導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)報(bào)告，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

商城縣公安局網(wǎng)監(jiān)大隊(duì)：

我院在接到貴單位發(fā)來(lái)的《信息系統(tǒng)安全等保限期整改通知書(shū)》后，院領(lǐng)導(dǎo)高度重視，責(zé)成信息科按照要求進(jìn)行整改，現(xiàn)在整改情況報(bào)告如下。

一、我院網(wǎng)絡(luò)安全等級(jí)保護(hù)工作概況

根據(jù)上級(jí)主管部門(mén)和行業(yè)主管部門(mén)要求，我院高度重視并開(kāi)展了網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)工作，工作內(nèi)容主要包含信息系統(tǒng)梳理、定級(jí)、備案、等級(jí)保護(hù)測(cè)評(píng)、安全建設(shè)整改等。我院目前運(yùn)行的主要信息系統(tǒng)有：綜合業(yè)務(wù)信息系統(tǒng)。綜合業(yè)務(wù)信息系統(tǒng)是商城縣人民醫(yī)院核心醫(yī)療業(yè)務(wù)信息系統(tǒng)的集合，系統(tǒng)功能模塊主要包括醫(yī)院信息系統(tǒng)(HIS)、檢驗(yàn)信息系統(tǒng)(LIS)、電子病歷系統(tǒng)(EMRS)、醫(yī)學(xué)影像信息系統(tǒng)(PACS)，其中醫(yī)院信息系統(tǒng)(HIS)、檢驗(yàn)信息系統(tǒng)(LIS)、電子病歷系統(tǒng)(EMRS)由福建弘揚(yáng)軟件股份有限公司開(kāi)發(fā)建設(shè)并提供技術(shù)支持，醫(yī)學(xué)影像信息系統(tǒng)(PACS)由深圳中航信息科技產(chǎn)業(yè)股份有限公司開(kāi)發(fā)建設(shè)并提供技術(shù)支持。

我院已于2018年11月完成了綜合業(yè)務(wù)信息系統(tǒng)的定級(jí)、備案、等級(jí)保護(hù)測(cè)評(píng)、專(zhuān)家評(píng)審等工作，系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)（S2A2G2），等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)為河南天祺信息安全技術(shù)有限公司，等級(jí)保護(hù)測(cè)評(píng)結(jié)論為基本符合，綜合得分為76.02分。在測(cè)評(píng)過(guò)程中，信息科已根據(jù)測(cè)評(píng)人員建議對(duì)能夠立即整改的安全問(wèn)題進(jìn)行了整改，如：服務(wù)器安全加固、訪(fǎng)問(wèn)控制策略調(diào)整、安裝防病毒軟件、增加安全產(chǎn)品等。目前我院正在進(jìn)行門(mén)戶(hù)網(wǎng)站的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作。

二、安全問(wèn)題整改情況

此次整改報(bào)告中涉及到的信息系統(tǒng)安全問(wèn)題是我院于2018年11月委托河南天祺公司對(duì)醫(yī)院信息系統(tǒng)進(jìn)行測(cè)評(píng)反饋的內(nèi)容，主要包括應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器操作系統(tǒng)漏洞和Oracle漏洞等。針對(duì)應(yīng)用服務(wù)器系統(tǒng)漏洞，我院及時(shí)與安全公司進(jìn)行溝通，溝通后通過(guò)關(guān)閉部分系統(tǒng)服務(wù)和端口，更新必要的系統(tǒng)升級(jí)包等措施進(jìn)行了及時(shí)的處理。針對(duì)Oracle數(shù)據(jù)庫(kù)存在的安全漏洞問(wèn)題，我們與安全公司和軟件廠(chǎng)商進(jìn)行了溝通，我院HIS系統(tǒng)于2012年底投入使用，數(shù)據(jù)庫(kù)版本為Oracle 11g，投入運(yùn)行時(shí)間較早，且部署于內(nèi)網(wǎng)環(huán)境中未及時(shí)進(jìn)行漏洞修復(fù)。

經(jīng)過(guò)軟件開(kāi)發(fā)廠(chǎng)商測(cè)試發(fā)現(xiàn)修復(fù)Oracle數(shù)據(jù)庫(kù)漏洞會(huì)影響HIS系統(tǒng)正常運(yùn)行，并存在未知風(fēng)險(xiǎn)，為了既保證信息系統(tǒng)安全穩(wěn)定運(yùn)行又降低信息系統(tǒng)面臨的安全隱患，我們主要采取控制數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)權(quán)限，切斷與服務(wù)器不必要的連接、限制數(shù)據(jù)庫(kù)管理人員權(quán)限等措施來(lái)降低數(shù)據(jù)庫(kù)安全漏洞造成的風(fēng)險(xiǎn)。具體措施為：第一由不同技術(shù)人員分別掌握數(shù)據(jù)庫(kù)服務(wù)器和數(shù)據(jù)庫(kù)的管理權(quán)限；第二數(shù)據(jù)庫(kù)服務(wù)器僅允許有業(yè)務(wù)需求的應(yīng)用服務(wù)器連接，日常管理數(shù)據(jù)庫(kù)采用本地管理方式，數(shù)據(jù)庫(kù)不對(duì)外提供遠(yuǎn)程訪(fǎng)問(wèn)；第三對(duì)數(shù)據(jù)庫(kù)進(jìn)行了安全加固，設(shè)置了強(qiáng)密碼、開(kāi)啟了日志審計(jì)功能、禁用了數(shù)據(jù)庫(kù)默認(rèn)用戶(hù)等。

我院高度重視網(wǎng)絡(luò)安全工作，醫(yī)院網(wǎng)絡(luò)中先后配備了防火墻、防毒墻、入侵防御、網(wǎng)絡(luò)版殺毒軟件、桌面終端管理等安全產(chǎn)品，并正在采購(gòu)網(wǎng)閘、堡壘機(jī)、日志審計(jì)等安全產(chǎn)品，同時(shí)組建了醫(yī)院網(wǎng)絡(luò)安全小組，由三名技術(shù)人員負(fù)責(zé)網(wǎng)絡(luò)安全管理工作，使我院網(wǎng)絡(luò)安全管理水平大幅提升。

“沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家安全”。作為全縣醫(yī)療救治中心，醫(yī)院始終把信息網(wǎng)絡(luò)安全和醫(yī)療安全放在首位，不斷緊跟醫(yī)院發(fā)展和形勢(shì)需要，科學(xué)有效的推進(jìn)網(wǎng)絡(luò)安全建設(shè)工作，并接受各級(jí)主管部門(mén)的監(jiān)督和管理。

篇2

1 廈門(mén)港集裝箱智慧物流平臺(tái)概述

廈門(mén)港集裝箱智慧物流平臺(tái)是廈門(mén)港務(wù)控股集團(tuán)有限公司為適應(yīng)港口物流業(yè)轉(zhuǎn)型升級(jí)的需要，利用移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等技術(shù)，以打造港口物流數(shù)字化、智能化生態(tài)系統(tǒng)，實(shí)現(xiàn)物流信息的高效、便捷共享為目的所建立的集裝箱物流信息服務(wù)平臺(tái)。該平臺(tái)以一次錄入、全流程共享為特色，集合全港集裝箱進(jìn)出口流程，涵蓋貨代、船代、堆場(chǎng)、集卡、碼頭以及“一關(guān)三檢”等各節(jié)點(diǎn)的有效數(shù)據(jù)，實(shí)現(xiàn)集裝箱設(shè)備交接的電子化、智能化，并支持集卡運(yùn)輸企業(yè)對(duì)集卡的指揮、調(diào)度功能。

廈門(mén)港集裝箱智慧物流平臺(tái)的主要功能如下：（1）報(bào)文平臺(tái)功能，連接船代、車(chē)隊(duì)、堆場(chǎng)、碼頭各方，實(shí)現(xiàn)集裝箱設(shè)備交接單數(shù)據(jù)的實(shí)時(shí)共享；（2）接口平臺(tái)功能，向堆場(chǎng)、車(chē)隊(duì)、碼頭提供統(tǒng)一的數(shù)據(jù)接口，對(duì)接信息化管理下的堆場(chǎng)、車(chē)隊(duì)和碼頭，實(shí)現(xiàn)各環(huán)節(jié)物流信息的實(shí)時(shí)更新；（3）互聯(lián)網(wǎng)平臺(tái)功能，實(shí)現(xiàn)車(chē)隊(duì)、集卡、司機(jī)信息備案管理，為車(chē)隊(duì)提供調(diào)度派單功能，為堆場(chǎng)提供數(shù)據(jù)更新功能，為碼頭提供數(shù)據(jù)查詢(xún)、統(tǒng)計(jì)分析等功能；（4）移動(dòng)應(yīng)用平臺(tái)功能，開(kāi)發(fā)支持Android和iOS系統(tǒng)的手機(jī)應(yīng)用程序，為車(chē)隊(duì)提供手機(jī)派單、查詢(xún)追蹤等功能，為司機(jī)提供手機(jī)接單、預(yù)約等功能，為堆場(chǎng)提供拍照驗(yàn)箱功能，并為用戶(hù)提供數(shù)據(jù)查詢(xún)服務(wù)。

2 廈門(mén)港集裝箱智慧物流平臺(tái)安全策略

規(guī)劃

（1）管理安全 管理安全是安全策略中十分重要的環(huán)節(jié)。管理安全策略涉及安全組織機(jī)構(gòu)、安全管理制度、安全培訓(xùn)、安全意識(shí)教育等，以實(shí)現(xiàn)對(duì)維護(hù)人員、技術(shù)支持人員、管理人員、開(kāi)發(fā)人員的權(quán)限控制、口令保密、審計(jì)跟蹤等安全管控為目標(biāo)。

（2）物理安全 物理安全涉及基礎(chǔ)設(shè)施、環(huán)境、設(shè)備、電磁屏蔽等方面的安全控制，為平臺(tái)部署提供防災(zāi)、防震、防干擾、防輻射等物理安全保障以及雙機(jī)熱備、鏈路冗余等安全策略規(guī)劃。

（3）網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全包括內(nèi)外網(wǎng)區(qū)域隔離、不同網(wǎng)段應(yīng)用訪(fǎng)問(wèn)控制或隔離、虛擬專(zhuān)用網(wǎng)絡(luò)登錄、鏈路均衡負(fù)載、防火墻、防篡改等網(wǎng)絡(luò)安全策略。

（4）系統(tǒng)安全 保障操作系統(tǒng)和數(shù)據(jù)庫(kù)安全，定期掃描發(fā)現(xiàn)并修復(fù)漏洞和隱患，關(guān)閉不必要的服務(wù)、端口、協(xié)議等。

（5）應(yīng)用安全 確保集裝箱智慧物流平臺(tái)的各項(xiàng)應(yīng)用功能連續(xù)、可靠運(yùn)行，支持功能模塊擴(kuò)展、用戶(hù)擴(kuò)容需要，使平臺(tái)升級(jí)更新不影響正常業(yè)務(wù)運(yùn)行。

（6）運(yùn)營(yíng)安全 對(duì)集裝箱智慧物流平臺(tái)實(shí)施動(dòng)態(tài)保護(hù)，并在系統(tǒng)運(yùn)行中實(shí)現(xiàn)信息和數(shù)據(jù)的恢復(fù)；采用上網(wǎng)行為控制、網(wǎng)絡(luò)管理、防病毒、入侵防護(hù)、抗拒絕服務(wù)等手段監(jiān)控網(wǎng)絡(luò)運(yùn)行及流量；制訂應(yīng)急計(jì)劃和策略，實(shí)現(xiàn)突發(fā)事件的異地備份和恢復(fù)。

（7）密鑰安全 密鑰管理處理密鑰自產(chǎn)生到最終銷(xiāo)毀整個(gè)過(guò)程中的所有問(wèn)題，包括系統(tǒng)初始化以及密鑰的產(chǎn)生、存儲(chǔ)、備份（或裝入）、分配、保護(hù)、更新、控制、丟失、吊銷(xiāo)和銷(xiāo)毀等。通過(guò)制定密鑰管理制度，對(duì)密鑰實(shí)施完整而周密的管理。

（8）數(shù)據(jù)和信息安全 通過(guò)數(shù)據(jù)庫(kù)審計(jì)等手段對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)活動(dòng)進(jìn)行跟蹤記錄，確保數(shù)據(jù)的完整性、保密性、可用性和不可否認(rèn)性，涉及數(shù)據(jù)加密、完整性校驗(yàn)、數(shù)據(jù)備份、數(shù)字簽名等。

3 廈門(mén)港集裝箱智慧物流平臺(tái)安全策略的

實(shí)施情況

3.1 建設(shè)互為災(zāi)備的高可靠性綠色節(jié)能雙機(jī)房

在廈門(mén)島內(nèi)和島外分別選址建設(shè)B類(lèi)標(biāo)準(zhǔn)整體機(jī)房（見(jiàn)圖1），實(shí)現(xiàn)區(qū)域中心機(jī)房的互為災(zāi)備和恢復(fù)。主機(jī)房采用先進(jìn)、節(jié)能、高效、集約的密封冷通道模塊化架構(gòu)設(shè)計(jì)，部署安防監(jiān)控、泄露檢測(cè)、消防報(bào)警、自動(dòng)滅火和場(chǎng)地監(jiān)控等系統(tǒng)，保證機(jī)房的溫度、濕度、潔凈度、照度、防靜電、防干擾、防震動(dòng)、防雷電、實(shí)時(shí)監(jiān)控等，以確保計(jì)算機(jī)設(shè)備安全、可靠運(yùn)行，延長(zhǎng)計(jì)算機(jī)系統(tǒng)使用壽命。

3.2 部署安全防護(hù)體系

如圖2所示：分別接入電信、聯(lián)通、移動(dòng)等運(yùn)營(yíng)商寬帶，通過(guò)負(fù)載均衡設(shè)備實(shí)現(xiàn)鏈路冗余；部署防篡改、抗拒絕服務(wù)、防病毒、防火墻、入侵防護(hù)等安全防護(hù)系統(tǒng)；通過(guò)上網(wǎng)行為控制設(shè)備規(guī)范上網(wǎng)行為，由網(wǎng)絡(luò)管理軟件監(jiān)控設(shè)備運(yùn)行狀況，由堡壘機(jī)監(jiān)控技術(shù)人員操作行為，由數(shù)據(jù)庫(kù)審計(jì)保障數(shù)據(jù)安全，形成強(qiáng)大的安全防護(hù)堡壘。

3.3 制定安全管理制度

安全管理制度涉及中心機(jī)房管理制度、網(wǎng)絡(luò)管理制度、信息系統(tǒng)建設(shè)管理辦法、信息系統(tǒng)運(yùn)維管理辦法、信息安全處理預(yù)案等。在制定安全管理制度的基礎(chǔ)上，嚴(yán)格按照制度定期檢查、落整改和定期演練，并及時(shí)跟蹤機(jī)房運(yùn)行狀況，每月編制運(yùn)行報(bào)告。

3.4 開(kāi)展信息安全等級(jí)保護(hù)工作

信息安全等級(jí)保護(hù)工作包括定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測(cè)評(píng)、信息安全檢查等內(nèi)容。一般情況下，委托有資質(zhì)的第三方機(jī)構(gòu)確定信息安全保護(hù)等級(jí)。根據(jù)平臺(tái)的業(yè)務(wù)信息和系統(tǒng)服務(wù)描述、系統(tǒng)服務(wù)受到破壞時(shí)所侵害客體以及系統(tǒng)服務(wù)受到破壞后對(duì)侵害客體的侵害程度，按照GB 17859D1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》和GB/T 22240D2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》等，確定廈門(mén)港集裝箱智慧物流平臺(tái)的業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)均為第二級(jí)，最終確定其安全保護(hù)等級(jí)為第二級(jí)。確定保護(hù)等級(jí)后，按照規(guī)定，向公安機(jī)關(guān)備案。在等級(jí)測(cè)評(píng)過(guò)程中，對(duì)測(cè)評(píng)發(fā)現(xiàn)的問(wèn)題及時(shí)加以整改，確保信息平臺(tái)安全防護(hù)滿(mǎn)足要求。

4 結(jié)束語(yǔ)

篇3

關(guān)鍵詞：信息安全；技術(shù)架構(gòu)；保障體系

1基本情況

中國(guó)建材集團(tuán)核心機(jī)房按照國(guó)家信息安全等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)部署網(wǎng)絡(luò)及安全防護(hù)設(shè)備，網(wǎng)絡(luò)主干為雙鏈路結(jié)構(gòu)，采用電信+聯(lián)通專(zhuān)線(xiàn)入網(wǎng),具備冗余性，滿(mǎn)足業(yè)務(wù)高峰期需求，2臺(tái)網(wǎng)絡(luò)核心交換機(jī)構(gòu)成雙機(jī)熱備，用于連接網(wǎng)絡(luò)邊界區(qū)域、服務(wù)器區(qū)域、樓層等各個(gè)區(qū)域。機(jī)房?jī)?nèi)，各區(qū)域之間部署防火墻進(jìn)行訪(fǎng)問(wèn)控制,網(wǎng)絡(luò)邊界部署防病毒網(wǎng)關(guān)、IPS入侵防御系統(tǒng)等安全設(shè)備對(duì)來(lái)自Internet的攻擊行為進(jìn)行防護(hù),服務(wù)器區(qū)域部署入侵檢測(cè)系統(tǒng)，核心交換機(jī)上部署網(wǎng)絡(luò)審計(jì)系統(tǒng)以及審計(jì)服務(wù)器，對(duì)網(wǎng)絡(luò)行為進(jìn)行審計(jì)，辦公網(wǎng)絡(luò)部署上網(wǎng)行為管理，規(guī)避網(wǎng)絡(luò)違法違規(guī)風(fēng)險(xiǎn)，強(qiáng)化內(nèi)網(wǎng)安全率。門(mén)戶(hù)網(wǎng)站及電子郵箱系統(tǒng)的安全防護(hù)體系按照中央企業(yè)網(wǎng)絡(luò)與信息安全防護(hù)標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)和部署，并依據(jù)國(guó)資監(jiān)管網(wǎng)規(guī)劃方案建設(shè)了一套專(zhuān)網(wǎng)專(zhuān)機(jī)分散部署的非信息系統(tǒng)。主要業(yè)務(wù)管理信息系統(tǒng)按照國(guó)家信息安全等級(jí)保護(hù)二級(jí)進(jìn)行定級(jí)，重點(diǎn)信息系統(tǒng)達(dá)到國(guó)家信息安全等級(jí)保護(hù)三級(jí)管理標(biāo)準(zhǔn)，核心機(jī)房?jī)?nèi)獨(dú)立運(yùn)行的信息系統(tǒng)全部滿(mǎn)足公安部對(duì)中央企業(yè)信息系統(tǒng)安全等級(jí)保護(hù)要求。同時(shí)定期組織內(nèi)、外部專(zhuān)業(yè)技術(shù)力量開(kāi)展信息安全檢查、信息系統(tǒng)安全測(cè)評(píng)、信息系統(tǒng)等級(jí)保護(hù)備案以及信息安全培訓(xùn)工作，確保信息系統(tǒng)和門(mén)戶(hù)網(wǎng)站運(yùn)行穩(wěn)定，安全監(jiān)控到位，杜絕發(fā)生安全責(zé)任事故。

2技術(shù)體系架構(gòu)

中國(guó)建材集團(tuán)嚴(yán)格按照《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》和《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》設(shè)計(jì)、采購(gòu)和部署符合等級(jí)保護(hù)基本要求的安全產(chǎn)品，從安全計(jì)算環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全管理中心等方面構(gòu)建起有效的安全技術(shù)保障體系。根據(jù)實(shí)際業(yè)務(wù)情況，將網(wǎng)絡(luò)劃分Internet接入?yún)^(qū)、DMZ區(qū)、辦公區(qū)、安全管理區(qū)、核心交換區(qū)、業(yè)務(wù)服務(wù)區(qū)共計(jì)6個(gè)安全區(qū)域，并根據(jù)業(yè)務(wù)系統(tǒng)的要求進(jìn)行安全區(qū)域合理性劃分，各區(qū)域到核心交換機(jī)之間為獨(dú)立線(xiàn)路連接，數(shù)據(jù)處理系統(tǒng)以單機(jī)模式部署，同時(shí)按照安全風(fēng)險(xiǎn)和安全策略，具體從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全進(jìn)行信息安全控制。物理安全。核心機(jī)房依據(jù)國(guó)家標(biāo)準(zhǔn)GB50173－93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、GB2887－89《計(jì)算站場(chǎng)地技術(shù)條件》、GB9361－88《計(jì)算站場(chǎng)地安全要求》,從環(huán)境安全、設(shè)備安全和媒體安全三個(gè)方面進(jìn)行詳細(xì)設(shè)計(jì)，嚴(yán)格按照計(jì)算機(jī)等各種微機(jī)電子設(shè)備和工作人員對(duì)溫度、濕度、潔凈度、電磁場(chǎng)強(qiáng)度、噪音干擾、安全保安、電源質(zhì)量、備用電力、振動(dòng)、防漏、防火、防雷和接地等要求建設(shè)，以此保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理環(huán)境安全，同時(shí)采用有效的區(qū)域監(jiān)控、防盜報(bào)警系統(tǒng)，阻止非法用戶(hù)的各種臨近攻擊。網(wǎng)絡(luò)安全。網(wǎng)絡(luò)主干采用雙鏈路結(jié)構(gòu)，考慮業(yè)務(wù)處理能力的數(shù)據(jù)流量，冗余空間充分滿(mǎn)足高峰期需要，并根據(jù)業(yè)務(wù)系統(tǒng)服務(wù)的重要次序定義帶寬分配的優(yōu)先級(jí)。合理規(guī)劃路由，業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑保證網(wǎng)絡(luò)結(jié)構(gòu)安全。網(wǎng)絡(luò)區(qū)域邊界之間部署防火墻安全設(shè)備，制定嚴(yán)格的安全策略實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)和內(nèi)網(wǎng)不同信任域之間的隔離與訪(fǎng)問(wèn)控制，服務(wù)器區(qū)域部署防病毒網(wǎng)關(guān)來(lái)攔截病毒、檢測(cè)病毒和殺毒，保護(hù)操作系統(tǒng)安全穩(wěn)定。應(yīng)用IPS入侵防御系統(tǒng)實(shí)時(shí)監(jiān)控進(jìn)出網(wǎng)段的所有操作行為從而防止針對(duì)網(wǎng)絡(luò)的惡意攻擊行為，同時(shí)以滿(mǎn)足國(guó)家等級(jí)保護(hù)二級(jí)標(biāo)準(zhǔn)要求，通過(guò)人工加固的方式對(duì)網(wǎng)絡(luò)安全設(shè)備進(jìn)行配置加固，實(shí)現(xiàn)包括身份鑒別、訪(fǎng)問(wèn)控制、安全審計(jì)等多個(gè)方面的安全技術(shù)要求。主機(jī)安全。部署防火墻、入侵檢測(cè)、防病毒網(wǎng)關(guān)和漏洞掃描等安全產(chǎn)品進(jìn)行被動(dòng)主機(jī)安全防護(hù)，同時(shí)根據(jù)國(guó)家信息安全等級(jí)保護(hù)二級(jí)標(biāo)準(zhǔn)，為系統(tǒng)信息交換的主客體分別加安全標(biāo)記，制約了操作系統(tǒng)原有的自主訪(fǎng)問(wèn)控制策略（DAC），達(dá)到了強(qiáng)制訪(fǎng)問(wèn)控制（MAC)，對(duì)服務(wù)器進(jìn)行安全加固配置，進(jìn)行資源監(jiān)控、監(jiān)測(cè)報(bào)警，避免服務(wù)器自身的安全漏洞被攻擊者利用，實(shí)現(xiàn)統(tǒng)一管理的主機(jī)安全防護(hù)。應(yīng)用安全。應(yīng)用網(wǎng)絡(luò)設(shè)備和安全設(shè)備自身審計(jì)功能，對(duì)設(shè)備管理日志、設(shè)備狀態(tài)日志、用戶(hù)登錄行為等進(jìn)行審計(jì)。核心交換機(jī)上部署網(wǎng)絡(luò)審計(jì)系統(tǒng)和審計(jì)服務(wù)器，辦公網(wǎng)絡(luò)部署上網(wǎng)行為管理，對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量等進(jìn)行日志記錄，同時(shí)應(yīng)用服務(wù)器不開(kāi)放遠(yuǎn)程協(xié)議端口號(hào)。系統(tǒng)全部采用正版WindowsServer2008和LinuxAS5操作系統(tǒng)并進(jìn)行必要的安全配置、關(guān)閉非常用安全隱患的應(yīng)用、對(duì)一些保存有用戶(hù)信息及其口令的關(guān)鍵文件（如WindowsNT下的LMHOST、SAM等）使用權(quán)限進(jìn)行嚴(yán)格限制。加強(qiáng)口令字的使用，并定期給系統(tǒng)打補(bǔ)丁、系統(tǒng)內(nèi)部的相互調(diào)用不對(duì)外公開(kāi)，同時(shí)通過(guò)配備漏洞掃描系統(tǒng)，并有針對(duì)性地對(duì)網(wǎng)絡(luò)設(shè)備重新配置和升級(jí)。數(shù)據(jù)安全。數(shù)據(jù)庫(kù)系統(tǒng)全部購(gòu)買(mǎi)有效授權(quán)，采取數(shù)據(jù)庫(kù)系統(tǒng)強(qiáng)口令、登錄失敗次數(shù)、操作超時(shí)等方式實(shí)現(xiàn)數(shù)據(jù)庫(kù)系統(tǒng)對(duì)身份鑒別、訪(fǎng)問(wèn)控制要求，采用技術(shù)手段防止用戶(hù)否認(rèn)其數(shù)據(jù)發(fā)送和接收行為，為數(shù)據(jù)收發(fā)雙方提供證據(jù)。應(yīng)用系統(tǒng)針對(duì)數(shù)據(jù)存儲(chǔ)開(kāi)發(fā)加密功能實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸完整性和保密性。同時(shí)建立熱備和冷備結(jié)合的數(shù)據(jù)備份系統(tǒng)，保證在安全事件發(fā)生后及時(shí)有效地進(jìn)行重要數(shù)據(jù)恢復(fù)。

