第一篇:数据中心信息安全法规办法
数据中心信息安全法规办法
为加强数据中心的数据安全和保密管理,保障数据中心的数据安全,现依据国家有关法律法规和政策,针对当前安全保密管理工作中可能存在的问题和薄弱环节,制定本办法。
一、按照“谁主管谁负责、谁运行谁负责”的原则,各部门在其职责范围内,负责本单位计算机信息系统的安全和保密管理。
二、各单位应当明确一名主要领导负责计算机信息系统安全和保密工作,指定一个工作机构具体负责计算机信息系统安全和保密综合管理。各部门内设机构应当指定一名信息安全保密员。
三、要加强对与互联网联接的信息网络的管理,采取有效措施,防止违规接入,防范外部攻击,并留存互联网访问日志。
四、计算机的使用管理应当符合下列要求:
1.对计算机及软件安装情况进行登记备案,定期核查;
2.设置开机口令,长度不得少于8个字符,并定期更换,防止口令被盗;
3.安装防病毒等安全防护软件,并及时进行升级;及时更新操作系统补丁程序;
4.不得安装、运行、使用与工作无关的软件; 5.严禁同一计算机既上互联网又处理涉密信息;
6.严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息;
7.严禁将涉密计算机带到与工作无关的场所。
五、移动存储设备的使用管理应当符合下列要求:
1.实行登记管理;
2.移动存储设备不得在涉密信息系统和非涉密信息系统间交叉使用,涉密移动存储设备不得在非涉密信息系统中使用;
3.移动存储设备在接入本单位计算机信息系统之前,应当查杀病毒、木马等恶意代码;
4.鼓励采用密码技术等对移动存储设备中的信息进行保护;
5.严禁将涉密存储设备带到与工作无关的场所。
六、数据复制操作管理应当符合下列要求:
1.将互联网上的信息复制到处理内部信息的系统时,应当采取严格的技术防护措施,查杀病毒、木马等恶意代码,严防病毒等传播; 2.严格限制从互联网向涉密信息系统复制数据。确需复制的,应当严格按照国家有关保密标准执行;
3.不得使用移动存储设备从涉密计算机向非涉密计算机复制数据。确需复制的,应当采取严格的保密措施,防止泄密;
4.复制和传递涉密电子文档,应当严格按照复制和传递同等密级纸质文件的有关规定办理。
七、处理内部信息的计算机及相关设备在变更用途时,应当使用能够有效删除数据的工具删除存储部件中的内部信息。
八、涉密计算机及相关设备不再用于处理涉密信息或不再使用时,应当将涉密信息存储部件拆除或及时销毁。涉密信息存储部件的销毁必须按照涉密载体销毁要求进行。
九、加强对计算机使用人员的管理,开展经常性的保密教育培训,提高计算机使用人员的安全和保密意识与技能。
十、各单位应当与重点岗位的计算机使用人员签订安全保密责任书,明确安全和保密要求与责任。
十一、计算机使用人员离岗离职,有关部门应当即时取消其计算机信息系统访问授权,收回计算机、移动存储设备等相关物品。
十二、各单位要加强对本单位计算机信息系统安全和保密管理情况的监督,定期开展检查,发现问题及时纠正。
十三、定期检查重点
1.系统安全运行情况。
检查各个信息系统运行情况。综合业务网络杀毒软件更新、运行情况;外网办公用计算机病毒查杀情况;操作系统和软件使用情况是否安全;是否存在内外网混用情况;终端机是否开启安全防护措施。
2.安全管理情况。
A.信息安全主管领导、信息安全管理部门、信息安全工作人员履职以及岗位责任情况等。
(1)信息安全主管领导明确及工作落实情况。
是否有领导分工等相关文件,是否明确了信息安全主管领导,检查信息安全相关工作批示和会议记录等文件,了解主管领导工作落实情况。
(2)信息安全管理部门指定及工作落实情况。
检查部门分工文件,是否指定了信息安全管理部门。是否制定了工作计划、工作方案、管理规章制度、监督检查记录等文件,检查管理部门工作落实情况。
(3)信息安全工作人员配备及工作落实情况。
检查人员列表、岗位职责分工等文件,是否配备了信息安全工作人员。B.日常安全管理制度建立和落实情况。检查人员管理、设备管理、运行维护管理情况。(1)人员管理制度。
检查人员管理制度文件,是否有岗位信息安全责任,人员离岗离职管理、外部人员来访管理等制度。检查人员离岗离职管理落实情况。
(2)设备管理制度。
检查设备管理制度等文件。是否有设备发放、使用、维修、维护和报废等相关制度,是否明确了相关管理责任人。硬件设备登记情况,包括PC机,路由器,交换机及其他主要设备。检查《计算机硬件设备登记簿》。
(3)运行维护管理制度。
检查是否建立了运行维护管理等相关制度文件,是否包含事故处理记录、数据维护情况等相关内容。检查运维操作手册和运维相关记录,检查是否有事故处理记录、数据维护记录、运行维护管理制度落实情况及相关记录完整性。
3.技术防护情况。
检查所有接入互联网的计算机设备是否安装了最新的杀毒软件和病毒防火墙,统计网络外连的出口个数,是否每个出口都进行了安全措施。检查网点路由器、交换机等设备配置是否合理,是否启用了有效的身份控制、访问控制功能。
4.应急处理及容灾备份情况。
重点检查应急预案、应急演练和灾备措施情况。检查应急预案制定和修订情
况。检查应急演练人员对预案的熟悉程度。检查冗余设备情况。
十四、加强整改落实
各部门要切实做好整改工作,对检查中发现的问题,要及时进行研究,采取有效措施加以整改。因条件不具备不能立即整改的,要制定整改计划、整改方案及整改时间表,并采取临时防范措施,确保网络与信息系统安全正常运行。要举一反三,在同类系统、同类设备中排查类似问题,切实提高信息系统安全防护水平。
十五、加强风险控制
各部门在开展安全检查工作时,要明确相关工作纪律并严格执行。要识别检查中的安全风险,周密制定应急预案,强化风险控制措施,明确发生重大安全问题时的处置流程,确保被检查信息系统的正常运行。
十六、加强保密管理
各单位要高度重视保密工作,指定专人负责,对检查活动、检查实施人员以及相关文档和数据进行严格管理,确保检查工作中涉及到的商业秘密得到有效控制;对检查人员进行保密培训,确保检查工作中获知的信息不被泄露,检查数据和检查结果不向外透露。
十七、各单位应当建立健全政府信息保密审查机制,明确审查的程序和责任,并明确一名机关行政负责人分管保密审查工作,指定机构负责保密审查的日常工作。各单位开展保密审查时应履行审查审批手续。
十八、数据中心信息安全保密审查,应当以《保密法》及其实施办法等有关法律、法规的规定及由中央国家机关和国家保密局制定的《国家秘密及其密级具体范围的规定》(以下简称《保密范围》)为依据。
十九、各单位不得开放涉及国家秘密、商业秘密、个人隐私的下列政府信息:
1.依照国家保密范围和定密规定,明确标识为“秘密”、“机密”、“绝密”的信息;
2.虽未标识,但内容涉及国家秘密、商业秘密、个人隐私的信息; 3.依照规定需经国家和有关主管部门批准开放,而未获批准的信息。4.其他开放后可能危及国家安全、公共安全、经济安全和社会稳定的信息。
二十、各单位的业务机构在政府信息接入数据中心时、审签时标明是否属于保密事项;在进行保密审查时,负责保密审查工作的机构和人员应当提出“主动公开”、“不予公开”、“依申请开放”等审查意见,并注明其依据和理由。
