达州市中西医结合医院 四川达州 635000
摘要:随着近年来医疗行业信息化水平的不断发展,信息系统给医院各项工作带来了许多便利,同时因为连接外部系统的不断增多,带来了信息安全问题,不仅影响医院正常运作和管理,同时影响病人诊疗过程的安全。因此加强医院信息安全建设,是保障医院信息化可持续发展的需要。本文对我院信息安全的现状进行分析,通过对安全建设存在问题的总结,探讨未来我院信息安全建设方向,为相关的行业工作者提供一些信息安全建设的思路。
关键词:信息安全 医院信息化建设 管理 安全制度
With the continuous development of information technology in the medical industry in recent years, information systems have brought many conveniences to hospital work. At the same time, the increasing number of external systems has brought network security problems, which not only affects the normal operation and management of hospitals, but also affects the safety of patients'diagnosis and treatment process. Therefore, strengthening the construction of hospital information security is the need to ensure the sustainable development of hospital information. This paper analyses the current situation of information security in our institute, summarizes the existing problems in security construction, explores the future direction of information security construction in our institute, and provides some ideas for relevant industry workers in information security construction.
引言
近年来随着计算机信息技术高速发展,促进医院信息化水平不断提高。物联网、云平台、大数据、人工智能等信息化技术以“互联网+医疗”模式运用在医疗行业里。为了方便患者就医,提高医疗服务质量,提升医院的核心竞争力,与医保、银行、省级市级健康平台、三医监管、财政系统等外部系统互联互通。实现信息数据共享、核心指标监管、本地实时结算等功能;同时为了减少病人就医排队等候的时间,提升就医体验,开展了网上预约、网上缴费、微信支付、云影像、诊间支付、电子发票等多种使用互联网访问的业务。随着外部业务不断增多,医院的信息化系统从单纯只对内部服务的信息系统,转变成对外敞开大门的信息系统。面临安全风险逐渐增大,网络安全问题日益凸出,信息泄露、数据丢失、系统瘫痪、勒索攻击等信息安全事件逐渐成为医疗行业的重灾区。医院信息系统作为伴随病人就医整个环节体验的支撑,如遇信息安全问题,将直接造成医院、病人的极大损失,影响社会安定和国家安全。加强医院信息安全建设对于医院未来发展来说变得日益重要。
1、医院信息安全状况
1.1基本情况
我院作为国家三级甲等中西医结合医院,是本市唯一一家集医疗、教学、科研、预防、保健、康复于一体的医院。系全国500家大型医院之一。有23个病区,临床、医技、行政科室90余个。有一个国家重点专科培育单位,5个省级重点专科或在建科室。医院信息系统通过二代HIS系统的更迭,经过多年不断建设,形成了以HIS、LIS、PACS、EMR为核心的医院信息系统。共有服务器和存储31台,各种网络设备182台,终端设备近1000台。
1.2现有信息系统安全状况
(1)物理安全
我院的数据中心机房使用B级机房建设标准。机房采用双线路供电,配备UPS供电系统,在停电的情况下可以使用UPS持续供电机房设备2小时。机房使用七氟丙烷气体灭火技术,采用火灾自动报警系统,灭火系统地控制方式为自动、手动2种方式。机房使用KVM环境监控系统对机房的温湿度、配电系统、UPS系统、精密空调系统、漏水子系统,监控系统7*24小时实时监控。如有异常会以报警及手机短信方法是提醒机房管理人员进行及时处理。
(2)网络安全
我院内部网络系统主干设计为万兆网络,同时采用双链路双核心的方式组网。2台核心交换机使用热备与各楼层汇聚交换机互联.实现了关键业务的链路冗余。各楼层划分VLAN,形成多个虚拟局域网。核心服务器单独划分为管理VLAN,通过网络划分使不同的虚拟局域网实现网络层协议的隔离。我院内部网络与外部医保连接使用防火墙及IPS隔离。只允许指定IP地址访问指定的内部网络地址和端口。外部微信平台与内网连接使用网闸物理隔离。三医监管平台、市级健康平台、银行利用前置机通过防火墙连接我院内部网络进行信息数据交互。核心交换机使用镜像端口旁挂安全审计、漏洞扫描等设备,保护核心网段的网络安全。职工在使用内外网时分别使用两台电脑,实现物理隔离。如需内网数据上传到外网共享。由网管中心专人通过安全电脑远程操作把内网数据拷贝出来发送到职工指定的邮箱。医院对外提供24小时医疗服务。必须保证网络7*24小时不间断运行,所以整个网络系统的及时维护至关重要。数据中心机房采用24小时值班制度,每天需要查看交换机、路由器、安全设备、服务器、存储的设备指示灯是否正常。
