发挥政府采购保护信息安全作用的政策建
议1
国家信息中心助理研究员吕汉阳
国家信息中心副研究员吕欣
“棱镜门”事件让我们震惊的同时,使我们认识到我国信息安全存在着巨大风险,其中我国政府、国企和金融机构大量采购国外信息类产品是重要隐患之一。信息类产品采购是政府采购的重点实施领域之一,如何通过政府采购手段加强对信息类产品采购的管理,保护国家信息安全,确保我国信息网络安全可控,已成为亟待研究和解决的问题。
一、我国政府大量采购国外信息类产品致使国家信息安全存在严重隐患
据统计,在京中央国家机关各单位政府采购具有自主知识产权的软件产品仅占通用软件产品采购总金额的10%。其中,数据库及中间件软件为国外产品所垄断,操作系统和办公软件95%为美国微软公司的产品。各部门采购的大中型主机、高端服务器基本被美国IBM、HP和SUN公司的产品所垄断,路由器、交换机等网络设备,国外产品也占据了50%以
1本文得到国家社会科学基金重大项目《网络空间的国家安全战略研究》的资助,项目编号:11&ZD061。
上的市场份额。
目前,我国政府部门的信息安全防护主要通过加装防火墙、入侵监测设备等网络安全防护产品来实现。这些技术手段可以在很大程度上保护计算机信息系统免受病毒、黑客的攻击、破坏和窃密,但却无法防护国外产品中预留的“安全漏洞”和“后门”程序。这使外国政府在战争等非常状况下对我国的政务办公网络实施瘫痪性打击成为可能。而且,国外企业及外资控股企业通过销售产品,直接参与产品的售后服务,可以轻易掌握政府用户的信息以及政务网络的运行状况;在用户保密意识不强的时候,涉及国家安全的信息、核心数据等都有可能会遭到窃取。某中央单位就曾经出现过因维修台式计算机致使硬盘上存储的机密文件泄漏以及复印机存储器中的保密文件被复制的事件。可见,我国政府信息安全的长城建立由国外产品组成,政府的许多核心信息数据处于“无防护的暴露状态”。
二、我国信息产品和服务的采购制度不完善
我国于2003年正式颁布实施了《政府采购法》,第十条明确规定,政府采购应当采购本国货物、工程和服务。由于信息安全产品和服务在国家经济社会中的特殊重要性,我国对信息安全产品政府采购进行了相关规定。2009年国家质检总局印发了《关于调整信息安全产品强制性认证实施要求的公告》,要求8类13种信息安全产品进入政府采购前必须实行强制性认证。2010年财政部、工信部、国家质检总局、国家认监委等多个部委联合发布了《关于信息安全产品实施政
府采购的通知》,要求供应商必须具备中国信息安全认证中心按国家标准认证颁发的有效认证证书。但是我国信息产品和服务的采购仍然存在以下问题:
(一)“国货”认定缺乏标准
我国《政府采购法》第十条要求“政府采购应当采购本国货物、工程和服务”,其中“国货”界定依照国务院规定执行。目前,相关法规仍处于起草修改阶段。国务院法制办于2010年1月11日公布的《政府采购法实施条例(征求意见稿)》中对“本国货物”的规定是“在中国境内生产,且国内生产成本超过一定比例的最终产品”,仅通过产品成本组成界定,未涉及技术要求。2010年5月21日,财政部、商务部、发展改革委、海关总署联合起草了《政府采购本国产品管理办法(征求意见稿)》,延续了《政府采购法实施条例(征求意见稿)》的内容,并明确规定“本办法所称本国产品是指在中国关境内生产,且国内生产成本比例超过50%的最终产品。”从已出台的法律法规来看,我国最基本的国货标准还没有形成,对国货的界定还处于无法可依的阶段。
(二)强制性要求执行力度不够
由于信息安全产品和服务在国家经济社会中的特殊重要性,我国对信息安全产品政府采购进行了相关规定。2009年国家质检总局印发了《关于调整信息安全产品强制性认证实施要求的公告》,要求8类13种信息安全产品进入政府采购前必须实行强制性认证。2010年财政部等多个部委联合发布了《关于信息安全产品实施政府采购的通知》,要求供应
商必须具备中国信息安全认证中心按国家标准认证颁发的有效认证证书。但有关采访显示,在实际招标文件中有些并未要求获得信息安全强制性认证资格。造成上述问题的原因一是管理不完善,二是缺乏可操作的执行标准,同时缺少权威的信息安全产品和服务采购要求和采购目录也是一个重要原因。
(三)国家基础网络和重要信息系统的信息安全产品和服务采购没有制度支持
由于我国《政府采购法》只适用于国家机关、事业单位和人民团体,对国有企业不适用。而作为信息安全产品和服务采购大户的基础网络和重要信息系统运营单位主要为国有企业或国有金融机构,因此目前其采购行为属于企业行为,不受政府采购法律的管辖,无需购买国货和强制认证。这就导致事关国家安全和国计民生的基础网络和重要信息系统采购信息安全产品和服务时主要由企业自行决定,大量采购国外或外资控股企业提供的产品和服务,安全隐患十分突出。
三、国外政府采购成为保护国家信息安全的重要手段
2006年3月,美国国务院经招标确定采购联想集团价值约1300万美元1.6万多台计算机设备。美中经济安全调查委员会以“使用联想计算机会对美国国家安全产生灾难性后果”为由,提出强烈反对,并将意见提交于国会。最后美国政府调整了原来的采购计划,在联想与美国国土安全部签订的安全协定上又多加了限制条件,要求联想在参与美国的政
府采购时,不得以任何形式索取、接受、维护、鉴别有关美国政府定购电脑产品的用户信息,同时还宣布将会修改政府采购流程。由此,联想必须通过美国政府认可的本地第三方公司代理而不能直接向美国政府部门提供产品及售后服务,同时必须无条件接受美国安全部门对其信息系统使用情况的检查。另外,联想必须通过美国政府认可的本国公司提供产品售后服务,而不能直接进行产品售后服务。通过这些举措,完全排除了联想直接接触美国的重要机构及其系统的可能性,甚至连哪些部门购买了其计算机设备都无从知晓。
IBM的台式计算机曾一直是日本防卫厅采购目录的“注册厂商”,也曾经是日本防卫厅重要的计算机设备提供者。但IBM的台式计算机部门被联想收购后,日本防卫厅在2006年4月,以防止“中国制造”的台式计算机“渗透”而造成“泄密”为理由,拒绝接受联想生产的IBM品牌台式计算机,从此联想彻底无缘日本防卫厅电脑采购招标。
