网络系统安全制度.docVIP

编 号 NFYZD-XXK-02-2021 版 本 3 制度名称 网络系统安全制度 总页码 4 适用范围 全院 修订日期 2021-06-30 制定部门 信息科 生效日期 2021-07-22 1、目的： 为保证医院信息系统正常运行，保障医院业务发展，严防窃密、失密现象发生，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国保守国家秘密法》、《卫生行业信息安全等级保护工作的指导意见》以及其他相关国家和省有关法律法规，结合医院实际情况，制订本管理制度。 2、参考文件： 《中华人民共和国计算机信息系统安全保护条例》(国务院令147号） 《中华人民共和国保守国家秘密法》(主席令第二十八号） 《卫生行业信息安全等级保护工作的指导意见》(卫发办[2011]85号) 3、内容： 3.1本制度所称的医院网络系统是指在医院信息系统中，由计算机及配套设施构成的，按照医院网络信息系统的应用目标和规定，对数据进行采集、加工、存储、传输、检索等处理的人机系统。 3.2医院网络系统安全管理是通过实施身份认证、访问控制与授权管理、数据备份和灾备系统、安全分域及边界防护、防病毒系统、入侵检测、补丁管理、邮件安全网关、远程接入等安全技术和与之相配套的管理制度，保障网络主机及配套设备、设施的安全，网络运行环境的安全，从而达到保障计算机网络系统安全运行和信息安全的目的。 3.3计算机网络系统的建设和应用应遵守上级主管部门颁发的行政法规、用户手册和其他相关规定。网络设备应使用有关部门安全认证的网络安全设备，统一配置和安装，由专人进行参数设置和管理，并形成记录。 3.4信息科负责医院计算机网络系统的安全管理工作，确保对计算机网络系统安全管理的有效性。 3.4.1网络连接管理 3.4.1.1网络安全区域按照模块化的方式分为内部网络（业务、办公等网络）、外联网络（互联网），应严格控制网络联通和隔离，针对不同需求实施相应的安全控制策略。内网外网要求实施物理隔离。 3.4.1.2计算机入网运行必须经信息科批准备案，分配IP地址并安装网络准入客户端后，方可接入网络。未办理入网手续，任何科室和个人不得非法私自将计算机接入医院网络。 3.4.1.3从外网访问内网应符合最小授权的原则，应有接入控制和用户认证机制。 3.4.1.4外网接入点应从严控制，须经医院批准同意后方可允许接入，并应明确外联网络边界的范围，并识别与外部网络连接的信息，在允许访问前实施适当的控制。 3.4.1.5原则上不允许外来人员的设备直接接入内部网络。如果确有需要，应经过信息科主任批准授权，提供专用IP供其使用。 3.4.1.6应严格控制各类网络数据分析设备的使用，确有需求须经过医院领导审批。 3.4.1.7应对重要（敏感）网段进行监控，整个骨干网络区域进行性能、安全和可用性监控，及时发现并防止网络病毒、网络攻击，各类黑客程序的传播。 3.4.1.8存储敏感信息的计算机严禁接入外网。 3.4.2网络配置管理 3.4.2.1应根据不同的设备类型制订相应的安全配置和管理策略，网络端口和服务依据业务最小化原则进行优化。 3.4.2.2应定期对网络设备和配置的安全进行评估，并形成事后跟踪机制。 3.4.2.3应根据业务情况及时维护网络设备配置信息。 3.4.2.4应制订明确的配置备份策略，配置更改后及时备份网络设备配置信息。 3.4.2.5重要网络设备需开启日志功能，并统一通过日志审计系统进行收集和分析。 3.4.3网络用户管理 3.4.3.1网络用户和权限控制须统一管理，用户名和密码策略根据访问控制策略要求进行设置。 3.4.3.2任何人不得以不真实身份使用网络资源，不得窃取他人账号、口令使用网络资源，不得盗用未经合法申请的IP地址入网。 3.4.3.3对网络用户须采用切实可行的监控、管理、审计机制。 3.4.3.4网络用户权限的分配、变更应根据业务要求以权限最小化原则进行。 3.4.4访问控制管理 3.4.4.1应建立访问控制策略，确保使用者只能访问经过明确授权使用的业务。 3.4.4.2应对网络路由进行明确、清晰的控制，确保用户只能经授权访问。 3.4.4.3对网络登录、监控、操作均须经严格的用户认证、操作授权、事件审计。 3.4.4.4应控制对远程登录管理，明确用户在创建、使用过程中的安全控制要求。 3.4.4.5须通过策略设置限制不同的远程登录用户的访问范围及访问权限。 3.4.4.6安全管理人员须定期对远程登录用户的使用情况进行检查和审计。