導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全等級測評報告，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

商城縣公安局網(wǎng)監(jiān)大隊：

我院在接到貴單位發(fā)來的《信息系統(tǒng)安全等保限期整改通知書》后，院領(lǐng)導(dǎo)高度重視，責成信息科按照要求進行整改，現(xiàn)在整改情況報告如下。

一、我院網(wǎng)絡(luò)安全等級保護工作概況

根據(jù)上級主管部門和行業(yè)主管部門要求，我院高度重視并開展了網(wǎng)絡(luò)安全等級保護相關(guān)工作，工作內(nèi)容主要包含信息系統(tǒng)梳理、定級、備案、等級保護測評、安全建設(shè)整改等。我院目前運行的主要信息系統(tǒng)有：綜合業(yè)務(wù)信息系統(tǒng)。綜合業(yè)務(wù)信息系統(tǒng)是商城縣人民醫(yī)院核心醫(yī)療業(yè)務(wù)信息系統(tǒng)的集合，系統(tǒng)功能模塊主要包括醫(yī)院信息系統(tǒng)(HIS)、檢驗信息系統(tǒng)(LIS)、電子病歷系統(tǒng)(EMRS)、醫(yī)學(xué)影像信息系統(tǒng)(PACS)，其中醫(yī)院信息系統(tǒng)(HIS)、檢驗信息系統(tǒng)(LIS)、電子病歷系統(tǒng)(EMRS)由福建弘揚軟件股份有限公司開發(fā)建設(shè)并提供技術(shù)支持，醫(yī)學(xué)影像信息系統(tǒng)(PACS)由深圳中航信息科技產(chǎn)業(yè)股份有限公司開發(fā)建設(shè)并提供技術(shù)支持。

我院已于2018年11月完成了綜合業(yè)務(wù)信息系統(tǒng)的定級、備案、等級保護測評、專家評審等工作，系統(tǒng)安全保護等級為第二級（S2A2G2），等級保護測評機構(gòu)為河南天祺信息安全技術(shù)有限公司，等級保護測評結(jié)論為基本符合，綜合得分為76.02分。在測評過程中，信息科已根據(jù)測評人員建議對能夠立即整改的安全問題進行了整改，如：服務(wù)器安全加固、訪問控制策略調(diào)整、安裝防病毒軟件、增加安全產(chǎn)品等。目前我院正在進行門戶網(wǎng)站的網(wǎng)絡(luò)安全等級保護測評工作。

二、安全問題整改情況

此次整改報告中涉及到的信息系統(tǒng)安全問題是我院于2018年11月委托河南天祺公司對醫(yī)院信息系統(tǒng)進行測評反饋的內(nèi)容，主要包括應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器操作系統(tǒng)漏洞和Oracle漏洞等。針對應(yīng)用服務(wù)器系統(tǒng)漏洞，我院及時與安全公司進行溝通，溝通后通過關(guān)閉部分系統(tǒng)服務(wù)和端口，更新必要的系統(tǒng)升級包等措施進行了及時的處理。針對Oracle數(shù)據(jù)庫存在的安全漏洞問題，我們與安全公司和軟件廠商進行了溝通，我院HIS系統(tǒng)于2012年底投入使用，數(shù)據(jù)庫版本為Oracle 11g，投入運行時間較早，且部署于內(nèi)網(wǎng)環(huán)境中未及時進行漏洞修復(fù)。

經(jīng)過軟件開發(fā)廠商測試發(fā)現(xiàn)修復(fù)Oracle數(shù)據(jù)庫漏洞會影響HIS系統(tǒng)正常運行，并存在未知風(fēng)險，為了既保證信息系統(tǒng)安全穩(wěn)定運行又降低信息系統(tǒng)面臨的安全隱患，我們主要采取控制數(shù)據(jù)庫訪問權(quán)限，切斷與服務(wù)器不必要的連接、限制數(shù)據(jù)庫管理人員權(quán)限等措施來降低數(shù)據(jù)庫安全漏洞造成的風(fēng)險。具體措施為：第一由不同技術(shù)人員分別掌握數(shù)據(jù)庫服務(wù)器和數(shù)據(jù)庫的管理權(quán)限；第二數(shù)據(jù)庫服務(wù)器僅允許有業(yè)務(wù)需求的應(yīng)用服務(wù)器連接，日常管理數(shù)據(jù)庫采用本地管理方式，數(shù)據(jù)庫不對外提供遠程訪問；第三對數(shù)據(jù)庫進行了安全加固，設(shè)置了強密碼、開啟了日志審計功能、禁用了數(shù)據(jù)庫默認用戶等。

我院高度重視網(wǎng)絡(luò)安全工作，醫(yī)院網(wǎng)絡(luò)中先后配備了防火墻、防毒墻、入侵防御、網(wǎng)絡(luò)版殺毒軟件、桌面終端管理等安全產(chǎn)品，并正在采購網(wǎng)閘、堡壘機、日志審計等安全產(chǎn)品，同時組建了醫(yī)院網(wǎng)絡(luò)安全小組，由三名技術(shù)人員負責網(wǎng)絡(luò)安全管理工作，使我院網(wǎng)絡(luò)安全管理水平大幅提升。

“沒有網(wǎng)絡(luò)安全，就沒有國家安全”。作為全縣醫(yī)療救治中心，醫(yī)院始終把信息網(wǎng)絡(luò)安全和醫(yī)療安全放在首位，不斷緊跟醫(yī)院發(fā)展和形勢需要，科學(xué)有效的推進網(wǎng)絡(luò)安全建設(shè)工作，并接受各級主管部門的監(jiān)督和管理。

篇2

1 廈門港集裝箱智慧物流平臺概述

廈門港集裝箱智慧物流平臺是廈門港務(wù)控股集團有限公司為適應(yīng)港口物流業(yè)轉(zhuǎn)型升級的需要，利用移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等技術(shù)，以打造港口物流數(shù)字化、智能化生態(tài)系統(tǒng)，實現(xiàn)物流信息的高效、便捷共享為目的所建立的集裝箱物流信息服務(wù)平臺。該平臺以一次錄入、全流程共享為特色，集合全港集裝箱進出口流程，涵蓋貨代、船代、堆場、集卡、碼頭以及“一關(guān)三檢”等各節(jié)點的有效數(shù)據(jù)，實現(xiàn)集裝箱設(shè)備交接的電子化、智能化，并支持集卡運輸企業(yè)對集卡的指揮、調(diào)度功能。

廈門港集裝箱智慧物流平臺的主要功能如下：（1）報文平臺功能，連接船代、車隊、堆場、碼頭各方，實現(xiàn)集裝箱設(shè)備交接單數(shù)據(jù)的實時共享；（2）接口平臺功能，向堆場、車隊、碼頭提供統(tǒng)一的數(shù)據(jù)接口，對接信息化管理下的堆場、車隊和碼頭，實現(xiàn)各環(huán)節(jié)物流信息的實時更新；（3）互聯(lián)網(wǎng)平臺功能，實現(xiàn)車隊、集卡、司機信息備案管理，為車隊提供調(diào)度派單功能，為堆場提供數(shù)據(jù)更新功能，為碼頭提供數(shù)據(jù)查詢、統(tǒng)計分析等功能；（4）移動應(yīng)用平臺功能，開發(fā)支持Android和iOS系統(tǒng)的手機應(yīng)用程序，為車隊提供手機派單、查詢追蹤等功能，為司機提供手機接單、預(yù)約等功能，為堆場提供拍照驗箱功能，并為用戶提供數(shù)據(jù)查詢服務(wù)。

2 廈門港集裝箱智慧物流平臺安全策略

規(guī)劃

（1）管理安全 管理安全是安全策略中十分重要的環(huán)節(jié)。管理安全策略涉及安全組織機構(gòu)、安全管理制度、安全培訓(xùn)、安全意識教育等，以實現(xiàn)對維護人員、技術(shù)支持人員、管理人員、開發(fā)人員的權(quán)限控制、口令保密、審計跟蹤等安全管控為目標。

（2）物理安全 物理安全涉及基礎(chǔ)設(shè)施、環(huán)境、設(shè)備、電磁屏蔽等方面的安全控制，為平臺部署提供防災(zāi)、防震、防干擾、防輻射等物理安全保障以及雙機熱備、鏈路冗余等安全策略規(guī)劃。

（3）網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全包括內(nèi)外網(wǎng)區(qū)域隔離、不同網(wǎng)段應(yīng)用訪問控制或隔離、虛擬專用網(wǎng)絡(luò)登錄、鏈路均衡負載、防火墻、防篡改等網(wǎng)絡(luò)安全策略。

（4）系統(tǒng)安全 保障操作系統(tǒng)和數(shù)據(jù)庫安全，定期掃描發(fā)現(xiàn)并修復(fù)漏洞和隱患，關(guān)閉不必要的服務(wù)、端口、協(xié)議等。

（5）應(yīng)用安全 確保集裝箱智慧物流平臺的各項應(yīng)用功能連續(xù)、可靠運行，支持功能模塊擴展、用戶擴容需要，使平臺升級更新不影響正常業(yè)務(wù)運行。

（6）運營安全 對集裝箱智慧物流平臺實施動態(tài)保護，并在系統(tǒng)運行中實現(xiàn)信息和數(shù)據(jù)的恢復(fù)；采用上網(wǎng)行為控制、網(wǎng)絡(luò)管理、防病毒、入侵防護、抗拒絕服務(wù)等手段監(jiān)控網(wǎng)絡(luò)運行及流量；制訂應(yīng)急計劃和策略，實現(xiàn)突發(fā)事件的異地備份和恢復(fù)。

（7）密鑰安全 密鑰管理處理密鑰自產(chǎn)生到最終銷毀整個過程中的所有問題，包括系統(tǒng)初始化以及密鑰的產(chǎn)生、存儲、備份（或裝入）、分配、保護、更新、控制、丟失、吊銷和銷毀等。通過制定密鑰管理制度，對密鑰實施完整而周密的管理。

（8）數(shù)據(jù)和信息安全 通過數(shù)據(jù)庫審計等手段對數(shù)據(jù)的訪問活動進行跟蹤記錄，確保數(shù)據(jù)的完整性、保密性、可用性和不可否認性，涉及數(shù)據(jù)加密、完整性校驗、數(shù)據(jù)備份、數(shù)字簽名等。

3 廈門港集裝箱智慧物流平臺安全策略的

實施情況

3.1 建設(shè)互為災(zāi)備的高可靠性綠色節(jié)能雙機房

在廈門島內(nèi)和島外分別選址建設(shè)B類標準整體機房（見圖1），實現(xiàn)區(qū)域中心機房的互為災(zāi)備和恢復(fù)。主機房采用先進、節(jié)能、高效、集約的密封冷通道模塊化架構(gòu)設(shè)計，部署安防監(jiān)控、泄露檢測、消防報警、自動滅火和場地監(jiān)控等系統(tǒng)，保證機房的溫度、濕度、潔凈度、照度、防靜電、防干擾、防震動、防雷電、實時監(jiān)控等，以確保計算機設(shè)備安全、可靠運行，延長計算機系統(tǒng)使用壽命。

3.2 部署安全防護體系

如圖2所示：分別接入電信、聯(lián)通、移動等運營商寬帶，通過負載均衡設(shè)備實現(xiàn)鏈路冗余；部署防篡改、抗拒絕服務(wù)、防病毒、防火墻、入侵防護等安全防護系統(tǒng)；通過上網(wǎng)行為控制設(shè)備規(guī)范上網(wǎng)行為，由網(wǎng)絡(luò)管理軟件監(jiān)控設(shè)備運行狀況，由堡壘機監(jiān)控技術(shù)人員操作行為，由數(shù)據(jù)庫審計保障數(shù)據(jù)安全，形成強大的安全防護堡壘。

3.3 制定安全管理制度

安全管理制度涉及中心機房管理制度、網(wǎng)絡(luò)管理制度、信息系統(tǒng)建設(shè)管理辦法、信息系統(tǒng)運維管理辦法、信息安全處理預(yù)案等。在制定安全管理制度的基礎(chǔ)上，嚴格按照制度定期檢查、落整改和定期演練，并及時跟蹤機房運行狀況，每月編制運行報告。

3.4 開展信息安全等級保護工作

信息安全等級保護工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查等內(nèi)容。一般情況下，委托有資質(zhì)的第三方機構(gòu)確定信息安全保護等級。根據(jù)平臺的業(yè)務(wù)信息和系統(tǒng)服務(wù)描述、系統(tǒng)服務(wù)受到破壞時所侵害客體以及系統(tǒng)服務(wù)受到破壞后對侵害客體的侵害程度，按照GB 17859D1999《計算機信息系統(tǒng)安全保護等級劃分準則》和GB/T 22240D2008《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》等，確定廈門港集裝箱智慧物流平臺的業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級均為第二級，最終確定其安全保護等級為第二級。確定保護等級后，按照規(guī)定，向公安機關(guān)備案。在等級測評過程中，對測評發(fā)現(xiàn)的問題及時加以整改，確保信息平臺安全防護滿足要求。

4 結(jié)束語

篇3

關(guān)鍵詞：信息安全；技術(shù)架構(gòu)；保障體系

1基本情況

中國建材集團核心機房按照國家信息安全等級保護三級標準部署網(wǎng)絡(luò)及安全防護設(shè)備，網(wǎng)絡(luò)主干為雙鏈路結(jié)構(gòu)，采用電信+聯(lián)通專線入網(wǎng),具備冗余性，滿足業(yè)務(wù)高峰期需求，2臺網(wǎng)絡(luò)核心交換機構(gòu)成雙機熱備，用于連接網(wǎng)絡(luò)邊界區(qū)域、服務(wù)器區(qū)域、樓層等各個區(qū)域。機房內(nèi)，各區(qū)域之間部署防火墻進行訪問控制,網(wǎng)絡(luò)邊界部署防病毒網(wǎng)關(guān)、IPS入侵防御系統(tǒng)等安全設(shè)備對來自Internet的攻擊行為進行防護,服務(wù)器區(qū)域部署入侵檢測系統(tǒng)，核心交換機上部署網(wǎng)絡(luò)審計系統(tǒng)以及審計服務(wù)器，對網(wǎng)絡(luò)行為進行審計，辦公網(wǎng)絡(luò)部署上網(wǎng)行為管理，規(guī)避網(wǎng)絡(luò)違法違規(guī)風(fēng)險，強化內(nèi)網(wǎng)安全率。門戶網(wǎng)站及電子郵箱系統(tǒng)的安全防護體系按照中央企業(yè)網(wǎng)絡(luò)與信息安全防護標準進行設(shè)計和部署，并依據(jù)國資監(jiān)管網(wǎng)規(guī)劃方案建設(shè)了一套專網(wǎng)專機分散部署的非信息系統(tǒng)。主要業(yè)務(wù)管理信息系統(tǒng)按照國家信息安全等級保護二級進行定級，重點信息系統(tǒng)達到國家信息安全等級保護三級管理標準，核心機房內(nèi)獨立運行的信息系統(tǒng)全部滿足公安部對中央企業(yè)信息系統(tǒng)安全等級保護要求。同時定期組織內(nèi)、外部專業(yè)技術(shù)力量開展信息安全檢查、信息系統(tǒng)安全測評、信息系統(tǒng)等級保護備案以及信息安全培訓(xùn)工作，確保信息系統(tǒng)和門戶網(wǎng)站運行穩(wěn)定，安全監(jiān)控到位，杜絕發(fā)生安全責任事故。

2技術(shù)體系架構(gòu)

中國建材集團嚴格按照《信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》和《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》設(shè)計、采購和部署符合等級保護基本要求的安全產(chǎn)品，從安全計算環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全管理中心等方面構(gòu)建起有效的安全技術(shù)保障體系。根據(jù)實際業(yè)務(wù)情況，將網(wǎng)絡(luò)劃分Internet接入?yún)^(qū)、DMZ區(qū)、辦公區(qū)、安全管理區(qū)、核心交換區(qū)、業(yè)務(wù)服務(wù)區(qū)共計6個安全區(qū)域，并根據(jù)業(yè)務(wù)系統(tǒng)的要求進行安全區(qū)域合理性劃分，各區(qū)域到核心交換機之間為獨立線路連接，數(shù)據(jù)處理系統(tǒng)以單機模式部署，同時按照安全風(fēng)險和安全策略，具體從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全進行信息安全控制。物理安全。核心機房依據(jù)國家標準GB50173－93《電子計算機機房設(shè)計規(guī)范》、GB2887－89《計算站場地技術(shù)條件》、GB9361－88《計算站場地安全要求》,從環(huán)境安全、設(shè)備安全和媒體安全三個方面進行詳細設(shè)計，嚴格按照計算機等各種微機電子設(shè)備和工作人員對溫度、濕度、潔凈度、電磁場強度、噪音干擾、安全保安、電源質(zhì)量、備用電力、振動、防漏、防火、防雷和接地等要求建設(shè)，以此保證計算機信息系統(tǒng)各種設(shè)備的物理環(huán)境安全，同時采用有效的區(qū)域監(jiān)控、防盜報警系統(tǒng)，阻止非法用戶的各種臨近攻擊。網(wǎng)絡(luò)安全。網(wǎng)絡(luò)主干采用雙鏈路結(jié)構(gòu)，考慮業(yè)務(wù)處理能力的數(shù)據(jù)流量，冗余空間充分滿足高峰期需要，并根據(jù)業(yè)務(wù)系統(tǒng)服務(wù)的重要次序定義帶寬分配的優(yōu)先級。合理規(guī)劃路由，業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑保證網(wǎng)絡(luò)結(jié)構(gòu)安全。網(wǎng)絡(luò)區(qū)域邊界之間部署防火墻安全設(shè)備，制定嚴格的安全策略實現(xiàn)內(nèi)外網(wǎng)絡(luò)和內(nèi)網(wǎng)不同信任域之間的隔離與訪問控制，服務(wù)器區(qū)域部署防病毒網(wǎng)關(guān)來攔截病毒、檢測病毒和殺毒，保護操作系統(tǒng)安全穩(wěn)定。應(yīng)用IPS入侵防御系統(tǒng)實時監(jiān)控進出網(wǎng)段的所有操作行為從而防止針對網(wǎng)絡(luò)的惡意攻擊行為，同時以滿足國家等級保護二級標準要求，通過人工加固的方式對網(wǎng)絡(luò)安全設(shè)備進行配置加固，實現(xiàn)包括身份鑒別、訪問控制、安全審計等多個方面的安全技術(shù)要求。主機安全。部署防火墻、入侵檢測、防病毒網(wǎng)關(guān)和漏洞掃描等安全產(chǎn)品進行被動主機安全防護，同時根據(jù)國家信息安全等級保護二級標準，為系統(tǒng)信息交換的主客體分別加安全標記，制約了操作系統(tǒng)原有的自主訪問控制策略（DAC），達到了強制訪問控制（MAC)，對服務(wù)器進行安全加固配置，進行資源監(jiān)控、監(jiān)測報警，避免服務(wù)器自身的安全漏洞被攻擊者利用，實現(xiàn)統(tǒng)一管理的主機安全防護。應(yīng)用安全。應(yīng)用網(wǎng)絡(luò)設(shè)備和安全設(shè)備自身審計功能，對設(shè)備管理日志、設(shè)備狀態(tài)日志、用戶登錄行為等進行審計。核心交換機上部署網(wǎng)絡(luò)審計系統(tǒng)和審計服務(wù)器，辦公網(wǎng)絡(luò)部署上網(wǎng)行為管理，對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量等進行日志記錄，同時應(yīng)用服務(wù)器不開放遠程協(xié)議端口號。系統(tǒng)全部采用正版WindowsServer2008和LinuxAS5操作系統(tǒng)并進行必要的安全配置、關(guān)閉非常用安全隱患的應(yīng)用、對一些保存有用戶信息及其口令的關(guān)鍵文件（如WindowsNT下的LMHOST、SAM等）使用權(quán)限進行嚴格限制。加強口令字的使用，并定期給系統(tǒng)打補丁、系統(tǒng)內(nèi)部的相互調(diào)用不對外公開，同時通過配備漏洞掃描系統(tǒng)，并有針對性地對網(wǎng)絡(luò)設(shè)備重新配置和升級。數(shù)據(jù)安全。數(shù)據(jù)庫系統(tǒng)全部購買有效授權(quán)，采取數(shù)據(jù)庫系統(tǒng)強口令、登錄失敗次數(shù)、操作超時等方式實現(xiàn)數(shù)據(jù)庫系統(tǒng)對身份鑒別、訪問控制要求，采用技術(shù)手段防止用戶否認其數(shù)據(jù)發(fā)送和接收行為，為數(shù)據(jù)收發(fā)雙方提供證據(jù)。應(yīng)用系統(tǒng)針對數(shù)據(jù)存儲開發(fā)加密功能實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸完整性和保密性。同時建立熱備和冷備結(jié)合的數(shù)據(jù)備份系統(tǒng)，保證在安全事件發(fā)生后及時有效地進行重要數(shù)據(jù)恢復(fù)。

