網絡安全責任管理制度
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全責任管理制度范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全責任管理制度范文第1篇
第一章
總
則
第一條
為明確網絡安全事故責任主體(以下簡稱“責任主體”),追究網絡安全事故的責任,結合醫院實際情況,制定本制度。責任主體的范圍包括科室或個人等。
第二條
負責追究責任主體事故責任的單位或個人統稱為責任追究主體,主要為衛計部門網絡安全領導小組和蒲窩鎮衛生院網絡安全工作領導小組。
第三條
本制度適用于蒲窩鎮衛生院所有科室,各科室根據本制度落實具體網絡安全工作。
第四條
網絡安全事故責任認定實行“誰主管誰負責、誰使用誰負責”的原則。
第五條
發生網絡安全事故后,應根據安全事件造成的影響及相關責任主體的態度,作出如下處理:
(一)
批評教育。包括責令責任主體檢查、誡勉談話等;
(二)
書面檢查。責令責任主體向主管領導作出書面檢查;
(三)
通報批評。在衛健系統范圍內對責任主體發文通報,責令整改;
(四)
一般處理。降低或扣除責任主體的月薪補貼,將事故寫入月度或年度考核中;
(五)
嚴肅處理。追究網絡安全事故發生負有領導責任的負責人的管理責任,發生嚴重網絡安全事故的,對相關責任人處以罰款、責令其賠償事故損失、通報批評、降職處理、直至開除。
(六)
報警處理。嚴重損壞社會或國家利益的,上報當地公安部門處理。
第六條
責任追究應當堅持公平公正、有責必究、過罰相當、教育與懲戒相結合的原則。
第二章
責任追究范圍和適用
第七條
責任主體有下列行為之一者,應對其進行批評教育或責令作出書面檢查:
(一)
發生一般或較大安全事件,未按要求上報的;
(二)
未按規定落實相關網絡安全管理制度及技術規范,且未導致安全事件發生的;
(三)
發生重大安全事件后,對調查工作配合不力的。
第八條
責任主體有下列行為之一者,應當責令其作出書面檢查或通報批評:
(一)
發生重大安全事件,未按要求上報的;
(二)
未按規定落實相關網絡安全管理制度技術規范,導致一般或較大安全事件發生的;
(三)
發生重大或特別重大安全事件,且發生安全事件后處理及時,未對醫院財產或聲譽造成影響的;
(四)
經過批評教育或責令作出書面檢查后,仍不按規定落實相關網絡安全管理制度及技術規范的;
(五)
發生特別重大安全事件后,對調查工作配合不力的。
第九條
責任主體有下列行為之一者,應當予以通報批評或一般處理:
(一)
發生特別重大安全事件,未按要求上報的;
(二)
發生重大或特別重大安全事件,且發生安全事件后處理不及時,給醫院財產或聲譽帶來一定影響的;
(三)
發生特別重大安全事件后,對調查工作不配合的。
第十條
責任主體有下列行為之一者,應當予嚴肅處理,情況十分嚴重者應報警處理:
(一)
發生重大或特別重大安全事件造成后果嚴重并刻意隱瞞或謊報,造成惡劣影響的;
(二)
未按規定落實相關網絡安全管理制度及技術規范導致發生重大或特別重大安全事件,且發生安全事件后處理不及時,給醫院財產或聲譽帶來惡劣影響的;
(三)
發生安全事件后銷毀證據、弄虛作假的。
第十一條
對應追究責任主體責任而敷衍結案、弄虛作假的,應當對責任追究主體通報批評。
第十二條
有下列情形之一者,不追究責任主體的責任:
(一)
因不可抗力導致發生的網絡安全事故;
(二)
有充分證據證明完全落實了相關安全要求,由未知原因導致網絡安全事故發生的。
第十三條
責任主體主動承認過錯并及時修補管理或技術漏洞,減少損失、挽回影響,態度非常好的,應當予以從輕或減輕責任追究。
第三章
責任追究程序和實施
第十四條
責任追究過程采用層層負責制,下級責任追究主體對上級責任追究主體負責。
第十五條
責任追究程序包括調查、對調查報告審核、作出責任追究決定等。
第十六條
對網絡安全事故的調查和對事故責任的初步定性由醫院網絡安全工作領導小組及醫院網絡安全工作領導小組辦公室負責,并對調查報告進行審核。
第十七條
調查報告的審核重點:
(一)
事故的事實是否清楚;
(二)
證據是否確實、充分;
(三)
性質認定是否準確;
(四)
責任劃分是否明確。
第十八條
責任追究決定:
(一)
對責任主體作出批評教育、責令作出書面檢查、通報批評時,由醫院網絡安全工作領導小組直接決定。
(二)
對責任主體作出一般處理、嚴肅處理時,由責任主體所在科室或上級部門網絡安全工作領導小組安全辦公室、人事、主管部門共同作出決定,并報網絡安全工作領導小組審批通過后執行。
