前言：尋找寫作靈感？中文期刊網(wǎng)用心挑選的醫(yī)院信息安全堡壘機應(yīng)用，希望能為您的閱讀和創(chuàng)作帶來靈感，歡迎大家閱讀并分享。

摘要：

本文重點描述了根據(jù)公安部出臺的《信息安全技術(shù)信息系統(tǒng)安全保護定級指南》的要求，在醫(yī)院信息系統(tǒng)等級防護中應(yīng)用堡壘機去解決與保護域內(nèi)計算機系統(tǒng)資源實現(xiàn)身份鑒別認證，并提供有效可回溯的安全審計方式，讓醫(yī)院信息系統(tǒng)獲得最大的保障和管理應(yīng)用效果。

關(guān)鍵詞：

信息系統(tǒng)；安全；堡壘機

1、現(xiàn)狀與要求

近年國家對企業(yè)的信息安全越來越重視，公安部及信息部等出臺了《信息安全技術(shù)信息系統(tǒng)安全保護定級指南》（以下簡稱《指南》），衛(wèi)生部也出臺了《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》對在建及已經(jīng)運營的醫(yī)院信息系統(tǒng)進行檢查，要求重要信息系統(tǒng)其安全保護等級按照不低于三級進行建設(shè)。在《指南》中，要求信息系統(tǒng)必須建立及保存運維訪問的各種操作日志?！抖ㄖ改稀穼⑾到y(tǒng)劃分物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)安全及備份等幾大安全領(lǐng)域，其中幾大領(lǐng)域均涉及到了數(shù)據(jù)以及操作審計、操作人員身份鑒別等安全問題。

2、醫(yī)療信息安全領(lǐng)域存在的問題

醫(yī)院信息系統(tǒng)主要劃分為his,pacs,Lis等幾大子系統(tǒng)，其主要目標是支持醫(yī)院的行政與管理運作，減輕各事務(wù)處理人員勞動強度，輔助醫(yī)院高層對醫(yī)院運作進行管理決策，提高醫(yī)院工作效率，從而使醫(yī)院能夠獲得良好的社會與經(jīng)濟效益。在對日常各系統(tǒng)的運維過程中,不同公司的維保人員有可能通過互聯(lián)網(wǎng)絡(luò),在外地甚至在家對醫(yī)院的業(yè)務(wù)系統(tǒng)進行升級與維護，操作方式基本分散無序，普遍存在由于管理人員登陸帳號管理不規(guī)范、運維權(quán)限劃分不清晰、認證流程簡單、缺乏對運維過程的監(jiān)控、無法控制運維的時間段等等問題，容易導(dǎo)致其運維行為可能存在誤操作、違規(guī)操作甚至惡意操作等現(xiàn)象，造成系統(tǒng)服務(wù)異?；蝈礄C，病人數(shù)據(jù)信息被泄露或破壞。因此，進一步加強對擁有信息系統(tǒng)高級管理權(quán)限的運維操作人員的行為管理與監(jiān)控，也是醫(yī)院信息安全發(fā)展的必然趨勢。

3、堡壘機在信息安全領(lǐng)域的應(yīng)用

堡壘機，提供了在特定網(wǎng)絡(luò)環(huán)境下，為確保域內(nèi)服務(wù)器、路由器等設(shè)備的安全運行，使用協(xié)議等方式，接管對終端目標設(shè)備的訪問界面，對其訪問行為進行安全審計與翻譯，集中管理、監(jiān)控記錄運維過程的一種設(shè)備，確保域內(nèi)網(wǎng)絡(luò)與數(shù)據(jù)不受破壞。堡壘機扮演了對信息系統(tǒng)和網(wǎng)絡(luò)、數(shù)據(jù)看門者的角色，所有對網(wǎng)絡(luò)關(guān)鍵設(shè)備、服務(wù)器以及數(shù)據(jù)庫的訪問，都要經(jīng)過這個看門者的安全檢查。符合安全規(guī)定條件在命令和操作才可以從大門通過，這個看門人可以對這些命令和操作進行登記記錄，而某些非法訪問、惡意攻擊以及不合法命令則被阻隔于大門之外。因此，在提高醫(yī)院信息安全防護等級的過程中，使用堡壘機不僅可以實現(xiàn)用戶的身份鑒別、單點登陸、多因素安全認證，還可以將服務(wù)器、網(wǎng)絡(luò)路由設(shè)備、數(shù)據(jù)庫等資源的操作進行詳細的記錄并錄像，提供有效的安全審計查詢。堡壘機作為醫(yī)院信息系統(tǒng)等級保護安全體系中的一個環(huán)節(jié)，可以很方便地做到事中監(jiān)控，事后找出問題根源。醫(yī)療單位要選擇一款好的堡壘機，要注意其生產(chǎn)廠家必須能在IT運維管理領(lǐng)域里，可以深刻感知醫(yī)療安全行業(yè)和國家的合規(guī)性規(guī)范及高安全性、高可用性和高可靠性需求，不斷創(chuàng)新發(fā)展，致力從事智能的自動化運維管理。醫(yī)院在選擇堡壘機廠商時要注意廠商是否具備快速響應(yīng)能力及行業(yè)內(nèi)口碑等，多了解其產(chǎn)品的行業(yè)經(jīng)驗，注意了解廠商的是否有醫(yī)院信息安全領(lǐng)域的服務(wù)經(jīng)驗及良好的服務(wù)質(zhì)量，并建議選購前要做好堡壘機設(shè)備與醫(yī)院信息系統(tǒng)的兼容性測試，選擇良好的堡壘機廠商可以讓醫(yī)院醫(yī)療信息行業(yè)運維管理工作增值，這樣才能讓醫(yī)院醫(yī)療信息系統(tǒng)獲得最大的保障和應(yīng)用效果。

