信息安全總結匯總十篇
時間:2023-02-28 15:27:55
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇信息安全總結范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
時間:2015年7月16日
下午
地點:平輿縣人民醫院門診樓、內兒病區、婦外病區
參加科室:二甲辦、質控部、醫務部、護理部、門診部、藥劑科、財務科、功能科、檢驗科、CT、MRI、臨床科室2個(中醫科、神經外科)。
演練步驟:
1、16:30門診西藥房發現發藥時錯誤,電話報信息科9675。
2、信息科主班人員排查原因,發現中心機房UPS故障,導致信息系統完全癱瘓,故障需要2小時以上才能修復,信息科長將情況匯報給分管領導。信息安全應急領導小組副組長劉超指示啟動信息應急預案。
3、接到啟動信息系統應急預案后信息科及時通知相關職能科室啟動相應的內部應急預案。
4、設置5名志愿者模擬住院患者,門診患者分別模擬分診、掛號、就診、住院、檢查、報告、取藥全過程。
5、演練結束(按照信息系統應急預案,需要完成補錄的部門完成補錄為結束,補錄過程錄入到測試數據庫中)。
6、信息科負責信息應急演練的總結和聯席會議。
演練總結:
本次演練前信息科多次與各個科室溝通,科室內部進行培訓學習。整個演練過程基本完成計劃要求,但也存在一定的問題。
一、信息系統安全應急演練信息科反饋
存在問題:
1、手工劃價慢,找一個藥品劃價需要1分鐘
2、系統恢復正常后如何進行補錄
3、信息系統癱瘓后住院患者、門診病人無編號,無法對患者身份核查。
4、系統癱瘓后藥品領取不規范;
整改措施:
1.考慮門診收費電腦安裝單機版HIS軟件進行劃價收費。
2.對于門診患者,收費員按照患者姓名補錄各項診療項目并結賬,由相應的醫技科室執行完成。在院患者,醫療和護理補錄執行對應的醫囑信息。新入院患者由住院處辦理入院后,醫療和護理補錄執行對應的醫囑信息。
3.當信息系統癱瘓時辦理住院手續應有編號,質管部,財務科,醫務部協商編號規則為東1,東2...,西1,西2...,依此類推,區分東西區住院患者,以便臨床檢查核對,待信息系統恢復后重新編號,如系統癱瘓時間長,所用紙制病歷應保存完整,出院時附在電子病歷中,并加以說明。門診患者不再編號。
4、藥品的領取:有備用藥物的用備用藥品,無備用藥物的用藥品請領單。
5.其他科室存在的問題自行整改。
二、信息系統安全應急演練護理組反饋
存在問題:
1、新入院患者首次評估不全面,入院宣教內容缺少疾病、飲食方面的知識。
2、身份識別制度落實不到位(無查看有效身份證,上治療時無使用“開放式”提問)。
3、患者轉交接制度落實不到位(轉出科室登記本無接收科室人員簽名,接收科室接危重患者時無帶氧氣袋)。
4、兩個科室無使用“藥品請領單”。
5、醫療設備使用前后的告知不完善。
6、手衛生依從性差(操作前后不洗手)。
7、基于演練,患者不是真實患者,醫護人員無完全進入向對待真實患者的狀態,缺乏人文關懷。
三、信息系統安全應急演練藥劑組反饋
為配合這次演練,藥劑科事先組織進行演習,介紹流程,整個過程基本完成計劃要求,但也存在一定的問題。
1、處方書寫不完整。門診西藥調劑室共收到處方3張,書寫均不完善。2個處方藥品規格書寫錯誤。
2、藥劑人員劃價速度慢,劃價后沒有引導患者到收費處交費。
3、進行用藥交代時,呼叫患者姓名錯誤,把醫生姓名按患者姓名呼叫。
四、信息系統癱瘓應急演練醫務部督導檢查反饋
為驗證醫院信息系統安全應急處置預案的可行性,同時完善應急預案;提高相關部門及人員對于應急預案的知曉度和流程的熟練程度;落實核心制度、二甲條款內容,進一步提高醫療質量。平輿縣人民醫院醫務部、護理部、藥劑科、信息科、設備科等職能部門于2015年7月1
6日16:30對醫院信息系統癱瘓進行了演練,本次演練采取個案追蹤的方法,分別對高血壓、膽囊炎、腰腿疼三個門診患者及心肌梗死、腦出血兩個住院患者的就診、檢查、收費、取藥、緊急會診、緊急檢查、轉診、轉科、辦理住院、術前準備、術前檢查、術前麻醉訪視、緊急手術及急性心梗病人緊急溶栓治療等內容進行了督導檢查,此次追蹤共涉及28個二甲條款,現將存在問題反饋如下:
(一)、門診病人在診治中存在問題:
1、醫師在診治患者時詢問病史不詳細;體格檢查過于簡單(高血壓患者只測血壓);知情告知不詳細;
2、患者取藥時藥房人員未能嚴格執行查對制度;
3、患者取藥返回診室后,只交代口服藥物用法,未交代注意事項及復診時間等;
4、完成本崗位診療工作后未能主動指導患者進入下一診療環節;
5、行醫技檢查時未收票據、未進行身份核查及未執行雙簽字。
(二)、急性心梗患者在診治中存在問題:
1、患者入科室就診后,主治醫師在檢查后未下口頭醫囑時,護士即開始執行醫囑,行心電圖檢查;
2、護士在對患者身份核查時,只核查姓名,未對住院號及性別、年齡進行核查;
3、護士健康教育過于簡單,未針對病情做出相應的健康教育;
4、醫師在診治過程中未對患者進行病情評估;
5、神志清醒的患者病情及注意事項應告知患者本人,需告知家屬時應簽署授權委托書。
6、行心電圖檢查時未進行身份核查。
(三)、腦出血患者在診治中存在問題:
1、體格檢查不全面,只查瞳孔、心肺,未檢查肢體及神經系統;
2、醫師下達口頭醫囑,護士執行時未復述,心電圖未下達醫囑,甘露醇滴注時未快速滴注;
3、急會診會診醫師5分鐘到達,會診時主管醫師不在床邊,匯報病史簡單
4、CT申請單用病危通知單書寫,告知內容簡單
5、危重患者未執行先診療后付費
6、CT室未見CT申請單,無姓名,報告單腦出血未顯示左右側
7、CT室報告危急值未嚴格按危急值報告流程執行。
整改措施:
1、進一步加強業務學習,提高自身素質,增強責任意識;
2、嚴格按核心制度、二甲條款內容執行并落實,提高醫療質量,保障醫療安全;
篇(2)
(一)概況:我院信息化建設起步晚,基礎薄弱。在院領導的重視支持下,自2013年開始信息化建設得以快速發展。目前醫院設立單獨中心機房,配備有服務器、存儲、核心交換機、防火墻、UPS、VPN、IPS等專用設備。工作人員為4人,負責全院信息網絡建設,信息系統維護、軟硬件設備維護等工作。相繼建設運行的系統有:HIS系統、LIS系統、體檢系統、電子病歷等業務。
(二)關鍵信息基礎設施情況:我院關鍵信息基礎設施主要是業務類系統,負責全院醫療業務流程管理和質量管理、醫院日常辦公管理。醫院網站為托管模式,與我院內網完全分離,制定較為嚴格的管理及訪問規則,保證網站安全運行。
(三)醫院網絡安全主要工作情況:
(1)加強制度建設和培訓宣傳。我院近兩年完善了信息網絡管理及安全建設相關的管理制度、應急預案,制定了網絡及安全管理崗位職責、工作流程,開展了全員參與的信息網絡安全培訓,通過不斷的宣傳和督促,讓員工樹立信息網絡安全意識,主動參與網絡安全防護、防止信息泄露,確保醫院信息網絡運行安全。
