關(guān)于淺談等保制度對(duì)醫(yī)院信息安全促進(jìn)作用的論文
1 引言
隨著醫(yī)院的發(fā)展和信息化的進(jìn)步,信息系統(tǒng)滲透到醫(yī)院的各個(gè)角落。醫(yī)院的醫(yī)療業(yè)務(wù)、教學(xué)、研究對(duì)信息系統(tǒng)的依賴(lài)性是不容置疑的。醫(yī)院的信息安全不僅是保證醫(yī)院有效秩序的前提 ,還是保障醫(yī)院的財(cái)務(wù)管理等方面巨大的支撐,并且安全的醫(yī)療信息數(shù)據(jù)才能夠有效地提高病人的治療效果、維護(hù)病人的權(quán)益。因此加強(qiáng)管理和監(jiān)控,加強(qiáng)醫(yī)院有關(guān)信息安全系統(tǒng)方面的建設(shè) ,是醫(yī)院良好有序發(fā)展的前提以及客觀(guān)要求[1]。因此對(duì)信息安全的認(rèn)識(shí)從方方面面都得到了前所未有的重視。作為走在信息安全研究前列的大國(guó),美、俄、日等國(guó)家都已制定自己的信息安全發(fā)展戰(zhàn)略和計(jì)劃,確保信息安全沿著正確的方向發(fā)展。2000年初美國(guó)出臺(tái)了電腦空間安全計(jì)劃,旨在加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施、計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)免受威脅的防御能力。2000年7月日本信息技術(shù)戰(zhàn)略本部及信息安全會(huì)擬定了信息安全指導(dǎo)方針。2000年9月俄羅斯批準(zhǔn)了《國(guó)家信息安全構(gòu)想》,明確了保護(hù)信息安全的措施。
我國(guó)對(duì)信息安全研究起步較晚,目前已初步建成了國(guó)家信息安全組織保障體系[2]。我國(guó)在1994年頒布了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》。在以后的十幾年中,國(guó)家又出臺(tái)了多個(gè)法律、法規(guī),對(duì)信息安全等級(jí)保護(hù)的具體內(nèi)容、職責(zé)和工作方法做了具體的規(guī)定。在2007年公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室出臺(tái)了《信息安全等級(jí)保護(hù)管理辦法》。首都醫(yī)科大學(xué)附屬醫(yī)院北京婦產(chǎn)醫(yī)院(以下簡(jiǎn)稱(chēng)“北京婦產(chǎn)醫(yī)院”)正是借著《信息安全等級(jí)保護(hù)管理辦法》的實(shí)行,促進(jìn)了院信息安全工作的發(fā)展,提高了信息安全的水平。從2007年到今天,院信息安全等級(jí)保護(hù)工作已經(jīng)走到了第十個(gè)年頭。這十年信息安全建設(shè)大約分為兩個(gè)階段。
2 第一階段:夯實(shí)制度基礎(chǔ),加強(qiáng)邊界防護(hù)
北京婦產(chǎn)醫(yī)院于2007年10月根據(jù)《信息安全等級(jí)保護(hù)管理辦法》的要求和醫(yī)院的實(shí)際情況,把醫(yī)院的核心系統(tǒng)HIS和LIS系統(tǒng)定為二級(jí)系統(tǒng)。在隨后的幾年中嚴(yán)格按照等級(jí)保護(hù)二級(jí)系統(tǒng)的規(guī)范進(jìn)行建設(shè)。
2.1 制定和完善制度,促進(jìn)安全管理
