医疗类网站的信息审核、发布、备份、和查阅相关管理制度

2020-09-15 科技 59阅读
网络与信息安全保障措施参考
网站服务器和其他计算机之间设置经公安部认证的防火墙, 并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。
2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。
3、做好生产日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。
4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。
5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。
6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。
7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。
8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。
9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。
网络与信息安全保障措施
一、 网络安全保障措施
为了全面确保本公司网络安全,在本公司网络平台解决方案设
计中,主要将基于以下设计原则:
a安全性
在本方案的设计中,我们将从网络、系统、应用、运行管理、系统冗余等角度综合分析,采用先进的安全技术,如防火墙、加密技术,为
热点网站提供系统、完整的安全体系。确保系统安全运行。
b高性能
考虑本公司网络平台未来业务量的增长,在本方案的设计中,我们将从网络、服务器、软件、应用等角度综合分析,合理设计结构与配置
,以确保大量用户并发访问峰值时段,系统仍然具有足够的处理能力,保障服务质量。
c可靠性
本公司网络平台作为企业门户平台,设计中将在尽可能减少投资的情况下,从系统结构、网络结构、技术措施、设施选型等方面综合考虑
,以尽量减少系统中的单故障节点,实现7×24小时的不间断服务
d可扩展性
优良的体系结构(包括硬件、软件体系结构)设计对于系统是否能够适应未来业务的发展至关重要。在本系统的设计中,硬件系统(如服务器
、存贮设计等)将遵循可扩充的原则,以确保系统随着业务量的不断增长,在不停止服务的前提下无缝平滑扩展;同时软件体系结构的设计也
将遵循可扩充的原则,适应新业务增长的需要。
e开放性
考虑到本系统中将涉及不同厂商的设备技术,以及不断扩展的系统需求,在本项目的产品技术选型中,全部采用国际标准/工业标准,使本
系统具有良好的开放性。
f先进性
本系统中的软硬件平台建设、应用系统的设计开发以及系统的维护管理所采用的产品技术均综合考虑当今互联网发展趋势,采用相对先进同时
市场相对成熟的产品技术,以满足未来热点网站的发展需求。
g系统集成性
在本方案中的软硬件系统包括时力科技以及第三方厂商的优秀产品。我们将为满拉网站提供完整的应用集成服务,使满拉网站将更多的资源集
中在业务的开拓与运营中,而不是具体的集成工作中。
1、硬件设施保障措施:
重庆市满拉科技发展有限公司的信息服务器设备符合邮电公用通信网络的各项技术接口指标和终端通信的技术标准、电气特性和通信方式等,
不会影响公网的安全。本公司租用重庆电信的IDC放置信息服务器的标准机房环境,包括:空调、照明、湿度、不间断电源、防静电地板等。重
庆电信为本公司服务器提供一条高速数据端口用以接入CHINANET网络。系统主机系统的应用模式决定了系统将面向大量的用户和面对大量的并
发访问,系统要求是高可靠性的关键性应用系统,要求系统避免任何可能的停机和数据的破坏与丢失。系统要求采用最新的应用服务器技术实
现负载均衡和避免单点故障。
系统主机硬件技术
CPU:32位长以上CPU,支持多CPU结构,并支持平滑升级。
服务器具有高可靠性,具有长时间工作能力,系统整机平均无故障时间(MTBF)不低于100000小时,系统提供强大的诊断软件,对系统进行诊断

服务器具有镜象容错功能,采用双盘容错,双机容错。
主机系统具有强大的总线带宽和I/O吞吐能力,并具有灵活强大的可扩充能力
配置原则
(1)处理器的负荷峰值为75%;
(2)处理器、内存和磁盘需要配置平衡以提供好效果;
(3)磁盘(以镜像为佳)应有30-40%冗余量应付高峰。
(4)内存配置应配合数据库指标。
