《2019年深圳市卫生健康行业网络安全工作汇报.pdf》由会员分享,可在线阅读,更多相关《2019年深圳市卫生健康行业网络安全工作汇报.pdf(49页珍藏版)》请在三个皮匠报告上搜索。
1、深圳市卫生健康行业网络安全工作汇报深圳市卫生健康行业网络安全工作汇报深圳市卫生健康行业网络安全工作汇报深圳市医学信息中心简介中心是深圳市卫生健康委员会的直属事业单位,独立法人,有员工81人,为广东省规模较大的综合性医疗卫生专业信息机构。主要承担深圳市卫生和计生系统信息化建设;区域卫生信息网的建设及管理;系统信息安全保障工作和卫生计生信息统计等工作。中心内设综合部、政工人事部、信息项目部、统计部、科教部5个部门。2000年被国家卫生部批准认定为全国唯一一个市级卫生部医药卫生科技查新咨询单位;2011年 深圳市居民健康档案系统获得国家科技进步二等奖;2012年获得卫生部卫生信息化推进奖和深圳市政府
2、信息化示范项目奖。中心还管理深圳市卫生和计划生育信息协会和深圳市医学会卫生信息专委会。对外门户包括:深圳健康网()健康深圳APP公众号:深圳卫计委、健康深圳、深圳卫生计生信息协会深圳市卫生健康行业网络安全工作汇报网络安全政策方向 朝着建设网络强国目标不懈努力、习近平总书记引领推动网络强国战略。没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。u 中共中央国务院关于深化医疗卫生体制改革的意见逐步实现人人享有基本医疗卫生服务u 国家卫生计生委 国家中医药管理局关于加快推进人口健
3、康信息化建设的指导意见全面建成实用、共享、安全的人口健康信息网络体系u 深圳市人民政府关于加快信息化发展的若干意见u 深圳市人口健康信息化工程(12361工程)加强健康医疗信息标准和安全体系建设u 关于加快实施信息惠民工程有关工作的通知u 促进大数据发展行动纲要u 关于积极推进“互联网+”行动的指导意见u 中华人民共和国网络安全法深圳市卫生健康行业网络安全工作汇报深圳市卫生健康行业网络安全工作汇报深圳市卫生健康行业网络安全现状1一、等保测评常态化l 2011年-2012年,起草编写了深圳市卫生与计生系统信息安全等级保护建设指南和深圳市卫生与计生系统信息安全等级保护总体设计规划书,先后经过三次专
4、家论证评审后修订完善并正式下发。l 从2013年下发 关于集中开展我市卫生和计生行业信息安全等级保护定级、备案、测评及整改方案设计工作的通知,正式启动全市卫计行业信息系统等级保护集中定级备案和测评工作。l 截至2018年12月31日,完成124家单位的36个三级信息系统和412个二级信息系统的等保测评工作,占比为68.89%。深圳市卫生健康行业网络安全工作汇报深圳市卫生健康行业网络安全现状1二、信息安全检查专项化l 自2015年至今,每年第三季度开展全市卫生健康行业信息安全专项检查;l 2016年,发布深圳市卫生计生行业网络与信息安全2016-2018年督查行动方案,进一步强化专项检查工作要求
5、深圳市卫生健康行业网络安全工作汇报深圳市卫生健康行业网络安全现状1三、网络统一化(建设中)卫生专网示意图深圳市卫生健康行业网络安全工作汇报深圳市卫生健康行业网络安全现状1四、安全应急联动化l 建立了网络安全通报机制,落实重点防护期应急值守和“零报告”制度。l 建立了深圳市本行业网络安全通报平台,确保了重要时期网络安全。l 加入深圳市网监、测评中心等安全主管单位通报平台,第一时间处理安全突发事件。l 加入省级卫生健康系统网络安全通报平台,及时上传下达。深圳市卫生健康行业网络安全工作汇报深圳市卫生健康行业网络安全工作汇报一 加强顶层设计,完善规章制度深圳市卫生健康行业网络安全工作汇报一 加强顶层设
