摘要:医院信息系统信息安全按照“机构践行方针,技术支撑管理,系统划分门类”的建设原则,采用“外部感知试探,内部强化加固”的防护模式进行建设。倡导成立行业级监管机构和认证机构,对医院信息系统进行认证。系统安全防护建设过程中,须要政策、财力、人力、后勤和技术五大层面的支持。
关键词:医院信息系统;信息安全;安全建设原则;安全防护架构;行业级监管机构和认证机构;安全防护实施
医院信息系统的安全状况及缺陷,我单位专家张杰宏同志已经在《电脑知识与技术》杂志中论述过,详细内容请参考2019年9月版发表的论文《医院信息系统安全现状及缺陷》,在此不再赘述。本文主要针对医院信息系统的安全缺陷,提出相应的安全防护方案。
1医院信息系统安全建设原则
在《医院信息系统安全现状及缺陷》论文当中,张杰宏同志将医院信息系统分为三类,传统信息系统、智能医疗设备、传统医疗设备。其中传统医疗设备是安全防护的重点环节,理由是传统医疗设备未被信息安全等级保护测评覆盖,且构造精密,技术高端,市场被国外品牌垄断,我国家未掌握主动权,所以是安全防护的重点。根据医院信息系统分类和安全防护重点,依据“机构践行方针,技术支撑管理,系统划分门类”的建设原则,理所当然地将防护工作分为传统信息系统条线、智能医疗设备条线、传统医疗设备条线共三个条线。同时从安全方针、安全机构和人员、信息安全管理、信息安全技术四个角度,对医院信息安全进行建设。
2医院信息系统安全防护架构
医院信息系统安全防护架构采用“外部感知试探,内部强化加固”的防护模式。安全防护边界外部,采用势态感知、风险评估、漏洞扫描、渗透测试、等保测评、上级检查、公安检查等等多种检测方式,探测系统的安全能力。根据探测到的真实安全防护能力,对内部进行安全加固。安全的核心内容是网络安全和数据安全。加固从两个角度共八个方面进行。从技术角度加固安全规划、安全建设、安全升级、安全运维。从管理角度,丰富安全方针、安全制度、安全机构和安全人员。
3倡导成立行业级监管机构和认证机构
医院信息系统安全防护体系比较复杂,尤其是新兴的智能医疗设备和种类繁多、技术含量高的传统医疗设备。单独一个医院不具备足够强大的人力、财力和技术力用以支持信息安全建设。须要建立专业的行业级监管和认证机构,对主流的传统信息系统、智能医疗设备、传统医疗设备进行全方位的安全认证,只有通过安全认证的产品和设备才允许被各大医院购买。目的是保证信息安全工作贯彻执行,同时减轻医院的工作负担。
4医院信息系统安全技术指标
依据前文分析,传统信息系统、智能医疗设备和传统医疗设备的安全需求差别较大,在制定安全指标时候,要分别为每个门类制定不同的安全指标。
5医院信息系统安全防护实施
安全防护实施分为四个建设角度和五方面支持。建设方案:应授权专门的部门或者外聘专业团队对信息系统的安全建设进行总体规划。统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件。组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。安全设施:预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。确保安全产品采购和使用符合国家的有关规定,确保密码产品采购和使用符合国家密码主管部门的要求。团队配备:从内部人员中选拔从事信息安全岗位的人员,签署岗位安全协议。成立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。对信息安全岗位的人员进行安全意识教育、岗位技能培训和相关安全技术培训。对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒。工程实施:授权专门的部门负责工程实施,制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程。制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。授权专门的部门负责测试验收的管理,并按照管理规定的要求完成测试验收工作。测试验收结束后,安全建设工程宣告结束并投入使用。各方支持:系统安全防护建设过程中,须要政策、财力、人力、后勤和技术五大层面的支持。
6总结
“态度决定一切”,医院信息系统安全防护工作的核心是严肃认真的工作态度,呼吁大家一定要注意信息安全,不可疏忽大意。
参考文献:
[1]张杰宏.医院信息系统安全现状及缺陷[J].电脑知识与技术,2019(9).
[2]GBT_22239—2015信息安全技术信息系统安全等级保护基本要求[S].
作者:王彩学 叶葳蕤 单位:中国网络安全审查技术与认证中心 四川省软件和信息系统工程测评中心 成都蜀都电子信息产品检测技术有限公司