可见,美国及日本政府通过政府采购的手段,对非本国货物设臵严格的市场准入限制,来维护本国的信息安全和经济利益。2013年3月26日,奥巴马签署了一项新开支法案中,包含一条禁止美国政府机构购买与中国政府有关公司信息技术的条款。这项法案规定,有关机构考虑购买IT系统时须向执法机关咨询“网络间谍或破坏”风险,必须包括中国“所有、领导或补贴的一个或多个实体生产、制造、装配IT系统的任何风险”评估。
四、发挥政府采购政策功能、保护国家信息安全的政策建议
(一)建议成立由公安部、安全部、财政部、工业与信息化部、国管局、国家保密局等部门参加的中央国家机关信息安全保护协调工作小组。按照政令统一、权责一致、运转协调的原则,健全科学、协调、高效的政府集中采购工作机制,形成国家信息安全保护的整体合力。定期召开会议,统一协调中央国家机关的信息安全保护工作;统一梳理相关政策法规,使相关政策规定能够协调统一,以便于各部门执行。
(二)设立国家级数据中心,统一管理各部门信息化建设。按照“统筹规划、统一建设和集中维护”的思路,成立国家级数据中心,集中管理中央单位的信息化建设。先期可仿照国外的先进经验,建设统一的中心数据机房和容灾备份中心,进行各单位数据业务的托管。这样各单位就不必再各自为政的建设信息机房,重复购臵硬件设备,以及付出大量的日常维护成本,大大降低政府在信息化建设中的运行成本。同时,软件系统应用与设备日常维护管理的分离还有利于破除原使用单位选择设备时的品牌倾向性;设备的统一采购也有利于管理部门统筹规划,选用基于通用平台的硬件设备,破除高端设备领域国外产品的垄断、对具有自主知识产权的产品进行扶持采购,从而进一步发挥政府采购的政策性功能。
(三)针对政府部门,强化对国产信息类产品的采购执行力度。要在不违背WTO的前提下进行政策设计,明确“本国货物”的认定标准及量化指标,建立信息安全标准化体系
和政府信息类产品采购指南;强制要求各部门在本国货物能够满足应用需求时,必须采购本国货物并优先采购目录内的产品;因技术原因确需采购非本国货物时,必须按照有关规定报相关部门审批,同时该产品也必须通过国家的信息安全检测认证,并以此为对价,要求国外厂商开放涉及信息安全的关键技术。
(四)针对特殊行业的企业采购设立专门制度规范。对于涉及国计民生、国家安全和社会稳定的行业,如石油、电力、军工和金融等,其信息产品采购行为不能与一般的企业采购所等同。应借鉴政府采购法律有关规定和程序要求,设立专门制度,加强对特殊行业企业采购的管理。
(五)对国外企业及外资控股企业参与信息类产品的政府采购设定更为严格的准入措施。对外资控股企业的售后服务必须通过中国第三方非外资控股企业代理进行,禁止国外企业及外资控股企业直接为政府部门服务。
(六)加强采购招标程序管理。一是继续坚持公开招标项目技术指标公开征求意见或专家论证会制度,除论证招标技术需求的合理性,力求最大限度地鼓励充分竞争外,还要将信息安全的评估列入论证范围。二是要求各部门在本国货物能够满足应用需求时,必须采购本国货物并优先采购自主创新产品;因技术原因确需采购非本国货物时,必须提供政府采购管理部门的审批文件,同时在招标文件中明确:非本国货物只有通过国家信息安全检测认证的才能参与投标。三是建议有关部门在对重大项目的可行性研究报告进行审批
时,增加对信息安全的评估程序,对未履行安全评估程序或评估未通过的项目,不得进行采购。
(七)加强涉密项目采购管理。一是制定涉密部门和涉密岗位目录以及涉密产品目录,颁布强制性规定,要求涉密部门和涉密岗位进行设备采购时必须采购涉密产品目录中的产品或采购本国货物。二是在涉密项目采购工作中,严格执行信息安全分级保护办法,建议采购人与中标供应商签订安全保密协议,严格限制国外企业及外资控股企业获取我国政府组织、人员等机密信息,不允许其将获得的信息通过企业内部信息系统传递到境外,同时所有中标供应商必须无条件接受政府采购管理部门和安全部门对其信息系统使用情况的检查。
服务与质量保障措施
一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置防火墙(硬件防火墙正在采购中),做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好访问日志的留存。网站具有保存六月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。 5、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源,能定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成或管理,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司
专题讲座:浅析个人信息安全问题及对策 对个人隐私的侵犯和保护问题从来就不是一个新话题。但在信息时代,个人信息安全问题已经成为一个严重的社会问题,引起了广泛关注。 据中国青年报社会调查中心通过网络对2422名公众的一项调查显示,%的人表示自己有因为个人信息泄露而遭遇困扰的经历。据美国一家非营利机构统计,自2005年1月至今,在美国发生的各类大大小小的信息安全事故中,总共已有约亿份个人信息记录遗失或被窃取,这些触目惊心的数据和事实充分表明了当前个人信息安全问题的严重性和普遍性。 个人信息的主要内容 我们这里所说的个人信息,特指存储于个人计算机或网络上一切与个人利益有关的数字信息。一般说来,用户在网络上经常使用和产生的个人信息,通常可分为以下几类。 一是个人基本资料,如姓名、年龄、性别、生日、党派、职业、学历、家庭成员、身份证号码等。 二是个人联系方式,如手机号码、固定电话、电子邮箱、通信地址、QQ和MSN等即时通信工具号码等等。 三是个人财务账号,如网银账号、游戏账号、网上股票
