医院信息安全建设的研究与应用.pdfVIP

医院信息安全建设的研究与应用 赵景越① ① ① 蔡连忠 夏军 ①天津微软技术中心 天津津微首佳软件技术有限公司，300384，天津华苑产业区海泰绿色 产业基地 G座 10 层 关键词 医院信息化 纵深安全防御体系 摘 要 随着医院信息化程度的深入，医院信息系统安全的重要性日益增加。以 往的信息化建设存在全面性欠缺、集成性差、业务关联性差、易用性差及成本高 昂等方面的问题。本文根据先进性和实用性原则，分别考虑各个层次的安全问题 需求，结合最新技术，采用统一管理方式，实现多层次的集成和协作，构建完成 全面高效易用的安全解决方案。 1 医院信息安全现状 近年来，我国医院信息化建设取得了明显的进步，在提高医疗服务质量与效 率、改善就医环境、配合医疗保障制度实施、促进医院科学管理方面发挥了积极 而重要的作用。 随着医院信息系统应用范围的不断推广扩大，信息网络覆盖医院的每个部 门，渗透到病人来院就诊的各个环节，建设高安全、高可靠、高性能的数字化医 院信息化网络已显得迫在眉睫。 我国的医院信息化建设起步较晚，安全建设尚处于初级阶段，医院信息化投 入少，IT 部门地位不高，尤其是中小医院在IT软硬件环境的建设力度上普遍薄 弱。而在信息安全的认识、投入上更是淡漠，重投入轻防护，信息系统安全问题 频频告急，已严重影响到医院的正常运行。 医院信息系统安全涉及网络安全、服务器安全、存储设备安全、操作系统安 全、备份方案可靠性、群集技术可靠性、供电安全、计算机工作环境、计算机病 毒问题、防止非法访问、系统管理等内容。 1426 2 纵深安全防御体系的建设 为确保医院信息系统的安全、可靠、稳定运行，我们充分研究了国家的相应 法律、法规和指导性文件，并结合以往在电子政务、医疗卫生信息系统、以及其 他行业信息化建设中涉及的各个安全薄弱环节进行了安全性设计，形成了如下图 所示的系统安全统一架构；力争从信息安全的各个层面为信息系统提供全方位、 多层面的“立体化的”安全保障体系。整个安全架构体系涉及指导思想、各层面 的技术保障、人员管理等诸多方面，是一个“立体”的、“多维度”的概念。 图1 安全防御体系 2.1 安全指导思想 安全系统的建设以国家政策、法律、法规为设计的指导性思 想和标准，包括：《中共中央关于加强新时期保密工作的决定》、《计算机信息系 统保密管理暂行规定》、《涉密计算机信息系统安全保密管理规范》、卫生部《医 院信息系统基本功能规范》…… 在整个信息安全系统设计之初，就根据系统中涉及信息的安全程度进行信息 （数据）安全分类工作，遵循“有限安全”原则，针对不同的信息、数据按密级 进行划分，并采取与之相对应的安全措施，真正做到“知彼知己”，实现整体系 统安全与资金投入的最佳平衡。 1427 2.2 安全管理制度 安全管理制度是安全保障体系中与技术实现手段相配合的重 要环节，常言道信息系统安全是“三分技术、七分管理”；完善的安全管理制度 将是整个系统架构的保证，包括： 完善安全管理规章、制度，包括机房安全管理制度；加密设备管理制度； 密钥交换流程、密钥管理制度；涉密人员的轮换制度等。 实现实时防御、监控机制；加强检查、发现问题、堵塞漏洞、消除隐患。 并借助于一系列的管理类工具辅助实施系统管理。 制订全面的应急处理机制，并落实到各责任人；包括各种紧急情况的处 理流程；各系统厂商、安全对接部门、各责任人的紧急联系方式。 实施定期安全演练机制，确保各项安全措施、应急处理机制能够被正确 地理解、并贯彻实施。 人员培训工作，主要包括：安全意识的培训；安全技能的培训等。 2.3 技术保障体系 技术保障