网络安全等级保护管理条例篇1
《贵阳市大数据安全管理条例》经2018年6月5日贵阳市第十四届人民代表大会常务委员会第十三次会议通过,2018年8月2日贵州省第十三届人民代表大会常务委员会第四次会议批准,现予公布,自2018年10月1日起施行。
贵阳市大数据安全管理条例
(2018年6月5日贵阳市第十四届人民代表大会常务委员会第十三次会议通过)
(2018年8月2日贵州省第十三届人民代表大会常务委员会第四次会议批准)
第一章总则
第一条为了加强大数据安全管理,维护国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进大数据发展应用,推动实施大数据战略,根据《中华人民共和国网络安全法》等有关法律法规的规定,结合本市实际,制定本条例。
第二条本条例适用于本市行政区域内大数据发展应用中的安全保护、监督管理以及相关活动。
涉及国家秘密的大数据安全管理,按照有关保密法律法规的规定执行。
本条例所称大数据安全,是指大数据发展应用中,数据的所有者、管理者、使用者和服务提供者(以下简称安全责任单位)采取保护管理的策略和措施,防范数据伪造、泄露或者被窃取、篡改、非法使用等风险与危害的能力、状态和行动。
本条例所称大数据,是指以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合,是对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析,发现新知识、创造新价值、提升新能力的新一代信息技术和服务业态。
本条例所称数据,是指通过计算机或者其他信息终端及相关设备组成的系统收集、存储、传输、处理和产生的各种电子化的信息。
第三条实施大数据安全管理,应当坚持正确的网络安全观,遵循统一领导、政府管理、行业自律、社会监督、风险防控、权责统一、包容审慎、支持创新的原则。
第四条市人民政府统一领导本市大数据安全管理工作。区(市、县)人民政府领导本辖区大数据安全管理工作。
第五条市网信部门负责统筹协调全市大数据安全监督管理工作,组织开展全市关键信息基础设施监管等工作。区(市、县)网信部门按照职责负责综合协调本辖区大数据安全监督管理工作。
市公安机关负责开展大数据安全的等级保护、日常巡查、执法检查、信息通报、应急处置等监督管理工作。区(市、县)公安机关按照职责负责本辖区大数据安全监督管理工作。
市大数据主管部门统筹协调本市大数据安全保障体系建设。区(市、县)大数据主管部门按照职责负责本辖区大数据安全管理的相关工作。
保密、国家安全、密码管理、通信管理等主管部门按照各自职责,做好大数据安全管理的相关工作。
第六条安全责任单位应当加强大数据安全能力建设,履行大数据安全保护职责,接受有关主管部门监督管理和社会监督。
第七条县级以上人民政府以及网信、公安、大数据等主管部门和安全责任单位、大众传播媒介按照各自职责,做好大数据安全宣传教育工作。
第八条市人民政府设立统一的大数据安全监管服务、投诉举报平台,建立相应的工作机制。
任何单位和个人都有权投诉举报危害大数据安全的行为;有关部门应当对投诉举报予以保密。
第二章安全保障
第九条安全责任单位应当根据职责明确、意图合规、质量保障、数据最小化、最小授权操作、分类分级保护和可审计的原则,采取有效措施保护数据的保密性、完整性、真实性、可控性、可靠性和可核查性。
第十条安全责任单位的法定代表人或者主要负责人是本单位大数据安全的第一责任人。
安全责任单位应当根据数据的生命周期、规模、重要性和本单位的性质、类别、规模等因素,建立安全管理内控制度和支撑保障机制,明确安全管理负责人,落实不同岗位的安全管理职责;关键信息基础设施的运营者还应当设置专门安全管理机构。
第十一条安全责任单位应当根据数据类型、级别、敏感程度以及数据安全能力成熟度等要求,制定安全规则、管理规范和操作规程,采取相应的安全管理策略、管理措施和技术手段实施有效管理。
第十二条安全责任单位应当按照大数据安全等级保护要求进行系统安全功能配置,制定实施系统配置技术管理规程、软件采购使用限制策略和外部组件使用安全策略,规定配置管理的审批、操作流程,提供符合规范标准的管理与服务,对系统重要配置进行及时更新。
第十三条安全责任单位应当制定完善访问控制策略,采取授权访问、身份认证等技术措施,防止未经授权查询、复制、修改或者传输数据。对个人信息和重要数据实行加密等安全保护,对涉及国家安全、社会公共利益、商业秘密、个人信息的数据依法进行脱敏脱密处理。
第十四条安全责任单位应当建立大数据安全审计制度,规定审计工作流程,记录并保存数据分类、采集、清洗、转换、加载、传输、存储、复制、备份、恢复、查询和销毁等操作过程,定期进行安全审计分析。
第十五条存储数据,应当选择安全性能、防护级别与其安全等级相匹配的存储载体,并且依法进行管理和维护。
销毁数据,应当按照数据分类分级建立审查机制,明确销毁对象、流程和技术等要求,设置相关监督角色,以不可逆方式销毁数据内容。
第十六条安全责任单位服务外包业务涉及收集、存储、传输或者应用数据的,应当依法与外包服务提供商签订安全保护协议,采取安全保护措施,并对导出、复制、销毁数据等行为进行监督。
第十七条支持依法成立的大数据行业组织依照法律、法规和章程的规定,制定行业安全规范和服务标准,对其会员的大数据安全行为进行自律管理,组织开展大数据安全教育、业务培训,推进大数据安全合作、交流,提高大数据安全管理水平和从业人员素质。
第十八条市人民政府应当建立联席会议制度,研究、解决大数据安全工作的重大事项、重点工作和重要问题。
县级以上人民政府应当整合大数据安全防范、保障等资源,建立重点领域工作联动、会商、约谈、通报、巡查和决策咨询等机制,统筹有关职能部门履行大数据安全监督管理职责,防范安全风险。
第十九条市人民政府建立大数据安全靶场和产品检验场地,对大数据安全新技术、新应用、新产品进行测试、检验,定期开展攻防演练,促进大数据安全城市建设。
第二十条县级以上人民政府应当采取资金扶持、开设绿色通道等措施,支持大数据安全技术产业发展、安全技术研发应用和安全管理方式创新。
鼓励企业、科研机构、高等院校、职业学校和相关行业组织建立教育实践和培训基地,开设相关专业课程,加强人才交流,多形式培养、引进和使用大数据安全人才。
第二十一条市公安机关负责大数据安全投诉举报平台的运行、维护和管理工作,公布投诉举报方式等信息,即时受理投诉举报,按照规定时限回复;对不属于本部门职责的,移送有关部门处理。有关部门处理后,应当按照规定时限反馈市公安机关。
安全责任单位应当建立大数据安全投诉举报制度,公布投诉举报方式等信息,接受和处理用户及相关利害关系人的投诉举报。
第二十二条网信、公安、大数据、标准化、工业和信息化等主管部门应当加强大数据安全的国家标准、行业标准和地方标准的宣传、培训,引导、鼓励安全责任单位采用大数据安全国家推荐标准、行业标准和地方标准。
鼓励支持教育、科研机构和企业参与大数据安全的国家标准、行业标准和地方标准的研究、制定。
鼓励安全责任单位运用区块链等新技术手段,优化数据聚通用架构,强化信任认证和防篡改设计,提升大数据安全防护水平。
第二十三条市大数据主管部门应当配合制定大数据安全保护标准体系,指导数据资源分类分级、数据安全能力成熟度认定和数字认证等相关工作。
第二十四条县级以上人民政府以及有关部门应当通过报刊杂志、电台电视台、门户网站、微信微博等途径,运用安全宣传周、主题日、专题会、研讨班、应用场景展示、竞赛等形式,经常性地对公众以及大数据安全重点领域、重点行业、重点单位、重点人群等组织开展大数据安全法律法规、形势政策和知识技能的宣传培训。
安全责任单位应当制定计划,对员工、用户以及本单位的重点部位、重点设施、重点岗位安全工作人员开展大数据安全法律法规、知识技能等教育、培训和考核,提升大数据安全意识和防护技能水平。
第三章监测预警与应急处置
第二十五条市公安机关负责大数据安全监管服务平台的日常维护管理,加强对平台监测信息、监督检查信息和上级通报信息的分析、安全形势研判和风险评估,按照规定安全风险预警或者信息通报。
区(市、县)公安机关应当及时落实上级公安机关通过大数据安全监管服务平台的各项指令。
第二十六条县级以上人民政府应当根据国家和省的规定,落实大数据安全应急工作机制,明确工作责任、程序和规范;制定大数据安全事件应急预案,明确应急处置组织机构及其职责、事件分级、响应程序、保障手段和处置措施;定期组织演练,评估演练效果,分析存在问题,总结处置经验,提出改进和完善应急预案的意见。
发生大数据安全事件时,县级以上人民政府应当依法按程序启动应急预案,组织网信、公安、大数据等主管部门针对事件的性质和特点,采取应急措施处置。
第二十七条安全责任单位应当制定大数据安全事件预警通报制度和应急预案,建立和实施安全事件预警、舆情监控、风险评估和应急响应的策略、规程,保持与有关主管部门、设备设施及软件服务提供商、安全机构、新闻媒体和用户的联络、协作。
发生大数据安全事件时,安全责任单位应当依法按程序启动应急预案,采取相应措施防止危害扩大,保存相关记录,告知可能受到影响的用户,按照规定向有关主管部门报告。
第四章监督检查
第二十八条县级以上人民政府应当将大数据安全管理工作纳入年度目标绩效考核。
第二十九条县级以上人民政府应当建立健全大数据安全工作监督检查机制,明确监督检查的牵头部门、责任分工、内容、重点、目标、方式和标准。
监督检查的情况,应当在有关主管部门之间互通和共享。
第三十条公安机关应当监督、检查、指导安全责任单位建立、落实大数据安全管理的各项制度和技术措施,依法查处大数据安全违法案件。
第三十一条大数据主管部门应当结合监督检查大数据安全责任落实的情况,定期组织开展大数据安全风险评估,评估报告。
第三十二条有关主管部门在监督检查、风险评估和攻防演练中,发现安全责任单位存在安全问题的,应当及时提出改进建议,发出整改意见并且督促整改。
安全责任单位应当根据有关主管部门的整改意见进行整改,并且反馈整改情况。
第三十三条公安、大数据主管部门应当建立大数据安全管理诚信档案,记录违法信息,纳入统一的信用共享平台管理。
第五章法律责任
第三十四条安全责任单位不履行本条例第十条、第十一条、第十二条、第十三条、第十四条和第二十七条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害大数据安全等后果的,处1万元以上10万元以下罚款,对直接负责的主管人员处5000元以上5万元以下罚款。
第三十五条违反本条例规定的其他行为,依据《中华人民共和国网络安全法》等法律、法规的相关规定处理。
第三十六条安全责任单位中的国家机关不履行本条例规定的大数据安全保护职责的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
大数据安全监督管理有关主管部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
第六章附则
第三十七条本条例自2018年10月1日起施行。
《贵阳市大数据安全管理条例》2018年6月5日贵阳市第十四届人民代表大会常务委员会第十三次会议通过,2018年8月2日贵州省第十三届人民代表大会常务委员会第四次会议批准。《条例》共六章37条,为便于大家了解《条例》制定的有关情况和对《条例》具体规范的理解把握,现就《条例》的立法背景、意义及《条例》的重点条文的理解作如下介绍:
一、《条例》制定的背景及意义
(一)背景
近年来,国务院《关于积极推进“互联网+”行动的指导意见》《促进大数据发展行动纲要》《“十三五”国家信息化规划》和贵州省《大数据产业发展应用规划纲要(2014—2020年)》《关于加快大数据产业发展应用若干政策的意见》以及市委、市政府《关于以大数据为引领加快打造创新型中心城市的意见》《关于加快建成“中国数谷”的实施意见》等国家、省、市的一系列文件,对大数据安全管理的风险防范、安全保护、法规制度建设等提出了具体要求。2016年3月,国家明确我省建设国家大数据(贵州)综合试验区,我市作为国家大数据(贵州)综合试验区的核心区,一批新技术、新产品、新模式不断涌现,形成了创业创新、产业生态等一批示范基地和集聚区,我市深入推进大数据政用、商用、民用,在41家市直部门实施“数据铁笼”,在贵阳筑民生综合平台上向市民提供社区服务、教育等8个试点领域100项以上服务等,在大数据发展及创新应用方面取得了显著成效,积累了较为丰富的经验。
数据技术的不断成熟和数据共享开放的日益增速,数据安全也面临着严重挑战,推进政府数据共享开放的同时伴随着安全风险。《贵阳市政府数据共享开放条例》2017年5月1日起施行,全市已实现对54家单位、211个系统、1176项数据目录字典的集中存储和统一管理,已有52个部门2685个数据集、api303个、612万条数据实现了深度关联开放;防攻击、防泄露、防窃取、防篡改、防非法使用等风险与危害,确保数据安全成为贯穿政府数据共享开放全过程的前提。有必要采取相应的安全保障措施,有效维护国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,确保数据共享开放在安全有序的环境下运行。
我市作为国家大数据(贵州)综合试验区核心区,肩负着制度创新、率先作为的重任,将“开展大数据制度创新试验”作为七大系统性试验任务之一;同时,公安部批复在我市建设国家大数据及网络安全示范试点城市和大数据安全靶场,打造大数据及网络安全自主创新中心、应用示范中心和政府监管中心,搭建“块数据指挥中心”“核心数据平台”“大数据安全监管服务平台”等多个综合防护平台,总结提炼有关大数据及网络安全建设、管理的成果,研究国家有关技术标准规范,上升为地方性法规内容,可以为国家大数据安全保障探索可复制的经验。因此,制定大数据安全地方性法规,切实依法保障大数据安全,对于推动实施国家大数据战略、建设国家大数据(贵州)综合试验区、促进我市大数据产业发展应用尤为重要,十分必要。
(二)意义
作为全国首部大数据安全管理地方法规,《条例》的制定:
一是贯彻落实中央、省、市要求,引领推动实施大数据安全保护工作的具体体现。近年来,国家、省、市相继出台一系列大数据、互联网建设实施文件,对大数据安全管理的风险防范、安全保护、法规制度建设等提出了具体要求。我市作为国家大数据(贵州)综合试验区的核心区,肩负着制度创新、率先作为的重任。
二是促进大数据发展应用,为建设大数据及网络安全示范试点城市提供法治保障。作为国家大数据(贵州)综合试验区的核心区,我市近年来在大数据发展及创新应用方面取得了显著成效,积累了较为丰富的经验。《条例》是在研究分析学习目前国家信息安全技术国家标准规范、行政法规草案以及有关数据安全方面的研究成果的基础上,并总结提炼地方大数据及网络安全建设、管理的实际经验做法,上升为地方法规予以固化,也为国家大数据安全保障探索可复制的经验。
