第五章 网络直报条件及保障措施
5.1 硬件配置
(1)国家疾病预防控制中心:在现阶段建设的国家公共卫生信息网络平台的基础上,按照平台建设的内容要求、建设原则和技术路线,兼顾国家卫生信息化中长期发展规划,有计划、按步骤实施网络平台的硬件设备装备和升级,确保传染病信息直报等系统的安全、稳定运行和持续发展。
(2)省级疾病预防控制中心:建立省级疾病预防控制局域网络平台及虚拟专网(VPN),装配网络安全设备保证疾病预防控制信息的安全传输。至少应配备的主要网络硬件设施有:路由器、交换机、防火墙、VPN设备、WEB服务器、数据库服务器、其他应用服务器、数据阵列存储设备等,以及其他安全设备,并保证足够的出口带宽及设备冗余,避免单点故障。同时,配备可无线上网的专用笔记本电脑和无线上网卡,用于网络直报管理及维护。
(3)设区的市级疾病预防控制中心:建立市级疾病预防控制局域网络平台及虚拟专网(VPN),配备必要的网络设备、安全设施保证疾病预防控制信息的安全传输,传染病疫情信息实现VPN接入,有条件的地区建议采用网关到网关接入方式。至少应配备的主要网络硬件设施有:防火墙、交换机、VPN设备。同时,配备可无线上网的专用笔记本电脑和无线上网卡,用于网络直报管理及维护。
(4)县区疾病预防控制中心:建立县区级疾病预防控制局域网络平台及虚拟专网(VPN),应配备网络直报专用计算机、激光打印机及上网设备、长延时UPS、普通纸激光传真机、长途电话等配套设备。有条件的县区可参照设区的市级标准装配。至少应配备的主要网络硬件设施有:防火墙、交换机、VPN设备。同时,配备可无线上网的专用笔记本电脑和无线上网卡,用于网络直报管理及维护。
(5)责任报告单位:配备网络直报专用计算机及上网设备、UPS等配套设备,通过所属辖区疾病预防控制中心接入VPN网络登陆直报信息系统。不具备网络直报条件的县(区)级以下的责任报告单位,建议配备传真机或以其它最快方式,将传染病报告卡报送属地县(区)级疾病预防控制中心。
5.2 人员要求
(1)责任报告单位的网络报告管理人员:具备计算机基本操作技能且熟悉传染病疫情管理和网络直报业务,具备培训指导医务人员开展传染病疫情报告工作的能力。
(2)县级疾病预防控制中心:传染病网络直报管理人员:具备公共卫生、流行病学或相近专业,能结合网络直报信息分析本辖区传染病疫情的发生和流行情况,熟悉计算机操作和文字处理,具备培训指导辖区内医疗机构开展传染病疫情报告和管理工作的能力。建议设置网络管理岗位,熟悉网络基本维护、能完成本级VPN网络的管理和运维。
(3)设区的市级疾病预防控制中心:①传染病网络直报管理人员:具备公共卫生、流行病学或相近专业,能结合网络直报信息分析本辖区传染病疫情的发生和流行情况,能熟练使用计算机,具有指导和培训下级疾病预防控制中心及医务人员开展传染病疫情报告和管理的能力。②网络管理人员:负责管理和维护本级疫情信息网络平台和VPN网络,负责对县级疾病预防控制机构疫情网络直报人员计算机技术的指导和培训,保障网络的快速通畅和信息安全。
(4)省疾病预防控制中心:①传染病信息监测及分析人员:具备公共卫生、流行病学或相近专业,较系统地掌握流行病学理论,具备一定的传染病疫情管理经验,能较系统地使用计算机分析和处理疫情信息,对重大疾病流行趋势进行监测和预测预警,具备指导和培训下级疾病预防控制中心及责任报告单位业务人员开展传染病疫情报告、管理和分析工作的能力。②网络管理人员:负责管理和维护省级疫情信息网络平台和VPN网络,保障网络的快速通畅和信息安全,负责对设区的市级疾病预防控制机构的网络管理人员进行技术指导和培训。
(5)各单位应根据工作性质和工作量安排一定数量工作人员,并制定相关工作人员的工作职责。
5.3 网络接入
各级疾病预防控制中心应做好网络接入与网络安全管理工作,按照中国疾病预防控制中心下发的《网络安全管理指南》等相关要求,建立机构、落实经费、指定专人,制订相关制度与办法,遵照执行。
