網絡安全等級測評報告范文
時間:2024-02-02 18:14:55
導語:如何才能寫好一篇網絡安全等級測評報告,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
商城縣公安局網監大隊:
我院在接到貴單位發來的《信息系統安全等保限期整改通知書》后,院領導高度重視,責成信息科按照要求進行整改,現在整改情況報告如下。
根據上級主管部門和行業主管部門要求,我院高度重視并開展了網絡安全等級保護相關工作,工作內容主要包含信息系統梳理、定級、備案、等級保護測評、安全建設整改等。我院目前運行的主要信息系統有:綜合業務信息系統。綜合業務信息系統是商城縣人民醫院核心醫療業務信息系統的集合,系統功能模塊主要包括醫院信息系統(HIS)、檢驗信息系統(LIS)、電子病歷系統(EMRS)、醫學影像信息系統(PACS),其中醫院信息系統(HIS)、檢驗信息系統(LIS)、電子病歷系統(EMRS)由福建弘揚軟件股份有限公司開發建設并提供技術支持,醫學影像信息系統(PACS)由深圳中航信息科技產業股份有限公司開發建設并提供技術支持。
我院已于2018年11月完成了綜合業務信息系統的定級、備案、等級保護測評、專家評審等工作,系統安全保護等級為第二級(S2A2G2),等級保護測評機構為河南天祺信息安全技術有限公司,等級保護測評結論為基本符合,綜合得分為76.02分。在測評過程中,信息科已根據測評人員建議對能夠立即整改的安全問題進行了整改,如:服務器安全加固、訪問控制策略調整、安裝防病毒軟件、增加安全產品等。目前我院正在進行門戶網站的網絡安全等級保護測評工作。
二、安全問題整改情況
此次整改報告中涉及到的信息系統安全問題是我院于2018年11月委托河南天祺公司對醫院信息系統進行測評反饋的內容,主要包括應用服務器、數據庫服務器操作系統漏洞和Oracle漏洞等。針對應用服務器系統漏洞,我院及時與安全公司進行溝通,溝通后通過關閉部分系統服務和端口,更新必要的系統升級包等措施進行了及時的處理。針對Oracle數據庫存在的安全漏洞問題,我們與安全公司和軟件廠商進行了溝通,我院HIS系統于2012年底投入使用,數據庫版本為Oracle 11g,投入運行時間較早,且部署于內網環境中未及時進行漏洞修復。
經過軟件開發廠商測試發現修復Oracle數據庫漏洞會影響HIS系統正常運行,并存在未知風險,為了既保證信息系統安全穩定運行又降低信息系統面臨的安全隱患,我們主要采取控制數據庫訪問權限,切斷與服務器不必要的連接、限制數據庫管理人員權限等措施來降低數據庫安全漏洞造成的風險。具體措施為:第一由不同技術人員分別掌握數據庫服務器和數據庫的管理權限;第二數據庫服務器僅允許有業務需求的應用服務器連接,日常管理數據庫采用本地管理方式,數據庫不對外提供遠程訪問;第三對數據庫進行了安全加固,設置了強密碼、開啟了日志審計功能、禁用了數據庫默認用戶等。
我院高度重視網絡安全工作,醫院網絡中先后配備了防火墻、防毒墻、入侵防御、網絡版殺毒軟件、桌面終端管理等安全產品,并正在采購網閘、堡壘機、日志審計等安全產品,同時組建了醫院網絡安全小組,由三名技術人員負責網絡安全管理工作,使我院網絡安全管理水平大幅提升。
“沒有網絡安全,就沒有國家安全”。作為全縣醫療救治中心,醫院始終把信息網絡安全和醫療安全放在首位,不斷緊跟醫院發展和形勢需要,科學有效的推進網絡安全建設工作,并接受各級主管部門的監督和管理。
篇2
1 廈門港集裝箱智慧物流平臺概述
廈門港集裝箱智慧物流平臺是廈門港務控股集團有限公司為適應港口物流業轉型升級的需要,利用移動互聯網、物聯網等技術,以打造港口物流數字化、智能化生態系統,實現物流信息的高效、便捷共享為目的所建立的集裝箱物流信息服務平臺。該平臺以一次錄入、全流程共享為特色,集合全港集裝箱進出口流程,涵蓋貨代、船代、堆場、集卡、碼頭以及“一關三檢”等各節點的有效數據,實現集裝箱設備交接的電子化、智能化,并支持集卡運輸企業對集卡的指揮、調度功能。
廈門港集裝箱智慧物流平臺的主要功能如下:(1)報文平臺功能,連接船代、車隊、堆場、碼頭各方,實現集裝箱設備交接單數據的實時共享;(2)接口平臺功能,向堆場、車隊、碼頭提供統一的數據接口,對接信息化管理下的堆場、車隊和碼頭,實現各環節物流信息的實時更新;(3)互聯網平臺功能,實現車隊、集卡、司機信息備案管理,為車隊提供調度派單功能,為堆場提供數據更新功能,為碼頭提供數據查詢、統計分析等功能;(4)移動應用平臺功能,開發支持Android和iOS系統的手機應用程序,為車隊提供手機派單、查詢追蹤等功能,為司機提供手機接單、預約等功能,為堆場提供拍照驗箱功能,并為用戶提供數據查詢服務。
2 廈門港集裝箱智慧物流平臺安全策略
規劃
(1)管理安全 管理安全是安全策略中十分重要的環節。管理安全策略涉及安全組織機構、安全管理制度、安全培訓、安全意識教育等,以實現對維護人員、技術支持人員、管理人員、開發人員的權限控制、口令保密、審計跟蹤等安全管控為目標。
(2)物理安全 物理安全涉及基礎設施、環境、設備、電磁屏蔽等方面的安全控制,為平臺部署提供防災、防震、防干擾、防輻射等物理安全保障以及雙機熱備、鏈路冗余等安全策略規劃。
(3)網絡安全 網絡安全包括內外網區域隔離、不同網段應用訪問控制或隔離、虛擬專用網絡登錄、鏈路均衡負載、防火墻、防篡改等網絡安全策略。
(4)系統安全 保障操作系統和數據庫安全,定期掃描發現并修復漏洞和隱患,關閉不必要的服務、端口、協議等。
(5)應用安全 確保集裝箱智慧物流平臺的各項應用功能連續、可靠運行,支持功能模塊擴展、用戶擴容需要,使平臺升級更新不影響正常業務運行。
(6)運營安全 對集裝箱智慧物流平臺實施動態保護,并在系統運行中實現信息和數據的恢復;采用上網行為控制、網絡管理、防病毒、入侵防護、抗拒絕服務等手段監控網絡運行及流量;制訂應急計劃和策略,實現突發事件的異地備份和恢復。
(7)密鑰安全 密鑰管理處理密鑰自產生到最終銷毀整個過程中的所有問題,包括系統初始化以及密鑰的產生、存儲、備份(或裝入)、分配、保護、更新、控制、丟失、吊銷和銷毀等。通過制定密鑰管理制度,對密鑰實施完整而周密的管理。
(8)數據和信息安全 通過數據庫審計等手段對數據的訪問活動進行跟蹤記錄,確保數據的完整性、保密性、可用性和不可否認性,涉及數據加密、完整性校驗、數據備份、數字簽名等。
3 廈門港集裝箱智慧物流平臺安全策略的
實施情況
3.1 建設互為災備的高可靠性綠色節能雙機房
在廈門島內和島外分別選址建設B類標準整體機房(見圖1),實現區域中心機房的互為災備和恢復。主機房采用先進、節能、高效、集約的密封冷通道模塊化架構設計,部署安防監控、泄露檢測、消防報警、自動滅火和場地監控等系統,保證機房的溫度、濕度、潔凈度、照度、防靜電、防干擾、防震動、防雷電、實時監控等,以確保計算機設備安全、可靠運行,延長計算機系統使用壽命。
3.2 部署安全防護體系
如圖2所示:分別接入電信、聯通、移動等運營商寬帶,通過負載均衡設備實現鏈路冗余;部署防篡改、抗拒絕服務、防病毒、防火墻、入侵防護等安全防護系統;通過上網行為控制設備規范上網行為,由網絡管理軟件監控設備運行狀況,由堡壘機監控技術人員操作行為,由數據庫審計保障數據安全,形成強大的安全防護堡壘。
3.3 制定安全管理制度
安全管理制度涉及中心機房管理制度、網絡管理制度、信息系統建設管理辦法、信息系統運維管理辦法、信息安全處理預案等。在制定安全管理制度的基礎上,嚴格按照制度定期檢查、落整改和定期演練,并及時跟蹤機房運行狀況,每月編制運行報告。
3.4 開展信息安全等級保護工作
信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查等內容。一般情況下,委托有資質的第三方機構確定信息安全保護等級。根據平臺的業務信息和系統服務描述、系統服務受到破壞時所侵害客體以及系統服務受到破壞后對侵害客體的侵害程度,按照GB 17859D1999《計算機信息系統安全保護等級劃分準則》和GB/T 22240D2008《信息安全技術信息系統安全等級保護定級指南》等,確定廈門港集裝箱智慧物流平臺的業務信息安全等級和系統服務安全等級均為第二級,最終確定其安全保護等級為第二級。確定保護等級后,按照規定,向公安機關備案。在等級測評過程中,對測評發現的問題及時加以整改,確保信息平臺安全防護滿足要求。
4 結束語
篇3
關鍵詞:信息安全;技術架構;保障體系
1基本情況
中國建材集團核心機房按照國家信息安全等級保護三級標準部署網絡及安全防護設備,網絡主干為雙鏈路結構,采用電信+聯通專線入網,具備冗余性,滿足業務高峰期需求,2臺網絡核心交換機構成雙機熱備,用于連接網絡邊界區域、服務器區域、樓層等各個區域。機房內,各區域之間部署防火墻進行訪問控制,網絡邊界部署防病毒網關、IPS入侵防御系統等安全設備對來自Internet的攻擊行為進行防護,服務器區域部署入侵檢測系統,核心交換機上部署網絡審計系統以及審計服務器,對網絡行為進行審計,辦公網絡部署上網行為管理,規避網絡違法違規風險,強化內網安全率。門戶網站及電子郵箱系統的安全防護體系按照中央企業網絡與信息安全防護標準進行設計和部署,并依據國資監管網規劃方案建設了一套專網專機分散部署的非信息系統。主要業務管理信息系統按照國家信息安全等級保護二級進行定級,重點信息系統達到國家信息安全等級保護三級管理標準,核心機房內獨立運行的信息系統全部滿足公安部對中央企業信息系統安全等級保護要求。同時定期組織內、外部專業技術力量開展信息安全檢查、信息系統安全測評、信息系統等級保護備案以及信息安全培訓工作,確保信息系統和門戶網站運行穩定,安全監控到位,杜絕發生安全責任事故。
2技術體系架構
中國建材集團嚴格按照《信息安全技術信息系統等級保護安全設計技術要求》和《信息安全技術信息系統安全等級保護基本要求》設計、采購和部署符合等級保護基本要求的安全產品,從安全計算環境、安全通信網絡、安全區域邊界、安全管理中心等方面構建起有效的安全技術保障體系。根據實際業務情況,將網絡劃分Internet接入區、DMZ區、辦公區、安全管理區、核心交換區、業務服務區共計6個安全區域,并根據業務系統的要求進行安全區域合理性劃分,各區域到核心交換機之間為獨立線路連接,數據處理系統以單機模式部署,同時按照安全風險和安全策略,具體從物理安全、網絡安全、主機安全、應用安全、數據安全進行信息安全控制。物理安全。核心機房依據國家標準GB50173-93《電子計算機機房設計規范》、GB2887-89《計算站場地技術條件》、GB9361-88《計算站場地安全要求》,從環境安全、設備安全和媒體安全三個方面進行詳細設計,嚴格按照計算機等各種微機電子設備和工作人員對溫度、濕度、潔凈度、電磁場強度、噪音干擾、安全保安、電源質量、備用電力、振動、防漏、防火、防雷和接地等要求建設,以此保證計算機信息系統各種設備的物理環境安全,同時采用有效的區域監控、防盜報警系統,阻止非法用戶的各種臨近攻擊。網絡安全。網絡主干采用雙鏈路結構,考慮業務處理能力的數據流量,冗余空間充分滿足高峰期需要,并根據業務系統服務的重要次序定義帶寬分配的優先級。合理規劃路由,業務終端與業務服務器之間建立安全路徑保證網絡結構安全。網絡區域邊界之間部署防火墻安全設備,制定嚴格的安全策略實現內外網絡和內網不同信任域之間的隔離與訪問控制,服務器區域部署防病毒網關來攔截病毒、檢測病毒和殺毒,保護操作系統安全穩定。應用IPS入侵防御系統實時監控進出網段的所有操作行為從而防止針對網絡的惡意攻擊行為,同時以滿足國家等級保護二級標準要求,通過人工加固的方式對網絡安全設備進行配置加固,實現包括身份鑒別、訪問控制、安全審計等多個方面的安全技術要求。