2020年信息安全持續(xù)改進(jìn)報告

1、2020年度信息安全持續(xù)改進(jìn)報告近年來，我中心網(wǎng)絡(luò)信息系統(tǒng)建設(shè)發(fā)展迅猛，移動醫(yī)療、移動支 付、電子病歷、集成平臺等各類系統(tǒng)不斷上線。無處不在的網(wǎng)絡(luò)系統(tǒng)， 已成為維系中心日常工作的重要一環(huán)， 承載著維持各個部門正常運轉(zhuǎn) 的重任，給中心和患者帶來了極大的便利。在信息系統(tǒng)帶來便利的同時，其安全穩(wěn)定壓力越來越大，一旦發(fā) 生故障，輕則導(dǎo)致工作停滯，減低患者滿意度，重則導(dǎo)致數(shù)據(jù)泄露、 數(shù)據(jù)篡改或丟失，甚至引起醫(yī)患糾紛，帶來嚴(yán)重的法律和經(jīng)濟(jì)后果。因此，其安全性十分重要，可以說網(wǎng)絡(luò)信息系統(tǒng)安全管理是中心信息科日常維護(hù)工作的首要任務(wù)。中心結(jié)合日常監(jiān)督分析查找網(wǎng)絡(luò)信息系統(tǒng)管理中存在的主要問 題，引入FOCUS-P

2、DCA循環(huán)管理法，及時反饋和持續(xù)改進(jìn)網(wǎng)絡(luò)信 息安全管理中存在的不足，以期不斷提高和改進(jìn)中心網(wǎng)絡(luò)信息系統(tǒng)安 全質(zhì)量。圖一：FOCUS - PDCA循環(huán)管理法0成立改進(jìn)小組聚焦問題O明確現(xiàn)行流程和規(guī)范U 出現(xiàn)問題的根本原因分析改善問題S-選擇可改進(jìn)的流程一、發(fā)現(xiàn)問題（F）（一）管理層面1、制度不全:針對信息科內(nèi)部，無明確的信息安全崗、服務(wù)器管理崗、系統(tǒng)管理崗等崗位區(qū)分，導(dǎo)致分工不明確，很多交叉問題處理上存在漏洞。導(dǎo)致信息安全監(jiān)管上出現(xiàn)遺漏。針對中心員工，無明確的介質(zhì)管理制度。員工在工作中無法根 據(jù)相應(yīng)制度工作，使用自己的移動介質(zhì)在外面和中心終端進(jìn)行數(shù)據(jù)交 換，容易泄露中心數(shù)據(jù)以及傳播病毒。2、信息

3、安全培訓(xùn)教育不足，很多員工無法理解信息安全的重要性。3、無信息安全應(yīng)急演練，當(dāng)員工出現(xiàn)病毒感染、數(shù)據(jù)泄露的情況下無法第一時間上報也不能自己處理，任由事態(tài)蔓延。（二）信息系統(tǒng)物理環(huán)境層面1、機(jī)房從空間、監(jiān)控、UPS消防等方面已無法滿足日益增長的信息系統(tǒng)的需要圖二：雜亂的機(jī)房2、弱電井老舊，強(qiáng)電弱電不分離，加上這幾年信息設(shè)備的增長,弱電井在電源不足的情況下，只能插線板接插線的方式供電，在空間不足的情況下，只能把交換機(jī)擱置在機(jī)柜外面，造成線路凌亂，容易引起火災(zāi)和網(wǎng)絡(luò)環(huán)路圖三：凌亂的弱電井3、辦公室終端由于信息設(shè)備的增加和格局的改變，原有的信息接口和強(qiáng)電插座已不能滿足辦公的需求。 在節(jié)省費用的約束下，

4、后勤 保障科人員采用插線板接插線板的方式供電， 信息科人員采用交換機(jī) 接交換機(jī)的方式供網(wǎng)。日積月累，導(dǎo)致辦公環(huán)境線路凌亂，并且存在 火災(zāi)隱患。（三）終端機(jī)運行環(huán)境方面1、由于目前的防病毒、防入侵軟件授權(quán)數(shù)量有限，不能滿足全面 鋪開的原因，臨床多數(shù)終端上的殺毒軟件病毒庫不是最新的， 防病毒、 防入侵能力低。2、由于內(nèi)外網(wǎng)的分離，臨床終端電腦無法及時打補(bǔ)丁，存在安全 漏洞。3、辦公電腦存在防火墻關(guān)閉，沒必要打開的共享文件端口打開。4、辦公終端電腦沒有部署介質(zhì)訪問策略， 無法辨別合法與非法的 移動介質(zhì)。5、辦公終端電腦沒有安裝防數(shù)據(jù)泄露軟件， 不能有效防止數(shù)據(jù)的 泄露。（四）人員方面1、信息安全意識

5、淡薄。2、電腦沒設(shè)置開機(jī)密碼，無屏保密碼，下班離開后電腦不關(guān)機(jī)。3、存在私自搭建 WIFI情況。4、私自安裝未經(jīng)允許的軟件。二、成立改進(jìn)小組（Q1XX統(tǒng)籌規(guī)劃、組織會議、人員分工邢XX策劃執(zhí)行、標(biāo)準(zhǔn)化流程孫XX現(xiàn)狀調(diào)查、數(shù)據(jù)收集、結(jié)果分析、持續(xù)改進(jìn)趙XX實施和監(jiān)控三、明確流程和規(guī)范（C）1、現(xiàn)行安全狀況，信息安全薄弱環(huán)節(jié)。根據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳 輸和存儲的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評價。需 評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對中心造 成的影響。圖四：風(fēng)險要素關(guān)系圖類別風(fēng)

6、險點物理安全地震盜竊火災(zāi)UPS漏水滲水空調(diào)需擊設(shè)備故障網(wǎng)絡(luò)安全黑客攻擊病母入侵終端和應(yīng)用系統(tǒng)安全非法操作系統(tǒng)漏洞數(shù)據(jù)安全數(shù)據(jù)篡改數(shù)據(jù)丟失數(shù)據(jù)銷毀四、根本原因分析（U）根據(jù)GB/T 1.1-2009信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求，結(jié)合我中心實際網(wǎng)絡(luò)信息系統(tǒng)環(huán)境，欲提升我中心網(wǎng)絡(luò)信息系 統(tǒng)安全健壯性，需從以下幾個方面著手，詳見圖五：安全意識謹(jǐn)再非法操作天*應(yīng)急陸軍海埼.,交操機(jī)接交挨機(jī)大當(dāng)旅拽板掛.清我拒比惠葩案無方i婚.殺*枚件病毒庫無法及時更新承統(tǒng)補(bǔ)丁 無法在會并級 /共享城c WT開I"法介質(zhì)不能識別 部分終盤防火埴未開行,機(jī)房Zi?' /圖五：我中心信息系統(tǒng)安全問

7、題分析魚骨圖匯嵋星弱電井制度不全 安全培訓(xùn)不足 巡視灌劭不螭五、方案選擇（S）1、成立信息安全領(lǐng)導(dǎo)小組，明確小組成員工作職責(zé)。2、制定相關(guān)制度，從管理層面落實信息安全。3、做好信息安全應(yīng)急演練。4、機(jī)房搬遷。5、弱電井改造。6、終端線路整改。7、上線部署防病毒、防入侵系統(tǒng)，防數(shù)據(jù)泄露系統(tǒng)。8、實施全中心統(tǒng)一共享文件服務(wù)器，杜絕科室自建共享文件夾9、做好員工信息安全培訓(xùn)，提高員工安全意識，規(guī)范員工操作 六、計劃階段（P）活動過程2019 .012019.022019 .032019 .042019 .052019 .062019 .0720192019 .092019 .102019 .1120

8、19 .12責(zé)任人F 問題陳述孫川組織人員 c 謝征U工作分工謝征C現(xiàn)狀調(diào)查全體成員U分析原因全體成員S選擇最佳方案全體成員P改進(jìn)計劃謝征D實施和監(jiān)控趙文昌C結(jié)果分析孫川新流程標(biāo)準(zhǔn)化謝征n持續(xù)改進(jìn)孫川圖六：信息安全整改甘特圖信息安全整改任務(wù)分解表（見附件一）: 七、實施階段（D）（一）管理層面1、2019年10月15日中心黨委會通過信息安全崗位與職責(zé)規(guī)定，并于2019年10月21日開始執(zhí)行。2、2019年10月15日中心黨委會通過介質(zhì)管理制度，并于2019年10月21日開始執(zhí)行。3、中心于2019年7月下發(fā)信息系統(tǒng)故障應(yīng)急演練，于 2019 年8月進(jìn)行應(yīng)急演練。4、從2019年4月起，信息科信