6、计,完善规章制度深圳市卫生健康行业网络安全工作汇报一 加强顶层设计,完善规章制度深圳市卫生健康行业网络安全工作汇报一 加强顶层设计,完善规章制度卫生专网建设深圳市卫生健康行业网络安全工作汇报一 加强顶层设计,完善规章制度(一)成立网络与信息安全应急工作领导小组委主要领导担任组长,委信息化分管领导分别任副组长,成员包括委机关各处室负责人、各区、直属各单位和社会办医疗机构主要负责人(二)签订信息安全责任书市卫健委与委直属单位、市属医院、各区卫计局签订安全责任书,层层落实安全责任。深圳市卫生健康行业网络安全工作汇报一 加强顶层设计,完善规章制度(三)深圳市卫生计生系统网络与信息安全突发事件应急预案(
7、试行)(深卫计发201637号)(四)制定完善医疗卫生信息相关标准(五)制定了各项管理制度1、主要包括网络安全、应用系统安全、用户安全、机房安全、资产管理、终端安全、运行维护、系统授权、安全教育培训等管理制度。2、专门印发了妇幼保健管理系统信息安全管理制度3、建立信息安全通报制度深圳市卫生健康行业网络安全工作汇报一 加强顶层设计,完善规章制度深圳市卫生计生系统网络与信息安全深圳市卫生计生系统网络与信息安全突发事件应急预案(试行)突发事件应急预案(试行)(一)编制目的 为建立深圳市卫生和计划生育系统关于网络与信息安全突发事件的应急工作体系,健全全市各级卫生和计划生育部门和单位对网络与信息安全突发
8、事件的预防、处置、善后等工作机制,提高应对网络与信息安全突发事件的能力和水平,预防、减少网络与信息安全突发事件造成的损失和危害,特制定本预案。深圳市卫生健康行业网络安全工作汇报一 加强顶层设计,完善规章制度深圳市卫生计生系统网络与信息安全深圳市卫生计生系统网络与信息安全突发事件应急预案(试行)突发事件应急预案(试行)(二)应急组织架构与职责(二)应急组织架构与职责市卫健委信息化分管领导市医学信息中心主任市卫健委机关 规信处负责人市卫健委机关 规信处信息安全 工作人员应急处置专业技术人员市医学信息中心网络与信息安全工作人员深圳市卫生健康行业网络安全工作汇报(一)网站及信息系统接入云防御平台二 加
9、强技术保障,提高防护能力1、云防御平台实时优化云防御规则库和分发虚拟补丁程序,为网站及信息系统提供安全防御支持;2、基于虚拟补丁服务,采用主动发现、协同防御的方式降低安全风险,防患于未然;3、对黑客攻击采用实时记录拦截、联动动态分析,协助完成攻击行业轨迹追踪及数据取证。深圳市卫生健康行业网络安全工作汇报(二)移动应用安全加固二 加强技术保障,提高防护能力将“健康深圳APP”进行源代码保护、SO库保护、DEX 文件保护、数据加密保护,实现防盗版、防纂改、防截屏技术和短信防劫持等功能,切实保障APP业务安全和数据安全。深圳市卫生健康行业网络安全工作汇报(三)终端安全防护二 加强技术保障,提高防护能
10、力通过安装终端杀毒软件,实时检测已知病毒木马、未知恶意代码,有效防御APT攻击,并对资产、安全策略、漏洞补丁和网络安全准入进行统一管理。深圳市卫生健康行业网络安全工作汇报(四)建立硬件设备管控平台二 加强技术保障,提高防护能力通过北塔监控软件,为硬件设备打造一个通用的IT基础设施和服务应用的管理平台。从网络和应用的不同层次,收集与业务/服务相关的各种信息,如网络设备信息、全网流量信息和服务器内存,并对收集到的信息进行综合关联分析,实现透明化的全面管理。深圳市卫生健康行业网络安全工作汇报二 加强技术保障,提高防护能力(五)探索建立全市网络安全监控平台构建安全防护体系信任链,为卫生健康行业内各单位
