Informe resumido de inspección de seguridad de la red hospitalaria
Informe resumido de inspección de seguridad de la red hospitalaria 1 Con el fin de implementar concienzudamente el espíritu del "Documento Aviso del Ministerio de Seguridad Pública sobre la realización de autoexamen y autocorrección de la protección de la seguridad de la red de sistemas de información importantes". y sitios web clave", mejoraremos aún más el trabajo de autoexamen de la red y el sistema de información de nuestro hospital, mejoraremos las capacidades y los niveles de protección de seguridad, evitaremos y reduciremos la aparición de incidentes importantes de seguridad de la información, fortaleceremos de manera efectiva las precauciones de seguridad de la red y el sistema de información y crearemos un Buen entorno de información de red. Recientemente, nuestro hospital ha llevado a cabo un autoexamen de la seguridad de la red del sistema de información y del sitio web. La situación del autoexamen de la seguridad de la red y del sistema de información de nuestro hospital ahora se informa de la siguiente manera:
1. llevar a cabo un autoexamen de seguridad de la red y la información
p>(1) Evaluación general de la autoinspección
Nuestro hospital sigue estrictamente los requisitos de inspección de seguridad de la red y el sistema de información del Ministerio de Seguridad Pública, fortalece activamente el liderazgo organizacional, implementa responsabilidades laborales y mejora varios sistemas de seguridad de los sistemas de información, fortalece la supervisión e inspección diarias e implementa de manera integral las precauciones de seguridad de los sistemas de información. Este año nos centramos en las siguientes investigaciones: en primer lugar, la seguridad del hardware, incluida la protección contra rayos, la protección contra incendios y la conexión eléctrica; en segundo lugar, la seguridad de la red, incluida la estructura de la red, la gestión del comportamiento en línea, etc. En tercer lugar, seguridad de aplicaciones, sistemas de transferencia de archivos, gestión de software, etc. , formando un entorno de red seguro bueno y estable.
(2) Organizar e implementar activamente autoexámenes de seguridad de la información y la red.
1. Establecer una organización líder para el autoexamen y la coordinación de la seguridad de la red y la información.
Con el fin de garantizar el funcionamiento eficiente de los sistemas de información, agilizar la gestión de la seguridad de la información y estandarizar la construcción de niveles de seguridad de la información, se creó un grupo líder de coordinación de la seguridad de la información compuesto por líderes a cargo, departamentos competentes y administradores de redes. Se establecieron departamentos.
2. Clarificar los departamentos y puestos responsables de la autoinspección de seguridad de la red y de la información.
Los líderes de nuestro hospital otorgan gran importancia a la construcción de sistemas de información, y han mantenido muchas reuniones para aclarar los departamentos responsables de la construcción de la información, de modo que la división del trabajo sea clara y las responsabilidades se asignen a personas específicas.
3. Documentos o planes para implementar el autoexamen de seguridad de la red y de la información.
Los departamentos responsables y el personal del sistema de información implementan concienzudamente los documentos o planes de trabajo de la Comisión Municipal de Industria y Tecnología de la Información, formulan una serie de reglas y regulaciones basadas en las características de las inspecciones de seguridad de la red y la información, e implementar trabajos de seguridad de redes y de la información.
4. Convocar una reunión de movilización laboral, organizar la capacitación del personal y, específicamente, implementar un autoexamen de seguridad de la información y la red.
Nuestro hospital realiza trimestralmente una reunión de movilización de trabajo para impartir formación y evaluación periódica e irregular al personal técnico. El personal técnico estudió e implementó concienzudamente el espíritu de los documentos relevantes, puso el trabajo de seguridad de la información en una posición importante y realizó esfuerzos incansables.
2. Principales tareas de la seguridad de la información
(1) Gestión de la seguridad de la red
1. Implementar seriamente el sistema de responsabilidad de seguridad de la información.
Nuestro hospital ha formulado un sistema de responsabilidad de seguridad de la información correspondiente, ha asignado personas a los puestos y ha aclarado la división de responsabilidades para minimizar los accidentes de responsabilidad de seguridad de la información.
2. Promover activamente la construcción de un sistema de seguridad de la información.
(1) Fortalecer la construcción del sistema de gestión de seguridad del personal.
Nuestro hospital ha establecido sistemas de gestión de seguridad para la contratación, renuncia, evaluación, seguridad, educación y capacitación y gestión de personal externo del personal, y brinda capacitación al personal nuevo, fortalece la gestión de seguridad del personal y realiza evaluaciones de de vez en cuando.
(2) Implementar estrictamente el sistema de gestión de seguridad de la sala de ordenadores.
Nuestro hospital ha formulado el "Sistema de gestión de salas de ordenadores" para fortalecer el sistema de gestión y seguimiento diario del personal que entra y sale de la sala de ordenadores, implementar estrictamente las normas de gestión de seguridad de la sala de ordenadores y hacer un buen trabajo en caso de incendio. Prevención y prevención de robos, y garantizar la seguridad de la sala de ordenadores.
