前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全檢查報(bào)告主題范文,僅供參考,歡迎閱讀并收藏。
一、2020年度網(wǎng)絡(luò)安全檢查工作組織開展情況
一、統(tǒng)一思想認(rèn)識(shí),提高政治站位。迅速召開專題會(huì)議,傳達(dá)學(xué)習(xí)財(cái)政部網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室《關(guān)于地方財(cái)政部門進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全暨開展2020年網(wǎng)絡(luò)安全檢查的通知》文件精神,并對(duì)網(wǎng)絡(luò)安全工作作出了重要指示和部署。
二、加強(qiáng)統(tǒng)一領(lǐng)導(dǎo),落實(shí)安全責(zé)任。為進(jìn)一步加強(qiáng)對(duì)網(wǎng)絡(luò)安全檢查自查工作的組織領(lǐng)導(dǎo),成立了由局黨組書記、局長吳冰同志為組長,各黨組成員為副組長的自查工作領(lǐng)導(dǎo)小組,負(fù)責(zé)網(wǎng)絡(luò)安全檢查自查工作安排部署,嚴(yán)格對(duì)照核查內(nèi)容和工作要求,認(rèn)真開展了自查工作。
三、加強(qiáng)督查督導(dǎo),確保整改到位。結(jié)合我縣財(cái)政實(shí)際情況,組織安排好本地區(qū)財(cái)政系統(tǒng)網(wǎng)絡(luò)安全檢查工作,全面排查網(wǎng)絡(luò)風(fēng)險(xiǎn)、漏洞和突出問題,及時(shí)部署整改措施,提高網(wǎng)絡(luò)安全防護(hù)能力。
二、2020年網(wǎng)絡(luò)安全檢查情況匯總
一是組織領(lǐng)導(dǎo)方面。成立了由主要領(lǐng)導(dǎo)擔(dān)任第一責(zé)任人、各相關(guān)股室參與、信息中心負(fù)責(zé)具體工作的財(cái)政系統(tǒng)安全保護(hù)工作領(lǐng)導(dǎo)小組,統(tǒng)一協(xié)調(diào)全局開展財(cái)政專網(wǎng)運(yùn)行安全管理工作。
二是網(wǎng)絡(luò)安全方面。一是做好本級(jí)計(jì)算機(jī)安全檢查。從內(nèi)外網(wǎng)是否混接、財(cái)政應(yīng)用軟件是否使用ukey登錄、計(jì)算機(jī)殺毒、系統(tǒng)漏洞補(bǔ)丁修復(fù)、計(jì)算機(jī)實(shí)名制管理等方面對(duì)全局所有財(cái)政專網(wǎng)計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)安全檢查。二是重新部署內(nèi)網(wǎng)殺毒確保安全。所有金財(cái)網(wǎng)pc端及服務(wù)器均安裝了省廳統(tǒng)一部署的亞信防病毒軟件,所有外網(wǎng)安裝了360、金山毒霸等殺毒軟件;pc端及服務(wù)器均采用了登錄強(qiáng)口令密碼、數(shù)據(jù)庫異地存儲(chǔ)備份、數(shù)據(jù)加密等安全防護(hù)措施。三是切實(shí)抓好金財(cái)網(wǎng)、外網(wǎng)、媒介和應(yīng)用軟件的管理,對(duì)金財(cái)網(wǎng)pc端、外網(wǎng)pc端實(shí)行分網(wǎng)管理,嚴(yán)格區(qū)分內(nèi)網(wǎng)和外網(wǎng),確保內(nèi)外網(wǎng)不混用、不同用。四是加強(qiáng)對(duì)硬件安全的管理,包括防塵、防潮、防雷、防火、防盜、和電源連接等;加強(qiáng)密碼管理、ip管理、互聯(lián)網(wǎng)行為管理等;加強(qiáng)計(jì)算機(jī)應(yīng)用安全管理,包括郵件系統(tǒng)、資源庫管理、軟件管理等。
三是落實(shí)責(zé)任方面。一是建立健全相關(guān)制度。為確保計(jì)算機(jī)網(wǎng)絡(luò)安全、建立健全了《計(jì)算機(jī)安全保密制度》、《網(wǎng)絡(luò)信息安全管理制度》等一系列規(guī)章制度,確保本單位信息系統(tǒng)建設(shè)和網(wǎng)絡(luò)安全能夠正常運(yùn)行。二是制定了《縣財(cái)政局網(wǎng)絡(luò)安全應(yīng)急預(yù)案》,按照要求定期開展應(yīng)急演練。三是按照州財(cái)政局要求,聯(lián)合縣電信公司對(duì)全縣金財(cái)網(wǎng)ip地址進(jìn)行了規(guī)范改造。四是結(jié)合省財(cái)政廳相關(guān)要求,正在對(duì)關(guān)鍵系統(tǒng)開展等保評(píng)測(cè)工作,嚴(yán)格按照網(wǎng)絡(luò)安全行業(yè)主管部門的要求,及時(shí)查漏補(bǔ)缺,完成評(píng)測(cè)整改工作。確保核心業(yè)務(wù)系統(tǒng)安全運(yùn)行,保障全縣財(cái)政業(yè)務(wù)正常開展。五是對(duì)照國家等級(jí)保護(hù)2.0標(biāo)準(zhǔn)及省財(cái)政廳制定的相關(guān)技術(shù)規(guī)范添置入侵檢測(cè)、入侵防護(hù)、安全審計(jì)、數(shù)據(jù)備份等網(wǎng)絡(luò)安全防護(hù)設(shè)備。強(qiáng)化網(wǎng)絡(luò)安全硬件保障基礎(chǔ),補(bǔ)齊網(wǎng)絡(luò)安全硬件建設(shè)上的短板。