第六章 中国疾病预防控制信息系统网络安全管理指南(试行)
6.1 总则
(1)为加强中国疾病预防控制信息系统网络(以下简称“中国疾控信息网”)的安全管理工作,根据国家信息安全的相关法律和法规,结合中国疾控信息网建设和运行的实际情况,制定本管理指南。
(2)中国疾控信息网是指由中国疾病预防控制中心统一规划,以中国疾病预防控制中心为中心节点,专用于中国疾病预防控制信息系统使用的裸光纤、数字电路(SDH)、虚拟专网(VPN)等与互联网隔离(含逻辑隔离)的计算机信息网络的总称。
(3)中国疾控信息网由国家-省(直属单位、挂靠单位)间网络和省级及省级以下网络两部分组成。本指南适用于各级各类建设、运维、接入和管理中国疾控信息网的单位(以下简称“接入单位”)。包括使用中国疾病预防控制中心相关重要信息系统的各省级疾病预防控制中心及中国疾病预防控制中心直属各单位、相关挂靠单位等接入单位。
(4)中国疾控信息网遵循“统一规划、分级建设、协同运营”的原则,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,分级管理、责任到人。各级疾控信息网接入单位负责本级(本单位)疾控信息网安全管理工作。
(5)省级及省级以下中国疾控信息网接入单位的中国疾控信息网管理,可由省级疾病预防控制中心根据本地区特点,遵照本指南制定本地区相关管理办法报中国疾病预防控制中心审核后执行,并在实际运行中不断完善。
(6)在中国疾控信息网上运行的各业务应用系统的运维和管理部门参照本指南的相关条款另行制订专门的信息系统安全管理办法并执行。
(7)各级中国疾控信息网接入单位在进行中国疾控信息网规划、设计和建设时应同步做好安全保障,并落实好运行维护管理中的安全检查、等级测评和风险评估等经费。
(8)任何单位和个人,不得利用中国疾控信息网从事危害国家利益、集体利益和公民合法权益的活动,不得危害中国疾控信息网的安全。
(9)国家信息系统安全等级保护第三级相关标准和要求,均适用于中国疾控信息网的管理,并以国家标准为准。
6.2机构与职责
(1)中国疾控信息网安全管理工作实行领导负责制,各中国疾控信息网接入单位应落实一名主要领导负责网络安全工作。
(2)中国疾病预防控制中心是中国疾控信息网的主管部门,负责中国疾控信息网的规划建设、技术支持指导和组织协调等工作。主要职责包括:
①贯彻执行国家信息安全的相关法律和法规,指导、协调和规范中国疾控信息网安全工作;
②组织制定和修订中国疾控信息网安全总体规划、IP地址规划、安全策略、标准规范和各项管理制度;
③接受上级网络安全主管部门指导,向有关部门报告中国疾控信息网网络安全重大事件;
④组织中国疾控信息网信息安全等级保护工作,组织开展信息安全自查、检查和风险评估,对全网安全运行状况进行分析、研判和通报;
⑤负责国家级中国疾控信息网的网络与信息安全管理工作,与省级疾病预防控制中心、直属单位、挂靠单位共同管理国家-省(直属单位、挂靠单位)间的中国疾控信息网系统;
⑥制定国家级中国疾控信息网安全应急预案,组织开展应急演练;
⑦组织信息安全宣传、教育和培训。
(3)各省级疾病预防控制中心根据总体规划与要求分级建设省级及省级以下各级节点的中国疾控信息网。各省级疾病预防控制中心、中心直属单位、挂靠单位等中国疾控信息网节点应设立中国疾控信息网使用管理机构和管理岗位,指定专人负责承担中国疾控信息网的设备管理、用户管理、安全管理等方面的工作。
(4)省级疾病预防控制中心需根据业务应用需求,及时升级和扩容省级及省级以下中国疾控信息网,提升稳定性与兼容性,满足各级各类用户的使用需求。在升级和扩容网络系统时,应遵循全国疾病预防控制系统IP地址规划,统一部署,确保互联互通。