(2) Implementación de precauciones técnicas de seguridad
1. Seguridad de la red
Nuestro hospital está equipado con software antivirus y tarjetas de aislamiento de red, y lo ha adoptado. Fuertes medidas de protección de seguridad, como contraseñas, copias de seguridad de almacenamiento de bases de datos, administración de dispositivos de almacenamiento móviles y cifrado de datos, han aclarado las responsabilidades de seguridad de la red y fortalecido el trabajo de seguridad de la red.
Las computadoras y las redes están equipadas con software antivirus profesional, que mejora la eficacia de la protección antivirus, antiataques y antifugas. De acuerdo con las normas de confidencialidad, las computadoras confidenciales importantes se administran con contraseñas de encendido y están dedicadas a personal dedicado para evitar el uso mixto de computadoras confidenciales y no confidenciales.
2. Seguridad del sistema de información.
No existe acceso ilegal de computadoras confidenciales a Internet y otras redes de información, y no existe negligencia o filtración de confidencialidad. Implementar un sistema de revisión y firma del líder. Toda la información cargada en el sitio web debe ser revisada y firmada por el líder correspondiente antes de ser cargada. En segundo lugar, se llevan a cabo inspecciones de seguridad periódicas, principalmente supervisando ataques de inyección SQL, ataques de secuencias de comandos entre sitios y contraseñas débiles. , instalación de parches del sistema operativo y aplicaciones Instale parches de programas, instale y actualice software antivirus, detecte virus troyanos, abra puertos, abra derechos de administración del sistema, abra derechos de acceso, manipulación de páginas web, etc., y lleve cuidadosamente un diario de seguridad del sistema. .
(3) Situación laboral de emergencia
1. Realizar seguimiento diario de la seguridad de la información y alerta temprana.
Nuestro hospital ha establecido un mecanismo de alerta temprana y monitoreo diario de la seguridad de la información, ha mejorado su capacidad para responder a emergencias de seguridad de la información y de la red, ha fortalecido la seguridad de la información de la red y ha formado un trabajo de emergencia científico, eficaz y de respuesta rápida. Mecanismo que garantiza la seguridad física, la seguridad operativa y la seguridad de los datos de importantes sistemas de información informática, y minimiza el daño de las emergencias a la red del sitio web y a la seguridad de la información.
2. Establecer procedimientos de manejo de respuesta y notificación de incidentes de seguridad.
Nuestro hospital ha establecido y mejorado un sistema de gestión de emergencias con responsabilidades jerárquicas y ha mejorado el sistema de responsabilidad de gestión de seguridad diaria. Los departamentos pertinentes desempeñan sus respectivas funciones y hacen un buen trabajo en la gestión diaria y la respuesta a emergencias. Establecer informes de incidentes de seguridad y los procedimientos de manejo correspondientes, y realizar diferentes procedimientos de informes y procesamiento de respuestas de acuerdo con la clasificación y graduación de los incidentes de seguridad.
3. Desarrollar planes de emergencia, realizar simulacros periódicos y mejorarlos continuamente.
Nuestro hospital ha formulado un plan de emergencia de seguridad, ha iniciado los procedimientos de emergencia correspondientes basados en información de alerta temprana, ha fortalecido el trabajo de guardia y ha realizado diversos preparativos para la respuesta de emergencia. Realizar periódicamente planes de alerta temprana para mejorar continuamente la viabilidad y operatividad de los planes de alerta temprana.
(4) Educación y capacitación en seguridad
Para garantizar el funcionamiento seguro y eficaz de la red de nuestro hospital y reducir las intrusiones de virus, nuestro hospital ha realizado capacitación sobre seguridad de la red y seguridad del sistema. conocimientos relacionados. Durante este período, llevamos a cabo consultas detalladas sobre problemas relacionados con la informática encontrados en el trabajo real y recibimos respuestas satisfactorias.
Tres. Problemas de seguridad de la información y la red
Después de la inspección de seguridad, la situación general de seguridad del sistema de información de nuestra unidad es buena, pero también hay algunas deficiencias:
1. Los empleados no tienen suficiente educación en seguridad de la información y carecen de iniciativa y conciencia para mantener la seguridad de la información.
2. El mantenimiento y las actualizaciones de los equipos no son lo suficientemente oportunos.
3. Hay poco personal profesional y técnico, capacidades limitadas de seguridad del sistema de información y es necesario mejorar el nivel de tecnología de seguridad del sistema de información.
4. Es necesario mejorar aún más el mecanismo de trabajo de seguridad del sistema de información.
IV.Medidas de mejora de la seguridad de la red y de la información
En base a las deficiencias detectadas durante la autoexploración y la situación real de nuestro hospital, nos centraremos en la subsanación desde los siguientes aspectos:
p>
En primer lugar, continuar fortaleciendo la educación sobre seguridad de la información para todos los empleados y mejorar su iniciativa y conciencia al realizar el trabajo de seguridad.
El segundo es fortalecer efectivamente la implementación del sistema de seguridad de la información, verificar la implementación del sistema de seguridad de vez en cuando, responsabilizar estrictamente a las personas responsables por causar consecuencias adversas y mejorar la conciencia de seguridad del personal.
En tercer lugar, debemos fortalecer la capacitación del personal profesional de tecnología de la información y mejorar aún más el nivel técnico del trabajo de seguridad de la información, de modo que podamos fortalecer aún más la prevención de seguridad y la confidencialidad de los sistemas de información informática.
