馬端駿

摘要：按照國家信息安全有關(guān)政策的標準以及結(jié)合醫(yī)院信息管理系統(tǒng)的特征和數(shù)字化的發(fā)展趨勢，從醫(yī)院安全體系建設(shè)的需求、要點和優(yōu)勢以及實施重點等多個方面展開了論述，為基于三級等保標準的醫(yī)院信息安全體系的建設(shè)提供一定的借鑒意義。

關(guān)鍵詞：三級等保;信息安全;體系建設(shè)

1 現(xiàn)階段醫(yī)院信息安全體系建設(shè)需求分析

依據(jù)《信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》（GB/T25070-2010）等規(guī)范性政策，且將其與醫(yī)院的具體情況進行結(jié)合來統(tǒng)籌信息安全體系的建設(shè)實施，具體分析了醫(yī)院信息安全體系建設(shè)需求大致分為六個層面：

第一，信息安全體系建設(shè)物理方面安全需求。這一方面主要體現(xiàn)在其實際方位的選擇，需要注重防水、防火與防止靜電等方面，并且還需要保障整個系統(tǒng)運行的電力支持。

第二，信息安全體系建設(shè)的安全需求，這個方面主要體現(xiàn)在用戶訪問限制，網(wǎng)絡(luò)安全審計與病毒侵入的防御等幾部分的問題，保障網(wǎng)絡(luò)層的安全與私密性。

第三，信息安全體系系統(tǒng)層的安全需求，這-需求重點在于加強身份鑒別，保護剩余信息同時要加強信息平臺的資源控制。

第四，信息安全體系應(yīng)用安全需求，應(yīng)用方面的安全保護一般體現(xiàn)在代碼安全、信息流通過程的保密性和軟件的容錯性等。

第五，信息平臺數(shù)據(jù)方面安全需求，這個層面主要體現(xiàn)在保障信息數(shù)據(jù)的安全性和完整性，避免數(shù)據(jù)信息外漏亦或是損失。

第六，信息平臺管理方面安全需求，這一方面主要體現(xiàn)在有關(guān)安全管理機制和規(guī)則的制訂、有關(guān)安全管理部門的建立與落實實施等。

2 醫(yī)院信息安全體系建設(shè)的要點

2.1設(shè)備與系統(tǒng)的部署

依據(jù)整體部署的規(guī)劃完成所有設(shè)備與終端的裝置和調(diào)試，完善設(shè)備的裝配和系統(tǒng)的部署。其中包含系統(tǒng)入侵檢測、網(wǎng)絡(luò)防火墻、漏洞核查等方面。首先是服務(wù)器執(zhí)行的升級完善，將安全固化系統(tǒng)與人工固化合理搭配，停用無效服務(wù)，開展漏洞核查、身份驗證、信息備份等業(yè)務(wù)。其次是數(shù)據(jù)庫的升級完善。采用人工加固的手段把控制機制與數(shù)據(jù)賬號信息進行分離，通過最小授權(quán)原則、使用密令等方式對各種隱私和敏感的環(huán)節(jié)強化管理。再次是對應(yīng)用軟件和系統(tǒng)進行定期的漏洞檢查，保障系統(tǒng)的安全使用，強化用戶身份驗證以及使用、訪問權(quán)限。第四是定期開展數(shù)據(jù)備份，以及啟用殺毒軟件完成主機方面的病毒抵御，終端安全管理機制完成安全檢監(jiān)測，安全管理措施實現(xiàn)整體全面的監(jiān)測。

2.2規(guī)章制度與細聊的梳理

信息安全體系的建立需要遵守“技術(shù)與管理并重，三分技術(shù)加七分管理”的原則。 三級等保標準需要設(shè)立信息安全管理機制，提出明確的安全管理措施、管理機制與工作流程。還需要建立制度的審查和修訂機制，與重要崗位、合作方的有關(guān)工作人員簽署保密書，確定有關(guān)的責任與需要保護的內(nèi)容;安全系統(tǒng)的控制與使用權(quán)限進行分開管理，應(yīng)用身份識別技術(shù)對使用者訪問權(quán)限實施控制;經(jīng)過在各層人員的會議上提出和在內(nèi)網(wǎng)上實行全院工作人員考核等多種形式在本院范圍內(nèi)完成員工的信息安全教育與培訓(xùn)。

