基于三級等保標準的醫(yī)院信息安全體系建設實踐

馬端駿

摘要：按照國家信息安全有關(guān)政策的標準以及結(jié)合醫(yī)院信息管理系統(tǒng)的特征和數(shù)字化的發(fā)展趨勢，從醫(yī)院安全體系建設的需求、要點和優(yōu)勢以及實施重點等多個方面展開了論述，為基于三級等保標準的醫(yī)院信息安全體系的建設提供一定的借鑒意義。

關(guān)鍵詞：三級等保;信息安全;體系建設

1 現(xiàn)階段醫(yī)院信息安全體系建設需求分析

依據(jù)《信息安全技術(shù)信息系統(tǒng)等級保護安全設計技術(shù)要求》（GB/T25070-2010）等規(guī)范性政策，且將其與醫(yī)院的具體情況進行結(jié)合來統(tǒng)籌信息安全體系的建設實施，具體分析了醫(yī)院信息安全體系建設需求大致分為六個層面：

第一，信息安全體系建設物理方面安全需求。這一方面主要體現(xiàn)在其實際方位的選擇，需要注重防水、防火與防止靜電等方面，并且還需要保障整個系統(tǒng)運行的電力支持。

第二，信息安全體系建設的安全需求，這個方面主要體現(xiàn)在用戶訪問限制，網(wǎng)絡安全審計與病毒侵入的防御等幾部分的問題，保障網(wǎng)絡層的安全與私密性。

第三，信息安全體系系統(tǒng)層的安全需求，這-需求重點在于加強身份鑒別，保護剩余信息同時要加強信息平臺的資源控制。

第四，信息安全體系應用安全需求，應用方面的安全保護一般體現(xiàn)在代碼安全、信息流通過程的保密性和軟件的容錯性等。

第五，信息平臺數(shù)據(jù)方面安全需求，這個層面主要體現(xiàn)在保障信息數(shù)據(jù)的安全性和完整性，避免數(shù)據(jù)信息外漏亦或是損失。

第六，信息平臺管理方面安全需求，這一方面主要體現(xiàn)在有關(guān)安全管理機制和規(guī)則的制訂、有關(guān)安全管理部門的建立與落實實施等。

2 醫(yī)院信息安全體系建設的要點

2.1設備與系統(tǒng)的部署

依據(jù)整體部署的規(guī)劃完成所有設備與終端的裝置和調(diào)試，完善設備的裝配和系統(tǒng)的部署。其中包含系統(tǒng)入侵檢測、網(wǎng)絡防火墻、漏洞核查等方面。首先是服務器執(zhí)行的升級完善，將安全固化系統(tǒng)與人工固化合理搭配，停用無效服務，開展漏洞核查、身份驗證、信息備份等業(yè)務。其次是數(shù)據(jù)庫的升級完善。采用人工加固的手段把控制機制與數(shù)據(jù)賬號信息進行分離，通過最小授權(quán)原則、使用密令等方式對各種隱私和敏感的環(huán)節(jié)強化管理。再次是對應用軟件和系統(tǒng)進行定期的漏洞檢查，保障系統(tǒng)的安全使用，強化用戶身份驗證以及使用、訪問權(quán)限。第四是定期開展數(shù)據(jù)備份，以及啟用殺毒軟件完成主機方面的病毒抵御，終端安全管理機制完成安全檢監(jiān)測，安全管理措施實現(xiàn)整體全面的監(jiān)測。

2.2規(guī)章制度與細聊的梳理

信息安全體系的建立需要遵守“技術(shù)與管理并重，三分技術(shù)加七分管理”的原則。 三級等保標準需要設立信息安全管理機制，提出明確的安全管理措施、管理機制與工作流程。還需要建立制度的審查和修訂機制，與重要崗位、合作方的有關(guān)工作人員簽署保密書，確定有關(guān)的責任與需要保護的內(nèi)容;安全系統(tǒng)的控制與使用權(quán)限進行分開管理，應用身份識別技術(shù)對使用者訪問權(quán)限實施控制;經(jīng)過在各層人員的會議上提出和在內(nèi)網(wǎng)上實行全院工作人員考核等多種形式在本院范圍內(nèi)完成員工的信息安全教育與培訓。

