symantec医疗行业信息系统安全整体解决方案计划.docVIP

前言 医疗信息化建设是行业信息化建设过程中的重要组成部分。目前正是医疗信息化的大发展时期。未来几年中，我国将有超过70%的医院实现信息化管理。根据医疗系统的信息化水平划分，医院信息化发展要经历三个阶段：医院管理信息化(HIS)阶段、临床管理信息化(CIS)阶段、局域医疗卫生服务(GMIS)阶段。医院能否为病人提供方便、快捷的优质服务？这不仅是百姓关心的问题，也是医院所重视的问题。医院对信息化的要求是很迫切的，对他们来说，信息化带来的不仅是便捷，更把医院管理带向现代化轨道。在HIS系统上，不仅护士和药品管理部门的人员能看到医生的医嘱信息，医生也能看到药品的报价情况，这彻底改变了以往各个部门之间信息沟通不畅的问题，真正实现了业务透明化。据不完全统计，这种全新的管理方式每年为医院至少节约1000万元。 医院管理信息系统在20多年的发展中，历经了单机单任务、PC机＋Foxbase＋局域网＋部门级信息系统，直到C/S、B/S结构的一体化医院信息系统。网络也正在经历院内局域网扩展为医疗城域网，直至将来的全国联网的网络形态变化，其原因是：一方面医院需要为患者提供更多的服务，需要为内部移动用户提供VPN接入，为病人提供网上预约挂号，为专家提供远程会诊等；另一方面由于医院是整个社会保障体系中必不可少的一环，又肩负着教、科、研的重任，要求医院信息化系统逐步从封闭走向开放。 因此，医院信息系统正变成医疗体系结构中不可或缺的基础架构，该架构的网络安全和数据可用变得异常重要。任何的系统停机或数据丢失都会轻则降低患者的满意度、损害医院的信誉，重则引起医患纠纷、法律问题或社会问题。 和其他行业一样，医疗信息系统在日常运行中面临各种风险带来的应用服务停机和数据丢失或泄密，例如： 网络病毒、攻击造成停机与数据丢失 黑客入侵造成信息泄密 人为错误造成数据删除 存储损坏造成应用停机和数据丢失 服务器故障或交换机故障导致应用意外停机 不可抗因素如火灾、地震等造成信息中心毁坏 随着医疗信息系统的深入发展，IT环境也变的越来越复杂。不仅有不同厂家的存储、服务器、网络等硬件平台，还会有Oracle、SQL Server、中间件等异构的软件平台。虽然异构为医院带来低成本和高适应性，但同时也会带来复杂性，引起性能和高可用性问题。 因此无论是医疗制度改革带给医院的压力，还是政府疾病防治和控制给医院信息化建设带来的机会，医院信息系统在发展过程中首当其冲要解决的问题是：因外部及内部原因引起的网络安全问题，数据安全问题，保证信息系统的扩展性和高效连续运行。 本方案将从医疗信息系统的安全现状出发，讨论如何建立适应未来发展的信息系统安全和可用性架构。 第一部分 医疗行业信息系统网络安全解决方案 一、医疗行业结构特点及信息安全需求分析 随着医疗行业信息化建设的不断完善，目前绝大多数的医院已经部署了网络防火墙，客户端防病毒等产品，但医院网络依然会不断遭受蠕虫病毒，木马等威胁的攻击，现有的技术和防范手段已经不足以应对日益猖狂的各种新型威胁。 另外，医院内部发生的安全事件是医院信息资产流失的一个主要因素，越来越多的医院也着手开始实施内网的安全控制措施。 图1：医院信息系统的典型网络拓扑 医疗行业信息系统结构的安全威胁主要来自以下下几个方面： 1、医院数量庞大的固定及移动终端安全和管理难题：操作系统补丁不能及时更新、安全软件不能及时升级，造成威胁侵入、继而整个网络病毒泛滥。 2、 医院的邮件系统逐渐成为医院日常管理的工具，垃圾邮件泛滥不仅造成IT资产浪费、系统效率下降，而且各种利用邮件的网络攻击会给网络带来极大的风险：信息泄漏、病毒传播。 3、 医院绝大部分的病人和医疗信息，如病人的病例|、 药品采购、财务信息等，是以电子信息的形式存在医院的内部网络中，据统计，医院知识产权信息经常以电子邮件，文件传输，web 邮件等形式轻而易举地流出。因此医院需要一定的保护措施，避免信息泄漏造成的各种形式的纠纷。 通过上述分析可以看出，医院信息系统的安全防护必须是多层次，全方位的。赛门铁克根据医疗行业的实际情况，设计了完整的、先进的信息系统主动安全防护体系，它主要包括： 医院端点标准化管理方案 端点安全策略管理 Symantec NAC/Endpoint Protection IT 资产标准管理 Symantec Altiris 医院邮件系统安全管理方案 邮件安全网关 Symantec Mail Security 邮件归档管理 Symantec Enterprise Vault 医院机密数据安全管理方案 防止机密数据泄漏方案 Symantec Vontu DLP 二、医疗行业网络安全整体方案 1． 医院端点标准化管理方案 医院网内的终端数量庞大，各自归属的管理网段不一。归纳端点管理的目标：