任何技術(shù)都只是手段,而人是最重要的因素,能把兩者有效的、高效的結(jié)合在一起的是管理。管理又是通過(guò)制度實(shí)現(xiàn)的。參照等級(jí)保護(hù)的要求,增加制定了網(wǎng)絡(luò)安全管理制度、計(jì)算機(jī)病毒防治管理制度、業(yè)務(wù)網(wǎng)絡(luò)安全管理規(guī)定、信息安全數(shù)據(jù)使用授權(quán)制度和重大信息安全事件報(bào)告制度等制度,基本做到了制度完備。通過(guò)信息安全管理相關(guān)規(guī)范的制訂與發(fā)布,確立信息安全方針,對(duì)信息安全管理體系文檔的制訂、發(fā)布、修訂、評(píng)審進(jìn)行約定,以保證信息安全管理規(guī)范文檔的嚴(yán)肅性。通過(guò)制訂全院統(tǒng)一的信息安全策略,有效指導(dǎo)信息安全管理與技術(shù)工作的開(kāi)展,為全院建立了統(tǒng)一的信息安全策略標(biāo)準(zhǔn)。
2.2 提高信息安全意識(shí)
在領(lǐng)導(dǎo)層面,北京婦產(chǎn)醫(yī)院建立了醫(yī)院信息系統(tǒng)安全領(lǐng)導(dǎo)小組,明確信息安全工作由院長(zhǎng)負(fù)責(zé),成員包括信息科、院辦、醫(yī)務(wù)科等相關(guān)科室領(lǐng)導(dǎo)。在基層層面,根據(jù)技術(shù)專(zhuān)長(zhǎng)和日常工作把工作人員安排為信息安全管理員、安全審計(jì)員、系統(tǒng)管理員等。這樣不僅使每個(gè)人了解信息安全,還要負(fù)責(zé)信息安全的事,同時(shí)也讓工作人員時(shí)時(shí)刻刻有信息安全的意識(shí),還把信息安全內(nèi)容納入到每年進(jìn)修人員和新入職人員培訓(xùn)日程之中。
2.3 加強(qiáng)中心機(jī)房的安全建設(shè)和管理
北京婦產(chǎn)醫(yī)院參照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》進(jìn)行信息化基礎(chǔ)設(shè)施建設(shè)。中心機(jī)房配置門(mén)禁系統(tǒng),機(jī)房出入口安排專(zhuān)人值守,控制、鑒別和記錄進(jìn)入的人員。外來(lái)人員進(jìn)出機(jī)房須獲得機(jī)房管理員的授權(quán),對(duì)人員及設(shè)備進(jìn)出情況進(jìn)行記錄。中心機(jī)房?jī)?nèi)服務(wù)器、網(wǎng)絡(luò)設(shè)備均安置在機(jī)柜內(nèi)并固定,對(duì)設(shè)備與走線(xiàn)進(jìn)行了標(biāo)識(shí)。中心機(jī)房設(shè)置防盜報(bào)警系統(tǒng)、視頻監(jiān)控系統(tǒng)、自動(dòng)消防系統(tǒng)、空調(diào)周?chē)惭b漏水檢測(cè)報(bào)警系統(tǒng)等物理安全設(shè)備。目前中心機(jī)房物理環(huán)境基本達(dá)到了等級(jí)保護(hù)三級(jí)系統(tǒng)所要求的物理環(huán)境,物理安全防護(hù)措施相對(duì)完善。
2.4 部署了基線(xiàn)網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)
此系統(tǒng)能夠通過(guò)SNMP協(xié)議獲得被監(jiān)控網(wǎng)絡(luò)設(shè)備、服務(wù)器、通訊線(xiàn)路、網(wǎng)段、應(yīng)用等有關(guān)信息,包括系統(tǒng)信息、網(wǎng)絡(luò)連接、TCP連接、程序運(yùn)行、 ARP表、路由表以及CPU負(fù)荷等。網(wǎng)絡(luò)管理員可以通過(guò)此系統(tǒng)對(duì)全網(wǎng)絡(luò)可以實(shí)時(shí)的監(jiān)控。此系統(tǒng)還可以對(duì)IP地址的全局使用情況有一個(gè)清晰準(zhǔn)確的統(tǒng)計(jì),對(duì)于 IP地址使用的管理、分配都可以起到很好的輔助作用。
2.5 部署了桌面管理系統(tǒng)