四是宣傳教育方面。一是加強(qiáng)網(wǎng)絡(luò)安全學(xué)習(xí)培訓(xùn)。定期不定期組織全局人員專題培訓(xùn)等方式全方位宣傳學(xué)習(xí)《網(wǎng)絡(luò)安全法》等。二是積極主動(dòng)對(duì)接當(dāng)?shù)鼐W(wǎng)信辦及網(wǎng)安部門,參加網(wǎng)絡(luò)安全宣傳周活動(dòng),每年定期組織預(yù)算單位財(cái)務(wù)人員集中培訓(xùn)網(wǎng)絡(luò)安全知識(shí)與日常管理技巧,提高網(wǎng)絡(luò)安全意識(shí),防范不規(guī)范操作,規(guī)避內(nèi)外網(wǎng)互聯(lián)風(fēng)險(xiǎn)。
五是落實(shí)經(jīng)費(fèi)方面。將網(wǎng)絡(luò)安全建設(shè)經(jīng)費(fèi)納入年初預(yù)算,確保經(jīng)費(fèi)保障充足,相繼采購防火墻、堡壘機(jī)、安全管理系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品,進(jìn)一步提高了網(wǎng)絡(luò)安全技術(shù)保障能力。
三、存在的問題
一、整體安全狀況的基本判斷
從檢查情況看,網(wǎng)絡(luò)與信息安全總體情況良好。始終把信息安全作為信息化工作的重點(diǎn)內(nèi)容,網(wǎng)絡(luò)信息安全工作機(jī)構(gòu)健全、責(zé)任明確,日常管理維護(hù)工作比較規(guī)范;管理制度完善,技術(shù)防護(hù)措施得當(dāng),信息安全風(fēng)險(xiǎn)得到有效降低;比較重視信息系統(tǒng)系統(tǒng)管理員和網(wǎng)絡(luò)安全技術(shù)人員培訓(xùn),應(yīng)急預(yù)案與應(yīng)急處置技術(shù)隊(duì)伍有落實(shí),工作經(jīng)費(fèi)有一定保障,基本保證了網(wǎng)信息系統(tǒng)持續(xù)安全穩(wěn)定運(yùn)行。
二、發(fā)現(xiàn)的主要問題和薄弱環(huán)節(jié)
雖然我縣財(cái)政系統(tǒng)網(wǎng)絡(luò)安全在上級(jí)部門的指導(dǎo)下取得了一定的成績,但在檢查過程中也發(fā)現(xiàn)了一些管理方面存在的薄弱環(huán)節(jié),如網(wǎng)絡(luò)信息安全知識(shí)宣傳較少、網(wǎng)絡(luò)安全管理專業(yè)技術(shù)力量薄弱等。
醫(yī)院信息安全自查報(bào)告【一】
為進(jìn)一步加強(qiáng)我院信息系統(tǒng)的安全管理,強(qiáng)化信息安全和保密意識(shí),提高信息安全保障水平,按照省衛(wèi)計(jì)委《關(guān)于××省衛(wèi)生系統(tǒng)網(wǎng)絡(luò)與信息安全督導(dǎo)檢查工作的通知》文件要求,我院領(lǐng)導(dǎo)高度重視,成立專項(xiàng)管理組織機(jī)構(gòu),召開相關(guān)科室負(fù)責(zé)人會(huì)議,深入學(xué)習(xí)和認(rèn)真貫徹落實(shí)文件精神,充分認(rèn)識(shí)到開展網(wǎng)絡(luò)與信息安全自查工作的重要性和必要性,對(duì)自查工作做了詳細(xì)部署,由主管院長負(fù)責(zé)安排、協(xié)調(diào)相關(guān)檢查部門、監(jiān)督檢查項(xiàng)目,建立健全醫(yī)院網(wǎng)絡(luò)安全保密責(zé)任制和有關(guān)規(guī)章制度,嚴(yán)格落實(shí)有關(guān)網(wǎng)絡(luò)信息安全保密方面的各項(xiàng)規(guī)定,并針對(duì)全院各科室的網(wǎng)絡(luò)信息安全情況進(jìn)行了專項(xiàng)檢查,現(xiàn)將自查情況匯報(bào)如下:
一、醫(yī)院網(wǎng)絡(luò)建設(shè)基本情況
我院信息管理系統(tǒng)于××年××月由××××科技有限公司對(duì)醫(yī)院信息管理系統(tǒng)(HIS系統(tǒng))進(jìn)行升級(jí)。升級(jí)后的前臺(tái)維護(hù)由本院技術(shù)人員負(fù)責(zé),后臺(tái)維護(hù)及以外事故處理由××××科技有限責(zé)任公司技術(shù)人員負(fù)責(zé)。
二、自查工作情況