二十一、各单位可以在数据中心查看本单位的数据以及其他单位公开的数据;如果要查看需要申请开放的数据,需要提出申请,审查通过后即可查看数据,审核不通过后不能查看数据。数据开放的审核及授权由有关主管部门或者同级保密工作部门负责。
二十二、数据中心的数据由九次方公司保障信息安全。
二十三、不同单位共同形成的政府信息开放给其他单位时,应由主办的单位负责开放前的保密审查,并以文字形式征得其他机关单位同意后方可予以开放。二
十四、各单位对政府信息是否可以开放不明确时,在征求政府信息制作或者获取单位保密组织机构的意见后,报有关主管部门或者同级保密工作部门确定。
二十五、已确定为国家秘密但已超过保密期限并拟开放的政府信息,单位应在保密审查确认能够开放后,按保密规定办理解密手续,再予以开放。二
十六、拟开放的政府信息中含有部分涉密内容的,应当按照有关规定对国家秘密内容采取删除、变更等方式进行非密处理,采取属于国家秘密的部分不予开放、其余部分开放的方法处理。
二十七、单位及其工作人员有下列情形之一的,应当追究政府信息开放工作过错责任:
1.未按照规定的开放范围和期限主动提供政府信息,以及不及时更新本单位的政府信息的;
2.对应当提供的政府信息不提供及提供虚假政府信息的;
3.未建立健全保密审查机制,不履行保密审查义务的,或者违反政府信息开放工作程序,开放不应当开放的政府信息的;
4.违反规定收取费用或者通过其他组织、个人以有偿服务方式提供政府信息的;
5.违反政府信息开放有关规定的其他行为。
违反上述有关规定的单位,视情况给予责令作出书面检查、通报批评处理。二
十八、无正当理由,在规定期限内不依法履行保密审查职责,从而影响政府信息发布的,由监察机关、上一级单位责令改正;情节严重的,对单位直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任。
二十九、单位违反有关规定,开放涉及国家秘密的政府信息,造成泄密事件的,依照有关规定对单位直接负责保密审查的主管人员和直接责任人给予处分;情节严重构成犯罪的,按照《刑法》、《保密法》及其实施办法的有关规定,依法追究刑事责任。
三
十、对违反有关规定的单位直接责任人员、直接负责的主管人员和主要负责人,视情追究政府信息开放工作过错责任。责任追究方式为:
1.责令改正; 2.诫勉谈话; 3.责令作出书面检查; 4.通报批评; 5.调离工作岗位。
以上追究方式可以单独或合并使用;情节严重的,视情给予辞退、责令辞职或免职处理;需要依法给予处分的,依照《单位公务员处分条例》予以处理;构成犯罪的,依法追究刑事责任。三
十一、有关责任人员包括:
1.不依法履行职责,对造成的影响或者后果负直接责任的政府信息开放工作人员;
2.不依法履行职责,对造成的影响或者后果负直接领导责任的主管政府信息开放工作的领导;
3.不依法履行职责,对造成的影响或者后果负全面领导责任的单位主要领导。
三
十二、政府信息开放工作过错责任人有下列情形之一的,应当从重处理:
1.推卸、转嫁责任的;
2.干扰、妨碍调查处理,或者不采取补救措施,致使损失或者不良影响发生或者扩大的;
3.造成重大经济损失或者严重不良社会影响的; 4.一年内出现两次以上应予追究责任的情形的;
5.打击、报复对信息开放工作进行投诉和申诉的公民、法人或其他组织的;
6.不依法履行政府信息开放义务,被复议机关或审判机关确认违法的; 7.法律、法规、规章规定的其他情形。
三
十三、政府信息开放工作过错责任人有下列情形之一的,可以从轻或者免予处理:
1.问题或过错发生后,主动配合调查处理的; 2.及时改正错误的;
3.主动采取措施,有效避免或者挽回损失,或者有效避免社会不良影响发生或者扩大的;
4.法律、法规、规章规定的其他情形。
三
十四、单位的政府信息开放工作过错责任追究,由同级监察机关或其上一级单位实施。监察机关和上一级单位应加强沟通协商,及时对违反规定的单位作出处理。单位工作人员的政府信息开放工作过错责任追究,由本单位负责,但按照人事管理权限不属于本单位管理的除外。政府信息开放工作过错责任追究机构应当依照法律、法规和管理权限的有关规定,对政府信息开放工作过错行为进行调查和处理,必要时可以联合调查处理。
三
十五、实施责任追究,应当充分听取有关责任人员的陈述和申辩。有关责任人员对处理决定不服的,可以向作出处理决定的机关申请复核,也可以直接向作出处理决定机关的上一级机关或者监察机关提出申诉。
第二篇:数据中心信息安全解决方案
数据中心解决方案
(安全)
行业基线方案
目录
第 一 章 信息安全保障系统.....................................................................3
1.1 系统概述.....................................................................................3 1.2 安全标准.....................................................................................3 1.3 系统架构.....................................................................................4 1.4 系统详细设计.............................................................................5 1.4.1 计算环境安全......................................................................5 1.4.2 区域边界安全......................................................................7 1.4.3 通信网络安全......................................................................8 1.4.4 管理中心安全......................................................................9 1.5 安全设备及系统.......................................................................11 1.5.1 VPN加密系统....................................................................12 1.5.2 入侵防御系统....................................................................12 