當采取如下的安全管理基本措施:
1、建立健全安全組織;
2、人事安全管理,即廣泛開展計算機信息網絡安全宣傳,提高全員信息安全意識;
3、健全規章制度,落實安全防范責任制;
4、運行安全管理,即深入開展安全檢查,切實整改安全隱患;
5、安全技術保障,即加強重點保護,落實安全標準;
6、加強風險管理意識,開展系統安全審核,積極改善安全措施。
建立、健全安全管理制度,是安全管理的關鍵。規范化的安全管理,能夠最大限度地遏制或避免各種計算機危害,是保障計算機信息網絡系統安全的最重要環節。安全管理制度分為安全技術管理制度和安全事務管理制度兩類:
一、安全事務管理制度,主要包括:
1、保密制度。
2、人事管理制度:(1)人員審查制度;(2)安全培訓制度;(3)綜合考評制度;(4)人員調離規定。
3、環境安全保護制度:(1)實體安全配置規定(按照有關國家標準及行業標準制定);(2)設備維護專人制度;(3)安全檢查制度;(4)危險品管理制度等。
4、計算中心出入管理制度。
5、應急計劃與備份。
6、日志審計制度。審計工作應長期不間斷進行,對實體安全、信息安全、系統安全進行全面審計,重要信息網絡系統定期與公安機關網監部門共同進行安全檢查。
7、安全保護管理工作、經驗、范例、事故、案件等安全事件報告制度。
二、安全技術管理制度,主要包括:
1、嚴格的技術文件管理制度;
2、嚴格的操作規程;
3、完備的系統維護制度;
4、電磁環境控制辦法(防電磁干擾、防信息泄露);
5、磁媒體安全管理、軟件安全管理、數據庫安全管理、輸入輸出控制等信息網絡系統人員操作制度;
6、計算機病毒防治制度;
7、網絡安全控制制度。
單位(蓋章):
2014年3月 15 日
第五篇:網絡安全保護管理制度
市地方海事局網絡安全保護管理制度
為加強政務網站、業務網絡管理,保障網絡暢通,杜絕利用網絡進行非法活動,使之更好地為日常辦公服務,制定本制度。
一、安全教育與培訓
1.組織網絡安全管理員認真學習《計算機信息網絡國際互聯網安全保護管理辦法》、《網絡安全管理制度》及《信息發布審核、登記制度》,提高網絡安全管理員的維護網絡安全的警惕性和自覺性。
2.對政務網、業務網用戶進行安全教育和培訓,使用戶自覺遵守和維護《計算機信息網絡國際互聯網安全保護管理辦法》,具備基本的網絡安全知識。
3.對信息源接入部門進行安全教育和培訓,使他們自覺遵守和維護《計算機信息網絡國際互聯網安全保護管理辦法》,杜絕發布違反《計算機信息網絡國際互聯網安全保護管理辦法》的信息內容。
4.不定期地邀請公安機關有關人員、設備提供商專業技術人員進行信息安全方面的培訓,加強對有害信息,特別是影射性有害信息的識別能力,提高防范能力。
二、病毒檢測和網絡安全漏洞檢測
1.具有合法權限的用戶才能進行相應權限范圍內的政務網操作,任何其他非法操作都屬于入侵行為。
2.業務網的所有用戶,不準掃描端口、不準猜測和掃描其他用戶的密碼、不準猜測和掃描服務器和交換設備的口令。
3.系統管理員應定期檢查服務器的系統日志,如發現有入侵情況,應及時采取措施,保留原始數據,以便進行調查取證,并向主管部門匯報。同時,做好政務網入侵情況登記。網絡管理員有權檢查用戶在政務網站賬戶下的所有信息,如認為情況異常,有權關閉用戶賬戶,并要求用戶作出解釋,并及時報告主管部門作出處理。
4.服務器如果發現漏洞要及時修補漏洞或進行系統升級。
5.網絡管理員定期對政務網站進行網絡數據包的監控,及時發現和檢測網絡運行情況,全面監視對公開服務器的訪問,及時發現和拒絕不安全的操作和黑客攻擊行為,阻止網絡內外的入侵。
6.網絡信息管理員履行對所有上網信息進行審查的職責,根據需要采取措施,監視、記錄、檢測、制止、查處、防范針對其所管轄網絡或入網計算機的人或事。7.所有用戶有責任對所發現或發生的違反有關法律、法規和規章制度的人或事予以制止或向有關部門或網絡管理員反映、舉報,協助有關部門或管理員對上述人或事進行調查、取證、處理,應該向調查人員如實提供所需證據。
8.網絡管理員應根據實際情況和需要采用新技術調整網絡結構、系統功能,變更系統參數和使用方法,及時排除系統隱患。