主機安全。部署防火墻、入侵檢測、防病毒網關和漏洞掃描等安全產品進行被動主機安全防護,同時根據國家信息安全等級保護二級標準,為系統信息交換的主客體分別加安全標記,制約了操作系統原有的自主訪問控制策略(DAC),達到了強制訪問控制(MAC),對服務器進行安全加固配置,進行資源監控、監測報警,避免服務器自身的安全漏洞被攻擊者利用,實現統一管理的主機安全防護。應用安全。應用網絡設備和安全設備自身審計功能,對設備管理日志、設備狀態日志、用戶登錄行為等進行審計。核心交換機上部署網絡審計系統和審計服務器,辦公網絡部署上網行為管理,對網絡系統中的網絡設備運行狀況、網絡流量等進行日志記錄,同時應用服務器不開放遠程協議端口號。系統全部采用正版WindowsServer2008和LinuxAS5操作系統并進行必要的安全配置、關閉非常用安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件(如WindowsNT下的LMHOST、SAM等)使用權限進行嚴格限制。加強口令字的使用,并定期給系統打補丁、系統內部的相互調用不對外公開,同時通過配備漏洞掃描系統,并有針對性地對網絡設備重新配置和升級。數據安全。數據庫系統全部購買有效授權,采取數據庫系統強口令、登錄失敗次數、操作超時等方式實現數據庫系統對身份鑒別、訪問控制要求,采用技術手段防止用戶否認其數據發送和接收行為,為數據收發雙方提供證據。應用系統針對數據存儲開發加密功能實現系統管理數據、鑒別信息和重要業務數據傳輸完整性和保密性。同時建立熱備和冷備結合的數據備份系統,保證在安全事件發生后及時有效地進行重要數據恢復。
3保障措施
篇4
關鍵詞:電力營銷;網絡安全;安全建設;安全管理
1 引言
營銷業務作為“SG186”工程的業務系統之一,應用上涵蓋了新裝增容及變更用電、資產管理、計量點管理、抄表管理、核算管理、電費收繳、帳務管理、用電檢查管理、95598業務等領域,需要7×24小時不間斷、安全可靠運行的保障[1]。因此在遵循國家電網公司“SG186”工程的建設標準和信息網絡等級保護要求的基礎上,結合營銷關鍵業務應用,加強信息安全防護,保障營銷系統網絡的安全運行。本文針對新疆電力營銷系統的現狀,給出了一種多層次的安全防護方案,對保障營銷系統網絡穩定運行,保護用戶信息安全,傳輸安全、存儲安全和有效安全管理方面給出了建設意見。
2 新疆營銷網絡系統現狀
新疆電力營銷業務應用經過了多年的建設,目前大部分地區在業擴報裝、電費計算、客戶服務等方面的營銷信息化都基本達到實用化程度,在客戶服務層、業務處理層、管理監控層三個層次上實現了相應的基本功能。結合新疆電力公司的實際情況,主要分析了管理現狀和網絡現狀。
2.1 管理現狀
根據公司總部提出的“集團化運作、集約化發展、精細化管理”的工作思路,從管理的需求上來說,數據越集中,管理的力度越細,越能夠達到精細化的管理的要求。但由于目前各地市公司的管理水平現狀、IT現狀、人員現狀等制約因素的限制,不可能使各地市公司的管理都能夠一步到位,尤其是邊遠地區。因此,營銷業務應用管理在基于現狀的基礎上逐步推進。根據對當前各地市公司的營銷管理現狀和管理目標需求的分析,管理現狀可分為如下三類:實時化、精細化管理;準實時、可控的管理;非實時、粗放式管理。目前大部分管理集中在第二類和第三類。
2.2 網絡現狀
網絡建設水平將直接影響營銷業務應用的系統架構部署,目前新疆公司信息網已經形成,實現了公司總部到網省公司、網省公司本部到下屬地市公司的信息網絡互連互通,但是各地市公司在地市公司到下屬基層供電單位的之間的信息網絡建設情況差別較大,部分地市公司已經全部建成光纖網絡,并且有相應的備用通道,能夠滿足實時通信的要求,部分地市公司通過租用專線方式等實現連接,還有一些地市公司由于受地域條件的限制,尚存在一些信息網絡無法到達的地方,對大批量、實時的數據傳輸要求無法有效保證,通道的可靠性相對較差。
2.3 需求分析
營銷業務系統通常部署在國家電網公司內部信息網絡的核心機房,為國家電網公司內部信息網絡和國家電網公司外部信息網絡的用戶提供相關業務支持。該網絡涉及業務工作和業務應用環境復雜,與外部/內部單位之間存在大量敏感數據交換,使用人員涵蓋國家電網公司內部人員,外部廠商人員,公網用戶等。因此,在網絡身份認證、數據存儲、網絡邊界防護與管理等層面上都有很高的安全需求。[2]
3 關鍵技術和架構
3.1 安全防護體系架構
營銷網絡系統安全防護體系的總體目標是保障營銷系統安全有序的運行,規范國家電網公司內部信息網員工和外部信息網用戶的行為,對違規行為進行報警和處理。營銷網絡系統安全防護體系由3個系統(3維度)接入終端安全、數據傳輸安全和應用系統安全三個方面內容,以及其多個子系統組成,其體系結構如圖1所示。
圖1 營銷系統安全防護總體防護架構
3.2 接入終端安全
接入營銷網的智能終端形式多樣,包括PC終端、智能電表和移動售電終端等。面臨協議不統一,更新換代快,網絡攻擊日新月異,黑客利用安全漏洞的速度越來越快,形式越來越隱蔽等安全問題。傳統的基于特征碼被動防護的反病毒軟件遠遠不能滿足需求。需要加強終端的安全改造和監管,建立完善的認證、準入和監管機制,對違規行為及時報警、處理和備案,減小終端接入給系統帶來的安全隱患。
3.3 數據傳輸安全
傳統的數據傳輸未采取加密和完整性校驗等保護措施,電力營銷數據涉及國家電網公司和用戶信息,安全等級較高,需要更有效的手段消除數據泄露、非法篡改信息等風險。
市場上常見的安全網關、防火墻、漏洞檢測設備等,都具有數據加密傳輸的功能,能夠有效保證數據傳輸的安全性。但僅僅依靠安全設備來保證數據通道的安全也是不夠的。一旦設備被穿透,將可能造成營銷系統數據和用戶信息的泄露。除此之外,還需要采用更加安全可靠的協議和通信通道保證數據通信的安全。
3.4 應用系統安全
目前營銷系統已經具有針對應用層的基于對象權限和用戶角色概念的認證和授權機制,但是這種機制還不能在網絡層及以下層對接入用戶進行細粒度的身份認證和訪問控制,營銷系統仍然面臨著安全風險。增強網絡層及以下層,比如接入層、鏈路層等的細粒度訪問控制,從而提高應用系統的安全性。
4 安全建設
營銷系統安全建設涉及安全網絡安全、主機操作系統安全、數據庫安全、應用安全以及終端安全幾個層面的安全防護方案,用以解決營銷系統網絡安全目前存在的主要問題。
4.1 終端安全加固
終端作為營銷系統使用操作的發起設備,其安全性直接關系到數據傳輸的安全,乃至內網應用系統的安全。終端不僅是創建和存放重要數據的源頭,而且是攻擊事件、數據泄密和病毒感染的源頭。這需要加強終端自身的安全防護策略的制定,定期檢測被攻擊的風險,對安全漏洞甚至病毒及時處理。對終端設備進行完善的身份認證和權限管理,限制和阻止非授權訪問、濫用、破壞行為。
目前公司主要的接入終端有PC、PDA、無線表計、配變檢測設備、應急指揮車等。由于不同終端采用的操作系統不同,安全防護要求和措施也不同,甚至需要根據不同的終端定制相應的安全模塊和安全策略,主要包括:針對不同終端(定制)的操作系統底層改造加固;終端接入前下載安裝可信任插件;采用兩種以上認證技術驗證用戶身份;嚴格按權限限制用戶的訪問;安裝安全通信模塊,保障加密通訊及連接;安裝監控系統,監控終端操作行為;安裝加密卡/認證卡,如USBKEY/PCMCIA/ TF卡等。
4.2 網絡環境安全
網絡環境安全防護是針對網絡的軟硬件環境、網絡內的信息傳輸情況以及網絡自身邊界的安全狀況進行安全防護。確保軟硬件設備整體在營銷網絡系統中安全有效工作。
4.2.1 網絡設備安全
網絡設備安全包括國家電網公司信息內、外網營銷管理系統域中的網絡基礎設施的安全防護。主要防護措施包括,對網絡設備進行加固,及時安裝殺毒軟件和補丁,定期更新弱點掃描系統,并對掃描出的弱點及時進行處理。采用身份認證、IP、MAC地址控制外來設備的接入安全,采用較為安全的SSH、HTTPS等進行遠程管理。對網絡設備配置文件進行備份。對網絡設備安全事件進行定期或實時審計。采用硬件雙機、冗余備份等方式保證關鍵網絡及設備正常安全工作,保證營銷管理系統域中的關鍵網絡鏈路冗余。
4.2.2 網絡傳輸安全
營銷系統數據經由網絡傳輸時可能會被截獲、篡改、刪除,因此應當建立安全的通信傳輸網絡以保證網絡信息的安全傳輸。
在非邊遠地方建立專用的電力通信網絡方便營銷系統的用戶安全使用、在邊遠的沒有覆蓋電力局和供電營業所的地方,采用建立GPRS、GSM,3G專線或租用運營商ADSL、ISDN網絡專網專用的方式,保障電力通信安全。
電力營銷技術系統與各個銀行網上銀行、郵政儲蓄網點、電費代繳機構進行合作繳費,極大方便電力客戶繳費。為了提高通道的安全性,形成了營銷系統信息內網、銀行郵政等儲蓄系統、internet公網、供電中心網絡的一個封閉環路,利用專網或VPN、加密隧道等技術提高數據傳輸的安全性和可靠性。
在數據傳輸之前需要進行設備間的身份認證,在認證過程中網絡傳輸的口令信息禁止明文傳送,可通過哈希(HASH)單向運算、SSL加密、Secure Shell(SSH)加密、公鑰基礎設施(Public Key Infrastructure 簡稱PKI)等方式實現。
此外,為保證所傳輸數據的完整性需要對傳輸數據加密處理。系統可采用校驗碼等技術以檢測和管理數據、鑒別數據在傳輸過程中完整性是否受到破壞。在檢測到數據完整性被破壞時,采取有效的恢復措施。
4.2.3 網絡邊界防護
網絡邊界防護主要基于根據不同安全等級網絡的要求劃分安全區域的安全防護思想。營銷系統安全域邊界,分為同一安全域內部各個子系統之間的內部邊界,和跨不同安全域之間的網絡外部邊界兩類。依據安全防護等級、邊界防護和深度防護標準,具有相同安全保護需求的網絡或系統,相互信任,具有相同的訪問和控制策略,安全等級相同,被劃分在同一安全域內[3],采用相同的安全防護措施。
加強外部網絡邊界安全,可以采用部署堡壘機、入侵檢測、審計管理系統等硬件加強邊界防護,同時規范系統操作行為,分區域分級別加強系統保護,減少系統漏洞,提高系統內部的安全等級,從根本上提高系統的抗攻擊性。
跨安全域傳輸的數據傳輸需要進行加密處理。實現數據加密,啟動系統的加密功能或增加相應模塊實現數據加密,也可采用第三方VPN等措施實現數據加密。
4.3 主機安全
從增強主機安全的層面來增強營銷系統安全,采用虛擬專用網絡(Virtual Private Network 簡稱VPN)等技術,在用戶網頁(WEB)瀏覽器和服務器之間進行安全數據通信,提高主機自身安全性,監管主機行,減小用戶錯誤操作對系統的影響。
首先,掃描主機操作系統評估出配置錯誤項,按照系統廠商或安全組織提供的加固列表對操作系統進行安全加固,以達到相關系統安全標準。安裝第三方安全組件加強主機系統安全防護。采用主機防火墻系統、入侵檢測/防御系統(IDS/IPS)、監控軟件等。在服務器和客戶端上部署專用版或網絡版防病毒軟件系統或病毒防護系統等。
此外,還需要制定用戶安全策略,系統用戶管理策略,定義用戶口令管理策略[4]。根據管理用戶角色分配用戶權限,限制管理員使用權限,實現不同管理用戶的權限分離。對資源訪問進行權限控制。依據安全策略對敏感信息資源設置敏感標記,制定訪問控制策略嚴格管理用戶對敏感信息資源的訪問和操作。
4.4 數據庫安全
數據庫安全首要是數據存儲安全,包括敏感口令數據非明文存儲,對關鍵敏感業務數據加密存儲,本地數據備份與恢復,關鍵數據定期備份,備份介質場外存放和異地備份。當環境發生變更時,定期進行備份恢復測試,以保證所備份數據安全可靠。
