新時(shí)代醫(yī)院網(wǎng)絡(luò)信息安全問(wèn)題和對(duì)策
時(shí)間:2022-12-13 08:54:42
導(dǎo)語(yǔ):新時(shí)代醫(yī)院網(wǎng)絡(luò)信息安全問(wèn)題和對(duì)策一文來(lái)源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。
【摘要】當(dāng)前時(shí)代,網(wǎng)絡(luò)信息安全面臨各種威脅,醫(yī)院作為特殊行業(yè),網(wǎng)絡(luò)信息安全工作尤為重要。本文闡述了當(dāng)前醫(yī)院信息化建設(shè)和網(wǎng)絡(luò)信息安全的現(xiàn)狀;總結(jié)了醫(yī)院網(wǎng)絡(luò)信息安全問(wèn)題的主要表相;指出了醫(yī)院網(wǎng)絡(luò)信息安全工作的主要目標(biāo);闡明了醫(yī)院網(wǎng)絡(luò)信息安全的主要對(duì)策。為各醫(yī)療機(jī)構(gòu)如何進(jìn)一步筑牢網(wǎng)絡(luò)信息安全防線提供了參考。
【關(guān)鍵詞】網(wǎng)絡(luò)信息;安全;對(duì)策
一、當(dāng)前醫(yī)院信息化建設(shè)和網(wǎng)絡(luò)信息安全的現(xiàn)狀
隨著互聯(lián)網(wǎng)和信息技術(shù)的飛速發(fā)展,基于“互聯(lián)網(wǎng)+醫(yī)療”的應(yīng)用越來(lái)越普遍。從患者的視角來(lái)看:從預(yù)約、掛號(hào)、就診、檢查、購(gòu)藥、繳交費(fèi)用、檢查化驗(yàn)結(jié)果查看等到更多的信息查詢、醫(yī)患互動(dòng),甚至是部分治療活動(dòng)都可以在網(wǎng)上完成。從醫(yī)院的視角來(lái)看:為了方便患者就醫(yī)、提高工作效率、優(yōu)化業(yè)務(wù)流程、落實(shí)上級(jí)要求、提高醫(yī)院競(jìng)爭(zhēng)力、提升現(xiàn)代醫(yī)院治理水平,建設(shè)了大批的信息系統(tǒng)。在網(wǎng)絡(luò)方面,醫(yī)院往往是有線網(wǎng)、WIFI網(wǎng)、4G和5G網(wǎng)并存使用。同時(shí),基于“醫(yī)聯(lián)體”“互聯(lián)互通”的實(shí)際需求,醫(yī)院的內(nèi)部信息往往要與外部機(jī)構(gòu)對(duì)接傳輸。從外部視角來(lái)看:不論是醫(yī)院各用戶的賬號(hào)密碼信息、還是患者的診療信息、檔案信息,都是不法分子窺覷竊取的資源。另有不法分子以破壞為目的,欲使網(wǎng)絡(luò)或系統(tǒng)癱瘓。近年來(lái)更出現(xiàn)了以勒索為目的黑客攻擊。從內(nèi)部視角來(lái)看:存在由于管理不當(dāng)或人員疏忽造成的數(shù)據(jù)泄露、損壞、丟失等情況,存在軟硬件問(wèn)題造成的網(wǎng)絡(luò)、系統(tǒng)癱瘓;也存在人為主動(dòng)因素造成的網(wǎng)絡(luò)安全事件??梢钥隙ǖ恼f(shuō),隨著時(shí)代的進(jìn)步,網(wǎng)絡(luò)信息安全的表相一定層出不窮,而網(wǎng)絡(luò)信息安全防護(hù)也永遠(yuǎn)在路上。自2007年等保1.0標(biāo)準(zhǔn)實(shí)施以來(lái),我國(guó)網(wǎng)絡(luò)信息安全工作取得長(zhǎng)足發(fā)展。2014年,總書(shū)記指出“沒(méi)有網(wǎng)絡(luò)安全就是沒(méi)有國(guó)家”,指明了網(wǎng)絡(luò)安全在新時(shí)代的極端重要性,2017年網(wǎng)絡(luò)安全法頒布實(shí)施;2019年等保2.0標(biāo)準(zhǔn)執(zhí)行;這些舉措都一再?gòu)?qiáng)調(diào)網(wǎng)絡(luò)信息安全的重要性。
