醫院信息系統三級等保建設思路

李玨

摘要：綜合中國嚴肅的信息安全形勢，全方位剖析醫院在網絡、資料完整性以及保密性這些因素中存有的信息安全問題，并對這些問題設立安全系統。建立“一個中心下的多重保護體系”在技能方面設立信息系統的安全構架。依據這個構架設立的安全系統保證醫院信息系統當中首要信息的安全性。根據衛生部的要求，三級甲等醫院的中心交易信息系統安全級別不應低于三級。

關鍵詞：醫院信息系統 ?三級等保 ?信息安全

1 引言

隨著信息技術的日益成長，特別是網絡的大面積普及以及運用，說明了網絡正在深深的關乎并且轉換著人們的生活以及工作形式。愈來愈多的醫院設立了依附于網絡的信息體系，譬如HIS、OA、財務體系等，它們供予了平常辦公需要的業務，為工作提供了便捷。網絡對整個社會都在產生著作用，在這個時候，人們對于信息安全的重視力度在持續的提高。為了完成醫院工作的信息化、網絡化、電子化，醫院信息系統承擔著非常重要的作用，作為完成這些工作的首要平臺，它也能作為平常工作生活的首要平臺。但是，近幾年網絡安全問題也在不斷出現，比如不懷好意的黑客進行攻擊、病毒、木馬等問題，就會為醫院的信息系統帶來不好的后果。簡而言之，設立一個周密、安全的信息系統是非常重要的。

2 系統現狀安全分析

第一，網絡出口界限缺乏對應的侵犯防護體系，不能防范來自于外部的木馬、病毒以及僵尸網絡等。

第二，互聯網界限缺少對應的防病毒體系，不能監測以及阻擋住自網絡的惡意攻擊和病毒等。

第三，內部網絡之中缺少適應的安全審查體系，不能更好的對內部網絡的操作、服務器瀏覽等行為做審查以及日志記載。

第四，Web類服務器前端缺乏適應的Web安全保護器備，不能為針對于 Web 服務器的SQL注入、跨站腳本、跨站虛構攻擊等提供安全保護，并且缺少適應的網頁防修改體系。內部網絡缺少漏洞檢測器備，不能對內部網絡體系做檢測以及管理。

第五，網絡內部缺少適應的運行維持審查體系，不能將內部服務器、數據庫、設備安全等進行綜合安全保護。內部關鍵服務器缺少防木馬系統，不能對服務器實行安全保護，輕易受到病毒的襲擊。

3 建設思路

3.1建設方法

信息安全系統建構是實行安全建造的中心，它供予了建立以及管理信息體系安全的理論指導、過程、用具和目標。界定了全面風險管控以及安全舉措布控的設計形式及策略。讓信息系統安全建造在規準化以及完善的設計依照中進行，讓建造流程詳盡并且可控。來保護數據價值從輸入端到輸出端的可靠性以及可控性;產生一個完善的事前監測預報、事中防控抑制、事后審計追查的防護體系。展現不斷完善的安全運行管理閉環。醫院信息系統的信息安全建立要同期根據國家政策規范的引導，要綜合真實的工作特征和管理狀況，構造各種類、各方面信息系統的差別化、當地化防護水平，并經過制定實行管理戰略，形成面對目前安全舉措和主要系統的運行配備、未知狀況的預防和管控情況。適量的安全建設思維可以把以上的方法論貫通到信息系統的運行時期當中，讓每個階段、每個方面的安全體制互補來完成體系，規避了安全構建的重復實行以及過量投資。

3.2方案效果

在級別防護規定中，醫院資料體系安全提出網絡訪問布控、網絡侵入保護、惡意病毒防護、安全審查、漏洞監管、運維審查、安全集合管控等需要。信息系統建造要達成這些目的：

3.2.1邊界安全防范

在醫院內網界限處布控防火墻，對內部服務器能有一個基本安全保護，達成界限的網絡安全進入管控，確保服務器的安全性。

3.2.2惡意代碼防范

在醫院專網界限處布控防病毒體系，阻擋從外網進來的病毒軟件等，確保服務器的安全性，達成對惡意代碼的防范。

3.2.3網絡入侵防范

在服務器前端布控入侵保護體系，阻擋從外網、內網和用戶進來的木馬、病毒以及各種惡意攻擊，確保服務器的安全性。

3.2.4Web安全防范

假如在服務器布控像Web類的服務器體系，這就須要在服務器前段布控Web應用防控體系，防范從互聯網進來的針對于Web應用的進攻，譬如對SQL進入、跨站腳本、惡意進入等進攻行為進行切斷保護，與此同時，在服務器上布控防止改寫應用體系，對資料進行防護。