數據安全管理用于數據庫管理用戶的身份認證,制定用戶安全策略,數據庫系統用戶管理策略,口令管理的相關安全策略,用戶管理策略、用戶訪問控制策略,合理分配用戶權限。
數據庫安全審計采用數據庫內部審計機制或第三方數據庫審計系統進行安全審計,并定期對審計結果進行分析處理。對較敏感的存儲過程加以管理,限制對敏感存儲過程的使用。及時更新數據庫程序補丁。經過安全測試后加載數據庫系統補丁,提升數據庫安全。
數據庫安全控制、在數據庫安裝前,必須創建數據庫的管理員組,服務器進行訪問限制,制定監控方案的具體步驟。工具配置參數,實現同遠程數據庫之間的連接[5]。
數據庫安全恢復,在數據庫導入時,和數據庫發生故障時,數據庫數據冷備份恢復和數據庫熱備份恢復。
4.5 應用安全
應用安全是用戶對營銷系統應用的安全問題。包括應用系統安全和系統的用戶接口和數據接口的安全防護。
4.5.1 應用系統安全防護
應用系統安全防護首先要對應用系統進行安全測評、安全加固,提供系統資源控制功能以保證業務正常運行。定期對應用程序軟件進行弱點掃描,掃描之前應更新掃描器特征代碼;弱點掃描應在非核心業務時段進行,并制定回退計劃。依據掃描結果,及時修復所發現的漏洞,確保系統安全運行。
4.5.2 用戶接口安全防護
對于用戶訪問應用系統的用戶接口需采取必要的安全控制措施,包括對同一用戶采用兩種以上的鑒別技術鑒別用戶身份,如采用用戶名/口令、動態口令、物理識別設備、生物識別技術、數字證書身份鑒別技術等的組合使用。對于用戶認證登陸采用包括認證錯誤及超時鎖定、認證時間超出強制退出、認證情況記錄日志等安全控制措施。采用用戶名/口令認證時,應當對口令長度、復雜度、生存周期進行強制要求。
同時,為保證用戶訪問重要業務數據過程的安全保密,用戶通過客戶端或WEB方式訪問應用系統重要數據應當考慮進行加密傳輸,如網上營業廳等通過Internet等外部公共網絡進行業務系統訪問必須采用SSL等方式對業務數據進行加密傳輸。杜絕經網絡傳輸的用戶名、口令等認證信息應當明文傳輸和用戶口令在應用系統中明文存儲。
4.5.3 數據接口安全防護
數據接口的安全防護分為安全域內數據接口的安全防護和安全域間數據接口的安全防護。安全域內數據接口在同一安全域內部不同應用系統之間,需要通過網絡交換或共享數據而設置的數據接口;安全域間數據接口是跨不同安全域的不同應用系統間,需要交互或共享數據而設置的數據接口。
5 安全管理
安全管理是安全建設的各項技術和措施得以實現不可缺少的保障,從制度和組織機構到安全運行、安全服務和應急安全管理,是一套標準化系統的流程規范,主要包括以下方面。
5.1 安全組織機構
建立營銷業務應用安全防護的組織機構,并將安全防護的責任落實到人,安全防護組織機構可以由專職人員負責,也可由運維人員兼職。
5.2 安全規章制度
建立安全規章制度,加強安全防護策略管理,軟件系統安全生命周期的管理,系統安全運維管理,安全審計與安全監控管理,以及口令管理、權限管理等。確保安全規章制度能夠有效落實執行。
5.3 安全運行管理
在系統上線運行過程中,遵守國家電網公司的安全管理規定,嚴格遵守業務數據安全保密、網絡資源使用、辦公環境等的安全規定。
首先,系統正式上線前應進行專門的系統安全防護測試,應確認軟件系統安全配置項目準確,以使得已經設計、開發的安全防護功能正常工作。
在上線運行維護階段,應定期對系統運行情況進行全面審計,包括網絡審計、主機審計、數據庫審計,業務應用審計等。每次審計應記入審計報告,發現問題應進入問題處理流程。建立集中日志服務器對營銷交易安全域中網絡及安全設備日志進行集中收集存儲和管理。
軟件升級改造可能會對原來的系統做出調整或更改,此時也應從需求、分析、設計、實施上線等的整個生命周期對運行執行新的安全管理。
5.4 安全服務
安全服務的目的是保障系統建設過程中的各個階段的有效執行,問題、變更和偏差有效反饋,及時解決和糾正。從項目層面進行推進和監控系統建設的進展,確保項目建設質量和實現各項指標。
從項目立項、調研、開發到實施、驗收、運維等各個不同階段,可以階段性開展不同的安全服務,包括安全管理、安全評審、安全運維、安全訪談、安全培訓、安全測試、安全認證等安全服務。
5.5 安全評估
安全評估是對營銷系統潛在的風險進行評估(Risk Assessment),在風險尚未發生或產生嚴重后果之前對其造成后果的危險程度進行分析,制定相應的策略減少或杜絕風險的發生概率。
營銷系統的安全評估主要是針對第三方使用人員,評估內容涵蓋,終端安全和接入網絡安全。根據國家電網公司安全等級標準,對核心業務系統接入網絡安全等級進行測評,并給出測評報告和定期加固改造辦法,如安裝終端加固軟件/硬件,安裝監控軟件、增加網絡安全設備、增加安全策略,包括禁止違規操作、禁止越權操作等。
5.6 應急管理
為了營銷系統7×24小時安全運行,必須建立健全快速保障體系,在系統出現突發事件時,有效處理和解決問題,最大限度減小不良影響和損失,制定合理可行的應急預案,主要內容包括:明確目標或要求,設立具有專門的部門或工作小組對突發事件能夠及時反應和處理。加強規范的應急流程管理,明確應急處理的期限和責任人。對于一定安全等級的事件,要及時或上報。
6 實施部署
營銷系統為多級部署系統。根據國家電網信息網絡分區域安全防護的指導思想原則,結合新疆多地市不同安全級別需求的實際情況,營銷系統網絡整體安全部署如圖2所示。
在營銷系統部署中,對安全需求不同的地市子網劃分不同的安全域,網省管控平臺部署在網省信息內網,負責對所有安全防護措施的管控和策略的下發,它是不同安全級別地市子系統信息的管理控制中心,也是聯接總部展示平臺的橋梁,向國網總公司提交營銷系統安全運行的數據和報表等信息。
7 結束語
電力營銷網絡安全技術的發展伴隨電力營銷技術的發展而不斷更新,伴隨安全技術的不斷進步而不斷進步。電力營銷網絡的安全不僅僅屬于業務系統的安全范疇,也屬于網絡信息化建設范疇,其安全工作是一個系統化,多元化的工作,立足于信息內網安全,覆蓋信息外網安全和其他網絡。
本文基于新疆電力營銷系統網絡安全的現狀,結合現有安全技術和安全管理手段來提高營銷系統整體安全水平,為提升原有網絡的安全性,構造一個安全可靠的電力營銷網絡提供了一套安全解決方案,對國家電網其他具有類似需求的網省公司營銷系統網絡安全問題解決提供參考和借鑒。
參考文獻
[1]趙宏斌,陳超.電力營銷數據安全防護體系及其關鍵技術研究[J].電力信息化,2008年6卷7期:135-139.
[2]呂萍萍.當前電力企業電力營銷的現狀與安全防護保障系統構建[J].華東科技:學術版,2012年11期:282.
[3]蔣明,吳斌.電力營銷系統信息安全等級保護的研究與實踐[J].電力信息化,2009年3期:25-27.
[4]朱芳,肖忠良,趙建梅.淺析電力營銷業務應用系統的安全風險[J].黑龍江科技信息,2010年35期:153-154.
[5]李紅文.論加強電力營銷信息系統安全[J].信息通信,2012年1月:115-116.
作者簡介:劉陶(1983-),男,漢族,四川樂山,本科,技師,電力營銷稽查與實施調度。
陳曉云(1974-),女,大專,技師,新疆烏魯木齊,電力營銷稽查。
篇5
[關鍵詞] 信息安全保障體系; 中國石油; 企業
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054
[中圖分類號] TP309 [文獻標識碼] A [文章編號] 1673 - 0194(2012)09- 0089- 02
1 信息安全保障體系概述
信息安全保障(Information Assurance,IA)來源于1996年美國國防部DoD指令5-3600.1(DoDD5-3600.1)。其發展經歷了通信安全、計算機安全、信息安全直至現在的信息安全保障。內容包括保護(Protection)、檢測(Detection)、響應(Response)、恢復(Recovery) 4個環節,即PDRR模型。
信息安全保障體系分為人員體系、技術體系和管理體系3個層面,人員體系包括安全人員的崗位與職責、全體工作人員的安全管理兩部分。技術體系由本地計算環境、區域邊界、網絡基礎設施及支撐性基礎設施組成。管理體系包括建立完善的信息安全管理體系、構建自上而下的各級信息安全管理組織架構、制定信息安全方針與信息安全策略及完善信息安全管理制度4個板塊。通過縱深防御的多層防護,多處設置保護機制,抵御通過內部或外部從多點向信息系統發起的攻擊,將信息系統的安全風險降低到可以接受的程度。
2 國外信息安全保障體系建設
美國的信息化程度全球最高,在信息技術的主導權和網絡上的話語權等方面占據先天優勢,他們在信息安全保障體系建設以及政策支持方面也走在全球的前列。美國政府先后了一系列政策戰略報告,將信息安全由“政策”、“計劃”上升到“國家戰略”及“國際戰略”的高度。美國國土安全局是美國信息安全管理的最高權力機構,其他負責信息安全管理和執行的機構有國家安全局、聯邦調查局、國防部、商務部等,主要根據相應的方針和政策結合自己部門的情況實施信息安全保障工作。
其他國家也都非常重視信息安全保障工作。構建可信的網絡,建設有效的信息安全保障體系,實施切實可行的信息安全保障措施已經成為世界各國信息化發展的主要需求。信息化發展比較好的發達國家,如俄、德、日等國家都已經或正在制定自己的信息安全發展戰略和發展計劃,確保信息安全沿著正確的方向發展,在信息安全領域不斷進行著積極有益的探索。
3 國內信息安全保障體系建設
我國信息化安全保障體系建設相對于發達國家起步較晚,2003年9月,中央提出要在5年內建設中國信息安全保障體系。2006年9月,“十一五”發展綱要提出科技“支撐發展”的重要思想,提出要提高我國信息產業核心技術自主開發能力和整體水平,初步建立有中國特色的信息安全保障體系。2007年7月20日,“全國重要信息系統安全等級保護定級工作電視電話會議”召開,標志著信息安全等級保護工作在全國范圍內的開展與實施。2011年3月《我國國民經濟和社會發展十二五規劃綱要》明確提出加強網絡與信息安全保障工作。通過一系列的文件要求,不斷完善與提升我國的信息安全體系,強調信息安全的重要性。
我國信息安全保障體系建設主要包括:① 加快信息安全立法、建立信息安全法制體系,做到有法可依,有法必依。② 建立國家信息安全組織管理體系,加強國家職能,建立職能高效、職責分工明確的行政管理和業務組織體系,建立信息安全標準和評價體系。③ 建立國家信息安全技術保障體系,使用科學技術,實施安全的防護保障。④ 在技術保障體系下,建設國家信息安全保障基礎設施。⑤ 建立國家信息安全經費保障體系,加大信息安全投入。⑥ 高度重視人才培養,建立信息安全人才培養機制。
我國通過近幾年的努力,信息安體保障體系取得了長足發展,2002年成立了全國信息安全標準化技術委員會,不斷完善信息安全標準。同時在互聯網管理、信息安全測評認證、信息安全等級保護工作等方面取得了實質性進展,但CPU芯片、操作系統與數據庫、網關軟件仍大多依賴進口,受制于人。
4 企業信息安全保障體系建設
中國石油集團公司信息化建設在我國大型企業中處于領先地位,在國資委歷年信息化評比中,都名列前茅,“十一五”期間,公司將企業信息安全保障體系建設納入信息化整體規劃中,并逐步實施。其中涉及管理類項目3個,控制類項目3個,技術類項目5個。
