互联网药品信息网络与信息安全保障措施

网络与信息安全保障措施网络与信息的安全不仅关系到公司网站正常业务的开展，还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作，通过检查进一步明确安全责任，建立健全的管理制度，落实技术防范措施，保证必要的经费和条件，对有毒有害的信息进行过滤、对用户信息进行保密，确保网络与信息安全。I、计算机信息网络安全防范策略（一） 物理安全策略公司建立安全管理制度：对计算机系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施进行每周定期检查制度；电脑管理实行专人负责制，未经负责人许可任何人不得随意使用；对公司内部服务器、网络设备及办公设备的管理由技术部专人负责维护；对公司的办公场所的安全配合软件园二期物业的安保管理制度；同时对办公场所及机房的安全防盗设施（如门窗锁具），安排人员每天下班前轮流检查确认制度。以上措施目的是保护公司计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、及防止非法进入计算机控制室和各种偷窃、人为破坏活动的发生。（二） 网络系统登陆的安全策略由于各个部门的有关人员均在使用信息系统，所以对网络进行设置工作组，每个工作组有一定的权限，组下的每个用户又有一定的权限，每一级均设置密码。这样每个用户只能在自己的权限范围内登陆到某个数据库或数个数据库，并拥有指定的查询、编辑、删除资料等不同的权限。（三）访问控制策略访问控制是网络安全防范和保护的主要策略，任务是保证网络资源不被非法使用和非常访问。也是维护网络系统安全、保护网络资源的重要手段，可以说是保证网络安全最重要的核心策略之一。具体措施如下：1、 入网访问控制。入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制，公司采取如下三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。2、网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。我们根据访问权限将用户分为以下几类：①特殊用户（即系统管理员）；②一般用户，系统管理员根据他们的实际需要为他们分配操作权限；③审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限采用如下控制手段：A、 目录级安全控制。网络可允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的操作权限。网络系统管理员针对用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问，从而加强了网络和服务器的安全性。B、 网络服务器安全控制。网络管理员对服务器的安全控制通过设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；设定服务器登录时间限制非法访问者检测和关闭的时间。管理员对服务器有所有权限；普通用户对服务器只有访问权限。C、 网络监测和锁定控制。网络管理员对网络实施监控，设置服务器应记录用户对网络资源的访问，对非法的网络访问，服务器会以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该账户将被自动锁定。D、 网络端口和节点的安全控制。对网络中服务器的端口进行控制。SQL服务器开放1433端口及相应的服务端口FTP服务器开放21端口及相应的服务端口WEB服务器开放80端口及相应的服务端口通过设置用户组，达到不同的访问控制权限。E、 防火墙控制。防火墙是网络安全的屏障，配置防火墙是实现网络安全最基本、最经济最有效的安全措施之一。我司现使用软件防火墙设置，通过对软件防火墙的安全方案配置，将所有安全软件（如口令、加密、身份认证）配置在防火墙上。其次对网络存取和访问进行监控。所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。设置Windows自带防火墙、安全策略等（四）公司内网安全管理策略公司对内部网络使用的IP地址资源实行统一管理、统一分配。对于盗用IP资源的用户依据公司管理制度严肃处理。II、安全组织体系建立以公司总经理为网络安全负责的第一责任人的网络信息安全小组。