(2)健全組織,強化責任。信息管理作為醫院管理的重要工作之一,院領導十分重視。醫院調整了信息化建設領導小組,由院長任組長,相關人員為成員。領導小組下設工作小組,由相關職能科室負責人、信息技術專業人員為成員。明確了包括醫院信息規劃、信息網絡建設、信息網絡安全、網絡應急、人員培訓等方面的職能職責。為了進一步落實各級主管部門強調加強網絡安全建設的要求,醫院成立了醫院網絡安全管理小組并明確責任。對照國家及上級有關部門的要求,不斷完善醫院信息網絡系統功能,不斷提升信息系統安全性與穩定性,滿足日益增加的信息網絡技術服務需求。
(3)加強信息科管理。科室內經常性對信息網絡安全工作加以強調,盡量安排人員參加每一次信息網絡安全知識培訓。落實機房中心設備定期巡查制度,及時排除隱患。信息科組織專人到科室開展信息網絡安全巡查,提醒和糾正員工在日常操作中不規范行為,減少隱患。對醫院重要數據庫數據采用每日備份,和定期拷貝備份的方式,確保數據安全。
(4)多種防護措施保證信息網絡安全。一是業務用局域網與互聯網物理隔離。同時連接的有醫保專網、新農和專網,與互聯網一樣通過防火墻設備進入。二是訪問公網的計算機均為固定IP,并綁定計算機,且與內網隔離。防止外來計算機的進入,帶來安全隱患。財務管理軟件系統的計算機連接財政專網與內網完全隔離。三是今年購置了一臺新IPS設備,嚴把入口,局域內網分區域分段管理,限制訪問權限,避免病毒全網傳播。四是院內局域網中客戶端均實行域控管理,對客戶端系統安裝均為本科專人管理預防病毒感染和威脅。五是重點部位重點管理,機房不準無關人員進入,系統數據庫均設置復雜密碼,專人保管。六是定期監控局域網內計算機是否異常,通過限制局域網內計算機使用U盤來防止病毒在網內傳播。七是服務器區關閉非必須端口,提升防護能力。八是對辦公使用的外網計算機,安裝了免費防病毒軟件。
二、主要存在的問題
盡管采取了一定的防范措施和手段,我們依然感覺到網絡發展之快,和現實工作對網絡的依賴程度之高,給我們的網絡管理帶來了很大壓力,特別是隨著業務的擴展和增加,以及上級各部門的工作通過互聯網完成的趨勢要求,網絡及數據安全問題的壓力陡增。通過自查及整改后防護有所好轉,但仍然存在一些問題,主要表現在:
(一)隨著互聯網+醫療的推進,未來將會多系統通過互聯網進入,對醫院局域網將帶來很大威脅,存在一定的安全隱患。醫院的業務系統獨成一體,在醫院內部應用,通過內部局域網的管理和控制,基本可以保證安全與穩定。但隨著各部門要求醫院實時上報相關數據,雖然大部分專線來完成數據傳輸,但也有通過公共互聯網進行上報如網上預約、線上線下支付等,對醫院的管理和安全防護帶來壓力。醫院目前的安全防護設備相對較少,僅靠人力被動處理,抵御能力有限。
(二)信息安全需要一定經費投入,對醫院來說有壓力。醫院也通過購置相關設備對醫院的信息安全進行一定的管理,但這些設備需要不斷的更新,需要費用不斷投入,而且因為價格過高而沒有單獨購置主要系統(操作系統、數據庫系統、網絡殺毒)的正版軟件,對安全來說沒有保障。
(三)安全防護本身就是一個難題,涉及的點面較多,普通應用人員對網絡威脅的辨別能力和防范意識不高,也容易產生隱患。而目前醫院網絡管理專業技術人員缺乏也是安全防護隱患存在的一個因素。
三、下一步工作措施及建議
通過本次的自查,我們將進行下一步整改,通過對制度的完善,加強培訓,增購設備等,使我院信息網絡安全進一步強化。下一步我們仍然會對照各級部門對信息網絡安全的要求,利用有限的資金做好安全防護,逐步達到信息安全管理工作的各項要求。
(一)加強信息安全組織管理。完善信息管理組織的職能,堅持定期開展專題工作會議,安排部署信息網絡建設及安全等各項工作。巡查常態化,通過督促檢查,提升員工安全防護意識。
(二)根據實際落實和變化情況,修訂完善細化各類規章制度,通過網絡宣傳、現場指導培訓、集中培訓等多種方式提高大家在網絡環境中的安全意識。辨識虛擬環境中的不安全因素。
篇(3)
一、 網站及業務系統軟硬件維護
2018年在網站和業務系統維護上面臨巨大的挑戰,在2018年6月其他區縣交易中心網站發生了網站被黑客攻擊的事件,并且我中心網站也面臨被攻擊的可能,在嚴峻的形式下,我科室積極開展網絡安全工作,及時與信息安全管理部門溝通,并與網站技術支持單位共同協作,從技術和制度上加強加固我中心網絡安全防護能力,通過多方努力化解了面臨的危機,保證了交易中心網站及系統的安全。
在分管領導的指示下,我科室配合軟件開發公司對我中心業務系統進行了功能性的升級和更新,此次更新進一步完善了系統功能,簡化了工作流程,提高了工作效率。
我科室在中心領導的指導和兄弟科室的幫助下,提起完成了重慶市工程建設項目電子招投標安排部署工作,這標志著我中心已具備使用全市統一的電子招投標系統進行開標、評標的能力。這將讓我縣工程項目招投標融入大數據互通互聯,工作效率、公開透明、市場競爭等方面將得到有效提升。
二、抽取及信息工作
2018年全年共成功完成各類抽取332次。其中完成專家抽取218次,小型預承包商抽取105次,其余中介機構抽取9次。全年在中心網站、重慶市公共資源交易網、重慶市政府采購網等媒體各類交易信息3280余條,
三、信息報送及統計工作
為及時反饋交易狀況,做好宣傳工作,今年在分管領導的指示下,我科室會同業務科室,將當日產生的開、評標信息、項目評審信息、項目質疑情況、項目掛網情況等工程建設交易活動信息及時上報給縣上相關領導。并按月做好交易項目統計工作,將產生的交易項目匯總后制作成分析報表,及時報送縣上各部門及領導。
四、不足之處
1、主動學習不夠,沒有深挖潛力,在業務學習方面有得過且過的落后思想。
2、自身技術還不夠硬,特別是網絡安全防護知識,還不足以應對可能面臨的各種危險情況,還需進一步學習提高。
3、信息科人手不足,長期一個人一個科室,面對工作任務集中的時候,不能面面俱到,往往顧此失彼。
篇(4)
按照國務院《生豬屠宰管理條例》、商務部《酒類流通管理辦法》的有關規定,根據市、縣的安排部署,我局專門成立了食品安全信用體系建設領導小組。副局長梁恩偉為組長,市場體系建設運行科科長杜英為副組長,領導小組下設辦公室,辦公室設在市場體系建設運行科,杜英兼任辦公室主任,科室其他人員為成員。確保食品安全工作落到實處,不走過場。
二、宣傳動員,提高認識
一是組織各鄉、鎮生豬屠宰管理人員認真學習《條例》和《管理辦法》,充分領會其精神,不斷增強了他們的法律意識;二是以專項整治為契機,切實加強宣傳力度,把《生豬屠宰管理條例》、《酒類流通管理辦法》印制成冊,上門送到各經營戶手中,緊緊圍繞《條例》開展多種形式的宣傳活動,利用各種會議、培訓等方式,打造聲勢;三是走訪各屠宰廠(場)、酒類食品經營戶,摸排我縣生豬、酒類的經營情況,做到監管心中有數,進一步督促經營者依法經營;四是鼓勵消費者對生豬、酒類等流通食品安全信用體系建設進行社會監督。
三、采取措施,強化管理
篇(5)
一、網絡安全管理:我院的網絡分為互聯網和院內局域網,兩網絡實現物理隔離,以確保兩網能夠獨立、安全、高效運行。
