等级医院创建方案(通用8篇)
专科医院实施方案
为进一步规范医院管理,促进医疗服务和医疗质量的持续改进,确保医疗安全,提升医院整体层次。根据楚雄州卫生局的安排和《二级综合医院评审标准(2012年版)》,特制定《楚雄玛俐亚妇科医院创建二级乙等专科医院实施方案》。
一、指导思想
以医院等级评审为契机,全面贯彻落实科学发展观,牢固树立“以病人为中心,以质量为核心”的服务宗旨,以评促建,完善医院内涵管理,规范医疗服务行为,提升医院服务水平,提高医疗质量,保障医疗安全,促进医院科学化、规范化、标准化建设和可持续发展。
二、总体要求
(一)提高认识,加强领导。各科室要高度重视、统一思想、明确目标,要把创等评审工作作为2015-2016年工作重点来抓。科主任作为第一责任人,要严格按照具体目标和要求,精心安排,采取得力措施,认真抓好落实。
(二)广泛动员,全员参与。全院职工要以高度的责任感和使命感,以饱满的精神、十足的干劲投入到创等评审工作中来,坚持“以评促建、以评促管、以评促改、查建结合”的原则,采取边自评、边整改、边改善、边提高,将自评工作贯穿于评审工作的始终。
(三)重视软件,务求实效。以全面质量管理为重,不片面追求规模和设备,脚踏实地,严防“浮夸、弄虚作假、形式主义”等情况,针对未能按时间要求保质保量完成计划的科室第一责任人将追究责任,同时对此次医院等级评审工作中完成好的给予通报表扬及奖励。通过全院员工的共同努力,使医院综合实力得到进一步提升。
三、工作目标
对照《等级评审标准》,通过分阶段、抓重点、层层落实、逐项整改,确保分两年逐步实现二级乙等专科医院评审目标。
四、实施步骤
(一)动员部署阶段(2015年1-3月):完成评审的准备动员、启动工作。
1、成立医院等级评审工作领导小组、创建工作小组及办公室,制定并下发创等评审工作实施方案,对创等评审工作进行全面部署。
2、召开全院动员大会,在全院掀起医院等级评审活动的高潮。认真系统学习并掌握标准,全面掌握评审内容,发动全院每一位职工积极参与,并将任务分解落实到岗位和个人。
3、结合《二级综合医院评审标准(2012年版)》,各工作小组初步分解指标,自查找出差距,由医院创等办汇总整理,对照《二级综合医院评审标准(2012年版)》将评审项目再次分解到各工作小组,明确各组组长作为第一责任人,确保计划工作按时保质完成。
(二)组织实施阶段(2015年4-7月):对照《二级综合医院评审标准(2012年版)》全面开展自查,逐项进行整改。
1、分别召开临床医疗等各创建工作小组成员专题会议,研究布置等级创建相关工作。
2、各工作组根据医院下发的任务分解情况,结合《二级综合医院评审标准(2012年版)》,制定实施计划,完成具体任务。
3、创等评审领导小组每个月召开例会,通报工作进度,沟通工作信息,及时解决问题,提出下一步要求及工作重点,同时进行阶段工作评价及督促。
4、各工作组按照《二级综合医院评审标准(2012年版)》,布置相关科室部门逐项进行自查自纠,并开展持续质量改进,同时开展等级评审各项文字资料的准备工作。
6、申请州卫生局进行指导性评审,找出存在问题,各工作组根据检查反馈意见进行全面整改。
(三)持续改进阶段(2015年8-12月):对照前阶段整改情况开展模拟自评,查漏补缺、持续改进。
1、各工作小组按达标工作的实施情况,要有计划的多次组织自查,不断地查漏补缺。
2、医院统一组织,模拟州级评委评审方式,分专业组按《二级综合医院评审标准(2012年版)》进行一次全院性达标自查,对医院达标工作进行全面考评验收。
3、根据自查评审验收的得分情况,进一步补漏补缺。
(四)迎接评审阶段(2016年1月-3月):精心准备,全力冲刺,迎接州级评审。
1、对没有达标的项目采取扎实措施进行最后冲刺,迅速全面整改,落实整改责任人,明确整改时间。
2、医院创等评审办公室收集、整理全套达标自查资料,报医院创建领导小组审阅。
3、全院职工以良好的精神面貌、优质的服务、过硬的基本功,迎接州卫生评审委员会的领导和专家的考核评审。
五、工作重点及要求
(一)医院服务与管理 重点及要求:
1、严格按照《医疗机构管理条例》、《执业医师法》、《护士条例》要求,强化执业管理及人员资格准入管理,执业人员严格遵守医疗卫生各项法律、法规及规章制度。
2、健全院、科两级管理责任制,完善绩效管理,落实奖惩制度。加强管理人员的职业化培训。
3、医院人力资源配置合理。加强人才梯队建设,要有计划、有措施、有落实。
4、医疗管理职能部门加强质量管理、评价和监督工作。建立健全医疗质量、病案、感染、输血等组织管理及其工作制度,明确职能,履行职责。
5、健全科教管理组织制度,加强重点学科专科建设和全员培训。
6、能够系统、及时、准确收集、整理、分析和反馈有关医疗质量、安全、服务、费用的绩效信息,建立和完善采用PDCA方法开展自上而下、自下而上的持续质量改进管理机制。
7、财务、审计、物资管理等各项管理制度健全。严格医疗服务价格管理,严格执行国家价格政策。
8、设备实行科学管理,大型设备购置、使用、管理必须符合国家有关规定。
9、完善突发事件(包括突发公共卫生事件、灾害事故等)应急预案并组织演练,承担突发公共卫生事件和灾害事故的紧急医疗救援任务,组织开展包括医技科室在内的急救知识培训和演练。
10、加强医德医风建设,贯彻《医务人员医德规范及实施办法》。建立健全廉洁行医、依法行医措施,健全全院职工医德考核档案。
11、进一步落实医患沟通制度,定期征集患者的意见,及时、妥善处理和反馈患者投诉。
12、充分尊重和维护患者的诊疗服务知情同意权、参与权、隐私权、选择权,执行落实到位。
13、优化门诊、入出院流程,简化环节,开展预约诊疗,规范门诊就诊秩序管理,加强门诊医师出诊纪律管理,设立多项便民措施,缩短患者就诊等候时间。
14、提高医技科室工作效率,公开服务承诺,缩短出具检验、检查报告的时间。
15、合理控制费用,以病施治,合理检查、合理用药、合理治疗。加强对药品使用和均次费用的监管,平均住院日、病床使用率、门诊均次费用、住院均次费用、药品比例、抗菌素使用比例等医院服务效率指标符合要求。
16、健全完善患者投诉处理机制。
(二)医疗质量与安全 重点及要求:
1、完善医疗质量管理组织体系,医疗质量管理组织人员结构合理,院、科两级质量管理组织分工明确,协作机制健全。
2、质量控制方案切实可行。其包括:控制目标、监测指标、工作计划、主要措施、效果评价、信息反馈及考评奖惩等。
3、严格执行和落实各项核心制度,如首诊负责制度、三级医 师查房制度、疑难病例讨论制度、会诊制度、危重患者抢救制度、手术分级制度、术前讨论制度、手术安全核查制度、死亡病例讨论制度、分级护理制度、查对制度、病历书写基本规范与管理制度、交接班制度、临床用血审核制度等,有效防范、控制医疗风险,及时发现医疗质量和安全隐患并整改。
4、执行《诊疗常规》、《技术操作规程》等规范化要求,医务人员熟练掌握基本理论知识和基本技术操作。强化医疗执业活动中的关键环节管理。如:疑难、危重病人管理;围手术期管理、输血管理、药物不良反应监测及有创操作管理。
5、严格执行医疗技术准入制度,健全新技术、新业务准入管理制度和应急预案、处理措施。对新开展的医疗技术的安全、质量、疗效、费用等情况进行全程追踪管理和评价,及时发现医疗技术风险,并采取相应措施,以避免医疗技术风险或将其降到最低限度。
6、建立急诊、入院、手术“绿色急救通道”,急诊服务及时、安全、便捷、有效。布局合理。落实首诊负责制,危重病人抢救成功率、急救设施完好率等符合卫生部门规定。
7、临床科室实行院、科两级病历质量管理,加强运行病历的监控与管理,重点检查与医疗质量和患者安全相关的内容。
8、制定符合规定的标准化操作规程和管理制度,开展项目符合卫生部颁布的《医疗机构临床检验项目目录》,检验报告及时、规范、准确。规范“危急值”管理制度。
9、加强血液管理,落实《献血法》和《临床用血管理办法》、《临床输血技术规范》等有关规定,开展输液知识培训,促进合理用血,积极开展自体输血。
10、加强医学影像管理,完善各项规章制度、操作规程、检查诊断结果准确、及时、规范,符合相关标准。
11、严格执行药品管理的相关法律法规。制定和不断修订医院基本用药目录和处方集。认真执行处方点评制度,建立临床药师制度,开展临床用药的临床药学工作。
12、加强对医院感染控制重点部门的管理,包括感染性疾病科、手术室、重症监护室、口腔科、消毒供应室等。强化感染管理培训,有效控制医院感染的发生。
13、完善病案质量管理组织、制度及设施,使病案管理更加科学化和标准化。
14、加强临床护理工作,为患者提供优质的护理服务和护理专业服务,开展优质护理服务。正确实施各项治疗、护理措施,提供康复和健康指导,保障患者安全,提高护理工作质量。
15、制定重大医疗过失行为和医疗事故防范预案,及时报告、分析、处理重大医疗过失行为和医疗事故。
16、加强对放射科、检验科、药库、配电室、压力容器等重点部门的安全管理。
(三)技术水平与效率 重点及要求:
1、各临床科室完成评审前1年内的技术病历准备,完成评审前半年内的病历质量准备,必须达到甲级病历质量。
2、自查与抽查部分科室规定的技术项目。重点评价三级查房、诊疗质量,特别是危重疑难及重大手术病例。重点在于诊断与鉴别诊断、治疗方案的正确性、检查处理项目的适宜性(如生化检验,超声,有创诊疗等),评估临床用药特别是抗生素使用的合理性(即安全、有效、顺从、经济四原则)。
3、医技科室完成评审要求的各项技术项目的资料准备。附件:
1、《关于成立医院创等评审工作领导小组的通知》
2、《关于成立医院创等评审工作组及任务分解的通知》
楚雄玛俐亚妇科医院
2015年3月31日
附件1:
楚雄玛俐亚妇科医院关于成立医院创等评审
工作领导小组的通知
各科室: 根据创建二级乙等专科医院工作需要,经研究,成立医院创等评审领导小组,人员组成如下:
组 长:陈宗杰 副组长:张 虹
成 员:丁琼忠、刘子凤、张艳文、游进忠、黄 荷、木学祥、罗智萍、柯 萍、李华兰、范江丽、胡晓芸、高亚琼、高 慧
职责:负责全院评审工作的部署及协调、监督、检查与评价,定期或不定期召开评审领导小组会议。
下设创等评审办公室: 主 任:刘子凤 副主任:高 慧
成 员:罗智萍、范江丽、窦 芝、丁 琦、杨晓羽
办公室工作职责:具体负责医院等级评审工作的督促、落实和各部分相关的具体工作,掌握工作进度并及时向领导小组汇报。
2015年3月31日
附件2:
楚雄玛俐亚妇科医院关于成立医院创等评审工作组
及任务分解的通知
各科室:
根据医院等级创建工作需要,医院决定成立以下工作组,进行指标分解到工作组,工作组内可进行指标的再分解,要求职责明确,责任落实到人。
第一组:行政管理组 组 长:陈宗杰 副组长:刘子凤
成 员:张艳文、游进忠、罗鹍鹏、丁 琦
职 责:具体负责创等评审标准中以下相关内容建章立制、持续改进和各种工作材料的整理。
指标分解:
第一章:医院功能任务
一、医院设置、功能任务符合区域卫生规划和医疗机构设置规划的定位和要求:
(一)至
(四)二、科学规范的内部管理机制:
(一)至
(六)三、承担政府指令性任务:
(一)至
(四)四、应急管理:
(一)至
(五)五、临床医学教育及科研:
(一)至
(四)第二章、医院服务
八、就诊环境管理:
(二)、(三)、(五)第六章:医院管理
一、依法执业:
(一)至
(五)二、明确管理职责与决策执行机制,实行管理问责制:
(一)至
(四)三、依据医院的功能任务,确定医院的发展目标和中长期发展规划:
(一)至
(三)四、人力资源管理:
(一)至
(五)五、信息与图书管理:
(一)至
(七)六、财务与价格管理:
(一)至
(八)七、医德医风管理:
(一)至
(四)八、后勤保障管理:
(一)至
(十)九、医学装备管理:
(一)至
(八)十、院务公开管理:
(一)至
(三)第七章:医院运行、医疗质量与安全监测指标
一、医院运行基本监测指标:
(一)至