3保障措施

篇4

關(guān)鍵詞：電力營(yíng)銷(xiāo)；網(wǎng)絡(luò)安全；安全建設(shè)；安全管理

1 引言

營(yíng)銷(xiāo)業(yè)務(wù)作為“SG186”工程的業(yè)務(wù)系統(tǒng)之一，應(yīng)用上涵蓋了新裝增容及變更用電、資產(chǎn)管理、計(jì)量點(diǎn)管理、抄表管理、核算管理、電費(fèi)收繳、帳務(wù)管理、用電檢查管理、95598業(yè)務(wù)等領(lǐng)域，需要7×24小時(shí)不間斷、安全可靠運(yùn)行的保障[1]。因此在遵循國(guó)家電網(wǎng)公司“SG186”工程的建設(shè)標(biāo)準(zhǔn)和信息網(wǎng)絡(luò)等級(jí)保護(hù)要求的基礎(chǔ)上，結(jié)合營(yíng)銷(xiāo)關(guān)鍵業(yè)務(wù)應(yīng)用，加強(qiáng)信息安全防護(hù)，保障營(yíng)銷(xiāo)系統(tǒng)網(wǎng)絡(luò)的安全運(yùn)行。本文針對(duì)新疆電力營(yíng)銷(xiāo)系統(tǒng)的現(xiàn)狀，給出了一種多層次的安全防護(hù)方案，對(duì)保障營(yíng)銷(xiāo)系統(tǒng)網(wǎng)絡(luò)穩(wěn)定運(yùn)行，保護(hù)用戶(hù)信息安全，傳輸安全、存儲(chǔ)安全和有效安全管理方面給出了建設(shè)意見(jiàn)。

2 新疆營(yíng)銷(xiāo)網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀

新疆電力營(yíng)銷(xiāo)業(yè)務(wù)應(yīng)用經(jīng)過(guò)了多年的建設(shè)，目前大部分地區(qū)在業(yè)擴(kuò)報(bào)裝、電費(fèi)計(jì)算、客戶(hù)服務(wù)等方面的營(yíng)銷(xiāo)信息化都基本達(dá)到實(shí)用化程度，在客戶(hù)服務(wù)層、業(yè)務(wù)處理層、管理監(jiān)控層三個(gè)層次上實(shí)現(xiàn)了相應(yīng)的基本功能。結(jié)合新疆電力公司的實(shí)際情況，主要分析了管理現(xiàn)狀和網(wǎng)絡(luò)現(xiàn)狀。

2.1 管理現(xiàn)狀

根據(jù)公司總部提出的“集團(tuán)化運(yùn)作、集約化發(fā)展、精細(xì)化管理”的工作思路，從管理的需求上來(lái)說(shuō)，數(shù)據(jù)越集中，管理的力度越細(xì)，越能夠達(dá)到精細(xì)化的管理的要求。但由于目前各地市公司的管理水平現(xiàn)狀、IT現(xiàn)狀、人員現(xiàn)狀等制約因素的限制，不可能使各地市公司的管理都能夠一步到位，尤其是邊遠(yuǎn)地區(qū)。因此，營(yíng)銷(xiāo)業(yè)務(wù)應(yīng)用管理在基于現(xiàn)狀的基礎(chǔ)上逐步推進(jìn)。根據(jù)對(duì)當(dāng)前各地市公司的營(yíng)銷(xiāo)管理現(xiàn)狀和管理目標(biāo)需求的分析，管理現(xiàn)狀可分為如下三類(lèi)：實(shí)時(shí)化、精細(xì)化管理；準(zhǔn)實(shí)時(shí)、可控的管理；非實(shí)時(shí)、粗放式管理。目前大部分管理集中在第二類(lèi)和第三類(lèi)。

2.2 網(wǎng)絡(luò)現(xiàn)狀

網(wǎng)絡(luò)建設(shè)水平將直接影響營(yíng)銷(xiāo)業(yè)務(wù)應(yīng)用的系統(tǒng)架構(gòu)部署，目前新疆公司信息網(wǎng)已經(jīng)形成，實(shí)現(xiàn)了公司總部到網(wǎng)省公司、網(wǎng)省公司本部到下屬地市公司的信息網(wǎng)絡(luò)互連互通，但是各地市公司在地市公司到下屬基層供電單位的之間的信息網(wǎng)絡(luò)建設(shè)情況差別較大，部分地市公司已經(jīng)全部建成光纖網(wǎng)絡(luò)，并且有相應(yīng)的備用通道，能夠滿(mǎn)足實(shí)時(shí)通信的要求，部分地市公司通過(guò)租用專(zhuān)線(xiàn)方式等實(shí)現(xiàn)連接，還有一些地市公司由于受地域條件的限制，尚存在一些信息網(wǎng)絡(luò)無(wú)法到達(dá)的地方，對(duì)大批量、實(shí)時(shí)的數(shù)據(jù)傳輸要求無(wú)法有效保證，通道的可靠性相對(duì)較差。

2.3 需求分析

營(yíng)銷(xiāo)業(yè)務(wù)系統(tǒng)通常部署在國(guó)家電網(wǎng)公司內(nèi)部信息網(wǎng)絡(luò)的核心機(jī)房，為國(guó)家電網(wǎng)公司內(nèi)部信息網(wǎng)絡(luò)和國(guó)家電網(wǎng)公司外部信息網(wǎng)絡(luò)的用戶(hù)提供相關(guān)業(yè)務(wù)支持。該網(wǎng)絡(luò)涉及業(yè)務(wù)工作和業(yè)務(wù)應(yīng)用環(huán)境復(fù)雜，與外部/內(nèi)部單位之間存在大量敏感數(shù)據(jù)交換，使用人員涵蓋國(guó)家電網(wǎng)公司內(nèi)部人員，外部廠(chǎng)商人員，公網(wǎng)用戶(hù)等。因此，在網(wǎng)絡(luò)身份認(rèn)證、數(shù)據(jù)存儲(chǔ)、網(wǎng)絡(luò)邊界防護(hù)與管理等層面上都有很高的安全需求。[2]

3 關(guān)鍵技術(shù)和架構(gòu)

3.1 安全防護(hù)體系架構(gòu)

營(yíng)銷(xiāo)網(wǎng)絡(luò)系統(tǒng)安全防護(hù)體系的總體目標(biāo)是保障營(yíng)銷(xiāo)系統(tǒng)安全有序的運(yùn)行，規(guī)范國(guó)家電網(wǎng)公司內(nèi)部信息網(wǎng)員工和外部信息網(wǎng)用戶(hù)的行為，對(duì)違規(guī)行為進(jìn)行報(bào)警和處理。營(yíng)銷(xiāo)網(wǎng)絡(luò)系統(tǒng)安全防護(hù)體系由3個(gè)系統(tǒng)（3維度）接入終端安全、數(shù)據(jù)傳輸安全和應(yīng)用系統(tǒng)安全三個(gè)方面內(nèi)容，以及其多個(gè)子系統(tǒng)組成，其體系結(jié)構(gòu)如圖1所示。

圖1 營(yíng)銷(xiāo)系統(tǒng)安全防護(hù)總體防護(hù)架構(gòu)

3.2 接入終端安全

接入營(yíng)銷(xiāo)網(wǎng)的智能終端形式多樣，包括PC終端、智能電表和移動(dòng)售電終端等。面臨協(xié)議不統(tǒng)一，更新?lián)Q代快，網(wǎng)絡(luò)攻擊日新月異，黑客利用安全漏洞的速度越來(lái)越快，形式越來(lái)越隱蔽等安全問(wèn)題。傳統(tǒng)的基于特征碼被動(dòng)防護(hù)的反病毒軟件遠(yuǎn)遠(yuǎn)不能滿(mǎn)足需求。需要加強(qiáng)終端的安全改造和監(jiān)管，建立完善的認(rèn)證、準(zhǔn)入和監(jiān)管機(jī)制，對(duì)違規(guī)行為及時(shí)報(bào)警、處理和備案，減小終端接入給系統(tǒng)帶來(lái)的安全隱患。

3.3 數(shù)據(jù)傳輸安全

傳統(tǒng)的數(shù)據(jù)傳輸未采取加密和完整性校驗(yàn)等保護(hù)措施，電力營(yíng)銷(xiāo)數(shù)據(jù)涉及國(guó)家電網(wǎng)公司和用戶(hù)信息，安全等級(jí)較高，需要更有效的手段消除數(shù)據(jù)泄露、非法篡改信息等風(fēng)險(xiǎn)。

市場(chǎng)上常見(jiàn)的安全網(wǎng)關(guān)、防火墻、漏洞檢測(cè)設(shè)備等，都具有數(shù)據(jù)加密傳輸?shù)墓δ?，能夠有效保證數(shù)據(jù)傳輸?shù)陌踩?。但僅僅依靠安全設(shè)備來(lái)保證數(shù)據(jù)通道的安全也是不夠的。一旦設(shè)備被穿透，將可能造成營(yíng)銷(xiāo)系統(tǒng)數(shù)據(jù)和用戶(hù)信息的泄露。除此之外，還需要采用更加安全可靠的協(xié)議和通信通道保證數(shù)據(jù)通信的安全。

3.4 應(yīng)用系統(tǒng)安全

目前營(yíng)銷(xiāo)系統(tǒng)已經(jīng)具有針對(duì)應(yīng)用層的基于對(duì)象權(quán)限和用戶(hù)角色概念的認(rèn)證和授權(quán)機(jī)制，但是這種機(jī)制還不能在網(wǎng)絡(luò)層及以下層對(duì)接入用戶(hù)進(jìn)行細(xì)粒度的身份認(rèn)證和訪(fǎng)問(wèn)控制，營(yíng)銷(xiāo)系統(tǒng)仍然面臨著安全風(fēng)險(xiǎn)。增強(qiáng)網(wǎng)絡(luò)層及以下層，比如接入層、鏈路層等的細(xì)粒度訪(fǎng)問(wèn)控制，從而提高應(yīng)用系統(tǒng)的安全性。

4 安全建設(shè)

營(yíng)銷(xiāo)系統(tǒng)安全建設(shè)涉及安全網(wǎng)絡(luò)安全、主機(jī)操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、應(yīng)用安全以及終端安全幾個(gè)層面的安全防護(hù)方案，用以解決營(yíng)銷(xiāo)系統(tǒng)網(wǎng)絡(luò)安全目前存在的主要問(wèn)題。

4.1 終端安全加固

終端作為營(yíng)銷(xiāo)系統(tǒng)使用操作的發(fā)起設(shè)備，其安全性直接關(guān)系到數(shù)據(jù)傳輸?shù)陌踩酥羶?nèi)網(wǎng)應(yīng)用系統(tǒng)的安全。終端不僅是創(chuàng)建和存放重要數(shù)據(jù)的源頭，而且是攻擊事件、數(shù)據(jù)泄密和病毒感染的源頭。這需要加強(qiáng)終端自身的安全防護(hù)策略的制定，定期檢測(cè)被攻擊的風(fēng)險(xiǎn)，對(duì)安全漏洞甚至病毒及時(shí)處理。對(duì)終端設(shè)備進(jìn)行完善的身份認(rèn)證和權(quán)限管理，限制和阻止非授權(quán)訪(fǎng)問(wèn)、濫用、破壞行為。

目前公司主要的接入終端有PC、PDA、無(wú)線(xiàn)表計(jì)、配變檢測(cè)設(shè)備、應(yīng)急指揮車(chē)等。由于不同終端采用的操作系統(tǒng)不同，安全防護(hù)要求和措施也不同，甚至需要根據(jù)不同的終端定制相應(yīng)的安全模塊和安全策略，主要包括：針對(duì)不同終端（定制）的操作系統(tǒng)底層改造加固；終端接入前下載安裝可信任插件；采用兩種以上認(rèn)證技術(shù)驗(yàn)證用戶(hù)身份；嚴(yán)格按權(quán)限限制用戶(hù)的訪(fǎng)問(wèn)；安裝安全通信模塊，保障加密通訊及連接；安裝監(jiān)控系統(tǒng)，監(jiān)控終端操作行為；安裝加密卡/認(rèn)證卡，如USBKEY/PCMCIA/ TF卡等。

4.2 網(wǎng)絡(luò)環(huán)境安全

網(wǎng)絡(luò)環(huán)境安全防護(hù)是針對(duì)網(wǎng)絡(luò)的軟硬件環(huán)境、網(wǎng)絡(luò)內(nèi)的信息傳輸情況以及網(wǎng)絡(luò)自身邊界的安全狀況進(jìn)行安全防護(hù)。確保軟硬件設(shè)備整體在營(yíng)銷(xiāo)網(wǎng)絡(luò)系統(tǒng)中安全有效工作。

4.2.1 網(wǎng)絡(luò)設(shè)備安全

網(wǎng)絡(luò)設(shè)備安全包括國(guó)家電網(wǎng)公司信息內(nèi)、外網(wǎng)營(yíng)銷(xiāo)管理系統(tǒng)域中的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全防護(hù)。主要防護(hù)措施包括，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行加固，及時(shí)安裝殺毒軟件和補(bǔ)丁，定期更新弱點(diǎn)掃描系統(tǒng)，并對(duì)掃描出的弱點(diǎn)及時(shí)進(jìn)行處理。采用身份認(rèn)證、IP、MAC地址控制外來(lái)設(shè)備的接入安全，采用較為安全的SSH、HTTPS等進(jìn)行遠(yuǎn)程管理。對(duì)網(wǎng)絡(luò)設(shè)備配置文件進(jìn)行備份。對(duì)網(wǎng)絡(luò)設(shè)備安全事件進(jìn)行定期或?qū)崟r(shí)審計(jì)。采用硬件雙機(jī)、冗余備份等方式保證關(guān)鍵網(wǎng)絡(luò)及設(shè)備正常安全工作，保證營(yíng)銷(xiāo)管理系統(tǒng)域中的關(guān)鍵網(wǎng)絡(luò)鏈路冗余。

4.2.2 網(wǎng)絡(luò)傳輸安全

營(yíng)銷(xiāo)系統(tǒng)數(shù)據(jù)經(jīng)由網(wǎng)絡(luò)傳輸時(shí)可能會(huì)被截獲、篡改、刪除，因此應(yīng)當(dāng)建立安全的通信傳輸網(wǎng)絡(luò)以保證網(wǎng)絡(luò)信息的安全傳輸。

在非邊遠(yuǎn)地方建立專(zhuān)用的電力通信網(wǎng)絡(luò)方便營(yíng)銷(xiāo)系統(tǒng)的用戶(hù)安全使用、在邊遠(yuǎn)的沒(méi)有覆蓋電力局和供電營(yíng)業(yè)所的地方，采用建立GPRS、GSM，3G專(zhuān)線(xiàn)或租用運(yùn)營(yíng)商ADSL、ISDN網(wǎng)絡(luò)專(zhuān)網(wǎng)專(zhuān)用的方式，保障電力通信安全。

電力營(yíng)銷(xiāo)技術(shù)系統(tǒng)與各個(gè)銀行網(wǎng)上銀行、郵政儲(chǔ)蓄網(wǎng)點(diǎn)、電費(fèi)代繳機(jī)構(gòu)進(jìn)行合作繳費(fèi)，極大方便電力客戶(hù)繳費(fèi)。為了提高通道的安全性，形成了營(yíng)銷(xiāo)系統(tǒng)信息內(nèi)網(wǎng)、銀行郵政等儲(chǔ)蓄系統(tǒng)、internet公網(wǎng)、供電中心網(wǎng)絡(luò)的一個(gè)封閉環(huán)路，利用專(zhuān)網(wǎng)或VPN、加密隧道等技術(shù)提高數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴?/p>

在數(shù)據(jù)傳輸之前需要進(jìn)行設(shè)備間的身份認(rèn)證，在認(rèn)證過(guò)程中網(wǎng)絡(luò)傳輸?shù)目诹钚畔⒔姑魑膫魉?，可通過(guò)哈希（HASH）單向運(yùn)算、SSL加密、Secure Shell（SSH）加密、公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure 簡(jiǎn)稱(chēng)PKI）等方式實(shí)現(xiàn)。

此外，為保證所傳輸數(shù)據(jù)的完整性需要對(duì)傳輸數(shù)據(jù)加密處理。系統(tǒng)可采用校驗(yàn)碼等技術(shù)以檢測(cè)和管理數(shù)據(jù)、鑒別數(shù)據(jù)在傳輸過(guò)程中完整性是否受到破壞。在檢測(cè)到數(shù)據(jù)完整性被破壞時(shí)，采取有效的恢復(fù)措施。

4.2.3 網(wǎng)絡(luò)邊界防護(hù)

網(wǎng)絡(luò)邊界防護(hù)主要基于根據(jù)不同安全等級(jí)網(wǎng)絡(luò)的要求劃分安全區(qū)域的安全防護(hù)思想。營(yíng)銷(xiāo)系統(tǒng)安全域邊界，分為同一安全域內(nèi)部各個(gè)子系統(tǒng)之間的內(nèi)部邊界，和跨不同安全域之間的網(wǎng)絡(luò)外部邊界兩類(lèi)。依據(jù)安全防護(hù)等級(jí)、邊界防護(hù)和深度防護(hù)標(biāo)準(zhǔn)，具有相同安全保護(hù)需求的網(wǎng)絡(luò)或系統(tǒng)，相互信任，具有相同的訪(fǎng)問(wèn)和控制策略，安全等級(jí)相同，被劃分在同一安全域內(nèi)[3]，采用相同的安全防護(hù)措施。

加強(qiáng)外部網(wǎng)絡(luò)邊界安全，可以采用部署堡壘機(jī)、入侵檢測(cè)、審計(jì)管理系統(tǒng)等硬件加強(qiáng)邊界防護(hù)，同時(shí)規(guī)范系統(tǒng)操作行為，分區(qū)域分級(jí)別加強(qiáng)系統(tǒng)保護(hù)，減少系統(tǒng)漏洞，提高系統(tǒng)內(nèi)部的安全等級(jí)，從根本上提高系統(tǒng)的抗攻擊性。

跨安全域傳輸?shù)臄?shù)據(jù)傳輸需要進(jìn)行加密處理。實(shí)現(xiàn)數(shù)據(jù)加密，啟動(dòng)系統(tǒng)的加密功能或增加相應(yīng)模塊實(shí)現(xiàn)數(shù)據(jù)加密，也可采用第三方VPN等措施實(shí)現(xiàn)數(shù)據(jù)加密。

4.3 主機(jī)安全

從增強(qiáng)主機(jī)安全的層面來(lái)增強(qiáng)營(yíng)銷(xiāo)系統(tǒng)安全，采用虛擬專(zhuān)用網(wǎng)絡(luò)（Virtual Private Network 簡(jiǎn)稱(chēng)VPN）等技術(shù)，在用戶(hù)網(wǎng)頁(yè)（WEB）瀏覽器和服務(wù)器之間進(jìn)行安全數(shù)據(jù)通信，提高主機(jī)自身安全性，監(jiān)管主機(jī)行，減小用戶(hù)錯(cuò)誤操作對(duì)系統(tǒng)的影響。

首先，掃描主機(jī)操作系統(tǒng)評(píng)估出配置錯(cuò)誤項(xiàng)，按照系統(tǒng)廠(chǎng)商或安全組織提供的加固列表對(duì)操作系統(tǒng)進(jìn)行安全加固，以達(dá)到相關(guān)系統(tǒng)安全標(biāo)準(zhǔn)。安裝第三方安全組件加強(qiáng)主機(jī)系統(tǒng)安全防護(hù)。采用主機(jī)防火墻系統(tǒng)、入侵檢測(cè)/防御系統(tǒng)（IDS/IPS）、監(jiān)控軟件等。在服務(wù)器和客戶(hù)端上部署專(zhuān)用版或網(wǎng)絡(luò)版防病毒軟件系統(tǒng)或病毒防護(hù)系統(tǒng)等。

