1對醫院網絡進行集中的安全管理

在物理架構上實現了整個網絡架構的高度冗余、容錯能力,在網絡平臺架構中或業務關鍵節點不存在設備或線路單點故障。我院網絡架構主要分為5個部分：

①內網區-業務區域：內部業務系統、服務器及存儲服務器所屬的網絡域；

②內網區-科室訪問內部應用：此區域為業務終端所處的網絡域，各科室業務終端中能訪問內部業務平臺；

③外網區：臨床、行政普通辦公區，用于用戶訪問互聯網；

④外部接入區域：第三方接入域，如：新農合、省醫保、市醫保及銀醫一卡通等；

⑤外網網站區：醫院門戶網站所處的網絡域，與其他網絡域物理隔離。邏輯架構上實現整個信息化基礎架構平臺的合理區域化劃分，盡量合理的設計和規劃安全區域，調整邏輯架構，在網絡骨干設備間實現三層架構，避免因為不同故障而引起對業務產生大范圍影響。

1分析信息時代背景下的電子信息安全管理的重要性

1.1有效地保證社會經濟的穩定性發展和建設

電子信息安全管理是為了適應當前的社會經濟發展的要求而進行開展的，因為電子信息安全管理能夠提升各個生產經營組織個體的信任度，并及時的進行經濟投資，促使電子信息安全管理被有效地落實和實踐。目前我國的現代化建設進程已經邁入了正軌，各個經濟發展個體只有借助電子信息技術的安全管理原則，將自己公司或者組織內部的資料進行集中分配和處理，能夠提高企業的日常工作效率，而且促使公司內部的資源和結構更加的具有優良性和全面性，所以在電子信息安全管理的要求下，才會多的更多的經濟個體的信任，并且提升整個電子信息系統安全管理的開展意義。社會總體的經濟進步和發展主要是依靠當前社會各個階層的經濟發展主體不斷的進行生產革新以及管理創新，才推動了社會的總體經濟進步。所以電子信息安全管理的開展實踐和落實中，企業才會加大對于電子信息安全管理的認識，并不斷的提升企業內部對于電子信息安全管理的實際操作能力，從而電子信息安全管理才能穩定社會的經濟全面的發展和建設，全面的保障各個企業的日常工作運行和發展。

1.2提升國民對電子信息安全管理的認識

社會大眾對位網絡資源服務的主要對象，對于電子信息安全管理的開展具有全面的推動作用。大眾要增強對于電子信息安全管理的認識，才能真正的提升國民素質，對于網絡中的不良現象也能有效地抵制。所以大眾人民在日常運用網絡電子信息資源的時候，要注重對于本身電腦的保護，進行查毒、殺毒措施的落實，將威脅電子信息安全管理的潛在隱患進行及時的排除，從而進一步將電子信息安全管理落實起來，進而提升過敏對于電子信息安全管理的認識，真正的保護好電子信息。

2信息時代背景下的電子信息安全管理的主要方法

2.1樹立電子信息安全管理的思想意識

1企業開展檔案信息安全管理的必要性

企業檔案信息是企業在生產、經營過程中形成的具有重要保存價值的記錄，是企業的寶貴財富和歷史記憶。檔案信息中有的內容涉及到企業的核心機密，包括設備、關鍵技術資料等，這些檔案信息對于企業的生存和發展至關重要，一旦出現信息泄露，將會對企業的生存和發展造成巨大的威脅。加強企業檔案信息的安全管理就是進行有組織、有計劃的實施一系列安全管理措施，能提高企業的檔案管理水平和檔案信息安全性，避免檔案信息泄露給企業帶來的巨大損失，為企業的長遠發展打下堅實的基礎。因此，企業開展檔案信息安全管理極其必要。