1、機(jī)房安全檢查。機(jī)房安全主要包括:消防安全、用電安全、硬件安全、軟件維護(hù)安全、門窗安全和防雷安全等方面安全。醫(yī)院信息系統(tǒng)服務(wù)器機(jī)房嚴(yán)格按照機(jī)房標(biāo)準(zhǔn)建設(shè),工作人員堅(jiān)持每天定點(diǎn)巡查。系統(tǒng)服務(wù)器、多換機(jī)、路由器都有UPS電源保護(hù),可以保證在斷電3個(gè)小時(shí)情況下,設(shè)備可以運(yùn)行正常,不至于因突然斷電致設(shè)備損壞。
2、局域網(wǎng)絡(luò)安全檢查。主要包括網(wǎng)絡(luò)結(jié)構(gòu)、密碼管理、IP管理、存儲(chǔ)介質(zhì)管理等;HIS系統(tǒng)的操作員,每人有自己的登錄名和密碼,并分配相應(yīng)的操作員權(quán)限,不得使用其他人的操作賬戶,賬戶施行“誰使用、誰管理、誰負(fù)責(zé)”的管理制度。院內(nèi)局域網(wǎng)均施行固定IP地址,由醫(yī)院統(tǒng)一分配、管理,無法私自添加新IP,未經(jīng)分配的IP無法連接到院內(nèi)局域網(wǎng)。我院局域網(wǎng)內(nèi)所有計(jì)算機(jī)USB接口施行完全封閉,有效地避免了因外接介質(zhì)(如U盤、移動(dòng)硬盤)而引起中毒或泄密的發(fā)生。
3、數(shù)據(jù)庫安全管理。我院對(duì)數(shù)據(jù)安全性采取以下措施:
(1)將數(shù)據(jù)庫中需要保護(hù)的部分與其他部分相隔。
(2)采用授權(quán)規(guī)則,如賬戶、口令和權(quán)限控制等訪問控制方法。
(3)數(shù)據(jù)庫賬戶密碼專人管理、專人維護(hù)。
(4)數(shù)據(jù)庫用戶每6個(gè)月必須修改一次密碼。
(5)服務(wù)器采取虛擬化進(jìn)行安全管理,當(dāng)當(dāng)前服務(wù)器出現(xiàn)問題時(shí),及時(shí)切換到另一臺(tái)服務(wù)器,確保客戶端業(yè)務(wù)正常運(yùn)行。
三、應(yīng)急處置
我院HIS系統(tǒng)服務(wù)器運(yùn)行安全、穩(wěn)定,并配備了大型UPS電源,可以保證在大面積斷電情況下,服務(wù)器可運(yùn)行六小時(shí)左右。我院的HIS系統(tǒng)剛剛升級(jí)上線不久,服務(wù)器未發(fā)生過長宕機(jī)時(shí)間,但醫(yī)院仍然制定了應(yīng)急處臵預(yù)案,并對(duì)收費(fèi)操作員和護(hù)士進(jìn)行了培訓(xùn),如果醫(yī)院出現(xiàn)大面積、長時(shí)間停電情況,HIS系統(tǒng)無法正常運(yùn)行,將臨時(shí)開始手工收費(fèi)、記賬、發(fā)藥,以確保診療活動(dòng)能夠正常、有序地進(jìn)行,待到HIS系統(tǒng)恢復(fù)正常工作時(shí),再補(bǔ)打發(fā)票、補(bǔ)記收費(fèi)項(xiàng)目。
四、存在問題
我院的網(wǎng)絡(luò)與信息安全工作做的比較認(rèn)真、仔細(xì),從未發(fā)生過重大的安全事故,各系統(tǒng)運(yùn)轉(zhuǎn)穩(wěn)定,各項(xiàng)業(yè)務(wù)能夠正常運(yùn)行。但自查中也發(fā)現(xiàn)了不足之處,如目前醫(yī)院信息技術(shù)人員少,信息安全力量有限,信息安全培訓(xùn)不全面,信息安全意識(shí)還夠,個(gè)別科室缺乏維護(hù)信息安全的主動(dòng)性和自覺性;應(yīng)急演練開展不足;機(jī)房條件差;個(gè)別科室的計(jì)算機(jī)設(shè)備配臵偏低,服務(wù)期限偏長。
今后要加強(qiáng)信息技術(shù)人員的培養(yǎng),提升信息安全技術(shù)水平,加強(qiáng)全院職工的信息安全教育,提高維護(hù)信息安全的主動(dòng)性和自覺性,加大對(duì)醫(yī)院信息化建設(shè)投入,提升計(jì)算機(jī)設(shè)備配臵,進(jìn)一步提高工作效率和系統(tǒng)運(yùn)行的安全性。
醫(yī)院信息安全自查報(bào)告【二】
按照錫衛(wèi)計(jì)辦發(fā)【2019】132號(hào)文件通知精神,我院領(lǐng)導(dǎo)高度重視,召開相關(guān)科室負(fù)責(zé)人會(huì)議,深入學(xué)習(xí)和認(rèn)真貫徹落實(shí)文件精神,充分認(rèn)識(shí)到開展網(wǎng)絡(luò)與信息安全自查工作的重要性和必要性,對(duì)自查工作做了詳細(xì)部署,由主管院長負(fù)責(zé)安排信息安全自查工作,并就自查中發(fā)現(xiàn)的問題認(rèn)真做好相關(guān)記錄,及時(shí)整改,完善?,F(xiàn)將我院信息安全工作自查情況匯報(bào)如下:
一、網(wǎng)絡(luò)安全管理:
我院的網(wǎng)絡(luò)分為互聯(lián)網(wǎng)和院內(nèi)局域網(wǎng),兩網(wǎng)絡(luò)實(shí)現(xiàn)物理隔離,以確保兩網(wǎng)能夠獨(dú)立、安全、高效運(yùn)行。重點(diǎn)抓好“三大安全”排查。