二、醫(yī)院網(wǎng)絡(luò)信息安全工作的主要目標(biāo)
一是機(jī)密性:確保信息數(shù)據(jù)不在有效保密時(shí)限內(nèi)泄漏給非授權(quán)用戶和實(shí)體。二是完整性:確保信息數(shù)據(jù)不被非授權(quán)用戶篡改或偽造。三是可用性:確保用戶正常訪問(wèn)被授權(quán)的系統(tǒng)或資源。四是不可否認(rèn)性:防止信息數(shù)據(jù)的產(chǎn)生方、發(fā)送方或接收方、處理方否認(rèn)有關(guān)事實(shí)。五是實(shí)體鑒別:驗(yàn)證通信實(shí)體的真實(shí)身份。六是可審查性:有手段和依據(jù)可追蹤到出現(xiàn)網(wǎng)絡(luò)信息安全問(wèn)題所在和攻擊根源。七是訪問(wèn)控制:要阻止已知的攻擊行為和病毒進(jìn)入網(wǎng)內(nèi)和系統(tǒng);要限定不同實(shí)體對(duì)業(yè)務(wù)或信息資源訪問(wèn)的范圍。
三、醫(yī)院網(wǎng)絡(luò)信息安全對(duì)策探析
3.1體系化制定網(wǎng)絡(luò)信息安全管理制度
醫(yī)院大多存在“重建設(shè)應(yīng)用,輕管理防范”的現(xiàn)象,存在沒(méi)有實(shí)施與醫(yī)院實(shí)際信息化現(xiàn)狀相匹配的網(wǎng)絡(luò)信息安全管理制度,導(dǎo)致在管理方面缺乏指導(dǎo)性文件;存在網(wǎng)絡(luò)信息安全管理組織架構(gòu)不清晰,各部門(mén)職責(zé)不明確,發(fā)生安全事件缺少及時(shí)有效的防護(hù)和解決方案等問(wèn)題。因此,制定一整套科學(xué)有效的管理制度十分必要。一是成立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,出臺(tái)領(lǐng)導(dǎo)小組章程,網(wǎng)絡(luò)信息安全管理辦法等一套綱領(lǐng)性文件,闡明醫(yī)院網(wǎng)絡(luò)信息安全工作的背景、重要性、目的和意義;初步明確各部門(mén)網(wǎng)絡(luò)信息安全的整體職責(zé)。二是與各部門(mén)負(fù)責(zé)人和重點(diǎn)網(wǎng)絡(luò)信息安全崗位人員簽署網(wǎng)絡(luò)信息安全責(zé)任書(shū),用以將責(zé)任和義務(wù)明確化、具體化,著力提高有關(guān)人員的責(zé)任感和重視度。三是制定網(wǎng)絡(luò)信息安全事件應(yīng)急響應(yīng)預(yù)案。預(yù)案要有針對(duì)性,要將可能發(fā)生的安全事件進(jìn)行分類,并就每種類型制定預(yù)案。預(yù)案要具有高度的可操作性。要開(kāi)展經(jīng)常性的實(shí)戰(zhàn)演練,熟練發(fā)生各類突發(fā)事件時(shí)的操作規(guī)程和處置措施。還應(yīng)根據(jù)情況變化不斷完善應(yīng)急預(yù)案。四是制定數(shù)據(jù)管理、信息技術(shù)規(guī)范、網(wǎng)站管理、新媒體管理、用戶、賬號(hào)和密碼管理等一系列相關(guān)制度。用以闡明各項(xiàng)信息化工作、各個(gè)環(huán)節(jié)具體可能面臨的網(wǎng)絡(luò)信息安全問(wèn)題,指明避免或解決問(wèn)題的方法和措施等。
3.2提升網(wǎng)絡(luò)信息安全意識(shí)和信息化素養(yǎng)
