互联网药品信息网络与信息安全保障措施.doc

网络与信息安全保障措施 网络与信息的安全不仅关系到公司网站正常业务的开展，还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作，通过检查进一步明确安全责任，建立健全的管理制度，落实技术防范措施，保证必要的经费和条件，对有毒有害的信息进行过滤、对用户信息进行必威体育官网网址，确保网络与信息安全。 Ⅰ、计算机信息网络安全防范策略 物理安全策略 公司建立安全管理制度： ①对计算机系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施进行每周定期检查制度； ②电脑管理实行专人负责制，未经负责人许可任何人不得随意使用； ③对公司内部服务器、网络设备及办公设备的管理由技术部专人负责维护； ④对公司的办公场所的安全配合软件园二期物业的安保管理制度； ⑤同时对办公场所及机房的安全防盗设施（如门窗锁具），安排人员每天下班前轮流检查确认制度。 以上措施目的是保护公司计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、及防止非法进入计算机控制室和各种偷窃、人为破坏活动的发生。 （二）网络系统登陆的安全策略 由于各个部门的有关人员均在使用信息系统，所以对网络进行设置工作组，每个工作组有一定的权限，组下的每个用户又有一定的权限，每一级均设置密码。这样每个用户只能在自己的权限范围内登陆到某个数据库或数个数据库，并拥有指定的查询、编辑、删除资料等不同的权限。 （三）访问控制策略 访问控制是网络安全防范和保护的主要策略，任务是保证网络资源不被非法使用和非常访问。也是维护网络系统安全、保护网络资源的重要手段，可以说是保证网络安全最重要的核心策略之一。具体措施如下： 入网访问控制。 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制，公司采取如下三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。 2、网络的权限控制。 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。我们根据访问权限将用户分为以下几类：①特殊用户（即系统管理员）；②一般用户，系统管理员根据他们的实际需要为他们分配操作权限；③审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限采用如下控制手段： 目录级安全控制。 网络可允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的操作权限。网络系统管理员针对用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问，从而加强了网络和服务器的安全性。 网络服务器安全控制。 网络管理员对服务器的安全控制通过设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；设定服务器登录时间限制、非法访问者检测和关闭的时间。 管理员对服务器有所有权限；普通用户对服务器只有访问权限。 网络监测和锁定控制。 网络管理员对网络实施监控，设置服务器应记录用户对网络资源的访问，对非法的网络访问，服务器会以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该账户将被自动锁定。 网络端口和节点的安全控制。 对网络中服务器的端口进行控制。 SQL服务器开放1433端口及相应的服务端口 FTP服务器开放21端口及相应的服务端口 WEB服务器开放80端口及相应的服务端口 通过设置用户组，达到不同的访问控制权限。 防火墙控制。 防火墙是网络安全的屏障，配置防火墙是实现网络安全最基本、最经济最有效的安全措施之一。我司现使用软件防火墙设置，通过对软件防火墙的安全方案配置，将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次对网络存取和访问进行监控。所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。 设置Windows自带防火墙、安全策略等 （四）公司内网安全管理策略 公司对内部网络使用的IP地址资源实行统一管理、统一分配。对于盗用IP资源的用户依据公司管理制度严肃处理。 Ⅱ、安全组织体系 建立以公司总经理为网络安全负责的第一责任人的网络信息安全小组。组织结构如下： 1、组长职责：①、根据国家有关法规政策，全面落实本公司的网络安全保护工作，确保网络运行安全。②、在公安机关及信息监察部门的指导、监督下进行信息网络安全检查和宣传工作。③、向公安机关报告有关在本