第一篇:數據中心信息安全法規辦法
數據中心信息安全法規辦法
為加強數據中心的數據安全和保密管理,保障數據中心的數據安全,現依據國家有關法律法規和政策,針對當前安全保密管理工作中可能存在的問題和薄弱環節,制定本辦法。
一、按照“誰主管誰負責、誰運行誰負責”的原則,各部門在其職責范圍內,負責本單位計算機信息系統的安全和保密管理。
二、各單位應當明確一名主要領導負責計算機信息系統安全和保密工作,指定一個工作機構具體負責計算機信息系統安全和保密綜合管理。各部門內設機構應當指定一名信息安全保密員。
三、要加強對與互聯網聯接的信息網絡的管理,采取有效措施,防止違規接入,防范外部攻擊,并留存互聯網訪問日志。
四、計算機的使用管理應當符合下列要求:
1.對計算機及軟件安裝情況進行登記備案,定期核查;
2.設置開機口令,長度不得少于8個字符,并定期更換,防止口令被盜;
3.安裝防病毒等安全防護軟件,并及時進行升級;及時更新操作系統補丁程序;
4.不得安裝、運行、使用與工作無關的軟件; 5.嚴禁同一計算機既上互聯網又處理涉密信息;
6.嚴禁使用含有無線網卡、無線鼠標、無線鍵盤等具有無線互聯功能的設備處理涉密信息;
7.嚴禁將涉密計算機帶到與工作無關的場所。
五、移動存儲設備的使用管理應當符合下列要求:
1.實行登記管理;
2.移動存儲設備不得在涉密信息系統和非涉密信息系統間交叉使用,涉密移動存儲設備不得在非涉密信息系統中使用;
3.移動存儲設備在接入本單位計算機信息系統之前,應當查殺病毒、木馬等惡意代碼;
4.鼓勵采用密碼技術等對移動存儲設備中的信息進行保護;
5.嚴禁將涉密存儲設備帶到與工作無關的場所。
六、數據復制操作管理應當符合下列要求:
1.將互聯網上的信息復制到處理內部信息的系統時,應當采取嚴格的技術防護措施,查殺病毒、木馬等惡意代碼,嚴防病毒等傳播; 2.嚴格限制從互聯網向涉密信息系統復制數據。確需復制的,應當嚴格按照國家有關保密標準執行;
3.不得使用移動存儲設備從涉密計算機向非涉密計算機復制數據。確需復制的,應當采取嚴格的保密措施,防止泄密;
4.復制和傳遞涉密電子文檔,應當嚴格按照復制和傳遞同等密級紙質文件的有關規定辦理。
七、處理內部信息的計算機及相關設備在變更用途時,應當使用能夠有效刪除數據的工具刪除存儲部件中的內部信息。
八、涉密計算機及相關設備不再用于處理涉密信息或不再使用時,應當將涉密信息存儲部件拆除或及時銷毀。涉密信息存儲部件的銷毀必須按照涉密載體銷毀要求進行。
九、加強對計算機使用人員的管理,開展經常性的保密教育培訓,提高計算機使用人員的安全和保密意識與技能。
十、各單位應當與重點崗位的計算機使用人員簽訂安全保密責任書,明確安全和保密要求與責任。
十一、計算機使用人員離崗離職,有關部門應當即時取消其計算機信息系統訪問授權,收回計算機、移動存儲設備等相關物品。
十二、各單位要加強對本單位計算機信息系統安全和保密管理情況的監督,定期開展檢查,發現問題及時糾正。
十三、定期檢查重點
1.系統安全運行情況。
檢查各個信息系統運行情況。綜合業務網絡殺毒軟件更新、運行情況;外網辦公用計算機病毒查殺情況;操作系統和軟件使用情況是否安全;是否存在內外網混用情況;終端機是否開啟安全防護措施。
2.安全管理情況。
A.信息安全主管領導、信息安全管理部門、信息安全工作人員履職以及崗位責任情況等。
(1)信息安全主管領導明確及工作落實情況。
是否有領導分工等相關文件,是否明確了信息安全主管領導,檢查信息安全相關工作批示和會議記錄等文件,了解主管領導工作落實情況。
(2)信息安全管理部門指定及工作落實情況。
檢查部門分工文件,是否指定了信息安全管理部門。是否制定了工作計劃、工作方案、管理規章制度、監督檢查記錄等文件,檢查管理部門工作落實情況。
(3)信息安全工作人員配備及工作落實情況。
檢查人員列表、崗位職責分工等文件,是否配備了信息安全工作人員。B.日常安全管理制度建立和落實情況。檢查人員管理、設備管理、運行維護管理情況。(1)人員管理制度。
檢查人員管理制度文件,是否有崗位信息安全責任,人員離崗離職管理、外部人員來訪管理等制度。檢查人員離崗離職管理落實情況。
(2)設備管理制度。
檢查設備管理制度等文件。是否有設備發放、使用、維修、維護和報廢等相關制度,是否明確了相關管理責任人。硬件設備登記情況,包括PC機,路由器,交換機及其他主要設備。檢查《計算機硬件設備登記簿》。
(3)運行維護管理制度。
檢查是否建立了運行維護管理等相關制度文件,是否包含事故處理記錄、數據維護情況等相關內容。檢查運維操作手冊和運維相關記錄,檢查是否有事故處理記錄、數據維護記錄、運行維護管理制度落實情況及相關記錄完整性。
3.技術防護情況。
檢查所有接入互聯網的計算機設備是否安裝了最新的殺毒軟件和病毒防火墻,統計網絡外連的出口個數,是否每個出口都進行了安全措施。檢查網點路由器、交換機等設備配置是否合理,是否啟用了有效的身份控制、訪問控制功能。
4.應急處理及容災備份情況。
重點檢查應急預案、應急演練和災備措施情況。檢查應急預案制定和修訂情
況。檢查應急演練人員對預案的熟悉程度。檢查冗余設備情況。
十四、加強整改落實
各部門要切實做好整改工作,對檢查中發現的問題,要及時進行研究,采取有效措施加以整改。因條件不具備不能立即整改的,要制定整改計劃、整改方案及整改時間表,并采取臨時防范措施,確保網絡與信息系統安全正常運行。要舉一反三,在同類系統、同類設備中排查類似問題,切實提高信息系統安全防護水平。
十五、加強風險控制
各部門在開展安全檢查工作時,要明確相關工作紀律并嚴格執行。要識別檢查中的安全風險,周密制定應急預案,強化風險控制措施,明確發生重大安全問題時的處置流程,確保被檢查信息系統的正常運行。
十六、加強保密管理
各單位要高度重視保密工作,指定專人負責,對檢查活動、檢查實施人員以及相關文檔和數據進行嚴格管理,確保檢查工作中涉及到的商業秘密得到有效控制;對檢查人員進行保密培訓,確保檢查工作中獲知的信息不被泄露,檢查數據和檢查結果不向外透露。
十七、各單位應當建立健全政府信息保密審查機制,明確審查的程序和責任,并明確一名機關行政負責人分管保密審查工作,指定機構負責保密審查的日常工作。各單位開展保密審查時應履行審查審批手續。
十八、數據中心信息安全保密審查,應當以《保密法》及其實施辦法等有關法律、法規的規定及由中央國家機關和國家保密局制定的《國家秘密及其密級具體范圍的規定》(以下簡稱《保密范圍》)為依據。
十九、各單位不得開放涉及國家秘密、商業秘密、個人隱私的下列政府信息:
1.依照國家保密范圍和定密規定,明確標識為“秘密”、“機密”、“絕密”的信息;