(六)第二组:医疗临床组 组 长:张 虹 副组长:黄 荷
成 员:木学祥、高 慧、卜浪蔚、吴文华、郑应龙、秦翠珍、窦 芝 职 责:具体负责医院等级评审标准中以下相关内容建章立制、持续改进和各种工作材料整理。
指标分解:
第二章、医院服务
一、预约诊疗服务:
(一)至
(四)二、门诊流程管理:
(一)至
(四)三、急诊绿色通道管理:
(一)至
(六)四、住院、转诊、转科服务流程管理:
(一)至
(五)五、基本医疗保障服务管理:
(一)至
(三)六、保障患者的合法权益:
(一)至
(五)七、投诉管理:
(一)至
(四)八、就诊环境管理:
(一)、(四)、(六)第三章:患者安全目标
一、确立查对制度,识别患者身份:
(一)至
(四)二、确立在特殊情况下医务人员之间有效沟通的程序、步骤:
(一)至
(三)三、确立手术安全核查制度,防止手术患者、手术部位及术式发生错误:
(一)至
(三)五、加强特殊药品管理,提高用药安全:
(一)至
(二)六、临床“危急值”报告制度:
(一)、(二)
九、妥善处理报告医疗安全(不良)事件:
(一)至
(三)十、患者参与医疗安全:
(一)、(二)第四章:医疗质量安全管理与持续改进
一、医疗管理组织:
(一)至
(三)二、医疗质量管理与持续改进:
(一)至
(七)三、医疗技术管理:
(一)至
(五)五、住院诊疗管理与持续改进:
(一)至
(六)六、手术治疗管理与持续改进:
(一)至
(八)七、麻醉管理与持续改进:
(一)至
(八)九、感染性疾病管理与持续改进:
(一)至
(五)十、中医管理与持续改进:
(一)至
(四)二
十三、病历(案)管理与持续改进:
(一)至
(六)第七章:医院运行、医疗质量与安全监测指标
二、住院患者病种监测指标:
(一)至
(四)五、合理用药监测指标:
(一)至
(六)附件:
1、二级综合医院临床科室基本诊疗技术标准
三、妇产科
(一)1-
8、9 第三组:护理与医院感染管理组 组 长:丁琼忠
成 员:范江丽、胡晓芸、高亚琼、郭翠琼、许晓凤
职 责:具体负责医院等级评审标准中以下相关内容建章立制、持续改进和各种工作材料整理。
指标分解:
第三章:患者安全目标
四、执行手卫生规范,落实医院感染控制的基本要求 第四章:医疗质量安全管理与持续改进
一、医疗管理组织:
(二)、(三)
九、感染性疾病管理与持续改进:
(一)至
(五)十九、医院感染管理与持续改进:
(一)至
(八)第五章:护理管理与质量持续改进
一、护理管理组织体系:
(一)至
(四)二、护理人力资源管理:
(一)至
(五)三、临床护理质量管理与改进:
(一)至
(十三)四、护理安全管理:
(一)至
(六)五、特殊护理单元质量管理与监测:
(一)至
(四)第七章:医院运行、医疗质量与安全监测指标
六、医院感染控制质量监测指标:
(二)至
(四)第四组:医技组 组 长:柯 萍
成 员:罗智萍、张丽萍、李华兰、米藕莲、杨晓羽
职 责:具体负责医院等级评审标准中以下相关内容建章立制、持续改进和各种工作材料整理。
指标分解:
第三章:患者安全管理
五、加强特殊药品管理,提高用药安全:
(一)六、临床“危急值”报告制度:
(一)第四章:医疗质量安全管理与持续改进
三、医疗技术管理:
(一)至
(四)九、感染性疾病管理与持续改进:
(一)至
(五)十四、药事和药物使用管理与持续改进:
(一)至
(六)、(八)
十七、医学影像管理与持续改进:
(一)至
(六)十八、输血管理与持续改进:
(一)至
(七)附件:
2、二级综合医院医技科基本技术标准
3、“住院患者”的体验与感受调查表
1 健全医疗质量全程监控体系, 严格履行各级职责
在创建期间, 我院构建了一个全员参与的三级医疗质控网络, 形成质量管理委员会、职能管理部门和业务科室之间的互动和医疗质量管理上下联动的良好格局。
1.1 质量管理委员会质控
完善医院质量管理委员会组织体系, 医疗质量与安全管理委员会、病案管理委员会、护理质量管理委员会等各质量相关委员会在医院质量与安全管理委员会的领导下, 定期研究医疗质量管理等相关问题, 记录质量管理活动过程, 为院长决策和年度质量与安全管理目标的制定提供支持。
医疗质量与安全管理委员会切实发挥其核心的主导作用, 负责全院医疗质量和安全的管理与持续改进, 实施以环节质量为重点的全程控制管理模式, 尤其抓重点环节、重点科室和重点人群。定期召开医疗质量管理委员会会议, 梳理质量与安全管理动态, 进行阶段工作总结分析, 讨论医疗质量管理中存在的问题, 并提出整改措施和解决方案[1]。
1.2 职能管理部门质控
各质量管理部门履行本领域质量与安全管理职责, 根据我院总体目标, 制定并实施相应的工作计划与考核方案。医务处和护理部作为主要的医疗质量管理部门, 认真履行职责, 发挥职能作用, 负责医疗质量与安全动态管理, 对重点部门、关键环节和薄弱环节进行定期检查与评估, 组织开展医务人员质量安全学术教育, 提升全员质量安全意识与知识能力, 推进医疗质量管理持续进步。医务处下设质控办, 收集反馈各层面医疗质量控制信息, 并针对各个科室不同情况编写个体化的《医疗质量考评表》, 总分为1 000分, 内容包括科室管理、核心制度、质控指标、技术项目等, 每月定期考核, 对医疗质量的检查结果进行汇总、分析。
1.3 科室质控
各临床和医技科室成立由科主任、护士长与具备资质的人员组成科室质量与安全管理小组, 负责贯彻落实医院的医疗质量管理制度及方案, 定期召开科室质控会议, 提出改进措施, 运用质量管理方法与工具进行持续质量改进。科主任为科室质量与安全管理第一责任人, 各科室确定1名质量控制联络员, 协助科主任完成科室的质量控制工作。
2 全面梳理、修订各项制度, 加强质控教育
为保证医院各项工作的高效开展, 提高医疗质量和服务水平, 增进医院的社会效益, 必须建立健全医院的各项规章制度, 使医院各部门、各科室、各级各类人员在工作中有章可循、有章必循、守章必严、违章必究。为此, 医院根据《江苏省三级综合医院评审标准实施细则 (2012版) 》的要求和我院实际情况, 全面梳理并修订相关制度, 组织整理了《淮安市第二人民医院制度汇编》, 进一步推动医院管理制度化、规范化和科学化的进程, 其中, 仅医疗制度就修订了150余项。同时, 加大制度落实力度, 重点抓好医疗核心制度的落实情况, 以及入出院诊断符合率、危重患者抢救成功率、发生压疮的出院患者人次、医院内跌倒/坠床发生次数、非计划再次手术例数等核心指标的运行情况。
创建期间, 医院邀请院内外专家对院领导、职能部门管理人员及科主任、护士长等中层以上管理人员进行了6次全面质量管理教育培训, 使其掌握科学化的医院质量管理理念, 推动医疗质量管理水平不断趋于规范化、标准化、精细化。创建办将等级医院评审标准及方法、核心制度、操作规范等涉及医疗质量管理与持续改进的文件资料汇编成册下发到全院各科室, 并将以上文件资料的电子版发布在院内网上, 组织医务人员学习讨论;各科室利用早交班时间组织学习“三甲”评审标准与实施细则中知晓率和合格率要求达100%的应知应会内容。科主任根据医疗质量检查与考核中发现的问题, 结合信息统计中心每月公布的医疗质量统计数据进行质量分析和总结。开展了多场以全院大课教育与科室内部学习为主的医疗制度与医疗法律法规专项学习与培训, 内容包括规章制度学习、卫生法律法规学习、质控标准学习、医疗规范学习、医疗质量管理典型案例分析、维权自律与医疗安全讲座等, 以上内容均纳入创“三甲”应知应会考核中。
3 强化医疗质量检查与监督, 落实反馈考核机制
我院构建的三级质控网络中, 各级组织按要求和职责开展监督与检查, 将医疗质量检查的考评分数纳入科室综合目标管理考核, 作为科室的绩效评价指标的重要组成部分, 与科室奖金二次分配、人员评聘晋升晋级等挂钩, 增强了质控工作的约束力。其中, 质量奖占临床绩效的很大一部分, 与临床路径、药占比、平均住院日、三四级手术、微创手术比例等指标完成情况直接挂钩, 将检查的定性评价升级为数量和质量的量化管理。制定《淮安市第二人民医院医师记分考核办法》, 规定医师的执业行为将按规定给予记分, 分值达到12分时将暂停执业1个月~3个月, 期间待遇同待岗, 经考核合格后才能上岗, 同时记分还影响年终评优、晋升等。
3.1 科室自查自评
由各科室质量与安全管理小组实施医疗质量控制, 科主任负责科室医疗质量控制方案的制定、考核与持续改进, 每月10日之前组织科室医疗质量与安全管理小组按要求开展活动, 自查本科室诊疗常规、操作规范、医院规章制度的执行情况以及各级各类人员的履职情况, 将自查结果反馈到医疗组和责任人, 对潜在的问题提出整改方案和措施。对各项医疗质量指标结果进行分析, 如:抗生素的合理应用分析、输血管理、超30 d住院、不良事件等。对《医疗质量考评表》中的指标项目进行自评, 分析科室医疗质量控制数据与指标, 并结合患者投诉等情况, 主动查找医疗隐患与缺陷, 提出持续改进的措施, 运用质量管理方法与工具进行持续医疗质量改进。
3.2 职能管理部门检查
医疗质量管理部门严格履行职能, 在质控体系中发挥重要的监督和管理作用。信息科和病案室对各科室平均住院日、治愈率、抢救成功率、诊断符合率等基础质量、终末质量及环节质量的主要指标进行统计分析, 将结果作为评价科室医疗质量的重要依据;感染管理办公室对院内感染进行综合性的目标监控。医务处每周有固定工作日深入病区对临床科室医疗质量进行全面检查, 内容包括在院病历书写、核心制度执行、危急值管理、临床路径等, 将检查结果以书面形式反馈, 限期3个工作日内对检查存在的问题整改到位, 书面内容上交医务处。医务处质控办、门诊部核查或抽查各临床、医技科室《医疗质量考评表》的自评内容, 对检查中发现的问题或表格填写的不实内容纳入绩效考核或记分考核。
质量管理部门将每月检查、收集所得的医疗质量控制信息及各项考核结果通过院周会、科主任例会、质控员专题会议、每月《医疗质量控制简报》等渠道, 及时反馈到相应科室, 并督促限期整改。同时制定持续改进的措施和目标, 及时调整医疗质量控制方案, 正确有效地实施医疗质量管理措施, 保证医疗质量的不断提升[2]。
3.3 院级监督检查
医院与各科室签订医疗责任书, 强化医疗风险防范与安全意识。定期组织召开医疗质量与安全管理工作专题会议, 对临床、医技工作中存在的问题进行分析、总结, 提出阶段性工作重点, 对整改项目及时进行“回头看”, 形成医疗质量控制的长效管理机制。
由分管院长带队医务处、护理部、门诊部等质量管理部门对医疗质量控制及患者安全情况进行专项检查、定期与不定期相结合, 使检查制度化、标准化、常态化, 并通过科主任会议、院周会等形式及时反馈。病案质量管理委员会组织数十位专家组成病历评审专家组, 制定运行病历和出院病历检查标准和考核细则, 每月抽取全院各科室重点病历, 尤其是必备技术项目病历进行考核评价;同时, 聘请2位老专家通过医院信息系统 (HIS) 检查软件对全院各病区病历进行实时监控, 发现问题及时反馈至临床医师。药事管理与药物治疗学委员会定期对医师处方、用药医嘱的适宜性进行监测, 抽取出院病历进行医嘱质量点评和抗菌药物合理使用点评, 定期公示点评结果, 评估全院药物使用总体情况, 提出干预改进措施, 推动临床合理用药。以上相关检查考核结果作为科室和诊疗组考核 (月考核和年度考核) 及科主任考核的重要依据[3]。
通过三级质控网络的构建与实施, 我院医疗质量与安全管理工作得以有效开展, 医疗质量水平显著提升, 患者安全得到有效保障, 顺利通过三级甲等综合医院的调研初评和现场评审, 并被确认为江苏省实施患者安全目标合格医院。
参考文献
[1]谭学书, 喻明成.医疗质量管理委员会对医院管理持续改进的效能研究[J].中国医学创新, 2012, 9 (17) :144.
[2]魏永祥.加强医院全程医疗质量监控的体会[J].中国临床研究, 2011, 24 (2) :171.