管理類項目包括信息安全組織完善、信息安全運行能力建設、風險評估能力建設3個項目。信息安全組織完善是指完善信息安全的決策、管理與技術服務組織,合理配置崗位并明確職責,建立完備的管理流程,為信息安全建設與運行提供組織保障。信息安全運行能力建設內容包括建立統一、完備的信息安全運行維護流程及組織IT運行維護人員信息安全技能培訓,較快形成基本的信息安全運行能力。風險評估能力建設是指通過建立風險評估規范及實施團隊,提高信息安全風險自評估能力和風險管理能力,強化保障體系的有效性。
信息安全控制類項目涉及信息安全制度與標準完善、基礎設施安全配置規范開發、應用系統安全合規性實施3個項目。信息安全制度與標準完善包括:① 初步構建了制度和標準體系,了《信息系統安全管理辦法》及系統定級實施辦法。② 建立和完善了信息系統安全管理員制度,開展了信息安全培訓。③ 跟蹤國家信息安全等級保護政策,開展信息系統安全測評方法研究等,規范了信息系統安全管理流程,提升安全運行能力。基礎設施安全配置規范開發目標是制定滿足安全域和等級保護要求的信息技術基礎設施安全配置規范,提高信息技術基礎設施的安全防護能力。應用系統安全合規性實施是提供專業的信息安全指導與服務,支持國家等級保護、中國石油內部控制等制度的實施,使信息化建設與應用滿足合規性要求。
信息安全技術類項目由身份管理與認證、網絡安全域實施、桌面安全管理、系統災難恢復、信息安全運行中心5個項目組成。身份管理與認證是指建成集中身份管理與統一認證平臺,實現關鍵和重要系統的用戶身份認證,提高用戶身份管理效率,保證系統訪問的安全性。網絡安全域包括廣域網邊界防護、廣域網域間與數據中心防護、廣域網域內防護3項內容。廣域網邊界防護是指將全國各地的中國石油單位的互聯網集中統一到16個區域網絡中心,員工受控訪問互聯網資源,并最終實現實名制上網。廣域網域間與數據中心防護項目指建立。區域間訪問與防護標準、數據中心防護標準。廣域網域內防護將分離其他網絡并制定訪問策略,完善域內安全監控手段和技術,規范域內防護標準。桌面安全管理項目包括防病毒、補丁分發、端點準入、后臺管理、電子文檔保護和信息安全等級保護綜合管理6個子系統。系統災難恢復包括:① 對數據中心機房進行了風險評估,提出了風險防范和改進措施。② 對已上線的18個信息系統進行業務影響分析,確定了災難恢復關鍵指標。③ 制定整體的災備策略和災難恢復系統方案。信息安全運行中心旨在形成安全監控信息匯總樞紐和信息安全事件協調處理中心,提高對信息安全事件的預警和響應能力。
5 存在問題及建議
中國石油作為國資委超大型企業和能源工業龍頭企業,集團領導和各級領導,一貫重視信息安全工作,在落實等級保護制度,加強信息安全基礎設施建設,深入開展信息安全戰略、策略研究等方面,都取得的豐碩成果,值得其他企業借鑒。公司在信息安全保障體系建設中還存在以下問題:
(1) 信息安全組織體系不夠健全,不能較好地落實安全管理責任制。目前,部分二級單位沒有獨立的信息部門,更沒有負責安全體系建設、運行和管理的專職機構,安全的組織保障職能分散在各個部門,兼職安全管理員有責無權的現象普遍存在,制約了中國石油信息安全保障體系建設的發展。需強制建立從上至下完善的管理體系,明確直屬二級單位的信息部門建設,崗位設定、人員配備滿足對信息系統管理的需求。
篇6
1現狀與問題
1.信息安全現狀
隨著信息化建設的推進,我校信息化建設初具規模,軟硬件設備配備完成,運行保障的基礎技術手段基本具備。網絡中心技術力量雄厚,承擔網絡系統管理和應用支持的專業技術人員達20余人;針對重要應用系統采用了防火墻、IPS/IDS、防病毒等常規安全防護手段,保障了核心業務系統在一般情況下的正常運行,具備了基本的安全防護能力|6];日常運行管理規范,按照信息基礎設施運行操作流程和管理對象的不同,確定了網絡系統運行保障管理的角色和崗位,初步建立了問題處理的應急響應機制。由網絡中心進行日常管理的主要有六大業務應用系統,即網絡通信平臺、認證計費系統、校園一卡通、電子校務系統、網站群、郵件系統。
網絡通信平臺是大學各大業務平臺的基礎核心,是整個校園網的基礎,其他應用系統都運行在高校的基礎網絡環境上;認證計費系統是針對用戶接入校園網和互聯網的一種接入認證計費的管理方式;校園一卡通系統建設在物理專網上,主要實現學生校園卡消費管理,校園卡與大學網絡有3個物理接口;電子校務系統是大學最重要的業務應用系統,系統中存儲著重要的教務工作數據、學生考試信息、財務數據等重要數據信息;大學主頁網站系統為大學校園的互聯網窗口起到學校對外介紹宣傳的功能;郵件系統主要為大學教師與學生提供郵件收發服務,目前郵件系統注冊用1.2面臨的主要問題
通過等級保護差距分析和風險評估,目前大學所面臨的信息安全風險和主要問題如下:
(1)高校領域沒有總體安全標準指引,方向不明確,缺少主線。
(2)對國際國內信息安全法律法規缺乏深刻意識和認識。
(3)信息安全機構不完善,缺乏總體安全方針與策略,職責不夠明確。
(4)教職員工和學生數量龐大,管理復雜,人員安全意識相對薄弱,日常安全問題多。
()建設投資和投入有限,運維和管理人員的信息安全專業能力有待提高。
(6)內部管理相對松散,缺乏安全監管及檢查機制,無法有效整體管控。
(7)缺乏信息安全總體規劃,難以全面提升管理
(8)缺乏監控、預警、響應、恢復的集中運行管理手段,無法提高安全運維能力。
2建設思路
2.1建設原則和工作路線
學校信息安全建設的總體原則是:總體規劃、適度防護,分級分域、強化控制,保障核心、提升管理,支撐應用、規范運維。
依據這一總體原則,我們的信息安全體系建設工作以風險評估為起點,以安全體系為核心,通過對安全工作生命周期的理解從風險評估、安全體系規劃著手,并以解決方案和策略設計落實安全體系的各個環節,在建設過程中逐步完善安全體系,以安全體系運行維護和管理的過程等全面滿足安全工作各個層面的安全需求,最終達到全面、持續、突出重點的安全保障。
2.2體系框架
信息安全體系框架依據《信息安全技術信息系統安全等級保護基本要求》GBT22239-2008、《信息系統等級保護安全建設技術方案設計要求》(征求意見稿),并吸納了IATF模型[7]中“深度防護戰略,,理論,強調安全策略、安全技術、安全組織和安全運行4個核心原則,重點關注計算環境、區域邊界、通信網絡等多個層次的安全防護,構建信息系統的安全技術體系和安全管理體系,并通過安全運維服務和itsm[8]集中運維管理(基于IT服務管理標準的最佳實踐),形成了集風險評估、安全加固、安全巡檢、統一監控、提前預警、應急響應、系統恢復、安全審計和違規取證于一體的安全運維體系架構(見圖2),從而實現并覆蓋了等級保護基本要求中對網絡安全、主機安全、應用安全、數據安全和管理安全的防護要求,以滿足信息系統全方位的安全保護需求。
(1)安全策略:明確信息安全工作目的、信息安全建設目標、信息安全管理目標等,是信息安全各個方面所應遵守的原則方法和指導性策略。
(2)安全組織:是信息安全體系框架中最重要的
各級組織間的工作職責,覆蓋安全管理制度、安全管理機構和人員安全管理3個部分。
(3)安全運行:是信息安全體系框架中最重要的安全管理策略之一,是維持信息系統持續運行的保障制度和規范。主要集中在規范信息系統應用過程和人員的操作執行,該部分以國家等級保護制度為依據,覆蓋系統建設管理、系統運維管理2個部分。
(4)安全技術:是從技術角度出發,落實學校組織機構的總體安全策略及管理的具體技術措施的實現,是對各個防護對象進行有效地技術措施保護。安全技術注重信息系統執行的安全控制,針對未授權的訪問或誤用提供自動保護,發現違背安全策略的行為,并滿足應用程序和數據的安全需求。安全技術包含通信網絡、計算環境、區域邊界和提供整體安全支撐的安全支撐平臺。該部分以國家等級保護制度為依據,覆蓋物理層、網絡層、主機層、應用層和數據層5個部分。
()安全運維:安全運維服務體系架構共分兩層,實現人員、技術、流程三者的完美整合,通過基于ITIL[9]的運維管理方法,保障基礎設施和生產環境的正常運轉,提升業務的可持續性,從而也體現了安全運3重點建設工作
3.1安全滲透測試
2009年4月,學校對38個網站、2個關鍵系統和6臺主機系統進行遠程滲透測評。通過測評,全面、完整地了解了當前系統的安全狀況,發現了20個高危漏洞,并針對高危漏洞分析了系統所面臨的各種風險,根據測評結果發現被測系統存在的安全隱患。滲透測試主要任務包括:收集網站信息、網站威脅分析、脆弱性分析和滲透入侵測評、提升權限測評、獲取代碼、滲透測評報告。
3.2風險評估和安全加固
2009年5月,依據安全滲透測試結果,對大學的六大信息系統進行了安全測評。根據評估結果得出系統存在的安全問題,并對嚴重的問題提出相應的風險控制策略。主要工作任務包括:系統調研、方案編寫、現場檢測、資產分析、威脅分析、脆弱性分析和風險分析。通過風險評估最終得出了威脅的數量和等級,表1、表2為威脅的數量和等級統計。2009年6月和9月,基于風險評估結果,對涉及到的網絡設備(4臺)和主機設備(14臺)進行了安全加固工作。
3.3安全體系規劃
根據前期對全校的網絡、重要信息系統及管理層面的全面評估和了解整理出符合大學實際的安全需求,并結合實際業務要求,對學校整體信息系統的安全工作進行規劃和設計,并通過未來3年的逐步安全建設,滿足學校的信息安全目標及國家相關政策和標準學校依據國際國內規范及標準,參考業界的最佳實踐ISMS[10](信息安全管理體系),結合我校目前的實際情況,制定了一套完整、科學、實際的信息安全管理體系,制定并描述了網絡與信息安全管理必須遵守的基本原則和要求。
通過信息安全管理體系的建立,使學校的組織結構布局更加合理,人員安全意識也明顯提高,從而保證了網絡暢通和業務正常運行,提高了IT服務質量。通過制度、流程、標準及規范,加強了日常安全工作執行能力,提高了信息安全保障水平。
4未來展望和下一步工作
4.1安全防護體系
根據網絡與信息系統各節點的網絡結構、具體的應用以及安全等級的需求,可以考慮使用邏輯隔離技術(VLAN或防火墻技術)將整個學校的網絡系統劃分為3個層次的安全域:第一層次安全域包括整個學校網絡信息系統;第二層次安全域將各應用系統從邏輯上和物理上分別劃分;第三層次安全域主要是各應用系統內部根據應用人群的終端分布、部門等劃分子網或子系統。
公鑰基礎設施包括:CA安全區:主要承載CAServer、主從LDAP、數據庫、加密機、OCSP等;KMC管理區:主要承載KMCServer、加密機等;RA注冊區:主要承載各院所的RA注冊服務器,為各院所的師生管理提供數字證書注冊服務。
應用安全支撐平臺為各信息系統提供應用支撐服務、安全支撐服務以及安全管理策略,使得信息系統建立在一個穩定和高效的應用框架上,封裝復雜的業務支撐服務、基礎安全服務、管理服務,并平滑支持業務系統的擴展。主要包括:統一身份管理、統一身份認證、統一訪問授權、統一審計管理、數據安全引擎、單點登錄等功能。
4.2安全運維體系
ITSM集中運維管理解決方案面對學校日益復雜的IT環境,整合以往對各類設備、服務器、終端和業務系統等的分割管理,實現了對IT系統的集中、統一、全面的監控與管理;系統通過融入ITIL等運維管理理念,達到了技術、功能、服務三方面的完全整合,實現了IT服務支持過程的標準化、流程化、規范化,極大地提高了故障應急處理能力,提升了信息部門的管理效率和服務水平。
根據終端安全的需求,系統應建設一套完整的技術平臺,以實現由管理員根據管理制度來制定各種詳盡的安全管理策略,對網內所有終端計算機上的軟硬件資源、以及計算機上的操作行為進行有效管理。實現將以網絡為中心的分散管理變為以用戶為中心集中策略管理;對終端用戶安全接入策略統一管理、終端用戶安全策略的強制實施、終端用戶安全狀態的集中審計;對用戶事前身份和安全級別的認證、事中安全狀態定期安全檢測,內容包括定期的安全風險評估、安全加固、安全應急響應和安全巡檢。