4、堡壘機所應(yīng)具備功能：

4.1單點登錄

堡壘機可通過保護域內(nèi)的安全設(shè)備、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等對堡壘機專用帳號的授權(quán)，支持針對一系列授權(quán)帳號的密碼定期變換，規(guī)范及簡化密碼管理流程。被授權(quán)的維護人員無需再記憶各種不同系統(tǒng)的密碼，即可通過堡壘機安全便捷地登錄被保護域內(nèi)設(shè)備。

4.2帳號管理

針對保護域內(nèi)的網(wǎng)絡(luò)設(shè)備、服務(wù)器及其他安全設(shè)備的各種帳號進行統(tǒng)一管理，監(jiān)控授權(quán)訪問資源帳號的整個生命周期。可以根據(jù)運維人員的不同身份設(shè)計不同帳號角色，滿足審計及運維操作管理要求。

4.3身份認證

由堡壘機提供統(tǒng)一的認證入口，支持包括動態(tài)與靜態(tài)口令、硬件密鑰、生物指紋認證等多種認證模式對用戶認證。并要求可訂制接口，支持第三方認證服務(wù)；有效提高保護域內(nèi)設(shè)備的安全型及可靠性。

4.4資源授權(quán)

針對訪問域內(nèi)網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫等根據(jù)ip協(xié)議類型、行為等多種要素進行授權(quán)操作

4.5訪問控制

保壘機能支持對不同用戶制定不同策略，有針對性地進行細粒度的訪問控制，有效禁止非法及越權(quán)訪問，最大限度地保護用戶資源的安全。

4.6操作審計

堡壘機能支持針對命令字符操作、圖形界面操作、文件傳輸操作等的多種行為的審計與錄像全程記錄，支持通過實時界面監(jiān)控、對違規(guī)事件進行事中阻截。并能支持對指令信息的關(guān)鍵字搜索，精確定位錄像回放位置等功能。

5.堡壘機在醫(yī)院醫(yī)療信息系統(tǒng)安全的主要作用：

5.1從醫(yī)院來看：

通過堡壘機細粒度的安全管控策略，保證醫(yī)療信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備等安全可靠運行，并可以在一定保障數(shù)據(jù)的隱私性與安全性，降低人為安全損失，保障醫(yī)療信息系統(tǒng)的運營效益。

5.2從信息系統(tǒng)管理員來看

可以將保護域內(nèi)系統(tǒng)所有的運維賬號在堡壘機這個安全平臺上管理，讓管理更簡單有序，確保用戶擁有的權(quán)限是恰當?shù)?，只擁有完成任?wù)所需的最小權(quán)限。

5.3權(quán)限控制：

通過堡壘機可以通過字符與圖形界面直觀方便的監(jiān)控各種韻維訪問行為，及時發(fā)現(xiàn)與阻隔違規(guī)操作、權(quán)限濫用等。

5.4以普通用戶來看：

系統(tǒng)運維只需要記住一個自己的運維賬號和口令，登錄一次，就可以訪問個資源，大大降低工作復(fù)雜性，提高了效率。

作者：胡名堅 周春華 黃慧勇 單位：佛山市第一人民醫(yī)院計算機中心

參考文獻：

[1]現(xiàn)代醫(yī)院信息系統(tǒng)的安全管理策略《醫(yī)學(xué)信息（上旬刊）》2011年12期王新安，周漫，萬歆，石春卉，樊淑華

[2]醫(yī)院信息系統(tǒng)的安全維護和管理《醫(yī)學(xué)信息》-2008年10期-柳青