1.5.3 防火墙系统........................................................................13 1.5.4 安全审计系统....................................................................14 1.5.5 漏洞扫描系统....................................................................15 1.5.6 网络防病毒系统................................................................17 1.5.7 PKI/CA身份认证平台......................................................18 1.5.8 接入认证系统....................................................................20
第1页
杭州海康威视系统技术有限公司
行业基线方案
1.5.9 安全管理平台....................................................................21
第2页杭州海康威视系统技术有限公司
行业基线方案
第 一 章 信息安全保障系统
1.1 系统概述
信息安全保障系统是集计算环境安全、安全网络边界、通信网络安全以及安全管理中心于一体的基础支撑系统。它以网络基础设施为依托,为实现各信息系统间的互联互通,整合各种资源,提供信息安全上的有力支撑。系统的体系架构如图所示:
图1.信息安全保障系统体系架构图
信息系统安全是保障整个系统安全运行的一整套策略、技术、机制和保障制度,它涵盖系统的许多方面,一个安全可靠的系统需要多方面因素共同作用。
1.2 安全标准
在数据中心建设中,信息系统安全依据《信息系统等级保护安全设计技术要求》(GB/T 24856-2009)二级防护要求进行设计。该标准依据国家信息安全等级保护的要求,规范了信息系统等级保护安全设计技术要求,标准适用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构开展信息系统等级
第3页
杭州海康威视系统技术有限公司
行业基线方案
保护安全技术方案的设计和实施,也可作为信息安全职能部门进行监督、检查和指导的依据。
信息安全等级保护是我国信息安全的基本制度、基本政策、基本方法。已出台的一系列信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准,为信息安全等级保护工作的开展提供了法律、政策、标准依据。国家标准《信息安全技术 信息系统等级保护安全设计技术要求》是根据中国信息安全等级保护的实际需要,按照信息安全等级保护对信息系统安全整改的要求制订的,对信息系统等级保护安全整改阶段技术方案的设计具有指导和参考作用。
1.3 系统架构
智慧城市数据中心依据《信息系统等级保护安全设计技术要求》(GB/T 24856-2009),构建 “一个中心支撑下的三重防御”的安全防护体系。信息安全保障系统总体架构如下图所示:
信息安全保障体系计算环境安全身份鉴别访问控制系统安全审计数据安全保护恶意代码防范边界完整性保护区域边界安全边界包过滤边界安全审计边界恶意代码防范通信网络安全通信网络安全审计通信网络数据传输完整性保护通信网络数据传输保密性保护管理中心安全安全管理子系统实时监控统计分析配置管理日志管理CA子系统认证授权子系统统一用户管理安全审计子系统网络安全审计主机安全审计数据库安全审计应用系统安全审计证书管理统一身份认证资源授权管理访问权限裁决系统管理网络基础设施图2.信息安全保障系统总体架构图
信息安全保障系统以网络基础设施为依托,为整个数据中心业务提供计算环境安全、区域边界安全、通信网络安全、安全管理、安全审计及认证授权等服务。
第4页
杭州海康威视系统技术有限公司
行业基线方案
信息安全保障系统的一个中心是指管理中心安全,三重防御是指计算环境安全、区域边界安全和通信网络安全。
计算环境安全主要提供终端和用户的身份认证、访问控制、系统安全审计、恶意代码防范、接入控制、数据安全等安全服务。
区域边界安全主要提供网络边界身份认证、访问控制、病毒防御、安全审计、网络安全隔离与可信交换等安全服务。
通信网络安全主要提供网络通信的安全审计、网络传输的机密性和完整性等安全服务。
管理中心安全主要包括安全管理子系统、CA子系统、认证授权子系统和统一安全审计子系统等,它是系统的安全基础设施,也是系统的安全管控中心。为整个系统提供统一的系统安全管理、证书服务、认证授权、访问控制以及统一的安全审计等服务。
1.4 系统详细设计
1.4.1 计算环境安全
1.4.1.1 计算环境安全概述
伴随着等级保护工作的持续开展,包括防火墙、安全网关、入侵防御、防病毒等在内的安全产品成功地应用到信息系统中,从很大程度上解决了安全问题,增强了信息安全防御能力。但这些大多重在边界防御,以服务器为核心的计算平台自身防御水平较低,这在信息系统中埋下了很大的安全隐患。
计算环境安全针对的是对系统的信息进行存储、处理及实施安全策略的相关部件,它的重点是为了提高以服务器为核心的计算平台自身防御水平。数据中心的计算环境安全主要通过部署主机安全防护系统以及使用在管理中心所部署的接入认证系统、网络防病毒系统、漏洞扫描系统等安全防护系统提供的服务,完成终端的身份鉴别、访问控制、安全审计、数据安全保护,恶意代码防护等一系列功能。计算环境部署的安全系统均可被安全管理中心统一管理、统一监控,实
第5页
杭州海康威视系统技术有限公司
行业基线方案
现协同防护。
1.4.1.2 计算环境安全功能要求
1)身份鉴别功能
数据中心终端应支持用户标识和用户鉴别。在对每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。
2)访问控制功能
在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户。采用基于角色的访问控制技术,实现不同用户、不同角色对不同资源的细粒度访问控制,分别制定了不同的访问控制规则,访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。
3)安全审计功能
提供安全审计机制,记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。该功能应提供审计记录查询、分类和存储保护,并可由安全管理与基础支撑功能层统一管理。
4)数据安全保护功能
采用常规校验机制,检验存储的用户数据的完整性,以发现其完整性是否被破坏,可采用密码等技术支持的保密性保护机制,对在计算环境安全中存储和处理的用户数据进行保密性保护。