El cuarto es aumentar el mantenimiento de líneas, sistemas y equipos de red, y al mismo tiempo aumentar la actualización de los equipos del sistema en respuesta al rápido desarrollo de la tecnología de la información.
El quinto es innovar y mejorar el mecanismo de trabajo de seguridad de la información, estandarizar aún más el orden de la oficina y mejorar la seguridad del trabajo de la información.
Verbo (abreviatura de verbo) Opiniones y sugerencias sobre cómo fortalecer el trabajo de seguridad de la información
Hemos descubierto algunas debilidades de gestión en el proceso de gestión. En el futuro, nos centraremos en las siguientes mejoras. Se debe hacer en varios aspectos:
En primer lugar, realizar inmediatamente rectificaciones de líneas irregulares y expuestas en un plazo determinado, y garantizar la prevención de roedores y la seguridad contra incendios.
El segundo es fortalecer el mantenimiento de los equipos y reemplazar y reparar rápidamente los equipos defectuosos.
En tercer lugar, durante el autoexamen, se descubrió que algunas personas no tenían una gran conciencia sobre la seguridad informática. En el trabajo futuro, continuaremos fortaleciendo la educación sobre concientización sobre seguridad informática y la capacitación en habilidades de prevención para que los empleados sean plenamente conscientes de la gravedad de los casos de computadoras. Combine defensa civil y defensa técnica para hacer un buen trabajo en el trabajo de seguridad de la red de la unidad.
Informe resumido de inspección de seguridad de la red hospitalaria 2 De acuerdo con el espíritu de los documentos superiores de gestión de seguridad de la red, la Oficina de Educación del Condado xx estableció un grupo líder en seguridad de la información de la red. Bajo el liderazgo del líder del equipo, el subdirector Zeng, formulamos planes, aclaramos responsabilidades, las implementamos en detalle y llevamos a cabo una investigación exhaustiva de la red y la seguridad de la información de nuestro sistema. Descubrir, analizar y resolver problemas asegura el buen funcionamiento de la red y proporciona una sólida plataforma de soporte de información para el desarrollo educativo de nuestro condado.
Primero, fortalecer el liderazgo y establecer un grupo de liderazgo en seguridad de la información y la red.
Para fortalecer aún más la gestión de seguridad de los sistemas de información de red de todo el sistema, nuestra oficina ha establecido un grupo líder para el trabajo de confidencialidad y seguridad de sistemas de información y redes para garantizar una división clara del trabajo y responsabilidades específicas. El líder del grupo líder de trabajo de seguridad es Zeng, el líder adjunto es Wu Wanfu y los miembros son Liu y Su Yu. La división del trabajo y las responsabilidades respectivas son las siguientes: El subdirector Zeng es la primera persona responsable de la seguridad y confidencialidad de las redes informáticas y los sistemas de información de nuestra oficina, y es totalmente responsable de la gestión de la seguridad de la información y las redes informáticas. Wu Wanfu, director de la oficina, está a cargo de la gestión de la seguridad de la información y las redes informáticas. Liu es responsable de los asuntos diarios de la gestión de la seguridad de la información y las redes informáticas, y recibe información y documentos emitidos por las autoridades de educación superior. Wang Zhichun es responsable de la coordinación y supervisión diaria de la gestión de la seguridad de la información y las redes informáticas. Su Yu es responsable del mantenimiento de la red y la gestión técnica diaria.
En segundo lugar, mejorar el sistema para garantizar que el trabajo de seguridad de la red tenga reglas a seguir.
Para garantizar el funcionamiento normal y el desarrollo saludable de la red informática de nuestro sistema, fortalecer la gestión de la red del campus y estandarizar el comportamiento de uso de la red, de acuerdo con las "Medidas de gestión de la red informática de investigación científica y educativa de China (prueba) " y "Acerca del fortalecimiento adicional del "Aviso sobre la gestión de la seguridad de la red del sistema educativo" del condado de xx, y formuló las "Medidas de gestión de la seguridad de la red del sistema educativo del condado de xx", el "Formulario de registro y revisión de divulgación de información en línea", el "Monitoreo de información en línea y Sistema de inspección", "manera" de gestión de seguridad de la red del sistema educativo del condado xx".
En tercer lugar, fortalecer la gestión y fortalecer las medidas de prevención de la tecnología de seguridad de la red.
La red informática de nuestro sistema cuenta con precauciones técnicas reforzadas. En primer lugar, Kaspersky Firewall se instala para evitar que virus e información errónea y reaccionaria invadan la red. El segundo es instalar dos tipos de software antivirus. El administrador de la red actualizará la base de datos de virus del software antivirus cada semana, actualizará el software antivirus de manera oportuna y resolverá los problemas de inmediato si los encuentra. En tercer lugar, la red está conectada a la red de protección contra rayos del edificio de oficinas. El departamento de informática reforzó puertas y ventanas, compró extintores de incendios y los colocó en lugares visibles para garantizar la protección contra rayos, robo y incendios del equipo, y garantizar la seguridad e integridad del equipo. Cuarto, actualice el sistema y el software del servidor de manera oportuna. Quinto, preste mucha atención a las noticias del CERT. En sexto lugar, haga una copia de seguridad de los archivos y recursos de información importantes de manera oportuna. Cree archivos de recuperación del sistema.