1.硬件安全,包括防雷、防火、防盜和UPS電源連接等。醫(yī)院HIS服務(wù)器機(jī)房嚴(yán)格按照機(jī)房標(biāo)準(zhǔn)建設(shè),工作人員堅(jiān)持每天巡查,排除安全隱患。HIS服務(wù)器、多換機(jī)、路由器都有UPS電源保護(hù),可以保證短時(shí)間斷電情況下,設(shè)備運(yùn)行正常,不至于因突然斷電致設(shè)備損壞。此外,局域網(wǎng)內(nèi)所有計(jì)算機(jī)USB接口施行完全封閉,這樣就有效地避免了因外接介質(zhì)(如U盤、移動(dòng)硬盤)而引起中毒或泄密的發(fā)生。
2.網(wǎng)絡(luò)安全:包括網(wǎng)絡(luò)結(jié)構(gòu)、密碼管理、IP管理、互聯(lián)網(wǎng)行為管理等;網(wǎng)絡(luò)結(jié)構(gòu)包括網(wǎng)絡(luò)結(jié)構(gòu)合理,網(wǎng)絡(luò)連接的穩(wěn)定性,網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器、光纖收發(fā)器等)的穩(wěn)定性。HIS系統(tǒng)的操作員,每人有自己的登錄名和密碼,并分配相應(yīng)的操作員權(quán)限,不得使用其他人的操作賬戶,賬戶施行“誰使用、誰管理、誰負(fù)責(zé)” 的管理制度?;ヂ?lián)網(wǎng)和院內(nèi)局域網(wǎng)均施行固定IP地址,由醫(yī)院統(tǒng)一分配、管理,不允許私自添加新IP,未經(jīng)分配的IP均無法實(shí)現(xiàn)上網(wǎng)。
二、數(shù)據(jù)庫安全管理:
我院目前運(yùn)行的數(shù)據(jù)庫是醫(yī)院診療、劃價(jià)、收費(fèi)、查詢、統(tǒng)計(jì)等各項(xiàng)業(yè)務(wù)能夠正常進(jìn)行的基礎(chǔ),為確保醫(yī)院各項(xiàng)業(yè)務(wù)正常、高效運(yùn)行,數(shù)據(jù)庫安全管理是極為有必要的。我院對(duì)數(shù)據(jù)安全性采取以下措施:(1)將數(shù)據(jù)庫中需要保護(hù)的部分與其他部分相隔。(2)采用授權(quán)規(guī)則,如賬戶、口令和權(quán)限控制等訪問控制方法。(3)對(duì)數(shù)據(jù)進(jìn)行加密后存儲(chǔ)于數(shù)據(jù)庫
三、軟件管理:
目前我院在運(yùn)行的軟件主要分為三類:HIS系統(tǒng)、常用辦公軟件和殺毒軟件。HIS系統(tǒng)是我院日常業(yè)務(wù)中最主要的軟件,是保障醫(yī)院診療活動(dòng)正常進(jìn)行的基礎(chǔ),自2019年上線以來,運(yùn)行比較穩(wěn)定,未出現(xiàn)過重大安全問題,并根據(jù)業(yè)務(wù)需要,不斷更新充實(shí)。對(duì)于新入職的員工,上崗前會(huì)進(jìn)行一次培訓(xùn),向其講解HIS系統(tǒng)操作流程、規(guī)范,也包括安全知識(shí),確保其在使用過程中不會(huì)出現(xiàn)重大安全問題。常用辦公軟件均由醫(yī)院信息科統(tǒng)一安裝,維護(hù)。殺毒軟件是保障電腦系統(tǒng)防病毒、防木馬、防篡改、防癱瘓、防攻擊、防泄密的有效工具。所有電腦,均安裝了正版殺毒軟件(瑞星殺毒軟件和360安全衛(wèi)士),并定期更新病毒庫,以保證殺毒軟件的防御能力始終保持在很高的水平。
四、應(yīng)急處臵:
云安全的定義
在互聯(lián)網(wǎng)快速發(fā)展的今天,網(wǎng)絡(luò)安全問題不可回避。每一個(gè)建設(shè)環(huán)節(jié),包括物理環(huán)境的搭建、業(yè)務(wù)系統(tǒng)的構(gòu)建、服務(wù)器存儲(chǔ)資源池的部署,以及系統(tǒng)的運(yùn)營等,都是安全風(fēng)險(xiǎn)的潛在制造者。Forrester Consulting 2011年的調(diào)查報(bào)告顯示,安全已經(jīng)成為用戶選擇云計(jì)算服務(wù)時(shí)的重要考慮因素。
作為云計(jì)算產(chǎn)業(yè)鏈的組成部分,企業(yè)用戶、云計(jì)算服務(wù)商、云計(jì)算設(shè)備供應(yīng)商等對(duì)云安全關(guān)注的角度不一樣。服務(wù)商關(guān)注的是如何建設(shè)安全的云計(jì)算環(huán)境,如何為客戶提供高安全性的SLA保證;企業(yè)用戶關(guān)注的重點(diǎn)則是自身業(yè)務(wù)系統(tǒng)核心數(shù)據(jù)的安全――這些數(shù)據(jù)一旦泄漏丟失,可能損害企業(yè)的核心競(jìng)爭(zhēng)力。
云計(jì)算的安全風(fēng)險(xiǎn)
