人民醫院資訊系統網路安全等級保護整改報告

人民醫院資訊系統網路安全等級保護整改報告

商城縣公安局網監大隊：

我院在接到貴單位發來的《資訊系統安全等保限期整改通知書》後，院領導高度重視，責成資訊科按照要求進行整改，現在整改情況報告如下。

一、我院網路安全等級保護工作概況

根據上級主管部門和行業主管部門要求，我院高度重視並開展了網路安全等級保護相關工作，工作內容主要包含資訊系統梳理、定級、備案、等級保護測評、安全建設整改等。我院目前執行的主要資訊系統有：綜合業務資訊系統。綜合業務資訊系統是商城縣人民醫院核心醫療業務資訊系統的集合，系統功能模組主要包括醫院資訊系統(HIS)、檢驗資訊系統(LIS)、電子病歷系統(EMRS)、醫學影像資訊系統(PACS)，其中醫院資訊系統(HIS)、檢驗資訊系統(LIS)、電子病歷系統(EMRS)由福建弘揚軟體股份有限公司開發建設並提供技術支援，醫學影像資訊系統(PACS)由深圳中航資訊科技產業股份有限公司開發建設並提供技術支援。

我院已於2018年11月完成了綜合業務資訊系統的定級、備案、等級保護測評、專家評審等工作，系統安全保護等級為第二級（S2A2G2），等級保護測評機構為河南天祺資訊保安技術有限公司，等級保護測評結論為基本符合，綜合得分為76.02分。在測評過程中，資訊科已根據測評人員建議對能夠立即整改的安全問題進行了整改，如：伺服器安全加固、訪問控制策略調整、安裝防病毒軟體、增加安全產品等。目前我院正在進行入口網站的網路安全等級保護測評工作。

二、安全問題整改情況

此次整改報告中涉及到的資訊系統安全問題是我院於2018年11月委託河南天祺公司對醫院資訊系統進行測評反饋的內容，主要包括應用伺服器、資料庫伺服器作業系統漏洞和Oracle漏洞等。針對應用伺服器系統漏洞，我院及時與安全公司進行溝通，溝通後通過關閉部分系統服務和埠，更新必要的系統升級包等措施進行了及時的處理。針對Oracle資料庫存在的安全漏洞問題，我們與安全公司和軟體廠商進行了溝通，我院HIS系統於2012年底投入使用，資料庫版本為Oracle 11g，投入執行時間較早，且部署於內網環境中未及時進行漏洞修復。

經過軟體開發廠商測試發現修復Oracle資料庫漏洞會影響HIS系統正常執行，並存在未知風險，為了既保證資訊系統安全穩定執行又降低資訊系統面臨的安全隱患，我們主要採取控制資料庫訪問許可權，切斷與伺服器不必要的連線、限制資料庫管理人員許可權等措施來降低資料庫安全漏洞造成的風險。具體措施為：第一由不同技術人員分別掌握資料庫伺服器和資料庫的管理許可權；第二資料庫伺服器僅允許有業務需求的應用伺服器連線，日常管理資料庫採用本地管理方式，資料庫不對外提供遠端訪問；第三對資料庫進行了安全加固，設定了強密碼、開啟了日誌審計功能、禁用了資料庫預設使用者等。

我院高度重視網路安全工作，醫院網路中先後配備了防火牆、防毒牆、入侵防禦、網路版防毒軟體、桌面終端管理等安全產品，並正在採購網閘、堡壘機、日誌審計等安全產品，同時組建了醫院網路安全小組，由三名技術人員負責網路安全管理工作，使我院網路安全管理水平大幅提升。

“沒有網路安全，就沒有國家安全”。作為全縣醫療救治中心，醫院始終把資訊網路安全和醫療安全放在首位，不斷緊跟醫院發展和形勢需要，科學有效的推進網路安全建設工作，並接受各級主管部門的監督和管理。

商城縣人民醫院

2019年12月14日