El grupo líder en seguridad de red de nuestra oficina lleva a cabo una inspección exhaustiva cada trimestre sobre la seguridad ambiental, la seguridad de los equipos, la seguridad de la información y la implementación del sistema de gestión de todo el sistema de sala de computadoras, las computadoras de la oficina de la escuela, las aulas multimedia y la escuela. aulas electrónicas, y corregir rápidamente los problemas existentes y eliminar los riesgos de seguridad.
Tercera parte del informe resumido de la inspección de seguridad de la red hospitalaria: Nuestro hospital implementa activamente los requisitos del "Aviso sobre cómo hacer un buen trabajo en el trabajo de seguridad de la red en los hospitales de nuestro condado" de la Oficina de Asuntos Ciberespaciales del Comité del Partido del Condado. Los líderes de nuestro hospital le dieron gran importancia y tomaron medidas inmediatas para completar con éxito el trabajo de seguridad de la información de la red durante el Día Nacional.
En primer lugar, conceda gran importancia e implemente las responsabilidades.
Nuestro hospital ha establecido un grupo de liderazgo de seguridad de red, con el director del Departamento de Información como líder y los directores de otros departamentos como líderes adjuntos y miembros del equipo.
Antes del 21 de septiembre, envíe la lista de líderes responsables, personas de enlace y formularios de autoverificación de seguridad de la red a la oficina del grupo líder de seguridad de la red, exigiendo a los miembros del equipo que enciendan sus computadoras las 24 horas del día y estén preparados para reflexionar e informar problemas de seguridad de la red. en cualquier momento.
Del 21 de septiembre al 10 de junio, xx aniversario del Día Nacional:
1. Los informes de seguridad de la información de la red requieren monitoreo las 24 horas.
2. Prevención y control de riesgos: si se descubre un problema, se debe detener en tres minutos; se debe informar al grupo de liderazgo de seguridad de la red en media hora; no hay problema, cero informes.
3. Todos los departamentos están obligados a informar el estado de seguridad de la información de la red desde las 15:00 hasta el día anterior.
En segundo lugar, reforzar las precauciones de seguridad y mejorar las capacidades de prevención de riesgos.
1. Verificar y actualizar la herramienta de comunicación del consultorio del hospital OA. Rectifique resueltamente el problema de los usuarios que utilizan contraseñas predeterminadas durante mucho tiempo y las contraseñas que permanecen sin cambios durante mucho tiempo.
2. El Departamento de Información adopta medidas como clasificación, copia de seguridad y cifrado de datos hospitalarios, controla estrictamente los derechos de acceso a los datos y descubre y maneja rápidamente situaciones anormales como el acceso no autorizado.
3. La pantalla LED en el área pública * * * del hospital está a cargo de una persona dedicada y se requiere una contraseña de alta seguridad para modificar el contenido.
En tercer lugar, estandarizar las operaciones de proceso y desarrollar buenos hábitos.
Todo el personal debe comprender la situación de seguridad de la red, cumplir con las normas de seguridad, dominar las habilidades operativas y esforzarse por mejorar las capacidades de seguridad de la red del hospital. Se proponen seis regulaciones para ayudar a todos a desarrollar buenos hábitos de seguridad de la red.
1. Está prohibido el uso de máquinas no confidenciales para procesar documentos confidenciales.
2. Está prohibido procesar y almacenar archivos y materiales internos en redes externas.
3. Todas las computadoras que funcionen deben tener configurada una contraseña de encendido.
4. Está prohibido configurar enrutadores inalámbricos y otros dispositivos inalámbricos en la red de trabajo.
5. Cuando las personas dejen sus ordenadores de trabajo, cortar estrictamente la red y el suministro eléctrico.
6. Está prohibido instalar juegos y otro software no laboral en los ordenadores de la red del trabajo.
Artículo 4 del Informe resumido de la inspección de seguridad de la red hospitalaria Después de recibir el aviso de rectificación de seguridad del sistema de información, supe por su empresa que los líderes de nuestro hospital le otorgan gran importancia e instruyen al Departamento de Información para realizar rectificaciones. según sea necesario. El estado de la rectificación ahora se informa de la siguiente manera.