此外，還需要制定用戶(hù)安全策略，系統(tǒng)用戶(hù)管理策略，定義用戶(hù)口令管理策略[4]。根據(jù)管理用戶(hù)角色分配用戶(hù)權(quán)限，限制管理員使用權(quán)限，實(shí)現(xiàn)不同管理用戶(hù)的權(quán)限分離。對(duì)資源訪(fǎng)問(wèn)進(jìn)行權(quán)限控制。依據(jù)安全策略對(duì)敏感信息資源設(shè)置敏感標(biāo)記，制定訪(fǎng)問(wèn)控制策略嚴(yán)格管理用戶(hù)對(duì)敏感信息資源的訪(fǎng)問(wèn)和操作。

4.4 數(shù)據(jù)庫(kù)安全

數(shù)據(jù)庫(kù)安全首要是數(shù)據(jù)存儲(chǔ)安全，包括敏感口令數(shù)據(jù)非明文存儲(chǔ)，對(duì)關(guān)鍵敏感業(yè)務(wù)數(shù)據(jù)加密存儲(chǔ)，本地?cái)?shù)據(jù)備份與恢復(fù)，關(guān)鍵數(shù)據(jù)定期備份，備份介質(zhì)場(chǎng)外存放和異地備份。當(dāng)環(huán)境發(fā)生變更時(shí)，定期進(jìn)行備份恢復(fù)測(cè)試，以保證所備份數(shù)據(jù)安全可靠。

數(shù)據(jù)安全管理用于數(shù)據(jù)庫(kù)管理用戶(hù)的身份認(rèn)證，制定用戶(hù)安全策略，數(shù)據(jù)庫(kù)系統(tǒng)用戶(hù)管理策略，口令管理的相關(guān)安全策略，用戶(hù)管理策略、用戶(hù)訪(fǎng)問(wèn)控制策略，合理分配用戶(hù)權(quán)限。

數(shù)據(jù)庫(kù)安全審計(jì)采用數(shù)據(jù)庫(kù)內(nèi)部審計(jì)機(jī)制或第三方數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)進(jìn)行安全審計(jì)，并定期對(duì)審計(jì)結(jié)果進(jìn)行分析處理。對(duì)較敏感的存儲(chǔ)過(guò)程加以管理，限制對(duì)敏感存儲(chǔ)過(guò)程的使用。及時(shí)更新數(shù)據(jù)庫(kù)程序補(bǔ)丁。經(jīng)過(guò)安全測(cè)試后加載數(shù)據(jù)庫(kù)系統(tǒng)補(bǔ)丁，提升數(shù)據(jù)庫(kù)安全。

數(shù)據(jù)庫(kù)安全控制、在數(shù)據(jù)庫(kù)安裝前，必須創(chuàng)建數(shù)據(jù)庫(kù)的管理員組，服務(wù)器進(jìn)行訪(fǎng)問(wèn)限制，制定監(jiān)控方案的具體步驟。工具配置參數(shù)，實(shí)現(xiàn)同遠(yuǎn)程數(shù)據(jù)庫(kù)之間的連接[5]。

數(shù)據(jù)庫(kù)安全恢復(fù)，在數(shù)據(jù)庫(kù)導(dǎo)入時(shí)，和數(shù)據(jù)庫(kù)發(fā)生故障時(shí)，數(shù)據(jù)庫(kù)數(shù)據(jù)冷備份恢復(fù)和數(shù)據(jù)庫(kù)熱備份恢復(fù)。

4.5 應(yīng)用安全

應(yīng)用安全是用戶(hù)對(duì)營(yíng)銷(xiāo)系統(tǒng)應(yīng)用的安全問(wèn)題。包括應(yīng)用系統(tǒng)安全和系統(tǒng)的用戶(hù)接口和數(shù)據(jù)接口的安全防護(hù)。

4.5.1 應(yīng)用系統(tǒng)安全防護(hù)

應(yīng)用系統(tǒng)安全防護(hù)首先要對(duì)應(yīng)用系統(tǒng)進(jìn)行安全測(cè)評(píng)、安全加固，提供系統(tǒng)資源控制功能以保證業(yè)務(wù)正常運(yùn)行。定期對(duì)應(yīng)用程序軟件進(jìn)行弱點(diǎn)掃描，掃描之前應(yīng)更新掃描器特征代碼；弱點(diǎn)掃描應(yīng)在非核心業(yè)務(wù)時(shí)段進(jìn)行，并制定回退計(jì)劃。依據(jù)掃描結(jié)果，及時(shí)修復(fù)所發(fā)現(xiàn)的漏洞，確保系統(tǒng)安全運(yùn)行。

4.5.2 用戶(hù)接口安全防護(hù)

對(duì)于用戶(hù)訪(fǎng)問(wèn)應(yīng)用系統(tǒng)的用戶(hù)接口需采取必要的安全控制措施，包括對(duì)同一用戶(hù)采用兩種以上的鑒別技術(shù)鑒別用戶(hù)身份，如采用用戶(hù)名/口令、動(dòng)態(tài)口令、物理識(shí)別設(shè)備、生物識(shí)別技術(shù)、數(shù)字證書(shū)身份鑒別技術(shù)等的組合使用。對(duì)于用戶(hù)認(rèn)證登陸采用包括認(rèn)證錯(cuò)誤及超時(shí)鎖定、認(rèn)證時(shí)間超出強(qiáng)制退出、認(rèn)證情況記錄日志等安全控制措施。采用用戶(hù)名/口令認(rèn)證時(shí)，應(yīng)當(dāng)對(duì)口令長(zhǎng)度、復(fù)雜度、生存周期進(jìn)行強(qiáng)制要求。

同時(shí)，為保證用戶(hù)訪(fǎng)問(wèn)重要業(yè)務(wù)數(shù)據(jù)過(guò)程的安全保密，用戶(hù)通過(guò)客戶(hù)端或WEB方式訪(fǎng)問(wèn)應(yīng)用系統(tǒng)重要數(shù)據(jù)應(yīng)當(dāng)考慮進(jìn)行加密傳輸，如網(wǎng)上營(yíng)業(yè)廳等通過(guò)Internet等外部公共網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)系統(tǒng)訪(fǎng)問(wèn)必須采用SSL等方式對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行加密傳輸。杜絕經(jīng)網(wǎng)絡(luò)傳輸?shù)挠脩?hù)名、口令等認(rèn)證信息應(yīng)當(dāng)明文傳輸和用戶(hù)口令在應(yīng)用系統(tǒng)中明文存儲(chǔ)。

4.5.3 數(shù)據(jù)接口安全防護(hù)

數(shù)據(jù)接口的安全防護(hù)分為安全域內(nèi)數(shù)據(jù)接口的安全防護(hù)和安全域間數(shù)據(jù)接口的安全防護(hù)。安全域內(nèi)數(shù)據(jù)接口在同一安全域內(nèi)部不同應(yīng)用系統(tǒng)之間，需要通過(guò)網(wǎng)絡(luò)交換或共享數(shù)據(jù)而設(shè)置的數(shù)據(jù)接口；安全域間數(shù)據(jù)接口是跨不同安全域的不同應(yīng)用系統(tǒng)間，需要交互或共享數(shù)據(jù)而設(shè)置的數(shù)據(jù)接口。

5 安全管理

安全管理是安全建設(shè)的各項(xiàng)技術(shù)和措施得以實(shí)現(xiàn)不可缺少的保障，從制度和組織機(jī)構(gòu)到安全運(yùn)行、安全服務(wù)和應(yīng)急安全管理，是一套標(biāo)準(zhǔn)化系統(tǒng)的流程規(guī)范，主要包括以下方面。

5.1 安全組織機(jī)構(gòu)

建立營(yíng)銷(xiāo)業(yè)務(wù)應(yīng)用安全防護(hù)的組織機(jī)構(gòu)，并將安全防護(hù)的責(zé)任落實(shí)到人，安全防護(hù)組織機(jī)構(gòu)可以由專(zhuān)職人員負(fù)責(zé)，也可由運(yùn)維人員兼職。

5.2 安全規(guī)章制度

建立安全規(guī)章制度，加強(qiáng)安全防護(hù)策略管理，軟件系統(tǒng)安全生命周期的管理，系統(tǒng)安全運(yùn)維管理，安全審計(jì)與安全監(jiān)控管理，以及口令管理、權(quán)限管理等。確保安全規(guī)章制度能夠有效落實(shí)執(zhí)行。

5.3 安全運(yùn)行管理

在系統(tǒng)上線(xiàn)運(yùn)行過(guò)程中，遵守國(guó)家電網(wǎng)公司的安全管理規(guī)定，嚴(yán)格遵守業(yè)務(wù)數(shù)據(jù)安全保密、網(wǎng)絡(luò)資源使用、辦公環(huán)境等的安全規(guī)定。

首先，系統(tǒng)正式上線(xiàn)前應(yīng)進(jìn)行專(zhuān)門(mén)的系統(tǒng)安全防護(hù)測(cè)試，應(yīng)確認(rèn)軟件系統(tǒng)安全配置項(xiàng)目準(zhǔn)確，以使得已經(jīng)設(shè)計(jì)、開(kāi)發(fā)的安全防護(hù)功能正常工作。

在上線(xiàn)運(yùn)行維護(hù)階段，應(yīng)定期對(duì)系統(tǒng)運(yùn)行情況進(jìn)行全面審計(jì)，包括網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)、數(shù)據(jù)庫(kù)審計(jì)，業(yè)務(wù)應(yīng)用審計(jì)等。每次審計(jì)應(yīng)記入審計(jì)報(bào)告，發(fā)現(xiàn)問(wèn)題應(yīng)進(jìn)入問(wèn)題處理流程。建立集中日志服務(wù)器對(duì)營(yíng)銷(xiāo)交易安全域中網(wǎng)絡(luò)及安全設(shè)備日志進(jìn)行集中收集存儲(chǔ)和管理。

軟件升級(jí)改造可能會(huì)對(duì)原來(lái)的系統(tǒng)做出調(diào)整或更改，此時(shí)也應(yīng)從需求、分析、設(shè)計(jì)、實(shí)施上線(xiàn)等的整個(gè)生命周期對(duì)運(yùn)行執(zhí)行新的安全管理。

5.4 安全服務(wù)

安全服務(wù)的目的是保障系統(tǒng)建設(shè)過(guò)程中的各個(gè)階段的有效執(zhí)行，問(wèn)題、變更和偏差有效反饋，及時(shí)解決和糾正。從項(xiàng)目層面進(jìn)行推進(jìn)和監(jiān)控系統(tǒng)建設(shè)的進(jìn)展，確保項(xiàng)目建設(shè)質(zhì)量和實(shí)現(xiàn)各項(xiàng)指標(biāo)。

從項(xiàng)目立項(xiàng)、調(diào)研、開(kāi)發(fā)到實(shí)施、驗(yàn)收、運(yùn)維等各個(gè)不同階段，可以階段性開(kāi)展不同的安全服務(wù)，包括安全管理、安全評(píng)審、安全運(yùn)維、安全訪(fǎng)談、安全培訓(xùn)、安全測(cè)試、安全認(rèn)證等安全服務(wù)。

5.5 安全評(píng)估

安全評(píng)估是對(duì)營(yíng)銷(xiāo)系統(tǒng)潛在的風(fēng)險(xiǎn)進(jìn)行評(píng)估（Risk Assessment），在風(fēng)險(xiǎn)尚未發(fā)生或產(chǎn)生嚴(yán)重后果之前對(duì)其造成后果的危險(xiǎn)程度進(jìn)行分析，制定相應(yīng)的策略減少或杜絕風(fēng)險(xiǎn)的發(fā)生概率。

營(yíng)銷(xiāo)系統(tǒng)的安全評(píng)估主要是針對(duì)第三方使用人員，評(píng)估內(nèi)容涵蓋，終端安全和接入網(wǎng)絡(luò)安全。根據(jù)國(guó)家電網(wǎng)公司安全等級(jí)標(biāo)準(zhǔn)，對(duì)核心業(yè)務(wù)系統(tǒng)接入網(wǎng)絡(luò)安全等級(jí)進(jìn)行測(cè)評(píng)，并給出測(cè)評(píng)報(bào)告和定期加固改造辦法，如安裝終端加固軟件/硬件，安裝監(jiān)控軟件、增加網(wǎng)絡(luò)安全設(shè)備、增加安全策略，包括禁止違規(guī)操作、禁止越權(quán)操作等。

5.6 應(yīng)急管理

為了營(yíng)銷(xiāo)系統(tǒng)7×24小時(shí)安全運(yùn)行，必須建立健全快速保障體系，在系統(tǒng)出現(xiàn)突發(fā)事件時(shí)，有效處理和解決問(wèn)題，最大限度減小不良影響和損失，制定合理可行的應(yīng)急預(yù)案，主要內(nèi)容包括：明確目標(biāo)或要求，設(shè)立具有專(zhuān)門(mén)的部門(mén)或工作小組對(duì)突發(fā)事件能夠及時(shí)反應(yīng)和處理。加強(qiáng)規(guī)范的應(yīng)急流程管理，明確應(yīng)急處理的期限和責(zé)任人。對(duì)于一定安全等級(jí)的事件，要及時(shí)或上報(bào)。

6 實(shí)施部署

營(yíng)銷(xiāo)系統(tǒng)為多級(jí)部署系統(tǒng)。根據(jù)國(guó)家電網(wǎng)信息網(wǎng)絡(luò)分區(qū)域安全防護(hù)的指導(dǎo)思想原則，結(jié)合新疆多地市不同安全級(jí)別需求的實(shí)際情況，營(yíng)銷(xiāo)系統(tǒng)網(wǎng)絡(luò)整體安全部署如圖2所示。

在營(yíng)銷(xiāo)系統(tǒng)部署中，對(duì)安全需求不同的地市子網(wǎng)劃分不同的安全域，網(wǎng)省管控平臺(tái)部署在網(wǎng)省信息內(nèi)網(wǎng)，負(fù)責(zé)對(duì)所有安全防護(hù)措施的管控和策略的下發(fā)，它是不同安全級(jí)別地市子系統(tǒng)信息的管理控制中心，也是聯(lián)接總部展示平臺(tái)的橋梁，向國(guó)網(wǎng)總公司提交營(yíng)銷(xiāo)系統(tǒng)安全運(yùn)行的數(shù)據(jù)和報(bào)表等信息。

7 結(jié)束語(yǔ)

電力營(yíng)銷(xiāo)網(wǎng)絡(luò)安全技術(shù)的發(fā)展伴隨電力營(yíng)銷(xiāo)技術(shù)的發(fā)展而不斷更新，伴隨安全技術(shù)的不斷進(jìn)步而不斷進(jìn)步。電力營(yíng)銷(xiāo)網(wǎng)絡(luò)的安全不僅僅屬于業(yè)務(wù)系統(tǒng)的安全范疇，也屬于網(wǎng)絡(luò)信息化建設(shè)范疇，其安全工作是一個(gè)系統(tǒng)化，多元化的工作，立足于信息內(nèi)網(wǎng)安全，覆蓋信息外網(wǎng)安全和其他網(wǎng)絡(luò)。

本文基于新疆電力營(yíng)銷(xiāo)系統(tǒng)網(wǎng)絡(luò)安全的現(xiàn)狀，結(jié)合現(xiàn)有安全技術(shù)和安全管理手段來(lái)提高營(yíng)銷(xiāo)系統(tǒng)整體安全水平，為提升原有網(wǎng)絡(luò)的安全性，構(gòu)造一個(gè)安全可靠的電力營(yíng)銷(xiāo)網(wǎng)絡(luò)提供了一套安全解決方案，對(duì)國(guó)家電網(wǎng)其他具有類(lèi)似需求的網(wǎng)省公司營(yíng)銷(xiāo)系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題解決提供參考和借鑒。

參考文獻(xiàn)

[1]趙宏斌，陳超.電力營(yíng)銷(xiāo)數(shù)據(jù)安全防護(hù)體系及其關(guān)鍵技術(shù)研究[J].電力信息化，2008年6卷7期：135-139.

[2]呂萍萍.當(dāng)前電力企業(yè)電力營(yíng)銷(xiāo)的現(xiàn)狀與安全防護(hù)保障系統(tǒng)構(gòu)建[J].華東科技：學(xué)術(shù)版，2012年11期：282.

[3]蔣明，吳斌.電力營(yíng)銷(xiāo)系統(tǒng)信息安全等級(jí)保護(hù)的研究與實(shí)踐[J].電力信息化，2009年3期：25-27.

[4]朱芳，肖忠良，趙建梅.淺析電力營(yíng)銷(xiāo)業(yè)務(wù)應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)[J].黑龍江科技信息，2010年35期：153-154.

[5]李紅文.論加強(qiáng)電力營(yíng)銷(xiāo)信息系統(tǒng)安全[J].信息通信，2012年1月：115-116.

作者簡(jiǎn)介：劉陶（1983-），男，漢族，四川樂(lè)山，本科，技師，電力營(yíng)銷(xiāo)稽查與實(shí)施調(diào)度。

陳曉云（1974-），女，大專(zhuān)，技師，新疆烏魯木齊，電力營(yíng)銷(xiāo)稽查。

篇5

［關(guān)鍵詞］ 信息安全保障體系； 中國(guó)石油； 企業(yè)

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054

［中圖分類(lèi)號(hào)］ TP309 ［文獻(xiàn)標(biāo)識(shí)碼］ A ［文章編號(hào)］ 1673 - 0194（2012）09- 0089- 02

1 信息安全保障體系概述

信息安全保障（Information Assurance，IA）來(lái)源于1996年美國(guó)國(guó)防部DoD指令5－3600．1（DoDD5－3600．1）。其發(fā)展經(jīng)歷了通信安全、計(jì)算機(jī)安全、信息安全直至現(xiàn)在的信息安全保障。內(nèi)容包括保護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Response）、恢復(fù)（Recovery） 4個(gè)環(huán)節(jié)，即PDRR模型。

信息安全保障體系分為人員體系、技術(shù)體系和管理體系3個(gè)層面，人員體系包括安全人員的崗位與職責(zé)、全體工作人員的安全管理兩部分。技術(shù)體系由本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施及支撐性基礎(chǔ)設(shè)施組成。管理體系包括建立完善的信息安全管理體系、構(gòu)建自上而下的各級(jí)信息安全管理組織架構(gòu)、制定信息安全方針與信息安全策略及完善信息安全管理制度4個(gè)板塊。通過(guò)縱深防御的多層防護(hù)，多處設(shè)置保護(hù)機(jī)制，抵御通過(guò)內(nèi)部或外部從多點(diǎn)向信息系統(tǒng)發(fā)起的攻擊，將信息系統(tǒng)的安全風(fēng)險(xiǎn)降低到可以接受的程度。

2 國(guó)外信息安全保障體系建設(shè)

美國(guó)的信息化程度全球最高，在信息技術(shù)的主導(dǎo)權(quán)和網(wǎng)絡(luò)上的話(huà)語(yǔ)權(quán)等方面占據(jù)先天優(yōu)勢(shì)，他們?cè)谛畔踩Ｕ象w系建設(shè)以及政策支持方面也走在全球的前列。美國(guó)政府先后了一系列政策戰(zhàn)略報(bào)告，將信息安全由“政策”、“計(jì)劃”上升到“國(guó)家戰(zhàn)略”及“國(guó)際戰(zhàn)略”的高度。美國(guó)國(guó)土安全局是美國(guó)信息安全管理的最高權(quán)力機(jī)構(gòu)，其他負(fù)責(zé)信息安全管理和執(zhí)行的機(jī)構(gòu)有國(guó)家安全局、聯(lián)邦調(diào)查局、國(guó)防部、商務(wù)部等，主要根據(jù)相應(yīng)的方針和政策結(jié)合自己部門(mén)的情況實(shí)施信息安全保障工作。

其他國(guó)家也都非常重視信息安全保障工作。構(gòu)建可信的網(wǎng)絡(luò)，建設(shè)有效的信息安全保障體系，實(shí)施切實(shí)可行的信息安全保障措施已經(jīng)成為世界各國(guó)信息化發(fā)展的主要需求。信息化發(fā)展比較好的發(fā)達(dá)國(guó)家，如俄、德、日等國(guó)家都已經(jīng)或正在制定自己的信息安全發(fā)展戰(zhàn)略和發(fā)展計(jì)劃，確保信息安全沿著正確的方向發(fā)展，在信息安全領(lǐng)域不斷進(jìn)行著積極有益的探索。

3 國(guó)內(nèi)信息安全保障體系建設(shè)

我國(guó)信息化安全保障體系建設(shè)相對(duì)于發(fā)達(dá)國(guó)家起步較晚，2003年9月，中央提出要在5年內(nèi)建設(shè)中國(guó)信息安全保障體系。2006年9月，“十一五”發(fā)展綱要提出科技“支撐發(fā)展”的重要思想，提出要提高我國(guó)信息產(chǎn)業(yè)核心技術(shù)自主開(kāi)發(fā)能力和整體水平，初步建立有中國(guó)特色的信息安全保障體系。2007年7月20日，“全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作電視電話(huà)會(huì)議”召開(kāi)，標(biāo)志著信息安全等級(jí)保護(hù)工作在全國(guó)范圍內(nèi)的開(kāi)展與實(shí)施。2011年3月《我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展十二五規(guī)劃綱要》明確提出加強(qiáng)網(wǎng)絡(luò)與信息安全保障工作。通過(guò)一系列的文件要求，不斷完善與提升我國(guó)的信息安全體系，強(qiáng)調(diào)信息安全的重要性。

我國(guó)信息安全保障體系建設(shè)主要包括：① 加快信息安全立法、建立信息安全法制體系，做到有法可依，有法必依。② 建立國(guó)家信息安全組織管理體系，加強(qiáng)國(guó)家職能，建立職能高效、職責(zé)分工明確的行政管理和業(yè)務(wù)組織體系，建立信息安全標(biāo)準(zhǔn)和評(píng)價(jià)體系。③ 建立國(guó)家信息安全技術(shù)保障體系，使用科學(xué)技術(shù)，實(shí)施安全的防護(hù)保障。④ 在技術(shù)保障體系下，建設(shè)國(guó)家信息安全保障基礎(chǔ)設(shè)施。⑤ 建立國(guó)家信息安全經(jīng)費(fèi)保障體系，加大信息安全投入。⑥ 高度重視人才培養(yǎng)，建立信息安全人才培養(yǎng)機(jī)制。

我國(guó)通過(guò)近幾年的努力，信息安體保障體系取得了長(zhǎng)足發(fā)展，2002年成立了全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)，不斷完善信息安全標(biāo)準(zhǔn)。同時(shí)在互聯(lián)網(wǎng)管理、信息安全測(cè)評(píng)認(rèn)證、信息安全等級(jí)保護(hù)工作等方面取得了實(shí)質(zhì)性進(jìn)展，但CPU芯片、操作系統(tǒng)與數(shù)據(jù)庫(kù)、網(wǎng)關(guān)軟件仍大多依賴(lài)進(jìn)口，受制于人。

4 企業(yè)信息安全保障體系建設(shè)

中國(guó)石油集團(tuán)公司信息化建設(shè)在我國(guó)大型企業(yè)中處于領(lǐng)先地位，在國(guó)資委歷年信息化評(píng)比中，都名列前茅，“十一五”期間，公司將企業(yè)信息安全保障體系建設(shè)納入信息化整體規(guī)劃中，并逐步實(shí)施。其中涉及管理類(lèi)項(xiàng)目3個(gè)，控制類(lèi)項(xiàng)目3個(gè)，技術(shù)類(lèi)項(xiàng)目5個(gè)。