第十九條
對責任主體的追究決定由人事、財務、相對應的主管部門、網絡安全工作領導小組辦公室等職能部門分別負責實施。
第四章
附
則
第二十條
本制度解釋權歸屬蒲窩鎮衛生院醫院網絡安全工作領導小組辦公室。
第二十一條
本制度自之日起執行。
網絡安全責任管理制度范文第2篇
一、嚴格執行網絡安全制度,壓實網絡安全責任
****制定了《國家統計局**調查**網絡信息安全管理辦法》《國家統計局**調查**網絡安全應急預案》,明確**長為第一責任人,信息管理員為管理責任人,計算機使用人為直接責任人,嚴格執行網絡安全責任制,壓實網絡安全責任。
****對網絡安全工作提出明確要求,要求全體干部職工在使用計算機及其設備時嚴格貫徹《應急預案》要求,及時截圖、拍照、斷網并通知信息管理員,在發生網絡安全事件(故)時****信息管理員第一時間上報總**,便于后續檢查處理。
二、高度重視網絡安全工作,加強檢查組織領導
****高度重視2019年網絡安全檢查工作,在接到通知后及時召開**委會擴大會議研究網絡信息安全工作,會上全文學習了總**《關于開展全省調查**系統2019年網絡安全檢查工作的通知》,成立了以**長為組長,辦公室負責人、保密人員及信息網絡管理員為組員的網絡安全檢查工作領導小組,壓實網絡安全檢查責任,為網絡安全自查工作提供了組織保障。
三、全面開展網絡安全自查,開展“三大安全”排查
****根據《通知》要求嚴格開展自查工作,嚴格落實工作責任,加強日常監督檢查,重點抓好“三大安全”排查。
(一)網絡安全排查。
****對全**個人IP地址重新梳理、登記,檢查全**人員開機密碼是否符合網絡信息安全工作要求,并提醒要定期修改開機密碼以保障信息安全;檢查是否安裝并使用電腦安全客戶端、北信源、Office等正版軟件,是否及時更新系統補丁和防病毒軟件病毒庫,是否使用專殺軟件進行全盤掃描、查殺病毒,是否及時刪除死鏈、壞鏈,是否關停不再使用的各類主機和應用,是否關閉不必要的服務和端口。目前****全體工作人員個人辦公計算機均滿足上述要求,不存在因漏洞導致被入侵利用、傳播病毒和木馬的問題。
****內網網站及微信公眾號設定專人專職管理,對的信息進行嚴格審核,層層把關,定期維護單位內網并更新網站內容,確保信息更新及時,無安全隱患。
****VPN遵循專人管理、專人使用原則,根據總**要求填寫并及時寄送《VPN賬號申請表》,建立了VPN使用臺賬,堅持先申請后使用,確保VPN使用安全可靠。
(二)硬件安全排查。
經過排查,****在用計算機共19臺,每臺計算機均按要求做到了系統補丁到位,殺毒軟件、安全終端軟件安裝到位,遠程控制端口關閉到位,安全密碼設置到位確保網絡安全防線扎實牢靠。
經過排查,****堅持規范化管理辦公相關硬件設備,硬件設備的使用符合國家相關產品質量安全規定,單位硬件的運行環境符合要求,打印機配件、色帶架等基本使用設備原裝產品。
在設備維護方面,****和一家專業可靠的設備維護公司簽訂了設備維護協議,公司來人對設備進行維護時,信息網絡專員全程陪同,進一步規范了設備的維護和管理。
(三)應用安全排查。
****對計算機及其設備實行“誰使用、誰管理、誰負責”的管理制度。在管理方面強化信息安全教育、提高員工計算機技能,通過在**內開展網絡安全知識宣傳,使全體人員意識到網絡信息安全的重要性,要求全體職工自覺做到一是來歷不明的郵件不點擊,可疑的網站不訪問,非正規軟件不安裝,使用U盤光盤傳輸文件時務必先殺毒;二是嚴禁在內外網之間、家用與辦公用之間進行復制和交換與工作無關的文件、程序和游戲;三是下班離開單位前務必關閉終端計算機;四是各專業數據上報平臺由各專業人員修改初始密碼并自行保管;五是禁止將工作文件放到互聯網網盤、云盤,上傳到QQ、微信等群中,并杜絕上傳涉及業務、數據等敏感信息,切實做到“涉密不上網,上網不涉密”。
四、針對自查及時整改,持續推進網絡安全工作
****在自查過程中發現管理方面存在一些薄弱環節,下一步將從以下兩個方面進行整改。
(一)針對機房環境不夠整潔問題,****要求專職人員限期整改,將機房內無關物品挪出,并做好防鼠、防火、防水等安全工作,確保機房環境干凈整潔、安全有序。
網絡安全責任管理制度范文第3篇
一、學校網絡與信息安全工作情況
