医药卫生科学数据共享.docVIP

医药卫生科学数据共享 政策与法规系列文档 医药卫生科学数据共享网 信息安全管理规定 （征求意见稿） （本稿完成日期：2008年3月） 医药卫生科学数据共享管理机制建设课题组 医药卫生科学数据共享网信息安全管理规定细则 第一章 总则为了保护计算机信息系统的安全健康发展计算机信息系统安全、可靠、稳定地运行根据《中华人民共和国计算机信息系统安全保护条例》GB 17859-1999）》、《计算机信息网络国际联网安全保护管理办法》《》，结合实际，制定本细则负责本的安全保护管理工作，建立健全安全保护管理制度落实安全保护技术措施，保障本网络的运行安全和信息安全负责防火墙、IDS、防病毒系统的策略制定； 负责中心审计系统的运行管理，对运行情况进行审计； 负责中心身份认证系统、权限管理和授权单点登录系统的运行； 负责中心的防火墙、入侵检测系统、防病毒系统的定期升级； 负责中心关日志的管理。 负责对用户的安全教育和培训对信息内容按照相关规定进行审核建立计算机信息网络电子公告系统的用户登记和信息管理制度发现有的行为，应当保留有关原始记录，并向相关部门报告按照国家有关规定，删除本中含有违法内容的地址、目录或者关闭服务器安全管理制度场地与设施安全管理 5.2 出入控制管理 5.3 设备管理 5.4 存储介质管理 5.5 信息管理 5.6 密钥口令管理 5.7 数据备份管理 5.8 计算机病毒防治管理 5.9 安全审计管理 5.10 应急措施 第三章 目标与内容 信息安全管理目标 6.1 从制度、基础设施和技术手段上确保信息安全； 6.2 利用安全管理监控平台，监控网络系统的访问，保证该网络系统的平稳运行。 保证访问用户身份的合法性以及数据传输的完整性、抗抵赖性、安全性； 有效阻断黑客进入，重要信息资源不泄密、不被破坏； 通过身份认证系统、权限管理和授权审计系统、单点登录系统组建的信息安全集中管理平台，使用户权限和相应的数据库资源、应用系统有机结合为一体，杜绝非法访问、假冒攻击等不正常的现象； 利用防病毒系统实现对病毒、不良网站内容、恶意代码等进行拦截； 建立完整的审计体系，为系统的安全提供参考数据计算机信息系统和计算机机房的规划、设计、建设应当按照国家有关规定和标准，同步落实安全保护措施GB50174-93国家标准所要求的A类机房标准。凡与有接口的节点均应采取防火墙措施安全代理和内部地址转换功能数据包过滤功能，如恶意代码过滤邮件关键字符过滤邮件附件恶意程序夹带过滤蠕虫过滤等； 数据状态检测功能，如Web 服务器攻击、Web浏览攻击、SMTP攻击、IMAP/POP 攻击、DNS攻击等网络攻击检测； 用户认证功能，如内置数据库，RADIUS数据库，LDAP数据库，IP/MAC地址绑定等； 内部地址转换功能，如静态地址，动态IP分配，PPPoE client（外网口），内部DHCP服务器内网口，支持DHCP Relay等； 日志功能，如可记录试图通过防火墙的非法数据包，可记录防火墙操作均应安装防病毒软件、防病毒网关等措施抵御网络上各类恶意代码的攻击，通过网关、内部客户机、服务器以及邮件系统的防病毒系统的配置，对病毒破坏的主要对象进行预防。在部署网关防病毒产品。设定多种不同类型的网站内容过滤策略，阻绝内部使用者进入色情及其它不良网站。实时扫瞄并清除经由Web或FTP下载进入的病毒，阻隔来自Web的已知Java与ActiveX恶性程序部署邮件服务器防病毒系统。侦测并清除隐藏于电子邮件、附加文件及公用目录中的计算机病毒、恶性程序、垃圾邮件或含特定内容的邮件部署多种防病毒产品，提供较为全面的病毒防护防病毒系统具备自动升级功能 医药卫生科学数据共享网中心和各分中心需安装入侵检测系统，对网络攻击和非法扫描适时检测及时报警。入侵检测系统应具备的功能： 检测和发现网络攻击行为，如DoS攻击对一些恶意网络访问应该具备记录回放功能检查网络传输中的带毒流量，与病毒过滤网关共同组成一个层次的防毒体系。用户权限管理用户权限管理采用统一用户认证，对数据信息进行访问控制，确保不同级别的用户访问不同级别的数据信息各应用系统应当根据各种用户的身份、职能制定不同类型的用户角色，根据数据类型和数据使用级别制定针对不同用户角色相应的数据访问策略认证和授权系统在部署认证和授权系统，保证信息服务系统具有保密性、完整性、可控性、可用性和抗抵赖性。 采用基于数字证书技术的认证机制，数字证书的管理可参照国家密码安全的相关标准 13.2 必要时，对网络上的应用服务实行一次性密码机制实现多系统和设备访问的集中授权，使用户不论以什么方式接入网络或访问设备如Web、FTP、EMail、主机访问、设备管理登录、拨号、VPN等通过统一的用户管理信息进行