信息安全管理规定

医药卫生科学数据共享政策与法规系列文档文档编号：2005DKA32401—D/M—200805ZCFG-5信息安全管理规定（征求意见稿）（本稿完成日期：2008年3月）医药卫生科学数据共享管理机制建设课题组EDS/T1—20062医药卫生科学数据共享网信息安全管理规定细则第一章总则第一条为了保护医药卫生科学数据共享网中心计算机信息系统的安全，促进医药卫生科学数据共享网事业的健康发展，确保医药卫生科学数据共享网中心计算机信息系统安全、可靠、稳定地运行，根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统安全保护等级划分准则》（GB17859-1999）》、《计算机信息网络国际联网安全保护管理办法》、《医药卫生科学数据共享网暂行管理办法》，结合医药卫生科学数据共享网实际，制定本细则。第二条本规定适用于国家医药卫生科学数据共享网中心和分中心的建设和日常运行管理。第二章组织与管理第三条管理模式3.1国家医药卫生科学数据共享网在医药卫生科学数据共享网各承担单位领导下开展信息安全管理工作；3.2医药卫生科学数据共享网分中心在所在单位的领导下开展信息安全管理工作，接受国家医药卫生科学数据共享网中心的业务管理和技术指导；3.3国家医药卫生科学数据共享网系统信息安全管理工作接受医药卫生科学数据共享网各承担单位信息管理部门的指导；3.4国家医药卫生科学数据共享网和分中心应指定一名信息安全管理员。第四条信息安全管理员职责4.1信息安全管理员负责本中心的信息安全保护管理工作，建立健全信息安全保护管理制度；4.2信息安全管理员负责落实信息安全保护技术措施，保障本网络的运行安全和信息安全；4.2.1负责防火墙、IDS、防病毒系统的策略制定；4.2.2负责本中心审计系统的运行管理，对运行情况进行审计；EDS/T1—200634.2.3负责本中心身份认证系统、权限管理和授权、单点登录系统的运行管理；4.2.4负责本中心的防火墙、入侵检测系统、防病毒系统的运行管理，并定期升级；4.2.5负责本中心相关日志的填写、收集、归档、管理。4.3负责对医药卫生科学数据共享网用户的信息安全教育和培训；4.4对本中心所发布的信息内容按照等相关规定进行审核；4.5建立计算机信息网络电子公告系统的用户登记和信息管理制度；4.6发现有违反安全管理规定的行为，应当保留有关原始记录，并及时向相关管理部门报告；4.7按照国家有关规定，负责删除本中心中含有违法内容的地址、目录或者关闭服务器。第五条建立信息安全管理制度5.1场地与设施安全管理制度；5.2出入控制管理制度；5.3设备管理制度；5.4存储介质管理制度；5.5信息管理制度；5.6密钥、口令管理制度；5.7数据备份管理制度；5.8计算机病毒防治管理制度；5.9安全审计管理制度；5.10应急处置措施。第三章目标与内容第六条信息安全管理目标6.1从制度、基础设施和技术手段上确保信息安全；6.2利用安全管理监控平台，监控网络系统的访问，保证该网络系统的平稳EDS/T1—20064运行。第七条信息安全工作主要内容7.1保证访问医药卫生科学数据共享网中心和各分中心用户身份的合法性以及数据传输的完整性、抗抵赖性、安全性；7.2有效阻断黑客进入医药卫生科学数据共享网中心和各分中心，保证医药卫生科学数据共享网中心和各分中心重要信息资源不泄密、不被破坏；7.3通过身份认证系统、权限管理和授权审计系统、单点登录系统组建的信息安全集中管理平台，使用户权限和相应的数据库资源、应用系统有机结合为一体，杜绝非法访问、假冒攻击等不正常的现象；7.4利用防病毒系统实现对病毒、不良网站内容、恶意代码等进行拦截；7.5建立完整的审计体系，为系统的安全提供参考数据。第四章技术要求第八条计算机信息系统和计算机机房的规划、设计、建设应当按照国家有关规定和标准，同步落实安全保护措施，达到GB50174-93国家标准所要求的A类机房标准。