1. Descripción general del nivel de protección de seguridad de la red en nuestro hospital
De acuerdo con los requisitos de los departamentos superiores y las autoridades de la industria, nuestro hospital concede gran importancia y lleva a cabo trabajos relacionados con la seguridad de la red. nivel de protección, que incluye principalmente la organización de sistemas de información, clasificación, archivo, evaluación de grado de protección, rectificación de seguridad de la construcción, etc. En la actualidad, los principales sistemas de información de nuestro hospital incluyen: Sistema Integrado de Información Empresarial. El sistema integral de información empresarial es una colección de los principales sistemas de información empresarial médica del Hospital Popular del Condado de Shangcheng. Los módulos funcionales del sistema incluyen principalmente el sistema de información hospitalaria (HIS), el sistema de información de laboratorio (LIS), el sistema de registros médicos electrónicos (EMRS) y el sistema de información de imágenes médicas (PACS). El Sistema de información hospitalaria (HIS), el Sistema de información de laboratorio (LIS) y el Sistema de registros médicos electrónicos (EMRS) fueron desarrollados y construidos por Fujian Hongyang Software Co., Ltd. con soporte técnico. Este sistema de información de imágenes médicas,
Nuestro hospital completó la clasificación, el archivo, la evaluación de protección de clasificación y la evaluación de expertos del sistema integral de información comercial en noviembre de 20xx. El nivel de protección de seguridad del sistema es el Nivel 2 (S2A2G2) y la agencia de evaluación de nivel de protección es Henan Tianqi Information Security Technology Co., Ltd. La conclusión de la evaluación de nivel de protección es básicamente la misma, con una puntuación integral de 76,02. Durante el proceso de evaluación, el Ministerio de Información ha rectificado problemas de seguridad que pueden rectificarse inmediatamente según las recomendaciones del evaluador, como refuerzo de la seguridad del servidor, ajuste de la política de control de acceso, instalación de software antivirus y adición de productos de seguridad. Actualmente, nuestro hospital está llevando a cabo la evaluación del nivel de protección de seguridad de la red del sitio web del portal.
2. Rectificación de problemas de seguridad
Los problemas de seguridad del sistema de información involucrados en este informe de rectificación son el contenido de la evaluación del sistema de información del hospital encargada por nuestro hospital en noviembre de 20xx, e incluye principalmente servidores de aplicaciones, vulnerabilidades del sistema operativo del servidor de bases de datos y vulnerabilidades de Oracle. En cuanto a las vulnerabilidades del sistema del servidor de aplicaciones, nuestro hospital se comunicó con la empresa de seguridad de manera oportuna.
Después de la comunicación, se cerraron algunos servicios y puertos del sistema y se actualizaron los paquetes de actualización del sistema necesarios para responder con prontitud. Con respecto a las vulnerabilidades de seguridad en la base de datos Oracle, nos comunicamos con empresas de seguridad y proveedores de software. Nuestro sistema HIS se puso en funcionamiento a finales de 20xx y la versión de la base de datos es Oracle 11g. Se puso en funcionamiento antes y las lagunas no se solucionaron a tiempo cuando se implementaron en el entorno de intranet.
Después de las pruebas, los desarrolladores de software descubrieron que reparar las vulnerabilidades de la base de datos Oracle afectaría el funcionamiento normal del sistema HIS y plantearía riesgos desconocidos. Para garantizar el funcionamiento seguro y estable del sistema de información y reducir los riesgos de seguridad que enfrenta el sistema de información, se adoptan principalmente medidas como controlar los permisos de acceso a la base de datos, cortar conexiones innecesarias al servidor y restringir los permisos del administrador de la base de datos para reducir. riesgos causados por vulnerabilidades de seguridad de la base de datos. Las medidas específicas son: primero, diferentes técnicos deben dominar los permisos de administración del servidor de la base de datos y la base de datos respectivamente; el segundo servidor de la base de datos solo permite que se conecten los servidores de aplicaciones con necesidades comerciales, y la base de datos de administración diaria adopta el modo de administración local y la base de datos. no proporciona acceso remoto al mundo exterior. En tercer lugar, se ha reforzado la seguridad de la base de datos, como establecer contraseñas seguras, habilitar funciones de auditoría de registros, deshabilitar los usuarios predeterminados de la base de datos, etc.
Nuestro hospital concede gran importancia a la seguridad de la red. La red del hospital ha sido equipada con productos de seguridad como firewalls, muros de gas, prevención de intrusiones, software antivirus en línea y administración de terminales de escritorio, y está en el proceso de comprar productos de seguridad como puertas de enlace, máquinas bastión y auditorías de registros. Al mismo tiempo, se estableció un equipo de seguridad de la red hospitalaria, con tres técnicos responsables de la gestión de la seguridad de la red, lo que mejoró enormemente el nivel de gestión de la seguridad de la red de nuestro hospital.
“Sin seguridad de la red, no hay seguridad nacional”. Como centro de tratamiento médico del condado, el hospital siempre prioriza la seguridad de la red de información y la seguridad médica, se mantiene al día con el desarrollo del hospital y las necesidades situacionales, promueve de manera científica y efectiva la construcción de seguridad de la red y acepta la supervisión y gestión de las autoridades competentes en todos los niveles.
Capítulo 5 del Informe Resumido de Inspección de Seguridad de la Red Hospitalaria Luego de recibir el "Aviso sobre la Emisión del Plan de Acción para la Inspección de Seguridad de la Red y la Información de la Industria de la Salud en la Ciudad XX", los líderes de nuestro hospital Le otorgó gran importancia e inmediatamente celebró una reunión con los jefes de departamento relevantes, estudió a fondo e implementó concienzudamente el espíritu del documento, comprendió completamente la importancia y la necesidad de realizar un autoexamen de seguridad de la información y la red y tomó medidas detalladas para usted. -trabajo de examen. El decano a cargo es responsable de organizar y coordinar los departamentos de inspección pertinentes y supervisar los proyectos de inspección. El Departamento de Información es responsable de inspecciones y autoexámenes específicos, registrar cuidadosamente los problemas descubiertos durante los autoexámenes y rectificarlos de manera oportuna.