5)恶意代码防范功能
安装防恶意代码软件或配置具有相应安全功能的操作系统,并定期进行升级和更新,以提供针对不同操作系统的工作站和服务器的全面恶意代码防护。不仅能够抵御病毒,蠕虫和特洛依木马,还能抵御新攻击,如垃圾邮件,间谍程序,拨号器,黑客工具和恶作剧,以及针对系统漏洞,并提供保护阻止安全冒险等。
第6页
杭州海康威视系统技术有限公司
行业基线方案
1.4.2 区域边界安全
1.4.2.1 区域边界安全概述
随着应用系统和通讯网络结构日渐复杂,异地跨边界的业务访问、移动用户远程业务访问等复杂的系统需求不断增多,如何对跨边界的数据进行有效的控制与监视已成为越来越关注的焦点,这对系统区域边界防护提出了新的挑战和要求。
区域边界安全针对的是对系统的计算环境安全边界,以及计算环境安全与通信网络安全之间实现连接并实施安全策略的相关部件。数据中心的区域边界安全主要通过在系统边界部署防火墙系统、防毒墙、入侵防御系统、安全接入平台等安全设备和系统以及使用在管理中心所部署的安全审计系统提供的服务,完成边界包过滤、边界安全审计、边界入侵防范、边界完整性保护,边界安全隔离与可信数据交换等一系列功能。区域边界部署的安全系统均可被安全管理中心统一管理、统一监控,实现协同防护。
1.4.2.2 区域边界安全功能要求
1)边界包过滤功能
提供对数据包的进/出网络接口、协议(TCP、UDP、ICMP、以及其他非IP协议)、源地址、目的地址、源端口、目的端口、以及时间、用户、服务(群组)的访问过滤与控制功能,对进入或流出的区域边界的数据进行安全检查,只允许符合安全安全策略的数据包通过,同时对连接网络的流量、内容过滤进行管理。
2)边界安全审计功能
在区域边界设置审计机制,提供对被授权人员和系统的网络行为进行解析、分析、记录、汇报的功能,以帮助用户事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,保障网络及系统的正常运行。
3)边界入侵防范功能
在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
4)边界完整性保护功能
第7页
杭州海康威视系统技术有限公司
行业基线方案
在区域边界设置探测器,可对内部网络中出现的内部用户未通过准许私自联到外部网络,以及外部用户未经许可违规接入内部网络的行为进行检查和控制。
5)边界安全隔离与可信数据交换功能
可完成指挥信令的双向流动,以及视频流单向流入公安信息网的安全隔离与控制,同时,还应可采用两头落地的“数据交换”模式,实现公安信息通信网与其它网络间的基于文件和数据库同步的数据安全交换和高强度隔离。
1.4.3 通信网络安全
1.4.3.1 通信网络安全概述
通信网络是信息系统的基础支撑平台,而如今网络IP化、设备IT化、应用Web化使信息系统业务日益开放,业务安全漏洞更加易于利用。通信网络的安全保障越来越成为人们关注的重点。
通信网络安全针对的是对系统计算环境安全之间进行信息传输及实施安全策略的相关部件。数据中心的通信网络安全主要是通过部署入侵防范系统和VPN加密系统等安全设备和系统以及使用管理中心所部署的安全审计系统提供的服务,完成传输网络安全审计、数据传输完整性与机密性保护等一系列功能。通信网络安全采用基于商密算法的网络传输安全防护系统(SSL VPN),实现数据安全传输与安全审计、保障通信两端的可信接入、保障数据传输的完整性和保密性。
1.4.3.2 通信网络安全功能要求
1)传输网络安全审计功能
提供通信网络所传输数据在包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息在内的审计功能。
2)数据传输完整性与机密性保护功能
通过在不可信信道上构建安全可靠的虚拟专用网络,为数据传输提供机密性和完整性保护、以及数据源认证、抗重放攻击等安全保障,并且支持采用身份认证、访问控制以及终端安全控制技术,为平联工程的内部网络建立安全屏障。
第8页
杭州海康威视系统技术有限公司
行业基线方案
1.4.4 管理中心安全
1.4.4.1 管理中心安全概述
安全管理平台是对定级系统的安全策略及计算环境安全、区域边界安全和通信网络安全上的安全机制实施统一管理的平台。它是一个集合的概念,其核心的内容是实现“集中管理”与“基础支撑”。数据中心的管理中心安全主要是通过部署安全审计系统、接入认证系统、PKI/CA身份认证系统、网络防病毒系统、漏洞扫描系统和安全管理平台等安全设备和系统,完成证书管理、实时监控、统计分析、配置管理、密钥管理、日志管理、系统管理、统一用户管理、统一身份认证、资源授权及访问控制管理、单点登录管理、网络安全审计、主机安全审计、数据库安全审计、应用系统安全审计等一系列功能。
1.4.4.2 管理中心安全功能要求
1)证书管理功能
主要涵盖数字证书的申请、审核、签发、注销、更新、查询等的综合管理,证书管理应遵循X.509规范和国家PKI标准,采用成熟的已经通过鉴定的服务器密码机做加、解密及签名运算,为用户提供高密级的信息安全服务。
证书管理应不仅能够提供用户注册、审核,密钥产生、分发,证书签发、制证及发布等基本功能,还应能为其它应用系统提供证书下载,在线证书状态查询、可信时间等服务,并进行综合管理,使其它系统能够更方便的利用电子认证基础设施实现安全应用。
2)实时监控功能
能从总体上对各安全构件提供简便、易用的导向式监控,能从总体上和细节两个层面实时把握安全系统整体运行情况。实时监控应可按照业务和资产进行分类,可依据分类进行简单、直观的实时监控。
提供逻辑视图、物理视图两种实时监控模式和多种不同的图形化及文字报警方式。提供实时监控页面即时切换,并可对实时监控项和图形化统计项进行自定义布局,完成管理员最关心的实时监控和事件统计配置和显示。
3)统计分析功能
第9页
杭州海康威视系统技术有限公司
行业基线方案
提供事件统计,并可将结果生成统计报表。可提供了预定义统计和自定义统计模式。预定义统计分析主要针对系统自身信息的统计报表,可主要包括事件统计、密钥统计、设备统计、用户统计和日志统计五大类。
根据实际的统计需求,对统计项进行自定义配置。配置后,统计信息可在实时监控页面中实时显示,也可以通过统计分析进行查看。统计结果以图形化方式呈现,呈现方式多样,至少可支持柱图、饼图、趋势图等,并为关联分析提供支撑。
4)配置管理功能
能够对应用系统中的安全设备进行统一配置管理。配置管理应可按照业务和资产重要程度和管理域的方式对业务和资产进行统一配置管理,提供便捷的添加、修改、删除、查询功能,便于管理员能方便地查找所需的业务和资产信息,并对业务和资产属性进行维护。
5)密钥管理功能
对密钥全生命周期(产生、存储、分发、更新、撤销、停用、备份和恢复)的统一管理,确保密钥全生命周期的安全。
6)日志管理功能
使审计员可以通过日志管理对密钥日志、系统日志进行事后审计和追踪,作为日志审计的依据。密钥日志应主要包括密钥生成日志和密钥分发日志;系统日志应主要包括操作日志、监控日志和运行日志。日志管理应可提供强大、完善的日志查询和检索功能,满足审计员对日志的审计和查询需求。