4.3安全審計體系
篇7
上海P2P管理實施細則:屬地存管或會調整6月1日,也正是《上海市網絡借貸信息中介機構業務管理實施辦法(征求意見稿)》公布的當天,位于上海的P2P平臺諾諾鎊客對外公布了即將上線銀行存管的消息,存管方為徽商銀行。遺憾的是,徽商銀行在上海當地并沒有辦公網點,因此并不符合在本市設有經營實體的商業銀行這一要求。
這的確很尷尬。諾諾鎊客相關負責人對記者表示,目前只能先做好更換存管銀行的技術備份,如果細則落地執行,也只能更換符合條件的銀行,但這對用戶體驗和公司投入來說,影響的確很大。
另有一家剛上線了江西銀行存管的滬上P2P平臺也對記者表示,消息來得措手不及。江西銀行在上海也沒有網點,投入了幾百萬上線的存管系統可能是白忙活。該平臺負責人對記者表示,如果上海的行業細則落地執行,對平臺而言無論是時間成本還是資金成本都帶來較大損失。
據網貸之家不完全統計,截至20xx年6月初,上海當地共有61家網貸平臺與17家銀行簽訂直接存管協議,但超半數平臺的存管銀行在滬無網點,其中包括徽商銀行、廣東華興銀行、江西銀行、廊坊銀行、廈門銀行、新網銀行等。
業內認為,監管之所以規定銀行存管屬地化是為了更方便管理,但對平臺而言卻比較尷尬,因為很多主流大型商業銀行和上海地區銀行都不開放存管業務。而從目前積極開展存管業務的銀行類型看,城商行和互聯網銀行的確是主力軍,而這類銀行恰恰存在網點少或沒有網點的特性。
上海目前出臺的細則仍是征求意見稿,實質落地實施的細則或有變動的可能。明天上海的行業協會組織了關于征求意見稿的討論會,這意味著部分實施細則還有商量的空間。諾諾鎊客上述負責人對記者表示。
上海P2P管理實施細則:嚴監管明確5條紅線上海金融辦昨日《上海市網絡借貸信息中介機構業務管理實施辦法(征求意見稿)》(下稱《征求意見稿》)。
《征求意見稿》明確,新設立的網絡借貸信息中介機構申請辦理備案登記的,應當提交備案登記申請書、股東資料等13項申請材料。對已經設立并開展經營活動的,除了提交上述申請材料,還應補充提供經營總體情況等6項材料。
夸客金融創始人兼CEO郭震洲接受上證報記者采訪時表示:這為網貸機構明確了合規經營的依據。
除了上述備案管理部分,限制網貸信息中介機構的存管銀行范圍也成為業界關注點。《征求意見稿》指出,平臺應當在6個月內選擇在本市設有經營實體且符合相關條件的商業銀行進行客戶資金存管。
如果按照上述條款,那么至少有數十家上海的網貸平臺或面臨壓力,要么重新選擇存管銀行,要么存管銀行要在上海開設分支行等物理網點。
此外,《征求意見稿》還對網絡借貸信息中介機構存在五類行為將被清除出行業予以明確規定。第三十三條明確規定,取得備案登記的網絡借貸信息中介機構有下列情形之一的,上海銀監局、注冊地所在區監管部門可以建議市金融辦注銷其備案登記,市金融辦也可以直接注銷備案登記:
一是通過虛假、欺騙手段取得備案登記的;二是嚴重違反有關法律法規及行業監管規定的;三是監管部門通過實地調查、電話聯系及其他監管手段仍對企業和企業相關人員查無下落的,或雖然可以聯系到企業一般工作人員,但其并不知悉企業運營情況也不能聯系到企業實際控制人的;四是取得備案登記后6個月內未開展網絡借貸信息中介業務,或停止開展網絡借貸信息中介業務連續滿6個月的;五是拒不落實有關監管工作要求的。
上海平臺多且活躍,投資人多且輻射至江浙一帶,此前出現了中晉、快鹿等問題平臺,可以說此次監管細則出臺是行業的利好,能有效地驅逐偽劣平臺。中國人民大學金融科技與互聯網安全研究中心主任楊東接受記者采訪表示,此次《征求意見稿》不僅貫徹了之前的《管理暫行辦法》的精神,并進一步落實到業務細化和落地,而且內容更加豐富、更規范,可以起到全國性標桿的示范作用。
上海P2P管理實施細則征求意見稿第一章總則
第一條為規范本市網絡借貸信息中介機構業務活動,保護出借人、借款人及相關當事人合法權益,促進行業健康發展,根據《關于促進互聯網金融健康發展的指導意見》(銀發[20xx]221號)、《網絡借貸信息中介機構業務活動管理暫行辦法》(中國銀監會令20xx年第1號)及相關政策法規、監管規定,結合本市實際,制定本辦法。
第二條凡在本市注冊的公司法人從事網絡借貸信息中介業務,適用本辦法,法律法規另有規定的除外。
第三條網絡借貸信息中介機構按照依法、誠信、自愿、公平的原則為出借人、借款人提供信息服務,維護出借人與借款人的合法權益,不得提供增信服務,不得直接或間接歸集客戶資金,不得非法集資,不得損害國家利益和社會公共利益。
借款人與出借人遵循借貸自愿、誠實守信、責任自負、風險自擔的原則承擔借貸風險。網絡借貸信息中介機構承擔客觀、真實、全面、及時進行信息披露的責任,不承擔借貸違約風險。
第四條網絡借貸信息中介機構應當依法健全公司治理機制,完善內部控制、風險管理、信息安全、客戶保護等方面制度。
鼓勵網絡借貸信息中介機構引進戰略投資者,增強資本實力;支持網絡借貸信息中介機構聘任具有豐富金融從業經驗的人員擔任高級管理人員、加強員工培訓教育,持續提升從業人員專業水平及職業道德水準。
第五條 在上海市金融綜合監管聯席會議(以下簡稱市聯席會議)框架下,市金融辦、上海銀監局共同牽頭,會同人民銀行上海總部、市通信管理局、市公安局、市工商局、市網信辦等相關部門,研究制定本市引導網絡借貸信息中介機構規范發展的政策措施,指導推進各區政府開展網絡借貸信息中介機構規范發展與行業管理相關工作。
第六條市金融辦負責對本市網絡借貸信息中介機構的機構監管;上海銀監局負責對本市網絡借貸信息中介機構的行為監管;市通信管理局負責對本市網絡借貸信息中介機構業務活動涉及的電信業務進行監管;市公安局負責對本市網絡借貸信息中介機構的互聯網服務進行安全監管,依法查處違反網絡安全監管的違法違規活動,打擊網絡借貸涉及的金融犯罪及相關犯罪;市網信辦負責對金融信息服務、互聯網信息內容等業務進行監管。
本市各區政府是轄內網絡借貸信息中介機構業務管理和風險處置的第一責任人,在市聯席會議統一領導下,接受市金融辦、上海銀監局等相關部門的業務指導,具體承擔對注冊在本轄區的網絡借貸信息中介機構的日常監管、風險處置等相關工作。
第七條市金融辦、上海銀監局及各區政府應當配備專門力量,切實履行網絡借貸信息中介機構監管職責。
市金融辦、上海銀監局及各區政府明確承擔監管職責的部門(以下簡稱區監管部門)根據工作需要,可委托外部中介機構或聘請外部專業人員輔助開展部分專業性工作,并應當將相應費用支出納入年度預算安排。
第二章備案管理
第八條網絡借貸信息中介機構備案登記按以下程序辦理:
(一)網絡借貸信息中介機構向注冊地所在區監管部門提交書面申請材料;
(二)區監管部門通過多方數據比對、信用核查、網上核驗、實地認證、現場勘查、高管約談、部門會商等方式對申請材料進行審查后,認為提出申請的網絡借貸信息中介機構初步符合備案登記相關規定的,應當在指定的媒體(網站)上就有關事項向社會公示(公示期為1個月),接受社會監督及投訴舉報;
(三)公示期滿后,如未發現不符合有關規定的情形,由網絡借貸信息中介機構注冊地所在區政府出具明確意見,與網絡借貸信息中介機構相關申請材料一并函送市金融辦;
(四)市金融辦收到有關區政府出具的書面意見,并經征詢上海銀監局等市聯席會議成員單位意見后,認為提出申請的網絡借貸信息中介機構符合備案登記相關規定,予以辦理備案登記的,應將備案登記情況及網絡借貸信息中介機構相關信息向社會公示。
第九條監管部門同意網絡借貸信息中介機構備案登記的行為,不構成對網絡借貸信息中介機構經營能力、合規程度、資信狀況的認可和評價。
第十條新設立的網絡借貸信息中介機構申請辦理備案登記的,應當提交以下申請材料:
(一)備案登記申請書。應當載明公司基本信息,包括名稱、住所、注冊資本、實繳資本、法定代表人、經營范圍、官方網站網址及ICP備案號、相關APP等移動端平臺名稱、服務器所在地等;
(二)企業法人營業執照正副本復印件;
(三)公司章程,以及內部控制、風險管理、信息安全、客戶保護、財務管理等相關制度;
(四)經營發展戰略規劃;
(五)股東資料。包括各股東(股東名冊內的股東不得為他人代持股份)名稱(姓名)、出資金額、出資比例等情況,以及企業股東及個人股東的信用報告,個人股東戶籍地公安機關出具的無犯罪記錄證明等;
(六)董事、監事、高級管理人員(包括總經理、副總經理和財務、風控、法律合規、稽核審計部門負責人,及實際履行上述職務的人員;下同)資料。包括基本信息、個人簡歷、學歷及相關專業資質證明、信用報告、戶籍地公安機關出具的無犯罪記錄證明等;
(七)營業場所證明材料。包括營業場所產權證明、租賃合同等(公司實際經營地應當與住所相同);
(八)全部分支機構及其所在地、負責人;
(九)合規經營承諾書;
(十)本市公安機關網絡安全部門出具的信息系統安全審核回執(需事前向本市公安機關網絡安全部門提交符合國家網絡安全相關規定和國家信息安全等級保護制度要求的證明材料);
(十一)與第三方電子數據存證平臺簽訂的委托合同存證的協議復印件;
(十二)律師事務所出具的網絡借貸信息中介機構備案登記法律意見書;
(十三)市金融辦、上海銀監局根據相關規定要求提交的其他文件、資料。
區監管部門應當在網絡借貸信息中介機構提交的備案登記申請材料齊備時予以受理。
第十一條 在本辦法前已經設立并開展經營活動的網絡借貸信息中介機構,各區監管部門應當依據P2P網絡借貸風險專項整治中分類處置有關工作安排,對合規類機構的備案登記申請予以受理,對整改類機構和尚未納入分類處置范圍的機構,在其完成對照整改并經有關部門認定后受理其備案登記申請。
在本辦法前已經設立并開展經營活動的網絡借貸信息中介機構申請辦理備案登記的,除應當提交本辦法第十條規定的申請材料外,還應當補充提供以下材料:
(一)在備案登記申請書中說明網絡借貸信息中介業務經營總體情況及產品信息、客戶數量、業務規模、待償還金額,平臺撮合交易的逾期及其處置情況,以及原有不規范經營行為的整改情況等;
(二)公司信用報告:
(三)律師事務所對網絡借貸信息中介機構合規經營情況的法律意見(可與網絡借貸信息中介機構備案登記法律意見書合并出具);
(四)公司上一年度會計報表及會計師事務所出具的審計報告;
(五)在財務會計報表附注中按要求披露的網絡借貸信息中介業務經營信息,以及會計師事務所出具的網絡借貸信息中介業務經營情況專項審計報告;
(六)市金融辦要求提交的其他文件、資料。
新設立的網絡借貸信息中介機構在取得備案登記前自行開展網絡借貸信息中介業務的,按照本條規定辦理。
第十二條 對新設立的網絡借貸信息中介機構,區監管部門應當自受理備案登記申請材料之日起40個工作日內完成審查工作;市金融辦應當自受理有關區政府出具的書面意見及網絡借貸信息中介機構提交的備案登記申請材料之日起40個工作日內做出辦理備案登記或不予辦理備案登記的決定。
對在本辦法前已經設立并開展經營活動的網絡借貸信息中介機構,區監管部門、市金融辦應當分別在50個工作日內完成審查工作、做出相關決定。
網絡借貸信息中介機構備案信息公示、按要求補正有關備案登記材料的時間不計算在上述辦理時限內。
第十三條合規經營承諾書需對下列事項進行承諾,并由申請備案登記的網絡借貸信息中介機構、持股5%以上的股東,以及網絡借貸信息中介機構的董事、監事、高級管理人員共同簽章確認:
(一)在經營期間嚴格遵守《網絡借貸信息中介機構業務活動管理暫行辦法》及有關監管規定,依法合規經營;
(二)同意根據監管部門要求及時接入有關監管信息系統,及時報送、上傳相關數據;同意并授權合作的電子數據存證服務機構將相關存證數據按要求報送、上傳監管部門;同意并授權合作的資金存管銀行將資金流數據按要求報送、上傳監管部門;同意并授權合作的征信機構將交易數據按要求報送、上傳監管部門;