2威脅檔案信息安全的因素

現階段，大量的檔案信息都以數據信息的形式存儲在計算機中，計算機是檔案信息存儲的載體，一旦計算機發生故障或者被黑客攻擊，檔案信息就存在泄漏的可能。現在對計算機檔案信息產生威脅的因素包括計算機故障、病毒和黑客攻擊以及人為操作故障導致的停機。計算機是由數量龐大的元器件構成的，計算機在使用過程中受電壓、溫度以及線路問題等很容易出現硬件故障，導致計算機出現藍屏、死機等狀況，而一旦計算機硬盤出現故障就會造成檔案信息的丟失和破壞。計算機檔案信息管理通過專業軟件進行來實現的，一旦計算機軟件出現問題，也會給檔案信息的安全造成極大的威脅；病毒和黑客攻擊是威脅檔案信息安全的一個重要因素，雖然現階段有很多殺毒和防火墻軟件，但是這并不能保證計算機免于病毒和黑客的攻擊；人為管理因素也是威脅檔案信息安全的一大因素，有的工作人員操作不規范，存在人為操作故障或者錯誤刪除數據等情況。除了計算機方面的因素外，機房消防安全、設備防雷、氣候變化、自然災害以及盜竊等都是威脅檔案信息安全的因素。

3企業檔案信息安全管理策略

3.1樹立檔案信息安全管理意識。

檔案信息安全管理意識的樹立是提高檔案信息管理的重要措施，然而，目前大多數企業的檔案信息安全管理都只是“說起來很重要，忙起來就忘掉”的現狀，只有人人具有檔案信息安全意識才能在工作中時刻注重檔案信息的安全，促進企業的檔案信息安全管理。所以，企業要加強對工作人員的檔案信息安全意識培訓工作，大力開展檔案信息安全教育會議來提高和樹立工作人員的檔案信息安全意識。同時，企業還可以通過張貼標語、企業通知、內部報刊以及企業網站等多種途徑來提高工作人員檔信息安全意識。此外，企業還可以開展相關知識競賽、專業技能挑戰賽等相關的實戰演練，科學、有效的提高工作人員的檔案信息安全管理效率和水平。

一、石油銷售系統的信息安全管理現狀

1.銷售系統設施建設。

硬件方面，各石油銷售企業都具有設施完善的中心計算機系統，供電采用UPS方式，采用“雙機熱備”的核心服務器工作模式，以確保整個硬件的可靠性和安全性；網絡方面，采用SDH光纖接入廣域網，包括接入層、匯聚層、核心層。核心層中路由器和交換機采用雙機模式，設備之間，層層之間以光纖方式連接，以均衡網絡負載。除了安裝必備的防火墻，部分企業為進一步提高安全防范能力還安裝了外網入侵檢測系統；大多數加油站采用SSLVPN方式訪問企業內部網，以保證網絡接入的安全性。在PC系統方面，大多數企業統一安裝了企業版的病毒防護軟件系統和桌面安全網絡接入系統，實現PC機的MAC地址綁定。

2.銷售系統信息化建設。

目前，企業的銷售信息系統主要包括：加油卡系統、辦公自動化系統、加油站零售管理系統、企業門戶網站、ERP系統等。信息系統具有如下特點：一是用戶眾多，幾乎所有企業管理人員都是各系統用戶；二是應用領域廣，涉及企業經營、管理、對外服務諸多方面；三是要求連續運轉，如ERP系統必須滿足7×24小時運轉。由于信息系統的安全運轉不僅關系到企業經營管理的可持續性，其數據的安全性和保密性更關系到廣大客戶的利益。所以，基于上述的原因，企業對銷售信息系統的安全運轉提出了更高的要求。

3.銷售系統的信息安全現狀。

石油銷售管理系統是關系國家安全、經濟命脈、社會穩定的重要信息系統，國家對其信息安全高度重視，并在《2006-2020年國家信息化發展戰略》中強調，我國要全面加強國家信息安全保障體系的建設，大力增強國家信息安全保障能力，實現信息化建設與信息安全保障的協調發展。同時，國內石油銷售企業也長期重視信息安全工作，逐步建立了相應的保障體系和規章制度，但還存在以下問題：

一、檔案信息安全隱患的表現

（一）檔案信息制度不健全帶來的信息安全隱患

在檔案信息化突飛猛進的背景下，相關的檔案信息安全管理制度卻未及時地建立起來，給別有用心的人竊取和不當利用檔案信息以可乘之機，嚴重危害著檔案信息的安全。比如，有的檔案管理單位解答了檔案利用者的問題，因為認為該問題具有代表性，就將該問題放入常見問題資訊庫中。若該檔案管理單位缺乏檔案信息的保護制度和保密意識，沒有對咨詢人的個人信息進行必要的屏蔽和處理，可能會造成用戶信息的泄露，侵犯檔案利用者的隱私權。再比如，有的地市住房公積金管理網絡系統由于缺乏相應的安全制度和技術保障措施，只需要輸入公積金繳存人的姓名就可以查閱到其工資水平和住房公積金繳納情況，而個人的收入狀況屬于個人不愿向外界透漏的的隱私，這就造成了個人檔案信息的泄露。