重點抓好“三大安全”排查。
1.硬件安全,包括防雷、防火、防盜和UPS電源連接等。醫院HIS服務器機房嚴格按照機房標準建設,工作人員堅持每天巡查,排除安全隱患。X光室、檢驗室都有UPS電源保護,可以保證短時間斷電情況下,設備運行正常,不至于因突然斷電致設備損壞。
2.網絡安全:包括網絡結構、密碼管理、IP管理、互聯網行為管理等;網絡結構包括網絡結構合理,網絡連接的穩定性,網絡設備(交換機、路由器、光纖收發器等)的穩定性。HIS系統的操作員每人有自己的登錄名和密碼,并分配相應的操作員權限,不得使用其他人的操作賬戶,賬戶施行“誰使用、誰管理、誰負責”的管理制度。疾病預防控制(含免疫規劃等)信息系統、婦幼健康信息系統都有專人負責操作,并簽訂安全承諾書。互聯網和院內局域網均施行固定IP地址,由醫院統一分配、管理,不允許私自添加新IP。
二、數據庫安全管理:我院目前運行的數據庫為HIS數據庫,是醫院診療、劃價、收費、查詢、統計等各項業務能夠正常進行的基礎,為確保醫院各項業務正常、高效運行,數據庫安全管理是極為有必要的。
數據庫容災備份是數據庫安全管理中極為重要的一部分,是數據庫有效、安全運行的最后保障,也是保障數據庫信息能夠長期保存的有效措施。我院采用的備份類型為完全備份,系統管理員手動將數據庫中數據備份到移動硬盤上。
三、軟件管理:目前我院在運行的軟件主要分為三類:HIS系統、常用辦公軟件和殺毒軟件。
篇(6)
這次培訓班的課程充實緊湊,涉及到辦公室工作的各大方
面,具體講授了以下專題:
財政部辦公廳秘書處邱玲處長講授的《認真執行國務
院公文處理辦法進一步提高財政公文質量》。內容包括:
()年月了《國家行政機關公文處理辦
法》,相較于舊的《辦法》,作了重要的修改并新增了不少內容。(具體內容見材料)
()公文辦理中需要注意的問題和常見差錯。其中,主
要講解了“函”這一文體。“函”說白了就是非文件,是一個大類。相較于正式的“文件”,函的形式更靈活、運作的過程更簡便。
府辦公廳秘書處馮宏梅處長講授《關于國家行政機關
公文格式的若干問題》。對公文的格式作了具體而詳盡的總結。
()介紹了公文的種類。分為①文件式(紅頭文件);②信函式、命令式;③會議紀錄、電報;
()介紹了文件式的格式,文件式是公文中最常用的
文體,包括版頭(眉首)、主體、版記三部分,每一部分都有具體而詳盡的規定;
()介紹了信函式、命令式的格式;
()介紹了會議紀要的格式;
()介紹了省政府辦公廳的動作。即收文、分辦、辦
理、呈送、核稿、審批、發文(對外發文)、督辦、返譴、歸檔的全套模式。
廣東省檔案局石大泱處長講授《加強機關檔案工作、提高檔案水平》。內容涉及以下三個方面:
()《檔案法》對機關檔案工作的規定。重點指出行政部門形成的檔案是國家檔案的重要組組成部分。受國家重點保護;要求行政部門檔案要集中統一管理,要維護檔案完整。
()檔案工作與機關工作的聯系。石處長指出檔案工作是各項業務工作的一個基礎,機關工作的過程、結果都客觀地記在檔案中。同時,檔案材料也是加強機關管理的基礎材料、是機關領導決策的重要參考、是開展機關各項研究工作的重要材料、是編史修志的第一手材料。
因此,機關部門應對檔案工作給予高度的重視。
政府辦公廳信息處羅展懷處長講授《政務信息工作理
論與實踐》。主要內容包括:
()怎樣看待信息工作。首先認識信息工作的特點:對
現實情況反映快、涉及社會經濟的范圍廣、形式靈活。其次是了解信息工作的作用:是領導了解各方面工作的渠道,可以讓領導掌握社會動態;是向領導同志匯報工作、擴大影響的經常性渠道;是反映問題和解決問題的一個途徑;可以成為推動政府轉變職能、轉變工作作風的有力手段。
()信息工作的具體內容。作為政務信息,包含了三個
層面:為上級領導服務;為本級領導服務;為下級領導服務。
二、培訓心得
各級領導在培訓班上的發言、授課,對辦公室作為一切工作運轉中心的重要地位給予了高度肯定,對今后更好地開展辦公室各項工作提出了新的建議:
邱玲處長在如何提高財政公文質量的問題上提出在辦公室的具體工作中,首先要深入學習年的新《辦法》,嚴格按照新《辦法》的各項規定進行公文寫作,務求格式規范、內容嚴謹;
其次是要深入了解新《辦法》中提出的“函”這一形式,相較于文件,“函”的靈活和運轉的簡便有助于減輕繁雜的辦公室事務。一些重要性、緊急性低的內容應多用“函”的形式發出,以簡便流程、減輕辦公室的工作量。
馮宏梅處長在公文格式的問題上提出各級機關部門應嚴格把住公文的格式關,將格式上的錯誤降到最低點。
同時,馮處長也介紹了省政府辦公廳的運作過程以供各級機關部門參考:①收文,由秘書處資料科收文,包括上級、同級、下級各方面的來文,分為閱卷和辦卷來進行登記,分送承辦的科室;②辦理,由省政府辦公廳綜合一二處辦理,收文后每人簽收,按規定處理,將不符合要求的文退回,將不屬于本處職權范圍內的文再分送;③承送,報送領導審批;④核稿,是正式文件的核稿,領導審批完付印前由辦公廳主任最后審核,再由秘書處審核一次,有原則性改動的重新審批,沒有原則性改動的可付印;⑤發文,由發行科發文,電報則由省委機要局發出;⑥督辦,對已發文進行事后監督,包括電話催辦、領導上門等方式;⑦返譴,用領導批示回報表,復印領導批示,送達先閱先批者處;⑧歸檔,書面存檔,方便以后查閱,將所涉及所有材料羅列。
此外,馮處長建議各級機關制作政務動態通報,將一天內重要領導批示,上訪情況等整理制文,第二天放至領導處,以全領導全面掌握情況。
石大泱處長對檔案工作提出了新的要求:首先是要對《檔案法》進行深入學習,將《檔案法》里的各項規定落實到各項具體的工作中;其次是認識到檔案工作與機關工作的密切聯系,在具體工作中加大對檔案工作的重視;再次是提出辦公室作為檔案工作的領導,應如何在具體工作中加強它的領導作用。
篇(7)
Research Into the Information Security Status Quo at Home and Abroad
Lin Lin
(Information Security Department of the Patent Office Beijing 100088)
【 Abstract 】 Through this topic research on the present situation of domestic and foreign information security analysis, for the planning of the information security system in our country and set up to provide reference and help for our country to establish scientific and perfect, standardization of information security system provides some reference opinions.