11、接入行业网络的信息系统构建一个可信免疫的防护体系。n 构建深圳市卫生健康行业网络安全知识库n 构建集中统一网络安全监控平台n 构建系统可信免疫的安全防御体系深圳市卫生健康行业网络安全工作汇报(五)探索建立全市网络安全监控平台在市医学信息中心、直属单位、各医院信息系统服务器部署安全加固系统,利用白名单技术,对服务器的程序进行加固管理,实现网络安全监控。二 加强技术保障,提高防护能力深圳市卫生健康行业网络安全工作汇报(五)探索建立全市网络安全监控平台二 加强技术保障,提高防护能力深圳市卫生健康行业网络安全工作汇报(五)探索建立全市网络安全监控平台二 加强技术保障,提高防护能力深圳市卫生健康行业网络
12、安全工作汇报(五)探索建立全市网络安全监控平台二 加强技术保障,提高防护能力深圳市卫生健康行业网络安全工作汇报(五)探索建立全市网络安全监控平台二 加强技术保障,提高防护能力深圳市卫生健康行业网络安全工作汇报(五)探索建立全市网络安全监控平台二 加强技术保障,提高防护能力深圳市卫生健康行业网络安全工作汇报网络安全建设思路可控安全保障体系主线业务需求 风险控制需求行业要求等级保护设计建设维护自下而上自上而下三 加强内部管理,实现安全日常化深圳市卫生健康行业网络安全工作汇报信息安全管理体系信息安全技术体系信息安全运行体系组织机构组织机构人员安全人员安全制度标准制度标准抗抵赖抗抵赖标识标识鉴别鉴别审
13、计审计访问控制访问控制通信保护通信保护威胁检测威胁检测弱点加固弱点加固备份恢复备份恢复数据保护数据保护密码技术密码技术决策决策-管理管理-执行执行-监督监督资源管资源管理理状态检测状态检测防恶技术防恶技术物理技术物理技术意识意识-技能技能-职称职称-培训培训-考核考核方针策略方针策略-制度规范制度规范-流程表单流程表单监控监测监控监测内容安全内容安全日常运行管理日常运行管理配置管配置管理理变更管变更管理理问题管问题管理理事件管事件管理理风险管风险管理理监督检监督检查查介质介质管理管理环境管环境管理理应急响应急响应应运行监运行监控控审计审计安全管理中心制定制定发布发布评审评审修订修订录用录用离岗
14、离岗考核考核教育教育人员人员授权授权沟通沟通检查检查岗位岗位物理网络主机应用数据系统系统建设建设系统系统运维运维安全计算环境安全区域边界安全网络通信安安全全工工作作管管理理安全保护对象定级备定级备案案设计开设计开发发实施测实施测试试验收交验收交付付服务商服务商安全目标、总体安全策略抗抵赖抗抵赖标识标识鉴别鉴别弱点加固弱点加固密码技术密码技术状态检测状态检测防恶技术防恶技术监控监测监控监测内容安全内容安全测评检测评检查查统统一一技技术术管管理理安安全全运运维维管管理理信息安全技术建设框架三 加强内部管理,实现安全日常化深圳市卫生健康行业网络安全工作汇报风险分析、安全策略漏洞扫描、资产配置预警L2
15、-L7层防御、认证及访问控制、加密、数据完整性检查监控、入侵检测、病毒检测、行为分析风险分析预警防御检测系统恢复、诱捕、反击响应全网安全可视、持续监测、应急处置,安全闭环联动基于“融合安全、立体保护”的思路,通过数据中心信息安全风险闭环管理体系,最终实现风险可预知、可视、可控、可管。构建完整的风险闭环管理能力,逐步降低安全风险。三 加强内部管理,实现安全日常化深圳市卫生健康行业网络安全工作汇报安全安全组织架构组织架构安全岗位安全岗位与各岗位安全职责与各岗位安全职责安全管理制度安全管理制度安全流程安全流程执行表单执行表单三 加强内部管理,实现安全日常化深圳市卫生健康行业网络安全工作汇报信息安全管