在云計(jì)算建設(shè)過程中,每個(gè)建設(shè)環(huán)節(jié)都可能出現(xiàn)安全問題,包含諸如物理機(jī)房環(huán)境的安全、網(wǎng)絡(luò)的安全、應(yīng)用系統(tǒng)的安全、數(shù)據(jù)存儲(chǔ)的安全、管理平臺(tái)的安全等。除了物理環(huán)境的安全風(fēng)險(xiǎn)以外,以下四類安全風(fēng)險(xiǎn)非常值得關(guān)注:
第一類,用戶數(shù)據(jù)泄露或丟失。這是目前用戶最為關(guān)注的安全風(fēng)險(xiǎn)。用戶在云計(jì)算環(huán)境中對(duì)數(shù)據(jù)進(jìn)行傳輸和存儲(chǔ)時(shí),對(duì)數(shù)據(jù)在云中的安全風(fēng)險(xiǎn)缺乏控制能力,數(shù)據(jù)安全完全依賴于服務(wù)商。如果服務(wù)商的數(shù)據(jù)安全管理存在疏漏,很可能導(dǎo)致數(shù)據(jù)泄露或丟失?,F(xiàn)階段數(shù)據(jù)安全風(fēng)險(xiǎn)有以下幾種典型:
? 服務(wù)器存在安全漏洞導(dǎo)致黑客入侵,造成用戶數(shù)據(jù)丟失;
? 虛擬化軟件存在安全漏洞,導(dǎo)致用戶數(shù)據(jù)存在被入侵風(fēng)險(xiǎn);
? 數(shù)據(jù)在傳輸過程中沒有進(jìn)行加密導(dǎo)致信息泄露;
? 加密數(shù)據(jù)傳輸,但密鑰管理缺失導(dǎo)致數(shù)據(jù)泄露;
? 不同用戶數(shù)據(jù)在進(jìn)行傳輸時(shí)沒有進(jìn)行有效隔離,導(dǎo)致數(shù)據(jù)被竊取;
? 用戶數(shù)據(jù)在云中存儲(chǔ)的同時(shí)沒有進(jìn)行容災(zāi)備份。
因此,云計(jì)算服務(wù)商在向用戶推薦云計(jì)算服務(wù)時(shí),要和企業(yè)用戶簽署服務(wù)質(zhì)量保證協(xié)議,從技術(shù)和管理兩個(gè)方面為用戶提供安全保證,以緩解用戶對(duì)數(shù)據(jù)安全的擔(dān)憂。
第二類,應(yīng)用不能順利交付。云計(jì)算服務(wù)商如果在運(yùn)維的任何環(huán)節(jié)出現(xiàn)問題,都可能對(duì)用戶的應(yīng)用造成損害。比如說,如果在配置方面存在疏忽,可能造成用戶的虛擬化資源不足以支持業(yè)務(wù)系統(tǒng)的正常運(yùn)行。再比如說,網(wǎng)絡(luò)配置錯(cuò)誤可能導(dǎo)致互聯(lián)網(wǎng)連接不通。
第三類,內(nèi)部人員竊取數(shù)據(jù)。企業(yè)的核心數(shù)據(jù)在云計(jì)算環(huán)境中的存儲(chǔ),離不開管理員的操作和審核,如果服務(wù)商內(nèi)部的管理出現(xiàn)疏漏,將可能導(dǎo)致內(nèi)部人員私自竊取用戶數(shù)據(jù),從而對(duì)用戶的利益造成損害。在這種情況下,除了通過技術(shù)的手段加強(qiáng)數(shù)據(jù)操作的日志審計(jì)之外,嚴(yán)格的管理制度和不定期的安全檢查十分必要。云計(jì)算服務(wù)供應(yīng)商有必要對(duì)工作人員的背景進(jìn)行調(diào)查并制定相應(yīng)的規(guī)章制度避免內(nèi)部人員作案,并保證系統(tǒng)具備足夠的安全操作的日志審計(jì)能力,在保證用戶數(shù)據(jù)安全的前提下,滿足第三方審計(jì)單位的合規(guī)要求。
第四類,用戶身份認(rèn)證存在缺陷。云計(jì)算服務(wù)商在對(duì)外提供服務(wù)的過程中,需要同時(shí)應(yīng)對(duì)多租戶的運(yùn)行環(huán)境,保證不同用戶只能訪問企業(yè)本身的數(shù)據(jù)、應(yīng)用程序和存儲(chǔ)資源。在這種情況下,運(yùn)營商必須要引入嚴(yán)格的身份認(rèn)證機(jī)制,不同的租戶有各自的賬號(hào)、密碼管理機(jī)制。如果運(yùn)營商的身份認(rèn)證管理機(jī)制存在缺陷,或者運(yùn)營商的身份認(rèn)證管理系統(tǒng)存在安全漏洞,都可能導(dǎo)致企業(yè)用戶的賬號(hào)、密碼被仿冒,使得非法用戶有機(jī)可趁,竊取企業(yè)數(shù)據(jù)。
云計(jì)算的安全防護(hù)
在云安全建設(shè)過程中,需要對(duì)以上安全風(fēng)險(xiǎn)采取有針對(duì)性的防護(hù)措施。和傳統(tǒng)的數(shù)據(jù)中心安全建設(shè)方式相比,云計(jì)算環(huán)境下的安全建設(shè)有其明顯的特點(diǎn),主要包括以下幾個(gè)方面。
第一,虛擬化技術(shù)引發(fā)新的安全風(fēng)險(xiǎn)。服務(wù)器虛擬化是現(xiàn)階段云計(jì)算數(shù)據(jù)中心采用的較為廣泛的技術(shù)。服務(wù)器的虛擬化可以將單臺(tái)物理服務(wù)器虛擬出多臺(tái)虛擬機(jī),并獨(dú)立安裝不同的操作系統(tǒng)和應(yīng)用程序,從而有效提升服務(wù)器的利用效率。但是虛擬化技術(shù)可能帶來兩方面的安全風(fēng)險(xiǎn),對(duì)單個(gè)物理服務(wù)器,甚至全部虛擬機(jī)的運(yùn)行安全帶來不利影響。