本次檢查內容主要包含網絡與信息系統安全的管理機構、規章制度、設施設備、網站和信息運行情況、人技防護、隊伍建設等5個方面,同時從物理安全差距、網絡安全差距、主機安全差距、應用安全差距、數據安全及恢復差距等5個方面對主機房和14個信息系統、1個網站進行等級保護安全技術差距分析,通過差距分析,明確各層次安全域相應等級的安全差距,為下一步安全技術解決方案設計和安全管理建設提供依據。
從檢查情況看,我校網絡與信息安全總體運維情況良好,未出現任何一起重大網絡安全與信息安全事件(事故)。近幾年,學校領導重視學校網絡信息安全工作,始終把網絡信息安全作為信息化工作的重點內容;網絡信息安全工作機構健全、責任明確,日常管理維護工作比較規范;管理制度較為完善,技術防護措施得當,信息安全風險得到有效降低;比較重視信息系統(網站)系統管理員和網絡安全技術人員培訓,應急預案與應急處置技術隊伍有落實;加強對學生網絡宣傳引導教育,日常重視微信、微博、QQ群的管理,提倡爭當“綠色網民”;工作經費有一定保障,網絡安全工作經費納入年度預算,在最近一年學校信息化經費投入中,網絡建設與設備購置費用約占56、5%,數字資源與平臺開發費用約占40、6%,培訓費用約占0、6%,運行與維護費用約占1、04%,研究及其他費用約占1、23%,總計投入占學校同期教育總經費支出的比例約1、57%,基本保證了校園網信息系統(網站)持續安全穩定運行。
1、網絡信息安全組織管理
20xx年學校成立網絡與信息安全工作領導小組,校主要領導擔任組長,網絡與信息安全工作辦公室設在黨委工作部,領導小組全面負責學校網絡信息安全工作,教育技術與信息中心作為校園網運維部門承擔信息系統安全技術防護與技術保障工作,對全校網絡信息安全工作進行安全管理和監督責任。各部門承擔本單位信息系統和網站信息內容的直接安全責任。20xx年,由于人動,及時調整網絡安全和信息安全領導小組成員名單,依照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則,明確各部門負責人為部門網站的具體負責人,建立學校網絡信息員隊伍,同時,還組建網絡文明志愿者隊伍,對網絡出現的熱點問題,及時跟蹤、跟帖、匯報。
2、信息系統(含網站)日常安全管理
學校建有“校園網絡系統安全管理(暫行)條例”、“學生上網管理辦法“、“校園網絡安全保密管理條例(試行)”、“校園網管理制度”、“網絡與信息安全處理預案”、“網上信息監控制度”等系列規章制度。各系統(網站)使用單位基本能按要求,落實責任人,較好地履行網站信息上傳審簽制度、信息系統數據保密與防篡改制度。日常監控對象包括主要網絡設備、安全設備、應用服務器等,其中網絡中的邊界防火墻、網絡核心交換機和路由器、學校站服務器均納入重點監控。日常維護操作較規范,多數單位做到了杜絕弱口令并定期更改,嚴密防護個人電腦,定期備份數據,定期查看安全日志等,隨時掌握系統(網站)狀態,保證正常運行。
3、信息系統(網站)技術防護
學校網絡信息安全前期的防控主要是基于山石防火墻、深信服防火墻及行為管理軟件,20xx年為加強校園網絡安全管理,購置了“網頁防篡改、教師行為管理、負載均衡”等相關安全設備,20xx年二月中旬完成校園信息系統(含網站)等級保護的定級和備案,并上報xxx市網安支隊。同時,按二級等保要求,約投資110萬元,完成“網絡入侵防御系統、網絡安全審計系統、運維審計-堡壘機系統、服務及測評及機房改造(物理安全)”等網絡安全設備的采購工作,目前,方案已經通過專家論證。
20xx年4月-6月及20xx年3月對網站系統進行安全測評,特別對系統層和應用層漏洞掃描,發現(教務管理系統、教學資源庫)出現漏洞,及時整改,并將結果上報省教育廳、省網安大隊、xxx市網安支隊。同時,對各防火墻軟件7個庫進行升級,對服務器操作系統存在的漏洞及時補丁和修復,做好網站的備份工作等。
4、網絡信息安全應急管理
20xx年學校制定了《xxx職業技術學校網絡與信息安全處理預案》、《xxx職業技術學校網絡安全和學生校內聚集事件應急處置預案》。教育技術與信息中心為應急技術支持單位,在重大節日及敏感時期,采用24小時值班制度,對網絡安全問題即知即改,確保網絡安全事件快速有效處置。
二、檢查發現的主要問題
對照《通知》中的具體檢查項目,我校在網絡與信息安全技術和安全管理建設上還存在一定的問題:
1、由于學校信息化建設尚處于起步階段,學院數據中心建設相對薄弱,未建成完善的數據中心共享體系,各應用系統的數據資源安全及災備均由相關使用部門獨自管理。同時,網絡安全保障平臺(校園網絡安全及信息安全等級保護)尚在建設中。
