基于等级保护2.0标准体系的医院信息化安全建设研究.pdfVIP

管理观察

基于等级保护2.0标准体系的医院信息化安全建设研究

杨孟杰

（邢台医学高等专科学校第二附属医院信息中心，河北邢台054000）

摘要：

本文对医院如何在2019实施的等保2.0标准体系下进行信息化安全建设，从威胁与建设的角度进行了研究，为医院信息建设优

化提供参考意见。

关键词：

等保2.0；信息化建设；信息安全

于2019年12月2日正式出台的《信息安全技术网络安全等（2）计算环境建设。针对目前信息化建设中存在的HIS等重

级保护基本要求》（以下简称等保2.0）对医院信息化安全建设提要系统的运营缺乏有效的安全保护措施和审计机制的问题，及

出了新的要求和挑战，面对医院快速发展的信息化建设和新生时建立监控和根据等保2.0提出的审计要求完善审计机制，追溯

大数据，需要保证医院信息系统的安全稳定运行，保证数据完整跟踪泄密行为。加强账号管理，杜绝滥用账号的行为，防止业务

的同时也要做到数据保密和信息安全。数据被非法读取。面对医院信息系统账号生命周期缺乏管理，弱

一、医院信息化所面临的安全威胁口令现象严重的情况，要加强身份认证，定位到个人，建立主动

随着网络信息技术的飞速发展，医院各个部门都开始建立防御、数据库准入控制、行为级别控制和规范管理。

信息系统帮助内部提供经营、管理、决策服务，医院信息化建设（3）区域边界建设。要从空间维度构建纵深防御体系，根据

极大的提高了工作效率和医疗水平，但是对内部管理也提出了等级保护2.0对测评要求的变化，要将关注的重点转移到安全扩

更高的要求。展项和通用要求优化的评测项。由安全管理中心统一管理审计

目前的多数医院内部较之等保2.0所提出的标准还有一定机制和设置防护恶意代码的网关。在遇到非法外联入侵、发现探

的差距，反应在医院职工信息安全意识薄弱、网络架构不安全、测器等情况，迅速上报安全管理中心，对非授权的区域边界访问

物理基础设施不健全、当前信息化系统存在漏洞、移动医疗应用要及时阻止，保护进出安全区域边界的数据信息安全。针对区域

存在漏洞、大数据平台漏洞、数据管理存在漏洞、云计算平台上边界安全审计，要进行集中管理，如果出现违规违法的现象，要

的漏洞、内部人员系统访问权限混乱等。及时做出处理并报警。

医院信息化建设中还存在外部威胁，主要体现通过技术手（4）通讯网络建设。对于医院级别的网络建设，要保证能够

段或者管理漏洞窃取患者身份、病例或者治疗信息；窃取财物办满足在就诊高峰期时的业务处理能力，要具备应对庞大的业务

公信息；向医院医疗系统植入恶意软件；内部人员非法交易患者信息的带宽。及时更新网络架构，减少网络延迟和漏洞。在网络

身份、病例或者治疗信息；外包人员在程序中安插后门；网络被线路上也要提前做好冗余，以防在主干线汇聚时出现故障，导致

攻击；自然灾害包括但不限于断电、洪水、火灾等；跨国的政治或整个医院网络系统全面瘫痪。要确保信息传出过程中的保密性，

商业目的的信息窃取等。在数据加密和可信验证上不断加强，防止外界信息盗取盗用，维

造成这些威胁的主要原因在于人员安全意识较差，缺少对护患者和医院的利益。

信息安全的相关培训。医院在历史经营中存在有组织架构上的（5）物理环境建设。机房是存放服务器的重要场所，是所有

问题，权限对应不清。在施行信息化建设时因为资源有限，而减数据储存的物理环境。在机房的选址上，要避免选择地下场所或

少了在安全方面的投入。以及在面临像是开展移动业务这种创者房屋顶楼。防止因为漏雨或者受潮导致的数据损坏甚至硬件