開篇:寫作不僅是一種記錄,更是一種創(chuàng)造�,它讓我們能夠捕捉那些稍縱即逝的靈感��,將它們永久地定格在紙上。下面是小編精心整理的12篇網(wǎng)絡(luò)安全檢查報告��,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友�����,陪伴您不斷探索和進步�����。
第1篇
根據(jù)吉林省xx局《關(guān)于開展重要信息系統(tǒng)及重點網(wǎng)站安全檢查工作的通知》精神,xx局xx調(diào)查隊成立了網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組,xx林隊長任組長��,制定計劃�����,落實責(zé)任���,落實人員�。同時����,對前郭隊網(wǎng)絡(luò)與信息安全進行了一次全面的清查�。對在清查中發(fā)現(xiàn)的問題及時進行了整改,消滅隱患����,確保了網(wǎng)絡(luò)系統(tǒng)保持良好的運行態(tài)勢���,為前郭調(diào)查隊數(shù)據(jù)安全業(yè)務(wù)工作發(fā)展提供一個強有力的信息支持平臺�����。
一�、組織安排���。xx隊組織成立自查工作小組����,組長為隊長xxx擔(dān)任,由兼職信息系統(tǒng)責(zé)任、運行維護和信息安全管理科室的辦公室人員組成自查工作小組工作人員,按照自查任務(wù)要求,制定具體自查方案,明確本地檢查對象和具體要求���,落實各項保障措施,開展自查工作,撰寫自查報告�����,并填寫相應(yīng)自查表���。
二�����、制度檢查。自查工作小組根據(jù)《關(guān)于開展重要信息系統(tǒng)及重點網(wǎng)站安全檢查工作的通知》����,對前郭隊的網(wǎng)絡(luò)安全工作的基本情況以及網(wǎng)站的安全保護情況的相關(guān)制度進行了檢查���,現(xiàn)有制度有:網(wǎng)絡(luò)與信息安全管理制度����、內(nèi)網(wǎng)計算機與互聯(lián)網(wǎng)連接制度�、終端計算機安全管理制度、桌面安全管理系統(tǒng)制度及其他網(wǎng)絡(luò)安全管理手段及措施制度�。及時發(fā)現(xiàn)了問題���,要求建立健全信息安全年度預(yù)算制度���、信息安全發(fā)展規(guī)劃��。
三、完備設(shè)施�����。自建互聯(lián)網(wǎng)局域網(wǎng)網(wǎng)絡(luò)安全防護措施:xx隊接入互聯(lián)網(wǎng)出口數(shù)量只有一個�����;終端計算機已安裝有效的防病毒軟件��;終端計算機已設(shè)置管理員口令;有專門封網(wǎng)計算機可處理涉密信息�;機房安全中防盜�����、消防����、供電相關(guān)設(shè)施完備。
四、網(wǎng)絡(luò)安全��。重點檢查了xx調(diào)查隊網(wǎng)絡(luò)安全工作的基本情況和網(wǎng)站的安全保護情況�。機房服務(wù)器已設(shè)置防火墻、入侵防御、防病毒網(wǎng)關(guān)等措施;服務(wù)器中不必要的端口和服務(wù)已關(guān)閉�;網(wǎng)站等重要系統(tǒng)數(shù)據(jù)備份完備����;服務(wù)器�、終端計算機已設(shè)置管理員登陸密碼,密碼強度符合要求。
五�、人員管理�。自查過程中發(fā)現(xiàn)的各項問題和漏洞提出整改意見,限期進行整改���。建立落實網(wǎng)絡(luò)安全責(zé)任追究制度,要求提高人員網(wǎng)絡(luò)安全思想意識�,積極開展數(shù)據(jù)保護���、應(yīng)急演練等重點工作�。
第2篇
縣社保局內(nèi)部控制檢查評估工作自查報告
市社保處:
根據(jù)省社保局《養(yǎng)老保險經(jīng)辦機構(gòu)內(nèi)部控制檢查評估工作的通知》(湘社險函71號)文件精神����,按照組織機構(gòu)、業(yè)務(wù)運行�、基金財務(wù)��、信息系統(tǒng)控制、內(nèi)部控制的管理和監(jiān)督等五個方面的具體要求�����,我局不斷細化內(nèi)容����,一一對比�,詳細進行了自查,具體情況報告如下:
一���、組織機構(gòu)控制
一是在進一步建立健全隊伍管理各項規(guī)章制度的基礎(chǔ)上,機構(gòu)職能職責(zé)��、內(nèi)設(shè)機構(gòu)�、人員編制等方面進行了規(guī)范,明確業(yè)務(wù)經(jīng)辦��、基金財務(wù)��、信息系統(tǒng)等內(nèi)部控制活動全過程的崗位設(shè)置及其職責(zé)范圍�。
二是各個股室之間的內(nèi)部控制職責(zé)明確���、業(yè)務(wù)信息傳遞�、反饋、監(jiān)控流程規(guī)范。各項待遇支付時��,首先業(yè)務(wù)審核���、分管領(lǐng)導(dǎo)復(fù)核�,主要領(lǐng)導(dǎo)簽字,做到了各個環(huán)節(jié)互相監(jiān)督制約。
