《医院网络安全检查总结报告 篇4.docx》由会员分享,可在线阅读,更多相关《医院网络安全检查总结报告 篇4.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、医院网络安全检查总结报告篇4我院在接到贵单位发来的信息系统安全等保限期整改 通知书后,院领导高度重视,责成信息科按照要求进行整 改,现在整改情况报告如下。一、我院网络安全等级保护工作概况根据上级主管部门和行业主管部门要求,我院高度重视 并开展了网络安全等级保护相关工作,工作内容主要包含信 息系统梳理、定级、备案、等级保护测评、安全建设整改等。 我院目前运行的主要信息系统有:综合业务信息系统。综合 业务信息系统是商城县人民医院核心医疗业务信息系统的 集合,系统功能模块主要包括医院信息系统(HIS)、检验 信息系统(LIS)、电子病历系统(EMRS)、医学影像信息 系统(PACS),其中医院信息系
2、统(HIS)、检验信息系统 (LIS)、电子病历系统(EMRS)由福建弘扬软件股份有限 公司开发建设并提供技术支持,医学影像信息系统(PACS) 由深圳中航信息科技产业股份有限公司开发建设并提供技 术支持。我院已于20xx年11月完成了综合业务信息系统的定级、 备案、等级保护测评、专家评审等工作,系统安全保护等级 为第二级(S2A2G2),等级保护测评机构为河南天祺信息安 全技术有限公司,等级保护测评结论为基本符合,综合得分 为76. 02分。在测评过程中,信息科已根据测评人员建议对 能够立即整改的安全问题进行了整改,如:服务器安全加固、 访问控制策略调整、安装防病毒软件、增加安全产品等。目
3、前我院正在进行门户网站的网络安全等级保护测评工作。二、安全问题整改情况此次整改报告中涉及的信息系统安全问题是我院于 20xx年11月委托河南天祺公司对医院信息系统进行测评反 馈的内容,主要包括应用服务器、数据库服务器操作系统漏 洞和Oracle漏洞等。针对应用服务器系统漏洞,我院及时 与安全公司进行沟通,沟通后通过关闭部分系统服务和端口, 更新必要的系统升级包等措施进行了及时的处理。针对 Oracle数据库存在的安全漏洞问题,我们与安全公司和软件 厂商进行了沟通,我院HIS系统于20xx年底投入使用,数 据库版本为Oracle 11g,投入运行时间较早,且部署于内网 环境中未及时进行漏洞修复。
4、经过软件开发厂商测试发现修复Oracle数据库漏洞会 影响HIS系统正常运行,并存在未知风险,为了既保证信息 系统安全稳定运行又降低信息系统面临的安全隐患,我们主 要采取控制数据库访问权限,切断与服务器不必要的连接、 限制数据库管理人员权限等措施来降低数据库安全漏洞造 成的风险。具体措施为:第一由不同技术人员分别掌握数据 库服务器和数据库的管理权限;第二数据库服务器仅允许有 业务需求的应用服务器连接,日常管理数据库采用本地管理 方式,数据库不对外提供远程访问;第三对数据库进行了安 全加固,设置了强密码、开启了日志审计功能、禁用了数据 库默认用户等。我院高度重视网络安全工作,医院网络中先后配备了
5、防 火墙、防毒墙、入侵防御、网络版杀毒软件、桌面终端管理 等安全产品,并正在采购网闸、堡垒机、日志审计等安全产 品,同时组建了医院网络安全小组,由三名技术人员负责网 络安全管理工作,使我院网络安全管理水平大幅提升。“没有网络安全,就没有国家安全”。作为全县医疗救 治中心,医院始终把信息网络安全和医疗安全放在首位,不 断紧跟医院发展和形势需要,科学有效地推进网络安全建设 工作,并接受各级主管部门的监督和管理。医院网络安全检查总结报告 篇5接到关于印发XX市卫生行业网络与信息安全检查行 动工作方案的通知的通知后,我院领导高度重视,立即 召开相关科室负责人会议,深入学习和认真贯彻落实文件精 神,充分
6、认识到开展网络与信息安全自查工作的重要性和必 要性,对自查工作做了详细部署,由主管院长负责安排、协 调相关检查部门、监督检查项目,由信息科负责具体检查和 自查工作,并就自查中发现的问题认真做好相关记录,及时 整改,完善。长期以来,我院在信息化建设过程中,一直非常重视网 络与信息安全工作,并采取目前国内较先进的安全管理规范、 有效的安全管理措施。自8月21日起,全院开展网络与信 息安全工作自查,根据互联网安全和院内局域网安全的相应 特点,逐项排查,消除安全隐患,现将我院信息安全工作情 况汇报如下。一、网络安全管理:我院的网络分为互联网和院内局域网,两网络实现物理 隔离,以确保两网能够独立、安全、