7)系统管理功能
通过系统管理中配置对系统自身进行各种参数配置和管理,应主要包括服务器管理、组件管理、监控策略管理等。
8)统一用户管理功能
根据用户的数字证书,提供对用户的管理功能,包括用户的主账号(代表用户身份的唯一帐号)和从账号(不同应用系统中的用户帐号)的对应管理,用户属性的统一管理,以及实现用户整个生命周期管理,包括对人员入职、调动、离职等过程中的用户身份的创建、修改、删除等操作的管理等。统一用户管理应支持分级管理功能。
9)统一身份认证功能
第10页
杭州海康威视系统技术有限公司
行业基线方案
基于数字证书完成用户与客户端认证设备之间的认证,实现基于PKI的握手协议,实现不同系统和设备之间的身份认证有效统一,保护系统访问的安全性。统一身份认证还应支持多级认证功能。
10)资源授权及访问控制管理功能
基于数字证书,并采用基于RBAC的技术,在用户进行信息系统的资源访问及使用时,实现不同用户、不同角色对不同资源的细粒度访问控制。资源授权及访问控制应支持分级管理功能。
11)单点登录管理功能
基于数字证书,使用户能够方便地跨越多个站点或安全域实现单点登录,即用户登录到网络以后,便能在安全可靠的前提下,访问任何应用程序而无需再次进行身份验证;单点登录应同时提供针对B/S系统与C/S应用系统的单点登录功能。
12)网络安全审计功能
配合网管系统,实现对网络异常行为及安全事件的审计。13)主机安全审计功能 实现用户对主机操作行为的审计。14)数据库安全审计功能 实现对数据库操作行为的审计。15)应用系统安全审计功能 实现对应用系统操作行为的审计。
1.5 安全设备及系统
根据智慧城市的业务发展的需要,为保障数据中心的计算环境安全、区域边界安全、通信网络安全以及管理中心安全,在数据中心建设过程中需要部署VPN加密系统、入侵防御系统、防火墙系统、安全审计系统、漏洞扫描系统、网络防病毒系统、PKI/CA身份认证平台、接入认证系统、安全管理平台等安全设备及系统来保障整个数据中心系统的安全运行。各安全设备及系统的功能要求如下:
第11页
杭州海康威视系统技术有限公司
行业基线方案
1.5.1 VPN加密系统
VPN的身份认证通过LADP协议可以与认证服务器建立认证关系,也可以与PKI/CA服务器建立联系在终端导入证书,VPN 加密技术采用DES、3DES、AES、IDEA、RC4等加密技术,通过上述的加密技术,保证视频、信令、数据在公共网络中传输安全。
智慧城市数据中心VPN加密系统功能要求如下: 1.支持丰富的C/S、B/S应用;
2.支持多种认证方式,如用户名+口令、RADIUS、AD、LDAP、USB Key; 3.证书、证书+口令、双因子认证等;
4.支持多种终端设备接入(包括window平台、linux平台、andriod平台); 5.支持IP层隧道模式,支持VoIP; 6.支持多ISP连接;
7.支持统一安全管理系统的统一管理; 8.支持双机备份和负载均衡; 9.终端安全接入控制; 10.基于角色的访问控制; 11.完善的信息与状态监控; 12.支持主机绑定; 13.客户端安全控制;
14.支持基于用户的终端安全检查; 15.支持分支机构的局域网接入。
1.5.2 入侵防御系统
入侵防御系统是一种软、硬结合的计算机系统,它能通过攻击特征库匹配、漏洞机理分析、应用还原重组、网络异常分析等主要技术实现了精确抵御黑客攻击、蠕虫、木马、后门,抑制间谍软件、灰色软件、网络钓鱼的泛滥,全面防止拒绝服务攻击和服务溢出分布式攻击。
第12页
杭州海康威视系统技术有限公司
行业基线方案
智慧城市数据中心入侵防御系统功能要求如下:
1.坚固的入侵防御体系:完善的攻击特征库;漏洞机理分析技术,精确抵御黑客攻击、蠕虫、木马、后门;应用还原重组技术,抑制间谍软件、灰色软件、网络钓鱼的泛滥;网络异常分析技术,全面防止拒绝服务攻击;
2.动、静态检测功能:动态检测与静态检测融合,基于原理的检测方法与基于特征的检测方法并存;
3.网络防病毒技术:文件感染病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件,病毒库;病毒类型根据危害程度划分为:流行库、高危库、普通库;
4.防DoS攻击能力:有效抗拒绝服务攻击,阻断绝大多数的DoS攻击行为。
1.5.3 防火墙系统
防火墙是传输与网络安全中最基本、最常用的手段之一,防火墙可以实现数据中心内部、外部网络之间的逻辑隔离,达到有效的控制对网络访问的作用。防火墙可以做到网络间的单向访问需求,过滤一些不安全服务;防火墙可以针对协议、端号、时间、流量等条件实现安全的访问控制。防火墙具有很强的记录日志的功能.可以对不同通信网络所要求的策略来记录所有不安会的访问行为。
智慧城市数据中心防火墙系统功能要求如下:
1.攻击防范能力:能防御DoS/DDoS攻击(如CC、SYNflood、DNS Query Flood、SYNFlood、UDPFlood等)、ARP欺骗攻击、TCP报文标志位不合法攻击、LargeICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击,同时支持黑名单、MAC绑定、内容过滤等功能;
2.状态安全过滤:支持基础、扩展和基于接口的状态检测包过滤技术;支持应用层报文过滤协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对应用层协议的状态监控;
3.完善的访问控制特性:支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制;支持流量管理、连接数控制、IP+MAC绑定、用户认证等;
第13页
杭州海康威视系统技术有限公司
行业基线方案
4.应用层内容过滤:可以有效的识别网络中各种P2P模式的应用,并且对这些应用采取限流的控制措施,有效保护网络带宽;支持邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;支持网页过滤,提供HTTP URL和内容过滤;
5.NAT应用支持:提供多对
一、多对多、静态网段、双向转换、IP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT功能;
6.认证服务:支持本地用户、RADIUS、TACACS等认证方式。支持基于用户身份的管理,实现不同身份的用户拥有不同的命令执行权限,并且支持用户视图分级,对于不同级别的用户赋予不同的管理配置权限;
7.集中管理与审计:提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。
1.5.4 安全审计系统
安全审计系统是按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程。它是记录与审查用户操作计算机及网络系统活动的过程,是提高系统安全性的重要举措。