三是《条例》的制定是为政府数据、公共数据、个人数据安全提供法治保障。随着数据技术的不断成熟和数据共享开放的日益增速,推进政府数据共享开放的同时伴随着安全风险,防攻击、防泄露、防窃取、防篡改、防非法使用等风险与危害,确保数据安全成为贯穿政府数据共享开放全过程的前提。《条例》规定相应的大数据安全保障措施,有力维护国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,确保数据共享开放在安全有序的环境下运行。
(三)关于《条例》与《中华人民共和国网络安全法》的关系
《条例》是落实和细化《中华人民共和国网络安全法》的有关规定和要求,也是推动《中华人民共和国网络安全法》等法律有效实施的具体措施。《条例》根据《网络安全法》的有关规定,明晰数据安全监督管理的部门职责,明确安全责任单位采取安全措施的原则、落实大数据安全保护责任,将上位法和有关政策中原则性的规定通过地方立法的方式细化为更具有可操作性的具体措施和方法,既坚持了基本原则和基本规则的指导,又结合实际,使法律法规更具针对性和实操性。
二、《条例》部分重点条文解读
(一)适用范围和相关概念
第二条本条例适用于本市行政区域内大数据发展应用中的安全保护、监督管理以及相关活动。
涉及国家秘密的大数据安全保护,按照有关保密法律法规的规定执行。
本条例所称大数据安全,是指大数据发展应用中,数据的所有者、管理者、使用者和服务提供者(以下简称安全责任单位)采取保护管理的策略和措施,防范数据伪造、泄露或者被窃取、篡改、非法使用等风险与危害的能力、状态和行动。
本条例所称大数据,是指以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合,是对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析,发现新知识、创造新价值、提升新能力的新一代信息技术和服务业态。
本条例所称数据,是指通过计算机或者其他信息终端及相关设备组成的系统收集、存储、传输、处理和产生的各种电子化的信息。
解读:
本条把《条例》调整范围确定为对本市行政区域内大数据发展应用中数据的安全保护、监督管理以及相关活动的规范。本条第三款围绕大数据安全的责任主体类型、风险危害表现形式,将大数据安全定义为:“大数据发展应用中,数据的所有者、管理者、使用者和服务提供者(以下简称安全责任单位)采取保护管理的策略和措施,防范数据伪造、泄露或者被窃取、篡改、非法使用等风险与危害的能力、状态和行动。”同时还对大数据和数据的概念进行了明确。
(二)明确政府及相关部门职责
第五条市网信部门负责统筹协调全市大数据安全监督管理工作,组织开展全市关键信息基础设施监管等工作。区(市、县)网信部门按照职责负责综合协调本辖区大数据安全监督管理工作。
市公安机关负责开展大数据安全的等级保护、日常巡查、执法检查、信息通报、应急处置等监督管理工作。区(市、县)公安机关按照职责负责本辖区大数据安全监督管理工作。
市大数据主管部门统筹协调本市大数据安全保障体系建设。区(市、县)大数据主管部门按照职责负责本辖区大数据安全管理的相关工作。
保密、国家安全、密码管理、通信管理等主管部门按照各自职责,做好大数据安全管理的相关工作。
解读:
为了落实和细化《中华人民共和国网络安全法》的有关规定,明晰数据安全监督管理的部门职责,《条例》第五条分别明确规定了网信部门、公安机关、大数据主管部门的各自职责,以及保密、国家安全、密码管理、通信管理等主管部门按照各自职责做好数据安全管理的相关工作。并进一步在第四章监督检查中对有关主管部门的监管职责作了细化,以避免大数据安全管理权责不清、各自为战、执法推诿、效率低下等问题,防止出现“九龙治水”、多头管理等现象。
(三)关于宣传培训规范要求
第七条县级以上人民政府以及网信、公安、大数据等主管部门和安全责任单位、大众传播媒介按照各自职责,做好大数据安全宣传教育工作。
解读:
增强网络以及大数据安全意识,是一项极其重要的基础工程。《条例》坚持发展与安全、建设与安全、使用与安全并重,在第七条明确:“县级以上人民政府以及网信、公安、大数据等主管部门和安全责任单位、大众传播媒介按照各自职责,做好大数据安全宣传教育工作”;同时,第十七条明确行业组织“组织开展大数据安全教育、业务培训”,第二十二条明确相关主管部门“加强大数据安全的国家标准、行业标准和地方标准的宣传、培训”,第二十四条明确政府和有关主管部门对“公众以及大数据安全重点领域、重点行业、重点单位、重点人群等组织开展大数据安全法律法规、形势政策和知识技能的宣传培训”,安全责任单位对“员工、用户以及本单位的重点部位、重点设施、重点岗位安全工作人员开展大数据安全法律法规、知识技能等教育、培训和考核”等作了具体规范。
(四)明确大数据安全责任单位内部职责
第十条安全责任单位的法定代表人或者主要负责人是本单位大数据安全的第一责任人。
安全责任单位应当根据数据的生命周期、规模、重要性和本单位的性质、类别、规模等因素,建立安全管理内控制度和支撑保障机制,明确安全管理负责人,落实不同岗位的安全管理职责;关键信息基础设施的运营者还应当设置专门安全管理机构。
解读:
为落实《中华人民共和国网络安全法》第二十一条等级保护制度要求,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改等进行了规定。《条例》第十条规定:安全责任单位的法定代表人或者主要负责人是本单位大数据安全的第一责任人;建立安全管理内控制度和支撑保障机制,明确和落实不同岗位的安全管理职责,落实大数据安全保护责任。
(五)关于安全审计等保护措施
第十四条安全责任单位应当建立大数据安全审计制度,规定审计工作流程,记录并保存数据分类、采集、清洗、转换、加载、传输、存储、复制、备份、恢复、查询和销毁等操作过程,定期进行安全审计分析。
解读:
大数据安全审计既是安全管理措施、也是技术规范要求,即通过严格程序、按照技术规范,详细记录数据全生命周期活动,防止数据泄露或者被窃取、篡改情况,达到数据溯源追踪的目的;通过定期进行安全审计分析,防范数据伪造、泄露或者被窃取、篡改、非法使用等风险,以保障数据安全。同时还在《条例》第十一条、第十二条、第十三条、第十五条对采取防范危害大数据安全行为技术措施、采取数据分类、备份和加密措施、增强大数据系统安全功能配置、存储和销毁数据等作出了相应规范。
(六)建立统一投诉举报平台
第二十一条市公安机关负责大数据安全投诉举报平台的运行、维护和管理工作,公布投诉举报方式等信息,即时受理投诉举报,按照规定时限回复;对不属于本部门职责的,移送有关部门处理。有关部门处理后,应当按照规定时限反馈市公安机关。
安全责任单位应当建立大数据安全投诉举报制度,公布投诉举报方式等信息,接受和处理用户及相关利害关系人的投诉举报。
解读:
数据信息被窃取、隐私被泄露等违法行为时有发生,被害人投诉无门、部门之间推诿扯皮,是全国人大常委会网络安全执法检查指出的一个突出问题。为了解决大数据安全的举报难、投诉难、立案难的现象,《条例》在第八条第一款规定“市人民政府设立统一的大数据安全监管服务、投诉举报平台,建立相应的工作机制”的基础上,本条进一步明确了市公安机关负责大数据安全投诉的受理,安全责任单位应当建立大数据安全投诉举报制度,公布投诉举报方式等信息,接受和处理用户及相关利害关系人的投诉举报。
(七)建立大数据监测预警、应急处置机制
第二十六条县级以上人民政府应当根据国家和省的规定,落实大数据安全应急工作机制,明确工作责任、程序和规范;制定大数据安全事件应急预案,明确应急处置组织机构及其职责、事件分级、响应程序、保障手段和处置措施;定期组织演练,评估演练效果,分析存在问题,总结处置经验,提出改进和完善应急预案的意见。
发生大数据安全事件时,县级以上人民政府应当依法按程序启动应急预案,组织网信、公安、大数据等主管部门针对事件的性质和特点,采取应急措施处置。
解读:
大数据安全风险具有很强的隐蔽性,安全态势感知是做好大数据安全最基本、最基础的工作。《条例》第三章细化《中华人民共和国网络安全法》监测预警与应急处置的相关规定,第二十五条、第二十六条和第二十七条通过平台对监测信息、监督检查信息和上级通报信息的分析、安全形势研判和风险评估,安全风险预警或者信息通报,实现对重要数据安全风险的全天候实时、动态监测。市、区(市、县)人民政府、市公安机关、安全责任单位等责任主体在监测预警与应急处置方面应当各司其职,履行好大数据安全预警及应急处理的义务。
(八)关于法律责任
第三十四条安全责任单位不履行本条例第十条、第十一条、第十二条、第十三条、第十四条和第二十七条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害大数据安全等后果的,处1万元以上10万元以下罚款,对直接负责的主管人员处5000元以上5万元以下罚款。
网络安全等级保护管理条例篇2
关键词网络安全网络管理网络安全管理制度
中图分类号:tp315文献标识码:a
在网络化信息化快速发展的今天,网络安全问题几乎对任何一个团体都不再是可有可无的话题。据赛门铁克诺顿2012年9月11日公布的一年一度的诺顿网络安全报告推测,在之前的一年中网络犯罪致使全球个人用户蒙受的直接损失高达1,100亿美元,而在中国,估计有超过2.57亿人成为网络犯罪受害者,所蒙受的直接经济损失达人民币2,890亿元。
网络安全已经受到各国家、企业团体的高度重视。美国国防部的《可信计算机系统评估准则》,将计算机安全划分为四个等级,带动了国际计算机安全的评估研究。加拿大颁布了《网络加密法》《个人保护与电子文档法》《保护消费者在电子商务活动中权益的规定》。我国也相继制定了一系列信息安全管理的法规制度,包括《计算机信息系统安全保护条例》《商用密码管理条例》《计算机信息网络国际联网安全保护管理办法》《互联网安全保护技术措施规定》《计算机病毒防治管理办法》《信息安全等级保护管理办法》等,并将计算机犯罪纳入刑事立法体系。各国对网络安全的重视也促进本国的企业团体的网络安全建设。我国各企事业单位、社会团体对网络安全管理越来越重视,纷纷制定本单位的网络安全监测、管理制度。但是由于网络技术的不断进步、网络新应用的持续发展,网络安全新情况、新问题仍然不断发生。
1目前网络安全建设存在的问题
1.1忽视对网络安全技术人员的培训
很多单位对网络和安全设备等有形资产舍得投资,但对网络安全技术人员的培训等方面的投资却不够重视。好的设备需要掌握相关技能的人员操作管理才能充分发挥其功能,由缺乏技能的人员管理安全设备常常并不能起到安全保护作用。配置不当的网络和安全设备本身也有可能成为攻击对象,例如使用telnet、http等非安全方式登录管理设备,未限制或未关闭设备本身的FinGeR服务、tftp服务等。
1.2对非信息安全部门的员工教育不足
现在很多网络攻击行为常常使用社会工程学等非技术方法,而且这种攻击行为越来越多。社会工程学是利用人的弱点,以顺从你的意愿、满足你的欲望的方式,让你上当的一些方法、一门艺术与学问。Gartner集团信息安全与风险研究主任Richmogull认为:“社会工程学是未来10年最大的安全风险,许多破坏力最大的行为是由于社会工程学而不是黑客或破坏行为造成的。”
这种攻击行为本身并不需要太多的计算机网络技术,所以单纯靠提高网络安全技术人员的技术水平无法解决此类安全问题。这需要加强对员工的网络安全教育,提高所有员工的网络安全意识,使以符合网络安全规则的方式做事成为员工的习惯。
1.2.1网络安全管理制度建设缺乏持续性
网络安全管理是一个动态的系统工程。网络安全管理制度需要根据网络安全技术的发展、业务系统的发展而更新改进。网络安全管理制度既体现网络安全管理者对团体成员的行为标准的要求,又建立了一个保证安全策略及时下发实施的上传下达的通道,保证重大紧急事件的及时处理。例如安全事故处理流程既要规定各级管理人员能够自行处理的事件的级别,又要规定事故汇报请示流程,保证领导层能够掌握重要安全事件处理进度,及时做出决策。
1.2.2在网络安全评估量化方面存在困难
现在存在很多以量化指标衡量网络系统的安全程度的方法,例如以网络系统中各个分量的重要程度、被入侵的概率等作为权重来计算整个系统的安全量化指标,或者以系统从受到攻击到入侵成功所需时间来衡量其安全程度。这些方法对于网络安全系统的建设和评估具有重要指导意义,但是由于现实中网络安全涉及的不可控因素太多,这些衡量方法的使用效果并不总是令人满意。网络安全服从木桶理论,一个系统中的安全短板决定着这个系统整体的安全程度。不当的安全评估量化方法无法准确评估一个系统的安全程度,无法给领导层和网络安全管理人员以正确的回馈。
2网络安全建设建议
2.1结合本单位业务细化网络安全管理
首先,根据业务特点和安全要求,对整体网络进行物理和逻辑安全分区,在安全区域边界设置访问控制措施,防止越权访问资源。对于不同安全需求,可以采用单独组网、网闸隔离、防火墙等安全设备隔离、静态和动态VLan逻辑隔离和aCL访问控制等。在服务器等重要区域,可以增设ipS或iDS、weB防护设备、网页防篡改系统等增强保护力度。
第二,加强对ip地址和接入端口的管理。在条件允许的情况下,对于平时位置和配置固定的服务器和pC机,采用用户名/密码/maC地址结合网络接入设备端口的身份验证策略,强制用户使用分配的ip地址和接入端口,不允许其随意修改。对于暂时不用的交换机端口应该予以关闭,避免外来计算机随意接入内部网络。
第三,网络和安全管理人员的管理权限、管理范围必须界定清楚,网络和安全设备的操作日志必须保存好。网络和安全管理人员的管理权限和范围根据各人的职责分工、管理能力进行划分,保证每位管理人员必要的操作管理权限,同时防止设备管理混乱。网络和安全设备操作日志应详细记录每个操作人员的操作,需要时应该可以追踪到所有操作人员的操作过程。
第四,以统一的安全管理策略利用安全设备和安全软件进行监管,减少人为干扰产生的例外情况。安全策略部署中的例外情况日后往往会成为安全隐患,例如,一些人员以各种借口拒绝在其工作用机上实施安全策略,或者需要开通特殊网络服务等。对于无法避免的例外情况应该指定专人负责记录、提醒、监督相关管理人员及时更改和恢复策略等。
2.2合理安排岗位职责