3保障措施

篇4

關(guān)鍵詞：電力營銷；網(wǎng)絡(luò)安全；安全建設(shè)；安全管理

1 引言

營銷業(yè)務(wù)作為“SG186”工程的業(yè)務(wù)系統(tǒng)之一，應(yīng)用上涵蓋了新裝增容及變更用電、資產(chǎn)管理、計量點管理、抄表管理、核算管理、電費收繳、帳務(wù)管理、用電檢查管理、95598業(yè)務(wù)等領(lǐng)域，需要7×24小時不間斷、安全可靠運行的保障[1]。因此在遵循國家電網(wǎng)公司“SG186”工程的建設(shè)標準和信息網(wǎng)絡(luò)等級保護要求的基礎(chǔ)上，結(jié)合營銷關(guān)鍵業(yè)務(wù)應(yīng)用，加強信息安全防護，保障營銷系統(tǒng)網(wǎng)絡(luò)的安全運行。本文針對新疆電力營銷系統(tǒng)的現(xiàn)狀，給出了一種多層次的安全防護方案，對保障營銷系統(tǒng)網(wǎng)絡(luò)穩(wěn)定運行，保護用戶信息安全，傳輸安全、存儲安全和有效安全管理方面給出了建設(shè)意見。

2 新疆營銷網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀

新疆電力營銷業(yè)務(wù)應(yīng)用經(jīng)過了多年的建設(shè)，目前大部分地區(qū)在業(yè)擴報裝、電費計算、客戶服務(wù)等方面的營銷信息化都基本達到實用化程度，在客戶服務(wù)層、業(yè)務(wù)處理層、管理監(jiān)控層三個層次上實現(xiàn)了相應(yīng)的基本功能。結(jié)合新疆電力公司的實際情況，主要分析了管理現(xiàn)狀和網(wǎng)絡(luò)現(xiàn)狀。

2.1 管理現(xiàn)狀

根據(jù)公司總部提出的“集團化運作、集約化發(fā)展、精細化管理”的工作思路，從管理的需求上來說，數(shù)據(jù)越集中，管理的力度越細，越能夠達到精細化的管理的要求。但由于目前各地市公司的管理水平現(xiàn)狀、IT現(xiàn)狀、人員現(xiàn)狀等制約因素的限制，不可能使各地市公司的管理都能夠一步到位，尤其是邊遠地區(qū)。因此，營銷業(yè)務(wù)應(yīng)用管理在基于現(xiàn)狀的基礎(chǔ)上逐步推進。根據(jù)對當前各地市公司的營銷管理現(xiàn)狀和管理目標需求的分析，管理現(xiàn)狀可分為如下三類：實時化、精細化管理；準實時、可控的管理；非實時、粗放式管理。目前大部分管理集中在第二類和第三類。

2.2 網(wǎng)絡(luò)現(xiàn)狀

網(wǎng)絡(luò)建設(shè)水平將直接影響營銷業(yè)務(wù)應(yīng)用的系統(tǒng)架構(gòu)部署，目前新疆公司信息網(wǎng)已經(jīng)形成，實現(xiàn)了公司總部到網(wǎng)省公司、網(wǎng)省公司本部到下屬地市公司的信息網(wǎng)絡(luò)互連互通，但是各地市公司在地市公司到下屬基層供電單位的之間的信息網(wǎng)絡(luò)建設(shè)情況差別較大，部分地市公司已經(jīng)全部建成光纖網(wǎng)絡(luò)，并且有相應(yīng)的備用通道，能夠滿足實時通信的要求，部分地市公司通過租用專線方式等實現(xiàn)連接，還有一些地市公司由于受地域條件的限制，尚存在一些信息網(wǎng)絡(luò)無法到達的地方，對大批量、實時的數(shù)據(jù)傳輸要求無法有效保證，通道的可靠性相對較差。

2.3 需求分析

營銷業(yè)務(wù)系統(tǒng)通常部署在國家電網(wǎng)公司內(nèi)部信息網(wǎng)絡(luò)的核心機房，為國家電網(wǎng)公司內(nèi)部信息網(wǎng)絡(luò)和國家電網(wǎng)公司外部信息網(wǎng)絡(luò)的用戶提供相關(guān)業(yè)務(wù)支持。該網(wǎng)絡(luò)涉及業(yè)務(wù)工作和業(yè)務(wù)應(yīng)用環(huán)境復(fù)雜，與外部/內(nèi)部單位之間存在大量敏感數(shù)據(jù)交換，使用人員涵蓋國家電網(wǎng)公司內(nèi)部人員，外部廠商人員，公網(wǎng)用戶等。因此，在網(wǎng)絡(luò)身份認證、數(shù)據(jù)存儲、網(wǎng)絡(luò)邊界防護與管理等層面上都有很高的安全需求。[2]

3 關(guān)鍵技術(shù)和架構(gòu)

3.1 安全防護體系架構(gòu)

營銷網(wǎng)絡(luò)系統(tǒng)安全防護體系的總體目標是保障營銷系統(tǒng)安全有序的運行，規(guī)范國家電網(wǎng)公司內(nèi)部信息網(wǎng)員工和外部信息網(wǎng)用戶的行為，對違規(guī)行為進行報警和處理。營銷網(wǎng)絡(luò)系統(tǒng)安全防護體系由3個系統(tǒng)（3維度）接入終端安全、數(shù)據(jù)傳輸安全和應(yīng)用系統(tǒng)安全三個方面內(nèi)容，以及其多個子系統(tǒng)組成，其體系結(jié)構(gòu)如圖1所示。

圖1 營銷系統(tǒng)安全防護總體防護架構(gòu)

3.2 接入終端安全

接入營銷網(wǎng)的智能終端形式多樣，包括PC終端、智能電表和移動售電終端等。面臨協(xié)議不統(tǒng)一，更新?lián)Q代快，網(wǎng)絡(luò)攻擊日新月異，黑客利用安全漏洞的速度越來越快，形式越來越隱蔽等安全問題。傳統(tǒng)的基于特征碼被動防護的反病毒軟件遠遠不能滿足需求。需要加強終端的安全改造和監(jiān)管，建立完善的認證、準入和監(jiān)管機制，對違規(guī)行為及時報警、處理和備案，減小終端接入給系統(tǒng)帶來的安全隱患。

3.3 數(shù)據(jù)傳輸安全

傳統(tǒng)的數(shù)據(jù)傳輸未采取加密和完整性校驗等保護措施，電力營銷數(shù)據(jù)涉及國家電網(wǎng)公司和用戶信息，安全等級較高，需要更有效的手段消除數(shù)據(jù)泄露、非法篡改信息等風(fēng)險。

市場上常見的安全網(wǎng)關(guān)、防火墻、漏洞檢測設(shè)備等，都具有數(shù)據(jù)加密傳輸?shù)墓δ?，能夠有效保證數(shù)據(jù)傳輸?shù)陌踩浴５珒H僅依靠安全設(shè)備來保證數(shù)據(jù)通道的安全也是不夠的。一旦設(shè)備被穿透，將可能造成營銷系統(tǒng)數(shù)據(jù)和用戶信息的泄露。除此之外，還需要采用更加安全可靠的協(xié)議和通信通道保證數(shù)據(jù)通信的安全。

3.4 應(yīng)用系統(tǒng)安全

目前營銷系統(tǒng)已經(jīng)具有針對應(yīng)用層的基于對象權(quán)限和用戶角色概念的認證和授權(quán)機制，但是這種機制還不能在網(wǎng)絡(luò)層及以下層對接入用戶進行細粒度的身份認證和訪問控制，營銷系統(tǒng)仍然面臨著安全風(fēng)險。增強網(wǎng)絡(luò)層及以下層，比如接入層、鏈路層等的細粒度訪問控制，從而提高應(yīng)用系統(tǒng)的安全性。

4 安全建設(shè)

營銷系統(tǒng)安全建設(shè)涉及安全網(wǎng)絡(luò)安全、主機操作系統(tǒng)安全、數(shù)據(jù)庫安全、應(yīng)用安全以及終端安全幾個層面的安全防護方案，用以解決營銷系統(tǒng)網(wǎng)絡(luò)安全目前存在的主要問題。

4.1 終端安全加固

終端作為營銷系統(tǒng)使用操作的發(fā)起設(shè)備，其安全性直接關(guān)系到數(shù)據(jù)傳輸?shù)陌踩酥羶?nèi)網(wǎng)應(yīng)用系統(tǒng)的安全。終端不僅是創(chuàng)建和存放重要數(shù)據(jù)的源頭，而且是攻擊事件、數(shù)據(jù)泄密和病毒感染的源頭。這需要加強終端自身的安全防護策略的制定，定期檢測被攻擊的風(fēng)險，對安全漏洞甚至病毒及時處理。對終端設(shè)備進行完善的身份認證和權(quán)限管理，限制和阻止非授權(quán)訪問、濫用、破壞行為。

目前公司主要的接入終端有PC、PDA、無線表計、配變檢測設(shè)備、應(yīng)急指揮車等。由于不同終端采用的操作系統(tǒng)不同，安全防護要求和措施也不同，甚至需要根據(jù)不同的終端定制相應(yīng)的安全模塊和安全策略，主要包括：針對不同終端（定制）的操作系統(tǒng)底層改造加固；終端接入前下載安裝可信任插件；采用兩種以上認證技術(shù)驗證用戶身份；嚴格按權(quán)限限制用戶的訪問；安裝安全通信模塊，保障加密通訊及連接；安裝監(jiān)控系統(tǒng)，監(jiān)控終端操作行為；安裝加密卡/認證卡，如USBKEY/PCMCIA/ TF卡等。

4.2 網(wǎng)絡(luò)環(huán)境安全

網(wǎng)絡(luò)環(huán)境安全防護是針對網(wǎng)絡(luò)的軟硬件環(huán)境、網(wǎng)絡(luò)內(nèi)的信息傳輸情況以及網(wǎng)絡(luò)自身邊界的安全狀況進行安全防護。確保軟硬件設(shè)備整體在營銷網(wǎng)絡(luò)系統(tǒng)中安全有效工作。

4.2.1 網(wǎng)絡(luò)設(shè)備安全

網(wǎng)絡(luò)設(shè)備安全包括國家電網(wǎng)公司信息內(nèi)、外網(wǎng)營銷管理系統(tǒng)域中的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全防護。主要防護措施包括，對網(wǎng)絡(luò)設(shè)備進行加固，及時安裝殺毒軟件和補丁，定期更新弱點掃描系統(tǒng)，并對掃描出的弱點及時進行處理。采用身份認證、IP、MAC地址控制外來設(shè)備的接入安全，采用較為安全的SSH、HTTPS等進行遠程管理。對網(wǎng)絡(luò)設(shè)備配置文件進行備份。對網(wǎng)絡(luò)設(shè)備安全事件進行定期或?qū)崟r審計。采用硬件雙機、冗余備份等方式保證關(guān)鍵網(wǎng)絡(luò)及設(shè)備正常安全工作，保證營銷管理系統(tǒng)域中的關(guān)鍵網(wǎng)絡(luò)鏈路冗余。

4.2.2 網(wǎng)絡(luò)傳輸安全

營銷系統(tǒng)數(shù)據(jù)經(jīng)由網(wǎng)絡(luò)傳輸時可能會被截獲、篡改、刪除，因此應(yīng)當建立安全的通信傳輸網(wǎng)絡(luò)以保證網(wǎng)絡(luò)信息的安全傳輸。

在非邊遠地方建立專用的電力通信網(wǎng)絡(luò)方便營銷系統(tǒng)的用戶安全使用、在邊遠的沒有覆蓋電力局和供電營業(yè)所的地方，采用建立GPRS、GSM，3G專線或租用運營商ADSL、ISDN網(wǎng)絡(luò)專網(wǎng)專用的方式，保障電力通信安全。

電力營銷技術(shù)系統(tǒng)與各個銀行網(wǎng)上銀行、郵政儲蓄網(wǎng)點、電費代繳機構(gòu)進行合作繳費，極大方便電力客戶繳費。為了提高通道的安全性，形成了營銷系統(tǒng)信息內(nèi)網(wǎng)、銀行郵政等儲蓄系統(tǒng)、internet公網(wǎng)、供電中心網(wǎng)絡(luò)的一個封閉環(huán)路，利用專網(wǎng)或VPN、加密隧道等技術(shù)提高數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴?/p>

在數(shù)據(jù)傳輸之前需要進行設(shè)備間的身份認證，在認證過程中網(wǎng)絡(luò)傳輸?shù)目诹钚畔⒔姑魑膫魉?，可通過哈希（HASH）單向運算、SSL加密、Secure Shell（SSH）加密、公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure 簡稱PKI）等方式實現(xiàn)。

此外，為保證所傳輸數(shù)據(jù)的完整性需要對傳輸數(shù)據(jù)加密處理。系統(tǒng)可采用校驗碼等技術(shù)以檢測和管理數(shù)據(jù)、鑒別數(shù)據(jù)在傳輸過程中完整性是否受到破壞。在檢測到數(shù)據(jù)完整性被破壞時，采取有效的恢復(fù)措施。

4.2.3 網(wǎng)絡(luò)邊界防護

網(wǎng)絡(luò)邊界防護主要基于根據(jù)不同安全等級網(wǎng)絡(luò)的要求劃分安全區(qū)域的安全防護思想。營銷系統(tǒng)安全域邊界，分為同一安全域內(nèi)部各個子系統(tǒng)之間的內(nèi)部邊界，和跨不同安全域之間的網(wǎng)絡(luò)外部邊界兩類。依據(jù)安全防護等級、邊界防護和深度防護標準，具有相同安全保護需求的網(wǎng)絡(luò)或系統(tǒng)，相互信任，具有相同的訪問和控制策略，安全等級相同，被劃分在同一安全域內(nèi)[3]，采用相同的安全防護措施。

加強外部網(wǎng)絡(luò)邊界安全，可以采用部署堡壘機、入侵檢測、審計管理系統(tǒng)等硬件加強邊界防護，同時規(guī)范系統(tǒng)操作行為，分區(qū)域分級別加強系統(tǒng)保護，減少系統(tǒng)漏洞，提高系統(tǒng)內(nèi)部的安全等級，從根本上提高系統(tǒng)的抗攻擊性。

跨安全域傳輸?shù)臄?shù)據(jù)傳輸需要進行加密處理。實現(xiàn)數(shù)據(jù)加密，啟動系統(tǒng)的加密功能或增加相應(yīng)模塊實現(xiàn)數(shù)據(jù)加密，也可采用第三方VPN等措施實現(xiàn)數(shù)據(jù)加密。

4.3 主機安全

從增強主機安全的層面來增強營銷系統(tǒng)安全，采用虛擬專用網(wǎng)絡(luò)（Virtual Private Network 簡稱VPN）等技術(shù)，在用戶網(wǎng)頁（WEB）瀏覽器和服務(wù)器之間進行安全數(shù)據(jù)通信，提高主機自身安全性，監(jiān)管主機行，減小用戶錯誤操作對系統(tǒng)的影響。

首先，掃描主機操作系統(tǒng)評估出配置錯誤項，按照系統(tǒng)廠商或安全組織提供的加固列表對操作系統(tǒng)進行安全加固，以達到相關(guān)系統(tǒng)安全標準。安裝第三方安全組件加強主機系統(tǒng)安全防護。采用主機防火墻系統(tǒng)、入侵檢測/防御系統(tǒng)（IDS/IPS）、監(jiān)控軟件等。在服務(wù)器和客戶端上部署專用版或網(wǎng)絡(luò)版防病毒軟件系統(tǒng)或病毒防護系統(tǒng)等。

此外，還需要制定用戶安全策略，系統(tǒng)用戶管理策略，定義用戶口令管理策略[4]。根據(jù)管理用戶角色分配用戶權(quán)限，限制管理員使用權(quán)限，實現(xiàn)不同管理用戶的權(quán)限分離。對資源訪問進行權(quán)限控制。依據(jù)安全策略對敏感信息資源設(shè)置敏感標記，制定訪問控制策略嚴格管理用戶對敏感信息資源的訪問和操作。

4.4 數(shù)據(jù)庫安全

數(shù)據(jù)庫安全首要是數(shù)據(jù)存儲安全，包括敏感口令數(shù)據(jù)非明文存儲，對關(guān)鍵敏感業(yè)務(wù)數(shù)據(jù)加密存儲，本地數(shù)據(jù)備份與恢復(fù)，關(guān)鍵數(shù)據(jù)定期備份，備份介質(zhì)場外存放和異地備份。當環(huán)境發(fā)生變更時，定期進行備份恢復(fù)測試，以保證所備份數(shù)據(jù)安全可靠。

數(shù)據(jù)安全管理用于數(shù)據(jù)庫管理用戶的身份認證，制定用戶安全策略，數(shù)據(jù)庫系統(tǒng)用戶管理策略，口令管理的相關(guān)安全策略，用戶管理策略、用戶訪問控制策略，合理分配用戶權(quán)限。