此系統(tǒng)能夠遠(yuǎn)程維護(hù)、遠(yuǎn)程控制為網(wǎng)絡(luò)的管理、維護(hù)與故障診斷提供了全方位的平臺(tái)。在管理、維護(hù)或故障排除需要時(shí),網(wǎng)絡(luò)管理員可以通過(guò)本功能遠(yuǎn)程登錄客戶(hù)機(jī),當(dāng)服務(wù)器顯示客戶(hù)機(jī)桌面后,即可以對(duì)其進(jìn)行相應(yīng)的操作。通過(guò)桌面管理系統(tǒng)可以管理外部設(shè)備,我院業(yè)務(wù)網(wǎng)禁用了U盤(pán)、軟驅(qū)、光驅(qū)、UBS等各種各樣的外部存儲(chǔ)設(shè)備,減少病毒通過(guò)外部存儲(chǔ)設(shè)備進(jìn)入到業(yè)務(wù)網(wǎng)中的可能。通過(guò)桌面管理系統(tǒng)指定部分關(guān)鍵終端進(jìn)行IP地址綁定,進(jìn)一步提升了業(yè)務(wù)網(wǎng)的安全性。桌面管理系統(tǒng)還不斷地進(jìn)行更新、升級(jí),以提升網(wǎng)絡(luò)的防護(hù)水平。
北京婦產(chǎn)醫(yī)院通過(guò)信息系統(tǒng)的等級(jí)保護(hù)定級(jí)工作,對(duì)醫(yī)院的信息安全狀況進(jìn)行了一次較為全面的摸底,認(rèn)識(shí)到自身信息安全水平和問(wèn)題所在。針對(duì)信息安全投入了相當(dāng)?shù)牧α,通過(guò)以上和其他措施加強(qiáng)了防篡改、防病毒、防泄密等方面的安全,提升了業(yè)務(wù)網(wǎng)的邊界防護(hù)能力,使其處于基本安全的環(huán)境中。
3 第二階段:持續(xù)性推進(jìn),再上臺(tái)階
2007年至2012年,北京婦產(chǎn)醫(yī)院年門(mén)診量從7萬(wàn)人次增長(zhǎng)11萬(wàn)人次;年出院人次從2.5萬(wàn)人次增長(zhǎng)到約3萬(wàn)人次;病房手術(shù)人次從1.9 萬(wàn)人次增長(zhǎng)到2.5萬(wàn)人次。HIS系統(tǒng)的主要用戶(hù)醫(yī)生、護(hù)士、醫(yī)技人員也從500余個(gè)增加到約1200余個(gè)。HIS系統(tǒng)的應(yīng)用大大提高了醫(yī)院工作效率,使醫(yī)院的資源得到了更合理的優(yōu)化配置。但是同時(shí)對(duì)信息系統(tǒng)的依賴(lài)性越高,也就對(duì)信息系統(tǒng)的安全有了更高的要求。在2012年《北京地區(qū)衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)施細(xì)則》中提出:“三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)的安全保護(hù)等級(jí)原則上不低于第三級(jí)”。針對(duì)過(guò)去的問(wèn)題和三級(jí)的要求,積極進(jìn)行整改和推動(dòng)信息安全工作,在2014年將核心系統(tǒng) - HIS系統(tǒng)原定級(jí)2級(jí)提升為3級(jí)系統(tǒng)。
3.1 確定保護(hù)對(duì)象及其區(qū)域邊界,打好建設(shè)基礎(chǔ)。
根據(jù)北京婦產(chǎn)醫(yī)院業(yè)務(wù)的發(fā)展需要,原有的內(nèi)、外網(wǎng)物理的隔離的網(wǎng)絡(luò)拓?fù)鋵㈦S著區(qū)域衛(wèi)生平臺(tái)、網(wǎng)上預(yù)約掛號(hào)等業(yè)務(wù)的推進(jìn)而發(fā)生結(jié)構(gòu)性的改變。如圖1所示。
