网神SecFox-LAS-BH运维审计系统 医疗行业解决方案 医疗行业SecFox-LAS-BH方案.docxVIP

网神SecFox-LAS-BH运维审计系统医疗行业解决方案一、概述1. 背景2009年4月6日, 历时两年多时间的, 倍受关注的新一轮医改方案(《中共中央国务院关于深化医药卫生体制改革的意见》)正式出台，国家对新医改的投入达到空前的8500亿元，医疗行业无疑将迎来重要的政策机遇，计算机技术在医疗行业的应用也备受关注。卫生部部长陈竺在谈到新医改时曾经表示，将医疗信息化与医疗管理机制、医疗运行机制、投入机制、价格形成机制、监管机制、科技和人才保障、法律制度并列，信息系统第一次被明确为支撑医疗体系改革的“四梁八柱”之一。因此，新医改也无疑将是我国医疗信息化发展的历史性机遇。随着医疗信息系统HIS应用范围不断推广扩大，我国许多医院建立了以院长为中心的医院信息网络化管理决策机制，并将门诊管理、住院管理、医技管理、职能科室管理等各部门通过计算机网络有机集成在一起，医院信息化管理系统通过网络覆盖医院的每个部门，涵盖病人来院就诊的各个环节。然而，与发达国家相比，我国的医院信息化建设尚处于初级阶段，国内医院IT投入少，IT部门地位不高，在信息安全的认识、投入上更是淡漠，重投入轻防护，信息系统安全问题频频告急，严重影响到医院正常运行。医院信息系统安全涉及网络安全、服务器组安全、存储设备安全、操作系统安全、备份方案的可靠性、群集技术的可靠性、供电安全、计算机工作环境、计算机病毒问题、防止非法访问、系统管理等内容与问题。如今对医疗行业提供的网络安全技术解决方案中，仍以防火墙(FW)+防病毒(AV)为主流选择，但是随着医院网络整体应用规模的不断扩大，网络安全环境的日益恶化，大规模DOS侵入、黑客攻击、蠕虫病毒、垃圾邮件等的大量泛滥，另外如火灾、爆炸、地震、雷击等自然原因引起的灾难的增多，这些安全技术手段逐渐暴漏出某些“先天不足”的问题，导致“安全门”一次次“洞开”，引发重要数据的丢失、破坏，将造成难以弥补的损失，不仅严重影响到医院网络的正常运行，还直接威胁到患者的隐私和生命安全。虽然这里有安全环境变化的原因，但更重要的是医院对于安全产品的部署和认识存在着误区，认为防火墙是“万能”，有了防火墙就可高枕无忧，其它配套建设就不必了。其实防火墙产品本身就有技术上的不足，被动式的防御措施，不能防范不经过防火墙的攻击(包括来自网络内部和网络旁路的攻击)、新的威胁和攻击以及基于内容的攻击等。2. 需求分析2.1 政策需求根据中国医院协会信息管理专业委员会所做的“中国医院信息化状况调查报告”显示，近年来数据安全技术排在关注度比例的第一位。构建安全稳定的基础网络已经成为医院信息化的第一需求，尤其是重点三甲医院在行业内享有权威专业的地位，其内部业务数据的安全直接影响着业务的正常发展，同时，包括病历信息在内的海量级数据信息的保密，也关系到医院的信誉。此外，医院24小时工作的行业特殊性，也决定了医院信息网络系统的安全工作必须成为重中之重。国内也已经出台《企业内部控制基本规范》，对内部网络的信息安全管理提出明确要求。2.2 管理需求有关专家认为，我国当前医院信息化发展迅猛，但是缺乏长期的可持续发展的机制，政府对医院信息化的建设重视程度不够，投入和监管都不够。同时，医院隶属关系复杂，缺乏统一的协调机制，医院信息化建设各自为政，政府监管和协调机制有待突破。医院信息化建设过程中存在着“重应用，轻基础;重建设，轻管理”的现象，信息化过程中深层次，结构性问题正在越来越突出。随着区域卫生信息化建设的深入，对医院信息系统管理建设的科学性，规范化必须提出要求。诚然，我国的医院信息化建设起步比较晚，与金融，电信等成熟行业相比，目前大多数医院的信息化水平尚处与中小企业范畴，安全措施方面也处于初级阶段，尤其是中小医院在信息化的建设上普遍缺乏重视，而且轻防护，信息系统安全问题正日益突出。随着新医改方案的逐步落实，医院的管理机制，运营机制等都将面临着重新的调整，医院信息系统建设首先在管理制度上也应随需而变。俗话说：三分技术，七分管理。完善的管理机制是整个信息系统安全的保障，安全不仅仅是技术问题，更多的是管理问题，人的因素才是关键。根据目前我国医院信息化建设现状，笔者认为在完善安全管理制度方面主要应该加强以下两方面的建设：1．树立全员安全意识，医院各级领导带头重视。信息系统安全管理的制度制订和落实需要自上而下的贯彻进行，领导必须起到带头作用，要建立安全领导小组，并设立专门的安全管理人员，培养和提高医院全员的认识水平，加强责任意识，安全意识，防护意识。要认识到保护信息网络安全就是在保护医院本身，保护广大人民群众的切身利益。与此同时，加强全体员工的培训工作，因为网络安全问题是一个典型的人机关系问题。比如，要对医院所有操作局域网内计算机的医院务人员就应该定期进行安全法律教育和安全技术教育。2．完善各级安全管理制