【 Keywords 】 information security; planning; specification; perfect; information system
1 引言
在當今全球一體化的環境中,信息的重要性被廣泛接受,信息系統在商業和政府組織中得到了真正的廣泛的應用。許多組織對其信息系統不斷增長的依賴性,加上在信息系統上運作業務的風險、收益和機會,使得信息安全管理成為信息化管理越來越關鍵的一部分。面對越來越嚴峻的安全形勢,世界各國高度重視信息安全保障。2015年已然過半,在安全行業,不同規模的攻擊者,無論是技術還是組織都在快速提升。相比之下美國信息安全保障體系建設比較完善,信息保障已成為美軍組織實施信息化作戰的指導思想。
國際上信息安全標準化工作興起于20世紀70年代中期,80年代有了較快的發展,90年代引起了世界各國的普遍關注。目前世界上有近300個國際和區域性組織制定標準或技術規則,與信息安全標準化有關的組織主要有幾個:ISO(國際標準化組織)、IEC(國際電工委員會)、ITU(國際電信聯盟)、IETF(Internet工程任務組)等。除了上述標準組織,世界各國的官方機構和行業監管機構還有許多信息安全方面的標準、指引和建議的操作實踐。
2 國外IT新技術信息安全
隨著全球信息化浪潮的不斷推進,信息技術正在經歷一場新的革命,使社會經濟生活各方面都發生著日新月異的變化。虛擬化、云計算、物聯網、IPv6等新技術、新應用和新模式的出現,對信息安全提出了新的要求,拓展了信息安全產業的發展空間。同時,新技術、新應用和新模式在國外市場的全面開拓將加快國外信息安全技術創新速度,催生云安全等新的信息安全應用領域,為國外企業與國際同步發展提供了契機。
2.1 云計算
“云安全”是繼“云計算”、“云存儲”之后出現的“云”技術的重要應用,已經在反病毒軟件中取得了廣泛的應用,發揮了良好的效果。在病毒與反病毒軟件的技術競爭當中為反病毒軟件奪得了先機。云安全聯盟CSA是在2009年的RSA大會上宣布成立的,云安全聯盟成立的目的是為了在云計算環境下提供最佳的安全方案。同時云安全聯盟列出了云計算的七大安全風險:(1)數據丟失/泄漏;(2)共享技術漏洞;(3)內部控制;(4)賬戶、服務和通信劫持;(5)不安全的應用程序接口;(6)沒有正確運用云計算;(7)透明度問題。
2.2 虛擬化
咨詢公司Gartner將虛擬化技術列為2013年十大戰略技術第一位,而在2014年初預測中,更是大膽斷言到2015年20%的企業將不再擁有IT資產,因為多個內在關聯的趨勢正在推動企業去逐步減少IT硬件資產,這些趨勢主要是虛擬化、云計算服務等。而虛擬化技術,作為云計算的一個支撐技術,必將成為未來最重要的最值得研究的IT技術之一。雖然目前針對各組件安全的保護措施不少,但是從CVE的公告中可以看出安全威脅仍然存在。目前針對虛擬化環境的主要威脅有三類:逃逸威脅、流量分析與隱蔽信道以及Host OS與Guest OS之間的共享問題。
2.3 物聯網
物聯網和互聯網一樣,都是一把“雙刃劍”。物聯網是一種虛擬網絡與現實世界實時交互的新型系統,其特點是無處不在的數據感知、以無線為主的信息傳輸、智能化的信息處理。根據物聯網自身的特點,物聯網除了面對移動通信網絡的傳統網絡安全問題之外,還存在著一些與已有移動網絡安全不同的特殊安全問題。這是由于物聯網是由大量的機器構成,缺少人對設備的有效監控,并且數量龐大,設備集群等相關特點造成的,這些特殊的安全問題主要有幾個方面:(l)物聯網機器/感知節點的本地安全問題;(2)感知網絡的傳輸與信息安全問題;(3)核心網絡的傳輸與信息安全問題;(4)物聯網應用的安全問題。
2.4 IPv6
為適應Intemet的迅速發展及對網絡安全性的需要,由IETF(The Internet Engineer Task Force)建議制定的下一代網際協議(IPNextGeneration Protocol,IPng),又被稱為IP版本6(1Pv6),除了擴展到128位地址來解決地址匱乏外,在網絡安全上也做了多項改進,可以有效地提高網絡的安全性。
由于IPv6與IPv4網絡將會,網絡必然會同時存在兩者的安全問題,或由此產生新的安全漏洞。已經發現從IPv4向IPv6轉移時出現的一些安全漏洞,例如黑客可以使用IPv6非法訪問采用了IPv4和IPv6兩種協議的LAN的網絡資源,攻擊者可以通過安裝了雙棧的使用IPv6的主機,建立由IPv6到IPv4的隧道,繞過防火墻對IPv4進行攻擊。
3 國外信息安全發展趨勢
據Gartner分析,當前國際大型企業在信息安全領域主要有幾個發展趨勢:(1) 信息安全投資從基礎架構向應用系統轉移;(2)信息安全的重心從技術向管理轉移;(3)信息安全管理與企業風險管理、內控體系建設的結合日益緊密;(4)信息技術逐步向信息安全管理滲透。結合大型企業信息安全發展趨勢,國際各大咨詢公司、廠商等機構紛紛提出了符合大型企業業務和信息化發展需要的信息安全體系架構模型,著力建立全面的企業信息安全體系架構,使企業的信息安全保護模式從較為單一的保護模式發展成為系統、全面的保護模式。
4 國外信息安全總結
