医院信息安全的问题和对策
2017-03-10◆李昂
◆李 昂
(上海市第五人民医院信息科 上海 200240)
医院信息安全的问题和对策
◆李 昂
(上海市第五人民医院信息科 上海 200240)
随着计算机网络技术的迅速发展,医院业务流程已基本实现信息化。信息安全是信息化建设中的一项重要保障工作。本文阐述医院信息安全面临的主要问题,如信息安全体系不完善、制度落实不严格、互联网与物联网的新挑战、技术能力弱等。并从技术和管理两个方面提出相应对策,从而保障医院信息系统的稳定运行。
医院;信息安全;安全管理
0 引言
随着现代信息化技术在医疗卫生领域的广泛应用,信息系统已经覆盖了医院的每一个部门,涉及病人就医的每一个环节,高效可靠的信息系统已经成为医院提高服务质量和管理水平的重要手段。但在医院系统高速发展的同时,医院信息系统的安全问题也日益突出。因此,现代化医院对信息系统的稳定性和安全性有着更高的要求。加强医院信息的安全建设,已经成为当前医院信息化建设的重中之重[1]。
1 医院信息安全面临的主要挑战
1.1 安全防护体系不完善
当前,医院信息安全问题主要体现在安全防护体系不完善、技术支持能力弱、制度落实不严格等方面,严重制约和影响着医院信息化乃至医疗工作的进一步发展[2]。医院信息安全建设是一个动态的复杂的系统化工程。虽然当前医院在信息安全建设中大量采用防火墙、web防火墙、入侵检测、网闸、网络管理软件、数据库审计、用户准入、桌面管理等软硬件手段,但缺乏中、长期且符合医院实际的安全建设整体规划,没有根据医院信息安全出现的新问题,及时有效的调整医院信息安全策略,存在一定程度的“安全孤岛”现象,使医院信息安全系统不能起到因有的作用。
1.2 安全制度落实不严格
随着医院对信息安全意识的逐渐提高,越来越多的医院建立了的医院信息安全制度,但普遍不够完善、能够严格落实的并不多。主要原因是医院人员复杂,普遍缺乏安全意识和能力,而信息科作为信息安全的主管部门,行政干预能力弱,只能依赖用户准入、桌面控制软件、行为管理软件等技术手段进行管理,缺乏有效的安全监管与问责手段。
1.3 互联网与物联网应用的新挑战
近年来医院信息技术的迅速发展,和各传统业务的不断拓展,在“互联网+”的基础上逐渐发展出互联网支付、掌上医院、在线预约挂号、医联体、数据平台等应用。而医院物联网应用则是将如生命体征检测设备、温湿度感应设备、红外感应等设备通过有线、无线等通讯手段融合到医院一体化信息系统。这些技术的应用大大提高医院服务质量与工作效率,同时也面临着巨大的安全挑战。以计算机病毒、木马、黑客攻击等为代表的诸多安全问题,严重威胁着医院正常运营。其中计算机病毒可以破坏计算机系统导致计算机系统瘫痪。木马则通过远程控制窃取用户口令篡改计算机系统数据。黑客攻击则是黑客利用系统漏洞对医院网络及服务器进行入侵,消耗网络及服务器资源,窃取或篡改系统数据。
1.4 安全技术能力不足
医院信息安全管理是一项长期的动态的系统工程,其中主要包括主机安全、网络安全、数据安全、机房安全、应用安全等方面,日常维护工作十分繁琐。而医院在信息安全技术培育的投入与安全产品投入相比远远不足。伴随信息化技术的高速发展,新的病毒木马、攻击技术、安全产品、防御手段层出不穷,而普通的信息科安全工程师很难及时掌握这方面的知识。在医院出现信息安全问题时,无法做到事前及时预防、事后精准定位[3],严重影响医院医疗正常运行。
2 医院信息化建设的主要对策
新形式下的医院信息安全建设应以信息安全策略为基础,以计算机网络技术为抓手,以人员管理为支撑,以信息安全管理制度为中心,围绕医院信息网络构建医院全方位的信息安全体[4]。
2.1 在安全制度体系建设方面
信息安全制度的缺失是现阶段医院信息系统运行安全问题的主要因素。因此全方位的信息安全体系应以安全制度体系建设为基石。
(1)信息安全组织管理
领导重视,机构健全。针对信息系统安全,应做到主要领导亲自抓,并成立专门的信息管理委员会,成员由各科室、直属单位负责人组成。建立健全信息安全工作制度,积极主动开展信息安全自查工作,保障医疗业务的良好运行,确保信息系统的安全。
(2)在管理制度体系方面
应针对信息安全管理活动应建设:信息安全方针及安全策略文件、管理制度文件评审及发布制度、信息安全领导机构组成与职责、信息系统人员管理制度、工程实施管理制度、机房安全管理制度、IT设备安全管理制度、信息系统应急预案管理等安全管理制度。
(3)在安全责任制方面
在医院信息安全管理系统中,对医院的每一个工作者的责任范围进行明确,并划分责任区域。当医院出现安全问题时能够第一时间找到责任人。作为信息安全管理工作的主管部门,应设立安全管理员、网络管理员、数据库管理员、系统管理员、文档管理员等岗位,并制定相关岗位职责说明,定义各工作岗位的职责和责任范围。
2.2 在机房安全体系建设方面