9、息安全巡檢一月執(zhí)行一次。（二）主干網(wǎng)絡(luò)1、信息科2019年3月實施計劃新機(jī)房搬遷，于2019年5月成功 完成新機(jī)房的搬遷。圖七：新舊機(jī)房對比,于 2019年10月完2、信息科2019年7月實施計劃弱電井改造 成新弱電井的改造圖八：弱電井整改前后對比（三）接入層信息科聯(lián)合后勤保障科于2019年4月制定工作區(qū)強(qiáng)弱電線路改造 計劃，按科室、片區(qū)的劃分，于2019年11月完成工作區(qū)線路的整改。（四）操作系統(tǒng)信息科于2019年10月完成了防病毒、防入侵系統(tǒng)的采購，該系 統(tǒng)實現(xiàn)了補(bǔ)丁的及時更新，病毒庫的在線升級和介質(zhì)的管理， 并在部 署的時候給操作系統(tǒng)的防火墻打開，關(guān)閉不必要的共享端口。終端安全管理系統(tǒng)=

10、（基咄安全+弊端管地“統(tǒng)一管理保密可用優(yōu)出管理效率 提高員工效率員工碼客戶倒以 里醫(yī)超瞑企業(yè)徵料保障企業(yè)敏感信息 不被泄露保障企業(yè)終端可用 業(yè)務(wù)可持續(xù)省現(xiàn)及統(tǒng)一部署漆蹈園定 安至事他響應(yīng)慢集略高效百智能教摳分析安全事件告警 軟畫牛資產(chǎn)管理請應(yīng)反雜網(wǎng)箔防內(nèi)鬼員工行為肯理青流醬宙對線情和眼勢不 的無卦假擊啟動項管理 清理垃圾 內(nèi)存占用優(yōu)任 彈窗捆螂攔載防入侵上網(wǎng)行為管理 網(wǎng)絡(luò)誑量管理 弊端行為記錄U盤.網(wǎng)卡等外設(shè)管控UEB等硬件端口管控 云盤.IM等程序管控 的據(jù)訪問權(quán)限線或網(wǎng)空端口防火墻 黑客入侵行為分析 桀混入網(wǎng)準(zhǔn)入對抗新未知威脅 任DR）基利安全助病毒有殺和實時防護(hù)敷居文檔保護(hù)漏詞修復(fù)病毒庫

11、,補(bǔ)丁庫¥產(chǎn)品升級圖九：騰訊域點防病毒、防入侵系統(tǒng)功能概述（五）人員方面并于中心于2019年5月組織全中心工作人員參與信息安全講座;2019年7月下發(fā)信息系統(tǒng)故障應(yīng)急演練，并督導(dǎo)全中心參考信 息系統(tǒng)故障應(yīng)急演練制作自己科室的信息系統(tǒng)故障應(yīng)急演練。八、檢查階段（C）各項安全措施都是有效的、防范和降低了信息安全事件的發(fā)生。但有些措施（如：完全的內(nèi)外網(wǎng)隔離,445端口的關(guān)閉，全中心應(yīng)急演練的知曉率）由于種種原因，未能如期完成。九、鞏固成績，形成標(biāo)準(zhǔn)化（A）（一）分析總結(jié)1、制定和完善了一批安全管理制度，規(guī)范了中心在信息安全方面的操作。 未達(dá)到100%,仍有部分員工不熟悉。2、通過信息系統(tǒng)故障應(yīng)急演練,提高了信息安全意識，但知曉率3、通過新機(jī)房的搬遷，實現(xiàn)了未來10年信息化增長的服務(wù)器需求。4、弱電井的改造，提高了匯聚層交換機(jī)的抗風(fēng)險能力，但因為物理環(huán)境的制約，有些弱電井可擴(kuò)展性不高。5、防病毒、防入侵系統(tǒng)的上線，