數(shù)據(jù)庫安全審計采用數(shù)據(jù)庫內(nèi)部審計機制或第三方數(shù)據(jù)庫審計系統(tǒng)進行安全審計，并定期對審計結(jié)果進行分析處理。對較敏感的存儲過程加以管理，限制對敏感存儲過程的使用。及時更新數(shù)據(jù)庫程序補丁。經(jīng)過安全測試后加載數(shù)據(jù)庫系統(tǒng)補丁，提升數(shù)據(jù)庫安全。

數(shù)據(jù)庫安全控制、在數(shù)據(jù)庫安裝前，必須創(chuàng)建數(shù)據(jù)庫的管理員組，服務(wù)器進行訪問限制，制定監(jiān)控方案的具體步驟。工具配置參數(shù)，實現(xiàn)同遠程數(shù)據(jù)庫之間的連接[5]。

數(shù)據(jù)庫安全恢復(fù)，在數(shù)據(jù)庫導(dǎo)入時，和數(shù)據(jù)庫發(fā)生故障時，數(shù)據(jù)庫數(shù)據(jù)冷備份恢復(fù)和數(shù)據(jù)庫熱備份恢復(fù)。

4.5 應(yīng)用安全

應(yīng)用安全是用戶對營銷系統(tǒng)應(yīng)用的安全問題。包括應(yīng)用系統(tǒng)安全和系統(tǒng)的用戶接口和數(shù)據(jù)接口的安全防護。

4.5.1 應(yīng)用系統(tǒng)安全防護

應(yīng)用系統(tǒng)安全防護首先要對應(yīng)用系統(tǒng)進行安全測評、安全加固，提供系統(tǒng)資源控制功能以保證業(yè)務(wù)正常運行。定期對應(yīng)用程序軟件進行弱點掃描，掃描之前應(yīng)更新掃描器特征代碼；弱點掃描應(yīng)在非核心業(yè)務(wù)時段進行，并制定回退計劃。依據(jù)掃描結(jié)果，及時修復(fù)所發(fā)現(xiàn)的漏洞，確保系統(tǒng)安全運行。

4.5.2 用戶接口安全防護

對于用戶訪問應(yīng)用系統(tǒng)的用戶接口需采取必要的安全控制措施，包括對同一用戶采用兩種以上的鑒別技術(shù)鑒別用戶身份，如采用用戶名/口令、動態(tài)口令、物理識別設(shè)備、生物識別技術(shù)、數(shù)字證書身份鑒別技術(shù)等的組合使用。對于用戶認證登陸采用包括認證錯誤及超時鎖定、認證時間超出強制退出、認證情況記錄日志等安全控制措施。采用用戶名/口令認證時，應(yīng)當對口令長度、復(fù)雜度、生存周期進行強制要求。

同時，為保證用戶訪問重要業(yè)務(wù)數(shù)據(jù)過程的安全保密，用戶通過客戶端或WEB方式訪問應(yīng)用系統(tǒng)重要數(shù)據(jù)應(yīng)當考慮進行加密傳輸，如網(wǎng)上營業(yè)廳等通過Internet等外部公共網(wǎng)絡(luò)進行業(yè)務(wù)系統(tǒng)訪問必須采用SSL等方式對業(yè)務(wù)數(shù)據(jù)進行加密傳輸。杜絕經(jīng)網(wǎng)絡(luò)傳輸?shù)挠脩裘⒖诹畹日J證信息應(yīng)當明文傳輸和用戶口令在應(yīng)用系統(tǒng)中明文存儲。

4.5.3 數(shù)據(jù)接口安全防護

數(shù)據(jù)接口的安全防護分為安全域內(nèi)數(shù)據(jù)接口的安全防護和安全域間數(shù)據(jù)接口的安全防護。安全域內(nèi)數(shù)據(jù)接口在同一安全域內(nèi)部不同應(yīng)用系統(tǒng)之間，需要通過網(wǎng)絡(luò)交換或共享數(shù)據(jù)而設(shè)置的數(shù)據(jù)接口；安全域間數(shù)據(jù)接口是跨不同安全域的不同應(yīng)用系統(tǒng)間，需要交互或共享數(shù)據(jù)而設(shè)置的數(shù)據(jù)接口。

5 安全管理

安全管理是安全建設(shè)的各項技術(shù)和措施得以實現(xiàn)不可缺少的保障，從制度和組織機構(gòu)到安全運行、安全服務(wù)和應(yīng)急安全管理，是一套標準化系統(tǒng)的流程規(guī)范，主要包括以下方面。

5.1 安全組織機構(gòu)

建立營銷業(yè)務(wù)應(yīng)用安全防護的組織機構(gòu)，并將安全防護的責任落實到人，安全防護組織機構(gòu)可以由專職人員負責，也可由運維人員兼職。

5.2 安全規(guī)章制度

建立安全規(guī)章制度，加強安全防護策略管理，軟件系統(tǒng)安全生命周期的管理，系統(tǒng)安全運維管理，安全審計與安全監(jiān)控管理，以及口令管理、權(quán)限管理等。確保安全規(guī)章制度能夠有效落實執(zhí)行。

5.3 安全運行管理

在系統(tǒng)上線運行過程中，遵守國家電網(wǎng)公司的安全管理規(guī)定，嚴格遵守業(yè)務(wù)數(shù)據(jù)安全保密、網(wǎng)絡(luò)資源使用、辦公環(huán)境等的安全規(guī)定。

首先，系統(tǒng)正式上線前應(yīng)進行專門的系統(tǒng)安全防護測試，應(yīng)確認軟件系統(tǒng)安全配置項目準確，以使得已經(jīng)設(shè)計、開發(fā)的安全防護功能正常工作。

在上線運行維護階段，應(yīng)定期對系統(tǒng)運行情況進行全面審計，包括網(wǎng)絡(luò)審計、主機審計、數(shù)據(jù)庫審計，業(yè)務(wù)應(yīng)用審計等。每次審計應(yīng)記入審計報告，發(fā)現(xiàn)問題應(yīng)進入問題處理流程。建立集中日志服務(wù)器對營銷交易安全域中網(wǎng)絡(luò)及安全設(shè)備日志進行集中收集存儲和管理。

軟件升級改造可能會對原來的系統(tǒng)做出調(diào)整或更改，此時也應(yīng)從需求、分析、設(shè)計、實施上線等的整個生命周期對運行執(zhí)行新的安全管理。

5.4 安全服務(wù)

安全服務(wù)的目的是保障系統(tǒng)建設(shè)過程中的各個階段的有效執(zhí)行，問題、變更和偏差有效反饋，及時解決和糾正。從項目層面進行推進和監(jiān)控系統(tǒng)建設(shè)的進展，確保項目建設(shè)質(zhì)量和實現(xiàn)各項指標。

從項目立項、調(diào)研、開發(fā)到實施、驗收、運維等各個不同階段，可以階段性開展不同的安全服務(wù)，包括安全管理、安全評審、安全運維、安全訪談、安全培訓(xùn)、安全測試、安全認證等安全服務(wù)。

5.5 安全評估

安全評估是對營銷系統(tǒng)潛在的風(fēng)險進行評估（Risk Assessment），在風(fēng)險尚未發(fā)生或產(chǎn)生嚴重后果之前對其造成后果的危險程度進行分析，制定相應(yīng)的策略減少或杜絕風(fēng)險的發(fā)生概率。

營銷系統(tǒng)的安全評估主要是針對第三方使用人員，評估內(nèi)容涵蓋，終端安全和接入網(wǎng)絡(luò)安全。根據(jù)國家電網(wǎng)公司安全等級標準，對核心業(yè)務(wù)系統(tǒng)接入網(wǎng)絡(luò)安全等級進行測評，并給出測評報告和定期加固改造辦法，如安裝終端加固軟件/硬件，安裝監(jiān)控軟件、增加網(wǎng)絡(luò)安全設(shè)備、增加安全策略，包括禁止違規(guī)操作、禁止越權(quán)操作等。

5.6 應(yīng)急管理

為了營銷系統(tǒng)7×24小時安全運行，必須建立健全快速保障體系，在系統(tǒng)出現(xiàn)突發(fā)事件時，有效處理和解決問題，最大限度減小不良影響和損失，制定合理可行的應(yīng)急預(yù)案，主要內(nèi)容包括：明確目標或要求，設(shè)立具有專門的部門或工作小組對突發(fā)事件能夠及時反應(yīng)和處理。加強規(guī)范的應(yīng)急流程管理，明確應(yīng)急處理的期限和責任人。對于一定安全等級的事件，要及時或上報。

6 實施部署

營銷系統(tǒng)為多級部署系統(tǒng)。根據(jù)國家電網(wǎng)信息網(wǎng)絡(luò)分區(qū)域安全防護的指導(dǎo)思想原則，結(jié)合新疆多地市不同安全級別需求的實際情況，營銷系統(tǒng)網(wǎng)絡(luò)整體安全部署如圖2所示。

在營銷系統(tǒng)部署中，對安全需求不同的地市子網(wǎng)劃分不同的安全域，網(wǎng)省管控平臺部署在網(wǎng)省信息內(nèi)網(wǎng)，負責對所有安全防護措施的管控和策略的下發(fā)，它是不同安全級別地市子系統(tǒng)信息的管理控制中心，也是聯(lián)接總部展示平臺的橋梁，向國網(wǎng)總公司提交營銷系統(tǒng)安全運行的數(shù)據(jù)和報表等信息。

7 結(jié)束語

電力營銷網(wǎng)絡(luò)安全技術(shù)的發(fā)展伴隨電力營銷技術(shù)的發(fā)展而不斷更新，伴隨安全技術(shù)的不斷進步而不斷進步。電力營銷網(wǎng)絡(luò)的安全不僅僅屬于業(yè)務(wù)系統(tǒng)的安全范疇，也屬于網(wǎng)絡(luò)信息化建設(shè)范疇，其安全工作是一個系統(tǒng)化，多元化的工作，立足于信息內(nèi)網(wǎng)安全，覆蓋信息外網(wǎng)安全和其他網(wǎng)絡(luò)。

本文基于新疆電力營銷系統(tǒng)網(wǎng)絡(luò)安全的現(xiàn)狀，結(jié)合現(xiàn)有安全技術(shù)和安全管理手段來提高營銷系統(tǒng)整體安全水平，為提升原有網(wǎng)絡(luò)的安全性，構(gòu)造一個安全可靠的電力營銷網(wǎng)絡(luò)提供了一套安全解決方案，對國家電網(wǎng)其他具有類似需求的網(wǎng)省公司營銷系統(tǒng)網(wǎng)絡(luò)安全問題解決提供參考和借鑒。

參考文獻

[1]趙宏斌，陳超.電力營銷數(shù)據(jù)安全防護體系及其關(guān)鍵技術(shù)研究[J].電力信息化，2008年6卷7期：135-139.

[2]呂萍萍.當前電力企業(yè)電力營銷的現(xiàn)狀與安全防護保障系統(tǒng)構(gòu)建[J].華東科技：學(xué)術(shù)版，2012年11期：282.

[3]蔣明，吳斌.電力營銷系統(tǒng)信息安全等級保護的研究與實踐[J].電力信息化，2009年3期：25-27.

[4]朱芳，肖忠良，趙建梅.淺析電力營銷業(yè)務(wù)應(yīng)用系統(tǒng)的安全風(fēng)險[J].黑龍江科技信息，2010年35期：153-154.

[5]李紅文.論加強電力營銷信息系統(tǒng)安全[J].信息通信，2012年1月：115-116.

作者簡介：劉陶（1983-），男，漢族，四川樂山，本科，技師，電力營銷稽查與實施調(diào)度。

陳曉云（1974-），女，大專，技師，新疆烏魯木齊，電力營銷稽查。

篇5

［關(guān)鍵詞］ 信息安全保障體系； 中國石油； 企業(yè)

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054

［中圖分類號］ TP309 ［文獻標識碼］ A ［文章編號］ 1673 - 0194（2012）09- 0089- 02

1 信息安全保障體系概述

信息安全保障（Information Assurance，IA）來源于1996年美國國防部DoD指令5－3600．1（DoDD5－3600．1）。其發(fā)展經(jīng)歷了通信安全、計算機安全、信息安全直至現(xiàn)在的信息安全保障。內(nèi)容包括保護（Protection）、檢測（Detection）、響應(yīng)（Response）、恢復(fù)（Recovery） 4個環(huán)節(jié)，即PDRR模型。

信息安全保障體系分為人員體系、技術(shù)體系和管理體系3個層面，人員體系包括安全人員的崗位與職責、全體工作人員的安全管理兩部分。技術(shù)體系由本地計算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施及支撐性基礎(chǔ)設(shè)施組成。管理體系包括建立完善的信息安全管理體系、構(gòu)建自上而下的各級信息安全管理組織架構(gòu)、制定信息安全方針與信息安全策略及完善信息安全管理制度4個板塊。通過縱深防御的多層防護，多處設(shè)置保護機制，抵御通過內(nèi)部或外部從多點向信息系統(tǒng)發(fā)起的攻擊，將信息系統(tǒng)的安全風(fēng)險降低到可以接受的程度。

2 國外信息安全保障體系建設(shè)

美國的信息化程度全球最高，在信息技術(shù)的主導(dǎo)權(quán)和網(wǎng)絡(luò)上的話語權(quán)等方面占據(jù)先天優(yōu)勢，他們在信息安全保障體系建設(shè)以及政策支持方面也走在全球的前列。美國政府先后了一系列政策戰(zhàn)略報告，將信息安全由“政策”、“計劃”上升到“國家戰(zhàn)略”及“國際戰(zhàn)略”的高度。美國國土安全局是美國信息安全管理的最高權(quán)力機構(gòu)，其他負責信息安全管理和執(zhí)行的機構(gòu)有國家安全局、聯(lián)邦調(diào)查局、國防部、商務(wù)部等，主要根據(jù)相應(yīng)的方針和政策結(jié)合自己部門的情況實施信息安全保障工作。

其他國家也都非常重視信息安全保障工作。構(gòu)建可信的網(wǎng)絡(luò)，建設(shè)有效的信息安全保障體系，實施切實可行的信息安全保障措施已經(jīng)成為世界各國信息化發(fā)展的主要需求。信息化發(fā)展比較好的發(fā)達國家，如俄、德、日等國家都已經(jīng)或正在制定自己的信息安全發(fā)展戰(zhàn)略和發(fā)展計劃，確保信息安全沿著正確的方向發(fā)展，在信息安全領(lǐng)域不斷進行著積極有益的探索。

3 國內(nèi)信息安全保障體系建設(shè)

我國信息化安全保障體系建設(shè)相對于發(fā)達國家起步較晚，2003年9月，中央提出要在5年內(nèi)建設(shè)中國信息安全保障體系。2006年9月，“十一五”發(fā)展綱要提出科技“支撐發(fā)展”的重要思想，提出要提高我國信息產(chǎn)業(yè)核心技術(shù)自主開發(fā)能力和整體水平，初步建立有中國特色的信息安全保障體系。2007年7月20日，“全國重要信息系統(tǒng)安全等級保護定級工作電視電話會議”召開，標志著信息安全等級保護工作在全國范圍內(nèi)的開展與實施。2011年3月《我國國民經(jīng)濟和社會發(fā)展十二五規(guī)劃綱要》明確提出加強網(wǎng)絡(luò)與信息安全保障工作。通過一系列的文件要求，不斷完善與提升我國的信息安全體系，強調(diào)信息安全的重要性。

我國信息安全保障體系建設(shè)主要包括：① 加快信息安全立法、建立信息安全法制體系，做到有法可依，有法必依。② 建立國家信息安全組織管理體系，加強國家職能，建立職能高效、職責分工明確的行政管理和業(yè)務(wù)組織體系，建立信息安全標準和評價體系。③ 建立國家信息安全技術(shù)保障體系，使用科學(xué)技術(shù)，實施安全的防護保障。④ 在技術(shù)保障體系下，建設(shè)國家信息安全保障基礎(chǔ)設(shè)施。⑤ 建立國家信息安全經(jīng)費保障體系，加大信息安全投入。⑥ 高度重視人才培養(yǎng)，建立信息安全人才培養(yǎng)機制。

我國通過近幾年的努力，信息安體保障體系取得了長足發(fā)展，2002年成立了全國信息安全標準化技術(shù)委員會，不斷完善信息安全標準。同時在互聯(lián)網(wǎng)管理、信息安全測評認證、信息安全等級保護工作等方面取得了實質(zhì)性進展，但CPU芯片、操作系統(tǒng)與數(shù)據(jù)庫、網(wǎng)關(guān)軟件仍大多依賴進口，受制于人。

4 企業(yè)信息安全保障體系建設(shè)

中國石油集團公司信息化建設(shè)在我國大型企業(yè)中處于領(lǐng)先地位，在國資委歷年信息化評比中，都名列前茅，“十一五”期間，公司將企業(yè)信息安全保障體系建設(shè)納入信息化整體規(guī)劃中，并逐步實施。其中涉及管理類項目3個，控制類項目3個，技術(shù)類項目5個。

管理類項目包括信息安全組織完善、信息安全運行能力建設(shè)、風(fēng)險評估能力建設(shè)3個項目。信息安全組織完善是指完善信息安全的決策、管理與技術(shù)服務(wù)組織，合理配置崗位并明確職責，建立完備的管理流程，為信息安全建設(shè)與運行提供組織保障。信息安全運行能力建設(shè)內(nèi)容包括建立統(tǒng)一、完備的信息安全運行維護流程及組織IT運行維護人員信息安全技能培訓(xùn)，較快形成基本的信息安全運行能力。風(fēng)險評估能力建設(shè)是指通過建立風(fēng)險評估規(guī)范及實施團隊，提高信息安全風(fēng)險自評估能力和風(fēng)險管理能力，強化保障體系的有效性。

信息安全控制類項目涉及信息安全制度與標準完善、基礎(chǔ)設(shè)施安全配置規(guī)范開發(fā)、應(yīng)用系統(tǒng)安全合規(guī)性實施3個項目。信息安全制度與標準完善包括：① 初步構(gòu)建了制度和標準體系，了《信息系統(tǒng)安全管理辦法》及系統(tǒng)定級實施辦法。② 建立和完善了信息系統(tǒng)安全管理員制度，開展了信息安全培訓(xùn)。③ 跟蹤國家信息安全等級保護政策，開展信息系統(tǒng)安全測評方法研究等，規(guī)范了信息系統(tǒng)安全管理流程，提升安全運行能力?；A(chǔ)設(shè)施安全配置規(guī)范開發(fā)目標是制定滿足安全域和等級保護要求的信息技術(shù)基礎(chǔ)設(shè)施安全配置規(guī)范，提高信息技術(shù)基礎(chǔ)設(shè)施的安全防護能力。應(yīng)用系統(tǒng)安全合規(guī)性實施是提供專業(yè)的信息安全指導(dǎo)與服務(wù)，支持國家等級保護、中國石油內(nèi)部控制等制度的實施，使信息化建設(shè)與應(yīng)用滿足合規(guī)性要求。