醫(yī)院往往重點(diǎn)關(guān)注的是信息系統(tǒng)功能全不全、性能好不好,而對(duì)系統(tǒng)是否安全缺乏重視。系統(tǒng)投入使用后,在安全方面也缺乏后期主動(dòng)維護(hù),更有很多人認(rèn)為網(wǎng)絡(luò)信息安全只是個(gè)別技術(shù)部門(mén)的事??梢?jiàn),提升網(wǎng)絡(luò)信息安全意識(shí),提高信息化素養(yǎng)非常必要。醫(yī)院可通過(guò)培訓(xùn)、專家講座、互聯(lián)網(wǎng)平臺(tái)、網(wǎng)絡(luò)信息安全知識(shí)競(jìng)賽等方式,廣泛傳播安全知識(shí),宣傳先進(jìn)典型,弘揚(yáng)積極向上的網(wǎng)絡(luò)文化。引導(dǎo)醫(yī)院職工積極參與國(guó)家網(wǎng)絡(luò)安全宣傳周各項(xiàng)活動(dòng),主動(dòng)獲取有關(guān)法律法規(guī)和網(wǎng)絡(luò)安全知識(shí)與技能。對(duì)醫(yī)院職工進(jìn)行網(wǎng)絡(luò)信息安全知識(shí)、技能、法律法規(guī)、內(nèi)部制度及網(wǎng)絡(luò)信息安全重點(diǎn)崗位操作等培訓(xùn),進(jìn)而逐步提升醫(yī)院職工的網(wǎng)絡(luò)信息安全意識(shí)和信息化素養(yǎng)。
3.3培養(yǎng)和引進(jìn)專門(mén)人才
很多醫(yī)院的實(shí)際情況是,醫(yī)院網(wǎng)絡(luò)和系統(tǒng)管理員既是建設(shè)、保障、運(yùn)維者,又是網(wǎng)絡(luò)信息安全管理者,精力往往只夠應(yīng)付日常實(shí)施和運(yùn)維,沒(méi)時(shí)間關(guān)注安全問(wèn)題,更沒(méi)有精力和能力思考和構(gòu)建網(wǎng)絡(luò)信息安全防護(hù)體系。人才是第一資源,醫(yī)院應(yīng)該設(shè)置專門(mén)的網(wǎng)絡(luò)信息安全崗位,培養(yǎng)、引進(jìn)專門(mén)人才,肩負(fù)起網(wǎng)絡(luò)信息安全責(zé)任。當(dāng)前,我國(guó)有很多政府支持的網(wǎng)絡(luò)信息安全培訓(xùn)機(jī)構(gòu),可提供系統(tǒng)化、專業(yè)化、規(guī)范化的培訓(xùn),通過(guò)培訓(xùn),參訓(xùn)者會(huì)得到較大提升,而對(duì)于通過(guò)考核者,還可頒發(fā)CISP和CISAW等證書(shū)。另一方面,2017年8月中央網(wǎng)信辦、教育部印發(fā)《一流網(wǎng)絡(luò)安全學(xué)院建設(shè)示范項(xiàng)目管理辦法》,開(kāi)啟了高校培養(yǎng)專門(mén)網(wǎng)絡(luò)信息安全人才的征程,醫(yī)院應(yīng)高屋建瓴,充分考慮引進(jìn)專門(mén)人才,構(gòu)筑網(wǎng)絡(luò)信息安全防線。
3.4構(gòu)建網(wǎng)絡(luò)信息安全技術(shù)防護(hù)體系
3.4.1加強(qiáng)物理安全物理安全要具備介質(zhì)安全和設(shè)備安全等物理支撐環(huán)境,保護(hù)信息化基礎(chǔ)設(shè)施避免由人為錯(cuò)誤操作、環(huán)境變化、自然災(zāi)害等導(dǎo)致破壞和損失。重要機(jī)房建設(shè)要符合國(guó)家B級(jí)標(biāo)準(zhǔn),有條件的醫(yī)院應(yīng)建立兩個(gè)及以上中心機(jī)房。