浅谈医院网络安全防御体系的建设
2018-09-21龙智勇
龙智勇
[摘 要] 医院的信息管理系统记录着医院病患的各类重要数据及信息,系统的网络安全防御体系是保护患者信息的重要体系,若医院的网络安全防御体系遭到破坏,就会导致大量患者数据丢失,不利患者的管理,也影响着医院的可持续经营。为此,必须重视医院网络安全防御体系的建设。本文简单阐述了医院网络安全的概念,分析了医院的网络安全现状,并探讨了医院网络安全防御体系的建设策略。
[关键词] 医院;网络安全防御体系;信息化建设
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2018. 13. 061
[中图分类号] R197.324;TP393.08 [文献标识码] A [文章编号] 1673 - 0194(2018)13- 0135- 02
0 引 言
伴随科学技术的发展,尤其是网络技术及信息技术的应用,使得人类社会的信息化水平不断提高,医院也不例外。当前,我国医院的信息化发展速度不断加快,有效提高了医院的工作效率,但与此同时,医院所面临的网络信息安全风险也不断增加,医院对于网络信息安全的保障需求不断提高。为保障医院信息管理系统的安全、稳定运行,就必须建立一个完善的网络案例防御体系。
1 医院网络安全概述
医院网络安全,即医院的网络信息安全,包括网络系统硬件、软件及数据等方面的安全。医院网络安全分为动态和静态两种,其中动态安全是指系统中的信息或数据在进行传输时未被窃取、破坏或篡改;静态安全是指系统中的信息或数据在未经传输或处理时可保证其内容的完整性、真实性和私密性。伴随医院信息化建设的不断深入,医院网络安全也面临着越来越多的问题。医院网络安全问题的出现,一方面不利于医院患者信息的保密,另一方面也影响着医院的正常运营。
2 医院网络安全现状分析
2.1 安全策略不明确
医院本身的工作具其特殊性,这也就要求医院的信息化工作具有更高的安全性。现各大医院虽然认识到网络信息安全的重要性,但其安全策略却并不明确。部分医院虽然采购各种网络安全产品以保护网络信息的安全性,但却未制定相应的中长期安全管理规划,也未依自身的网络安全目标制定与医院实际需求相符的安全管理策略,或是依网络安全的发展及时调整自身安全策略,所选择的网络安全产品无法进行科学配置及合理优化,也并未充分发挥其应有的安全管理作用。
2.2 安全事件频繁发生
医院的信息管理系统是依托网络及信息化技术而建立的,同其他类似的管理系统一样,其也会发生各类安全事件,其中最常见的便是系统漏洞、黑客攻击及病毒传播。分析其原因,多数网络安全事件均是因用户终端脆弱或是网络使用行为“失控”而引发的。一方面,用户终端普遍存在未及时修补系统漏洞或升级病毒库的现象;另一方面,各种网络误操作、私自访问外网、随意使用政府禁用软件等行为频繁发生,加大了医院信息管理系统的安全风险,若有安全威胁进入系统,将会在医院的局域网内迅速传播,给医院带来巨大的损失。如近两年频繁出现的永恒之蓝,其是一种勒索病毒,主要是利用用户未及时修补系统漏洞导致终端准入未得到控制而产生的,最终给医院带来了巨大的经济损失。
2.3 安全孤岛现象严重
在医院的网络安全建设过程当中,虽采取了各类安全防御产品及措施,如利用防火墙、硬件冗余等,但各产品之间无法进行联动,网络安全信息无法进行深入挖掘,网络安全防护存在严重的孤岛现象,致防护效果较低。同时各类安全防护产品及措施存在一定重复性,加大了医院的网络安全防护成本。此外,安全产品的设置及分布不合理,部分系统存在多个重复安全产品,而有的系统却存在安全空白区,网络安全防御体系的建设存在明显的薄弱环节,无法有效保护系统中的信息及数据安全。
2.4 安全意识较弱且未建立完善的安全制度
从当前医院的很多网络信息安全事件来看,归根结底主要在于两方面:一方面,是未建立完善的安全制度,部分医院虽然建立了相应的网络信息安全管理制度,但却未真正落实;另一方面,是管理人员的安全意识相对薄弱,未真正认识到网络信息安全管理对于医院信息管理系统的重要性和作用。
2.5 管理人员专业技术水平偏低
据相关调查研究表明,现我国已有成立专门网络信息部门的医院,其所配备的专业网络技術人员仅2-5名,部分医院甚至未成立专门的网络信息部门,即使已成立,也未配置专业的网络技术人员以负责系统维护,难以保障医院网络信息管理系统的安全性。系统安全管理人员的专业技术水平较低,无法充分理解网络安全防御体系的建设方案,部分网络信息部门的安全管理人员甚至仅是医院普通职工兼职,专业技术水平难以满足医院系统安全防御体系建设需求。此外,对于医院网络安全防御体系的建设无长远规划,仅是“遇事办事”,无法保证系统的持续安全性,不利于系统的长期稳定运行。
3 医院网络安全防御体系的建设
3.1 完善网络信息安全策略