在一个大中型局域网中,网络管理人员不但需要保证诸如重要服务器、存储设备、门户网站等的网络畅通,而且常常需要担负ip地址规划、员工机器网络故障处理、网络系统升级改造、设备维保管理、机房环境管理、最新网络和安全技术跟进、新型网络和安全设备测试等诸多事项,所以一般无法做到单人单岗,人员的职责划分难免出现重叠区域。对于这种情况,应该按照重要程度对各岗位职责进行等级划分,把关系全局、实时性要求高的应用系统、数据存储系统等关键网络应用系统的网络安全保障作为关键工作,指定2~3人重点负责,并且把关键工作的维护人员之间的分工合作方式以制度的形式确定下来。
2.3管理层的重视和支持
首先,网络安全问题的暴露都具有滞后性,安全管理缺位造成的影响短期内并不一定能够显现出来,但是长期持续下去必然导致安全问题的发生。领导层应该对网络安全建设常抓不懈,并以制度的方式予以保证。
其次,网络安全基本数据、各部门对安全的需求等基础信息收集工作的开展常需要管理层的支持和协调,网络和安全管理策略的实施更是离不开管理层支持。目前网络安全很多威胁不是来自外部,而是缘自内部人员对网络安全知识的缺乏和对安全制度、措施的漠视,例如,个别内部机器不按要求安装主机安全软件、私自下载安装来源不明软件等。所以应该指定领导专门负责网络安全的实施和监督,配合网络安全部门技术人员完成安全措施的部署落实,做好网络安全的定期检查工作。
第三,大部分企事业单位里安全投资是属于运营成本,领导层难以期望安全投资会直接带来利润。itiL(informationtechnologyinfrastructureLibrary,信息技术基础架构库)提供了对it资源进行财务计量的方法,在企事业内部把it部门为其它部门提供的服务进行量化,以便更好地体现it部门的经济效益。但是从企事业单位的整体来看,对于大部分企事业单位,内部网络安全管理的投入仍然划归为基础运营成本。尽管如此,网络安全管理的重要性不应被忽视。
网络安全等级保护管理条例篇3
关键词:网络立法;行业自律;政策建议
中图分类号:D920.0文献标识码:a文章编号:1673-8268(2014)01-0031-07
据中国互联网络信息中心(CnniC)测算:截至2013年5月底,中国网民数量达到5.84亿,互联网普及率为43.6%[1]。伴随着网民数量的不断增加与网络的高度普及而来的是网络安全问题的日益严峻:网络犯罪手段的翻新,网络个人信息的肆意泄露,网络谣言的随意传播,越来越多的学者注意到网络立法的滞后已经严重制约了网络的正常运行和发展。在网络立法的必要性已经成为共识的今天,认真总结我国网络立法的发展与特点,分析存在的问题,提出网络立法的政策建议,是法律工作者重要的使命。
一、我国网络立法的发展与特点分析
(一)我国网络立法的现状与发展
网络立法是指以法律形式保护公民个人及法人信息安全,确立网络身份管理制度,明确网络服务提供者的义务和责任,并赋予政府主管部门必要的监管手段。据笔者不完全统计①,到目前为止,中国已出台涉及到网络问题的法律、法规和规章超过800部,已经初步形成覆盖网络信息安全、电子商务、未成年人保护等领域的网络法律体系。
从法律覆盖范围上来看(见图1),由全国人大及其常委会制定的涉及到互联网问题的法律27部,遍及电子商务、网络犯罪、著作权保护、未成年人保护等各个方面,但是直接相关于网络问题的法律事实上仅有三部。这三部法律包括《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国电子签名法》和《全国人大常委会关于加强网络信息保护的决定》。由国务院制定的行政法规共计17部;司法解释共计52部,其中,由最高人民法院制定的41部,最高人民检察院制定的11部;国务院各个机构制定的部门规章总计142部,涉及到商务部、教育部、文化部和信息产业部等多个部委;各个地方制定的现行地方性法规多达335部,其中,省级地方法规268部,较大市地方性法规55部以及经济特区法规12部,各地方政府规章274部。除此之外,还有规模更为庞大的地方性规范文件。仅以北京市为例,据笔者不完全统计,从2000年至今出台了6部涉及到互联网的地方性法规,3部地方政府规章,572份地方规范性文件。
从内容上看,我国网络立法的类型大概集中在以下几个方面。
1.针对网络信息安全的保护
这类法律法规主要是针对打击网络犯罪行为,保障网络安全。如国务院1994年颁布的《中华人民共和国计算机信息系统安全保护条例》开启了我国网络立法的先河,明确规定了诸如安全保护的主体、制度、法律责任等方面;公安部1997年的《计算机信息网络国际联网安全保护管理办法》则明确规定了我国互联网安全保护责任与安全监督责任;2009年颁布的《中华人民共和国刑法》修正案(七)针对网络犯罪新增了非法获取计算机数据罪、非法控制计算机信息系统罪等罪名。
2.网络著作权的保护
这类法律法规针对各种作品的著作权在互联网上的管理与保护。如2000年最高人民法院审判委员会通过的《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》;2001年国务院颁布的《计算机软件保护条例(2001)》则侧重于保障计算机软件著作权人的权利;国家版权局和信息产业部2005年联合的《互联网著作权行政保护办法》规范了互联网上著作权的行政执法行为;2010年全国人大常委会颁布的《中华人民共和国著作权法》的第10条第2款,第38条第6款,第42条,第48条第1、3、4款,第59条都涉及到有关网络著作权的保护。
3.针对电子商务的规范与保护
这类法律法规主要针对电子商务的各个环节与方面进行规范。如由人大常委会1999年颁布的《中华人民共和国合同法》在第11条和第16条正式确认了以电子形式订立的合同的法律效力;全国人大常委2004颁布的《中华人民共和国电子签名法》则第一次确认了电子签名的法律效力,规范了电子签名在电子商务中的应用;由中国国际贸易促进委员会和中国国际商会2009年共同的《中国国际经济贸易仲裁委员会网上仲裁规则》则是明确了在线解决电子商务纠纷的仲裁规则;商务部2011年的《第三方电子商务交易平台服务规范》则针对电子商务中第三方交易平台提供商的市场准入、基本原则、行为规范、监督管理等一系列方面进行了规范。
4.对于未成年人的保护
各国在网络立法中都将未成年人的保护列为其非常重要的组成部分,我国也不例外。如《未成年人保护法(2006修订)》的第36条就规定为了预防未成年人沉迷网络,网吧等营业性场所不得向未成年人开放。由最高人民法院、最高人民检察院2004年联合的《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播电子信息刑事案件具体应用法律若干问题的解释》第6条第1款所规定,制作、复制、出版、贩卖、传播具体描绘不满18周岁未成年人的电子信息的依照制作、贩卖、传播物品罪的规定从重处罚。
5.关于互联网的管理
针对互联网管理的网络立法大概可以分为这几个方面:网络信息的管理、互联网域名的管理、电信管理和一些行业自律公约。
第一,关于网络信息管理的立法主要是由国务院各部委制定。例如:新闻出版署1996年颁布的《电子出版物管理暂行规定》,信息产业部2000年颁布的《互联网电子公告服务管理规定》,新闻出版署和信息产业部2002年共同的《互联网出版管理暂行规定》,国家广播电影电视总局2003年的《互联网等信息网络传播视听节目管理办法》,国务院新闻办、信息产业部2005年的《互联网新闻信息服务管理规定》,文化部2011年的《互联网文化管理暂行规定(2011修订)》等等。
第二,关于国际互联网域名管理的法律法规。如国务院信息办在1997年6月接连出台了两部规章针对互联网域名问题――《中国互联网络域名注册暂行管理办法》和《中国互联网络域名注册实施细则》;最高人民法院2001年的《最高人民法院关于审理涉及计算机网络域名民事纠纷案件适用法律若干问题的解释》;信息产业部于2004年《中国互联网络域名管理办法》等,主要针对在互联网域名注册使用等环节有可能存在的问题与争议进行了规范。
第三,关于电信管理的立法。如国务院2000年公布的《中华人民共和国电信管理条例》;国务院2008年公布的《外商投资电信企业管理规定2008修订》;最高人民法院2000年的《最高人民法院关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》,则是针对电信市场管理的某一个或某几个环节和方面进行了规范。
第四,关于行业自律公约。早在2001年5月,我国就成立了全国性的行业组织――中国互联网协会,至今已制定了包括《中国互联网行业自律公约》、《文明上网自律公约》、《互联网新闻信息服务公约》、《互联网站禁止传播色情等不良信息自律规范》在内的十余项自律公约。互联网行业组织和这些行业自律公约对规范网络行为、净化网络环境、保障正当的网民权利发挥了重要作用。
(二)我国网络立法的特点分析
网络立法虽然和其他立法具有共同的原则,但也有自己的特性。
1.网络立法具有开放性特点
我国网络立法不仅打破了传统立法载体,而且也克服了其地方性法规的局限性,具有开放性的特征。
第一,网络立法内容和主体的开放性。一是立法内容的开放性。网络本身所具有的开放和边界模糊特征,使得构成我国网络立法内容的不是一部单纯的法律,而是涉及到民法、刑法、诉讼法、经济法等多个领域的多部法律;二是立法主体的开放性。从网络立法的主体而言,也呈现出多样化的特性。比如,全国人大及其常委会、国务院及各部委、各地方人大及其常委会、各地政府都出台了相关的法律法规来规范网络行为。
第二,网络立法过程的开放性。我国网络立法体现在立法过程中具有开放性。根据《立法法》第58条规定:“行政法规在起草过程中,应当广泛听取有关机关、组织和公民的意见。听取意见可以采取座谈会、论证会、听证会等多种形式。”网络立法过程中,我国人大常委会、国务院及有关部门在立法起草时就注意把草案向社会公开,以一种开放的心态听取公众的意见,特别是通过召开座谈会、听证会等各种手段听取有关各方的意见。例如2008年商务部针对《网络购物服务规范》和《电子商务模式规范》举行了网上征求意见活动,引起网民的广泛讨论[2]。2010年工商总局出台我国第一部有关网络商品交易的部门规章《网络商品交易及有关服务行为管理暂行办法》时,不但向各类商务网站、网店店主、网络消费者、公众征求意见,并在北京、成都等地举行了征求意见专题研讨会,充分听取了各方意见[3]。
2.网络立法范围广泛
为了打击网络犯罪、保护信息安全,巴西、日本、俄罗斯等国近来相继立法,详细界定了网络犯罪及其惩处办法。这些举措得到了广大民众的支持。目前,我国规制网络言论的立法规范领域广泛,在包括互联网的安全保护、互联网络域名管理、网络著作权的保护、电子商务、互联网出版管理、互联网上未成年人保护等宏观方面,基本实现了有法可依。从法律规范调整对象上看,法律法规涉及到网络用户、电信业务经营商、互联网接入服务提供商、网络内容服务提供商、互联网监管部门等多个参与对象。
3.立法速度加快
伴随着我国计算机网络的大规模应用普及,网络问题日益严重,网络立法呼声不断高涨,我国相关立法日益增多,特别是近些年立法速度明显加快。仅以司法解释为例,据笔者不完全统计,2000年到2010年“两高”共出台涉及网络问题的司法解释29部,平均每年2.9部,2010年以后至今已经司法解释23部,平均每年7.6部,增长了162%。
4.行政法规和部门规章数量大
在我国,基于行政管理的实践需要,许多政府部门都了针对网络问题的部门规章。这些政府部门依法定职责对网络的互联互通、网络信息的安全保护、网络著作权、网络信息服务市场准入、网站经营、网络信息服务等特殊行业行使自己的管理职能。另外,大部分省、市地方政府也在各自职权范围内颁布了一些涉及网络问题的部门规章。
5.许多法规具有开创性和引导性
我国的网络立法往往具有很强的开创和引导作用。例如《全国人大常委会关于加强网络信息保护的决定》,是我国第一次对网络信息提出多方位的立法保护;《电子签名法》是我国颁布的第一部确立电子商务运营规范的法律,在电子商务领域具有划时代的意义。《电子签名法》首次确认了电子签名与文本签名同样的法律效力,赋予了数据电文法律效力,规范了认证机构市场准入制度[4],制定了电子签名的安全保障制度。这些制度都是为了保障电子交易的安全,适应网络市场发展的内在要求,维护交易各方的合法权益,从而引导电子商务的正常有序发展。
二、我国网络立法存在的问题剖析
目前,关于互联网信息的保护,只有全国人大常委会2012年12月28日作出的《关于加强网络信息保护的决定》较为全面。著名法学家徐显明教授指出:“制定这个法的意义重大,它是对公民隐私权、表达权、民事权三大类权利进行保护的法,也是加强和创新社会管理,应对网络时代新的管理形式的法。”[5]“此次立法有三个方面的重大突破:一是对网络立法本身的突破,凸显了个人信息保护的重要性;二是在立法宣传上的突破,起到了普法宣传和提升社会网络法律意识的作用;三是以网络的方式管理互联网,这种新的尝试值得肯定[6]。应该看到,这是中国社会立法工作的重大进步。尽管这样,但我国网络立法仍存在一些差强人意之处,正如中国人民大学副校长、著名法学专家王利明所指出的:“网络信息安全亟待立法,我国相对其他一些发达国家已经明显滞后。”[7]目前,我国网络立法主要存在以下问题。
(一)网络立法层次普遍偏低,缺乏基本立法
从我国网络立法的现状来看,虽然由全国人大及其常委会制定的涉及到互联网问题的部级法律有27部之多,但是专门规定网络立法的仅有3部法律。《关于维护互联网安全的决定》和《关于加强网络信息保护的决定》,同为全国人大常委会针对网络问题而通过的法律性文件,前者仅有7个条文,后者也只有12个条文。无论是从条文数量还是条文内容看,这两部法律都更多地倾向于一种指导和宣示而并非对实际网络问题的解决。我国已出台的条例和规定缺乏系统性和权威性,如《电子签名法》的出台曾经被学者普遍认为是“中国首部真正意义上的信息化法律”,对我国的网络立法产生了重大而深远的影响,具有开创性的意义。但事实上,一方面,由于《电子签名法》本身出现的,例如认证机构的法律责任不明确、侧重管制多于保护等问题[8],使它在具体的司法实践中面临各种考验;另一方面,正如有些学者所指出的:“出台电子签名法,对电子签名效力加以确认,只能增加人们对电子签名的信心,并不必然导致从事电子交易的人都会使用电子签名。”[9]由于电子签名仅是电子商务的一个小的组成部分,《电子签名法》的颁布并不足以解决我们从事电子商务活动中所遇到的大部分问题。这些原因都使得这部法律的标志意义大于实践意义。而其余的24部相关性法律,如1999年的《中华人民共和国合同法》,2001年修正的《中华人民共和国著作权法》等,仅仅有个别法律条文涉及到计算机互联网规范,并非对互联网问题的专门立法。