信息安全技術(shù)類項目由身份管理與認證、網(wǎng)絡(luò)安全域?qū)嵤?、桌面安全管理、系統(tǒng)災(zāi)難恢復(fù)、信息安全運行中心5個項目組成。身份管理與認證是指建成集中身份管理與統(tǒng)一認證平臺，實現(xiàn)關(guān)鍵和重要系統(tǒng)的用戶身份認證，提高用戶身份管理效率，保證系統(tǒng)訪問的安全性。網(wǎng)絡(luò)安全域包括廣域網(wǎng)邊界防護、廣域網(wǎng)域間與數(shù)據(jù)中心防護、廣域網(wǎng)域內(nèi)防護3項內(nèi)容。廣域網(wǎng)邊界防護是指將全國各地的中國石油單位的互聯(lián)網(wǎng)集中統(tǒng)一到16個區(qū)域網(wǎng)絡(luò)中心，員工受控訪問互聯(lián)網(wǎng)資源，并最終實現(xiàn)實名制上網(wǎng)。廣域網(wǎng)域間與數(shù)據(jù)中心防護項目指建立。區(qū)域間訪問與防護標準、數(shù)據(jù)中心防護標準。廣域網(wǎng)域內(nèi)防護將分離其他網(wǎng)絡(luò)并制定訪問策略，完善域內(nèi)安全監(jiān)控手段和技術(shù)，規(guī)范域內(nèi)防護標準。桌面安全管理項目包括防病毒、補丁分發(fā)、端點準入、后臺管理、電子文檔保護和信息安全等級保護綜合管理6個子系統(tǒng)。系統(tǒng)災(zāi)難恢復(fù)包括：① 對數(shù)據(jù)中心機房進行了風(fēng)險評估，提出了風(fēng)險防范和改進措施。② 對已上線的18個信息系統(tǒng)進行業(yè)務(wù)影響分析，確定了災(zāi)難恢復(fù)關(guān)鍵指標。③ 制定整體的災(zāi)備策略和災(zāi)難恢復(fù)系統(tǒng)方案。信息安全運行中心旨在形成安全監(jiān)控信息匯總樞紐和信息安全事件協(xié)調(diào)處理中心，提高對信息安全事件的預(yù)警和響應(yīng)能力。

5 存在問題及建議

中國石油作為國資委超大型企業(yè)和能源工業(yè)龍頭企業(yè)，集團領(lǐng)導(dǎo)和各級領(lǐng)導(dǎo)，一貫重視信息安全工作，在落實等級保護制度，加強信息安全基礎(chǔ)設(shè)施建設(shè)，深入開展信息安全戰(zhàn)略、策略研究等方面，都取得的豐碩成果，值得其他企業(yè)借鑒。公司在信息安全保障體系建設(shè)中還存在以下問題：

（1） 信息安全組織體系不夠健全，不能較好地落實安全管理責任制。目前，部分二級單位沒有獨立的信息部門，更沒有負責安全體系建設(shè)、運行和管理的專職機構(gòu)，安全的組織保障職能分散在各個部門，兼職安全管理員有責無權(quán)的現(xiàn)象普遍存在，制約了中國石油信息安全保障體系建設(shè)的發(fā)展。需強制建立從上至下完善的管理體系，明確直屬二級單位的信息部門建設(shè)，崗位設(shè)定、人員配備滿足對信息系統(tǒng)管理的需求。

篇6

 

1現(xiàn)狀與問題

 

1.信息安全現(xiàn)狀

 

隨著信息化建設(shè)的推進，我校信息化建設(shè)初具規(guī)模，軟硬件設(shè)備配備完成，運行保障的基礎(chǔ)技術(shù)手段基本具備。網(wǎng)絡(luò)中心技術(shù)力量雄厚，承擔網(wǎng)絡(luò)系統(tǒng)管理和應(yīng)用支持的專業(yè)技術(shù)人員達20余人;針對重要應(yīng)用系統(tǒng)采用了防火墻、IPS/IDS、防病毒等常規(guī)安全防護手段，保障了核心業(yè)務(wù)系統(tǒng)在一般情況下的正常運行，具備了基本的安全防護能力|6];日常運行管理規(guī)范，按照信息基礎(chǔ)設(shè)施運行操作流程和管理對象的不同，確定了網(wǎng)絡(luò)系統(tǒng)運行保障管理的角色和崗位，初步建立了問題處理的應(yīng)急響應(yīng)機制。由網(wǎng)絡(luò)中心進行日常管理的主要有六大業(yè)務(wù)應(yīng)用系統(tǒng)，即網(wǎng)絡(luò)通信平臺、認證計費系統(tǒng)、校園一卡通、電子校務(wù)系統(tǒng)、網(wǎng)站群、郵件系統(tǒng)。

 

網(wǎng)絡(luò)通信平臺是大學(xué)各大業(yè)務(wù)平臺的基礎(chǔ)核心，是整個校園網(wǎng)的基礎(chǔ)，其他應(yīng)用系統(tǒng)都運行在高校的基礎(chǔ)網(wǎng)絡(luò)環(huán)境上;認證計費系統(tǒng)是針對用戶接入校園網(wǎng)和互聯(lián)網(wǎng)的一種接入認證計費的管理方式;校園一卡通系統(tǒng)建設(shè)在物理專網(wǎng)上，主要實現(xiàn)學(xué)生校園卡消費管理，校園卡與大學(xué)網(wǎng)絡(luò)有3個物理接口;電子校務(wù)系統(tǒng)是大學(xué)最重要的業(yè)務(wù)應(yīng)用系統(tǒng)，系統(tǒng)中存儲著重要的教務(wù)工作數(shù)據(jù)、學(xué)生考試信息、財務(wù)數(shù)據(jù)等重要數(shù)據(jù)信息;大學(xué)主頁網(wǎng)站系統(tǒng)為大學(xué)校園的互聯(lián)網(wǎng)窗口起到學(xué)校對外介紹宣傳的功能;郵件系統(tǒng)主要為大學(xué)教師與學(xué)生提供郵件收發(fā)服務(wù)，目前郵件系統(tǒng)注冊用1.2面臨的主要問題

 

通過等級保護差距分析和風(fēng)險評估，目前大學(xué)所面臨的信息安全風(fēng)險和主要問題如下：

 

(1)高校領(lǐng)域沒有總體安全標準指引，方向不明確，缺少主線。

 

(2)對國際國內(nèi)信息安全法律法規(guī)缺乏深刻意識和認識。

 

(3)信息安全機構(gòu)不完善，缺乏總體安全方針與策略，職責不夠明確。

 

(4)教職員工和學(xué)生數(shù)量龐大，管理復(fù)雜，人員安全意識相對薄弱，日常安全問題多。

 

()建設(shè)投資和投入有限，運維和管理人員的信息安全專業(yè)能力有待提高。

 

(6)內(nèi)部管理相對松散，缺乏安全監(jiān)管及檢查機制，無法有效整體管控。

 

(7)缺乏信息安全總體規(guī)劃，難以全面提升管理

 

(8)缺乏監(jiān)控、預(yù)警、響應(yīng)、恢復(fù)的集中運行管理手段，無法提高安全運維能力。

 

2建設(shè)思路

 

2.1建設(shè)原則和工作路線

 

學(xué)校信息安全建設(shè)的總體原則是:總體規(guī)劃、適度防護，分級分域、強化控制，保障核心、提升管理，支撐應(yīng)用、規(guī)范運維。

 

依據(jù)這一總體原則，我們的信息安全體系建設(shè)工作以風(fēng)險評估為起點，以安全體系為核心，通過對安全工作生命周期的理解從風(fēng)險評估、安全體系規(guī)劃著手，并以解決方案和策略設(shè)計落實安全體系的各個環(huán)節(jié)，在建設(shè)過程中逐步完善安全體系，以安全體系運行維護和管理的過程等全面滿足安全工作各個層面的安全需求，最終達到全面、持續(xù)、突出重點的安全保障。

 

2.2體系框架

 

信息安全體系框架依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》GBT22239-2008、《信息系統(tǒng)等級保護安全建設(shè)技術(shù)方案設(shè)計要求》(征求意見稿)，并吸納了IATF模型[7]中“深度防護戰(zhàn)略，，理論，強調(diào)安全策略、安全技術(shù)、安全組織和安全運行4個核心原則，重點關(guān)注計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)等多個層次的安全防護，構(gòu)建信息系統(tǒng)的安全技術(shù)體系和安全管理體系，并通過安全運維服務(wù)和itsm[8]集中運維管理(基于IT服務(wù)管理標準的最佳實踐)，形成了集風(fēng)險評估、安全加固、安全巡檢、統(tǒng)一監(jiān)控、提前預(yù)警、應(yīng)急響應(yīng)、系統(tǒng)恢復(fù)、安全審計和違規(guī)取證于一體的安全運維體系架構(gòu)(見圖2)，從而實現(xiàn)并覆蓋了等級保護基本要求中對網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全和管理安全的防護要求，以滿足信息系統(tǒng)全方位的安全保護需求。

 

(1)安全策略：明確信息安全工作目的、信息安全建設(shè)目標、信息安全管理目標等，是信息安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。

 

(2)安全組織：是信息安全體系框架中最重要的

 

各級組織間的工作職責，覆蓋安全管理制度、安全管理機構(gòu)和人員安全管理3個部分。

 

(3)安全運行：是信息安全體系框架中最重要的安全管理策略之一，是維持信息系統(tǒng)持續(xù)運行的保障制度和規(guī)范。主要集中在規(guī)范信息系統(tǒng)應(yīng)用過程和人員的操作執(zhí)行，該部分以國家等級保護制度為依據(jù)，覆蓋系統(tǒng)建設(shè)管理、系統(tǒng)運維管理2個部分。

 

(4)安全技術(shù):是從技術(shù)角度出發(fā)，落實學(xué)校組織機構(gòu)的總體安全策略及管理的具體技術(shù)措施的實現(xiàn)，是對各個防護對象進行有效地技術(shù)措施保護。安全技術(shù)注重信息系統(tǒng)執(zhí)行的安全控制，針對未授權(quán)的訪問或誤用提供自動保護，發(fā)現(xiàn)違背安全策略的行為，并滿足應(yīng)用程序和數(shù)據(jù)的安全需求。安全技術(shù)包含通信網(wǎng)絡(luò)、計算環(huán)境、區(qū)域邊界和提供整體安全支撐的安全支撐平臺。該部分以國家等級保護制度為依據(jù)，覆蓋物理層、網(wǎng)絡(luò)層、主機層、應(yīng)用層和數(shù)據(jù)層5個部分。

 

()安全運維:安全運維服務(wù)體系架構(gòu)共分兩層，實現(xiàn)人員、技術(shù)、流程三者的完美整合，通過基于ITIL[9]的運維管理方法，保障基礎(chǔ)設(shè)施和生產(chǎn)環(huán)境的正常運轉(zhuǎn)，提升業(yè)務(wù)的可持續(xù)性，從而也體現(xiàn)了安全運3重點建設(shè)工作

 

3.1安全滲透測試

 

2009年4月，學(xué)校對38個網(wǎng)站、2個關(guān)鍵系統(tǒng)和6臺主機系統(tǒng)進行遠程滲透測評。通過測評，全面、完整地了解了當前系統(tǒng)的安全狀況，發(fā)現(xiàn)了20個高危漏洞，并針對高危漏洞分析了系統(tǒng)所面臨的各種風(fēng)險，根據(jù)測評結(jié)果發(fā)現(xiàn)被測系統(tǒng)存在的安全隱患。滲透測試主要任務(wù)包括:收集網(wǎng)站信息、網(wǎng)站威脅分析、脆弱性分析和滲透入侵測評、提升權(quán)限測評、獲取代碼、滲透測評報告。

 

3.2風(fēng)險評估和安全加固

 

2009年5月，依據(jù)安全滲透測試結(jié)果，對大學(xué)的六大信息系統(tǒng)進行了安全測評。根據(jù)評估結(jié)果得出系統(tǒng)存在的安全問題，并對嚴重的問題提出相應(yīng)的風(fēng)險控制策略。主要工作任務(wù)包括:系統(tǒng)調(diào)研、方案編寫、現(xiàn)場檢測、資產(chǎn)分析、威脅分析、脆弱性分析和風(fēng)險分析。通過風(fēng)險評估最終得出了威脅的數(shù)量和等級，表1、表2為威脅的數(shù)量和等級統(tǒng)計。2009年6月和9月，基于風(fēng)險評估結(jié)果，對涉及到的網(wǎng)絡(luò)設(shè)備(4臺)和主機設(shè)備(14臺)進行了安全加固工作。

 

3.3安全體系規(guī)劃

 

根據(jù)前期對全校的網(wǎng)絡(luò)、重要信息系統(tǒng)及管理層面的全面評估和了解整理出符合大學(xué)實際的安全需求，并結(jié)合實際業(yè)務(wù)要求，對學(xué)校整體信息系統(tǒng)的安全工作進行規(guī)劃和設(shè)計，并通過未來3年的逐步安全建設(shè)，滿足學(xué)校的信息安全目標及國家相關(guān)政策和標準學(xué)校依據(jù)國際國內(nèi)規(guī)范及標準，參考業(yè)界的最佳實踐ISMS[10](信息安全管理體系)，結(jié)合我校目前的實際情況，制定了一套完整、科學(xué)、實際的信息安全管理體系，制定并描述了網(wǎng)絡(luò)與信息安全管理必須遵守的基本原則和要求。

 

通過信息安全管理體系的建立，使學(xué)校的組織結(jié)構(gòu)布局更加合理，人員安全意識也明顯提高，從而保證了網(wǎng)絡(luò)暢通和業(yè)務(wù)正常運行，提高了IT服務(wù)質(zhì)量。通過制度、流程、標準及規(guī)范，加強了日常安全工作執(zhí)行能力，提高了信息安全保障水平。

 

4未來展望和下一步工作

 

4.1安全防護體系

 

根據(jù)網(wǎng)絡(luò)與信息系統(tǒng)各節(jié)點的網(wǎng)絡(luò)結(jié)構(gòu)、具體的應(yīng)用以及安全等級的需求，可以考慮使用邏輯隔離技術(shù)(VLAN或防火墻技術(shù))將整個學(xué)校的網(wǎng)絡(luò)系統(tǒng)劃分為3個層次的安全域：第一層次安全域包括整個學(xué)校網(wǎng)絡(luò)信息系統(tǒng);第二層次安全域?qū)⒏鲬?yīng)用系統(tǒng)從邏輯上和物理上分別劃分;第三層次安全域主要是各應(yīng)用系統(tǒng)內(nèi)部根據(jù)應(yīng)用人群的終端分布、部門等劃分子網(wǎng)或子系統(tǒng)。

 

公鑰基礎(chǔ)設(shè)施包括：CA安全區(qū)：主要承載CAServer、主從LDAP、數(shù)據(jù)庫、加密機、OCSP等;KMC管理區(qū):主要承載KMCServer、加密機等;RA注冊區(qū):主要承載各院所的RA注冊服務(wù)器，為各院所的師生管理提供數(shù)字證書注冊服務(wù)。

 

應(yīng)用安全支撐平臺為各信息系統(tǒng)提供應(yīng)用支撐服務(wù)、安全支撐服務(wù)以及安全管理策略，使得信息系統(tǒng)建立在一個穩(wěn)定和高效的應(yīng)用框架上，封裝復(fù)雜的業(yè)務(wù)支撐服務(wù)、基礎(chǔ)安全服務(wù)、管理服務(wù)，并平滑支持業(yè)務(wù)系統(tǒng)的擴展。主要包括:統(tǒng)一身份管理、統(tǒng)一身份認證、統(tǒng)一訪問授權(quán)、統(tǒng)一審計管理、數(shù)據(jù)安全引擎、單點登錄等功能。

 

4.2安全運維體系

 

ITSM集中運維管理解決方案面對學(xué)校日益復(fù)雜的IT環(huán)境，整合以往對各類設(shè)備、服務(wù)器、終端和業(yè)務(wù)系統(tǒng)等的分割管理，實現(xiàn)了對IT系統(tǒng)的集中、統(tǒng)一、全面的監(jiān)控與管理;系統(tǒng)通過融入ITIL等運維管理理念，達到了技術(shù)、功能、服務(wù)三方面的完全整合，實現(xiàn)了IT服務(wù)支持過程的標準化、流程化、規(guī)范化，極大地提高了故障應(yīng)急處理能力，提升了信息部門的管理效率和服務(wù)水平。

 

根據(jù)終端安全的需求，系統(tǒng)應(yīng)建設(shè)一套完整的技術(shù)平臺，以實現(xiàn)由管理員根據(jù)管理制度來制定各種詳盡的安全管理策略，對網(wǎng)內(nèi)所有終端計算機上的軟硬件資源、以及計算機上的操作行為進行有效管理。實現(xiàn)將以網(wǎng)絡(luò)為中心的分散管理變?yōu)橐杂脩魹橹行募胁呗怨芾?對終端用戶安全接入策略統(tǒng)一管理、終端用戶安全策略的強制實施、終端用戶安全狀態(tài)的集中審計;對用戶事前身份和安全級別的認證、事中安全狀態(tài)定期安全檢測，內(nèi)容包括定期的安全風(fēng)險評估、安全加固、安全應(yīng)急響應(yīng)和安全巡檢。

 

4.3安全審計體系

篇7

上海P2P管理實施細則：屬地存管或會調(diào)整6月1日，也正是《上海市網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)管理實施辦法(征求意見稿)》公布的當天，位于上海的P2P平臺諾諾鎊客對外公布了即將上線銀行存管的消息，存管方為徽商銀行。遺憾的是，徽商銀行在上海當?shù)夭]有辦公網(wǎng)點，因此并不符合在本市設(shè)有經(jīng)營實體的商業(yè)銀行這一要求。

這的確很尷尬。諾諾鎊客相關(guān)負責人對記者表示，目前只能先做好更換存管銀行的技術(shù)備份，如果細則落地執(zhí)行，也只能更換符合條件的銀行，但這對用戶體驗和公司投入來說，影響的確很大。

另有一家剛上線了江西銀行存管的滬上P2P平臺也對記者表示，消息來得措手不及。江西銀行在上海也沒有網(wǎng)點，投入了幾百萬上線的存管系統(tǒng)可能是白忙活。該平臺負責人對記者表示，如果上海的行業(yè)細則落地執(zhí)行，對平臺而言無論是時間成本還是資金成本都帶來較大損失。

據(jù)網(wǎng)貸之家不完全統(tǒng)計，截至20xx年6月初，上海當?shù)毓灿?1家網(wǎng)貸平臺與17家銀行簽訂直接存管協(xié)議，但超半數(shù)平臺的存管銀行在滬無網(wǎng)點，其中包括徽商銀行、廣東華興銀行、江西銀行、廊坊銀行、廈門銀行、新網(wǎng)銀行等。

