1 系统安全方案设计 系统安全设计是系统的一个重要组成部分,由于其业务的特殊性,涉及到每个人的切身利益和个人核心信息,数据安全和系统安全都尤为重要
遵循国家相关安全政策规定,结合内外网互联网安全防护设备和措施,本系统采用如下安全管理方案和策略
1 安全设计原则 1、所有涉及系统采用社保内网运行
2、数据传输过程采取必要的安全措施,保证数据传输过程的安全性、稳定性和保密性
3、提供数据逻辑性和有效性的自动校验功能,对用户输入信息进行安全检查,降低SQL注入等数据安全风险
2 安全管理对象 安全管理的对象主要包括以下四类: 1、实现、运行、维护系统的相关社保经办人员和协议机构操作人员; 2、系统内的电子数据及其存储媒体,包括尤为重要的医嘱数据、电子病历等; 3、构成系统的相关设备、设施及通信线路; 4、系统的实现方法和相关技术
3 安全管理原则及安全策略 1
1 安全管理原则 系统的安全管理主要基于三个原则
多人负责原则 在以下活动中,应该落实多人负责原则: 1、访问控制使用证件的发放与回收(如 CA 证书、各协议机构访问账户等); 2、信息处理系统使用的媒介发放与回收; 3、处理保密信息; 4、硬件和软件的维护; 5、系统软件的设计、实现和修改; 6、重要程序和数据的删除和销毁等; 任期有限原则 一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的
为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行
职责分离原则 出于对安全的考虑,下面每组内的两项信息处理工作应当分开
1、计算机操作与计算机编程; 2、机密资料的接收和传送; 3、安全管理和系统管理; 4、应用程序和系统程序的编制; 5、访问证件的管理与其它工作; 6、计算机操作与信