业务场景
医院信息系统一般可分成两部分:一是满足管理要求的管理信息系统;二是满足临床医疗要求的临床信息系统。管理信息系统包括门诊挂号、门诊收费、住院登记、住院收费、设备管理、医务统计、辅助决策支持系统。临床信息系统包括门诊医生工作站、病区医生工作站、病区护士工作站、合理用药系统、临床检验系统、医学影像系统、手术麻醉系统、重症监护系统等。
医院内网安全面临的主要问题有:
1、医院对各类信息系统的依赖程度越来越高。以HIS系统为例,涉及到医院所属各部门,对人流、物流、财流全方位管理,患者从挂号、看诊、缴费、手术、住院、出院等等各个环节,都需与其直接挂钩,一旦HIS信息系统出现问题,影响面巨大。
2、医疗信息系统采集、处理、存储大量患者隐私电子化数据。如电子病历、健康档案、电子处方等都涉及到病人的各类基本信息、身体健康信息。一旦泄漏,对患者的隐私造成危害。
3、信息系统面对安全威胁的众多、入门门槛越来越低下。各类大规模的黑客攻击、蠕虫、木马越来越普遍、手段越来越复杂、成组织化、专业化趋势。
4、医院信息系统安全现状堪忧,与发达国家相比,我国卫生行业的信息安全领域的工作推进还处于刚刚起步阶段,信息安全意识相对落后,没有成立专门的信息安全管理组织、没有成套规范的管理体系。已经严重滞后信息化的发展速度。
医院内网是保障医院业务开展的平台,为了有效保障其安全,大多数医院均投入巨资从物理层面进行了严格的内、外网隔离,这两套网络互不通讯。这样的内网相对安全,对保证医院业务系统的安全稳定的运行起到积极作用。
鉴于医院内网业务特点,结合当前网络安全威胁状况,分析医院内网信息安全需求如下:
1、访问控制需求
将内外网整合之后,需要对内网进行细粒度的访问控制策略配置。对于内网的访问要根据会话状态信息把数据流粒度精确到端口级,根据用户和系统之间的访问控制规则粒度精确到单个用户。对策略进行细粒度控制,保证服务最小化。这样可以做到尽可能避免非法人员访问到内网系统,造成不安全隐患。
2、防病毒需求
目前面临的威胁已不仅仅是单纯的病毒,而是更多形式的威胁。为了实现全面的控制,除了防御病毒外,还必须对蠕虫、木马等恶意软件传播进行安全控制。一个更为有效的控制手段是从网络边界入手,切断传播途径,进行网关级的过滤控制。这样,变被动防御为积极主动防御,将混合型威胁阻止在受保护网络之外。为了更严格的对病毒、蠕虫等进行过滤,需要在内外网边界增加防病毒网关,同时双向清洗,阻止病毒由外网传播到内网,也可以阻止病毒由内网传播到外网。
3、入侵防护需求
由于内网区域的重要性,需要在边界部署入侵防护设备,配置较外网区域更为严格的过滤规则,对于入侵行为进行严格的防护。同时开启双向防护策略,防止内网的某些恶意行为渗透到办公区域。
4、内网安全审计需求
医院的统方信息极为敏感,防范以合法授权身份进入HIS系统对数据的非正常访问和操作,对HIS系统误操作、越权操作等也需要进行严格的审计。
5、漏洞管理需求
技术发展造成任何信息系统都不可避免的存在bug,医院内网信息系统漏洞的不断发现给业务系统运维造成极大的威胁;利用弱口令设置、数据库系统漏洞,非授权进入HIS系统访问、拷贝和修改数据内容,甚至可以采用SQL注入,攻击数据库系统,乃至破坏整个网络的正常运行。
在整个内网系统的安全规划和建设过程中,在等级保护的指导下,参考P2DR的安全保障模型,安全体系将按照事前防护、事中检测、事后审计的策略来建设。
网络安全保障系统的建设也是一个循序渐进的过程,要求在整体的安全策略的控制和指导下,综合利用安全防护、检测、响应以及其他辅助措施组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。
本方案坚持预防为主,事前积极预防,及早发现风险隐患,并实现及时有效的修补,技术实现手段为:通过部署网络脆弱性智能评估系统,对网络、系统设备进行漏洞扫描,漏洞修补,对威胁进行管理,访问进行控制,边界部署下一代防火墙NGFW、入侵防护系统IPS,加强访问控制,防范黑客攻击、病毒木马传播,保护内网安全。对医院内不法行为形成威慑,部署网络安全审计系统、堡垒机、数据库审计系统和主机监控与审计系统,按用户需求产生审计报告,及时发现安全事态,分析并解除风险。完善医院应急响应体系,在事件发生时启动,分事件、分级别进行响应,依托审计系统及内网安全管理系统,进行电子取证,追溯事件源头,修补管理漏洞。
技术方案部署如下图所示:
肯飞医院内网安全解决方案综合了技术和管理,为医院信息安全建设出谋划策,为医院信息化进程保驾护航,安全解决方案为用户带来如下效益:
实现对非法人员、非法操作的可知、可审、可查,强化医院的内部控制;
通过信息安全建设,加快数字医院的信息化建设,确保医院业务安全可靠的运行。实时准确掌握医院信息安全动态和数据,为医院管理者提供有效的决策支持;
通过信息安全建设,可以使信息系统达到国家及卫生行业内部关于信息安全等级保护的基本要求,大大提高合规性水平。
Copyright 2017 © 江苏肯飞信息工程有限公司 All Rights Reserved.