3.2.5安全審計系統

在醫院中心交換機支路布控安全審查體系，經過網絡信息的收集、研究、辨別，及時監管信息內容、網絡舉動以及網絡流量，覺察和捕捉各類敏感數據、違法網絡行動，及時警報響動，全數紀錄網絡體系當中的各類對話以及事項，完成對網絡數據的自動關聯解析、評判以及安全事項的精確全程跟蹤定位，達到有情況出現時能有據可依。

3.2.6運維安全管理

在運維管理布控安全運維主機時，對平常所有網絡器備和服務器等的運維做詳盡的紀錄，確保運維的安全。

3.2.7系統安全管理

在醫院運維區域布控漏洞檢測體系，能運用漏洞檢測體系對網絡當中的體系、網絡器備等做檢測，及時主動的對網絡當中的資本實行詳盡深刻的漏洞檢驗、解析，并且提出專業、高效的漏洞防范意見，讓進攻的人沒有機會得逞。在內部服務器和主機當中布控防木馬應用，能高效地對內部以及服務器等實行木馬防范，確保體系不受木馬的影響，而形成體系宕機、信息破壞等嚴肅情況。

3.2.8集中安全管理

在管理區域布控安全管理平臺，對全部的安全器備實行集中管理，完成信息體系安全狀況的實時解析、實時監管、實時管理，提升安全管理效益。

3.3項目效益

安全手段設備足夠確保體系的中心區域，主要信息安全監管體制剛剛形成，并且憑借一定外力提升一定的安全支柱水平，確保整體信息體系的安全以及穩固。經過完備安全管理支柱系統，確保運維的安全以及穩固，讓醫院的信息系統本身具備較好的安全運維水平。信息系統合三級等保標準要求的規定，保證信息系統經過等級測評，涵蓋等級防護基礎80%以上因素，信息系統大都相符于等級保護要求。

4 開展等級測評

信息系統建立完善后，就能開始實施等級保護評判工作，檢測需要公安局的認定，具備“DICP”認定的測評單位，單位名字在“中國信息安全等級保護網”上能搜尋到，測評單位測評時期大多是一個月。在進行測評之后，測評單位會對全部的測評成果進行歸納，并對這些成果做判斷，對醫院的整體成果做解析，最終遞給測評匯報，告訴醫院現有的風險、改變意見以及測評成果。測評成果是醫 院能否經過測評的關鍵根據，依據等級保護相應準則，測評成果分成不符合、一些符合、全部符合，這之中不符合即不通過評判，一些符合和全部符合即通過評判。依據醫院的每項測評信息，除去290個必須符合的控制項目之外，符合80%往上的就是經過評判。

5 結論

信息系統等級建立能從符合性以及系統內需兩層面分析，而且要定時檢測設立的規則性、合理性。要在政策規定的指引下構造醫院完善的信息系統。要貫徹落實國家級別保護準則，回應衛生部推動的等級保護建立工作的指引精神，經過國家級別保護評判，給醫療領域信息安全系統的建立和等級保護的建立等方面產生試點示范作用。體系內需驅動就是說綜合工作進展，完善系統化建立，確實提升本身信息安全防范能力。完成自主抵御外部攻擊行動，防備內部不規正行為所帶來的負向影響，減低平常數字化管理的工作困難度，提升對繁雜、異化數據系統的管制效益，達到“有據可依，有技可施”，對已有的、剛有的以及在準備當中的信息系統做相應的規劃，做規范化建立，這是建立信息系統的重要意義之處。

參考文獻

[1]迪普科技助力新疆醫療系統[J].數字通信世界，2014（4）.

[2]李維冬，殷偉東，陳平.南京市衛生12320網站等級保護建設要點和思考[J].中國醫療設備，2016（1）.

[3]周丁華，呂曉娟，張麟，等.數字化醫院信息安全建設與管理策略[J].中華醫學圖書情報雜志，2015（6）.