(3)数据库安全
数据库安全作为整个医院信息安全的核心部分,由于数据无价,一旦出现丢失、篡改、复制泄露等安全问题,会给医院带来巨大损失。为了保障数据库的整体安全。我院使用刀片式服务器,HIS、LIS、PACS、EMR都使用双机热备,定时对数据库备份,使用移动硬盘每天对定时备份的数据进行转存。安装安全准入软件限制未经授权的内部网络用户访问数据库服务器。制定了数据库权限管理制度、操作员角色制度。所有数据库密码采用复杂密码原则,定期更换,防止数据库密码泄露。
(4)桌面终端安全
我院桌面终端安装正版金山杀毒软件定期通过外网定期升级病毒库,安装莱恩赛克内网安全管理系统使桌面终端无法使用U盘、移动硬盘等外部设备。防止U盘、移动硬盘把病毒、木马通过桌面终端侵入到内网系统里。信息系统登录设置登录时限。超过10分钟无操作系统账号自动锁屏,防止非登录人员进行违法操作。
期刊文章分类查询,尽在期刊图书馆
1.3现有信息安全建设措施分析
(1)虽然我院的信息安全建设在前期网络建设中同步购买了部分安全产品,具有一定安全技术和防护策略。但缺乏面对新的安全风险的顶层设计,对于怎么建设网络安全,没有制定中长期规划。
(2)在安全组织机构方面,按照建设数字化医院的要求中,需成立以院长为核心的网络安全领导小组。而我院未成立网络安全领导小组,没有设置网络安全主管和专职信息安全员。未有专人对安全产品的特征库和病毒库定时升级更新。面对未知病毒、未知攻击没有防护功能。院内普遍认为网络安全是网络管理中心事情,领导只停留在会议上的重视。没有给予从事安全工作人员的政策倾斜,无法调动安全工作人员的积极性。在所有信息化建设中没有领导重视及支持是无法高效的努力变成成果的。
(3)医院信息中心专门从事网络安全人员紧缺,从事网络安全都是兼任。由于专业性不强,在处理紧急安全事故时欠缺快速找到并解决问题的能力,造成医院和病人的损失。工作人员对信息系统安全没有前瞻性发现风险点的能力,只是根据公安部门和卫计委政策指导做一些简单网络安全防护措施。
(4)会议通过的安全管理制度,未落实到位,并按照制度执行的监督和奖惩机制。未与数据库操作员和软件维护公司签订保密协议,存在信息数据泄露的风险。
2、医院信息安全建设改进措施
2.1安全技术
(1)安装日志审计
对接入路由器、接入交换机、防火墙、服务器等配置日志服务器,对审计记录进行保护;针对可能会受到未预期的删除、修改或覆盖,对安全事件进行追溯,避免一定的安全风险。
(2)部署堡垒机
避免因操作系统开启了telnet、FTP服务,口令以明文方式传输,存在网络传输过程中被窃取的风险;帐号、口令等重要数据可能被嗅探并盗用,导致系统被非授权访问。协助管理员制定用户权限表,并根据权限表进行用户权限分配。
(3)部署数据库审计
针对数据库的操作、访问行为进行审计,并对非法操作进行告警、阻断。
(4)安全管理中心的部署
应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。;
(5)部署SSLVPN设备
对来自外部非可信网络的网络通信进行控制,避免被网络攻击的风险。为外部用户访问内部系统提供安全可靠的网络传输。
(6)服务器虚拟化技术
实现对医院核心服务器系统高性能和容灾性能,建立异地灾备机房,使用双活技术,主备两个数据中心都同时承担用户的业务,主备两个数据中心互为备份,并且进行实时备份。
通过增加这几个安全设备和系统达到全方位保护内、外网络的安全。
2.2制度建设
根据《网络安全法》《信息安全技术信息系统安全等级保护基本要求》《计算机信息系统安全等级保护通用技术要求》等法律法规,医院建立以院长为核心网络与信息安全领导小组,下设办公室,设置安全主管、专职安全管理员。领导小组办公室将建立全院信息安全管理制度,包括有网络安全保护制度、中心机房管理制度、数据备份制度、信息网络系统安全保密管理规定、信息网络中心分级授权制度、介质管理制度、信息网络系统巡检监控制度等。制度建立后由网络与信息安全领导小组进行监督执行,并设置奖惩制度。
3.3提高工作人员的信息安全意识
(1)安全知识宣传
通过医院对外宣传媒介对医院信息安全的重要性进行宣传,时刻提醒全院工作人员要在工作中保护自身和患者的隐私,不把不安全介质带入医院的信息系统。
(2)安全学习及培训
不定期组织全院职工参加安全知识、信息系统操作规范、医院安全制度等培训,专职安全人员需参加网络安全的培训,并取得网络安全员证书。
(3)签订保密协议
对关键岗位人员签订信息安全保密协议书,保证责任落实到人。
3.4沟通和对外安全合作
(1)加强内部管理人员、信息安全领导小组的沟通协调,定期或不定期召开协调会议,评估院内网络安全情况,共同协作处理网络安全问题。
(2)加强与兄弟单位、公安机关、电信运营商的合作和沟通。
(3)聘请信息安全方面的专家,每年定期做医院的风险评估,参与安全建设的规划、评标、验收等。
结束语:
总的来说信息安全建设是一个持续改进过程,信息系统没有绝对的安全,我们只有通过信息安全建设把风险降到最低,来保护医院信息系统的安全。我们需要在日常工作中经常进行风险评估,并在建设中改进完善。信息安全建设对于医院来说“永远在路上”。发扬“不怕困难、勇于奉献”的精神才能把信息安全建设做的更好。
参考文献:
[1] 屠强.数字化医院信息安全建设与管理核心思路探索[J]. 电脑与电信. 2018(06)
[2] 盛峰.数字化时代下医院信息安全建设探讨[J]. 信息技术与信息化. 2017(07)
[3] 周丁华,吕晓娟,张麟,卢敬泰,王月娟.数字化医院信息安全建设与管理策略[J]. 中华医学图书情报杂志. 2015(06)
论文作者:刘玥
论文发表刊物:《防护工程》2019年第4期
论文发表时间:2019/6/3
标签:信息安全论文; 医院论文; 网络论文; 信息系统论文; 网络安全论文; 系统论文; 我院论文; 《防护工程》2019年第4期论文;