卫生监督中心信息安全论文

一、信息安全技术体系

卫生监督信息系统信息安全技术体系建设，严格遵循等级保护第三级的技术要求进行详细设计、技术选择、产品选型、产品部署。技术体系从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等5个方面进行设计。

1.物理安全

卫生监督中心现有南北两个机房，机房及相关配套设施面积总计160平方米。北机房部署等级保护第三级信息系统，南机房部署等级保护第二级信息系统，实现了第三级系统与第二级系统物理环境隔离。根据等级保护有关要求，机房均采用了精密空调、门禁系统、环境监测系统等设备设施及技术手段，有效地保证了机房的物理安全。

2.网络安全

主干网络链路均采用双链路连接，关键网络、安全设备均采用双机冗余方式，避免单点故障。采用防火墙、入侵防护系统、DDoS系统进行边界防护，各网络区域之间采用防火墙进行区域隔离，在对外服务区部署了入侵检测系统，在交换服务区部署了网络审计系统。在核心数据区部署了数据库审计系统，对网络行为进行监控和记录。在安全管理区部署安全管理系统，实现设备日志的统一收集及分析。

3.主机安全

所有服务器和管理终端配置了密码安全策略；禁止用户远程管理，管理用户必须进入机房通过KVM进行本地管理；所有服务器和管理终端进行了补丁更新，删除了多余账户，关闭了不必要的端口和服务；所有服务器和管理终端开启了安全审计功能；通过对数据库的安全配置，实现管理用户和特权用户的分离，并实现最小授权要求。

4.应用安全

卫生监督中心7个应用系统均完成了定级备案，并按照等级保护要求开展了测评工作。应用服务器采取了集群工作部署，保证了系统的高可用性，同时建立了安全审计功能模块，记录登录日志、业务操作日志、系统操作日志3种日志，并实现查询和审计统计功能，配置了独立的审计账户。门户网站也采用了网页防篡改、DDoS等系统。信息安全等级保护第三级系统管理人员及高权限用户均使用CA证书登录相应系统。

5.数据安全及备份恢复

卫生监督信息报告系统数据库服务器使用了双机热备，应用服务器采用多机负载均衡，每天本地备份，保证了业务系统的安全、稳定和可靠运行。其余等级保护第三级信息系统使用了双机备份，无论是软件还是硬件问题，都可以及时准确地进行恢复并正常提供服务。同时，卫生监督中心在云南建立了异地数据备份中心，每天进行增量备份，每周对数据进行一次全备份。备份数据在一定时间内进行恢复测试，保证备份的有效性。

二、信息安全管理体系

在开展信息安全等级保护工作中，我们深刻体会到，信息安全工作“三分靠技术，七分靠管理”。为保证信息安全等级保护工作顺利进行，参考ISO/IEC27001《信息安全管理体系要求》，卫生监督中心建立了符合实际工作情况的信息安全管理制度体系，明确了“统一领导，技管并重；预防为主，责权分明；重点防护，适度安全”的安全方针，涵盖等级保护管理要求中安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五大方面的要求。卫生监督中心建立了较为完善的信息安全责任制，设立了信息安全领导小组，领导小组组长由卫生监督中心主任担任，成员由卫生监督中心有关处室负责人组成，信息处作为信息安全工作办公室负责卫生监督中心日常信息安全管理工作。信息处设立了信息安全管理岗位，分别为网络管理员、系统管理员、应用管理员、安全管理员、安全审计员、机房管理员，并建立了信息安全岗位责任制度。此外，卫生监督中心依据上年度运维中存在的信息安全隐患每年对其进行修订，确保信息安全工作落到实处。

三、信息安全运维体系

在信息安全工作中，建立信息安全管理制度不是目的，要以信息安全等级保护有关要求指导信息安全运维实践。卫生监督中心结合实际情况，编制了《部级卫生监督信息系统运行维护工作规范》，从运行维护流程、资源管理和环境管理三个方面进行了规范，将安全运维理念落到实处。运维人员在实际工作中，严格按照工作规范要求。利用卫生监督中心OA系统，建立了统一的服务台，实现了事件、问题的全流程闭环管理（即：发现问题、登记问题、解决问题、解决反馈、解决确认）。年均处理信息安全事件近百件，将信息安全问题消灭在萌芽阶段，有效地保证了信息系统稳定运行，保证了卫生监督中心信息安全目标和方针的实现。

四、信息安全等级保护实践经验

1.规范管理，细化流程

卫生监督中心从安全管理制度、安全管理组织机构及人员、安全建设管理和安全运维管理等方面建立了较为完善的安全管理体系。通过管理体系的建设，为部级卫生监督信息系统运维管理工作中安全管理提供了重要指导。部级卫生监督信息系统运维工作从安全管理体系的建设中吸取了很多有益经验，不仅合理调配了运维管理人员，落实了运维管理组织机构和岗位职责，而且细化了运维管理流程，形成了“二级三线”的运维处理机制。

2.循序渐进，持续完善

信息安全工作是一项长期而艰巨的任务，责任重大，需要相关单位及人员坚持不断的努力和持续的投入。本着循序渐进的原则，部级卫生监督信息系统的信息安全工作需要合理规划不同阶段，确定阶段工作目标，逐步深入和全面推进。尤其是安全管理体系的建设，也应结合管理体系运行的实际效果，不断总结经验，持续完善。信息安全工作不是一个项目，它应该是一个不断循环的过程，需要根据环境的变化持续完善，才能保证信息系统达到持续的安全。

作者：王昭 单位：国家卫生计生委卫生和计划生育监督中心信息处