信息系统安全管理方案1信息系统安全管理方案信息系统的安全,是指为信息系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏,以保证系统连续正常运行。
信息系统的安全方案是为发布、管理和保护敏感的信息资源而制定的一级法律、法规和措施的总和,是对信息资源使用、管理规则的正式描述,是院内所有人员都必须遵守的规则。
信息系统的受到的安全威胁有:操作系统的不安全性、防火墙的不安全性、来自内部人员的安全威胁、缺乏有效的监督机制和评估网络系统的安全性手段、系统不能对病毒有效控制等。
一、机房设备的物理安全硬件设备事故对信息系统危害极大,如电源事故引起的火灾,机房通风散热不好引起烧毁硬件等,严重的可使系统业务停顿,造成不可估量的损失;轻的也会使相应业务混乱,无法正常运转。
对系统的管理、看护不善,可使一些不法分子盗窃计算机及网络硬件设备,从中牟利,使企业和国家财产遭受损失,还破坏了系统的正常运行。
因此,信息系统安全首先要保证机房和硬件设备的安全。
要制定严格的机房管理制度和保卫制度,注意防火、防盗、防雷击等突发事件和自然灾害,采用隔离、防辐射措施实现系统安全运行。
二、管理制度在制定安全策略的同时,要制定相关的信息与网络安全的技术标准与规范。
技术标准着重从技术方面规定与规范实现安全策略的技术、机制与安全产品的功能指标要求。
管理规范是从政策组织、人力与流程方面对安全策略的实施进行规划。
这些标准与规范是安全策略的技术保障与管理基础,没有一定政策法规制度保障的安全策略形同一堆废纸。
要备好国家有关法规,如:《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《商用密码管理条例》等,做到有据可查。
同时,要制定信息系统及其环境安全管理的规则,规则应包含下列内容:1、岗位职责:包括门卫在内的值班制度与职责,管理人员和工程技术人员的职责;2、信息系统的使用规则,包括各用户的使用权限,建立与维护完整的网络用户数据库,严格对系统日志进行管理,对公共机房实行精确到人、到机位的登记制度,实现对网络客户、IP地址、MAC地址、服务帐号的精确管理;3、软件管理制度;4、机房设备(包括电源、空调)管理制度;5、网络运行管理制度;6、硬件维护制度;7、软件维护制度;8、定期安全检查与教育制度;9、下属单位入网行为规范和安全协议。
三、网络安全按照网络OSI七层模型,网络系统的安全贯穿与整个七层模型。
针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的以下层次:1、物理层安全:主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)。
2、链路层安全:需要保证网络链路传送的数据不被窃听。
主要采用划分VLAN、加密通讯(远程网)等手段。
3、网络层安全:需要保证网络只给授权的用户使用授权的服务,保证网络路由正确,避免被拦截或监听。
4、操作系统安全:保证客户资料、操作系统访问控制的安全,同时能够对该操作系统的应用进行审计。
5、应用平台安全:应用平台之建立在网络系统上的应用软件服务器,如数据服务器、电子邮件服务器、WEB服务器等。
其安全通常采用多种技术(如SSL等)来增强应用平台的安全系统。
6、应用系统安全:使用应用平台提供的安全服务来保证基本安全,如通过通讯双方的认证、审计等手段。
系统安全体系应具备以下功能:建立对特等网段、服务的访问控制体系;检查安全漏洞;建立入侵性攻击监控体系;主动进行加密通讯;建立良好的认证体系;进行良好的备份和恢复机制;进行多层防御,隐藏内部信息并建立安全监控中心等。
网络安全防范是每一个系统设计人员和管理人员的重要任务和职责。
网络应采用保种控制技术保证安全访问而绝对禁止非法者进入,已经成为网络建设及安全的重大决策问题。
明确网络资源。
事实上我们不能确定谁会来攻击网络系统,所以作为网络管理员在制定安全策略之初应充分了解网络结构,了解保护什么,需要什么样的访问以及如何协调所有的网络资源和访问。
爱人者,人恒爱之;敬人者,人恒敬之;宽以济猛,猛以济宽,政是以和。
将军额上能跑马,宰相肚里能撑船。
最高贵的复仇是宽容。
有时宽容引起的道德震动比惩罚更强烈。
君子贤而能容罢,知而能容愚,博而能容浅,粹而能容杂。
宽容就是忘却,人人都有痛苦,都有伤疤,动辄去揭,便添新创,旧痕新伤难愈合,忘记昨日的是非,忘记别人先前对自己的指责和谩骂,时间是良好的止痛剂,学会忘却,生活才有阳光,才有欢乐。
不要轻易放弃感情,谁都会心疼;不要冲动下做决定,会后悔一生。
也许只一句分手,就再也不见;也许只一次主动,就能挽回遗憾。
世界上没有不争吵的感情,只有不肯包容的心灵;生活中没有不会生气的人,只有不知原谅的心。
