信息安全保護(hù)應(yīng)急預(yù)案

預(yù)案名稱信息安全保護(hù)應(yīng)急預(yù)案預(yù)案編號(hào)1-XXC-D-002版本號(hào)1.2類型口新訂0修訂適用部門(mén)全院□科室制定部門(mén)信息處審核人審核時(shí)間2021-04-201.編制目的為了有效防范醫(yī)院信息系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的風(fēng)險(xiǎn)，預(yù)防和減少突發(fā)事件造成的危害和損失，建立的健全醫(yī)院計(jì)算機(jī)信息突發(fā)事件應(yīng)急機(jī)制，提高自身的應(yīng)急響應(yīng)能力，完善應(yīng)急響應(yīng)機(jī)制，確保服務(wù)器、應(yīng)用的安全、穩(wěn)定運(yùn)行和業(yè)務(wù)的連續(xù)性，特制定本應(yīng)急預(yù)案。適用范圍本預(yù)案適用于XX醫(yī)院網(wǎng)絡(luò)攻擊重要系統(tǒng)遭到入侵事件時(shí)的應(yīng)急響應(yīng)工作。管理職責(zé)3.1領(lǐng)導(dǎo)小組職責(zé)：領(lǐng)導(dǎo)小組決定啟動(dòng)災(zāi)難性應(yīng)急方案，全面領(lǐng)導(dǎo)并監(jiān)督醫(yī)院應(yīng)急方案制定及準(zhǔn)備情況，提供行政支持。其主要職責(zé)是：領(lǐng)導(dǎo)、制定、審核、落實(shí)應(yīng)急方案；發(fā)布啟動(dòng)災(zāi)難性應(yīng)急方案的命令；督促各應(yīng)急小組按計(jì)劃應(yīng)急；統(tǒng)一調(diào)度醫(yī)院設(shè)備、人員，保證在資金方面到位；組織應(yīng)急方案的演練。負(fù)責(zé)檢查各部門(mén)應(yīng)急準(zhǔn)備工作，檢查應(yīng)急啟動(dòng)后的落實(shí)情況和評(píng)估效果，并督促修訂應(yīng)急方案。3.2、數(shù)據(jù)安全組職責(zé)：系統(tǒng)發(fā)生問(wèn)題時(shí)，及時(shí)作出判斷，協(xié)調(diào)DBA。對(duì)于災(zāi)難性的問(wèn)題，及時(shí)向應(yīng)急小組匯報(bào)，應(yīng)急小組向領(lǐng)導(dǎo)小組匯報(bào)并建議是否啟動(dòng)相應(yīng)的應(yīng)急計(jì)劃。3.3網(wǎng)絡(luò)安全組職責(zé)：網(wǎng)絡(luò)或硬件發(fā)生問(wèn)題時(shí)，及時(shí)作出判斷，協(xié)調(diào)供應(yīng)商。對(duì)于災(zāi)難性的問(wèn)題，及時(shí)向領(lǐng)導(dǎo)小組匯報(bào)并建議是否啟動(dòng)相應(yīng)的應(yīng)急計(jì)劃。應(yīng)急事件分級(jí)網(wǎng)絡(luò)安全事件按照影響程度分為三個(gè)等級(jí)：特大網(wǎng)絡(luò)安全事件、重大網(wǎng)絡(luò)安全事件、一般網(wǎng)絡(luò)安全事件。4.1特大網(wǎng)絡(luò)安全事件：嚴(yán)重影響XX醫(yī)院業(yè)務(wù)，社會(huì)反響十分強(qiáng)烈的網(wǎng)絡(luò)與信息安全事件，主要包括：網(wǎng)絡(luò)數(shù)據(jù)或網(wǎng)絡(luò)信息的篡改、假冒、泄漏、竊取、丟失以及傳播違法違規(guī)內(nèi)容等導(dǎo)致特別重大的負(fù)面社會(huì)影響或經(jīng)濟(jì)損失，或被公安部、中央網(wǎng)信辦通報(bào)的網(wǎng)絡(luò)與信息安全事件。