管理類(lèi)項(xiàng)目包括信息安全組織完善、信息安全運(yùn)行能力建設(shè)、風(fēng)險(xiǎn)評(píng)估能力建設(shè)3個(gè)項(xiàng)目。信息安全組織完善是指完善信息安全的決策、管理與技術(shù)服務(wù)組織，合理配置崗位并明確職責(zé)，建立完備的管理流程，為信息安全建設(shè)與運(yùn)行提供組織保障。信息安全運(yùn)行能力建設(shè)內(nèi)容包括建立統(tǒng)一、完備的信息安全運(yùn)行維護(hù)流程及組織IT運(yùn)行維護(hù)人員信息安全技能培訓(xùn)，較快形成基本的信息安全運(yùn)行能力。風(fēng)險(xiǎn)評(píng)估能力建設(shè)是指通過(guò)建立風(fēng)險(xiǎn)評(píng)估規(guī)范及實(shí)施團(tuán)隊(duì)，提高信息安全風(fēng)險(xiǎn)自評(píng)估能力和風(fēng)險(xiǎn)管理能力，強(qiáng)化保障體系的有效性。

信息安全控制類(lèi)項(xiàng)目涉及信息安全制度與標(biāo)準(zhǔn)完善、基礎(chǔ)設(shè)施安全配置規(guī)范開(kāi)發(fā)、應(yīng)用系統(tǒng)安全合規(guī)性實(shí)施3個(gè)項(xiàng)目。信息安全制度與標(biāo)準(zhǔn)完善包括：① 初步構(gòu)建了制度和標(biāo)準(zhǔn)體系，了《信息系統(tǒng)安全管理辦法》及系統(tǒng)定級(jí)實(shí)施辦法。② 建立和完善了信息系統(tǒng)安全管理員制度，開(kāi)展了信息安全培訓(xùn)。③ 跟蹤國(guó)家信息安全等級(jí)保護(hù)政策，開(kāi)展信息系統(tǒng)安全測(cè)評(píng)方法研究等，規(guī)范了信息系統(tǒng)安全管理流程，提升安全運(yùn)行能力。基礎(chǔ)設(shè)施安全配置規(guī)范開(kāi)發(fā)目標(biāo)是制定滿(mǎn)足安全域和等級(jí)保護(hù)要求的信息技術(shù)基礎(chǔ)設(shè)施安全配置規(guī)范，提高信息技術(shù)基礎(chǔ)設(shè)施的安全防護(hù)能力。應(yīng)用系統(tǒng)安全合規(guī)性實(shí)施是提供專(zhuān)業(yè)的信息安全指導(dǎo)與服務(wù)，支持國(guó)家等級(jí)保護(hù)、中國(guó)石油內(nèi)部控制等制度的實(shí)施，使信息化建設(shè)與應(yīng)用滿(mǎn)足合規(guī)性要求。

信息安全技術(shù)類(lèi)項(xiàng)目由身份管理與認(rèn)證、網(wǎng)絡(luò)安全域?qū)嵤?、桌面安全管理、系統(tǒng)災(zāi)難恢復(fù)、信息安全運(yùn)行中心5個(gè)項(xiàng)目組成。身份管理與認(rèn)證是指建成集中身份管理與統(tǒng)一認(rèn)證平臺(tái)，實(shí)現(xiàn)關(guān)鍵和重要系統(tǒng)的用戶(hù)身份認(rèn)證，提高用戶(hù)身份管理效率，保證系統(tǒng)訪(fǎng)問(wèn)的安全性。網(wǎng)絡(luò)安全域包括廣域網(wǎng)邊界防護(hù)、廣域網(wǎng)域間與數(shù)據(jù)中心防護(hù)、廣域網(wǎng)域內(nèi)防護(hù)3項(xiàng)內(nèi)容。廣域網(wǎng)邊界防護(hù)是指將全國(guó)各地的中國(guó)石油單位的互聯(lián)網(wǎng)集中統(tǒng)一到16個(gè)區(qū)域網(wǎng)絡(luò)中心，員工受控訪(fǎng)問(wèn)互聯(lián)網(wǎng)資源，并最終實(shí)現(xiàn)實(shí)名制上網(wǎng)。廣域網(wǎng)域間與數(shù)據(jù)中心防護(hù)項(xiàng)目指建立。區(qū)域間訪(fǎng)問(wèn)與防護(hù)標(biāo)準(zhǔn)、數(shù)據(jù)中心防護(hù)標(biāo)準(zhǔn)。廣域網(wǎng)域內(nèi)防護(hù)將分離其他網(wǎng)絡(luò)并制定訪(fǎng)問(wèn)策略，完善域內(nèi)安全監(jiān)控手段和技術(shù)，規(guī)范域內(nèi)防護(hù)標(biāo)準(zhǔn)。桌面安全管理項(xiàng)目包括防病毒、補(bǔ)丁分發(fā)、端點(diǎn)準(zhǔn)入、后臺(tái)管理、電子文檔保護(hù)和信息安全等級(jí)保護(hù)綜合管理6個(gè)子系統(tǒng)。系統(tǒng)災(zāi)難恢復(fù)包括：① 對(duì)數(shù)據(jù)中心機(jī)房進(jìn)行了風(fēng)險(xiǎn)評(píng)估，提出了風(fēng)險(xiǎn)防范和改進(jìn)措施。② 對(duì)已上線(xiàn)的18個(gè)信息系統(tǒng)進(jìn)行業(yè)務(wù)影響分析，確定了災(zāi)難恢復(fù)關(guān)鍵指標(biāo)。③ 制定整體的災(zāi)備策略和災(zāi)難恢復(fù)系統(tǒng)方案。信息安全運(yùn)行中心旨在形成安全監(jiān)控信息匯總樞紐和信息安全事件協(xié)調(diào)處理中心，提高對(duì)信息安全事件的預(yù)警和響應(yīng)能力。

5 存在問(wèn)題及建議

中國(guó)石油作為國(guó)資委超大型企業(yè)和能源工業(yè)龍頭企業(yè)，集團(tuán)領(lǐng)導(dǎo)和各級(jí)領(lǐng)導(dǎo)，一貫重視信息安全工作，在落實(shí)等級(jí)保護(hù)制度，加強(qiáng)信息安全基礎(chǔ)設(shè)施建設(shè)，深入開(kāi)展信息安全戰(zhàn)略、策略研究等方面，都取得的豐碩成果，值得其他企業(yè)借鑒。公司在信息安全保障體系建設(shè)中還存在以下問(wèn)題：

（1） 信息安全組織體系不夠健全，不能較好地落實(shí)安全管理責(zé)任制。目前，部分二級(jí)單位沒(méi)有獨(dú)立的信息部門(mén)，更沒(méi)有負(fù)責(zé)安全體系建設(shè)、運(yùn)行和管理的專(zhuān)職機(jī)構(gòu)，安全的組織保障職能分散在各個(gè)部門(mén)，兼職安全管理員有責(zé)無(wú)權(quán)的現(xiàn)象普遍存在，制約了中國(guó)石油信息安全保障體系建設(shè)的發(fā)展。需強(qiáng)制建立從上至下完善的管理體系，明確直屬二級(jí)單位的信息部門(mén)建設(shè)，崗位設(shè)定、人員配備滿(mǎn)足對(duì)信息系統(tǒng)管理的需求。

篇6

 

1現(xiàn)狀與問(wèn)題

 

1.信息安全現(xiàn)狀

 

隨著信息化建設(shè)的推進(jìn)，我校信息化建設(shè)初具規(guī)模，軟硬件設(shè)備配備完成，運(yùn)行保障的基礎(chǔ)技術(shù)手段基本具備。網(wǎng)絡(luò)中心技術(shù)力量雄厚，承擔(dān)網(wǎng)絡(luò)系統(tǒng)管理和應(yīng)用支持的專(zhuān)業(yè)技術(shù)人員達(dá)20余人;針對(duì)重要應(yīng)用系統(tǒng)采用了防火墻、IPS/IDS、防病毒等常規(guī)安全防護(hù)手段，保障了核心業(yè)務(wù)系統(tǒng)在一般情況下的正常運(yùn)行，具備了基本的安全防護(hù)能力|6];日常運(yùn)行管理規(guī)范，按照信息基礎(chǔ)設(shè)施運(yùn)行操作流程和管理對(duì)象的不同，確定了網(wǎng)絡(luò)系統(tǒng)運(yùn)行保障管理的角色和崗位，初步建立了問(wèn)題處理的應(yīng)急響應(yīng)機(jī)制。由網(wǎng)絡(luò)中心進(jìn)行日常管理的主要有六大業(yè)務(wù)應(yīng)用系統(tǒng)，即網(wǎng)絡(luò)通信平臺(tái)、認(rèn)證計(jì)費(fèi)系統(tǒng)、校園一卡通、電子校務(wù)系統(tǒng)、網(wǎng)站群、郵件系統(tǒng)。

 

網(wǎng)絡(luò)通信平臺(tái)是大學(xué)各大業(yè)務(wù)平臺(tái)的基礎(chǔ)核心，是整個(gè)校園網(wǎng)的基礎(chǔ)，其他應(yīng)用系統(tǒng)都運(yùn)行在高校的基礎(chǔ)網(wǎng)絡(luò)環(huán)境上;認(rèn)證計(jì)費(fèi)系統(tǒng)是針對(duì)用戶(hù)接入校園網(wǎng)和互聯(lián)網(wǎng)的一種接入認(rèn)證計(jì)費(fèi)的管理方式;校園一卡通系統(tǒng)建設(shè)在物理專(zhuān)網(wǎng)上，主要實(shí)現(xiàn)學(xué)生校園卡消費(fèi)管理，校園卡與大學(xué)網(wǎng)絡(luò)有3個(gè)物理接口;電子校務(wù)系統(tǒng)是大學(xué)最重要的業(yè)務(wù)應(yīng)用系統(tǒng)，系統(tǒng)中存儲(chǔ)著重要的教務(wù)工作數(shù)據(jù)、學(xué)生考試信息、財(cái)務(wù)數(shù)據(jù)等重要數(shù)據(jù)信息;大學(xué)主頁(yè)網(wǎng)站系統(tǒng)為大學(xué)校園的互聯(lián)網(wǎng)窗口起到學(xué)校對(duì)外介紹宣傳的功能;郵件系統(tǒng)主要為大學(xué)教師與學(xué)生提供郵件收發(fā)服務(wù)，目前郵件系統(tǒng)注冊(cè)用1.2面臨的主要問(wèn)題

 

通過(guò)等級(jí)保護(hù)差距分析和風(fēng)險(xiǎn)評(píng)估，目前大學(xué)所面臨的信息安全風(fēng)險(xiǎn)和主要問(wèn)題如下：

 

(1)高校領(lǐng)域沒(méi)有總體安全標(biāo)準(zhǔn)指引，方向不明確，缺少主線(xiàn)。

 

(2)對(duì)國(guó)際國(guó)內(nèi)信息安全法律法規(guī)缺乏深刻意識(shí)和認(rèn)識(shí)。

 

(3)信息安全機(jī)構(gòu)不完善，缺乏總體安全方針與策略，職責(zé)不夠明確。

 

(4)教職員工和學(xué)生數(shù)量龐大，管理復(fù)雜，人員安全意識(shí)相對(duì)薄弱，日常安全問(wèn)題多。

 

()建設(shè)投資和投入有限，運(yùn)維和管理人員的信息安全專(zhuān)業(yè)能力有待提高。

 

(6)內(nèi)部管理相對(duì)松散，缺乏安全監(jiān)管及檢查機(jī)制，無(wú)法有效整體管控。

 

(7)缺乏信息安全總體規(guī)劃，難以全面提升管理

 

(8)缺乏監(jiān)控、預(yù)警、響應(yīng)、恢復(fù)的集中運(yùn)行管理手段，無(wú)法提高安全運(yùn)維能力。

 

2建設(shè)思路

 

2.1建設(shè)原則和工作路線(xiàn)

 

學(xué)校信息安全建設(shè)的總體原則是:總體規(guī)劃、適度防護(hù)，分級(jí)分域、強(qiáng)化控制，保障核心、提升管理，支撐應(yīng)用、規(guī)范運(yùn)維。

 

依據(jù)這一總體原則，我們的信息安全體系建設(shè)工作以風(fēng)險(xiǎn)評(píng)估為起點(diǎn)，以安全體系為核心，通過(guò)對(duì)安全工作生命周期的理解從風(fēng)險(xiǎn)評(píng)估、安全體系規(guī)劃著手，并以解決方案和策略設(shè)計(jì)落實(shí)安全體系的各個(gè)環(huán)節(jié)，在建設(shè)過(guò)程中逐步完善安全體系，以安全體系運(yùn)行維護(hù)和管理的過(guò)程等全面滿(mǎn)足安全工作各個(gè)層面的安全需求，最終達(dá)到全面、持續(xù)、突出重點(diǎn)的安全保障。

 

2.2體系框架

 

信息安全體系框架依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GBT22239-2008、《信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)要求》(征求意見(jiàn)稿)，并吸納了IATF模型[7]中“深度防護(hù)戰(zhàn)略，，理論，強(qiáng)調(diào)安全策略、安全技術(shù)、安全組織和安全運(yùn)行4個(gè)核心原則，重點(diǎn)關(guān)注計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)等多個(gè)層次的安全防護(hù)，構(gòu)建信息系統(tǒng)的安全技術(shù)體系和安全管理體系，并通過(guò)安全運(yùn)維服務(wù)和itsm[8]集中運(yùn)維管理(基于IT服務(wù)管理標(biāo)準(zhǔn)的最佳實(shí)踐)，形成了集風(fēng)險(xiǎn)評(píng)估、安全加固、安全巡檢、統(tǒng)一監(jiān)控、提前預(yù)警、應(yīng)急響應(yīng)、系統(tǒng)恢復(fù)、安全審計(jì)和違規(guī)取證于一體的安全運(yùn)維體系架構(gòu)(見(jiàn)圖2)，從而實(shí)現(xiàn)并覆蓋了等級(jí)保護(hù)基本要求中對(duì)網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和管理安全的防護(hù)要求，以滿(mǎn)足信息系統(tǒng)全方位的安全保護(hù)需求。

 

(1)安全策略：明確信息安全工作目的、信息安全建設(shè)目標(biāo)、信息安全管理目標(biāo)等，是信息安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。

 

(2)安全組織：是信息安全體系框架中最重要的

 

各級(jí)組織間的工作職責(zé)，覆蓋安全管理制度、安全管理機(jī)構(gòu)和人員安全管理3個(gè)部分。

 

(3)安全運(yùn)行：是信息安全體系框架中最重要的安全管理策略之一，是維持信息系統(tǒng)持續(xù)運(yùn)行的保障制度和規(guī)范。主要集中在規(guī)范信息系統(tǒng)應(yīng)用過(guò)程和人員的操作執(zhí)行，該部分以國(guó)家等級(jí)保護(hù)制度為依據(jù)，覆蓋系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理2個(gè)部分。

 

(4)安全技術(shù):是從技術(shù)角度出發(fā)，落實(shí)學(xué)校組織機(jī)構(gòu)的總體安全策略及管理的具體技術(shù)措施的實(shí)現(xiàn)，是對(duì)各個(gè)防護(hù)對(duì)象進(jìn)行有效地技術(shù)措施保護(hù)。安全技術(shù)注重信息系統(tǒng)執(zhí)行的安全控制，針對(duì)未授權(quán)的訪(fǎng)問(wèn)或誤用提供自動(dòng)保護(hù)，發(fā)現(xiàn)違背安全策略的行為，并滿(mǎn)足應(yīng)用程序和數(shù)據(jù)的安全需求。安全技術(shù)包含通信網(wǎng)絡(luò)、計(jì)算環(huán)境、區(qū)域邊界和提供整體安全支撐的安全支撐平臺(tái)。該部分以國(guó)家等級(jí)保護(hù)制度為依據(jù)，覆蓋物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層和數(shù)據(jù)層5個(gè)部分。

 

()安全運(yùn)維:安全運(yùn)維服務(wù)體系架構(gòu)共分兩層，實(shí)現(xiàn)人員、技術(shù)、流程三者的完美整合，通過(guò)基于ITIL[9]的運(yùn)維管理方法，保障基礎(chǔ)設(shè)施和生產(chǎn)環(huán)境的正常運(yùn)轉(zhuǎn)，提升業(yè)務(wù)的可持續(xù)性，從而也體現(xiàn)了安全運(yùn)3重點(diǎn)建設(shè)工作

 

3.1安全滲透測(cè)試

 

2009年4月，學(xué)校對(duì)38個(gè)網(wǎng)站、2個(gè)關(guān)鍵系統(tǒng)和6臺(tái)主機(jī)系統(tǒng)進(jìn)行遠(yuǎn)程滲透測(cè)評(píng)。通過(guò)測(cè)評(píng)，全面、完整地了解了當(dāng)前系統(tǒng)的安全狀況，發(fā)現(xiàn)了20個(gè)高危漏洞，并針對(duì)高危漏洞分析了系統(tǒng)所面臨的各種風(fēng)險(xiǎn)，根據(jù)測(cè)評(píng)結(jié)果發(fā)現(xiàn)被測(cè)系統(tǒng)存在的安全隱患。滲透測(cè)試主要任務(wù)包括:收集網(wǎng)站信息、網(wǎng)站威脅分析、脆弱性分析和滲透入侵測(cè)評(píng)、提升權(quán)限測(cè)評(píng)、獲取代碼、滲透測(cè)評(píng)報(bào)告。

 

3.2風(fēng)險(xiǎn)評(píng)估和安全加固

 

2009年5月，依據(jù)安全滲透測(cè)試結(jié)果，對(duì)大學(xué)的六大信息系統(tǒng)進(jìn)行了安全測(cè)評(píng)。根據(jù)評(píng)估結(jié)果得出系統(tǒng)存在的安全問(wèn)題，并對(duì)嚴(yán)重的問(wèn)題提出相應(yīng)的風(fēng)險(xiǎn)控制策略。主要工作任務(wù)包括:系統(tǒng)調(diào)研、方案編寫(xiě)、現(xiàn)場(chǎng)檢測(cè)、資產(chǎn)分析、威脅分析、脆弱性分析和風(fēng)險(xiǎn)分析。通過(guò)風(fēng)險(xiǎn)評(píng)估最終得出了威脅的數(shù)量和等級(jí)，表1、表2為威脅的數(shù)量和等級(jí)統(tǒng)計(jì)。2009年6月和9月，基于風(fēng)險(xiǎn)評(píng)估結(jié)果，對(duì)涉及到的網(wǎng)絡(luò)設(shè)備(4臺(tái))和主機(jī)設(shè)備(14臺(tái))進(jìn)行了安全加固工作。

 

3.3安全體系規(guī)劃

 

根據(jù)前期對(duì)全校的網(wǎng)絡(luò)、重要信息系統(tǒng)及管理層面的全面評(píng)估和了解整理出符合大學(xué)實(shí)際的安全需求，并結(jié)合實(shí)際業(yè)務(wù)要求，對(duì)學(xué)校整體信息系統(tǒng)的安全工作進(jìn)行規(guī)劃和設(shè)計(jì)，并通過(guò)未來(lái)3年的逐步安全建設(shè)，滿(mǎn)足學(xué)校的信息安全目標(biāo)及國(guó)家相關(guān)政策和標(biāo)準(zhǔn)學(xué)校依據(jù)國(guó)際國(guó)內(nèi)規(guī)范及標(biāo)準(zhǔn)，參考業(yè)界的最佳實(shí)踐ISMS[10](信息安全管理體系)，結(jié)合我校目前的實(shí)際情況，制定了一套完整、科學(xué)、實(shí)際的信息安全管理體系，制定并描述了網(wǎng)絡(luò)與信息安全管理必須遵守的基本原則和要求。

 

通過(guò)信息安全管理體系的建立，使學(xué)校的組織結(jié)構(gòu)布局更加合理，人員安全意識(shí)也明顯提高，從而保證了網(wǎng)絡(luò)暢通和業(yè)務(wù)正常運(yùn)行，提高了IT服務(wù)質(zhì)量。通過(guò)制度、流程、標(biāo)準(zhǔn)及規(guī)范，加強(qiáng)了日常安全工作執(zhí)行能力，提高了信息安全保障水平。

 

4未來(lái)展望和下一步工作

 

4.1安全防護(hù)體系

 

根據(jù)網(wǎng)絡(luò)與信息系統(tǒng)各節(jié)點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu)、具體的應(yīng)用以及安全等級(jí)的需求，可以考慮使用邏輯隔離技術(shù)(VLAN或防火墻技術(shù))將整個(gè)學(xué)校的網(wǎng)絡(luò)系統(tǒng)劃分為3個(gè)層次的安全域：第一層次安全域包括整個(gè)學(xué)校網(wǎng)絡(luò)信息系統(tǒng);第二層次安全域?qū)⒏鲬?yīng)用系統(tǒng)從邏輯上和物理上分別劃分;第三層次安全域主要是各應(yīng)用系統(tǒng)內(nèi)部根據(jù)應(yīng)用人群的終端分布、部門(mén)等劃分子網(wǎng)或子系統(tǒng)。

 

公鑰基礎(chǔ)設(shè)施包括：CA安全區(qū)：主要承載CAServer、主從LDAP、數(shù)據(jù)庫(kù)、加密機(jī)、OCSP等;KMC管理區(qū):主要承載KMCServer、加密機(jī)等;RA注冊(cè)區(qū):主要承載各院所的RA注冊(cè)服務(wù)器，為各院所的師生管理提供數(shù)字證書(shū)注冊(cè)服務(wù)。

 

應(yīng)用安全支撐平臺(tái)為各信息系統(tǒng)提供應(yīng)用支撐服務(wù)、安全支撐服務(wù)以及安全管理策略，使得信息系統(tǒng)建立在一個(gè)穩(wěn)定和高效的應(yīng)用框架上，封裝復(fù)雜的業(yè)務(wù)支撐服務(wù)、基礎(chǔ)安全服務(wù)、管理服務(wù)，并平滑支持業(yè)務(wù)系統(tǒng)的擴(kuò)展。主要包括:統(tǒng)一身份管理、統(tǒng)一身份認(rèn)證、統(tǒng)一訪(fǎng)問(wèn)授權(quán)、統(tǒng)一審計(jì)管理、數(shù)據(jù)安全引擎、單點(diǎn)登錄等功能。

 

4.2安全運(yùn)維體系

 

ITSM集中運(yùn)維管理解決方案面對(duì)學(xué)校日益復(fù)雜的IT環(huán)境，整合以往對(duì)各類(lèi)設(shè)備、服務(wù)器、終端和業(yè)務(wù)系統(tǒng)等的分割管理，實(shí)現(xiàn)了對(duì)IT系統(tǒng)的集中、統(tǒng)一、全面的監(jiān)控與管理;系統(tǒng)通過(guò)融入ITIL等運(yùn)維管理理念，達(dá)到了技術(shù)、功能、服務(wù)三方面的完全整合，實(shí)現(xiàn)了IT服務(wù)支持過(guò)程的標(biāo)準(zhǔn)化、流程化、規(guī)范化，極大地提高了故障應(yīng)急處理能力，提升了信息部門(mén)的管理效率和服務(wù)水平。