其一,虛擬化軟件的底層應(yīng)用程序存在安全漏洞。如果底層應(yīng)用程序存在安全漏洞,黑客可能在利用漏洞入侵到主機(jī)系統(tǒng)之后,對(duì)整個(gè)主機(jī)上的虛擬機(jī)進(jìn)行任意的配置,導(dǎo)致系統(tǒng)不能對(duì)外提供業(yè)務(wù),或者被黑客竊取相關(guān)數(shù)據(jù)。
其二,虛擬機(jī)應(yīng)用程序存在安全漏洞。這些應(yīng)用程序是云服務(wù)交付的核心組成部分,包括Web前端的應(yīng)用程序、各種中間件應(yīng)用程序和數(shù)據(jù)庫程序等。在傳統(tǒng)網(wǎng)絡(luò)環(huán)境下,這些程序就可能因?yàn)榫幊倘毕荻嬖诎踩┒?。在云?jì)算環(huán)境下,這些安全漏洞會(huì)繼續(xù)存在。而且,這些程序在適應(yīng)虛擬化環(huán)境下的各種API接口過程中可能出現(xiàn)新的安全漏洞。
第二,云計(jì)算虛擬機(jī)流量交換導(dǎo)致新的安全風(fēng)險(xiǎn)。在虛擬化環(huán)境下,單臺(tái)物理服務(wù)器上可以虛擬化出多個(gè)完全獨(dú)立的虛擬機(jī)并運(yùn)行不同的操作系統(tǒng)和應(yīng)用程序,各虛擬機(jī)之間可能存在直接的二層流量交換。這種交換不需要經(jīng)過外置的二層交換機(jī),管理員對(duì)于該部分流量既不可見也不可控,從而面臨新的問題:
? 管理員該如何判斷VM虛擬機(jī)之間的訪問是否符合已有的安全策略,如何設(shè)定允許或禁止VM之間訪問的安全策略設(shè)置?
? 如果允許某些VM之間的數(shù)據(jù)互訪,如何判斷這些訪問數(shù)據(jù)是否存在攻擊風(fēng)險(xiǎn)?
第三,云的終端安全接入及訪問控制的風(fēng)險(xiǎn)。傳統(tǒng)的網(wǎng)絡(luò)安全管理中針對(duì)網(wǎng)絡(luò)終端用戶的安全接入和訪問控制都有成熟的解決方案。在云計(jì)算環(huán)境下,對(duì)于云端用戶的安全接入和訪問控制提出一些新的要求。特別是在IaaS的服務(wù)模型出現(xiàn)后,服務(wù)商需要為每個(gè)用戶提供自助服務(wù)管理界面,針對(duì)不同企業(yè)或不同類型的租戶提供差異化的用戶身份認(rèn)證管理策略,確保合法用戶能夠正確訪問服務(wù)器,同時(shí)要為用戶提供差異化的訪問行為日志記錄和安全事件的報(bào)告分析。
在云計(jì)算建設(shè)過程中,要分析清楚當(dāng)前環(huán)境中可能存在的安全風(fēng)險(xiǎn),并通過技術(shù)和管理手段制定相應(yīng)的安全框架,最大程度地保障云計(jì)算環(huán)境中的系統(tǒng)安全。
H3C新一代互聯(lián)網(wǎng)解決方案
杭州華三通信技術(shù)有限公司(簡稱H3C), 致力于IP技術(shù)與產(chǎn)品的研究、開發(fā)、生產(chǎn)、銷售及服務(wù)。H3C始終聚焦IP技術(shù)領(lǐng)域創(chuàng)新進(jìn)步,通過在IP網(wǎng)絡(luò)、IP安全和IP管理的產(chǎn)品積累,形成以下一代數(shù)據(jù)中心解決方案和基礎(chǔ)網(wǎng)絡(luò)解決方案為核心的新一代互聯(lián)網(wǎng)解決方案,這些解決方案已迅速得到廣泛應(yīng)用。
一、領(lǐng)導(dǎo)重視,上下聯(lián)動(dòng),確保醫(yī)院信息化建設(shè)順利推進(jìn)
作為福建省最早的三級(jí)甲等綜合性中醫(yī)醫(yī)院,我院領(lǐng)導(dǎo)一直十分重視醫(yī)院信息化建設(shè),信息化建設(shè)始終走在全省同級(jí)醫(yī)院的前列,自1999年開始建設(shè)醫(yī)院信息系統(tǒng)以來,醫(yī)院信息化取得實(shí)質(zhì)性進(jìn)展,已完成40多個(gè)信息系統(tǒng)的建設(shè), 覆蓋全院95%以上的科室,滲透到管理的各個(gè)環(huán)節(jié),系統(tǒng)管理軟件逐步完善,網(wǎng)絡(luò)運(yùn)行平穩(wěn),信息系統(tǒng)應(yīng)用水平得到不斷提高,檔案信息化管理水平不斷提高,檔案信息資源的得到更加充分的開發(fā)和利用,醫(yī)院服務(wù)質(zhì)量與工作效率全面提升。
(一)加強(qiáng)組織領(lǐng)導(dǎo)