2、部分系統(網站)日常管理維護不夠規范,仍存在管理員弱口令、數據備份重視不夠、信息保密意識較差等問題;學校子網頁網管員為兼職,投入精力難以保證,而且未取得相應資格證書;由于經費問題,個別應用系統未能及時升級,容易發生安全事故。
3、目前尚未開展網絡安全預案演練,還未真正組建一支校內外聯合的網絡安全專家隊伍,未與社會企業簽訂應急支持協議和完成應急隊伍建設規劃。
三、整改措施
針對存在的問題,學校網絡與信息安全工作領導小組專門進行了研究部署。
1、全面開展信息系統等級保護工作。按照相關《通知》要求,20xx年8月底全面完成網絡安全保障平臺建設,根據系統在不同階段的需求、業務特性及應用重點,采用等級化與體系化相結合的安全體系設計方案,形成整體的等級化的安全保障體系,同時根據安全技術建設和安全管理建設,保障信息系統整體的安全。
2、完善網絡安全管理制度。根據等級保護要求,進行信息安全策略總綱設計、信息安全各項管理制度設計、信息安全技術規范設計等,保障信息系統整體安全。
網絡安全責任管理制度范文第4篇
[關鍵詞]醫院;信息化;系統;安全建設;重要性
doi:10.3969/j.issn.1673 - 0194.2016.18.108
[中圖分類號]R197.324 [文獻標識碼]A [文章編號]1673-0194(2016)18-0-02
醫院信息化系統安全防護措施的建設對保證醫院系統的安全性和穩定性具有重要的意義,其網絡安全管理水平直接關系到醫院中各個醫療部門的正常運作。一旦出現信息安全問題,將會導致網絡癱瘓、大量數據丟失,為醫院的正常運行和患者帶來難以彌補的損失。因此,醫院應建立健全信息化系統安全防護體系,制定相關的安全防護措施,從而建立高效、安全、穩定的醫院信息化體系。
1 醫院信息化系統建設的基本手段
1.1 建立完善的網絡安全管理制度
建立完善的網絡安全管理制度是醫院信息化系統建設的基本制度保障,科學的網絡安全管理制度能夠保障網絡運營的安全性及穩定性。為此,醫院應根據自身需求,對網絡系統進行科學管理,制定與各部門相關的網絡安全執行規定。同時,對醫院人員進行定期網絡安全知識培訓,使醫護人員能夠科學地利用信息化網絡,促進醫療服務水平的提高。通過培訓提升網絡意識以及制定安全管理制度兩方面展開工作,從制度上及意識上提升網絡安全的執行效率,提高人們的安全意識。另外,落實網絡安全責任制,將醫院的各個環節網絡安全工作責任落實到人,促進團隊到個人的監督工作,通過層層問責、層層監督的形式,實現網絡安全管理,與此同時,也能夠實現網絡安全人人有責,提升醫護人員網絡安全的責任心,使之能夠更加用心地維護網絡安全、科學使用網絡,避免由于個人操作失誤、人為破壞及意外泄露等原因造成網絡安全問題。
1.2 加強人員管理與制度管理
醫院的信息化系統與網絡安全管理制度歸根結底是人在使用,因此在進行網絡安全建設過程中最重要的是對人的管理。第一,對人員素質及人員品質進行考核,促進人員集體意識及服務意識的加強,摒棄個人利己主義,以防止由于利益、職位等因素造成醫院數據及信息的泄露。第二,在對人員素質品質進行考核的基礎上要有針對地進行網絡安全培訓,提升網絡操作的科學性,通過培訓給予醫護工作者正確的網絡使用指引,引導醫護工作者充分利用信息系統提供醫療服務的同時能夠自覺維護網絡安全。第三,針對一些重要的部門以及人員信息應進行網絡隔離監管。由于某些部門數據的重要性以及文件的機密性,信息一旦泄露將會造成不可估量的損失,因此針對一些重要的部門以及人員信息應進行網絡隔離監管,使重要數據以及醫院機密文件得以保持其機密性,防止黑客攻擊或網絡漏洞造成的數據泄露,使醫院的重要信息包括患者病例以及醫院人事檔案等外泄。通過以上三點具體措施來促進人對制度進行科學管理,同時也實現制度對人的行為的監督制約作用。以此促進二者協調可持續發展。
1.3 完善網絡應急管理措施及事故處置方案
完善的網絡安全應急措施以及事故處置方案,能夠在網絡安全災難發生后切實減少網絡癱瘓時間,及時恢復系統及數據,降低事故損失。為此,完善的網絡應急管理措施應包括:網絡監督維護工作、數據檔案備份工作及事故應急處理工作。網絡監督維護工作主要是指對網絡安全系統的漏洞進行及時排查、修復,對可能存在的風險予以規避,避免由于監督疏忽造成的病毒侵入等問題。數據檔案備份工作是指利用備份軟件進行有層次有部門的數據備份工作,使醫院系統數據有一個較完整的備份,一旦發生網絡安全問題,可以及時恢復數據,盡可能地減少數據丟失問題。而事故應急處理工作是對網絡安全事故第一時間做出反應,以減小事故損失及社會影響為基本著眼點,采取應急措施等一系列事故應急方案,保障事故的影響降低到最小.