信息安全在國外已經上升到了國家戰略層次,國外的信息安全總體發展領先于國內,特別是歐美,研究國外的信息安全現狀有助于我國的信息安全規劃。國外的主流的信息安全體系框架較多,都有其適用范圍和缺點,并不完全符合我國現狀,可選取框架的先進理念和組成部分為我國所用,如IATF的縱深防御理念和分層分區理念、ISO27000的信息安全管理模型、IBM的安全治理模塊等。
5 國內信息安全綜述
目前,國家開始高度重視信息安全問題,以等級保護和分級保護工作為主要手段,加強我國企事業單位的信息安全保障水平。 目前我國信息于網絡安全的防護能力處于發展的初級階段,許多應用系統處于不設防狀態,信息與網絡安全,目前處于忙于封堵現有信息系統的安全漏洞,要解決這 些迫在眉睫的問題,歸根結底取決于信息安全保障體系的建設。
6 國內信息安全標準
國內的安全標準組織主要有信息技術安全標準化技術委員會(CITS)、中國通信標準化協會(CCSA)下轄的網絡與信息安全技術工作委員會、公安部信息系統安全標準化技術委員會、國家保密局、國家密碼管理委員會等部門。
在信息安全標準方面,我國已了《信息技術 安全技術 公鑰基礎設施在線證書狀態協議》、《信息技術 安全技術 公鑰基礎設施證書管理協議》等幾十項重要的國家信息安全基礎標準,初步形成了包括基礎標準、技術標準、管理標準和測評標準在內的信息安全標準體系框架。
7 國內IT新技術信息安全
7.1 云計算
目前我國的云計算應用還處于初始階段,關注的重點是數據中心建設、虛擬化技術方面,因此,我國的云安全技術多數集中在虛擬化安全方面,對于云應用的安全技術所涉及的還不多。雖然當前眾多廠商提出了各種云安全解決方案,但云安全仍處于起步階段,除了可能發生的大規模計算資源的系統故障外,云計算安全隱患還包括缺乏統一的安全標準、適用法規、以及對于用戶的隱私保護、數據、遷移、傳輸安全、災備等問題。
7.2 虛擬化
由于虛擬化技術能夠通過服務器整合而顯著降低投資成本,并通過構建內部云和外部云節省大量的運營成本,因此加速了虛擬化在全球范圍的普及與應用。目前許多預測已經成為現實:存儲虛擬化真正落地、高端應用程序虛擬化漸成主流、網絡虛擬化逐漸普及、虛擬化數據中心朝著云計算的方向大步邁進、管理工具比以往更加關注虛擬數據中心。在虛擬化技術應用方面,企業桌面虛擬化、手機虛擬化、面向虛擬化的安全解決方案、虛擬化推動綠色中心發展等領域也取得了長足進步,發展勢頭比之前預想的還要迅猛。
7.3 IPv6
我國IPv6標準整體上仍處于跟隨國際標準的地位,IPv6標準進展與國際標準基本一致,在過渡類標準方面有所創新(如軟線技術標準和 IVI技術標準等),已進入國際標準。中國運營企業在IPv6網絡的發展,奠定了中國在世界范圍內IPv6領域的地位,積累了一定的運營經驗。但總體來看,我國IPv6運營業發展緩慢,主要體現在IPv6網絡集中在骨干網層面,向邊緣網絡延伸不足,難以為IPv6特色業務的開發和規模商用提供有效平臺。此外,由于運營企業積極申請IPv4地址,或采用私有地址,對于發展IPv6用戶并不積極,直接影響了其他產業環節的IPv6投入力度。
8 國內信息安全發展趨勢
隨著信息技術的快速發展和廣泛應用,基礎信息網絡和重要信息系統安全、信息資源安全以及個人信息安全等問題與日俱增,應用安全日益受到關注,主動防御技術成為信息安全技術發展的重點。
第一,向系統化、主動防御方向發展。信息安全保障逐步由傳統的被動防護轉向"監測-響應式"的主動防御,產品功能集成化、系統化趨勢明顯,功能越來越豐富,性能不斷提高;產品問自適應聯動防護、綜合防御水平不斷提高。
第二,向網絡化、智能化方向發展。計算技術的重心從計算機轉向互聯網,互聯網正在逐步成為軟件開發、部署、運行和服務的平臺,對高效防范和綜合治理的要求日益提高,信息安全產品向網絡化、智能化方向發展。網絡身份認證、安全智能技術、新型密碼算法等信息安全技術日益受到重視。
第三,向服務化方向發展。信息安全內容正從技術、產品主導向技術、產品、服務并重調整,安全服務逐步成為發展重點。
9 國內信息安全總結
國內的信息安全較國外有一定距離,不過也正在快速趕上,國內現在以等級保護體系和分級保護體系為主要手段,以保護重點為特點,強制實施以提高對重點系統和設施的信息安全保障水平,國內的信息安全標準通過引進和消化也已經初步成了體系,我國在規劃時,需考慮合規因素,如等級保護和分級保護。國內的信息安全體系框架較少,主要是等級保護和分級保護,也有國內專家個人推崇的框架,總體來講,以合規為主要目的。
參考資料
[1] 中華人民共和國國務院.中華人民共和國計算機信息系統安全保護條例.1994.
[2] 公安部,國家保密局,國家密碼管理局,國務院信息化工作辦公室.信息安全等級保護管理辦法.2007.
[3] ISO/IEC. Information technology――Security techniques――Information security management systems――Requirements.2005.
[4] ISO/IEC. Information technology――Security techniques――Code of practice for information security management.2005.
[5] Trustwave .2012 Global Security Report,2012.
