安徽十一选五基本走势图

三甲醫院等級保護建設經驗分享

三甲醫院等級保護建設經驗分享

發布人:江蘇鑫億軟件股份有限公司   發布時間:2015-10-23

隨著醫療衛生體制改革的不斷深化,衛生行業信息化應用不斷普及,醫院信息系統已成為醫療服務的重要支撐體系。其應用的安全與穩定,直接關系到醫院醫療工作的正常運行,一旦網絡癱瘓或數據丟失,將會給醫院和病人帶來巨大的災難和難以彌補的損失。同時,醫院信息系統涉及大量醫院經營和患者醫療等私密信息,信息的泄露和傳播將會給醫院、社會和患者帶來安全風險。
 
在面對醫療信息泄密事件頻發的同時,國家對醫療信息化安全也越來越重視。2011年,信息安全等級保護已列入《三級綜合醫院評審標準》中信息化規范建設的重要考核依據與指標。同年12月份,衛生部發布《衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作的通知》,要求衛生行業“全面開展信息安全等級保護工作”。為貫徹落實國家信息安全等級保護制度,規范和指導全省衛生行業信息安全等級保護工作,按照衛生部《關于印發衛生行業信息安全等級保護工作的指導意見》(衛辦發〔2011〕85號)和《關于全面開展衛生行業信息安全等級保護工作的通知》(衛辦綜函〔2011〕1126號)要求,黑龍江省衛生廳早在2013年就制定了《三甲醫院開展信息安全等級保護工作實施方案》,可以看出信息系統的安全已經被提高到非常重要的地位。
 
黑龍江省自2013年進行醫院等級保護測評3年多以來,從實際效果來看,目前通過測評的醫院并不多。據哈醫大二院介紹,盡管現在很多醫院在信息化建設方面都非常重視,同時也意識到信息化建設對各醫院管理、提高醫療服務質量與患者滿意度方面都起到了關鍵性作用,但在安全方面重視度還不夠。
 
哈醫大二院結合醫院自身情況與大家分享等級保護建設經驗,希望可以對各個醫院起到一定的幫助作用。等保實施的方向主要體現在七方面,管理安全,數據安全及備份恢復,數據庫,網絡安全、物理安全和應用系統,還有主機設備。
 
