超权限整改
⑴ 当当等16款APP侵害用户权益的处罚是什么
5月15日,工信部发布公告称,近期组织第三方检测机构对手机应用软件进行检查,对发现存在问题的企业进行督促整改。截至目前,尚有包括知乎日报、当当、e代驾、店长直聘在内的16款APP未完成整改。工信部要求上述APP在5月25日前完成整改落实工作,逾期不整改的,将依法依规组织开展相关处置工作,具体处罚暂未公布。
(1)超权限整改扩展阅读:
据通报,当当,所属公司:北京当当网信息技术有限公司,存在私自收集个人信息、超范围收集个人信息、不给权限不让用等问题。
知乎日报,所属公司:北京智者天下科技有限公司,存在私自收集个人信息的问题。
e代驾,所属公司:北京亿心宜行汽车技术开发服,存在私自收集个人信息、私自共享给第三方、强制用户使用定向推送功能、过度索取权限等问题。
好医生,所属公司:北京健康在线技术开发有限公司,存在私自收集个人信息、强制用户使用定向推送功能的问题。
千千音乐,所属公司:深圳太乐文化科技有限公司,存在私自收集个人信息、超范围收集个人信息、不给权限不让用等问题。
大街,所属公司:北京大杰致远信息技术有限公司,存在私自收集个人信息、超范围收集个人信息、过度索取权限、账号注销难等问题。
⑵ 计算机信息系统安全隐患告知书 怎么整改
一、前言
信息时代的曙光照亮了各行各业的新发展前景,医疗体系也因信息时代的变革发生了翻天覆地的变化。HIS系统的运用打破了原来手工操作的旧格局。开创了计算机运行的新局面。我院自运行了HIS系统以来,计算机网络信息系统已经渗透到医院的方方面面,工作效率大幅度提升,计算机网络信息系统已经越来越无法替代。可想而知,一旦系统瘫痪,手 操作的效率无法与之相比,势必造成业务秩序混乱,患者长久等候的现象,不但医院的形象大大折扣,所带来的经济损失也无法估 。因此,做好医院计算机网络信息系统的安全维护工作已成为首要任务。如何防范计算机网络信息系统的安全隐患,保障系统的正常运行是噬待解决的问题之~ 。
二、医院计算机网络信息系统的“内忧外患”
1.由外部原因引起的安全隐患。
(1)自然灾害:机房易受火灾、水灾、风暴、地震、雷击等自然灾害和温度、湿度、静电、电磁干扰、污染等自然环境的影响。
(2)夕}部计算机病毒攻击:特指来自医院外部的病毒攻击。主要包括通过网络进行系统软件的更新、升级时的非法闯入者;或以获取有价值信息来达到商业目的、贩卖医院信息获得利润、盗取密码非法牟利为目的的间谍行为。此种病毒的攻击一般表现为.在系统中插入破坏计算机功能、毁坏数据、窃取数据,影响计算机使用并能自我复制的一组命令或代码。
(3)外部人员攻击:某些非法用户胃用合法身份登录系统,查看、修改、破坏、删除机密信息,破坏系统运行,占用大量系统资源。
2.由外部原因引起的安全隐患。
(1)操作系统漏洞:操作系统是信息系统的核心,是使用计算机的基础工具。因而,操作系统安全控制中的关键技术措施,往往成为危害计算机安全的手段和环节。主要包括未及时更新系统漏洞补丁、开启不必要的服务、管理员口令设置不正确、默认共享漏洞。
(2)网络系统的原因:网络是应用程序的入口点,它提供了第一层网关守卫,控制对系统中各种服务器的访问。主要包括来自交换机、路由器、集线器、综合布线、防火墙等方面的威胁。在使用交换机、路由器、集线器等网络设备时,攻击者往往寻找配置不良的网络设备加以利用。常见漏洞包括脆弱的默认安装设置、门户大开的访问控制以及未进行修补的设备。在医院的综合布线过程中大量的设备和线路暴露在外,成为网络系统的脆弱环节,随时可能发生搭线、远程监控和线路破坏等事件。有漏洞防火墙也不再万无~ 失,防火墙虽然提高了网络信息系统的安全性,但也很难防范某些偷偷越过防火墙的外部网络攻击行为。