组织结构如下：1、组长职责：①、根据国家有关法规政策，全面落实本公司的网络安全保护工作，确保网络运行安全。②、在公安机关及信息监察部门的指导、监督下进行信息网络安全检查和宣传工作。③、向公安机关报告有关在本公司的发生的重大安全事故及违法犯罪案件，并协助公安机关做好现场保护和取证工作。④有关危害计算机的信息网络安全病毒、黑客等方面信息及时向公安机关报告。⑤与信息网络安全的其他管理工作。2、 副组长职责：①、协助安全组长推行和监督本公司的网络安全管理制度。、不定期对公司网络安全进行测试。③、对发生重大安全事故，及时进行现场处理解决。④、在安全组长不在公司时，负责本公司的安全管理工作。⑤、向安全组长报告安全事故。3、 专职安全负责人职责：①、全面执行公司的网络安全管理规定。②、每天对公司的网络进行时时监控管理。③定期检查公司网络设备与环境的安全性。④对发生病毒入侵或黑客攻击时，及时进行处理，并同时向副组长报告突发事件。⑤负责重大安全事故的调查工作。III、公司网络安全管理制度为加强公司网络系统的安全管理，防止因偶发性事件、网络病毒等造成系统故障，妨碍正常的工作秩序，特制定本管理办法。一、 网络系统的安全运行，是我公司网络信息安全的一个重要内容，公司安排专人负责全公司网络系统的安全运行工作。并不定期对公司员工进行网络安全培训，以提高员工的网络安全防范意识。二、 网络系统的安全运行包括三个方面的内容：①是网络系统数据资源的安全保护，②是网络硬件设备及机房环境的安全运行，③是网络病毒的防治管理，④是上网信息安全及电子邮件。1、数据资源的安全保护。网络系统中存贮的各种数据信息，是供调用和管理所必须的重要数据，数据资源的破坏将严重影响系统工作的正常运行。数据资源安全保护的主要手段是数据备份，规定如下：、网络应用重要部门的数据必须做到每日一备份。、网络系统的重要数据及时备份。、一般使用部门做到每周一备份。、系统软件和各种应用软件采用移动硬盘或光盘及时备份。、数据备份时必须登记以备检查，数据备份必须正确、可靠。、严格管理网络用户权限及入网用户名及口令管理。2、硬件设备及机房环境的安全运行、硬件设备的供电电源必须保证电压及频率质量，公司同时配有不间断供电(UPS)电源，避免因市电不稳定造成硬件设备损坏。、进行安装有保护接地线，保证接地电阻符合技术要求，避免因接地安装不良损坏设备。、设备的检修或维护、要求操作必须严格按要求执行，杜绝因人为因素破坏硬件设备。、公司机房配有防盗锁具及防火措施。、同时保证网络运行环境的清洁，避免因集灰尘影响设备正常运行。3、 网络病毒的防治、公司服务器安装防病毒软件，同时对内部网络每台电脑加装防病毒软件。、定期对网络系统进行病毒检查及清理。、所有存储设备须检查确认无病毒后，方能上机使用。、严格控制交换存储设备和外来存储设备的使用，各部门使用外来存储设备须经检验认可，私自使用造成病毒侵害要追究当事人责任。、加强员工的职业道德教育，严禁使用游戏盘，在网络上玩游戏者一经发现将严肃处理。4、 上网信息安全及电子邮件、网络管理员必须定期对上网信息进行检查，发现有关泄漏企业机密及反动言论与不健康信息要及时删除，随时上报、并记录。、所有上网人员如收到反动邮件有责任及时上报网络安全负责人，如不上报，一经发现，公司将视情节轻重，做相应处罚。、对信息发布实行先审后发的信息审查发布管理机制；建立公共信息内容自动过滤系统和人工监控手段；对违法、不良信息进行有效过滤。三、严格执行国家相关法律法规，防止发生窃密、泄密事件。外来人员未经单位主管领导批准同意，任何人不得私自让外来人员使用我公司的网络系统作任何用途。四、各部门要加强对网络安全的管理、检查、监督，一旦发现问题及时上报公司负责人。公司计算机安全负责人分析并指导有关部门作好善后处理，对造成事故的责任人要依据情节给予必要的经济及行政处理。五、未经公司负责人批准,联结在公司网络上的所有用户,严禁再通过其它入口上以太网或公司外部单位网络.IV、网络安全技术手段为了能够安全地开展信息服务，必须在以下层次中采取不同的安全技术来保证系统的安全性。1、网络层安全技术通过安装软件防火墙达到以下作用：①访问控制。可以监测数据包的内容并控制连接的类型、地址、协议和端口号，并且可以根据防火墙的规则允许或拒绝该网络上的数据包。②审计功能。利用审计和日志记录，可以提前发现不安全的迹象，这对于维护网络安全十分重要；它可以记录入侵尝试者的地址，对于入侵防御和加固防火墙是十分有用的。③地址翻译。防火墙的地址翻译功能使得外部网络用户不能了解内部网络的结构，这大大降低了非法入侵的可能性。