大型醫院信息安全策略實踐

前言：尋找寫作靈感？中文期刊網用心挑選的大型醫院信息安全策略實踐，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

【摘要】隨著西藏地區醫院信息技術的快速發展，對信息安全要求也越來越高。完善信息安全策略是信息安全工作的核心內容，是保障信息系統穩定運行的基本前提，是提高醫院工作效率、簡化就醫流程、為西藏人民就醫提供信息化支持的基礎。

【關鍵詞】西藏;醫院;信息安全;信息系統

西藏地處我國邊陲，因地理環境等因素，西藏缺少計算機專業人才，使得網絡管理和建設存在很多安全問題[1]。隨著醫療衛生體制改革和社會醫療保險制度改革的深入開展，醫院信息系統已成為醫院必不可少的關鍵基礎設施與技術環境，信息化、管理科學化的理念逐步滲透于醫院管理中，西藏地區各大醫院都在加快信息化建設進程，提高信息化管理水平。部分醫院已擁有醫院信息系統、電子病歷系統、實驗室信息系統、影像歸檔和通信系統（picturearchivingandcommunicationsystems，PACS）等各類信息系統，已經覆蓋臨床和管理的方方面面。西藏地區醫院信息系統面臨惡意攻擊、計算機病毒，敵對勢力入侵破壞等。近兩年，瘋狂的“勒索病毒”也讓醫院信息系統面臨嚴峻挑戰，完善信息安全策略、保障醫院信息安全尤為重要。

1信息安全概述

信息安全是指信息系統(包括硬件、軟件、數據、人、物理環境及其基礎設施)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷，最終實現業務的連續性。信息系統的安全與穩定會直接影響到醫院的正常工作，并且還影響到醫院的醫療服務水平和管理工作。因此，醫院在信息化建設中，安全問題需要高度重視，在提升信息化的同時，加強安全防范[2]。要全面分析影響信息系統安全性的各因素，并持續加強信息系統及設備建設，保證數據安全。潛在的威脅不可忽視，如何制定信息安全策略，保障醫院醫療數據的安全性和完整性成為信息安全建設的重要內容。

2醫院信息安全策略

目前，醫院雖然認識到網絡信息安全的重要性，但沒有完善的信息安全策略，醫院信息安全仍容易存在各類隱患。醫院需根據自身的網絡安全目標制定與醫院實際需求相符的安全管理策略，根據網絡安全的發展及時調整自身安全策略，所選擇的網絡安全產品無法進行科學配置及合理優化，也并未充分發揮其應有的安全管理作用[3]。因此，制定完善的信息安全策略顯得尤為重要。根據日喀則市人民醫院（以下簡稱“我院”）網絡安全目標和西藏地區醫院信息化實際情況，我院信息安全策略重點在于物理安全策略、網絡安全策略、主機安全策略、應用安全策略、數據安全策略5個方面。

2.1物理安全策略

物理安全是整個信息系統安全的前提，在整個網絡安全防護中，物理安全有效維護是高效的[4]。物理安全主要包括機房環境安全、通信線路安全、設備安全、電源安全。中心機房是整個醫院信息系統的核心中樞，里面包括了服務器、交換機、路由器以及各類安全設備等，承載了醫院所有業務系統，還有各類外聯業務。比如支付寶、微信等第三方支付的自建混合云系統，各家醫院自建的保險支付平臺以及微信查詢各類檢查報告等。機房是否能夠穩定運行直接影響到整個醫院信息系統的運行狀態，包括各業務流程的穩定運行以及關鍵數據的存儲記錄等。因此，在醫院建設初期就應該根據國家相關建設標準，結合醫院自身需求進行選址，以及防塵、防水等條件的相關要求。中心機房在配備兩路市電以及柴油發電機的同時，還需要配置機房不間斷電源系統（uninterruptiblepowersystem，UPS）。機房UPS作為數據中心運行的核心保障設備，應該選用適合醫院機房功率的型號。使用UPS電源可以提高機房供電的可靠性，使機房的穩定運行無后顧之憂。機房運維人員需要每天查看UPS主機的運行狀態，仔細查看電池充放電，并且定期展開演練以備不時之需。另外，對于整個機房的環境需要做到實時監控，包括動環、溫濕度、UPS等，采用短信貓或者郵件等方式進行報警。因此，中心機房的日常運維管理工作至關重要，機房工作人員必須每天定時巡查整個機房，包括各類物理設備以及鏈路等，并且要做好相應的記錄工作。我院安排了專人每天去機房進行巡查工作，并且制定了機房巡查記錄表來進行相應的記錄，包括各類設備的運行狀態以及已經出現的故障，以及故障或者問題解決的時間節點。