2 醫院信息化系統安全建設的重要性
2.1 促進醫院系統的正常運行以及數字化管理
由于網絡信息化實現了電子化病例與地域醫療系統等信息化手段的結合,為醫療工作提供了大量的醫療信息,保證了醫療手段的先進性以及獲取病患信息的及時性。目前,醫院各個繁雜的項目都極其依賴于網絡的功能性,因此醫院網絡必須保證其安全覆蓋24小時安全運營。故而醫院網絡系統的安全性對醫院能否正常運行具有重要的影響作用,同時對病患得到及時高效的就醫具有重要作用。可以說,醫院系統安全建設是保證醫院網絡安全運行的前提及數字化管理的重要手段。在目前醫療系統的不斷推進過程中,醫院的信息網絡具有較強的開放性,在給患者帶來便利的同時,在一定程度上為醫院的網絡安全帶來隱患。醫院進行信息化系統安全建設時要做好實時監督,并化解醫院信息網絡中存在的風險,最大限度使醫院各個系統避免網絡攻擊帶來的侵害,且規避網絡泄露對醫院造成的經濟損失和社會影響,確保醫療系統的正常運行,保證醫院各項工作的順利開展。
2.2 優化工作環境,提高醫護工作效率
安全的網絡信息系統能夠促進系統的有序進行,優化醫院的就醫環境,提高醫護的工作效率及病患的就醫體驗。應用信息系統,患者可以通過網絡掛號、預約,醫護人員通過信息化系統查看患者的病例以及檢查結果,形成電子病歷,同時針對外地客戶通過互聯網能夠及時地獲取病患病史及醫治信息,優化患者看病的程序,減少患者等待時間,實現醫療模式的規范化,為患者提供更加優質的醫療服務。另外,針對敏感性部門以及管理層人員的網絡,采取子網分離的安全隔離措施能夠有效地排除不允許訪問用戶的訪問請求,減少信息泄露的可能,提高重要數據和機密文件的安全性和保密性,使各部門處于安全有序的信息化系統環境中,提升醫護人員的工作效率,促進現代醫療機構管理水平的全面提升。
2.3 優化經費管理,提高經濟效益
安全的信息化系統能夠有效防止人為惡意入侵,降低人為更改系統內數據的可能性,保證系統內數據的真實有效性。通過信息化系統,能夠清晰地查看醫院的醫療經費和物資管理,實現經費的合理利用,減少醫院不必要的開支,提高經濟效益。同時,針對于病患的醫藥費,患者可以通過醫院各角落的終端實現藥品劃價,使醫患就醫實現公平透明化,解決患者的就醫疑問。通過安全的信息化系統管理,能夠優化財政系統,減少醫療經費管理漏洞,提高患者就醫費用的透明度,保護醫患雙方利益。
2.4 能夠提高醫護人員網絡安全意識
醫院信息化系統安全的建設能夠促使醫院實現科學的網絡安全管理制度,提高醫院工作人員的網絡安全意識,以使工作人員在進行醫療系統使用時,注重安全細節,減少不當的網絡利用行為,例如:不在網絡終端機上使用U盤、光驅等外界存儲,不在終端機上拷貝等以防止病毒的偶然入侵以及數據信息的泄露。與此同時,建立網絡安全信息要求各個系統的使用者建立難度系數較高的口令,以提高系統的安全性。
2.5 提升應對病毒的能力
目前,由于信息科技手段的不斷提高,計算機病毒水平也不斷復雜化,建立安全的信息化系統能夠有效地預防病毒的侵入,通過殺毒軟件部署及時修復系統漏洞,減少系統的缺陷性,使病毒無處可侵。與此同時,實現網絡系統安全化能夠實現網絡安全管理者對客戶端應用程序進行管控,提升病毒應對能力、病毒檢測及病毒修復能力,有效的病毒應對能力,能夠提升網絡系統的安全性。而安全的網絡系統能夠不斷提升病毒應對能力,兩者相互作用能促進醫院信息系統處于優化循環中。
3 結 語
醫院信息化系統安全建設能夠行之有效地為患者提供透明化的服務,使之賬目透明,用藥透明及管理透明,提高患者對醫院消費的了解程度,減少醫患糾紛。基于安全的網絡信息系統下的醫院能夠利用數字化管理提升管理工作簡潔性真心落實醫院“以人為本”的管理理念,促進管理的有序進行,推動現代醫院管理制度的完善。
主要參考文獻
網絡安全責任管理制度范文第5篇
一、生機與準危機中的檢察信息系統
我國檢察機關