(5)各省级疾病预防控制中心、中心直属单位、挂靠单位应根据中国疾控信息网应用需求和网络安全现状,参照本指南第十条,制定适应本地区、本单位的中国疾控信息网维护管理制度。
6.3网络安全管理
(1)国家-省(直属单位、挂靠单位)间中国疾控信息网执行信息安全等级保护第三级的安全要求,包括物理层、链路层、网络层、传输层、会话层、表示层和应用层。
(2)各级中国疾控信息网单位都要开展网络安全监控工作,及时发现、定位、分析、控制安全事件,定期向上一级管理部门汇报网络安全状况。加强安全审计工作,审计记录的保存时间不少于3个月。
(3)各级中国疾控信息网单位都要加强终端安全管理,必须安装计算机防病毒系统并及时更新补丁。业务应用系统在接入中国疾控信息网前,应按照信息安全等级保护的要求,通过安全检查和风险评估。
(4)各级中国疾控信息网单位都应组织制定本级中国疾控信息网网络与信息安全应急预案并定期开展应急演练。
6.4接入管理
(1)中国疾控信息网以中国疾病预防控制中心为中心节点,各省疾病预防控制中心、中心直属单位等二级机构直连中国疾病预防控制中心节点。省级疾病预防控制中心至少需要有两条或两条以上的线路到中心节点。
(2)各省疾病预防控制中心、直属单位等二级机构应保证与其业务应用相适应的网络带宽,原则上各级到中心的主线路不低于50M独享,确需与单位上网共享时,需要适当增加总带宽,并保留足够带宽。
(3)中国疾病预防控制中心负责建设的信息安全等级保护三级的信息系统,须使用中国疾控信息网接入。
(4)中国疾病预防控制中心负责国家级用户的中国疾控信息网接入管理,各省级疾病预防控制中心负责省级及省级以下各级接入单位的中国疾控信息网接入管理。
(5)各省级疾病预防控制中心可根据本地区特点,进一步细化省级及省级以下中国疾控信息网的接入审批制度,并严格执行。
(6)使用基于互联网的虚拟专网接入,在每次用户登录系统时,需要采用受中国疾病预防控制中心或省级疾病预防控制中心安全管理中心控制的口令、数字证书、实名手机短信以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。用户口令密码需要符合复杂度要求。中国疾控信息网的接入终端, 使用客户端方式启动虚拟专网后禁止同时访问互联网资源。
6.5运行维护
(1)中国疾病预防控制中心负责国家-省(中心直属单位、挂靠单位)间中国疾控信息网的设备配置实施与调整。各单位在维护国家-省(直属单位、挂靠单位)间中国疾控信息网的设备时,应至少提前2个工作日,书面或通过协同办公系统告知中国疾病预防控制中心及各相关单位,未经许可不得擅自更改国家-省(中心直属单位、挂靠单位)间中国疾控信息网的设备配置。中国疾病预防控制中心在维护国家-省(中心直属单位、挂靠单位)间中国疾控信息网的设备时,涉及影响省级疾病预防控制中心(中心直属单位、挂靠单位)访问中国疾控信息网的,应提前2个工作日,书面或通过协同办公告知各相关单位。遇有紧急情况调整或中断处理时,应在处理后及时告知,事后完成相关登记。
(2)省级及省级以下各级接入单位的中国疾控信息网的接入设备与线路状况监控由各省级疾病预防控制中心负责。
(3)国家-省(直属单位、挂靠单位)间中国疾控信息网要求不间断运行。各级中国疾控信息网单位应采取切实可行的措施及时处理各类告警和故障。
(4)中国疾控信息网各接入单位应当按照信息系统安全等级保护三级的要求,负责组织在本级中国疾控信息网开展定期或不定期的网络与信息安全自查与风险评估,配合上级单位做好本级中国疾控信息网的信息安全检查和风险评估工作。
(5)加强各级中国疾控信息网单位人员的信息安全教育,增强其信息安全意识。定期对从事信息安全工作人员开展专业技术培训,提高信息安全技能。
(6)建立信息安全考核机制,定期对各级中国疾控信息网接入单位开展信息安全考核,重点考核信息安全等级保护涉及的信息安全风险评估、安全测评、安全应急预案管理等工作落实情况。