要配備高性能UPS(不間斷電源)、布置電磁干擾措施、架設(shè)監(jiān)視器、實(shí)施按身份授權(quán)的門(mén)禁系統(tǒng)、部署防雷擊裝置以及消防設(shè)施,建設(shè)預(yù)警報(bào)警平臺(tái)。考慮將重要設(shè)備實(shí)行集中管理,重要通信線路實(shí)行深埋、架空或穿線布置。要強(qiáng)化硬件檢修維護(hù)工作,及時(shí)排除可能存在的安全隱患。3.4.2夯實(shí)網(wǎng)絡(luò)通信安全為確保通信安全首先要使用安全的傳輸媒介;其次,傳輸重要數(shù)據(jù)時(shí),須采取加密措施;同時(shí),可使用監(jiān)控平臺(tái)對(duì)網(wǎng)絡(luò)運(yùn)行情況進(jìn)行監(jiān)控,以盡早發(fā)現(xiàn)和處理問(wèn)題。當(dāng)前,很多醫(yī)院將網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)、外網(wǎng)、監(jiān)控網(wǎng)、5G專用網(wǎng)等;要研究確定好各網(wǎng)絡(luò)的安全區(qū)域邊界,不同區(qū)域之間劃清界限,建立內(nèi)外網(wǎng)隔離和服務(wù)器隔離(DMZ),邊界間配置防(火)毒墻、入侵檢測(cè)、網(wǎng)閘等設(shè)備。通過(guò)鏡像、中間件和用戶隱私鑒別等手段進(jìn)行互聯(lián)。區(qū)域內(nèi)的業(yè)務(wù)盡量采用虛擬化控制策略來(lái)防止非授權(quán)情況下的接入,部署虛擬機(jī)防火墻(VAF)防止病毒越界蔓延[1]。部署漏洞掃描平臺(tái),定期對(duì)網(wǎng)絡(luò)及重要應(yīng)用進(jìn)行檢測(cè),盡早發(fā)現(xiàn)漏洞、盡快修復(fù)漏洞。部署態(tài)勢(shì)感知平臺(tái),為快速分析預(yù)判安全威脅,及時(shí)識(shí)別安全事件,快速響應(yīng)處置方法提供有力保障。3.4.3筑牢信息數(shù)據(jù)安全醫(yī)院為做好信息數(shù)據(jù)防護(hù)應(yīng)從多方面考慮以期形成完善的防護(hù)體系。一是注意存儲(chǔ)可擴(kuò)展性。采購(gòu)的產(chǎn)品不僅能滿足當(dāng)前存儲(chǔ)及備份的需求,而且要充分考慮未來(lái)信息數(shù)據(jù)的增量需求,可以根據(jù)實(shí)際需要隨時(shí)將存儲(chǔ)擴(kuò)容。二是做好存儲(chǔ)備份。應(yīng)針對(duì)重要的信息數(shù)據(jù)采用連續(xù)備份、本地備份、異地備份、云備份等多種備份技術(shù)相結(jié)合的方式進(jìn)行備份,以確保信息數(shù)據(jù)一旦出現(xiàn)問(wèn)題可及時(shí)全面恢復(fù)數(shù)據(jù)。三是靈活運(yùn)用各種工具,多角度多維度多層面對(duì)信息數(shù)據(jù)進(jìn)行防護(hù)。對(duì)數(shù)據(jù)進(jìn)行加密,確保機(jī)密性;使用數(shù)據(jù)防泄漏工具,防止重要數(shù)據(jù)從安全環(huán)境流出;使用數(shù)據(jù)庫(kù)漏洞掃描工具,定期進(jìn)行檢查和安全評(píng)測(cè),及時(shí)修復(fù)數(shù)據(jù)庫(kù)漏洞;不定期巡檢系統(tǒng)日志、重要業(yè)務(wù)數(shù)據(jù);搭建數(shù)據(jù)庫(kù)審計(jì)和用戶行為審計(jì)平臺(tái),實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)操作的精確記錄,并對(duì)不合理的操作進(jìn)行告警和阻斷處理??