業(yè)內(nèi)認為，監(jiān)管之所以規(guī)定銀行存管屬地化是為了更方便管理，但對平臺而言卻比較尷尬，因為很多主流大型商業(yè)銀行和上海地區(qū)銀行都不開放存管業(yè)務(wù)。而從目前積極開展存管業(yè)務(wù)的銀行類型看，城商行和互聯(lián)網(wǎng)銀行的確是主力軍，而這類銀行恰恰存在網(wǎng)點少或沒有網(wǎng)點的特性。

上海目前出臺的細則仍是征求意見稿，實質(zhì)落地實施的細則或有變動的可能。明天上海的行業(yè)協(xié)會組織了關(guān)于征求意見稿的討論會，這意味著部分實施細則還有商量的空間。諾諾鎊客上述負責人對記者表示。

上海P2P管理實施細則：嚴監(jiān)管明確5條紅線上海金融辦昨日《上海市網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)管理實施辦法(征求意見稿)》(下稱《征求意見稿》)。

《征求意見稿》明確，新設(shè)立的網(wǎng)絡(luò)借貸信息中介機構(gòu)申請辦理備案登記的，應(yīng)當提交備案登記申請書、股東資料等13項申請材料。對已經(jīng)設(shè)立并開展經(jīng)營活動的，除了提交上述申請材料，還應(yīng)補充提供經(jīng)營總體情況等6項材料。

夸客金融創(chuàng)始人兼CEO郭震洲接受上證報記者采訪時表示：這為網(wǎng)貸機構(gòu)明確了合規(guī)經(jīng)營的依據(jù)。

除了上述備案管理部分，限制網(wǎng)貸信息中介機構(gòu)的存管銀行范圍也成為業(yè)界關(guān)注點?！墩髑笠庖姼濉分赋?，平臺應(yīng)當在6個月內(nèi)選擇在本市設(shè)有經(jīng)營實體且符合相關(guān)條件的商業(yè)銀行進行客戶資金存管。

如果按照上述條款，那么至少有數(shù)十家上海的網(wǎng)貸平臺或面臨壓力，要么重新選擇存管銀行，要么存管銀行要在上海開設(shè)分支行等物理網(wǎng)點。

此外，《征求意見稿》還對網(wǎng)絡(luò)借貸信息中介機構(gòu)存在五類行為將被清除出行業(yè)予以明確規(guī)定。第三十三條明確規(guī)定，取得備案登記的網(wǎng)絡(luò)借貸信息中介機構(gòu)有下列情形之一的，上海銀監(jiān)局、注冊地所在區(qū)監(jiān)管部門可以建議市金融辦注銷其備案登記，市金融辦也可以直接注銷備案登記：

一是通過虛假、欺騙手段取得備案登記的;二是嚴重違反有關(guān)法律法規(guī)及行業(yè)監(jiān)管規(guī)定的;三是監(jiān)管部門通過實地調(diào)查、電話聯(lián)系及其他監(jiān)管手段仍對企業(yè)和企業(yè)相關(guān)人員查無下落的，或雖然可以聯(lián)系到企業(yè)一般工作人員，但其并不知悉企業(yè)運營情況也不能聯(lián)系到企業(yè)實際控制人的;四是取得備案登記后6個月內(nèi)未開展網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)，或停止開展網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)連續(xù)滿6個月的;五是拒不落實有關(guān)監(jiān)管工作要求的。

上海平臺多且活躍，投資人多且輻射至江浙一帶，此前出現(xiàn)了中晉、快鹿等問題平臺，可以說此次監(jiān)管細則出臺是行業(yè)的利好，能有效地驅(qū)逐偽劣平臺。中國人民大學(xué)金融科技與互聯(lián)網(wǎng)安全研究中心主任楊東接受記者采訪表示，此次《征求意見稿》不僅貫徹了之前的《管理暫行辦法》的精神，并進一步落實到業(yè)務(wù)細化和落地，而且內(nèi)容更加豐富、更規(guī)范，可以起到全國性標桿的示范作用。

上海P2P管理實施細則征求意見稿第一章總則

第一條為規(guī)范本市網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)活動，保護出借人、借款人及相關(guān)當事人合法權(quán)益，促進行業(yè)健康發(fā)展，根據(jù)《關(guān)于促進互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見》(銀發(fā)[20xx]221號)、《網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)活動管理暫行辦法》(中國銀監(jiān)會令20xx年第1號)及相關(guān)政策法規(guī)、監(jiān)管規(guī)定，結(jié)合本市實際，制定本辦法。

第二條凡在本市注冊的公司法人從事網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)，適用本辦法，法律法規(guī)另有規(guī)定的除外。

第三條網(wǎng)絡(luò)借貸信息中介機構(gòu)按照依法、誠信、自愿、公平的原則為出借人、借款人提供信息服務(wù)，維護出借人與借款人的合法權(quán)益，不得提供增信服務(wù)，不得直接或間接歸集客戶資金，不得非法集資，不得損害國家利益和社會公共利益。

借款人與出借人遵循借貸自愿、誠實守信、責任自負、風(fēng)險自擔的原則承擔借貸風(fēng)險。網(wǎng)絡(luò)借貸信息中介機構(gòu)承擔客觀、真實、全面、及時進行信息披露的責任，不承擔借貸違約風(fēng)險。

第四條網(wǎng)絡(luò)借貸信息中介機構(gòu)應(yīng)當依法健全公司治理機制，完善內(nèi)部控制、風(fēng)險管理、信息安全、客戶保護等方面制度。

鼓勵網(wǎng)絡(luò)借貸信息中介機構(gòu)引進戰(zhàn)略投資者，增強資本實力;支持網(wǎng)絡(luò)借貸信息中介機構(gòu)聘任具有豐富金融從業(yè)經(jīng)驗的人員擔任高級管理人員、加強員工培訓(xùn)教育，持續(xù)提升從業(yè)人員專業(yè)水平及職業(yè)道德水準。

第五條 在上海市金融綜合監(jiān)管聯(lián)席會議(以下簡稱市聯(lián)席會議)框架下，市金融辦、上海銀監(jiān)局共同牽頭，會同人民銀行上海總部、市通信管理局、市公安局、市工商局、市網(wǎng)信辦等相關(guān)部門，研究制定本市引導(dǎo)網(wǎng)絡(luò)借貸信息中介機構(gòu)規(guī)范發(fā)展的政策措施，指導(dǎo)推進各區(qū)政府開展網(wǎng)絡(luò)借貸信息中介機構(gòu)規(guī)范發(fā)展與行業(yè)管理相關(guān)工作。

第六條市金融辦負責對本市網(wǎng)絡(luò)借貸信息中介機構(gòu)的機構(gòu)監(jiān)管;上海銀監(jiān)局負責對本市網(wǎng)絡(luò)借貸信息中介機構(gòu)的行為監(jiān)管;市通信管理局負責對本市網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)活動涉及的電信業(yè)務(wù)進行監(jiān)管;市公安局負責對本市網(wǎng)絡(luò)借貸信息中介機構(gòu)的互聯(lián)網(wǎng)服務(wù)進行安全監(jiān)管，依法查處違反網(wǎng)絡(luò)安全監(jiān)管的違法違規(guī)活動，打擊網(wǎng)絡(luò)借貸涉及的金融犯罪及相關(guān)犯罪;市網(wǎng)信辦負責對金融信息服務(wù)、互聯(lián)網(wǎng)信息內(nèi)容等業(yè)務(wù)進行監(jiān)管。

本市各區(qū)政府是轄內(nèi)網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)管理和風(fēng)險處置的第一責任人，在市聯(lián)席會議統(tǒng)一領(lǐng)導(dǎo)下，接受市金融辦、上海銀監(jiān)局等相關(guān)部門的業(yè)務(wù)指導(dǎo)，具體承擔對注冊在本轄區(qū)的網(wǎng)絡(luò)借貸信息中介機構(gòu)的日常監(jiān)管、風(fēng)險處置等相關(guān)工作。

第七條市金融辦、上海銀監(jiān)局及各區(qū)政府應(yīng)當配備專門力量，切實履行網(wǎng)絡(luò)借貸信息中介機構(gòu)監(jiān)管職責。

市金融辦、上海銀監(jiān)局及各區(qū)政府明確承擔監(jiān)管職責的部門(以下簡稱區(qū)監(jiān)管部門)根據(jù)工作需要，可委托外部中介機構(gòu)或聘請外部專業(yè)人員輔助開展部分專業(yè)性工作，并應(yīng)當將相應(yīng)費用支出納入年度預(yù)算安排。

第二章備案管理

第八條網(wǎng)絡(luò)借貸信息中介機構(gòu)備案登記按以下程序辦理：

(一)網(wǎng)絡(luò)借貸信息中介機構(gòu)向注冊地所在區(qū)監(jiān)管部門提交書面申請材料;

(二)區(qū)監(jiān)管部門通過多方數(shù)據(jù)比對、信用核查、網(wǎng)上核驗、實地認證、現(xiàn)場勘查、高管約談、部門會商等方式對申請材料進行審查后，認為提出申請的網(wǎng)絡(luò)借貸信息中介機構(gòu)初步符合備案登記相關(guān)規(guī)定的，應(yīng)當在指定的媒體(網(wǎng)站)上就有關(guān)事項向社會公示(公示期為1個月)，接受社會監(jiān)督及投訴舉報;

(三)公示期滿后，如未發(fā)現(xiàn)不符合有關(guān)規(guī)定的情形，由網(wǎng)絡(luò)借貸信息中介機構(gòu)注冊地所在區(qū)政府出具明確意見，與網(wǎng)絡(luò)借貸信息中介機構(gòu)相關(guān)申請材料一并函送市金融辦;

(四)市金融辦收到有關(guān)區(qū)政府出具的書面意見，并經(jīng)征詢上海銀監(jiān)局等市聯(lián)席會議成員單位意見后，認為提出申請的網(wǎng)絡(luò)借貸信息中介機構(gòu)符合備案登記相關(guān)規(guī)定，予以辦理備案登記的，應(yīng)將備案登記情況及網(wǎng)絡(luò)借貸信息中介機構(gòu)相關(guān)信息向社會公示。

第九條監(jiān)管部門同意網(wǎng)絡(luò)借貸信息中介機構(gòu)備案登記的行為，不構(gòu)成對網(wǎng)絡(luò)借貸信息中介機構(gòu)經(jīng)營能力、合規(guī)程度、資信狀況的認可和評價。

第十條新設(shè)立的網(wǎng)絡(luò)借貸信息中介機構(gòu)申請辦理備案登記的，應(yīng)當提交以下申請材料：

(一)備案登記申請書。應(yīng)當載明公司基本信息，包括名稱、住所、注冊資本、實繳資本、法定代表人、經(jīng)營范圍、官方網(wǎng)站網(wǎng)址及ICP備案號、相關(guān)APP等移動端平臺名稱、服務(wù)器所在地等;

(二)企業(yè)法人營業(yè)執(zhí)照正副本復(fù)印件;

(三)公司章程，以及內(nèi)部控制、風(fēng)險管理、信息安全、客戶保護、財務(wù)管理等相關(guān)制度;

(四)經(jīng)營發(fā)展戰(zhàn)略規(guī)劃;

(五)股東資料。包括各股東(股東名冊內(nèi)的股東不得為他人代持股份)名稱(姓名)、出資金額、出資比例等情況，以及企業(yè)股東及個人股東的信用報告，個人股東戶籍地公安機關(guān)出具的無犯罪記錄證明等;

(六)董事、監(jiān)事、高級管理人員(包括總經(jīng)理、副總經(jīng)理和財務(wù)、風(fēng)控、法律合規(guī)、稽核審計部門負責人，及實際履行上述職務(wù)的人員;下同)資料。包括基本信息、個人簡歷、學(xué)歷及相關(guān)專業(yè)資質(zhì)證明、信用報告、戶籍地公安機關(guān)出具的無犯罪記錄證明等;

(七)營業(yè)場所證明材料。包括營業(yè)場所產(chǎn)權(quán)證明、租賃合同等(公司實際經(jīng)營地應(yīng)當與住所相同);

(八)全部分支機構(gòu)及其所在地、負責人;

(九)合規(guī)經(jīng)營承諾書;

(十)本市公安機關(guān)網(wǎng)絡(luò)安全部門出具的信息系統(tǒng)安全審核回執(zhí)(需事前向本市公安機關(guān)網(wǎng)絡(luò)安全部門提交符合國家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國家信息安全等級保護制度要求的證明材料);

(十一)與第三方電子數(shù)據(jù)存證平臺簽訂的委托合同存證的協(xié)議復(fù)印件;

(十二)律師事務(wù)所出具的網(wǎng)絡(luò)借貸信息中介機構(gòu)備案登記法律意見書;

(十三)市金融辦、上海銀監(jiān)局根據(jù)相關(guān)規(guī)定要求提交的其他文件、資料。

區(qū)監(jiān)管部門應(yīng)當在網(wǎng)絡(luò)借貸信息中介機構(gòu)提交的備案登記申請材料齊備時予以受理。

第十一條 在本辦法前已經(jīng)設(shè)立并開展經(jīng)營活動的網(wǎng)絡(luò)借貸信息中介機構(gòu)，各區(qū)監(jiān)管部門應(yīng)當依據(jù)P2P網(wǎng)絡(luò)借貸風(fēng)險專項整治中分類處置有關(guān)工作安排，對合規(guī)類機構(gòu)的備案登記申請予以受理，對整改類機構(gòu)和尚未納入分類處置范圍的機構(gòu)，在其完成對照整改并經(jīng)有關(guān)部門認定后受理其備案登記申請。

在本辦法前已經(jīng)設(shè)立并開展經(jīng)營活動的網(wǎng)絡(luò)借貸信息中介機構(gòu)申請辦理備案登記的，除應(yīng)當提交本辦法第十條規(guī)定的申請材料外，還應(yīng)當補充提供以下材料：

(一)在備案登記申請書中說明網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)經(jīng)營總體情況及產(chǎn)品信息、客戶數(shù)量、業(yè)務(wù)規(guī)模、待償還金額，平臺撮合交易的逾期及其處置情況，以及原有不規(guī)范經(jīng)營行為的整改情況等;

(二)公司信用報告：

(三)律師事務(wù)所對網(wǎng)絡(luò)借貸信息中介機構(gòu)合規(guī)經(jīng)營情況的法律意見(可與網(wǎng)絡(luò)借貸信息中介機構(gòu)備案登記法律意見書合并出具);

(四)公司上一年度會計報表及會計師事務(wù)所出具的審計報告;

(五)在財務(wù)會計報表附注中按要求披露的網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)經(jīng)營信息，以及會計師事務(wù)所出具的網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)經(jīng)營情況專項審計報告;

(六)市金融辦要求提交的其他文件、資料。

新設(shè)立的網(wǎng)絡(luò)借貸信息中介機構(gòu)在取得備案登記前自行開展網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)的，按照本條規(guī)定辦理。

第十二條 對新設(shè)立的網(wǎng)絡(luò)借貸信息中介機構(gòu)，區(qū)監(jiān)管部門應(yīng)當自受理備案登記申請材料之日起40個工作日內(nèi)完成審查工作;市金融辦應(yīng)當自受理有關(guān)區(qū)政府出具的書面意見及網(wǎng)絡(luò)借貸信息中介機構(gòu)提交的備案登記申請材料之日起40個工作日內(nèi)做出辦理備案登記或不予辦理備案登記的決定。

對在本辦法前已經(jīng)設(shè)立并開展經(jīng)營活動的網(wǎng)絡(luò)借貸信息中介機構(gòu)，區(qū)監(jiān)管部門、市金融辦應(yīng)當分別在50個工作日內(nèi)完成審查工作、做出相關(guān)決定。

網(wǎng)絡(luò)借貸信息中介機構(gòu)備案信息公示、按要求補正有關(guān)備案登記材料的時間不計算在上述辦理時限內(nèi)。

第十三條合規(guī)經(jīng)營承諾書需對下列事項進行承諾，并由申請備案登記的網(wǎng)絡(luò)借貸信息中介機構(gòu)、持股5%以上的股東，以及網(wǎng)絡(luò)借貸信息中介機構(gòu)的董事、監(jiān)事、高級管理人員共同簽章確認：

(一)在經(jīng)營期間嚴格遵守《網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)活動管理暫行辦法》及有關(guān)監(jiān)管規(guī)定，依法合規(guī)經(jīng)營;

(二)同意根據(jù)監(jiān)管部門要求及時接入有關(guān)監(jiān)管信息系統(tǒng)，及時報送、上傳相關(guān)數(shù)據(jù);同意并授權(quán)合作的電子數(shù)據(jù)存證服務(wù)機構(gòu)將相關(guān)存證數(shù)據(jù)按要求報送、上傳監(jiān)管部門;同意并授權(quán)合作的資金存管銀行將資金流數(shù)據(jù)按要求報送、上傳監(jiān)管部門;同意并授權(quán)合作的征信機構(gòu)將交易數(shù)據(jù)按要求報送、上傳監(jiān)管部門;

(三)同意監(jiān)管部門將備案登記、日常監(jiān)管中報送的相關(guān)材料向社會公示;

(四)確保及時按要求向監(jiān)管部門報送真實、準確、完整的數(shù)據(jù)、資料;

(五)接受監(jiān)管部門現(xiàn)場檢查及非現(xiàn)場監(jiān)管措施，并確保按照監(jiān)管部門要求及時整改存在的問題。

第十四條律師事務(wù)所出具的網(wǎng)絡(luò)借貸信息中介機構(gòu)備案登記法律意見書，應(yīng)當對網(wǎng)絡(luò)借貸信息中介機構(gòu)提交的備案登記申請材料的真實性，及其工商登記信息、股權(quán)結(jié)構(gòu)、實際控制人、基本運營設(shè)施、公司章程及相關(guān)管理制度、業(yè)務(wù)模式合法合規(guī)情況等逐項發(fā)表結(jié)論性意見;為在本辦法前已經(jīng)設(shè)立并開展經(jīng)營活動的網(wǎng)絡(luò)借貸信息中介機構(gòu)出具的法律意見書，還應(yīng)當對網(wǎng)絡(luò)借貸信息中介機構(gòu)的經(jīng)營行為是否符合《網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)活動管理暫行辦法》及有關(guān)監(jiān)管規(guī)定，以及原有不規(guī)范經(jīng)營行為是否整改到位等逐項發(fā)表結(jié)論性意見。

會計師事務(wù)所為在本辦法前已經(jīng)設(shè)立并開展經(jīng)營活動的網(wǎng)絡(luò)借貸信息中介機構(gòu)出具的業(yè)務(wù)經(jīng)營情況專項審計報告，應(yīng)當包括但不限于對網(wǎng)絡(luò)借貸信息中介機構(gòu)的客戶資金存管、業(yè)務(wù)經(jīng)營數(shù)據(jù)、信息披露、內(nèi)部控制等重點環(huán)節(jié)的審計情況、審計意見。

網(wǎng)絡(luò)借貸信息中介機構(gòu)備案登記法律意見書的出具時間，專項審計報告的報告期截止時間，均應(yīng)在網(wǎng)絡(luò)借貸信息中介機構(gòu)提交備案登記申請的前3個月之內(nèi)。