16、理体系成果网络与信息安全总体管理办法信息安全组织及职责管理规定技术类制度管理规定工作人员网络与信息安全管理规定第三方工作人员网络与信息安全管理规定机房管理制度办公环境网络与信息安全管理规定防病毒安全管理规定信息系统口令管理规定数据备份和恢复管理规定托管信息系统资源评估管理规定信息安全事件处理和应急管理规定信息系统变更安全管理规定信息资产安全管理规定介质安全管理规定公共平台运维安全管理规定基础设施运维安全管理规定应用系统运维安全管理规定安全管理制度编制及发布流程信息安全评估检查工作流程信息安全培训及考核流程信息系统建设安全管理流程信息系统等级保护定级工作流程应用系统安全开发规范使用流程信息系统上
17、线前风险评估工作流程信息系统等级保护测评工作流程安全补丁管理流程第三方人员网络访问申请审批流程数据备份流程数据恢复流程信息系统变更安全管理流程安全事件处理流程重大安全事件应急响应流程各部门岗位安全人员列表工程项目安全管理人员列表常用信息安全组织机构信息表安全顾问名单内部人员联系表安全管理制度意见表安全管理制度记录清单安全管理制度收发登记记录表安全管理制度评审记录表系统重要操作申请表基础设施安全检查记录表公共平台安全检查记录表应用系统安全检查记录表基础设施月度安全检查表(安全管理员)基础设施月度安全检查表(安全审计员)公共平台月度安全检查(安全管理员)公共平台月度安全检查表(安全审计员)应用系统
18、月度安全检查(安全管理员)应用系统月度安全检查(安全审计员)20XX年度安全培训计划表安全培训用户签到表人员安全考核记录表员工保密协议离职人员保密承诺“第三方”人员保密协议机房访问审批单管理制度管理流程执行表单机房进出登记表机房异常情况登记表外部人员机房工作内容记录表机房设备清单机房设备维修记录单机房设备带出登记表信息资产清单_服务器资产清单信息资产清单_网络设备和安全设备资产清单信息资产清单_软件资产清单信息访问申请表网络设备配置记录表软件资产配置记录表数据资产配置记录表存储介质管理登记表介质报废登记表临时接入网络申请表数据备份记录清单信息系统运行变更申请表信息系统配置变更申请单信息安全事件
19、应急响应人员职责清单IT基础设施供应商联络清单应用系统供应商联络清单应急响应事件处理记录三 加强内部管理,实现安全日常化深圳市卫生健康行业网络安全工作汇报整体监测预警业务健康状况网页攻击情况运维管理中心安全整改情况监控全市卫生行业门户网站的安全事件,同时对安全事件进行关联性分析,发现潜隐威胁,及时做好处置。定期对外网/专网业务的安全事件、告警信息、日志等进行分析,精确定位威胁,描绘入侵路线图途径。将威胁事件、预警事件、入侵事件及时通知全行业单位,常态化形成行业应急事件知识库。对网络状态进行监控,主要包括网络数据、异常流量、设备健康状态、服务在线状态等信息,并进行数据流分析,确保网络基础设施畅通
20、。对IT环境中操作系统、应用系统、中间件等的配置、帐号、软件变更进行监控、评估、记录。412 35三 加强内部管理,实现安全日常化深圳市卫生健康行业网络安全工作汇报信息安全管理与运维岗位1.中心安全管理员2.中心安全审计员1.服务台2.终端用户支持管理员3.基础服务平台(域名服务、邮件服务)运维管理员4.网络基础设施管理员5.服务器系统管理员(包含操作系统)6.虚拟化平台管理员7.网络存储设备管理员8.数据库系统管理员9.业务数据管理员10.数据备份管理员日常运行操作岗位安全职责日常运行操作岗位安全职责信息安全组织及职责管理规定-网络与信息安全岗位责任书信息安全管理岗位信息安全管理岗位11.机
