- 38
- 0
- 约8.68千字
- 约 3页
- 2017-05-21 发布于河南
- 举报
20130515-461 三级甲等医院信息系统等级保护安全设计
2013中华医院信息网络大会征文,请勿转载
三级甲等医院信息系统等级保护安全设计
① ① ①
梁昂昂 文黎明 张浩
①方正国际(北京)软件有限公司,100080,北京市海淀区北四环西路52 号方正国际大厦5 层
摘 要 以国内某三甲医院信息安全现状为切入点,结合国内严峻的信息安全局势,全面分析该医院在主机、
网络、应用、数据完整性和保密性方面存在的信息安全隐患,并针对上述问题建立安全体系。方法:以构
建 “一个中心下的三重防护体系”在技术层面建立信息系统的信息安全架构。结果:依照该架构建立的安
全体系确保了医院信息系统中重要信息的安全性。结论:从而按照卫生部所要求三级甲等医院的核心业务
信息系统安全等级不低于三级的要求,符合《信息系统安全等级保护基本要求》中三级在主机、网络、应
用、数据完整性和保密性方面的要求。
关键词 医院信息系统 信息安全 等级保护
医院信息化建设的程度已经成为现代化医院的重要标志之一,随着信息化进程的不断深入,医院部分
工作已经摆脱了原来的手工模式正在逐步向网络化、自动化、数字化时代迈进,因此,医院信息系统的安
全性将直接影响到医院的医疗活动能否正常运作。基于以上问题,为贯彻落实国家信息安全等级保护制度,
规范和指导全国卫生行业信息安全等级保护工作,卫生部于2011 年下发了 《关于全面开展卫生行业信息
安全等级保护工作的指导意见》 的通知 (卫办综函【2011】1126 号文),通知明确指出,我国要求三级
甲等医院的核心业务信息系统信息安全保护等级不低于第三级。
基于以上原因,需要在三级甲等医院的核心业务信息系统中建立信息安全保护等级三级的安全体系。
跟据《信息系统安全等级保护基本要求(GB/T 22239-2008)》 (以下简称基本要求),需要在管理和技术
两个层面上开展信息安全保护工作。技术层面又分为物理安全、网络安全、主机安全、应用安全、数据安
全及备份恢复5 个方面,本文重点重点对网络安全、主机安全、应用安全、数据安全的安全体系结构进行
设计。
1 该三甲医院信息系统现状分析
1.1 信息系统分析
1.1.1 外网应用类现状描述 目前,该医院门户类应用是该院的门户网站,主要业务为医院信息展现、院内
办公OA 应用、预约网上挂号服务。网站面向互联网用户开放,为不同的业务用户提供差异性服务。其中,
院外用户可进行预约网上挂号服务和查看所展现的医院信息;院内人员通过VPN 拨入后输入个人ID 密码可
进入办公OA 应用。
1.1.2 内网应用类现状描述 内网承载着院内系统的核心应用,包含HIS、PACS、EMR 等多个大型应用系统,
系统面向院内职工开放,为院内不同岗位的用户提供差异性服务。
1.2 系统安全现状分析 经过长时间的建设与积累,该院已经建立起了一套安全防护体系,包含如下:院内
安装了防病毒服务器,每个终端均安装防病毒客户端。院内网络与外网利用网闸物理分开,内网采用域管
理模式,进入域的终端接受域控制器的管理,域控制器建立了一套安全策略,使终端C 盘内容在安全策略
内活动,普通用户无法对C 盘内容更改。由于该院有分院和社区,不同位置的办公区域利用专线连接。医
保服务器与医保中心通过路由器利用专线进行连接。门户网站与外网之间安装了防火墙和VPN 设备。
2 该三甲医院信息系统与《基本要求》差异
由于三级信息系统安全防护能力完全覆盖二级系统的所有功能,因此,将以《基本要求》中的三级安
全标准对该院信息系统目前可能存在的安全问题进行分析。
2013中华医院信息网络大会征文,请勿转载
《基本要求》从技术和管理两个角度,对等保系统的建设、运营、维护等过程提出了很多很具体的指
导和要求。下面,将主要针对基本技术要求中的 “网络安全”、 “主机安全”、 “应用安全”、 “数据安
全”四部分分析该院目前信息系统中存在的不足和隐患。
具有以下差异:信息系统仅仅通过用户ID、口令的方式进行身份识别,鉴别强度不够。并未建立系统
管理、安全管理、审计管理三权分立的管理模式,导致某些角色拥有过大的操作权限。服务器、终端的操
作系统和业务应用系统都没有基于标记的强制访问控制功能。服务器、终端的操作系统均不支持客体的安
您可能关注的文档
- 石油和煤的综合利用课件.ppt
- 二、企业标准体系要求.pdf
- 石油催化裂化工段吸收稳定部分毕业开题报告答辩课件.ppt
- 语法填空专项训练课件.ppt
- 语法填空技巧与方法课件.ppt
- 关注生态工程的实例课件.ppt
- 橱柜知识全面介绍课件.ppt
- 有效自重压力下预固结的三轴不排水试验.pdf
- 定性反应模型.pdf
- 经济案例分析会计课件.ppt
- 西南地区水稻生产品种稻瘟病抗性表现及抗性基因鉴定.pdf
- 我国上市公司ESG信息披露法律规制研究.pdf
- 西部顺运公司客户关系管理策略优化研究.pdf
- 乡村旅游中东道主真诚对游客公民行为作用机制的研究.pdf
- 万州区农民参与数字乡村建设意愿及影响因素研究.pdf
- 西南少数民族地区乡村聚落空间格局分析及优化策略研究.pdf
- DB61_T 2018-2025 公路钢板组合梁桥钢梁预算定额和机械台班费用定额.docx
- T_APD 0016-2025 公路大件运输风险评估指南.pptx
- DB61_T 2030-2025 钛及钛合金焊接接头质量控制规范.docx
- T_CAMDI 157.1-2025 医疗器械用高分子材料和包装材料 灭菌相容性指南 第1部分:通用要求.pptx
最近下载
- 光伏电子产品的设计与制作-电子课件项目3-光伏草坪灯控制电路的设计与制作.pptx VIP
- 2024-2025学年江苏信息职业技术学院单招《数学》试卷含答案详解【考试直接用】.docx VIP
- 党员个人自评总结3篇-党员个人自评 党员个人自评小结 党员个人自评总结3篇.doc VIP
- 人教版英语新目标八年级下册第二单元教材词汇及重点搭配讲解.docx VIP
- 2026年演出经纪人《思想政治与法律基础》真题库及参考答案一套.docx VIP
- 索拉非尼治疗肝癌.pptx VIP
- 【高清可复制】HGT21629-2021 管架标准图_251-300.pdf VIP
- 新版人教版七年级下册地理全册教案(完整版)教学设计.docx
- 2025年北京事业单位真题.docx VIP
- 临时用地表(可编辑).pdf VIP
原创力文档

文档评论(0)