篇(8)
按照2010年國務院批復的《推進三網融合的總體方案》要求,2013~2015年為推廣階段,該階段目標為:“總結推廣試點經驗,全面推進三網融合;自主創新技術研發和產業化取得突破性進展,掌握一批核心技術,寬帶通信網、數字電視網、下一代互聯網的網絡承載能力進一步提升;網絡信息資源、文化內容產品得到充分開發利用,融合業務應用更加普及,適度競爭的網絡產業格局基本形成;適應三網融合的體制機制基本建立,相關法律法規基本健全,職責清晰、協調順暢、決策科學、管理高效的新型監管體系基本形成;網絡信息安全和文化安全監管機制不斷完善,安全保障能力顯著提高。”根據上述階段目標,總體方案對網絡信息安全保障能力提出了明確的要求,為適應三網融合進程,我國廣電行業在實現技術突破,完成業務融合等措施的同時,需要從戰略的高度統籌考慮網絡信息安全保障問題,從機構調整、立法、關鍵基礎設施保護、技術研發、加強教育培訓、加強多方合作等角度全面的制定我國廣電網絡信息安全總體戰略規劃,分階段制定網絡信息安全總體目標,依據總體目標制定信息安全基本政策及具體措施,并依此來指導未來幾年內面臨三網融合不斷推進形勢下的廣電網絡信息安全保障工作。
1.2盡快建立適合三網融合新形勢的廣電網絡信息安全機制
隨著三網融合進程的不斷深入,電信、互聯網、廣電主體業務將相互開放和相互進入,網絡承載業務的變化必將對現有廣電網絡信息安全機制提出嚴峻的挑戰。因此,當前廣電行業對節目內容以及傳輸網絡的一些管理方式及監管機制也應因勢利導,系統分析及評估當前網絡信息安全風險及未來可能產生的變化,并針對這些新的變化調整自身管理方式和監管機制,盡快建立與三網融合進程相適應的新的廣電網絡信息安全機制。
1.3完善并制定新形勢下廣電網絡信息安全相關法律法規
自三網融合進程啟動以來,針對IPTV、網絡視頻等新媒體內容,我國廣電行業已出臺了一系列相關的法律法規對其進行監督管理。然而,隨著三網融合進程的不斷深入,電信、互聯網、廣電主體業務將不斷相互開放和相互進入,廣電網絡承載業務將不斷擴大,網絡覆蓋方式將涵蓋有線、無線、衛星等多種方式,用戶終端將從客廳電視擴展到PC、移動終端、手持終端等多種終端,業務運營模式也將多種多樣,面對上述不斷激增的新的變化,目前我國廣電行業的相關法律法規已不能全面系統地保障廣電網絡的信息安全。因此,完善并制定新形勢下廣電網絡相關法律法規的工作就迫在眉睫。
1.4完善新技術在廣電網絡應用的安全性及風險評估機制
當前,我國廣電運營商在三網融合進程不斷推進的形勢下,正受到來自電信以及互聯網運營商方面巨大的壓力,面對這種壓力,我國廣電運營商在穩固發展自身視頻業務的同時,也不斷嘗試開展新的融合業務,而支撐這些新業務的新技術也被引入到了廣電網絡中,這些新技術包括物聯網技術、移動互聯網技術、云計算、大數據技術等。新技術的應用推動了新業務的應用,提升了廣電網絡的競爭力,然而任何一種新技術的應用必然會帶來一定的安全威脅,如云計算的應用可能會對存在云端的用戶信息帶來一定安全威脅,物聯網大量使用無線通信、電子標簽和無人值守設備,這使得物聯網應用層隱私信息威脅問題會非常突出。而諸如移動互聯網、大數據等新技術也同樣存在不同的安全威脅。新技術在廣電網絡的應用是提升廣電網絡競爭力的必然需求,但如何安全的應用這些新的技術,盡量減少安全風險,這就要求我們盡早的對新技術在廣電網絡的應用安全性及風險進行系統的評估,建立科學的風險評估機制,分析這些新技術可能在哪些技術環節出現安全威脅,從而針對性的制定網絡信息安全對策,進而采取有效的網絡信息安全措施。
2三網融合背景下我國廣電網絡信息安全技術措施建議
2.1推進具有自主知識產權的廣電核心技術研發
2013年6月,美國前中情局(CIA)職員愛德華•斯諾登向全世界披露了美國國家安全局一項代號為“棱鏡”的秘密項目,棱鏡計劃(PRISM)是一項由美國國家安全局(NSA)自2007年小布什時期起開始實施的絕密電子監聽計劃,該計劃的正式名號為“US-984XN”。美國情報機構可通過直接接觸位于美國的互聯網和科技巨頭的用戶數據,從音頻、視頻、圖片、郵件、文檔以及連接信息中分析個人的聯系方式與行動。監控的類型有10類:信息電郵,即時消息,視頻,照片,存儲數據,語音聊天,文件傳輸,視頻會議,登錄時間,社交網絡資料的細節。這些巨頭主要包括谷歌、雅虎、微軟、蘋果、Facebook、美國在線、PalTalk、Skype、YouTube、思科等,他們向美國兩大情報機構開放服務器,使美國政府能夠輕而易舉地監控全球。在我國,以思科為例,思科參與了中國幾乎所有大型網絡項目的建設,涉及政府、海關、郵政、金融、鐵路、民航、醫療、軍警等要害部門的網絡建設,以及中國電信、中國聯通以及我國廣電網絡基礎設施建設。而微軟、Google和蘋果則掌握了中國的PC操作系統份額,在移動終端操作系統領域,蘋果的IOS及Google的Android操作系統更是平分天下。在廣電行業,智能電視操作系統及機頂盒也有部分采用Google的Android系統,這都為我國廣電網絡信息安全埋下了安全隱患。因此,需要研發一批具有自主知識產權的廣電網絡核心技術、關鍵技術、共性技術,以先進的自主技術支撐廣播電視裝備、軟件、系統的自主開發和應用,從而切實提高我國廣播電視領域的自主創新能力和技術裝備水平,排除因采用國外技術而可能隱藏的網絡信息安全隱患。
2.2推進適應融合網絡架構的網絡信息安全技術研發
隨著三網融合進程的推進,廣電網絡、電信網絡以及互聯網三網邊界日益模糊,同時,為提高廣電網絡的承載和覆蓋能力,有線、無線和衛星傳輸網絡的互聯互通和智能協同覆蓋也被提上了日程,此外,基于無線頻譜開展無線互聯網接入業務的呼聲也日益高漲。由此可見,當前的廣電網絡正在經歷著巨大的變革,與互聯網、電信網的融合,自身不同傳輸網絡之間的融合,新的移動互聯接入網絡的需求都使得處于“融合形態”廣電網絡架構發生了巨大的變化,這種變化相應地也帶來了新的安全威脅。因此,如何適應融合形態下的新型廣電網絡信息安全,推進適應融合網絡架構的網絡信息安全技術的研發也需要相關研究機構考慮,并加緊相關研究工作的實施。
2.3推進適應融合業務的網絡信息安全技術研發
網絡的融合,必然帶來的是網絡承載業務的融合,當前廣電網絡承載業務已不僅僅是客廳電視機終端上的視頻業務,點播業務、時移業務也經歷了很長時間的發展,基于移動終端的視頻業務正方興未艾,同時,各種數據業務也正由廣電網絡運營商提供給用戶使用,未來物聯網等新型業務也將由廣電網絡承載并提供給家庭用戶使用。融合業務給廣電網絡帶來了新的機遇,同時也給廣電網絡的信息安全帶來了極大的挑戰,為應對傳統視頻業務而采用的一系列信息安全技術在面臨新的融合業務時已經不足以保障用戶安全的使用和享受這些業務形式。因此,需要推進適應融合業務的網絡信息安全技術研發,真正使用戶放心安全的享受廣電網絡承載的多種融合業務。