Durante mucho tiempo, nuestro hospital siempre ha otorgado gran importancia a la seguridad de la red y la información en el proceso de construcción de informatización, y adoptó regulaciones nacionales de gestión de seguridad avanzadas y medidas efectivas de gestión de seguridad. Desde el 21 de agosto, todo el hospital ha realizado autoexámenes sobre la seguridad de la red y la información de acuerdo con las características correspondientes de la seguridad de Internet y la seguridad de la red de área local del hospital, hemos realizado inspecciones artículo por artículo para eliminar los riesgos de seguridad. La situación laboral de seguridad de la información de nuestro hospital se informa ahora de la siguiente manera.
1. Gestión de la seguridad de la red:
La red de nuestro hospital está dividida en Internet e intranet. Las dos redes están físicamente aisladas para garantizar su funcionamiento independiente, seguro y eficiente. Centrarse en llevar a cabo "tres investigaciones importantes de seguridad".
1. Seguridad del hardware, incluida protección contra rayos, protección contra incendios, antirrobo y conexión de alimentación UPS. La sala de servidores HIS del hospital está construida en estricta conformidad con los estándares de la sala de computadoras y los miembros del personal insisten en realizar inspecciones diarias para eliminar los riesgos de seguridad. Todos sus servidores, conmutadores multipuerto y enrutadores tienen protección de energía UPS, lo que puede garantizar que el equipo funcione normalmente en caso de un corte de energía a corto plazo y no se dañará por un corte de energía repentino. Además, las interfaces USB de todas las computadoras en la LAN están completamente cerradas, evitando efectivamente el envenenamiento o fugas causadas por medios externos (como unidades flash USB, discos duros móviles).
2. Seguridad de la red: incluida la estructura de la red, gestión de contraseñas, gestión de IP, gestión del comportamiento en Internet, etc. La estructura de la red incluye una estructura de red razonable, la estabilidad de la conexión de la red y el equipo de la red (conmutadores, enrutadores, transceptores de fibra óptica, etc.). ).Cada operador del sistema HIS tiene su propio nombre de usuario y contraseña, y se le conceden los permisos de operador correspondientes. No está permitido utilizar a otras personas para operar la cuenta. La cuenta está sujeta al sistema de gestión de "quien la usa, quién la administra, quién es responsable de ella".
Internet y LAN dentro del hospital tienen direcciones IP fijas, que el hospital asigna y administra de manera uniforme. No se permite agregar nuevas IP de forma privada y las IP no asignadas no pueden acceder a Internet. Para garantizar que Internet del hospital pueda satisfacer las necesidades normales de la oficina, el software de aplicación como P2P se bloquea a través del enrutador, lo que evita efectivamente que las personas usen las computadoras de la oficina para ver videos en línea y jugar juegos durante el trabajo, lo que mejora en gran medida la utilización de la oficina. La Internet.
2. Gestión de seguridad de la base de datos:
La base de datos que se ejecuta actualmente en nuestro hospital es la base de datos Jinwei HIS, que es la base para el funcionamiento normal del diagnóstico, tratamiento, fijación de precios y cobros del hospital. , consulta, estadísticas y otros negocios. Para garantizar el funcionamiento normal y eficiente de diversos negocios hospitalarios, la gestión de la seguridad de la base de datos es extremadamente necesaria. Las características de seguridad del sistema de base de datos están dirigidas principalmente a la protección técnica de los datos, incluida la seguridad de los datos, el control de concurrencia, la recuperación de fallas, la recuperación y copia de seguridad ante desastres de la base de datos, etc. Nuestro hospital toma las siguientes medidas para la seguridad de los datos: (1) Separe las partes de la base de datos que deben protegerse de otras partes.
(2) Utilice reglas de autorización, como cuenta, contraseña, control de permisos y otros métodos de control de acceso.
(3) Cifrar los datos y almacenarlos en la base de datos; si la aplicación de la base de datos desea compartir los datos con varios usuarios, varios usuarios pueden acceder a los datos al mismo tiempo. Este evento se llama evento concurrente. Cuando un usuario extrae datos para modificarlos, si otro usuario extrae los datos nuevamente antes de que la modificación se almacene en la base de datos, los datos leídos serán incorrectos. En este momento, es necesario controlar esta operación concurrente para eliminar y evitar dichos errores y garantizar la exactitud de los datos. El sistema de gestión de la base de datos proporciona un conjunto de métodos para detectar y reparar fallas a tiempo, evitando así la destrucción de los datos; El sistema de base de datos puede recuperarse lo más rápido posible de fallas que ocurren durante la operación del sistema de base de datos, que pueden ser errores físicos o lógicos. Por ejemplo, los errores de datos causados por el mal funcionamiento del sistema; la copia de seguridad de recuperación ante desastres de la base de datos es una parte extremadamente importante de la gestión de seguridad de la base de datos. Es la garantía final para el funcionamiento eficaz y seguro de la base de datos, y también es una medida eficaz para garantizar el funcionamiento a largo plazo. preservación a plazo de la información de la base de datos. El tipo de copia de seguridad que utiliza nuestro hospital es una copia de seguridad completa. Cada mañana se realiza una copia de seguridad de toda la base de datos, incluidos todos los objetos de la base de datos, como tablas de usuario, tablas del sistema, índices, vistas y procedimientos almacenados. Durante el proceso de copia de seguridad de datos, los servidores maestro y esclavo se ejecutan normalmente y el negocio de cada cliente puede continuar normalmente, es decir, copia de seguridad en caliente.
