新時代醫(yī)院網(wǎng)絡(luò)信息安全問題和對策
時間:2022-12-13 08:54:42
導(dǎo)語:新時代醫(yī)院網(wǎng)絡(luò)信息安全問題和對策一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。
【摘要】當前時代,網(wǎng)絡(luò)信息安全面臨各種威脅,醫(yī)院作為特殊行業(yè),網(wǎng)絡(luò)信息安全工作尤為重要。本文闡述了當前醫(yī)院信息化建設(shè)和網(wǎng)絡(luò)信息安全的現(xiàn)狀;總結(jié)了醫(yī)院網(wǎng)絡(luò)信息安全問題的主要表相;指出了醫(yī)院網(wǎng)絡(luò)信息安全工作的主要目標;闡明了醫(yī)院網(wǎng)絡(luò)信息安全的主要對策。為各醫(yī)療機構(gòu)如何進一步筑牢網(wǎng)絡(luò)信息安全防線提供了參考。
【關(guān)鍵詞】網(wǎng)絡(luò)信息;安全;對策
一、當前醫(yī)院信息化建設(shè)和網(wǎng)絡(luò)信息安全的現(xiàn)狀
隨著互聯(lián)網(wǎng)和信息技術(shù)的飛速發(fā)展,基于“互聯(lián)網(wǎng)+醫(yī)療”的應(yīng)用越來越普遍。從患者的視角來看:從預(yù)約、掛號、就診、檢查、購藥、繳交費用、檢查化驗結(jié)果查看等到更多的信息查詢、醫(yī)患互動,甚至是部分治療活動都可以在網(wǎng)上完成。從醫(yī)院的視角來看:為了方便患者就醫(yī)、提高工作效率、優(yōu)化業(yè)務(wù)流程、落實上級要求、提高醫(yī)院競爭力、提升現(xiàn)代醫(yī)院治理水平,建設(shè)了大批的信息系統(tǒng)。在網(wǎng)絡(luò)方面,醫(yī)院往往是有線網(wǎng)、WIFI網(wǎng)、4G和5G網(wǎng)并存使用。同時,基于“醫(yī)聯(lián)體”“互聯(lián)互通”的實際需求,醫(yī)院的內(nèi)部信息往往要與外部機構(gòu)對接傳輸。從外部視角來看:不論是醫(yī)院各用戶的賬號密碼信息、還是患者的診療信息、檔案信息,都是不法分子窺覷竊取的資源。另有不法分子以破壞為目的,欲使網(wǎng)絡(luò)或系統(tǒng)癱瘓。近年來更出現(xiàn)了以勒索為目的黑客攻擊。從內(nèi)部視角來看:存在由于管理不當或人員疏忽造成的數(shù)據(jù)泄露、損壞、丟失等情況,存在軟硬件問題造成的網(wǎng)絡(luò)、系統(tǒng)癱瘓;也存在人為主動因素造成的網(wǎng)絡(luò)安全事件。可以肯定的說,隨著時代的進步,網(wǎng)絡(luò)信息安全的表相一定層出不窮,而網(wǎng)絡(luò)信息安全防護也永遠在路上。自2007年等保1.0標準實施以來,我國網(wǎng)絡(luò)信息安全工作取得長足發(fā)展。2014年,總書記指出“沒有網(wǎng)絡(luò)安全就是沒有國家”,指明了網(wǎng)絡(luò)安全在新時代的極端重要性,2017年網(wǎng)絡(luò)安全法頒布實施;2019年等保2.0標準執(zhí)行;這些舉措都一再強調(diào)網(wǎng)絡(luò)信息安全的重要性。
二、醫(yī)院網(wǎng)絡(luò)信息安全工作的主要目標
一是機密性:確保信息數(shù)據(jù)不在有效保密時限內(nèi)泄漏給非授權(quán)用戶和實體。二是完整性:確保信息數(shù)據(jù)不被非授權(quán)用戶篡改或偽造。三是可用性:確保用戶正常訪問被授權(quán)的系統(tǒng)或資源。四是不可否認性:防止信息數(shù)據(jù)的產(chǎn)生方、發(fā)送方或接收方、處理方否認有關(guān)事實。五是實體鑒別:驗證通信實體的真實身份。六是可審查性:有手段和依據(jù)可追蹤到出現(xiàn)網(wǎng)絡(luò)信息安全問題所在和攻擊根源。七是訪問控制:要阻止已知的攻擊行為和病毒進入網(wǎng)內(nèi)和系統(tǒng);要限定不同實體對業(yè)務(wù)或信息資源訪問的范圍。