第九条医药卫生科学数据共享网中心和各分中心凡与因特网有接口的节点均应采取防火墙措施、安全代理和内部地址转换功能。9.1应具有数据包过滤功能，如恶意代码过滤、邮件关键字符过滤、邮件附件恶意程序夹带过滤、蠕虫过滤等；9.2应具有数据状态检测功能，如Web服务器攻击、Web浏览攻击、SMTP攻击、IMAP/POP攻击、DNS攻击等常见网络攻击检测；9.3应具有用户认证功能，如内置数据库，RADIUS数据库，LDAP数据库，IP/MAC地址绑定等；9.4应具有内部地址转换功能，如静态地址，动态IP分配，PPPoEclient（外网口），内部DHCP服务器内网口，支持DHCPRelay等；9.5应具有日志功能，如可记录试图通过防火墙的非法数据包，可记录防火墙操作等。EDS/T1—20065第十条医药卫生科学数据共享网中心和各分中心均应安装防病毒软件、防病毒网关等措施抵御网络上各类恶意代码的攻击，通过网关、内部客户机、服务器以及邮件系统的防病毒系统的配置，对病毒破坏的主要对象进行预防。10.1在医药卫生科学数据共享网中心和各分中心部署网关防病毒产品。设定多种不同类型的网站内容过滤策略，阻绝内部使用者进入色情及其它不良网站。实时扫瞄并清除经由Web或FTP下载进入的病毒，阻隔来自Web的已知Java与ActiveX恶性程序；10.2医药卫生科学数据共享网中心和各分中心部署邮件服务器防病毒系统。侦测并清除隐藏于电子邮件、附加文件及公用目录中的计算机病毒、恶性程序、垃圾邮件或包含特定内容的邮件；10.3医药卫生科学数据共享网中心和各分中心应部署多种其它防病毒产品，提供较为全面的病毒防护；10.4防病毒系统应具备自动升级功能。第十一条医药卫生科学数据共享网中心和各分中心需安装入侵检测系统，对网络攻击和非法扫描适时检测、及时报警。入侵检测系统应具备的功能：11.1检测和发现网络攻击行为，如DoS攻击；11.2对一些恶意网络访问应该具备记录回放功能；11.3检查网络传输中的带毒流量，与病毒过滤网关共同组成一个层次的防毒体系。第十二条用户权限管理12.1数据与信息服务应建立用户权限管理，可采用统一用户认证，对数据信息进行访问控制，确保不同级别的用户访问不同级别的数据信息；12.2各应用系统应当根据各种用户的身份、职能制定不同类型的用户角色，根据数据类型和数据使用级别制定针对不同用户角色相应的数据访问策略。第十三条认证和授权系统在医药卫生科学数据共享网中心和各分中心需部署认证和授权系统，保证信息服务系统具有保密性、完整性、可控性、可用性和抗抵赖性。13.1采用基于数字证书技术的认证机制，数字证书的管理可参照国家密码安全的相关标准；EDS/T1—2006613.2必要时，可对网络上的应用服务实行一次性密码机制；13.3实现多系统和设备访问的集中授权，使用户不论以什么方式接入网络或访问设备，如Web、FTP、EMail、主机访问、设备管理登录、拨号、VPN等通过统一的用户管理信息进行认证。第十四条医药卫生科学数据共享网中心和各分中心可安装审计系统，主要的审计功能包括网络审计、服务器日志审计、主机审计、数据库审计，综合审计分析等。动态地了解网络系统（包括网络设备、主机和应用）的安全弱点，以便通过修补这些安全弱点来尽量减少黑客攻击的可能性。第五章处罚原则第十五条对信息安全管理措施执行不力的单位，依照情节轻重对其进行处罚。处罚分为警告、通报批评、封闭共享节点。触犯国家有关法律者，依法追究相关人员责任。第十六条对于盗用IP地址、盗用他人口令、入侵及破坏网络和计算机系统、违反网络用户行为规范的，将依照情节轻重对其进行处罚。处罚分为警告、通报批评、停止账户。触犯国家有关法律者，报公安机关依法追究责任。第六章附则第十七条本细则由医药卫生科学数据共享网项目管理办公室负责解释。第十八条本细则自颁布之日起施行。