如前所述,我们不难看出,现阶段我国的网络立法虽然增长比较迅速,但大多集中于部门规章以及地方性法规,立法层次普遍偏低,涵盖范围有限,针对网络问题的基本立法明显缺失。这无疑加大了我国网络监管的难度,造成我国网络管理混乱。
(二)立法机关过多,法律法规内容存在冲突
传统上,我国针对互联网信息的管理采取的是“多头管理”的方式,涉及到工信部、商务部、新闻出版总署、广电总局、文化部、教育部、知识产权局等多个管理机构。这些管理机构有特定的管理职责并对此制定了相应的管理规章。规章与规章之间缺乏统一性和协调性。随着网络的快速发展和多种媒体技术的融合,实践中往往出现相关立法分属不同法律部门,体系庞杂,交叉管理,权责不明,各自为政的情况。由于缺乏统一的基本立法,在针对许多特定的网络问题上,各个地方有不同的规定。虽然从某种程度上说,这些地方法规结合了当地的实际情况和自身的理解,但是却常常出现各地区之间交叉管理,合作障碍,互相冲突的情况例如针对计算机网络安全的保障范围这个概念来说,在2009年杭州市出台的《杭州市计算机信息网络安全保护管理条例》中明确将计算机网络安全的保护范围确定为“计算机信息网络的安全,包括计算机信息系统及互联网络的运行安全和信息内容的安全”。而在2012年贵阳市出台的《贵阳市计算机信息网络安全保护管理办法》中则将计算机网络安全的保护范围限定为“计算机信息网络安全,包括计算机信息网络的运行安全和信息内容安全”。无疑,两者在计算机安全是否包括计算机信息的系统本身这一关键问题上产生了分歧。这种细微问题上的认知差别实际上反应了两地在对于计算机网络安全这个问题上的不同理解。。这种情况的普遍存在无疑是造成网络监管混乱,网络权利一直得不到行之有效保护的一个重要因素。
事实上,我国还存在着大量下位法与上位法相冲突的情况,许多规章的规定超越了法定权限。比如由广电总局和工信部共同颁布的《互联网视听节目服务管理规定》中规定,从事互联网视听节目服务需要取得广播电影电视主管部门颁发的许可证;而根据行政许可法第14、15条规定,由人大及其常委会颁布的法律、国务院颁布的行政法规和决定、地方性法规以及省、自治区、直辖市人民政府制定的规章可以设定行政许可,国务院各部委颁布的部门规章无权设定行政许可。《互联网视听节目服务管理规定》中的规定明显超出了法律授权的范围。
(三)存在不少立法空白
我国涉及网络的法律法规多数属于“重管制,轻权利”,且许多网络行为得不到法律的有效规范,这表明我国网络立法已难以适应我国网络发展的需要。
比如在公众广为关注的个人信息的泄露问题上,就存在着法律法规明显缺失的现象。据央视网2012年的调查显示,有超过八成的网民担忧个人信息和隐私在网络上泄露,认为网络是隐私泄露的重灾区,有超过六成的网民关注我国网络信息安全立法的进展。中国青年报的社会调查报告则显示,有高达93.8%的人因个人信息泄露而感到困扰,86.0%的人期待国家尽快出台《个人信息保护法》[10]。尽管我国《宪法》、《刑法》、《邮政法》、《未成年人保护法》等多部法律的个别条文涉及到了个人信息的保护,但是我国专门保护个人信息特别是网络个人信息的法律缺失,个人信息在网络上的肆意流通与贩卖得不到有效控制仍是事实。再如计算机犯罪尤其是在网络环境下的计算机犯罪与传统犯罪相比较具有许多独特之处,因此各国往往倾向于指定专门的计算机犯罪法而不是仅仅在刑法典中规定为数不多的条款如瑞典制定的世界上第一部有关惩治计算机犯罪的法律《瑞典国家数据保护法》、美国制定的《计算机滥用修正案》、英国制定的《计算机滥用法》等。[11]。而我国仅有个别法律条文涉及到计算机犯罪的问题,这就出现了现行刑法并未能够覆盖和适用于所有新型的网络化犯罪的情况。另外,司法实践中还存在着诸如不同环节的网络犯罪很难按照共同犯罪来进行处罚,社会危害程度相差极大的网络犯罪被按照同一罪名进行处罚,法人难以作为网络犯罪的主体追究责任,网络犯罪没有设立附加刑等诸多问题。事实上,我国在电子商务、个人信息保护、网络犯罪等诸多方面都存在着或多或少的立法空白,亟需法律作出规范。
(四)有些法规缺乏可操作性
我国网络立法中,有些法规制度过于原则或笼统,缺乏可操作性;还有些法规制度明显滞后,已经不能适应网络市场发展的需要。在司法实践中,缺乏具体的规范与标准,已成为制约我国网络行为正常有序发展的重要瓶颈。如针对保密、公安、信息产业、国家安全、邮电、技术监督之间的协调性和相通性不够,缺乏统筹规划,没有统一的立法思想与主旨,缺乏评价网络行为的统一标准[12]。
三、完善我国网络立法的政策建议
“我国既没有制定统一的法律来规范网络信息安全,也没有专门的法律来保护个人信息。因此,亟待制定专门的法律,保护网络信息安全,维护公共利益,保护个人隐私和生活安宁。”[7]所以,进一步完善网络立法显得尤为重要。
(一)制定针对网络问题的基本法律法规
从中国网络法律法规的立法现状来看,部级的基本法律缺失,国务院的行政法规偏少,大多是立法层次较低的部门规章和地方法规。因此,网络立法的建设应从这些空白开始。
针对我国网络立法所存在的空白方面,应仿照《商标法》、《公司法》的立法模式[13],由全国人民代表大会或者全国人民代表大会常务委员会制定专门针对网络行为的基本法律,用以规范统一网络行为中出现的基本问题。笔者认为这部法律的主要内容最少应该包括以下几个部分。一是网络信息的定义、原则等基本问题。作为基本法律,需要对网络空间的准确定义、处理网络问题的基本原则等问题做出明确规定,用以解决实践中由于这些基本问题所引起的争议和矛盾。二是网络使用的权利义务关系。作为规范网络行为的基本法律,应该明确规定网络使用者、网络提供者以及网络监管者的权利义务。三是针对网络使用过程中出现的安全、维护以及管理问题要有明确的规定。四是配套制定其他针对网络问题的专门法律,如《电信法》、《个人信息安全法》、《网络安全法》等目前现实急切需要且立法条件已经成熟的法律。
在这些基本法律的基础上,国务院及其各部门和各地人大、政府结合自身的实际情况,进一步出台相应的行政法规、部门规章以及各地的地方法规,具体化基本法律中的规定,使得法律法规更具有可操作性,以期在实践中能够较好地得以施行。
(二)修改和完善原有的法律法规
第一,对现有的涉及到网络问题的法律法规进行修改和完善。如前所述,现有的网络法律法规存在着立法层次低、覆盖范围较小、多头管理、内容相互之间存在冲突等情况。这些关于网络问题的法律法规本身可能就存在一定的缺陷,而且网络立法的出台,也必然会影响到这些法律法规。有了国家层面的基本法律之后,可以以基本法律和政府的行政法规为基础,结合当地网络发展的实际情况,对现有的法律法规进行相应的修改和完善,确定新的网络法律法规。对于那些涉及到网络问题的法律法规的相关条款,如前文所提到的《未成年人保护法》、《著作权法》、《统计法》、《保守国家秘密法》、《合同法》等法律,也需要根据网络基本法对其中的相关条款进行修改和完善。
第二,对可能涉及到网络问题的原有法律法规的相关条款进行修改和完善。针对网络发展中所出现的新问题,对原有法律法规的相关条款进行修改和完善,使其能够更好地适应当前司法实践中的新要求。对于原有的法律法规进行修改和完善,一方面减弱了网络技术的普遍应用对传统法律制度造成的冲击,另一方面也节约了立法成本。
(三)法律法规与行业自律相结合
法律本身所具有的滞后性使得行业自律显得尤为重要。世界上主要国家都将行业自治看作是对法律法规的重要补充。如美国著名的互联网自治组织计算机协会(aCm)、信息系统审查与控制协会(iSaCa)等,这些行业自治组织从各个角度制定了自律规范,制定了诸如以“不应利用计算机去伤人”、“不应偷窥他人计算机文件”等为主要内容的“计算机伦理十诫”[14]。在英国,对互联网的监督与管理主要由具有半官方色彩的自治组织“网络监看基金会”(internetwatchfoundation,iwF)来进行,它制定的《安全网络:分级、检举、责任》(3R安全规则)在其国内得到广泛认可并在世界范围内都享有盛誉3R分别代表了分级认定、举报告发和承担责任。“网络观察基金会”以该规则为基础制定了一系列有关从业人员行为守则及相关的网络管理措施,如对外开设接待公众投诉的热线、对网络内容进行分级、由用户自行选择等。[15]。在亚洲国家中,日本具有完备的行业自律体系,它的行业自律规范《internet网络事业者伦理准则》将行业自律视为解决网络问题的重要途径。新加坡政府则鼓励行业自治,建立自己的评判标准,一部经过政府管理机构、互联网业界协商和用户调查共同完成的《行业内容操作守则》已被新加坡三家最主要的互联网服务提供商采用[16]。
与这些国家相比,我国的互联网行业自律组织还存在参与范围不够广泛、管理机制欠完善等不足。应该鼓励更多的网络从业人士和公众参与到网络自律规范的建设中来,健全分支机构、建立对违规会员的有效制约机制、完善互联网举报制度、加强行业自律的主动性、提高自身的自我治理能力、从源头上阻止违法行为的发生将是我国互联网自律组织发展的方向。从真正意义上重视行业自律建设,将行业自律与法治相结合。
(四)网络立法的规范要实现可操作性
“徒法不足以自行”,网络立法的制定,一定要符合实际,具有现实的可操作性和针对性,才能得到贯彻执行。一是要符合中国国情,把网络安全立法中的规范与现实可操作性结合起来;二是在加快相关立法的同时,一定要确保新的立法能够使网络信息安全立法与网络技术发展相衔接,使制定出的规范能够被有效、低成本地贯彻实施,避免法律规范成为不切实际的空中楼阁或劳民伤财的根源[12]。实践证明,只有符合现实可操作性,网络立法才是高效的、有生命力的网络法律规范。
总之,我国计算机网络已大规模应用普及,网络问题日益严重,完善网络立法已刻不容缓。因此,亟需制定完善网络相关的法律法规,切实有效地用法律来规范网络的使用,使得上网行为有法可依而不再是“法外之地”。
参考文献:
[1]互联网发展信息与动态[eB/oL].(2013-06-14)[2013-08-08].http://.cn/hlwfzyj/hlwfzzx/qwfb/201306/w020130614603405171795.pdf.
[2]商务部.《电子商务模式规范》和《网络购物服务规范》网上征求意见[eB/oL].(2008-05-11)[2013-08-10].http:///website/opinion/www_question_list.jsp?mofcom_no=199&pageno=3&type.
[3]刘浏.网络商品交易立法公开征求意见[n].成都日报,2010-04-16(8).
[4]卞保武.电子签名法对电子商务的影响[J].农业网络信息,2007(5):42-44.
[5]徐显明.加强网络立法意义重大[n].光明日报,2012-12-29.
[6]许跃芝,李万祥.网络立法推动社会管理走向成熟[n].经济日报,2012-12-29.
[7]张航.我国网络信息安全立法明显滞后[n].北京晚报,2012-12-24.
[8]胡腾,刘超.《电子签名法》相关问题解析[J].电子科技大学学报:社科版,2006(8):266-269.
[9]高富平,俞迪飞.电子证据等同于纸面证据的解决方案――兼论《电子签名法》的局限性[J].法学,2004(11):89-98.
[10]王聪聪.万人民调:86.0%受访者期待国家尽快出台《个人信息保护法》[n].中国青年报,2012-12-25(7).
[11]任妍.网络信息立法现状和对策建议[J].中国发展观察,2011(11):52-55.
[12]王春英.浅谈我国的网络信息安全立法[J].大众科技,2007(9):105-106.
[13]杨立新.网络立法的现状与思考[J].信息安全与通信保障,2001(6):62-63.
[14]孟威.惩防网络谣言是国际社会共同选择[n].人民日报,2013-06-13(23).
网络安全等级保护管理条例篇4
单纯Ftp服务器型漏洞可以靠打上相应补丁进行防范,但通常Ftp服务与其他服务共处一台服务器,一旦别的服务漏洞遭到攻击,就会造成所有服务的攻破。应用程序型漏洞来源于第三方应用程序自身,一方面应慎重安装应用软件,另一方面要安装安全软件并及时查毒。web服务器型漏洞是黑客利用的重点,它主要包括跨站脚本执行漏洞、SQL注入漏洞、缓冲区溢出漏洞、拒绝服务漏洞、CGi源代码泄漏漏洞等,而数据库服务器也多出现缓冲区溢出漏洞。信息部门的网管要清楚了解本部门网站服务器和数据库服务器的配置,如它们的组合是aSp+SQLServer,还是pHp+mySQL,每种脚本语言及数据库的主要命令怎样应用。如果由网络公司代为搭建服务器,应向公司的工程师详细咨询并索要服务器的使用说明文档。对自身服务器漏洞的查询可以依靠软硬件的漏洞扫描工具来完成。对网络机房设备的安全维护应当建立健全的管理机制,如制定安全管理制度,制度条例以条文形式张贴于机房室内;制定网管人员每日巡查制度并撰写巡检报告;建立网络漏洞定期扫描和评估制度;为每名网管和服务器管理人员分配对应的管理权限,原则上只允许一名系统管理员权限存在;按照国家实验室认可标准和信息安全等级保护管理办法等相关要求定期组织单位内部自查和对下属单位监督检查;组织网管人员定期培训。上述管理方法同样适用于网络安全部门对社会各信息单位开展等级保护检查工作,在检查各个单位的服务器时可根据各单位的配置经验按照配置类型进行分组,遵照典型案例的特点去验证同组情况,在同组配置中寻找特例。
2恶性病毒
aRp病毒、DDoS攻击情况屡见于单位的内网,经常造成网络瘫痪及数据丢失,基于此采取相应的应对防范措施尤为重要。如建立每台内网内机器的ip-maC列表,用专用软件每天定时巡检其对应性;建立每台工作用机的硬件及操作系统的配置档案并存储入库;设立硬件防火墙,定期检查机房内主干网用路由器、交换机、防火墙的日志信息并导出保存;每台工作用机由使用者负责维护,严格落实安全软件的安装和升级制度;每网机器制作并保存系统的备份,网管建立并保存服务器的备份;网管制作和保存单位内部设备拓扑图,一旦内网有感染病毒的机器再现,能及时将该机器或其所属子网隔离出内网;可在条件允许的情况下,将内网用3层交换机设置VLan以区分出办公、实验、等不同使用领域;与单位网络的iSp签订协议,定期更换单位的公网ip,以规避有针对性的来自外网的DDoS、aRp攻击。
3手机无线上网
随着智能手机的广泛使用和无线宽带技术的发展,网络使用人群已由传统的pC向移动终端过渡。对无线信号属性的掌握和移动终端的合理应用成为应注意的主要问题。如主流无线路由器等无线设备的常见型号及配置,信号穿透能力及散布范围,设备对不同方向的信号衰减程度,不同型号设备的抗干扰性;关注和跟踪蓝牙的无线传输和发射技术;对获得的目标手机的基站定位参数进行解读和正确拆分,并以此为根据在手机基站定位软件上定位目标手机的实际地点。