的信息化建設從2000年起步至今,經歷了由點及面,由弱漸強的發展階段,并在全國范圍內初步形成了較為系統的信息一體化網絡。隨著“科技強檢”進程的逐步深入,檢察人的傳統思維和工作模式勢必會經歷前所未有的變化。也正是在這種網絡化日盛的趨勢下,檢察機關的信息化建設成為了檢察事業發展的重要課題。
1、檢察信息網絡建設的現狀
按照高檢院“213”工程和全國檢察機關信息化建設工作“統一規劃、統一技術、統一規范、統一應用軟件和統一歸口管理”的原則,目前全國省市級檢察機關的二級專線網絡已經逐步進入應用階段,市級院與省級院以及省級院與高檢院之間的專線電話、視頻會議和計算機數據傳輸的“三網合一” 也基本能夠實現,而且一些技術較為先進的地區也率先完成了三級專線網絡的搭建。部分基層檢察院的內部局域網絡已經能夠將檢察業務、辦公事務、綜合業務和全面檢索等應用系統運用于實際的檢察工作中,同時依靠較為成型的網絡系統,并輔之以充足的數據庫資源,保證了上下級院之間直接的視頻、數據、語音的傳輸,并基本滿足了與其他兄弟院之間進行廣泛數據交換的互聯要求。
2、檢察信息系統的應用狀況與面臨的困惑
檢察信息系統是檢察業務工作同以計算機技術為核心的信息技術相結合的產物,是管理科學與系統科學在檢察業務實踐中的具體應用。檢察信息化水平的高低是判斷檢察工作的重要標尺。目前在我國,檢察機關已不同程度地將計算機作為辦公、辦案的必要輔助工具,檢察人員的計算機應用能力較之幾年前有了相當程度的提高,檢察業務軟件、網絡辦公軟件以及其他的輔助處理軟件也普遍地應用于日常的工作之中。同時,相當一部分檢察院已經開通了網站,并通過這一媒介,信息、收集反饋,形成了具有自身特色的網絡工作平臺。可以說,檢察信息化的不斷普及為全面建設和完善檢察信息系統提供良好的契機,同時也奠定了應用與發展的必要基礎。
當然,在肯定成績的同時,我們也應清醒地認識到現階段檢察信息化建設中存在的諸多不足。首先,目前我國檢察機關信息化建設還處于剛剛起步階段,網絡應用水平普遍不高,絕大多數的應用還僅局限于檢察業務的某些小的領域,單項應用較為普遍,大而全、廣而深的應用體系尚未成型。其次,檢察信息技術主要仍以平民技術為主,專業化、職業化的應用并不理想,在缺乏相關專業人才的情勢下,技術水平較為幼稚,系統的標準化、通用性和易用性都還處于較低的層面。再則,目前檢察機關網絡信息化建設與檢察業務實際存在明顯的脫節,檢察業務軟件的開發與維護還有許多不盡如人意之處,檢察信息系統的網絡互連效果以及安全保密功能還有待進一步加強。
客觀地講,當前的檢察信息系統仍處于探索和成型階段。做個不形象的比喻,如果將未來成熟的檢察信息系統擬制為一個健康的成年個體的話,目前的檢察信息網絡則像一個處在哺乳期的嬰兒,四肢俱全,生機無限,但未脫襁褓,需要給予更多的關注。
二、流行在檢察信息系統中的sars――網絡不安全因素。
網絡中的不安全因素,之所以稱其為sars,并非危言聳聽。在當前的檢察信息網絡中,存在著種種高危的“致病”因素。這些因素往往顯見的或潛在的、習慣的或不經意的影響著檢察信息系統的穩定和安全。
1、病毒入侵與黑客攻擊
網絡病毒的入侵、感染與黑客的惡意攻擊、破壞是影響當前檢察信息網絡安全的主要因素。目前,全球發現的病毒數以萬計,并以每天十種以上的速度增長,可以說每時每刻網絡都在經受著新的病毒或其變種的沖擊。通過網絡渠道傳播的蠕蟲病毒、木馬程序以及腳本病毒,不管從傳播速度、破壞性還是波及范圍都讓人不可小視。
而對于網絡系統而言,黑客攻擊較之病毒威脅則更加讓人防不勝防。互聯網20多萬個黑客網站上,提供了大量的黑客技術資料,詳細地介紹了黑客的攻擊方法,并提供免費的攻擊軟件。在網絡立法十分匱乏、跟蹤防范手段有限的今天,面對網絡黑客針對操作系統以及應用軟件漏洞的頻繁地、具有隱蔽性的攻擊,我們所要承受的威脅往往是毀滅性的。
2、網絡硬件、軟件方面存在的缺陷與漏洞