(3)数据库的脆弱性:数据库是计算机应用系统中的一种专门管理数据库资源的系统。数据库上存放着医院大量的数据资源,在海量的数据信息因为数据库的产生而变得更加容易管理和使用的同时,数据库也是最容易受到安全威胁的脆弱环节。硬件故障、软件故障、网络故障、系统故障和不法分子的攻击均会影响数据库系统的操作,改变数据库中数据的正确性,甚至破坏数据库,使数据库中全部或部分数据丢失,整个系统都将处于瘫痪状态。
4.杀毒软件的局限性:由于杀毒软件自身也是程序,任何程序都会存在漏洞缺陷,所以杀毒软件中存在漏洞也在所难免,一些杀毒软件甚至会被病毒狙杀。由于杀毒软件采用特征检测手段去查杀病毒,那么病毒体特征码只要稍作变动或更新,就可以大摇大摆地躲过杀毒软件的扫描。
5内部人员引起的安全隐患:医院的客户端计算机的数量庞大,操作者的计算机技能也良莠不齐,因此在系统运行中的误操作自然无法避免。再有院内某些客户端的操作者违规在计算机上自行复制、安装软件、图像、文档资料,不仅给计算机硬件系统的维护带来了不小的负担,更对病毒的防控工作带来了很大的难度。还有某些人员的保密意识不强,没有做好重要数据、账号和密码的保密T作。
6.管理中存在疏漏:医院存在计算机网络信息系统管理中缺乏领导的足够重视,人员培训不足,管理制度和管理技术手段的不健全等方面的疏漏。
三、医院针对存在的隐患采取的防范措施
1对硬件系统实行的安全防范措施。
(1)机房环境控制:位置安全,建筑物抗震能力强。
采用高架防静电地板,室内防火窗,有充足的供电设备、消防和防雷装置。温度:18-23摄氏度,湿度:55%至65%左右,空气洁净度高。
(2)机房配备大型UPS系统,部分客户端配备小型UPS电源。
(3)N络设备管理:对网络信息系统中的所有设备进行登记备案,必要时编写标签,周期性查看和维护,随时更新、升级配置文件,并做好相应记录。检查网线及捕头,防止网线松动、老化、 损坏等现象的发生。
(4)Jlt~务器管理:服务器应放在带有监控器的安全房问内,机箱、键盘上锁。在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。去掉所有的plicate user帐户,测试用帐户,共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不再使用的帐户。
创建2个管理员用帐号,把系统administrator帐号改名,并创建一个陷阱帐号。把共享文件的权限从”ev—er~one”组改成“授权用户”。使用安全密码 设置屏幕保护密码 使用NTFS格式分区 运行防毒软件。建立服务器.日志:采用RAID。
(5)客户端计算机管理:设置受限用户,必须用受限用户登录系统。拆除光驱、软驱,屏蔽USB端口,禁止使用外接设备。用密码控制计算机共享。IP地址与MAC地址绑定。操作系统及时打补丁,并将所有客户端计算机进行唯一性命名并登记。安装统一杀毒软件,每天查杀病毒,经常更新杀毒软件。安装远程控制软件,对客户端计算机进行实时监控。使用屏幕保护,避免操作中因数据的暴露而外泄。
2.对软件系统实行的安全防范措施。
f1)操作系统管理:安装正版操作系统并打好补丁。
设置屏幕保护,防止数据长久暴露于桌面。建立多个磁盘分区,分别存放操作系统、应用程序、重要业务数据。
删除多余服务及网络协议。关闭不必要端口和默认共享。锁定注册表。
f2)网络管理:将运行医院信息系统的内网与互联网完全的隔开,不允许在内网中运行的计算机与互联网连接。