關键词:政治思想;等级医院;创建
等级医院要想真正实现创建的任务目标,最重要的就是要从思想上进行教育,也就是要做好医院工作人员的政治思想发动,一个充满正能量和富有积极心态的团体,才能够在实际工作开展中无往而不利。以我院为例,我院在具体工作中进行了科学化、合理化的政治思想教育而使全院工作人员始终保持着昂扬的精神状态和实心实意为人民服务的心理状态,因此我院工作的具体开展和管理都按照正常轨迹持续发展。鉴于此,本文将对政治思想工作在等级医院创建中的相关内容进行分析。
1 有利于等级医院工作的开展循序渐进
等级医院作为一个集体性的工作领域,其工作的开展需要全体人员的良好协作,而这种协作观念的形成不是在强制性的明文条令的规定下形成的,如果等级医院的工作开展无时无刻都离不开强制性的条文约束,就只能够使医院工作的开展停留在制度表面,而达不到工作人员在实际工作中的良好融合。用哲学观的视角来分析,世间万物的发展都是有其各自的规律的,等级医院也是如此,医院中每个不同的岗位工作按照其本身的特性有条理的进行发展,才能最终实现部门工作之间的融合,因此政治思想工作是一种属于从思想到具体行动来对工作人员的工作行为进行矫正的、循序渐进的方式。在进行政治思想教育工作时,更加强调典范、先进的力量,并有计划地制定基本的政治思想工作方案,做好思想动员和宣传鼓动工作,及时对优秀工作人员进行精神上的奖励,将政治思想的重大影响力落实到医院工作的全过程、全方面,用引导示范的方式来激发工作人员的职业热情、形成正确的工作态度,推动等级医院工作分层次、按阶段的深入,从小范围的各个环节延伸到较大范围的各个工作岗位,再最终形成医院工作的最佳服务效果,以这种思想上的逐渐感染、影响方式减少工作人员在工作中对待患者服务态度不好的事件的发生,为医院树立良好的形象,在思想上形成一个正确的医院服务意识。
2 推动等级医院优秀文化的建设
等级医院并不只是一个单纯的治疗疾病的场所,从某种程度上来讲,病人在医院就诊、医务人员在医院工作都需要有一个具有相当文化内涵的、利于身心健康发展的环境,一个出色的等级医院除了要具备先进的医疗设备、精湛的医疗技术外,其医务人员的行为是否符合价值观、更新式教育是否及时、服务态度是否真诚良好同样被纳入到考核等级医院水平的范围内,这就在医院文化建设的层面上凸显了政治思想教育工作开展的重要性。具体具有以下几个作用。
2.1 有利于发挥等级医院优秀文化中的激励作用
等级医院在创建的过程中要依靠人员工作的主动性、积极性来实现工作的稳定性发展,而单纯依靠医院内部的规章制度是远远不够的,也就是说只有规章制度的存在而没有激励性质的医院文化的存在,很有可能就会造成医院工作中人浮于事的现象,这时候适当的激励就会发挥巨大的作用。它不仅能够在工作人员之间形成一种共通的精神文化,还可以充分挖掘员工的职业能力。工作人员在通常情况下发挥出来的工作水准如果在一定的精神刺激下会产生意想不到的水平提高效果,因此激励作为政治思想教育中的一种特殊文化形式,使员工在固定的工作章程强制之外,产生自主性的、源源不断的精神动力,既提高了员工的思想规范性,又推动了医院服务的优质化,可谓一举多得。
2.2 有利于发挥等级医院优秀文化中的协调作用
等级医院的具体工作是对病人进行具体的看诊和治疗,因而需要面对形形色色的人,这就要求医院处理好与患者之间的关系,而在处理医院内部工作的具体关系时,就需要工作人员之间能形成良好的协调工作关系,并不是技术高超就能够在医院中独当一面,有效疏通和改善人际关系的能力也是促进医院工作良好开展的重要方面,进行必要的政治思想教育就能够使医院充分发挥优秀文化中的协调作用,使员工之间形成彼此信赖、共同协助、互相负责的思想,创建一个不论是对个人还是对整个集体的发展都有益处的行为环境。医院中协调作用的发挥可以通过多种方式来实现,主要的做法即调动员工热情,自主进行调节管理,发挥员工的工作积极性,形成热爱、关心、共建和谐集体的心态,使员工形成正确的思维观念。
2.3 有利于充分发挥等级医院优秀文化的娱乐作用
在很多人的意识中,优秀的文化都应当归属在较为严肃、正规的类别中,但实际上并不是这样,价值观正确的娱乐文化同样属于优秀文化的范畴,医院优秀文化除了强调工作人员严肃工作态度的文化,也包括丰富工作人员精神生活的娱乐文化。由于等级医院对员工的工作态度和工作严谨性要求较高,如果员工始终处于高度紧张的心理状态,不免会产生巨大的晋升压力,因而适时的开展丰富多彩的趣味娱乐活动能够从另一个角度来陶冶员工的道德情操,不断满足员工对文化的不同需求,因此在进行政治思想教育工作时,要恰当地发挥等级医院优秀文化中的娱乐作用,以此增加员工工作之余的精神趣味。
3 有利于强化具体工作之间的联系,形成团结的工作状态
世间万物都处于普遍联系的状态,孤立存在的事物是根本不存在的,而部分之间相互联系共同构成了整体,在部分中产生的不论是正面的影响,还是负面的影响都会作用在整体中并通过整体的效果表现出来。而医院作为一个整体,其各部门、各工作岗位上的思想也是彼此之间相互影响的,并且一个集体最为重要的精神特征就是要具有强大的团结力,创建等级医院,这种团结力更是其中不可或缺的精神力量,等级医院作为社会众多领域中的一个工作团体,正是通过这种心理上的凝聚在工作人员之间建立起沟通的桥梁,使工作人员在接受统一的领导下有序的开展工作,彼此沟通、彼此交流、相互帮助,在正确政治思想渐染的过程中形成对等级医院工作任务、行为规范准则、价值观念的认同,建立起作为该等级医院工作人员的自豪感和对等级医院在心灵上的一种归属感。等级医院有意识的强化政治思想工作的开展,久而久之,就能够使工作人员在潜意识中产生凝聚感,所谓“众人拾柴火焰高”,工作人员将个体意识转化为集体意识,在完成好本职工作后,又能够兼顾其他相关工作环节,在工作环节之间达到密切的配合,实现工作环节的科学化结合。同时进行到位政治思想教育工作加强工作之间的联系,相当于是在无形之中为等级医院各个环节的工作设置了一份监督保障,工作人员之间强化了工作的联系,就能够实现彼此的监督,推动等级医院发挥整体效应。
在等级医院创建的评价标准中,医院的管理水平和医院的质量是其中重要的两个内容,而这两个内容之中的共同之处就在于在正确政治思想影响下的工作质量要达到要求,为此等级医院要重视政治思想教育在开展医院工作中的重要作用,充分认识到其对于工作人员素质的提高和医院整体服务优化的推动作用,并采取有效措施进行适当的改革。
参考文献:
[1]王萍.探索医院文化建设 改进思想政治工作[J].江苏卫生事业管理,2011(04).
[2]罗新安.浅析政治思想工作在医院文化建设中的作用[J].东方企业文化,2014(22).
[3]黄锦新.思想政治工作在医院文化建设中的导向作用[J].中国当代医药,2014(17).
[4]何思忠,李琦,赵顺.新时期医院思想政治工作与文化建设的思考[J].中国农村卫生事业管理,2013(04).
[5]刘龄予.新形势下医院政治思想工作的思考[J].办公室业务,2013(11).
各科室:
为了更好的完成“二甲”等级医院的创建工作,也随着创建工作的临近,我院“二甲”创建工作已进入全面冲刺阶段,为进一步加快创建工作进程,经院长办公会议研究决定对创建等级医院近期工作做如下安排:
一、创建工作具体安排情况:
(一)各小组组长对本组工作进行梳理总结,逐一整改落实问题;
(二)各科室每日上交符合规定病历(重点专科每日上交病历12份,临床科室每日上交9份);
(三)病历书写上交情况实行每日向创建办主任通报;
(四)月底前完成消防演练、急救演练、传染病暴发演练、公共卫生突发事件演练,并要求有图片及材料印证;
二、加班工作具体安排情况:
(一)从下发通知日起至创建工作结束,每晚加班,加班时间: 6∶00——8∶30;
(二)取消双休日休息;
(三)加班地点:五楼会议室及三楼小会议室;
(四)加班人员:
1、各小组组长及其成员;
2、创建办成员;
3、部分医护人员及相关人员;
(五)每日由总值班负责加班人员考勤签到,实行加班前后两次签到,总值班人员每日把签到表上交至创建办主任;
(六)班车安排:由出三司机每晚8∶30送加班人员下班,具体由当日总值班负责;
(七)各小组组长、创建办成员及相关人员,不得外出,若需请假,向主要负责人请假。
此通知自下发之日起执行。
上饶县中医院
一、医教科:
医疗机构工作制度:
二、医疗管理:
1、医疗质量管理核心制度(首诊负责、三级医师查房、疑难病例讨论、术前病例讨论、死亡病例讨论、危重患者抢救、会诊、病历书写、查对、交接班、技术准入、手术分级、临床用血、手术安全核查等)。
2、门诊、急诊、住院相关工作制度:
门诊工作制度、门诊导医、专家门诊;急诊工作制度、抢救室、观察室、突发事件处理;出入院、转科、转院、病人转运、住院病人管理、探视、出院随访、危急值报告、重点病人报告、不良事件报告、医患沟通、谈话、投诉处理、责任追究等等
3、人员岗位职责:
3.1、临床医务人员:
临床各科主任岗位职责,主任、主治、住院 3.2、医技人员岗位职责
药学、检验、影像(放射、B超)、病理等
三、护理部:
根据何院长关于创建工作的指示,下一步重点完善如下工作,并组织人员学习,务必使相关制度、职责知晓率达到100%,等级医院评审现场将抽3-5名人员进行考核:
1、护理管理工作制度
护理质量、护理安全、分级护理、护理文书、护理查房、专科护理、治疗室、换药室、注射室、内镜室、导管室、手术室、供应室等;
2、感控管理:
传染病报告、死亡病例报告、院内感染控制与监测、锐器伤处理、职业暴露、手卫生规范、无菌物品、消毒器械等
3、护理人员岗位职责:
门诊、急诊、手术室、供应室、科护士长等,主任、主管、护师等
四、办公室:
组织人员学习,务必使相关制度、职责知晓率达标,应对等级医院评审现场将抽3-5名人员进行考核:
1、行政管理制度:
行政管理负责制、问责制、总值班、医院各委员会制度、中层干部管理办法、绩效考核制度、奖惩办法等
2、财务管理:医院财务管理规定、固定资产、财务支出、票据、收费、欠费、退费、药品及库存物资等
3、行政、职能科室岗位职责:
院长、业务院长、院办、医务科、护理部、感染管理科、总务科、设备科、保卫科、门诊部等
五、药剂科、医疗设备科:
组织人员学习,务必使相关制度、职责知晓率达标,应对等级医院评审现场将抽3-5名人员进行考核:
1、设备管理制度:采购、验收、维护保养、更新、报废、档案等
2、医院医疗设备清单
后勤科:
组织人员学习,务必使相关制度、职责知晓率达标,应对现场将抽3-5名人员进行考核:
1、后勤保障管理制度:食堂、水、电、气、压力容器、医疗废物处置等
全院各科室、部门:
根据省卫生厅关于三级综合医院等级评审工作的通知,今年我省将全面启动等级医院评审工作,为认真做好新一轮医院等级评审工作,加强我院等级评审工作的组织领导,对照卫生部《三级综合医院评审标准(2011年版)》(卫医管发 〔2011〕33 号)、《三级综合医院评审标准实施细则(2011年版)》要求,在总结我院第一周期三级乙等医院评审和医院管理年活动等工作经验的基础上,特制定我院等级医院评审工作实施方案。要求全院职工认真学习《评审标准》,严格执行《实施方案》,扎实组织开展落实各项工作任务,积极准备接受评审工作。
一、指导思想
深入贯彻落实国家医药卫生体制改革总体要求,紧密围绕公立医院改革各项工作任务,以新一轮医院评审为契机,以评促建、以评促改,围绕质量、安全、服务、管理、绩效、“以病人为中心”的评建核心,促进医院自身建设和管理,不断提高医疗质量,保证医疗安全,改善医疗服务,更好地履行社会职责和义务,提高医疗行业整体服务水平与服务能力,满足人民群众的医疗服务需求。
二、工作目标
在确保我院顺利通过综合医院评审的基础上,通过系统、规范、深入的自查整改工作,进一步强化医院内涵建设,推进医院规范化、科学化、标准化管理,促进医院全面、协调、可持续发展。
三、领导机构
组 长:院党委书记、院长 副组长:其他院领导 成 员:职能部门负责人 下设等级评审工作办公室。
四、专项工作组
为保证各项工作落实到位,根据评审标准和实施细则,成立三个专项工作组,具体负责对口工作,同时由于各项工作内容相互交叉和融合,要求各工作组在工作中既有分工,又相互密切合作,充分发挥主观能动性,认真自查整改,定期督查各项工作的落实情况,共同保证工作任务的完成。
(一)党政管理组 组 长: 成 员:
主要工作任务:
(1)医德医风管理;(2)院务公开;
(3)患者的合法权益管理;(4)社会评价各项工作。
(二)医疗质量管理组 组 长: 副组长:
1.医疗质量管理一组 组 长: 成 员:
主要工作任务:
(1)医疗质量管理与持续改进;(2)护理管理与质量持续改进;(3)急诊管理与持续改进;
(4)重症医学科管理与持续改进;(5)感染性疾病管理与持续改进;
(6)药事和药物使用管理与持续改进;(7)临床检验管理与持续改进;(8)病理管理与持续改进;(9)医学影像管理与持续改进;(10)介入诊疗管理与持续改进;(11)血液净化管理与持续改进;
(12)其他特殊诊疗管理与持续改进;(13)投诉管理;
(14)执行手卫生规范,落实医院感染控制的基本要求;(15)特殊药物的管理,提高用药安全;(16)临床“危急值”报告制度;
(17)防范与减少患者跌倒、坠床等意外事件发生、防范与减少患者压疮发生;
(18)确立查对制度,识别患者身份;
(19)确立在特殊情况下医务人员之间有效沟通的程序、步骤、妥善处理医疗安全,不良,事件、患者参与医疗安全管理。
2.医疗质量管理二组 组 长: 成 员:
主要工作任务:(1)临床医学教育;(2)科研及其成果推广;
(3)确立手术安全核查制度,防止手术患者、手术部位及术式发生错误;(4)医疗技术管理;
(5)临床路径与单病种质量管理与持续改进;(6)住院诊疗管理与持续改进;(7)手术治疗管理与持续改进;(8)麻醉管理与持续改进;(9)中医管理与持续改进;
(10)康复治疗管理与持续改进;(11)疼痛治疗管理与持续改进;(12)病历,案,管理与持续改进。(13)输血管理与持续改进;(14)医院感染管理与持续改进;
(15)执行手卫生规范,落实医院感染控制的基本要求;
(16)预约诊疗服务,门诊流程管理,急诊绿色通道管理,住院、转诊、转科服务流程管理。
(三)行政后勤管理组 组 长: 副组长: 成 员:
主要工作任务:
(1)质量与安全管理组织管理;
(2)根据三级综合医院设置、功能和任务符合区域卫生规划和医疗机构设置规划的定位和要求完成医院的管理;
(3)医院内部管理机制科学规范化管理;
(4)落实公立医院与基层医疗机构对口协作等政府指令性任务;(5)应急管理;
(6)基本医疗保障服务管理;(7)就诊环境管理;
(8)临床营养管理与持续改进;(9)依法执业管理;
(10)明确管理职责与决策执行机制,实行管理问责制;
(11)依据医院的功能任务,确定医院的发展目标和中长期发展规划;(12)人力资源管理;(13)信息与图书管理;(14)财务与价格管理;(15)后勤保障管理;(16)医学装备管理。
五、实施步骤
(一)组织动员阶段(2012年2月—3月)
1.制定院实施方案,成立领导机构和专项工作组,明确职责; 2.进行全院动员;
3.组织深入学习评审标准和细则。
(二)自查、落实、整改阶段(2012年4月—10月)1.各专项工作组按照标准和细则认真组织落实工作;
2.按标准查缺补漏,完善各项工作,同时注重痕迹记录和资料的整理。
(三)自评、整改、申报迎评阶段(2012年11月— 2013年3月)1.专项工作组按照评审标准进行自评,2.等级评审工作办公室根据各工作组的要求,组织进行复评,并对不足之处督促整改,再次复审,3.根据全院评审工作情况报省评审中心,接受评审。
2012年
7月
1.1 资料来源
从《浙江省综合医院等级评审标准(2010版)》中,选出医疗质量的11项评审标准[2],参照11项评审指标,分别收集了某医院2005~2010年的数据作为预审的样本。
1.2 资料分类
将11项医疗质量评审指标[2]分为两类。一类为医疗质量和效率评审标准指标,共7项;另一类作为医疗质量管理评审标准指标,共4项,见表1。
1.3 评审方法
按表1、表2的分组资料,以卫生部、浙江省规定的三级甲等综合医院各项指标为准,运用综合评价法原理,正指标计算公式:Yij=Xij/Mij[1];逆指标计算公式:Yij=Mij/Xij[1](式中:Yij为i组j项指标数值,Xi为年份指标值,Mi为年份指标衡量标准值),分别计算出医疗质量、效率预审指数,见表2。
1.4 计分公式
按表3的预审指数,每项评审内容包括若干评审要点,每项总分设3分,各要点评分时,也按3分计算。评审项目最后得分=该项各评审要点得分总和评审要点项数的方法[2],分别求得近几年医院医疗质量的综合指数,见表3。
1.5 评审结论
医疗质量综合评价指数I=ΣYij(即质量、效率指数与管理指数的和),用计算的医疗质量综合评价指数I与评审既定值M进行比较,当Ii j≥M时,医院医疗质量综合水平超出既定标准,表示较好;当Iij≤M时,医疗质量的综合实力较弱,要按PDCA的方式,进一步加强管理,狠抓医疗质量。
2结果与分析
2005~2010年医院医疗质量综合评价预审结果显示,只有2010和2005年超过省级综合医院评审标准。医疗质量、效率综合评价指数中,只有2010年达省级标准水平以上。医疗管理质量综合评价指数只有2005年达省级标准水平以上。6年中,医院医疗质量综合评价指数只有2010和2005年达省级标准以上,说明医院医疗质量的各方面都有待于进一步加强。
在等级医院医疗质量综合评价分析时,我们发现医疗质量、效率指标,如平均住院日、术前带床日等,有逐年向优发展的趋势,但部分医疗质量管理指标,如甲级病历率、手术并发症发生率等,几乎无任何改进趋势,更甚至于越来越偏离省级标准。这其中有人为评判因素造成,但这也充分说明医院医疗质量的上述方面未引起管理层重视或管理尚不到位。因此医院的医疗诊疗能力、质量、综合管理[1]指标体系,在等级医院医疗质量综合评审中尤显重要。
3讨论
很明显,单纯从床位使用率、病床周转次数、平均住院日、治疗效果等指标方面,反映医院的医疗能力和质量水平已不能完全展示医院整体的医疗质量水平。因此,运用综合评价法对医院医疗质量的各项指标进行科学地分析和评价,是完全符合医疗市场发展趋势的,对今后的医院建设也有积极的推动作用。
综合各项医疗质量指标数据可以发现,医院已贯彻实施了医疗质量、效率管理工程,从而使住院患者疗程缩短、床位周转加快,有效地运用了等级医院医疗质量综合评价体系,也充分显示了医院优质、高效、节能、低耗的管理水平。但在某些医疗质量(如无菌切口感染率、手术并发症率等)综合管理水平上,还有待于按PDCA的方式,进一步加强管理。等级医院医疗质量的综合评审,明确了医院管理工作的重点,强化了医院医疗质量管理意识,同时也培训了医院管理人员,更提高了医院的服务意识和群众满意度。等级医院医疗质量综合评价法的根本目的,在于挖掘医疗潜力,合理配置医疗的人力、物力和财力,不断提高医院的医疗质量综合管理水平,为医疗质量的可持续发展,提供科学的理论依据。
综合医院的医疗质量管理评审标准,有别于其他专科医院。在质量管理体系中“诊疗能力、质量、综合管理”的各项指标是医院医疗质量管理的核心组成部分。本次调查所收集的11项评审标准[2]是等级医院医疗质量综合评审中的核心指标。运用等级医院综合评价法评价一所医院的医疗质量综合达标水平,可为医院的等级评审和医疗质量管理标准建立科学的综合评价依据。
参考文献
[1]熊巨全,董军.医院管理与医学统计[M].北京:人民军医出版社,2002.