交易账号、电子交易账号等与经济利益有关的账号。 四是个人计算机特征,如个人计算机使用的操作系统版本、上网ID、论坛ID、本机IP地址等。五是个人网上活动痕迹,即用户在使用网络过程中产生的活动踪迹,如网页浏览记录、网上交易记录、论坛和聊天室发言记录等。六是个人文件数据,即用户不愿被公开浏览、复制、传递的私人文件,如照片、录像、各类文档等。 个人信息泄漏的危害 任何一个人生存和发展都需要保持一定的私密空间,需要保留一些不希望透露给外界的信息,如个人的身份信息、社会经历、生活习惯和兴趣爱好等。这些信息内容不仅涉及到个人的名誉,影响着社会对自己的评价,而且关系到个人正常生活状态的维持,甚至日常社会交往的开展。个人信息的泄漏通常会带来日常生活被骚扰、个人隐私被曝光等不良后果,严重的情况下会导致财产被窃,或个人形象及声誉受到侵害。 对于保密工作者和涉密人员而言,由于工作性质和身份的特殊性,泄漏个人信息的后果就没有这么简单了。黑客一旦掌握这些看似无关紧要的个人资料,就会变得有隙可乘,会处心积虑地以此作为突破口加以深入利用,有可能带来一系列更加严重的后续问题,甚至导致恶性泄密案件的发生。具体说来,如果不小心被黑客获取了足够的个人信息,很可
信息安全保障措施 网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置经公安部认证的防火墙, 并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好生产日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。 5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害
试论信息安全防护方法和策略 计算机从出现至今,已经完全改变了人们生活的模式,成为人们生活必备的设备之一,从其出现,安全问题一直是制约其发展的重要问题之一,常会受到黑客侵袭,受到恶意软件的破坏,安全与保密问题层出不穷,对此必须要采取有效的防护方法,提升信息的安全质量。 标签:信息安全;防护方法;网络技术 前言 互联网改变了人们的生活,缩短了人和人之间的距离,实现了信息共享,但在带来这种享受的同时,也深受网络安全问题的影响,常常会出现数据丢失、黑客侵袭、病毒等问题,严重影响人们使用计算机的效率。各种安全防护技术也在不断出现,但黑客仍然屡禁不止,对社会造成了严重的危害,针对这些问题,如何确保网络信息的安全成为当前信息技术发展的重要问题。 1 计算机网络信息安全面临的威胁 一般网络威胁可以分为两种,一种是对信息的威胁,一种则是对设备的威胁。具体来说,网络威胁主要可以分为以下几类: 1.1 失误 失误当然不是故意的,有可能是操作人员的安全设置问题,也有可能是用户的安全意识不足,口令错误等,这都可能导致计算机安全威胁。 1.2 恶意为之 就是通过恶劣的行径威胁到他人使用计算机,这是目前很多计算机犯罪最主要的方式。一般可以将这类行为分为主动与被动两种。主动就是不择手段的破坏信息的有效性与完整性;被动则主要以获取信息为主,不会影响到计算机正常的运行,但不论是主动还是被动,都会影响网络安全,造成不可挽回的损失。 1.3 软件问题 任何网络软件都存在不足,这就给黑客留下了攻击的道路,有些软件的“后门”甚至是有意为之,一旦出现问题,后果往往无法挽回。 2 计算机网络在的安全问题 2.1 固有的安全漏洞
广西壮族自治区财政厅 广西壮族自治区工业和信息化委员会文件 广西壮族自治区质量技术监督局 中华人民共和国广西出入境检验检疫局 桂财采〔2010〕20号 转发财政部工业和信息化部质检总局 认监委关于信息安全产品 实施政府采购的通知 各市财政局、工业和信息化委员会(局)、经委、质量技术监督局、出入境检验检疫局,自治区直管县财政体制改革各试点财政局,自治区农垦局,区直各委、办、厅、局:现将财政部、工业和信息化部、质检总局、认监委《关于信息安全产品实施政府采购的通知》(财库〔2010〕48号)转发给你们,请遵照执行。
广西壮族自治区广西壮族自治区财政厅工业和信息化委员会 广西壮族自治区中华人民共和国 质量技术监督局广西出入境检验检疫局 二〇一〇年五月十三日
关于信息全产品实施政府采购的通知 (财政部工业和信息化部质检总局认监委 二〇一〇年四月二十九日) 根据《中华人民共和国政府采购法》,现就贯彻落实质检总局、财政部、认监委《关于调整信息安全产品强制性认证实施要求的公告》(2009年第33号)的规定通知如下: 一、各级国家机关、事业单位和团体组织(以下统称采购众人)使用财政性资金采购信息全产品的,应当采购经国家认证的信息安全产品。 二、在政府采购活动中,采购人或其委托的采购代理机构按照政府采购的规定,在政府采购招标文件(包括谈判文件、询价文件)中应当载明对产品获得信息安全认证的要求,并要求产品供应商提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书。 三、对采购人或其委托的采购代理机构未按上述要求采购的,有关部门要按照有关法律、法规和规章予以处理,财政部门视情况可以拒付采购资金。
个人信息的保护和安全措施 一、广电公众平台将尽一切合理努力保护获得的用户个人信息,并由专门的数据安全部门对个人信息进行保护。为防止用户个人信息在意外的、未经授权的情况下被非法访问、复制、修改、传送、遗失、破坏、处理或使用,广电公众平台已经并将继续采取以下措施保护用户的个人信息: 通过采取加密技术对用户个人信息进行加密保存,并通过隔离技术进行隔离。在个人信息使用时,例如个人信息展示、个人信息关联计算,广电公众平台会采用包括内容替换、加密脱敏等多种数据脱敏技术增强个人信息在使用中安全性。设立严格的数据使用和访问制度,采用严格的数据访问权限控制和多重身份认证技术保护个人信息,避免数据被违规使用。 二、保护个人信息采取的其他安全措施 1、通过建立数据分类分级制度、数据安全管理规范、数据安全开发规范来管理规范个人信息的存储和使用。 2、建立数据安全专项部门,负责安全应急响应组织来推进和保障个人信息安全。 3、个人信息安全事件的通知 1)如发生个人信息引发的安全事件,广电公众平台将第一事件向相应主管机关报备,并即时进行问题排查,开展应急措施。 2)通过与全量用户发送通知提醒更改密码。还可能通过电话、短信等各种方式触达用户知晓,在公共运营平台运营宣传,制止数据
