摘要: 一、医院信息安全问题 医院是信息流高度密集的单位,医院的组织管理结构非常严谨,医院信息系统是利用计算机网络和通信设备,对医院及其所属各部门的人流、物流、财流进行综合管理,对在医疗活动各阶段中产生的数据进行采集、存贮、处理、提取、传输、汇总、加工生成各种信息,从...
一、医院信息安全问题
医院是信息流高度密集的单位,医院的组织管理结构非常严谨,医院信息系统是利用计算机网络和通信设备,对医院及其所属各部门的人流、物流、财流进行综合管理,对在医疗活动各阶段中产生的数据进行采集、存贮、处理、提取、传输、汇总、加工生成各种信息,从而为医院的整体运行提供全面的、自动化的管理及各种服务的信息系统。
医疗制度的改革和发展,使原有相对局部封闭信息系统的环境被彻底打破,医院信息系统必须和外界网络相连,使其安全问题变得更加敏感严峻。医院信息系统是医疗服务的重要支撑体系,医院信息系统安全不仅仅是医院单个组织自身的事情,也涉及社会安全,因此,必须做好防护安全措施,以防止非法用户对整个医院信息系统安全的威胁。加强医院信息系统的安全,维护医院、患者的权益及隐私,具有重要的现实意义。
二、医院信息系统等保建设方案设计
信息安全等级保护工作的特点之一就是内容繁杂。技术上涉及到系统的物理安全、网络安全、主机安全、应用安全、数据安全各个层面。在管理上包括安全管理制度、管理机构、人员管理、系统建设管理、系统运营维护管理各个方面。
1、边界防护方案
中科网威在研究医院信息化建设的基础上,提出了在等级保护建设中要重点保护,分步骤实施的方案。
首先进行网络边界防护,在医院外网部署网威防火墙,隔离Internet与医院信息系统。在各个下属医院网络边界部署网威防火墙,与中心医院间采用VPN方式通信。
其次,将网络环境中不同的系统对接。需要规划设计好连接方案和区域间的控制措施。采用网威防火墙将医保系统和医院原有系统的进行逻辑隔离。
最后,在系统内部,采用网威防火墙将数据库系统和业务应用进行逻辑隔离,并保护数据库服务器。在数据库的集中存储区域,做更严格的边界访问控制策略,保护数据不被非授权的访问和越权访问。
2、重点防护方案
根据等级保护二级的设计要求,安全产品的规划应该通过风险评估、资金情况来确定防护的重点,同时安全产品的选择也要考虑实现的安全功能和采用的安全机制,做到防护有效且周全。
防病毒系统
部署防病毒服务器,安装网络防毒软件,防止医院内部工作和服务器的病毒、蠕虫等恶意代码。
审计系统
实施部署审计系统,对包括网络设备、网络安全设备、服务器在内的安全运行情况进行跟踪、审计记录、取证,实现终端用户上网行为审计和控制。如从路由器、交换机、服务器、医保前置机应用系统和网络安全设备中收集日志,以及捕获网络数据包,进行协议分析和还原,进行统一管理、监控、分析和报警。
漏洞扫描系统
部署网威漏洞扫描系统,现对主机、网络设备、安全设备、数据库等的脆弱性扫描与分析,自动探测网络安全漏洞、并提出评估和建议,使管理员能及时了解所有漏洞信息,发现医院信息网络中存在哪些安全隐患和薄弱环节,按照提示指南修复网络系统。
入侵检测系统
部署网威入侵检测系统,实时入侵监测技术动态地监测网络内部活动并做出及时响应;能监控网络的数据流,从中检测出攻击行为并给予相应处理;还能检测到绕过防火墙的攻击。
终端管控系统
部署终端访问控制系统,防止外来电脑或者不符合规定的电脑接入网络中;对数量众多,最难以管理、监控的桌面电脑建立完善的安全评估、安全加固、集中维护体系,以提高桌面电脑的安全性及降低桌面电脑的日常维护工作量;监控非法外联。终端访问控制系统内含用户身份认证,也可以利用用户现有的身份认证系统,对用户的网络访问行为进行有效的控制。
根据等级保护的防护要求,实施网络安全产品,使他们之间有机的结合在一起,防护机制间做适当的联动,建立一个统一的防御体系。整个医院信息系统的拓扑结构如下:
医院信息系统网络结构拓扑图
3、其他防护措施
随着医院信息系统的逐步加固,根据具体情况,可以逐步在备份恢复系统、补丁分发系统、安全运维管理系统等几个方面进行防护和保障。
三、总结
医院信息安全建设是一个复杂的系统工程,需要建立一整套网络安全防御体系,采用多种技术手段全方位的防止来自网络内外的威胁,合理的管理制度和有效的技术方案相结合是解决问题的关键。只有进行系统的安全规划,制定并遵循严格的安全策略,通过技术防治和管理防范相结合,建立有效、健全的信息安全管理体系,才能最终达到保护医院信息安全的目的。
中科网威医院信息系统等保方案建设,在医院信息化统一规划内,以提高医院信息化水平,改善医院内部管理,提高实现风险控制能力,提高信息系统的防护能力和应急水平,有效遏制重大网络与信息安全事件的发生,创造良好的信息系统安全运营环境,提高医院的核心竞争力,促进医院科学发展。
稿源:IT168