21、房环境管理员12.基础设施资产管理员13.视频会议系统管理员14.中间件管理员15.公共平台管理员16.公共平台资产管理员17.应用系统管理员18.应用系统资产管理员19.综合监测岗位三 加强内部管理,实现安全日常化深圳市卫生健康行业网络安全工作汇报三 加强内部管理,实现安全日常化深圳市卫生健康行业网络安全工作汇报网络安全管理运维成效l信息系统基本可以达到在统一的安全保护策略下,具有抵御大规模、较强恶意攻击的能力;l抵抗较为严重的自然灾害的能力;l防范计算机病毒和恶意代码危害的能力;l具有检测、发现、报警、记录入侵行为的能力;l具有对安全事件进行响应处置,并能够追踪安全责任的能力;l在系统遭到
22、损害后,具有能够较快恢复正常运行状态的能力;l具有对系统资源、用户、安全机制等进行集中控管的能力;l行业信息安全事件纵向监管的能力。三 加强内部管理,实现安全日常化深圳市卫生健康行业网络安全工作汇报四 加强考核,落实工作要求市委办公厅市委办公厅市经贸信息委市经贸信息委市政府办公厅市政府办公厅公安局公安局国家安全局国家安全局密码管理局密码管理局国家保密局国家保密局七部门联合检查七部门联合检查一、深圳市党政机关信息安全联合检查开展深圳市党政机关信息安全联合检查,检查结果纳入市政府对委领导的绩效考核。深圳市卫生健康行业网络安全工作汇报检查内容安全管理组织信息安全制度落实安全防护措施事实应急体系建设安
23、全教育培训安全隐患排查及整改安全自查及对辖区或下属单位检测组织开展情况等四 加强考核,落实工作要求一、深圳市党政机关信息安全联合检查开展深圳市党政机关信息安全联合检查,检查结果纳入市政府对委领导的绩效考核。深圳市卫生健康行业网络安全工作汇报一、深圳市党政机关信息安全联合检查开展深圳市党政机关信息安全联合检查,检查结果纳入市政府对委领导的绩效考核。检查内容检查范围已完成情况考核频率终端安全防护市卫健委对350台终端扫描每季度服务器安全防护市卫健委对90台服务器扫描每季度网站安全防护市卫健委及直属单位、市属医院对50个网站扫描每周安全问题整改市卫健委及直属单位、市属医院对7项安全问题进行整改每年应
24、用安全防护市卫健委对26个应用系统进行扫描每周四 加强考核,落实工作要求深圳市卫生健康行业网络安全工作汇报深圳市卫生健康委员会深圳市眼科医院深圳市妇幼保健院深圳市医学信息中心深圳市孙逸仙心血管医院深圳市人民医院深圳市卫生监督局深圳市儿童医院深圳市第二人民医院深圳市保监办深圳市康宁医院北京大学深圳医院深圳市健康教育与促进中心深圳市第三人民医院深圳市中医院深圳市疾病预防控制中心深圳市职业病防治院香港大学深圳医院深圳市计划生育服务中心深圳市血液中心南方医科大学深圳医院深圳市急救中心南方医科大学深圳医院中国医学院肿瘤医院深圳医院.统一为行业内各单位提供门户网站的安全服务四 加强考核,落实工作要求深圳市卫生健康行业网络安全工作汇报四 加强考核,落实工作要求深圳市卫生健康行业网络安全工作汇报四 加强考核,落实工作要求深圳市卫生健康行业网络安全工作汇报四 加强考核,落实工作要求深圳市卫生健康行业网络安全工作汇报二、等保测评和专项检查四 加强考核,落实工作要求将等保测评和专项检查均纳入医疗机构年度医疗质量检查和公卫机构绩效考核。深圳市卫生健康行业网络安全工作汇报深圳市卫生健康行业网络安全工作汇报工作难点1、如何应对网络环境日益复杂,网络攻击层出不穷的现状;2、如何实现全面感知的监测预警;3、如何平衡业务需求同网络安全之间的关系。汇报完毕ThankThank YouYou !