泄露。 尽管已经采取了上述合理有效措施,并已经遵守了相关法律规定要求的标准,但广电公众平台仍然无法保证用户的个人信息通过不安全途径进行交流时的安全性。因此,用户个人应采取积极措施保证个人信息的安全,如:定期修改账号密码,不将自己的账号密码等个人信息透露给他人。 网络环境中始终存在各种信息泄漏的风险,当出现意外事件、不可抗力等情形导致用户的信息出现泄漏时,广电公众平台将极力控制局面,及时告知用户事件起因、广电公众平台采取的安全措施、用户可以主动采取的安全措施等相关情况。
XXX 信息安全等级保护工作汇报 一、医院简介 XXX拥有66年发展历史,坐落于黑龙江北部中心城市北安市的城市中心,地处政治、经济、文化中心地带,交通便利,医院学科优势突出,专业特色明显,在市内外享有较高的声誉。医院总占地面积22599平方米,业务用房建筑面积25027平方米。 医院在职职工664人,专业技术人员 557人,其中高级技术职称172 人,中级技术职称109人,床位400余张。设有内、外、妇、儿、五官等二十个临床科室,15个医技科室。外科共设五个科室包括普外、脑外、胸科、烧伤、泌尿、骨科、肛肠等学科,其中胸外科、脑外科是我院重点科室之一,胸外科是黑河地区该专业龙头科室,外科常规开展肺癌、脑外、食道癌等复杂手术,广泛开展腹腔镜、前列腺电切等介入手术。多项技术的开展和研发均获得国家及省级科技进步奖,开创了历史先河,成为北安市及黑河地区医疗技术的领头雁。内科设有五个科室包括神经内科、心脑血管内科、内分泌内科、呼吸内科、血液内科、肿瘤内科、消化内科、肾内科、传染科及在黑河地区处于领先地位的急诊科。我院影像科室技术实力在本市区位居首位,吸引了大量外院病人来我院检查,整合了各方优势资源。 医院环境优美,整洁。目前,现已发展成为一所集医疗、康复、
保健、预防、科研、教学为一体的综合性二级甲等医院。公共医疗改革试点医院、城镇职工医疗保险定点医院、新型农村合作医疗定点医院、城乡医疗救助一站式即时结算定点医院、农垦北安管局医疗保险定点医院、铁路职工医疗保险定点医院、公安定点医院、黑河地区首家工伤康复定点医院,“120”急救中心设在我院,同时担负着全市司法鉴定工作。 医院拥有大型核磁共振成像系统、螺旋CT、高压氧舱、德国贝朗血液透析机、日产全自动生化分析仪、数字X光机、数字多功能胃肠X光机、C型臂数字成像系统、彩超、经颅多普勒、体外碎石机、电子胃镜、欧美达麻醉机、运动平板、24小时动态心电监测系统等先进设备百余台,抢占医疗市场的制高点。全套电子内窥镜系统、各种手术用硬镜、介入治疗设备、高压氧舱等一批国内外精密医疗设备,精良的医疗设备为提高临床诊治水平提供了重要的保证。 医院由门诊楼,病房楼,急救中心组成,住院楼设有内科、外科、妇产科、儿科、重症监护室、手术室、麻醉科、康复科等病区。医院通过计算机网络实现信息化管理,所有病房均设有中央空调、独立卫生间,配备集中供氧、集中负压吸引、自动对讲呼叫等设施。 XXX拥有黑河地区首家具有国际先进水平的ICU重症监护病房,是我省北部地区成立较早发展最快的重症科室,设备实力和省级医院相聘美,从业人员都经过正规重症医学培训学习,成立后为北安市危重症治疗开辟了新的天地,危重症抢救成功率达到省级医院水平。具
保护个人信息安全的六大措施 现今,数据泄露渐成常态,在此种环境下,如何保护个人的信息安全,成为每个人都应该注意并为之采取措施的问题。 1.网上注册内容时不要填写个人私密信息 互联网时代用户数和用户信息量已然和企业的盈利关联了起来,企业希望尽可能多地获取用户信息。但是很多企业在数据保护上所做的工作存在缺陷,时常会有用户信息泄露事件发生,对于我们普通用户而言,无法干预到企业的采取数据安全保护措施,只能从己方着手,尽可能少地暴露自己的用户信息。 2.尽量远离社交平台涉及的互动类活动 现在很多社交平台,会有一些填写个人信息即可生成有趣内容并可以和朋友分享的活动,看似有趣的表面,实质上却以游戏的手段获取了大量的用户信息,遇到那些奔着个人隐私信息去的“趣味”活动,建议不要参与。 3.安装病毒防护软件 不管是计算机还是智能手机,都已经成为信息泄露的高发地带,往往由于不小心间点击一个链接、下载一个文件,就成功被不法分子攻破,安装防病毒软件进行病毒防护和病毒查杀成为设备使用时的必要手段。 4.不要连接未知WiFi 现在公共场所常常会有些免费WiFi,有些是为了人们提供便利而专门设置的,但是不能忽视的是不法分子也会在公共场所设置钓鱼WiFi,一旦连接到他们的钓鱼WiFi,我们的设备就会被他们反扫描,如果在使用过程中输入账号密码等信息,就会被对方获得。在公众场所尽量不要去连接免费WiFi。 5.警惕手机诈骗 科技在进步,骗子的手段也变得层出不穷,常见莫过于利用短信骗取手机用户的信息。更有可能进行财产诈骗,让受害者遭受重大损失。警惕手机短信里的手机账户异常、银行账户异常、银行系统升级等信息,有可能是骗子利用伪基站发送的诈骗信息。遇到这种短信不要管它,去联系官方工作人员,询问情况。 6.妥善处理好涉及到个人信息的单据 在快递单上会有我们的手机、地址等信息,一些消费小票上也包含部分姓名、银行卡号、消费记录等信息,翼火蛇提示对于已经废弃掉的单据,需要进行妥善处置。
郑州工业应用技术学院课程设计(论文) 题目:个人信息安全保护技术概论 指导教师:郭军利 学生姓名:吴万强 学号: 1401120125 专业: 14级通信工程 院(系):信息工程学院 2016年12月26日
