【正文】 算機與服務(wù)器之間進行 訪問控制 ，建立安全的訪問路徑。 物理環(huán)境安全 —— 機房環(huán)境 ?其它具體要求 ? 提供 合理的 短期備用電力供應(yīng) ? 設(shè)備防盜、防毀措施； ? 通訊線路連接、設(shè)備標(biāo)簽、布線合理性； ? 機房出入口配置門禁系統(tǒng)及監(jiān)控報警系統(tǒng)； ? 機房出入記錄，記錄內(nèi)容包括人員姓名、出入日期和時間，操作內(nèi)容，攜帶物品等 。 ? 星期五 Adobe發(fā)布的補丁涉及 32個安全漏洞 ?終端安全： 2023年我國 計算機病毒感染率為 70%，其中多次感染病毒的比率為 43% 安全現(xiàn)狀 —— 本市安全現(xiàn)狀 ?測評中心 2023年安全評估結(jié)果 ? 93%的系統(tǒng)存在高風(fēng)險安全漏洞 ； ? 43%的系統(tǒng)存在 10個以上高風(fēng)險安全漏洞 ? 85%的 系統(tǒng)在網(wǎng)絡(luò)邊界安全控制上不符合安全評估要求 ? 85%的網(wǎng)站存在 SQL注入漏洞，可直接修改、刪除后 臺數(shù)據(jù)庫數(shù)據(jù) ? 14%網(wǎng)站存在黑客植入 的后門 安全形勢 —— 衛(wèi)生系統(tǒng) ?醫(yī)院醫(yī)療業(yè)務(wù)的開展對網(wǎng)絡(luò)信息系統(tǒng)的依賴 ? ，北京某醫(yī)院，內(nèi)網(wǎng)服務(wù)器受蠕蟲攻擊，所有應(yīng)用系統(tǒng)無法運行 ?醫(yī)院信息系統(tǒng)在規(guī)模、復(fù)雜度上的快速提高 ? HIS、 LIS、 PACS/RIS、麻醉系統(tǒng)、 …… ?新的外部信息安全威脅及挑戰(zhàn) ?各醫(yī)院院領(lǐng)導(dǎo)及主管部門 對信息安全建設(shè)工作的重視 主要內(nèi)容 信息安全現(xiàn)狀 1 信息系統(tǒng)安全保障體系 2 安全保障技術(shù)要求 安全保障管理要求 4 3 面臨的安全威脅 地震 偷竊 洪水 雷電 火災(zāi) 惡意軟件 竊聽 硬件故障 電力供應(yīng)故障 非法軟件 環(huán)境 …… 軟件安全缺陷 通訊線路電纜損壞 病毒 網(wǎng)絡(luò)組件故障 維護錯誤 黑客 信息系統(tǒng)安全保障體系 管理制度 應(yīng)用系統(tǒng) 網(wǎng)絡(luò)平臺 系統(tǒng)平臺 物理環(huán)境 運行維護 信息系統(tǒng)安全保障體系 ?物理 —— 機房是否 提供系統(tǒng)正常運行的場所，并保證硬件 設(shè)備 、通信鏈路、機房環(huán)境的物理安全 ?網(wǎng)絡(luò) —— 是否 合理劃分 了 不同的網(wǎng)絡(luò)區(qū)域，并 根據(jù)應(yīng)用需求設(shè)置合理的訪問控制策略，強化網(wǎng)絡(luò)設(shè)備自身安全配置 信息系統(tǒng)安全保障體系 ?系統(tǒng)平臺 —— 是否 對 應(yīng)用 系統(tǒng)所依賴的操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用平臺進行 了 合理的安全配置， 以 保障系統(tǒng)平臺的安全 ?應(yīng)用系統(tǒng) —— 業(yè)務(wù)應(yīng)用軟件應(yīng)根據(jù)安全需求開發(fā) 各類 安全功能，并有效啟用安全功能， 以 達到保護應(yīng)用信息的目的。信息系統(tǒng) 安全保障 杭州市基礎(chǔ)信息安全測評認(rèn)證中心 主要內(nèi)容 信息安全現(xiàn)狀 1 信息系統(tǒng)安全保障體系 2 安全保障技術(shù)要求 安全保障管理要求 4 3 安全現(xiàn)狀 —— 網(wǎng)站安全 ?2023年全年中國大陸網(wǎng)站監(jiān)測到被篡改數(shù)量 ? 有 萬個網(wǎng)站被黑客篡改 ? 其中：政府網(wǎng)站被篡改 2765 個 ?2023年 12月中國大陸網(wǎng)站監(jiān)測到被篡改數(shù)量 ? 4185個網(wǎng)站被黑客篡改 ? 