汝州市人民醫(yī)院信息化工作經(jīng)過多年的發(fā)展����,信息技術(shù)已得到了廣泛的應(yīng)用����,并且目前醫(yī)院已經(jīng)通過三級醫(yī)院的評定工作。主要業(yè)務(wù)系統(tǒng)如HIS�����、LIS�����、PACS����、EMR等都己實施并應(yīng)用,為醫(yī)院發(fā)展和業(yè)務(wù)應(yīng)用提供了較為良好的支撐���。隨著數(shù)字化醫(yī)院評審標(biāo)準(zhǔn)的完善以及醫(yī)院等級保護測評政策要求的落實����,醫(yī)療衛(wèi)生系統(tǒng)圍繞HIS、EMR�����、LIS���、PACS等核心業(yè)務(wù)系統(tǒng)深入開展信息安全等級保護工作�,并在此基礎(chǔ)上指引后續(xù)信息化安全建設(shè)方向���。
? ? ?隨著醫(yī)療信息安全的日趨嚴(yán)峻的形式��,結(jié)合網(wǎng)絡(luò)安全法和等級保護2.0的要求�,醫(yī)院需完善信息安全組織���、落實安全責(zé)任制,開展管理制度建設(shè)����、技術(shù)措施建設(shè),落實等級保護制度的各項要求�,來提高信息系統(tǒng)安全管理水平和網(wǎng)絡(luò)安全防護能力,減少安全隱患和安全事故��,有效保障信息化健康發(fā)展。
總體設(shè)計�、規(guī)劃合理性
? ?結(jié)合醫(yī)院信息系統(tǒng)特點及安全挑戰(zhàn),我們也可以看出醫(yī)院信息安全風(fēng)險不斷增加�����,系統(tǒng)癱瘓��、信息泄露等各種信息安全不良事件時有發(fā)生���,醫(yī)院信息安全問題的后果和危害���,遠遠超出醫(yī)院信息系統(tǒng)本身的范疇,他不僅可能危及患者��、醫(yī)務(wù)人員和整改醫(yī)院的醫(yī)療服務(wù)�,甚至可能影響社會安定與國家安全。保障醫(yī)院信息安全事關(guān)重大����,那么我們應(yīng)該如何應(yīng)對或如何保障醫(yī)院信息安全。
? ?1����、按照最新的等級保護2.0和《網(wǎng)絡(luò)安全法》要求�,統(tǒng)籌規(guī)劃安全建設(shè)��,合理規(guī)劃安全域���、建立有效的安全技術(shù)保障體系����、完善安全管理體系的建設(shè)��。構(gòu)建一個中心�、三重防護保障的主動防御安全體系(一個中心是指安全管理中心,三重防護由安全計算環(huán)境�、安全區(qū)域邊界以及安全通信網(wǎng)絡(luò)組成)。
?
? ? ? ? 2���、秉承“持續(xù)保護�、不止合規(guī)”的理念����,本著建立真正有效的技術(shù)體系的原則����,構(gòu)建“防御+檢測+響應(yīng)”的安全能力��。使安全技術(shù)體系不再是簡單的堆疊防御手段�����。既能滿足等級保護2.0要求�����,又能充分發(fā)揮安全技術(shù)體系的有效性���,抵御新威脅,切實的解決安全問題�,減少事故發(fā)生的概率。
?
? ? ? ? ?3�����、建立統(tǒng)一的信息安全管理體系��,落實各項管理制度�����,讓醫(yī)院的安全管理體系,有宏觀的設(shè)計�、有清晰的責(zé)任權(quán)限、有合理的制度要求��。同時應(yīng)用包括安全可視化��、統(tǒng)一運維管理的創(chuàng)新的技術(shù)手段���,簡化安全運維管理����,減輕安全運維管理的負擔(dān)��,提升安全運維管理的效率��,最終做到整體防御�����、分區(qū)隔離�;積極防護、內(nèi)外兼防����;自身防御、主動免疫�����;縱深防御�、技管并重。
網(wǎng)絡(luò)安全設(shè)計
醫(yī)院全網(wǎng)安全防護設(shè)計方案將嚴(yán)格按照區(qū)域功能的重要性和網(wǎng)絡(luò)使用的邏輯特性劃分安全域����,并基于安全域之間的邊界隔離及訪問控制要求,各安全域出口部署下一代防火墻進行2-7層訪問控制����。
互聯(lián)網(wǎng)接入?yún)^(qū):配置具備VPN接入能力的防火墻,為遠程運維人員提供安全的接入方式�����;部署入侵防御系統(tǒng)并聯(lián)動未知威脅檢測�,對各類已知和未知入侵行為進行有效阻斷;互聯(lián)網(wǎng)出口�,部署上網(wǎng)行為管理,對互聯(lián)網(wǎng)出口流量進行識別并對流量進行管控�����,提高帶寬利用率的同時保障用戶上網(wǎng)體驗,并按相關(guān)法律法規(guī)進行上網(wǎng)行為審計�。
外聯(lián)接入?yún)^(qū)(醫(yī)保網(wǎng)/農(nóng)合等):配置綜合安全設(shè)備,開啟了防病毒功能����、入侵防御能夠?qū)崿F(xiàn)對流量中入侵行為的檢測與阻斷。
內(nèi)外網(wǎng)之間通過網(wǎng)閘進行物理隔離�。
內(nèi)網(wǎng)安全區(qū):通過數(shù)據(jù)庫審計、日志審計���、運維審計�����、漏洞掃描來滿足等保的合規(guī)性��;通過安全態(tài)勢感知���,整合全網(wǎng)安全信息,及時有效的做出封堵策略下發(fā)給相應(yīng)的邊界安全設(shè)備��,保證內(nèi)網(wǎng)的安全性�����。
內(nèi)網(wǎng)辦公區(qū):在桌面終端上安裝部署準(zhǔn)入控制、終端安全管理已經(jīng)殺毒軟件����,保護辦公PC的安全性����。
等保測評
? ?本項目按照信息安全等級保護測評標(biāo)準(zhǔn)進行安全等級測評。測評內(nèi)容主要包括兩個方面:一是單元測評����,測評指標(biāo)與《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》(GB/T 22239-2019)相應(yīng)等級的基本要求完全一致;二是系統(tǒng)整體測評����,主要測評分析信息系統(tǒng)的整體安全性。