三是多年來,通過思想政治教育、黨風(fēng)廉政教育���、業(yè)務(wù)培訓(xùn)、學(xué)歷培訓(xùn)、規(guī)范業(yè)務(wù)流程�、優(yōu)化崗位設(shè)置等措施�,切實加強了社保經(jīng)辦隊伍尤其是領(lǐng)導(dǎo)班子的思想����、作風(fēng)和業(yè)務(wù)建設(shè),有力地促進了領(lǐng)導(dǎo)班子及經(jīng)辦人員整體素質(zhì)和管理水平的提高�。
二�、業(yè)務(wù)運行控制
一是社會保險登記�、變更、注銷���、年檢、養(yǎng)老保險待遇審核����、待遇計算、基數(shù)核定�、基數(shù)增減核定�����、補繳、繳費基數(shù)修改管理����、欠費數(shù)據(jù)庫管理���、帳戶管理�����、基金收入記賬與對賬管理、領(lǐng)取待遇資格認定�����、待遇支付、系統(tǒng)口令管理���、系統(tǒng)軟件維護管理、信息網(wǎng)絡(luò)安全管理��、數(shù)據(jù)庫安全管理�����,稽核監(jiān)督等主要崗位做到了各崗位之間分工明確�����,各負其責(zé)����,相互制約。
二是積極推行政務(wù)公開���,在我局“社保信息網(wǎng)”及公告欄上公開社保局服務(wù)工作內(nèi)容和職責(zé),辦事依據(jù)����、辦事流程圖����、收費項目及標(biāo)準(zhǔn)���、辦理各項業(yè)務(wù)需提交的主要資料���、違規(guī)違紀(jì)的投訴��、追究辦法及咨詢電話等公諸社會���,提高辦事的透明度����。
三��、各種人事�、文書�����、業(yè)務(wù)、財務(wù)檔案及時留存、歸檔保管,做到建檔有規(guī)定���、調(diào)檔有制度。原始檔案、資料由專人管理��,單位或個人查閱檔案�����,須持介紹信或相應(yīng)的證明�����。
三、基金財務(wù)控制
一是嚴(yán)格執(zhí)行《社會保險基金財務(wù)制度》和《社會保險基金會計制度》和收支兩條線的管理規(guī)定,分別設(shè)立財政專戶���、支出戶,地稅征收的養(yǎng)老保險費及時撥付財政專戶,按月申請資金及時撥付到支出戶��,確保足額發(fā)放�����。對存入銀行的沉淀或當(dāng)期基金�,按其存期照人民銀行規(guī)定的同期城鄉(xiāng)居民儲蓄存款利率計算�,所得利息并入了基金。
二是嚴(yán)格按照《社會保險基金財務(wù)制度》和《社會保險基金會計制度》等有關(guān)規(guī)定��,真實準(zhǔn)確地核算和反映基金的收入、支出和結(jié)余。
三是基金的預(yù)算管理嚴(yán)格按《社會保險基金財務(wù)制度》規(guī)定的內(nèi)容���、方法和程序編制、審批、執(zhí)行�����,在分析本年度預(yù)算執(zhí)行情況及測算下年度基金收支情況的基礎(chǔ)上����,編制基金下年度收�����、支預(yù)算�����,做到了認真、科學(xué)、合理。
四是基金的決算報表由財政部����、勞動保障部統(tǒng)一設(shè)計��、統(tǒng)一布置,我們根據(jù)統(tǒng)一規(guī)定的報表格式���、時間和要求編制年度決算報表,認真填制�、審核�,確保有關(guān)數(shù)據(jù)一致�。
五是按照管理權(quán)限、分級審核的原則���,設(shè)立了原始資料審核、出納�、記帳���、憑證審核�����、登帳、會計資料歸檔、會計負責(zé)人等財務(wù)崗位�。
四���、信息系統(tǒng)控制
開展網(wǎng)絡(luò)技術(shù)信息安全檢查,及時整改隱患�����。一是對本單位信息系統(tǒng)的帳戶��、口令等進行了一次專門的清理檢查��,并及時將軟件更新和升級,消除安全隱患���。二是對全局計算機按型號、出廠編號����、生產(chǎn)日期重新統(tǒng)計備案��,對所有接入局域網(wǎng)的設(shè)備進行了全面安全檢查,對發(fā)現(xiàn)有操作系統(tǒng)存在漏洞����、防毒軟件配置不到位的計算機進行全面升級�����,確保網(wǎng)絡(luò)安全。三是規(guī)范信息的采集���、審核和流程,嚴(yán)格信息審核�,確保所信息內(nèi)容的準(zhǔn)確性和真實性�����。
四是嚴(yán)格禁止辦公內(nèi)網(wǎng)與互聯(lián)網(wǎng)相連����,為了防止人為的或其它意外事件發(fā)生��,使致信息系統(tǒng)的數(shù)據(jù)丟失,采取了異地備份等有效的措施����,保證了各項基礎(chǔ)信息的安全����。
五�����、內(nèi)部控制的管理和監(jiān)督
目前我局稽核審計配備2名專職稽核人員��,每年按照市局任務(wù)要求及社會保險稽核審計程序,編制稽審工作計劃���,對享受待遇人員組織實施稽核,通過查閱社會保險個人帳戶手冊、單位參保人員花名冊�����、繳費基數(shù)核定表��、核實參保時間�����、繳費年限等情況,核查職工個人檔案和待遇資格條件證明原件��,核實享受待遇標(biāo)準(zhǔn)�����,并不定期對各項業(yè)務(wù)進行抽查,及時反饋主要領(lǐng)導(dǎo)及上級業(yè)務(wù)主管部門。