2.3內(nèi)網(wǎng)等級保護改造建設(shè)

包括運維管理區(qū)、辦公接入處、核心交換區(qū)、網(wǎng)絡(luò)接入?yún)^(qū)以及數(shù)據(jù)中心區(qū)和開發(fā)測試區(qū)。需要在各種區(qū)域與核心數(shù)據(jù)交換區(qū)互聯(lián)，對用戶操作控制進行身份辨識和行為限制，設(shè)置遠程安全測試評估機制，對系統(tǒng)安全漏洞進行掃描以及安全配置的審查，保證對各配置定期的檢查，對全網(wǎng)數(shù)據(jù)開展內(nèi)容審計。

2.4外網(wǎng)的安全建設(shè)

一般和醫(yī)院門戶系統(tǒng)、預(yù)約掛號系統(tǒng)、醫(yī)保以及外聯(lián)單位展開網(wǎng)絡(luò)互聯(lián)，和信息中心核心系統(tǒng)互聯(lián)，需要在外網(wǎng)接入處設(shè)置防火墻、硬件殺毒、IPS，也能夠設(shè)置新一代安全裝置，增加各種功能板塊，完成安全隔離的同時也實現(xiàn)物理安全保障。

2.5安全管理體系建設(shè)

安全管理體系方面堅持安全體系建設(shè)原則，建立專項安全領(lǐng)導(dǎo)與實施部門，制定并公開相關(guān)管理制度，并及時由專項小組審核與完善，相關(guān)的安全意識教育與培訓(xùn)也是必不可少的，并且對工作人員開展安全知識與能力考核。

3 醫(yī)院信息安全體系建設(shè)的優(yōu)勢與實施要點

3.1醫(yī)院信息安全體系建設(shè)的優(yōu)勢

伴隨我國醫(yī)療衛(wèi)生事業(yè)的持續(xù)發(fā)展與改革的不斷深化，數(shù)字化的模式對醫(yī)療衛(wèi)生服務(wù)的影響越來越大，信息化也不斷普及，因此信息安全體系的建設(shè)也就尤為重要。為響應(yīng)國家相關(guān)政策與切實保護醫(yī)療系統(tǒng)信息安全，就需要將國家細心安全等級保護為根本指導(dǎo)原則，從技術(shù)實施和安全管理兩個層面來充分考慮，保障醫(yī)院信息系統(tǒng)的安全性與隱私性，進而推動我國醫(yī)療衛(wèi)生事業(yè)的發(fā)展和優(yōu)化。

3.2醫(yī)院信息安全體系建設(shè)的實施要點

3.2.1檢測網(wǎng)絡(luò)綜合威脅

當下安全建設(shè)的要點是傳統(tǒng)信息化建設(shè)和安全不夠系統(tǒng)化，注重硬件建設(shè)和網(wǎng)絡(luò)建設(shè)，相應(yīng)的忽略了軟件與數(shù)據(jù)。信息系統(tǒng)的建立不夠系統(tǒng)化和規(guī)范化，管理與安全運維相分離，缺乏全面與系統(tǒng)的平臺，因此建立網(wǎng)絡(luò)綜合威脅檢測系統(tǒng)與運維管理系統(tǒng)有利于信息安全的全面管理。

3.2.2提升醫(yī)院對威脅預(yù)測能力

利用威脅情報與局級持續(xù)性威脅（Advanced Persistent Threat，APT）檢測技術(shù)來完成安全建設(shè)與整體預(yù)防，將威脅信息和網(wǎng)絡(luò)中具體數(shù)據(jù)比對研究，結(jié)合攻擊定位、追溯根源和威脅截斷等各種工作流程，從根源上避免安全問題的發(fā)生。從系統(tǒng)安全整體框架設(shè)計時就考慮到監(jiān)測發(fā)現(xiàn)、數(shù)據(jù)上報、預(yù)測和應(yīng)對的綜合工作過程，建設(shè)以問題監(jiān)測發(fā)現(xiàn)為起點，實現(xiàn)閉環(huán)的共同防御處理的信息安全系統(tǒng)。

3.2.3建設(shè)網(wǎng)絡(luò)威脅感應(yīng)平臺

借助快速搜索手段強化數(shù)據(jù)查找技能，在大數(shù)據(jù)發(fā)掘比對的基礎(chǔ)上采用危險代碼智能監(jiān)測技術(shù)手段提高感應(yīng)危險代碼的技能;源于輕量級沙箱的未知代碼攻擊監(jiān)測手段強化感知未知漏洞的技能。并且為有效應(yīng)對信息安全問題，提升運維能力， 把重要的核心設(shè)施展開聯(lián)動處理優(yōu)化，把設(shè)置在不同地方的重要設(shè)施日志信息及時傳送至感知平臺，開展全面安全監(jiān)測。

3.2.4生物識別雙環(huán)節(jié)驗證

在平臺登錄身份驗證環(huán)節(jié)采用生物識別技術(shù)。借助動態(tài)的驗證與生物識別保障操作者、使用權(quán)限與系統(tǒng)的統(tǒng)一。操作者能夠采用手機增加指紋識別與面容識別等形式得到登錄授權(quán)，實現(xiàn)動態(tài)登錄管理與單點登錄，保障和提高信息安全系統(tǒng)的操作和控制的安全性。

3.2.5業(yè)務(wù)操作安全網(wǎng)關(guān)與監(jiān)測方案

安全管控、內(nèi)部操作規(guī)范也是信息安全管理系統(tǒng)的重要構(gòu)成因素，要求對日常的 安全操作進行建模，對日常行為模型意外的風險操作展開分析處理。比如異常異地登錄、 非常規(guī)時間操作、頻繁操作、超出操作權(quán)限等行為。因此可以引入業(yè)務(wù)操做安令網(wǎng)關(guān)，經(jīng)過制訂策略制與安全建模整體對比研究醫(yī)療安全和內(nèi)部操作風險。在這個層面上通過操作監(jiān)測系統(tǒng)開展全面檢測，把危險信號、行為管控、 網(wǎng)絡(luò)綜合感應(yīng)系統(tǒng)、終端安全等有關(guān)數(shù)據(jù)實施關(guān)聯(lián)、定位與判斷。如此能夠真正的把操作者、技術(shù)與安全管理融為一個整體，可以讓綜合方案表現(xiàn)出協(xié)同聯(lián)動與系統(tǒng)應(yīng)對的建設(shè)理念。

4 結(jié)語

醫(yī)院信息安全體系的的建設(shè)，使系統(tǒng)中的信息能夠在可靠的環(huán)境中傳送與使用，最大限度的保護了患者的相關(guān)信息與個人隱私，使眾多患者與醫(yī)護人員的合法權(quán)益得到保障，也讓醫(yī)院信息系統(tǒng)能夠為病人提供更為安全和穩(wěn)定的服務(wù)。

參考文獻

[1]王暉.醫(yī)療衛(wèi)生行業(yè)信息安全等級保護實施指南[M].石家莊：河北出版?zhèn)髅郊瘓F，2014.

[2]王才有，湯學(xué)軍，董方杰，等.全國三級醫(yī)院信息化情況調(diào)查研究[J].中國衛(wèi)生信息管理雜志，2016.

[3]唐江波.基于醫(yī)院信息安全等級保護的整改實踐[J].中國數(shù)字醫(yī)學(xué)，2018.

[4]湯斌，黃玉成.三級等保下醫(yī)院信息系統(tǒng)安全優(yōu)化方案實踐[J].中國醫(yī)療設(shè)備，2018.

[5]孟凡紅，樊紅雨，侯酉娟.基于數(shù)據(jù)挖掘技術(shù)的用戶信息需求研究[J].醫(yī)學(xué)信息學(xué)雜志，2011.

[6]張浩，蘇晗，崔雷.利用共詞聚類分析法探討國際疾病分類相關(guān)研究文獻的熱點[J].醫(yī)學(xué)信息學(xué)雜志，2008.