En tercer lugar, gestión de software:
En la actualidad, el software operativo de nuestro hospital se divide principalmente en tres categorías: sistema HIS, software de oficina de uso común y software antivirus. El sistema HIS es el software más importante en el funcionamiento diario de nuestro hospital y es la base para garantizar el funcionamiento normal de las actividades de diagnóstico y tratamiento del hospital. Desde su lanzamiento en 20xx, ha funcionado de manera estable sin mayores problemas de seguridad y se ha actualizado y enriquecido continuamente según las necesidades comerciales. Para los nuevos empleados, se llevará a cabo una capacitación antes de asumir el trabajo para explicar los procedimientos operativos y las especificaciones del sistema, incluido el conocimiento de seguridad, para garantizar que no se produzcan problemas importantes de seguridad durante el uso. El departamento de información del hospital instala y mantiene el software de oficina de uso común. El software antivirus es una herramienta eficaz para proteger los sistemas informáticos de virus, troyanos, manipulaciones, parálisis, ataques y filtraciones. Todas las computadoras están instaladas con software antivirus genuino (Rising Anti-Virus Software y 360 Security Guard), y la base de datos de virus se actualiza periódicamente para garantizar que las capacidades de defensa del software antivirus se mantengan siempre en un alto nivel.
Cuarto, respuesta de emergencia:
El servidor del sistema HIS de nuestro hospital funciona de manera segura y estable, y está equipado con una gran fuente de alimentación UPS en caso de una falla de energía a gran escala. interrupción, se puede garantizar que el servidor funcionará durante ocho horas. Aunque el sistema HIS del hospital ha estado funcionando bien durante mucho tiempo y el servidor no ha estado inactivo durante mucho tiempo, el hospital aún ha elaborado un plan de emergencia y ha capacitado a operadores de facturación y enfermeras. Si hay un corte de energía a gran escala o de larga duración en el hospital y el sistema HIS no puede funcionar normalmente, se activará temporalmente la carga manual, la contabilidad y la distribución de medicamentos para garantizar que las actividades de diagnóstico y tratamiento se lleven a cabo de manera normal y manera ordenada. Cuando el sistema HIS vuelva a funcionar normalmente, se repondrán las facturas y los artículos facturables.
En general, el trabajo de seguridad de la información y la red de nuestro hospital ha sido muy exitoso y nunca ha habido un incidente de seguridad importante. Todos los sistemas funcionan de manera estable y todas las empresas pueden funcionar con normalidad.
Sin embargo, el autoexamen también encontró deficiencias, como personal insuficiente de tecnología de la información en el hospital y capacidades limitadas de seguridad de la información; concienciación insuficiente sobre la seguridad de la información, y los departamentos individuales carecían de iniciativa y conciencia para mantener la seguridad de la información. En el futuro, es necesario fortalecer la capacitación del personal de tecnología de la información y mejorar aún más el nivel técnico de seguridad de la información; fortalecer la educación en seguridad de la información para todos los empleados del hospital y mejorar su iniciativa y conciencia en el mantenimiento de la seguridad de la información; aumentar la inversión en la construcción de informatización del hospital; y actualizar las configuraciones de los equipos informáticos, para mejorar aún más la eficiencia del trabajo y la seguridad del funcionamiento del sistema.
Después de una semana de autoexamen, nuestro hospital es plenamente consciente de que el trabajo de seguridad es un proyecto que requiere esfuerzos incansables. Al mismo tiempo, debemos seguir innovando y cambiando viejos métodos y conceptos de gestión para adaptarnos. Gestión de la seguridad ante las nuevas necesidades.
Informe resumido de inspección de seguridad de la red hospitalaria 6 Con el fin de fortalecer aún más la gestión de seguridad del sistema de información de nuestro hospital, fortalecer la conciencia sobre la seguridad y confidencialidad de la información y mejorar el nivel de seguridad de la información, según Salud Provincial y la Comisión de Planificación Familiar "Acerca de la red e información del sistema provincial de salud xx. Los líderes de nuestro hospital otorgan gran importancia a los requisitos del "Documento de aviso sobre el trabajo de inspección y supervisión de seguridad", establecen una agencia de gestión especial, celebran reuniones de los jefes de departamento pertinentes, Estudie en profundidad e implemente concienzudamente el espíritu del documento. Somos plenamente conscientes de la importancia del autoexamen de seguridad de la información y las redes. Se realizó un despliegue detallado del trabajo de autoexamen. El decano a cargo es responsable de organizar y coordinar los departamentos de inspección relevantes, supervisar los proyectos de inspección, establecer y mejorar el sistema de responsabilidad de confidencialidad de la seguridad de la red del hospital y las reglas y regulaciones relacionadas, implementar estrictamente varias regulaciones sobre seguridad y confidencialidad de la información de la red y realizar inspecciones especiales de Seguridad de la información de la red en todos los departamentos del hospital. La situación del autoexamen ahora se informa de la siguiente manera:
1. Situación básica de la construcción de la red hospitalaria
El sistema de gestión de información hospitalaria (sistema HIS) fue actualizado por xxXX Technology Co. Ltd. en XX. El mantenimiento mejorado de la recepción será responsabilidad de nuestro personal técnico, y el mantenimiento backend y el manejo de accidentes serán responsabilidad del personal técnico de xxxx Technology Co., Ltd.