雖然我局經(jīng)辦流程及程序根據(jù)《社會保險經(jīng)辦機構(gòu)內(nèi)部控制暫行辦法》及相關(guān)文件規(guī)定建立和制定���,但有些環(huán)節(jié)還是存在管理上的漏洞和制度缺陷。
六、整改意見或建議
一是優(yōu)化隊伍結(jié)構(gòu),推進機關(guān)效能建設(shè)�����。加強干部培養(yǎng)���、考核和監(jiān)督��,加大輪崗交流和競爭上崗力度���。加強思想政治建設(shè)�,轉(zhuǎn)變觀念�、轉(zhuǎn)變職能、轉(zhuǎn)變作風(fēng),全面提升經(jīng)辦隊伍的綜合素質(zhì)和工作能力��,構(gòu)建學(xué)習(xí)型���、服務(wù)型單位����。
第3篇
21世紀(jì)足信息化的時代,信息化覆蓋面廣、滲透力強��、帶動作用明顯�,是推動經(jīng)濟社會發(fā)展和變革的重要力量,已成衡量一個國家或地區(qū)經(jīng)濟發(fā)展和社會文明進步的重要標(biāo)志。電子政務(wù)足社會信息化發(fā)展的必然,發(fā)展電子政務(wù)對加快轉(zhuǎn)變政府職能�,提高行政效率���,增強政府社會管理和公共服務(wù)能力����,具有重大的推動作用�,同時也是全面貫徹黨的十七大精神�,深入落實科學(xué)發(fā)展觀的重大舉措。隨著電子政務(wù)的發(fā)展和人們對信息依賴程度的逐步提高�,電子政務(wù)的安全問題也越來越突出�����,電子政務(wù)系統(tǒng)中被發(fā)現(xiàn)的安全漏洞越來越多��,針對政府電子政務(wù)系統(tǒng)的攻擊更是層出不窮。隨著經(jīng)濟的發(fā)展政府在電子政務(wù)系統(tǒng)的投入也在不斷增多�,我國的電子政務(wù)發(fā)展口新月異���,在軟硬件建設(shè)上已初具規(guī)模�,但是大部分電子政務(wù)系統(tǒng)都是重建設(shè)��、輕安全��,系統(tǒng)建設(shè)完成后對系統(tǒng)的安全性還不能做到心中有數(shù)。進行電子政務(wù)系統(tǒng)安全測評是掌握已投入使用的電子政務(wù)系統(tǒng)安全性的必要手段。那么如何系統(tǒng)科學(xué)地開展電子政務(wù)系統(tǒng)的安全測評工作呢?本文正是圍繞這個問題對電子政務(wù)系統(tǒng)安全測評的諸多方面進行研究分析的。
2測評方法研究
在電子政務(wù)系統(tǒng)的安全測評中�����,擺在我們面前的測評對象往往是一個龐大的�、錯綜復(fù)雜的信息系統(tǒng),因此采用解決系統(tǒng)復(fù)雜性的科學(xué)方法是做好電子政務(wù)系統(tǒng)安全測評的必然選擇。舉例來說,如果沒有當(dāng)年的系統(tǒng)科學(xué)工程都江堰,就不會有現(xiàn)。��。在富饒的天府之國�����。都江堰水利工程在2008年經(jīng)歷了“5.12”汶川8級毀滅性的大地震之后���,損失甚微�����,這非常值得我們深思�����。都江堰“治水”工程中的系統(tǒng)科學(xué)方法之思想��,與我們今天的“治信息”的思想有著異曲同工之妙。
電子政務(wù)系統(tǒng)安全測評工作的最大特征就是要求瀾評工程師具有“系統(tǒng)科學(xué)”的視野和方法����。在這里“系統(tǒng)科學(xué)”包括以下幾個方面的含義:
一是系統(tǒng)測評中要有嚴(yán)肅的科學(xué)精神��、嚴(yán)謹(jǐn)?shù)墓ぷ髯黠L(fēng)和對標(biāo)準(zhǔn)嚴(yán)格遵守的精神。所有的測評工作都必須嚴(yán)格遵守國家有關(guān)標(biāo)準(zhǔn)規(guī)范并嚴(yán)格遵循鍘評工作流程��,只有這樣才能體現(xiàn)測評結(jié)果的客觀性�、科學(xué)性和公正性。
二是系統(tǒng)測評涉及到方方面面的技術(shù)���,不是一個人就能完全駕馭的,從事測評工作的應(yīng)該是一個團隊���,而不是單獨的一個人,也就是說團隊協(xié)作至關(guān)重要��。
三是測評對象往往不是單一的軟件或硬件��,而是一個龐大復(fù)雜而且處在不斷變化中的信息系統(tǒng)�,這就決定了我們在鍘評過程中不可能僅僅使用一套軟件或是一種方法就能夠完成任務(wù)�,我們需要使用系統(tǒng)科學(xué)的方法。
四是將安全測評系統(tǒng)科學(xué)的方法宣貫給被測評方的相關(guān)管理人員和技術(shù)人員���,即在測評過程中要貫徹“人一機合一”的系統(tǒng)科學(xué)思想。
本文主要按照上述的系統(tǒng)科學(xué)思想對電子政務(wù)系統(tǒng)測評中標(biāo)準(zhǔn)遵守��、“人一機合一”�����、安全控制項的安全測評和系統(tǒng)整體安全測評的方法進行研究。
2.1遵守標(biāo)準(zhǔn)