其中：政府網(wǎng)站被篡改 764個 ?6月份：大量高校網(wǎng)站被黑（包括北大、清華、浙大） （依據(jù)“ 國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 ”報告） ?網(wǎng)絡(luò)攻擊的主要目標(biāo) ? 根據(jù)電信運營商 2023年調(diào)查結(jié)果 (基于對 2億 8500萬次累計攻擊行為數(shù)據(jù)進行分析 )：對數(shù)據(jù)庫系統(tǒng)的攻擊行為占比最高，在 75%左右。 信息系統(tǒng)安全保障體系 ?運維 —— 是否 建立 了 合理的惡意代碼防范、數(shù)據(jù)備份、網(wǎng)絡(luò)監(jiān)控和系統(tǒng)冗余備份等安全運維機制，保障系統(tǒng)的運行安全 ?管理制度 —— 管理層 應(yīng)針對本單位應(yīng)用狀況建立合理的安全管理制度 并有效執(zhí)行 ，在統(tǒng)一的安全策略下對各類可能影響系統(tǒng)信息安全的行為進行有效管理。 物理環(huán)境安全 —— 設(shè)備及監(jiān)控 安全技術(shù)要求之 —— 網(wǎng)絡(luò)結(jié)構(gòu)安全 網(wǎng)絡(luò) 結(jié)構(gòu) 內(nèi)部結(jié)構(gòu) —— 應(yīng) 根據(jù)應(yīng)用需求在劃分內(nèi)網(wǎng) /外網(wǎng) 、 終端接入?yún)^(qū)/服務(wù)器區(qū)等 區(qū)域 ，并在相關(guān)網(wǎng)絡(luò)設(shè)備中配置安全策略進行隔離 ； 外部邊界 —— 應(yīng) 根據(jù)安全需求在 系統(tǒng) 與 Inter、 政務(wù)外網(wǎng)、業(yè)務(wù) 專網(wǎng)等 外部 網(wǎng)絡(luò)的互連處配置網(wǎng)關(guān)設(shè)備實施訪問控制，并對通信 及 操作事件進行審計 。 ? 當(dāng)有重要信息通過公共網(wǎng)絡(luò)進行傳輸時，應(yīng)在傳輸線路中配置 加密 設(shè)備，以保證信息傳輸?shù)谋Ｃ苄裕? ? 禁止內(nèi)部網(wǎng)絡(luò)用戶未授權(quán)與外部網(wǎng)絡(luò)連接；如提供遠程撥號或移動用戶連接，應(yīng)在系統(tǒng)入口處配置 鑒別與認(rèn)證 服務(wù)器。 (安全審計 ) 網(wǎng)絡(luò)設(shè)備安全 —— 要求 安全技術(shù)要求之 —— 操作系統(tǒng)安全 操作 系統(tǒng) ?版本更新與漏洞修補 ?身份鑒別 ?用戶權(quán)限分配 ?口令質(zhì)量 ?鑒別失敗處理 ?默認(rèn)服務(wù)開放 ?終端限制 ?安全審計 ?典型案例 ? 某單位內(nèi)網(wǎng) Windows服務(wù)器 ：內(nèi)網(wǎng)和 Inter隔離，需手工升級，超過 6個月未進行系統(tǒng)安全補丁升級，2023年 3月，因終端感染 病毒，造成服務(wù)器中毒，服務(wù)異常。 ? 85%的 Oracle數(shù)據(jù)庫 ：都未設(shè) Oralce監(jiān)聽服務(wù)的密碼，導(dǎo)致局域網(wǎng)內(nèi)任何人都可隨意關(guān)閉數(shù)據(jù)庫對外服務(wù) 。安全配置的內(nèi)容包括：身份鑒別、用戶權(quán)限分配、口令質(zhì)量等 應(yīng)用平臺安全 —— 要求 ?具體安全要求（以 Web服務(wù)為例） ? 定期更新 Web服務(wù)軟件的補丁，修補高風(fēng)險漏洞； ? 配置 Web服務(wù)的提示信息，不顯示 Web服務(wù)軟件和操作系統(tǒng)的版本和類型； ? 合理設(shè)置 Web服務(wù)的管理密碼，并定期更改 ? 禁止將 Web服務(wù)的管理界面開放至外網(wǎng) ? 禁止非授權(quán)用戶對 Web服務(wù)根目錄的訪問； ? 禁用或刪除默認(rèn)安裝的應(yīng)用示例； ? 啟用 Web服務(wù)軟件日志功能，記錄合理的日志內(nèi)容； ? 限制對日志的訪問權(quán)限； ? 禁止匿名用戶在服務(wù)器上遠程