(3)杀毒软件管理:安装正版杀毒软件,定期升级,保证病毒库为最新,必要时可安装辅助杀毒工具,针对流行的某个新型病毒进行查杀。打开杀毒软件的实时监控功能。下载后的升级文件也必须先杀毒后使用。最好搭建一个与现行系统环境相同的测试环境。先将升级文件在测设环境中测试,可正常运行后,再将升级文件在现行系统中应用。
(4)数据库维护:我院采用Oracle数据库,应做好用户角色和密码保护工作,特别强调对SYS和SYSTEM两个特殊账户的保密管理,加强网络上的DBA权限控制,如拒绝远程的DBA访问等。DBA应经常查看警告、日志文件监控,定期检查日志文件,及时发现问题解决问题。随时整理数据库空间的碎片及可用空间。定期查看数据库的连接情况,清理不必要的连接。检查网络服务和硬件运行是否正常。严格执行周期性的数据库脱机异地备份,制定完善的数据库恢复预案。建立Oracle的审计机制。完善数据库参数的设置及字段属性的定义。做好字典的维护工作。
5.保密措施。
身份识别:用户请求取得系统合法身份时。需向管理员申请。用户向计算机请求服务.应输入自己的身份(UserID)和密码,系统验证用户的输入,并判别用户是否合法。用户的身份具有唯一性,密码不可过于随意或简单,能定期更换密码。
权限控制:对各级用户制定严格的操作权限。例如,区分查询、操作、删除等操作的用户权限;分别设立管理员、院领导、科室主任、护士长、一般操作者的用户权限;各个科室用户只能操作与本科室工作相关的系统模块。
重视信息垃圾:注意各类打印文件和数据报表的保管.对于需要丢弃的文件及时销毁,防止数据外泄。
对废弃的硬件存储设备进行数据销毁。
6.安全制度的建立建全与人员的教育培训:首先要得到相关领导的高度重视。制定健全的安全管理体制。
细化安全管理规章制度,加大网络信息安全规范化管理力度,强化安全技术建设。其次要做好专业计算机维护人员的进修工作,保证专业维护人员掌握最新的网络信息技术。大力加强专业计算机维护人员的安全防范意识。再次要做好所有计算机操作人员的安全培训。
对计算机操作人员施行人事、组织、操作控制。减少误操作和差错率,并进行相应的考核。
四、结束语
医院网络信息系统的安全工作是一项整体而繁杂的丁作,需在网络硬件及环境、软件和数据、网际通信等不同层次上实施一系列不尽相同的保护措施。因此要时时提高警惕,防危堵漏.将管理手段和技术手段相结合,保证医院网络信息系统的安全运行,让医院网络信息系统为医院的发展发挥更好的作用。
⑶ 安全事故的防范有哪些措施
安全事故防范的主要措施为:
1、落实安全责任、实施责任管理, 建立、完善以项目经理为第一责任人的安全生产领导组织,承担组织、领导安全生产的责任并建立各级人员的安全生产责任制度,明确各级人员的安全责任,抓责任落实、制度落实。
2、安全检查是发现危险源的重要途径,是消除事故隐患,防止事故伤害,改善劳动条件的重要方法。
3、作业标准化 。按科学的作业标准,规范各岗位、各工种作业人员的行为,是控制人的不安全行为,防范安全事故有效措施。
4、生产技术与安全技术在保证生产顺利进行、实现效益这一共同基点上是统一的,体现出“管生产必须同时管安全”的管理原则和安全生产责任制的落实。
(3)超权限整改扩展阅读
安全事故的防范要求
1、先要增强各级领导和有关人员以及职工的责任心,特别是要防止对待安全工作或冷或热、时紧时松的认识,在思想上始终绷紧“安全”这根弦,坚持警钟长鸣、常抓不懈。
2、其次要严格执行法律法规和各项规章制度,把责任落到实处,只有层层落实安全生产责任制,才能及时发现缺陷、消除隐患。