三、醫(yī)院網(wǎng)絡(luò)信息安全對策探析
3.1體系化制定網(wǎng)絡(luò)信息安全管理制度
醫(yī)院大多存在“重建設(shè)應(yīng)用,輕管理防范”的現(xiàn)象,存在沒有實施與醫(yī)院實際信息化現(xiàn)狀相匹配的網(wǎng)絡(luò)信息安全管理制度,導(dǎo)致在管理方面缺乏指導(dǎo)性文件;存在網(wǎng)絡(luò)信息安全管理組織架構(gòu)不清晰,各部門職責不明確,發(fā)生安全事件缺少及時有效的防護和解決方案等問題。因此,制定一整套科學(xué)有效的管理制度十分必要。一是成立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,出臺領(lǐng)導(dǎo)小組章程,網(wǎng)絡(luò)信息安全管理辦法等一套綱領(lǐng)性文件,闡明醫(yī)院網(wǎng)絡(luò)信息安全工作的背景、重要性、目的和意義;初步明確各部門網(wǎng)絡(luò)信息安全的整體職責。二是與各部門負責人和重點網(wǎng)絡(luò)信息安全崗位人員簽署網(wǎng)絡(luò)信息安全責任書,用以將責任和義務(wù)明確化、具體化,著力提高有關(guān)人員的責任感和重視度。三是制定網(wǎng)絡(luò)信息安全事件應(yīng)急響應(yīng)預(yù)案。預(yù)案要有針對性,要將可能發(fā)生的安全事件進行分類,并就每種類型制定預(yù)案。預(yù)案要具有高度的可操作性。要開展經(jīng)常性的實戰(zhàn)演練,熟練發(fā)生各類突發(fā)事件時的操作規(guī)程和處置措施。還應(yīng)根據(jù)情況變化不斷完善應(yīng)急預(yù)案。四是制定數(shù)據(jù)管理、信息技術(shù)規(guī)范、網(wǎng)站管理、新媒體管理、用戶、賬號和密碼管理等一系列相關(guān)制度。用以闡明各項信息化工作、各個環(huán)節(jié)具體可能面臨的網(wǎng)絡(luò)信息安全問題,指明避免或解決問題的方法和措施等。
3.2提升網(wǎng)絡(luò)信息安全意識和信息化素養(yǎng)
醫(yī)院往往重點關(guān)注的是信息系統(tǒng)功能全不全、性能好不好,而對系統(tǒng)是否安全缺乏重視。系統(tǒng)投入使用后,在安全方面也缺乏后期主動維護,更有很多人認為網(wǎng)絡(luò)信息安全只是個別技術(shù)部門的事。可見,提升網(wǎng)絡(luò)信息安全意識,提高信息化素養(yǎng)非常必要。醫(yī)院可通過培訓(xùn)、專家講座、互聯(lián)網(wǎng)平臺、網(wǎng)絡(luò)信息安全知識競賽等方式,廣泛傳播安全知識,宣傳先進典型,弘揚積極向上的網(wǎng)絡(luò)文化。引導(dǎo)醫(yī)院職工積極參與國家網(wǎng)絡(luò)安全宣傳周各項活動,主動獲取有關(guān)法律法規(guī)和網(wǎng)絡(luò)安全知識與技能。對醫(yī)院職工進行網(wǎng)絡(luò)信息安全知識、技能、法律法規(guī)、內(nèi)部制度及網(wǎng)絡(luò)信息安全重點崗位操作等培訓(xùn),進而逐步提升醫(yī)院職工的網(wǎng)絡(luò)信息安全意識和信息化素養(yǎng)。
3.3培養(yǎng)和引進專門人才
