医院信息化建设中的网络安全和防护探讨

2020-12-30 11:22◆杜
网络安全技术与应用 2020年5期
关键词:信息系统网络安全医院

◆杜 明

医院信息化建设中的网络安全和防护探讨

◆杜 明

(广西壮族自治区桂东人民医院 广西 543000)

本文围绕“医院信息化建设中的网络安全和防护”问题开展讨论,着重阐述医院信息化建设中存在的网络安全风险分析,信息化网络安全问题产生的因素与信息化建设过程中的网络安全防护技巧,供相关读者参考。

医院;信息化建设;网络安全;防护

随着信息化的发展,网络已经渗透社会的各个领域,对医疗乃至人类的生活健康都产生了极大的影响。然而,由于网络规模的不断扩大、开放,网络复杂性随之增强,网络安全问题也日益凸显,成为影响国家和社会安全、稳定的一个关键要素。

1 医院信息化建设中存在的网络安全风险分析

依据《GB-T 20984-2007 信息安全技术信息安全风险评估规范》以及对医院实际环境的分析,医院面临的信息风险主要包含威胁和脆弱性两大类:

1.1 威胁分析

医院面临的安全威胁主要包括:病毒威胁;无线网络被攻击或钓鱼;高级威胁日益严重;患者信息被窃;外部网络连通带来的威胁;内部违规导致患者隐私泄露(医生,服务商,下游链条);网站面临来自互联网的威胁,内部身份冒用等。

1.2 脆弱性分析

医院面临的脆弱性问题主要包括:主机安全管控不足,且医院应用HOOK行为较多的特殊性;重要应用系统代码缺陷;操作系统自身存在的脆弱性;信息安全管理制度不完善;信息化管理人员责权不清等。

2 医院信息化建设中网络安全问题产生的因素

2.1 技术因素

在医院的信息化建设过程中,建设人员在建设推进时要从底层服务器硬件资源、存储资源、网络通信资源、网络安全资源、综合处置系统等多个方向进行管控,然而医院,特别是三级规模以下医院当下信息化建设才开始发力,刚踏入起步阶段,经验积累与新技术运用引进上仍存在诸多不足,如多数信息科运维管理人员还一直在使用操作系统防火墙及病毒防护软件等,现实是使用过程非常被动,就算问题发生后立即进行查杀,还是会存在致使数据被篡改、损坏甚至是丢失的现象。再如,针对入侵检测设备或者数据库审计运用工作中,多数情况下也仅是依靠预告警消息来发现,若是突发恶意的攻击或者是窃听行为,多数情况下皆无能为力。

2.2 人为因素

首先,多数国内医院,特别是三级规模以下医院,专业人员招聘录用与岗位要求不匹配,无人、缺人、缺专家,一线缺“保安”无“保安”,网络运维安全保障靠“外墙人”,在出现网络安全问题的情况时很难问责到具体的专业人员;其次,“重建设、轻运管”现象较普遍,缺少规范化、科学化、制度化的网络安全管理导致运维不到位,监管不得力,失管弃管,城门洞开,隐患若现;最后是院内极少数员工的威胁网络安全现象,如把私人移动存储介质或平板、笔记本电脑等设备接入院内局域网,对院内医疗业务正常工作产生影响,严重情况下更是会导致病毒大范围在内网传播的现象。

3 医院信息化建设中维护网络安全的价值

现今,高新信息化技术已经覆盖至各行各业,疾病防治等医疗水平的提高急需对外连接、信息共享、互联互通。当下,已经应用到医院常规医疗服务业务中的信息系统就包含:HIS收费信息系统、医学实验信息系统、电子病历信息系统、医学影像系统、院内感染系统、体检系统、手术麻醉系统、办公自动化系统及医疗保险系统等等,给予医务工作者在医疗服务上很大的便利性及开放性,而且很契合医院本身的服务特点。在当下及将来的发展中,医院的各类诊疗和服务工作将更多依赖于网络化技术,由此可见,网络安全对医院的信息化建设有着极其重要的价值。