[2]杨敬,马伟航,杨泉森,等.浙江省综合医院等级评审标准(2010版)[M].杭州:浙江科技出版社,2010.
[3]徐天和,苏颀龄,田凤调.中国医学统计百科全书.统汁管理与健康统计分册[M].北京:人民卫生出版社,2004:36-37.
秘密级
密级:秘密
XX大学附属XX医院
(信息安全建设整体规划方案)
XX有限公司 201X年X月X日 XX医院等级保护安全建设方案
秘密级
目录 2 2.1 工程项目背景.................................................................................................................6 安全建设路线.................................................................................................................7 设计原则..........................................................................................................................7
2.1.1 2.1.2 2.1.3 2.1.4 2.1.5 2.2 3 3.1 等级保护建设原则.................................................................................................7 体系化的设计原则.................................................................................................7 产品的先进性原则.................................................................................................7 按步骤有序建设原则.............................................................................................7 安全服务细致化原则.............................................................................................8
等级化建设思路..............................................................................................................8 系统分析.........................................................................................................................9 网络结构分析..................................................................................................................9
3.1.1 3.1.2 3.2 业务内网.................................................................................................................9 办公外网...............................................................................................................10
业务系统分析................................................................................................................11
3.2.1 3.2.2 4 5 6 6.1 业务内网...............................................................................................................11 办公外网...............................................................................................................11
等级保护建设流程........................................................................................................13 方案参照标准...............................................................................................................15 安全风险与需求分析....................................................................................................16 安全技术需求分析........................................................................................................16
6.1.1 6.1.2 6.1.3 6.1.4 物理安全风险与需求分析...................................................................................16 计算环境安全风险与需求分析...........................................................................17 区域边界安全风险与需求分析...........................................................................19 通信网络安全风险与需求分析...........................................................................20 XX医院等级保护安全建设方案
秘密级
6.2 7 7.1 7.2 7.3 安全管理需求分析........................................................................................................22 技术体系方案设计........................................................................................................22 方案设计目标................................................................................................................22 方案设计框架................................................................................................................23 安全技术体系设计........................................................................................................24
7.3.1 7.3.2
7.3.2.1 7.3.2.2 7.3.2.3 7.3.2.4 7.3.2.5 7.3.2.6 7.3.2.7 7.3.2.8 7.3.2.9 物理安全设计.......................................................................................................24 计算环境安全设计...............................................................................................26
身份鉴别.......................................................................................................................26 访问控制.......................................................................................................................27 系统安全审计...............................................................................................................28 入侵防范.......................................................................................................................29 主机恶意代码防范.......................................................................................................30 软件容错.......................................................................................................................30 数据完整性与保密性...................................................................................................30 备份与恢复...................................................................................................................31 资源控制.......................................................................................................................32 客体安全重用...............................................................................................................33 抗抵赖...........................................................................................................................33 7.3.2.10 7.3.2.11
7.3.3
7.3.3.1 7.3.3.2 7.3.3.3 7.3.3.4 7.3.3.5 7.3.3.6 7.3.3.7 7.3.3.8 区域边界安全设计...............................................................................................34
边界访问控制...............................................................................................................34 安全隔离网闸...............................................................................................................35 流量控制.......................................................................................................................36 边界完整性检查...........................................................................................................38 边界入侵防御...............................................................................................................39 边界安全审计(上网行为管理)................................................................................39 网页防篡改...................................................................................................................40 边界恶意代码防范(防毒墙)....................................................................................40 XX医院等级保护安全建设方案
秘密级
7.3.4
7.3.4.1 7.3.4.2 7.3.4.3 7.3.4.4 7.3.4.5 7.3.4.6 通信网络安全设计...............................................................................................41
网络结构安全...............................................................................................................41 网络安全审计...............................................................................................................41 网络设备防护...............................................................................................................42 通信完整性...................................................................................................................43 通信保密性...................................................................................................................43 网络可信接入...............................................................................................................43
7.3.5
7.3.5.1 7.3.5.2 7.3.5.3 安全管理中心设计...............................................................................................44
系统管理.......................................................................................................................45 审计管理.......................................................................................................................46 网络运维及应用监控管理系统....................................................................................47
7.3.6 8 9 9.1 9.2 9.3 不同等级系统互联互通.......................................................................................48
安全管理体系设计........................................................................................................48 安全运维服务设计........................................................................................................50 安全扫描........................................................................................................................50 人工检查........................................................................................................................51 安全加固........................................................................................................................51