因此,醫(yī)院原有相對(duì)獨(dú)立的業(yè)務(wù)網(wǎng)將會(huì)受到來(lái)自互聯(lián)網(wǎng)以及其他第三方網(wǎng)絡(luò)威脅源的攻擊。北京婦產(chǎn)醫(yī)院與時(shí)俱進(jìn),根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》首先確定了保護(hù)對(duì)象及其區(qū)域邊界。根據(jù)醫(yī)院信息系統(tǒng)的計(jì)算環(huán)境劃分情況,圍繞信息系統(tǒng)確定出區(qū)域邊界:
(1)東院業(yè)務(wù)域計(jì)算環(huán)境區(qū)域邊界;
(2)西院業(yè)務(wù)域計(jì)算環(huán)境區(qū)域邊界;
(3)東院終端控制域計(jì)算環(huán)境區(qū)域邊界;
(4)外網(wǎng)業(yè)務(wù)應(yīng)用域計(jì)算環(huán)境區(qū)域邊界;
(5)內(nèi)網(wǎng)數(shù)據(jù)交換前置域計(jì)算環(huán)境區(qū)域邊界;
(6)外網(wǎng)無(wú)線(xiàn)網(wǎng)絡(luò)域邊界;
(7)安全管理域計(jì)算環(huán)境區(qū)域邊界;
(8)內(nèi)網(wǎng)辦公終端域計(jì)算環(huán)境區(qū)域邊界;
(9)外網(wǎng)辦公終端域計(jì)算環(huán)境區(qū)域邊界。
保護(hù)對(duì)象及其區(qū)域邊界的確定,為以后的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)等安全保護(hù)設(shè)計(jì)和實(shí)施奠定了堅(jiān)實(shí)地基礎(chǔ)。
3.2 完善日常安全管理,切實(shí)落實(shí)安全制度
北京婦產(chǎn)醫(yī)院以前更多地關(guān)注技術(shù)的提升,有了等級(jí)保護(hù)要求之后,使得大家能全方位來(lái)看待信息安全。從安全管理平臺(tái)角度來(lái)看,技術(shù)安全和管理安全同等重要,而在實(shí)際工作中,網(wǎng)絡(luò)維護(hù)人員常常忽視管理層面的安全防護(hù),如安全制度的建立和長(zhǎng)期執(zhí)行,機(jī)房登記制度等[3]。
北京婦產(chǎn)醫(yī)院的'信息安全制度根據(jù)實(shí)際情況進(jìn)行不定期修改,使其具有科學(xué)性和可操作性。為保證信息安全制度及各種安全管理手段與技術(shù)的落實(shí),信息科制定了完善的巡檢制度。巡檢人員按規(guī)定時(shí)間、內(nèi)容及技術(shù)路線(xiàn)對(duì)設(shè)備進(jìn)行巡回檢查,巡檢的內(nèi)容涵蓋了全院。硬件包括中心機(jī)房的服務(wù)器、交換機(jī);門(mén)診大廳的自助打印機(jī)、排號(hào)機(jī);中心機(jī)房和各個(gè)樓層設(shè)備間的環(huán)境監(jiān)控和消防等,軟件包括數(shù)據(jù)庫(kù)監(jiān)控、病毒監(jiān)控和移動(dòng)存儲(chǔ)設(shè)備的監(jiān)控;磁盤(pán)空間容量、系統(tǒng)運(yùn)行情況等。巡檢人員每日巡檢項(xiàng)目11大類(lèi)504小項(xiàng),巡檢內(nèi)容還要及時(shí)向上級(jí)進(jìn)行反饋,以保證各種安全隱患的得到及時(shí)處理。同時(shí)還記錄每天的程序改動(dòng)、軟件問(wèn)題等信息,便于事后追溯。
3.3 提高數(shù)據(jù)備份與恢復(fù)能力,降低安全事件帶來(lái)影響和損失