標(biāo)準(zhǔn)往往只具有指導(dǎo)性而缺乏可操作性,因此要做到嚴(yán)格遵守標(biāo)準(zhǔn)就需要測評機構(gòu)應(yīng)該認真研究信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》��、《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》���、《信息系統(tǒng)安全等級保護基本要求》���、《信息系統(tǒng)安全等級保護測評準(zhǔn)則》等信息安全測評方面的標(biāo)準(zhǔn)����,將其項目逐一細化為可操作性強的作業(yè)指導(dǎo)書���,并編寫各個安全測評控制項的安全檢查方法和測試用例��。另外,溯評前應(yīng)制定測評計劃和測評實施方案等文件�����。
2.2安全控制測評
系統(tǒng)中的各種安全控制(如數(shù)據(jù)安全控制�����、主機安全控制��、網(wǎng)絡(luò)安全控制以及應(yīng)用安全控制等方面的配置情況和其有效性進行訪談、檢查和測試)�,是電子政務(wù)系統(tǒng)安全的基石���,對電子政務(wù)安全控制的溯評也是對系統(tǒng)整體測評的基礎(chǔ)�。
安全控制測評的具體方法是訪談���、檢查和測試�����。訪談是指測評工程師通過與被測評方的相關(guān)管理和技術(shù)人員進行交流和討論,獲取能夠證明系統(tǒng)安全措施有效的證據(jù)�。檢查是指測評工程師通過對測評對象進行觀察��、查驗和分析等活動,獲取能夠證明系統(tǒng)安全措施有效的證據(jù)。測試是指測評工程師按照作業(yè)指導(dǎo)書和測試用例對測評對象進行輸入的活動���,然后查看分析輸出結(jié)果,獲取能夠證明系統(tǒng)安全措施有效的證據(jù)。
測評工作完成后應(yīng)當(dāng)出具一個包括訪談�����、檢查和測試的整體測評技術(shù)報告��。其中訪談部分的內(nèi)容可以貫穿到報告的其他方面檢查報告至少要包括檢查對象�、檢查目標(biāo)��、檢查環(huán)境����、檢查方案��、檢查步驟���、檢查結(jié)論和檢查人員時間等內(nèi)容����;測試報告應(yīng)該至少應(yīng)包括以下內(nèi)容:測試對象���、測試目標(biāo)��、測試環(huán)境����、溯試方案��、測試步驟、測試分析����、測試結(jié)果和測試人員時間等�。
2.2.1數(shù)據(jù)安全測評
數(shù)據(jù)安全測評主要從數(shù)據(jù)的完整性�����、保密性���、可用性和數(shù)據(jù)備份與災(zāi)難恢復(fù)四個方面來考慮�,在測評過程中應(yīng)盡可能的使用硬件或軟設(shè)備來輔助工作,這樣不僅可以提高測評效率�,還有助于提高測評結(jié)果的準(zhǔn)確性��。如我們可以使用Sentinel工具來幫助我們完成數(shù)據(jù)完整性檢查和測試,檢查主機足否配備了檢測程序完整性受到破壞的功能���,并能夠在檢測到完整性錯誤時采取必要的恢復(fù)措施;可以使用Wireshark���、Sniffer等軟件來進行數(shù)據(jù)保密性測試。
2.2.2主機安全測評
根據(jù)相關(guān)國家標(biāo)準(zhǔn)主機安全測評包含8個主要環(huán)節(jié)����,分別為身份鑒別���、自主訪問控制���、強制訪問控制���、安全審計、剩余信息保護��、入侵防范�����、惡意代碼防范和資源控制�。主機安全測評的3種主要手段是安全訪談?wù){(diào)研��、主機安全現(xiàn)場檢查��、主機安全措施有效性測試。
2.2.3網(wǎng)絡(luò)安全測評
網(wǎng)絡(luò)安全測評的主要方面也可以歸結(jié)為8個環(huán)節(jié)�����,即結(jié)構(gòu)安全與網(wǎng)段劃分�����、網(wǎng)絡(luò)訪問控制���、撥號訪問控制���、網(wǎng)絡(luò)安全審計����、邊界完整性檢查�����、網(wǎng)絡(luò)入侵防范����、惡意代碼防范�����、網(wǎng)絡(luò)設(shè)備防護。測評方法也是對上述8個方面,利用訪談、檢查和測試等手段進行分析。
2.2.4應(yīng)用安全測評
從目前信息系統(tǒng)安全漏洞統(tǒng)計來看�,應(yīng)用服務(wù)漏洞比例占據(jù)了80%��。應(yīng)用服務(wù)是整個信息系統(tǒng)的靈魂。伴隨著應(yīng)用服務(wù)功能的多樣化,其存在的漏洞可能性就越多�����,因此應(yīng)用安全測評是整個系統(tǒng)安全測評的重中之重��。應(yīng)用服務(wù)安全常規(guī)的測評對象主要由以下9個環(huán)節(jié)組成�,分別是身份鑒別���、訪問控制��、安全審計����、剩余信息保護、通信完整性、通信保密性����、抗抵賴���、軟件容錯和資源控制���。對于以上內(nèi)容的測評方式���,可以采用前期訪談分析、現(xiàn)場檢查應(yīng)用配置安全和工具檢測測評等手段。
2.3系統(tǒng)整體測評
系統(tǒng)整體測評����,以安全控制測評為基礎(chǔ)���,主要測評分析信息系統(tǒng)的整體安傘性�,系統(tǒng)整體測評涉及到信息系統(tǒng)的整體拓撲�、局部結(jié)構(gòu),也關(guān)系到信息系統(tǒng)的具體安全功能實現(xiàn)和安全控制配置,與特定信息系統(tǒng)的實際情況緊密相關(guān),內(nèi)容復(fù)雜且充滿系統(tǒng)個性。
