1 系统安全方案设计 系统安全设计是系统的一个重要组成部分,由于其业务的特殊性,涉及到每个人的切身利益和个人核心信息,数据安全和系统安全都尤为重要。 遵循国家相关安全政策规定,结合内外网互联网安全防护设备和措施,本系统采用如下安全管理方案和策略。 1 .1 安全设计原则 1、所有涉及系统采用社保内网运行。 2、数据传输过程采取必要的安全措施,保证数据传输过程的安全性、稳定性和保密性。 3、提供数据逻辑性和有效性的自动校验功能,对用户输入信息进行安全检查,降低SQL注入等数据安全风险。 1 .2 安全管理对象 安全管理的对象主要包括以下四类: 1、实现、运行、维护系统的相关社保经办人员和协议机构操作人员; 2、系统内的电子数据及其存储媒体,包括尤为重要的医嘱数据、电子病历等; 3、构成系统的相关设备、设施及通信线路; 4、系统的实现方法和相关技术。 1 .3 安全管理原则及安全策略 1.3.1 安全管理原则 系统的安全管理主要基于三个原则。 多人负责原则 在以下活动中,应该落实多人负责原则: 1、访问控制使用证件的发放与回收(如 CA 证书、各协议机构访问账户等); 2、信息处理系统使用的媒介发放与回收; 3、处理保密信息; 4、硬件和软件的维护; 5、系统软件的设计、实现和修改; 6、重要程序和数据的删除和销毁等; 任期有限原则 一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。 职责分离原则 出于对安全的考虑,下面每组内的两项信息处理工作应当分开。 1、计算机操作与计算机编程; 2、机密资料的接收和传送; 3、安全管理和系统管理; 4、应用程序和系统程序的编制; 5、访问证件的管理与其它工作; 6、计算机操作与信息处理系统使用媒介的保管等。 1.3.2 安全管理策略 在安全策略方面,重点实现的安全措施有: 建立安全策略宣传贯彻体系 信息安全策略宣传贯体系包括:安全策略文本的起草,发布,宣传,贯彻,监察等方面,其目的是确保所指定的信息安全策略为所有相关的责任人所了解和熟悉,并指导其日常的访问系统的活动。 建立安全策略评审与评估体系。 安全策略的审评与评估体系 安全策略的评审和评估应该定期进行,评审评估体系是为确保安全策略的科学性、有效性、可用性、...