感情不是游戏,谁也伤不起;人心不是钢铁,谁也疼不起。
好缘分,凭的就是真心真意;真感情,要的就是不离不弃。
信息系统安全管理方案措施1 信息系统安全管理方案措施为保证医院信息系统的安全性、可靠性,确保数据的完整性和准确性,防止计算机网络失密、泄密时间发生,制定本方案。
信息中心安全职责信息中心负责医院信息系统及业务数据的安全管理。
明确信息中心主要安全职责如下:(一)负责业务软件系统数据库的正常运行与业务软件的安全运行;(二)保证业务软件调存数据的准确获取与运用;(三)负责医院办公网络与通信的正常运行与安全维护;(四)负责医院服务器的正常运行与上网行为的安全管理;(五)负责公司杀毒软件的安装与应用维护;(六)信息中心负责管理医院各服务器管理员用户名与密码,不得外泄。
(七)定期监测检查各服务器运行情况,如业务软件系统数据库出现异常情况,首先做好系统日志,并及时向信息室负责人及主管领导汇报,提出应急解决方案。
如其他业务服务器出现异常,及时与合作方联系,协助处理。
(八)数据库是公司信息数据的核心部位,非经信息中心负责人同意,不得擅自进入数据库访问或者查询数据,否则按严重违纪处理。
(九)信息中心在做系统需求更新测试时,需先进入备份数据库中测试成功后,方可对正式系统进行更新操作。
(十)业务软件系统服务器是公司数据信息的核心部位,也是各项数据的最原始存储位置,信息中心必须做好设备的监测与记录工作,如遇异常及时汇报。
(十一)信息中心每天监测检查数据库备份系统,并认真做好日志记录,如遇异常及时向信息中心主管领导汇报。
(十二)机房重地,严禁入内。
中心机房环境要求严格,摆放设备异常重要,非经信息中心负责人同意严禁入内。
外单位人员进入机房需由信息中心人员专人陪同进入。
如需要进行各项操作须经信息中心负责人同意后方可进行操作。
(十三)信息中心负责医院网络与各终端机IP地址的规划、分配和管理工作。
包括IP地址的规划、备案、分配、IP地址和网卡地址的绑定、IP地址的监管和网络故障监测等。
个人不得擅自更改或者盗用IP地址。
(十四)医院IP地址的设置均采用固定IP分配方式,外来人员的电脑需要在信息中心主管领导的批准下分配IP进行办公。
(十五)用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址,应及时向信息中心报告。
(十六)信息中心负责医院办公网络与通信网络的规划与实施,任何个人或科室不得擅自挪动或关闭科室内存放的信息设备(交换机、网络模块)。
(十七)信息中心负责公司各网络及办公电脑的病毒防护管理。
负责统一安装医院指定的ESET杀毒软件,未经信息中心同意,各部门或个人不得擅自卸载或关闭。
(十八)信息中心负责杀毒软件的安装、升级与日常维护。
定期监测检查网络病毒异常情况,及时与总部信息中心联系,做好防护工作。
办公电脑安全操作管理(一)各科室对自己使用的电脑负有管理责任,专人专机,谁使用、谁管理、谁负责。
(二)发布数据和文件时,必须先进行杀毒处理,如本机已确认带毒,不允许发布数据;(三)经常检查计算机有无感染病毒,若发现计算机被病毒感染,应及时杀毒或报告信息中心人员;(四)在长时间不使用时,需关闭电脑显示器、打印机等耗电设备;(五)严格按操作程序正常开机、关机。
(六)不得在机桌、显示器的清洁,乱画、乱贴;(七)不得将水杯放置在电源附近;(八)不得接收来历不明的电子邮件,及时删除不明来历的电子邮件;(九)不得擅自安装各种软件。
所有办公软件由信息中心人员统一负责安装调试;对网络共享设备要求在网管人员指导下操作。
(十)不得使用未经杀毒的软盘、光盘、U盘;(十一)未经允许不得阅读他人文件、文档、电子邮件;(十二)不得随意泄露自己的计算机登陆密码;(十三)不得擅自转让用户账号,或将口令随意告诉他人;(十四)不得冒用他人账号登录计算机(公用设备除外)(十五)不得以任何形式泄露医院数据等商业机密;(十六)不得非法利用黑客程序进行密码破解。
(十七)不得利用计算机玩游戏、聊天、看电影;(十八)不得登入非法网站、浏览、接收非法信息。
(十九)不得盗用未经合法申请的IP地址入网。
(二十)不得对计算机硬盘格式化操作、改变机器配置。
(二十一)不得随意拆卸、搬动计算机设备、配件(键盘、鼠标等)(二十二)不得恶意访问和攻击网络服务器和他人计算机。
网站浏览安全(一)在公司范围内禁止访问不安全网站。
(二)禁止通过网络进行与工作无关的聊天。
(三)不得在上班时间访问与工作无关的网站。
(四)在浏览器中禁止让系统记住密码而实现自动登录。
(五)发现被感染病毒或被安装不明软件,要及时向向信息中心汇报各科室工作中如有违反上述各项规定,在信息中心维护工作中一经发现,有权向主管领导反映并提出处罚建议;给医院造成恶劣影响或后果的,视情况给与相应的处罚。