 

根據(jù)終端安全的需求，系統(tǒng)應(yīng)建設(shè)一套完整的技術(shù)平臺(tái)，以實(shí)現(xiàn)由管理員根據(jù)管理制度來(lái)制定各種詳盡的安全管理策略，對(duì)網(wǎng)內(nèi)所有終端計(jì)算機(jī)上的軟硬件資源、以及計(jì)算機(jī)上的操作行為進(jìn)行有效管理。實(shí)現(xiàn)將以網(wǎng)絡(luò)為中心的分散管理變?yōu)橐杂脩?hù)為中心集中策略管理;對(duì)終端用戶(hù)安全接入策略統(tǒng)一管理、終端用戶(hù)安全策略的強(qiáng)制實(shí)施、終端用戶(hù)安全狀態(tài)的集中審計(jì);對(duì)用戶(hù)事前身份和安全級(jí)別的認(rèn)證、事中安全狀態(tài)定期安全檢測(cè)，內(nèi)容包括定期的安全風(fēng)險(xiǎn)評(píng)估、安全加固、安全應(yīng)急響應(yīng)和安全巡檢。

 

4.3安全審計(jì)體系

篇7

上海P2P管理實(shí)施細(xì)則：屬地存管或會(huì)調(diào)整6月1日，也正是《上海市網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)管理實(shí)施辦法(征求意見(jiàn)稿)》公布的當(dāng)天，位于上海的P2P平臺(tái)諾諾鎊客對(duì)外公布了即將上線(xiàn)銀行存管的消息，存管方為徽商銀行。遺憾的是，徽商銀行在上海當(dāng)?shù)夭](méi)有辦公網(wǎng)點(diǎn)，因此并不符合在本市設(shè)有經(jīng)營(yíng)實(shí)體的商業(yè)銀行這一要求。

這的確很尷尬。諾諾鎊客相關(guān)負(fù)責(zé)人對(duì)記者表示，目前只能先做好更換存管銀行的技術(shù)備份，如果細(xì)則落地執(zhí)行，也只能更換符合條件的銀行，但這對(duì)用戶(hù)體驗(yàn)和公司投入來(lái)說(shuō)，影響的確很大。

另有一家剛上線(xiàn)了江西銀行存管的滬上P2P平臺(tái)也對(duì)記者表示，消息來(lái)得措手不及。江西銀行在上海也沒(méi)有網(wǎng)點(diǎn)，投入了幾百萬(wàn)上線(xiàn)的存管系統(tǒng)可能是白忙活。該平臺(tái)負(fù)責(zé)人對(duì)記者表示，如果上海的行業(yè)細(xì)則落地執(zhí)行，對(duì)平臺(tái)而言無(wú)論是時(shí)間成本還是資金成本都帶來(lái)較大損失。

據(jù)網(wǎng)貸之家不完全統(tǒng)計(jì)，截至20xx年6月初，上海當(dāng)?shù)毓灿?1家網(wǎng)貸平臺(tái)與17家銀行簽訂直接存管協(xié)議，但超半數(shù)平臺(tái)的存管銀行在滬無(wú)網(wǎng)點(diǎn)，其中包括徽商銀行、廣東華興銀行、江西銀行、廊坊銀行、廈門(mén)銀行、新網(wǎng)銀行等。

業(yè)內(nèi)認(rèn)為，監(jiān)管之所以規(guī)定銀行存管屬地化是為了更方便管理，但對(duì)平臺(tái)而言卻比較尷尬，因?yàn)楹芏嘀髁鞔笮蜕虡I(yè)銀行和上海地區(qū)銀行都不開(kāi)放存管業(yè)務(wù)。而從目前積極開(kāi)展存管業(yè)務(wù)的銀行類(lèi)型看，城商行和互聯(lián)網(wǎng)銀行的確是主力軍，而這類(lèi)銀行恰恰存在網(wǎng)點(diǎn)少或沒(méi)有網(wǎng)點(diǎn)的特性。

上海目前出臺(tái)的細(xì)則仍是征求意見(jiàn)稿，實(shí)質(zhì)落地實(shí)施的細(xì)則或有變動(dòng)的可能。明天上海的行業(yè)協(xié)會(huì)組織了關(guān)于征求意見(jiàn)稿的討論會(huì)，這意味著部分實(shí)施細(xì)則還有商量的空間。諾諾鎊客上述負(fù)責(zé)人對(duì)記者表示。

上海P2P管理實(shí)施細(xì)則：嚴(yán)監(jiān)管明確5條紅線(xiàn)上海金融辦昨日《上海市網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)管理實(shí)施辦法(征求意見(jiàn)稿)》(下稱(chēng)《征求意見(jiàn)稿》)。

《征求意見(jiàn)稿》明確，新設(shè)立的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)申請(qǐng)辦理備案登記的，應(yīng)當(dāng)提交備案登記申請(qǐng)書(shū)、股東資料等13項(xiàng)申請(qǐng)材料。對(duì)已經(jīng)設(shè)立并開(kāi)展經(jīng)營(yíng)活動(dòng)的，除了提交上述申請(qǐng)材料，還應(yīng)補(bǔ)充提供經(jīng)營(yíng)總體情況等6項(xiàng)材料。

夸客金融創(chuàng)始人兼CEO郭震洲接受上證報(bào)記者采訪(fǎng)時(shí)表示：這為網(wǎng)貸機(jī)構(gòu)明確了合規(guī)經(jīng)營(yíng)的依據(jù)。

除了上述備案管理部分，限制網(wǎng)貸信息中介機(jī)構(gòu)的存管銀行范圍也成為業(yè)界關(guān)注點(diǎn)?！墩髑笠庖?jiàn)稿》指出，平臺(tái)應(yīng)當(dāng)在6個(gè)月內(nèi)選擇在本市設(shè)有經(jīng)營(yíng)實(shí)體且符合相關(guān)條件的商業(yè)銀行進(jìn)行客戶(hù)資金存管。

如果按照上述條款，那么至少有數(shù)十家上海的網(wǎng)貸平臺(tái)或面臨壓力，要么重新選擇存管銀行，要么存管銀行要在上海開(kāi)設(shè)分支行等物理網(wǎng)點(diǎn)。

此外，《征求意見(jiàn)稿》還對(duì)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)存在五類(lèi)行為將被清除出行業(yè)予以明確規(guī)定。第三十三條明確規(guī)定，取得備案登記的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)有下列情形之一的，上海銀監(jiān)局、注冊(cè)地所在區(qū)監(jiān)管部門(mén)可以建議市金融辦注銷(xiāo)其備案登記，市金融辦也可以直接注銷(xiāo)備案登記：

一是通過(guò)虛假、欺騙手段取得備案登記的;二是嚴(yán)重違反有關(guān)法律法規(guī)及行業(yè)監(jiān)管規(guī)定的;三是監(jiān)管部門(mén)通過(guò)實(shí)地調(diào)查、電話(huà)聯(lián)系及其他監(jiān)管手段仍對(duì)企業(yè)和企業(yè)相關(guān)人員查無(wú)下落的，或雖然可以聯(lián)系到企業(yè)一般工作人員，但其并不知悉企業(yè)運(yùn)營(yíng)情況也不能聯(lián)系到企業(yè)實(shí)際控制人的;四是取得備案登記后6個(gè)月內(nèi)未開(kāi)展網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)，或停止開(kāi)展網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)連續(xù)滿(mǎn)6個(gè)月的;五是拒不落實(shí)有關(guān)監(jiān)管工作要求的。

上海平臺(tái)多且活躍，投資人多且輻射至江浙一帶，此前出現(xiàn)了中晉、快鹿等問(wèn)題平臺(tái)，可以說(shuō)此次監(jiān)管細(xì)則出臺(tái)是行業(yè)的利好，能有效地驅(qū)逐偽劣平臺(tái)。中國(guó)人民大學(xué)金融科技與互聯(lián)網(wǎng)安全研究中心主任楊東接受記者采訪(fǎng)表示，此次《征求意見(jiàn)稿》不僅貫徹了之前的《管理暫行辦法》的精神，并進(jìn)一步落實(shí)到業(yè)務(wù)細(xì)化和落地，而且內(nèi)容更加豐富、更規(guī)范，可以起到全國(guó)性標(biāo)桿的示范作用。

上海P2P管理實(shí)施細(xì)則征求意見(jiàn)稿第一章總則

第一條為規(guī)范本市網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)，保護(hù)出借人、借款人及相關(guān)當(dāng)事人合法權(quán)益，促進(jìn)行業(yè)健康發(fā)展，根據(jù)《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見(jiàn)》(銀發(fā)[20xx]221號(hào))、《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》(中國(guó)銀監(jiān)會(huì)令20xx年第1號(hào))及相關(guān)政策法規(guī)、監(jiān)管規(guī)定，結(jié)合本市實(shí)際，制定本辦法。

第二條凡在本市注冊(cè)的公司法人從事網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)，適用本辦法，法律法規(guī)另有規(guī)定的除外。

第三條網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)按照依法、誠(chéng)信、自愿、公平的原則為出借人、借款人提供信息服務(wù)，維護(hù)出借人與借款人的合法權(quán)益，不得提供增信服務(wù)，不得直接或間接歸集客戶(hù)資金，不得非法集資，不得損害國(guó)家利益和社會(huì)公共利益。

借款人與出借人遵循借貸自愿、誠(chéng)實(shí)守信、責(zé)任自負(fù)、風(fēng)險(xiǎn)自擔(dān)的原則承擔(dān)借貸風(fēng)險(xiǎn)。網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)承擔(dān)客觀(guān)、真實(shí)、全面、及時(shí)進(jìn)行信息披露的責(zé)任，不承擔(dān)借貸違約風(fēng)險(xiǎn)。

第四條網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)依法健全公司治理機(jī)制，完善內(nèi)部控制、風(fēng)險(xiǎn)管理、信息安全、客戶(hù)保護(hù)等方面制度。

鼓勵(lì)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)引進(jìn)戰(zhàn)略投資者，增強(qiáng)資本實(shí)力;支持網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)聘任具有豐富金融從業(yè)經(jīng)驗(yàn)的人員擔(dān)任高級(jí)管理人員、加強(qiáng)員工培訓(xùn)教育，持續(xù)提升從業(yè)人員專(zhuān)業(yè)水平及職業(yè)道德水準(zhǔn)。

第五條 在上海市金融綜合監(jiān)管聯(lián)席會(huì)議(以下簡(jiǎn)稱(chēng)市聯(lián)席會(huì)議)框架下，市金融辦、上海銀監(jiān)局共同牽頭，會(huì)同人民銀行上?？偛俊⑹型ㄐ殴芾砭?、市公安局、市工商局、市網(wǎng)信辦等相關(guān)部門(mén)，研究制定本市引導(dǎo)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)規(guī)范發(fā)展的政策措施，指導(dǎo)推進(jìn)各區(qū)政府開(kāi)展網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)規(guī)范發(fā)展與行業(yè)管理相關(guān)工作。

第六條市金融辦負(fù)責(zé)對(duì)本市網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)的機(jī)構(gòu)監(jiān)管;上海銀監(jiān)局負(fù)責(zé)對(duì)本市網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)的行為監(jiān)管;市通信管理局負(fù)責(zé)對(duì)本市網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)涉及的電信業(yè)務(wù)進(jìn)行監(jiān)管;市公安局負(fù)責(zé)對(duì)本市網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)的互聯(lián)網(wǎng)服務(wù)進(jìn)行安全監(jiān)管，依法查處違反網(wǎng)絡(luò)安全監(jiān)管的違法違規(guī)活動(dòng)，打擊網(wǎng)絡(luò)借貸涉及的金融犯罪及相關(guān)犯罪;市網(wǎng)信辦負(fù)責(zé)對(duì)金融信息服務(wù)、互聯(lián)網(wǎng)信息內(nèi)容等業(yè)務(wù)進(jìn)行監(jiān)管。

本市各區(qū)政府是轄內(nèi)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)管理和風(fēng)險(xiǎn)處置的第一責(zé)任人，在市聯(lián)席會(huì)議統(tǒng)一領(lǐng)導(dǎo)下，接受市金融辦、上海銀監(jiān)局等相關(guān)部門(mén)的業(yè)務(wù)指導(dǎo)，具體承擔(dān)對(duì)注冊(cè)在本轄區(qū)的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)的日常監(jiān)管、風(fēng)險(xiǎn)處置等相關(guān)工作。

第七條市金融辦、上海銀監(jiān)局及各區(qū)政府應(yīng)當(dāng)配備專(zhuān)門(mén)力量，切實(shí)履行網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)監(jiān)管職責(zé)。

市金融辦、上海銀監(jiān)局及各區(qū)政府明確承擔(dān)監(jiān)管職責(zé)的部門(mén)(以下簡(jiǎn)稱(chēng)區(qū)監(jiān)管部門(mén))根據(jù)工作需要，可委托外部中介機(jī)構(gòu)或聘請(qǐng)外部專(zhuān)業(yè)人員輔助開(kāi)展部分專(zhuān)業(yè)性工作，并應(yīng)當(dāng)將相應(yīng)費(fèi)用支出納入年度預(yù)算安排。

第二章備案管理

第八條網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)備案登記按以下程序辦理：

(一)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)向注冊(cè)地所在區(qū)監(jiān)管部門(mén)提交書(shū)面申請(qǐng)材料;

(二)區(qū)監(jiān)管部門(mén)通過(guò)多方數(shù)據(jù)比對(duì)、信用核查、網(wǎng)上核驗(yàn)、實(shí)地認(rèn)證、現(xiàn)場(chǎng)勘查、高管約談、部門(mén)會(huì)商等方式對(duì)申請(qǐng)材料進(jìn)行審查后，認(rèn)為提出申請(qǐng)的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)初步符合備案登記相關(guān)規(guī)定的，應(yīng)當(dāng)在指定的媒體(網(wǎng)站)上就有關(guān)事項(xiàng)向社會(huì)公示(公示期為1個(gè)月)，接受社會(huì)監(jiān)督及投訴舉報(bào);

(三)公示期滿(mǎn)后，如未發(fā)現(xiàn)不符合有關(guān)規(guī)定的情形，由網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)注冊(cè)地所在區(qū)政府出具明確意見(jiàn)，與網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)相關(guān)申請(qǐng)材料一并函送市金融辦;

(四)市金融辦收到有關(guān)區(qū)政府出具的書(shū)面意見(jiàn)，并經(jīng)征詢(xún)上海銀監(jiān)局等市聯(lián)席會(huì)議成員單位意見(jiàn)后，認(rèn)為提出申請(qǐng)的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)符合備案登記相關(guān)規(guī)定，予以辦理備案登記的，應(yīng)將備案登記情況及網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)相關(guān)信息向社會(huì)公示。

第九條監(jiān)管部門(mén)同意網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)備案登記的行為，不構(gòu)成對(duì)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)經(jīng)營(yíng)能力、合規(guī)程度、資信狀況的認(rèn)可和評(píng)價(jià)。

第十條新設(shè)立的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)申請(qǐng)辦理備案登記的，應(yīng)當(dāng)提交以下申請(qǐng)材料：

(一)備案登記申請(qǐng)書(shū)。應(yīng)當(dāng)載明公司基本信息，包括名稱(chēng)、住所、注冊(cè)資本、實(shí)繳資本、法定代表人、經(jīng)營(yíng)范圍、官方網(wǎng)站網(wǎng)址及ICP備案號(hào)、相關(guān)APP等移動(dòng)端平臺(tái)名稱(chēng)、服務(wù)器所在地等;

(二)企業(yè)法人營(yíng)業(yè)執(zhí)照正副本復(fù)印件;

(三)公司章程，以及內(nèi)部控制、風(fēng)險(xiǎn)管理、信息安全、客戶(hù)保護(hù)、財(cái)務(wù)管理等相關(guān)制度;

(四)經(jīng)營(yíng)發(fā)展戰(zhàn)略規(guī)劃;

(五)股東資料。包括各股東(股東名冊(cè)內(nèi)的股東不得為他人代持股份)名稱(chēng)(姓名)、出資金額、出資比例等情況，以及企業(yè)股東及個(gè)人股東的信用報(bào)告，個(gè)人股東戶(hù)籍地公安機(jī)關(guān)出具的無(wú)犯罪記錄證明等;

(六)董事、監(jiān)事、高級(jí)管理人員(包括總經(jīng)理、副總經(jīng)理和財(cái)務(wù)、風(fēng)控、法律合規(guī)、稽核審計(jì)部門(mén)負(fù)責(zé)人，及實(shí)際履行上述職務(wù)的人員;下同)資料。包括基本信息、個(gè)人簡(jiǎn)歷、學(xué)歷及相關(guān)專(zhuān)業(yè)資質(zhì)證明、信用報(bào)告、戶(hù)籍地公安機(jī)關(guān)出具的無(wú)犯罪記錄證明等;

(七)營(yíng)業(yè)場(chǎng)所證明材料。包括營(yíng)業(yè)場(chǎng)所產(chǎn)權(quán)證明、租賃合同等(公司實(shí)際經(jīng)營(yíng)地應(yīng)當(dāng)與住所相同);

(八)全部分支機(jī)構(gòu)及其所在地、負(fù)責(zé)人;

(九)合規(guī)經(jīng)營(yíng)承諾書(shū);

(十)本市公安機(jī)關(guān)網(wǎng)絡(luò)安全部門(mén)出具的信息系統(tǒng)安全審核回執(zhí)(需事前向本市公安機(jī)關(guān)網(wǎng)絡(luò)安全部門(mén)提交符合國(guó)家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國(guó)家信息安全等級(jí)保護(hù)制度要求的證明材料);

(十一)與第三方電子數(shù)據(jù)存證平臺(tái)簽訂的委托合同存證的協(xié)議復(fù)印件;

(十二)律師事務(wù)所出具的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)備案登記法律意見(jiàn)書(shū);

(十三)市金融辦、上海銀監(jiān)局根據(jù)相關(guān)規(guī)定要求提交的其他文件、資料。

區(qū)監(jiān)管部門(mén)應(yīng)當(dāng)在網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)提交的備案登記申請(qǐng)材料齊備時(shí)予以受理。

第十一條 在本辦法前已經(jīng)設(shè)立并開(kāi)展經(jīng)營(yíng)活動(dòng)的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)，各區(qū)監(jiān)管部門(mén)應(yīng)當(dāng)依據(jù)P2P網(wǎng)絡(luò)借貸風(fēng)險(xiǎn)專(zhuān)項(xiàng)整治中分類(lèi)處置有關(guān)工作安排，對(duì)合規(guī)類(lèi)機(jī)構(gòu)的備案登記申請(qǐng)予以受理，對(duì)整改類(lèi)機(jī)構(gòu)和尚未納入分類(lèi)處置范圍的機(jī)構(gòu)，在其完成對(duì)照整改并經(jīng)有關(guān)部門(mén)認(rèn)定后受理其備案登記申請(qǐng)。

在本辦法前已經(jīng)設(shè)立并開(kāi)展經(jīng)營(yíng)活動(dòng)的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)申請(qǐng)辦理備案登記的，除應(yīng)當(dāng)提交本辦法第十條規(guī)定的申請(qǐng)材料外，還應(yīng)當(dāng)補(bǔ)充提供以下材料：

(一)在備案登記申請(qǐng)書(shū)中說(shuō)明網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)經(jīng)營(yíng)總體情況及產(chǎn)品信息、客戶(hù)數(shù)量、業(yè)務(wù)規(guī)模、待償還金額，平臺(tái)撮合交易的逾期及其處置情況，以及原有不規(guī)范經(jīng)營(yíng)行為的整改情況等;

(二)公司信用報(bào)告：

(三)律師事務(wù)所對(duì)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)合規(guī)經(jīng)營(yíng)情況的法律意見(jiàn)(可與網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)備案登記法律意見(jiàn)書(shū)合并出具);

(四)公司上一年度會(huì)計(jì)報(bào)表及會(huì)計(jì)師事務(wù)所出具的審計(jì)報(bào)告;

(五)在財(cái)務(wù)會(huì)計(jì)報(bào)表附注中按要求披露的網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)經(jīng)營(yíng)信息，以及會(huì)計(jì)師事務(wù)所出具的網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)經(jīng)營(yíng)情況專(zhuān)項(xiàng)審計(jì)報(bào)告;

(六)市金融辦要求提交的其他文件、資料。

新設(shè)立的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)在取得備案登記前自行開(kāi)展網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)的，按照本條規(guī)定辦理。

第十二條 對(duì)新設(shè)立的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)，區(qū)監(jiān)管部門(mén)應(yīng)當(dāng)自受理備案登記申請(qǐng)材料之日起40個(gè)工作日內(nèi)完成審查工作;市金融辦應(yīng)當(dāng)自受理有關(guān)區(qū)政府出具的書(shū)面意見(jiàn)及網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)提交的備案登記申請(qǐng)材料之日起40個(gè)工作日內(nèi)做出辦理備案登記或不予辦理備案登記的決定。

對(duì)在本辦法前已經(jīng)設(shè)立并開(kāi)展經(jīng)營(yíng)活動(dòng)的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)，區(qū)監(jiān)管部門(mén)、市金融辦應(yīng)當(dāng)分別在50個(gè)工作日內(nèi)完成審查工作、做出相關(guān)決定。

網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)備案信息公示、按要求補(bǔ)正有關(guān)備案登記材料的時(shí)間不計(jì)算在上述辦理時(shí)限內(nèi)。

第十三條合規(guī)經(jīng)營(yíng)承諾書(shū)需對(duì)下列事項(xiàng)進(jìn)行承諾，并由申請(qǐng)備案登記的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)、持股5%以上的股東，以及網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)的董事、監(jiān)事、高級(jí)管理人員共同簽章確認(rèn)：

(一)在經(jīng)營(yíng)期間嚴(yán)格遵守《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》及有關(guān)監(jiān)管規(guī)定，依法合規(guī)經(jīng)營(yíng);

(二)同意根據(jù)監(jiān)管部門(mén)要求及時(shí)接入有關(guān)監(jiān)管信息系統(tǒng)，及時(shí)報(bào)送、上傳相關(guān)數(shù)據(jù);同意并授權(quán)合作的電子數(shù)據(jù)存證服務(wù)機(jī)構(gòu)將相關(guān)存證數(shù)據(jù)按要求報(bào)送、上傳監(jiān)管部門(mén);同意并授權(quán)合作的資金存管銀行將資金流數(shù)據(jù)按要求報(bào)送、上傳監(jiān)管部門(mén);同意并授權(quán)合作的征信機(jī)構(gòu)將交易數(shù)據(jù)按要求報(bào)送、上傳監(jiān)管部門(mén);

(三)同意監(jiān)管部門(mén)將備案登記、日常監(jiān)管中報(bào)送的相關(guān)材料向社會(huì)公示;

(四)確保及時(shí)按要求向監(jiān)管部門(mén)報(bào)送真實(shí)、準(zhǔn)確、完整的數(shù)據(jù)、資料;

(五)接受監(jiān)管部門(mén)現(xiàn)場(chǎng)檢查及非現(xiàn)場(chǎng)監(jiān)管措施，并確保按照監(jiān)管部門(mén)要求及時(shí)整改存在的問(wèn)題。