三、網絡安全管理員崗位職責 1.保障網絡暢通和網絡信息安全。
2.嚴格遵守國家、省、市制定的相關法律、行政法規和本單位規定,確保網絡安全暢通。
3.在發生網絡重大突發事件時,應立即報告,采取應急措施,盡快恢復網絡正常運行。
4.充分利用現有的安全設備設施、軟件,最大限度地防止計算機病毒入侵和黑客攻擊。
5.加強信息審查工作,保存、備份至少90 天之內網絡信息日志,及時加以分析、排查不安定因素,防止黃色、反動信息的傳播。
6.經常檢查機房工作環境的防火、防盜工作。
四、網絡違法案件報告和協助查處
1.落實網絡安全崗位責任制,實行領導責任制和網絡管理員負責制,網絡安全事件實行誰主管,誰負責。2.加強值班和值班日志的管理,建立定期、不定期的日志分析制度,及時發現網絡安全事件和隱患。
3.一旦發現網絡違法案件,應詳細、如實記錄事件經過,保存相關日志,及時通知有關人員,并與公安部門取得聯系。
4.接到有關網絡違法案件舉報時,要詳細記錄,對舉報人的身份等要嚴格保密,及時通知有關人員,并及時與公安部門取得聯系。
5.當有關網絡安全監察部門進行網絡違法案件及其他網絡安全檢查時,網絡管理員和其他有關人員必須積極配合。
6.以下行為屬于違法使用網絡:
(1)破壞網絡通訊設施,包括光纜、室內網絡布線、室內信息插座、配線間網絡設備等。
(2)隨意改變網絡接入位置。
(3)盜用他人的IP地址、更改網卡地址、盜用他人帳號(包括上網賬號、電子郵件賬號、信息發布賬號等);
(4)通過電子郵件、網絡、存儲介質等途徑故意傳播計算機病毒。
(5)對網絡進行惡意偵聽和信息截獲,在網絡上發送干擾正常通信的數據。
(6)對網絡各種攻擊,包括利用已知的系統漏洞、網絡漏洞、安全工具、端口掃描等進行攻擊,以后、以及利用IP欺騙手段實施的拒絕服務攻擊;
(7)訪問和傳播色情、反動、邪教、謠言等不良信息的。
五、網絡賬號使用登記和操作權限
1.業務網站由各部門對用戶進行有效的級別和權限劃分,建立相應賬號與權限審查制度。
2.上網IP地址是上網主機在網上的合法用戶身份標志,所有上網主機必須到網絡管理部門進行登記注冊,將本機的重要網絡技術資料(包括主機型號,技術參數,用戶名,主機名,所在域名或工作組名,網卡類型,網卡的MAC地址,網管部門分配的IP地址)詳盡備案,以備核查。
3.上網用戶未經許可,不得擅自改動本機IP地址的主機。
4.業務網管理員對用戶賬號與權限劃分要進行有效的備份,以便網絡發生故障時進行恢復。
6.單位賬號與操作權限的設置,必須做到專人專管,不得泄密或外借給他人使用。
六、信息發布、審核與登記
1.發布時要落實安全保護技術措施,保障網站的運行安全和信息安全。
2.主機方式接入的單位,系統要做好用戶權限設定工作,不能開放其信息目錄以外的其他目錄的操作權限。
3.認真執行信息審核管理工作,杜絕違反《計算機信息網絡國際互聯網安全保護管理辦法》的行為。
4.信源單位做好登記,對其提供的信息進行認真檢查,不得有危害國家安全、泄露國家秘密、侵犯國家利益和公民的合法權益的內容出現。
5.在公共言論的欄目發布信息進行審核檢查,嚴禁發布違反我國憲法、有損單位聲譽的言論,嚴禁任何違反社會主義精神文明建設的言論,嚴禁進行人身攻擊和無理謾罵。各部門在網上發布的公開信息,應進行記錄,信息發布記錄至少應保留三個月。
6.網站各類信息的發布,需由各權限部門負責人簽字并經分管領導同意。
7.用戶制作、復制、查閱和傳播下列信息的,按照國家有關規定,刪除本網絡中含有上述內容的地址、目錄或者關閉服務器,并保留原始記錄,在24小時之內向當地公安機關報告:
(1)煽動抗拒、破壞憲法、法律、行政法規實施(2)煽動顛覆國家政權,推翻社會主義制度(3)煽動分裂國家、破壞國家統一
(4)煽動民族仇恨、民族歧視、破壞民族團結(5)捏造或者歪曲事實、散布謠言,擾亂社會秩序(6)宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪
(7)公然侮辱他人或者捏造事實誹謗他人(8)損害國家機關信譽
(9)其他違反憲法、法律、行政法規的
點擊咨詢 