中心机房是医院信息系统的核心,服务器、存储设备和网络设备为全院数据信息提供处理、存储和管理服务[5]。中心机房应该在温度、湿度、静电、防水、防盗、防雷、防尘等方面做好安全策略。同时中心机房应安装双路UPS不间断电源、臭氧灭火、电子门禁系统、防雷装置。机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域,将重要设备与其他设备隔离开。指定专人负责现场巡查和记录,主要包括中心机房的温度、湿度、设备端口指示灯、电源状态等。进出机房要遵守安全规定,鉴别、控制和记录进出人员和设备。机房安全体系建设对医院信息安全异常重要,它是承载医院信息系统的基本条件。
2.3 在网络安全体系建设方面
网络是医院信息系统的传输神经系统,医院的每一台主机每一台终端都依靠网络进行通讯与连接,所以只有一套高速、安全、可靠的网络系统才能满足医院日益增长的业务需要。
首先医院信息系统是套大型而复杂的信息系统,不应使用统一的安全防护标准,而是针对不同业务区域和重要性进行不同的等级保护。安全域是指同一环境内有相同安全保护需求、互相信任、并具有相同的安全访问控制和边界控制策略的网络或系统[6]。根据医院信息系统的特性,我们可以把内网划分为以下安全域:核心业务区、普通业务区、安全接入区、数据交换区、终端接入区、应用开发区、运维管理区等。网络安全域划分后,在不同安全级别的安全域之间形成了网络边界,不同的边界则应采取有效的技术进行隔离。一套有效边界安全防护措施,既可使边界内部免受外部攻击也可避免内部人员越界对外部实施非法攻击。根据不同系统的进行数据流向的访问控制,访问控制策略应该细化到IP地址和端口。通过网管软件对整个网络系统中的流量、设备状态进行监控并记录。对非授权用户或设备私自连接网络的进行调查、定位、阻止。对关键网络设备、线路、安全产品进行双机、双线的冗余设计,从硬件配置和网络结构上保障医院信息系统的不间断运行。网络及安全设备应开启系统日志审计功能,并做好重要设备的配置备份工作。网络设备定期更改密码,并限制非法登录次数。针对外网服务应通过防火墙部署DMZ区。在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、ip碎片攻击和网络蠕虫攻击等。在检测到攻击行为时,对攻击源IP、时间、类型、目的进行记录,同时在发生严重安全事件是对系统进行提前预警。
2.4 在主机安全体系建设方面
首先应定期对主机进行安全评估和加固,其中包括主机硬件的定期巡检,操作系统和软件的补丁升级,安装国产杀毒软件并做好病毒库的及时升级,重要业务系统要做到双机热备。使用监控软件对服务器主机的CPU、内存、磁盘、网络等资源的使用情况进行监视。应对操作系统和数据库系统管理用户口令设置复杂度要求,并定期更换,限制用户的非法登录次数、登录失败自动结束会话自动退出。应对用户进行三权分立,对不同的管理用户分配不同的权限。应对系统默认账户进行重命名,限制终端登录接入方式及地址范围,限制单个用户对系统资源的最大或最小使用限度。采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。应开启主机的审计功能,并对主机操作系统用户和数据库用户进行审核。使用运维安全审计系统(堡垒机)对第三方的运维行为进行授权、认证、审计。通过入侵检测对主机已遭受的攻击进行记录。
2.5 在人才队伍建设方面
不断完善医院信息安全人才队伍的建设是保障医院信息安全的重要方式。在医疗卫生行业信息安全体系建设中有两个重要的理念,分别是:技术措施与产品必要且重要,但管理更重要;网络安全,人才为本[7]。在医院信息安全体系建设中,无论是技术还是管理,都离不开人才。因此,医院应大力引进、培养信息安全专业人才。并加强信息安全培训,进一步提升工作人员的信息安全意识。
3 结语
信息安全防护没有完全单一而又绝对保险的安全措施[8]。伴随着医院信息系统建设,医院信息系统安全建设只有起点没有终点。因此只有高度重视信息安全问题,遵循与信息系统同步设计原则,建立统一的信息安全规划,制定并严格遵守信息安全制度,并结合的安全技术策略,形成有效、健全、动态的医院信息安全防护体系。只有这样才能保障医院信息系统的安全、完整、高效的运行,从而保障医院业务的有效开展。
[1] 张静波,王韬.论医院信息安全保障体系建设[J].中国医院,2006.
[2] 万德年,蔡吉林,王斯蕾等.黄冈市医院信息化建设中的问题与对策[J].中华医学图书情报杂志,2015.
[3] 于京杰,刘方斌,马锡坤.数字化医院信息系统的安全问题[J].中国医疗设备,2013.
[4] 王萍.医院信息系统网络安全问题分析[J].网络安全技术与应用,2016.
[5] 陈晓云.浅谈医院信息系统的网络建设及安全管理[J].中华医学图书情报杂志,2010.
[6] 蒋明,吴斌.电力营销系统信息安全等级保护的研究与实践[J].电力信息化,2009.
[7] 王晖.医疗卫生行业信息安全等级保护实施指南[M].北京:国防工业出版社,2010.
[8] 周丁华,吕晓娟,张麟,卢敬泰,王月娟.数字化医院信息安全建设与管理策略[J].中华医学图书情报杂志,2015 .