第十四條律師事務(wù)所出具的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)備案登記法律意見(jiàn)書(shū)，應(yīng)當(dāng)對(duì)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)提交的備案登記申請(qǐng)材料的真實(shí)性，及其工商登記信息、股權(quán)結(jié)構(gòu)、實(shí)際控制人、基本運(yùn)營(yíng)設(shè)施、公司章程及相關(guān)管理制度、業(yè)務(wù)模式合法合規(guī)情況等逐項(xiàng)發(fā)表結(jié)論性意見(jiàn);為在本辦法前已經(jīng)設(shè)立并開(kāi)展經(jīng)營(yíng)活動(dòng)的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)出具的法律意見(jiàn)書(shū)，還應(yīng)當(dāng)對(duì)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)的經(jīng)營(yíng)行為是否符合《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》及有關(guān)監(jiān)管規(guī)定，以及原有不規(guī)范經(jīng)營(yíng)行為是否整改到位等逐項(xiàng)發(fā)表結(jié)論性意見(jiàn)。

會(huì)計(jì)師事務(wù)所為在本辦法前已經(jīng)設(shè)立并開(kāi)展經(jīng)營(yíng)活動(dòng)的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)出具的業(yè)務(wù)經(jīng)營(yíng)情況專(zhuān)項(xiàng)審計(jì)報(bào)告，應(yīng)當(dāng)包括但不限于對(duì)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)的客戶(hù)資金存管、業(yè)務(wù)經(jīng)營(yíng)數(shù)據(jù)、信息披露、內(nèi)部控制等重點(diǎn)環(huán)節(jié)的審計(jì)情況、審計(jì)意見(jiàn)。

網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)備案登記法律意見(jiàn)書(shū)的出具時(shí)間，專(zhuān)項(xiàng)審計(jì)報(bào)告的報(bào)告期截止時(shí)間，均應(yīng)在網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)提交備案登記申請(qǐng)的前3個(gè)月之內(nèi)。

第十五條網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)取得備案登記后，應(yīng)當(dāng)在6個(gè)月內(nèi)完成以下事項(xiàng)：

(一)涉及經(jīng)營(yíng)增值電信業(yè)務(wù)的，應(yīng)當(dāng)按照通信主管部門(mén)有關(guān)規(guī)定申請(qǐng)相應(yīng)的業(yè)務(wù)資質(zhì);

(二)選擇在本市設(shè)有經(jīng)營(yíng)實(shí)體且符合相關(guān)條件的商業(yè)銀行進(jìn)行客戶(hù)資金存管。

網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)在上述每一事項(xiàng)辦理完成后5個(gè)工作日內(nèi)，通過(guò)注冊(cè)地所在區(qū)監(jiān)管部門(mén)，向市金融辦書(shū)面報(bào)備。

第十六條網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)發(fā)生下列變更事項(xiàng)之一的，應(yīng)當(dāng)在5個(gè)工作日內(nèi)，通過(guò)注冊(cè)地所在區(qū)監(jiān)管部門(mén)，向市金融辦申請(qǐng)備案信息變更登記：

(一) 變更名稱(chēng);

(二) 變更住所;

(三)變更組織形式;

(四)變更注冊(cè)資本;

(五)調(diào)整業(yè)務(wù)范圍;

(六)變更法定代表人及董事、監(jiān)事、高級(jí)管理人員;

(七)分立、合并、重組，或變更持股5%以上的股東;

(八)設(shè)立或者撤并分支機(jī)構(gòu);

(九)合作的資金存管銀行變更;

(十)增值電信業(yè)務(wù)經(jīng)營(yíng)許可證變更;

(十一)監(jiān)管部門(mén)要求的其他事項(xiàng)。

取得備案登記的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)辦理變更登記的，應(yīng)當(dāng)提交變更登記申請(qǐng)書(shū)，相關(guān)合同、協(xié)議等證明材料;涉及第(六)、(七)項(xiàng)變更的，還應(yīng)提交律師事務(wù)所出具的法律意見(jiàn)書(shū)。

第十七條取得備案登記的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)計(jì)劃終止網(wǎng)絡(luò)借貸信息中介服務(wù)的，應(yīng)當(dāng)在終止業(yè)務(wù)前至少提前10個(gè)工作日，通過(guò)注冊(cè)地所在區(qū)監(jiān)管部門(mén)書(shū)面告知市金融辦，并注銷(xiāo)備案登記。

取得備案登記的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)依法解散或者依法宣告破產(chǎn)的，除依法進(jìn)行清算外，由注冊(cè)地所在區(qū)監(jiān)管部門(mén)提請(qǐng)市金融辦注銷(xiāo)其備案登記。

第三章風(fēng)險(xiǎn)管理與客戶(hù)保護(hù)

第十八條網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)接入本市網(wǎng)絡(luò)金融征信系統(tǒng)(接入時(shí)間應(yīng)當(dāng)在取得備案登記后3個(gè)月內(nèi),條件成熟時(shí)應(yīng)當(dāng)及時(shí)接入金融信用信息基礎(chǔ)數(shù)據(jù)庫(kù))，并依法提供、查詢(xún)和使用有關(guān)信用信息。

第十九條網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)在其互聯(lián)網(wǎng)平臺(tái)及相關(guān)文件、協(xié)議中以醒目方式向出借人提示網(wǎng)絡(luò)借貸風(fēng)險(xiǎn)、禁止性行為，明示出借人風(fēng)險(xiǎn)自擔(dān)，并應(yīng)經(jīng)出借人確認(rèn)。

第二十條網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)建立客戶(hù)適當(dāng)性管理制度。

網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)對(duì)出借人的年齡、財(cái)務(wù)狀況、投資經(jīng)驗(yàn)、風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)承受能力等進(jìn)行盡職評(píng)估，不得向未進(jìn)行風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)評(píng)估不合格的出借人提供交易服務(wù)。

網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)對(duì)借款人的年齡、身份、借款用途、還款能力、資信情況等進(jìn)行必要審查，避免為不適當(dāng)?shù)慕杩钊颂峁┙灰追?wù)。

第二十一條網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)建立客戶(hù)信息安全保護(hù)及投訴處理制度，不得不當(dāng)使用、泄露客戶(hù)信息，對(duì)客戶(hù)投訴應(yīng)當(dāng)依法、及時(shí)答復(fù)處理。

第二十二條網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)建立信息披露制度，嚴(yán)格按照有關(guān)行業(yè)監(jiān)管制度、自律準(zhǔn)則開(kāi)展信息披露;鼓勵(lì)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)結(jié)合自身實(shí)際，更加全面、及時(shí)地向社會(huì)公眾、平臺(tái)客戶(hù)進(jìn)行信息披露。

第四章監(jiān)督管理

第二十三條市金融辦負(fù)責(zé)本市網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)的機(jī)構(gòu)監(jiān)管，上海銀監(jiān)局協(xié)助、配合市金融辦開(kāi)展相關(guān)工作，包括辦理網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)備案及變更、注銷(xiāo)登記，組織、指導(dǎo)各區(qū)監(jiān)管部門(mén)、相關(guān)行業(yè)自律組織對(duì)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)經(jīng)營(yíng)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析、做好相關(guān)風(fēng)險(xiǎn)防范處置等。

上海銀監(jiān)局負(fù)責(zé)本市網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)的日常行為監(jiān)管。市金融辦協(xié)助、配合上海銀監(jiān)局組織開(kāi)展合規(guī)認(rèn)定、非現(xiàn)場(chǎng)監(jiān)測(cè)與現(xiàn)場(chǎng)檢查、投資者保護(hù)等行為監(jiān)管工作。

各區(qū)監(jiān)管部門(mén)接受市金融辦、上海銀監(jiān)局的業(yè)務(wù)指導(dǎo)，具體承擔(dān)對(duì)轄內(nèi)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)的日常監(jiān)管職責(zé)。

國(guó)家有關(guān)部門(mén)對(duì)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)管理職責(zé)分工另有規(guī)定的，從其規(guī)定。

第二十四條上海市互聯(lián)網(wǎng)金融行業(yè)協(xié)會(huì)等行業(yè)自律組織接受相關(guān)監(jiān)管部門(mén)的指導(dǎo)、監(jiān)督，開(kāi)展本市網(wǎng)絡(luò)借貸信息中介行業(yè)自律管理，并履行下列職責(zé)：

(一)制定信息披露、產(chǎn)品登記、從業(yè)人員管理等方面的自律規(guī)則，以及有關(guān)行業(yè)標(biāo)準(zhǔn)并組織實(shí)施，教育會(huì)員遵守法律法規(guī)及有關(guān)行業(yè)監(jiān)管規(guī)定;

(二)依法維護(hù)會(huì)員的合法權(quán)益，協(xié)調(diào)會(huì)員關(guān)系，組織相關(guān)培訓(xùn)，向會(huì)員提供行業(yè)信息、法律咨詢(xún)等服務(wù)，調(diào)解會(huì)員糾紛;

(三)接受有關(guān)投訴、舉報(bào)，開(kāi)展自律檢查;

(四)法律法規(guī)、有關(guān)行業(yè)監(jiān)管規(guī)定及監(jiān)管部門(mén)賦予的其他職責(zé)。

第二十五條網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)實(shí)行自身資金與出借人和借款人資金的隔離管理，并選擇符合條件的商業(yè)銀行作為出借人與借款人的資金存管機(jī)構(gòu)。

資金存管機(jī)構(gòu)對(duì)出借人與借款人開(kāi)立和使用資金賬戶(hù)進(jìn)行管理和監(jiān)督，并根據(jù)合同約定，對(duì)出借人與借款人的資金進(jìn)行存管、劃付、核算和監(jiān)督。

資金存管機(jī)構(gòu)承擔(dān)實(shí)名開(kāi)戶(hù)、履行合同約定及借貸交易指令表面一致性的形式審核責(zé)任，但不承擔(dān)融資項(xiàng)目及借貸交易信息真實(shí)性的實(shí)質(zhì)審核責(zé)任。

資金存管機(jī)構(gòu)應(yīng)當(dāng)按照有關(guān)行業(yè)監(jiān)管規(guī)定報(bào)送數(shù)據(jù)信息并依法接受相關(guān)監(jiān)督管理。

第二十六條網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)在下列重大事件發(fā)生后，立即采取應(yīng)急措施，并通過(guò)注冊(cè)地所在區(qū)監(jiān)管部門(mén)向市金融辦、上海銀監(jiān)局報(bào)告情況：

(一)因經(jīng)營(yíng)不善等原因出現(xiàn)重大經(jīng)營(yíng)風(fēng)險(xiǎn);

(二)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)或其董事、監(jiān)事、高級(jí)管理人員發(fā)生重大違法違規(guī)行為;

(三)因商業(yè)欺詐行為被起訴，包括違規(guī)擔(dān)保、夸大宣傳、虛構(gòu)隱瞞事實(shí)、虛假信息、簽訂虛假合同、錯(cuò)誤處置資金等行為。

各區(qū)監(jiān)管部門(mén)應(yīng)當(dāng)建立本轄區(qū)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)重大事件的發(fā)現(xiàn)、報(bào)告和處置制度，制定處置預(yù)案，及時(shí)、有效地協(xié)調(diào)處置有關(guān)重大事件。

市金融辦應(yīng)當(dāng)及時(shí)將本市網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)重大風(fēng)險(xiǎn)及其處置情況報(bào)送市政府、國(guó)務(wù)院銀行業(yè)監(jiān)督管理機(jī)構(gòu)和中國(guó)人民銀行。

第二十七條 網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)發(fā)生下列情形的，應(yīng)當(dāng)在5個(gè)工作日內(nèi)通過(guò)注冊(cè)地所在區(qū)監(jiān)管部門(mén)向市金融辦、上海銀監(jiān)局報(bào)告：

(一)因違規(guī)經(jīng)營(yíng)行為被查處或被起訴;

(二)董事、監(jiān)事、高級(jí)管理人員發(fā)生違反境內(nèi)外相關(guān)法律法規(guī)的行為;

(三)監(jiān)管部門(mén)要求報(bào)告的其他情形。

第二十八條每年度結(jié)束后，網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)聘請(qǐng)會(huì)計(jì)師事務(wù)所對(duì)本公司財(cái)務(wù)會(huì)計(jì)報(bào)告、網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)經(jīng)營(yíng)情況進(jìn)行審計(jì)，聘請(qǐng)律師事務(wù)所對(duì)本公司業(yè)務(wù)合規(guī)情況進(jìn)行評(píng)估，聘請(qǐng)具有信息安全等級(jí)保護(hù)測(cè)評(píng)資質(zhì)的專(zhuān)業(yè)機(jī)構(gòu)對(duì)本公司信息系統(tǒng)安全等級(jí)情況進(jìn)行測(cè)評(píng)，并應(yīng)在上年度結(jié)束后4個(gè)月內(nèi)向注冊(cè)地所在區(qū)監(jiān)管部門(mén)報(bào)送相關(guān)審計(jì)報(bào)告、評(píng)估報(bào)告及信息安全等級(jí)測(cè)評(píng)報(bào)告。

網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)于每月5日前，向注冊(cè)地所在區(qū)監(jiān)管部門(mén)報(bào)送上月經(jīng)營(yíng)情況統(tǒng)計(jì)表、財(cái)務(wù)會(huì)計(jì)報(bào)表;于每季度首月10日前，向注冊(cè)地所在區(qū)監(jiān)管部門(mén)報(bào)送合規(guī)經(jīng)營(yíng)情況自評(píng)報(bào)告。

各區(qū)監(jiān)管部門(mén)應(yīng)當(dāng)在每月10日前，向市金融辦、上海銀監(jiān)局報(bào)送轄內(nèi)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)上月經(jīng)營(yíng)情況匯總統(tǒng)計(jì)表、相關(guān)財(cái)務(wù)會(huì)計(jì)報(bào)表;于每季度首月15日前，向市金融辦、上海銀監(jiān)局報(bào)送轄內(nèi)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)合規(guī)經(jīng)營(yíng)情況分析報(bào)告。

第二十九條市金融辦可以根據(jù)本辦法和有關(guān)行業(yè)監(jiān)管規(guī)定，指導(dǎo)各區(qū)監(jiān)管部門(mén)對(duì)備案登記的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)進(jìn)行評(píng)估分類(lèi)，并可將分類(lèi)結(jié)果向社會(huì)公示。

第三十條市金融辦、上海銀監(jiān)局、各區(qū)監(jiān)管部門(mén)應(yīng)當(dāng)會(huì)同各有關(guān)方面，加強(qiáng)對(duì)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)的社會(huì)信用聯(lián)合激勵(lì)和懲戒，在行業(yè)內(nèi)促進(jìn)形成守信受益、失信受限的誠(chéng)信氛圍。

第三十一條市金融辦、上海銀監(jiān)局應(yīng)當(dāng)會(huì)同相關(guān)部門(mén)，共同推動(dòng)建設(shè)本市網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)監(jiān)管信息系統(tǒng)，逐步將本市網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)的基本信息、業(yè)務(wù)信息、信用信息、監(jiān)管信息、風(fēng)險(xiǎn)預(yù)警信息等納入系統(tǒng)進(jìn)行動(dòng)態(tài)管理，促進(jìn)建立健全監(jiān)管信息共享與工作協(xié)同機(jī)制。

第五章法律責(zé)任

第三十二條網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)違反法律法規(guī)和網(wǎng)絡(luò)借貸有關(guān)監(jiān)管規(guī)定，有關(guān)法律法規(guī)有處罰規(guī)定的，依照其規(guī)定給予處罰;有關(guān)法律法規(guī)未作處罰規(guī)定的，監(jiān)管部門(mén)可以采取監(jiān)管談話(huà)、出具警示函、責(zé)令改正、通報(bào)批評(píng)、將其違法違規(guī)和不履行承諾等情況記入誠(chéng)信檔案并公布等監(jiān)管措施，以及給予警告、人民幣3萬(wàn)元以下罰款和依法可以采取的其他處罰措施;涉嫌犯罪的，移送有關(guān)部門(mén)依法處理;相關(guān)信息按規(guī)定報(bào)送有關(guān)公共信用信息平臺(tái)。

網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)違反法律規(guī)定從事非法集資或欺詐活動(dòng)的，按照相關(guān)法律法規(guī)和有關(guān)工作機(jī)制處理;涉嫌犯罪的，移送有關(guān)部門(mén)依法處理。

第三十三條 取得備案登記的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)有下列情形之一的，上海銀監(jiān)局、注冊(cè)地所在區(qū)監(jiān)管部門(mén)可以建議市金融辦注銷(xiāo)其備案登記，市金融辦也可以直接注銷(xiāo)其備案登記：

(一)通過(guò)虛假、欺騙手段取得備案登記的;

(二)嚴(yán)重違反有關(guān)法律法規(guī)及行業(yè)監(jiān)管規(guī)定的;

(三)監(jiān)管部門(mén)通過(guò)實(shí)地調(diào)查、電話(huà)聯(lián)系及其他監(jiān)管手段仍對(duì)企業(yè)和企業(yè)相關(guān)人員查無(wú)下落;或雖然可以聯(lián)系到企業(yè)一般工作人員，但其并不知悉企業(yè)運(yùn)營(yíng)情況也不能聯(lián)系到企業(yè)實(shí)際控制人的;

(四)取得備案登記后6個(gè)月內(nèi)未開(kāi)展網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)，或停止開(kāi)展網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)連續(xù)滿(mǎn)6個(gè)月的;

(五)拒不落實(shí)有關(guān)監(jiān)管工作要求的。

市金融辦應(yīng)將注銷(xiāo)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)備案登記情況向社會(huì)公示,并函告上海銀監(jiān)局、市公安局、市工商局、市通信管理局、市網(wǎng)信辦等相關(guān)部門(mén)。

第三十四條網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)的股東、實(shí)際控制人及董事、監(jiān)事、高級(jí)管理人員在公司設(shè)立及經(jīng)營(yíng)過(guò)程中弄虛作假，或損害網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)及其他利益相關(guān)方合法權(quán)益的，市金融辦、上海銀監(jiān)局及注冊(cè)地所在區(qū)監(jiān)管部門(mén)可將相關(guān)情況通報(bào)有關(guān)部門(mén)、報(bào)送有關(guān)公共信用信息平臺(tái)，并按規(guī)定對(duì)相關(guān)責(zé)任人員實(shí)施市場(chǎng)和行業(yè)禁入措施;涉嫌犯罪的，移送有關(guān)部門(mén)依法處理。

第三十五條出借人及借款人違反法律法規(guī)及網(wǎng)絡(luò)借貸有關(guān)監(jiān)管規(guī)定的，依照有關(guān)規(guī)定給予處罰;涉嫌犯罪的，移送有關(guān)部門(mén)依法處理。

第三十六條在網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)備案登記、日常監(jiān)管過(guò)程中出具審計(jì)報(bào)告、法律意見(jiàn)書(shū)、測(cè)評(píng)報(bào)告等文件的專(zhuān)業(yè)機(jī)構(gòu)和人員，應(yīng)當(dāng)按照相關(guān)執(zhí)業(yè)規(guī)則規(guī)定的工作程序出具相應(yīng)文件，并應(yīng)對(duì)其所出具文件內(nèi)容的真實(shí)性、準(zhǔn)確性和完整性進(jìn)行核查和驗(yàn)證;市金融辦、上海銀監(jiān)局及各區(qū)監(jiān)管部門(mén)發(fā)現(xiàn)相關(guān)文件中存在虛假記載、誤導(dǎo)性陳述或重大遺漏的，可將相關(guān)情況向社會(huì)公示，并移送有關(guān)行業(yè)主管部門(mén)、相關(guān)行業(yè)自律組織處理。

第六章附則

第三十七條 網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)的業(yè)務(wù)規(guī)則、風(fēng)險(xiǎn)管理、信息披露，以及出借人與借款人保護(hù)等相關(guān)事宜，按照《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》及相關(guān)監(jiān)管規(guī)定執(zhí)行。

第三十八條網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)設(shè)立的分支機(jī)構(gòu)無(wú)需辦理備案登記。

各區(qū)監(jiān)管部門(mén)應(yīng)當(dāng)將本轄區(qū)備案登記的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)設(shè)立分支機(jī)構(gòu)情況，及時(shí)告知分支機(jī)構(gòu)所在地的市(區(qū)、縣)監(jiān)管部門(mén)。

第三十九條 在本辦法前已經(jīng)設(shè)立并開(kāi)展經(jīng)營(yíng)活動(dòng)的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)不符合相關(guān)監(jiān)管規(guī)定的，除違法犯罪行為依法追究刑事責(zé)任外，應(yīng)當(dāng)根據(jù)《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》的相關(guān)規(guī)定或有關(guān)監(jiān)管部門(mén)在互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)專(zhuān)項(xiàng)整治過(guò)程中的監(jiān)管要求及時(shí)進(jìn)行整改;在規(guī)定或要求的整改時(shí)限內(nèi)無(wú)法完成整改的，應(yīng)向注冊(cè)地所在區(qū)監(jiān)管部門(mén)提交書(shū)面報(bào)告并說(shuō)明原因及后續(xù)整改計(jì)劃，經(jīng)注冊(cè)地所在區(qū)監(jiān)管部門(mén)同意后，應(yīng)在要求的時(shí)間內(nèi)完成整改并及時(shí)遞交申請(qǐng)材料。

篇8

 

從90年代互聯(lián)網(wǎng)進(jìn)入中國(guó)以來(lái)，企業(yè)信息網(wǎng)絡(luò)化的努力就一直沒(méi)有停止過(guò)。

 

從剛開(kāi)始簡(jiǎn)單地在網(wǎng)上一個(gè)自己的主頁(yè),陸續(xù)出現(xiàn)的各種網(wǎng)上交易方式如B2B,B2C模式，企業(yè)信息化的ASP模式，到如今的網(wǎng)格化計(jì)算、SOA，互聯(lián)網(wǎng)給企業(yè)帶來(lái)的似乎一直都是一浪接一浪的新理念和希望。

 

想象一下某個(gè)山區(qū)角落里的不起眼小公司憑借著網(wǎng)絡(luò)也能夠和全世界的伙伴發(fā)生貿(mào)易，這種誘人前景導(dǎo)致的20世紀(jì)末到本世紀(jì)初幾年的互聯(lián)網(wǎng)泡沫雖然一度破滅，仍擋不住轟轟烈烈的企業(yè)信息化浪潮腳步。

 

圍繞數(shù)據(jù)的一場(chǎng)戰(zhàn)爭(zhēng)

 

在互聯(lián)網(wǎng)為企業(yè)帶來(lái)巨大機(jī)遇和發(fā)展的同時(shí)，也會(huì)給人們帶來(lái)了很多不曾預(yù)料到的不和諧音符。二十一世紀(jì)第一年，紅色代碼病毒席卷全球，估計(jì)造成了約22億美元的損失。

 

