基于三級等保標準的醫(yī)院信息安全體系建設實踐

馬端駿

摘要：按照國家信息安全有關政策的標準以及結合醫(yī)院信息管理系統(tǒng)的特征和數(shù)字化的發(fā)展趨勢，從醫(yī)院安全體系建設的需求、要點和優(yōu)勢以及實施重點等多個方面展開了論述，為基于三級等保標準的醫(yī)院信息安全體系的建設提供一定的借鑒意義。

關鍵詞：三級等保;信息安全;體系建設

1 現(xiàn)階段醫(yī)院信息安全體系建設需求分析

依據(jù)《信息安全技術信息系統(tǒng)等級保護安全設計技術要求》（GB/T25070-2010）等規(guī)范性政策，且將其與醫(yī)院的具體情況進行結合來統(tǒng)籌信息安全體系的建設實施，具體分析了醫(yī)院信息安全體系建設需求大致分為六個層面：

第一，信息安全體系建設物理方面安全需求。這一方面主要體現(xiàn)在其實際方位的選擇，需要注重防水、防火與防止靜電等方面，并且還需要保障整個系統(tǒng)運行的電力支持。

第二，信息安全體系建設的安全需求，這個方面主要體現(xiàn)在用戶訪問限制，網(wǎng)絡安全審計與病毒侵入的防御等幾部分的問題，保障網(wǎng)絡層的安全與私密性。

第三，信息安全體系系統(tǒng)層的安全需求，這-需求重點在于加強身份鑒別，保護剩余信息同時要加強信息平臺的資源控制。

第四，信息安全體系應用安全需求，應用方面的安全保護一般體現(xiàn)在代碼安全、信息流通過程的保密性和軟件的容錯性等。

第五，信息平臺數(shù)據(jù)方面安全需求，這個層面主要體現(xiàn)在保障信息數(shù)據(jù)的安全性和完整性，避免數(shù)據(jù)信息外漏亦或是損失。

第六，信息平臺管理方面安全需求，這一方面主要體現(xiàn)在有關安全管理機制和規(guī)則的制訂、有關安全管理部門的建立與落實實施等。

2 醫(yī)院信息安全體系建設的要點

2.1設備與系統(tǒng)的部署

依據(jù)整體部署的規(guī)劃完成所有設備與終端的裝置和調試，完善設備的裝配和系統(tǒng)的部署。其中包含系統(tǒng)入侵檢測、網(wǎng)絡防火墻、漏洞核查等方面。首先是服務器執(zhí)行的升級完善，將安全固化系統(tǒng)與人工固化合理搭配，停用無效服務，開展漏洞核查、身份驗證、信息備份等業(yè)務。其次是數(shù)據(jù)庫的升級完善。采用人工加固的手段把控制機制與數(shù)據(jù)賬號信息進行分離，通過最小授權原則、使用密令等方式對各種隱私和敏感的環(huán)節(jié)強化管理。再次是對應用軟件和系統(tǒng)進行定期的漏洞檢查，保障系統(tǒng)的安全使用，強化用戶身份驗證以及使用、訪問權限。第四是定期開展數(shù)據(jù)備份，以及啟用殺毒軟件完成主機方面的病毒抵御，終端安全管理機制完成安全檢監(jiān)測，安全管理措施實現(xiàn)整體全面的監(jiān)測。

2.2規(guī)章制度與細聊的梳理

信息安全體系的建立需要遵守“技術與管理并重，三分技術加七分管理”的原則。 三級等保標準需要設立信息安全管理機制，提出明確的安全管理措施、管理機制與工作流程。還需要建立制度的審查和修訂機制，與重要崗位、合作方的有關工作人員簽署保密書，確定有關的責任與需要保護的內容;安全系統(tǒng)的控制與使用權限進行分開管理，應用身份識別技術對使用者訪問權限實施控制;經(jīng)過在各層人員的會議上提出和在內網(wǎng)上實行全院工作人員考核等多種形式在本院范圍內完成員工的信息安全教育與培訓。

2.3內網(wǎng)等級保護改造建設

包括運維管理區(qū)、辦公接入處、核心交換區(qū)、網(wǎng)絡接入?yún)^(qū)以及數(shù)據(jù)中心區(qū)和開發(fā)測試區(qū)。需要在各種區(qū)域與核心數(shù)據(jù)交換區(qū)互聯(lián)，對用戶操作控制進行身份辨識和行為限制，設置遠程安全測試評估機制，對系統(tǒng)安全漏洞進行掃描以及安全配置的審查，保證對各配置定期的檢查，對全網(wǎng)數(shù)據(jù)開展內容審計。

2.4外網(wǎng)的安全建設

一般和醫(yī)院門戶系統(tǒng)、預約掛號系統(tǒng)、醫(yī)保以及外聯(lián)單位展開網(wǎng)絡互聯(lián)，和信息中心核心系統(tǒng)互聯(lián)，需要在外網(wǎng)接入處設置防火墻、硬件殺毒、IPS，也能夠設置新一代安全裝置，增加各種功能板塊，完成安全隔離的同時也實現(xiàn)物理安全保障。

2.5安全管理體系建設

安全管理體系方面堅持安全體系建設原則，建立專項安全領導與實施部門，制定并公開相關管理制度，并及時由專項小組審核與完善，相關的安全意識教育與培訓也是必不可少的，并且對工作人員開展安全知識與能力考核。