2.雖未標識,但內容涉及國家秘密、商業秘密、個人隱私的信息; 3.依照規定需經國家和有關主管部門批準開放,而未獲批準的信息。4.其他開放后可能危及國家安全、公共安全、經濟安全和社會穩定的信息。
二十、各單位的業務機構在政府信息接入數據中心時、審簽時標明是否屬于保密事項;在進行保密審查時,負責保密審查工作的機構和人員應當提出“主動公開”、“不予公開”、“依申請開放”等審查意見,并注明其依據和理由。
二十一、各單位可以在數據中心查看本單位的數據以及其他單位公開的數據;如果要查看需要申請開放的數據,需要提出申請,審查通過后即可查看數據,審核不通過后不能查看數據。數據開放的審核及授權由有關主管部門或者同級保密工作部門負責。
二十二、數據中心的數據由九次方公司保障信息安全。
二十三、不同單位共同形成的政府信息開放給其他單位時,應由主辦的單位負責開放前的保密審查,并以文字形式征得其他機關單位同意后方可予以開放。二
十四、各單位對政府信息是否可以開放不明確時,在征求政府信息制作或者獲取單位保密組織機構的意見后,報有關主管部門或者同級保密工作部門確定。
二十五、已確定為國家秘密但已超過保密期限并擬開放的政府信息,單位應在保密審查確認能夠開放后,按保密規定辦理解密手續,再予以開放。二
十六、擬開放的政府信息中含有部分涉密內容的,應當按照有關規定對國家秘密內容采取刪除、變更等方式進行非密處理,采取屬于國家秘密的部分不予開放、其余部分開放的方法處理。
二十七、單位及其工作人員有下列情形之一的,應當追究政府信息開放工作過錯責任:
1.未按照規定的開放范圍和期限主動提供政府信息,以及不及時更新本單位的政府信息的;
2.對應當提供的政府信息不提供及提供虛假政府信息的;
3.未建立健全保密審查機制,不履行保密審查義務的,或者違反政府信息開放工作程序,開放不應當開放的政府信息的;
4.違反規定收取費用或者通過其他組織、個人以有償服務方式提供政府信息的;
5.違反政府信息開放有關規定的其他行為。
違反上述有關規定的單位,視情況給予責令作出書面檢查、通報批評處理。二
十八、無正當理由,在規定期限內不依法履行保密審查職責,從而影響政府信息發布的,由監察機關、上一級單位責令改正;情節嚴重的,對單位直接負責的主管人員和其他直接責任人員依法給予處分;構成犯罪的,依法追究刑事責任。
二十九、單位違反有關規定,開放涉及國家秘密的政府信息,造成泄密事件的,依照有關規定對單位直接負責保密審查的主管人員和直接責任人給予處分;情節嚴重構成犯罪的,按照《刑法》、《保密法》及其實施辦法的有關規定,依法追究刑事責任。
三
十、對違反有關規定的單位直接責任人員、直接負責的主管人員和主要負責人,視情追究政府信息開放工作過錯責任。責任追究方式為:
1.責令改正; 2.誡勉談話; 3.責令作出書面檢查; 4.通報批評; 5.調離工作崗位。
以上追究方式可以單獨或合并使用;情節嚴重的,視情給予辭退、責令辭職或免職處理;需要依法給予處分的,依照《單位公務員處分條例》予以處理;構成犯罪的,依法追究刑事責任。三
十一、有關責任人員包括:
1.不依法履行職責,對造成的影響或者后果負直接責任的政府信息開放工作人員;
2.不依法履行職責,對造成的影響或者后果負直接領導責任的主管政府信息開放工作的領導;
3.不依法履行職責,對造成的影響或者后果負全面領導責任的單位主要領導。
三
十二、政府信息開放工作過錯責任人有下列情形之一的,應當從重處理:
1.推卸、轉嫁責任的;
2.干擾、妨礙調查處理,或者不采取補救措施,致使損失或者不良影響發生或者擴大的;
3.造成重大經濟損失或者嚴重不良社會影響的; 4.一年內出現兩次以上應予追究責任的情形的;
5.打擊、報復對信息開放工作進行投訴和申訴的公民、法人或其他組織的;
6.不依法履行政府信息開放義務,被復議機關或審判機關確認違法的; 7.法律、法規、規章規定的其他情形。
三
十三、政府信息開放工作過錯責任人有下列情形之一的,可以從輕或者免予處理:
1.問題或過錯發生后,主動配合調查處理的; 2.及時改正錯誤的;
3.主動采取措施,有效避免或者挽回損失,或者有效避免社會不良影響發生或者擴大的;
4.法律、法規、規章規定的其他情形。
三
十四、單位的政府信息開放工作過錯責任追究,由同級監察機關或其上一級單位實施。監察機關和上一級單位應加強溝通協商,及時對違反規定的單位作出處理。單位工作人員的政府信息開放工作過錯責任追究,由本單位負責,但按照人事管理權限不屬于本單位管理的除外。政府信息開放工作過錯責任追究機構應當依照法律、法規和管理權限的有關規定,對政府信息開放工作過錯行為進行調查和處理,必要時可以聯合調查處理。
三
十五、實施責任追究,應當充分聽取有關責任人員的陳述和申辯。有關責任人員對處理決定不服的,可以向作出處理決定的機關申請復核,也可以直接向作出處理決定機關的上一級機關或者監察機關提出申訴。
第二篇:數據中心信息安全解決方案
數據中心解決方案
(安全)
行業基線方案
目錄
第 一 章 信息安全保障系統.....................................................................3
1.1 系統概述.....................................................................................3 1.2 安全標準.....................................................................................3 1.3 系統架構.....................................................................................4 1.4 系統詳細設計.............................................................................5 1.4.1 計算環境安全......................................................................5 1.4.2 區域邊界安全......................................................................7 1.4.3 通信網絡安全......................................................................8 1.4.4 