医院信息管理系统在投入使用之后,其是否能够稳定、正常运行的关键在于其数据及信息是否安全。医院信息管理系统属联机事务系统,部分大型医院甚至要求系统需24小时持续运行,对于系统部分功能的要求较高,如针对门诊挂号、收费、检验等子系统,其要求不间断运行,若有中断,也应尽量缩短中断时间。另外,其绝不允许患者数据或信息的丢失,否则将造成不可预估的后果,也会给医院带来巨大的经济损失。医院信息管理系统遍布医院各部门,系统中的数据源于各部门的日常收集,久而久之,便形成了医院独有的数据和信息中心,为保证数据及信息的安全性,就必须控制好数据及信息的访问,避免信息泄露,或在传输的过程当中被破坏或篡改。此外,各类软件的使用,如PACS系统、电子病历等的使用,致医院信息管理系统中的数据量急剧上升,数据形式也越来越多,再加上现代化社会对于医院数据安全性及实时性的要求不断提高,就更要求医院信息管理系统应具备较高的可用性,同时还要注意数据的存储与备份。医院应依自身实际网络情况确定自身的安全管理等级和范围,制定相应的网络操作规程、机房出入管理制度及网络维护与应急措施,不断完善医院网络安全管理策略,并切实落实各项策略,以保证网络信息管理系统的安全性。在实施网络安全策略的过程当中,就要坚持遵循轮回制,充分考虑安全策略的统一性,适当购买安全产品,对网络安全状况进行实时监控,定时检查网络是否存在安全隐患,并将网络安全状况制定报告,以为网络安全策略的改善提供客观依据。
3.2 提高网络信息安全技术水平
提高网络信息安全技术水平是解决医院网络安全问题的有效方法,通过提高网络信息安全技术水平,可及时发现网络安全漏洞,进行全面分析后制定有效的解决方案。医院信息管理系统囊括了整个医院的所有业务,保证网络的安全性,确保网络系统的稳定运行对于医院的经营而言至关重要。首先,可充分利用冗余技术。网络是传输数据并进行处理的重要阵地,因此,必须保证网络的可靠性。而这可以利用冗余技术实现,包括电源、处理器、模块、设备、链路等方面的冗余技术。其次,应建立安全数据中心。现医院信息管理系统中的数据量大且类型多样,数据在被存储或是读取的同时也面临着被非法调用、丢失、被破坏等安全问题。为保证数据的安全性,就有必要建立安全的数据中心,提高系统的数据安全等级,从而有效避免安全问题的出现,保证医院信息管理系统的正常运转,使病患信息能够得到及时交互。再次,应加强对客户机的管理。医院信息具有处理分散性大、共享程度高等特征,能够提取系统数据的人员有很多,包括医生、护士、医技人员、医院行政人员等,为保证数据及信息的安全性,就有必要制定相应的客户机管理策略。针对不同人员,设置不同的访问权限,以加强访问控制力度。还可通过绑定客户机的IP与MAC地址,以免因用户随意更改IP地址或是更换网络插口而给系统带来网络安全隐患。最后,还要对用户终端进行定期检查,看其是否及时修补了系统漏洞、安装了相关防病毒软件等,以有效阻止非法软件或非法用户入网,确保网络的安全性。
3.3 安装监控系统,使用物理隔离
安装安全监控系统是保证医院内部安全的重要策略,医院应充分利用现有的各类网络安全投资,通过安装监控系统的方式,实时监控各终端和网络设备的实际运行情况,及其行为与操作,以及时发现网络安全问题,迅速将被攻击的组件进行隔离,以免攻击范围扩大,使整个系统遭到破坏。另外,采取物理隔离法也可有效保障网络信息的安全性。可依网络设备、系统的物理位置、功能分区、实际业务应用等,采取不同的物理隔离措施。针对内存重要信息的网络系统,可封闭其对外接口,以免遭到外部或黑客攻击。
3.4 加强管理人员安全培训,建立健全网络安全管理制度
网络安全管理人员的专业技能及水平和网络安全管理制度的建立是医院网络安全防御体系建设的核心。针对人员方面,一方面应设立专门的网络信息安全领导小组,以统一指挥医院的网络安全管理工作;另一方面,要加强对其的网络信息安全培训,以提高其网络信息安全管理意识,使其认识到实施网络信息安全管理的重要性,能积极、主动参与到医院的网络安全管理活动当中;同时,还可不定期地组织安全管理人员实施安全检查及应急安全演练,这样既让网络安全管理人员在实践当中提高其数据分析能力,深入挖掘系统数据信息,从而预测系统的运转趋势,又有助于网络安全管理人员不断总结故障信息及处理经验,以切实提高网络安全管理人员的专业技能,以及时应对医院各类网络安全事故。对于网络安全管理制度的建立健全,一方面要加强建设用户密码管理系统,系统及数据库管理员应明确分工,并分别拥有自身密码,若是普通密码,应提醒用户及时更改;另一方面,做好数据的备份与恢复,并记录备份日志,保证本地及远程数据都能及时得到备份,以免数据不统一,影响医院工作效率;同时,还要监控医院的终端控制设备,依医院的终端访问需求做好医院内网、外网、终端内部及外部的网络共享终端安全管理工作,對于内网的访问,应确认其权限后方可允许访问,对于外网的访问,应保证其安全性。
4 结 语
总而言之,虽然网络安全防御体系只是医院信息化建设过程中的一小部分,但其对于医院信息管理系统的安全性而言非常重要。网络环境的建设有效提高了医院的工作效率,然而,我们也应看到,网络环境的安全性是保证医院信息管理系统稳定运作的关键。因此,在实施医院信息化建设的过程中,医院要倍加重视网络安全防御体系的建设,同时注重培养网络安全人才,以做好医院网络的安全保护工作,确保医院网络处于一个安全的环境,保障医院信息管理系统的稳定、安全运行。