3 醫(yī)院信息安全體系建設的優(yōu)勢與實施要點

3.1醫(yī)院信息安全體系建設的優(yōu)勢

伴隨我國醫(yī)療衛(wèi)生事業(yè)的持續(xù)發(fā)展與改革的不斷深化，數(shù)字化的模式對醫(yī)療衛(wèi)生服務的影響越來越大，信息化也不斷普及，因此信息安全體系的建設也就尤為重要。為響應國家相關政策與切實保護醫(yī)療系統(tǒng)信息安全，就需要將國家細心安全等級保護為根本指導原則，從技術實施和安全管理兩個層面來充分考慮，保障醫(yī)院信息系統(tǒng)的安全性與隱私性，進而推動我國醫(yī)療衛(wèi)生事業(yè)的發(fā)展和優(yōu)化。

3.2醫(yī)院信息安全體系建設的實施要點

3.2.1檢測網(wǎng)絡綜合威脅

當下安全建設的要點是傳統(tǒng)信息化建設和安全不夠系統(tǒng)化，注重硬件建設和網(wǎng)絡建設，相應的忽略了軟件與數(shù)據(jù)。信息系統(tǒng)的建立不夠系統(tǒng)化和規(guī)范化，管理與安全運維相分離，缺乏全面與系統(tǒng)的平臺，因此建立網(wǎng)絡綜合威脅檢測系統(tǒng)與運維管理系統(tǒng)有利于信息安全的全面管理。

3.2.2提升醫(yī)院對威脅預測能力

利用威脅情報與局級持續(xù)性威脅（Advanced Persistent Threat，APT）檢測技術來完成安全建設與整體預防，將威脅信息和網(wǎng)絡中具體數(shù)據(jù)比對研究，結合攻擊定位、追溯根源和威脅截斷等各種工作流程，從根源上避免安全問題的發(fā)生。從系統(tǒng)安全整體框架設計時就考慮到監(jiān)測發(fā)現(xiàn)、數(shù)據(jù)上報、預測和應對的綜合工作過程，建設以問題監(jiān)測發(fā)現(xiàn)為起點，實現(xiàn)閉環(huán)的共同防御處理的信息安全系統(tǒng)。

3.2.3建設網(wǎng)絡威脅感應平臺

借助快速搜索手段強化數(shù)據(jù)查找技能，在大數(shù)據(jù)發(fā)掘比對的基礎上采用危險代碼智能監(jiān)測技術手段提高感應危險代碼的技能;源于輕量級沙箱的未知代碼攻擊監(jiān)測手段強化感知未知漏洞的技能。并且為有效應對信息安全問題，提升運維能力， 把重要的核心設施展開聯(lián)動處理優(yōu)化，把設置在不同地方的重要設施日志信息及時傳送至感知平臺，開展全面安全監(jiān)測。

3.2.4生物識別雙環(huán)節(jié)驗證

在平臺登錄身份驗證環(huán)節(jié)采用生物識別技術。借助動態(tài)的驗證與生物識別保障操作者、使用權限與系統(tǒng)的統(tǒng)一。操作者能夠采用手機增加指紋識別與面容識別等形式得到登錄授權，實現(xiàn)動態(tài)登錄管理與單點登錄，保障和提高信息安全系統(tǒng)的操作和控制的安全性。

3.2.5業(yè)務操作安全網(wǎng)關與監(jiān)測方案

安全管控、內部操作規(guī)范也是信息安全管理系統(tǒng)的重要構成因素，要求對日常的 安全操作進行建模，對日常行為模型意外的風險操作展開分析處理。比如異常異地登錄、 非常規(guī)時間操作、頻繁操作、超出操作權限等行為。因此可以引入業(yè)務操做安令網(wǎng)關，經(jīng)過制訂策略制與安全建模整體對比研究醫(yī)療安全和內部操作風險。在這個層面上通過操作監(jiān)測系統(tǒng)開展全面檢測，把危險信號、行為管控、 網(wǎng)絡綜合感應系統(tǒng)、終端安全等有關數(shù)據(jù)實施關聯(lián)、定位與判斷。如此能夠真正的把操作者、技術與安全管理融為一個整體，可以讓綜合方案表現(xiàn)出協(xié)同聯(lián)動與系統(tǒng)應對的建設理念。

4 結語

醫(yī)院信息安全體系的的建設，使系統(tǒng)中的信息能夠在可靠的環(huán)境中傳送與使用，最大限度的保護了患者的相關信息與個人隱私，使眾多患者與醫(yī)護人員的合法權益得到保障，也讓醫(yī)院信息系統(tǒng)能夠為病人提供更為安全和穩(wěn)定的服務。

參考文獻

[1]王暉.醫(yī)療衛(wèi)生行業(yè)信息安全等級保護實施指南[M].石家莊：河北出版?zhèn)髅郊瘓F，2014.

[2]王才有，湯學軍，董方杰，等.全國三級醫(yī)院信息化情況調查研究[J].中國衛(wèi)生信息管理雜志，2016.

[3]唐江波.基于醫(yī)院信息安全等級保護的整改實踐[J].中國數(shù)字醫(yī)學，2018.

[4]湯斌，黃玉成.三級等保下醫(yī)院信息系統(tǒng)安全優(yōu)化方案實踐[J].中國醫(yī)療設備，2018.

[5]孟凡紅，樊紅雨，侯酉娟.基于數(shù)據(jù)挖掘技術的用戶信息需求研究[J].醫(yī)學信息學雜志，2011.

[6]張浩，蘇晗，崔雷.利用共詞聚類分析法探討國際疾病分類相關研究文獻的熱點[J].醫(yī)學信息學雜志，2008.