然而，這一切僅僅是開(kāi)始，這一事件標(biāo)志著傳統(tǒng)通過(guò)拷貝這類(lèi)手段的病毒傳播方式基本讓位于互聯(lián)網(wǎng)傳播方式，而利用系統(tǒng)漏洞的遠(yuǎn)程入侵技術(shù)和傳統(tǒng)病毒自我復(fù)制的完美結(jié)合則給后來(lái)的制造者們帶來(lái)了無(wú)限靈感。既然可以控制別人的電腦，那為什么不用它來(lái)做些什么呢?于是特洛伊木馬、竊聽(tīng)、密碼破解、遠(yuǎn)程控制、服務(wù)器欺騙、網(wǎng)站釣魚(yú)、間諜軟件、廣告軟件、惡意軟件這些原本僅用于入侵的新老技術(shù)在病毒中接踵而來(lái)。

 

如果說(shuō)上世紀(jì)八九十年代里那些病毒作者們以及系統(tǒng)黑客純粹是為了炫耀自己的技術(shù)能力的話(huà)，那么如今越來(lái)越多所謂“駭客”們?cè)诰薮蠼疱X(qián)誘惑中則完全背棄了他們的技術(shù)理想，僅僅癱瘓一個(gè)服務(wù)器對(duì)他們來(lái)說(shuō)獲益頗小，他們研究發(fā)明這些技術(shù)手段的終極目標(biāo)只有一個(gè):真真實(shí)實(shí)的利益，而最能給他們帶來(lái)好處的，就是數(shù)據(jù)。

 

竊取一個(gè)企業(yè)的客戶(hù)資料后賣(mài)給競(jìng)爭(zhēng)對(duì)手在那些競(jìng)爭(zhēng)激烈的行業(yè)中是一件非常賺錢(qián)的買(mǎi)賣(mài);以高價(jià)為競(jìng)爭(zhēng)對(duì)手刪除對(duì)手的關(guān)鍵數(shù)據(jù)資料也是一個(gè)不錯(cuò)的選擇。

 

想象中的信息戰(zhàn)尚未在國(guó)家間開(kāi)始，但一場(chǎng)圍繞著數(shù)據(jù)的企業(yè)間戰(zhàn)爭(zhēng)伴隨著企業(yè)信息化的過(guò)程悄無(wú)聲息在互聯(lián)網(wǎng)上開(kāi)始了。

 

互聯(lián)網(wǎng)上的新威脅

 

由于到目前為止實(shí)際應(yīng)用中仍缺乏安全的操作系統(tǒng)、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)，導(dǎo)致企業(yè)信息化過(guò)程中，關(guān)鍵數(shù)據(jù)面臨著來(lái)自一系列來(lái)自網(wǎng)絡(luò)的威脅。由于互聯(lián)網(wǎng)的便利性，入侵只需要一臺(tái)計(jì)算機(jī)、一個(gè)物理聯(lián)系就能在全球任意一個(gè)角落任何一個(gè)時(shí)間上發(fā)起遠(yuǎn)距離攻擊，而現(xiàn)有的科技手段也難以偵察到計(jì)算機(jī)恐怖分子的行蹤。

 

而大多數(shù)管理者對(duì)網(wǎng)絡(luò)安全不甚了解,存在巨大管理漏洞。不重視信息系統(tǒng)和網(wǎng)絡(luò)安全，只重視物理安全，而不重視邏輯安全;只重視單機(jī)安全，而不重視網(wǎng)絡(luò)安全也加劇了威脅的嚴(yán)重性。這些威脅按其作用對(duì)象來(lái)看可以分為直接針對(duì)對(duì)數(shù)據(jù)庫(kù)的威脅、針對(duì)主機(jī)的威脅、針對(duì)應(yīng)用系統(tǒng)的威脅。

 

數(shù)據(jù)庫(kù)系統(tǒng)是應(yīng)用數(shù)據(jù)存儲(chǔ)的核心位置，一旦控制了數(shù)據(jù)庫(kù)系統(tǒng)即可以隨意控制系統(tǒng)的行為，獲得任何想要的數(shù)據(jù)，然而目前在市場(chǎng)應(yīng)用中使用的數(shù)據(jù)庫(kù)系統(tǒng)通常只達(dá)到C2級(jí)安全標(biāo)準(zhǔn)，缺少更高級(jí)別的安全系統(tǒng)?，F(xiàn)有的系統(tǒng)一旦被攻擊者獲得訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的賬號(hào)，則幾乎沒(méi)有什么手段可以阻止這一行為，更沒(méi)有手段進(jìn)行縱深防御。而因?yàn)闆](méi)有充分培訓(xùn)的DBA等原因，企業(yè)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的防衛(wèi)幾乎是一個(gè)空白。

 

針對(duì)主機(jī)操作系統(tǒng)的威脅是針對(duì)主機(jī)使用的操作系統(tǒng)，目前通用的windows操作系統(tǒng)和Unix/Linux操作系統(tǒng)平臺(tái)是企業(yè)常用的信息化軟件運(yùn)行平臺(tái)。然而由于現(xiàn)有操作系統(tǒng)的復(fù)雜性，開(kāi)發(fā)廠(chǎng)商永遠(yuǎn)無(wú)法保證系統(tǒng)的絕對(duì)安全。

 

事實(shí)上，windows從以來(lái)一直在發(fā)現(xiàn)新的安全問(wèn)題，雖然廠(chǎng)商及時(shí)的有針對(duì)地安全補(bǔ)丁。然而一方面一些高技術(shù)水平的入侵者手中往往掌握不為人知的安全漏洞，另一方面很多時(shí)候企業(yè)無(wú)法實(shí)時(shí)的更新系統(tǒng)，導(dǎo)致針對(duì)操作系統(tǒng)的威脅層出不窮。一旦主機(jī)被控制，關(guān)鍵數(shù)據(jù)的安全就基本無(wú)法得到保障了。

 

針對(duì)應(yīng)用系統(tǒng)的威脅主要是來(lái)自于企業(yè)應(yīng)用系統(tǒng)在編制過(guò)程中的問(wèn)題。由于安全性和開(kāi)發(fā)效率以使用效率總是一個(gè)矛盾，安全性和易用性也總難兩全。

 

因此，在信息化系統(tǒng)建設(shè)過(guò)程中，重開(kāi)發(fā)進(jìn)度，重應(yīng)用效果，重用戶(hù)滿(mǎn)意度，輕安全防護(hù)已經(jīng)基本上成為了軟件領(lǐng)域內(nèi)的一個(gè)通病，這樣開(kāi)發(fā)出的系統(tǒng)常常是系統(tǒng)能夠正常工作，但卻留下了相當(dāng)多的安全漏洞和安全隱患。

 

例如，程序員不檢查用戶(hù)輸入導(dǎo)致非常訪(fǎng)問(wèn)數(shù)據(jù)、不檢查數(shù)組邊界導(dǎo)致的遠(yuǎn)程緩沖區(qū)溢出都是典型的例子。即使在一些著名的軟件中也不能完全避免這些問(wèn)題。

 

魔高一尺，道高一丈

 

面對(duì)著這些方方面面的威脅，企業(yè)是否是束手無(wú)策呢?

 

當(dāng)然不是，正所謂魔高一尺，道高一丈。在保衛(wèi)自己的數(shù)據(jù)的戰(zhàn)爭(zhēng)中，企業(yè)有相當(dāng)多的武器。伴隨著2000年后安全問(wèn)題的突出，數(shù)據(jù)安全領(lǐng)域內(nèi)的技術(shù)一直在不斷進(jìn)步。防火墻、病毒防火墻、入侵檢測(cè)系統(tǒng)、數(shù)據(jù)加密、VPN、證書(shū)系統(tǒng)、生物認(rèn)證等各種新技術(shù)都能夠?yàn)槠髽I(yè)提供高安全的數(shù)據(jù)保障方案;數(shù)據(jù)庫(kù)廠(chǎng)商紛紛在產(chǎn)品中添加各項(xiàng)安全特性;操作系統(tǒng)廠(chǎng)商如微軟也推出了系統(tǒng)和軟件的自動(dòng)更新安全補(bǔ)丁的功能;在數(shù)據(jù)傳輸上，SSL被普遍引入以保證數(shù)據(jù)不被非法竊聽(tīng)。

 

然而這并非意味著企業(yè)信息化一旦使用了這些方案就可以高枕無(wú)憂(yōu)。許多企業(yè)盡管擁有了先進(jìn)而昂貴的信息安全設(shè)備，但“政策”或“人”往往無(wú)法配合，產(chǎn)生了很大問(wèn)題。正如在戰(zhàn)爭(zhēng)中人的因素是主因一樣，技術(shù)的提升如果不配以相關(guān)使用人員的意識(shí)提升，再好的盾牌也不會(huì)有太大的功效。

 

另一方面，由于互聯(lián)網(wǎng)的開(kāi)放性，安全威脅會(huì)發(fā)生任何一個(gè)時(shí)間內(nèi)，讓人防不勝防，沒(méi)有人能夠24 小時(shí)全年無(wú)休止地工作，除了別有用心的入侵者。僅僅將問(wèn)題歸咎于信息部門(mén)人員，既不公平也無(wú)助于解決問(wèn)題。賽門(mén)鐵克最新的互聯(lián)網(wǎng)安全威脅報(bào)告指出，威脅利用漏洞的速度越來(lái)越快，其擴(kuò)散的速度也越來(lái)越快，往往超過(guò)了我們的響應(yīng)速度。

 

2007年初，一個(gè)技術(shù)上并不十分先進(jìn)僅靠著病毒作者“勤奮”的不斷推出新變種讓防毒軟件公司無(wú)法做到實(shí)時(shí)跟進(jìn)的“熊貓燒香”病毒竟然讓一些大型網(wǎng)站的網(wǎng)頁(yè)都一度感染上病毒，這證明了在國(guó)內(nèi)的企業(yè)信息化領(lǐng)域內(nèi)，安全遠(yuǎn)不僅僅是一個(gè)技術(shù)問(wèn)題。因此，要真正地防御這些問(wèn)題，保障關(guān)鍵數(shù)據(jù)的安全性，必須要做到信息保障制度、技術(shù)、人員意識(shí)三者的有機(jī)結(jié)合。

 

在安全制度建設(shè)方面，我國(guó)已于2006年制定并頒布了最新國(guó)家標(biāo)準(zhǔn)GBT 20269-2006標(biāo)準(zhǔn)，規(guī)定了信息系統(tǒng)的安全的管理要求，而GBT 20272-2006 和GBT 20273-2006分別提出了數(shù)據(jù)庫(kù)管理系統(tǒng)和操作系統(tǒng)的安全要求。

 

遵循這些新標(biāo)準(zhǔn)從管理、技術(shù)、法律上建立一組完善的信息安全等級(jí)保護(hù)制度和信息安全測(cè)評(píng)、信息安全報(bào)告制度，從制度對(duì)數(shù)據(jù)安全進(jìn)行保障是必不可少的一步，也是基礎(chǔ)性的一步。

 

在信息安全的所有相關(guān)因素中，人是最活躍的因素。技術(shù)和制度都必須有人才能進(jìn)行落實(shí)，人特別是內(nèi)部員工既可以是對(duì)信息系統(tǒng)的最大潛在威脅，也可以是最可靠的安全防線(xiàn)。

 

對(duì)人的管理包括信息安全法律法規(guī)與安全政策的約束，培養(yǎng)人員的安全意識(shí)，通過(guò)各種技術(shù)培訓(xùn)人的安全技能。只有完成了這步工作，各項(xiàng)安全工作的開(kāi)展才有了基本的動(dòng)力。從技術(shù)上來(lái)看，建立縱深防御是近年來(lái)發(fā)展起來(lái)的一個(gè)嶄新的安全思想，它的精髓在于不把安全簡(jiǎn)單依賴(lài)于某種單一技術(shù)如防火墻。

 

而是從各個(gè)層面中根據(jù)信息資產(chǎn)保護(hù)的不同等級(jí)來(lái)保障信息與信息系統(tǒng)的安全，實(shí)現(xiàn)預(yù)警、保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)這五個(gè)安全內(nèi)容。建立一個(gè)有效、可行的企業(yè)數(shù)據(jù)安全體系必須在企業(yè)信息化建設(shè)的初期就充分考慮網(wǎng)絡(luò)上存在的安全威脅，然后充分利用各種現(xiàn)有的技術(shù)，在網(wǎng)絡(luò)關(guān)口、關(guān)鍵主機(jī)、內(nèi)部網(wǎng)絡(luò)、審計(jì)等各個(gè)層次上建立起一系列縱深的安全保證系統(tǒng)，確保在某一種技術(shù)失效的情況仍能發(fā)現(xiàn)潛在的入侵，保護(hù)數(shù)據(jù)的安全。

 

通過(guò)建立起數(shù)據(jù)備份、自動(dòng)恢復(fù)等措施保證系統(tǒng)的正常運(yùn)行。

 

通過(guò)數(shù)據(jù)加密等手段保證數(shù)據(jù)不被非法讀取。通過(guò)這些技術(shù)的結(jié)合，為企業(yè)信息化的數(shù)據(jù)安全提供堅(jiān)實(shí)的保證。

 

雖然有人悲觀(guān)地預(yù)言由于安全性問(wèn)題將導(dǎo)致互聯(lián)網(wǎng)的最終消失，然而互聯(lián)網(wǎng)給企業(yè)信息化所帶來(lái)的巨大收益仍能使人樂(lè)觀(guān)地相信，通過(guò)各方面的努力，我們?nèi)杂心芰?shù)據(jù)安全威脅控制在可接受的范圍內(nèi)，從而打贏(yíng)這場(chǎng)戰(zhàn)爭(zhēng)。

篇9

關(guān)注趨勢(shì)旨在為大家在前進(jìn)的道路上找到風(fēng)向標(biāo)，并且啟發(fā)思維。關(guān)注趨勢(shì)的另一個(gè)收益是去衡量和知曉行業(yè)發(fā)展的階段，隨著醫(yī)療信息化發(fā)展的步伐不斷邁進(jìn)，當(dāng)下的我們已經(jīng)走到了信息技術(shù)的深度應(yīng)用時(shí)期。

聚焦自身

2014年是全面深化上海醫(yī)改、促進(jìn)內(nèi)涵發(fā)展的關(guān)鍵之年，是推進(jìn)上海衛(wèi)生信息化建設(shè)更好地配合醫(yī)改、配合公立醫(yī)院改革的關(guān)鍵之年。因此，上海衛(wèi)生信息化在完成既定規(guī)劃建設(shè)任務(wù)同時(shí)，個(gè)人認(rèn)為將會(huì)重點(diǎn)做好以下幾方面工作。

1.在完善健康信息網(wǎng)建設(shè)同時(shí)，重點(diǎn)推進(jìn)綜合管理平臺(tái)建設(shè)與應(yīng)用。

“上海健康信息網(wǎng)”已完成市區(qū)兩級(jí)平臺(tái)、醫(yī)聯(lián)擴(kuò)容、對(duì)外門(mén)戶(hù)和公共衛(wèi)生相關(guān)業(yè)務(wù)內(nèi)容建設(shè)。目前，健康檔案數(shù)據(jù)庫(kù)已建立3000萬(wàn)份動(dòng)態(tài)健康檔案；電子病歷數(shù)據(jù)庫(kù)已采集近40億條個(gè)人診療記錄（截至2013年底），每天新增1600萬(wàn)條診療記錄；在公共衛(wèi)生領(lǐng)域，實(shí)現(xiàn)了五大疾病和死亡報(bào)告在試點(diǎn)區(qū)和市疾控中心的三級(jí)聯(lián)動(dòng)；在社區(qū)衛(wèi)生服務(wù)領(lǐng)域，實(shí)現(xiàn)了全面的基層信息標(biāo)準(zhǔn)化改造；在醫(yī)院體系，實(shí)現(xiàn)了醫(yī)生工作站的全面覆蓋。

2014年，為了配合《上海市公立醫(yī)院改革三年行動(dòng)計(jì)劃》的實(shí)施，將會(huì)重點(diǎn)推進(jìn)市區(qū)二級(jí)綜合管理平臺(tái)的建設(shè)和應(yīng)用，通過(guò)從生產(chǎn)性應(yīng)用系統(tǒng)直接采集數(shù)據(jù)，并加強(qiáng)數(shù)據(jù)的綜合利用和分析，逐步實(shí)現(xiàn)衛(wèi)生全行業(yè)動(dòng)態(tài)化、精細(xì)化管理，促進(jìn)管理模式的轉(zhuǎn)變，進(jìn)一步增強(qiáng)政府監(jiān)管能力以及醫(yī)改政策落實(shí)的導(dǎo)向力，使相關(guān)數(shù)據(jù)在支撐綜合決策過(guò)程中，成為政府落實(shí)監(jiān)管目標(biāo)最直接、有效的作用力。

綜合管理平臺(tái)建設(shè)，在市區(qū)二級(jí)的整體架構(gòu)下，通過(guò)整合市級(jí)健康網(wǎng)和區(qū)縣衛(wèi)生信息平臺(tái)數(shù)據(jù)，全市將逐步形成互聯(lián)互通的市區(qū)二級(jí)綜合信息管理體系，加強(qiáng)醫(yī)療公共監(jiān)管，完善政府財(cái)政投入機(jī)制，優(yōu)化醫(yī)療機(jī)構(gòu)的績(jī)效評(píng)價(jià)與薪酬總額核定機(jī)制，以實(shí)現(xiàn)政府對(duì)深化醫(yī)藥衛(wèi)生體制改革落實(shí)情況的實(shí)時(shí)監(jiān)測(cè)、宏觀(guān)調(diào)控和科學(xué)決策的目標(biāo)。

2.在醫(yī)院自評(píng)基礎(chǔ)上，全面推進(jìn)二級(jí)以上醫(yī)院電子病歷應(yīng)用水平分級(jí)評(píng)估工作。

經(jīng)過(guò)多年應(yīng)用探索，上海市電子病歷應(yīng)用水平得到明顯提升，主要表現(xiàn)為：所有醫(yī)療機(jī)構(gòu)已建成并已運(yùn)行支撐開(kāi)展電子病歷應(yīng)用的主要臨床信息系統(tǒng)；通過(guò)各醫(yī)療機(jī)構(gòu)自查，本市醫(yī)療機(jī)構(gòu)已實(shí)現(xiàn)的業(yè)務(wù)信息系統(tǒng)功能與衛(wèi)生部現(xiàn)制定的功能規(guī)范通過(guò)調(diào)研結(jié)果比對(duì)，符合率達(dá)到70%左右；電子醫(yī)囑功能已全部實(shí)現(xiàn)；90%以上機(jī)構(gòu)已基本實(shí)現(xiàn)醫(yī)療信息數(shù)據(jù)上傳（市級(jí)數(shù)據(jù)平臺(tái)）和實(shí)現(xiàn)醫(yī)療安全提示。目前，我們正在建立并逐步完善市級(jí)醫(yī)療衛(wèi)生數(shù)據(jù)平臺(tái)的基礎(chǔ)上，探索開(kāi)發(fā)建立醫(yī)療質(zhì)量監(jiān)管系統(tǒng)、抗菌素合理應(yīng)用監(jiān)管系統(tǒng)、權(quán)威的集中式開(kāi)放式醫(yī)學(xué)知識(shí)庫(kù)服務(wù)平臺(tái)，更好地支持電子病歷應(yīng)用。

2014年我們的工作重點(diǎn)，將在國(guó)家衛(wèi)生計(jì)生委制定的電子病歷應(yīng)用水平分級(jí)評(píng)估標(biāo)準(zhǔn)的框架下，結(jié)合上海應(yīng)用實(shí)踐，開(kāi)展上海地區(qū)醫(yī)院的電子病歷應(yīng)用水平分級(jí)評(píng)估工作，“以評(píng)促建”，通過(guò)全面推動(dòng)電子病歷的應(yīng)用，大幅提升醫(yī)院的管理、服務(wù)水平，并將電子病歷應(yīng)用水平分級(jí)評(píng)估結(jié)果納入對(duì)單位的年度考核指標(biāo)之中。

3.在持續(xù)多年開(kāi)展醫(yī)院信息安全測(cè)評(píng)基礎(chǔ)上，完成三級(jí)醫(yī)療機(jī)構(gòu)、區(qū)縣級(jí)區(qū)域平臺(tái)信息安全等保測(cè)評(píng)工作。

2014年起，我們將在全面定級(jí)備案的基礎(chǔ)上，完成三級(jí)醫(yī)療機(jī)構(gòu)、區(qū)縣級(jí)區(qū)域平臺(tái)信息安全等保測(cè)評(píng)工作，并將是否按要求通過(guò)三級(jí)等保測(cè)評(píng)納入對(duì)單位的年度考核指標(biāo)之中。

4.在應(yīng)用調(diào)研基礎(chǔ)上，積極開(kāi)展醫(yī)院信息集成平臺(tái)建設(shè)、應(yīng)用的探索。

在醫(yī)療衛(wèi)生領(lǐng)域中，盡管醫(yī)院信息化發(fā)展較快、應(yīng)用較好、覆蓋較全，但由于自主式、探索性發(fā)展的歷史原因，缺少信息資源規(guī)劃，缺乏頂層設(shè)計(jì)，尤其，隨著應(yīng)用的不斷拓展和區(qū)域醫(yī)療業(yè)務(wù)協(xié)同的需求，原有架構(gòu)的不科學(xué)、不合理性逐步顯現(xiàn)，生產(chǎn)性業(yè)務(wù)系統(tǒng)的數(shù)據(jù)顆粒度不細(xì)，數(shù)據(jù)項(xiàng)不全，系統(tǒng)間數(shù)據(jù)不一致，造成數(shù)據(jù)難以更好的利用，醫(yī)院信息化進(jìn)一步發(fā)展遇到了技術(shù)難題。

事實(shí)使大家認(rèn)識(shí)到：原來(lái)的基礎(chǔ)架構(gòu)已不適應(yīng)現(xiàn)在的應(yīng)用需求，醫(yī)院信息集成平臺(tái)建設(shè)已刻不容緩，這是提高醫(yī)院信息化應(yīng)用水平的必經(jīng)之路，必要任務(wù)；雖然市面上，目前還沒(méi)有比較成熟的方案和產(chǎn)品，但對(duì)集成平臺(tái)將實(shí)現(xiàn)的基本目標(biāo)有了比較一致的看法，這就是至少包括 “四大整合”（系統(tǒng)整合、數(shù)據(jù)整合、門(mén)戶(hù)整合、資源整合）；許多醫(yī)院和開(kāi)發(fā)商已開(kāi)始積極探索和嘗試醫(yī)院信息集成平臺(tái)建設(shè)。

2014年我們將會(huì)組織力量在應(yīng)用調(diào)研基礎(chǔ)上，積極開(kāi)展醫(yī)院信息集成平臺(tái)建設(shè)、應(yīng)用的研究和探索，制定相關(guān)技術(shù)規(guī)范，為醫(yī)院信息化建設(shè)健康發(fā)展保駕護(hù)航。

2014年，我們醫(yī)院的工作重點(diǎn)主要集中在以下幾個(gè)方面：

（1）梳理醫(yī)院各項(xiàng)統(tǒng)計(jì)查詢(xún)指標(biāo)，升級(jí)醫(yī)院統(tǒng)一查詢(xún)系統(tǒng)（類(lèi)似BI的部分功能）。