9.3.1 9.3.2 9.3.3 9.4 流程.......................................................................................................................52 内容.......................................................................................................................52 风险规避...............................................................................................................54
日志分析........................................................................................................................55
9.4.1 9.4.2 9.5 流程.......................................................................................................................55 内容.......................................................................................................................56
补丁管理........................................................................................................................56
9.5.1 9.5.2 9.6 流程.......................................................................................................................57 内容.......................................................................................................................57
安全监控........................................................................................................................58 XX医院等级保护安全建设方案
秘密级
9.6.1 9.6.2 9.7 9.8 流程.......................................................................................................................58 内容.......................................................................................................................59
安全通告........................................................................................................................60 应急响应........................................................................................................................61
9.8.1 9.8.2 9.8.3 9.8.4 9.9 10 入侵调查...............................................................................................................61 主机、网络异常响应...........................................................................................61 其他紧急事件.......................................................................................................61 响应流程...............................................................................................................62
安全运维服务的客户价值............................................................................................63 整体配置方案...............................................................................................................63
安全产品部署说明...................................................................................................65 10.1 11 12 方案合规性分析............................................................................................................66 信息安全产品选型及配置清单.....................................................................................67
产品选型...................................................................................................................67 12.1
12.1.1 12.1.2
12.2 选型建议..........................................................................................................67 选型要求..........................................................................................................67
信息安全建设配置清单............................................................................................68
12.2.1
12.2.2 业务内网安全产品配置清单..........................................................................68 办公外网安全产品配置清单:...........................................................................69 XX医院等级保护安全建设方案
秘密级 工程项目背景
医院是一个信息和技术密集型的行业,其计算机网络是一个完善的办公网络系统,作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。结合医院复杂的HIS、RIS、PACS等应用系统,要求网络必须能够满足数据、语音、图像等综合业务的传输要求,所以在这样的网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。同时医院的网络系统连接着Internet、医保网和高校等,访问人员比较复杂,所以如何保证医院网络系统中的数据安全问题尤为重要。在日新月异的现代化社会进程中,计算机网络几乎延伸到了世界每一个角落,它不停的改变着我们的工作生活方式和思维方式,但是,计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密,都会使计算机网络受到威胁。我们可以想象一下,对于一个需要高速信息传达的现代化医院,如果遭到致命攻击,会给社会造成多大的影响。
在医院行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。便捷、开放的网络环境,是医院信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障医院信息化业务的正常运行。然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。
为此,国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,医院信息系统构筑至少应达到二级或以上防护要求。XX医院等级保护安全建设方案
秘密级
所以,在XXX大学XXX医院的信息化建设过程中,我们应当正视可能面临的各种安全风险,对网络威胁给予充分的重视。为了XXX医院信息网络的安全稳定运行,确保医院信息系统建设项目的顺利实施,结合具体的网络和应用系统情况,作为有着丰富医疗行业大型安全项目实施经验的XXX有限公司,将以极大的信心和饱满的热情,根据XXX医院目前的计算机信息网网络特点及安全需求,本着切合实际、保护投资、着眼未来的原则,提出本技术方案。安全建设路线
2.1 设计原则
2.1.1 等级保护建设原则
XX医院计算机网络系统属国计民生的重要信息系统,其安全建设不能忽视国家相关政策要求,在安全保障体系建设上最终所要达到的保护效果应符合《信息系统安全等级保护基本要求》。
2.1.2 体系化的设计原则
系统设计应充分考虑到各个层面的安全风险,构建完整的安全防护体系,充分保证系统的安全性。同时,应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。
2.1.3 产品的先进性原则
XX医院的安全保障体系建设规模庞大,意义深远。对所需的各类安全产品提出了很高的要求。必须认真考虑各安全产品的技术水平、合理性、先进性、安全性和稳定性等特点,共同打好工程的技术基础。
2.1.4 按步骤有序建设原则
XX医院的安全保障体系的建设是一项长期的工程,并非一蹴而就解决所有安全问题。因此,在实际建设过程中要根据实际情况分轻重缓急,分期、分批的 XX医院等级保护安全建设方案
秘密级
进行部署。
2.1.5 安全服务细致化原则
要使得安全保障体系发挥最大的功效,除安全产品的部署外还应提供有效的安全服务,根据XX医院的网络系统具体现状及承载的重要业务,全面而细致的安全服务会提升日常运维及应急处理风险的能力。安全服务就需要把安全服务商的专业技术经验与行业经验相结合,结合XX医院的实际信息系统量身定做才可以保障其信息系统安全稳定的运行。
2.2 等级化建设思路
“等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:
1.系统识别与定级:通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。
2.安全域设计:根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。
3.安全保障体系框架设计:根据安全域框架,设计系统各个层次的安全保障体系框架(包括策略、组织、技术和运作),各层次的安全保障体系框架形成系统整体的安全保障体系框架。
4.确定安全域安全要求:参照国家相关等级保护安全要求,设计等级安全 XX医院等级保护安全建设方案
秘密级
指标库。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
5.评估现状:根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。
6.安全技术解决方案设计:针对安全要求,建立安全技术措施库。通过等级风险评估结果,设计系统安全技术解决方案。
7.安全管理建设:针对安全要求,建立安全管理措施库。通过等级风险评估结果,进行安全管理建设。
通过如上步骤,XX医院的网络信息系统可以形成整体的等级化的安全保障体系,同时根据安全技术建设和安全管理建设,保障系统整体的安全。系统分析
3.1 网络结构分析
从目前XX医院的全局网络结构上看,可以分为两大部分,用于日常医疗信息交换的业务网以及实时获取Internet信息资源的办公网。其中,医院内部业务网是医院业务开展的重要平台,承载着核心业务,同时具有相应链路与卫生局、社保和银行等其他机构交换数据;而办公网主要对外提供信息发布门户,对内提供Internet网络接入等服务。
3.1.1 业务内网
XX医院的业务内网是由在建的新办公大楼中心机房、各业务大楼(如:门诊大楼、急诊大楼、住院大楼、科学楼、医技楼、肝病大楼等)以及萝岗医院(包括灾备中心)等几部分组成,其中新办公大楼中心机房是整个业务网络的核心,主要提供医疗数据交换、存储和医院业务系统的运维。各业务大楼主要提供医护人员的日常业务的开展。XX医院等级保护安全建设方案
秘密级
整个XX医院的业务网络由核心层、汇聚层和接入层的网络交换设备组成网络的骨干,然后通过各楼层交换机接入到各个业务大楼,为了防止网络设备由于单点故障而影响业务系统的可用性,在主要的核心节点设备上都采用了双机冗余的方式在线运行。此外,还有相应的VPN专线连接到卫生局、社保和银行等外部单位,进行相关的医疗业务数据交换。
XX医院的业务内网拓朴图所下所示:
磁盘阵列PACS以及HIS等服务器群磁盘阵列或磁带库IT运营维护系统数据中心萝岗分院异地备份中心门诊楼接入交换机门诊楼中心机房防火墙…入侵防御高清视频通讯系统(与罗岗园区进行视频通讯)卫生局外联单位社保银行…………………住院楼Presentation_ID医技楼©2008 Cisco Systems, Inc.All rights reserved.Cisco Confidential肝病大楼急诊楼科学楼门诊楼后座1
【图一:XX医院业务内网】
3.1.2 办公外网
办公外网主要由门诊楼中心机房、各接入业务大楼、Internet接入区和中大校园网出口等几部分组成;办公外网的组网方式与业务网有些类似,但其主要职能是供本院医职人员的互联网浏览服务以及对外网站的发布,所以办公外网采用的是成本更低廉单核心网络架构,以满足一般性的外网业务需求。XX医院等级保护安全建设方案
秘密级
XX医院的办公外网拓扑图如下所示:
【图二:XX医院办公外网】
3.2 业务系统分析
3.2.1 业务内网
经过近十多年的发展,XX医院信息系统(Hospital Information System,HIS)建设初具规模,日趋完善。信息系统的发展经历了从单机系统、局部网络系统到整个医院信息系统的多个阶段,可以说,HIS系统是XX医院医疗信息化的最核心资产。
另外,内网还运行有CLS系统、PACS系统、ES系统、CRS系统和B超等业务应用系统,它们也是XX医院日常业务正常开展的重要组成部分。
3.2.2 办公外网
办公外网是XX医院对外综合性服务系统的载体,和Internet直接连接,并且按照医院相关规定和运行HIS系统的业务内网物理隔离。主要应用有:
信息发布网站:各级医疗系统的Web网站是其公众形象的重要体现形式之一,其主要功能是发布正式的医院官方的文件和信息等。XX医院等级保护安全建设方案
秘密级
邮件和Internet浏览服务:除了提供对外网站发布服务,医院办公网络系统还对内部人员提供邮件服务和Internet浏览服务。
外网OA系统:则主要指用于日常办公的终端、办公自动化应用服务器和数据库,对于XX医院OA系统,主要包含的应用有:电子邮件、公文传递及批复、文件传输和内部主页等日常办公文件处理。XX医院等级保护安全建设方案
秘密级 等级保护建设流程
XXX公司提出的“按需防御的等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的等级化安全防御体系。
“等级化”设计方法,是根据需要保护的信息系统确定不同的安全等级,根据安全等级确定不同等级的安全目标,形成不同等级的安全措施进行保护。等级保护的精髓思想就是“等级化”。等级保护可以把业务系统、信息资产、安全边界等进行“等级化”,分而治之,从而实现信息安全等级保护的“等级保护、适度安全”思想。
整体的安全保障体系包括技术和管理两大部分,其中技术部分根据《信息系统安全等级保护基本要求》分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设;而管理部分根据《信息系统安全等级保护基本要求》则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。
整个安全保障体系各部分既有机结合,又相互支撑。之间的关系可以理解为“构建安全管理机构,制定完善的安全管理制度及安全策略,由相关人员,利用技术工手段及相关工具,进行系统建设和运行维护。”
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:
1.系统识别与定级:确定保护对象,通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。XX医院等级保护安全建设方案
秘密级