4.2重大網(wǎng)絡(luò)安全事件：影響XX醫(yī)院業(yè)務(wù)，造成重大社會(huì)影響和嚴(yán)重后果的網(wǎng)絡(luò)與信息安全事件，主要包括：網(wǎng)絡(luò)數(shù)據(jù)或網(wǎng)絡(luò)信息的篡改、假冒、泄漏、竊取、丟失以及傳播違法違規(guī)信息導(dǎo)致重大的負(fù)面社會(huì)影響或經(jīng)濟(jì)損失。4.3一般網(wǎng)絡(luò)安全事件:造成一定社會(huì)影響或?qū)X醫(yī)院業(yè)務(wù)造成負(fù)面影響的網(wǎng)絡(luò)與信息安全事件，主要包括：網(wǎng)絡(luò)數(shù)據(jù)或網(wǎng)絡(luò)信息的篡改、假冒、泄漏、竊取、丟失以及傳播違法違規(guī)信息導(dǎo)致一定的負(fù)面社會(huì)影響或經(jīng)濟(jì)損失。信息應(yīng)急報(bào)告程序5.1信息處工作人員發(fā)現(xiàn)故障后，立即通知相應(yīng)的技術(shù)小組；技術(shù)小組根據(jù)故障情況，建議領(lǐng)導(dǎo)小組啟動(dòng)應(yīng)急預(yù)案。5.2領(lǐng)導(dǎo)小組成員負(fù)責(zé)協(xié)調(diào)按應(yīng)急方案執(zhí)行。5.3恢復(fù)正常后，由技術(shù)小組進(jìn)行匯報(bào)總結(jié)，對(duì)此事件進(jìn)行分析并持續(xù)改進(jìn)。7.信息的應(yīng)急處理程序7.1應(yīng)急抑制（來(lái)自公網(wǎng)或?qū)＞W(wǎng)攻擊）7.1.1信息處相關(guān)技術(shù)人員應(yīng)在接到通知后立即趕到現(xiàn)場(chǎng)，做好必要記錄，妥善保存有關(guān)記錄及日志或?qū)徲?jì)記錄。7.1.2通過(guò)態(tài)勢(shì)感知平臺(tái)主動(dòng)監(jiān)控攻擊行為，通過(guò)聯(lián)動(dòng)機(jī)制，對(duì)防火墻設(shè)備的過(guò)濾規(guī)則進(jìn)行動(dòng)態(tài)配置，阻斷包含惡意代碼、攻擊行為或有害信息的數(shù)據(jù)流進(jìn)入網(wǎng)關(guān)設(shè)備保護(hù)的網(wǎng)絡(luò)區(qū)域，有效實(shí)施針對(duì)信息安全事件的網(wǎng)絡(luò)隔離。7.1.3提高網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、專網(wǎng)安全監(jiān)控系統(tǒng)的敏感程度和監(jiān)控范圍，收集更為細(xì)致的網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)。7.1.4實(shí)施更為嚴(yán)格的身份認(rèn)證和訪問(wèn)控制機(jī)制，啟用主機(jī)防火墻或提高防火墻的安全級(jí)別，過(guò)濾可疑的訪問(wèn)請(qǐng)求。7.1.5找到控制服務(wù)器IP、端口等信息，在相關(guān)安全設(shè)備及出口處封殺控制服務(wù)器相關(guān)的IP、端口等、記錄相關(guān)可疑地址的操作。7.1.6分析后臺(tái)數(shù)據(jù)庫(kù)操作日志，判斷是否發(fā)生敏感數(shù)據(jù)泄露，檢查校驗(yàn)數(shù)據(jù)的完整性和有效性。7.1.7收集相關(guān)網(wǎng)絡(luò)日志、系統(tǒng)日志、應(yīng)用日志、數(shù)據(jù)庫(kù)日志等日志信息，對(duì)系統(tǒng)、應(yīng)用進(jìn)行全方位的掃描，分析入侵者的來(lái)源和具體活動(dòng)，檢查是否還有其他系統(tǒng)遭到了入侵，進(jìn)一步確認(rèn)事故的影響范圍和程度。如事故范圍擴(kuò)大，應(yīng)相應(yīng)擴(kuò)大隔離和分析范圍。必要時(shí)保留相關(guān)證據(jù)以付諸法律。7.2應(yīng)急抑制（來(lái)自內(nèi)網(wǎng)攻擊）7.2.1患者隱私外泄7.2.1.1涉及未經(jīng)允許的敏感數(shù)據(jù)查詢，進(jìn)防統(tǒng)方平臺(tái)探測(cè)后，以短消息提醒相關(guān)職能科室。