4 医院信息化建设中网络安全与防护技巧

4.1 严格执行网络分区分域建设与管理

为更好落实医院各信息系统的安全保护,可参考国家等保2.0网络安全等级保护的相关标准进行规划与区分不同安全要求的保护对象,从而依据保护的对象设置不同业务功能及安全级别的安全区域,以依据不同类型区域的重要程度来实行分级的安全管理。

医院信息系统包含生产、办公以及开发测试等诸多业务,要按照不同业务的不同性质及特点,把信息系统调整为多个子业务系统,然后再给各子业务系统制定合适的保护级别。

信息系统作为等级保护管理的最终对象,为体现着重保护关键网络安全,合理控制信息安全建设支出,优化信息安全资源配置的等级保护原则,在进行信息系统的划分时需考虑以下几点:

(1)管理部门相同的

信息系统中的各子业务系统若是被同一个管理部门管理控制的,原则上是可以采取相同的安全管控策略;

(2)业务类型相似的

信息系统中的各子业务系统若是业务类型相似的,在安全需求上接近的,原则上是可以采取相同的安全管控策略;

(3)物理位置相同或运行环境相似的

信息系统中的各子业务系统若是在物理位置相同或运行环境相似的,表示系统所面临的安全威胁类似,原则上是可利于采取统一的安全保护;

(4)安全控制措施相似的

医疗信息系统中的各子系统若面临相似的安全威胁,因此需采用相似的安全控制措施来保证业务子系统的安全。根据医院信息系统的业务功能、特点及各业务系统的安全需求,建议将网络拆分为医院办公外网、医院业务外网、医院办公内网。医院办公外网包括互联网接入区、医院办公外网区;医院业务外网包括外联接入区、前置服务区;医院办公内网包括:内网接入区、服务器区、内网核心交换区、运维安全管理区、内网办公区,并按照区域划分针对性部署相应的网络安全设备。如办公外网边界部署下一代防火墙系统+上网行为管理设备;业务外网边界部署下一代防火+VPN;前置服务器边界部署web应用防火墙;业务外网、前置服务区与内网核心交换区边界部署隔离网闸;医保网络等专线出口边界部署下一代防火墙;内部服务器、数据库及存储核心区域前端部署冗余下一代WAF防火墙;并在内网核心区建立一个独立的运维管理区部署审计、堡垒机、漏扫、流量采集探针、威胁感知分析预警平台,做到联动防御。

4.2 引入企业级桌面杀毒软件

医院的网络防御也要最大程度利用杀毒软件的功能,做好常规漏洞扫描修复、更新补丁及降低病毒入侵等工作,如安装奇安信天擎企业版杀毒软件,利用防病毒与反间谍软件的技术,给全网终端及服务器打补丁,终端U口、移动介质及热点WIFI禁用等等,另外,要加强对终端用户日常巡检维护和使用管控,达到较为全面检测和维护网络的安全,提升挖掘问题的反应及处理能力。

4.3 缩小暴露面

(1)缩减网络边界

不用的系统,该下的下,该暂停的暂停。不能用的功能,该下的下,该暂停的暂停;该取消访问的取消,能限制访问范围的限制访问范围;在用的,搞清楚功能,双流(数据流和运维流)谁用,有没有风险,能否一键处置都要摸清楚。

(2)梳理缺陷资产

资产维度梳理:互联网资产、分支机构资产、外联公司资产、公有云资产;资产属地梳理:特别关注资产的安全属性,中间件或框架(版本)、开放在公网API接口(特别是未下线的老接口)、管理后台开放在公网、高危功能(文件上传点、短信验证码、重置密码、文件下载)、远程接入点(VPN)、特权账户(应用管理员特权账户、应用连接账户、系统管理员账户、可以修改账户权限的账户、备份账户);忽视点梳理:所有内部文档服务器上(含OA、邮件系统等)敏感信息清理或限制访问权限,各类口令(弱口令、默认口令、已泄露口令、批量使用的口令),可跨越部分边界访问的网络设备及服务器,都要重点盯防。