其主要功能是：

? 將醫(yī)院所有的統(tǒng)計(jì)查詢(xún)需求按照“收費(fèi)”、“工作負(fù)荷”、“醫(yī)療質(zhì)量”、“物資/藥品消耗”、“醫(yī)保”、“績(jī)效”等大類(lèi)別細(xì)化到每個(gè)統(tǒng)計(jì)點(diǎn)，每個(gè)統(tǒng)計(jì)點(diǎn)應(yīng)當(dāng)有固定的公式、文獻(xiàn)或文件支撐。

? 從統(tǒng)計(jì)指標(biāo)庫(kù)中抽出單個(gè)項(xiàng)目，進(jìn)行各種組合，以滿(mǎn)足醫(yī)院不同部門(mén)及不同層級(jí)人員的對(duì)數(shù)據(jù)統(tǒng)計(jì)的需求。

? 從工作數(shù)據(jù)庫(kù)的“鏡像”服務(wù)器上實(shí)時(shí)提取各項(xiàng)指標(biāo)；月度、年度等指標(biāo)從中間的數(shù)據(jù)倉(cāng)庫(kù)提取。

出發(fā)點(diǎn)：醫(yī)院信息系統(tǒng)建設(shè)了很多，每個(gè)系統(tǒng)都自帶一部分統(tǒng)計(jì)查詢(xún)功能。但是由于關(guān)注點(diǎn)不同，統(tǒng)計(jì)周期和細(xì)節(jié)的差異，從不同系統(tǒng)中出來(lái)的數(shù)據(jù)經(jīng)常不一致?，F(xiàn)有的查詢(xún)系統(tǒng)也不能做到為不同部門(mén)和不同層級(jí)的人員做出個(gè)性化的定制。該項(xiàng)目主要是為醫(yī)院的管理和運(yùn)營(yíng)服務(wù)，主要服務(wù)對(duì)象是醫(yī)院管理人員及科室主任。

（2）基于移動(dòng)終端的醫(yī)療應(yīng)用――即“掌上醫(yī)院”。

主要功能是：以移動(dòng)互聯(lián)網(wǎng)終端設(shè)備（主要為智能手機(jī)，支持iOS及Android操作系統(tǒng)）為載體的應(yīng)用系統(tǒng)，主要目的是“最大程度地簡(jiǎn)化就醫(yī)流程，實(shí)現(xiàn)高效、便捷、優(yōu)質(zhì)的醫(yī)療服務(wù)”。主要功能包括：預(yù)約掛號(hào)；取化驗(yàn)單；健康宣教；叫號(hào)查詢(xún)；體檢預(yù)約；醫(yī)生在線(xiàn)以及面向醫(yī)院管理層的醫(yī)院運(yùn)營(yíng)信息的推送服務(wù)等。

出發(fā)點(diǎn)：“掌上醫(yī)院”是基于智能手機(jī)的應(yīng)用，中國(guó)智能手機(jī)（可上網(wǎng)）用戶(hù)在2013年接近或超過(guò)5億。隨著3G乃至4G的發(fā)展，人們可以使用智能手機(jī)方便地完成各種原來(lái)由計(jì)算機(jī)完成的任務(wù)。通過(guò)手機(jī)提供支持醫(yī)療相關(guān)服務(wù)是一種趨勢(shì)（如通過(guò)手機(jī)銀行進(jìn)行支付等）。該應(yīng)用是醫(yī)院擴(kuò)大影響力和吸引、保留高端用戶(hù)，提高自身競(jìng)爭(zhēng)力的的重要手段。

（3）臨床信息系統(tǒng)相關(guān)數(shù)據(jù)的探索性應(yīng)用，臨床科研數(shù)據(jù)集成平臺(tái)（包含隨訪(fǎng)功能）。

醫(yī)院建成了以電子病歷為核心的臨床信息系統(tǒng)，集成了PACS、LIS、心電圖、手術(shù)麻醉等各種臨床輔助系統(tǒng)，但是臨床數(shù)據(jù)的應(yīng)用還未得到深入開(kāi)展。結(jié)構(gòu)化的電子病歷信息并沒(méi)有發(fā)揮出應(yīng)有的作用。2014年，我們將從臨床科研設(shè)計(jì)開(kāi)始，規(guī)范臨床數(shù)據(jù)的采集，提高臨床數(shù)據(jù)質(zhì)量，并通過(guò)隨訪(fǎng)形成閉環(huán)的臨床科研數(shù)據(jù)，嘗試為臨床研究服務(wù)。

我院經(jīng)過(guò)多年信息化基礎(chǔ)工作建設(shè)，信息系統(tǒng)建設(shè)從單一模式逐步向多元化模式轉(zhuǎn)變。2014 年計(jì)劃在全院范圍內(nèi)開(kāi)展的一系列移動(dòng)醫(yī)療信息系統(tǒng)建設(shè)便是其中之一。我們應(yīng)用高速寬帶無(wú)線(xiàn)接入技術(shù)實(shí)現(xiàn)醫(yī)院移動(dòng)醫(yī)療。高速寬帶無(wú)線(xiàn)接入技術(shù)基于WAPI安全局域網(wǎng)組網(wǎng)技術(shù)，通過(guò)醫(yī)療智分零漫游解決方案，搭建覆蓋醫(yī)院全院的醫(yī)護(hù)內(nèi)網(wǎng)和公眾服務(wù)外網(wǎng)，解決了目前醫(yī)院無(wú)線(xiàn)局域網(wǎng)在多種復(fù)雜應(yīng)用場(chǎng)景下面臨的網(wǎng)絡(luò)體驗(yàn)差的問(wèn)題，能滿(mǎn)足用戶(hù)對(duì)無(wú)線(xiàn)局域網(wǎng)更大的帶寬更高的穩(wěn)定性等需求。

我院移動(dòng)醫(yī)療涵蓋了移動(dòng)醫(yī)生查房（移動(dòng)醫(yī)囑、移動(dòng)電子病歷為核心）、移動(dòng)護(hù)理（移動(dòng)床旁系統(tǒng)）、移動(dòng)影像、移動(dòng)心電、移動(dòng)物流系統(tǒng)、移動(dòng)辦公系統(tǒng)、移動(dòng)預(yù)約系統(tǒng)、移動(dòng)急救系統(tǒng)、移動(dòng)互聯(lián)網(wǎng)等。移動(dòng)醫(yī)療從移動(dòng)床旁系統(tǒng)的精確采集數(shù)據(jù)開(kāi)始，到集中平臺(tái)應(yīng)用，整個(gè)系統(tǒng)會(huì)使信息處理隨醫(yī)療過(guò)程同步進(jìn)行，并為醫(yī)療過(guò)程提供實(shí)時(shí)數(shù)據(jù)信息。移動(dòng)醫(yī)療在臨床中的作用是改善傳統(tǒng)醫(yī)療在時(shí)間和空間上的局限性，優(yōu)化流程，更高效、更準(zhǔn)確地處理病患。而對(duì)于醫(yī)院內(nèi)部，隨著醫(yī)院的管理升級(jí)的需要與技術(shù)的逐步成熟，通過(guò)移動(dòng)終端可以實(shí)時(shí)查看到科室的醫(yī)療質(zhì)量、藥品采購(gòu)與跟蹤、財(cái)務(wù)、人力、營(yíng)銷(xiāo)等多方面管理，實(shí)現(xiàn)移動(dòng)辦公。同時(shí)，在現(xiàn)有異源異構(gòu)信息系統(tǒng)的基礎(chǔ)上，我院正在進(jìn)行基于面向服務(wù)的開(kāi)放架構(gòu)，通過(guò)傳統(tǒng)有線(xiàn)應(yīng)用系統(tǒng)和移動(dòng)醫(yī)療系統(tǒng)，構(gòu)建以臨床數(shù)據(jù)倉(cāng)庫(kù)為核心的大型醫(yī)院信息集成平臺(tái)，實(shí)現(xiàn)來(lái)自不同廠(chǎng)商的HIS、LIS、RIS、CIS、HRP等的數(shù)據(jù)整合、信息共享、流程協(xié)同，并同步推進(jìn)臨床信息化建設(shè)，通過(guò)電子病歷瀏覽器和醫(yī)生門(mén)戶(hù)實(shí)現(xiàn)全流程患者信息實(shí)時(shí)同步共享，為醫(yī)院信息化建設(shè)搭建起一個(gè)高可靠性、高擴(kuò)展性、高安全性的基礎(chǔ)平臺(tái)架構(gòu)。未來(lái)的移動(dòng)醫(yī)療不僅僅局限于在醫(yī)院內(nèi)向患者提供服務(wù)，也將不斷向院外延伸，使患者隨時(shí)隨地接受醫(yī)療咨詢(xún)和服務(wù)，它將不斷改變傳統(tǒng)醫(yī)療服務(wù)的模式，帶來(lái)新的醫(yī)療服務(wù)模式。

2014年醫(yī)院主要是完成新建院區(qū)的信息化建設(shè)，探索建立雙活數(shù)據(jù)中心，實(shí)現(xiàn)新區(qū)和院本部的信息共享，同時(shí)完成數(shù)字認(rèn)證工作；按照居民健康卡技術(shù)標(biāo)準(zhǔn)指導(dǎo)銀醫(yī)卡建設(shè)，完善現(xiàn)有信息系統(tǒng)功能模塊建設(shè)。這樣做主要是貫徹執(zhí)行中醫(yī)藥信息化建設(shè)標(biāo)準(zhǔn)和信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)，滿(mǎn)足新區(qū)醫(yī)療、教學(xué)、科研管理需要，節(jié)約人力、物力和管理成本。

通過(guò)信息化建設(shè)，可以降低運(yùn)行成本、提高效率、快捷服務(wù)，滿(mǎn)足人民群眾的衛(wèi)生需要。隨著云南省居民健康卡在云南省腫瘤醫(yī)院試點(diǎn)，2014年云南省腫瘤醫(yī)院的信息化將從服務(wù)患者入手，在就診流程上進(jìn)行優(yōu)化，為患者就診提供滿(mǎn)意的體驗(yàn)。2013年我院上線(xiàn)了ITIL服務(wù)管理系統(tǒng)，通過(guò)一段時(shí)間的摸索，2014年我們將把ITIL進(jìn)一步細(xì)化KPI考核機(jī)制，激勵(lì)信息中心工作人員的積極性。2013年我院的BI已初步建成，隨著大數(shù)據(jù)時(shí)代的到來(lái)，2014年我們將對(duì)BI中的數(shù)據(jù)進(jìn)行有效挖掘，使BI為醫(yī)院決策者提供更多有用的數(shù)據(jù)。我院已于2012年實(shí)現(xiàn)了全院WIFI無(wú)線(xiàn)覆蓋，BYOD已經(jīng)成為了一種潮流，它使得辦公和生活的界限變得模糊，給辦公帶來(lái)更好的體驗(yàn)。

2014年信息處將在廣東省中醫(yī)院創(chuàng)新驅(qū)動(dòng)發(fā)展的核心理念指導(dǎo)下，在強(qiáng)化保障醫(yī)院信息系統(tǒng)安全、高效、穩(wěn)定運(yùn)行的前提下，在提升醫(yī)院核心能力、研究型醫(yī)院的建設(shè)等方面為醫(yī)院發(fā)展提供相應(yīng)的支撐。

1.進(jìn)一步推動(dòng)醫(yī)院中醫(yī)特色與優(yōu)勢(shì)的發(fā)揮，促進(jìn)中醫(yī)藥臨床療效的提高。

通過(guò)臨床路徑信息系統(tǒng)、知識(shí)管理系統(tǒng)、名醫(yī)工作室系統(tǒng)、數(shù)據(jù)挖掘系統(tǒng)、流派網(wǎng)站等的不斷完善和推廣，用先進(jìn)的信息技術(shù)促進(jìn)中醫(yī)特色和優(yōu)勢(shì)的發(fā)揮，促進(jìn)中醫(yī)藥臨床療效的提高。

2.進(jìn)一步提高醫(yī)療質(zhì)量相關(guān)指標(biāo)的監(jiān)控，提高醫(yī)院的綜合管理能力。

通過(guò)BI系統(tǒng)的不斷深入，及時(shí)了解臨床醫(yī)療中存在的風(fēng)險(xiǎn)和各醫(yī)療業(yè)務(wù)的運(yùn)營(yíng)情況。在各核心業(yè)務(wù)系統(tǒng)整合的基礎(chǔ)上，完善非核心業(yè)務(wù)系統(tǒng)的整合，實(shí)現(xiàn)醫(yī)院整體的信息融合。

3.進(jìn)一步提高對(duì)患者的服務(wù)水平和服務(wù)能力。

利用精益管理的手段和PDCA等方法，不斷發(fā)掘服務(wù)的改善點(diǎn)，通過(guò)自助收費(fèi)、檢查體驗(yàn)結(jié)果短信平臺(tái)、無(wú)線(xiàn)查房和無(wú)線(xiàn)護(hù)理等系統(tǒng)的不斷完善，進(jìn)一步加快患者的就診流程，提升患者的就醫(yī)感受。

4.利用信息系統(tǒng)，不斷推進(jìn)醫(yī)院科研的發(fā)展。

通過(guò)完善臨床一體化系統(tǒng)、慢病管理系統(tǒng)的不斷深入，加強(qiáng)信息化對(duì)醫(yī)院科研的支撐力度。通過(guò)數(shù)據(jù)挖掘隊(duì)伍、大數(shù)據(jù)研究和分析隊(duì)伍的建設(shè)，為醫(yī)院存儲(chǔ)研究和分析的力量。

5.不斷完善信息系統(tǒng)軟件架構(gòu)和硬件架構(gòu)，保障醫(yī)院信息安全。

在完成國(guó)家信息安全等級(jí)保護(hù)建設(shè)的基礎(chǔ)上，對(duì)現(xiàn)有軟件系統(tǒng)和硬件系統(tǒng)架構(gòu)進(jìn)行調(diào)整，從數(shù)據(jù)安全和系統(tǒng)運(yùn)維安全上進(jìn)一步強(qiáng)化，保障醫(yī)院信息系統(tǒng)的安全。在信息系統(tǒng)安全運(yùn)行的基礎(chǔ)上，擴(kuò)大對(duì)外的數(shù)據(jù)交互，實(shí)現(xiàn)與協(xié)作醫(yī)院、區(qū)域平臺(tái)的數(shù)據(jù)對(duì)接，支撐醫(yī)院的業(yè)務(wù)擴(kuò)展。

熱議行業(yè)

大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、3D打印都會(huì)是2014年醫(yī)療行業(yè)的熱點(diǎn)。醫(yī)療行業(yè)經(jīng)歷了近20年的信息化發(fā)展，隨著大數(shù)據(jù)時(shí)代的到來(lái)，對(duì)這近20年的數(shù)據(jù)進(jìn)行有效的分析挖掘，將會(huì)是未來(lái)幾年的熱點(diǎn)。云時(shí)代的到來(lái)，虛擬化是必然的趨勢(shì)，服務(wù)器虛擬化、存儲(chǔ)虛擬化、網(wǎng)絡(luò)虛擬化和桌面虛擬化后還會(huì)有哪些虛擬化出現(xiàn)？醫(yī)療行業(yè)的物聯(lián)網(wǎng)幾年來(lái)一直是探索的方向，隨著可穿戴設(shè)備的出現(xiàn)，未來(lái)的醫(yī)療將向家庭發(fā)展，信息化將會(huì)為我們未來(lái)的健康提供有力的支撐。3D打印已經(jīng)出現(xiàn)很多年了，2014年人體器官的3D打印將會(huì)越來(lái)越多。

在政策推動(dòng)下，醫(yī)院集團(tuán)化管理方面會(huì)在2014年快速發(fā)展，以往提的雙向轉(zhuǎn)診，大多情況是轉(zhuǎn)上來(lái)容易，轉(zhuǎn)回去難，隨著醫(yī)聯(lián)體、集團(tuán)化的快速推進(jìn)，這個(gè)問(wèn)題會(huì)得到解決。

隨著大數(shù)據(jù)時(shí)代的悄然來(lái)臨，醫(yī)療行業(yè)的數(shù)據(jù)利用時(shí)代也開(kāi)始走進(jìn)了春天，過(guò)去的兩年里，很多醫(yī)院通過(guò)利用BI工具進(jìn)行的數(shù)據(jù)展現(xiàn)，對(duì)醫(yī)院的管理起到輔助決策的作用。但在應(yīng)用的深度和廣度上還遠(yuǎn)遠(yuǎn)不夠，新的一年里，隨著觀(guān)念的更新，技術(shù)的成熟，成本的降低，數(shù)據(jù)利用在醫(yī)院里的應(yīng)用將會(huì)越來(lái)越廣泛。一旦醫(yī)院和公司在建立數(shù)據(jù)模型的人員方面有所突破，管理方面的分析便會(huì)越來(lái)越精細(xì)、臨床的挖掘也會(huì)越來(lái)越深入。

移動(dòng)醫(yī)療相關(guān)系統(tǒng)全面鋪開(kāi)。這兩年很多醫(yī)院已經(jīng)開(kāi)始試點(diǎn)移動(dòng)醫(yī)療，2014年應(yīng)該是移動(dòng)查房、無(wú)線(xiàn)護(hù)理等系統(tǒng)全面鋪開(kāi)的起始年，隨著醫(yī)護(hù)人員對(duì)移動(dòng)技術(shù)的熟練使用，對(duì)移動(dòng)醫(yī)療技術(shù)的新的需求也越來(lái)越多，移動(dòng)醫(yī)療技術(shù)的需求驅(qū)動(dòng)網(wǎng)絡(luò)安全技術(shù)的發(fā)展，未來(lái)的移動(dòng)醫(yī)療技術(shù)將做到隨時(shí)隨地，醫(yī)生將能夠通過(guò)手機(jī)網(wǎng)絡(luò)隨時(shí)隨地查看患者信息，上級(jí)醫(yī)生能夠通過(guò)網(wǎng)絡(luò)隨時(shí)了解患者病情，指導(dǎo)下級(jí)醫(yī)生為患者提供更好的治療。

圖像融合技術(shù)開(kāi)始進(jìn)入。隨著影像類(lèi)檢查設(shè)備的不斷增多，醫(yī)生對(duì)患者的診斷往往是通過(guò)多種檢查取得的，因此。通過(guò)對(duì)某一部位多幅源影像信息的有機(jī)融合，以獲得對(duì)某部位更準(zhǔn)確、更全面和更可靠的診斷的技術(shù)2014年將會(huì)加入醫(yī)院信息系統(tǒng)行列，未來(lái)幾年將會(huì)得到更好的普及與發(fā)展。

我認(rèn)為2014年的行業(yè)熱點(diǎn)有以下幾個(gè)方面。

大數(shù)據(jù)，且主要是大數(shù)據(jù)的利用。醫(yī)療系統(tǒng)與管理相關(guān)的大數(shù)據(jù)與其它行業(yè)區(qū)別不大。因此在國(guó)家或地區(qū)層面的醫(yī)療管理、醫(yī)保政策或者是傳染病監(jiān)測(cè)等領(lǐng)域應(yīng)當(dāng)有所突破。但是涉及臨床信息的大數(shù)據(jù)與普通意義上的大數(shù)據(jù)有很大不同。循證醫(yī)學(xué)要求的高質(zhì)量數(shù)據(jù)的粒度非常細(xì)，可以說(shuō)是信息量密集的大數(shù)據(jù)領(lǐng)域，單純靠通用的大數(shù)據(jù)分析手段力不從心。

單個(gè)醫(yī)院內(nèi)部的BI（Business Intelligence）系統(tǒng)。因?yàn)榇蠖鄶?shù)醫(yī)院還是希望通過(guò)信息系統(tǒng)掌握醫(yī)院的運(yùn)營(yíng)，提高醫(yī)院管理決策水平。目前市場(chǎng)上有很多“比較成熟”的BI產(chǎn)品，但是說(shuō)到底，BI是管理的變革。如果上BI，醫(yī)院的管理層需要首先做好對(duì)醫(yī)院管理進(jìn)行改革的思想準(zhǔn)備。

區(qū)域醫(yī)療信息共享及數(shù)據(jù)安全。隨著醫(yī)聯(lián)體和區(qū)域醫(yī)療的發(fā)展，對(duì)于醫(yī)聯(lián)體內(nèi)部以及區(qū)域內(nèi)的醫(yī)療機(jī)構(gòu)，有共享檢查、檢驗(yàn)結(jié)果以及病歷記錄的需求。同時(shí)數(shù)據(jù)的安全和授權(quán)訪(fǎng)問(wèn)會(huì)成為一個(gè)需要重點(diǎn)考慮的問(wèn)題。

多種醫(yī)保體系的歸并與統(tǒng)一。

2014年在政策的推動(dòng)下會(huì)得到快速發(fā)展的有：電子病歷系統(tǒng)應(yīng)用水平分級(jí)（在衛(wèi)生部醫(yī)院管理研究所的推動(dòng)下）；醫(yī)保系統(tǒng)實(shí)時(shí)結(jié)算（在人力資源與社會(huì)保障部/廳/局以及社保中心的推動(dòng)下）；臨床試驗(yàn)數(shù)據(jù)管理工作的標(biāo)準(zhǔn)化和正規(guī)化（在國(guó)家藥監(jiān)局評(píng)審中心的推動(dòng)下）。

從新技術(shù)的應(yīng)用方面，2014年熱點(diǎn)主要集中在云計(jì)算、虛擬化、大數(shù)據(jù)、物聯(lián)網(wǎng)、3D打印等方面。有些技術(shù)已出現(xiàn)幾年了，現(xiàn)在到了該大面積推廣應(yīng)用的程度，如虛擬化、云計(jì)算等；有些技術(shù)在醫(yī)療行業(yè)也可以明顯看到應(yīng)用擴(kuò)大的趨勢(shì)，如大數(shù)據(jù)和物聯(lián)網(wǎng)在醫(yī)療行業(yè)的應(yīng)用等；有些技術(shù)可能在未來(lái)會(huì)在醫(yī)療行業(yè)有大的發(fā)展，如3D打印等。

從整體醫(yī)療行業(yè)的需求來(lái)看，數(shù)據(jù)的跨部門(mén)、跨地域交互與共享將是整合行業(yè)的熱點(diǎn)。這里面涉及的具體內(nèi)容也將會(huì)是大家比較關(guān)心的問(wèn)題，如數(shù)據(jù)交互標(biāo)準(zhǔn)、安全、隱私保護(hù)等。

根據(jù)國(guó)家衛(wèi)生和計(jì)劃生育委員會(huì)和國(guó)家中醫(yī)藥管理局聯(lián)合的指導(dǎo)意見(jiàn)，結(jié)合我國(guó)各醫(yī)療機(jī)構(gòu)信息化的現(xiàn)狀，2014年我國(guó)的醫(yī)療信息化建設(shè)將在以下幾個(gè)方面得到快速發(fā)展：

1.標(biāo)準(zhǔn)化方面的建設(shè)，如數(shù)據(jù)交互標(biāo)準(zhǔn)等；

2.信息化相關(guān)的規(guī)范和制度方面，如數(shù)據(jù)交互制度等；

3.信息安全防護(hù)體系方面的建設(shè)；

4.遠(yuǎn)程會(huì)診、預(yù)約掛號(hào)、雙向轉(zhuǎn)診、健康咨詢(xún)等方面將會(huì)快速發(fā)展；

5.藥品管理系統(tǒng)的建設(shè)；