在軟件
方面,由于網絡的基礎協議tcp/ip本身缺乏相應的安全機制,所以基與此存在的任何網絡都無法擺脫不安全因素的困擾。而目前
廣泛運行在檢察網絡中的微軟windows操作系統更是破綻百出,由于默認的情況下系統開放了絕大多數的端口,所以使得監聽和攻擊變得輕而易舉、防不勝防。再加之相當數量的辦公軟件與網絡軟件自身開發的局限性,存在著這樣或那樣的bug,同時軟件的后期服務又不可避免具有滯后性,所以形容當前的網絡“風雨飄搖”一點也不為過。
3、使用人員的不良習慣與非法操作
如果將以上兩點看作是病源和病毒的話,那么人的因素可能就要算作是將二者緊密結合,產生巨大破壞作用的主要媒介了。客觀的講,目前檢察機關的網絡操作水平仍處在相對較低的水平,網絡使用者中普遍存在著操作不規范和軟件盲目應用的現象。相當一部分檢察網絡用戶對于網絡存儲介質的使用缺乏安全和保密意識,對硬件的維護缺少必要的常識,帶來涉密數據在存儲與傳遞環節不必要的隱患。同時,由于操作熟練程度的原因,網絡中的誤操作率相對較高,系統宕機的情況時有發生,一方面造成了網絡資源的浪費,另一方面也給本地數據帶來了一定的危險。
此外,由于檢察機關的業務工作與實際應用的需要,所以局域網用戶的權限相對較高,使用者的操作空間相對較大。部分具有較高計算機水平的用戶,會利用授權非法地進行系統設置或通過黑客軟件的幫助突破權限獲取其他用戶信息乃至涉密信息。這些惡意行為的出現,不僅擾亂了網絡內部的正常秩序,同時也為更多“偷窺者”大開方便之門。
4、網絡管理與相關制度的不足
網絡信息系統三分靠建,七分靠管。嚴格的管理與健全的制度是保障檢察信息系統安全的主要手段。但是事實上,目前各級檢察機關的信息系統并沒有建立起較為健全、完善的管理制度,網絡管理缺乏嚴格的標準,大多數檢察機關仍采取較為粗獷的管理模式。主要表現在:
第一,網絡管理僅僅作為后勤保障工作的一部分,缺乏必要的領導機制,重視程度有待進一步加強。
第二,網絡管理人員充當“消防員”,以“排險”代“管理”,缺乏全民“防火意識”,干警的信息安全責任感亟待提高。
第三,網絡管理缺乏必要的程序性規則,在遇到突發事件時,往往容易造成網絡系統的內部混亂。
第四,網絡信息收集、整理工作不夠細致,網絡內部機器的跟蹤機制還不盡如人意。在用戶應用相對隨意性的條件下,往往出現“用而不管,管卻不能”的尷尬局面。
第五,與安全級別相適應的網絡安全責任制度還沒有完全建立,使用者的網絡操作安全風險沒有明確的承擔主體,所以使用中缺少必要的注意。網絡管理在“使用免責”的情況下,很難形成安全防護的有效底線。
三、構想中的檢察信息系統安全防范體系
針對以上問題,筆者認為,要建立、健全檢察信息系統的安全防護體系首先需要從檢察機關信息安全性的要求出發,充分結合當前檢察信息網絡的建設現狀,從整體上把握,重規劃,抓落實。其次,要摒棄一勞永逸的短期行為,在網絡項目投入、網絡設施建設上做好長期的規劃,同時應具有適當的超前性,從檢察信息化長遠的發展趨勢著眼,保持投入的連續性,積極追求網絡效能的最大化。其次,在信息化建設的過程中,檢察機關還應充分重視制度化的建設,形成較為完善的保障體系,使得網絡的運行與管理能夠在正確的軌道上持續發展。當然,強調整體規劃與設計的同時,我們還應認真做好網絡應用技術的普及與網絡安全意識的培養工作,將檢察信息系統中源于技術局限以及使用者主觀因素而產生的種種隱患和損失降到最低程度。
基于上述幾點構想,下面筆者將從實際的應用出發,對檢察信息安全防范體系的具體實現,作細化論述:
第一,做好檢察信息系統整體的安全評估與規劃,為安全防范體系的構建奠定基礎。