4网络音视频文件传输
面对流通于网络和存储于单位服务器上的大量音视频文件,对其进行有效分析和管理是保护自身信息安全和有效利用信息资源的重要工作。除了依靠专业技术开发对音视频文件的获取、压缩和存储的处理手段外,还可致力于开发对音视频文件的分析和判别技术,尤其是集成频率提取技术、人面识别技术、连续相似视频合并及非焦点淡化技术的综合处理模式。
5电子数据鉴定
全国大部分地区已经建立了电子数据鉴定实验室,这对涉及电子数据、信息司法裁定具有重大意义。而作为信息单位,在具备对电子数据的分析、恢复、获取等专业技术的同时,应加强对本单位重要数据的保护及管理。涉及重要数据分析、保管的部门人员应加强对电子数据鉴定领域的国家、行业标准及技术规范的学习。有条件的单位应专门设立独立部门和人员从事电子数据的提取、固定与恢复,数据的分析与鉴定,信息系统分析与鉴定等工作。对于重要信息数据的操作及保存要结合本单位工作特点制定专门的操作规范和流程。
6信息保密意识和机制
网络安全等级保护管理条例篇5
法律也是实施各种信息网络安全措施的基本依据。信息网络安全措施只有在法律的支撑下才能产生约束力。法律对信息网络安全措施的规范主要体现在:对各种计算机网络提出相应内安全要求;对安全技术标准。安全产品的生产和选择作出规定;赋予信息网络安全管理机构一定的权利和义务,规定违反义务的应当承担的责任;将行之有效的信息网络安全技术和安全管理的原则规范化等。
一、我国信息网络安全法律体系
我国现行的信息网络法律体系框架分为三个层面;
1、一般性法律规定
如宪法。国家安全法、国家秘密法,治安管理处罚条例、著作权法,专利法等。这些法律法规并没有专门对网络行为进行规定,但是。它所规范和约束的对象中包括了危害信息网络安全的行为。
2、规范和惩罚网络犯罪的法律
这类法律包括《中华人民共和国刑法》。《全国人大常委会关于维护互联网安全的决定》等。这其中刑法也是一般性法律规定。这里将其独立出来。作为规范和惩罚网络犯罪的法律规定。
3、直接针对计算机信息网络安全的特别规定
这类法律法规主要有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》。《中华人民共和国计算机软件保护条例》等。
4、 具体规范信息网络安全技术、信息网络安全管理等方面的规定
这一类法律主要有:《商用密码管理条例》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机病毒防治管理办法》。《计算机信息系统保密管理暂行规定》,《计算机信息系统国际联网保密管理规定》、《电子出版物管理规定》、《金融机构计算机信息系统安全保护工作暂行规定》等。
二、我信息网络安全法律体系的特点
1、确立了信息网络安全管理的基本法律原则
从现有的信息网络安全法律法规中可以看出,我国大致上确立了多项信息网络安全管理的基本法律原则。主要包括:(1)重点保护原则;(2)预防为主原则;(3)责任明确原则;(4)严格管理原则;(5)促进社会发展的原则等。
2、建立了多顶信息网络安全的保障制度
到目前为止我国已经建立的信息网络安全保障制度主要有:计算机信息系统安全等级保护制度、计算机信息系统国际联网备案制度、安全专用产品销售许可证制度、计算机案件强行报案制度、计算机信息系统使用单位安全负责制度、计算机病毒专营制度、商用密码管理制度、互联网信息服务安全管理制度、电信安全管理制度、信息安全检测。评估和认证安全监督营理制度。计算机信息媒体进出境申报制度等。
3明确了计算机信息网络安全的管理部门
我国计算机信息网络的安全保护监督营理工作由公安机关行使。 1994年 2月,国务院颁布的《中华人民共和国计算机信息系统安全保护条例赋予公安机关行使对计算机信息系统的安全保护工作的监督营理职权。1995年2月全国人大常委会颁布的《中华人民共和国人民警察法)。明确了公安机关具有监督管理计算机信息系统的安全的职责。 1997年12月施行的《计算机信息网络国际联网安全保护营理办法》将公安机关的监督职权扩展到了信息网络的国际联网领域。
三、我国现行信息网络安全法存在的问题
信息网络安全法应当具备以下几个特点;(1)体系性。网络改变了人们的生活观念、生活态度。生活方式等,同时也涌现出病毒。黑客、网络犯罪等以前所没有的新事物。传统的法律体系变得越来越难以适应网络技术发展的需要,在保障信息网络安全方面也显得力不从心。因此,构建一个有效、相对自成一体、结构严谨、内在和和谐统一的新的法律体系来规范网络社会。就显得十分必要。(2)开放性。信息网络技术在不断发展。信息网络安全问题层出不穷、形形色色,安全法律应当全面体现和把握信息网络的基本特点及其法律问题,适应不断发展的信息网络技术问题和不断涌现的网络安全问题(3)兼容性。网络环境虽说是一个虚拟的数字世界,但是它并不是独立于现实社会的“自由王国”;发生在网络环境中的事情只不过是现实社会和生活中的诸多问题在这个虚拟社会中的重新晨开。因此,安全法律不能脱离传统的法律原则和法律规范,大多数传统的基木法律原则和规范对信息网络安全仍然适用。同时。从维护法律体系的统一性、完整性和相对稳定性来看,安全法律也应当与传统的法律体系保持良好的兼容性。(4)可操作性。网络是一个数宁化的社会,许多概念规则难以被常人准确把握,因此,安全法律应当对一些专业术语、难以确定的问题、容易引起争议的问题等做出解释,使其更具可操作性。从这几点出发,我国的信息网络安全法律体系存在以下问题。
1、立法滞后、层次低,尚未形成完整的法律体系
在我国现行涉及网络安全的法律中,法律、法规层次的规定太少。规章过多,给人一种头重脚轻的感觉。而且。在制定规章的过程中,由于缺乏纵向的统筹考虑和横向的有效协调。制定部门往往出于自身工作的考虑,忽视了其他相关部门的职能及相互间的交叉等问题,致使出台的规章虽然数量不少但内容重复交叉。这种现状一方面造成部门问更多的职能交叉,另一方面。在一定程度上造成了法律资源的严重浪费。法律法规的欠缺、规章的混乱,常常造成这样一种奇怪的现象对网络违法行为,要么无人管。要么争着管。
2、不具开放性
我国的信息网络安全法结构比较单一、层次较低。难以适应信息网络技术发展的需要和日益严重的信息网络安全问题。我国现行的安全法律基本上是一些保护条例、管理办法之类的,缺少系统规范网络行为的基本法律如信息安全法、网络犯罪法、电子信息出版法、电子信息个人隐私法等。同时,我国的法律更多她使用了综合性的禁止性条款,如《中华人民共和国计算机信息系统安全保护条例》第七条规定:“任何单位或者个人。不得利用计算机信息系统从事危害国家利益。集体利益和公民台法利益的活动。不得危害计算机信息系统的安全。”而没有具体的许可性条款和禁止性条款。这种大一统的立法方式往往停留于口号的层次上。难以适应信息网络技术的发展和越来越多的信息网络安全问题。
3、缺乏兼容性
我国的安全法律法规有许多难以同传统的法律原则、法律规范协调的地方。比如说,根据《中华人民共和国行政处罚法》第十二条规定,规章可以在法律。行政法规规定的给予行政处罚的行为、种类和幅度范围内作出具体规定。尚未制定法律、行政法规的。规章对违反行政管理秩序的行为,可以设定警告或者一定数量罚款的行政处罚。在我国现有相关法律、行政法规中。均未设定没收从事违法经营活动的全部设备的处罚,但是依据这些行政法规制定的《互联网上网服务营业场所管理办法》的第14条,却设定了没收从事违法经营活动的全部设备的处罚种类,显然这个处罚的设定与相关法规有矛盾之处。
4、缺乏操作性
我国的信息网络安圭法中存在难以操作的现象。为丁规范网络上的行为。政府职能部门都出台了相关的规定,公安部、信息产业部、国家保密局、教育部、新闻出版署、中国证监会。国家广播电影电视总局、国家药品监督营理局、原国务院信息化工作领导小组等都制定了涉及网络的管理规定。此外,还有许多相关的地方性法规。地方政府规章。数量虽大,但是它们的弊端是明显的。由于没有法律的统一协调,各个部门出于自身利益,致使常常出现同一行为有多个行政处罚主体,处罚幅度不尽一致,行政审批部门及审批事项多等现象。这就给法律法规的实际操作带来了诸多难题。
四、我国信息网络安全法律体系的完善
目前。我国信息网络安全法律体系的建立首先应当考虑以下几个方面;
1、信息安全法确定国家在建立电子数据信息资源中的地位,明确电子数据交流与保密的范畴,保护电子数据的法律责任,规范电子数据系统的安全保护要求规定对电子数据系统安全维护管理必要的人员配置及责任义务等。
2、互联网络法规定对网络的正当使用。防止越权访问网络保护网络用户的合法利益。
3、网络犯罪法刑法和全国人大《关于维护互联网安全的决定》虽然规定了一部分网络犯罪及其刑事责任。但是这难以适应越演越烈的网络犯罪。因此必须进行立法完善。
4、电于信息出版法明确电子出版的权利、义务、审批。管理和法律责任等。
5、电子信息知识产权保护法明确规定以电子信息方式存在的、以多媒体等介质表述的文教、卫生、科技、工农业。商贸等各领域的发明、创造的知识产权的归属。主体的权利、义务、责任,违反法规的惩处等。
6.电子信息个人隐私法对于公民个人有保护隐私的需要,在电子信息系统广泛应用的条件下,这种要求将以新的形式提出,要有相应的管理规范加以界定和保护。本法应当规定,在电子商务中涉及到的、个人以电子信息方式存在的隐私。在不违反国家安全的利益的原则下,享有隐私权。侵犯犯他人隐私权将依法受到惩处。
网络安全等级保护管理条例篇6
公告
《南京市院前医疗急救条例》已由南京市第十五届人民代表大会常务委员会第三十二次会议于2017年2月17日制定,江苏省第十二届人民代表大会常务委员会第二十九次会议于2017年3月30日批准。现予公布,自2017年7月1日起施行。
南京市人民代表大会常务委员会
2017年4月11日
第一章总则
第一条为了规范院前医疗急救行为,提高院前医疗急救服务水平,及时、有效抢救急、危、重症患者,保障公民身体健康和生命安全,根据有关法律、法规,结合本市实际,制定本条例。
第二条本市行政区域内的院前医疗急救相关活动及其监督管理适用本条例。
第三条本条例所称院前医疗急救,是指由市急救中心、急救网络医院按照统一指挥调度,在患者送达医疗机构救治前开展的现场抢救、途中紧急救治及监护的医疗活动。
本条例所称急救网络医院,是指接受市急救中心指令,承担院前医疗急救任务的医疗机构。
本条例所称急救站(点),是指市急救中心、急救网络医院根据相关规划分别设置在医疗机构内部,具体开展院前医疗急救服务的单位。
第四条院前医疗急救是政府主办的公益性事业,是基本公共医疗服务的重要组成部分。
市、区人民政府应当加强对院前医疗急救工作的领导,将院前医疗急救事业纳入本级卫生事业发展规划,将院前医疗急救所需经费纳入年度财政预算,健全和完善财政保障机制,建立与经济社会发展和人民群众需求相适应的院前医疗急救保障体系。
第五条卫生计生行政主管部门是院前医疗急救工作的主管部门,负责组织、协调、监督管理本行政区域内院前医疗急救活动。
发展和改革、经济和信息化、教育、公安、民政、财政、人力资源和社会保障、文化广电新闻出版、国土资源、价格、规划、交通运输、旅游、红十字会、通讯等部门和单位,按照各自职责做好院前医疗急救相关工作。
第六条市卫生计生行政主管部门应当会同相关部门对院前医疗急救的相关信息和资源进行整合,建立信息共享、互联互通的院前医疗急救公共信息和指挥基础平台。
第七条卫生计生行政主管部门应当定期组织开展社会急救技能培训和急救知识的宣传普及活动,建立指导公众自救、互救的信息化平台。红十字会应当依法开展医疗急救知识普及、初级卫生救护培训等工作。
教育行政主管部门应当将急救知识和急救基本技能纳入学校教育内容,在专业组织的指导下,开展适合学校实际和学生特点的针对性培训,提高学生的安全意识和自救、互救能力。
广播、电视、网络、新闻出版等单位以及公共场所、旅游景点管理单位应当配合卫生计生行政主管部门开展公共卫生知识、常规医疗急救知识和其他应急防护知识的宣传教育,提高公众第一时间自救、互救能力。
鼓励各级国家机关、企事业单位、社会团体组织本单位工作人员参加急救知识和技能培训。
第八条鼓励单位或者个人通过公益捐赠、志愿服务等方式,支持院前医疗急救事业发展,参与院前医疗急救服务。
参与院前医疗急救的志愿者,应当接受红十字会、市急救中心的相关专业培训,服从卫生计生行政主管部门的统一组织和管理,遵守院前医疗急救服务标准和行为规范。
受捐赠单位应当将捐赠资金、物资的使用及审计结果等向社会公示,接受社会监督。
第九条对在院前医疗急救工作中做出显著成绩的单位和个人,由卫生计生行政主管部门按照相关规定予以表彰和奖励。
第二章体系建设
第十条本市建立市急救中心、急救网络医院及其设置的急救站(点)共同组成的院前医疗急救体系,并逐步提高市急救中心设置急救站(点)的占比。
本市积极推动陆地、水面、空中等多方位、立体化救护网络建设。
第十一条市卫生计生行政主管部门应当会同规划、国土资源等行政主管部门,编制医疗卫生设施布局规划,明确急救站(点)设置,报市人民政府批准后纳入控制性详细规划中。
国土资源行政主管部门应当根据医疗卫生设施布局规划,保障急救站(点)建设用地。
第十二条本市实行城市化管理的区域,救护车活动半径三至五公里范围内至少设置一个急救站(点);人口密集的地区每二十万人口设置一个急救站(点)。其他区域每个建制镇(街)设置一个急救站(点)。
急救站(点)的配置标准,由市卫生计生行政主管部门制定,并向社会公布。
第十三条急救网络医院由市卫生计生行政主管部门根据医疗卫生设施布局规划、医院专科设置情况等确定,并向社会公布。
确定为急救网络医院的医疗机构,应当符合下列条件:
(一)按照国家有关规定配备具有医疗急救专业知识和技能的医师、护士;
(二)配有救护车,车内设备、急救药品、医疗器械符合配置标准;
(三)具有完善的院前医疗急救工作制度;
(四)法律、法规规定的其他条件。
急救医疗资源短缺的区域,市卫生计生行政主管部门根据实际需要,可以确定由当地镇(街)医疗卫生服务机构承担院前医疗急救工作。
未经市卫生计生行政主管部门确定,任何医疗机构不得冒用市急救中心、急救网络医院、急救站(点)名义开展院前医疗急救活动。
第十四条市急救中心设置的急救站(点)不足的,可以根据急救站(点)设置要求,通过政府购买服务、财政补贴等方式支持急救网络医院设置急救站(点)。
通过政府购买服务方式提供院前医疗急救服务的,卫生计生行政主管部门应当公告购买服务的内容、规模、资质要求以及应当提交的材料等相关信息,依照法定程序确定承接主体。承接主体确定后,依法签订院前医疗急救服务购买合同,明确购买服务的范围、质量要求、服务期限、资金支付、合同双方权利义务和违约责任等。