(5)I/O与处理器同样重要。
系统主机软件技术:
服务器平台的系统软件符合开放系统互连标准和协议。
操作系统选用通用的多用户、多任务winduws 2000或者Linux操作系统,系统应具有高度可靠性、开放性,支持对称多重处理(SMP)功能,支
持包括TCP/IP在内的多种网络协议。
符合C2级安全标准:提供完善的操作系统监控、报警和故障处理。
应支持当前流行的数据库系统和开发工具。
系统主机的存储设备
系统的存储设备的技术
RAID0+1或者RAID5的磁盘阵列等措施保证系统的安全和可靠。
I/O能力可达6M/s。
提供足够的扩充槽位。
系统的存储能力设计
系统的存储能力主要考虑用户等数据的存储空间、文件系统、备份空间、测试系统空间、数据库管理空间和系统的扩展空间。
服务器系统的扩容能力
系统主机的扩容能力主要包括三个方面:
性能、处理能力的扩充-包括CPU及内存的扩充
存储容量的扩充-磁盘存储空间的扩展
I/O能力的扩充,包括网络适配器的扩充(如FDDI卡和ATM卡)及外部设备的扩充(如外接磁带库、光盘机等)
2、软件系统保证措施:
操作系统:Windows 2000 SERVER网络操作系统
防火墙:CISCO PIX硬件防火墙
Windows 2000 SERVER 操作系统和美国微软公司的windowsupdate站点升级站点保持数据联系,确保操作系统修补现已知的漏洞。
利用NTFS分区技术严格控制用户对服务器数据访问权限。
操作系统上建立了严格的安全策略和日志访问记录. 保障了用户安全、密码安全、以及网络对系统的访问控制安全、并且记录了网络对系统的
一切访问以及动作。
系统实现上采用标准的基于WEB中间件技术的三层体系结构,即:所有基于WEB的应用都采用WEB应用服务器技术来实现。
中间件平台的性能设计:
可伸缩性:允许用户开发系统和应用程序,以简单的方式满足不断增长的业务需求。
安全性:利用各种加密技术,身份和授权控制及会话安全技术,以及Web安全性技术,避免用户信息免受非法入侵的损害。
完整性:通过中间件实现可靠、高性能的分布式交易功能,确保准确的数据更新。
可维护性:能方便地利用新技术升级现有应用程序,满足不断增长的企业发展需要。
互操作性和开放性:中间件技术应基于开放标准的体系,提供开发分布交易应用程序功能,可跨异构环境实现现有系统的互操作性。能支持多
种硬件和操作系统平台环境。
网络安全方面:
多层防火墙:根据用户的不同需求,采用多层高性能的硬件防火墙对客户托管的主机进行全面的保护。
异构防火墙:同时采用业界最先进成熟的 Cisco PIX 硬件防火墙进行保护,不同厂家不同结构的防火墙更进一步保障了用户网络和主机的安全

防病毒扫描:专业的防病毒扫描软件,杜绝病毒对客户主机的感染。
入侵检测:专业的安全软件,提供基于网络、主机、数据库、应用程序的入侵检测服务,在防火墙的基础上又增加了几道安全措施,确保用户
系统的高度安全。
漏洞扫描:定期对用户主机及应用系统进行安全漏洞扫描和分析,排除安全隐患,做到安全防患于未然。
CISCO PIX硬件防火墙运行在CISCO交换机上层提供了专门的主机上监视所有网络上流过的数据包,发现能够正确识别攻击在进行的攻击特征。
攻击的识别是实时的,用户可定义报警和一旦攻击被检测到的响应。此处,我们有如下保护措施:
全部事件监控策略 此项策略用于测试目的,监视报告所有安全事件。在现实环境下面,此项策略将严重影响检测服务器的性能。
攻击检测策略 此策略重点防范来自网络上的恶意攻击,适合管理员了解网络上的重要的网络事件。
协议分析 此策略与攻击检测策略不同,将会对网络的会话进行协议分析,适合安全管理员了解网络的使用情况。
网站保护 此策略用于监视网络上对HTTP流量的监视,而且只对HTTP攻击敏感。适合安全管理员了解和监视网络上的网站访问情况。
Windows网络保护 此策略重点防护Windows网络环境。
会话复制 此项策略提供了复制Telnet, FTP, SMTP会话的功能。此功能用于安全策略的定制。
DMZ监控此项策略重点保护在防火墙外的DMZ区域的网络活动。这个策略监视网络攻击和典型的互联网协议弱点攻击,例如(HTTP,FTP,SMTP,POP
和DNS),适合安全管理员监视企业防火墙以外的网络事件。
防火墙内监控 此项策略重点针对穿越防火墙的网络应用的攻击和协议弱点利用,适合防火墙内部安全事件的监视。
数据库服务器平台
数据库平台是应用系统的基础,直接关系到整个应用系统的性能表现及数据的准确性和安全可靠性以及数据的处理效率等多个方面。本系统对数
据库平台的设计包括:
数据库系统应具有高度的可靠性,支持分布式数据处理;
支持包括TCP/IP协议及IPX/SPX协议在内的多种网络协议;
支持UNIX和MS NT等多种操作系统,支持客户机/服务器体系结构,具备开放式的客户编程接口,支持汉字操作;
具有支持并行操作所需的技术(如:多服务器协同技术和事务处理的完整性控制技术等);
支持联机分析处理(OLAP)和联机事务处理(OLTP),支持数据仓库的建立;
要求能够实现数据的快速装载,以及高效的并发处理和交互式查询;支持C2级安全标准和多级安全控制,提供WEB服务接口模块,对客户端输出
协议支持HTTP2.0、SSL3.0等;支持联机备份,具有自动备份和日志管理功能。
二、信息安全保密管理制度
1、 信息监控制度:
(1)、网站信息必须在网页上标明来源;(即有关转载信息都必须标明转载的地址)
(2)、相关责任人定期或不定期检查网站信息内容,实施有效监控,做好安全监督工作;
(3)、不得利用国际互联网制作、复制、查阅和传播一系列以下信息,如有违反规定有关部门将按规定对其进行处理;
A、反对宪法所确定的基本原则的;
B、危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
C、损害国家荣誉和利益的;
D、煽动民族仇恨、民族歧视、破坏民族团结的;
E、破坏国家宗教政策,宣扬邪教和封建迷信的;
F、散布谣言,扰乱社会秩序,破坏社会稳定的;
G、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
H、侮辱或者诽谤他人,侵害他人合法权益的;
含有法律、行政法规禁止的其他内容的。
2、 组织结构:
设置专门的网络管理员,并由其上级进行监督、凡向国际联网的站点提供或发布信息,必须经过保密审查批准。保密审批实行部门管理,有关
单位应当根据国家保密法规,审核批准后发布、坚持做到来源不名的不发、为经过上级部门批准的不发、内容有问题的不发、的三不发制度。
对网站管理实行责任制
对网站的管理人员,以及领导明确各级人员的责任,管理网站的正常运行,严格抓管理工作,实行谁管理谁负责。
三、用户信息安全管理制度
一、 信息安全内部人员保密管理制度:
1、 相关内部人员不得对外泄露需要保密的信息;
2、 内部人员不得发布、传播国家法律禁止的内容;
3、 信息发布之前应该经过相关人员审核;
4、 对相关管理人员设定网站管理权限,不得越权管理网站信息;
5、 一旦发生网站信息安全事故,应立即报告相关方并及时进行协调处理;
6、 对有毒有害的信息进行过滤、用户信息进行保密。
二、 登陆用户信息安全管理制度:
1、 对登陆用户信息阅读与发布按需要设置权限;
2、 对会员进行会员专区形式的信息管理;
3、 对用户在网站上的行为进行有效监控,保证内部信息安全;
4、 固定用户不得传播、发布国家法律禁止的内容。
第一章 总 则 第二章 审批监督管理 第一节 基本管理 第二节 经营性互联网药品信息服务管理 第三节 非经营性互联网药品信息服务管理 第三章 罚 则 第四章 附 则 第一章 总 则 第一条 为加强药品监督管理,规范互联网药品信息服务业务,保障互联网药品信息的合法性、真实性、安全性,根据《互联网信息服务管理办法》、《中华人民共和国药品管理法》、《互联网药品信息服务管理暂行规定》和相关法律、法规的规定,制定本办法。 第二条 在北京市行政区域内从事互联网药品信息服务活动,包括北京市外的互联网药品信息服务提供者在北京市行政区域内设有服务器的,适用本规定。 本办法所称互联网药品信息服务,是指通过互联网向上网用户提供药品(包括医疗器械、卫生材料、医药包装材料)信息的服务活动。 第三条 互联网药品信息服务分为经营性和非经营性两类。 经营性互联网药品信息服务,是指通过互联网向上网用户发布药品广告、有偿提供药品信息等带来经济收益的服务。 非经营性互联网药品信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性药品信息的服务。 第四条 国家药品监督管理局对全国互联网站从事药品信息服务的活动实施监督管理。北京市药品监督管理局对北京市行政区域内互联网站从事药品信息服务的活动实施监督管理。 第二章 审批监督管理 第一节 基本管理 第五条 从事互联网药品信息服务,信息内容不得含有国家规定实行特殊管理的药品和医疗器械。 第六条 从事互联网药品信息服务,应当填写国家药品监督管理局统一制发的《从事互联网药品信息服务申请表》。 第七条 从事互联网药品信息服务的网站必须向药品监督管理部门公开可在线浏览的所有栏目和内容。 