智慧城市数据中心安全审计系统功能要求如下:
1.敏感行为记录:支持用户可基于网络应用的具体情况,自定义敏感的网络访问行为数据特征,系统可以根据策略对于敏感事件实时记录、显示和阻断;
2.特定网络连接实时监视功能:支持用户通过会话监控功能对正在进行的连接会话内容进行实时监控,并支持手工阻断、自动阻断功能;
3.流量审计:支持对IP、TCP、UDP、ICMP、P2P等应用协议的流量监测,提供基于IP地址、用户组、应用协议类型、时间、端口等组合流量审计策略;可分析网络流量最大值、均值、总值、实时流量、TOPN等;
4.网络管理行为审计:支持TELNET、FTP访问审计,记录TELNET、FTP访问的时间、地址、账号、命令等信息;对违反审计策略的操作行为实时报警、记录;
5.互联网行为审计:支持对网页访问、论坛、即时通讯、在线视频、P2P
第14页
杭州海康威视系统技术有限公司
行业基线方案
下载、网络游戏、炒股、文件上传下载等行为进行全面监控管理;
6.HTTP协议审计:中英文URL数据库,超过十种分类,如不良言论、色情暴力等;可过滤非法不良网站,并支持用户添加自定义URL;支持针对URL、HTTP网页页面内容、HTTP搜索引擎的关键字过滤;
7.SMTP协议审计:支持SMTP、POP3、WEBMAIL等协议,支持基于邮箱地址、邮件主题、邮件内容、附件名的关键字审计策略;针对符合审计策略的事件,提供实时告警、阻断和信息还原;
8.FTP协议审计:支持基于IP地址、用户组、时间、命令关键字等组合审计策略,可记录源IP地址、目的IP地址、帐号、命令及上传下载文件名等;
9.数据库访问行为审计:支持对ORALCE、SQL SERVER、MY SQL、DB2、Sybase、Infomix等数据库,实时审计用户对数据库的所有操作(如创建、插入、删除等),精细还原操作命令,并及时告警响应;
10.Windows远程访问行为审计:支持对NETBIOS协议审计,记录具体时间、地址、具体操作等;
11.认证审计功能:支持在不修改原系统配置的情况下,对访问用户进行基于CA证书的强身份认证,并支持统基于授权认证按访问者的身份进行为审计;
12.通讯加密:与安全中心间的通信采用强加密传输告警日志与控制命令,避免可能存在的嗅探行为,实现了数据传输的安全。
1.5.5 漏洞扫描系统
通过部署漏洞扫描系统,可以对数据中心主机服务器系统(LINUX、数据库、UNIX、WINDOWS)、交换机、路由器、防火墙、入侵防御、安全审计、边界接入平台等等设备,实现不同内容、不同级别、不同程度、不同层次的扫描。对扫描结果,可以报表和图形的方式进行分析。实现了隐患扫描、安全评估、脆弱性分析和解决方案。
智慧城市数据中心漏洞扫描系统功能要求如下:
1.能够对网络(安全)设备、主机系统和应用服务的漏洞进行扫描,指出有关网络的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测
第15页
杭州海康威视系统技术有限公司
行业基线方案
到的网络安全隐患给出相应的修补措施和安全建议;
2.漏洞管理功能
漏洞管理的循环过程划分为漏洞预警、漏洞分析、漏洞修复、漏洞审计四个阶段。
漏洞预警:最新的高风险漏洞信息公布之际,在第一时间通过邮件或者电话的方式向用户进行通告,并且提供相应的预防措施;
漏洞分析:对网络中的资产进行自动发现,并且按照资产重要性进行分类。再采用业界权威的风险评估模型对资产的风险进行评估;
漏洞修复:提供可操作性很强的漏洞修复方案,同时提供二次开发接口给第三方的补丁管理产品进行联动,方便用户及时高效地对漏洞进行修复;
漏洞审计:通过发送邮件通知的方式督促相应的安全管理人员对漏洞进行修复,同时启动定时扫描任务对漏洞进行审计。
3.安全管理功能
系统将所发现的隐患和漏洞依照风险等级进行分类,向用户发出不同的警告提示,提交风险评估报告,并给出详细的解决办法;
系统对可扫描的IP地址进行了严格地限定,有效地防止系统被滥用和盗用;
扫描数据结果与升级包文件采用专用的算法加密,实现扫描漏洞信息的保密性,升级数据包的合法来源性;
系统具有定时扫描功能,用户可以定制扫描时间,从而实现自动化扫描,生成报表。
4.策略管理功能
系统可定义丰富的扫描策略,包括完全扫描、LINUX、数据库、UNIX、WINDOWS、不含拒绝服务、网络设备、路由器、防火墙、20大常见漏洞等内置策略。实现不同内容、不同级别、不同程度、不同层次的扫描;
系统针对不同用户的需求,可定义扫描(端口)范围、扫描使用的参数集、扫描并发主机数等具体扫描选项,对扫描策略进行合理的组合,更快、更有效地帮助不同用户构建自己专用的安全策略。
第16页
杭州海康威视系统技术有限公司
行业基线方案
1.5.6 网络防病毒系统
在数据中心核心交换上部署一台网络防毒服务器对全网制定完善的防病毒策略,实施统一的防病毒策略,使分布在数据中心每台计算机上的防病毒系统实施相同的防病毒策略,全网达到统一的病毒防护强度。同时防毒服务器实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息,根据管理员控制台的设置,实现对整个防护系统的自动控制。
智慧城市数据中心网络防病毒系统功能要求如下:
1.病毒防范和查杀能力:开启实时监控后能完全预防已知病毒的危害;可防范、检测并清除隐藏于电子邮件、公共文件夹及数据库中的计算机病毒、恶性程序、病毒邮件;能有效预防、查杀映像劫持类型的病毒;可以防范网页中的恶意代码;压缩文件、打包文件查杀毒(在不加密的情况下,不限层数);内存查杀毒、运行文件查杀毒、引导区查杀毒;支持图片、视频等多媒体文件的查杀毒;邮件接收、发送检测;邮件文件静态检测、杀毒;同时支持Foxmail、Outlook、OutlookExpress、Notes和Mozilla等常见客户端邮件系统的防(杀)病毒;能够有效查杀各类Office文档中的宏病毒 支持共享文件的病毒查杀;具有未知病毒检测、清除能力;
2.升级管理
依据策略,全网统一自动升级,不需要人为干涉;
增量升级(包括系统中心从网站升级,客户端从系统中心升级,下级中心;从上级中心升级),以减少升级时带来的网络流量;可设置升级周期和升;级时间范围,实现及时升级并避免升级时占用网络带宽影响用户正常业务的通讯;
在与Internet隔离的内部网络中,提供多种升级方式,包括:自动在线升级、手动升级、下载离线升级包升级等。3.集中管理
支持多级系统中心,并能够对每级系统中心及所属客户端进行统一升级,统一管理;支持多个管理员分组管理;允许管理员通过单一控制台,集中地实现所有节点上防毒软件的监控、配置、查询等管理工作,包括Unix、Linux系统上的第17页
杭州海康威视系统技术有限公司
行业基线方案
防(杀)病毒软件;控制台可跨网段管理,管理不依赖网络拓扑结构。
1.5.7 PKI/CA身份认证平台
PKI/CA 身份认证平台通过发放和维护数字证书来建立一套信任网络,在同一信任网络中的用户通过申请到的数字证书来完成身份认证和安全处理。PKI 从技术上解决了网络通信安全的种种障碍,CA 从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。