安全控制間安全測評是指測評分析在同一區(qū)域和層面內(nèi)兩個或者兩個以上不同安全控制之間由于存在連接���、交互、依賴���、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系而產(chǎn)生的安全功能增強���、補充或削弱等關(guān)聯(lián)作用對信息系統(tǒng)整體安全保護能力的影響。
層面間安全測評是指測評分析在同一區(qū)域內(nèi)兩個或者兩個以上不同層面之間由于存在連接�、交互�、依賴��、協(xié)調(diào)��、協(xié)同等相互關(guān)聯(lián)關(guān)系而產(chǎn)生的安全功能增強、補充或削弱等關(guān)聯(lián)作用對信息系統(tǒng)安全保護能力的影響��。
區(qū)域間安全測評是指測評分析兩個或者兩個以上不同物理邏輯區(qū)域之問由于存在連接���、交互��、依賴��、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系產(chǎn)生的安全功能增強、補充或削弱等關(guān)聯(lián)作用對信息系統(tǒng)安傘保護能力的影響。
全面地給出系統(tǒng)整體測評要求的完整內(nèi)容����、具體實施方法和明確的結(jié)果判定方法是很困難的��。測評工程師應(yīng)根據(jù)特定信息系統(tǒng)的具體情況�����,在安全控制測評的基礎(chǔ)上��,重點考慮不同安全控制之間、安全層而之間以及不同安全區(qū)域之間的相互關(guān)聯(lián)關(guān)系�,發(fā)掘這些因素之間相互影響和帶來的安全漏洞��。在本文中我們以滲透測試為例來闡述系統(tǒng)整體測評。滲透測試可以通過某一個安全區(qū)域(或安全控制或安全層面)為立足點��,通過獲取操作權(quán)限�,占領(lǐng)主機并以此為跳板滲透到其他區(qū)域(或安全控制或安全層面),因此滲透測試不失為系統(tǒng)整體測試的一種好方法�����。
滲透測試(penetrationtest)作為一種非常規(guī)測評方法���,任得到授權(quán)后����,以黑客使用的工具、技術(shù)和攻擊手段為主�,對目標(biāo)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)等進行非破壞性入侵��,使用不影響業(yè)務(wù)系統(tǒng)正常運行的攻擊方法進行的測試,從而發(fā)現(xiàn)系統(tǒng)存在的安全隱患�����,檢驗業(yè)務(wù)系統(tǒng)的安全防護措施是否有效,各項安全策略是否得到貫徹落實�。滲透測試的過程是一個層疊���、循序漸進的過程�,其測試手段具備多樣化���、偶然性����、累積性�����、針對性強的特點��。
滲透測試作為安全測評中的一項重要環(huán)節(jié),其意義主要有如下兩種:
(1)凸現(xiàn)最嚴(yán)重的安傘問題����。滲透測試通過各種手段搜集獲取的信息池�,分析建立系統(tǒng)薄弱環(huán)節(jié)�,通過利用漏洞達到入侵目的,驗證了系統(tǒng)嚴(yán)重的安全問題��。
(2)突出信息安全測評重要性����。滲透測試以最直觀的形式,以即在事實證據(jù)向被評估單位提供安全漏洞的潛在威脅風(fēng)險����,起到震撼效果��,消除了部分人員對安全測評工作重要性輕視和質(zhì)疑。
2.4“人一機合一”
我們在測評過程中發(fā)現(xiàn)有些被測評方的管理人員和技術(shù)人員對操作系統(tǒng)安全配置不屑一顧���,他們沒有認識到信息安全遵循的“木桶原理”,即系統(tǒng)安全與否主要取決于“最短板”���。不法人員往往就是利用系統(tǒng)的短板來進行攻擊和滲透。因此在測評過程中應(yīng)該與被測評方進行充分有效的溝通和交流��,這樣我們的安全防范能力才能有所提高�。
3結(jié)語
第4篇
1建設(shè)的背景及意義
由于存在城鄉(xiāng)和區(qū)域醫(yī)療衛(wèi)生事業(yè)發(fā)展不平衡���,資源配置不合理�����,醫(yī)療資源分布不均���,醫(yī)療供需不平衡等情況�,從醫(yī)療衛(wèi)生信息化角度看�,解決上述問題的有效途徑之一是實現(xiàn)各級醫(yī)療機構(gòu)間、城市與縣鄉(xiāng)���、城市與農(nóng)村間的區(qū)域協(xié)同醫(yī)療和信息共享。但由于各醫(yī)療機構(gòu)信息系統(tǒng)各異,底層數(shù)據(jù)結(jié)構(gòu)和網(wǎng)絡(luò)規(guī)劃狀況也不同����,導(dǎo)致醫(yī)院內(nèi)部和醫(yī)院間出現(xiàn)很多信息孤島���,增加了區(qū)域協(xié)同醫(yī)療的難度����。探索整合公共衛(wèi)生服務(wù)資源的有效形式�����,逐步建立統(tǒng)一高效���、資源整合��、互聯(lián)互通、信息共享����、透明公開��、使用便捷、實時監(jiān)管的醫(yī)藥衛(wèi)生信息系統(tǒng)顯得尤為必要�����?���;谛畔⒐蚕砼c協(xié)同的衛(wèi)生信息化建設(shè)工作,實現(xiàn)社區(qū)不同區(qū)域衛(wèi)生信息在醫(yī)院、社區(qū)之間的共享以及基于協(xié)同的開展實施,讓我們對協(xié)同醫(yī)療信息化建設(shè)的共享模式逐漸的清晰化���。
