欢迎访问智慧医疗网 | 网站首页
 
当前位置:首页 > 信息安全

医院信息安全体系:保障医疗数据安全的关键所在

发布时间:2024-04-26 来源:医院后勤官 浏览量: 字号:【加大】【减小】 手机上观看

打开手机扫描二维码
即可在手机端查看

一、医院信息安全体系概述

信息安全不是单纯依靠安全技术,同时也包括相应的管理措施,是一个完整的体系。

除了通过采取各种各样的安全技术措施来提高信息系统的稳定运行的能力,也需要制订业务持续性计划和灾难恢复计划,制定相应的安全策略、加强人员安全管理等。只有将信息安全的管理体系化、建立统一的信息安全管理体系、落实各项管理制度、制定合理的安全策略、采取有效的防范措施,才能切实保障卫生信息系统的安全、稳定、正常地运行。


二、医院信息安全体系规划


信息系统安全规划是一个涉及管理、法规和技术等多方面的综合工程。信息系统安全的总体目标是物理安全、网络安全、数据安全、信息内容安全、信息基础设备安全与公共信息安全的总和。
信息系统安全体系规划包括目标、范围、方法三个方面。
信息系统安全的最终目的是确保信息的保密性、完整性和可用性。信息系统主体包括医院、用户社会和国家对于信息资源的控制。
信息系统安全规划的范围应该是多方面的,涉及技术安全、规范管理、组织结构。技术安全主要包括:防火墙、入侵检测、漏洞扫描、防病毒、VPN、访问控制、备份恢复等安全产品。信息系统安全规划的层次方法与步骤可以有不同,但是规划内容与层次应该相同。
均包括调研、风险评估、目标、任务、测评五个方面。
信息系统安全规划不是孤立的,第一,它是依托于医院信息化战略规划。第二,它是为医院的信息业务系统服务的。

信息系统安全规划需要围绕技术安全和管理安全两部分开展。技术安全部分包括物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复五个方面。管理安全部分包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运行维护五个方面。


三、信息系统安全等级保护体系


信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。信息系统的安全保护等级分为以下五级,一至五级等级逐级增高。
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

《卫生行业信息安全等级保护工作的指导意见》的明确要求,全国三甲以上的医院核心业务系统在2015年12月前均必须达到等保三级。

信息系统安全等级保护体系主要由四大类组成。

(1)信息系统安全等级保护的法律、法规和政策依据。

(2)信息系统安全等级保护标准体系。

(3)信息系统安全等级保护管理体系。

(4)信息系统安全等级保护技术体系。


四、医院信息安全管理体系建设


医院进行医院信息安全管理体系建设,要以《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)为指导,结合本单位的具体情况,从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面建立信息安全管理体系。


(一)安全管理制度


根据安全管理制度的基本要求,制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的各个安全方面所应遵守的原则方法和指导性策略,引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度;同时,制定严格的制度与发布流程、方式、范围等;定期对安全管理制度进行评审和修订,修订不足及进行改进。


(二)安全管理机构


根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责;设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;建立授权与审批制度,建立内外部沟通合作渠道;定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等。


(三)人员安全管理


根据基本要求制定人员录用、离岗、考核、培训等几方面的规定,并严格执行;规定外部人员访问流程,并严格执行;规定第三方人员工作范围、工作内容、考核要求,并严格执行。


(四)系统建设管理


根据基本要求制定系统建设管理制度,包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级评测、安全服务商选择等方面。从工程实施的前、中、后三个方面,从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。


(五)系统运维管理


根据基本要求进行信息系统日常运行维护管理,利用管理制度及安全管理中心进行,环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等,使系统始终处于相应等级安全状态中。


五、医院信息安全技术体系建设


技术安全包括物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复五个方面。

(1)物理安全:包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

(2)网络安全包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。

(3)主机安全包括身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制。

(4)应用安全包括身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。

(5)数据安全、数据备份和恢复包括数据完整性、数据保密性、数据备份和恢复。


六、电子病历信息安全


以患者临床数据为核心的电子病历信息的采集、存储、传输、访问等环节均存在安全问题。目前重点讨论关注电子病历临床数据信息传输及维护问题;CA 及无纸化环境下的电子病历安全、患者电子病历信息隐私安全。


(一)电子病历临床数据信息传输及维护


患者数据来源于各个临床信息系统,组成电子病历临床信息,除信息系统间进行数据交互时应注意临床信息一致性、数据来源唯一外,医院职能部门也应从规章制度上定义好相关的规范,在出现问题时的处理要求、规范及通知机制,避免人为操作错误。

病历数据为医院敏感数据,电子病历信息数据不应随意对外拷贝或导出,医院内部合理查询或科研要求应备案,在安全、合理的情况下进行协助。如随意拷贝导出,会形成电子病历信息安全隐患。


(二)CA 及无纸化环境下的电子病历安全


CA 数字认证是由第三方机构 CA 中心签发的,以数字证书对电子病历信息进行加密认证的技术。

目前很多医院都已经完成或正在实施电子病历的 CA 数字认证。《电子签名法》的实施从法律上认可了数字签名的合法性,但这并不意味着电子病历的信息安全就毫无问题,通过已上线医院的实际使用情况CA 数字认证也存在着以下几个安全问题。