管理中心安全......................................................................9 1.5 安全設備及系統.......................................................................11 1.5.1 VPN加密系統....................................................................12 1.5.2 入侵防御系統....................................................................12 1.5.3 防火墻系統........................................................................13 1.5.4 安全審計系統....................................................................14 1.5.5 漏洞掃描系統....................................................................15 1.5.6 網絡防病毒系統................................................................17 1.5.7 PKI/CA身份認證平臺......................................................18 1.5.8 接入認證系統....................................................................20
第1頁
杭州海康威視系統技術有限公司
行業基線方案
1.5.9 安全管理平臺....................................................................21
第2頁杭州海康威視系統技術有限公司
行業基線方案
第 一 章 信息安全保障系統
1.1 系統概述
信息安全保障系統是集計算環境安全、安全網絡邊界、通信網絡安全以及安全管理中心于一體的基礎支撐系統。它以網絡基礎設施為依托,為實現各信息系統間的互聯互通,整合各種資源,提供信息安全上的有力支撐。系統的體系架構如圖所示:
圖1.信息安全保障系統體系架構圖
信息系統安全是保障整個系統安全運行的一整套策略、技術、機制和保障制度,它涵蓋系統的許多方面,一個安全可靠的系統需要多方面因素共同作用。
1.2 安全標準
在數據中心建設中,信息系統安全依據《信息系統等級保護安全設計技術要求》(GB/T 24856-2009)二級防護要求進行設計。該標準依據國家信息安全等級保護的要求,規范了信息系統等級保護安全設計技術要求,標準適用于指導信息系統運營使用單位、信息安全企業、信息安全服務機構開展信息系統等級
第3頁
杭州海康威視系統技術有限公司
行業基線方案
保護安全技術方案的設計和實施,也可作為信息安全職能部門進行監督、檢查和指導的依據。
信息安全等級保護是我國信息安全的基本制度、基本政策、基本方法。已出臺的一系列信息安全等級保護相關法規、政策文件、國家標準和公共安全行業標準,為信息安全等級保護工作的開展提供了法律、政策、標準依據。國家標準《信息安全技術 信息系統等級保護安全設計技術要求》是根據中國信息安全等級保護的實際需要,按照信息安全等級保護對信息系統安全整改的要求制訂的,對信息系統等級保護安全整改階段技術方案的設計具有指導和參考作用。
1.3 系統架構
智慧城市數據中心依據《信息系統等級保護安全設計技術要求》(GB/T 24856-2009),構建 “一個中心支撐下的三重防御”的安全防護體系。信息安全保障系統總體架構如下圖所示:
信息安全保障體系計算環境安全身份鑒別訪問控制系統安全審計數據安全保護惡意代碼防范邊界完整性保護區域邊界安全邊界包過濾邊界安全審計邊界惡意代碼防范通信網絡安全通信網絡安全審計通信網絡數據傳輸完整性保護通信網絡數據傳輸保密性保護管理中心安全安全管理子系統實時監控統計分析配置管理日志管理CA子系統認證授權子系統統一用戶管理安全審計子系統網絡安全審計主機安全審計數據庫安全審計應用系統安全審計證書管理統一身份認證資源授權管理訪問權限裁決系統管理網絡基礎設施圖2.信息安全保障系統總體架構圖
信息安全保障系統以網絡基礎設施為依托,為整個數據中心業務提供計算環境安全、區域邊界安全、通信網絡安全、安全管理、安全審計及認證授權等服務。
第4頁
杭州海康威視系統技術有限公司
行業基線方案
信息安全保障系統的一個中心是指管理中心安全,三重防御是指計算環境安全、區域邊界安全和通信網絡安全。
計算環境安全主要提供終端和用戶的身份認證、訪問控制、系統安全審計、惡意代碼防范、接入控制、數據安全等安全服務。
區域邊界安全主要提供網絡邊界身份認證、訪問控制、病毒防御、安全審計、網絡安全隔離與可信交換等安全服務。
通信網絡安全主要提供網絡通信的安全審計、網絡傳輸的機密性和完整性等安全服務。
管理中心安全主要包括安全管理子系統、CA子系統、認證授權子系統和統一安全審計子系統等,它是系統的安全基礎設施,也是系統的安全管控中心。為整個系統提供統一的系統安全管理、證書服務、認證授權、訪問控制以及統一的安全審計等服務。
1.4 系統詳細設計
1.4.1 計算環境安全
1.4.1.1 計算環境安全概述
伴隨著等級保護工作的持續開展,包括防火墻、安全網關、入侵防御、防病毒等在內的安全產品成功地應用到信息系統中,從很大程度上解決了安全問題,增強了信息安全防御能力。但這些大多重在邊界防御,以服務器為核心的計算平臺自身防御水平較低,這在信息系統中埋下了很大的安全隱患。
計算環境安全針對的是對系統的信息進行存儲、處理及實施安全策略的相關部件,它的重點是為了提高以服務器為核心的計算平臺自身防御水平。數據中心的計算環境安全主要通過部署主機安全防護系統以及使用在管理中心所部署的接入認證系統、網絡防病毒系統、漏洞掃描系統等安全防護系統提供的服務,完成終端的身份鑒別、訪問控制、安全審計、數據安全保護,惡意代碼防護等一系列功能。計算環境部署的安全系統均可被安全管理中心統一管理、統一監控,實
第5頁
杭州海康威視系統技術有限公司
行業基線方案
現協同防護。
1.4.1.2 計算環境安全功能要求
1)身份鑒別功能