2平臺技術(shù)架構(gòu)
衛(wèi)生信息共享與協(xié)同平臺是為衛(wèi)生信息化提供一個醫(yī)療信息數(shù)據(jù)為核心的開發(fā)和運行平臺,可以使用此平臺快速的定制、開發(fā)和部署衛(wèi)生信息平臺項目�����,來滿足日益增加的電子醫(yī)療信息共享與管理需求�。其包括以下方面:基于衛(wèi)生信息共享與協(xié)同平臺主要包括數(shù)據(jù)中心數(shù)據(jù)層、業(yè)務(wù)服務(wù)層、數(shù)據(jù)交換層�����,硬件網(wǎng)絡(luò)基礎(chǔ)設(shè)施層四個層次�����,還包括貫穿四個層次的標(biāo)準(zhǔn)規(guī)范體系和安全保障體系兩大體系��。數(shù)據(jù)中心層主要是實現(xiàn)基于衛(wèi)生信息共享與協(xié)同平臺的數(shù)據(jù)存儲,需要解決數(shù)據(jù)存儲的結(jié)構(gòu)�����、模型��、內(nèi)容、數(shù)據(jù)庫管理軟件的選型等�。數(shù)據(jù)交換層和業(yè)務(wù)服務(wù)層主要實現(xiàn)基于衛(wèi)生信息平臺的數(shù)據(jù)采集�、交換與共享���,數(shù)據(jù)交換層是直接與外部系統(tǒng)進行溝通的技術(shù)層�,業(yè)務(wù)服務(wù)層是基于數(shù)據(jù)交換層根據(jù)數(shù)據(jù)結(jié)構(gòu)設(shè)計各種業(yè)務(wù)服務(wù)組件來完成平臺數(shù)據(jù)的采集,存儲與共享����。硬件網(wǎng)絡(luò)層是指支撐平臺的硬件設(shè)備和網(wǎng)絡(luò)平臺���。標(biāo)準(zhǔn)規(guī)范體系是平臺中必須遵循和管理的數(shù)據(jù)標(biāo)準(zhǔn)���,是平臺運行和應(yīng)用的數(shù)據(jù)基礎(chǔ)���。安全保障體系是從物理安全到應(yīng)用安全保障整個平臺的正常運營����。
3平臺詳細解決方案
3.1衛(wèi)生信息數(shù)據(jù)中心
數(shù)據(jù)中心要對醫(yī)療衛(wèi)生數(shù)據(jù)的交換與共享進行統(tǒng)一的規(guī)劃�,建立交換與共享數(shù)據(jù)標(biāo)準(zhǔn)和相應(yīng)的標(biāo)準(zhǔn)維護和標(biāo)準(zhǔn)實施機制,指導(dǎo)使用和遵循標(biāo)準(zhǔn)�����,確保標(biāo)準(zhǔn)能夠滿足和適應(yīng)醫(yī)療衛(wèi)生事業(yè)的發(fā)展��。其中電子健康檔案基礎(chǔ)資源庫的建設(shè)是衛(wèi)生信息數(shù)據(jù)中心的重點�。電子健康檔案系統(tǒng)由統(tǒng)一集中開發(fā)��,統(tǒng)一部署���。新建系統(tǒng)時應(yīng)充分考慮與多級衛(wèi)生信息平臺的銜接,遵循相關(guān)數(shù)據(jù)規(guī)范與標(biāo)準(zhǔn),不斷補充����、完善電子健康檔案的信息��。健康檔案是居民健康管理過程的規(guī)范����、科學(xué)記錄�。是以居民個人健康為核心,貫穿整個生命過程�����,涵蓋各種健康相關(guān)因素�、實現(xiàn)多渠道信息動態(tài)收集,滿足居民自我保健和健康管理的信息資源�,各級授權(quán)用戶在遵循相關(guān)隱私保護法律法規(guī)的情況下均可訪問���。它用于全面����、有效�����、多視角地描述健康檔案的組成結(jié)構(gòu)以及復(fù)雜信息間的內(nèi)在聯(lián)系����。
3.2數(shù)據(jù)資源交換平臺
醫(yī)療機構(gòu)內(nèi)部信息系統(tǒng)數(shù)據(jù)交換主要體現(xiàn)在對醫(yī)療機構(gòu)內(nèi)部信息系統(tǒng)業(yè)務(wù)數(shù)據(jù)的采集���、整合以及醫(yī)療機構(gòu)內(nèi)部信息系統(tǒng)之間業(yè)務(wù)聯(lián)動等方面�����。內(nèi)部信息系統(tǒng)業(yè)務(wù)數(shù)據(jù)分布于不同醫(yī)療衛(wèi)生機構(gòu)的不同信息系統(tǒng)之中,因此數(shù)據(jù)采集和整合除在信息基礎(chǔ)設(shè)施建設(shè)上有保障外,還需建立一個覆蓋所有醫(yī)療機構(gòu)數(shù)據(jù)交換平臺,以提供對原有業(yè)務(wù)數(shù)據(jù)的采集服務(wù)和整合服務(wù)����,并為機構(gòu)之間以及業(yè)務(wù)系統(tǒng)之間的聯(lián)動提供支持����。