丛亮
摘 要 二级等保建设是二级医院根据信息化系统运行的实际情况,制定和采取必要的安全防护措施,保证数据中心、终端、网络等方面的安全的实践性工作。虽然近年来医院不断加大二级等保建设方面的资源投入,防范和管控各种安全风险,但信息化发展中存在的黑客恶意攻击、蠕虫病毒、木马等安全性隐患仍然是威胁医院网络安全的突出问题。文章在介绍医院信息系统的安全现状的基础上,就医院二级等保建设的实践性策略进行探讨研究,以丰富医院二级等保建设的思路和方法。
关键词 医院信息系统;二级等保;信息安全
前言
2018年4月,卫健委发布的《全国医院信息化建设标准与规范》从软硬件建设、安全保障、新兴技术应用等几个方面规范了医院信息化建设的主要内容和要求[1],为二级医院信息化建设提供了明确的方向指引。该标准中将医院信息化建设中的安全防护划分为数据中心安全、終端安全、网络安全、容灾备份等4个类别,这使得二级等保建设覆盖了医院临床业务和管理工作开展的各方面,使医院二级等保建设的目标和内容更加全面、科学。然而,对于二级医院来说,如何将标准中明确的安全防护的具体内容落实到实践性活动中,切实实现安全防护的目标,是需要根据医院信息化建设的实际情况进行思考和探索的[2]。
1医院信息系统的安全现状
图1是目前二级医院所使用的信息系统的拓扑图。通过该图可以看出,现阶段的医院信息系统主要有专网互联区和外网互联区两个网络专区,对应的端口有连接医保专网的端口和连接互联网的端口。从安全防护的角度来审视医院信息系统可以发现,目前除了医保专网有出口防护墙进行安全防护以外,其他端口和区域均没有部署相应的安全防护措施,这就使得医院信息系统的局部及整体都存在较大的安全隐患。总体来看,目前的医院信息系统运行中的安全性问题主要有以下几方面。
1.1 网络边界区域缺乏必要的防护措施
网络边界区域是指不同网络功能区的过渡性、交叉性区域,这里往往是网络安全防护的薄弱之处。通过图1可以看出,目前系统中的网络出口边界区域和互联网边界区域是防护比较脆弱的地方。其中网络出口的边界区域缺少相应的入侵防护系统,这容易使系统对可能来自外部的恶意软件,及蠕虫、木马、病毒等入侵性强的风险缺少有效的防护;互联网边界区域则缺乏相应的防病毒系统,容易导致信息系统对来自外部网络的恶意代码供给和病毒等不安全性因素的检测和拦截失效,威胁信息系统整体的安全[3]。
1.2 系统缺乏必要的安全运维
安全运维是借助系统的安全审计和维护功能来进行系统的自我安全运营、维护,以保证系统运行的安全性。目前,医院信息系统中存在的安全运维问题主要表现在两方面:其一,内部网络种缺乏相应的安全审计系统,导致系统对内部网络行为、服务器访问操作等进行基础性的审计,导致内部网络安全缺乏常态化的维护;其二,内部网络审计系统的缺乏使得内部服务器、数据库、网络设备及安全设备的统一性安全运维变得困难重重,内部服务器中的重要数据信息缺乏基本的安全防护,容易遭受各种病毒的攻击。(图见文末)
2 医院开展二级等保建设的具体策略
通过对医院当前使用的信息系统的安全防护问题分析可以看出,目前医院二级等保建设的关注点应当放在网络边界区域的安全防护和常态化的网络运维。因此,医院可以将这两方面作为二级等保建设的侧重点,以此为参考来寻求具体的策略。
2.1 加强网络边界区域的安全防护
鉴于网络边界区域在安全方面的脆弱性,在等保建设过程中,要通过诸如医保专网运行所设立的出口防火墙一样的防护措施,通过在医院专网互联区的边界处设置相应的防火墙,来增强内部服务器的基础性安全防护,防止蠕虫、木马等不安全性因素对网络的侵袭[4]。同时,要通过加强网络边界区域的安全访问权限控制来减少不必要人员对网络信息的访问,保证服务器的安全性。
2.2 强化系统的安全审计和运维
审计是及时发现问题和进行安全预警的重要措施。根据当前医院信息系统建设的实际情况,要通过在核心交换机处设置安全审计系统的方式来增强系统的安全审计功能,借助数据的实施动态监测和审计来及时发现各种敏感信息和违规网络行为,并及时进行网络报警,确保网络防护工作做到位[5]。同时,要在系统的运维管理区部署相应的安全运维堡垒主机,来对网络设备进行常态化的运营维护和监测,保证系统运行的安全性。
3结束语
随着医院规模的持续扩大、信息化进程的持续推进,医院二级等保建设工作的重要性和必要性日益凸显。针对当前医院信息系统安全防护方面存在的问题,要通过相应的技术手段加以发现和消除,切实保证系统运行的安全性和稳定性。
参考文献
[1] 毛丹,孔玉玲.全国二级和三级医院信息化建设及运行现状[J].现代医院管理,2019,17(3):57-60.
[2] 魏勤,刘艳亭,郭敬鹏,等.基于三级等保标准的医院信息安全体系建设实践[J].医学信息学杂志,2019,40(2):35-39.
[3] 董春梅.某市二级及以上医院信息化建设与管理现状研究[J].临床医药文献电子杂志,2017,4(90):17797-17798.
[4] 王丽娜,张东军.河南省37所医院信息化建设的现状调查[J].中国卫生统计,2017,34(3):492-493,496.
[5] 颜海威.医院信息系统三级等保建设思路[J].电脑知识与技术,2016,12(30):40-41.