2.2網絡安全策略

醫院從以前相對獨立的系統轉變為一個開放的互聯性很強的信息系統，一直成為各類黑客以及黑產攻擊的目標。一個是因為醫院信息系統癱瘓會造成患者看病困難，還有就是醫院的數據非常有價值，包括了患者的各類信息。因此，醫院對網絡安全要求非常高，不但需要確保醫院自身網絡架構安全性、患者隱私的保密性以及醫院各類數據的完整性和正確性，還需要防范外部攻擊者惡意入侵醫院網絡的行為。為了不讓醫院以及患者造成不必要的損失，我院采取了以下措施。一是實施網絡物理隔離。采用醫院內部網絡與外部網絡物理隔離，可確保內部網不會受到外部公共網絡的非法攻擊。二是部署防火墻等安全設備。面對網絡中的各種威脅，我院部署了智慧防火墻以及漏洞掃描等安全設備，通過掃描網絡發現各類高級持續性威脅攻擊、后門木馬以及蠕蟲病毒等，提升了系統對高級威脅和內部威脅的檢測與防護能力。并且可以通過威脅情報和上下文信息進行全面的調查評估，增強了預防、感知和響應能力，實現威脅發現，攻擊溯源，流量取證，及時響應和防護。通過實時查看網絡概況、漏洞統計、攻擊者IP，做到對用戶端實時監測及時處理。經統計安裝防火墻前后實施效果比較（見表1），攻擊數、漏洞數（主要針對勒索病毒利用的漏洞MS17-010漏洞）大幅下降，大大增強了我院網絡防護能力。三是部署訪問控制堡壘機。我院為了做好對第三方維護人員行為的規范與控制，購置并且部署安裝了堡壘機以及網閘等安全設備，保障網絡和數據不受來自外部和內部用戶的入侵和破壞，對非法用戶的操作進行攔截，過濾所有對目標設備的非法訪問行為，并對內部人員的操作進行審計監控，避免誤操作和非法操作。四是加強業務培訓。由于醫院業務的特殊性，必須保證信息系統及網絡7×24小時無故障運行。因此，熟悉整個機房及網絡拓撲架構顯得尤為重要。要求運維人員除了中心機房以外，必須熟知各大樓的弱電間所在位置以及內外網交換機使用情況。一旦發現問題，要通過故障現象及時進行排查工作，確保在最短的時間內解決問題。五是加強巡查和檢修維護。醫院網絡設備主要包括防火墻、路由器、交換機等設備以及光纖鏈路。由于網絡是支撐整個信息系統穩定運行的基礎，因此對網絡設備的日常檢查和維護就顯得極其重要。

2.3主機安全策略

服務器是一種計算資源，作為數據庫的載體，一般采用高可用集群的方式來保證系統的穩定運行。為了積極配合國家等級評審工作，我院采購了數據庫審計以及日志審計等相關設備。審計設備可以通過跟蹤審計日志和事務日志來分析各類數據庫的行為來解決很多隱藏在系統深處的問題。我院分診叫號系統經常出現系統卡死等現象，通過對系統日志進行分析，發現故障原因是分診系統訪問數據庫太頻繁導致。經過系統間隔調整以后就解決了該問題。二是加強服務器安全防護措施。服務器主機安全用“細節決定成敗”來形容一點都不為過，時刻體現在日常的維護工作當中。我院通過以下幾個方面措施加強服務器安全防護：掃描漏洞及時安裝系統補丁；安裝和部署防火墻策略；安裝網絡殺毒軟件，并進行定期更新；關閉不需要的服務和端口；日常運維落實到位。