目录 1 个人信息安全保护技术概论 (3) 1.1 背景简介 (3) 1.2 研究意义 (3) 1.3 国内外研究状况 (4) 2 个人信息安全保护技术发展趋势 (4) 2.1 主要技术和发展趋势 (4) 2.2 常见的安全威胁 (7) 3 个人信息安全防护策略 (7) 3.1 威胁计算机信息安全主要因素 (8) 3.1.1 黑客的威胁和攻击 (8) 3.1.2 计算机病毒 (8) 3.1.3 网络软件的漏洞 (8) 3.2 计算机信息安全的防护措施 (8) 3.2.1 设置身份鉴别系统 (8) 3.2.2 设制口令识别 (8) 3.2.3 安装防火墙技术软件 (9) 3.2.4 安装网络版防病杀毒软件 (9) 3.2.5 采取数据加密技术 (9) 3.2.6 加强管理解决信息安全的问题 (9) 4 总结 (9)
1个人信息安全保护技术概论 1.1背景简介 在21世纪的今天,随着计算机技术的不断发展,计算机的使用已经深入到人们生活工作中的每个角落,对其网络的应用以来也来越高,然而,随着计算机应用的普及,信息安全的问题也渐渐的浮出水面,大量的信息都出存在网络上,可能随时早到非法侵入,对信息安全造成威胁,因此,计算机网络信息安全及维护是非常重要的,必须引起高度的重视,本文阐述了关于计算机网络信息安全与防护的策略进行探讨分析,仅供参考。 由于互联网技术在全球的发展速度很迅猛,在给人们工作带来方便和带来物质享受的同时,在在承担着来自网络的安全威胁,例如像数据被剽窃、黑客的侵袭、系统内部的信息被盗等,虽然在计算机的系统里安装了很多的安全软件,但还是难免发生诸如的类似的情况,目前,怎样能够保证计算机网络信息的安全性和可靠性,是全球都在关注的话题. 1.2研究意义 从发展的眼光来看,Windows平台的发展方向已经从桌面应用转向网络应用,计算机用户也已经越来越离不开网络。这一方面大大提高了人们的工作效率,另一方面也对计算机上的信息安全提出了更高的要求。一个没有任何安全维护的网站的安全漏洞至少有1 500个,而这些漏洞恰恰使黑客攻击的主要目标。病毒、黑客、木马程序都对我们的系统安全造成严重的威胁。1999年4月26日的CIH 病毒大爆发给我国带来了数以亿计的损失,根据Financial Times的统计,全球平均每20s就有一个网络遭到非法入侵,Yahoo,Sina,263等很多国内外著名 站点都曾遭到黑客的攻击。 信息安全是一个相对的概念,有些用户认为只要使用了防病毒软件和防火墙产品,信息安全问题就可以迎刃而解,这是完全错误的。随着计算机操作系统漏洞的不断发现、新病毒和新的攻击手段的不断产生,我们只能使系统越来越安全,而做不到绝对的安全。 为了保护计算机系统里的各种信息,我们必须时刻保持高度的警惕。一方面要使用合格的防病毒软件和防火墙产品,并对其进行正确的设置;另一方面要了解病毒、木马程序、防病毒软件和防火墙等产品的基本知识,注意计算机系统漏洞、软件安全方面的最新信息,做到对自己的系统安全情况始终有一个清醒的认识。只有这样才能使你的系统受到最大程度的保护,从而保障个人信息的安全。
医院信息化安全是现在所有医院面临的重要课题。为了更好的保证医院信息安全,2011年底,卫生部先后下达85号通知和1126号通知,要求全国卫生行业各单 位全面开展信息安全等级保护工作,于2015年12月30日前完成等保建设整改并通过等级测评。 2007 年由公安部下发的43号令拉开了各行业信息安全等保建设的序幕,2008 年颁布的国标《GB/T 22239-2008 信息安全技术-信息系统安全等级保护基本要求》是信息系统安全等保的建设标准。卫生部下发的“85号通知”中的等保工 作指导意见明确要求全国所有三甲医院核心业务信息系统的安全保护等级原则上不低于第三级,哪些系统是核心业务信息系统则由各地区自己定义,比如上海最终规定的核心业务信息系统是HIS、 LIS和RIS。 图1医院网络现状 (如图1所示)医院的网络根据承载业务的不同可划分为内网、外网和设备网,其中: 内网即医院的医务生产网,承载所有业务应用系统,包括大家熟知的HIS、PACS、LIS等系统; 外网即与Internet相联的网络,承载的业务包括邮件、OA等; 设备网是一张新兴的网,承载IP化的智能化弱电系统,包括:公共广播、门禁、楼控、安防视频监控等。 各医院实际网络建设模式会有不同。传统的是内外网物理隔离,但仍有相当一部分是内外网物理合一、逻辑隔离。内网实际上也有外部连接,如医保、公共卫生、新农合、银行等;但这些连接都是内网与内网通过专线连接,且通过前置机进行数据访问。
医院的网络根据承载介质的不同可分为有线网络和无线网络。根据传统习惯,如果不特别说明,上述的内网、外网和设备网均特指有线网络。但实际上无线网络承载的业务也有内外网之分。有的医院无线网只承载内网业务,如无线查房、无线护理、无线补液等;有的医院无线网不仅承载内网业务,还会提供与外网相关的业务,如员工外网业务、病房VIP Internet业务等。无线网络中的内网业务都要访问HIS、RIS等核心业务信息系统,所以作为有线网络的有效补充,无线网络也应是三级安全等保检查中的一部分。 如前所述,大部分地区规定的核心业务信息系统都是内网业务,即三级安全等保只与医院的内网业务系统相关,而对于内外网物理隔离的工作场景,与传统的以防范Internet业务为主的安全解决方案明显不同。 一、安全等保的测评对象 GB/T 22239-2008中的三级安全等保标准共290项内容,由技术(136项)和管理(154项)2部分组成;技术要求中分为物理、网络、主机、应用和数据安全5部分。根据各地的自有特点,以提高系统的安全性为目的,各地的等保测评机构会进行标准的补充。 医院的信息系统有几十种,除了明确定级为三级的核心业务信息系统,其它业务系统如何处理?拿上海为例,HIS、LIS和RIS定级为三级信息系统,那么这3 个系统之外的如EMR、临床路径系统等如何考虑?实际上等保的第一项工作即是给本单位信息系统分类定级,根据系统重要性的不同,进行不同级别的定级。如果某个系统与核心业务系统同样重要,可另外定为三级;其它系统可以定为二级。定为二级的系统按照二级安全等保标准进行建设和测评。 对于二级或三级的业务信息系统,其安全运行所需要的机房、链路、网络、服务器、存储、操作系统、应用软件等都是测评对象。 二、安全等保网络安全解读 作为安全等保的重要组成部分,网络安全因其分散、覆盖面广的特点,是等保评测的重点,也是医院信息安全的难点。在等保三级标准内容中,网络安全共分为7部分,共33条: l 结构安全——7条要求,对整体网络架构、带宽和设备性能提出了管理要求; l 网络访问控制——8条要求,对网络边界控制防范、边界连接的控制提出了管理要求; l 安全审计—— 4条要求,对包括设备、事件和用户等目标的日志系统提出管理要求; l 边界完整性检查——2条要求,对接入规范和防内网外联提出了管理要求;
