医院信息安全建设研究

摘要：随着医疗卫生行业信息化的发展,信息系统给医院工作带来诸多便利，同时也带来信息安全问题，不仅影响医院的运作和管理，而且威胁着病人的诊疗，因此医院信息安全建设势在必行。本文讨论通过安全等级保护制度的建设，探索适合医院信息安全建设的模式并付诸实施，分享一些信息安全建设的策略与宝贵经验。

关键词：医院信息系统；信息安全；信息管理；等级保护

一、引言

随着医院对信息化建设不断深入渗透医院的医疗、科研、教学、后勤保障，医院信息系统不仅是保证医院的正常运转，还是医院财务管理等方面的巨大支撑，并且安全的医疗信息数据才能有效地保护病人的权益、提高治疗效果。因此加强医院信息系统安全建设是医院良好有序发展的前提及客观要求[1]。

二、医院现状及信息安全状况

2.1基本情况。我院现为国家三级甲等医院，是华南地区医疗、教学、科研、保健和康复的重要基地，设有31个大科，100个专科，其中5个国家重点学科、28个国家临床重点专科。医院信息系统自开始建设，经历三代HIS系统的更迭，至今在线服务器和存储近百台，网络设备300余台；业务模块近100个；终端数量近2000台。核心系统包括HIS，CPOE、EMR、PACS、LIS。

2.2安全等保建设前信息系统安全状况。网络采用物理网络隔离的方式，即业务网和互联网物理隔离，但随着医院业务的不断开展，与医保网互联、开通微信平台、通过支付宝微信支付、移动终端接入，业务网不可避免地要跟外网互联，且人为加入无线网卡等连接外部网络等，面临安全风险。安全防范意识上面，未形成有效的安全等级保护的规章制度和领导小组或安全管理手册。

三、医院安全建设规划和实施

3.1规划和原则。国家立法“对信息服务、公共服务、等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害公共利益的关键信息基础设施，实行重点保护”[2]。卫计委要求各医院完成安全等级保护建设。具体提出定级备案、安全整改建设、等级测评、监督检查等工作要求[3]。根据以上指定及实际情况，我院制定出“规划先行、指导为重、分期实施”的总体指导方针。整体上，安全等级保护建设工作分为四个阶段1）自我认知阶段，了解面临的风险，可能的威胁。2）基础改进的阶段，包括根据资产价值治理控制环境。3）规划管理阶段，定义业务内控流程，加强合规管理。4）安全运营阶段，IT风险集中管理与监控。最后达到自行驱动完善信息系统安全。

3.2医院信息系统安全定级。我院对HIS、LIS、PACS、电子病历、OA以及门户网站进行安全等保定级、备案、差距测评以及整改。HIS系统定为3级，PACS、LIS、电子病历、OA以及门户网站定位了2级。

3.3安全建设实施。我院信息安全建设采用安全域划分的方式，采用国内一流的安全产品，与原有的信息系统和网络设备实现无缝衔接，统一管理，快速响应，运行稳定。核心安全产品包括核心UTM、安全域的FW、日志审计、IDS以及终端安全。

四、信息安全建设收益

4.1提高了系统的安全防范能力。如下图所示，体现为四方面1）服务器以及存储只对外提供指定端口，非业务端口流量严禁进入。2）重要业务数据库做操作审计。3）服务器操作系统进行漏洞扫描并及时修补。4）业务软件系统漏洞扫描以及安全检查并修正。

4.2数据中心实现安全域管理划分。新增业务系统按照其等相应的等级加入相应的安全域，快速部署，统一管理，并节省安全建设成本。

4.3信息安全技能提升。通过信息安全建设，技术人员的专业水平显著提高，安全意识增强。完成数次渗透测试与安全加固。应对供电故障，建立了机房双路供电加UPS；应对设备故障，核心设备双活负载均衡，次重要设备硬件冷备份，可在预见时间内恢复网络；应对线路故障，建立备用线路；应对网络攻击，常规化网络监控以及人工网络巡查，攻击出现时可迅速定位攻击来源。

五、安全一体化运维平台建设的新要求

移动互联和物联网，对医院的信息安全提出新的要求，具体做到：认证、加密以及定位，即为：进不来，拿不走，留痕迹（审计）。这三点中最难的是认证，认证必然造成医院临床使用的不便，而部分设备较难实施认证，如一些手持终端、摄像头等。对此，应对的管理方式可以是安装终端管控系统，无感知认证，移动终端只允许在指定区域进行无线接入等。总体上看，持续的安全建设应该是向安全一体化运维平台的方向发展。而这个方向需要管理人员安全管理组织、决策、执行，需要流程化运维，需要一套监控中心、预警中心、事件处理平台、考核中心、知识管理中心、流程驱动的引擎。最终到达的目标是自驱动的管理与技术相融合。即安全管理制度流程化，安全可视化、动态化，形成PDCA风险优化处理闭环。

六、结语

信息安全是动态的，随着技术的发展而变化。信息安全防护没有完全单一而又绝对保险的措施。安全也是适度安全，没有绝对的安全。信息安全应该是管理与技术并重，安全管理制度落地运作，通过信息化手段来实现信息安全管理工作，并随着外界风险的变化进行调整，信息安全应该是持续改进的过程。

参考文献

[1]黄娓娓,刘涛.大家健康,2014,5,8(10):4-5.

[2]《中华人民共和国网络安全法》第三十一条

[3]《卫生行业信息安全等级保护工作的指导意见》,

作者：林琳 余俊蓉 陈宗耿