為落實(shí)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》和《信息安全等級(jí)保護(hù)管理辦法》的各項(xiàng)規(guī)定，2019年3月28日，青海省公安廳網(wǎng)監(jiān)大隊(duì)隊(duì)長(zhǎng)遠(yuǎn)德鋒帶隊(duì)及省衛(wèi)健委一行共8人組成的專(zhuān)項(xiàng)檢查小組，針對(duì)臨近省份病毒爆發(fā)安全事件和醫(yī)院的信息網(wǎng)絡(luò)安全工作對(duì)青海大學(xué)附屬醫(yī)院進(jìn)行深入檢查。

檢查組現(xiàn)場(chǎng)聽(tīng)取了青海大學(xué)附屬醫(yī)院信息網(wǎng)絡(luò)管理中心主任趙小輝對(duì)醫(yī)院信息網(wǎng)絡(luò)安全工作的匯報(bào)，了解網(wǎng)絡(luò)安全工作的具體措施：

1.建立有完善的安全管理制度，詳細(xì)明確的人員責(zé)任體系，規(guī)范化的系統(tǒng)運(yùn)維管理體系，擁有標(biāo)準(zhǔn)化信息系統(tǒng)資產(chǎn)清單等。

2.做到常態(tài)化的應(yīng)急響應(yīng)機(jī)制。在統(tǒng)一的應(yīng)急預(yù)案框架下制定了不同事件的應(yīng)急預(yù)案，包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容。并定期組織開(kāi)展安全檢查、安全測(cè)試和應(yīng)急演綜。重大節(jié)日及敏感節(jié)點(diǎn)期間，加強(qiáng)對(duì)重要信息系統(tǒng)的安全監(jiān)控，加強(qiáng)值班，嚴(yán)防死守，可以隨時(shí)應(yīng)對(duì)各類(lèi)突發(fā)事件。

3.基礎(chǔ)網(wǎng)絡(luò)安全保障措施。在系統(tǒng)層次結(jié)構(gòu)方面，主要的網(wǎng)絡(luò)設(shè)備提供冗余的業(yè)務(wù)處理能力，采用雙機(jī)熱備結(jié)構(gòu)，滿足業(yè)務(wù)高峰和硬件冗余能力。

4.關(guān)鍵業(yè)務(wù)終端與服務(wù)器之間進(jìn)行傳輸路徑加密，防止信息資產(chǎn)泄露和丟失。

5.建立有安全的訪問(wèn)路徑安全策略等配置；嚴(yán)格執(zhí)行訪問(wèn)控制，在總體安全管理策略方針指引下，配置了可靠的訪問(wèn)控制列表，通過(guò)訪問(wèn)控制列表對(duì)系統(tǒng)資源現(xiàn)實(shí)允許或拒絕用戶訪問(wèn)，控制粒度為用戶組。

6.主機(jī)安全技術(shù)措施。啟用訪間控制功能，對(duì)登入網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別，實(shí)施應(yīng)用程序的訪問(wèn)控制功能，建立用戶分級(jí)制度。嚴(yán)格控制用戶組/用戶對(duì)系統(tǒng)功能和用戶數(shù)據(jù)的訪問(wèn)，依據(jù)主體訪問(wèn)控制策略授權(quán)，嚴(yán)格限制默認(rèn)用戶的訪問(wèn)權(quán)限。

7.病毒防護(hù)措施。建立病毒防御、檢測(cè)、清除流程，統(tǒng)一部署網(wǎng)絡(luò)反病毒軟件，及時(shí)升級(jí)網(wǎng)絡(luò)防火墻版本。

8.部署漏洞掃描設(shè)備，采用安全協(xié)議分析，對(duì)系統(tǒng)策略進(jìn)行評(píng)估與保障，建立入侵防御、安全審計(jì)、入侵檢測(cè)和防護(hù)等技術(shù)支持，做到及時(shí)應(yīng)急響應(yīng)。封堵病毒傳播端口。采用防火墻隔離、防惡意代碼、訪問(wèn)控制等技術(shù)，特別針對(duì)勒索病毒傳播的135、136、137、138、139、445、3389端口進(jìn)行了阻斷隔離并升級(jí)防病毒軟件，并且做到了對(duì)我院內(nèi)網(wǎng)設(shè)備進(jìn)行了徹底病毒查殺。

9.物理環(huán)境安全措施。嚴(yán)格執(zhí)行機(jī)房出入登記制度，機(jī)房出入專(zhuān)人責(zé)登記陪同記錄進(jìn)入的人員。設(shè)備或主要部件固定穩(wěn)固可靠依據(jù)防雷防火技術(shù)標(biāo)準(zhǔn)規(guī)范，機(jī)房滅火器等裝置均在有效期內(nèi)，保證可靠有效。

查組通過(guò)對(duì)醫(yī)院信息機(jī)房，安全設(shè)備及相關(guān)文檔資料的詳細(xì)檢查后，對(duì)醫(yī)院信息網(wǎng)絡(luò)安全工作做出了很高的評(píng)價(jià)，檢查組認(rèn)為醫(yī)院信息網(wǎng)絡(luò)安全工作做到了領(lǐng)導(dǎo)重視、組織有效；制度健全、責(zé)任落實(shí)，人員到位、職責(zé)明確，信息安全保護(hù)程度高。檢查中也發(fā)現(xiàn)了存在的問(wèn)題：一、制度雖全面但沒(méi)有做到細(xì)化于心；二、現(xiàn)有用戶密碼口令安全復(fù)雜度不夠，口令更換時(shí)限過(guò)長(zhǎng)；三、目前省衛(wèi)生專(zhuān)網(wǎng)和醫(yī)保網(wǎng)絡(luò)安全防范不到位，需增加安全硬件設(shè)備進(jìn)行加固。四、需要進(jìn)一步加快信息安全等級(jí)保護(hù)測(cè)評(píng)工作的進(jìn)度。

網(wǎng)絡(luò)安全和信息化事關(guān)經(jīng)濟(jì)社會(huì)發(fā)展大局。事關(guān)醫(yī)院的全面健康發(fā)展，檢查期間公安廳網(wǎng)監(jiān)大隊(duì)與青海大學(xué)附屬醫(yī)院副院長(zhǎng)樊海寧簽署了《網(wǎng)絡(luò)安全責(zé)任書(shū)》。因醫(yī)院未做等級(jí)保護(hù)專(zhuān)業(yè)測(cè)評(píng)工作，檢查組就此下發(fā)了《信息系統(tǒng)安全等級(jí)保護(hù)期限整改通知書(shū)》。按照等級(jí)保護(hù)要求對(duì)信息安全等級(jí)、分類(lèi)對(duì)信息安全工作中存在的問(wèn)題進(jìn)行整改，加大相關(guān)制度宣傳、落實(shí)和培訓(xùn)工作，并進(jìn)一步加強(qiáng)省衛(wèi)健委和公安機(jī)關(guān)的聯(lián)系，做到面對(duì)風(fēng)險(xiǎn)第一時(shí)間應(yīng)對(duì)，為“互聯(lián)網(wǎng)+醫(yī)療健康”應(yīng)用服務(wù)提供安全可靠的數(shù)據(jù)服務(wù)環(huán)境。

 供稿：信息網(wǎng)絡(luò)管理中心    王瑋

 攝影：宣傳中心    馬志強(qiáng)