前言:尋找寫作靈感?中文期刊網(wǎng)用心挑選的醫(yī)院信息系統(tǒng)三級(jí)等保建設(shè)思路研究,希望能為您的閱讀和創(chuàng)作帶來靈感,歡迎大家閱讀并分享。
摘要:綜合中國(guó)嚴(yán)肅的信息安全形勢(shì),全方位剖析醫(yī)院在網(wǎng)絡(luò)、資料完整性以及保密性這些因素中存有的信息安全問題,并對(duì)這些問題設(shè)立安全系統(tǒng)。建立“一個(gè)中心下的多重保護(hù)體系”在技能方面設(shè)立信息系統(tǒng)的安全構(gòu)架。依據(jù)這個(gè)構(gòu)架設(shè)立的安全系統(tǒng)保證醫(yī)院信息系統(tǒng)當(dāng)中首要信息的安全性。根據(jù)衛(wèi)生部的要求,三級(jí)甲等醫(yī)院的中心交易信息系統(tǒng)安全級(jí)別不應(yīng)低于三級(jí)。
關(guān)鍵詞:醫(yī)院信息系統(tǒng);三級(jí)等保;信息安全
1引言
隨著信息技術(shù)的日益成長(zhǎng),特別是網(wǎng)絡(luò)的大面積普及以及運(yùn)用,說明了網(wǎng)絡(luò)正在深深的關(guān)乎并且轉(zhuǎn)換著人們的生活以及工作形式。愈來愈多的醫(yī)院設(shè)立了依附于網(wǎng)絡(luò)的信息體系,譬如HIS、OA、財(cái)務(wù)體系等,它們供予了平常辦公需要的業(yè)務(wù),為工作提供了便捷。網(wǎng)絡(luò)對(duì)整個(gè)社會(huì)都在產(chǎn)生著作用,在這個(gè)時(shí)候,人們對(duì)于信息安全的重視力度在持續(xù)的提高。為了完成醫(yī)院工作的信息化、網(wǎng)絡(luò)化、電子化,醫(yī)院信息系統(tǒng)承擔(dān)著非常重要的作用,作為完成這些工作的首要平臺(tái),它也能作為平常工作生活的首要平臺(tái)。但是,近幾年網(wǎng)絡(luò)安全問題也在不斷出現(xiàn),比如不懷好意的黑客進(jìn)行攻擊、病毒、木馬等問題,就會(huì)為醫(yī)院的信息系統(tǒng)帶來不好的后果。簡(jiǎn)而言之,設(shè)立一個(gè)周密、安全的信息系統(tǒng)是非常重要的。
2系統(tǒng)現(xiàn)狀安全分析
第一,網(wǎng)絡(luò)出口界限缺乏對(duì)應(yīng)的侵犯防護(hù)體系,不能防范來自于外部的木馬、病毒以及僵尸網(wǎng)絡(luò)等。第二,互聯(lián)網(wǎng)界限缺少對(duì)應(yīng)的防病毒體系,不能監(jiān)測(cè)以及阻擋住自網(wǎng)絡(luò)的惡意攻擊和病毒等。第三,內(nèi)部網(wǎng)絡(luò)之中缺少適應(yīng)的安全審查體系,不能更好的對(duì)內(nèi)部網(wǎng)絡(luò)的操作、服務(wù)器瀏覽等行為做審查以及日志記載。第四,Web類服務(wù)器前端缺乏適應(yīng)的Web安全保護(hù)器備,不能為針對(duì)于Web服務(wù)器的SQL注入、跨站腳本、跨站虛構(gòu)攻擊等提供安全保護(hù),并且缺少適應(yīng)的網(wǎng)頁防修改體系。內(nèi)部網(wǎng)絡(luò)缺少漏洞檢測(cè)器備,不能對(duì)內(nèi)部網(wǎng)絡(luò)體系做檢測(cè)以及管理。第五,網(wǎng)絡(luò)內(nèi)部缺少適應(yīng)的運(yùn)行維持審查體系,不能將內(nèi)部服務(wù)器、數(shù)據(jù)庫(kù)、設(shè)備安全等進(jìn)行綜合安全保護(hù)。內(nèi)部關(guān)鍵服務(wù)器缺少防木馬系統(tǒng),不能對(duì)服務(wù)器實(shí)行安全保護(hù),輕易受到病毒的襲擊。
3.1建設(shè)方法
信息安全系統(tǒng)建構(gòu)是實(shí)行安全建造的中心,它供予了建立以及管理信息體系安全的理論指導(dǎo)、過程、用具和目標(biāo)。界定了全面風(fēng)險(xiǎn)管控以及安全舉措布控的設(shè)計(jì)形式及策略。讓信息系統(tǒng)安全建造在規(guī)準(zhǔn)化以及完善的設(shè)計(jì)依照中進(jìn)行,讓建造流程詳盡并且可控。來保護(hù)數(shù)據(jù)價(jià)值從輸入端到輸出端的可靠性以及可控性;產(chǎn)生一個(gè)完善的事前監(jiān)測(cè)預(yù)報(bào)、事中防控抑制、事后審計(jì)追查的防護(hù)體系。