4.4 物理安全措施

机房建设参照《数据中心设计规范》(GB50174-2017)标准,结合等级保护2.0标准物理安全控制项的要求进行建设,物理位置选择要避免建筑物底层或顶层及水源设备旁,远离强噪音及强污染源。安装防盗报警系统、监控系统,配备冗余或并行电力线路供电,配备应急供电(发电机发电、蓄电池供电)措施,核心数据中心关键部件安装的机柜采取电磁屏蔽措施,做好防火防水防潮,温湿度控制等。所有涉及项都要一一排查和对标整改。

4.5 建立及完善信息安全管理制度和规范

按照积极防御、及时发现、快速反应、确保恢复安全防护基本方针,结合医院规模及实际情况必须建立及完善信相应的安全管理制度和规范。如信息化建设管理制度,医院信息中心机房管理制度,信息系统变更、发布、配置管理制度,信息系统操作权限分级管理制度,信息数据容灾备份制度,技术实施文档及档案管理制度,专业信息技术人员培训与上岗制度,信息中心24小时值班制度,医院信息报送制度,信息系统授权及人员离岗制度,口令管理办法,重大事项授权与审批管理办法,信息设备设施资产管理办法,网络运行维护管理办法,信息系统突发网络安全事件应急管理办法等。

4.6 建立健全安全管理机构及明确人员责权

(1)成立医院信息化安全委员会或领导小组

成立医院指导和管理信息安全工作的委员会或领导小组,最高领导由院长或主管信息化的副院长担任,委员会或领导小组下设办公室,信息科科长作为办公室主任,负责办公室日常工作,每年度召开信息安全委员会会议不少于2次,并且进行总结分析。

(2)明确相关管理人员责权

医院同时应设立安全管理员、网络管理员、系统管理员、安全审计员、数据库管理员、机房管理员、业务系统管理员、信息资产管理员。各管理员岗位中,安全管理员不能兼任网络管理员、系统管理员,并明确各员责权。

5 结束语

信息化创新建设已成为医院当下乃至长期运营与发展的必要基础设施,医院信息系统安全与否密切关系到广大人民群众身体健康及就医秩序稳定,因此,加强医院网络安全防护工作势在必行。在未来的发展过程中,网络信息化发展越来越日新月异,随着大数据、云计算、5G网络技术、量子计算等等新技术的普及和应用,会有越来越多的网络安全问题凸显,从而会面临更严峻的网络安全挑战,医院必须通过不断引进新型安全设备、安全技术、安全人员以及编制更完善的安全管理制度和规范,通过技术防御和管理制度规范两手都要抓,两手都要硬,提升防护工作的处置效率,才能更更好地促进医院信息化的建设与发展。

[1]贺瑶.医院信息化建设中网络安全问题研究[J].网络安全技术与应用,2014(09):147-149.

[2]鲍怀东.医院信息化建设中的网络安全防护[J].电子技术与软件工程,2017(05):221.

[3]颜海威.医院信息系统三级等保建设思路[J].电脑知识与技术,2016,12(30):40-41.

[4]曾颖.医院信息系统等级保护安全体系设计[J].微型电脑应用,2014,30(03):43-47.

猜你喜欢
信息系统网络安全医院
基于排队论的信息系统装备维修保障效能分析
基于并行构件技术的医疗信息系统的设计与实现
新量子通信线路保障网络安全
基于区块链的通航维护信息系统研究
上网时如何注意网络安全?
信息系统审计中计算机审计的应用
萌萌兔医院
网络安全监测数据分析——2015年11月
我国拟制定网络安全法
认一认