2.安全域设计:根据第一步的结果,通过分析医院系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。3.确定安全域安全要求:参照国家相关等级保护安全要求,设计不同安全域的安全要求。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
4.评估现状:根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。并找出系统安全现状与等级要求的差距,形成完整准确的按需防御的安全需求。通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。5.安全保障体系方案设计:根据安全域框架,设计系统各个层次的安全保障体系框架以及具体方案。包括:各层次的安全保障体系框架形成系统整体的安全保障体系框架;详细安全技术设计、安全管理设计。6.安全建设:根据方案设计内容逐步进行安全建设,满足方案设计并要符合的安全需求,满足等级保护相应等级的基本要求,实现按需防御。7.持续安全运维:通过安全预警、安全监控、安全加固、安全审计、应急响应等,从事前、事中、事后三个方面进行安全运行维护,确保系统的持续安全,满足持续性按需防御的安全需求。
通过如上步骤,系统可以形成整体的等级化的安全保障体系,同时根据安全技术建设和安全管理建设,保障XX医院系统整体的安全。而应该特别注意的是:等级保护不是一个项目,它应该是一个不断循环的过程,所以通过整个安全项目、安全服务的实施,来保证XX医院等级保护的建设能够持续的运行,能够使整个系统随着环境的变化达到持续的安全。XX医院等级保护安全建设方案
秘密级 方案参照标准
GB/T 21052-2007 信息安全等级保护 信息系统物理安全技术要求 信息安全技术 信息系统安全等级保护基本要求 信息安全技术 信息系统安全保护等级定级指南 信息安全技术信息安全等级保护实施指南 信息安全技术 信息系统安全等级保护测评指南
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 20270-2006 信息安全技术 网络基础安全技术要求 GB/T 20984-2007信息安全技术 信息安全风险评估规范 GB/T 20269-2006 信息安全技术 信息系统安全管理要求 GB/T 20281-2006 信息安全技术 防火墙技术要求与测试评价方法 GB/T 20275-2006 信息安全技术 入侵检测系统技术要求和测试评价方法 GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求 GB/T 20277-2006 信息安全技术 网络脆弱性扫描产品测试评价方法 GB/T 20279-2006 信息安全技术 网络端设备隔离部件技术要求 GB/T 20280-2006 信息安全技术 网络端设备隔离部件测试评价方法 等。XX医院等级保护安全建设方案
秘密级 安全风险与需求分析
伴随着XX医院信息化的快速发展,信息安全问题日益显现。从医院安全建设角度,目前还没有成规模的部署安全产品,采用最多的只是桌面防病毒、网络防火墙和IDS入侵检测等传统安全技术手段,无论是业务网还是办公网均面临着来自网络外部和内部的一系列新型复杂的安全威胁;因此,必须认清威胁,明确需求,采取措施“攮外”与“安内”并举,才能确保XX医院信息化的顺利进行。
需要说明的是,业务网上承载着最核心HIS系统,整个安全建设将围绕保障业务系统的安全运行为目标。其次是办公外网,既在诸如终端防护上具备和业务网类似的安全需求,又因边界的不同属性需要采取不同的个性化解决方案。
6.1 安全技术需求分析
6.1.1 物理安全风险与需求分析
物理安全风险主要是指网络周边的环境和物理特性引起的网络设备和线路的不可使用,从而会造成网络系统的不可使用,甚至导致整个网络的瘫痪。它是整个网络系统安全的前提和基础,只有保证了物理层的可用性,才能使得整个网络的可用性,进而提高整个网络的抗破坏力。例如:
机房缺乏控制,人员随意出入带来的风险; 网络设备被盗、被毁坏;
线路老化或是有意、无意的破坏线路; 设备在非预测情况下发生故障、停电等; 自然灾害如地震、水灾、火灾、雷击等; 电磁干扰等。
因此,在通盘考虑安全风险时,应优先考虑物理安全风险。保证网络正常运 XX医院等级保护安全建设方案
秘密级
行的前提是将物理层安全风险降到最低或是尽量考虑在非正常情况下物理层出现风险问题时的应对方案。
6.1.2 计算环境安全风险与需求分析
计算环境的安全主要指主机以及应用层面的安全风险与需求分析,包括:身份鉴别、访问控制、系统审计、入侵防范、恶意代码防范、软件容错、数据完整性与保密性、备份与恢复、资源合理控制、剩余信息保护、抗抵赖等方面。
身份鉴别
身份鉴别包括主机和应用两个方面。
主机操作系统登录、数据库登陆以及应用系统登录均必须进行身份验证。过于简单的标识符和口令容易被穷举攻击破解。同时非法用户可以通过网络进行窃听,从而获得管理员权限,可以对任何资源非法访问及越权操作。因此必须提高用户名/口令的复杂度,且防止被网络窃听;同时应考虑失败处理机制。
访问控制
访问控制包括主机和应用两个方面。
访问控制主要为了保证用户对主机资源和应用系统资源的合法使用。非法用户可能企图假冒合法用户的身份进入系统,低权限的合法用户也可能企图执行高权限用户的操作,这些行为将给主机系统和应用系统带来了很大的安全风险。用户必须拥有合法的用户标识符,在制定好的访问控制策略下进行操作,杜绝越权非法操作。
系统审计
系统审计包括主机审计和应用审计两个方面。
对于登陆主机后的操作行为则需要进行主机审计。对于服务器和重要主机需要进行严格的行为控制,对用户的行为、使用的命令等进行必要的记录审计,便于日后的分析、调查、取证,规范主机使用行为。而对于应用系统同样提出了应用审计的要求,即对应用系统的使用行为进行审计。重点审计应用层信息,和业 XX医院等级保护安全建设方案
秘密级
务系统的运转流程息息相关。能够为安全事件提供足够的信息,与身份认证与访问控制联系紧密,为相关事件提供审计记录。
入侵防范
主机操作系统面临着各类具有针对性的入侵威胁,常见操作系统存在着各种安全漏洞,并且现在漏洞被发现与漏洞被利用之间的时间差变得越来越短,这就使得操作系统本身的安全性给整个系统带来巨大的安全风险,因此对于主机操作系统的安装,使用、维护等提出了需求,防范针对系统的入侵行为。
恶意代码防范
病毒、蠕虫等恶意代码是对计算环境造成危害最大的隐患,当前病毒威胁非常严峻,特别是蠕虫病毒的爆发,会立刻向其他子网迅速蔓延,发动网络攻击和数据窃密。大量占据正常业务十分有限的带宽,造成网络性能严重下降、服务器崩溃甚至网络通信中断,信息损坏或泄漏。严重影响正常业务开展。因此必须部署恶意代码防范软件进行防御。同时保持恶意代码库的及时更新。
软件容错
软件容错的主要目的是提供足够的冗余信息和算法程序,使系统在实际运行时能够及时发现程序设计错误,采取补救措施,以提高软件可靠性,保证整个计算机系统的正常运行。
数据安全
主要指数据的完整性与保密性。数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要,是必须考虑的问题。应采取措施保证数据在传输过程中的完整性以及保密性;保护鉴别信息的保密性
备份与恢复
数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要,是必须考虑的问题。对于关键数据应建立数据的备份机制,而对于网络的关键设备、线路均需进行冗余配置,备份与恢复是应对突发 XX医院等级保护安全建设方案
秘密级
事件的必要措施。
资源合理控制
资源合理控制包括主机和应用两个方面。
主机系统以及应用系统的资源是有限的,不能无限滥用。系统资源必须能够为正常用户提供资源保障。否则会出现资源耗尽、服务质量下降甚至服务中断等后果。因此对于系统资源进行控制,制定包括:登陆条件限制、超时锁定、用户可用资源阈值设置等资源控制策略。
剩余信息保护
对于正常使用中的主机操作系统和数据库系统等,经常需要对用户的鉴别信息、文件、目录、数据库记录等进行临时或长期存储,在这些存储资源重新分配前,如果不对其原使用者的信息进行清除,将会引起用户信息泄漏的安全风险,因此,需要确保系统内的用户鉴别信息文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除
对于动态管理和使用的客体资源,应在这些客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄漏。
抗抵赖
对于数据安全,不仅面临着机密性和完整性的问题,同样还面临着抗抵赖性(不可否认性)的问题,应采用技术手段防止用户否认其数据发送和接收行为,为数据收发双方提供证据。
6.1.3 区域边界安全风险与需求分析
区域边界的安全主要包括:边界访问控制、边界完整性检测、边界入侵防范以及边界安全审计等方面。
边界访问控制
对于各类边界最基本的安全需求就是访问控制,对进出安全区域边界的数据信息进行控制,阻止非授权及越权访问。XX医院等级保护安全建设方案
秘密级
边界完整性检测
边界的完整性如被破坏则所有控制规则将失去效力,因此需要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查,维护边界完整性。
边界入侵防范
各类网络攻击行为既可能来自于大家公认的互联网等外部网络,在内部也同样存在。通过安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,实现对网络层以及业务系统的安全防护,保护核心信息资产的免受攻击危害。
边界安全审计
在安全区域边界需要建立必要的审计机制,对进出边界的各类网络行为进行记录与审计分析,可以和主机审计、应用审计以及网络审计形成多层次的审计系统。并可通过安全管理中心集中管理。
边界恶意代码防范
现今,病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加泛滥,目前计算机病毒的传播途径与过去相比已经发生了很大的变化,更多的以网络(包括 Internet、广域网、局域网)形态进行传播,因此为了安全的防护手段也需以变应变。迫切需要网关型产品在网络层面对病毒予以查杀。
6.1.4 通信网络安全风险与需求分析
XX医院通信网络的安全主要包括:网络结构安全、网络安全审计、网络设备防护、通信完整性与保密性等方面。
网络结构
网络结构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构需要具备一定的冗余性;带宽能够满足业务高峰时期数据交换需求;并合理的划分网段和VLAN。XX医院等级保护安全建设方案
秘密级
网络安全审计
由于用户的计算机相关的知识水平参差不齐,一旦某些安全意识薄弱的管理用户误操作,将给信息系统带来致命的破坏。没有相应的审计记录将给事后追查带来困难。有必要进行基于网络行为的审计。从而威慑那些心存侥幸、有恶意企图的少部分用户,以利于规范正常的网络应用行为。
网络设备防护
由于XX医院在建网络系统将会使用大量的网络设备和安全设备,如交换机、防火墙、入侵检测设备等。这些设备的自身安全性也会直接关系到涉密网和各种网络应用的正常运行。如果发生网络设备被不法分子攻击,将导致设备不能正常运行。更加严重情况是设备设置被篡改,不法分子轻松获得网络设备的控制权,通过网络设备作为跳板攻击服务器,将会造成无法想象的后果。例如,交换机口令泄漏、防火墙规则被篡改、入侵检测设备失灵等都将成为威胁网络系统正常运行的风险因素。
通信完整性与保密性
由于网络协议及文件格式均具有标准、开发、公开的特征,因此数据在网上存储和传输过程中,不仅仅面临信息丢失、信息重复或信息传送的自身错误,而且会遭遇信息攻击或欺诈行为,导致最终信息收发的差异性。因此,在信息传输和存储过程中,必须要确保信息内容在发送、接收及保存的一致性;并在信息遭受篡改攻击的情况下,应提供有效的察觉与发现机制,实现通信的完整性。
而数据在传输过程中,为能够抵御不良企图者采取的各种攻击,防止遭到窃取,应采用加密措施保证数据的机密性。
网络可信接入
对于一个不断发展的网络而言,为方便办公,在网络设计时保留大量的接入端口,这对于随时随地快速接入到XX医院业务网络进行办公是非常便捷的,但同时也引入了安全风险,一旦外来用户不加阻拦的接入到网络中来,就有可能破坏网络的安全边界,使得外来用户具备对网络进行破坏的条件,由此而引入诸如 XX医院等级保护安全建设方案
秘密级
蠕虫扩散、文件泄密等安全问题。因此需要对非法客户端实现禁入,能监控网络,对于没有合法认证的外来机器,能够阻断其网络访问,保护好已经建立起来的安全环境。
6.2 安全管理需求分析
“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除了技术管理措施外,安全管理是保障安全技术手段发挥具体作用的最有效手段,建立健全安全管理体系不但是国家等级保护中的要求,也是作为一个安全体系来讲,不可或缺的重要组成部分。
安全管理体系依赖于国家相关标准、行业规范、国际安全标准等规范和标准来指导,形成可操作的体系。主要包括:
安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
根据等级保护的要求在上述方面建立一系列的管理制度与操作规范,并明确执行。技术体系方案设计
7.1 方案设计目标
三级系统安全保护环境的设计目标是:落实GB 17859-1999对三级系统的安全保护要求,在二级安全保护环境的基础上,通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制,使得系统具有在统一安全策略管控下,保护敏感资源的能力。
通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面 XX医院等级保护安全建设方案
秘密级
基本技术要求进行技术体系建设;为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。使得XX医院网络系统的等级保护建设方案最终既可以满足等级保护的相关要求,又能够全方面为XX医院的业务系统提供立体、纵深的安全保障防御体系,保证信息系统整体的安全保护能力。
7.2 方案设计框架
根据《信息系统安全等级保护基本要求》,分为技术和管理两大类要求,具体如下图所示:
本方案将严格根据技术与管理要求进行设计。首先应根据本级具体的基本要求设计本级系统的保护环境模型,根据《信息系统等级保护安全设计技术要求》,保护环境按照安全计算环境、安全区域边界、安全通信网络和安全管理中心进行设计,内容涵盖基本要求的5个方面。同时结合管理要求,形成如下图所示的保护环境模型: XX医院等级保护安全建设方案
秘密级
信息系统的安全保护等级由业务信息安全性等级和系统服务保证性等级较高者决定,因此,对某一个定级后的信息系统的安全保护的侧重点可以有多种组合。对于3级保护系统,其组合为:(在S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3选择)。以下对XX医院详细方案设计时应将每个项目进行相应的组合级别说明。
7.3 安全技术体系设计
7.3.1 物理安全设计
物理环境安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境,并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。
机房选址
机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。XX医院等级保护安全建设方案
秘密级
机房管理
机房出入口安排专人值守,控制、鉴别和记录进入的人员;
需进入机房的来访人员须经过申请和审批流程,并限制和监控其活动范围。对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 机房环境
合理规划设备安装位置,应预留足够的空间作安装、维护及操作之用。房间装修必需使用阻燃材料,耐火等级符合国家相关标准规定。机房门大小应满足系统设备安装时运输需要。机房墙壁及天花板应进行表面处理,防止尘埃脱落,机房应安装防静电活动地板。
机房安装防雷和接地线,设置防雷保安器,防止感应雷,要求防雷接地和机房接地分别安装,且相隔一定的距离;机房设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。配备空调系统,以保持房间恒湿、恒温的工作环境;在机房供电线路上配置稳压器和过电压防护设备;提供短期的备用电力供应,满足关键设备在断电情况下的正常运行要求。设置冗余或并行的电力电缆线路为计算机系统供电;建立备用供电系统。铺设线缆要求电源线和通信线缆隔离铺设,避免互相干扰。对关键设备和磁介质实施电磁屏蔽。
设备与介质管理
为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性,必须采用有效的区域监控、防盗报警系统,阻止非法用户的各种临近攻击。此外,必须制定严格的出入管理制度和环境监控制度,以保障区域监控系统和环境监控系统的有效运行。对介质进行分类标识,存储在介质库或档案室中。利用光、电等技术设置机 XX医院等级保护安全建设方案
秘密级
房防盗报警系统;对机房设置监控报警系统。
7.3.2 计算环境安全设计 7.3.2.1 身份鉴别
身份鉴别可分为主机身份鉴别和应用身份鉴别两个方面: 主机身份鉴别:
为提高主机系统安全性,保障各种应用的正常运行,对主机系统需要进行一系列的加固措施,包括:
对登录操作系统和数据库系统的用户进行身份标识和鉴别,且保证用户名的唯一性。
根据基本要求配置用户名/口令;口令必须具备采用3种以上字符、长度不少于8位并定期更换;
启用登陆失败处理功能,登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。
远程管理时应启用SSH等管理方式,加密管理数据,防止被网络窃听。 对主机管理员登录进行双因素认证方式,采用USB key+密码进行身份鉴别
应用身份鉴别:
为提高应用系统系统安全性应用系统需要进行一系列的加固措施,包括: 对登录用户进行身份标识和鉴别,且保证用户名的唯一性。
根据基本要求配置用户名/口令,必须具备一定的复杂度;口令必须具备采用3种以上字符、长度不少于8位并定期更换;
启用登陆失败处理功能,登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。XX医院等级保护安全建设方案
秘密级
应用系统如具备上述功能则需要开启使用,若不具备则需进行相应的功能开发,且使用效果要达到以上要求。
对于三级系统,要求对用户进行两种或两种以上组合的鉴别技术,因此可采用双因素认证(USB key+密码)或者构建PKI体系,采用CA证书的方式进行身份鉴别。
7.3.2.2 访问控制
三级系统一个重要要求是实现自主访问控制和强制访问控制。自主访问控制实现:在安全策略控制范围内,使用户对自己创建的客体具有各种访问操作权限,并能将这些权限的部分或全部授予其他用户;自主访问控制主体的粒度应为用户级,客体的粒度应为文件或数据库表级;自主访问操作应包括对客体的创建、读、写、修改和删除等。强制访问控制实现:在对安全管理员进行严格的身份鉴别和权限控制基础上,由安全管理员通过特定操作界面对主、客体进行安全标记;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制;强制访问控制主体的粒度应为用户级,客体的粒度应为文件或数据库表级。