數據中心終端應支持用戶標識和用戶鑒別。在對每一個用戶注冊到系統時,采用用戶名和用戶標識符標識用戶身份,并確保在系統整個生存周期用戶標識的唯一性;在每次用戶登錄系統時,采用受控的口令或具有相應安全強度的其他機制進行用戶身份鑒別,并對鑒別數據進行保密性和完整性保護。
2)訪問控制功能
在安全策略控制范圍內,使用戶對其創建的客體具有相應的訪問操作權限,并能將這些權限的部分或全部授予其他用戶。采用基于角色的訪問控制技術,實現不同用戶、不同角色對不同資源的細粒度訪問控制,分別制定了不同的訪問控制規則,訪問控制主體的粒度為用戶級,客體的粒度為文件或數據庫表級。訪問操作包括對客體的創建、讀、寫、修改和刪除等。
3)安全審計功能
提供安全審計機制,記錄系統的相關安全事件。審計記錄包括安全事件的主體、客體、時間、類型和結果等內容。該功能應提供審計記錄查詢、分類和存儲保護,并可由安全管理與基礎支撐功能層統一管理。
4)數據安全保護功能
采用常規校驗機制,檢驗存儲的用戶數據的完整性,以發現其完整性是否被破壞,可采用密碼等技術支持的保密性保護機制,對在計算環境安全中存儲和處理的用戶數據進行保密性保護。
5)惡意代碼防范功能
安裝防惡意代碼軟件或配置具有相應安全功能的操作系統,并定期進行升級和更新,以提供針對不同操作系統的工作站和服務器的全面惡意代碼防護。不僅能夠抵御病毒,蠕蟲和特洛依木馬,還能抵御新攻擊,如垃圾郵件,間諜程序,撥號器,黑客工具和惡作劇,以及針對系統漏洞,并提供保護阻止安全冒險等。
第6頁
杭州海康威視系統技術有限公司
行業基線方案
1.4.2 區域邊界安全
1.4.2.1 區域邊界安全概述
隨著應用系統和通訊網絡結構日漸復雜,異地跨邊界的業務訪問、移動用戶遠程業務訪問等復雜的系統需求不斷增多,如何對跨邊界的數據進行有效的控制與監視已成為越來越關注的焦點,這對系統區域邊界防護提出了新的挑戰和要求。
區域邊界安全針對的是對系統的計算環境安全邊界,以及計算環境安全與通信網絡安全之間實現連接并實施安全策略的相關部件。數據中心的區域邊界安全主要通過在系統邊界部署防火墻系統、防毒墻、入侵防御系統、安全接入平臺等安全設備和系統以及使用在管理中心所部署的安全審計系統提供的服務,完成邊界包過濾、邊界安全審計、邊界入侵防范、邊界完整性保護,邊界安全隔離與可信數據交換等一系列功能。區域邊界部署的安全系統均可被安全管理中心統一管理、統一監控,實現協同防護。
1.4.2.2 區域邊界安全功能要求
1)邊界包過濾功能
提供對數據包的進/出網絡接口、協議(TCP、UDP、ICMP、以及其他非IP協議)、源地址、目的地址、源端口、目的端口、以及時間、用戶、服務(群組)的訪問過濾與控制功能,對進入或流出的區域邊界的數據進行安全檢查,只允許符合安全安全策略的數據包通過,同時對連接網絡的流量、內容過濾進行管理。
2)邊界安全審計功能
在區域邊界設置審計機制,提供對被授權人員和系統的網絡行為進行解析、分析、記錄、匯報的功能,以幫助用戶事前規劃預防、事中實時監控、違規行為響應、事后合規報告、事故追蹤回放,保障網絡及系統的正常運行。
3)邊界入侵防范功能
在網絡邊界處監視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等。
4)邊界完整性保護功能
第7頁
杭州海康威視系統技術有限公司
行業基線方案
在區域邊界設置探測器,可對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡,以及外部用戶未經許可違規接入內部網絡的行為進行檢查和控制。
5)邊界安全隔離與可信數據交換功能
可完成指揮信令的雙向流動,以及視頻流單向流入公安信息網的安全隔離與控制,同時,還應可采用兩頭落地的“數據交換”模式,實現公安信息通信網與其它網絡間的基于文件和數據庫同步的數據安全交換和高強度隔離。
1.4.3 通信網絡安全
1.4.3.1 通信網絡安全概述
通信網絡是信息系統的基礎支撐平臺,而如今網絡IP化、設備IT化、應用Web化使信息系統業務日益開放,業務安全漏洞更加易于利用。通信網絡的安全保障越來越成為人們關注的重點。
通信網絡安全針對的是對系統計算環境安全之間進行信息傳輸及實施安全策略的相關部件。數據中心的通信網絡安全主要是通過部署入侵防范系統和VPN加密系統等安全設備和系統以及使用管理中心所部署的安全審計系統提供的服務,完成傳輸網絡安全審計、數據傳輸完整性與機密性保護等一系列功能。通信網絡安全采用基于商密算法的網絡傳輸安全防護系統(SSL VPN),實現數據安全傳輸與安全審計、保障通信兩端的可信接入、保障數據傳輸的完整性和保密性。
1.4.3.2 通信網絡安全功能要求
1)傳輸網絡安全審計功能
提供通信網絡所傳輸數據在包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息在內的審計功能。
2)數據傳輸完整性與機密性保護功能
通過在不可信信道上構建安全可靠的虛擬專用網絡,為數據傳輸提供機密性和完整性保護、以及數據源認證、抗重放攻擊等安全保障,并且支持采用身份認證、訪問控制以及終端安全控制技術,為平聯工程的內部網絡建立安全屏障。
第8頁
杭州海康威視系統技術有限公司
行業基線方案
1.4.4 管理中心安全
1.4.4.1 管理中心安全概述
安全管理平臺是對定級系統的安全策略及計算環境安全、區域邊界安全和通信網絡安全上的安全機制實施統一管理的平臺。它是一個集合的概念,其核心的內容是實現“集中管理”與“基礎支撐”。數據中心的管理中心安全主要是通過部署安全審計系統、接入認證系統、PKI/CA身份認證系統、網絡防病毒系統、漏洞掃描系統和安全管理平臺等安全設備和系統,完成證書管理、實時監控、統計分析、配置管理、密鑰管理、日志管理、系統管理、統一用戶管理、統一身份認證、資源授權及訪問控制管理、單點登錄管理、網絡安全審計、主機安全審計、數據庫安全審計、應用系統安全審計等一系列功能。
1.4.4.2 管理中心安全功能要求
1)證書管理功能
主要涵蓋數字證書的申請、審核、簽發、注銷、更新、查詢等的綜合管理,證書管理應遵循X.509規范和國家PKI標準,采用成熟的已經通過鑒定的服務器密碼機做加、解密及簽名運算,為用戶提供高密級的信息安全服務。
證書管理應不僅能夠提供用戶注冊、審核,密鑰產生、分發,證書簽發、制證及發布等基本功能,還應能為其它應用系統提供證書下載,在線證書狀態查詢、可信時間等服務,并進行綜合管理,使其它系統能夠更方便的利用電子認證基礎設施實現安全應用。
2)實時監控功能
能從總體上對各安全構件提供簡便、易用的導向式監控,能從總體上和細節兩個層面實時把握安全系統整體運行情況。實時監控應可按照業務和資產進行分類,可依據分類進行簡單、直觀的實時監控。