為加強(qiáng)醫(yī)院信息化建設(shè)與管理,推進(jìn)醫(yī)院信息化建設(shè)進(jìn)程,我院成立院領(lǐng)導(dǎo)、各相關(guān)部門負(fù)責(zé)人組成的信息化建設(shè)領(lǐng)導(dǎo)小組,由院長擔(dān)任組長,指定分管院長具體負(fù)責(zé),對(duì)醫(yī)院信息化建設(shè)進(jìn)行總體規(guī)劃,定期研究、審核、協(xié)調(diào)、部署醫(yī)院信息系統(tǒng)建設(shè)過程中的問題及重大事項(xiàng)。并設(shè)立信息科負(fù)責(zé)信息系統(tǒng)建設(shè)工作的具體實(shí)施,檔案管理部門全程參與,為醫(yī)院信息化建設(shè)提供組織保障。
(二)建設(shè)資金及時(shí)投入到位
醫(yī)院每年年初制度預(yù)算時(shí),均優(yōu)先考慮信息建設(shè)的投入,確保資金投入及時(shí)到位,使系統(tǒng)在最短時(shí)間運(yùn)行起來。醫(yī)院在信息化建設(shè)過程中已累計(jì)投入近千萬元。
(三)廣泛動(dòng)員,開展全員培訓(xùn)
醫(yī)院信息化建設(shè)工程涉及全院所有人員,包括醫(yī)護(hù)、藥劑、行政后勤等人員,讓操作人員充分認(rèn)識(shí)到系統(tǒng)運(yùn)行后將減少工作量,提高工作效率等優(yōu)勢(shì),并盡快熟悉和掌握本部門的系統(tǒng)操作流程,是保證系統(tǒng)正常運(yùn)行的關(guān)鍵。因此醫(yī)院在啟動(dòng)每個(gè)信息系統(tǒng)建設(shè)之前,均派出專業(yè)人員深入使用科室認(rèn)真調(diào)研,召開專題會(huì)議向員工說明各相關(guān)信息系統(tǒng)的功能及優(yōu)勢(shì)。并在系統(tǒng)試運(yùn)行之前及新進(jìn)員工上崗前及時(shí)開設(shè)醫(yī)院相關(guān)信息系統(tǒng)操作培訓(xùn),印制相關(guān)培訓(xùn)材料,在院內(nèi)信息平臺(tái)設(shè)立操作指南專欄,讓員工及時(shí)掌握相關(guān)操作知識(shí)。
二、精心規(guī)劃,分步實(shí)施,積極穩(wěn)妥地推進(jìn)醫(yī)院信息化建設(shè)
實(shí)現(xiàn)檔案管理的信息化是一項(xiàng)長期的系統(tǒng)工程,并非一蹴而就,需要制定總體規(guī)劃、分步實(shí)施,并且隨著信息技術(shù)、醫(yī)藥衛(wèi)生技術(shù)及醫(yī)院的發(fā)展而適當(dāng)?shù)卣{(diào)整。為此,醫(yī)院根據(jù)衛(wèi)生部《中醫(yī)醫(yī)院信息系統(tǒng)基本功能規(guī)范》以及相關(guān)部門行業(yè)標(biāo)準(zhǔn),圍繞醫(yī)院年度工作目標(biāo)和中長期發(fā)展規(guī)劃,制定醫(yī)院信息化建設(shè)年度計(jì)劃和中長期發(fā)展規(guī)劃。同時(shí)在實(shí)施每一具體步驟時(shí),制定出詳細(xì)的方案,并經(jīng)過充分論證后方可實(shí)施,不斷加強(qiáng)醫(yī)院信息化建設(shè)的深度和廣度,提高醫(yī)院管理信息和醫(yī)療信息處理的自動(dòng)化程度。同時(shí)根據(jù)醫(yī)院信息化建設(shè)進(jìn)和適時(shí)出臺(tái)《電子公文處理試行辦法》,建立健全電子公文處理系統(tǒng)和管理、帳戶與系統(tǒng)安全管理、電子公文的辦理、電子公文歸檔與銷毀等相關(guān)規(guī)定,有效促進(jìn)了相關(guān)電子公文歸檔等工作的規(guī)范性和及時(shí)性,逐步將醫(yī)院建設(shè)成一個(gè)全面的數(shù)字化醫(yī)院。
(一)起步階段
醫(yī)院從1999年開始建設(shè)信息系統(tǒng),主要目標(biāo)為建立以病人為中心的HIS系統(tǒng),該系統(tǒng)于2000年4月正式投入運(yùn)行。2003年開始建設(shè)LIS檢驗(yàn)管理系統(tǒng),實(shí)現(xiàn)檢驗(yàn)報(bào)告數(shù)據(jù)全院共享。此時(shí)各系統(tǒng)生成的相關(guān)信息、資料僅通過信息管理部門進(jìn)行邏輯歸檔,存儲(chǔ)在服務(wù)器上,只實(shí)現(xiàn)管理權(quán)限向檔案管理部門的移交,而未實(shí)現(xiàn)實(shí)體的歸檔。檔案管理部門仍需通過兩套系統(tǒng)對(duì)檔案進(jìn)行管理,程序繁瑣。一套為單機(jī)版的傳統(tǒng)檔案管理系統(tǒng),只能實(shí)現(xiàn)檔案目錄的搜索,通過手工提供檔案的利用服務(wù);另一套則通過院內(nèi)信息系統(tǒng)聯(lián)網(wǎng)機(jī)來實(shí)現(xiàn)電子檔案的管理和開發(fā)利用。
(二)發(fā)展提高階段