展現(xiàn)不斷完善的安全運(yùn)行管理閉環(huán)。醫(yī)院信息系統(tǒng)的信息安全建立要同期根據(jù)國(guó)家政策規(guī)范的引導(dǎo),要綜合真實(shí)的工作特征和管理狀況,構(gòu)造各種類、各方面信息系統(tǒng)的差別化、當(dāng)?shù)鼗雷o(hù)水平,并經(jīng)過制定實(shí)行管理戰(zhàn)略,形成面對(duì)目前安全舉措和主要系統(tǒng)的運(yùn)行配備、未知狀況的預(yù)防和管控情況。適量的安全建設(shè)思維可以把以上的方法論貫通到信息系統(tǒng)的運(yùn)行時(shí)期當(dāng)中,讓每個(gè)階段、每個(gè)方面的安全體制互補(bǔ)來完成體系,規(guī)避了安全構(gòu)建的重復(fù)實(shí)行以及過量投資。
3.2方案效果
在級(jí)別防護(hù)規(guī)定中,醫(yī)院資料體系安全提出網(wǎng)絡(luò)訪問布控、網(wǎng)絡(luò)侵入保護(hù)、惡意病毒防護(hù)、安全審查、漏洞監(jiān)管、運(yùn)維審查、安全集合管控等需要。信息系統(tǒng)建造要達(dá)成這些目的:
3.2.1邊界安全防范
在醫(yī)院內(nèi)網(wǎng)界限處布控防火墻,對(duì)內(nèi)部服務(wù)器能有一個(gè)基本安全保護(hù),達(dá)成界限的網(wǎng)絡(luò)安全進(jìn)入管控,確保服務(wù)器的安全性。
3.2.2惡意代碼防范
在醫(yī)院專網(wǎng)界限處布控防病毒體系,阻擋從外網(wǎng)進(jìn)來的病毒軟件等,確保服務(wù)器的安全性,達(dá)成對(duì)惡意代碼的防范。
3.2.3網(wǎng)絡(luò)入侵防范
在服務(wù)器前端布控入侵保護(hù)體系,阻擋從外網(wǎng)、內(nèi)網(wǎng)和用戶進(jìn)來的木馬、病毒以及各種惡意攻擊,確保服務(wù)器的安全性。
3.2.4Web安全防范
假如在服務(wù)器布控像Web類的服務(wù)器體系,這就須要在服務(wù)器前段布控Web應(yīng)用防控體系,防范從互聯(lián)網(wǎng)進(jìn)來的針對(duì)于Web應(yīng)用的進(jìn)攻,譬如對(duì)SQL進(jìn)入、跨站腳本、惡意進(jìn)入等進(jìn)攻行為進(jìn)行切斷保護(hù),與此同時(shí),在服務(wù)器上布控防止改寫應(yīng)用體系,對(duì)資料進(jìn)行防護(hù)。
3.2.5安全審計(jì)系統(tǒng)
在醫(yī)院中心交換機(jī)支路布控安全審查體系,經(jīng)過網(wǎng)絡(luò)信息的收集、研究、辨別,及時(shí)監(jiān)管信息內(nèi)容、網(wǎng)絡(luò)舉動(dòng)以及網(wǎng)絡(luò)流量,覺察和捕捉各類敏感數(shù)據(jù)、違法網(wǎng)絡(luò)行動(dòng),及時(shí)警報(bào)響動(dòng),全數(shù)紀(jì)錄網(wǎng)絡(luò)體系當(dāng)中的各類對(duì)話以及事項(xiàng),完成對(duì)網(wǎng)絡(luò)數(shù)據(jù)的自動(dòng)關(guān)聯(lián)解析、評(píng)判以及安全事項(xiàng)的精確全程跟蹤定位,達(dá)到有情況出現(xiàn)時(shí)能有據(jù)可依。
3.2.6運(yùn)維安全管理
在運(yùn)維管理布控安全運(yùn)維主機(jī)時(shí),對(duì)平常所有網(wǎng)絡(luò)器備和服務(wù)器等的運(yùn)維做詳盡的紀(jì)錄,確保運(yùn)維的安全。
3.2.7系統(tǒng)安全管理
在醫(yī)院運(yùn)維區(qū)域布控漏洞檢測(cè)體系,能運(yùn)用漏洞檢測(cè)體系對(duì)網(wǎng)絡(luò)當(dāng)中的體系、網(wǎng)絡(luò)器備等做檢測(cè),及時(shí)主動(dòng)的對(duì)網(wǎng)絡(luò)當(dāng)中的資本實(shí)行詳盡深刻的漏洞檢驗(yàn)、解析,并且提出專業(yè)、高效的漏洞防范意見,讓進(jìn)攻的人沒有機(jī)會(huì)得逞。在內(nèi)部服務(wù)器和主機(jī)當(dāng)中布控防木馬應(yīng)用,能高效地對(duì)內(nèi)部以及服務(wù)器等實(shí)行木馬防范,確保體系不受木馬的影響,而形成體系宕機(jī)、信息破壞等嚴(yán)肅情況。
3.2.8集中安全管理