院前医疗急救不得采取个人承包、变相承包等形式运营。
第十五条卫生计生行政主管部门履行院前医疗急救的下列职责:
(一)组织编制实施医疗卫生设施布局规划,确定急救网络医院;
(二)制定五年培训规划和年度实施方案,组织开展院前医疗急救工作的宣传、教育和培训;
(三)制定院前医疗急救管理制度、服务规范和质量控制标准,并组织实施;
(四)对市急救中心和急救网络医院履职情况进行指导、检查、考核,纳入公共信用信息系统,实行信用量化分类监管,建立严重失信单位黑名单制度和公示制度;
(五)依法查处院前医疗急救违法行为;
(六)依法组织购买院前医疗急救服务,并对急救网络医院使用财政补贴资金的情况进行监管;
(七)对在院前医疗急救工作中做出显著成绩的单位和个人进行表彰和奖励;
(八)法律、法规规定的其他职责。
第十六条市急救中心履行院前医疗急救的下列职责:
(一)承担院前医疗急救任务,负责全市院前医疗急救的日常组织和指挥调度;
(二)负责对急救网络医院进行业务指导;
(三)承担院前医疗急救信息系统建设;
(四)参与大型活动急救保障、突发事件的紧急医疗救援工作;
(五)法律、法规规定的其他职责。
第十七条急救网络医院履行院前医疗急救的下列职责:
(一)服从市急救中心的指挥、调度,承担指定的院前医疗急救任务;
(二)实行院前医疗急救二十四小时值班制度;
(三)按照相关规定做好院前医疗急救资料、信息的登记、保管和上报工作;
(四)落实院前医疗急救管理制度,执行院前医疗急救操作规范;
(五)法律、法规规定的其他职责。
第十八条市急救中心、急救网络医院、急救站(点)不得擅自停业、中断提供院前医疗急救服务,不得擅自减少急救人员。
市急救中心、急救网络医院、急救站(点)因故停业、中断提供院前医疗急救服务的,应当至少于停业、中断服务前两个月向市卫生计生行政主管部门报告;市卫生计生行政主管部门接到报告后,应当采取必要措施确保该区域的院前医疗急救服务不受影响。
第十九条下列重点单位、公共场所应当组建适应急救基本需求的专业性或者群众性救护志愿者队伍,配备必要的急救器械、设备和药品,在突发事件中协助市急救中心、急救网络医院进行紧急现场救护:
(一)机场、长途汽车客运站、火车站、轨道交通站点等交通枢纽;
(二)幼儿园、学校、体育场馆、会展场馆、文化娱乐场所、旅馆、商场、景区(点)等人员密集场所;
(三)养老机构、市3a级以上社区居家养老服务中心等养老服务场所;
(四)从事建筑施工、采矿、交通运输等高危险性作业的单位。
机场、长途汽车客运站、火车站、养老机构、市3a级以上社区居家养老服务中心、设有医疗机构的旅游景区(点)及轨道交通换乘车站等场所,还应当配备自动体外除颤仪(aeD)等急救器械,由专、兼职人员进行使用和维护。
重点单位、公共场所配备急救器械、设备和药品的种类、标准及经费来源的具体办法由市人民政府制定。
第二十条基层医疗机构医护人员应当定期接受急救知识和技能培训,对突发疾病的患者实施初级医疗救护。
警察、消防员、乘务员、养老服务人员、保安人员、导游等公共服务人员,应当定期接受急救知识和技能培训,发现需要急救的患者时主动救护。
鼓励具备医疗急救专业技能的个人在急救人员到达前,对需要急救的患者实施紧急现场救护。紧急现场救护行为受法律保护,因紧急现场救护对患者造成损害的,依法不承担法律责任。
鼓励重点单位、公共场所管理单位,以及其他社会组织通过商业保险、奖励等形式,支持和引导公众参与紧急现场救护。
第三章服务管理
第二十一条本市院前医疗急救专用呼叫号码为120。
任何单位和个人不得设置其他院前医疗急救号码、冒用120号码,不得对120呼救电话谎报呼救信息、恶意呼叫、骚扰等。
第二十二条本市建立急救联动机制。110、119、122、12349等紧急呼叫平台接到患者需要急救的求助信息时,应当予以协助并及时联系市急救中心。
第二十三条市急救中心应当设置与全市院前医疗急救呼叫量相适应的呼叫线路,配备急救指挥调度人员,实行二十四小时值班制度,及时接听公众呼救电话,无正当理由不得拒绝或者拖延受理呼救。
第二十四条急救指挥调度人员应当熟悉院前医疗急救知识和行政区域内医疗机构的基本情况,具备专业的指挥调度能力。
急救指挥调度人员应当在收到完整呼救信息后一分钟内向待命急救人员发出调度指令。急救人员应当在接到调度指令后五分钟内出车。
第二十五条市急救中心的调度呼叫电话录音、派车记录和救护车出车、运行的音频视频监控资料应当至少保存三年。院前医疗急救病历按照国家、省相关规定管理。
第二十六条市卫生计生行政主管部门应当根据区域服务人口、服务半径、地理环境、交通状况以及业务需求增长量等因素,按照每四万常住人口至少配备一辆救护车的标准配置救护车。
市急救中心、急救网络医院配备救护车,应当按照国家、省相关规定办理有关手续。
救护车应当按照相关规定安装卫星定位系统、通讯设备和音频视频监控系统,配备警报器、标志灯具、急救设施以及里程计费装置,并喷涂统一的院前医疗急救标志图案,统一编号、统一管理。
卫生计生行政主管部门应当加强救护车的日常管理。救护车应当专车专用,任何单位和个人不得动用救护车开展非院前医疗急救活动,不得冒用院前医疗急救专用标识。
第二十七条执行院前医疗急救任务的救护车应当配备三至五名随车急救人员,包括具备相应资质的医师、护士,以及驾驶员等;有条件的可以配备医疗救护员等辅助人员参与院前医疗急救服务工作。急救人员应当接受急救知识和技能培训并考核合格。
急救人员开展院前医疗急救服务时,应当统一穿着急救服装,文明待人,规范服务。
第二十八条急救人员应当在保证交通安全前提下尽快到达急救现场,按照院前医疗急救操作规范立即对患者进行现场救治。在到达急救现场之前,急救人员应当及时了解患者病情,指导患者自救或者指导其他在场人员采取适当救护措施。
患者家属或者现场其他人员应当协助配合急救人员的工作。急救人员不得因费用问题拒绝或者延误院前医疗急救服务。
需要送至医疗机构救治的,急救人员应当按照就近、就急、满足专业需要、兼顾患者或者其家属意愿的原则,及时将患者送往医疗机构。
患者有下列情形之一的,由急救人员决定送往相关医疗机构进行救治:
(一)病情危急,有生命危险的;
(二)疑似突发传染病的;
(三)存在严重精神障碍的;
(四)法律、法规规定的其他情形。
第二十九条急救人员在急救过程中发现患者存在危害他人、自身身体以及财产安全情形的,应当及时报警,由公安机关依法处置并协助运送。
第三十条患者被送至医疗机构前,急救人员应当与医疗机构进行沟通,提前告知患者有关情况,医疗机构应当做好接诊准备。
患者被送至医疗机构后,急救人员应当及时与接诊医生、护士交接患者病情、初步诊疗和用药情况等信息,并按照规定填写、保存病情交接单。医疗机构应当及时收治患者,不得以任何理由拒绝、拖延、推诿,不得占用车载急救设施、设备等。
对接收的生活无着、流浪乞讨患者,医疗机构应当及时救治,并通知公安机关和救助管理机构。
不具备相应救治能力,需要再次将患者送往其他具备救治能力的医疗机构的,由市急救中心统一调度。
第三十一条患者应当按照规定支付院前医疗急救费用。市急救中心、急救网络医院应当按照有关规定实行收费公示和结算清单制度,并提供有效票据。院前医疗急救服务项目和收费标准,由价格主管部门会同相关部门根据国家和省有关规定制定并向社会公示。
患者身份不明或者无力支付医疗急救费用的,有关急救费用由疾病应急救助基金按规定支付。
第三十二条市卫生计生行政主管部门应当向社会公布院前医疗急救监督电话,接受举报和投诉,依法进行调查、处理并及时向投诉举报人反馈。
第四章保障
第三十三条院前医疗急救专项经费应当足额用于下列事项:
(一)院前医疗急救体系建设和运行;
(二)购置、更新和维护救护车、医疗急救设备和器械、通讯设备,储备应急药品和其他急救物资;
(三)大型活动和突发性公共事件的医疗急救保障处置;
(四)急救人员培训和演练,群众性自救、互救知识的宣传教育和公益培训;
(五)购买院前医疗急救服务,对急救网络医院进行财政补贴;
(六)其他与院前医疗急救相关的事项。
第三十四条相关部门和单位应当为院前医疗急救工作提供下列保障:
(一)人力资源和社会保障主管部门负责将符合相关规定的院前医疗急救费用纳入医保和工伤保险基金支付范围,及时为参保人员提供院前医疗急救费用结算服务;对急救人员的招聘、待遇、职称评定等方面按照相关规定给予扶持;
(二)公安机关负责依法处理侵害急救人员、患者人身安全和扰乱院前医疗急救治安秩序的违法行为;公安机关交通管理部门应当向市急救中心提供道路交通实况信息,保障执行急救任务的救护车优先通行,发生突发公共事件时,采取措施确保应急车道畅通;
(三)民政行政主管部门负责对急救患者中符合社会救助对象的认定,协调落实相关救助资金;按照有关规定落实养老服务组织参与急救的补贴经费;
(四)通信运营企业负责保障120通讯网络畅通,及时提供救护车到达前呼救者无线定位等服务。
第三十五条市急救中心、急救网络医院、相关医疗机构和急救人员依法开展院前医疗急救活动受法律保护,任何单位和个人不得干扰、阻碍其正常工作。
第三十六条救护车执行院前医疗急救任务时,享有下列权利:
(一)使用警报器、标志灯具;
(二)在确保安全的前提下,不受行驶路线、行驶方向、行驶速度和信号灯的限制;
(三)在禁停路段临时停放;
(四)在高速公路上使用应急车道;
(五)法律、法规规定的其他权利。
第三十七条救护车执行急救任务时,其他车辆和行人应当让行,不得阻碍救护车通行。其他车辆和行人有条件让行而拒不让行的,市急救中心、急救网络医院可以将阻碍救护车通行的情形通过视频记录固定证据,由公安机关依法处罚;因让行而导致违反交通规则的,不予行政处罚。
其他车辆和行人因主动参与救护患者而导致违反交通规则的,经公安机关交通管理部门核实,不予行政处罚。
第三十八条对执行急救任务的救护车,应当优先放行,免收道路通行费和道路停车费。
第五章法律责任
第三十九条违反本条例规定,市急救中心、急救网络医院有下列情形之一的,由卫生计生行政主管部门责令限期改正,处以五千元以上二万元以下罚款;直接造成人身损害严重后果的,处以二万元以上五万元以下罚款:
(一)急救网络医院拒不承担院前医疗急救任务,或者不服从市急救中心指挥调度的;
(二)未按照规定实行二十四小时值班制度的;
(三)未在规定时间内派出救护车的;
(四)违反院前医疗急救转运原则转运患者的;
(五)未按照规定登记、保管或者上报院前医疗急救资料的。
第四十条违反本条例第十三条第四款规定,冒用市急救中心、急救网络医院、急救站(点)名义开展院前医疗急救活动的,由卫生计生行政主管部门责令改正,处以一万元以上三万元以下罚款;情节严重的,处以三万元以上十万元以下罚款。
第四十一条违反本条例第十四条第三款规定,急救网络医院对急救站(点)采取个人承包或者变相承包方式运营的,由卫生计生行政主管部门责令对院前医疗急救业务停业整顿,并处一万元以上五万元以下罚款。
第四十二条违反本条例第二十一条第二款规定,擅自设置院前医疗急救电话的,由卫生计生行政主管部门责令改正,处以二万元以上十万元以下罚款。
第四十三条违反本条例第二十三条规定,市急救中心无正当理由拒绝或者拖延受理呼救的,由市卫生计生行政主管部门责令改正,处以一万元以上三万元以下罚款。
第四十四条违反本条例第二十六条第四款规定,动用救护车开展非院前医疗急救活动的,由卫生计生行政部门责令改正,处以一千元以上一万元以下罚款;情节严重的,处以一万元以上五万元以下罚款。动用救护车开展非院前医疗急救活动所产生的费用,由相关责任人承担。
第四十五条违反本条例第二十七条第一款规定,市急救中心、急救网络医院未按照规定配备急救人员的,由卫生计生行政主管部门责令改正,处以二千元以上一万元以下罚款。
第四十六条违反本条例第三十条规定,医疗机构拒绝、拖延、推诿患者交接,或者无故占用救护车的设施、设备的,由卫生计生行政主管部门予以警告,并处一万元以上五万元以下罚款;造成严重后果的,处以五万元以上十万元以下罚款;构成犯罪的,依法追究刑事责任。
第四十七条单位和个人有下列情形之一的,由公安机关依法给予行政处罚;构成犯罪的,依法追究刑事责任:
(一)对120呼救电话谎报呼救信息、恶意呼叫、骚扰的;
(二)阻碍执行院前医疗急救任务的救护车通行的;
(三)侮辱、殴打急救人员,或者以各种方式阻碍急救人员现场施救的;
(四)其他扰乱院前医疗急救秩序的行为。
违反前款第一项、第二项规定,情节严重的,由相关部门认定后纳入公共信用信息系统。
第四十八条相关行政主管部门、单位及其工作人员违反本条例规定,在院前医疗急救工作中未能履行相关职责,不落实本市医疗卫生设施布局规划,不按规定设立急救站(点),或者滥用职权、玩忽职守、徇私舞弊的,依法对负有责任的人员给予行政处分;构成犯罪的,依法追究刑事责任。
第四十九条市急救中心、急救网络医院及其医务人员在院前医疗急救过程中因过错造成患者损害的,应当依照相关法律、法规的规定承担赔偿责任;构成犯罪的,依法追究刑事责任。
第五十条接受院前医疗急救服务但拒不支付急救费用的,市急救中心或者急救网络医院可以依法向人民法院起诉。
网络安全等级保护管理条例篇7
论文摘要:随着高校中心机房发展规模的不断扩大,存在着不少安全隐患,根据自己多年的管理实践,提出了一系列相关的防护措施和解决方案,以便更好地为广大师生服务。
随着计算机数字信息化的发展及应用不断深入,互联网技术突飞猛进,计算机中心机房已成为学校信息化的基础设施,它体现着高校的信息化建设水平,直接关系着学校的全局。高校中心机房的网络系统、服务器和存储设备等,是学校网页和对外交流的平台窗口,承载了学院各部门不同专业类别的信息数据,包括学科文化课程、学术科研信息、师资力量、教学任务及图书馆数字信息等等。为保证教学任务能优质完成,保障机房的服务器和存储设备能安全正常运行,高校中心机房的管理建设就显得尤为重要,它包括环境设施、设备、技术、制度条例、人员等管理。
由于涉及的学院多、部门杂,部门学院都有各自独立的服务器,并且服务器和存储设备型号不同,上机操作人员技术水平参差不齐、更新数据频繁,因此高校中心机房的安全管理是一个非常突出的问题。本人根据自己多年管理实践,谈谈对高校中心机房安全管理的心得,提出一系列相关防护措施。
1环境与管理
高校中心机房的环境设施及设备泛指物理环境,它涉及到场地的选择。中心机房设施场所的创建将关系着该校建设水平和安全定位;但是很多机房没能严格按要求执行,存在不少安全隐患。为此在场地的选择以及防火、防尘、防潮、防静电、防雷击、防辐射、防鼠咬、预警及消防设施等方面,以及对机房装修、空调净化系统、供电配电系统、电磁波防护、消毒等方面需要提出具体要求和专门的部署。
1.1场地选择