第八条 从事互联网药品信息服务,应在其网站主页显著位置标注互联网药品信息服务审批号或备案号。 第九条 在互联网上发布药品广告(含医疗器械)要严格按药品广告审查管理规定执行,药品广告审查批准文号要同时注明。 第十条 北京市药品监督管理局在接到国家药品监督管理局书面审核结果后,10日内以书面文件的形式通知申请单位。 第十一条 互联网药品信息服务提供者变更下列事项之一的,应提前30日向原审核机关或初审机关申请办理变更手续,填写《从事互联网药品信息服务项目变更申请表》(一式两份),有关项目变更审核的事宜同申请的审核要求。原审核机关或初审机关同意变更的,报国家药品监督管理局备案或审核。 (一)服务类别; (二)互联网药品信息服务提供者单位名称、地址、法定代表人、企业负责人、关键岗位专业人员、电话等基本项目; (三)网站名称、网站主服务器地址、域名、IP地址,以及其它服务器地址、域名、IP地址; (四)服务项目(含非收费栏目、收费栏目)和主要内容等。 第十二条 北京市药品监督管理局在受理变更企业申请30个日内作出是否同意变更的初审意见或决定,并以书面形式通知申请单位。同意变更的,报国家药品监督管理局审核或备案。 第二节 经营性互联网药品信息服务管理 第十三条 国家药品监督管理局对从事经营性互联网药品信息服务进行审核。北京市药品监督管理局对北京市行政区域内从事经营性互联网药品信息服务进行初审。 第十四条 从事经营性互联网药品信息服务,应当具备下列条件: (一)经营者为依法设立的公司或企事业单位; (二)有与开展经营活动相适应的资金、专业人员、设施及设备; (三)有提供长期服务的信誉或者能力; (四)有业务发展计划及相关技术方案; (五)有健全的网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度; (六)有两名以上熟悉药品管理法律、法规和药品专业知识的药学相关专业,具有初级以上专业技术职称,并经北京市药品监督管理局考核认可的专职专业人员;从事医疗器械信息服务,应有一名以上医疗器械相关专业,本科以上学历,熟悉医疗器械相关法规,并经北京市药品监督管理局法规培训并考核认可的专职专业人员; (七)具有相对稳定的合法药品信息来源,并有保证药品信息来源合法、真实、安全的管理措施; (八)具有对历史发布信息进行备份和查阅的能力,并制定、实施了相关管理制度。 第十五条 从事经营性互联网药品信息服务,应当向北京市药品监督管理局提出申请,并提交以下材料: (一)《从事互联网药品信息服务申请表》,一式四份; (二)从事经营性互联网药品信息服务的书面申请,一式两份; (三)企业营业执照复印件(新办企业提供工商行政部门出具的名称预核准通知书及相关材料),一式两份; (四)网站域名注册的相关证明文件,一式两份; (五)网站栏目设置说明(含收费标准),一式两份; (六)网站对历史发布信息进行备份和查阅的相关管理制度及执行情况说明,一式两份; (七)网站可在线浏览的所有栏目和内容对监督管理部门的公开方法及操作说明,一式两份; (八)组织机构图,一式两份; (九)法定代表人、企业负责人的人事任命书、身份证明、学历证明复印件及简历,一式两份; (十)全体人员登记汇总表(含姓名、出生年月、部门、职务、学历、专业等基本项目),一式两份; (十一)专职专业人员身份证明、学历证明复印件及简历,一式两份; (十二)企业培训计划及实施情况档案,一式两份; (十三)企业经营地址位置图、平面图,一式两份; (十四)企业经营房屋产权证明或租赁协议复印件,一式两份; (十五)专业仪器设备汇总表,一式两份; (十六)业务基本情况说明及相关证明材料,一式两份; (十七)业务发展计划及相关技术方案,一式两份; (十八)保证药品信息来源合法、真实、安全的管理措施,情况说明及相关证明,一式两份; (十九)北京市外的互联网药品信息服务提供者在北京设立服务器的,还应提供经营者相关证明文件及材料,一式两份; (二十)其他补充材料,一式两份。 第十六条 申请经营性互联网药品信息服务的,北京市药品监督管理局在受理之日起30日内做出是否初审通过的决定。初审通过的,由北京市药品监督管理局报国家药品监督管理局审核;初审未通过的,应当书面通知申请人并说明理由。 国家药品监督管理局按照有关规定对北京市药品监督管理局呈报的申请材料进行审核,并在30日内作出同意或不同意的决定。同意的,由国家药品监督管理局书面通知北京市药品监督管理局,由北京市药品监督管理局向申请人出具审核同意的文件;不同意的,应当书面通知北京市药品监督管理局并说明理由,由北京市药品监督管理局告知申请人。 