医院计算机信息网络系统.docVIP

上海市医院计算机信息网络系统 安全策略 上海市卫生局信息中心 2002年12月 目 录 第一章 总则 3 第二章 医院计算机信息网络系统安全策略 3 第三章 安全技术策略 5 1 安全技术策略主要内容 5 2 如何制定安全技术策略 5 第四章 安全管理策略 6 1 安全管理策略主要内容 6 2 如何制定安全管理策略 6 第五章 医院信息系统应急预案 7 1 应急预案的主要内容 7 2 如何制定应急预案 7 附录1 医院计算机信息网络系统安全技术策略 8 2 医院计算机信息网络系统安全管理策略 16 3 医院信息系统应急预案 27 总则 1．1上海市医院计算机信息网络系统安全策略是为而制定的一和措施的总合，是使用管理的正式描述，是员必须遵守的规则。为加强安全管理，根据《中华人民共和国计算机信息系统安全保护条例》等有关规定，结合实际，制定本。内计算机的安全管理适用本。安全策略为保证的安全提一个框架，提供网络安全的方法，规定各部门要遵守的规范及应负的责任，使得网络系统的安全有依据。安全策略的制定过程是一个循序渐进、不断完善的过程安全策略在制定时必须兼顾的可理解性、技术的可实现性、的可性。保护的内容和：网络、操作系统数据库、涉及到核心机密信息或提供关键服务的为A类含有敏感信息或提供重要服务的为B类；能够访问A类和B类主机且不含敏感信息的为C类，不能够访问A类和B类主机，不含敏感信息且可以从外部访问的为D类。安全策略分安全技术策略和安全管理策略两个方面：技术策略针对提出措施必须建立安全组织管理制度保护方法：安全可以采用隔离、防辐射、防自然灾害措施实现对于数据信息可以采用授权访问技术来实现对于网络传输可以采用安全隧道技术来实现。责任：的安全必须明确每个人安全责任和义务。事故的处理：为了确保任务的落实，提高大家的安全意识和警惕性，必须规定相关的处罚条款，并组建监督、管理机构，以保证各项条款的严格执行。信息安全技术策略 3. 1信息安全技术策略的主要内容 信息安全技术是根据安全策略和功能目标对系统进行组织和配置，使其具 有信息安全所需要的技术结构和功能保证的信息安全相关产品和系统的整体。信息安全技术策略应主要考虑以下内容： 3．1．1 网络布线安全 3．1．2 网络设备安全 网络中心机房安全 A类服务器运行安全 3.1.5数据存储备份安全 3.1.6网络边界安全 3.1.7Internet安全 3.1.8身份认证和访问控制 3.1.9数据库安全 3.1.10病毒防护安全 3.1.11防止黑客攻击安全 3．2如何制定信息安全技术策略 3．2．1对安全的可以从多侧面、多角度入手，安全工程应该是全方位的，应从安全性、可靠性、高效性、可控性和持续性等多方面落实。在结合国家政策法规、性质和规章制度的基础上，考虑安全的方面的要求，提出安全要求与安全级别根据对象单位资产的确认情况，提出不同资产的安全级别。信息与网络系统是分层的所以在进行时也应该根据各层的具体情况分级别提出。 4．2．1安全是一个管理和技术结合的问题。一个严密、完整的管理体制，不但可以最大限度地在确保安全的前提下实现信息资源共享，而且可以弥补安全隐患的部分弱点。管理包括行政性和技术性管理。网络系统能否正常高效地运行，很大程度上取决于是否发挥了它的最大功效，这依赖于系统的管理策略。管理层的安全需求分析就是研究为了保证系统的安全，应该建立一个怎样的管理体制。具体来讲，就是成立什么样的管理机构或部门？负责什么任务？完成什么功能？遵循什么原则？达到什么要求？5.1.1应急预案所针对的关键业务简介：简单描述一下应急预案针对哪些关键 业务，它们对外的依赖关系如何，每种关键业务有哪些关键功能不可中断，系统如何支持这些业务等等。 5.1.2应急预案的目标：要达到什么目的、发挥什么作用。 5.1.3启动应急预案的条件：系统发生故障而15分钟内无法修复正常运行。 5.1.4应急计划前期准备：应急状态下的业务处理方式与正常的业务处理往往 有很大差别。需要做许多准备工作，其中最重要的是基础数据准备。 5.1.5应急模式下的业务流程：采用何种操作方式，如手工、半自动、全自动； 每一业务的处理流程，都要详细阐明应急模式下的操作步骤；对数据的安全性要求，建立相应的事后监督和稽核机制是有力的手段。 返回正常模式：返回正常模式的条件，返回正常模式的过程等。 5．2如何制定应急预案 5.2.1由各单位信息安全工作小组负责执行本项工作； 5.2.2确定关键业务和关键功能； 5.2.3根据业务流程，分析可能出现的不正常情况，并制定相应的应急预案； 5.2.4为所选方案制定实施的详细计划； 5.2.5修改、演练、完善，确认应急预案的有效性。 附录一：医院计算机