數(shù)據(jù)交換服務(wù)總線ESB是整個衛(wèi)生信息共享與協(xié)同平臺的技術(shù)核心��,ESB通常采用面向服務(wù)的體系結(jié)構(gòu)�。該服務(wù)保證在一個異構(gòu)的環(huán)境中實現(xiàn)信息穩(wěn)定����、可靠的傳輸,為用戶提供一個統(tǒng)一、標(biāo)準(zhǔn)的信息通道��,保證用戶的邏輯應(yīng)用和這些底層平臺沒有任何關(guān)系����,最大限度地提高用戶應(yīng)用的可移植性、可擴充性和可靠性��。提供一個基于應(yīng)用總線的先進應(yīng)用整合理念���,最大限度地減少應(yīng)用系統(tǒng)互聯(lián)所面臨的復(fù)雜性�。系統(tǒng)的實現(xiàn)維護都相對簡單,保證每一個應(yīng)用系統(tǒng)的更新和修改都能夠?qū)崟r地實現(xiàn)����;同時當(dāng)新的應(yīng)用系統(tǒng)出現(xiàn)時能夠簡便的納入到整個IT環(huán)境當(dāng)中���,與其它的應(yīng)用系統(tǒng)相互協(xié)作����,共同為用戶提供服務(wù)���。衛(wèi)生信息共享與協(xié)同系統(tǒng)是由分布在區(qū)域內(nèi)各衛(wèi)生相關(guān)機構(gòu)孤立的業(yè)務(wù)應(yīng)用系統(tǒng)整合而成���,正確地認識和處理好各業(yè)務(wù)應(yīng)用系統(tǒng)在數(shù)據(jù)資源建設(shè)上的相互銜接和互為補充的協(xié)作關(guān)系�,在區(qū)域?qū)用鎸崿F(xiàn)跨領(lǐng)域����、跨系統(tǒng)的數(shù)據(jù)資源整合�,是實現(xiàn)相關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)共同支撐全程一體化健康管理服務(wù)的重要基礎(chǔ)���。衛(wèi)生信息共享與協(xié)同系統(tǒng)應(yīng)在做好衛(wèi)生信息資源規(guī)劃和數(shù)據(jù)標(biāo)準(zhǔn)化基礎(chǔ)上�,實現(xiàn)業(yè)務(wù)數(shù)據(jù)中心的共建共用,滿足“統(tǒng)一高效��、資源共享”的衛(wèi)生信息化建設(shè)總體要求�����。
3.3業(yè)務(wù)高效協(xié)作體系
在信息共享與協(xié)同系統(tǒng)下���,患者首先會在附近的基層衛(wèi)生服務(wù)機構(gòu)接受基本診療�,必要時轉(zhuǎn)診到?���?漆t(yī)院或綜合醫(yī)院,醫(yī)療機構(gòu)間的協(xié)作在信息系統(tǒng)的支持下更加密切、規(guī)范和高效�����?��;颊叩交鶎有l(wèi)生服務(wù)機構(gòu)首診��。基層醫(yī)生問診后�,判定需要在檢驗中心(或上級醫(yī)院)為患者進行進一步化驗��,為此基層醫(yī)生開具協(xié)作檢驗申請單,并采集患者標(biāo)本����,送到檢驗中心���。檢驗中心接收標(biāo)本并執(zhí)行基層醫(yī)生的協(xié)作申請����,然后將檢驗報告成共享文檔���,并通知基層醫(yī)生調(diào)閱�。基層醫(yī)生根據(jù)檢驗結(jié)果為患者確診����,進行基本的治療��。根據(jù)患者病情需要,基層醫(yī)生為患者開具雙向轉(zhuǎn)診單,及時將病情較重的患者轉(zhuǎn)到上級醫(yī)院治療�。上級醫(yī)院在患者病情得到控制����,進入康復(fù)期后�,可以將患者轉(zhuǎn)回社區(qū)繼續(xù)康復(fù)醫(yī)療。其中用到的技術(shù)是�,索引服務(wù)全面掌握區(qū)域衛(wèi)生信息平臺所有關(guān)于居民的健康信息事件�,包括居民何時���、何地�����、接受過何種醫(yī)療衛(wèi)生服務(wù),并產(chǎn)生了哪些文檔。索引服務(wù)主要記錄兩大類的信息����,一是醫(yī)療衛(wèi)生事件信息�����,另一為文檔目錄信息。基于交叉索引機制的TradingCommunityArchitecture(TCA)組件來統(tǒng)一管理人員信息,而在平臺中,人員管理服務(wù)就是通過強大的TCA模型中的人員匹配和合并功能來實現(xiàn)的。這些服務(wù)提供了全面的數(shù)據(jù)結(jié)構(gòu)來存儲人員信息����,同時也提供了豐富的API可以用來建立����,更新,激活以及鎖定人員記錄。系統(tǒng)能夠自動偵測到重復(fù)的病人��,員工以及相關(guān)人員的信息�,通過TCA的用戶界面,可以方便的完成這些重復(fù)記錄的合并工作,從而大大提高了系統(tǒng)中存儲的人員信息的質(zhì)量,降低出錯的風(fēng)險。
3.4硬件網(wǎng)絡(luò)設(shè)施平臺