2.3內(nèi)網(wǎng)等級保護改造建設

包括運維管理區(qū)、辦公接入處、核心交換區(qū)、網(wǎng)絡接入?yún)^(qū)以及數(shù)據(jù)中心區(qū)和開發(fā)測試區(qū)。需要在各種區(qū)域與核心數(shù)據(jù)交換區(qū)互聯(lián)，對用戶操作控制進行身份辨識和行為限制，設置遠程安全測試評估機制，對系統(tǒng)安全漏洞進行掃描以及安全配置的審查，保證對各配置定期的檢查，對全網(wǎng)數(shù)據(jù)開展內(nèi)容審計。

2.4外網(wǎng)的安全建設

一般和醫(yī)院門戶系統(tǒng)、預約掛號系統(tǒng)、醫(yī)保以及外聯(lián)單位展開網(wǎng)絡互聯(lián)，和信息中心核心系統(tǒng)互聯(lián)，需要在外網(wǎng)接入處設置防火墻、硬件殺毒、IPS，也能夠設置新一代安全裝置，增加各種功能板塊，完成安全隔離的同時也實現(xiàn)物理安全保障。

2.5安全管理體系建設

安全管理體系方面堅持安全體系建設原則，建立專項安全領(lǐng)導與實施部門，制定并公開相關(guān)管理制度，并及時由專項小組審核與完善，相關(guān)的安全意識教育與培訓也是必不可少的，并且對工作人員開展安全知識與能力考核。

3 醫(yī)院信息安全體系建設的優(yōu)勢與實施要點

3.1醫(yī)院信息安全體系建設的優(yōu)勢

伴隨我國醫(yī)療衛(wèi)生事業(yè)的持續(xù)發(fā)展與改革的不斷深化，數(shù)字化的模式對醫(yī)療衛(wèi)生服務的影響越來越大，信息化也不斷普及，因此信息安全體系的建設也就尤為重要。為響應國家相關(guān)政策與切實保護醫(yī)療系統(tǒng)信息安全，就需要將國家細心安全等級保護為根本指導原則，從技術(shù)實施和安全管理兩個層面來充分考慮，保障醫(yī)院信息系統(tǒng)的安全性與隱私性，進而推動我國醫(yī)療衛(wèi)生事業(yè)的發(fā)展和優(yōu)化。

3.2醫(yī)院信息安全體系建設的實施要點

3.2.1檢測網(wǎng)絡綜合威脅

當下安全建設的要點是傳統(tǒng)信息化建設和安全不夠系統(tǒng)化，注重硬件建設和網(wǎng)絡建設，相應的忽略了軟件與數(shù)據(jù)。信息系統(tǒng)的建立不夠系統(tǒng)化和規(guī)范化，管理與安全運維相分離，缺乏全面與系統(tǒng)的平臺，因此建立網(wǎng)絡綜合威脅檢測系統(tǒng)與運維管理系統(tǒng)有利于信息安全的全面管理。

3.2.2提升醫(yī)院對威脅預測能力

利用威脅情報與局級持續(xù)性威脅（Advanced Persistent Threat，APT）檢測技術(shù)來完成安全建設與整體預防，將威脅信息和網(wǎng)絡中具體數(shù)據(jù)比對研究，結(jié)合攻擊定位、追溯根源和威脅截斷等各種工作流程，從根源上避免安全問題的發(fā)生。從系統(tǒng)安全整體框架設計時就考慮到監(jiān)測發(fā)現(xiàn)、數(shù)據(jù)上報、預測和應對的綜合工作過程，建設以問題監(jiān)測發(fā)現(xiàn)為起點，實現(xiàn)閉環(huán)的共同防御處理的信息安全系統(tǒng)。