智慧城市数据中心PKI/CA身份认证平台功能要求如下:
1.5.7.1 CA系统
1.证书管理:包括证书申请、证书下载、证书更新、证书注销、证书冻结、证书解冻、证书查询、证书归档;
2.模板管理:包括通用证书模板、签名证书模板、加密证书模板、设备证书模板、SSL服务器证书模块等,当国家/国际标准表扩展域无法满足模板要求时,可以使用自定义扩展域OID + 编码方式 + VALUE自定义模板;
3.审计管理;包括业务审计、日志审计等功能,并且支持日志防篡改; 4.支持总CRL、分CRL、增量CRL、支持CRL重叠期,可以根据模板指定CRL发布点;
5.系统支持SM2算法及RSA算法。
1.5.7.2 RA系统
1.证书管理;包括证书申请、证书下载、证书查询、证书更新、证书冻结、证书解冻、证书注销、批量申请证书、批量证书审核、批量下载证书;支持批量发送自动过期证书通知,管理员可以定时自动获取系统内将过期证书通知;
2.用户管理;包括用户组管理、添加用户、修改用户、删除用户、冻结用户、解冻用户、注销用户;
3.机构管理;包括机构信息管理、添加机构、修改机构、删除机构、导出机构、导入机构;
第18页
杭州海康威视系统技术有限公司
行业基线方案
4.权限管理;包括业务录入员、审核员、制证员、人事录入员、审核员、审计管理员;
5.审计管理;包括业务审计、日志审计等功能,并且支持日志防篡改; 6.用户自主服务;包括自主下载证书、自主更新证书、下载根证书、下载CRL;支持灵活控制的自主服务模式和可扩展的用户身份验证模式;
7.支持直接下载用户申请成功的证书,并制作到用户证书载体中,证书载体包括:软盘、USB Key和IC卡等。
1.5.7.3 KMC系统
KMC系统主要负责对用户加密密钥的产生、存储、分发、查询、注销、归档及恢复整个生命流程实施管理;密钥管理中心的功能从整体上来分,主要分为密钥管理、管理中心结构管理、授权管理、密钥恢复、审计管理功能。
1.5.7.4 目录服务系统
1.查询功能; 2.更新功能; 3.复制功能; 4.引用功能。
1.5.7.5 用户属性管理系统
1.用户身份管理; 2.用户属性管理;
3.下级平台用户自主管理及证书申请、下载服务; 4.查询服务; 5.同步服务。
1.5.7.6 身份认证网关
1.支持证书身份认证
第19页
杭州海康威视系统技术有限公司
行业基线方案
身份认证网关支持PKI/CA数字证书认证,包括:用户数字证书完整性验证、CRL更新、OCSP证书校验、支持多级CA颁发的证书、支持单双向认证选择、支持旁路认证及主路认证多种方式;
2.支持b/s和c/s应用;
3.支持数据加密及数据完整性保护
提供对敏感数据进行加密,实现敏感数据保密,不被窃取;对重要业务流程或敏感数据进行数字签名,签名结果作为依据,实现网络行为不被否认;
4.支持访问控制
支持应用维护功能可以配置系统用户,控制通过验证的用户是否可以访问应用系统;
5.支持单点登录
支持多个应用系统之间的单点登录,即一次登录,多次使用。用户通过网关认证后,系统认证平台通过Cookie机制维护该用户的会话信息,用户登录应用系统时,无需再次认证。极大的简化了用户登录应用系统的步骤,使应用更加流畅;
6.安全审计及监控
对访问网关的用户行为进行详细记录,并且对记录的审查作权限控制,有效地实现了责任认定和系统使用情况分析。
对专网整个认证中心建设中各种PKI/CA设备、系统、服务进行有效的集中监控与管理,解决PKI体系庞大带来的难维护、难管理等问题;对证书的发放以及应用访问的审计。
1.5.8 接入认证系统
接入认证系统实现了基于802.1X的用户名和密码的身份认证,并且采用用户名与接入终端的MAC地址、IP地址、VLAN、接入设备端口号等信息进行绑定的方式,来保证数据中心设备接入安全。
智慧城市数据中心接入认证系统功能要求如下:
1.可支持基于用户名和密码的身份认证,并且支持用户名与接入终端的MAC地址、IP地址、VLAN、接入设备端口号等信息进行绑定;
第20页
杭州海康威视系统技术有限公司
行业基线方案
2.针对用户终端进行系统状态安全检查,包括应用软件的安装及使用、病毒库版本更新、终端补丁检查、非法外联等,并且支持对瑞星、江民、金山、趋势科技、McAfee、Symentec、Ahn、北信源、CA Kill、卡巴斯基、NOD32等厂商的防病毒软件的检测和联动;
3.在用户终端通过安全检查后,可以基于用户的权限,向安全联动组件下发事先配置的ACL策略,实现分级分权限的细粒度用户网络行为管理;
4.通过对USB进行监控方式,避免重要文件通过移动存储设备进行非法拷贝,有效的避免了机密文件的泄露;
5.支持802.1X用户身份认证,可与主流厂商的交换机实现安全联动,强制检查用户的安全状态,如果不符合要求则无法接入企业内网或只能访问隔离区资源,进一步保护企业内网的安全。
1.5.9 安全管理平台
安全管理平台的目标是要确保全局的掌控,确保整个体系的完整性,而不仅限于局部系统的完整性;对于安全问题、事件的检测要能够汇总和综合到中央监控体系,确保整个体系的可追究性。
SOC系统是信息安全保障系统的核心,主要体现在对视频专网全局掌控、预警能力和应急响应处理能力。全局预警就是要建立全局性的安全状况收集系统,对于新的安全漏洞和攻击方法的及时了解,针对体系内局部发生的安全入侵等事件进行响应。SOC充分利用所掌握的空间、时间、知识、能力等资源优势,形成全局性的资源协调体系,为系统的全局可控性提供有力的保障。SOC在设备管理和安全事件管理方面外,应该对公安行业的制度和工作方式在视频业务流程中得以体现,主要表现为工作流的驱动,工单的管理,以及处理结果的反馈。
第21页
杭州海康威视系统技术有限公司
第三篇:浦东数据中心-信息安全管理协议书
信息安全管理协议书
本单位(或本人)__________________________郑重承诺:本单位(或本人)在上海科择信息科技有限
公司托管的服务器或网站所从事的业务严格遵守法律、法规、规章及政府部门、行业协会、行业组织的相关
规定(包括但不限于:信部电[2005]501号《互联网站管理工作细则》、国务院292号令《互联网信息服务管理
办法》),不从事任何违反法规的行为,不在互联网上散布谣言、发布扰乱社会秩序的信息、不发布组织或实
施过激行为的信息、对所属的网站加强监管,发现违法的相关内容及时进行制止和清理,及时做好网站备案工
作。
上海科择信息科技有限公司有权对本单位(或本人)的网站备案和信息内容进行监管,有权在发现本公 司(或本人)托管的服务器或网站上存在备案问题或非法信息问题时,关停网站或服务器;若因本公司(或本 人)监管不力,未及时进行网站备案或由于服务器上存在非法网站、非法信息导致的一切后果(包括但不限于 经济责任、行政责任、法律责任等)由本公司(或本人)自行承担,与上海科择信息科技有限公司无关。
特此承诺!