7.2.1.2信息處負(fù)責(zé)人立即電話通知領(lǐng)導(dǎo)小組；7.2.1.3信息處負(fù)責(zé)人通知領(lǐng)導(dǎo)小組及保衛(wèi)處，技術(shù)人員到達(dá)，并根據(jù)IP地址，尋找到電腦位置。7.2.2內(nèi)網(wǎng)網(wǎng)絡(luò)攻擊7.2.2.1在IMC監(jiān)控平臺(tái)出現(xiàn)網(wǎng)絡(luò)流量異常報(bào)警7.2.2.2信息處值班人員通知網(wǎng)絡(luò)安全組，由網(wǎng)絡(luò)安全組直接隔斷相應(yīng)網(wǎng)絡(luò)區(qū)域7.2.2.3網(wǎng)絡(luò)工程師通過(guò)態(tài)勢(shì)感知平臺(tái)收集相關(guān)網(wǎng)絡(luò)日志、系統(tǒng)日志、應(yīng)用日志、數(shù)據(jù)庫(kù)日志等日志信息，對(duì)系統(tǒng)、應(yīng)用進(jìn)行全方位的掃描，分析入侵者的來(lái)源和具體活動(dòng)，檢查是否還有其他系統(tǒng)遭到了入侵，進(jìn)一步確認(rèn)事故的影響范圍和程度。如事故范圍擴(kuò)大，應(yīng)相應(yīng)擴(kuò)大隔離和分析范圍。必要時(shí)保留相關(guān)證據(jù)以付諸法律。7.2.3應(yīng)急抑制（來(lái)自終端）7.2.3.1安裝補(bǔ)丁和升級(jí)：安裝安全補(bǔ)丁和升級(jí)程序，但必須事先進(jìn)行嚴(yán)格的審查和測(cè)試，并統(tǒng)一發(fā)布。7.2.3.2清除惡意代碼和攻擊者后門(mén)：如發(fā)現(xiàn)此類問(wèn)題，應(yīng)立即將感染區(qū)域進(jìn)行隔離，手工清除感染計(jì)算設(shè)備的惡意代碼，包括文件型病毒、引導(dǎo)型病毒、網(wǎng)絡(luò)蠕蟲(chóng)、惡意腳本等。手工清除攻擊者安裝的后門(mén)，避免攻擊者利用該后門(mén)登錄受害計(jì)算設(shè)備。7.2.3.3系統(tǒng)修復(fù)：例如被非法篡改的系統(tǒng)注冊(cè)表、信任主機(jī)列表、用戶賬號(hào)數(shù)據(jù)庫(kù)、應(yīng)用配置文件等。由于黑客入侵、網(wǎng)絡(luò)攻擊、惡意代碼等信息安全事件對(duì)計(jì)算設(shè)備的文件、數(shù)據(jù)、配置信息等造成的破壞，對(duì)系統(tǒng)進(jìn)行重裝。7.2.3.4修復(fù)安全機(jī)制：修復(fù)并重新啟用計(jì)算設(shè)備原有的訪問(wèn)控制、日志、審計(jì)等安全機(jī)制。7.2.3.5評(píng)估排查：對(duì)受保護(hù)網(wǎng)絡(luò)系統(tǒng)中所有計(jì)算設(shè)備進(jìn)行評(píng)估排查，測(cè)試是否仍然存在被同種信息安全事件影響的單機(jī)。7.2.3.6網(wǎng)絡(luò)安全保障升級(jí)：對(duì)網(wǎng)絡(luò)中的安全設(shè)備、安全工具進(jìn)行升級(jí)，使其具備對(duì)該安全事件的報(bào)警、過(guò)濾和自動(dòng)清除功能，例如向防火墻增加新的過(guò)濾規(guī)則，向入侵檢測(cè)系統(tǒng)增加新的檢測(cè)規(guī)則等手段阻止感染源的橫向傳播。7.2.4網(wǎng)站、網(wǎng)頁(yè)出現(xiàn)非法言論時(shí)的緊急處置措施發(fā)現(xiàn)網(wǎng)站、網(wǎng)頁(yè)出現(xiàn)非法信息時(shí)，應(yīng)立即向宣傳科和信息處報(bào)告。接到報(bào)告后，網(wǎng)站管理員應(yīng)馬上向上級(jí)報(bào)告并進(jìn)行處理，不能處理的向技術(shù)小組、應(yīng)急小