7、高效运行。重点抓好“三 大安全”排查。1 .硬件安全,包括防雷、防火、防盗和UPS电源连接等。 医院HIS服务器机房严格按照机房标准建设,工作人员坚持 每天巡查,排除安全隐患。HIS服务器、多口的交换机、路 由器都有UPS电源保护,可以保证短时间断电情况下,设备 运行正常,不至于因突然断电导致设备损坏。此外,局域网 内所有计算机USB接口实行完全封闭,这样就有效地避免了 因外接介质(如U盘、移动硬盘)而引起中毒或泄密的发生。2 .网络安全:包括网络结构、密码管理、IP管理、互联 网行为管理等;网络结构包括网络结构合理,网络连接的稳 定性,网络设备(交换机、路由器、光纤收发器等)的稳定 性。HI
8、S系统的操作员,每人有自己的登录名和密码,并分 配相应的操作员权限,不得使用其他人的操作账户,账户实 行“谁使用、谁管理、谁负责”的管理制度。互联网和院内 局域网均实行固定IP地址,由医院统一分配、管理,不允 许私自添加新IP,未经分配的IP均无法实现上网。为保障 医院互联网能够满足正常的办公需要,通过路由器对于P2P 等应用软件进行了屏蔽,有效地阻止了有人利用办公电脑在 上班期间在线看视频、玩游戏等,极大地提高了互联网的办 公利用率。二、数据库安全管理:我院目前运行的数据库为金卫HIS数据库,是医院诊疗、 划价、收费、查询、统计等各项业务能够正常进行的基础, 为确保医院各项业务正常、高效运行
9、,数据库安全管理是极 为有必要的。数据库系统的安全特性主要是针对数据的技术 防护而言的,包括数据安全性、并发控制、故障恢复、数据 库容灾备份等几个方面。我院对数据安全性采取以下措施: (1)将数据库中需要保护的部分与其他部分相隔。(2)采用授权规则,如账户、口令和权限控制等访问控 制方法。(3)对数据进行加密后存储于数据库;如果数据库应用 要实现多用户共享数据,就可能在同一时刻多个用户要存取 数据,这种事件叫做并发事件。当一个用户取出数据进行修 改,在修改存入数据库之前如有其他用户再取此数据,那么 读出的数据就是不正确的。这时就需要对这种并发操作施行 控制,排除和避免这种错误的发生,保证数据的
10、正确性;数 据库管理系统提供一套方法,可及时发现故障和修复故障, 从而防止数据被破坏。数据库系统能尽快恢复数据库系统运 行时出现的故障,可能是物理上或是逻辑上的错误。比如对 系统的误操作造成的数据错误等;数据库容灾备份是数据库 安全管理中极为重要的一部分,是数据库有效、安全运行的 最后保障,也是保障数据库信息能够长期保存的有效措施。 我院采用的备份类型为完全备份,每天凌晨备份整个数据库, 包含用户表、系统表、索引、视图和存储过程等所有数据库 对象。在备份数据的过程中,主、从服务器正常运行,各客 户端的业务能正常进行,也即是热备份。三、软件管理:目前我院在运行的软件主要分为三类:HIS系统、常用
11、 办公软件和杀毒软件。HIS系统是我院日常业务中最主要的 软件,是保障医院诊疗活动正常进行的基础,自20xx年上 线以来,运行很稳定,未出现过重大安全问题,并根据业务 需要,不断更新充实。对于新入职的员工,上岗前会进行一 次培训,向其讲解HIS系统操作流程、规范,也包括安全知 识,确保其在使用过程中不会出现重大安全问题。常用办公 软件均由医院信息科统一安装,维护。杀毒软件是保障电脑 系统防病毒、防木马、防篡改、防瘫痪、防攻击、防泄密的 有效工具。所有电脑,均安装了正版杀毒软件(瑞星杀毒软 件和360安全卫士),并定期更新病毒库,以保证杀毒软件 的防御能力始终保持在很高的 水平。四、应急处置:我
12、院HIS系统服务器运行安全、稳定,并配备了大型UPS 电源,可以保证大面积断电情况下,服务器坚持运行八小时。 虽然医院的HIS系统长期以来,运行良好,服务器未发生过 长时间宕机时间,但医院仍然制定了应急处置预案,并对收 费操作员和护士进行过培训,如果医院出现大面积、长时间 停电情况,HIS系统无法正常运行,将临时开始手工收费、 记账、发药,以确保诊疗活动能够正常、有序地进行,待到 HIS系统恢复正常工作时,再补打发票、补记收费项目。总体来说,我院的网络与信息安全工作做得很成功的, 从未发生过重大的安全事故,各系统运转稳定,各项业务能 够正常运行。但自查中也发现了不足之处,如目前医院信息 技术人员少,信息安全力量有限;信息安全意识还不够,个 别科室缺乏维护信息安全的主动性和自觉性。今后要加强信 息技术人员的培养,更进一步提高信息安全技术水平;加强 全院职工的信息安全教育,提高维护信息安全的主动性和自 觉性;加大对医院信息化建设投入,提升计算机设备配置, 进一步提高工作效率和系统运行的安全性。经过了为期一周的自查工作,我院充分意识到安全工作 是一个需要常抓不懈的工程,同时要不断创新,改变旧有的 管理方法和理念,以适应新形势下的安全管理需要。