2.4推進面向云計算、物聯網等新技術應用的網絡信息安全技術研發
通過之前的研究我們發現,進入21世紀第二個十年后,以云計算、物聯網為代表的新技術正在加快在廣電網絡的應用。然而,新技術在推動廣電網絡的巨大變革的同時,也帶來了新的安全隱患。以云計算為例,2010年3月云計算安全聯盟(CSA)的一份云計算主要威脅的報告中,就提出了云計算目前存在的七大安全威脅,而如果我們沒有及早對這些可能的安全威脅采取相應的安全技術和安全措施,一旦發生安全事故,就極有可能導致整個網絡的癱瘓,導致所有用戶信息的泄露,后果不堪設想。物聯網同樣存在著巨大的安全隱患,如果物聯網出現了被攻擊、數據被篡改等,并致使其出現了與所期望的功能不一致的情況,或者不再發揮應有的功能,那么依賴于物聯網的控制結果將會出現災難性的問題,如工廠停產或出現錯誤的操控結果此外,黑客等惡意攻擊者還有可能通過物聯網來獲取、處理、傳輸的用戶的隱私數據,如果物聯網沒有防范措施則會導致用戶隱私的泄露。因此,我們在推動云計算、物聯網等新技術在廣電網絡應用的同時,務必需要對這些新技術可能產生的安全威脅進行系統的估量,并加緊推進面向云計算、物聯網等新技術應用的網絡信息安全技術研發,從而在享受新技術帶來的“技術紅利”的同時,以技術的手段堵著可能的安全漏洞,真正確保新技術在廣電網絡的安全應用。
篇(9)
1. 檢察系統信息安全建設現狀
檢察機關計算機信息網絡從2000年開始規劃建設,至今已建立了從高檢院——省院——市院——縣(市、區)院的檢察機關三級專線網絡。全國檢察機關專線業務網絡屬于涉密業務專網,整個網絡和Internet 等非涉密網絡實現物理隔離。而在原有二、三級網絡系統的建設過程中,基于分步建設、不斷完善的總體建設方針,并未對整個網絡的安全保密系統建設做統一規劃和考慮,隨著二、三級網絡中應用系統的逐步推廣使用,如何有效保障整個網絡中涉密信息的生成、傳輸、存儲、訪問的安全保密性,就成為現階段整個系統建設中亟待解決的首要問題。
2. 檢察系統信息安全總體設計
2.1. 檢察系統信息安全需求分析
基于檢察系統計算機業務信息系統的應用與實際情況,在系統的安全保密性上,檢察系統的需求總的體現在信息系統安全、網絡安全、權限控制和計算機病毒防范、網絡物理隔離、安全保密管理六個大的方面。
其需求總體架構如下圖所示:
2.2. 檢察信息系統中的不安全因素
檢察信息系統中的不安全因素主要有以下幾個方面:
a. 線路建設不合理。綜合布線未按檢察系統涉密要求進行建設。
b. 設備選型不達標。采購的信息設備未達到國家規定的密級。
c. 病毒入侵與黑客攻擊.未使用的防病毒軟件、防火墻等不夠專業。
d. 使用人員的不良習慣與非法操作。未進行嚴格的使用培訓。
e. 網絡管理與相關制度的不足。管理制度不嚴格,執行力不強。
2.3. 檢察系統信息安全的設計原則
檢察信息系統安全設計圍繞以下六個方面進行設計:
機密性:確保信息不暴露給未經授權的實體。
完整性:只有得到允許的人才能修改數據,并且安全系統應能判別出數據是否已被篡改。
可用性:得到授權的實體在需要時可訪問數據,即攻擊者不能占用所有的資源而阻礙授權者的工作。
可控性:可以控制授權范圍內的信息流向及行為方式。
可審查性:對出現的網絡安全問題提供調查的依據和手段。
抗抵賴性:提供技術手段,防止對關鍵操作的抵賴。
2.4. 市級檢察信息系統安全的拓撲圖
3. 檢察系統信息安全設計內容
3.1. 綜合布線系統實現檢察專網全程屏蔽
檢察系統的信息線路分為檢察專網、政務網和外網,三網獨立進行設計。檢察專網必須嚴格按全程屏蔽進行設計和施工,與其他網絡在線路上分開設計敷設,從入網接口、核心交換、匯聚交換、桌面交換整個過程涉及的材料都必須達到國家涉密標準。
3.2. 使用的專網設備必須符合國家相應的密級標準
檢察專網中使用的硬件設備如接入設備、交換機、入侵檢測、防火墻、防毒墻、服務器、磁盤陣列等和軟件產品如網絡管理軟件、安全管理軟件、漏洞掃描系統、網絡行為管理、郵件系統、審計系統、防病毒軟件、桌面管理系統等必須具備國家頒發的相應涉密證書或認證。
3.3. 系統設計
系統設計包括結構設計、硬件設計和軟件設計。詳見圖2。
3.4. 做好權限管理
在國家保密局及高檢院的統一規劃和指導下,授權省檢察院建立基于用戶的權限控制系統,確保只有經過系統認證和授權的合法用戶才能進入計算機信息系統,使用網絡資源和進行業務系統應用。
3.5. 完善數據備份
檢察信息系統中的數據十分重要,必須做到本地備份和異地備份。下一級檢察機構除做好本地數據備份外,必須將數據傳送到上一級檢察機關進行異地備份。
3.6. 管理與培訓
通過行政管理措施、行政管理機制和軟硬件技術相結合,做到事先防范,事后補救的安全保密總體目標。通過安全教育與培訓,提高員工的安全意識,主動自覺地利用各種工具去加強安全性。
4. 總結與展望
檢察系統的信息安全涉及國家監督和國家公平,隨著網絡技術的發展,信息安全問題日益巨大的挑戰。特別是在屏蔽線路建設、信息隔離、入侵檢測、防木馬等方面還需進行不斷的探索。檢察系統的信息安全建設是一個長期的過程,需要在未來發展過程中不斷完善和提高,才能為整個檢察工作提供安全、可靠、準確、快速的信息服務支持。
參考文獻:
篇(10)
論文摘要:分析了目前威脅醫院網絡信息安全的各種因素結合網絡安全與管理工作的實踐,探討了構建醫院信息安全防御體系的措施。
中國醫院信息化建設經過20多年的發展歷程目前已經進入了一個高速發展時期。據2007年衛生部統計信息中心對全國3765所醫院(其中:三級以上663家:三級以下31o2家)進行信息化現狀調查顯示,超過80%的醫院建立了信息系統…。隨著信息網絡規模的不斷擴大,醫療和管理工作對信息系統的依賴性會越來越強。信息系統所承載的信息和服務安全性越發顯得重要。
1醫院信息安全現狀分析
隨著我們對信息安全的認識不斷深入,目前醫院信息安全建設存在諸多問題。
1.1信息安全策略不明確
醫院信息化工作的特殊性,對醫院信息安全提出了很高的要求。醫院信息安全建設是一個復雜的系統工程。有些醫院只注重各種網絡安全產品的采購沒有制定信息安全的中、長期規劃,沒有根據自己的信息安全目標制定符合醫院實際的安全管理策略,或者沒有根據網絡信息安全出現的一些新問題,及時調整醫院的信息安全策略。這些現象的出現,使醫院信息安全產品不能得到合理的配置和適當的優化,不能起到應有的作用。