(三)同意監管部門將備案登記、日常監管中報送的相關材料向社會公示;
(四)確保及時按要求向監管部門報送真實、準確、完整的數據、資料;
(五)接受監管部門現場檢查及非現場監管措施,并確保按照監管部門要求及時整改存在的問題。
第十四條律師事務所出具的網絡借貸信息中介機構備案登記法律意見書,應當對網絡借貸信息中介機構提交的備案登記申請材料的真實性,及其工商登記信息、股權結構、實際控制人、基本運營設施、公司章程及相關管理制度、業務模式合法合規情況等逐項發表結論性意見;為在本辦法前已經設立并開展經營活動的網絡借貸信息中介機構出具的法律意見書,還應當對網絡借貸信息中介機構的經營行為是否符合《網絡借貸信息中介機構業務活動管理暫行辦法》及有關監管規定,以及原有不規范經營行為是否整改到位等逐項發表結論性意見。
會計師事務所為在本辦法前已經設立并開展經營活動的網絡借貸信息中介機構出具的業務經營情況專項審計報告,應當包括但不限于對網絡借貸信息中介機構的客戶資金存管、業務經營數據、信息披露、內部控制等重點環節的審計情況、審計意見。
網絡借貸信息中介機構備案登記法律意見書的出具時間,專項審計報告的報告期截止時間,均應在網絡借貸信息中介機構提交備案登記申請的前3個月之內。
第十五條網絡借貸信息中介機構取得備案登記后,應當在6個月內完成以下事項:
(一)涉及經營增值電信業務的,應當按照通信主管部門有關規定申請相應的業務資質;
(二)選擇在本市設有經營實體且符合相關條件的商業銀行進行客戶資金存管。
網絡借貸信息中介機構應當在上述每一事項辦理完成后5個工作日內,通過注冊地所在區監管部門,向市金融辦書面報備。
第十六條網絡借貸信息中介機構發生下列變更事項之一的,應當在5個工作日內,通過注冊地所在區監管部門,向市金融辦申請備案信息變更登記:
(一) 變更名稱;
(二) 變更住所;
(三)變更組織形式;
(四)變更注冊資本;
(五)調整業務范圍;
(六)變更法定代表人及董事、監事、高級管理人員;
(七)分立、合并、重組,或變更持股5%以上的股東;
(八)設立或者撤并分支機構;
(九)合作的資金存管銀行變更;
(十)增值電信業務經營許可證變更;
(十一)監管部門要求的其他事項。
取得備案登記的網絡借貸信息中介機構辦理變更登記的,應當提交變更登記申請書,相關合同、協議等證明材料;涉及第(六)、(七)項變更的,還應提交律師事務所出具的法律意見書。
第十七條取得備案登記的網絡借貸信息中介機構計劃終止網絡借貸信息中介服務的,應當在終止業務前至少提前10個工作日,通過注冊地所在區監管部門書面告知市金融辦,并注銷備案登記。
取得備案登記的網絡借貸信息中介機構依法解散或者依法宣告破產的,除依法進行清算外,由注冊地所在區監管部門提請市金融辦注銷其備案登記。
第三章風險管理與客戶保護
第十八條網絡借貸信息中介機構應當接入本市網絡金融征信系統(接入時間應當在取得備案登記后3個月內,條件成熟時應當及時接入金融信用信息基礎數據庫),并依法提供、查詢和使用有關信用信息。
第十九條網絡借貸信息中介機構應當在其互聯網平臺及相關文件、協議中以醒目方式向出借人提示網絡借貸風險、禁止性行為,明示出借人風險自擔,并應經出借人確認。
第二十條網絡借貸信息中介機構應當建立客戶適當性管理制度。
網絡借貸信息中介機構應當對出借人的年齡、財務狀況、投資經驗、風險偏好、風險承受能力等進行盡職評估,不得向未進行風險評估和風險評估不合格的出借人提供交易服務。
網絡借貸信息中介機構應當對借款人的年齡、身份、借款用途、還款能力、資信情況等進行必要審查,避免為不適當的借款人提供交易服務。
第二十一條網絡借貸信息中介機構應當建立客戶信息安全保護及投訴處理制度,不得不當使用、泄露客戶信息,對客戶投訴應當依法、及時答復處理。
第二十二條網絡借貸信息中介機構應當建立信息披露制度,嚴格按照有關行業監管制度、自律準則開展信息披露;鼓勵網絡借貸信息中介機構結合自身實際,更加全面、及時地向社會公眾、平臺客戶進行信息披露。
第四章監督管理
第二十三條市金融辦負責本市網絡借貸信息中介機構的機構監管,上海銀監局協助、配合市金融辦開展相關工作,包括辦理網絡借貸信息中介機構備案及變更、注銷登記,組織、指導各區監管部門、相關行業自律組織對網絡借貸信息中介機構經營數據進行統計分析、做好相關風險防范處置等。
上海銀監局負責本市網絡借貸信息中介機構的日常行為監管。市金融辦協助、配合上海銀監局組織開展合規認定、非現場監測與現場檢查、投資者保護等行為監管工作。
各區監管部門接受市金融辦、上海銀監局的業務指導,具體承擔對轄內網絡借貸信息中介機構的日常監管職責。
國家有關部門對網絡借貸信息中介機構業務管理職責分工另有規定的,從其規定。
第二十四條上海市互聯網金融行業協會等行業自律組織接受相關監管部門的指導、監督,開展本市網絡借貸信息中介行業自律管理,并履行下列職責:
(一)制定信息披露、產品登記、從業人員管理等方面的自律規則,以及有關行業標準并組織實施,教育會員遵守法律法規及有關行業監管規定;
(二)依法維護會員的合法權益,協調會員關系,組織相關培訓,向會員提供行業信息、法律咨詢等服務,調解會員糾紛;
(三)接受有關投訴、舉報,開展自律檢查;
(四)法律法規、有關行業監管規定及監管部門賦予的其他職責。
第二十五條網絡借貸信息中介機構應當實行自身資金與出借人和借款人資金的隔離管理,并選擇符合條件的商業銀行作為出借人與借款人的資金存管機構。
資金存管機構對出借人與借款人開立和使用資金賬戶進行管理和監督,并根據合同約定,對出借人與借款人的資金進行存管、劃付、核算和監督。
資金存管機構承擔實名開戶、履行合同約定及借貸交易指令表面一致性的形式審核責任,但不承擔融資項目及借貸交易信息真實性的實質審核責任。
資金存管機構應當按照有關行業監管規定報送數據信息并依法接受相關監督管理。
第二十六條網絡借貸信息中介機構應當在下列重大事件發生后,立即采取應急措施,并通過注冊地所在區監管部門向市金融辦、上海銀監局報告情況:
(一)因經營不善等原因出現重大經營風險;
(二)網絡借貸信息中介機構或其董事、監事、高級管理人員發生重大違法違規行為;
(三)因商業欺詐行為被起訴,包括違規擔保、夸大宣傳、虛構隱瞞事實、虛假信息、簽訂虛假合同、錯誤處置資金等行為。
各區監管部門應當建立本轄區網絡借貸信息中介機構重大事件的發現、報告和處置制度,制定處置預案,及時、有效地協調處置有關重大事件。
市金融辦應當及時將本市網絡借貸信息中介機構重大風險及其處置情況報送市政府、國務院銀行業監督管理機構和中國人民銀行。
第二十七條 網絡借貸信息中介機構發生下列情形的,應當在5個工作日內通過注冊地所在區監管部門向市金融辦、上海銀監局報告:
(一)因違規經營行為被查處或被起訴;
(二)董事、監事、高級管理人員發生違反境內外相關法律法規的行為;
(三)監管部門要求報告的其他情形。
第二十八條每年度結束后,網絡借貸信息中介機構應當聘請會計師事務所對本公司財務會計報告、網絡借貸信息中介業務經營情況進行審計,聘請律師事務所對本公司業務合規情況進行評估,聘請具有信息安全等級保護測評資質的專業機構對本公司信息系統安全等級情況進行測評,并應在上年度結束后4個月內向注冊地所在區監管部門報送相關審計報告、評估報告及信息安全等級測評報告。
網絡借貸信息中介機構應當于每月5日前,向注冊地所在區監管部門報送上月經營情況統計表、財務會計報表;于每季度首月10日前,向注冊地所在區監管部門報送合規經營情況自評報告。
各區監管部門應當在每月10日前,向市金融辦、上海銀監局報送轄內網絡借貸信息中介機構上月經營情況匯總統計表、相關財務會計報表;于每季度首月15日前,向市金融辦、上海銀監局報送轄內網絡借貸信息中介機構合規經營情況分析報告。
第二十九條市金融辦可以根據本辦法和有關行業監管規定,指導各區監管部門對備案登記的網絡借貸信息中介機構進行評估分類,并可將分類結果向社會公示。
第三十條市金融辦、上海銀監局、各區監管部門應當會同各有關方面,加強對網絡借貸信息中介機構的社會信用聯合激勵和懲戒,在行業內促進形成守信受益、失信受限的誠信氛圍。
第三十一條市金融辦、上海銀監局應當會同相關部門,共同推動建設本市網絡借貸信息中介機構監管信息系統,逐步將本市網絡借貸信息中介機構的基本信息、業務信息、信用信息、監管信息、風險預警信息等納入系統進行動態管理,促進建立健全監管信息共享與工作協同機制。
第五章法律責任
第三十二條網絡借貸信息中介機構違反法律法規和網絡借貸有關監管規定,有關法律法規有處罰規定的,依照其規定給予處罰;有關法律法規未作處罰規定的,監管部門可以采取監管談話、出具警示函、責令改正、通報批評、將其違法違規和不履行承諾等情況記入誠信檔案并公布等監管措施,以及給予警告、人民幣3萬元以下罰款和依法可以采取的其他處罰措施;涉嫌犯罪的,移送有關部門依法處理;相關信息按規定報送有關公共信用信息平臺。
網絡借貸信息中介機構違反法律規定從事非法集資或欺詐活動的,按照相關法律法規和有關工作機制處理;涉嫌犯罪的,移送有關部門依法處理。
第三十三條 取得備案登記的網絡借貸信息中介機構有下列情形之一的,上海銀監局、注冊地所在區監管部門可以建議市金融辦注銷其備案登記,市金融辦也可以直接注銷其備案登記:
(一)通過虛假、欺騙手段取得備案登記的;
(二)嚴重違反有關法律法規及行業監管規定的;
(三)監管部門通過實地調查、電話聯系及其他監管手段仍對企業和企業相關人員查無下落;或雖然可以聯系到企業一般工作人員,但其并不知悉企業運營情況也不能聯系到企業實際控制人的;
(四)取得備案登記后6個月內未開展網絡借貸信息中介業務,或停止開展網絡借貸信息中介業務連續滿6個月的;
(五)拒不落實有關監管工作要求的。
市金融辦應將注銷網絡借貸信息中介機構備案登記情況向社會公示,并函告上海銀監局、市公安局、市工商局、市通信管理局、市網信辦等相關部門。
第三十四條網絡借貸信息中介機構的股東、實際控制人及董事、監事、高級管理人員在公司設立及經營過程中弄虛作假,或損害網絡借貸信息中介機構及其他利益相關方合法權益的,市金融辦、上海銀監局及注冊地所在區監管部門可將相關情況通報有關部門、報送有關公共信用信息平臺,并按規定對相關責任人員實施市場和行業禁入措施;涉嫌犯罪的,移送有關部門依法處理。
第三十五條出借人及借款人違反法律法規及網絡借貸有關監管規定的,依照有關規定給予處罰;涉嫌犯罪的,移送有關部門依法處理。
第三十六條在網絡借貸信息中介機構備案登記、日常監管過程中出具審計報告、法律意見書、測評報告等文件的專業機構和人員,應當按照相關執業規則規定的工作程序出具相應文件,并應對其所出具文件內容的真實性、準確性和完整性進行核查和驗證;市金融辦、上海銀監局及各區監管部門發現相關文件中存在虛假記載、誤導性陳述或重大遺漏的,可將相關情況向社會公示,并移送有關行業主管部門、相關行業自律組織處理。
第六章附則
第三十七條 網絡借貸信息中介機構的業務規則、風險管理、信息披露,以及出借人與借款人保護等相關事宜,按照《網絡借貸信息中介機構業務活動管理暫行辦法》及相關監管規定執行。
第三十八條網絡借貸信息中介機構設立的分支機構無需辦理備案登記。
各區監管部門應當將本轄區備案登記的網絡借貸信息中介機構設立分支機構情況,及時告知分支機構所在地的市(區、縣)監管部門。