提供邏輯視圖、物理視圖兩種實時監控模式和多種不同的圖形化及文字報警方式。提供實時監控頁面即時切換,并可對實時監控項和圖形化統計項進行自定義布局,完成管理員最關心的實時監控和事件統計配置和顯示。
3)統計分析功能
第9頁
杭州海康威視系統技術有限公司
行業基線方案
提供事件統計,并可將結果生成統計報表。可提供了預定義統計和自定義統計模式。預定義統計分析主要針對系統自身信息的統計報表,可主要包括事件統計、密鑰統計、設備統計、用戶統計和日志統計五大類。
根據實際的統計需求,對統計項進行自定義配置。配置后,統計信息可在實時監控頁面中實時顯示,也可以通過統計分析進行查看。統計結果以圖形化方式呈現,呈現方式多樣,至少可支持柱圖、餅圖、趨勢圖等,并為關聯分析提供支撐。
4)配置管理功能
能夠對應用系統中的安全設備進行統一配置管理。配置管理應可按照業務和資產重要程度和管理域的方式對業務和資產進行統一配置管理,提供便捷的添加、修改、刪除、查詢功能,便于管理員能方便地查找所需的業務和資產信息,并對業務和資產屬性進行維護。
5)密鑰管理功能
對密鑰全生命周期(產生、存儲、分發、更新、撤銷、停用、備份和恢復)的統一管理,確保密鑰全生命周期的安全。
6)日志管理功能
使審計員可以通過日志管理對密鑰日志、系統日志進行事后審計和追蹤,作為日志審計的依據。密鑰日志應主要包括密鑰生成日志和密鑰分發日志;系統日志應主要包括操作日志、監控日志和運行日志。日志管理應可提供強大、完善的日志查詢和檢索功能,滿足審計員對日志的審計和查詢需求。
7)系統管理功能
通過系統管理中配置對系統自身進行各種參數配置和管理,應主要包括服務器管理、組件管理、監控策略管理等。
8)統一用戶管理功能
根據用戶的數字證書,提供對用戶的管理功能,包括用戶的主賬號(代表用戶身份的唯一帳號)和從賬號(不同應用系統中的用戶帳號)的對應管理,用戶屬性的統一管理,以及實現用戶整個生命周期管理,包括對人員入職、調動、離職等過程中的用戶身份的創建、修改、刪除等操作的管理等。統一用戶管理應支持分級管理功能。
9)統一身份認證功能
第10頁
杭州海康威視系統技術有限公司
行業基線方案
基于數字證書完成用戶與客戶端認證設備之間的認證,實現基于PKI的握手協議,實現不同系統和設備之間的身份認證有效統一,保護系統訪問的安全性。統一身份認證還應支持多級認證功能。
10)資源授權及訪問控制管理功能
基于數字證書,并采用基于RBAC的技術,在用戶進行信息系統的資源訪問及使用時,實現不同用戶、不同角色對不同資源的細粒度訪問控制。資源授權及訪問控制應支持分級管理功能。
11)單點登錄管理功能
基于數字證書,使用戶能夠方便地跨越多個站點或安全域實現單點登錄,即用戶登錄到網絡以后,便能在安全可靠的前提下,訪問任何應用程序而無需再次進行身份驗證;單點登錄應同時提供針對B/S系統與C/S應用系統的單點登錄功能。
12)網絡安全審計功能
配合網管系統,實現對網絡異常行為及安全事件的審計。13)主機安全審計功能 實現用戶對主機操作行為的審計。14)數據庫安全審計功能 實現對數據庫操作行為的審計。15)應用系統安全審計功能 實現對應用系統操作行為的審計。
1.5 安全設備及系統
根據智慧城市的業務發展的需要,為保障數據中心的計算環境安全、區域邊界安全、通信網絡安全以及管理中心安全,在數據中心建設過程中需要部署VPN加密系統、入侵防御系統、防火墻系統、安全審計系統、漏洞掃描系統、網絡防病毒系統、PKI/CA身份認證平臺、接入認證系統、安全管理平臺等安全設備及系統來保障整個數據中心系統的安全運行。各安全設備及系統的功能要求如下:
第11頁
杭州海康威視系統技術有限公司
行業基線方案
1.5.1 VPN加密系統
VPN的身份認證通過LADP協議可以與認證服務器建立認證關系,也可以與PKI/CA服務器建立聯系在終端導入證書,VPN 加密技術采用DES、3DES、AES、IDEA、RC4等加密技術,通過上述的加密技術,保證視頻、信令、數據在公共網絡中傳輸安全。
智慧城市數據中心VPN加密系統功能要求如下: 1.支持豐富的C/S、B/S應用;
2.支持多種認證方式,如用戶名+口令、RADIUS、AD、LDAP、USB Key; 3.證書、證書+口令、雙因子認證等;
4.支持多種終端設備接入(包括window平臺、linux平臺、andriod平臺); 5.支持IP層隧道模式,支持VoIP; 6.支持多ISP連接;
7.支持統一安全管理系統的統一管理; 8.支持雙機備份和負載均衡; 9.終端安全接入控制; 10.基于角色的訪問控制; 11.完善的信息與狀態監控; 12.支持主機綁定; 13.客戶端安全控制;
14.支持基于用戶的終端安全檢查; 15.支持分支機構的局域網接入。
1.5.2 入侵防御系統
入侵防御系統是一種軟、硬結合的計算機系統,它能通過攻擊特征庫匹配、漏洞機理分析、應用還原重組、網絡異常分析等主要技術實現了精確抵御黑客攻擊、蠕蟲、木馬、后門,抑制間諜軟件、灰色軟件、網絡釣魚的泛濫,全面防止拒絕服務攻擊和服務溢出分布式攻擊。
第12頁
杭州海康威視系統技術有限公司
行業基線方案
智慧城市數據中心入侵防御系統功能要求如下:
1.堅固的入侵防御體系:完善的攻擊特征庫;漏洞機理分析技術,精確抵御黑客攻擊、蠕蟲、木馬、后門;應用還原重組技術,抑制間諜軟件、灰色軟件、網絡釣魚的泛濫;網絡異常分析技術,全面防止拒絕服務攻擊;
2.動、靜態檢測功能:動態檢測與靜態檢測融合,基于原理的檢測方法與基于特征的檢測方法并存;
3.網絡防病毒技術:文件感染病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件,病毒庫;病毒類型根據危害程度劃分為:流行庫、高危庫、普通庫;
4.防DoS攻擊能力:有效抗拒絕服務攻擊,阻斷絕大多數的DoS攻擊行為。
1.5.3 防火墻系統
防火墻是傳輸與網絡安全中最基本、最常用的手段之一,防火墻可以實現數據中心內部、外部網絡之間的邏輯隔離,達到有效的控制對網絡訪問的作用。防火墻可以做到網絡間的單向訪問需求,過濾一些不安全服務;防火墻可以針對協議、端號、時間、流量等條件實現安全的訪問控制。防火墻具有很強的記錄日志的功能.可以對不同通信網絡所要求的策略來記錄所有不安會的訪問行為。
智慧城市數據中心防火墻系統功能要求如下:
1.攻擊防范能力:能防御DoS/DDoS攻擊(如CC、SYNflood、DNS Query Flood、SYNFlood、UDPFlood等)、ARP欺騙攻擊、TCP報文標志位不合法攻擊、LargeICMP報文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊,同時支持黑名單、MAC綁定、內容過濾等功能;