檢察機關的網絡信息化建設有別于其他應用網絡的一個顯著特征就是對于安全性有著更為嚴格的要求。在構造安全防范體系的過程中,我們需要全面地了解自身網絡可能會面臨怎樣的安全狀況,這就使得我們不得不對譬如網絡會受到那些攻擊,網絡系統內部的數據安全級別是何等級,網絡遭遇突發性安全問題時應如何反應,局域網絡內部的域應怎樣設定,用戶的權限應給予哪些控制等問題進行初步地認定和判斷。通過進行安全評估,確定相應的安全建設規劃。
當然,在加大投入的同時,也應當正確處理安全成本與網絡效能之間的辯證關系,切忌將安全問題絕對化,不能讓安全設備和手段的使用降低網絡應用的實際效果,尋求可用行與可靠性的平衡點。在安全建設中要注重網絡安全的整體效果,盡量運用較為成熟、穩定的軟、硬件及技術,同時,針對目前檢察網絡所采用的微軟系統平臺,借助于win2000操作系統的域控制功能,對網絡的內部結構進行劃分、管理,從而既滿足了對內部用戶的管理要求,同時又在雙向信任關系的域-森林結構中實現同級、上下級院之間的安全信息交流。
第二,加強網絡安全組織、管理的制度化建設,從制度的層面構造安全防范體系。
健全檢察機關網絡安全管理的關鍵在于將其上升到制度的層面,以制度化促進管理的規范化。網絡安全管理的制度化建設需要做好兩方面的工作,首先要建立明確的安全管理組織體系,設置相應的領導機構,機構以院主管領導、技術部門領導、網絡管理人員、網絡安全聯絡員組成,全面負責局域網的日常維護、管理工作。網絡安全聯絡員由各科室選定,負責本部門網絡應用過程中的信息上報和反饋工作。網絡管理領導小組可以根據全院的實際情況,協調管理人員進行及時的維護,這樣不僅有利于人員分工、整合,同時也保證了網絡管理的有序進行。其次,要加快網絡安全管理的規范性章程的制定,將網絡管理的各項工作以制度化的形式確定下來。具體來講,要盡快形成信息系統重要場所、設施的安全管理制度,例如服務器機房的管理制度;要盡快制定網絡安全操作的管理制度,尤其是網絡用戶的軟件使用與技術應用的規范化標準;同時,也要進一步研究網絡遭遇突發事件時的安全策略,形成網絡安全的應急保障制度,并針對網絡安全責任
事故進行制度化約束,追究責任人的主觀過錯。
當然,制度化建設應當包含檢察信息網絡管理的各個方面,遠非以上幾點,它需要我們在補充、修訂的過程中不斷健全、完善。
第三,提高網絡應用與管理的技術水平,彌補自身缺陷,減少外來風險。
在當前檢察信息網絡的安全威脅中,病毒及惡意攻擊可能是其最主要的方面。但我們應清醒地認識到,任何的病毒與黑客技術都是針對網絡系統的漏洞而發起的。而在網絡應用過程中,大多數使用者對于病毒及外來攻擊的恐懼往往要大于對自身系統漏洞的擔心。要解決這一問題,首先要使網絡用戶對網絡病毒及黑客攻擊有必要的認識,并了解病毒感染的主要渠道,同時要加強網絡應用的規范化培訓,整體提高操作的技術水平,最大程度地減少人為因素造成的安全隱患。此外,在網絡管理中,對操作系統的漏洞應及時的安裝安全補丁,并留意微軟定期的安全公告,關閉操作系統中并不常用的默認端口,防止為惡意攻擊留下“后門”。同時,對網絡中的應用軟件進行全面檢查,盡量避免使用來歷不明的盜版軟件,將軟件的選擇導向正版化、網絡化的軌道,逐漸減少對于盜版軟件、試用版軟件以及共享版軟件的依賴。
同時,充分利用win2000系統的域功能,嚴格控制網絡客戶端機器的超級用戶帳號,設定所有用戶必須登錄域中進行網絡操作,設定所有用戶(預留guest帳號可以另外處理)的ip地址和網卡物理地址進行綁定、所有無需移動辦公的用戶帳號和ip地址綁定,實施嚴密的身份識別和訪問控制。
第四,加強應急策略下的物理安全、數據保護與日志管理,健全安全保障體系。
硬盤的損失或失竊,就意味著所有原始信息的丟失或泄密;服務器的損壞或停機,就意味著網絡服務的停頓;交換機的損壞,就意味著網絡連通的中斷。所以在信息安全的所有方面中,計算機的物理安全是最基本的問題,計算機物理安全得不到保障,其他的一切安全措施都是空談。而計算機的物理安全的保護,除了要有必要的安全防護設備外,更重要的是必須建立完善的管理制度,以管理來保障安全。