1.1.信息系统及信息资源安全保障措施 1.1.1.管理制度 加强信息系统运行维护制度建设,是保障系统的安全运行的关键。制定的运行维护管理制度应包括系统管理员工作职责、系统安全员工作职责、系统密钥员工作职责、信息系统安全管理制度等安全运行维护制度。 1.1. 2.运行管理 1.1. 2.1.组织机构 按照信息系统安全的要求,建立安全运行管理领导机构和工作机构。建立信息系统“三员”管理制度,即设立信息系统管理员、系统安全员、系统密钥员,负责系统安全运行维护和管理,为信息系统安全运行提供组织保障。 1.1. 2.2.监控体系 监控体系包括监控策略、监控技术措施等。在信息系统运行管理中,需要制定有效的监控策略,采用多种技术措施和管理手段加强系统监控,从而构建有效的监控体系,保障系统安全运行。 1.1.3.终端安全 加强信息系统终端安全建设和管理应该做到如下几点: (1)突出防范重点:安全建设应把终端安全和各个层面自身的安全放在同等重要的位置。在安全管理方面尤其要突出强化终端安全。终端安全的防范重点包括接入网络计算机本身安全及用户操作行为安全。 (2)强化内部审计:对信息系统来说,如果内部审计没有得到重视,会对安全造成较大的威胁。强化内部审计不但要进行网络级审计,更重要是对内网里用户进行审计。 (3)技术和管理并重:在终端安全方面,单纯的技术或管理都不能解决终端安全问题,因为终端安全与每个系统用户相联系。通过加强内部安全管理以提高终端用户的安全意识;通过加强制度建设,规范和约束终端用户的操作行为;通过内部审计软件部署审计规则,对用户终端系统本身和操作行为进行控制和审计,做到状态可监控,过程可跟踪,结果可审计。从而在用户终端层面做到信息系统安全。 1.1.4.物理层安全 物理层的安全设计应从三个方面考虑:环境安全、设备安全、线路安全。采
千里马招标网https://www.doczj.com/doc/2913195858.html, 采购编号:JHJYCG 金华市教育技术和信息中心信息安全预警通报平台项目 公开招标文件 金华市教育技术和信息中心 二○一八年九月十八日
目录第一章招标公告 第二章投标人须知 第三章招标货物清单及技术要求 第四章开标和评标须知 第五章评标细则 第六章投标文件格式
第一章招标公告 经金华市财政局政府采购监管处批准,本中心就金华市教育技术和信息中心信息安全预警通报平台项目进行部门集中采购,采购方式为公开招标。现将有关事项公告如下,欢迎符合条件的厂(商)家参加。 .采购编号:JHJYCG 采购预算:万元。 .采购项目名称:金华市教育技术和信息中心信息安全预警通报平台项目,数量:具体数量和要求请见第三章《招标货物清单及技术要求》。 .投标方资格要求:凡中华人民共和国境内符合《政府采购法》供应商资格要求,有经税务(国税、地税)、社保部门确认的年四季度企业纳税情况和社保基金缴纳情况证明文书(证明企业无欠税欠费)、有参加政府采购活动近三年内在经济活动中没有重大违法记录的证明,具有良好的信誉,且符合经营范围的供应商均可参加。 .领取标书的时间和地点:年月日至年月日(上班时间,节假日除外),到金华市教育技术和信息中心(金华市八一南街号通和大厦六楼)报名和领取标书。届时,须携带营业执照副本(原件)和复印件(加盖单位公章)、法定代表人授权委托书原件、经办人身份证等资料。 .经资格审查合格的报名供应商,不得无故放弃投标,确有特殊情况不能参加投标的,须以书面形式向采购人陈述原因,并报金华市财政局政府采购监管处备案。无合理原因或理由放弃投标的,将按不良行为予以记录。 .技术答疑:投标人对本采购文件有异议或疑问的,应于年月日:之前以书面方式提交至招标方。 联系人:金华市教育技术和信息中心包老师 方老师 - .投标文件递交截止时间:投标文件必须以密封形式于年月日上午:前递交至金华市教育技术和信息中心(金华市八一南街号通和大厦六楼)。逾期不受理。 .开标地点:金华市教育技术和信息中心(金华市八一南街号通和大厦六楼)。 开标时间:年月日上午:。 .投标方应于年月日上午:前向采购方提供投标保证金:贰仟元整。 .评标办法:综合评分法。 金华市教育技术和信息中心 二一八年九月十八日
**医院落实国家信息安全等级保护制度的具体措施 一、信息安全等级保护 信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上称为的一般指信息系统安全等级保护,是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。 二、工作目标 信息系统运营使用单位在做好信息系统安全等级保护定级备案工作基础上,按照国家有关规定和标准规范要求,开展信息安全等级保护安全建设整改工作。通过落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全保护能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益。 三、工作内容 信息系统运营使用单位在开展信息安全等级保护安全建设整改工作中,应按照国家有关规定和标准规范要求,坚持管理和技术并重
的原则,将技术措施和管理措施有机结合,建立信息系统综合防护体系,提高信息系统整体安全保护能力。我院依据《国家信息安全等级保护度(二级)》,落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术施。 四、等级划分 《信息安全等级保护信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
