内容发布更新时间 : 2024/5/18 21:16:09星期一 下面是文章的全部内容请认真阅读。
医院网络与信息安全类突发事件应急预案
为全面加强医院信息网络系统安全管理,提高对网络与信息安全类突发事件的应急处置能力,确保突发情况下信息系统安全稳定、持续运行,特制定本预案。
一、适用范围
本预案适用于应对以下事件:利用医院网络发送有害信息,可能造成严重后果的事件;窃取医院保密信息的事件;各种破坏医院网络安全运行的事件等。 二、领导机构
医院设立网络与信息安全类突发事件应急处置工作组。组长由分管院领导担任,副组长由信息中心主任、医保发展部主任担任,工作组成员由院办、党办、医务部、护理部、安保科等部门主要负责人组成。工作组办公室设在信息中心。工作组主要职责为:负责医院突发网络与信息安全类事件的应急处置工作,研究并采取应对措施,及时处置医院业务网络的突发安全事件;重大有害信息在医院网上大面积传播,或医院网络系统遭受大范围黑客攻击和计算机病毒扩散事件;及时处置医院网站主页被恶意纂改,交互式栏目发表反政府、分裂国家和色情内容的信息及损害国家、医院声誉事件等。
三、突发事件预防措施
(一)、建立健全机房管理制度。
1、每天安排技术人员24小时值班。主要职责是:巡视设备及系统的运行状况,发现异常情况及时报告,并提出初步处理意见,消除安全隐患。
2、制定来人来访登记制度,未经允许,无关人员不得进入数据中心控制区域。 3、新进人员应接受机房安全注意事项和应急措施的培训,达到要求方可上岗。 4、购置安装正版网络防火墙和网络版杀毒软件。安装其他软件或接收外部数据,必须先经过信息中心安全检查。
(二)、在数据中心机房和集中使用计算机办公区域采取防雷、防火、防水、防盗、防尘、防静电等措施。
(三)、建立数据库异地容灾备份系统,当本地信息管理系统因突发事件无法运转时,及时启用外地备用系统。确保社保各项业务不间断办理。
(四)、认真做好数据备份工作。每天做4次数据库完全备份,每天将备份数据另外复制到备份服务器。
(五)、加强医院网站的信息监控。网站负责人员密切监控网站信息内容,每天检视三次,合计时间不少于一小时。
(六)、加强医院网站信息发布的审核。对于论坛、患者咨询留言等交互式栏目,建立信息发布前的关键字或敏感词汇的自动过滤功能(关键字内容包含邪教术语、淫秽术语等等,定期更新关键字或敏感词汇,密切关注社会动态,对关键字或敏感词汇作及时调整);对于
新闻时事、时政类的稿件,在网站进行信息发布之前,必须做到部门负责人先审后发。
(七)、每年应选择一个适当时段,举行一次突发事件应急演练。通过演练来检验应急工作质量,增强职工安全意识,消除安全隐患。
四、应急措施
(一)、电力系统故障的应急处置流程 1、中心机房停电的处理
网络运行负责人应根据停电时间和UPS电池的供电能力,在保证重点网络关键设备用电的前提下,提出机房设备部分关机或全部关机方案,通知受影响的相关科室,安排人员按照规定的流程操作实施。
2、电力系统恢复供电后的处理流程
电力系统恢复供电后,院配电室应在第一时间通知信息中心,以便以最快的速度恢复关闭的网络设备。信息系统管理人员在接到通知后,按照规定的流程开启关闭相关设备。 (二)、消防系统应急处理流程
当出现火情、火灾时,发现人员应在最短时间内报告信息中心负责人。若火情严重时,应迅速拨打119电话报警,并尽可能采取一些简单可行的方法作初步处理,如:使用周围的灭火器、水源(在允许用水灭火的场合)或采用其他灭火措施、手段。进展情况随时向有关负责人报告。
(三)、网络信息系统故障的应急处置流程 1、报告和简单处理
网络设备、信息系统故障应由发现人通知信息中心,信息中心立即检查故障,进行初步故障定位。如果网络、信息系统出现比较严重的问题,对网络业务的正常运行造成较大的影响,需立即向有关负责人报告。 2、故障判断与排除
对简单故障,维护人员应迅速排除故障,解决问题并记录。如果需要更换设备,应上报负责人,经批准后马上更换故障设备,尽快恢复网络、信息系统运行。
在数据库遭致破坏或损毁时,及时启动灾难性数据恢复机制,应迅即启用容灾备份系统支持正常业务开展。
服务器等关键设备损坏后,值班人员应立即向信息中心负责人报告。信息中心技术人员立即查明原因。如果能够自行恢复,应立即用备件替换受损部件。如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。在硬件损坏修复时,遵守数据安全完整第一原则,首先在保证存储介质不受损伤的情况下进行维修。
3、网络线路故障排除
局域网中断后,信息安全相关负责人员应10分钟之内赶到网络控制室,查明故障原因。如属线路故障,应通知相关人员检修维护或重新安装线路。如属路由器、交换机等网络设备
故障,应立即从指定位置将备用设备取出接上,并调试通畅。如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试通畅。如发现属外部线路的问题,应与线路服务提供商联系,敦促对方尽快恢复故障线路。
(四)、大规模病毒(含恶意软件)攻击的应急处置 1、报告和简单处理
发现网络上有大规模病毒攻击的行为,任何人员都有义务向信息中心报告。由信息中心组织应急响应,切断受攻击计算机与网络的连接,停止一切操作、保护现场。
2、已知病毒的处理和恢复
使用最新版本杀毒软件对染毒计算机进行全面杀毒,并对染毒计算机系统进行漏洞修补。安全管理员确定没有病毒和安全漏洞后,再连接网络恢复使用。
3、未知病毒的处理和恢复
观察网管软件根据监视窗口的链路状态,由此判断感染病毒或恶意程序的客户端、服务器所科的楼层交换机。打开该交换机的端口流量分析窗口,根据流量判断感染病毒或恶意程序的客户端所科交换机端口。关闭该交换机端口,隔离该工作站、服务器,阻断与局域网的连接。根据端口状态功能,查看该感染病毒或恶意程序的工作站的IP地址。根据IP地址信息找到该工作站的具体位置,对该工作站进行病毒或恶意程序清除工作。
根据对于未知病毒,应首先尝试手工杀毒处理,若系统已被病毒破坏,无法恢复,应及时以母盘对该硬盘还原,防止病毒感染其他计算机。
(五)、网站、网页出现非法言论的应急处置
1、网站、网页管理人员发现在网上出现非法信息时,负责人员应立即向部门负责人通报情况。
2、情况紧急的,应先及时采取删除、或通知技术人员紧急关闭等处理措施,防止造成恶劣影响,再按程序报告;
3、技术人员应在接到通知后立即清理非法信息,强化安全防范措施,妥善保存有关记录及日志或审计记录,并将网站网页重新投入使用。 非法信息包括:
(1)、煽动抗拒、破坏宪法和法律、行政法规实施; (2)、煽动颠覆国家政权,推翻社会主义制度; (3)、煽动分裂国家、破坏国家统一;
(4)、煽动民族仇恨、民族歧视、破坏民族团结; (5)、捏造或者歪曲事实、散布谣言,扰乱社会秩序;
(6)、宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪; (7)、公然侮辱他人或者捏造事实诽谤他人 (8)、损害国家机关、医院信誉;