浅析医院信息安全管理实践
2018-11-10许强
许强
[摘 要]随着医院信息化建设的不断深入,医院信息系统建设对于现代化医院的运行及管理越来越重要。医院信息安全是保障系统稳定运行的重要防护工程。本文重点分析了医院信息安全管理,旨在为医院信息化建设提供借鉴。
[关键词]医院;信息化建设;安全;管理
doi:10.3969/j.issn.1673 - 0194.2018.16.079
[中图分类号]R197.324 [文献标识码]A [文章编号]1673-0194(2018)16-0-02
1 医院信息安全的重要性
随着医院信息化的不断发展,信息安全问题日益凸显,网络安全事件频繁发生,可导致医院网络大面积瘫痪,影响日常医疗的有序进行。对此,如何防范网络攻击,确保信息高效、稳定运行,保障信息化安全,是医院信息化建设中面临的重大课题。加强医院信息化建设对于提高医疗效率及工作质量具有重要的意义。
2 医院信息安全策略
2.1 网络安全策略
第一,规划建设合适的网络架构,提高网络的安全性和可防护性。第二,根据网络服务对象,构建分类VLAN,控制广播范围,保障局域网运行的稳定性。第三,服务器区域边界、外网络边界等配置TDA、IPS、WAF、防火墙和上网行为管理等安全设备。第四,设置严密的访问控制策略,保证边界安全。第五,部署网络运维管理系统,做到实时监控网络状态和实时报警。第六,内外网物理隔离。第七,网关认证。
2.2 服务器安全策略
第一,每个应用服务器做到双机热备,强化冗余。第二,建立服务器集群,如果一台服务器有故障时进行自动切换。第三,服务器虚拟化,增加可用性与备份。当一台实体的服务器由于硬件故障损坏时,虚拟机会自动重启到其他服务器上。
2.3 应用软件安全管理策略
第一,严格用户授权管理。第二,严格密码管理。第三,对用户行为进行审计监控。第四,规范第三方访问控制管理。
2.4 数据安全策略
第一,建立存储间的数据镜像,保证生产数据能实时存放在多个存储空间。第二,每天定时对数据库进行本地备份和磁带机备份。第三,异地备份。
2.5 机房安全策略
第一,机房选择咋兼具防风防雨、防潮防震等特点的建筑物内。第二,制订多套供电方案,配置UPS电源,保障医院的电力供应,防止异常断电。第三,确保机房空调设备运行稳定,保障运行温度及湿度要求。第四,适当避雷避电。第五,采用气体灭火或管道灭火。第六,安装机房门禁控制系统,防止外界人员进入。第七,部署机房动力環境监控运维管理系统。第八,如果有条件,医院要尽量采取异地双机房模式。
2.6 管理安全策略
第一,增强组织的整体安全意识,明确医院的信息安全管理责任。第二,加强人员管理,建立信息安全专业人才队伍。第三,健全各项管理制度,严格执行制度。第四,制订应急预案,定期举行应急预案操作演练,提升应变能力。
3 江苏省江阴市人民医院的信息安全实践
3.1 网络安全策略
3.1.1 数据中心网络架构
数据中心有4台千兆电口交换机、2台万兆光纤交换机和2台备用千兆/万兆自适应电口交换机,通过虚拟化组成1台设备,实现故障自动切换。同时,2台万兆防火墙分别部署在中心机房和灾备机房内,通过虚拟化组成1台设备,实现故障自动切换。
3.1.2 部署网络安全设备
第一,外网边界部署异构防火墙、IPS、WAF、网闸和深信服上网行为管理,确保外网边界安全。第二,内网部署威胁发现系统(TDA),数据库审计、所有工作站使用防毒墙网络版保证内网网络安全。第三,服务器区域前部署万兆防火墙,虚拟服务器使用虚拟服务器杀毒软件。
3.2 服务器安全策略
第一,采用VMware服务器虚拟化技术构建医院虚拟化平台。7台服务器构建为HA集群,采用DRS功能实现虚拟机跨主机自动平衡负载。第二,每台服务器配备双HBA卡,分别与两台光纤交换机连接,保证数据链路安全。第三,7台VMWARE服务器的数据存放都是通过VPlex虚拟存储进行管理,很好地保证了数据安全。
江苏省江阴市人民医院通过启用服务器虚拟化带来了很多效益。第一,简化了服务器配置。通过7台服务器整合了影像和财务等系统的近20多台服务器,使服务器资源得到了充分利用,方便了系统管理,通过统一的管理界面,有利于进行多个系统的日常维护和管理。第二,提高了应用的连续性。7台服务器分别负载了多个应用,建立了高可用配置,某台服务器出现硬件故障时,可以在极短的时间内自动切换到可用服务器,保证用户业务的连续性。第三,降低了日常开支,减少了服务器数量,降低了维护成本,节约了电力、空调等能源。
3.3 应用软件安全管理策略
第一,严格密码管理。应用程序用户必须设置密码,空密码不允许登录。第二,严格用户授权管理。每个用户所使用的应用程序、医生的医疗权限管理都需进行授权。第三,对用户行为进行审计监控。记录医生的电子病历数据,包括病历的创建、修改、签名和打印等。第四,规范第三方访问控制管理。除HIS以外的系统(超声、内镜、RIS、心电系统等),访问病人诊疗记录时要采用统一调用途径。第五,电子认证与签名。目前,江苏省江阴市人民医院已实现检验科、心电图室和超声科的电子签名功能,应用程序登录必须在客户端机器插入KEY后才能登陆,从而保证医疗数据的安全性和客户端应用的安全性。
3.4 客户端安全管理策略
第一,计算机采用域控策略管理。设置操作系统权限控制组策略,禁止口令及注册表修改,禁止安装及下载软件,统计设置IP及管理等。第二,客户端计算机都安装防毒墙客户端。每台工作站都安装趋势杀毒软件,保证客户端计算机系统安全。第三,客户端计算机外设管理。①同一计算机禁止同时连接不同的网络;②局域网计算机域策略控制不能使用移动存储介质,不安装CD-ROM。③禁止私自外接移动设备。
3.5 机房安全策略
第一,设有中心机房和灾备机房,分别位于门诊楼和病房大楼的4层。第二,配有二套供电方案,配置UPS电源,并定期检查蓄电池的状态,定期对蓄电池进行充放电操作,保障机房电力供应,防止异常断电。第三,使用专用的精密空调,保证机房的恒温恒湿。第四,机房内部署气体灭火器。第五,安装避雷、避电设备。第六,安装门禁管理系统。
3.6 管理安全策略
3.6.1 健全各项管理制度
信息科制定了信息科设备管理制度、计算机网络系统维护制度、网络工作站使用制度、数据备份与存储制度、基础数据维护制度、计算机中心机房管理制度、网络与信息安全管理制度、网络与信息安全监督制度、图书室工作制度、借书阅览规定和医学图书情报资料管理等管理制度。同时,医院还制定了计算机网络管理考核办法。
3.6.2 制订了应急预案
各部门制订了门诊信息系统故障应急预案、医务部信息系统故障应急预案、护理单元护士工作站信息系统故障应急预案、财务科信息系统故障处理应急预案、药学部信息系统故障应急预案、总务安保科信息系统故障应急预案、器械科信息系统故障应急预案、信息科信息系统故障应急预案和信息系统应急处置预案。
3.7 隐私保护策略
隐私保护策略主要包括病历数据访问权限管理、重点病人医疗文书访问权限、重点病人医疗文书指定访问时间、医技系统中VIP病人的访问权限控制等。
3.8 灾备系统
3.8.1 应用级容灾平台——HIS数据库切换
第一,中心机房的1台IBM750与容灾机房的1台IBM750做11g RAC数据库集群。第二,2台IBM P650主机通过AD技术进行HIS数据同步。
3.8.2 应用级容灾平台——应用层切换
第一,中心机房中的5台服务器与容灾机房中的2台服务器形成服务器群,形成一个大的资源池。所有的虚拟机可在资源池中的主机房和容灾机房主机上自由迁移,做到故障切换。第二,HIS系统通过Oracle RAC实现应用切换,VM系统通过自带的VMotion实现系统应用切换。
4 结 语
医院信息化在为医疗活动带来巨大便利的同时,与其他行业信息化进程一样,也面临着长期挑战。稳定、健全的安全系统对于确保医院信息化的安全十分重要,必须引起重视。
主要参考文献
[1]周丁华,吕晓娟,张麟,等.数字化医院信息安全建设与管理策略[J].中华医学图书情报杂志,2015(6).
[2]王丽娜,赵利敏,张东军.信息安全管理的建设在医院信息化建设中的作用[J].电脑知识与技术,2017(2).
[3]胡建平,高晓飞,刘娟,等.移动互联网医院信息安全与监管平台[J].中国卫生信息管理杂志,2015(1).
[4]王延昭,张晓祥,奈存剑,等.医院信息系统分级授权管理机制的研究和设计[J].中国医院管理,2016(3).
[5]楊燕红,蒋阅峰,徐玲.医院内网安全管理实践与研究[J].中国医疗设备,2015(5).
[6]莫兰榕,钱丽霞,黄英.浅谈医院信息安全的风险管控及应对方法[J].医学信息,2015(41).
[7]马毅.浅谈医院信息系统中的信息安全问题及对策[J].电子世界,2013(23).
[8]李爽.浅析医院电子档案管理与档案信息安全[J].管理观察,2015(31).
[9]林亚忠,韩雄,吴光珍,等.南京军区“医云工程”信息安全管理模式的研究与实践[J].中国数字医学,2013(8).
[10]楼峰.浅谈医院计算机网络安全管理工作的维护策略[J].网络空间安全,2014(7).