第三节 非经营性互联网药品信息服务管理 第十七条 北京市药品监督管理局对从事非经营性互联网药品信息服务进行审核。国家药品监督管理局对从事非经营性互联网药品信息服务实行备案管理。 第十八条 非经营性互联网药品信息服务提供者不得从事有偿服务。 第十九条 从事非经营性互联网药品信息服务,除应当符合《互联网信息服务管理办法》规定的要求外,还应当具备下列条件: (一)经营者为依法设立的行政机关或社会团体或公司或企事业单位; (二)有与开展业务活动相适应的资金来源、专业人员、设施及设备; (三)有两名以上了解药品管理法律、法规和药品专业知识,并经北京市药品监督管理局考核认可的专业人员;从事医疗器械信息服务,有一名以上了解医疗器械管理法律、法规和专业知识,并经北京市药品监督管理局法规培训并考核认可的专职专业人员; (四)有保证药品信息来源合法、真实的管理措施。 第二十条 从事非经营性互联网药品信息服务,应当向北京市药品监督管理局提出申请,并提交以下材料: (一)《从事互联网药品信息服务申请表》,一式四份; (二)从事非经营性互联网药品信息服务书面申请,一式两份; (三)经营者设立证明或企业营业执照复印件(新办企业提供工商行政部门出具的名称预核准通知书及相关材料),一式两份; (四)网站域名注册的相关证明文件,一式两份; (五)网站栏目设置说明,一式两份; (六)网站对历史发布信息进行备份和查阅的相关管理制度及执行情况说明,一式两份; (七)网站可在线浏览的所有栏目和内容对监督管理部门的公开方法及操作说明,一式两份; (八)组织机构图,一式两份; (九)法定代表人、企业负责人的人事任命书、身份证明、学历证明复印件及简历,一式两份; (十)专职专业人员身份证明、学历证明复印件及简历,一式两份; (十一)经营地址位置图、平面图,一式两份; (十二)经营房屋产权证明或租赁协议复印件,一式两份; (十三)网站运营资金来源证明文件,一式两份; (十四)专业仪器设备汇总表,一式两份; (十五)业务基本情况说明及相关证明材料,一式两份; (十六)保证药品信息来源合法、真实的管理措施,情况说明及相关证明,一式两份; (十七)北京市外的互联网药品信息服务提供者在北京设立服务器的,还应提供经营者相关证明文件及材料,一式两份; (十八)其他补充材料,一式两份。 第二十一条 北京市药品监督管理局按照有关规定对申请非经营性互联网药品信息服务的单位提交的材料进行审核,并在30日内作出同意或不同意的决定。同意的,由北京市药品监督管理局出具审核同意的文件,同时报国家药品监督管理局备案;不同意的,应当书面通知申请人并说明理由。 第三章 罚 则 第二十二条 互联网药品信息服务提供者违反本办法,有下列情形之一的,由国家药品监督管理局或北京市药品监督管理局给予警告,责令限期改正;已取得从事互联网药品信息服务资格的,情节严重的,撤销其从事互联网药品信息服务资格,并商请信息产业主管部门等有关部门依照有关法律、法规的规定处罚: (一)未取得国家药品监督管理局或省、自治区、直辖市药品监督管理局审核同意,擅自从事互联网药品信息服务的; (二)非经营性互联网药品信息服务提供者提供有偿互联网药品信息服务的; (三)已取得国家药品监督管理局或省、自治区、直辖市药品监督管理局审核同意,但超出审核同意的范围提供互(四)提供不真实互联网药品信息并造成社会影响的; 第二十三条 互联网药品信息服务提供者在其业务活动中,违反其他有关药品的法律、法规的,由国家药品监督管理局或北京市药品监督管理局依照有关法律、法规的规定处罚。 第四章 附 则 第二十四条 本办法下列用语的含义是: 本办法所称"日",除特别说明的均为自然日。 经营性互联网药品信息服务,通常为设有收费信息栏目、发布药品广告等从事有偿服务的。 非经营性互联网药品信息服务,通常为政府上网工程、企事业单位公益型网站、企业自身业务宣传的网站等。 药学相关专业,指各种药学,医学、化学、生物专业。 医疗器械相关专业,指理工科相关专业。 第二十五条 从事互联网药品信息服务,拟提供网上药品交易服务的,应按照有关规定另行向国家药品监督管理局提出专项申请。 第二十六条 本办法公布前从事互联网药品信息服务的,应当于本办法公布之日起20个工作日内,依照本规定补办审核手续。 第二十七条 本办法由北京市药品监督管理局负责解释。 第二十八条 本办法自公布之日起试行。
声明:你问我答网所有作品(图文、音视频)均由用户自行上传分享,仅供网友学习交流。若您的权利被侵害,请联系fangmu6661024@163.com