（二）檔案網絡化管理帶來的信息安全隱患

網絡化管理給檔案管理工作帶來便利。但是，計算機感染木馬病毒和遭受黑客惡意攻擊的風險給檔案信息的安全性帶來隱患。木馬程序一旦侵入檔案管理系統，很可能會破壞檔案信息數據，甚至會采取篡改、盜竊、銷毀檔案數據的破壞手段，造成檔案管理的混亂，給檔案數據的安全性帶來致命損害。另外，以光盤、硬盤等存儲介質為載體的電子數據檔案有其自身不可克服的缺點，如信息數據不夠穩定、易于損壞和難以固定保存等，加之檔案存儲設備更新速度很快，若不對檔案存儲設備以及相關的計算機硬件和軟件及時更新，解決數字檔案的格式轉換等問題，極易造成檔案數據丟失、毀損或無法順利讀取等情況發生。

（三）檔案管理造成的信息安全隱患

檔案信息化對檔案管理人員的素質提出了更高的要求，要求檔案管理人員不但要精通檔案管理知識，還要精通互聯網知識、計算機和相應檔案管理軟件的操作方法。但是，當前檔案管理人員的年齡結構存在普遍偏大的狀況。有些年齡較大的檔案管理人員知識更新不夠及時，仍然拘泥于傳統的檔案管理模式，對信息化的檔案管理可能會感覺力不從心。因為對檔案管理設備和檔案管理軟件研究不夠深入，操作熟練程度不夠等原因，在管理過程中容易造成檔案數據意外刪除等丟失毀損情況，構成檔案信息的安全隱患。

一、關于高校檔案數字化及檔案信息安全

高校數字化的檔案信息從傳輸、存儲到顯示利用都要通過計算機來實現，計算機和網絡是生成和利用數字檔案信息的基礎和前提，離開計算機軟硬件和網絡的傳輸，數字化的檔案信息就不可能讀取和顯示，因此，數字化檔案信息對計算機及網絡有很強的依賴性。然而眾所周知，計算機及網絡具有一定的不安全性，因為計算機網絡的某些隱患，有時會使檔案信息遭到毀滅性的破壞，這就產生了檔案信息的安全問題。如何確保數字化檔案信息的保密性、完整性、真實性和可利用性，給高校檔案數字化工作帶來了極大的挑戰，對高校在檔案數字化進程中采取先進技術和有效措施，保障高校檔案信息安全提出了較高的要求。

二、數字化進程中高校檔案信息安全現狀

檔案數字化給高校檔案工作帶來了新的生機，數字化檔案信息的網絡傳輸和查詢在為社會提供廣泛信息服務的同時，也給高校檔案的信息安全帶來了嚴峻挑戰。例如：在數字化加工過程中，有的高校利用勤工助學學生或通過外包實現檔案全文數字化，存在對學生培訓不夠和對數字化加工服務機構、加工場地、加工人員和加工成果等方面監管不到位，管理不規范的問題；有的高校檔案管理人員沒有經過正規的機要保密培訓，在工作實踐中，對已觸“紅線”的檔案信息資料繼續以常規方法掛網；有的政府信息安全部門對進行檔案數字化工作的單位指導不到位等等。

1.高校檔案數字化進程中沒有完整的法律法規制度保護信息安全。

目前，各高校全文數字化工作主要依據《中華人民共和國檔案法》、《高等學校檔案管理辦法》、《電子公文歸檔管理暫行辦法》等法規。法規制度分散零亂，缺乏系統的規劃和設計，對于高校檔案信息安全保障法規不成體系，缺少專門的法規。