第十五條網(wǎng)絡(luò)借貸信息中介機構(gòu)取得備案登記后，應(yīng)當在6個月內(nèi)完成以下事項：

(一)涉及經(jīng)營增值電信業(yè)務(wù)的，應(yīng)當按照通信主管部門有關(guān)規(guī)定申請相應(yīng)的業(yè)務(wù)資質(zhì);

(二)選擇在本市設(shè)有經(jīng)營實體且符合相關(guān)條件的商業(yè)銀行進行客戶資金存管。

網(wǎng)絡(luò)借貸信息中介機構(gòu)應(yīng)當在上述每一事項辦理完成后5個工作日內(nèi)，通過注冊地所在區(qū)監(jiān)管部門，向市金融辦書面報備。

第十六條網(wǎng)絡(luò)借貸信息中介機構(gòu)發(fā)生下列變更事項之一的，應(yīng)當在5個工作日內(nèi)，通過注冊地所在區(qū)監(jiān)管部門，向市金融辦申請備案信息變更登記：

(一) 變更名稱;

(二) 變更住所;

(三)變更組織形式;

(四)變更注冊資本;

(五)調(diào)整業(yè)務(wù)范圍;

(六)變更法定代表人及董事、監(jiān)事、高級管理人員;

(七)分立、合并、重組，或變更持股5%以上的股東;

(八)設(shè)立或者撤并分支機構(gòu);

(九)合作的資金存管銀行變更;

(十)增值電信業(yè)務(wù)經(jīng)營許可證變更;

(十一)監(jiān)管部門要求的其他事項。

取得備案登記的網(wǎng)絡(luò)借貸信息中介機構(gòu)辦理變更登記的，應(yīng)當提交變更登記申請書，相關(guān)合同、協(xié)議等證明材料;涉及第(六)、(七)項變更的，還應(yīng)提交律師事務(wù)所出具的法律意見書。

第十七條取得備案登記的網(wǎng)絡(luò)借貸信息中介機構(gòu)計劃終止網(wǎng)絡(luò)借貸信息中介服務(wù)的，應(yīng)當在終止業(yè)務(wù)前至少提前10個工作日，通過注冊地所在區(qū)監(jiān)管部門書面告知市金融辦，并注銷備案登記。

取得備案登記的網(wǎng)絡(luò)借貸信息中介機構(gòu)依法解散或者依法宣告破產(chǎn)的，除依法進行清算外，由注冊地所在區(qū)監(jiān)管部門提請市金融辦注銷其備案登記。

第三章風(fēng)險管理與客戶保護

第十八條網(wǎng)絡(luò)借貸信息中介機構(gòu)應(yīng)當接入本市網(wǎng)絡(luò)金融征信系統(tǒng)(接入時間應(yīng)當在取得備案登記后3個月內(nèi),條件成熟時應(yīng)當及時接入金融信用信息基礎(chǔ)數(shù)據(jù)庫)，并依法提供、查詢和使用有關(guān)信用信息。

第十九條網(wǎng)絡(luò)借貸信息中介機構(gòu)應(yīng)當在其互聯(lián)網(wǎng)平臺及相關(guān)文件、協(xié)議中以醒目方式向出借人提示網(wǎng)絡(luò)借貸風(fēng)險、禁止性行為，明示出借人風(fēng)險自擔，并應(yīng)經(jīng)出借人確認。

第二十條網(wǎng)絡(luò)借貸信息中介機構(gòu)應(yīng)當建立客戶適當性管理制度。

網(wǎng)絡(luò)借貸信息中介機構(gòu)應(yīng)當對出借人的年齡、財務(wù)狀況、投資經(jīng)驗、風(fēng)險偏好、風(fēng)險承受能力等進行盡職評估，不得向未進行風(fēng)險評估和風(fēng)險評估不合格的出借人提供交易服務(wù)。

網(wǎng)絡(luò)借貸信息中介機構(gòu)應(yīng)當對借款人的年齡、身份、借款用途、還款能力、資信情況等進行必要審查，避免為不適當?shù)慕杩钊颂峁┙灰追?wù)。

第二十一條網(wǎng)絡(luò)借貸信息中介機構(gòu)應(yīng)當建立客戶信息安全保護及投訴處理制度，不得不當使用、泄露客戶信息，對客戶投訴應(yīng)當依法、及時答復(fù)處理。

第二十二條網(wǎng)絡(luò)借貸信息中介機構(gòu)應(yīng)當建立信息披露制度，嚴格按照有關(guān)行業(yè)監(jiān)管制度、自律準則開展信息披露;鼓勵網(wǎng)絡(luò)借貸信息中介機構(gòu)結(jié)合自身實際，更加全面、及時地向社會公眾、平臺客戶進行信息披露。

第四章監(jiān)督管理

第二十三條市金融辦負責本市網(wǎng)絡(luò)借貸信息中介機構(gòu)的機構(gòu)監(jiān)管，上海銀監(jiān)局協(xié)助、配合市金融辦開展相關(guān)工作，包括辦理網(wǎng)絡(luò)借貸信息中介機構(gòu)備案及變更、注銷登記，組織、指導(dǎo)各區(qū)監(jiān)管部門、相關(guān)行業(yè)自律組織對網(wǎng)絡(luò)借貸信息中介機構(gòu)經(jīng)營數(shù)據(jù)進行統(tǒng)計分析、做好相關(guān)風(fēng)險防范處置等。

上海銀監(jiān)局負責本市網(wǎng)絡(luò)借貸信息中介機構(gòu)的日常行為監(jiān)管。市金融辦協(xié)助、配合上海銀監(jiān)局組織開展合規(guī)認定、非現(xiàn)場監(jiān)測與現(xiàn)場檢查、投資者保護等行為監(jiān)管工作。

各區(qū)監(jiān)管部門接受市金融辦、上海銀監(jiān)局的業(yè)務(wù)指導(dǎo)，具體承擔對轄內(nèi)網(wǎng)絡(luò)借貸信息中介機構(gòu)的日常監(jiān)管職責。

國家有關(guān)部門對網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)管理職責分工另有規(guī)定的，從其規(guī)定。

第二十四條上海市互聯(lián)網(wǎng)金融行業(yè)協(xié)會等行業(yè)自律組織接受相關(guān)監(jiān)管部門的指導(dǎo)、監(jiān)督，開展本市網(wǎng)絡(luò)借貸信息中介行業(yè)自律管理，并履行下列職責：

(一)制定信息披露、產(chǎn)品登記、從業(yè)人員管理等方面的自律規(guī)則，以及有關(guān)行業(yè)標準并組織實施，教育會員遵守法律法規(guī)及有關(guān)行業(yè)監(jiān)管規(guī)定;

(二)依法維護會員的合法權(quán)益，協(xié)調(diào)會員關(guān)系，組織相關(guān)培訓(xùn)，向會員提供行業(yè)信息、法律咨詢等服務(wù)，調(diào)解會員糾紛;

(三)接受有關(guān)投訴、舉報，開展自律檢查;

(四)法律法規(guī)、有關(guān)行業(yè)監(jiān)管規(guī)定及監(jiān)管部門賦予的其他職責。

第二十五條網(wǎng)絡(luò)借貸信息中介機構(gòu)應(yīng)當實行自身資金與出借人和借款人資金的隔離管理，并選擇符合條件的商業(yè)銀行作為出借人與借款人的資金存管機構(gòu)。

資金存管機構(gòu)對出借人與借款人開立和使用資金賬戶進行管理和監(jiān)督，并根據(jù)合同約定，對出借人與借款人的資金進行存管、劃付、核算和監(jiān)督。

資金存管機構(gòu)承擔實名開戶、履行合同約定及借貸交易指令表面一致性的形式審核責任，但不承擔融資項目及借貸交易信息真實性的實質(zhì)審核責任。

資金存管機構(gòu)應(yīng)當按照有關(guān)行業(yè)監(jiān)管規(guī)定報送數(shù)據(jù)信息并依法接受相關(guān)監(jiān)督管理。

第二十六條網(wǎng)絡(luò)借貸信息中介機構(gòu)應(yīng)當在下列重大事件發(fā)生后，立即采取應(yīng)急措施，并通過注冊地所在區(qū)監(jiān)管部門向市金融辦、上海銀監(jiān)局報告情況：

(一)因經(jīng)營不善等原因出現(xiàn)重大經(jīng)營風(fēng)險;

(二)網(wǎng)絡(luò)借貸信息中介機構(gòu)或其董事、監(jiān)事、高級管理人員發(fā)生重大違法違規(guī)行為;

(三)因商業(yè)欺詐行為被起訴，包括違規(guī)擔保、夸大宣傳、虛構(gòu)隱瞞事實、虛假信息、簽訂虛假合同、錯誤處置資金等行為。

各區(qū)監(jiān)管部門應(yīng)當建立本轄區(qū)網(wǎng)絡(luò)借貸信息中介機構(gòu)重大事件的發(fā)現(xiàn)、報告和處置制度，制定處置預(yù)案，及時、有效地協(xié)調(diào)處置有關(guān)重大事件。

市金融辦應(yīng)當及時將本市網(wǎng)絡(luò)借貸信息中介機構(gòu)重大風(fēng)險及其處置情況報送市政府、國務(wù)院銀行業(yè)監(jiān)督管理機構(gòu)和中國人民銀行。

第二十七條 網(wǎng)絡(luò)借貸信息中介機構(gòu)發(fā)生下列情形的，應(yīng)當在5個工作日內(nèi)通過注冊地所在區(qū)監(jiān)管部門向市金融辦、上海銀監(jiān)局報告：

(一)因違規(guī)經(jīng)營行為被查處或被起訴;

(二)董事、監(jiān)事、高級管理人員發(fā)生違反境內(nèi)外相關(guān)法律法規(guī)的行為;

(三)監(jiān)管部門要求報告的其他情形。

第二十八條每年度結(jié)束后，網(wǎng)絡(luò)借貸信息中介機構(gòu)應(yīng)當聘請會計師事務(wù)所對本公司財務(wù)會計報告、網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)經(jīng)營情況進行審計，聘請律師事務(wù)所對本公司業(yè)務(wù)合規(guī)情況進行評估，聘請具有信息安全等級保護測評資質(zhì)的專業(yè)機構(gòu)對本公司信息系統(tǒng)安全等級情況進行測評，并應(yīng)在上年度結(jié)束后4個月內(nèi)向注冊地所在區(qū)監(jiān)管部門報送相關(guān)審計報告、評估報告及信息安全等級測評報告。

網(wǎng)絡(luò)借貸信息中介機構(gòu)應(yīng)當于每月5日前，向注冊地所在區(qū)監(jiān)管部門報送上月經(jīng)營情況統(tǒng)計表、財務(wù)會計報表;于每季度首月10日前，向注冊地所在區(qū)監(jiān)管部門報送合規(guī)經(jīng)營情況自評報告。

各區(qū)監(jiān)管部門應(yīng)當在每月10日前，向市金融辦、上海銀監(jiān)局報送轄內(nèi)網(wǎng)絡(luò)借貸信息中介機構(gòu)上月經(jīng)營情況匯總統(tǒng)計表、相關(guān)財務(wù)會計報表;于每季度首月15日前，向市金融辦、上海銀監(jiān)局報送轄內(nèi)網(wǎng)絡(luò)借貸信息中介機構(gòu)合規(guī)經(jīng)營情況分析報告。

第二十九條市金融辦可以根據(jù)本辦法和有關(guān)行業(yè)監(jiān)管規(guī)定，指導(dǎo)各區(qū)監(jiān)管部門對備案登記的網(wǎng)絡(luò)借貸信息中介機構(gòu)進行評估分類，并可將分類結(jié)果向社會公示。

第三十條市金融辦、上海銀監(jiān)局、各區(qū)監(jiān)管部門應(yīng)當會同各有關(guān)方面，加強對網(wǎng)絡(luò)借貸信息中介機構(gòu)的社會信用聯(lián)合激勵和懲戒，在行業(yè)內(nèi)促進形成守信受益、失信受限的誠信氛圍。

第三十一條市金融辦、上海銀監(jiān)局應(yīng)當會同相關(guān)部門，共同推動建設(shè)本市網(wǎng)絡(luò)借貸信息中介機構(gòu)監(jiān)管信息系統(tǒng)，逐步將本市網(wǎng)絡(luò)借貸信息中介機構(gòu)的基本信息、業(yè)務(wù)信息、信用信息、監(jiān)管信息、風(fēng)險預(yù)警信息等納入系統(tǒng)進行動態(tài)管理，促進建立健全監(jiān)管信息共享與工作協(xié)同機制。

第五章法律責任

第三十二條網(wǎng)絡(luò)借貸信息中介機構(gòu)違反法律法規(guī)和網(wǎng)絡(luò)借貸有關(guān)監(jiān)管規(guī)定，有關(guān)法律法規(guī)有處罰規(guī)定的，依照其規(guī)定給予處罰;有關(guān)法律法規(guī)未作處罰規(guī)定的，監(jiān)管部門可以采取監(jiān)管談話、出具警示函、責令改正、通報批評、將其違法違規(guī)和不履行承諾等情況記入誠信檔案并公布等監(jiān)管措施，以及給予警告、人民幣3萬元以下罰款和依法可以采取的其他處罰措施;涉嫌犯罪的，移送有關(guān)部門依法處理;相關(guān)信息按規(guī)定報送有關(guān)公共信用信息平臺。

網(wǎng)絡(luò)借貸信息中介機構(gòu)違反法律規(guī)定從事非法集資或欺詐活動的，按照相關(guān)法律法規(guī)和有關(guān)工作機制處理;涉嫌犯罪的，移送有關(guān)部門依法處理。

第三十三條 取得備案登記的網(wǎng)絡(luò)借貸信息中介機構(gòu)有下列情形之一的，上海銀監(jiān)局、注冊地所在區(qū)監(jiān)管部門可以建議市金融辦注銷其備案登記，市金融辦也可以直接注銷其備案登記：

(一)通過虛假、欺騙手段取得備案登記的;

(二)嚴重違反有關(guān)法律法規(guī)及行業(yè)監(jiān)管規(guī)定的;

(三)監(jiān)管部門通過實地調(diào)查、電話聯(lián)系及其他監(jiān)管手段仍對企業(yè)和企業(yè)相關(guān)人員查無下落;或雖然可以聯(lián)系到企業(yè)一般工作人員，但其并不知悉企業(yè)運營情況也不能聯(lián)系到企業(yè)實際控制人的;

(四)取得備案登記后6個月內(nèi)未開展網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)，或停止開展網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)連續(xù)滿6個月的;

(五)拒不落實有關(guān)監(jiān)管工作要求的。

市金融辦應(yīng)將注銷網(wǎng)絡(luò)借貸信息中介機構(gòu)備案登記情況向社會公示,并函告上海銀監(jiān)局、市公安局、市工商局、市通信管理局、市網(wǎng)信辦等相關(guān)部門。

第三十四條網(wǎng)絡(luò)借貸信息中介機構(gòu)的股東、實際控制人及董事、監(jiān)事、高級管理人員在公司設(shè)立及經(jīng)營過程中弄虛作假，或損害網(wǎng)絡(luò)借貸信息中介機構(gòu)及其他利益相關(guān)方合法權(quán)益的，市金融辦、上海銀監(jiān)局及注冊地所在區(qū)監(jiān)管部門可將相關(guān)情況通報有關(guān)部門、報送有關(guān)公共信用信息平臺，并按規(guī)定對相關(guān)責任人員實施市場和行業(yè)禁入措施;涉嫌犯罪的，移送有關(guān)部門依法處理。

第三十五條出借人及借款人違反法律法規(guī)及網(wǎng)絡(luò)借貸有關(guān)監(jiān)管規(guī)定的，依照有關(guān)規(guī)定給予處罰;涉嫌犯罪的，移送有關(guān)部門依法處理。

第三十六條在網(wǎng)絡(luò)借貸信息中介機構(gòu)備案登記、日常監(jiān)管過程中出具審計報告、法律意見書、測評報告等文件的專業(yè)機構(gòu)和人員，應(yīng)當按照相關(guān)執(zhí)業(yè)規(guī)則規(guī)定的工作程序出具相應(yīng)文件，并應(yīng)對其所出具文件內(nèi)容的真實性、準確性和完整性進行核查和驗證;市金融辦、上海銀監(jiān)局及各區(qū)監(jiān)管部門發(fā)現(xiàn)相關(guān)文件中存在虛假記載、誤導(dǎo)性陳述或重大遺漏的，可將相關(guān)情況向社會公示，并移送有關(guān)行業(yè)主管部門、相關(guān)行業(yè)自律組織處理。

第六章附則

第三十七條 網(wǎng)絡(luò)借貸信息中介機構(gòu)的業(yè)務(wù)規(guī)則、風(fēng)險管理、信息披露，以及出借人與借款人保護等相關(guān)事宜，按照《網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)活動管理暫行辦法》及相關(guān)監(jiān)管規(guī)定執(zhí)行。

第三十八條網(wǎng)絡(luò)借貸信息中介機構(gòu)設(shè)立的分支機構(gòu)無需辦理備案登記。

各區(qū)監(jiān)管部門應(yīng)當將本轄區(qū)備案登記的網(wǎng)絡(luò)借貸信息中介機構(gòu)設(shè)立分支機構(gòu)情況，及時告知分支機構(gòu)所在地的市(區(qū)、縣)監(jiān)管部門。

第三十九條 在本辦法前已經(jīng)設(shè)立并開展經(jīng)營活動的網(wǎng)絡(luò)借貸信息中介機構(gòu)不符合相關(guān)監(jiān)管規(guī)定的，除違法犯罪行為依法追究刑事責任外，應(yīng)當根據(jù)《網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)活動管理暫行辦法》的相關(guān)規(guī)定或有關(guān)監(jiān)管部門在互聯(lián)網(wǎng)金融風(fēng)險專項整治過程中的監(jiān)管要求及時進行整改;在規(guī)定或要求的整改時限內(nèi)無法完成整改的，應(yīng)向注冊地所在區(qū)監(jiān)管部門提交書面報告并說明原因及后續(xù)整改計劃，經(jīng)注冊地所在區(qū)監(jiān)管部門同意后，應(yīng)在要求的時間內(nèi)完成整改并及時遞交申請材料。

篇8

 

從90年代互聯(lián)網(wǎng)進入中國以來，企業(yè)信息網(wǎng)絡(luò)化的努力就一直沒有停止過。

 

從剛開始簡單地在網(wǎng)上一個自己的主頁,陸續(xù)出現(xiàn)的各種網(wǎng)上交易方式如B2B,B2C模式，企業(yè)信息化的ASP模式，到如今的網(wǎng)格化計算、SOA，互聯(lián)網(wǎng)給企業(yè)帶來的似乎一直都是一浪接一浪的新理念和希望。

 