很多醫(yī)院的實際情況是,醫(yī)院網(wǎng)絡(luò)和系統(tǒng)管理員既是建設(shè)、保障、運維者,又是網(wǎng)絡(luò)信息安全管理者,精力往往只夠應(yīng)付日常實施和運維,沒時間關(guān)注安全問題,更沒有精力和能力思考和構(gòu)建網(wǎng)絡(luò)信息安全防護體系。人才是第一資源,醫(yī)院應(yīng)該設(shè)置專門的網(wǎng)絡(luò)信息安全崗位,培養(yǎng)、引進專門人才,肩負起網(wǎng)絡(luò)信息安全責任。當前,我國有很多政府支持的網(wǎng)絡(luò)信息安全培訓(xùn)機構(gòu),可提供系統(tǒng)化、專業(yè)化、規(guī)范化的培訓(xùn),通過培訓(xùn),參訓(xùn)者會得到較大提升,而對于通過考核者,還可頒發(fā)CISP和CISAW等證書。另一方面,2017年8月中央網(wǎng)信辦、教育部印發(fā)《一流網(wǎng)絡(luò)安全學(xué)院建設(shè)示范項目管理辦法》,開啟了高校培養(yǎng)專門網(wǎng)絡(luò)信息安全人才的征程,醫(yī)院應(yīng)高屋建瓴,充分考慮引進專門人才,構(gòu)筑網(wǎng)絡(luò)信息安全防線。
3.4構(gòu)建網(wǎng)絡(luò)信息安全技術(shù)防護體系
3.4.1加強物理安全物理安全要具備介質(zhì)安全和設(shè)備安全等物理支撐環(huán)境,保護信息化基礎(chǔ)設(shè)施避免由人為錯誤操作、環(huán)境變化、自然災(zāi)害等導(dǎo)致破壞和損失。重要機房建設(shè)要符合國家B級標準,有條件的醫(yī)院應(yīng)建立兩個及以上中心機房。要配備高性能UPS(不間斷電源)、布置電磁干擾措施、架設(shè)監(jiān)視器、實施按身份授權(quán)的門禁系統(tǒng)、部署防雷擊裝置以及消防設(shè)施,建設(shè)預(yù)警報警平臺??紤]將重要設(shè)備實行集中管理,重要通信線路實行深埋、架空或穿線布置。要強化硬件檢修維護工作,及時排除可能存在的安全隱患。3.4.2夯實網(wǎng)絡(luò)通信安全為確保通信安全首先要使用安全的傳輸媒介;其次,傳輸重要數(shù)據(jù)時,須采取加密措施;同時,可使用監(jiān)控平臺對網(wǎng)絡(luò)運行情況進行監(jiān)控,以盡早發(fā)現(xiàn)和處理問題。當前,很多醫(yī)院將網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)、外網(wǎng)、監(jiān)控網(wǎng)、5G專用網(wǎng)等;要研究確定好各網(wǎng)絡(luò)的安全區(qū)域邊界,不同區(qū)域之間劃清界限,建立內(nèi)外網(wǎng)隔離和服務(wù)器隔離(DMZ),邊界間配置防(火)毒墻、入侵檢測、網(wǎng)閘等設(shè)備。通過鏡像、中間件和用戶隱私鑒別等手段進行互聯(lián)。區(qū)域內(nèi)的業(yè)務(wù)盡量采用虛擬化控制策略來防止非授權(quán)情況下的接入,部署虛擬機防火墻(VAF)防止病毒越界蔓延[1]。部署漏洞掃描平臺,定期對網(wǎng)絡(luò)及重要應(yīng)用進行檢測,盡早發(fā)現(xiàn)漏洞、盡快修復(fù)漏洞。部署態(tài)勢感知平臺,為快速分析預(yù)判安全威脅,及時識別安全事件,快速響應(yīng)處置方法提供有力保障。3.4.3筑牢信息數(shù)據(jù)安全醫(yī)院為做好信息數(shù)據(jù)防護應(yīng)從多方面考慮以期形成完善的防護體系。一是注意存儲可擴展性。采購的產(chǎn)品不僅能滿足當前存儲及備份的需求,而且要充分考慮未來信息數(shù)據(jù)的增量需求,可以根據(jù)實際需要隨時將存儲擴容。二是做好存儲備份。