2.狀態安全過濾:支持基礎、擴展和基于接口的狀態檢測包過濾技術;支持應用層報文過濾協議,支持對每一個連接狀態信息的維護監測并動態地過濾數據包,支持對應用層協議的狀態監控;
3.完善的訪問控制特性:支持基于源IP、目的IP、源端口、目的端口、時間、服務、用戶、文件、網址、關鍵字、郵件地址、腳本、MAC地址等多種方式進行訪問控制;支持流量管理、連接數控制、IP+MAC綁定、用戶認證等;
第13頁
杭州海康威視系統技術有限公司
行業基線方案
4.應用層內容過濾:可以有效的識別網絡中各種P2P模式的應用,并且對這些應用采取限流的控制措施,有效保護網絡帶寬;支持郵件過濾,提供SMTP郵件地址、標題、附件和內容過濾;支持網頁過濾,提供HTTP URL和內容過濾;
5.NAT應用支持:提供多對
一、多對多、靜態網段、雙向轉換、IP和DNS映射等NAT應用方式;支持多種應用協議正確穿越NAT功能;
6.認證服務:支持本地用戶、RADIUS、TACACS等認證方式。支持基于用戶身份的管理,實現不同身份的用戶擁有不同的命令執行權限,并且支持用戶視圖分級,對于不同級別的用戶賦予不同的管理配置權限;
7.集中管理與審計:提供各種日志功能、流量統計和分析功能、各種事件監控和統計功能、郵件告警功能。
1.5.4 安全審計系統
安全審計系統是按照一定的安全策略,利用記錄、系統活動和用戶活動等信息,檢查、審查和檢驗操作事件的環境及活動,從而發現系統漏洞、入侵行為或改善系統性能的過程。它是記錄與審查用戶操作計算機及網絡系統活動的過程,是提高系統安全性的重要舉措。
智慧城市數據中心安全審計系統功能要求如下:
1.敏感行為記錄:支持用戶可基于網絡應用的具體情況,自定義敏感的網絡訪問行為數據特征,系統可以根據策略對于敏感事件實時記錄、顯示和阻斷;
2.特定網絡連接實時監視功能:支持用戶通過會話監控功能對正在進行的連接會話內容進行實時監控,并支持手工阻斷、自動阻斷功能;
3.流量審計:支持對IP、TCP、UDP、ICMP、P2P等應用協議的流量監測,提供基于IP地址、用戶組、應用協議類型、時間、端口等組合流量審計策略;可分析網絡流量最大值、均值、總值、實時流量、TOPN等;
4.網絡管理行為審計:支持TELNET、FTP訪問審計,記錄TELNET、FTP訪問的時間、地址、賬號、命令等信息;對違反審計策略的操作行為實時報警、記錄;
5.互聯網行為審計:支持對網頁訪問、論壇、即時通訊、在線視頻、P2P
第14頁
杭州海康威視系統技術有限公司
行業基線方案
下載、網絡游戲、炒股、文件上傳下載等行為進行全面監控管理;
6.HTTP協議審計:中英文URL數據庫,超過十種分類,如不良言論、色情暴力等;可過濾非法不良網站,并支持用戶添加自定義URL;支持針對URL、HTTP網頁頁面內容、HTTP搜索引擎的關鍵字過濾;
7.SMTP協議審計:支持SMTP、POP3、WEBMAIL等協議,支持基于郵箱地址、郵件主題、郵件內容、附件名的關鍵字審計策略;針對符合審計策略的事件,提供實時告警、阻斷和信息還原;
8.FTP協議審計:支持基于IP地址、用戶組、時間、命令關鍵字等組合審計策略,可記錄源IP地址、目的IP地址、帳號、命令及上傳下載文件名等;
9.數據庫訪問行為審計:支持對ORALCE、SQL SERVER、MY SQL、DB2、Sybase、Infomix等數據庫,實時審計用戶對數據庫的所有操作(如創建、插入、刪除等),精細還原操作命令,并及時告警響應;
10.Windows遠程訪問行為審計:支持對NETBIOS協議審計,記錄具體時間、地址、具體操作等;
11.認證審計功能:支持在不修改原系統配置的情況下,對訪問用戶進行基于CA證書的強身份認證,并支持統基于授權認證按訪問者的身份進行為審計;
12.通訊加密:與安全中心間的通信采用強加密傳輸告警日志與控制命令,避免可能存在的嗅探行為,實現了數據傳輸的安全。
1.5.5 漏洞掃描系統
通過部署漏洞掃描系統,可以對數據中心主機服務器系統(LINUX、數據庫、UNIX、WINDOWS)、交換機、路由器、防火墻、入侵防御、安全審計、邊界接入平臺等等設備,實現不同內容、不同級別、不同程度、不同層次的掃描。對掃描結果,可以報表和圖形的方式進行分析。實現了隱患掃描、安全評估、脆弱性分析和解決方案。
智慧城市數據中心漏洞掃描系統功能要求如下:
1.能夠對網絡(安全)設備、主機系統和應用服務的漏洞進行掃描,指出有關網絡的安全漏洞及被測系統的薄弱環節,給出詳細的檢測報告,并針對檢測
第15頁
杭州海康威視系統技術有限公司
行業基線方案
到的網絡安全隱患給出相應的修補措施和安全建議;
2.漏洞管理功能
漏洞管理的循環過程劃分為漏洞預警、漏洞分析、漏洞修復、漏洞審計四個階段。
? 漏洞預警:最新的高風險漏洞信息公布之際,在第一時間通過郵件或者電話的方式向用戶進行通告,并且提供相應的預防措施;
? 漏洞分析:對網絡中的資產進行自動發現,并且按照資產重要性進行分類。再采用業界權威的風險評估模型對資產的風險進行評估;
? 漏洞修復:提供可操作性很強的漏洞修復方案,同時提供二次開發接口給第三方的補丁管理產品進行聯動,方便用戶及時高效地對漏洞進行修復;
? 漏洞審計:通過發送郵件通知的方式督促相應的安全管理人員對漏洞進行修復,同時啟動定時掃描任務對漏洞進行審計。
3.安全管理功能
? 系統將所發現的隱患和漏洞依照風險等級進行分類,向用戶發出不同的警告提示,提交風險評估報告,并給出詳細的解決辦法;
? 系統對可掃描的IP地址進行了嚴格地限定,有效地防止系統被濫用和盜用;
? 掃描數據結果與升級包文件采用專用的算法加密,實現掃描漏洞信息的保密性,升級數據包的合法來源性;
? 系統具有定時掃描功能,用戶可以定制掃描時間,從而實現自動化掃描,生成報表。
4.策略管理功能
? 系統可定義豐富的掃描策略,包括完全掃描、LINUX、數據庫、UNIX、WINDOWS、不含拒絕服務、網絡設備、路由器、防火墻、20大常見漏洞等內置策略。實現不同內容、不同級別、不同程度、不同層次的掃描;
? 系統針對不同用戶的需求,可定義掃描(端口)范圍、掃描使用的參數集、掃描并發主機數等具體掃描選項,對掃描策略進行合理的組合,更快、更有效地幫助不同用戶構建自己專用的安全策略。
第16頁
杭州海康威視系統技術有限公司
行業基線方案
1.5.6 網絡防病毒系統