2.高校檔案數字化沒有統一技術規范標準。

一、既要強調自主可控又要防止閉關鎖國

。其實自主可控今年已經被多次提到，尤其是去IOE。最近我參加了一個相關論壇，國產的廠商表面上都是信心滿滿，但是一些銀行的客戶，雖然不能說反對自主可控，但是實際上他們對于國產的產品是有一些顧慮。國家強調自主可控，通過設定一些市場準入門檻或者審查機制，從政策上限制，法律上限制這是正常的，各個國家也都在這么做，但是作為企業來說不能夠一味地去強調自主可控，自主可控不等于安全，這個需要我們清醒的認識到。那么對于國外的技術也好、產品也好，我們還是要加強研究，對于一些風險點我們要區別對待。

二、既要關注技術發展又要重視應用創新。

技術的發展是我們安身立命的本錢，這是我們必須要發展的。但是在信息安全領域中應用不太被重視或者跟應用結合比較少，這是我們做的不足的地方。其實近幾年商用密碼行業出現了新的發展或者出現了更新換代的浪潮，在這個過程中國家密碼管理局和人民銀行共同促進了國產密碼算法應用，從而帶動了國產芯片、算法相關配套的產品和軟件系統的發展，這是一個應用帶動技術發展的很好例子。現在隨著金融IC卡的推動，各個銀行都在加快金融應用創新，我今年參加了幾次金融應用創新的論壇，銀行都在積極探討模式，不管是芯片也好，手機也罷，各種應用模式都層出不窮且個個都具創意，尤其是像一些互聯網企業，淘寶也在積極尋求突破，他們要參與到金融應用中來，互聯網銀行再加上二維碼支付這些技術其實都需要我們廠商認真去研究，只有我們把這些應用研究透了我們才能夠跟客戶有一個公平對話的局面。我們的產品才能夠增加附加值，才能夠不停地更新換代，才能夠避免陷入一味的價格戰，地價競爭的態勢。

三、既要引得進來也要走得出去。

這個方面重要的是走出去，一味防守是被動的，目前國家密碼管理局也在推進國產密碼國際化，作為我們產業界來說應該和政府形成良好的互動。有專家說現在產業界聲音有點小，在國際上我們也應該積極參與一些國際化組織，積極參與國際市場的競爭，把火勢燒到對方那邊去。這樣一方面能夠鍛煉我們的產品，另外也是開拓我們自己的市場。

四、既要公平競爭更要合作共贏。

1NIST關于信息技術安全培訓的特別出版物

1.1SP800-16

NIST于1998年4月出版發行了SP800-16標準，這是對SP500-172的取代和更新，奠定了針對美國政府工作人員保密教育培訓的總體框架和內容，提出了有效的框架并據此評估這一培訓體系。SP800-16中提出了IT安全連續學習統一模型。模型基于學習是一個連續統一體這一前提，主要體現了以下觀念。“安全意識”顯然是所有員工所必須具備的，而“安全基礎和文化”是那些以任何方式參與到IT系統的員工（包括承包方員工）所必須具備的。“安全基礎和文化”是“意識培養”和“培訓”之間的一個過渡階段。它通過提供一套關鍵性安全術語和概念的通用基準，來為后續的培訓打下基礎。經過“安全基礎和文化”后，培訓的焦點集中于針對個人“相對于IT系統的角色和職責”來提供知識、技術和能力。在這一層，按照技術需求的不同，培訓分為初級、中級、高級3個層次。“教育和經驗”層著眼于開發能夠實現復雜的跨學科活動和所需技能的能力及預見力，以促進IT安全專業化的發展，并與安全威脅發展和技術發展保持同步。按照知識的層次來看，學習是一個連續統一體，但是傳授這些知識并不需要按部就班地進行。如果資源有限，組織有責任評估它們的IT安全培訓需求范圍和培訓效果，使培訓資源分配能夠獲得最大的投資回報。與早期美國推行的基于工作職稱的教育培訓不同，SP800-16旨在提供基于個人工作職能和角色的培訓方案，將原本的“一職稱一方案”變成了“一角色一方案”。尤其對于一個人在組織中具有多個角色的情況，SP800-16針對每個員工個人培養方案的不同需求靈活變通，力求滿足每個角色的培訓需求，提供復合式、全面的培訓方案。此外，這種培訓方法還對不同組織間職稱標準劃分不同的情況進行了統一，提高了同種角色、不同組織、不同職稱間培訓方案制定的一致性；同時，提供了開發課程的工具和學習效果評估體系，盡可能準確地確定不同角色、不同職責的每個學生的學習效果，為課程開發者提供全面、翔實的學習效果反饋，幫助保密培訓課程、資料的開發者進一步優化教學培訓過程。

