灾害脆弱性分析

《灾害脆弱性分析》由会员分享，可在线阅读，更多相关《灾害脆弱性分析（9页珍藏版）》请在装配图网上搜索。

1、灾害脆弱性分析（共5页）-本页仅作为文档封面，使用时请直接删除即可-内页可以根据需求调整合适字体及大小-成都市青白江区人民医院成都市第二人民医院青白江区医院信息科灾害脆弱性分析根据三级综合医院评审标准实施细则（2011 年版）的要求，医院需明确本院需要应对的主要突发事件，制定和完善各类应急预案，提高医院的快速反应能力，确保医疗安全。我院是地处凤凰湖畔的一所大型综合性医院，2013 年12 月，医院整体搬迁到医院新址一期项目（凤凰东四路15 号）并顺利投入运行。医院新址是区委、区政府为适应青白江区不断发展医疗市场需求，提升青白江区卫生服务水平，逐步解决老百姓“看病难、看病贵”的问题而迁址新建的。

2、新址占地总面积为亩，总投资约亿元，分一、二期建设。一期设置床位数530 张，建筑面积58175 平方米；二期工程设置床位 300 张，建筑面积 19401 平方米，现正在建设中，预计2015年底完工。医院人员复杂、流动性大，建筑物密集、交通拥挤，管道、线路密集、易燃易爆物品多，所以灾害脆弱分析必不可少。根据医院的实际情况对医院灾害脆弱性进行了调查分析，了解与其相关的因素，以便采取必要的防范措施，对医院进行危机管理，提高医院的抗灾害能力和应急管理能力，努力将灾害对医院运行的影响降到最低限度，以保障全院医疗工作的正常开展与运行，确保医疗安全。一、医院信息系统脆弱性评估标准:物理环境脆弱性识别:GB

3、/T9361-2000标准操作系统与数据库:GB17895-1999网络/主机/应用:GB/T18336-2008。二、信息科脆弱性评估分析概述计算机网络系统在设计、实施、操作和控制过程中存在的可能 被攻击者利用从而造成系统安全危害的缺陷称为脆弱性 (Vulnerability)。由于网络应用程序或者其他程序的瑕疵不可避免，入 侵者很容易利用网络系统中存在的脆弱性实施攻击,获取被攻击系统 的机密信息,甚至取得被攻击系统的超级权限为所欲为。以上这些行 为都可能导致系统的保密性、完整性和可用性受到损害。网络系统 存在的脆弱性是网络攻击发生的前提,没有脆弱性,也就不存在网络攻 击。漏洞之间的关联性、

4、主机之间的依赖性、服务的动态性及网络 系统连接的复杂性决定了网络系统脆弱性评估是一项非常复杂的工 作。我国信息系统风险评估的研究是近几年才起步的,目前主要工作 集中于组织架构和业务体系的建立,相应的标准体系和技术体系还处 于研究阶段,但随着电子政务、 电子商务的蓬勃发展,信息系统风险 评估领域和以该领域为基础和前提的信息、系统安全工程在我国己 经得到政府、军队、企业、科研机构的高度重视,具有广阔的 研究和 发展空间。无论国外还是国内,安全模型的建立、标准的选择、要素的提 取、方法的研究、实施的过程,一直都是研究的重点。信息安全风险 评估过程中几个关键环节是:资产 评估、威胁评估和脆弱性评估。所

5、 谓资产评估,就是对资产进行识别,并对资产的重要性进行赋值;所谓 威胁评估,就是对威胁进行识别,描述威胁的属性,并对威 胁出现的频 率赋值。目前,从网络系统脆弱性评估的发展状况上来看,这个研究领域正 处于发展期。在计算机网络系统脆弱性评估领域所要研究的问题很 多,包括脆弱性因素提取、量化 指标建立、评估方法确定、评估标准 过程、数学模型建立、关键结点分析、关键路径分析、漏洞依赖关 系、主机信任关系、评估辅助决策等各个方面。更为重要的是如何 将上述各方面问题有机地结合起来,形成计算机网络系统脆弱性评估 规范流程及系统框架。三、医院信息科灾害脆弱性及其来源在各种灾害性事件发生后，处于灾害地区的医院

6、是医疗救治工 作的主要承担者，但医院本身往往也是灾害事件的受害者，灾害的 影响常常会导致信息科工作的中断或瘫痪，使医院不能正常发挥或 者根本无法发挥医疗救治的功能。我院通过广泛征求临床医技科室主任、中层干部、护士长、班 组长及信息科科员的意见，将医院信息科主要面临危险事件确定为 6 种来源，即：信息系统瘫痪、网络瘫痪、电力故障、火灾、洪涝 灾害、地震灾害。四、医院信息科脆弱性分析医院信息科脆弱性分析主要是技术方面的脆弱性，内容主要包 含 5 个方面，即物理环境、网络脆弱性、系统脆弱性、数据库脆弱 性、应用系统脆弱性。类型识别识别内容技术脆弱性物理环境从机房场地，机房防火，机房内部装修,计算机