在管理區(qū)域布控安全管理平臺(tái),對(duì)全部的安全器備實(shí)行集中管理,完成信息體系安全狀況的實(shí)時(shí)解析、實(shí)時(shí)監(jiān)管、實(shí)時(shí)管理,提升安全管理效益。
3.3項(xiàng)目效益
安全手段設(shè)備足夠確保體系的中心區(qū)域,主要信息安全監(jiān)管體制剛剛形成,并且憑借一定外力提升一定的安全支柱水平,確保整體信息體系的安全以及穩(wěn)固。經(jīng)過完備安全管理支柱系統(tǒng),確保運(yùn)維的安全以及穩(wěn)固,讓醫(yī)院的信息系統(tǒng)本身具備較好的安全運(yùn)維水平。信息系統(tǒng)合三級(jí)等保標(biāo)準(zhǔn)要求的規(guī)定,保證信息系統(tǒng)經(jīng)過等級(jí)測(cè)評(píng),涵蓋等級(jí)防護(hù)基礎(chǔ)80%以上因素,信息系統(tǒng)大都相符于等級(jí)保護(hù)要求。
4開展等級(jí)測(cè)評(píng)
信息系統(tǒng)建立完善后,就能開始實(shí)施等級(jí)保護(hù)評(píng)判工作,檢測(cè)需要公安局的認(rèn)定,具備“DICP”認(rèn)定的測(cè)評(píng)單位,單位名字在“中國(guó)信息安全等級(jí)保護(hù)網(wǎng)”上能搜尋到,測(cè)評(píng)單位測(cè)評(píng)時(shí)期大多是一個(gè)月。在進(jìn)行測(cè)評(píng)之后,測(cè)評(píng)單位會(huì)對(duì)全部的測(cè)評(píng)成果進(jìn)行歸納,并對(duì)這些成果做判斷,對(duì)醫(yī)院的整體成果做解析,最終遞給測(cè)評(píng)匯報(bào),告訴醫(yī)院現(xiàn)有的風(fēng)險(xiǎn)、改變意見以及測(cè)評(píng)成果。測(cè)評(píng)成果是醫(yī)院能否經(jīng)過測(cè)評(píng)的關(guān)鍵根據(jù),依據(jù)等級(jí)保護(hù)相應(yīng)準(zhǔn)則,測(cè)評(píng)成果分成不符合、一些符合、全部符合,這之中不符合即不通過評(píng)判,一些符合和全部符合即通過評(píng)判。依據(jù)醫(yī)院的每項(xiàng)測(cè)評(píng)信息,除去290個(gè)必須符合的控制項(xiàng)目之外,符合80%往上的就是經(jīng)過評(píng)判。
5結(jié)論
信息系統(tǒng)等級(jí)建立能從符合性以及系統(tǒng)內(nèi)需兩層面分析,而且要定時(shí)檢測(cè)設(shè)立的規(guī)則性、合理性。要在政策規(guī)定的指引下構(gòu)造醫(yī)院完善的信息系統(tǒng)。要貫徹落實(shí)國(guó)家級(jí)別保護(hù)準(zhǔn)則,回應(yīng)衛(wèi)生部推動(dòng)的等級(jí)保護(hù)建立工作的指引精神,經(jīng)過國(guó)家級(jí)別保護(hù)評(píng)判,給醫(yī)療領(lǐng)域信息安全系統(tǒng)的建立和等級(jí)保護(hù)的建立等方面產(chǎn)生試點(diǎn)示范作用。體系內(nèi)需驅(qū)動(dòng)就是說綜合工作進(jìn)展,完善系統(tǒng)化建立,確實(shí)提升本身信息安全防范能力。完成自主抵御外部攻擊行動(dòng),防備內(nèi)部不規(guī)正行為所帶來的負(fù)向影響,減低平常數(shù)字化管理的工作困難度,提升對(duì)繁雜、異化數(shù)據(jù)系統(tǒng)的管制效益,達(dá)到“有據(jù)可依,有技可施”,對(duì)已有的、剛有的以及在準(zhǔn)備當(dāng)中的信息系統(tǒng)做相應(yīng)的規(guī)劃,做規(guī)范化建立,這是建立信息系統(tǒng)的重要意義之處。
參考文獻(xiàn)
[1]迪普科技助力新疆醫(yī)療系統(tǒng)[J].數(shù)字通信世界,2014(4).
[2]李維冬,殷偉東,陳平.南京市衛(wèi)生12320網(wǎng)站等級(jí)保護(hù)建設(shè)要點(diǎn)和思考[J].中國(guó)醫(yī)療設(shè)備,2016(1).
[3]周丁華,呂曉娟,張麟,等.數(shù)字化醫(yī)院信息安全建設(shè)與管理策略[J].中華醫(yī)學(xué)圖書情報(bào)雜志,2015(6).
作者:李玨 單位:安徽醫(yī)科大學(xué)第一附屬醫(yī)院