安宁市人民医院 信息安全等级保护工作实施方案 为加强医院信息安全等级保护,提高信息安全保障能力和水平,维护医院及患者的合法权益,保障和促进我院信息化建设。按照国家有关要求并结合医院的实际,制订本实施方案。 一、指导思想 医院信息安全等级保护制度是信息安全保障工作的一项基本制度,也是医院信息化、数字化进程中的一件大事,各部门和全体医务人员要站在讲政治和维护社会稳定的高度,从促进医院发展的角度出发,充分认识做好重要信息系统安全等级保护工作的重要意义,在日常工作中认真做好信息安全管理各项工作。 二、组织领导 (一)成立安宁市人民医院信息安全等级保护工作领导小组(以下简称“领导小组”)。 组长:向志敏(安宁市卫生局副局长、医院党总支书记、院长)副组长:肖滇疆(医院党总支副书记、信息科科长) 成员:杨树祥(副院长)高永杰(副院长)张清尧(副院长)李伟(保卫科长)万应华(设备科长)杨晶(信息科技术人员)向磊(信息科技术人员) 医院信息科为领导小组的办公室。 领导小组职责:负责全院信息安全等级保护工作的领导、协调工作。督促各单位按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。 领导小组办公室职责:在领导小组的领导下,切实抓好我院信息安全保护的日常工作。组织开展政策和技术培训,掌握信息安全保护工作规范和技术要求;全面掌握全院信息安全保护工作存在的问题,对存在的问题及时协调解决,对信息安全工作及时进行总结并按时上报领导小组。 三、医院信息安全保护等级划分 根据我院实际情况,按照有关规定的要求。对我院信息系统主要安全问题及针对措置进行处置分:
医院信息安全等级保护制度 一、用户管理制度: 1、信息科不得向任何人透漏员工的账号和密码。 2、医院员工对本人账号和密码必须遵守以下规定: (1)新员工凭人事科报到单,到信息科配置账号和密码;员工离院时:到信息科注销账号和密码;人事科凭信息科“已注消账号和密码”的依据同意员工调出或离院;财务科凭信息科“已注消账号和密码”的依据结付相关费用。 (2)员工不得将本人的账号和密码告诉其他人或写在任何其他人可得到的书面资料上,并每隔60天定期修改密码,对有疑问的密码应及时修改。 (3)任何人员不得使用他人的账号和密码,也不得将工作范围内可接触到的数据告诉其他任何未经授权的人员,并在离开终端时及时退出计算机系统。 (4)密码可以是字母与数字的组合。 二、系统操作分级管理制度 1、本院系统管理首先确定为管理对象重要级别。从1-3级别区分,以一级为最高等级。不同的级别制定相应的密码权限安全管理方案。 2、一级设备为主数据库服务器和核心网络设备。这些设备的密码保存人为信息科主任与服务器管理员。所能操作
人员仅限于服务器最高权限的管理员。采取统一入口管理。对于一些重大操作,必须有文字记录。 3、二级设备主要是普通服务器、接入交换机和数据库密码。密码保存人为信息科主任与信息科工作人员。对于一些重大操作,必须有文字记录。 4、三级设备为安装在各使用部门的电脑,密码由相关科室设备负责人自行保管。 5、对于设备具体分级细则,在遵循以上原则的情况下,细节由信息科内部协商判断而制定。 6、对于密码,数据泄露,造成业务中断,或相关私密数据泄露。将临时通过技术手段保护与监控相应设备。待问题解决后。整理所有相关数据整理后上报医院存档。 三.网络运行监控、防病毒、防入侵、桌面管理措施 1、为了保护我院数据与网络的安全,保证网络的正常运行,促进网络更好的应用和发展,制定本制度。 2、利用防火墙将内部网络、Internet外部网络、DMZ 服务区、安全监控与备份中心进行有效隔离,避免与外部网络直接通信。 3、利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全。 4、利用防火墙对来自外网的服务请求进行控制,使非
信息安全等级保护体系设计 《关于加强信息安全保障工作的意见》指出,实行等级保护是信息安全保障的基本政策,各部门、各单位都要根据等级保护制度的要求,结合各自的特点,建立相应的安全保护策略、计划和措施。 通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。 设计思路与原则 信息安全保障是一个极为复杂、系统性和长期性的工作。设计信息系统安全体系及实施方案时一般应遵循以下四条原则: 清晰定义安全模型; 合理划分安全等级; 科学设计防护深度; 确保可实施易评估。 具体来说: 1.清晰定义安全模型 面对的难题:政府或大型企业组织的信息系统结构复杂,难以描述。 政府或大型企业的信息系统往往覆盖全国范围内的各省、市、县和乡镇,地域辽阔,规模庞大;各地信息化发展程度不一,东西部存在较大差别;前期建设缺乏统一规划,各区域主要业务系统和管理模式往往都存在较大的差别。这样就造成难以准确、清晰地描述大型信息系统的安全现状和安全威胁。因此,设计保障体系时也就无的放矢,缺乏针对性,也不具备实用性。
解决方法:针对信息系统的安全属性定义一个清晰的、可描述的安全模型,即信息安全保护对象框架。 在设计信息安全保障体系时,首先要对信息系统进行模型抽象。我们把信息系统各个内容属性中与安全相关的属性抽取出来,参照IATF(美国信息安全保障技术框架,通过建立“信息安全保护对象框架”的方法来建立安全模型,从而相对准确地描述信息系统的安全属性。保护对象框架是根据信息系统的功能特性、安全价值以及面临威胁的相似性,将其划分成计算区域、网络基础设施、区域边界和安全基础设施四大类信息资产组作为保护对象。 2.合理划分安全等级 面对的难题:如何解决在设计安全保障措施时所面对的需求差异性与经济性难题。 因为信息系统的差异性,从而其安全要求的属性和强度存在较大差异性;又因为经济性的考虑,需要考虑信息安全要求与资金人力投入的平衡。设计安全保障措施时不能一刀切,必须考虑差异性和经济性。 解决方法:针对保护对象和保障措施划分安全等级。 首先进行信息系统的等级化: 通过将保护对象进行等级化划分,实现等级化的保护对象框架,来反映等级化的信息系统。其次,设计等级化的保障措施:根据保护对象的等级化,有针对性地设计等级化的安全保障措施,从而通过不同等级的保护对象和保障措施的一一对应,形成整体的等级化安全保障体系。 等级化安全保障体系为用户提供以下价值: 满足大型组织中不同分支机构的个性化安全需求; 可动态地改变保护对象的安全等级,能方便地调整不同阶段的安全目标;