1.2SP800-50

2003年10月NIST推出的SP800-50標準，它在SP800-16的基礎之上更加注重項目在實施過程中機構資源的安全性，特別強調在IT安全意識培養和培訓項目的整個生存周期中的4個關鍵步驟：（1）安全意識培養和培訓項目的設計。做機構范圍內的需求評估，制定和核準培訓策略。為了支持機構已經設立的安全性培訓目標，這一策略性的計劃文檔還需確定所要實現的任務。（2）安全意識培養和培訓材料的開發。集中討論了可利用的培訓資源、范圍、內容以及培訓材料的開發。（3）項目實施。闡述安全意識培養和培訓項目的有效溝通和實施，提出傳送安全意識培養和培訓材料的可選方式（如基于Web、遠程教育、視頻、網站等）。（4）項目實現之后。就保持項目的通用性和監控其有效性的問題給予指導，描述有效的反饋方式。SP800-50標準討論了用于管理安全培訓項目中的集中式、部分分散式、完全分散式3種比較普遍的模型。（1）集中式。所用責任都集中于核心的權威人士（如IT安全項目經理）。（2）部分分散式。培訓方針和策略來自于核心的權威人士，但是實施的職責被分散。（3）完全分散式。只有方針的制訂屬于核心權威人士，而其他所有的任務均被委派給機構。模型的選用應基于項目的預算、資源分配、組織規模、任務的一致性以及整個組織的地理分布。

2NISTSP800-16的版本演變過程

1998年4月出版的SP800-16第一版首次提出IT安全連續學習統一模型，并設計基于角度和表現的培訓模型。該模型按政府工作人員的職能將受訓人員分為6種角色，即管理人員、采購人員、設計與開發人員、操作人員、檢查測評人員以及普通使用人員。模型針對這6種角色設計了3個基本的培訓領域（法律和法規、安全項目管理以及信息系統安全），并為此設計了安全培訓課程框架，提出了培訓有效性的評估方案。2009年3月NIST了SP800-16的第一次修訂草案。一是明確信息安全培訓職責，即對涉及信息安全培訓的機構領導、首席信息技術執行官、高級機構信息安全官、管理人員、培訓設計專家、對信息安全負有重要責任的人員以及用戶等7類人員的職責劃分。二是在信息安全培訓課程的學習層次上強調知識水平的連貫性。三是對第一版的基于角色的培訓提出了一個教學設計模型，即針對政府人員的信息安全需求，依次進行需求分析、課程設計、課程開發、培訓實踐和教學評估等五大環節，這使得信息安全的培訓可以迭代改進。2013年10月NIST了對SP800-16的第二次修訂版本草案，這次修訂中首次提出了網絡空間安全培訓，因為美國2010年4月啟動了《國家網絡空間安全教育計劃》（NationalInitiativeofCyberSecurityEducation，NICE），該計劃旨在通過促進教育和培訓來改善人的網絡行為、技能和知識，從而增強美國整體的網絡空間安全。這意味著美國政府已著手于將網絡空間安全上升到國家安全的戰略層面上來。2013年版的改動有以下幾個方面：一是強調信息安全意識的培訓應當在網絡空間的背景下進行設計；二是在信息安全培訓的目標對象中加入了對重要信息技術和網絡空間安全負有責任的政府工作人員；三是對信息安全培訓的評估體系進行了細化，即明確提出了評估培訓的4個目的。不到半年時間，NIST再次了SP800-16的第三次修訂草案，這個版本改動較小，主要是在信息安全培訓的組織責任中加入了網絡空間培訓管理員/首席學習執行官。其職責包括：一是確保培訓教材針對具體人員進行設計；二是確保培訓教材對目標人員的有效性；三是為信息安全培訓提供有效的反饋信息；四是對信息安全培訓教材進行及時更新；五是重視培訓效果的跟蹤和匯報。