想象一下某個山區(qū)角落里的不起眼小公司憑借著網(wǎng)絡(luò)也能夠和全世界的伙伴發(fā)生貿(mào)易，這種誘人前景導(dǎo)致的20世紀末到本世紀初幾年的互聯(lián)網(wǎng)泡沫雖然一度破滅，仍擋不住轟轟烈烈的企業(yè)信息化浪潮腳步。

 

圍繞數(shù)據(jù)的一場戰(zhàn)爭

 

在互聯(lián)網(wǎng)為企業(yè)帶來巨大機遇和發(fā)展的同時，也會給人們帶來了很多不曾預(yù)料到的不和諧音符。二十一世紀第一年，紅色代碼病毒席卷全球，估計造成了約22億美元的損失。

 

然而，這一切僅僅是開始，這一事件標志著傳統(tǒng)通過拷貝這類手段的病毒傳播方式基本讓位于互聯(lián)網(wǎng)傳播方式，而利用系統(tǒng)漏洞的遠程入侵技術(shù)和傳統(tǒng)病毒自我復(fù)制的完美結(jié)合則給后來的制造者們帶來了無限靈感。既然可以控制別人的電腦，那為什么不用它來做些什么呢?于是特洛伊木馬、竊聽、密碼破解、遠程控制、服務(wù)器欺騙、網(wǎng)站釣魚、間諜軟件、廣告軟件、惡意軟件這些原本僅用于入侵的新老技術(shù)在病毒中接踵而來。

 

如果說上世紀八九十年代里那些病毒作者們以及系統(tǒng)黑客純粹是為了炫耀自己的技術(shù)能力的話，那么如今越來越多所謂“駭客”們在巨大金錢誘惑中則完全背棄了他們的技術(shù)理想，僅僅癱瘓一個服務(wù)器對他們來說獲益頗小，他們研究發(fā)明這些技術(shù)手段的終極目標只有一個:真真實實的利益，而最能給他們帶來好處的，就是數(shù)據(jù)。

 

竊取一個企業(yè)的客戶資料后賣給競爭對手在那些競爭激烈的行業(yè)中是一件非常賺錢的買賣;以高價為競爭對手刪除對手的關(guān)鍵數(shù)據(jù)資料也是一個不錯的選擇。

 

想象中的信息戰(zhàn)尚未在國家間開始，但一場圍繞著數(shù)據(jù)的企業(yè)間戰(zhàn)爭伴隨著企業(yè)信息化的過程悄無聲息在互聯(lián)網(wǎng)上開始了。

 

互聯(lián)網(wǎng)上的新威脅

 

由于到目前為止實際應(yīng)用中仍缺乏安全的操作系統(tǒng)、計算機網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)，導(dǎo)致企業(yè)信息化過程中，關(guān)鍵數(shù)據(jù)面臨著來自一系列來自網(wǎng)絡(luò)的威脅。由于互聯(lián)網(wǎng)的便利性，入侵只需要一臺計算機、一個物理聯(lián)系就能在全球任意一個角落任何一個時間上發(fā)起遠距離攻擊，而現(xiàn)有的科技手段也難以偵察到計算機恐怖分子的行蹤。

 

而大多數(shù)管理者對網(wǎng)絡(luò)安全不甚了解,存在巨大管理漏洞。不重視信息系統(tǒng)和網(wǎng)絡(luò)安全，只重視物理安全，而不重視邏輯安全;只重視單機安全，而不重視網(wǎng)絡(luò)安全也加劇了威脅的嚴重性。這些威脅按其作用對象來看可以分為直接針對對數(shù)據(jù)庫的威脅、針對主機的威脅、針對應(yīng)用系統(tǒng)的威脅。

 

數(shù)據(jù)庫系統(tǒng)是應(yīng)用數(shù)據(jù)存儲的核心位置，一旦控制了數(shù)據(jù)庫系統(tǒng)即可以隨意控制系統(tǒng)的行為，獲得任何想要的數(shù)據(jù)，然而目前在市場應(yīng)用中使用的數(shù)據(jù)庫系統(tǒng)通常只達到C2級安全標準，缺少更高級別的安全系統(tǒng)?，F(xiàn)有的系統(tǒng)一旦被攻擊者獲得訪問數(shù)據(jù)庫的賬號，則幾乎沒有什么手段可以阻止這一行為，更沒有手段進行縱深防御。而因為沒有充分培訓(xùn)的DBA等原因，企業(yè)對數(shù)據(jù)庫系統(tǒng)的防衛(wèi)幾乎是一個空白。

 

針對主機操作系統(tǒng)的威脅是針對主機使用的操作系統(tǒng)，目前通用的windows操作系統(tǒng)和Unix/Linux操作系統(tǒng)平臺是企業(yè)常用的信息化軟件運行平臺。然而由于現(xiàn)有操作系統(tǒng)的復(fù)雜性，開發(fā)廠商永遠無法保證系統(tǒng)的絕對安全。

 

事實上，windows從以來一直在發(fā)現(xiàn)新的安全問題，雖然廠商及時的有針對地安全補丁。然而一方面一些高技術(shù)水平的入侵者手中往往掌握不為人知的安全漏洞，另一方面很多時候企業(yè)無法實時的更新系統(tǒng)，導(dǎo)致針對操作系統(tǒng)的威脅層出不窮。一旦主機被控制，關(guān)鍵數(shù)據(jù)的安全就基本無法得到保障了。

 

針對應(yīng)用系統(tǒng)的威脅主要是來自于企業(yè)應(yīng)用系統(tǒng)在編制過程中的問題。由于安全性和開發(fā)效率以使用效率總是一個矛盾，安全性和易用性也總難兩全。

 

因此，在信息化系統(tǒng)建設(shè)過程中，重開發(fā)進度，重應(yīng)用效果，重用戶滿意度，輕安全防護已經(jīng)基本上成為了軟件領(lǐng)域內(nèi)的一個通病，這樣開發(fā)出的系統(tǒng)常常是系統(tǒng)能夠正常工作，但卻留下了相當多的安全漏洞和安全隱患。

 

例如，程序員不檢查用戶輸入導(dǎo)致非常訪問數(shù)據(jù)、不檢查數(shù)組邊界導(dǎo)致的遠程緩沖區(qū)溢出都是典型的例子。即使在一些著名的軟件中也不能完全避免這些問題。

 

魔高一尺，道高一丈

 

面對著這些方方面面的威脅，企業(yè)是否是束手無策呢?

 

當然不是，正所謂魔高一尺，道高一丈。在保衛(wèi)自己的數(shù)據(jù)的戰(zhàn)爭中，企業(yè)有相當多的武器。伴隨著2000年后安全問題的突出，數(shù)據(jù)安全領(lǐng)域內(nèi)的技術(shù)一直在不斷進步。防火墻、病毒防火墻、入侵檢測系統(tǒng)、數(shù)據(jù)加密、VPN、證書系統(tǒng)、生物認證等各種新技術(shù)都能夠為企業(yè)提供高安全的數(shù)據(jù)保障方案;數(shù)據(jù)庫廠商紛紛在產(chǎn)品中添加各項安全特性;操作系統(tǒng)廠商如微軟也推出了系統(tǒng)和軟件的自動更新安全補丁的功能;在數(shù)據(jù)傳輸上，SSL被普遍引入以保證數(shù)據(jù)不被非法竊聽。

 

然而這并非意味著企業(yè)信息化一旦使用了這些方案就可以高枕無憂。許多企業(yè)盡管擁有了先進而昂貴的信息安全設(shè)備，但“政策”或“人”往往無法配合，產(chǎn)生了很大問題。正如在戰(zhàn)爭中人的因素是主因一樣，技術(shù)的提升如果不配以相關(guān)使用人員的意識提升，再好的盾牌也不會有太大的功效。

 

另一方面，由于互聯(lián)網(wǎng)的開放性，安全威脅會發(fā)生任何一個時間內(nèi)，讓人防不勝防，沒有人能夠24 小時全年無休止地工作，除了別有用心的入侵者。僅僅將問題歸咎于信息部門人員，既不公平也無助于解決問題。賽門鐵克最新的互聯(lián)網(wǎng)安全威脅報告指出，威脅利用漏洞的速度越來越快，其擴散的速度也越來越快，往往超過了我們的響應(yīng)速度。

 

2007年初，一個技術(shù)上并不十分先進僅靠著病毒作者“勤奮”的不斷推出新變種讓防毒軟件公司無法做到實時跟進的“熊貓燒香”病毒竟然讓一些大型網(wǎng)站的網(wǎng)頁都一度感染上病毒，這證明了在國內(nèi)的企業(yè)信息化領(lǐng)域內(nèi)，安全遠不僅僅是一個技術(shù)問題。因此，要真正地防御這些問題，保障關(guān)鍵數(shù)據(jù)的安全性，必須要做到信息保障制度、技術(shù)、人員意識三者的有機結(jié)合。

 

在安全制度建設(shè)方面，我國已于2006年制定并頒布了最新國家標準GBT 20269-2006標準，規(guī)定了信息系統(tǒng)的安全的管理要求，而GBT 20272-2006 和GBT 20273-2006分別提出了數(shù)據(jù)庫管理系統(tǒng)和操作系統(tǒng)的安全要求。

 

遵循這些新標準從管理、技術(shù)、法律上建立一組完善的信息安全等級保護制度和信息安全測評、信息安全報告制度，從制度對數(shù)據(jù)安全進行保障是必不可少的一步，也是基礎(chǔ)性的一步。

 

在信息安全的所有相關(guān)因素中，人是最活躍的因素。技術(shù)和制度都必須有人才能進行落實，人特別是內(nèi)部員工既可以是對信息系統(tǒng)的最大潛在威脅，也可以是最可靠的安全防線。

 

對人的管理包括信息安全法律法規(guī)與安全政策的約束，培養(yǎng)人員的安全意識，通過各種技術(shù)培訓(xùn)人的安全技能。只有完成了這步工作，各項安全工作的開展才有了基本的動力。從技術(shù)上來看，建立縱深防御是近年來發(fā)展起來的一個嶄新的安全思想，它的精髓在于不把安全簡單依賴于某種單一技術(shù)如防火墻。

 

而是從各個層面中根據(jù)信息資產(chǎn)保護的不同等級來保障信息與信息系統(tǒng)的安全，實現(xiàn)預(yù)警、保護、檢測、反應(yīng)和恢復(fù)這五個安全內(nèi)容。建立一個有效、可行的企業(yè)數(shù)據(jù)安全體系必須在企業(yè)信息化建設(shè)的初期就充分考慮網(wǎng)絡(luò)上存在的安全威脅，然后充分利用各種現(xiàn)有的技術(shù)，在網(wǎng)絡(luò)關(guān)口、關(guān)鍵主機、內(nèi)部網(wǎng)絡(luò)、審計等各個層次上建立起一系列縱深的安全保證系統(tǒng)，確保在某一種技術(shù)失效的情況仍能發(fā)現(xiàn)潛在的入侵，保護數(shù)據(jù)的安全。

 

通過建立起數(shù)據(jù)備份、自動恢復(fù)等措施保證系統(tǒng)的正常運行。

 

通過數(shù)據(jù)加密等手段保證數(shù)據(jù)不被非法讀取。通過這些技術(shù)的結(jié)合，為企業(yè)信息化的數(shù)據(jù)安全提供堅實的保證。

 

雖然有人悲觀地預(yù)言由于安全性問題將導(dǎo)致互聯(lián)網(wǎng)的最終消失，然而互聯(lián)網(wǎng)給企業(yè)信息化所帶來的巨大收益仍能使人樂觀地相信，通過各方面的努力，我們?nèi)杂心芰?shù)據(jù)安全威脅控制在可接受的范圍內(nèi)，從而打贏這場戰(zhàn)爭。

篇9

關(guān)注趨勢旨在為大家在前進的道路上找到風(fēng)向標，并且啟發(fā)思維。關(guān)注趨勢的另一個收益是去衡量和知曉行業(yè)發(fā)展的階段，隨著醫(yī)療信息化發(fā)展的步伐不斷邁進，當下的我們已經(jīng)走到了信息技術(shù)的深度應(yīng)用時期。

聚焦自身

2014年是全面深化上海醫(yī)改、促進內(nèi)涵發(fā)展的關(guān)鍵之年，是推進上海衛(wèi)生信息化建設(shè)更好地配合醫(yī)改、配合公立醫(yī)院改革的關(guān)鍵之年。因此，上海衛(wèi)生信息化在完成既定規(guī)劃建設(shè)任務(wù)同時，個人認為將會重點做好以下幾方面工作。

1.在完善健康信息網(wǎng)建設(shè)同時，重點推進綜合管理平臺建設(shè)與應(yīng)用。

“上海健康信息網(wǎng)”已完成市區(qū)兩級平臺、醫(yī)聯(lián)擴容、對外門戶和公共衛(wèi)生相關(guān)業(yè)務(wù)內(nèi)容建設(shè)。目前，健康檔案數(shù)據(jù)庫已建立3000萬份動態(tài)健康檔案；電子病歷數(shù)據(jù)庫已采集近40億條個人診療記錄（截至2013年底），每天新增1600萬條診療記錄；在公共衛(wèi)生領(lǐng)域，實現(xiàn)了五大疾病和死亡報告在試點區(qū)和市疾控中心的三級聯(lián)動；在社區(qū)衛(wèi)生服務(wù)領(lǐng)域，實現(xiàn)了全面的基層信息標準化改造；在醫(yī)院體系，實現(xiàn)了醫(yī)生工作站的全面覆蓋。

2014年，為了配合《上海市公立醫(yī)院改革三年行動計劃》的實施，將會重點推進市區(qū)二級綜合管理平臺的建設(shè)和應(yīng)用，通過從生產(chǎn)性應(yīng)用系統(tǒng)直接采集數(shù)據(jù)，并加強數(shù)據(jù)的綜合利用和分析，逐步實現(xiàn)衛(wèi)生全行業(yè)動態(tài)化、精細化管理，促進管理模式的轉(zhuǎn)變，進一步增強政府監(jiān)管能力以及醫(yī)改政策落實的導(dǎo)向力，使相關(guān)數(shù)據(jù)在支撐綜合決策過程中，成為政府落實監(jiān)管目標最直接、有效的作用力。

綜合管理平臺建設(shè)，在市區(qū)二級的整體架構(gòu)下，通過整合市級健康網(wǎng)和區(qū)縣衛(wèi)生信息平臺數(shù)據(jù)，全市將逐步形成互聯(lián)互通的市區(qū)二級綜合信息管理體系，加強醫(yī)療公共監(jiān)管，完善政府財政投入機制，優(yōu)化醫(yī)療機構(gòu)的績效評價與薪酬總額核定機制，以實現(xiàn)政府對深化醫(yī)藥衛(wèi)生體制改革落實情況的實時監(jiān)測、宏觀調(diào)控和科學(xué)決策的目標。

2.在醫(yī)院自評基礎(chǔ)上，全面推進二級以上醫(yī)院電子病歷應(yīng)用水平分級評估工作。

經(jīng)過多年應(yīng)用探索，上海市電子病歷應(yīng)用水平得到明顯提升，主要表現(xiàn)為：所有醫(yī)療機構(gòu)已建成并已運行支撐開展電子病歷應(yīng)用的主要臨床信息系統(tǒng)；通過各醫(yī)療機構(gòu)自查，本市醫(yī)療機構(gòu)已實現(xiàn)的業(yè)務(wù)信息系統(tǒng)功能與衛(wèi)生部現(xiàn)制定的功能規(guī)范通過調(diào)研結(jié)果比對，符合率達到70%左右；電子醫(yī)囑功能已全部實現(xiàn)；90%以上機構(gòu)已基本實現(xiàn)醫(yī)療信息數(shù)據(jù)上傳（市級數(shù)據(jù)平臺）和實現(xiàn)醫(yī)療安全提示。目前，我們正在建立并逐步完善市級醫(yī)療衛(wèi)生數(shù)據(jù)平臺的基礎(chǔ)上，探索開發(fā)建立醫(yī)療質(zhì)量監(jiān)管系統(tǒng)、抗菌素合理應(yīng)用監(jiān)管系統(tǒng)、權(quán)威的集中式開放式醫(yī)學(xué)知識庫服務(wù)平臺，更好地支持電子病歷應(yīng)用。

2014年我們的工作重點，將在國家衛(wèi)生計生委制定的電子病歷應(yīng)用水平分級評估標準的框架下，結(jié)合上海應(yīng)用實踐，開展上海地區(qū)醫(yī)院的電子病歷應(yīng)用水平分級評估工作，“以評促建”，通過全面推動電子病歷的應(yīng)用，大幅提升醫(yī)院的管理、服務(wù)水平，并將電子病歷應(yīng)用水平分級評估結(jié)果納入對單位的年度考核指標之中。

3.在持續(xù)多年開展醫(yī)院信息安全測評基礎(chǔ)上，完成三級醫(yī)療機構(gòu)、區(qū)縣級區(qū)域平臺信息安全等保測評工作。

2014年起，我們將在全面定級備案的基礎(chǔ)上，完成三級醫(yī)療機構(gòu)、區(qū)縣級區(qū)域平臺信息安全等保測評工作，并將是否按要求通過三級等保測評納入對單位的年度考核指標之中。

4.在應(yīng)用調(diào)研基礎(chǔ)上，積極開展醫(yī)院信息集成平臺建設(shè)、應(yīng)用的探索。

在醫(yī)療衛(wèi)生領(lǐng)域中，盡管醫(yī)院信息化發(fā)展較快、應(yīng)用較好、覆蓋較全，但由于自主式、探索性發(fā)展的歷史原因，缺少信息資源規(guī)劃，缺乏頂層設(shè)計，尤其，隨著應(yīng)用的不斷拓展和區(qū)域醫(yī)療業(yè)務(wù)協(xié)同的需求，原有架構(gòu)的不科學(xué)、不合理性逐步顯現(xiàn)，生產(chǎn)性業(yè)務(wù)系統(tǒng)的數(shù)據(jù)顆粒度不細，數(shù)據(jù)項不全，系統(tǒng)間數(shù)據(jù)不一致，造成數(shù)據(jù)難以更好的利用，醫(yī)院信息化進一步發(fā)展遇到了技術(shù)難題。

事實使大家認識到：原來的基礎(chǔ)架構(gòu)已不適應(yīng)現(xiàn)在的應(yīng)用需求，醫(yī)院信息集成平臺建設(shè)已刻不容緩，這是提高醫(yī)院信息化應(yīng)用水平的必經(jīng)之路，必要任務(wù)；雖然市面上，目前還沒有比較成熟的方案和產(chǎn)品，但對集成平臺將實現(xiàn)的基本目標有了比較一致的看法，這就是至少包括 “四大整合”（系統(tǒng)整合、數(shù)據(jù)整合、門戶整合、資源整合）；許多醫(yī)院和開發(fā)商已開始積極探索和嘗試醫(yī)院信息集成平臺建設(shè)。

2014年我們將會組織力量在應(yīng)用調(diào)研基礎(chǔ)上，積極開展醫(yī)院信息集成平臺建設(shè)、應(yīng)用的研究和探索，制定相關(guān)技術(shù)規(guī)范，為醫(yī)院信息化建設(shè)健康發(fā)展保駕護航。