在數據中心核心交換上部署一臺網絡防毒服務器對全網制定完善的防病毒策略,實施統一的防病毒策略,使分布在數據中心每臺計算機上的防病毒系統實施相同的防病毒策略,全網達到統一的病毒防護強度。同時防毒服務器實時地記錄防護體系內每臺計算機上的病毒監控、檢測和清除信息,根據管理員控制臺的設置,實現對整個防護系統的自動控制。
智慧城市數據中心網絡防病毒系統功能要求如下:
1.病毒防范和查殺能力:開啟實時監控后能完全預防已知病毒的危害;可防范、檢測并清除隱藏于電子郵件、公共文件夾及數據庫中的計算機病毒、惡性程序、病毒郵件;能有效預防、查殺映像劫持類型的病毒;可以防范網頁中的惡意代碼;壓縮文件、打包文件查殺毒(在不加密的情況下,不限層數);內存查殺毒、運行文件查殺毒、引導區查殺毒;支持圖片、視頻等多媒體文件的查殺毒;郵件接收、發送檢測;郵件文件靜態檢測、殺毒;同時支持Foxmail、Outlook、OutlookExpress、Notes和Mozilla等常見客戶端郵件系統的防(殺)病毒;能夠有效查殺各類Office文檔中的宏病毒 支持共享文件的病毒查殺;具有未知病毒檢測、清除能力;
2.升級管理
? 依據策略,全網統一自動升級,不需要人為干涉;
? 增量升級(包括系統中心從網站升級,客戶端從系統中心升級,下級中心;從上級中心升級),以減少升級時帶來的網絡流量;可設置升級周期和升;級時間范圍,實現及時升級并避免升級時占用網絡帶寬影響用戶正常業務的通訊;
? 在與Internet隔離的內部網絡中,提供多種升級方式,包括:自動在線升級、手動升級、下載離線升級包升級等。3.集中管理
支持多級系統中心,并能夠對每級系統中心及所屬客戶端進行統一升級,統一管理;支持多個管理員分組管理;允許管理員通過單一控制臺,集中地實現所有節點上防毒軟件的監控、配置、查詢等管理工作,包括Unix、Linux系統上的第17頁
杭州海康威視系統技術有限公司
行業基線方案
防(殺)病毒軟件;控制臺可跨網段管理,管理不依賴網絡拓撲結構。
1.5.7 PKI/CA身份認證平臺
PKI/CA 身份認證平臺通過發放和維護數字證書來建立一套信任網絡,在同一信任網絡中的用戶通過申請到的數字證書來完成身份認證和安全處理。PKI 從技術上解決了網絡通信安全的種種障礙,CA 從運營、管理、規范、法律、人員等多個角度來解決了網絡信任問題。
智慧城市數據中心PKI/CA身份認證平臺功能要求如下:
1.5.7.1 CA系統
1.證書管理:包括證書申請、證書下載、證書更新、證書注銷、證書凍結、證書解凍、證書查詢、證書歸檔;
2.模板管理:包括通用證書模板、簽名證書模板、加密證書模板、設備證書模板、SSL服務器證書模塊等,當國家/國際標準表擴展域無法滿足模板要求時,可以使用自定義擴展域OID + 編碼方式 + VALUE自定義模板;
3.審計管理;包括業務審計、日志審計等功能,并且支持日志防篡改; 4.支持總CRL、分CRL、增量CRL、支持CRL重疊期,可以根據模板指定CRL發布點;
5.系統支持SM2算法及RSA算法。
1.5.7.2 RA系統
1.證書管理;包括證書申請、證書下載、證書查詢、證書更新、證書凍結、證書解凍、證書注銷、批量申請證書、批量證書審核、批量下載證書;支持批量發送自動過期證書通知,管理員可以定時自動獲取系統內將過期證書通知;
2.用戶管理;包括用戶組管理、添加用戶、修改用戶、刪除用戶、凍結用戶、解凍用戶、注銷用戶;
3.機構管理;包括機構信息管理、添加機構、修改機構、刪除機構、導出機構、導入機構;
第18頁
杭州海康威視系統技術有限公司
行業基線方案
4.權限管理;包括業務錄入員、審核員、制證員、人事錄入員、審核員、審計管理員;
5.審計管理;包括業務審計、日志審計等功能,并且支持日志防篡改; 6.用戶自主服務;包括自主下載證書、自主更新證書、下載根證書、下載CRL;支持靈活控制的自主服務模式和可擴展的用戶身份驗證模式;
7.支持直接下載用戶申請成功的證書,并制作到用戶證書載體中,證書載體包括:軟盤、USB Key和IC卡等。
1.5.7.3 KMC系統
KMC系統主要負責對用戶加密密鑰的產生、存儲、分發、查詢、注銷、歸檔及恢復整個生命流程實施管理;密鑰管理中心的功能從整體上來分,主要分為密鑰管理、管理中心結構管理、授權管理、密鑰恢復、審計管理功能。
1.5.7.4 目錄服務系統
1.查詢功能; 2.更新功能; 3.復制功能; 4.引用功能。
1.5.7.5 用戶屬性管理系統
1.用戶身份管理; 2.用戶屬性管理;
3.下級平臺用戶自主管理及證書申請、下載服務; 4.查詢服務; 5.同步服務。
1.5.7.6 身份認證網關
1.支持證書身份認證
第19頁
杭州海康威視系統技術有限公司
行業基線方案
身份認證網關支持PKI/CA數字證書認證,包括:用戶數字證書完整性驗證、CRL更新、OCSP證書校驗、支持多級CA頒發的證書、支持單雙向認證選擇、支持旁路認證及主路認證多種方式;
2.支持b/s和c/s應用;
3.支持數據加密及數據完整性保護
提供對敏感數據進行加密,實現敏感數據保密,不被竊取;對重要業務流程或敏感數據進行數字簽名,簽名結果作為依據,實現網絡行為不被否認;
4.支持訪問控制
支持應用維護功能可以配置系統用戶,控制通過驗證的用戶是否可以訪問應用系統;
5.支持單點登錄
支持多個應用系統之間的單點登錄,即一次登錄,多次使用。用戶通過網關認證后,系統認證平臺通過Cookie機制維護該用戶的會話信息,用戶登錄應用系統時,無需再次認證。極大的簡化了用戶登錄應用系統的步驟,使應用更加流暢;
6.安全審計及監控
對訪問網關的用戶行為進行詳細記錄,并且對記錄的審查作權限控制,有效地實現了責任認定和系統使用情況分析。
對專網整個認證中心建設中各種PKI/CA設備、系統、服務進行有效的集中監控與管理,解決PKI體系龐大帶來的難維護、難管理等問題;對證書的發放以及應用訪問的審計。
1.5.8 接入認證系統
接入認證系統實現了基于802.1X的用戶名和密碼的身份認證,并且采用用戶名與接入終端的MAC地址、IP地址、VLAN、接入設備端口號等信息進行綁定的方式,來保證數據中心設備接入安全。
智慧城市數據中心接入認證系統功能要求如下:
1.可支持基于用戶名和密碼的身份認證,并且支持用戶名與接入終端的MAC地址、IP地址、VLAN、接入設備端口號等信息進行綁定;
第20頁
杭州海康威視系統技術有限公司
行業基線方案
2.針對用戶終端進行系統狀態安全檢查,包括應用軟件的安裝及使用、病毒庫版本更新、終端補丁檢查、非法外聯等,并且支持對瑞星、江民、金山、趨勢科技、McAfee、Symentec、Ahn、北信源、CA Kill、卡巴斯基、NOD32等廠商的防病毒軟件的檢測和聯動;
3.在用戶終端通過安全檢查后,可以基于用戶的權限,向安全聯動組件下發事先配置的ACL策略,實現分級分權限的細粒度用戶網絡行為管理;