另外，网络地址翻译为内部网络中具有无效IP的主机提供了访问互联网的功能。2．应用层安全技术身份鉴别机制：通过对用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。访问控制机制：在安全系统中建立安全等级标签，只允许符合安全等级的用户进行访问。同时，对用户进行分级授权，每个用户只能在授权范围内进行操作，从而实现了对资源的访问控制。数据加密机制：采用系统自带SSL加密传输的方式，用户登录并通过身份验证以后，用户和服务方之间在网络上传输的所有数据全部用加密钥加密，直到用户退出系统为止。而且，每次所使用的加密密钥都是随机产生的，这样攻击者就不可能从数据流中得到任何有用的信息。系统层安全技术加装计算机防毒软件：通过防毒软件，可以隔离及清楚计算机上的病毒，减少在内部网络传播的概率和破坏性。利用系统UPDATE程序：自动链接到微软网站进行漏洞补丁更新，增强系统防御病毒能力，保障计算机网络系统的安全性。V、发布信息内容审核制度一、认真执行信息发布审核管理工作，杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。二、对在本公司网站发布信息的信源单位提供的信息进行认真检查，不得有危害国家安全、泄露国家秘密，侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。三、一旦在本公司网站发现用户制作、复制、查阅和传播下列信息的：煽动抗拒、破坏宪法和法律、行政法规实施；煽动颠覆国家政权，推翻社会主义制度；煽动分裂国家、破坏国家统一；煽动民族仇恨、民族歧视、破坏民族团结；捏造或者歪曲事实、散布谣言，扰乱社会秩序；宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪；公然侮辱他人或者捏造事实诽谤他人；损害国家机关信誉；其他违反宪法和法律、行政法规；按照国家有关规定，本网络中将删除含有上述内容的地址、目录，并保留原始记录，在二十四小时之内向当地公安机关报告。VI、有害信息处理机制一、发现处理机制公司全体员工对于本司网络，均有责任和义务监督、发现、报告、处理本机互联网信息系统的有害信息。发现有害信息时的处置程序如下：及时取证：包括信息全部内容及有关来源网址的信息。及时报告：应在发现后24小时内向公司网络安全小组成员报告情况，并保护现场及相关资料，条件许可的应停机等候处理。消除有害信息：在自己技术许可条件下，应及时清除所发现的有害信息，以免进一步传播。二、投诉受理处置机制网站建立客服服务投诉电话，电话号码为：0592-*******。客服人员在接到投诉电话时，同时进行通话内容简要记录，对于网上的投诉留言及邮件、QQ交谈形式的投诉，以及有关部门转送的投诉事项，客服人员一并进行登记取证，按照投诉内容，分类落实到各部门相关负责人进行处置。各部门负责人在接到投诉后，应当对投诉的事实立即进行核实处置。对投诉事项的处置情况，有关部门负责人，应在规定时间内回复客服部人员，客服部人员视情进行核查。如投诉人留有联系方式，须将处置结果告知投诉人。对整改不力、网民用户仍未息诉的投诉事项，客服部将进入督办程序，责令限期整改。对造成不良公司形象影响，情节严重的，对责任人实施严格问责。对投诉事项的处理情况，客服部将每月进行一次通报。VII、信息安全保密管理制度1、 我公司建立了健全的信息安全保密管理制度，实现信息安全保密责任制，切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责、”“谁主办、谁负责”的原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法，确保使用网络和提供信息服务的安全。2、 网站信息内容更新全部由网站工作人员完成。网站所有信息发布之前都经分管领导审核批准。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站平台散布《互联网信息服务管理办法》等相关法律法规明令禁止的信息（即“九不准）”，一经发现，立即删除。3、 遵守对网站服务信息监视，保存、清除和备份的制度。开展对网络有害信息的清理整治工作，对违法犯罪案件，报告并协助公安机关查处。4、 所有信息都及时做备份。按照国家有关规定，网站将保存60天内系统运行日志和用户使用日志记录，信息服务系统将保存5个月以内的系统及用户收发信息记录。5、 制定并遵守安全教育和培训制度。加大宣传教育力度，增强用户网络安全意识，自觉遵守互联网管