2. Trabajos de autoinspección
1. Inspección de seguridad de la sala de ordenadores. La seguridad de la sala de ordenadores incluye principalmente seguridad contra incendios, seguridad eléctrica, seguridad del hardware, seguridad del mantenimiento del software, seguridad de puertas y ventanas y seguridad de la protección contra rayos. La sala de servidores del sistema de información del hospital está construida estrictamente de acuerdo con los estándares de la sala de computadoras y el personal insiste en realizar inspecciones diarias. Los servidores del sistema, los conmutadores multipuerto y los enrutadores tienen protección de energía UPS, lo que garantiza que el equipo pueda funcionar normalmente durante 3 horas en caso de un corte de energía y no causará daños al equipo debido a un corte de energía repentino.
2. Comprobación de seguridad de la LAN. Incluye principalmente estructura de red, gestión de contraseñas, gestión de IP, gestión de medios de almacenamiento, etc. Cada operador del sistema HIS tiene su propio nombre de inicio de sesión y contraseña, y se le conceden los permisos de operador correspondientes. No está permitido utilizar a otras personas para operar la cuenta. La cuenta está sujeta al sistema de gestión de "quien la usa, quién la administra, quién es responsable de ella". La LAN del hospital tiene una dirección IP fija, que el hospital asigna y administra de manera uniforme. No se pueden agregar nuevas IP de forma privada y las IP no asignadas no se pueden conectar a la LAN del hospital. Las interfaces USB de todas las computadoras de la red de área local de nuestro hospital están completamente cerradas, lo que evita eficazmente el envenenamiento o las fugas causadas por medios externos (como unidades flash USB y discos duros móviles).
3. Gestión de la seguridad de la base de datos. Nuestro hospital adopta las siguientes medidas de seguridad de datos:
(1) Separar las partes de la base de datos que necesitan ser protegidas de otras partes.
(2) Utilice reglas de autorización, como cuenta, contraseña, control de permisos y otros métodos de control de acceso.
(3) Las contraseñas de las cuentas de la base de datos son administradas y mantenidas por personal dedicado.
(4) Los usuarios de la base de datos deben cambiar sus contraseñas cada seis meses.
(5) Los servidores utilizan la virtualización para la gestión de la seguridad. Cuando haya un problema con el servidor actual, cambie a otro servidor a tiempo para garantizar el funcionamiento normal del negocio del cliente.
En tercer lugar, respuesta de emergencia
El servidor del sistema HIS de nuestro hospital funciona de forma segura y estable y está equipado con una gran fuente de alimentación UPS en caso de un corte de energía a gran escala. , se puede garantizar que el servidor funcionará durante aproximadamente seis horas. El sistema HIS de nuestro hospital acaba de ser actualizado y puesto en línea, y el servidor no ha estado inactivo durante mucho tiempo. Sin embargo, el hospital ha desarrollado un plan de emergencia y ha capacitado a operadores de facturas y enfermeras.
Si el sistema HIS no puede funcionar normalmente debido a un corte de energía a gran escala o a largo plazo en el hospital, se activará temporalmente la carga manual, la contabilidad y la distribución de medicamentos para garantizar que las actividades de diagnóstico y tratamiento se lleven a cabo de manera normal y ordenada. manera. Las facturas y los cargos se repondrán cuando el sistema HIS vuelva a funcionar con normalidad.
Cuarto, problemas existentes
El trabajo de seguridad de la información y la red de nuestro hospital se realiza cuidadosa y meticulosamente, y nunca ha habido un incidente de seguridad importante. Todos los sistemas funcionan de manera estable y todas las empresas pueden funcionar con normalidad. Sin embargo, el autoexamen también encontró deficiencias, como la falta de personal de tecnología de la información, capacidades limitadas de seguridad de la información, capacitación incompleta en seguridad de la información, insuficiente conciencia sobre la seguridad de la información, insuficiente iniciativa y conciencia de los departamentos individuales para mantener la seguridad de la información; malas condiciones de la sala de ordenadores. El equipo informático de algunos departamentos tiene una configuración baja y una larga vida útil.
En el futuro, es necesario fortalecer la capacitación del personal de tecnología de la información, mejorar el nivel técnico de seguridad de la información, fortalecer la educación en seguridad de la información para los empleados del hospital, mejorar la iniciativa y la conciencia de mantener la seguridad de la información y aumentar la inversión en la construcción de informatización hospitalaria, mejorar la configuración de los equipos informáticos y mejorar aún más la eficiencia del trabajo y la seguridad del funcionamiento del sistema.