高校中心机房应建立独立区域,周边百米内不得存有危险建筑、磁场干扰、强振动源、强噪声源和大功率设备等;为保障工作人员的身心健康安全,机房位置采光要好,设备应放置在通风良好的地方,机房空间要足够宽阔。安置在机柜上的服务器设备数量不超过3台,机柜间要留出足够大的空问,便于维修维护。
1.2环境条件
高校中心机房内的温度要严格控制在2o℃一25℃,以免服务器设备及网络元器件老化,出现数据丢失或无法存取的故障。湿度保持在45%一65%之间,清洁度要求控制在尘埃颗粒直径小于o.5txm,空气含尘量平均小于104颗,L等,以防有关材料或设备触点接触不良造成短路、死机、绝缘体强度下降、受潮变形等。因此为高校中心机房配备良好的空调系统,通过定期净化、过滤、通风、除尘、防尘措施消除影响。加强各楼字楼层间的管道封存,以防老鼠、蟑螂进入。
1.3静电防护
静电对高校中心机房服务器设备及网络系统造成不良影响正逐步引起人们的重视。中心机房内的服务器设备、网络及设施系统基本上是由半导体元器件构成,如CpU、Rom、Ram及大规模集成电路都采用moS工艺,对静电特别敏感,严重的会引起计算机误动作或运算错误,从而导致计算机运算出错程序紊乱等故障。在一定条件下还会引起火源,造成火灾。
静电的来源途径有三个:机房地板、机房设施及人员的衣物。因此消除和防止静电的最直接方法是使高校中心机房内的设备及设施进行可靠接地,采用抗静电活动地板和防静电材料设施;工作人员少穿或不穿易产生静电衣物,佩戴防静电的仪器等;定期使用静电消除剂,以减少静电的产生。
1.4消防预警及防盗保护
高校中心机房内应常备防火器材,且保持良好状态,不得随意采用液态灭火器灭火,应按规定安装自动火警预警装置及气体类灭火器装置。中心机房装修应采用防火材料,安全通道要用醒目的指示标记,并保持畅通。
防盗安全将是高校中心机房十分重视的一项工作任务,做好防盗工作必须内外结合。因此机房不但要防止客观因素造成的损失,还要防止人为的盗窃。按规定做好如下要求:启动安装防盗报警装置,夜间应开启照明灯,采用电子全程录像跟踪监控,同时还应装防盗栏、防盗网,严格管理中心机房的钥匙,加强夜间值班,联合校内保安的监管,做到万无一失。
1.5供电需求
按高校中心机房发展的供电需求,做到有冗余的规划分配。中心机房供电系统应具备连续、稳定、平衡和分类的特点,以满足日益增长的机房服务器设备、网络系统及设施需求。
常用的电源防护技术是采用UpS,即UninterruptiblepowerSupplv(不间断电源),以提供良好的供电方式和稳定的电压,保证高校中心机房里的服务器设备、网络及设施系统避免因电源的波动、干扰、停电造成机房内敏感元件受损,信息丢失、磁盘程序被冲等严重危害。
良好的接地是保障高校中心机房安全运行的另一个重要措施。地线接法的合理直接影响中心机房供电的稳定可靠运行,而且地线亦能保护人员及设备的安全。接地种类包括工作接地、安全接地、静电接地、屏蔽及建筑物防雷电保护接地等。其中屏蔽接地应注意直接地与交流地;防雷接地要相隔10—30米距离为宜,以防相互干扰。为保证电源系统安全,严禁在电源插座内将交流工作地和安全地连接在一起。中心机房内部也要安装避雷设备,防止雷击。
2硬件、软件及网络的安全防护
高校中心机房是开放的、面向校内外的所有用户的,所有资源都可通过网络机房同享,它包括wⅣw、兀p、e—mail、DnS等服务和应用。一旦系统和设备崩溃,将给学校教学秩序带来很大的混乱。同时这些设备和系统本身存在的安全漏洞构成机房计算机潜在的威胁。必须通过软硬件技术手段相结合,使高校中心机房的网络、设备、系统达到安全可靠运行。
目前最迫切需要解决的问题是如何防范病毒攻击、黑客的侵入等,导致短时间大量数据包堵塞网络,造成网络不通畅,硬件设备受损,密码被盗,软件系统崩溃等,关键在于有效掌握技术,不仅要从硬件人手,还要结合各种先进的软件技术,使得学校中心机房的网络、设备、系统能更可靠、更稳定、更安全、更高效地为广大师生服务。
2.1硬件防护
在硬件环境到位的情况下,对服务器和网络的硬件设备加以正确学习和使用,掌握它的用途和方法。其中加强计算机CpU、主存、缓存、输入/章《i出通道、设备等硬件安全防护措施,添加必要的保护手段,并进行有效的硬件维修保养等,能够促进延长其使用寿命,保证硬件设备及网络的正常运行。
(1)安装硬件还原卡,如支持网络克隆的硬盘保护卡,或者集网卡、硬盘、还原卡、网络克隆卡于一身的多功能卡(如海光蓝卡LanCard等),并定期地对硬盘及网络设备的数据信息进行保存和维护,尽量减少损失。
(2)添加防火墙设备,能可靠保护和控制中心机房的服务器设备和网络系统的正常运行。
(3)条件允许的话,尽可能有多余的后备硬件设备做补充和保障,使服务器设备和网络系统不问断地运行服务。
2.2软件防护
在硬件环境维护到位的前提下,软件环境的稳定直接影响到机房的正常使用。在软件技术方面,机房工作人员必须熟练掌握安装使用各种操作系统和应用软件技术,并在设备服务器上安装软件安全保护,可采用存取控制,将权限分级(普通用户、特殊用途用户、管理员、超级用户),对不同的人分配不同等级的安全用户身份。用户进入服务器和网络系统时采用身份验证,包括输入用户名和口令,这样可以限制对软件的恶意使用。
(1)由于病毒侵入对网络系统资源及设备服务器构成极大的威胁,特别是通过网络传播的病毒,能在服务器系统和网络系统中潜伏、毁坏系统文件,造成系统瘫痪和服务器崩溃,故应在设备服务器上安装网络杀毒软件。
(2)病毒的防治要比发现后再消除更为重要,关键在于怎样控制病毒的传染。因此谨慎使用共用软件和共享软件,对外来程序的光盘或移动的媒介物,应先进行查杀;不用不知来源的软件,以防止病毒的扩散与传播;在工作站上安装防病毒卡、芯片等;通过安装正版的防病毒软件,使它常驻内存,通过网络升级,不断增强软件对新病毒的防御保护作用,还要按时更新升级系统软件的漏洞,补丁程序,保证系统的安全性。
(3)注意端口和节点的安全控制,关闭不用的设备端口,减少黑客的入侵。
(4)掌握还原软件技术,进行可靠地数据存储和数据备份工作。
1)掌握GHoSt还原精灵技术:其特点是安全快速,性能高稳定,不破坏硬盘的数据。
2)掌握硬盘还原软件——还原精灵:它可以保护硬盘里的所有数据,而备份和恢复数据时所花费的时间却只有几秒钟。
3)掌握影子系统,可保护机房服务器系统,构建现有操作系统的虚拟影像(即影子模式),他与真实的系统完全一样,不同的是影子模式系统的所有操作都是虚拟镜像的,不会对真正的系统产生任何影响,一切操作皆是假象,在退出影子模式后随即消失。
4)软件系统的优化:其中包括正版软件的及时安装、使用、更新、升级、修补等,确保系统的安全稳定,可在操作系统控制面板中完成,也可采用专用的工具软件(如专业的系统优化软件、360安全卫士等)来实现。
2.3网络防护
掌握网络技术是一项复杂而系统的工程,它关系着维护学校中心机房网络的安全与稳定。大部分网络使用防火墙、入侵检测、病毒防范、身份认证的安全模式体系,Vpn技术、划分VLan等手段维护网络安全。
(1)必须合理设置网络目录结构,使系统文件和用户文件分开,以便设鼍权限和管理,执行用户的标识和鉴别制度。这样既方便使用,又不发生侵权。
(2)信息数据加密,目的是保护网内的数据、文件、口令、控制信息,保护网上传输的数据。
(3)校内和校外的服务器设备资源因使用范围不同,将其独立开。利用网关、路由器,安装病毒防火墙产品,注意完善系统程序的升级补丁、漏洞等,加强维护,从而减少流量,降低病毒入侵几率。
(4)运用入侵检测技术,防止内外网攻击,其目的是提供实时入侵检测及采用相应的防护手段,它不仅能够对付内外网络攻击,而且能够缩短黑客人侵的时间。
(5)Vpn技术应用,只要是通过防火墙技术、路由器配以隧道技术,加密协议和安全密钥来实现,可保证用户安全地访问学校网络。
(6)VLan的划分,做到ip和maC地址绑定,有利于防止校园网中ip地址盗用和ip地址冲突,在交换机或其他网络设备上捆绑ip和maC地址,做到一一对应。以上技术的建立和掌握,对完善中心机房的安全管理,将起到积极的安全防护作用。
3规章制度
进机房时要遵守规则、注意事项;把惩处条例以明文规定的形式上墙,对不良行为加以制约和杜绝;引导工作人员的安全正规操作,发挥机房规章制度的事前预防作用,减少服务器和系统损坏。同时还应明确机房管理的职责和范围,使管理有据可依。
高校机房规章制度并不是照抄照搬使用的,因它透射出各地区各校的发展不平衡,其安全条件存在着差异,安全技术要求不一致,所以需要严格规划机房安全管理,保证制度条例得以实施。不管机房规章制度呈现的标准怎么样,都要经过严格的组建、拟订及执行等来实施。
从学校机房发展的长远规模来看,建立这些规章制度是势在必行.它包括叽房安全管理制度》、《技术文档管理制度》、《密码管理制度》、《信息技术人员管理制度》、《软件安全性管理制度》、健作与网络安全管理制度》等,没有长时问的积累,很难制订出完善且适合自己学校的具体详细的制度。
4专业技术和管理方法
高校中心机房t作人员应具备扎实的专业知识,娴熟的操作技能,是中心机房的设备系统能长期安全稳定、正常运作的最有力保障。
4.1掌握熟练的操作技能和管理方法
工作人员必须不断地学习新技术,熟悉操作方法,才能管理好机房场所、服务器设备和网络系统。为避免上机过程中,由于操作不当或没有及时更新,导致病毒入侵而引起不必要的损失和破坏,所以工作成员间要经常进行心得交流,开阔视野,有效地掌握操作技能和管理方法,来弥补自身存在的不足,有助于提高工作人员的专业技术水平。
4.2应具备一定的专业外语阅读能力
掌握至少一门外语是很有必要的,不仅有利于读懂进口设备及网络的说明书,还能进行实际操作,大大节省时间,提高工作效率。
4.3做好档案的管理工作
日常工作的各项记录都是对高校中心机房进行系统维护,保证机房里的设备、网络正常运行;搞好工作记录和工作管理,还可以培养工作人员的良好习惯和管理方法。工作记录是建立中心机房档案的有力依据。它包括工作日志、设备检查、资产建帐、清查、申购、报废等管理。归纳整理好中心机房设备及网络资料,如产品合格证、说明书、附件清单、保修卡、产品的身份信息资料,同时将该资料输入计算机中实行双备份,有利工作的自查和备查管理,提高中心机房的管理职责或水平。
4.4实行安全卫生的管理[4]
要确保每天做到“四清”(清洁、清理、清查和财产清晰),人走要“三关”(关门、关窗、关电),保证机房的安全和卫生。
5思想道德培养
高校中心机房工作人员不仅需要丰富的计算机网络知识和很强的动手能力,还要能胜任中心机房建设及娴熟的管理能力,更需要良好的素质修养。
网络安全等级保护管理条例篇8
1通信管理和使用导致的安全隐患
计算机通信的运行和正常发展不但需要硬件的基础设施保障,而且需要操作者能够正常的操作机器,按照科学、有序的步骤进行开展通信步骤。但是我们看到,由于计算机通信尤其是网络通信处于发展的初级阶段,很多单位或企业的计算机网络通信并非由专业人员负责,所以由此带来的管理和使用上的安全问题屡见不鲜。例如,倘若计算机网络通信的使用者没有按照安全步骤进行操作,那么很可能导致通信资源和信息的泄露。再如,日常的计算机网络通信的管理过程中,如果没有一整套完整科学的管理计划和方案,那么整个管理工作很容易陷入混乱,最终导致计算机通信秩序不畅、程序不严、通信瘫痪。所以,在计算机通信应用逐日发展的今天,加强相关的管理和规范使用,应该是必要的。
2计算机通信的安全防护措施
2.1加强通信设备和硬件的管理与保护
前面已经提到,计算机通信的顺利开展必然有赖于正常设备、硬件的良好运行。举例来说,无论是计算机的主机出现故障,亦或是通信电缆断裂导致线路不畅,那么整个计算机通信就无法正常开展,这是“牵一发而动全身”的事情。所以,加强对计算机设施、通信设备及其相关硬件的管理、维护和养护,应该是防护计算机通信安全问题出现的必由之路。具体来说,要对所有的硬件设备和设施进行有效的记录,及时、定期的进行检查和检测,对于存在安全隐患和障碍的硬件设备,必须进行即刻的更换、整改或调配,使之能够保证通信的顺畅进行。
2.2采取多种措施防范网络攻击
计算机网络通信的过程必然要和开放性极强的网络环境发生联系,在此过程中产生的安全问题尤其以网络攻击为典型代表。网络攻击往往使得计算机通信数据丢失、系统崩溃,会造成极大的损害。因此,必须针对各种各样的网络攻击采取相应的防护措施。例如,使用防火墙技术、身份验证技术、杀毒技术、入侵检测技术、身份控制技术等,对通信的全过程进行有效的监控和监测,对出现的安全隐患及时进行处理。例如,计算机设备和通信硬件设施要及时的安装杀毒软件,并定期开展检测和杀毒,对出现的木马、病毒、漏洞,要立刻进行处理。同时,杀毒工具、软件要及时更新,保证其“杀伤力”。
2.3加强安全管理和规范使用,提升通信安全级别
网络安全等级保护管理条例篇9
第一条为了加强对区政务网络的管理,根据国家、省、市有关规定,结合区实际,制定本办法。
第二条本办法所指区政务网络即区级城域网,是服务于全区行政管理、社区服务、信息传输等的计算机信息网络,服务对象是区行政事业单位、政府派出机构、党群组织、教育机构、社区及相关社区组织等。
第三条区政务网络是通过管网、光纤和链路建设,形成一个全封闭、高速的区城域网,分为政务工作网、接入网和服务网。
区政务工作网:主要传输各种工作密级的信息,是区政务主要工作用网,提供行政公文交换、协同办公、并联审批、行政效能监察、城市管理、应急处理、视频会议等各项政务应用服务;
接入网:依托市政务专网进行建设,统一实现对政务专网的接入服务,并实现与市级机关的高效信息交换。该网络与区政务工作网逻辑隔离。
服务网:主要由现有区政务外网即inteRnet互联网改造而来,增加物理隔离设备,实现与区政务工作网的互联,为部门、企业、市民提供信息、查询、网上投诉、网上办事等服务。
第四条区信息化工作领导小组对区政务网络平台的建设和管理进行综合协调,区信息中心负责政务网络平台的日常管理和维护。各部门和单位应明确一名领导负责本部门和单位的政务网络及终端管理工作,指定一名工作人员具体从事政务网络管理工作。
第五条区信息化工作领导小组负责全区信息化工作的领导和规划。全区各类政务信息化建设实行审批制度,由各单位提出需求,区信息化工作领导小组审批,区发改委(或区科技局)论证立项,区信息中心建设,建成后移交使用。
第二章网络、服务器和联网终端管理及维护
第六条网络设备管理及维护:
(1)网络设备指区级城域网、各部门和单位内部局域网运行中使用的所有设备,包括交换机、路由器、防火墙、光电收发器、机柜等。
(2)网络设备是保证网络运行的关键,区级城域网由区信息中心进行管理和维护。未经区信息中心同意,任何单位和个人不得私自变更网络设备的安装位置及配置。各部门和单位内部局域网的管理和维护由各自负责。