3.2.3建設網(wǎng)絡威脅感應平臺

借助快速搜索手段強化數(shù)據(jù)查找技能，在大數(shù)據(jù)發(fā)掘比對的基礎上采用危險代碼智能監(jiān)測技術(shù)手段提高感應危險代碼的技能;源于輕量級沙箱的未知代碼攻擊監(jiān)測手段強化感知未知漏洞的技能。并且為有效應對信息安全問題，提升運維能力， 把重要的核心設施展開聯(lián)動處理優(yōu)化，把設置在不同地方的重要設施日志信息及時傳送至感知平臺，開展全面安全監(jiān)測。

3.2.4生物識別雙環(huán)節(jié)驗證

在平臺登錄身份驗證環(huán)節(jié)采用生物識別技術(shù)。借助動態(tài)的驗證與生物識別保障操作者、使用權(quán)限與系統(tǒng)的統(tǒng)一。操作者能夠采用手機增加指紋識別與面容識別等形式得到登錄授權(quán)，實現(xiàn)動態(tài)登錄管理與單點登錄，保障和提高信息安全系統(tǒng)的操作和控制的安全性。

3.2.5業(yè)務操作安全網(wǎng)關(guān)與監(jiān)測方案

安全管控、內(nèi)部操作規(guī)范也是信息安全管理系統(tǒng)的重要構(gòu)成因素，要求對日常的 安全操作進行建模，對日常行為模型意外的風險操作展開分析處理。比如異常異地登錄、 非常規(guī)時間操作、頻繁操作、超出操作權(quán)限等行為。因此可以引入業(yè)務操做安令網(wǎng)關(guān)，經(jīng)過制訂策略制與安全建模整體對比研究醫(yī)療安全和內(nèi)部操作風險。在這個層面上通過操作監(jiān)測系統(tǒng)開展全面檢測，把危險信號、行為管控、 網(wǎng)絡綜合感應系統(tǒng)、終端安全等有關(guān)數(shù)據(jù)實施關(guān)聯(lián)、定位與判斷。如此能夠真正的把操作者、技術(shù)與安全管理融為一個整體，可以讓綜合方案表現(xiàn)出協(xié)同聯(lián)動與系統(tǒng)應對的建設理念。

4 結(jié)語

醫(yī)院信息安全體系的的建設，使系統(tǒng)中的信息能夠在可靠的環(huán)境中傳送與使用，最大限度的保護了患者的相關(guān)信息與個人隱私，使眾多患者與醫(yī)護人員的合法權(quán)益得到保障，也讓醫(yī)院信息系統(tǒng)能夠為病人提供更為安全和穩(wěn)定的服務。

參考文獻

[1]王暉.醫(yī)療衛(wèi)生行業(yè)信息安全等級保護實施指南[M].石家莊：河北出版?zhèn)髅郊瘓F，2014.

[2]王才有，湯學軍，董方杰，等.全國三級醫(yī)院信息化情況調(diào)查研究[J].中國衛(wèi)生信息管理雜志，2016.

[3]唐江波.基于醫(yī)院信息安全等級保護的整改實踐[J].中國數(shù)字醫(yī)學，2018.

[4]湯斌，黃玉成.三級等保下醫(yī)院信息系統(tǒng)安全優(yōu)化方案實踐[J].中國醫(yī)療設備，2018.

[5]孟凡紅，樊紅雨，侯酉娟.基于數(shù)據(jù)挖掘技術(shù)的用戶信息需求研究[J].醫(yī)學信息學雜志，2011.

[6]張浩，蘇晗，崔雷.利用共詞聚類分析法探討國際疾病分類相關(guān)研究文獻的熱點[J].醫(yī)學信息學雜志，2008.