應(yīng)針對重要的信息數(shù)據(jù)采用連續(xù)備份、本地備份、異地備份、云備份等多種備份技術(shù)相結(jié)合的方式進行備份,以確保信息數(shù)據(jù)一旦出現(xiàn)問題可及時全面恢復(fù)數(shù)據(jù)。三是靈活運用各種工具,多角度多維度多層面對信息數(shù)據(jù)進行防護。對數(shù)據(jù)進行加密,確保機密性;使用數(shù)據(jù)防泄漏工具,防止重要數(shù)據(jù)從安全環(huán)境流出;使用數(shù)據(jù)庫漏洞掃描工具,定期進行檢查和安全評測,及時修復(fù)數(shù)據(jù)庫漏洞;不定期巡檢系統(tǒng)日志、重要業(yè)務(wù)數(shù)據(jù);搭建數(shù)據(jù)庫審計和用戶行為審計平臺,實現(xiàn)對數(shù)據(jù)庫操作的精確記錄,并對不合理的操作進行告警和阻斷處理??偟膩碇v,醫(yī)院要樹立積極防御思想,以數(shù)據(jù)安全的機密性、完整性、可用性為核心目標。突出信息數(shù)據(jù)安全防護的預(yù)警、檢測、響應(yīng)、保護、恢復(fù)、追蹤等方面的安全能力[2]。3.4.4注重終端安全終端系統(tǒng)是用戶和網(wǎng)絡(luò)之間的接口,終端安全最重要的就是指個人主機和服務(wù)器安全。很多安全事件都是在終端被攻擊入侵之后引起的。做好終端安全尤為關(guān)鍵。個人主機防護:個人主機防護不當極易被攻擊后變成“肉雞”,成為據(jù)此向其他目標發(fā)起攻擊的源頭。針對個人主機防護,必須明確主機歸屬哪個網(wǎng)絡(luò),并將歸屬不同網(wǎng)絡(luò)之間的主機邏輯分離;主機應(yīng)使用正版操作系統(tǒng)并及時升級;應(yīng)設(shè)置復(fù)雜度較高的登錄密碼;安裝殺毒軟件和防火墻并及時升級、定時查殺。服務(wù)器防護:一是確保安裝在服務(wù)器上的軟件為正版軟件,并做好及時更新。二是加強服務(wù)器的身份鑒別、訪問控制、安全審計、入侵防范,安裝殺毒和防惡意代碼軟件并及時更新、定時查殺。三是關(guān)閉不使用的端口及默認共享功能。四是要細分用戶權(quán)限,授予各類用戶的最小使用權(quán)限,對于過期賬戶及時刪除。五是要定期修改密碼,密碼設(shè)定符合復(fù)雜度規(guī)則要求。六是需要遠程登錄的服務(wù)器,須啟用加密措施。七是服務(wù)器應(yīng)盡量避免接入使用U盤、光盤等外置設(shè)備。八是對于重要服務(wù)器,訪問其應(yīng)考慮引入CA認證系統(tǒng)。九是對于訪問內(nèi)網(wǎng)重要服務(wù)器,還應(yīng)考慮使用準入控制管理系統(tǒng)。
四、結(jié)束語
在新時代,隨著新的信息技術(shù)在醫(yī)院信息化建設(shè)中的持續(xù)應(yīng)用,必將帶來網(wǎng)絡(luò)信息安全新的問題,網(wǎng)絡(luò)信息安全工作一定不會“缺席”。認清網(wǎng)絡(luò)信息安全的風險及其危害,明確網(wǎng)絡(luò)信息安全工作在應(yīng)對安全事件中的重要作用,從管理制度和信息技術(shù)上搭建網(wǎng)絡(luò)信息安全防護體系,大力提升防護和處置能力,是健全醫(yī)院管理體系的重要組成部分。
參考文獻
[1]袁駿毅,潘常青,宓林暉.基于等級保護2.0標準體系的醫(yī)院信息化安全建設(shè)與研究[J].中國醫(yī)院,2021,25(01):72-73.
[2]陶海昆,丁寧.數(shù)據(jù)安全防護體系建設(shè)思考與實踐[J].金融電子化,2020(06):82-84.
作者:梁曉基 關(guān)繼夫 單位:廣東醫(yī)科大學(xué)附屬第三醫(yī)院廣東醫(yī)科大學(xué)教育技術(shù)與信息中心