等保實施意義
1、等級保護是完善醫院信息系統安全的一個持續的、長期的過程。
2、通過等級保護會發現工作中的不足,是對系統安全進行重新梳理的過程。
3、等級保護是對我們現有的工作方式進行規范的過程。
4、等級保護是提高我們信息工作人員的安全意識、處理安全事件能力的過程。
完成三級等保要素
物理方面:
1、電磁防護:電源線和通信線纜隔離鋪設,避免相互干擾。
2、邊界完整性檢查和身份鑒別:應能夠對內部網絡中出現的內部用戶未經允許私自聯網的行為進行檢查。(內網、用戶名密碼、電子簽名、IP和mac和交換機端口綁定等)
主機方面:
1、當對服務器進行遠程管理時,防止鑒別信息在傳輸過程中被監聽。(管理制度完善、防止非法接入內網等、盡量少用遠程管理、日志審計能對其操作進行詳細的記錄)
2、采用校驗碼技術保證通信過程中數據的完整性。
3、采用密碼技術進行會話初始化驗證,應對敏感數據進行加密。
機房方面:
1、應鑒別和記錄出入人員。(指紋門禁、監控、機房管理制度)
2、機房劃分區域進行管理,并有隔離裝置,有防雷、自動滅火、空調、UPS、備用電源系統、防盜報警、防水檢測和報警。(環境監測)
網絡方面:
1、應避免將重要網絡部署在網絡邊界處,重要網段之間采用可靠的技術隔離手段;能夠對數據流提供允許和拒絕訪問能力;能實現對 http、ftp、telnet、smtp等協議命令級控制(防火墻、網閘、訪問控制列表)
2、應在網絡邊界處監視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、網絡蠕蟲攻擊等,應在網絡邊界處對惡意代碼進行檢測和清除。(入侵檢測、入侵防御、防病毒網關)
數據服務器方面:
1、能夠根據數據進行分析并生成統計報表。應能對重要服務器進行監視,包括CPU、硬盤、內存、網絡等資源的使用情況。(數據庫審計、日志審計、環境監測)
2、應定期掃描系統等主要設備漏洞。(漏洞掃描)
備份方面:
1、應提供本地數據備份和恢復功能,完全備份至少每天一次,備份介質場外存儲。
2、應提供異地備份功能,采用冗余技術設計網絡拓撲結構,應提供核心網絡設備、服務器等硬件冗余。
管理方面:
1、應委托第三方進行測試,并出具安全性測試報告;至少每年對系統進行一次等級測評,不合格及時整改。
2、應確保介質存放在安全的環境中,對各類介質進行控制和保護,并需專人管理。
3、應對通信線路、主機、網絡和應用軟件的運行狀況、網絡流量、用戶行為等進行檢測和報警,形成記錄并妥善保存。(網管、數據庫審計、日志審計、內網、入侵檢測、漏洞掃描、環境監測、制度文檔等)
4、應組織相關人員對監測和報警記錄進行分析、評審,發現可疑行為,形成分析報告,并采取相應措施。(數據庫審計、日志審計、漏洞掃描、制度文檔、入侵防御)
5、應建立安全管理中心,對設備狀態、惡意代碼、補丁升級、安全審計、漏洞等進行集中管理,應定期檢查違法安全策略行為,應根據安全策略允許或拒絕便攜式或移動設備的網絡接入。(防毒、補丁服務器、入侵檢測、防病毒網關、內網管理、無線安全設備、主要設備IP地址和MAC地址綁定、管理規定等)
主要設備
1、防火墻、防毒墻、入侵檢測、入侵防御、數據庫審計、日志審計、漏洞掃描。
2、綜合樓災備服務器、時間同步服務器、電池環境監測、瑞星和內網升級等。
醫院網絡外聯現狀分析
以前,考慮到安全方面,醫院的網絡往往會進行物理隔離。如今,隨著互聯網的發展與便捷,銀行、銀聯、醫保、預約掛號、互聯網等都需要接入到醫院的網絡,那安全問題怎么解決?這是各醫院都面臨的一個現實的問題。以哈醫大二院為例,陳偉的做法主要體現在以下幾方面。
 等保實施展望
1、需通過不斷深入的探討和分部實施,逐步解決面臨的問題。
2、應以實施等級保護為契機,使醫院信息網絡安全上一個新的臺階。
3、通過等級保護學習新知識、新技術,(云虛擬化平臺、數據引流、鏡像、防火墻、防毒墻等)提升我們團隊的技術能力和水平。
等保實施建議
1、核心服務器采用雙機。
2、核心交換采用雙機,能支持VRRP或irf虛擬化,最好能插入防火墻板卡,三層交換機,做好核心交換的訪問控制列表。
3、安全設備可根據實際情況進行投入,如:一臺一體化安全網關可同時實現入侵防御、防病毒、防火墻等多種功能。
4、入侵檢測、數據庫審計、日志審計是必須的設備。
5、不可能所有都滿足等保要求,但可以通過安全設備間功能互相彌補,設備上無法實現的,可通過管理制度去完善。
6、結合醫院建設情況進行逐步投入,可按實際醫院情況分布實施。
7、做好溝通工作,做到知己知彼。
轉載請注明出處:HC3i中國醫療網

 

版權所有:江蘇鑫億軟件股份有限公司   Copyright @ 江蘇鑫億軟件股份有限公司 All rights reservednbsp;   郵件登陸 蘇ICP備16005394號-1
安徽十一选五基本走势图 网络猜大小单双 360北京pk10走势图 买11选5任一有技巧吗 看牌抢庄牛牛如何稳赢 pk10 1期6码如何倍投 北京塞车人工一期计划 轩彩娱乐注册 贵州时时彩 鸿云娱乐平台app下载 极速快三大小技巧