第三十九條 在本辦法前已經設立并開展經營活動的網絡借貸信息中介機構不符合相關監管規定的,除違法犯罪行為依法追究刑事責任外,應當根據《網絡借貸信息中介機構業務活動管理暫行辦法》的相關規定或有關監管部門在互聯網金融風險專項整治過程中的監管要求及時進行整改;在規定或要求的整改時限內無法完成整改的,應向注冊地所在區監管部門提交書面報告并說明原因及后續整改計劃,經注冊地所在區監管部門同意后,應在要求的時間內完成整改并及時遞交申請材料。
篇8
從90年代互聯網進入中國以來,企業信息網絡化的努力就一直沒有停止過。
從剛開始簡單地在網上一個自己的主頁,陸續出現的各種網上交易方式如B2B,B2C模式,企業信息化的ASP模式,到如今的網格化計算、SOA,互聯網給企業帶來的似乎一直都是一浪接一浪的新理念和希望。
想象一下某個山區角落里的不起眼小公司憑借著網絡也能夠和全世界的伙伴發生貿易,這種誘人前景導致的20世紀末到本世紀初幾年的互聯網泡沫雖然一度破滅,仍擋不住轟轟烈烈的企業信息化浪潮腳步。
圍繞數據的一場戰爭
在互聯網為企業帶來巨大機遇和發展的同時,也會給人們帶來了很多不曾預料到的不和諧音符。二十一世紀第一年,紅色代碼病毒席卷全球,估計造成了約22億美元的損失。
然而,這一切僅僅是開始,這一事件標志著傳統通過拷貝這類手段的病毒傳播方式基本讓位于互聯網傳播方式,而利用系統漏洞的遠程入侵技術和傳統病毒自我復制的完美結合則給后來的制造者們帶來了無限靈感。既然可以控制別人的電腦,那為什么不用它來做些什么呢?于是特洛伊木馬、竊聽、密碼破解、遠程控制、服務器欺騙、網站釣魚、間諜軟件、廣告軟件、惡意軟件這些原本僅用于入侵的新老技術在病毒中接踵而來。
如果說上世紀八九十年代里那些病毒作者們以及系統黑客純粹是為了炫耀自己的技術能力的話,那么如今越來越多所謂“駭客”們在巨大金錢誘惑中則完全背棄了他們的技術理想,僅僅癱瘓一個服務器對他們來說獲益頗小,他們研究發明這些技術手段的終極目標只有一個:真真實實的利益,而最能給他們帶來好處的,就是數據。
竊取一個企業的客戶資料后賣給競爭對手在那些競爭激烈的行業中是一件非常賺錢的買賣;以高價為競爭對手刪除對手的關鍵數據資料也是一個不錯的選擇。
想象中的信息戰尚未在國家間開始,但一場圍繞著數據的企業間戰爭伴隨著企業信息化的過程悄無聲息在互聯網上開始了。
互聯網上的新威脅
由于到目前為止實際應用中仍缺乏安全的操作系統、計算機網絡系統和數據庫管理系統,導致企業信息化過程中,關鍵數據面臨著來自一系列來自網絡的威脅。由于互聯網的便利性,入侵只需要一臺計算機、一個物理聯系就能在全球任意一個角落任何一個時間上發起遠距離攻擊,而現有的科技手段也難以偵察到計算機恐怖分子的行蹤。
而大多數管理者對網絡安全不甚了解,存在巨大管理漏洞。不重視信息系統和網絡安全,只重視物理安全,而不重視邏輯安全;只重視單機安全,而不重視網絡安全也加劇了威脅的嚴重性。這些威脅按其作用對象來看可以分為直接針對對數據庫的威脅、針對主機的威脅、針對應用系統的威脅。
數據庫系統是應用數據存儲的核心位置,一旦控制了數據庫系統即可以隨意控制系統的行為,獲得任何想要的數據,然而目前在市場應用中使用的數據庫系統通常只達到C2級安全標準,缺少更高級別的安全系統。現有的系統一旦被攻擊者獲得訪問數據庫的賬號,則幾乎沒有什么手段可以阻止這一行為,更沒有手段進行縱深防御。而因為沒有充分培訓的DBA等原因,企業對數據庫系統的防衛幾乎是一個空白。
針對主機操作系統的威脅是針對主機使用的操作系統,目前通用的windows操作系統和Unix/Linux操作系統平臺是企業常用的信息化軟件運行平臺。然而由于現有操作系統的復雜性,開發廠商永遠無法保證系統的絕對安全。
事實上,windows從以來一直在發現新的安全問題,雖然廠商及時的有針對地安全補丁。然而一方面一些高技術水平的入侵者手中往往掌握不為人知的安全漏洞,另一方面很多時候企業無法實時的更新系統,導致針對操作系統的威脅層出不窮。一旦主機被控制,關鍵數據的安全就基本無法得到保障了。
針對應用系統的威脅主要是來自于企業應用系統在編制過程中的問題。由于安全性和開發效率以使用效率總是一個矛盾,安全性和易用性也總難兩全。
因此,在信息化系統建設過程中,重開發進度,重應用效果,重用戶滿意度,輕安全防護已經基本上成為了軟件領域內的一個通病,這樣開發出的系統常常是系統能夠正常工作,但卻留下了相當多的安全漏洞和安全隱患。
例如,程序員不檢查用戶輸入導致非常訪問數據、不檢查數組邊界導致的遠程緩沖區溢出都是典型的例子。即使在一些著名的軟件中也不能完全避免這些問題。
魔高一尺,道高一丈
面對著這些方方面面的威脅,企業是否是束手無策呢?
當然不是,正所謂魔高一尺,道高一丈。在保衛自己的數據的戰爭中,企業有相當多的武器。伴隨著2000年后安全問題的突出,數據安全領域內的技術一直在不斷進步。防火墻、病毒防火墻、入侵檢測系統、數據加密、VPN、證書系統、生物認證等各種新技術都能夠為企業提供高安全的數據保障方案;數據庫廠商紛紛在產品中添加各項安全特性;操作系統廠商如微軟也推出了系統和軟件的自動更新安全補丁的功能;在數據傳輸上,SSL被普遍引入以保證數據不被非法竊聽。
然而這并非意味著企業信息化一旦使用了這些方案就可以高枕無憂。許多企業盡管擁有了先進而昂貴的信息安全設備,但“政策”或“人”往往無法配合,產生了很大問題。正如在戰爭中人的因素是主因一樣,技術的提升如果不配以相關使用人員的意識提升,再好的盾牌也不會有太大的功效。
另一方面,由于互聯網的開放性,安全威脅會發生任何一個時間內,讓人防不勝防,沒有人能夠24 小時全年無休止地工作,除了別有用心的入侵者。僅僅將問題歸咎于信息部門人員,既不公平也無助于解決問題。賽門鐵克最新的互聯網安全威脅報告指出,威脅利用漏洞的速度越來越快,其擴散的速度也越來越快,往往超過了我們的響應速度。
2007年初,一個技術上并不十分先進僅靠著病毒作者“勤奮”的不斷推出新變種讓防毒軟件公司無法做到實時跟進的“熊貓燒香”病毒竟然讓一些大型網站的網頁都一度感染上病毒,這證明了在國內的企業信息化領域內,安全遠不僅僅是一個技術問題。因此,要真正地防御這些問題,保障關鍵數據的安全性,必須要做到信息保障制度、技術、人員意識三者的有機結合。
在安全制度建設方面,我國已于2006年制定并頒布了最新國家標準GBT 20269-2006標準,規定了信息系統的安全的管理要求,而GBT 20272-2006 和GBT 20273-2006分別提出了數據庫管理系統和操作系統的安全要求。
遵循這些新標準從管理、技術、法律上建立一組完善的信息安全等級保護制度和信息安全測評、信息安全報告制度,從制度對數據安全進行保障是必不可少的一步,也是基礎性的一步。
在信息安全的所有相關因素中,人是最活躍的因素。技術和制度都必須有人才能進行落實,人特別是內部員工既可以是對信息系統的最大潛在威脅,也可以是最可靠的安全防線。
對人的管理包括信息安全法律法規與安全政策的約束,培養人員的安全意識,通過各種技術培訓人的安全技能。只有完成了這步工作,各項安全工作的開展才有了基本的動力。從技術上來看,建立縱深防御是近年來發展起來的一個嶄新的安全思想,它的精髓在于不把安全簡單依賴于某種單一技術如防火墻。
而是從各個層面中根據信息資產保護的不同等級來保障信息與信息系統的安全,實現預警、保護、檢測、反應和恢復這五個安全內容。建立一個有效、可行的企業數據安全體系必須在企業信息化建設的初期就充分考慮網絡上存在的安全威脅,然后充分利用各種現有的技術,在網絡關口、關鍵主機、內部網絡、審計等各個層次上建立起一系列縱深的安全保證系統,確保在某一種技術失效的情況仍能發現潛在的入侵,保護數據的安全。
通過建立起數據備份、自動恢復等措施保證系統的正常運行。
通過數據加密等手段保證數據不被非法讀取。通過這些技術的結合,為企業信息化的數據安全提供堅實的保證。
雖然有人悲觀地預言由于安全性問題將導致互聯網的最終消失,然而互聯網給企業信息化所帶來的巨大收益仍能使人樂觀地相信,通過各方面的努力,我們仍有能力將數據安全威脅控制在可接受的范圍內,從而打贏這場戰爭。
篇9
關注趨勢旨在為大家在前進的道路上找到風向標,并且啟發思維。關注趨勢的另一個收益是去衡量和知曉行業發展的階段,隨著醫療信息化發展的步伐不斷邁進,當下的我們已經走到了信息技術的深度應用時期。
聚焦自身
2014年是全面深化上海醫改、促進內涵發展的關鍵之年,是推進上海衛生信息化建設更好地配合醫改、配合公立醫院改革的關鍵之年。因此,上海衛生信息化在完成既定規劃建設任務同時,個人認為將會重點做好以下幾方面工作。
1.在完善健康信息網建設同時,重點推進綜合管理平臺建設與應用。
“上海健康信息網”已完成市區兩級平臺、醫聯擴容、對外門戶和公共衛生相關業務內容建設。目前,健康檔案數據庫已建立3000萬份動態健康檔案;電子病歷數據庫已采集近40億條個人診療記錄(截至2013年底),每天新增1600萬條診療記錄;在公共衛生領域,實現了五大疾病和死亡報告在試點區和市疾控中心的三級聯動;在社區衛生服務領域,實現了全面的基層信息標準化改造;在醫院體系,實現了醫生工作站的全面覆蓋。
2014年,為了配合《上海市公立醫院改革三年行動計劃》的實施,將會重點推進市區二級綜合管理平臺的建設和應用,通過從生產性應用系統直接采集數據,并加強數據的綜合利用和分析,逐步實現衛生全行業動態化、精細化管理,促進管理模式的轉變,進一步增強政府監管能力以及醫改政策落實的導向力,使相關數據在支撐綜合決策過程中,成為政府落實監管目標最直接、有效的作用力。
綜合管理平臺建設,在市區二級的整體架構下,通過整合市級健康網和區縣衛生信息平臺數據,全市將逐步形成互聯互通的市區二級綜合信息管理體系,加強醫療公共監管,完善政府財政投入機制,優化醫療機構的績效評價與薪酬總額核定機制,以實現政府對深化醫藥衛生體制改革落實情況的實時監測、宏觀調控和科學決策的目標。
2.在醫院自評基礎上,全面推進二級以上醫院電子病歷應用水平分級評估工作。
經過多年應用探索,上海市電子病歷應用水平得到明顯提升,主要表現為:所有醫療機構已建成并已運行支撐開展電子病歷應用的主要臨床信息系統;通過各醫療機構自查,本市醫療機構已實現的業務信息系統功能與衛生部現制定的功能規范通過調研結果比對,符合率達到70%左右;電子醫囑功能已全部實現;90%以上機構已基本實現醫療信息數據上傳(市級數據平臺)和實現醫療安全提示。目前,我們正在建立并逐步完善市級醫療衛生數據平臺的基礎上,探索開發建立醫療質量監管系統、抗菌素合理應用監管系統、權威的集中式開放式醫學知識庫服務平臺,更好地支持電子病歷應用。
2014年我們的工作重點,將在國家衛生計生委制定的電子病歷應用水平分級評估標準的框架下,結合上海應用實踐,開展上海地區醫院的電子病歷應用水平分級評估工作,“以評促建”,通過全面推動電子病歷的應用,大幅提升醫院的管理、服務水平,并將電子病歷應用水平分級評估結果納入對單位的年度考核指標之中。
3.在持續多年開展醫院信息安全測評基礎上,完成三級醫療機構、區縣級區域平臺信息安全等保測評工作。
2014年起,我們將在全面定級備案的基礎上,完成三級醫療機構、區縣級區域平臺信息安全等保測評工作,并將是否按要求通過三級等保測評納入對單位的年度考核指標之中。
4.在應用調研基礎上,積極開展醫院信息集成平臺建設、應用的探索。
在醫療衛生領域中,盡管醫院信息化發展較快、應用較好、覆蓋較全,但由于自主式、探索性發展的歷史原因,缺少信息資源規劃,缺乏頂層設計,尤其,隨著應用的不斷拓展和區域醫療業務協同的需求,原有架構的不科學、不合理性逐步顯現,生產性業務系統的數據顆粒度不細,數據項不全,系統間數據不一致,造成數據難以更好的利用,醫院信息化進一步發展遇到了技術難題。