4.通過對USB進行監控方式,避免重要文件通過移動存儲設備進行非法拷貝,有效的避免了機密文件的泄露;
5.支持802.1X用戶身份認證,可與主流廠商的交換機實現安全聯動,強制檢查用戶的安全狀態,如果不符合要求則無法接入企業內網或只能訪問隔離區資源,進一步保護企業內網的安全。
1.5.9 安全管理平臺
安全管理平臺的目標是要確保全局的掌控,確保整個體系的完整性,而不僅限于局部系統的完整性;對于安全問題、事件的檢測要能夠匯總和綜合到中央監控體系,確保整個體系的可追究性。
SOC系統是信息安全保障系統的核心,主要體現在對視頻專網全局掌控、預警能力和應急響應處理能力。全局預警就是要建立全局性的安全狀況收集系統,對于新的安全漏洞和攻擊方法的及時了解,針對體系內局部發生的安全入侵等事件進行響應。SOC充分利用所掌握的空間、時間、知識、能力等資源優勢,形成全局性的資源協調體系,為系統的全局可控性提供有力的保障。SOC在設備管理和安全事件管理方面外,應該對公安行業的制度和工作方式在視頻業務流程中得以體現,主要表現為工作流的驅動,工單的管理,以及處理結果的反饋。
第21頁
杭州海康威視系統技術有限公司
第三篇:浦東數據中心-信息安全管理協議書
信息安全管理協議書
本單位(或本人)__________________________鄭重承諾:本單位(或本人)在上海科擇信息科技有限
公司托管的服務器或網站所從事的業務嚴格遵守法律、法規、規章及政府部門、行業協會、行業組織的相關
規定(包括但不限于:信部電[2005]501號《互聯網站管理工作細則》、國務院292號令《互聯網信息服務管理
辦法》),不從事任何違反法規的行為,不在互聯網上散布謠言、發布擾亂社會秩序的信息、不發布組織或實
施過激行為的信息、對所屬的網站加強監管,發現違法的相關內容及時進行制止和清理,及時做好網站備案工
作。
上海科擇信息科技有限公司有權對本單位(或本人)的網站備案和信息內容進行監管,有權在發現本公 司(或本人)托管的服務器或網站上存在備案問題或非法信息問題時,關停網站或服務器;若因本公司(或本 人)監管不力,未及時進行網站備案或由于服務器上存在非法網站、非法信息導致的一切后果(包括但不限于 經濟責任、行政責任、法律責任等)由本公司(或本人)自行承擔,與上海科擇信息科技有限公司無關。
特此承諾!
用戶名稱:(簽名或蓋章)
日期:年月日
第四篇:有關信息安全保密的國家法規
一 有關信息安全保密的國家法規
1. 中華人民共和國憲法; 2. 中華人民共和國刑法; 3. 中華人民共和國國家安全法; 4. 中華人民共和國國家法實施細則; 5. 中華人民共和國保守國家秘密法; 6. 中華人民共和國保守國家秘密法實施細則;
第五篇:數據中心機房安全管理制度
數據中心機房安全管理制度
計算機數據中心機房是保證醫院信息系統正常運行的重要場所。為保證機房設備與信息的安全,保障機房有良好的運行環境和工作秩序,特制定本制度。
1、保證中心機房環境安全:
每天查看中心機房的溫度和濕度,并記錄;每天聾看UPS日志并記錄,不得在中心機房附近添置強震動、強噪聲、強磁場的設備,定期檢查計算機設備使用電源安全接地情況。
2、實行中心機房準入管理:
中心機房配備門禁止系統,計算機中心工作人員進入需持個人的專用卡刷卡進入。外來人員需得到計算機中心負責人同意,并在相關計算機中心工作人員陪同下方可進入.并作記錄。
3、中心服務器操作系統安全管理:
系統管理員單獨管理系統用戶密碼,并定期更換密碼;離開服務器時技術鎖定機器。第三方需要登陸服務器時,需在計算機中心工作人員全程陪同下進行操作,工作完畢后更換密碼。系統管理員每天查看系統日志,檢查關鍵目錄是否有異常。操作系統版本升級應得到計算機中心負責人同意,并做好記錄。更改系統配置后應及時進行備份,并做好相關文檔存檔。
4、中心數據庫系統安全管理:
數據庫管理員每天查看數據庫的備份,并及時匯報異常。數據庫系統參數調整、版本升級應得到計算機中心負責人同意.并做好記錄。
5、中心交換機安全管理:
網絡管理員每天查看中心交換機使用情況.并做好記錄。確保備用交換機狀態正常,備用鏈路完整。
鎮江中西醫結合醫院計算機中心
計算機中心管理制度
1、計算機中心是受院長直接領導的、兼具管理職能的技術科室.基本職能是負責醫院信息化建設的規劃、實施、運行、維護和管理。
2、醫院信息化建設的核心內容是醫院信息系統建設。醫院信化建設適應堅持以需求為導向、以應用促發展,注重經濟實效、技術上適度超前的基本原則,遵循規劃充分論證、分步實施、試點運行、階段見效、持續發展的實施策略。
3、在醫院信息系統的建設過程中,必須堅持以全院大局為優先考慮,在院長的授權下完成信息資源的平衡調配,避免形成信息孤島,并確保與信息系統相關任務及時、準確、完整的執行和完成。
4、為保證醫院信息化建設的順暢進行,計算機中心爭取院方提供必要的支持條件。包括充足的專業技術人員配備;符合國家及行業相關標準的信息處理設備運行環境和辦公空間;以及滿足醫院信息化發展需要的預算資金。
5、計算機中心有貫徹執行國家和衛生行政管理部門發布的有關信息化的法律、法規、標準、政策、條例、規程和辦法的責任。
6、參照國家和衛生行業的相關標準和規范,結合醫院的實際情況,制定相應的管理制度和操作規程并貫徹執行。
7、確立為醫院醫療、教學、科研和管理服務的意識,參照信息技術治理的理念和方法,推動信息管理和服務的規范化。
8、信息工程的立項、審批、實施、驗收應按照相關規定履行招標、論證手續.并接受財務和審計部門的監督。
9、加強以醫學信息學為基礎的專業學科建設.強化對信息中心工作人員的相關專業技術培訓,提高其分析,解決、處理問題的水平和能力,以為臨床和管理部門提供及時、優質的信息服務。
鎮江中西醫結合醫院計算機中心
計算機中心工作制度
1、遵守國家有關法律規定,遵守醫院內各項規章制度,嚴格履行科室崗位職責。
2、嚴格遵守和執行醫院局域網管理規定,干得向他人泄露自己掌握內部管理密碼和管理方法保障網絡安全。
3、監督并定期檢查醫院信息網絡系統的各項工作.加強網絡設備的維護.監控網絡運轉,保證數據暢通運行,做好數據備份。
4、做好數據統計查詢工作,確保信息的準確性,充分發揮信息作用,向業務科室提供信息反饋資料,為決策提供依據。
5、嚴格遵守科內有關規定,不得私自操作服務器、前置機和交換機等設備.以免影響網絡正常工作。
6、不得在辦公區隨意接待無關人員.重大情況及時通報。
7、做好信息的保密工作.不得隨意向無關人員提供各種信息(經濟、醫療及其他)。做好充足的準備,隨時應對網絡的突發事件。
鎮江中西醫結合醫院計算機中心
點擊咨詢 