(3)有网络设备的单位应保证网络设备的安全及使用环境,如防火、防盗、防水、保持电源畅通等。
(4)网络设备维护人员应定期检查网络设备的运行情况。主交换机、防火墙、路由器等重要设备至少每天检查一次,其他设备至少每周检查一次,并做好检查记录。
(5)网络设备维护人员应定期备份网络设备的配置,定期修改网络设备的维护密码。
(6)网络设备出现问题信息中心应及时解决,并做好记录。出现重大问题,如违法性网络行为、违规上网行为、黑客行为、主干网瘫痪等,应立刻向主管领导汇报。
第七条服务器管理及维护
(1)服务器指存有重要数据及对外重要信息的服务器,包括区信息中心内承担各种网络服务的服务器、各单位主页的服务器及其他运行各种业务办公系统的服务器。
(2)各部门和单位的网站原则上要放在区信息中心的服务器上运行,市里有其它规定的除外。
(3)服务器维护人员应每天检查服务器的运行情况,保证该服务器所提供服务的正常运转,并做好检查记录。
(4)服务器维护人员应定期备份服务器中的重要数据,定期修改服务器的管理员密码。
(5)为保证服务器的安全,应尽量做到专机专用,不得在服务器上安装除必要服务外的其他软件,不准使用服务器上网,禁止在服务器上运行不符合规定的应用系统。
第八条各网络及终端的维护:
(1)区信息中心负责区政务网络平台主干网络线路的维护,各部门和单位负责维护本单位局域网线路。区政务网络平台光纤主干网要通过政府采购公开招标决定维护商。各部门和单位须确定至少1名计算机网络人员负责局域网线路维护,并报区信息中心备案,区信息中心提供必要的技术支持。
(2)主干网络线路是区级城域网运行的基础,未经区信息化办同意,任何单位和个人不得更改、停用、破坏线路。需迁移、报停线路,应先到区信息中心备案,再由区信息中心办理相关手续。
(3)区中心机房设备管理与维护由区信息中心负责,汇聚点分前端及终端设备的管理由区信息中心移交或委托所在单位负责,按国有资产的有关规定制定管理办法,若有遗失由各单位承担赔偿责任,设备的维护由区信息中心负责。
(4)各单位的网络或计算机发生故障,应先通知本单位网络管理员,由本单位网络管理员确定故障原因,如无法确定故障原因,应将故障现象及时向区信息中心反映,由区信息中心配合各单位网络管理人员共同确认故障原因。经查明如果是主干网络设备、线路故障,区信息中心原则上应在两个工作日内解决,暂时无法解决的,需说明原因。如果是各单位内部网络或终端计算机的问题(如内部局域网交换设备故障、操作系统故障、网卡故障等),应由该单位网络管理员或用户自行解决。
(5)区机关大楼内联网计算机发生网络故障,应及时通知区信息中心,并描述故障现象。经查明属于线路故障的,区信息中心原则上应在三个工作日内解决,暂时无法解决的,需说明原因。属于终端计算机的问题(如计算机硬件故障、操作系统故障、网卡故障等),则由所在部门自行解决。
(6)全区所有联网计算机如出现软件应用或使用问题,应由该单位网络管理员或用户自行解决,区信息中心只负责各类区级应用系统的使用指导和维护。
(7)区级领导所使用计算机发生网络及软硬件故障,由区信息中心进行维护。
(8)如监控系统发现联网单位网络或计算机感染病毒,将直接关闭其网络连接,并通知相应单位。各单位在完成病毒查杀工作后,通知区信息中心,经确认病毒已清除后,重新恢复网络服务。
第九条各网络终端的使用要遵守国家、省、市制定的一系列规定、条例等。
第三章安全监督
第十条统一设置的专门用户名、上网口令(密码)以及网络参数,是用户使用网络的安全措施,不得向他人泄露。上网口令(密码)要经常修改,以防非法使用。
第十一条区政务网络上联接的计算机要安装杀毒软件,使用外来的各类磁盘存储器时必须先经过检测,确认无病毒后方可使用。各单位的计算机管理员要定期检查、维护计算机网络,以便及时发现问题、排除隐患,保证网络的正常运行。
第十二条禁止利用政务网络平台从事危害国家安全、泄露国家秘密、攻击网络设备等违法犯罪活动,不得查阅、复制和传播妨碍社会治安和色情信息。
第十三条外来人员未经本单位领导同意,不得擅自使用本单位网络内计算机阅览文件、资料。
第十四条各单位要加强计算机及网络安全保密知识教育,提高信息安全保密意识,自觉遵守保密纪律和有关保密规定。
第十五条按照“谁上网谁负责”原则,区信息中心将会同有关部门定期或不定期地进行检查或抽查,各部门应予以配合。如需一台电脑同时上内、外网,应安装符合国家保密局规定的物理隔理卡,否则一律单机单用。
第十六条各单位要强化网络信息安全防范措施,严格执行国家、省、市有关规定,做到“四防”、“五禁止”。即防攻击、防病毒、防篡改、防窃密;禁止将信息系统接入国际互联网等公共信息网络、禁止在计算机与非计算机之间交叉使用U盘等移动存储设备、禁止在没有防护措施的情况下将公共信息网络上的数据拷贝到信息系统、禁止计算机和移动存储设备与非计算机和存储设备混用、禁止使用具有无线互联功能的设备处理信息。
第十七条各单位要加强对所有公职人员的上网管理,规范信息采集、审核和流程。全区所有上外网计算机将统一ip地址,上网记录存档待查。对工作时间利用网络炒股、玩游戏的将定期通报。
第十八条违反相关规定,造成不良后果的,将对单位、有关领导和责任人进行严肃处理。
第四章政务工作网、接入网管理规定
第十九条区各单位的办公用计算机应首先满足政务工作网需要。
第二十条为保证各类电子文件能够及时送达,各单位使用人员必须每天按时登陆政务内网接收各类文件或进行业务操作。
第二十一条各单位各类政务及管理软件必须在区政务工作网上运行(有特殊规定的除外)。
第二十二条将互联网上的信息复制到处理内部信息的系统时,应当采取严格的技术防护措施,查杀病毒、木马等恶意代码,严防病毒等传播。
第二十三条处理内部信息的计算机及相关设备在变更用途时,应当使用能够有效删除数据的工具删除存储部件中的内部信息。
第二十四条不得安装、运行、使用与工作无关的软件,严禁使用外来的不明磁盘存储器。
第二十五条接入网依托市政务专网进行建设,统一实现对市政务专网的接入。各有关单位按照规定实现对市政务专网的接入,并负责系统的维护工作。
第五章服务网(外网)管理规定
第二十六条全区统一服务网(以下简称外网)出口。外网使用范围为区五大家领导,区属各部门、单位党政正、副职领导及办公室。另外各部门、单位设一个集中上网点供其他工作人员使用。对于确需接入外网的,需详细说明上网原因,并经使用单位的行政主要领导签字,加盖单位印章,报区信息化工作领导小组审核同意后,由信息中心办理。对于保密要求较高的部门,除有本单位领导签字和印章外,还需区保密局签批,信息中心方可办理。
第二十七条外网上的信息要遵循“不上网,上网不”的原则进行组织,同时遵循“谁,谁负责”的原则进行管理。
网络安全等级保护管理条例篇10
青岛市胶州中心医院信息科,山东胶州266300
[摘要]在互联网信息化广泛普及的今天,上下级公文的传递、医院管理、医药技术信息、采购招标等医院日常业务需要经常与外界进行数据交流。而属于医院内部网络的电子病案类系统数据及综合性金融、管理类敏感数据,历来都是做为行业内部涉密信息需要妥善加以防护。本文着重探讨如何安全、有效的在医疗单位内部应用互联网信息技术。
[
关键词]医疗;信息技术;安全;网络;互联网
[中图分类号]R197.4[文献标识码]a[文章编号]1672-5654(2014)10(c)-0060-02
[作者简介]李文健(1977-),男,山东潍坊,大学本科,助理工程师,电脑软硬件、网络维护及使用。
医疗行业信息化因其涉及到医院电子病案系统数据及各类敏感金融、管理类数据,历来都是做为行业内涉密信息妥善加以防护。而在互联网时代的今天,上下级公文的传递、医院管理、医药技术信息、采购招标等医院日常业务的需要又不可能闭关锁国不与外界产生数据交互。如何安全、经济、快捷的应用互联网技术就承现出相互矛盾的态势。
1国内医疗行业互联网信息技术应用现状
就目前而言,国内医疗行业普遍采取的是以下两种方式应用互联网信息:
1.1采取内外网物理隔离,各自使用一套单独的网络系统,独立运行,互不干扰
此种方法的优点在于内外网数据使用各自的核心交换机及各自的主干网络独立传输数据,没有交汇点,不会对医院内部敏感数据造成泄密、黑客攻击破坏、感染病毒等潜在危害;但缺点也是显而易见的,独立的两套网络系统造成了资金及技术资源的巨大浪费。
1.2内外网采用路由器及交换机等网络设备共同使用一套网络系统,共享网络资源
此种方法的优点是经济、实惠,资源利用率高。但缺点则更为突出,在没有针对性防护的前提下内网系统非常容易遭到黑客、病毒、木马程序等各类威胁的窥觊和破坏。就内网应用而言潜在危害同样很大,内网用户为非法使用外网任意篡改ip地址从而影响到合法用户的使用;客户端电脑一旦感染病毒将通过服务器将病毒扩散至全网导致大面积网络瘫痪;工作时间私玩网游、看电影、炒股等行为将严重影响工作秩序。
2应用实例
通过参考部分国内同行医疗单位信息化系统应用案例及参加各类信息化安全讲座培训,权衡各方面利弊后,我单位在2013年采取了通过应用四级综合防控手段实现了内外网数据资源共享平台。
2.1采用入侵防护系统(ipS)抵御来自互联网的各类入侵及攻击行为
将互联网光纤使用路由器跳转后接入ipS,对互联网信息实行首次过滤,形成了网络数据平台的第一级防护。
入侵防护系统(ipS)能对目前已知网络攻击类型(如Http网页攻击、iiS、CGi远程攻击等)及入侵模式作出相应的防御处理,并在其危险行为开始之前就将其进程结束;同时根据往来ip地址、端口号、协议等实时状态判断数据流是否正常,是否有访问潜在不安全因素网址等行为,发现后即时进行拦阻。在目前单位应用中监控到的攻击类型里,以事件类型为“CGi_accessHttp_iiS_iSapi_.idq_访问”的低安全级别攻击为最多,截止自2014年7月23日17时已发生1110多例。通过数据分析可以得出结论:ipS在单位运行期间网络环境得到了较高的安全保障。
2.2采用网络防火墙(硬件)防御来自互联网的非法数据类型,与入侵防护系统(ipS)形成双层防火墙技术共同抵御黑客入侵及在线扫描攻击等非法网络行为
入侵防护系统(ipS)通过网络端口与防火墙形成级联,部署在互联网入口位置,实现双层过滤,组成了网络数据平台的第二级防护。
计算机一旦连接网络,计算机系统的安全性就显得尤为重要,既要考虑网络病毒的查杀,还得提防外部非法用户的侵入,防火墙技术就成为网络安全最重要的防范措施和手段。目前技术条件下,能够有效保护网络安全(内部网络安全和服务器安全)的措施就是设置双层防火墙。防火墙限制不明身份人员对内部网络访问,同时也是对内部用户和外网连接进行必要限制的一种安全设置。双层过滤技术主要包括外部防火墙和内部防火墙,外部防火墙的功能是过滤,内部防火墙则可以确保内部网络对外部网络访问的安全。在内、外部防火墙之间存在着一个独立的空间区域,这一区域的存在为内部网络安全提供了保障。即使非法入侵者攻破了外部防火墙,由于这一区域的存在,他们也无法侵入到内部网络。所以将提供对外网络访问的服务器放置在这一空间区域内就能确保其安全性。当客户端工作时防火墙能对用户网络访问日志进行记录,计算机系统一旦发生异常,防火墙就能及时地进行阻隔,从而防止用户信息的泄露,并为用户提供相关的信息记录。选择并安装适当的防火墙能够有效地提高计算机使用的安全性,控制不明身份人员对用户信息的偷窥,降低网络使用的危险性,更好地保护计算机和网络使用的安全性[1]。
2.3采用上网行为管理系统(硬件)对内网用户的网络应用行为进行管控,限制各类非办公软件的使用,并对网络流量资源进行调配
经过二次过滤的数据通过防火墙级联至上网行为管理机,经上网行为管理机的下行端口联接至核心交换机就完成了网络数据平台的第三级硬件管控措施。
在使用上网行为管理系统之前,单位的互联网使用一直处于粗放式管理模式。部分未授权职工通过扫描网络ip地址的方式,使用笔记本电脑和更改办公电脑ip地址达到非法上网的目的。由此造成的ip地址冲突时有发生,影响了合法用户的使用;而上班时间玩网游、看电影、网购、下载超大软件等非正常上网行为则严重影响了单位的正常工作秩序。启用上网行为管理系统之后针对上述问题采取了绑定合法用户电脑ip和设置用户名、密码验证上网的方式,杜绝了非授权用户利用非法手段使用互联网现象;通过配置用户权限,限制了在线视频、p2p下载、网购、网游、炒股等明令禁止的网络行为。以2014年7月23日为例,当天单位全网内共拦截到p2p行为433例、网络流媒体134例、危险行为0例、游戏应用16例、股票交易及行情分析0例;对网络流量的策略化管理,保证了网页浏览、收发邮件、视频会议等基础应用的网络带宽,规范了办公人员的上网行为。在方便管理的同时保障了单位正常上网环境的畅通。
2.4采用网络版杀毒软件对全院范围内客户端电脑安装病毒防护程序,及时查杀病毒,实时抵御病毒对网络环境所带来的威胁
网络版杀毒软件是整个数据资源平台中的最后一个防护环节,选择一个适用于本单位的网络版杀毒软件至关重要,它的正常运行决定着作为系统中最末端的工作电脑的安全运转与否。
普通杀毒软件最大的败笔是将正在使用的工作软件当作病毒误报误杀,不仅不能保护客户端的正常应用,反而成了危害医院正常工作的“元凶”。在征求了信息化管理软件生产厂商的意见后单位决定选用一款处理策略相对比较温和的病毒防护软件。该杀毒软件对感染了病毒的电脑采取先隔离审查再清除病毒的方式,对医院等大型企事业单位敏感数据有良好的包容性,适用于医院的工作环境需要。
配置好网络版杀毒软件服务器端设置及自动查杀病毒的策略后,该杀毒软件可自动在线升级服务器端病毒知识库并对客户端进行更新,同时根据预置策略唤醒客户端对整机进行查杀处理。在对最近一次的服务器日志例行分析中发现自2014年初至7月23日止,全院范围内发现病毒104种,共计40329个;通过预设扫描方式处理病毒1220个,实时扫描处理病毒39095个,而手工扫描处理的病毒数量仅为14个;在随后的全院范围内调查问卷中也没有发现漏杀、误杀、杀毒不完全等现象。对正在使用的工作软件普调中也没有发现拦截报警等情况,这说明目前在我单位的工作应用中网络版杀毒软件已成功发挥了堡垒作用,自动处理工作中的不安全因素已成为常态化运行。
3结语
通过应用以上四级管控措施,本单位在利用前期投入的一套主干网资源的基础上,缩减了对网络基础设施的重复投资,降低了用于维护网络硬件和基础设施方面的资金、人力、技术资源,提高了整体网络资源的利用率,在保证网络安全应用的同时为单位节省出了大批的资金。而二网合一的数据平台经实际应用的检测原有的网络传输速率并没有受到明显影响,完全可以胜任现有的医院工作需要。
[
参考文献]