2.4應用安全策略

醫院信息系統涉及的都是患者診療的隱私性信息，它的安全性、可靠性、穩定性要高于其他行業。一是在系統開發的各階段明確應用安全需求。包括系統軟件本身的業務需求、行業規范等合規性要求，將系統開發建立在相關安全需求基礎上。并且院方要將安全需求傳達給軟件開發商，糾正不合理需求，降低風險。二是完善網絡安全組織機構和管理體系，加強行業信息安全人才隊伍建設。我院設置專門的安全領導及管理小組，院長為第一責任人。針對網絡及信息系統的設計、實施、運維等方面提出信息安全指導性意見，定期或不定期開展行業重要信息系統的安全測評和風險評估工作，通過安全檢查監督、安全知識宣教，強化員工的安全意識。三是建立和完善各項管理制度。根據國家等級評審要求，結合醫院自身實際情況，通過制定網絡安全管理等各項制度，使得系統更加規范和安全。四是加強人員權限管理。對系統用戶進行身份鑒別，確保權限最小化管理。我院人員權限授權完全按照用戶操作權限管理制度執行，對系統不同的接入用戶在權限上進行嚴格的分級分類。五是部署安裝殺毒軟件。購買企業版的殺毒軟件，確保每臺客戶端都安裝完畢，并且通過定時更新策略對客戶端進行更新。由于我院內外網物理隔離，服務器更新病毒庫采取從指定外網終端上操作，拷貝到固定安全移動硬盤，保證醫院內部數據安全，防止醫療數據泄露、損壞。六是制定并實施應急預案。做好全院各臨床科室的應急預案，指導醫護人員能臨危不亂，日常應急演練落實到位，幫助梳理步驟，不斷總結經驗。

2.5數據安全策略

數據作為醫院的無形“信息資產”，它是醫院業務的基礎。如何保護“信息資產”成為信息管理工作中的重中之重，只有不斷提高管理人員的意識，提高數據保護的觀念，增加保護的措施，才能保證用戶數據的安全性。一是重視數據安全防范。增強數據安全防護意識，除了采用主機高可用集群以外，要做好數據庫的備份工作，例如整點的完全備份和差異備份。我院還購買了備份一體機，對存有關鍵數據的服務器進行系統備份和數據庫的備份。二是采取異地備份措施。我院目前沒有災備機房，因此無法做到異地的數據災備。另外，影像系統由于當地的某些特殊原因造成數據量非常龐大，本地存儲已經無法滿足快速增長的業務需求量。因此，我院利用云技術將全部歷史數據以及影像文件備份到云空間，并且實現了影像文件的本地調閱，當系統出現故障的時候也能確?；颊咴\斷、診療不受影響。

3結語

我院將按照醫院信息安全等級保護三級測評等流程強化信息安全，進一步組織全院職工學習信息安全等級測評相關條款，開展自查自評等差距分析，展開系列整改工作，不斷持續改進。結合西藏當地信息化發展特點，今后將嘗試備用機房、安全隔離網閘等方面的信息安全措施，保證醫院信息系統的穩定性、可靠性、安全性、可用性，更好地對接移動APP咨詢、預約、網上支付、網絡查詢等服務，方便患者就醫，提供優質醫療服務。

參考文獻

[1]左秋娟，宋澤華.基于云計算的西藏高校電子政務安全技術研究[J].電子技術與軟件工程，2017(8):231

[2]宋理國.基于大數據視角對醫院信息化和網絡數據安全建設的分析[J].網絡安全技術與應用,2016,10(6):67-69.

[3]龍智勇.淺談醫院網絡安全防御體系的建設[J].中國管理信息化，2018,21（13）:135-136

[4]丁瑩.基于大數據視角對醫院信息化和網絡數據安全建設的研究[J].信息與電腦(理論版),2018,13(11):215-217.

作者:路彥鈞 黃偉 張晶