北京婦產(chǎn)醫(yī)院原有利用東、西兩院區(qū)各自獨(dú)立的機(jī)房,采用了后臺(tái)磁盤(pán)陣列之間的遠(yuǎn)程鏡像技術(shù),實(shí)現(xiàn)東、西兩院區(qū)數(shù)據(jù)同步和遠(yuǎn)程容災(zāi)。通過(guò)存儲(chǔ)在不同存儲(chǔ)設(shè)施上的鏡像數(shù)據(jù),可以實(shí)現(xiàn)醫(yī)院內(nèi)部關(guān)鍵業(yè)務(wù)數(shù)據(jù)的備份與快速恢復(fù)。醫(yī)院對(duì)數(shù)據(jù)保護(hù)的方式主要是采用雙機(jī)高可用和備份系統(tǒng)。但是,雙機(jī)熱備系統(tǒng)也只能避免由于網(wǎng)絡(luò)故障、服務(wù)器故障、物理硬盤(pán)故障造成的系統(tǒng)停機(jī)問(wèn)題,如果應(yīng)用數(shù)據(jù)受到病毒感染、人為誤刪除、駭客攻擊、甚至是共享磁盤(pán)陣列故障,應(yīng)用系統(tǒng)也是無(wú)法運(yùn)行的。
隨著等保工作和信息化建設(shè)的推進(jìn),醫(yī)院又配置了CDP保護(hù)設(shè)備,實(shí)現(xiàn)重要數(shù)據(jù)實(shí)時(shí)保護(hù);1-3分鐘內(nèi)找回丟失的數(shù)據(jù),同時(shí)可以恢復(fù)到毫秒級(jí)的數(shù)據(jù)版本狀態(tài),保障核心業(yè)務(wù)數(shù)據(jù)的完整性、一致性、可用性,從而保證核心業(yè)務(wù)系統(tǒng)正常、穩(wěn)定、連續(xù)運(yùn)行;數(shù)據(jù)恢復(fù)過(guò)程簡(jiǎn)單方便;后端重建系統(tǒng),無(wú)停機(jī)時(shí)間;僅復(fù)制上次復(fù)制后已更改的增量數(shù)據(jù),進(jìn)行有效的系統(tǒng)及數(shù)據(jù)備份;大大縮短恢復(fù)過(guò)程,從而減少停機(jī)時(shí)間并保持生產(chǎn)力;如果出現(xiàn)應(yīng)用程序故障或硬盤(pán)崩潰,可以可靠地捕捉啟動(dòng)應(yīng)用程序服務(wù)器所需的數(shù)據(jù)。CDP設(shè)備部署如2圖所示。
CDP設(shè)備不僅能夠輕而易舉的實(shí)現(xiàn)本地的應(yīng)用系統(tǒng)保護(hù)和恢復(fù),而且能夠很輕松的將保護(hù)延伸到遠(yuǎn)程,建立起更為強(qiáng)大的異地容災(zāi)系統(tǒng)。
4 結(jié)束語(yǔ)
信息安全是動(dòng)態(tài)的,隨著技術(shù)的發(fā)展而變化。信息安全防護(hù)沒(méi)有完全單一而又絕對(duì)保險(xiǎn)的安全措施[4]。如果墨守成規(guī),止步不前,必然會(huì)影響信息安全的整體水平。每年按照等級(jí)保護(hù)的要求進(jìn)行自查,可以讓醫(yī)院查缺補(bǔ)漏,對(duì)醫(yī)院的信息安全是很好的督促。醫(yī)院在等級(jí)保護(hù)制度的指導(dǎo)下,持續(xù)性的推進(jìn)信息安全工作,必然會(huì)明顯地降低信息安全的風(fēng)險(xiǎn)。等級(jí)保護(hù)制度還促進(jìn)了衛(wèi)生行業(yè)信息安全建設(shè)的標(biāo)準(zhǔn)化和規(guī)范化。我們有理由認(rèn)為信息安全等級(jí)保護(hù)制度對(duì)醫(yī)院信息安全的建設(shè)、管理等方方面面都有極大的促進(jìn)作用。
【關(guān)于淺談等保制度對(duì)醫(yī)院信息安全促進(jìn)作用的論文】相關(guān)文章:
淺談新醫(yī)院財(cái)務(wù)會(huì)計(jì)制度對(duì)財(cái)務(wù)信息的影響論文07-15
信息技術(shù)對(duì)現(xiàn)代中學(xué)教育的促進(jìn)作用論文10-31
醫(yī)院的信息安全分析及措施論文07-01
數(shù)學(xué)對(duì)音樂(lè)發(fā)展的促進(jìn)作用論文08-08
淺析信息技術(shù)對(duì)現(xiàn)代中學(xué)教育的促進(jìn)作用10-05
淺談醫(yī)院內(nèi)部控制制度的完善會(huì)計(jì)論文08-01
淺談醫(yī)院病案信息管理10-18