汝州市人民醫(yī)院信息化工作經過多年的發(fā)展�����,信息技術已得到了廣泛的應用,并且目前醫(yī)院已經通過三級醫(yī)院的評定工作����。主要業(yè)務系統(tǒng)如HIS、LIS��、PACS����、EMR等都己實施并應用,為醫(yī)院發(fā)展和業(yè)務應用提供了較為良好的支撐�����。隨著數字化醫(yī)院評審標準的完善以及醫(yī)院等級保護測評政策要求的落實,醫(yī)療衛(wèi)生系統(tǒng)圍繞HIS��、EMR���、LIS����、PACS等核心業(yè)務系統(tǒng)深入開展信息安全等級保護工作�,并在此基礎上指引后續(xù)信息化安全建設方向。
? ? ?隨著醫(yī)療信息安全的日趨嚴峻的形式��,結合網絡安全法和等級保護2.0的要求���,醫(yī)院需完善信息安全組織��、落實安全責任制�����,開展管理制度建設����、技術措施建設�,落實等級保護制度的各項要求����,來提高信息系統(tǒng)安全管理水平和網絡安全防護能力���,減少安全隱患和安全事故��,有效保障信息化健康發(fā)展���。
總體設計、規(guī)劃合理性
? ?結合醫(yī)院信息系統(tǒng)特點及安全挑戰(zhàn)�,我們也可以看出醫(yī)院信息安全風險不斷增加,系統(tǒng)癱瘓�����、信息泄露等各種信息安全不良事件時有發(fā)生�����,醫(yī)院信息安全問題的后果和危害��,遠遠超出醫(yī)院信息系統(tǒng)本身的范疇���,他不僅可能危及患者��、醫(yī)務人員和整改醫(yī)院的醫(yī)療服務�,甚至可能影響社會安定與國家安全�����。保障醫(yī)院信息安全事關重大���,那么我們應該如何應對或如何保障醫(yī)院信息安全��。
? ?1�����、按照最新的等級保護2.0和《網絡安全法》要求�,統(tǒng)籌規(guī)劃安全建設���,合理規(guī)劃安全域�、建立有效的安全技術保障體系�����、完善安全管理體系的建設。構建一個中心���、三重防護保障的主動防御安全體系(一個中心是指安全管理中心��,三重防護由安全計算環(huán)境��、安全區(qū)域邊界以及安全通信網絡組成)��。
?
? ? ? ? 2�����、秉承“持續(xù)保護�、不止合規(guī)”的理念��,本著建立真正有效的技術體系的原則�����,構建“防御+檢測+響應”的安全能力��。使安全技術體系不再是簡單的堆疊防御手段��。既能滿足等級保護2.0要求�����,又能充分發(fā)揮安全技術體系的有效性�����,抵御新威脅�����,切實的解決安全問題����,減少事故發(fā)生的概率。
?
? ? ? ? ?3�����、建立統(tǒng)一的信息安全管理體系�����,落實各項管理制度����,讓醫(yī)院的安全管理體系,有宏觀的設計、有清晰的責任權限�、有合理的制度要求。同時應用包括安全可視化���、統(tǒng)一運維管理的創(chuàng)新的技術手段�,簡化安全運維管理����,減輕安全運維管理的負擔,提升安全運維管理的效率��,最終做到整體防御�����、分區(qū)隔離���;積極防護�、內外兼防�;自身防御、主動免疫����;縱深防御、技管并重��。
網絡安全設計
醫(yī)院全網安全防護設計方案將嚴格按照區(qū)域功能的重要性和網絡使用的邏輯特性劃分安全域��,并基于安全域之間的邊界隔離及訪問控制要求���,各安全域出口部署下一代防火墻進行2-7層訪問控制�。
互聯網接入區(qū):配置具備VPN接入能力的防火墻���,為遠程運維人員提供安全的接入方式�����;部署入侵防御系統(tǒng)并聯動未知威脅檢測�����,對各類已知和未知入侵行為進行有效阻斷�;互聯網出口����,部署上網行為管理,對互聯網出口流量進行識別并對流量進行管控�����,提高帶寬利用率的同時保障用戶上網體驗,并按相關法律法規(guī)進行上網行為審計�。
外聯接入區(qū)(醫(yī)保網/農合等):配置綜合安全設備,開啟了防病毒功能���、入侵防御能夠實現對流量中入侵行為的檢測與阻斷��。
內外網之間通過網閘進行物理隔離����。
內網安全區(qū):通過數據庫審計�、日志審計、運維審計����、漏洞掃描來滿足等保的合規(guī)性;通過安全態(tài)勢感知����,整合全網安全信息,及時有效的做出封堵策略下發(fā)給相應的邊界安全設備���,保證內網的安全性��。
內網辦公區(qū):在桌面終端上安裝部署準入控制����、終端安全管理已經殺毒軟件��,保護辦公PC的安全性���。
等保測評
? ?本項目按照信息安全等級保護測評標準進行安全等級測評��。測評內容主要包括兩個方面:一是單元測評����,測評指標與《信息安全技術網絡安全等級保護基本要求》(GB/T 22239-2019)相應等級的基本要求完全一致�����;二是系統(tǒng)整體測評�����,主要測評分析信息系統(tǒng)的整體安全性�����。