事實使大家認識到:原來的基礎架構已不適應現在的應用需求,醫院信息集成平臺建設已刻不容緩,這是提高醫院信息化應用水平的必經之路,必要任務;雖然市面上,目前還沒有比較成熟的方案和產品,但對集成平臺將實現的基本目標有了比較一致的看法,這就是至少包括 “四大整合”(系統整合、數據整合、門戶整合、資源整合);許多醫院和開發商已開始積極探索和嘗試醫院信息集成平臺建設。
2014年我們將會組織力量在應用調研基礎上,積極開展醫院信息集成平臺建設、應用的研究和探索,制定相關技術規范,為醫院信息化建設健康發展保駕護航。
2014年,我們醫院的工作重點主要集中在以下幾個方面:
(1)梳理醫院各項統計查詢指標,升級醫院統一查詢系統(類似BI的部分功能)。
其主要功能是:
? 將醫院所有的統計查詢需求按照“收費”、“工作負荷”、“醫療質量”、“物資/藥品消耗”、“醫保”、“績效”等大類別細化到每個統計點,每個統計點應當有固定的公式、文獻或文件支撐。
? 從統計指標庫中抽出單個項目,進行各種組合,以滿足醫院不同部門及不同層級人員的對數據統計的需求。
? 從工作數據庫的“鏡像”服務器上實時提取各項指標;月度、年度等指標從中間的數據倉庫提取。
出發點:醫院信息系統建設了很多,每個系統都自帶一部分統計查詢功能。但是由于關注點不同,統計周期和細節的差異,從不同系統中出來的數據經常不一致。現有的查詢系統也不能做到為不同部門和不同層級的人員做出個性化的定制。該項目主要是為醫院的管理和運營服務,主要服務對象是醫院管理人員及科室主任。
(2)基于移動終端的醫療應用――即“掌上醫院”。
主要功能是:以移動互聯網終端設備(主要為智能手機,支持iOS及Android操作系統)為載體的應用系統,主要目的是“最大程度地簡化就醫流程,實現高效、便捷、優質的醫療服務”。主要功能包括:預約掛號;取化驗單;健康宣教;叫號查詢;體檢預約;醫生在線以及面向醫院管理層的醫院運營信息的推送服務等。
出發點:“掌上醫院”是基于智能手機的應用,中國智能手機(可上網)用戶在2013年接近或超過5億。隨著3G乃至4G的發展,人們可以使用智能手機方便地完成各種原來由計算機完成的任務。通過手機提供支持醫療相關服務是一種趨勢(如通過手機銀行進行支付等)。該應用是醫院擴大影響力和吸引、保留高端用戶,提高自身競爭力的的重要手段。
(3)臨床信息系統相關數據的探索性應用,臨床科研數據集成平臺(包含隨訪功能)。
醫院建成了以電子病歷為核心的臨床信息系統,集成了PACS、LIS、心電圖、手術麻醉等各種臨床輔助系統,但是臨床數據的應用還未得到深入開展。結構化的電子病歷信息并沒有發揮出應有的作用。2014年,我們將從臨床科研設計開始,規范臨床數據的采集,提高臨床數據質量,并通過隨訪形成閉環的臨床科研數據,嘗試為臨床研究服務。
我院經過多年信息化基礎工作建設,信息系統建設從單一模式逐步向多元化模式轉變。2014 年計劃在全院范圍內開展的一系列移動醫療信息系統建設便是其中之一。我們應用高速寬帶無線接入技術實現醫院移動醫療。高速寬帶無線接入技術基于WAPI安全局域網組網技術,通過醫療智分零漫游解決方案,搭建覆蓋醫院全院的醫護內網和公眾服務外網,解決了目前醫院無線局域網在多種復雜應用場景下面臨的網絡體驗差的問題,能滿足用戶對無線局域網更大的帶寬更高的穩定性等需求。
我院移動醫療涵蓋了移動醫生查房(移動醫囑、移動電子病歷為核心)、移動護理(移動床旁系統)、移動影像、移動心電、移動物流系統、移動辦公系統、移動預約系統、移動急救系統、移動互聯網等。移動醫療從移動床旁系統的精確采集數據開始,到集中平臺應用,整個系統會使信息處理隨醫療過程同步進行,并為醫療過程提供實時數據信息。移動醫療在臨床中的作用是改善傳統醫療在時間和空間上的局限性,優化流程,更高效、更準確地處理病患。而對于醫院內部,隨著醫院的管理升級的需要與技術的逐步成熟,通過移動終端可以實時查看到科室的醫療質量、藥品采購與跟蹤、財務、人力、營銷等多方面管理,實現移動辦公。同時,在現有異源異構信息系統的基礎上,我院正在進行基于面向服務的開放架構,通過傳統有線應用系統和移動醫療系統,構建以臨床數據倉庫為核心的大型醫院信息集成平臺,實現來自不同廠商的HIS、LIS、RIS、CIS、HRP等的數據整合、信息共享、流程協同,并同步推進臨床信息化建設,通過電子病歷瀏覽器和醫生門戶實現全流程患者信息實時同步共享,為醫院信息化建設搭建起一個高可靠性、高擴展性、高安全性的基礎平臺架構。未來的移動醫療不僅僅局限于在醫院內向患者提供服務,也將不斷向院外延伸,使患者隨時隨地接受醫療咨詢和服務,它將不斷改變傳統醫療服務的模式,帶來新的醫療服務模式。
2014年醫院主要是完成新建院區的信息化建設,探索建立雙活數據中心,實現新區和院本部的信息共享,同時完成數字認證工作;按照居民健康卡技術標準指導銀醫卡建設,完善現有信息系統功能模塊建設。這樣做主要是貫徹執行中醫藥信息化建設標準和信息系統等級保護標準,滿足新區醫療、教學、科研管理需要,節約人力、物力和管理成本。
通過信息化建設,可以降低運行成本、提高效率、快捷服務,滿足人民群眾的衛生需要。隨著云南省居民健康卡在云南省腫瘤醫院試點,2014年云南省腫瘤醫院的信息化將從服務患者入手,在就診流程上進行優化,為患者就診提供滿意的體驗。2013年我院上線了ITIL服務管理系統,通過一段時間的摸索,2014年我們將把ITIL進一步細化KPI考核機制,激勵信息中心工作人員的積極性。2013年我院的BI已初步建成,隨著大數據時代的到來,2014年我們將對BI中的數據進行有效挖掘,使BI為醫院決策者提供更多有用的數據。我院已于2012年實現了全院WIFI無線覆蓋,BYOD已經成為了一種潮流,它使得辦公和生活的界限變得模糊,給辦公帶來更好的體驗。
2014年信息處將在廣東省中醫院創新驅動發展的核心理念指導下,在強化保障醫院信息系統安全、高效、穩定運行的前提下,在提升醫院核心能力、研究型醫院的建設等方面為醫院發展提供相應的支撐。
1.進一步推動醫院中醫特色與優勢的發揮,促進中醫藥臨床療效的提高。
通過臨床路徑信息系統、知識管理系統、名醫工作室系統、數據挖掘系統、流派網站等的不斷完善和推廣,用先進的信息技術促進中醫特色和優勢的發揮,促進中醫藥臨床療效的提高。
2.進一步提高醫療質量相關指標的監控,提高醫院的綜合管理能力。
通過BI系統的不斷深入,及時了解臨床醫療中存在的風險和各醫療業務的運營情況。在各核心業務系統整合的基礎上,完善非核心業務系統的整合,實現醫院整體的信息融合。
3.進一步提高對患者的服務水平和服務能力。
利用精益管理的手段和PDCA等方法,不斷發掘服務的改善點,通過自助收費、檢查體驗結果短信平臺、無線查房和無線護理等系統的不斷完善,進一步加快患者的就診流程,提升患者的就醫感受。
4.利用信息系統,不斷推進醫院科研的發展。
通過完善臨床一體化系統、慢病管理系統的不斷深入,加強信息化對醫院科研的支撐力度。通過數據挖掘隊伍、大數據研究和分析隊伍的建設,為醫院存儲研究和分析的力量。
5.不斷完善信息系統軟件架構和硬件架構,保障醫院信息安全。
在完成國家信息安全等級保護建設的基礎上,對現有軟件系統和硬件系統架構進行調整,從數據安全和系統運維安全上進一步強化,保障醫院信息系統的安全。在信息系統安全運行的基礎上,擴大對外的數據交互,實現與協作醫院、區域平臺的數據對接,支撐醫院的業務擴展。
熱議行業
大數據、云計算、物聯網、3D打印都會是2014年醫療行業的熱點。醫療行業經歷了近20年的信息化發展,隨著大數據時代的到來,對這近20年的數據進行有效的分析挖掘,將會是未來幾年的熱點。云時代的到來,虛擬化是必然的趨勢,服務器虛擬化、存儲虛擬化、網絡虛擬化和桌面虛擬化后還會有哪些虛擬化出現?醫療行業的物聯網幾年來一直是探索的方向,隨著可穿戴設備的出現,未來的醫療將向家庭發展,信息化將會為我們未來的健康提供有力的支撐。3D打印已經出現很多年了,2014年人體器官的3D打印將會越來越多。
在政策推動下,醫院集團化管理方面會在2014年快速發展,以往提的雙向轉診,大多情況是轉上來容易,轉回去難,隨著醫聯體、集團化的快速推進,這個問題會得到解決。
隨著大數據時代的悄然來臨,醫療行業的數據利用時代也開始走進了春天,過去的兩年里,很多醫院通過利用BI工具進行的數據展現,對醫院的管理起到輔助決策的作用。但在應用的深度和廣度上還遠遠不夠,新的一年里,隨著觀念的更新,技術的成熟,成本的降低,數據利用在醫院里的應用將會越來越廣泛。一旦醫院和公司在建立數據模型的人員方面有所突破,管理方面的分析便會越來越精細、臨床的挖掘也會越來越深入。
移動醫療相關系統全面鋪開。這兩年很多醫院已經開始試點移動醫療,2014年應該是移動查房、無線護理等系統全面鋪開的起始年,隨著醫護人員對移動技術的熟練使用,對移動醫療技術的新的需求也越來越多,移動醫療技術的需求驅動網絡安全技術的發展,未來的移動醫療技術將做到隨時隨地,醫生將能夠通過手機網絡隨時隨地查看患者信息,上級醫生能夠通過網絡隨時了解患者病情,指導下級醫生為患者提供更好的治療。
圖像融合技術開始進入。隨著影像類檢查設備的不斷增多,醫生對患者的診斷往往是通過多種檢查取得的,因此。通過對某一部位多幅源影像信息的有機融合,以獲得對某部位更準確、更全面和更可靠的診斷的技術2014年將會加入醫院信息系統行列,未來幾年將會得到更好的普及與發展。
我認為2014年的行業熱點有以下幾個方面。
大數據,且主要是大數據的利用。醫療系統與管理相關的大數據與其它行業區別不大。因此在國家或地區層面的醫療管理、醫保政策或者是傳染病監測等領域應當有所突破。但是涉及臨床信息的大數據與普通意義上的大數據有很大不同。循證醫學要求的高質量數據的粒度非常細,可以說是信息量密集的大數據領域,單純靠通用的大數據分析手段力不從心。
單個醫院內部的BI(Business Intelligence)系統。因為大多數醫院還是希望通過信息系統掌握醫院的運營,提高醫院管理決策水平。目前市場上有很多“比較成熟”的BI產品,但是說到底,BI是管理的變革。如果上BI,醫院的管理層需要首先做好對醫院管理進行改革的思想準備。
區域醫療信息共享及數據安全。隨著醫聯體和區域醫療的發展,對于醫聯體內部以及區域內的醫療機構,有共享檢查、檢驗結果以及病歷記錄的需求。同時數據的安全和授權訪問會成為一個需要重點考慮的問題。
多種醫保體系的歸并與統一。
2014年在政策的推動下會得到快速發展的有:電子病歷系統應用水平分級(在衛生部醫院管理研究所的推動下);醫保系統實時結算(在人力資源與社會保障部/廳/局以及社保中心的推動下);臨床試驗數據管理工作的標準化和正規化(在國家藥監局評審中心的推動下)。
從新技術的應用方面,2014年熱點主要集中在云計算、虛擬化、大數據、物聯網、3D打印等方面。有些技術已出現幾年了,現在到了該大面積推廣應用的程度,如虛擬化、云計算等;有些技術在醫療行業也可以明顯看到應用擴大的趨勢,如大數據和物聯網在醫療行業的應用等;有些技術可能在未來會在醫療行業有大的發展,如3D打印等。
從整體醫療行業的需求來看,數據的跨部門、跨地域交互與共享將是整合行業的熱點。這里面涉及的具體內容也將會是大家比較關心的問題,如數據交互標準、安全、隱私保護等。
根據國家衛生和計劃生育委員會和國家中醫藥管理局聯合的指導意見,結合我國各醫療機構信息化的現狀,2014年我國的醫療信息化建設將在以下幾個方面得到快速發展:
1.標準化方面的建設,如數據交互標準等;
2.信息化相關的規范和制度方面,如數據交互制度等;
3.信息安全防護體系方面的建設;
4.遠程會診、預約掛號、雙向轉診、健康咨詢等方面將會快速發展;
5.藥品管理系統的建設;
