摘要: 一、三甲医院信息化建设发展现状 随着信息化技术的日新月异,我国医疗机构,尤其是三甲医院的信息化建设也取得了飞速发展,将信息化科技与现代化医疗技术相结合,大量信息化技术成为医院医、教、研决策的工具,极大的提高了医院的医疗、管理水平及竞争力。 国内大部分医院信息化...
一、三甲医院信息化建设发展现状
随着信息化技术的日新月异,我国医疗机构,尤其是三甲医院的信息化建设也取得了飞速发展,将信息化科技与现代化医疗技术相结合,大量信息化技术成为医院医、教、研决策的工具,极大的提高了医院的医疗、管理水平及竞争力。
国内大部分医院信息化建设道路基本一致。最开始建设的是以人、财、物为中心的医院信息管理系统。随后将病人信息、药品、经费为主线,涵盖医生、护理、药房、设备、器材等所有科室纳入到信息化管理范围。为了能进行所有科室信息的有效、准确的采集,各医院先后建设了临床信息系统(CIS)、医院信息管理系统(HMIS)等信息化系统。 信息化技术手段已经成为了各医院日常行政工作的有力支撑和医院管理者的决策依据,医院领导和相关管理部门能够实时获取医院的病床收容率及收入信息,并能通过质量监控软件获得的数据监督、指导医生、护士的工作。
二、医院信息系统数据安全防护的必要性
医院信息系统每天产生、流转和储存大量的数据信息,这些信息既包括了大量的医院内部数据机密,更包含了大量患者隐私信息,其重要性不言而喻。那么,如何进行有效地信息数据安全防护,成为当前各大中型医院迫在眉睫的问题。
同时《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》中明确指出,“要对医院各个部门通过计算机网络查询医院信息的权限实行分级管理,对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理,严格统方权限和审批程序,未经批准不得统方,严禁为商业目的统方。”在此基础上各省市卫生局也相继发布了红头文件要求进行非法“统方”行为的技术 管理的建设。但是,尽管上有政策,中有举措,但下依然有对策。“统方”事件频频发生,屡禁不止,有关医药代表与医生、信息科人员勾结,非法获取医疗统方数据的报道层出不穷。
医院信息系统是以医院局域网为依托,以医院的财务管理为中心,以病人为数据采集线索,覆盖患者在医院就诊的各个环节的计算机网络系统。必须确保网络与服务器的高可靠性、确保信息系统数据的保密性、完整性以及可用性,才能保证医院业务的稳定运行,最大限度的降低非法“统方”行为的发生。
三、三甲医院非法“统方”途径与防护需求
1、HIS应用系统功能可以实现统方。如果HIS应用系统本身管理制度出现漏洞,如用户权限模糊、系统账号多人使用、账号口令简单、临时账号未关闭等原因,极易因为越权访问、账号窃取、使用维护账号直接登录后台等方式获取到统方数据。因此,加强医院信息系统账号统一管理、用户统一授权以及信息系统的访问控制显得尤为重要。
2、外部入侵行为获取统方数据。在高额利益的驱使下,当前黑客窃取“统方”数据的问题已不容忽视。
3、由于医院信息系统包含了大量的网络设备、主机以及应用系统,因为各信息系统都是独立运行,其产生的大量日志信息也是独立存放,一旦安全事件发生或者系统发生故障,只能逐个系统分别排查,无法进行关联分析,无法定位到人,极大降低工作效率,同时极大的扩大损失的风险。因此,对信息系统进行集中安全审计在事后追溯定责方面是必修课。
四、堡垒机三甲医院的应用
堡垒机技术作为目前内网安全最前沿、最核心和最全面的技术趋势,针对对医院信息中心的核心服务器、数据库、交换机、HIS系统等设备资源,提供了最核心的监控和保护。
1. 集中帐号管理,提高管理有效性
堡垒机会建立一套新的用户体系,完全替代原有各系统独立管理的用户体系,前端用户直接对应到维护人员,后端用户直接对应到原各个系统用户,提供集中可实名的用户管理机制。通过统一用户信息维护入口,保证各系统的用户帐号信息的唯一性和同步更新;
2. 集中认证与访问控制,提高运维安全
集中认证实现用户访问信息系统的认证入口集中化和统一化,并采用高强度的认证方式,使整个信息系统的登录和认证行为可控制及可管理,从而提升业务连续性和系统安全性。
集中访问控制为维护人员提供统一的系统和设备入口,提供访问控制功能,有效的解决运维人员的操作问题,降低相关信息系统的安全风险。
3. 集中授权、安全审计,规范运维过程
集中授权提供统一的信息系统授权管理,对所有被管信息资源授权进行标准化的管理,精细的权限分配策略保证管理员可以授予不同用户合适的权限,最大程度的符合最小权限分配原则,极大限度的保护了信息支撑系统资源的安全。集中安全审计提供集中的日志审计,能关联用户的操作行为,对非法登录和非法操作快速发现、分析、定位和响应,为安全审计和追踪提供依据。(原文地址:这里)
游侠简评:
前天本站发过另一篇医院防统方系统的文章《数据库审计产品从根本化解“统方”难题》,并有个简短的评论,就是纯旁路的数据库审计在防统方中能起到的作用很有限,配合内控堡垒主机才相对比较完整。
游侠公司也有个解决方案:说说交警“非法消违章”和医院“商业统方”的控制 是集中了网络安全审计、面向业务的数据库审计、运维审计(内控堡垒主机)、日志集中管理审计(含网络设备、安全设备、操作系统、数据库、中间件等)于一体的解决方案。