用户名称:(签名或盖章)
日期:年月日
第四篇:有关信息安全保密的国家法规
一 有关信息安全保密的国家法规
1. 中华人民共和国宪法; 2. 中华人民共和国刑法; 3. 中华人民共和国国家安全法; 4. 中华人民共和国国家法实施细则; 5. 中华人民共和国保守国家秘密法; 6. 中华人民共和国保守国家秘密法实施细则;
第五篇:数据中心机房安全管理制度
数据中心机房安全管理制度
计算机数据中心机房是保证医院信息系统正常运行的重要场所。为保证机房设备与信息的安全,保障机房有良好的运行环境和工作秩序,特制定本制度。
1、保证中心机房环境安全:
每天查看中心机房的温度和湿度,并记录;每天聋看UPS日志并记录,不得在中心机房附近添置强震动、强噪声、强磁场的设备,定期检查计算机设备使用电源安全接地情况。
2、实行中心机房准入管理:
中心机房配备门禁止系统,计算机中心工作人员进入需持个人的专用卡刷卡进入。外来人员需得到计算机中心负责人同意,并在相关计算机中心工作人员陪同下方可进入.并作记录。
3、中心服务器操作系统安全管理:
系统管理员单独管理系统用户密码,并定期更换密码;离开服务器时技术锁定机器。第三方需要登陆服务器时,需在计算机中心工作人员全程陪同下进行操作,工作完毕后更换密码。系统管理员每天查看系统日志,检查关键目录是否有异常。操作系统版本升级应得到计算机中心负责人同意,并做好记录。更改系统配置后应及时进行备份,并做好相关文档存档。
4、中心数据库系统安全管理:
数据库管理员每天查看数据库的备份,并及时汇报异常。数据库系统参数调整、版本升级应得到计算机中心负责人同意.并做好记录。
5、中心交换机安全管理:
网络管理员每天查看中心交换机使用情况.并做好记录。确保备用交换机状态正常,备用链路完整。
镇江中西医结合医院计算机中心
计算机中心管理制度
1、计算机中心是受院长直接领导的、兼具管理职能的技术科室.基本职能是负责医院信息化建设的规划、实施、运行、维护和管理。
2、医院信息化建设的核心内容是医院信息系统建设。医院信化建设适应坚持以需求为导向、以应用促发展,注重经济实效、技术上适度超前的基本原则,遵循规划充分论证、分步实施、试点运行、阶段见效、持续发展的实施策略。
3、在医院信息系统的建设过程中,必须坚持以全院大局为优先考虑,在院长的授权下完成信息资源的平衡调配,避免形成信息孤岛,并确保与信息系统相关任务及时、准确、完整的执行和完成。
4、为保证医院信息化建设的顺畅进行,计算机中心争取院方提供必要的支持条件。包括充足的专业技术人员配备;符合国家及行业相关标准的信息处理设备运行环境和办公空间;以及满足医院信息化发展需要的预算资金。
5、计算机中心有贯彻执行国家和卫生行政管理部门发布的有关信息化的法律、法规、标准、政策、条例、规程和办法的责任。
6、参照国家和卫生行业的相关标准和规范,结合医院的实际情况,制定相应的管理制度和操作规程并贯彻执行。
7、确立为医院医疗、教学、科研和管理服务的意识,参照信息技术治理的理念和方法,推动信息管理和服务的规范化。
8、信息工程的立项、审批、实施、验收应按照相关规定履行招标、论证手续.并接受财务和审计部门的监督。
9、加强以医学信息学为基础的专业学科建设.强化对信息中心工作人员的相关专业技术培训,提高其分析,解决、处理问题的水平和能力,以为临床和管理部门提供及时、优质的信息服务。
镇江中西医结合医院计算机中心
计算机中心工作制度
1、遵守国家有关法律规定,遵守医院内各项规章制度,严格履行科室岗位职责。
2、严格遵守和执行医院局域网管理规定,干得向他人泄露自己掌握内部管理密码和管理方法保障网络安全。
3、监督并定期检查医院信息网络系统的各项工作.加强网络设备的维护.监控网络运转,保证数据畅通运行,做好数据备份。
4、做好数据统计查询工作,确保信息的准确性,充分发挥信息作用,向业务科室提供信息反馈资料,为决策提供依据。
5、严格遵守科内有关规定,不得私自操作服务器、前置机和交换机等设备.以免影响网络正常工作。
6、不得在办公区随意接待无关人员.重大情况及时通报。
7、做好信息的保密工作.不得随意向无关人员提供各种信息(经济、医疗及其他)。做好充足的准备,随时应对网络的突发事件。
镇江中西医结合医院计算机中心
点击咨询 