衛(wèi)生信息共享與協(xié)同平臺網(wǎng)絡(luò)基礎(chǔ)設(shè)施平臺由內(nèi)��、外兩大網(wǎng)絡(luò)部分組成�。外部網(wǎng)絡(luò)對外收集和提供信息,內(nèi)部網(wǎng)進行信息管理和系統(tǒng)開發(fā)���,兩網(wǎng)之間用防火墻分隔。外部對內(nèi)部網(wǎng)絡(luò)的訪問則需要通過地址映射��,身份查詢等一系列安全檢查機制才能進行�,訪問策略的制定是靈活的,可根據(jù)具體情況隨機配置����。內(nèi)部網(wǎng)絡(luò)再分子網(wǎng)����,依據(jù)功能�����、性質(zhì)劃分,子網(wǎng)間的訪問也是受控的�����。外部網(wǎng)絡(luò)的安全性主要依靠“虛擬專用網(wǎng)”的功能和路由器上的訪問控制表來保障�����。運維管理中心應(yīng)具備監(jiān)視和控制的手段����,避免網(wǎng)絡(luò)擁塞和信息流的非必要的重復(fù)性傳輸�。整個平臺應(yīng)采用先進的網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全措施與策略,網(wǎng)絡(luò)管理及安全策略應(yīng)從系統(tǒng)管理的角度出發(fā),實現(xiàn)網(wǎng)絡(luò)��、應(yīng)用系統(tǒng)����、數(shù)據(jù)庫與主機系統(tǒng)以及安全防護措施和策略的一體化管理,選擇適當(dāng)?shù)姆阑饓蛿?shù)據(jù)加密技術(shù)。#p#分頁標(biāo)題#e#
3.5安全保障體系
信息共享與協(xié)同平臺的可靠安全的運行不僅關(guān)系到數(shù)據(jù)中心本身的運行,還關(guān)系其他業(yè)務(wù)相關(guān)系統(tǒng)的運行���,因此它的網(wǎng)絡(luò),主機,存儲備份設(shè)備�,系統(tǒng)軟件����,應(yīng)用軟件等部分應(yīng)該具有極高的可靠性�����;同時為保守企業(yè)和用戶秘密,維護多方的合法權(quán)益���,數(shù)據(jù)中心應(yīng)具備良好的安全策略,安全手段����,安全環(huán)境及安全管理措施����。而貫穿整個體系的是安全管理制度和安全標(biāo)準(zhǔn)�,以實現(xiàn)非法用戶進不來,無權(quán)用戶看不到����,重要內(nèi)容改不了�,數(shù)據(jù)操作賴不掉��。
3.6標(biāo)準(zhǔn)規(guī)范管理方案
平臺的標(biāo)準(zhǔn)規(guī)范由一系列的規(guī)范�、機制�����、制度組成����。標(biāo)準(zhǔn)規(guī)范體系包含數(shù)據(jù)標(biāo)準(zhǔn)規(guī)范、技術(shù)標(biāo)準(zhǔn)規(guī)范����、管理標(biāo)準(zhǔn)規(guī)范���、業(yè)務(wù)標(biāo)準(zhǔn)四個部分。公共數(shù)據(jù)元標(biāo)準(zhǔn)���、公共代碼標(biāo)準(zhǔn)、公共數(shù)據(jù)存取規(guī)范����、數(shù)據(jù)交換規(guī)范�����。通過技術(shù)標(biāo)準(zhǔn)規(guī)范支持醫(yī)院、業(yè)務(wù)系統(tǒng)和信息平臺之間的數(shù)據(jù)級和應(yīng)用級整合�,并提高業(yè)務(wù)系統(tǒng)之間的應(yīng)用集成����、互聯(lián)互通的能力��。標(biāo)準(zhǔn)管理��、安全管理、數(shù)據(jù)管理���、項目管理,用于指導(dǎo)信息平臺日常運行管理����、數(shù)據(jù)維護管理��。獨立業(yè)務(wù)標(biāo)準(zhǔn)由業(yè)務(wù)部門制定,關(guān)聯(lián)業(yè)務(wù)標(biāo)準(zhǔn)由信息平臺統(tǒng)籌��,協(xié)調(diào)各業(yè)務(wù)機構(gòu)聯(lián)合制定��。數(shù)據(jù)標(biāo)準(zhǔn)包括業(yè)務(wù)數(shù)據(jù)采集標(biāo)準(zhǔn)����,健康檔案標(biāo)準(zhǔn)���,統(tǒng)計數(shù)據(jù)標(biāo)準(zhǔn)����,共享數(shù)據(jù)標(biāo)準(zhǔn)��,交換數(shù)據(jù)標(biāo)準(zhǔn)及醫(yī)療信息國際標(biāo)準(zhǔn)�����。信息共享與協(xié)同平臺是各個業(yè)務(wù)機構(gòu)的基礎(chǔ)平臺,主要為各應(yīng)用軟件提供接口服務(wù),提供統(tǒng)一的標(biāo)準(zhǔn)�����。因此要針對不同機構(gòu)的不同業(yè)務(wù)����,制定統(tǒng)一的應(yīng)用服務(wù)接口標(biāo)準(zhǔn)體系,該標(biāo)準(zhǔn)體系是數(shù)據(jù)交換的保證。所有接入該平臺的應(yīng)用軟件系統(tǒng),都必須遵循這個統(tǒng)一的接口標(biāo)準(zhǔn)��。同時建立標(biāo)準(zhǔn)管理制度�����,保證標(biāo)準(zhǔn)持續(xù)性的升級與完善�。