1.2以計算機病毒、黑客攻擊等為代表的安全事件頻繁發生,危害日益嚴重
病毒泛濫、系統漏洞、黑客攻擊等諸多問題,已經直接影響到醫院的正常運營。目前,多數網絡安全事件都是由脆弱的用戶終端和“失控”的網絡使用行為引起的。在醫院網中,用戶終端不及時升級系統補丁和病毒庫的現象普遍存在;私設服務器、私自訪問外部網絡、濫用政府禁用軟件等行為也比比皆是。“失控”的用戶終端一旦接入網絡,就等于給潛在的安全威脅敞開了大門,使安全威脅在更大范圍內快速擴散。保證用戶終端的安全、阻止威脅入侵網絡,對用戶的網絡訪問行為進行有效的控制,是保證醫院網絡安全運行的前提,也是目前醫院網絡安全管理急需解決的問題。
1.3安全孤島現象嚴重
目前,在醫院網絡安全建設中網絡、應用系統防護上雖然采取了防火墻等安全產品和硬件冗余等安全措施,但安全產品之間無法實現聯動,安全信息無法挖掘,安全防護效果低,投資重復,存在一定程度的安全孤島現象。另外,安全產品部署不均衡,各個系統部署了多個安全產品,但在系統邊界存在安全空白,沒有形成縱深的安全防護。
1.4信息安全意識不強,安全制度不健全
從許多安全案例來看,很多醫院要么未制定安全管理制度,要么制定后卻得不到實施。醫院內部員工計算機知識特別是信息安全知識和意識的缺乏是醫院信息化的一大隱患。加強對員工安全知識的培訓刻不容緩。
2醫院信息安全防范措施
醫院信息安全的任務是多方面的,根據當前信息安全的現狀,醫院信息安全應該是安全策略、安全技術和安全管理的完美結合。
2.1安全策略
醫院信息系統~旦投入運行,其數據安全問題就成為系統能否持續正常運行的關鍵。作為一個聯機事務系統,一些大中型醫院要求每天二十四小時不問斷運行,如門診掛號、收費、檢驗等系統,不能有太長時間的中斷,也絕對不允許數據丟失,稍有不慎就會造成災難性后果和巨大損失醫院信息系統在醫院各部門的應用,使得各類信息越來越集中,構成醫院的數據、信息中心,如何合理分配訪問權限,控制信息泄露以及惡意的破壞等信息的訪問控制尤其重要:pacs系統的應用以及電子病歷的應用,使得醫學數據量急劇膨脹,數據多樣化,以及數據安全性、實時性的要求越來越高,要求醫院信息系統(his)必須具有高可用性,完備可靠的數據存儲、備份。醫院要根據自身網絡的實際情況確定安全管理等級和安全管理范圍,制訂有關網絡操作使用規程和人員出入機房管理制度,制定網絡系統的維護制度和應急措施等,建立適合自身的網絡安全管理策略。網絡信息安全是一個整體的問題,需要從管理與技術相結合的高度,制定與時俱進的整體管理策略,并切實認真地實施這些策略,才能達到提高網絡信息系統安全性的目的。
在網絡安全實施的策略及步驟上應遵循輪回機制考慮以下五個方面的內容:制定統一的安全策略、購買相應的安全產品實施安全保護、監控網絡安全狀況(遇攻擊時可采取安全措施)、主動測試網絡安全隱患、生成網絡安全總體報告并改善安全策略。
2.2安全管理
從安全管理上,建立和完善安全管理規范和機制,切實加強和落實安全管理制度,加強安全培訓,增強醫務人員的安全防范意識以及制定網絡安全應急方案等。
2.2.1安全機構建設。設立專門的信息安全領導小組,明確主要領導、分管領導和信息科的相應責任職責,嚴格落實信息管理責任l。領導小組應不定期的組織信息安全檢查和應急安全演練。
2.2.2安全隊伍建設。通過引進、培訓等渠道,建設一支高水平、穩定的安全管理隊伍,是醫院信息系統能夠正常運行的保證。
2.2.3安全制度建設。建立一整套切實可行的安全制度,包括:物理安全、系統與數據安全、網絡安全、應用安全、運行安全和信息安全等各方面的規章制度,確保醫療工作有序進行。
2.2.4應急預案的制定與應急演練
依據醫院業務特點,以病人的容忍時間為衡量指標,建立不同層面、不同深度的應急演練。定期人為制造“故障點”,進行在線的技術性的分段應急演練和集中應急演練。同時信息科定期召開“系統安全分析會”。從技術層面上通過數據挖掘等手段,分析信息系統的歷史性能數據,預測信息系統的運轉趨勢,提前優化系統結構,從而降低信息系統出現故障的概率;另一方面,不斷總結信息系統既往故障和處理經驗,不斷調整技術安全策略和團隊應急處理能力,確保應急流程的時效性和可用性。不斷人為制造“故障點”不僅是對技術架構成熟度的考驗,而且還促進全員熟悉應急流程,提高應急處理能力,實現了技術和非技術的完美結合。
2.3安全技術
從安全技術實施上,要進行全面的安全漏洞檢測和分析,針對檢測和分析的結果制定防范措施和完整的解決方案。
2.3.1冗余技術
醫院信息網絡由于運行整個醫院的業務系統,需要保證網絡的正常運行,不因網絡的故障或變化引起醫院業務的瞬間質量惡化甚至內部業務系統的中斷。網絡作為數據處理及轉發中心,應充分考慮可靠性。網絡的可靠性通過冗余技術實現,包括電源冗余、處理器冗余、模塊冗余、設備冗余、鏈路冗余等技術。
2.3.2建立安全的數據中心
醫療系統的數據類型豐富,在不斷的對數據進行讀取和存儲的同時,也帶來了數據丟失,數據被非法調用,數據遭惡意破壞等安全隱患。為了保證系統數據的安全,建立安全可靠的數據中心,能夠很有效的杜絕安全隱患,加強醫療系統的數據安全等級,保證各個醫療系統的健康運轉,確保病患的及時信息交互。融合的醫療系統數據中心包括了數據交換、安全防護、數據庫、存儲、服務器集群、災難備份/恢復,遠程優化等各個組件。
2.3.3加強客戶機管理
醫院信息的特點是分散處理、高度共享,用戶涉及醫生、護士、醫技人員和行政管理人員,因此需要制定一套統一且便于管理的客戶機管理方案。通過設定不同的訪問權限,加強網絡訪問控制的安全措施,控制用戶對特定數據的訪問,使每個用戶在整個系統中具有唯一的帳號,限定各用戶一定級別的訪問權限,如對系統盤符讀寫、光驅訪問、usb口的訪問、更改注冊表和控制面板的限制等。同時捆綁客戶機的ip與mac地址以防用戶隨意更改ip地址和隨意更換網絡插口等惡意行為,檢查用戶終端是否安裝了信息安全部門規定的安全軟件、防病毒軟件以及漏洞補丁等,從而阻止非法用戶和非法軟件入網以確保只有符合安全策略規定的終端才能連入醫療網絡。
2.3.4安裝安全監控系統
安全監控系統可充分利用醫院現有的網絡和安全投資,隨時監控和記錄各個終端以及網絡設備的運行情況,識別、隔離被攻擊的組件。與此同時,它可以強化行為管理,對各種網絡行為和操作進行實施監控,保持醫院內部安全策略的符合性。
2.3.5物理隔離