由此主要控制的是对应用系统的文件、数据库等资源的访问,避免越权非法使用。采用的措施主要包括:
启用访问控制功能:制定严格的访问控制安全策略,根据策略控制用户对应用系统的访问,特别是文件操作、数据库访问等,控制粒度主体为用户级、客体为文件或数据库表级。
权限控制:对于制定的访问控制规则要能清楚的覆盖资源访问相关的主体、客体及它们之间的操作。对于不同的用户授权原则是进行能够完成工作的最小化授权,避免授权范围过大,并在它们之间形成相互制约的关系。
账号管理:严格限制默认账户的访问权限,重命名默认账户,修改默认口令;及时删除多余的、过期的账户,避免共享账户的存在。
访问控制的实现主要采取两种方式:采用安全操作系统,或对操作系统进行安全增强改造,且使用效果要达到以上要求。XX医院等级保护安全建设方案
秘密级
7.3.2.3 系统安全审计
系统审计包含主机审计和应用审计两个层面: 主机审计:
部署终端安全管理系统,启用主机审计功能,或部署主机审计系统,实现对主机监控、审计和系统管理等功能。
监控功能包括服务监控、进程监控、硬件操作监控、文件系统监控、打印机监控、非法外联监控、计算机用户账号监控等。
审计功能包括文件操作审计、外挂设备操作审计、非法外联审计、IP地址更改审计、服务与进程审计等。审计范围覆盖到服务器上的每个操作系统用户和数据库用户;内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等;保护审计记录,避免受到未预期的删除、修改或覆盖等。同时,根据记录的数据进行统计分析,生成详细的审计报表,系统管理功能包括系统用户管理、主机监控代理状态监控、安全策略管理、主机监控代理升级管理、计算机注册管理、实时报警、历史信息查询、统计与报表等。
应用审计:
应用层安全审计是对业务应用系统行为的审计,需要与应用系统紧密结合,此审计功能应与应用系统统一开发。
应用系统审计功能记录系统重要安全事件的日期、时间、发起者信息、类型、描述和结果等,并保护好审计结果,阻止非法删除、修改或覆盖审计记录。同时能够对记录数据进行统计、查询、分析及生成审计报表。
部署数据库审计系统对用户行为、用户事件及系统状态加以审计,范围覆盖到每个用户,从而把握数据库系统的整体安全。
应用系统如具备上述功能则需要开启使用,若不具备则需进行相应的功能开 XX医院等级保护安全建设方案
秘密级
发,且使用效果要达到以上要求。
7.3.2.4 入侵防范
针对入侵防范主要体现在主机及网络两个层面。针对主机的入侵防范,可以从多个角度进行处理: 入侵检测系统可以起到防范针对主机的入侵行为; 部署漏洞扫描进行系统安全性检测;
部署终端安全管理系统,开启补丁分发功能模块及时进行系统补丁升级; 操作系统的安装遵循最小安装的原则,仅安装需要的组件和应用程序,关闭多余服务等;
另外根据系统类型进行其它安全配置的加固处理。
针对网络入侵防范,可通过部署网络入侵检测系统来实现。将网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。
入侵检测系统可以部署在XX医院的核心处以及主要服务器区,这里我们建议在这些区域的交换机上部署入侵检测系统,监视并记录网络中的所有访问行为和操作,有效防止非法操作和恶意攻击。同时,入侵检测系统还可以形象地重现操作的过程,可帮助安全管理员发现网络安全的隐患。
需要说明的是,IDS是对防火墙的非常有必要的附加而不仅仅是简单的补充。入侵检测系统作为网络安全体系的第二道防线,对在防火墙系统阻断攻击失败时,可以最大限度地减少相应的损失。因此,IDS应具备更多的检测能力,能够和其他安全产品(边界防火墙、内网安全管理软件等)进行联动。XX医院等级保护安全建设方案
秘密级
7.3.2.5 主机恶意代码防范
各类恶意代码尤其是病毒、木马等是对XX医院的重大危害,病毒在爆发时将使路由器、3层交换机、防火墙等网关设备性能急速下降,并且占用整个网络带宽。
针对病毒的风险,我们建议重点是将病毒消灭或封堵在终端这个源头上。比如,在所有终端主机和服务器上部署网络防病毒系统,加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。
在XX医院安全管理安全域中,可以部署防病毒服务器,负责制定和终端主机防病毒策略,在XX医院内网建立全网统一的一级升级服务器,在下级节点建立二级升级服务器,由管理中心升级服务器通过互联网或手工方式获得最新的病毒特征库,分发到数据中心节点的各个终端,并下发到各二级服务器。在网络边界通过防火墙进行基于通信端口、带宽、连接数量的过滤控制,可以在一定程度上避免蠕虫病毒爆发时的大流量冲击。同时,防毒系统可以为安全管理平台提供关于病毒威胁和事件的监控、审计日志,为全网的病毒防护管理提供必要的信息。
7.3.2.6 软件容错
软件容错的主要目的是提供足够的冗余信息和算法程序,使系统在实际运行时能够及时发现程序设计错误,采取补救措施,以提高软件可靠性,保证整个计算机系统的正常运行。因此在应用系统软件设计时要充分考虑软件容错设计,包括:
提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;
具备自保护功能,在故障发生时,应用系统应能够自动保存当前所有状态,确保系统能够进行恢复。
7.3.2.7 数据完整性与保密性
目前,XX医院信息系统中传输的信息主要是重要的业务数据和办公文档,对信息完整性校验提出了一定的需求,特别是通过公网远程接入内网传递数据的 XX医院等级保护安全建设方案
秘密级
私密性有很高的要求。而SSL VPN非常适用于远程接入环境,例如:移动办公接入。它和IPSEC VPN适用于不同的应用场景,可配合使用。
SSL的英文全称是“Secure Sockets Layer”,中文名为“安全套接层协议层”,它是网景(Netscape)公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
SSL与IPSec安全协议一样,也可提供加密和身份验证安全方法,因此安全性上二者无明显差别。
SSL VPN使用SSL/HTTPS技术作为安全传输机制。这种机制在所有的标准Web浏览器上都有,不用额外的软件实现。使用SSL VPN,在移动用户和内部资源之间的连接通过应用层的Web连接实现,而不是像IPSec VPN在网络层开放的“通道”。SSL对移动用户是理想的技术,因为:
SSL无需被加载到终端设备上 SSL无需终端用户配置
SSL无需被限于固定终端,只要有标准浏览器即可使用
产品部署方面,SSL VPN只需单臂旁路方式接入。单臂旁路接入不改变原有网络结构和网路配置,不增加故障点,部署简单灵活,同时提供完整的SSL VPN服务。远程用户只需应用标准IE浏览器即可登陆网关,通过身份鉴别,在基于角色的策略控制下实现对医院内部资源的存取访问。远程移动用户只需打开标准IE浏览器,登陆SSL VPN网关,经过用户认证后即可根据分配给该用户的相应策略进行相关业务系统的访问。
7.3.2.8 备份与恢复
备份与恢复主要包含两方面内容,首先是指数据备份与恢复,另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。
XX医院等级保护安全建设方案
秘密级
数据是最重要的系统资源。数据丢失将会使系统无法连续正常工作。数据错误则将意味着不准确的事务处理。可靠的系统要求能立即访问准确信息。将综合存储战略作为计算机信息系统基础设施的一部分实施不再是一种选择,而已成为必然的趋势。
数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实时性等原则。备份系统先进的特性可提供增强的性能,易于管理,广泛的设备兼容性和较高的可靠性,以保证数据完整性。广泛的选件和代理能将数据保护扩展到整个系统,并提供增强的功能,其中包括联机备份应用系统和数据文件,先进的设备和介质管理,快速、顺利的灾难恢复以及对光纤通道存储区域网(SAN)的支持等。
本地完全数据备份至少每天一次,且备份介质需要场外存放。
提供能异地数据备份功能,利用通信网络将关键数据定时批量传送至异地备用场地。
对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计,保障从网络结构、硬件配置上满足不间断系统运行的需要。
7.3.2.9 资源控制
为保证XX医院的应用系统正常的为用户提供服务,必须进行资源控制,否则会出现资源耗尽、服务质量下降甚至服务中断等后果。通过对应用系统进行开发或配置来达到控制的目标,包括:
会话自动结束:当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够及时检测并自动结束会话,释放资源;
会话限制:对应用系统的最大并发会话连接数进行限制,对一个时间段内可能的并发会话连接数进行限制,同时对单个帐户的多重并发会话进行限制,设定相关阈值,保证系统可用性。
登陆条件限制:通过设定终端接入方式、网络地址范围等条件限制终端
XX医院等级保护安全建设方案
秘密级
登录。
超时锁定:根据安全策略设置登录终端的操作超时锁定。
用户可用资源阈值:限制单个用户对系统资源的最大或最小使用限度,保障正常合理的资源占用。
对重要服务器的资源进行监视,包括CPU、硬盘、内存等。 对系统的服务水平降低到预先规定的最小值进行检测和报警。 提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。
应用系统如具备上述功能则需要开启使用,若不具备则需进行相应的功能开发,且使用效果要达到以上要求。
7.3.2.10 客体安全重用
为实现客体的安全重用,及时清除剩余信息存储空间,应通过对操作系统及数据库系统进行安全加固配置,使得操作系统和数据库系统具备及时清除剩余信息的功能,从而保证用户的鉴别信息、文件、目录、数据库记录等敏感信息所在的存储空间(内存、硬盘)被及时释放或再分配给其他用户前得到完全清除。
7.3.2.11 抗抵赖
解决系统抗抵赖特性最有效的方法就是采用数字签名技术,通过数字签名及签名验证技术,可以判断数据的发送方是真实存在的用户。数字签名是不对称加密算法的典型应用。数字签名的应用过程是,数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理,完成对数据的合法“签名”,数据接收方则利用对方的公钥来解读收到的“数字签名”,并将解读结果用于对数据完整性的检验,以确认签名的合法性同时,通过对签名的验证,可以判断数据在传输过程中是否被更改。从而,可以实现数据的发送方不能对发送的数据进行抵赖,发送的数据是完整的,实现系统的抗抵赖性和完整性需求。
XX医院等级保护安全建设方案
秘密级
PKI体系具备了完善的数字签名功能。因此部署PKI体系可解决抗抵赖的问题,同时提供身份鉴别和访问控制。
7.3.3 区域边界安全设计 7.3.3.1 边界访问控制
通过对XX医院的边界风险与需求分析,在网络层进行访问控制需部署防火墙产品,可以对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,杜绝越权访问,防止各类非法攻击行为。同时可以和内网安全管理系统、网络入侵检测系统等进行安全联动,为网络创造全面纵深的安全防御体系。
在各安全域边界部署防火墙产品,部署效果如下: 1.网络安全的基础屏障:
防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2.强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
3.对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个
XX医院等级保护安全建设方案
秘密级
网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
4.防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。
5.精确流量管理
通过部署防火墙设备,不仅可以实现精准访问控制与边界隔离防护,还能实现阻止由于病毒或者P2P软件引起的异常流量、进行精确的流量控制等。对各级节点安全域实现全面的边界防护,严格控制节点之间的网络数据流。
7.3.3.2 安全隔离网闸
根据XX医院外网的业务需求,数据中心提供对互联网的访问服务。对这些访问行为,需要对数据交换、传输协议、传输内容、安全决策等进行严格的检查,以防止有互联网引入风险。数据中心内部划分了专门的互联网服务器安全域,将对外提供服务的Web服务器等部署在防火墙的DMZ区,负责接收和处理来自互联网的业务访问请求。防火墙进行严格的访问控制的设定,确保访问身份的合法性。
但是,防火墙无法高度保证传输内容、协议、数据的安全性。同时,需要对互联网业务服务器对数据中心内网数据库的访问进行严格的管理控制,不允许互联网用户访问到互联网业务服务器的数据库。
可以通过在互联网服务器安全域与数据中心内网的安全边界上,在互联网服务器安全域中的业务服务器与单个部门服务器安全域中的业务数据库之间部署
XX医院等级保护安全建设方案
秘密级
安全隔离网闸,对各部门的数据库实现按需数据同步。用户可以通过互联网访问到互联网服务器区中的指定业务前置服务器中,互联网服务器区的业务前置服务器负责接收用户的业务访问请求,并通过安全隔离网闸访问内网某个部门前置受理服务器,在内部安全域实现内网前置处理服务器对相应数据库完成业务处理,并将业务处理结果,按照用户部门的不同,存储在单个部门服务器安全域中、访问用户所在的部门的数据库中,完成用户通过互联网对自己部门业务服务器的访问。
通过这种方式,可以为访问提供更高的安全性保障。安全隔离网闸两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原,还原后的应用层信息根据用户的策略进行强制检查后,以格式化数据块的方式通过隔离交换矩阵进行单向交换,在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信,即实现“协议落地、内容检测”。这样,既从物理上隔离、阻断了具有潜在攻击可能的一切连接,又进行了强制内容检测,从而实现最高级别的安全。
7.3.3.3 流量控制
XX医院数据中心提供面向互联网的服务,包括门户网站、互联网数据收集服务等,这些服务集中在互联网服务区安全域中。对于服务的访问流量,是我们需要保护的流量。但是,往往有一些“异常”的流量,通过部分或完全占据网络资源,使得正常的业务访问延迟或中断。可能发生在互联网服务区安全边界的异常流量,根据产生原因的不同,大致可以分为两类:攻击流量、病毒流量。
攻击流量:是以拒绝服务式攻击(DDOS)为代表,他们主要来自于互联网,攻击的目标是互联网服务区安全域中的服务系统。
病毒流量:病毒流量可能源自数据中心内部或互联网,主要是由蠕虫病毒所引发,一旦内部主机感染病毒,病毒会自动的在网络中寻找漏洞主机并感染。互联网中的大量蠕虫病毒,也可能通过安全边界,进入到数据中心网络中来。
通过在互联网服务区安全边界最外侧部署流量管理系统,可以实时的发现并
XX医院等级保护安全建设方案
秘密级
阻断异常流量,为正常的互联网访问请求提供高可靠环境。流量控制系统部署在互联网服务区安全边界最外层,直接面向互联网,阻断来自互联网的攻击,阻断病毒的自动探测和传播。
流量控制系统必须具备智能的流量分析能力、特征识别能力,具备大流量入侵时足够的性能处理能力,可以为XX医院网络系统实现:
全面识别网络应用流量
使用协议检测、协议解码、特征签名、行为检测四种技术精确识别网络上的每个应用并对其进行分类管理。可以识别13大类、1100种以上网络应用,与应用使用的端口、协议或是否采用加密以及隐蔽机制无关。
全面识别网络攻击流量
精确识别7大类、1600种以上高风险网络攻击流量,包括DDoS/DoS、缓存区溢出、扫描、木马后门、蠕虫病毒、Web攻击等。
全面控制网络应用流量
采用精确流量控制技术,实现带宽限制、保证带宽、带宽借用、应用优先级等一系列带宽管理功能,防止不正常应用对网络带宽资源的过度消耗,保证关键应用带宽,限制非关键应用带宽,改善和保障整体网络应用的服务质量。
全面清洗网络攻击流量
能够实时阻挡网络扫描、蠕虫病毒、木马后门、DDoS/ DoS、Web攻击等攻击流量,给用户专业级流量净化设备的效果。如果不能够将占用或消耗网络带宽的攻击流量或者给应用流量带来巨大安全威胁的恶意流量清洗掉,关键应用流量的管理就得不到有效的保障。在有多条广域网链路存在的情况下,可以对每条广域网链路设置不同的流量净化策略。
全面管理网络应用行为
在应用行为管理上,可以根据不同的时间、用户群组来对IM、P2P、网络游戏、股票证券、非法隧道等下达严格的管理策略,杜绝对不良网站和危险资源的37 XX医院等级保护安全建设方案
秘密级
访问,防止对Internet资源的滥用,避免医院敏感信息的泄漏。
全面的流量监控与报表
具有强大的流量实时监控与报表分析能力。不同策略下网络应用流量的监控与分析报表包括应用流量分布、内部主机流量分布、外部主机流量分布、带宽负载分布、连接数分布、数据包大小分布、QoS流量分布等等。网络攻击流量的监控报表包括每一次异常流量攻击的发生时间、严重程度、处理方式、攻击种类、源IP、目的IP、源端口、目的端口、协议等;对网络攻击流量的分析报表包括来源、目的、种类、威胁程度等的详细分析。
7.3.3.4 边界完整性检查
边界完整性检查核心是要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查,维护网络边界完整性。通过部署终端安全管理系统可以实现这一目标。
终端安全管理系统其中一个重要功能模块就是非法外联控制,探测内部网中非法上互联网的计算机。非法外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理,可以防止用户访问非信任网络资源,并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。
终端非法外联行为监控
可以发现终端试图访问非授信网络资源的行为,如试图与没有通过系统授权许可的终端进行通信,自行试图通过拨号连接互联网等行为。对于发现的非法外联行为,可以记录日志并产生报警信息。
终端非法外联行为管理
可以禁止终端与没有通过系统授权许可的终端进行通信,禁止拨号上网行为。
XX医院等级保护安全建设方案
秘密级
7.3.3.5 边界入侵防御
在各区域边界,防火墙起到了协议过滤的主要作用,根据安全策略在偏重在网络层判断数据包的合法流动。但面对越来越广泛的基于应用层内容的攻击行为,防火墙并不擅长处理应用层数据。
在XX医院网络边界和主要服务器区安全域均已经设计部署了防火墙,对每个安全域进行严格的访问控制。鉴于以上对防火墙核心作用的分析,需要其他具备检测新型的混合攻击和防护的能力的设备和防火墙配合,共同防御来自应用层到网络层的多种攻击类型,建立一整套的安全防护体系,进行多层次、多手段的检测和防护。入侵防护系统(IPS)就是安全防护体系中重要的一环,它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。