為進(jìn)一步提高HIS系統(tǒng)的穩(wěn)定性和運(yùn)行效率,并適應(yīng)新時(shí)期對(duì)系統(tǒng)軟件的要求,我院于2005年開始與相關(guān)軟件公司合作,進(jìn)行HIS軟件全面升級(jí),積極推進(jìn)醫(yī)院流程改造,將信息化建設(shè)逐步向臨床信息系統(tǒng)轉(zhuǎn)移。如:建立電子病歷系統(tǒng),建立PACS醫(yī)學(xué)影像系統(tǒng)、手術(shù)實(shí)時(shí)轉(zhuǎn)播和監(jiān)控系統(tǒng)、中醫(yī)藥電子數(shù)據(jù)庫,實(shí)現(xiàn)電子病歷、影像圖像、檢查報(bào)告數(shù)字化存儲(chǔ)和利用,相關(guān)文件資料歸檔后設(shè)置不同等級(jí)用戶查閱權(quán)限,通過用戶名和用戶密碼登錄,在全院各醫(yī)生工作站均可通過相關(guān)權(quán)限實(shí)現(xiàn)調(diào)閱相關(guān)電子病歷、檢查報(bào)告及圖像,在為臨床診治提供高效準(zhǔn)確依據(jù)的同時(shí)有效防止檔案信息泄密、丟失,確保數(shù)據(jù)的安全可靠;建立OA系統(tǒng)和網(wǎng)絡(luò)版的檔案管理系統(tǒng),配備了先進(jìn)的掃描儀,實(shí)現(xiàn)辦公自動(dòng)化和網(wǎng)上疫情直報(bào),藥品的網(wǎng)上招標(biāo)采購和網(wǎng)上醫(yī)療信息的查詢與檢索。
三、多措并舉,保障安全,確保醫(yī)院檔案信息系統(tǒng)高效穩(wěn)定運(yùn)行
隨著醫(yī)院信息化建設(shè)的深入,檔案信息系統(tǒng)的安全對(duì)醫(yī)院各項(xiàng)工作的正常運(yùn)轉(zhuǎn)至關(guān)重要,一旦系統(tǒng)故障而又在短時(shí)間內(nèi)難以恢復(fù),將會(huì)嚴(yán)重影響患者的治療和正常的醫(yī)療秩序。同時(shí)檔案信息資源是醫(yī)院的核心機(jī)密,在實(shí)現(xiàn)信息資源共享的同時(shí)應(yīng)保證信息資源的安全。因此我院十分重視信息安全 ,根據(jù)《中醫(yī)醫(yī)院信息系統(tǒng)基本功能規(guī)范》及本院信息化發(fā)展的需要,先后制定了醫(yī)院《網(wǎng)絡(luò)與信息安全應(yīng)急處置預(yù)案》和《信息系統(tǒng)監(jiān)管實(shí)施辦法》、《計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全規(guī)則》、《電子打印病歷管理暫行規(guī)定》、《檔案安全管理工作規(guī)定》、《檔案安全應(yīng)急處置預(yù)案》等20多項(xiàng)管理規(guī)章制度,采取有效措施,確保醫(yī)院信息檔案安全。
(一)建立信息安全管理小組。領(lǐng)導(dǎo)小組由院領(lǐng)導(dǎo)及相關(guān)部門負(fù)責(zé)人組成,并在信息科設(shè)專職系統(tǒng)管理員,在綜合檔案室設(shè)專職檔案系統(tǒng)管理員,各科室設(shè)兼職信息安全員,確保各項(xiàng)部門信息系統(tǒng)安全運(yùn)轉(zhuǎn)。
(二)加強(qiáng)網(wǎng)絡(luò)安全管理。一是內(nèi)外網(wǎng)的物理隔離。加強(qiáng)醫(yī)務(wù)人員信息技術(shù)培訓(xùn)以及規(guī)章制度的宣貫,同時(shí)定期和不定期對(duì)各終端工作站進(jìn)行安全檢查。二是安裝網(wǎng)絡(luò)版殺毒軟件,定期查殺病毒否,對(duì)服務(wù)器及工作站操作系統(tǒng)及時(shí)升級(jí)。三是在數(shù)據(jù)庫自動(dòng)備份的基礎(chǔ)上,實(shí)現(xiàn)異地備份,并建設(shè)數(shù)據(jù)庫同步復(fù)制系統(tǒng),引進(jìn)數(shù)據(jù)庫安全管理系統(tǒng),確保信息數(shù)據(jù)庫的高可用性和高安全性。四是通過光纖專線與醫(yī)保中心、上級(jí)主管部門進(jìn)行數(shù)據(jù)交換,并設(shè)立防火墻及入侵檢測(cè)系統(tǒng),保證數(shù)據(jù)的安全。
(三)認(rèn)真落實(shí)應(yīng)急預(yù)案。確保在特殊情況發(fā)生時(shí),以最快時(shí)間進(jìn)行數(shù)據(jù)及系統(tǒng)的恢復(fù),減輕和消除突發(fā)事件造成的危害和影響,將各種損失降到最低程度,妥善處理系統(tǒng)故障期間患者就診和治療問題,維持正常的醫(yī)療秩序。
級(jí)別:部級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級(jí)別:部級(jí)期刊
榮譽(yù):中國期刊全文數(shù)據(jù)庫(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國學(xué)術(shù)期刊(光盤版)全文收錄期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級(jí)別:部級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