2014年，我們醫(yī)院的工作重點主要集中在以下幾個方面：

（1）梳理醫(yī)院各項統(tǒng)計查詢指標，升級醫(yī)院統(tǒng)一查詢系統(tǒng)（類似BI的部分功能）。

其主要功能是：

? 將醫(yī)院所有的統(tǒng)計查詢需求按照“收費”、“工作負荷”、“醫(yī)療質(zhì)量”、“物資/藥品消耗”、“醫(yī)?！?、“績效”等大類別細化到每個統(tǒng)計點，每個統(tǒng)計點應(yīng)當有固定的公式、文獻或文件支撐。

? 從統(tǒng)計指標庫中抽出單個項目，進行各種組合，以滿足醫(yī)院不同部門及不同層級人員的對數(shù)據(jù)統(tǒng)計的需求。

? 從工作數(shù)據(jù)庫的“鏡像”服務(wù)器上實時提取各項指標；月度、年度等指標從中間的數(shù)據(jù)倉庫提取。

出發(fā)點：醫(yī)院信息系統(tǒng)建設(shè)了很多，每個系統(tǒng)都自帶一部分統(tǒng)計查詢功能。但是由于關(guān)注點不同，統(tǒng)計周期和細節(jié)的差異，從不同系統(tǒng)中出來的數(shù)據(jù)經(jīng)常不一致?，F(xiàn)有的查詢系統(tǒng)也不能做到為不同部門和不同層級的人員做出個性化的定制。該項目主要是為醫(yī)院的管理和運營服務(wù)，主要服務(wù)對象是醫(yī)院管理人員及科室主任。

（2）基于移動終端的醫(yī)療應(yīng)用――即“掌上醫(yī)院”。

主要功能是：以移動互聯(lián)網(wǎng)終端設(shè)備（主要為智能手機，支持iOS及Android操作系統(tǒng)）為載體的應(yīng)用系統(tǒng)，主要目的是“最大程度地簡化就醫(yī)流程，實現(xiàn)高效、便捷、優(yōu)質(zhì)的醫(yī)療服務(wù)”。主要功能包括：預(yù)約掛號；取化驗單；健康宣教；叫號查詢；體檢預(yù)約；醫(yī)生在線以及面向醫(yī)院管理層的醫(yī)院運營信息的推送服務(wù)等。

出發(fā)點：“掌上醫(yī)院”是基于智能手機的應(yīng)用，中國智能手機（可上網(wǎng)）用戶在2013年接近或超過5億。隨著3G乃至4G的發(fā)展，人們可以使用智能手機方便地完成各種原來由計算機完成的任務(wù)。通過手機提供支持醫(yī)療相關(guān)服務(wù)是一種趨勢（如通過手機銀行進行支付等）。該應(yīng)用是醫(yī)院擴大影響力和吸引、保留高端用戶，提高自身競爭力的的重要手段。

（3）臨床信息系統(tǒng)相關(guān)數(shù)據(jù)的探索性應(yīng)用，臨床科研數(shù)據(jù)集成平臺（包含隨訪功能）。

醫(yī)院建成了以電子病歷為核心的臨床信息系統(tǒng)，集成了PACS、LIS、心電圖、手術(shù)麻醉等各種臨床輔助系統(tǒng)，但是臨床數(shù)據(jù)的應(yīng)用還未得到深入開展。結(jié)構(gòu)化的電子病歷信息并沒有發(fā)揮出應(yīng)有的作用。2014年，我們將從臨床科研設(shè)計開始，規(guī)范臨床數(shù)據(jù)的采集，提高臨床數(shù)據(jù)質(zhì)量，并通過隨訪形成閉環(huán)的臨床科研數(shù)據(jù)，嘗試為臨床研究服務(wù)。

我院經(jīng)過多年信息化基礎(chǔ)工作建設(shè)，信息系統(tǒng)建設(shè)從單一模式逐步向多元化模式轉(zhuǎn)變。2014 年計劃在全院范圍內(nèi)開展的一系列移動醫(yī)療信息系統(tǒng)建設(shè)便是其中之一。我們應(yīng)用高速寬帶無線接入技術(shù)實現(xiàn)醫(yī)院移動醫(yī)療。高速寬帶無線接入技術(shù)基于WAPI安全局域網(wǎng)組網(wǎng)技術(shù)，通過醫(yī)療智分零漫游解決方案，搭建覆蓋醫(yī)院全院的醫(yī)護內(nèi)網(wǎng)和公眾服務(wù)外網(wǎng)，解決了目前醫(yī)院無線局域網(wǎng)在多種復(fù)雜應(yīng)用場景下面臨的網(wǎng)絡(luò)體驗差的問題，能滿足用戶對無線局域網(wǎng)更大的帶寬更高的穩(wěn)定性等需求。

我院移動醫(yī)療涵蓋了移動醫(yī)生查房（移動醫(yī)囑、移動電子病歷為核心）、移動護理（移動床旁系統(tǒng)）、移動影像、移動心電、移動物流系統(tǒng)、移動辦公系統(tǒng)、移動預(yù)約系統(tǒng)、移動急救系統(tǒng)、移動互聯(lián)網(wǎng)等。移動醫(yī)療從移動床旁系統(tǒng)的精確采集數(shù)據(jù)開始，到集中平臺應(yīng)用，整個系統(tǒng)會使信息處理隨醫(yī)療過程同步進行，并為醫(yī)療過程提供實時數(shù)據(jù)信息。移動醫(yī)療在臨床中的作用是改善傳統(tǒng)醫(yī)療在時間和空間上的局限性，優(yōu)化流程，更高效、更準確地處理病患。而對于醫(yī)院內(nèi)部，隨著醫(yī)院的管理升級的需要與技術(shù)的逐步成熟，通過移動終端可以實時查看到科室的醫(yī)療質(zhì)量、藥品采購與跟蹤、財務(wù)、人力、營銷等多方面管理，實現(xiàn)移動辦公。同時，在現(xiàn)有異源異構(gòu)信息系統(tǒng)的基礎(chǔ)上，我院正在進行基于面向服務(wù)的開放架構(gòu)，通過傳統(tǒng)有線應(yīng)用系統(tǒng)和移動醫(yī)療系統(tǒng)，構(gòu)建以臨床數(shù)據(jù)倉庫為核心的大型醫(yī)院信息集成平臺，實現(xiàn)來自不同廠商的HIS、LIS、RIS、CIS、HRP等的數(shù)據(jù)整合、信息共享、流程協(xié)同，并同步推進臨床信息化建設(shè)，通過電子病歷瀏覽器和醫(yī)生門戶實現(xiàn)全流程患者信息實時同步共享，為醫(yī)院信息化建設(shè)搭建起一個高可靠性、高擴展性、高安全性的基礎(chǔ)平臺架構(gòu)。未來的移動醫(yī)療不僅僅局限于在醫(yī)院內(nèi)向患者提供服務(wù)，也將不斷向院外延伸，使患者隨時隨地接受醫(yī)療咨詢和服務(wù)，它將不斷改變傳統(tǒng)醫(yī)療服務(wù)的模式，帶來新的醫(yī)療服務(wù)模式。

2014年醫(yī)院主要是完成新建院區(qū)的信息化建設(shè)，探索建立雙活數(shù)據(jù)中心，實現(xiàn)新區(qū)和院本部的信息共享，同時完成數(shù)字認證工作；按照居民健康卡技術(shù)標準指導(dǎo)銀醫(yī)卡建設(shè)，完善現(xiàn)有信息系統(tǒng)功能模塊建設(shè)。這樣做主要是貫徹執(zhí)行中醫(yī)藥信息化建設(shè)標準和信息系統(tǒng)等級保護標準，滿足新區(qū)醫(yī)療、教學(xué)、科研管理需要，節(jié)約人力、物力和管理成本。

通過信息化建設(shè)，可以降低運行成本、提高效率、快捷服務(wù)，滿足人民群眾的衛(wèi)生需要。隨著云南省居民健康卡在云南省腫瘤醫(yī)院試點，2014年云南省腫瘤醫(yī)院的信息化將從服務(wù)患者入手，在就診流程上進行優(yōu)化，為患者就診提供滿意的體驗。2013年我院上線了ITIL服務(wù)管理系統(tǒng)，通過一段時間的摸索，2014年我們將把ITIL進一步細化KPI考核機制，激勵信息中心工作人員的積極性。2013年我院的BI已初步建成，隨著大數(shù)據(jù)時代的到來，2014年我們將對BI中的數(shù)據(jù)進行有效挖掘，使BI為醫(yī)院決策者提供更多有用的數(shù)據(jù)。我院已于2012年實現(xiàn)了全院WIFI無線覆蓋，BYOD已經(jīng)成為了一種潮流，它使得辦公和生活的界限變得模糊，給辦公帶來更好的體驗。

2014年信息處將在廣東省中醫(yī)院創(chuàng)新驅(qū)動發(fā)展的核心理念指導(dǎo)下，在強化保障醫(yī)院信息系統(tǒng)安全、高效、穩(wěn)定運行的前提下，在提升醫(yī)院核心能力、研究型醫(yī)院的建設(shè)等方面為醫(yī)院發(fā)展提供相應(yīng)的支撐。

1.進一步推動醫(yī)院中醫(yī)特色與優(yōu)勢的發(fā)揮，促進中醫(yī)藥臨床療效的提高。

通過臨床路徑信息系統(tǒng)、知識管理系統(tǒng)、名醫(yī)工作室系統(tǒng)、數(shù)據(jù)挖掘系統(tǒng)、流派網(wǎng)站等的不斷完善和推廣，用先進的信息技術(shù)促進中醫(yī)特色和優(yōu)勢的發(fā)揮，促進中醫(yī)藥臨床療效的提高。

2.進一步提高醫(yī)療質(zhì)量相關(guān)指標的監(jiān)控，提高醫(yī)院的綜合管理能力。

通過BI系統(tǒng)的不斷深入，及時了解臨床醫(yī)療中存在的風(fēng)險和各醫(yī)療業(yè)務(wù)的運營情況。在各核心業(yè)務(wù)系統(tǒng)整合的基礎(chǔ)上，完善非核心業(yè)務(wù)系統(tǒng)的整合，實現(xiàn)醫(yī)院整體的信息融合。

3.進一步提高對患者的服務(wù)水平和服務(wù)能力。

利用精益管理的手段和PDCA等方法，不斷發(fā)掘服務(wù)的改善點，通過自助收費、檢查體驗結(jié)果短信平臺、無線查房和無線護理等系統(tǒng)的不斷完善，進一步加快患者的就診流程，提升患者的就醫(yī)感受。

4.利用信息系統(tǒng)，不斷推進醫(yī)院科研的發(fā)展。

通過完善臨床一體化系統(tǒng)、慢病管理系統(tǒng)的不斷深入，加強信息化對醫(yī)院科研的支撐力度。通過數(shù)據(jù)挖掘隊伍、大數(shù)據(jù)研究和分析隊伍的建設(shè)，為醫(yī)院存儲研究和分析的力量。

5.不斷完善信息系統(tǒng)軟件架構(gòu)和硬件架構(gòu)，保障醫(yī)院信息安全。

在完成國家信息安全等級保護建設(shè)的基礎(chǔ)上，對現(xiàn)有軟件系統(tǒng)和硬件系統(tǒng)架構(gòu)進行調(diào)整，從數(shù)據(jù)安全和系統(tǒng)運維安全上進一步強化，保障醫(yī)院信息系統(tǒng)的安全。在信息系統(tǒng)安全運行的基礎(chǔ)上，擴大對外的數(shù)據(jù)交互，實現(xiàn)與協(xié)作醫(yī)院、區(qū)域平臺的數(shù)據(jù)對接，支撐醫(yī)院的業(yè)務(wù)擴展。

熱議行業(yè)

大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、3D打印都會是2014年醫(yī)療行業(yè)的熱點。醫(yī)療行業(yè)經(jīng)歷了近20年的信息化發(fā)展，隨著大數(shù)據(jù)時代的到來，對這近20年的數(shù)據(jù)進行有效的分析挖掘，將會是未來幾年的熱點。云時代的到來，虛擬化是必然的趨勢，服務(wù)器虛擬化、存儲虛擬化、網(wǎng)絡(luò)虛擬化和桌面虛擬化后還會有哪些虛擬化出現(xiàn)？醫(yī)療行業(yè)的物聯(lián)網(wǎng)幾年來一直是探索的方向，隨著可穿戴設(shè)備的出現(xiàn)，未來的醫(yī)療將向家庭發(fā)展，信息化將會為我們未來的健康提供有力的支撐。3D打印已經(jīng)出現(xiàn)很多年了，2014年人體器官的3D打印將會越來越多。

在政策推動下，醫(yī)院集團化管理方面會在2014年快速發(fā)展，以往提的雙向轉(zhuǎn)診，大多情況是轉(zhuǎn)上來容易，轉(zhuǎn)回去難，隨著醫(yī)聯(lián)體、集團化的快速推進，這個問題會得到解決。

隨著大數(shù)據(jù)時代的悄然來臨，醫(yī)療行業(yè)的數(shù)據(jù)利用時代也開始走進了春天，過去的兩年里，很多醫(yī)院通過利用BI工具進行的數(shù)據(jù)展現(xiàn)，對醫(yī)院的管理起到輔助決策的作用。但在應(yīng)用的深度和廣度上還遠遠不夠，新的一年里，隨著觀念的更新，技術(shù)的成熟，成本的降低，數(shù)據(jù)利用在醫(yī)院里的應(yīng)用將會越來越廣泛。一旦醫(yī)院和公司在建立數(shù)據(jù)模型的人員方面有所突破，管理方面的分析便會越來越精細、臨床的挖掘也會越來越深入。

移動醫(yī)療相關(guān)系統(tǒng)全面鋪開。這兩年很多醫(yī)院已經(jīng)開始試點移動醫(yī)療，2014年應(yīng)該是移動查房、無線護理等系統(tǒng)全面鋪開的起始年，隨著醫(yī)護人員對移動技術(shù)的熟練使用，對移動醫(yī)療技術(shù)的新的需求也越來越多，移動醫(yī)療技術(shù)的需求驅(qū)動網(wǎng)絡(luò)安全技術(shù)的發(fā)展，未來的移動醫(yī)療技術(shù)將做到隨時隨地，醫(yī)生將能夠通過手機網(wǎng)絡(luò)隨時隨地查看患者信息，上級醫(yī)生能夠通過網(wǎng)絡(luò)隨時了解患者病情，指導(dǎo)下級醫(yī)生為患者提供更好的治療。

圖像融合技術(shù)開始進入。隨著影像類檢查設(shè)備的不斷增多，醫(yī)生對患者的診斷往往是通過多種檢查取得的，因此。通過對某一部位多幅源影像信息的有機融合，以獲得對某部位更準確、更全面和更可靠的診斷的技術(shù)2014年將會加入醫(yī)院信息系統(tǒng)行列，未來幾年將會得到更好的普及與發(fā)展。

我認為2014年的行業(yè)熱點有以下幾個方面。

大數(shù)據(jù)，且主要是大數(shù)據(jù)的利用。醫(yī)療系統(tǒng)與管理相關(guān)的大數(shù)據(jù)與其它行業(yè)區(qū)別不大。因此在國家或地區(qū)層面的醫(yī)療管理、醫(yī)保政策或者是傳染病監(jiān)測等領(lǐng)域應(yīng)當有所突破。但是涉及臨床信息的大數(shù)據(jù)與普通意義上的大數(shù)據(jù)有很大不同。循證醫(yī)學(xué)要求的高質(zhì)量數(shù)據(jù)的粒度非常細，可以說是信息量密集的大數(shù)據(jù)領(lǐng)域，單純靠通用的大數(shù)據(jù)分析手段力不從心。

單個醫(yī)院內(nèi)部的BI（Business Intelligence）系統(tǒng)。因為大多數(shù)醫(yī)院還是希望通過信息系統(tǒng)掌握醫(yī)院的運營，提高醫(yī)院管理決策水平。目前市場上有很多“比較成熟”的BI產(chǎn)品，但是說到底，BI是管理的變革。如果上BI，醫(yī)院的管理層需要首先做好對醫(yī)院管理進行改革的思想準備。

區(qū)域醫(yī)療信息共享及數(shù)據(jù)安全。隨著醫(yī)聯(lián)體和區(qū)域醫(yī)療的發(fā)展，對于醫(yī)聯(lián)體內(nèi)部以及區(qū)域內(nèi)的醫(yī)療機構(gòu)，有共享檢查、檢驗結(jié)果以及病歷記錄的需求。同時數(shù)據(jù)的安全和授權(quán)訪問會成為一個需要重點考慮的問題。

多種醫(yī)保體系的歸并與統(tǒng)一。

2014年在政策的推動下會得到快速發(fā)展的有：電子病歷系統(tǒng)應(yīng)用水平分級（在衛(wèi)生部醫(yī)院管理研究所的推動下）；醫(yī)保系統(tǒng)實時結(jié)算（在人力資源與社會保障部/廳/局以及社保中心的推動下）；臨床試驗數(shù)據(jù)管理工作的標準化和正規(guī)化（在國家藥監(jiān)局評審中心的推動下）。

從新技術(shù)的應(yīng)用方面，2014年熱點主要集中在云計算、虛擬化、大數(shù)據(jù)、物聯(lián)網(wǎng)、3D打印等方面。有些技術(shù)已出現(xiàn)幾年了，現(xiàn)在到了該大面積推廣應(yīng)用的程度，如虛擬化、云計算等；有些技術(shù)在醫(yī)療行業(yè)也可以明顯看到應(yīng)用擴大的趨勢，如大數(shù)據(jù)和物聯(lián)網(wǎng)在醫(yī)療行業(yè)的應(yīng)用等；有些技術(shù)可能在未來會在醫(yī)療行業(yè)有大的發(fā)展，如3D打印等。

從整體醫(yī)療行業(yè)的需求來看，數(shù)據(jù)的跨部門、跨地域交互與共享將是整合行業(yè)的熱點。這里面涉及的具體內(nèi)容也將會是大家比較關(guān)心的問題，如數(shù)據(jù)交互標準、安全、隱私保護等。

根據(jù)國家衛(wèi)生和計劃生育委員會和國家中醫(yī)藥管理局聯(lián)合的指導(dǎo)意見，結(jié)合我國各醫(yī)療機構(gòu)信息化的現(xiàn)狀，2014年我國的醫(yī)療信息化建設(shè)將在以下幾個方面得到快速發(fā)展：

1.標準化方面的建設(shè)，如數(shù)據(jù)交互標準等；

2.信息化相關(guān)的規(guī)范和制度方面，如數(shù)據(jù)交互制度等；

3.信息安全防護體系方面的建設(shè)；

4.遠程會診、預(yù)約掛號、雙向轉(zhuǎn)診、健康咨詢等方面將會快速發(fā)展；

5.藥品管理系統(tǒng)的建設(shè)；