信息安全产品实施政府采购的相关政策要求 目录 1. 相关政策文件及通知 (2) 1.1 福建省财政厅通知: (2) 1.2 (财库〔2010〕48号)主要内容: (2) 1.3 《关于调整信息安全产品强制性认证实施要求的公告》(2009年第33号)文件重点内容: (3) 2. 信息安全等级保护法规: (3) 3. 防火墙产品ISCCC认证级别与等级保护要求对比: (4) 3.1 信息安全等级保护技术要求: (4) 3.2 防火墙ISCCC认证技术要求: (5) 3.3 技术要求对比结论 (6) 4. 经常接触产品的ISCCC认证情况: (7) 5. 目前获得ISCCC认证的产品名录: (14)
1. 相关政策文件及通知 1.1 福建省财政厅通知: 省直各单位,各设区市财政局、信息产业主管部门、质监局: 根据《中华人民共和国政府采购法》,为进一步贯彻落实质检总局、财政部、认监委《关于调整信息安全产品强制性认证实施要求的公告》(2009年第33号)要求,规范政府采购信息安全产品行为,现将《财政部、工业和信息化部、质检总局、认监委关于信息安全产品实施政府采购的通知》(财库〔2010〕48号)转发给你们,请认真遵照执行。 二0一0年五月十九日 1.2 (财库〔2010〕48号)主要内容: 一、各级国家机关、事业单位和团体组织(以下统称采购人)使用财政性资金采购信息安全产品的,应当采购经国家认证的信息安全产品。 二、在政府采购活动中,采购人或其委托的采购代理机构按照政府采购法的规定一在政府采购招标文件(包括谈判文件、询价文件)中应当载明对产品获得信息安全认证的要求,并要求产品供应商提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书。 三、对采购人或其委托的采购代理机构未按上述要求采购的,有关部门要按照有关法律、法规和规章予以处理,财政部门视情况可以拒付采购资金。
个人信息的保护和安全 措施 Document number:PBGCG-0857-BTDO-0089-PTT1998
个人信息的保护和安全措施 一、广电公众平台将尽一切合理努力保护获得的用户个人信息,并由专门的数据安全部门对个人信息进行保护。为防止用户个人信息在意外的、未经授权的情况下被非法访问、复制、修改、传送、遗失、破坏、处理或使用,广电公众平台已经并将继续采取以下措施保护用户的个人信息: 通过采取加密技术对用户个人信息进行加密保存,并通过隔离技术进行隔离。在个人信息使用时,例如个人信息展示、个人信息关联计算,广电公众平台会采用包括内容替换、加密脱敏等多种数据脱敏技术增强个人信息在使用中安全性。设立严格的数据使用和访问制度,采用严格的数据访问权限控制和多重身份认证技术保护个人信息,避免数据被违规使用。 二、保护个人信息采取的其他安全措施 1、通过建立数据分类分级制度、数据安全管理规范、数据安全开发规范来管理规范个人信息的存储和使用。 2、建立数据安全专项部门,负责安全应急响应组织来推进和保障个人信息安全。 3、个人信息安全事件的通知 1)如发生个人信息引发的安全事件,广电公众平台将第一事件向相应主管机关报备,并即时进行问题排查,开展应急措施。
2)通过与全量用户发送通知提醒更改密码。还可能通过电话、短信等各种方式触达用户知晓,在公共运营平台运营宣传,制止数据泄露。 尽管已经采取了上述合理有效措施,并已经遵守了相关法律规定要求的标准,但广电公众平台仍然无法保证用户的个人信息通过不安全途径进行交流时的安全性。因此,用户个人应采取积极措施保证个人信息的安全,如:定期修改账号密码,不将自己的账号密码等个人信息透露给他人。 网络环境中始终存在各种信息泄漏的风险,当出现意外事件、不可抗力等情形导致用户的信息出现泄漏时,广电公众平台将极力控制局面,及时告知用户事件起因、广电公众平台采取的安全措施、用户可以主动采取的安全措施等相关情况。
网络和信息安全保障措施方案1 网络与信息安全保障措施 信息安全保密制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。 工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。 4、所有信息都及时做备份。按照国家有关规定,网站将保存60天内系统运行日志和用户使用日志记录,短信服务系统将保存 5个月以内的系统及用户收发短信记录。制定并遵守安全教
育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。 安全技术保障措施 防病毒、防黑客攻击技术措施是防止不法分子利用互联网络进行破坏活动,保护互联网络和电子公告服务的信息安全的需要。我公司特此制定以下防病毒、防黑客攻击的安全技术措施: 1、所有接入互联网的计算机应使用经公安机关检测合格的防病毒产品并定期下载病毒特征码对杀毒软 件升级,确保计算机不会受到已发现的病毒攻击。 2、确保物理网络安全,防范因为物理介质、信号辐射等造成的安全风险。 3、采用网络安全控制技术,联网单位已采用防火墙、IDS 等设备对网络安全进行防护。 4、使用漏洞扫描软件扫描系统漏洞,关闭不必要的服务端口。 5、制订口令管理制度,防止系统口令泄露和被暴力破解。 6、制订系统补丁的管理制度,确定系统补丁的更新、安装、发布措施,及时堵住系统漏洞。 防黑客攻击主要包括: