医疗行业基线安全防护体系研究.pdf

2013中华医院信息网络大会征文，请勿转载 医疗行业基线安全防护体系研究 陈韧① ①芜湖市第二人民医院 摘 要 详细分析了医疗行业当前的运维工作现状，阐述了安全基线概念、框架和组成，并 提出了医疗行业基线安全防护体系和自动化基线核查工具方案，为医疗行业基线安全方案设 计提供参考。 关键词 基线安全 自动化检查 1 医疗行业运维现状分析 随着全社会信息化的高速发展，医院信息系统（hospital information system HIS） 在国际学术界已公认为新兴的医学信息学（medical informatics）的重要分支,其含义是： 利用电子计算机和通讯设备，为医院所属各部门提供病人诊疗信息和行政管理信息的收集、 存储、处理、提取和数据交换的能力，并满足所有授权用户的功能需求。 医院信息系统是一个真正的7*24 小时的实时系统，病人的信息必须准确无误地传送到 医生手里，因此系统一旦投入使用，就不允许停机，更不能退回手工操作。医院信息系统能 够实现计算机终端设置在各个不同的科室，点多，面广，多人操作，而且工作点间联系密切， 信息要相互调用，资料要随时更新保存，此外，病人的医疗信息涉及到个人隐私，医院有责 任为所有病人保守秘密，因此与其它行业相比较，医院信息系统建设对系统的可靠性、安全 性要求更高。 医院管理信息化正是提高工作效率、减少不正之风、提升医院管理水平的最好选择。 据市场调查，目前省级医院管理信息系统的建设率高达87.2%，县级以上医院已建立或即将 建立管理信息系统的占同等医院总数的60%以上，卫生部曾强调“国内三甲以上的医院都需 要实行信息化管理”，同时国家即将进行卫生资源区域规划，实现局部和整体相结合的卫生 医疗资源共享。为此，医院只有建立医院管理信息系统才能适应当代社会发展的需要，为将 来纳入社会化管理，共享卫生资源奠定基础。 随着医院各个医疗点的整合，各岗位工作量不断增加，而进行医院信息化建设可以优 化各种工作环节，对医务人员来说能将他们从繁重的事物性工作中解脱出来，可以将精力集 中到临床业务的研究和提高中，对病人来说能加快就诊速度，缓解“三长一短”（挂号、收 费、取药时间长，医生看病时间短）的矛盾，同时住院病人费用能做到“日日清”，对医院 来说一方面利用信息化手段，改善了医院的服务质量，加强了患者监督能力，赢得了声誉， 同时可以利用规范化的流程，把难以量化的东西全部量化，堵住了收费，药品管理中的漏洞， 降低了成本，减轻了病人的负担，也提高了医院的市场竞争力。 信息系统的建设是一项复杂、庞大的系统工程，医院需投入大量的人力、物力、财力， 其实施过程几乎涵盖医院所有经营管理活动的每一个环节，需要各部分密切配合，而且需要 统一部署，长远规划，分步实施 整个实施过程中应高度重视数据的安全性，过渡期应尽量采取纸质数据和计算机数据 并行，慎重确定完全网络管理的时期，以免因操作人员操作不熟练、系统不稳定、设。 2013中华医院信息网络大会征文，请勿转载 医院信息系统的设备、主机、应用等多采购自第三方，在部署之前往往只执行了功能 测试，各个系统安全水平不一，容易遭受黑客攻击，存在很多安全隐患。为了保证整体安全 水平，防止系统设备因为安全配置不到位而带来安全风险，有必要对系统设备的安全性进行 检查和加固。若系统按照统一的标准进行检查和加固，则可以确保系统和设备安全符合性达 到要求，杜绝大部分的安全隐患。因此，制定各系统的统一安全标准，即安全基线，作为产 品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固依据，对与规范系统运 维工作，提升网络的整体安全性有着重要的意义。 2 安全基线定义 2.1 安全基线概念 开展对IT 系统依赖度的不断增强，业务人员的安全意识和安全技能也在 逐步提高。最直接的体现为：传统以安全事件和新兴安全技术为主要驱动的安全建设模式， 已经逐渐演进为以业务安全需求为驱动的主动式安全建设模式。 安全建设的核心是通过对业务系统的梳理和分析，将业务系统的主要流程进行重现，然 后对这个流程中存在的安全威胁进行识别，分析出在业务系统各个层面的安全风险，确定各 个环节中的安全策略、技术手段等要求，逐步形成由运维、组织、技术构成的网络与信息安 全保障体系。在安全保障体系中，组织体