偟膩?lái)講,醫(yī)院要樹(shù)立積極防御思想,以數(shù)據(jù)安全的機(jī)密性、完整性、可用性為核心目標(biāo)。突出信息數(shù)據(jù)安全防護(hù)的預(yù)警、檢測(cè)、響應(yīng)、保護(hù)、恢復(fù)、追蹤等方面的安全能力[2]。3.4.4注重終端安全終端系統(tǒng)是用戶和網(wǎng)絡(luò)之間的接口,終端安全最重要的就是指?jìng)€(gè)人主機(jī)和服務(wù)器安全。很多安全事件都是在終端被攻擊入侵之后引起的。做好終端安全尤為關(guān)鍵。個(gè)人主機(jī)防護(hù):個(gè)人主機(jī)防護(hù)不當(dāng)極易被攻擊后變成“肉雞”,成為據(jù)此向其他目標(biāo)發(fā)起攻擊的源頭。針對(duì)個(gè)人主機(jī)防護(hù),必須明確主機(jī)歸屬哪個(gè)網(wǎng)絡(luò),并將歸屬不同網(wǎng)絡(luò)之間的主機(jī)邏輯分離;主機(jī)應(yīng)使用正版操作系統(tǒng)并及時(shí)升級(jí);應(yīng)設(shè)置復(fù)雜度較高的登錄密碼;安裝殺毒軟件和防火墻并及時(shí)升級(jí)、定時(shí)查殺。服務(wù)器防護(hù):一是確保安裝在服務(wù)器上的軟件為正版軟件,并做好及時(shí)更新。二是加強(qiáng)服務(wù)器的身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范,安裝殺毒和防惡意代碼軟件并及時(shí)更新、定時(shí)查殺。三是關(guān)閉不使用的端口及默認(rèn)共享功能。四是要細(xì)分用戶權(quán)限,授予各類用戶的最小使用權(quán)限,對(duì)于過(guò)期賬戶及時(shí)刪除。五是要定期修改密碼,密碼設(shè)定符合復(fù)雜度規(guī)則要求。六是需要遠(yuǎn)程登錄的服務(wù)器,須啟用加密措施。七是服務(wù)器應(yīng)盡量避免接入使用U盤(pán)、光盤(pán)等外置設(shè)備。八是對(duì)于重要服務(wù)器,訪問(wèn)其應(yīng)考慮引入CA認(rèn)證系統(tǒng)。九是對(duì)于訪問(wèn)內(nèi)網(wǎng)重要服務(wù)器,還應(yīng)考慮使用準(zhǔn)入控制管理系統(tǒng)。
四、結(jié)束語(yǔ)
在新時(shí)代,隨著新的信息技術(shù)在醫(yī)院信息化建設(shè)中的持續(xù)應(yīng)用,必將帶來(lái)網(wǎng)絡(luò)信息安全新的問(wèn)題,網(wǎng)絡(luò)信息安全工作一定不會(huì)“缺席”。認(rèn)清網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)及其危害,明確網(wǎng)絡(luò)信息安全工作在應(yīng)對(duì)安全事件中的重要作用,從管理制度和信息技術(shù)上搭建網(wǎng)絡(luò)信息安全防護(hù)體系,大力提升防護(hù)和處置能力,是健全醫(yī)院管理體系的重要組成部分。
參考文獻(xiàn)
[1]袁駿毅,潘常青,宓林暉.基于等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系的醫(yī)院信息化安全建設(shè)與研究[J].中國(guó)醫(yī)院,2021,25(01):72-73.
[2]陶海昆,丁寧.數(shù)據(jù)安全防護(hù)體系建設(shè)思考與實(shí)踐[J].金融電子化,2020(06):82-84.
作者:梁曉基 關(guān)繼夫 單位:廣東醫(yī)科大學(xué)附屬第三醫(yī)院廣東醫(yī)科大學(xué)教育技術(shù)與信息中心