IPS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。IPS就是自动执行这种监视和分析过程,并且执行阻断的硬件产品。
将IPS串接在防火墙后面,核心服务器区的前面,在防火墙进行访问控制,保证了访问的合法性之后,IPS动态的进行入侵行为的保护,对访问状态进行检测、对通信协议和应用协议进行检测、对内容进行深度的检测。阻断来自内部的数据攻击以及垃圾数据流的泛滥。
由于IPS对访问进行深度的检测,因此,IPS产品需要通过先进的硬件架构、软件架构和处理引擎对处理能力进行充分保证。
7.3.3.6 边界安全审计(上网行为管理)
各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全。对于流经各主要边界(重要服务器区域、外部连接边界)需要设置必要的审计机制,进行数据监视并记录各类操作,通过审计分析能够发现跨区域的安全威胁,实时地综合分析出网络中发生的安全事件。一般可采取开启边界安全设备的审计功能
XX医院等级保护安全建设方案
秘密级
模块,根据审计策略进行数据的日志记录与审计。同时审计信息要通过安全管理中心进行统一集中管理,为安全管理中心提供必要的边界安全审计数据,利于管理中心进行全局管控。边界安全审计和主机审计、应用审计、网络审计等一起构成完整的、多层次的审计系统。
7.3.3.7 网页防篡改
在XX医院外网数据中心的互联网服务器区对外提供Web服务,Web应用的普及使得XX医院外网信息系统中存在的Web服务器很容易成为黑客的攻击目标。需要专业的主页防篡改工具有效阻止主页篡改事件的发生,维护Web页面的安全。
在XX医院办公外网的互联网服务器区中的每个web服务器配置一套主页防篡改系统,全面监测WEB服务器的页面是否正常。对于突破网站防火墙的篡改行为,进行实时监控,确保网站信息安全。一旦发现网站信息被篡改之后,立刻通知监控中心并迅速恢复正常的网页文件。724不间断地保护网站,任何恶意篡改痕迹将被实时保留,并主动和及时通知管理人员,做到防范于未然。
XX医院外网互联网服务器区Web部署的主页防篡改系统可以保障主要的WEB页面信息的安全和准确性。全面的监测和保障XX医院外网Web服务的安全。防止黑客对网页进行恶意篡改。通过网络扫描网站的网页,监测网页是否被修改,当发现网页被修改后,系统能够自动报警和恢复。
7.3.3.8 边界恶意代码防范(防毒墙)
一个完善的安全体系应该包含了从桌面到服务器、从内部用户到网络边界的全面地解决方案,以抵御来自黑客和病毒的威胁。
在XX医院办公外网边界部署防病毒网关,采用透明接入方式,在最接近病毒发生源安全边界处进行集中防护,对夹杂在网络交换数据中的各类网络病毒进行过滤,可以对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截。阻止病毒通过网络的快速扩散,将经网络传播的病毒阻挡在外,可以有效防止病毒从其他区域传播到内部其他安全域
XX医院等级保护安全建设方案
秘密级
中。通过部署AV防病毒网关(防毒墙),截断了病毒通过网络传播的途径,净化了网络流量。
部署的防病毒网关应特别注意设备性能,产品必须具备良好的体系架构保证性能,能够灵活的进行网络部署。同时为使得达到最佳防毒效果,AV防病毒网关设备和桌面防病毒软件应为不同的厂家产品,两类病毒防护产品共同组成XX医院的立体病毒防护体系。
为能达到最好的防护效果,病毒库的及时升级至最新版本至关重要。对于能够与互联网实现连接的网络,应对自动升级进行准确配置;对与不能与互联网进行连接的网络环境,需采取手动下载升级包的方式进行手动升级。
7.3.4 通信网络安全设计 7.3.4.1 网络结构安全
网络结构的安全是网络安全的前提和基础,对于XX医院,选用主要网络设备时需要考虑业务处理能力的高峰数据流量,要考虑冗余空间满足业务高峰期需要;网络各个部分的带宽要保证接入网络和核心网络满足业务高峰期需要;按照业务系统服务的重要次序定义带宽分配的优先级,在网络拥堵时优先保障重要主机;合理规划路由,业务终端与业务服务器之间建立安全路径;绘制与当前运行情况相符的网络拓扑结构图;根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的网段或VLAN。保存有重要业务系统及数据的重要网段不能直接与外部系统连接,需要和其他网段隔离,单独划分区域。
7.3.4.2 网络安全审计
网络安全审计系统主要用于监视并记录网络中的各类操作,侦察系统中存在的现有和潜在的威胁,实时地综合分析出网络中发生的安全事件,包括各种外部事件和内部事件。
在XX医院交换机处并接部署网络行为监控与审计系统,形成对全网网络数
XX医院等级保护安全建设方案
秘密级
据的流量监测并进行相应安全审计,同时和其它网络安全设备共同为集中安全管理提供监控数据用于分析及检测。
网络行为监控和审计系统将独立的网络传感器硬件组件连接到网络中的数据会聚点设备上,对网络中的数据包进行分析、匹配、统计,通过特定的协议算法,从而实现入侵检测、信息还原等网络审计功能,根据记录生成详细的审计报表。
网络行为监控和审计系统采用旁路技术,不用在目标主机中安装任何组件。同时网络审计系统可以与其它网络安全设备进行联动,将各自的监控记录送往安全管理安全域中的安全管理服务器,集中对网络异常、攻击和病毒进行分析和检测。
7.3.4.3 网络设备防护
为提高网络设备的自身安全性,保障各种网络应用的正常运行,对网络设备需要进行一系列的加固措施,包括:
对登录网络设备的用户进行身份鉴别,用户名必须唯一; 对网络设备的管理员登录地址进行限制;
身份鉴别信息具有不易被冒用的特点,口令设置需3种以上字符、长度不少于8位,并定期更换;
具有登录失败处理功能,失败后采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
启用SSH等管理方式,加密管理数据,防止被网络窃听。
对于鉴别手段,三级要求采用两种或两种以上组合的鉴别技术,因此需采用USBkey+密码进行身份鉴别,保证对网络设备进行管理维护的合法性。
XX医院等级保护安全建设方案
秘密级
7.3.4.4 通信完整性
信息的完整性设计包括信息传输的完整性校验以及信息存储的完整性校验。对于信息传输和存储的完整性校验可以采用的技术包括校验码技术、消息鉴别码、密码校验函数、散列函数、数字签名等。
对于信息传输的完整性校验应由传输加密系统完成。部署SSL VPN系统保证远程数据传输的数据完整性。对于信息存储的完整性校验应由应用系统和数据库系统完成。
7.3.4.5 通信保密性
应用层的通信保密性主要由应用系统完成。在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;并对通信过程中的敏感信息字段进行加密。
对于信息传输的通信保密性应由传输加密系统完成。部署SSL VPN系统保证远程数据传输的数据机密性。
7.3.4.6 网络可信接入
为保证网络边界的完整性,不仅需要进行非法外联行为,同时对非法接入进行监控与阻断,形成网络可信接入,共同维护边界完整性。通过部署终端安全管理系统可以实现这一目标。
终端安全管理系统其中一个重要功能模块就是网络准入控制,启用网络阻断方式包括ARP干扰、802.1x协议联动等。
监测内部网中发生的外来主机非法接入、篡改 IP 地址、盗用 IP 地址等不法行为,由监测控制台进行告警。运用用户信息和主机信息匹配方式实时发现接入主机的合法性,及时阻止 IP 地址的篡改和盗用行为。共同保证XX医院的边界完整性。具体如下:
在线主机监测
XX医院等级保护安全建设方案
秘密级
可以通过监听和主动探测等方式检测系统中所有在线的主机,并判别在线主机是否是经过系统授权认证的信任主机。
主机授权认证
可以通过在线主机是否安装客户端代理程序,并结合客户端代理报告的主机补丁安装情况,防病毒程序安装和工作情况等信息,进行网络的授权认证,只允许通过授权认证的主机使用网络资源。
非法主机网络阻断
对于探测到的非法主机,系统可以主动阻止其访问任何网络资源,从而保证非法主机不对网络产生影响,无法有意或无意的对网络攻击或者试图窃密。
网络白名单策略管理
可生成默认的合法主机列表,根据是否安装安全管理客户端或者是否执行安全策略,来过滤合法主机列表,快速实现合法主机列表的生成。同时允许管理员设置白名单例外列表,允许例外列表的主机不安装客户端但是仍然授予网络使用权限,并根据需要授予可以和其他授权认证过的主机通信的权限或者允许和任意主机通信的权限。
IP和MAC绑定管理
可以将终端的IP和MAC地址绑定,禁止用户修改自身的IP和MAC地址,并在用户试图更改IP和MAC地址时,产生相应的报警信息。
7.3.5 安全管理中心设计
由于XX医院覆盖面广,用户众多,技术人员水平不一。为了能准确了解系统的运行状态、设备的运行情况,统一部署安全策略,应进行安全管理中心的设计,根据要求,应在系统管理、审计管理和安全管理几个大方面进行建设。
在安全管理安全域中建立安全管理中心,是有效帮助管理人员实施好安全措施的重要保障,是实现业务稳定运行、长治久安的基础。通过安全管理中心的建设,真正实现安全技术层面和管理层面的结合,全面提升用户网络的信息安全保
XX医院等级保护安全建设方案
秘密级
障能力。
7.3.5.1 系统管理
通过系统管理员对系统的资源和运行进行配置、控制和管理,包括: 用户身份管理:统一管理系统用户身份,按照业务上分工的不同,合理地把相关人员划分为不同的类别或者组,以及不同的角色对模块的访问权限。权限设置可按角色划分,角色分为普通用户、系统管理员、安全管理员、审计管理员等。
系统资源配置与监控:进行系统资源配置管理与监控,包括CPU负载、磁盘使用情况、服务器内存、数据库的空间、数据库日志空间、SWAP使用情况等,通过配置采样时间,定时检测。
系统加载和启动:进行系统启动初始化管理,保障系统的正常加载和启动。
系统运行的异常监控:系统资源和设备受到攻击,或运行异常时,会以告警等信息方式,通知管理员。安全管理平台可提供多种自动处理机制,协助用户监控最新告警,全方位掌控网络异常和攻击。
数据备份与恢复:数据的定期备份与恢复管理,识别需要定期备份的重要业务信息、系统数据及软件系统,规定备份信息的备份方式、备份频度、存储介质、保存期等;根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略,定期执行备份与恢复策略。 恶意代码防范管理:建立恶意代码管理中心,进行防恶意代码软件的统一管理,并根据情况建立二级管理中心。恶意代码管理中心实现:杀毒策略统一集中配置;自动并强制进行恶意代码库升级;定制统一客户端策略并强制执行;进行集中病毒报警等。
系统补丁管理:集中进行补丁管理,定期统一进行系统补丁安装。注意应首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系
XX医院等级保护安全建设方案
秘密级
统补丁程序的安装。
系统管理员身份认证与审计:对系统管理员进行严格的身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
7.3.5.2 审计管理
通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括:根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等;对安全审计员进行严格的身份鉴别,并只允许其通过特定的命令或界面进行安全审计操作。
具体集中审计内容包括: 日志监视
实时监视接收到的事件的状况,如最近日志列表、系统风险状况等;监控事件状况的同时也可以监控设备运行参数,以配合确定设备及网络的状态;日志监视支持以图形化方式实时监控日志流量、系统风险等变化趋势。
日志管理
日志管理实现对多种日志格式的统一管理。通过SNMP、SYSLOG或者其它的日志接口采集管理对象的日志信息,转换为统一的日志格式,再统一管理、分析、报警;自动完成日志数据的格式解析和分类;提供日志数据的存储、备份、恢复、删除、导入和导出操作等功能。日志管理支持分布式日志级联管理,下级管理中心的日志数据可以发送到上级管理中心进行集中管理
审计分析
集中审计可综合各种安全设备的安全事件,以统一的审计结果向用户提供可定制的报表,全面反映网络安全总体状况,重点突出,简单易懂。
系统支持对包过滤日志、代理日志、入侵攻击事件、病毒入侵事件等十几种日志进行统计分析并生成分析报表;支持按照设备运行状况、设备管理操作对安
XX医院等级保护安全建设方案
秘密级
全设备管理信息统计分析;支持基于多种条件的统计分析,包括:对访问流量、入侵攻击、邮件过滤日志、源地址、用户对网络访问控制日志等。对于入侵攻击日志,可按照入侵攻击事件、源地址、被攻击主机进行统计分析,生成各类趋势分析图表。
系统可以生成多种形式的审计报表,报表支持表格和多种图形表现形式;用户可以通过IE浏览器访问,导出审计结果。可设定定时生成日志统计报表,并自动保存以备审阅或自动通过邮件发送给指定收件人,实现对安全审计的流程化处理。
7.3.5.3 网络运维及应用监控管理系统
XX医院作为医疗信息化的服务提供者,面对日益增长的业务需求,对网络和系统的稳定性、可靠性、服务质量的要求很高。大量软硬件的投入和增加,也导致了XX医院运维管理难度的增大和系统管理人员的工作压力越来越大。
此外,XX医院业务系统运维还需要对应用系统的整体运行状况进行有效监控,需要及时发现潜在的问题,这对网络管理工程师又是一个很大的挑战。网管工程师过去经常是在故障发生后,才能去进行处理,工作处于被动状态。有时即使发现了故障,也要花费很长时间去寻找和诊断故障,极大地影响了工作效率。由于没有直观的网络拓扑功能,应用系统的监测和管理显得非常繁琐。如何对各种应用系统进行有效的监测管理,不断提高各种应用的服务质量,是XX医院网管项目系统管理人员急需解决的问题。
为了保障XX医院的业务系统正常运转,提高服务和维护水平,特别是要管理分布式的网络、系统环境,有必要使用一套全面的网络运维管理系统,制定相应的管理策略和制度,实现集中统一管理,并实现:
监测管理自动化,故障处理变被动为主动,主动发现系统问题,在最短的时间内实现故障报警,管理人员可以快速采取解决措施。
完善的性能分析报告,更能帮助系统管理人员及时预测、发现性能瓶颈,提高系统的整体性能。
帮助管理者制定并执行良好的实施、管理和分析策略,使XX医院医院
XX医院等级保护安全建设方案
秘密级
系统运维管理水平上升到新的高度。
7.3.6 不同等级系统互联互通
在明确等级划分之后,不同等级的系统间面临着互联互通的问题,系统间需要进行数据交换。《电子政务信息安全等级保护实施指南》指出,不同安全等级的电子政务系统之间可以根据业务需要进行互联互通。
不同安全等级的系统互联互通,应遵循以下原则:
不同等级安全域互联后各级系统须能够满足本级各项基本技术要求,高安全等级的系统要充分考虑引入低安全等级系统后带来的风险,不能因为互联而无法达到相应的基本要求,破坏本等级的安全边界。 互联手段中重点是互联边界应采取相应的边界保护、访问控制等安全措施,防止高等级系统的安全受低等级系统的影响。边界产品可有针对性的选择安全隔离网闸、防火墙、入侵防护等边界安全设备。
根据系统业务要求和安全保护要求,制定相应的互联互通安全策略,包括访问控制策略和数据交换策略等,严格控制数据在不同等级之间的流动。安全管理体系设计
安全体系管理层面设计主要是依据《信息系统安全等级保护基本要求》中的管理要求而设计。分别从以下方面进行设计:
安全管理制度
根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。
制定严格的制定与发布流程,方式,范围等,制度需要统一格式并进行有效
XX医院等级保护安全建设方案
秘密级
版本控制;发布方式需要正式、有效并注明发布范围,对收发文进行登记。
信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定,定期或不定期对安全管理制度进行评审和修订,修订不足及进行改进。
安全管理机构
根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责; 设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
建立授权与审批制度; 建立内外部沟通合作渠道;
定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等。 人员安全管理
根据基本要求制定人员录用,离岗、考核、培训几个方面的规定,并严格执行;规定外部人员访问流程,并严格执行。
系统建设管理
根据基本要求制定系统建设管理制度,包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级评测、安全服务商选择等方面。从工程实施的前、中、后三个方面,从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。
系统运维管理
根据基本要求进行信息系统日常运行维护管理,利用管理制度以及安全管理中心进行,包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更
XX医院等级保护安全建设方案
秘密级
管理、备份与恢复管理、安全事件处置、应急预案管理等,使系统始终处于相应等级安全状态中。安全运维服务设计
XX公司提出的等级保护建设流程中,在进行安全保障体系设计以及安全建设之后将会进入到周期性的安全运维阶段,来保证和巩固等级保护建设的成果。
根据建立的信息安全管理运维体系对客户的信息安全系统进行实时的维护管理,针对XX医院信息系统安全软、硬件提供全面的安全运维服务。针对于整个系统相关范围的不同安全等级及实际应用,所需要的安全运维服务模块如下:
安全扫描
人工检查 安全加固
日志分析 补丁管理
安全监控 安全通告
应急响应
以下章节是相关内容的具体描述。
9.1 安全扫描
安全专家通过按照计算机信息系统安全的国家标准、相关行业标准设计、编写、制造的安全扫描工具,分析并指出有关网络的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测到的网络安全隐患给出相应的修补措施和安全建议。
安全扫描目的是提高内部网络安全防护性能和抗破坏能力,检测评估已运行网络的安全性能,为网络系统管理员提供实时安全建议。安全扫描作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前可以提供安全防护解决方案。
【等级医院创建方案】推荐阅读:
医院等级创建小组07-13
创建等级医院工作计划12-11
创建等级医院近期工作安排07-01
二级医院等级评审汇报11-06
等级医院评审奖惩办法范文06-21
等级医院复审档案盒06-27
医院等级评审实施细则09-07
等级医院自查自评汇报12-21
等级医院评审医疗组访谈内容12-21
3、创建“平安校园”等级自评报告10-14