(1)CA数字证书的管理问题。

(2)电子病历修改后的留痕。

(3)CA 数字认证后的应急机制。

(4)电子签名应用的管理。

(5)无纸化的电子病历信息安全。


(三)患者电子病历信息的隐私安全


电子病历信息对于患者同样是非常重要的资料,同时也会涉及患者自身的隐私,信息系统如果不注意关注患者隐私问题,就容易造成安全隐患。应从法律、技术、公共服务等角度对电子病历中的患者信息进行保护。

(1)通过防火墙、信息加密、访问控制等保护患者隐私。

(2)公共场所的患者隐私保护。

(3)敏感病历的处理。


七、数据库审计、防统方与网站安全


数据库安全风险包括:数据库的用户访问控制风险、授权用户合法权限的使用风险、内部操作的风险等。
只有建立完善的数据库安全审计机制,基于数据库操作的行为特征,对数据库运行中产生的海量、无序的数据进行处理、分析,监控并审计所有日常操作及数据库任务,对越权操作、违规操作等所有安全事件,进行实时监控并追溯和分析,实现用户责任追究。
数据库审计系统的工作机制主要通过网络抓包,通常采用旁路部署的方式。
将数据库审计设备直连到数据库服务器所连接的交换机上,并把数据库服务器所连接的接口或VLAN 设置为镜像源,把数据库审计设备所连接的端口设置为镜像目的端口。这样配置后,所有通过该交换机访问数据库的数据流量都会被采集到数据库审计系统中,然后再进行数据分析。
数据库审计系统主要功能包括:静态审计、动态实时监控、审计报表等部分。
防统方是数据库审计的一项功能,主要是针对那些对数据库进行门急诊处方数量查询、对门急诊药品数量与金额查询等。防统方系统的主要难度是如何区分正常的查询与恶意的查询。经常采用电脑的IP地址、MAC地址、时间段、用户权限等几个方面与正常的查询进行区分,否则误报率太高,失去使用价值。
医院网站承担着“对外服务、公开信息”等重要职能,是医院服务于和谐社会的窗口,一日受到黑客攻击,不仅影响医院的正常工作,降低系统的公信力,严重的情况下还会导致重要信息的泄露,危及医院形象。

对医院网站的攻击已经由网络层转向应用层。常见的八种攻击包括:

(1)网页木马:直接控制网站主机或者借此攻击访间者客户端:

(2)SQL注入漏洞:数据库信息窃取、篡改、删除;

(3)Cookie注入:数据库信息窃取、篡改、删除,控制服务器;

(4)跨站脚本漏洞:用户证书、网站信息、用户信息被盗;

(5)缓冲区溢出:攻陷和控制服务器;

(6)表单绕过漏洞:攻击者访问禁止访问的目录;

(7)文件上传漏洞:主页篡改、数据损坏和传播木马;

(8)文件攻击:服务器信息窃取、攻陷和控制服务器。
如果医院的 Web应用系统存在上述安全隐患,若不及时修复有可能导致 Web 应用系统的后台数据库信息被篡改或盗窃,严重影响医院正常的业务运营。

建议部署 Web 应用防御设备,实现对 Web应用系统面临的安全威胁进行7x24h 实时监控,主动防御来自各个层面的恶意攻击,提升医院 Web 应用系统的可持续服务能力。通过 Web 应用防火墙的部署可以解决医院面临的常见应用安全问题,如SQL注入攻击、跨站攻击(XSS 攻击,俗称钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、应用层DDoS攻击等,防止 Web应用系统被攻击、被挂木马等严重影响形象的安全事件发生。


八、内外网隔离与信息共享


为了保证医疗业务网络的安全,防止泄密,绝大部分医院都对该网络与互联网实施了隔离措施,禁止该网络的终端访问互联网,因此,医疗业务网一般又称医院内网,而对能够访问互联网的办公局域网称为外网。
内外网隔离分为二种模式,物理隔离和逻辑隔离。
物理隔离是最彻底、最安全的方式。“物理隔离”是指内部网不得直接或间接地连接公共网。所有内网终端使用的所有路由器、交换机、集线器及网线等网络设备都不与外网的终端共用,令内外网之间没有任何连接的物理途径,两组不同网络设备分别独立使用。
与物理隔离相反,采用逻辑隔离方式的内网终端可以与外网终端共享同一套网络设备,只是在网络交换机上通过虚拟局域网(VirtualLocal Area Netwvork,VLAN)及访问控制策略将不同网络的用户进行隔离。依靠 VLAN 技术与访问控制策略实现的逻辑隔离方式,初期建设与后期维护成本低、控制策略可以更细致精确,但也存在网络设备被攻击可能导致的风险。
大数据时代的到来,带来了更多的信息共享、数据整合、数据挖掘的需求。各种数据分析与决策支持都需要大量的内网业务数据做依据。无论是采用物理隔离还是逻辑隔离的用户,如今都面临这个局面。只有同时抓好外网安全与内网安全,并建立安全的数据交换通道才是应对信息共享需求的完备方案。

为了解决内网与外网之间信息共享的需求,目前较成熟的网络隔离及数据传输产品是网闸。网闸的数据交换原理是摆渡机制,所以,只是在内网与外网之间把要传输的数据进行摆渡交换。这样可以保证在任意单位时间,内网与外网的终端之间没有任何能够通信的物理连接或逻辑连接,无法传输命令。内网与外网的终端之间不满足信息传输协议,也就不存在依据协议的数据包转发,只有数据文件的无协议摆渡。


智慧医疗网 © 2022 版权所有   ICP备案号:沪ICP备17004559号-5