7、机房组专用设备,火灾报警及消防设施，其他 防护和安全管理方面进行识别网络 脆弱性从身份鉴别，使用限制，邮件服务脆弱性,FTP 服务脆弱性,Web服务脆弱性,DNS服务脆弱 性，其他已知TCP/IP服务脆弱性,PRC服务的 脆弱性,NIS服务的脆弱性,SNMP服务的脆弱 性,NT服务，木马检测，路由和交换机及防火墙 的配置，目标端口和服务识别，攻击脆弱性，漏 洞描述和修补系统 脆弱性从审核策略脆弱性，共享脆弱性，口令策略脆 弱性，注册表脆弱性,安全性，用户管理,安全审 计，目标信息获取,产品补丁安装，升级方面进 行识别数据库 脆弱性从自主访问控制，身份鉴别，客体重用，审计，数 据完整性,网络数据

8、库用户密码，网络数据库 服务器的版本号进行识别应用 系统从通信管理，用户数据保密性,用户数据完整 性，强制访问控制策略，评估参数配置,鉴别机 制方面进行识别五、各危险事件的概述与预防控制通过征集意见分析了各项灾害事件后，得出这些事件的预防与控 制方法，其中包括脆弱环节的分析以及应急预案。1. 信息系统瘫痪信息系统瘫痪是指医院信息系统由于软件更新产生错误或者服务 器进程锁死等一系列原因造成的全院信息系统无法正常使用的事 件，会给医院造成医生无法为病人开药，后勤无法正常办公，患 者拥堵，就诊缓慢，延误治疗等损失。脆弱环节：信息化系统的正常运作几乎等同于医院的正常运作， 如果发生系统瘫痪的问题，医院

9、的绝大部分工作都会停滞。 预防与控制：1) 向软件公司强调更新时需谨慎对待；2) 平时多收集问题，对问题进行汇总，降低更新频率；3) 对锁死进程及时处理。2. 网络瘫痪网络瘫痪是指医院由于停电、交换器故障、服务器故障或线路问 题引起的全院计算机数据丢失、录入障碍等事件，会给医院和病 人带来巨大的麻烦和难以弥补的损失，会给医院造成患者拥堵， 就诊缓慢，延误治疗等损失。例如我院2014 年年初曾经遇到过 光纤被施工单位挖断的情况。脆弱环节：科室施行电子病历、电子医嘱，住院病人的住院信息 都在电脑中，如果计算机网络发生突发事件，很有可能导致患者 信息外泄，计费发生障碍等问题。预防与控制：1) 定期升

10、级杀毒软件；2) 经常更新备份，检查服务器的应急电源是否能够正常运作；3) 经常对线路进行检查。3. 电力故障电力故障是指医院供电出现故障，突然出现的断电会导致服务器 数据丢失、计算机数据丢失等问题。脆弱环节：电力故障多发于夏天雷雨天气。预防与控制：1) 医院配备完善的备用电；2) 定期检查服务器的应急电源是否能够正常运作；4. 火灾医院机房场地或机房周边以及各个电子设备附近发生火灾会造成 很大的经济损失,这往往是因为机房的防火措施没有做好。脆弱环节：因医院人员复杂，虽然明令禁止吸烟但仍然不能完全 遏止，部分防火警报器因为安装不到位也可能导致火灾的发生。 预防与控制：1) 从机房内部装修抓起,

11、计算机机房应配备专用灭火设备与消防 设施；2) 在安全管理方面进行着重教育宣传，务必做到人人有防火意 识；5. 洪涝灾害在下雨的时候会因为排水系统堵塞等因素造成漏水渗水等问题， 医院机房内有许多电子设备，机房防水必须做好。脆弱环节：防水装修并非一劳永逸，需要维护人员在下雨时观察 是否有漏水渗水的情况，如若有，需要及时抢修。预防与控制：1) 定期检查是否存在漏水渗水现象；2) 出现洪涝灾害时必须及时将一楼机房的电子设备搬运到干燥场 地。6. 地震灾害地震灾害往往会造成机房电子设备的损坏，在地震发生时电子设 备会因震动导致摔坏。脆弱环节：电子设备因需经常调试或维护导致其大多不能固定。 预防与控制：3) 机房内可固定的电子设备需要加以固定，使其能够稳定运行；4) 无法固定的设备应放在低处，尽量避免高处坠落的损害。六、结论从灾害脆弱性分析调查结果可以明确医院信息科应对灾害危险事件 的重点，从而进一步对可能对医院信息化造成影响的突发事件以及 其承受能力进行系统分析，提高医院信息化的应急管理能力，提出 加强医院信息科应急管理的措施，及时修订应急预案并针对性开展 演练与培训，为持续改进医院信息化应急管理能力和应对灾害危险 事件处置能力奠定基础。同时，也为信息科定期进行灾害脆弱性分 析应对的重点进行调整作好准备，确保医疗安全。成都市青白江区人民医院计算机中心二0二年十二月