- 2018-06-19 10:43
- 作者:李华伟 戈艺 周昂
- 来源:HC3i中国数字医疗网
摘要 随着医院信息化建设迅速发展,各类医院信息系统的运行提高了工作效率与管理质量,也带来了发展的长期综合效益。随之而来的网络安全问题日益增多,新的《中华人民共和国网络安全法》在2017年6月1日开始执行,应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。根据等级保护要求并结合网络安全建设的实际需求,涉及到医院整体网络安全规划及建设等环节,逐步建立完整的网络安全保障体系,保障医院的各类信息系统安全运行。本文分别从安全管理及风险评估机制、安全技术保障、应急管理措施及事故处置预案等方面阐述了网络安全保障体系的建立。
随着医院信息化建设迅速发展,各类医院信息系统的运行提高了工作效率与管理质量,也带来了发展的长期综合效益。然而,随着时间的推移及业务量的增加,数据呈几何式增长。计算机软硬件以及网络故障、网络攻击、人为操作、资源不足引起的系统及关键数据问题变得日渐突出。
从制度、标准、技术等方面统筹规划网络安全的保障体系,使得网络系统建设方案最终既可以满足三级安全等级保护的相关要求,又能够全方位为医院的业务系统提供立体、纵深的安全保障防御体系,保证信息系统整体的安全保护能力。
一、建立健全安全管理及风险评估机制
医院成立了网络信息安全工作小组,制定了工作小组工作制度,明确了小组的工作职责、工作计划和工作要求。根据人员分工和安全职责定期完成系统检查并形成检查报告进行通告,包含各信息系统、系统设备、系统软件、网络设备、安全运维、机房设施及弱电间等方面。根据检查情况每周形成医院信息安全运维简报,目前已完成50余份报告并每月形成医院信息安全运维月报。
对于维持网络安全生命周期起到关键的作用就是安全管理,应该贯穿安全技术和安全服务的整个过程。为确保信息网络安全,医院制定了《计算机系统使用管理制度》、《计算机安全保密制度》、《网络安全管理制度》、《信息网络系统故障应急预案》等管理规定,提高了安全工作的标准化程度;从管理制度上对数据安全作出了相应的规定,未经主管部门及分管领导批准,不得对外提供网络信息、数据和资料,更不能私自修改数据。通过办公平台对数据提取、网络接入等需求进行在线流程审批,每年约300余次审批。
同时医院结合自身情况制定网络信息安全自查、巡查工作制度,做到三个确保:一是网络安全管理员定期检查网络信息系统,确保无隐患问题;二是形成安全巡查工作记录,确保工作落实;三是定期召开网络信息安全会议,确保安全情况随时掌握。
建立了医院各科室网络安全联络员沟通渠道,为全院200多位网络安全联络员提供问题交流的平台。积极组织全院人员进行网络安全培训,2017年全院有4000多人参与了“网络安全知识”考试,使医疗、护理、医技、行政等各部门逐步提高了信息网络安全意识。
我院同科主任、护士长及网络安全联络员签订了《济医附院信息安全承诺书》,并要求互联网群组创建者或者管理者登记群组信息并签署《济医附院互联网群组安全协议》。落实了医院网络安全管理工作主体责任。
确保医院信息系统安全稳定运行必须建立安全风险评估机制。要求安全小组成员参与系统新建、升级和修改的项目评估工作,针对项目中存在的风险和问题,拥有项目否决权,一旦发现威胁系统安全的工作及时制止,有效的避免系统不稳定因素的产生。
专业安全服务机构在安全风险评估技术及方法等方面存在优势,利用专业服务并结合医院网络安全的实际情况,建立符合要求的风险评估与管理机制。找出系统存在的漏洞、缺陷及威胁,并形成分析报告及处理措施,力求做到防范于未然。
二、强化安全技术保障
我院对于各类信息系统中的运行数据采取了严格的保护措施,为了保证关键网络设施的高可靠性,我院采取双机冗余的部署方式,主设备出现故障,备机自动无缝接管。
从安全保密设备和技术防护上,内外网采用完全物理隔离的方式,外网方面与互联网边界安装了安全网关、防火墙、WEB防火墙、ACG、入侵监测等设备,以保证外网数据安全。
医院在内网核心网络上部署了堡垒机、数据库审计、网络追溯、网络杀毒、日志审计等设备和系统,防止内网数据泄漏、病毒攻击以及篡改。同时对终端计算机、移动存储介质也采取了安全防护措施。
网站安全方面部署了WAF防火墙、安全云防护、防篡改系统、漏扫设备,通过以上措施累计发现并修复了上千个漏洞,阻止了300多万次的网络攻击,保障了对外服务系统的安全性。
三、完善应急管理措施及事故处置预案
我院一直把网络安全作为整个信息系统的命脉所在。从院领导到部门负责人再到科室员工,时刻保持高度警惕。为了保证日常工作时有据可循,制定了网络安全突发事件及时处置和通报制度。确保每个员工都了解网络安全的基本制度并且能够在日常工作时自觉遵守相关规定。
应急措施还包括恢复手工操作的各项物资准备,如手工处方、医护手工单据打印版等应急包。定期进行应急演练,包括演练前的脚本准备,演练中的应变措施,演练后的总结交流,查找问题并加以完善。
结语:坚持安全第一,增强全员安全意识,落实安全责任,建立严格的管理和工作制度,对信息系统建设、运行、维护实现有效管控,保障网络信息安全。将医院网络信息安全工作同等级保护要求进行结合,融合网络安全建设的实际需求,建立一套整体保护、要点突出、稳定持续运行的安全保障体系。将网络安全等级保护制度落实到医院的信息安全规划及建设等各个环节,保障医院的各类信息系统安全运行。
参考文献:
[1] 王晓花,马杰,陈新宇.医院信息安全保障体系建设方案[J].中国卫生信息管理杂志,2010,7(6):70-73
- 分享到: