王彩學(xué) 葉葳蕤

摘要：醫(yī)院信息系統(tǒng)信息安全按照“機(jī)構(gòu)踐行方針，技術(shù)支撐管理，系統(tǒng)劃分門類”的建設(shè)原則，采用“外部感知試探，內(nèi)部強(qiáng)化加固”的防護(hù)模式進(jìn)行建設(shè)。倡導(dǎo)成立行業(yè)級(jí)監(jiān)管機(jī)構(gòu)和認(rèn)證機(jī)構(gòu)，對(duì)醫(yī)院信息系統(tǒng)進(jìn)行認(rèn)證。系統(tǒng)安全防護(hù)建設(shè)過(guò)程中，須要政策、財(cái)力、人力、后勤和技術(shù)五大層面的支持。

關(guān)鍵詞：醫(yī)院信息系統(tǒng);信息安全;安全建設(shè)原則;安全防護(hù)架構(gòu);行業(yè)級(jí)監(jiān)管機(jī)構(gòu)和認(rèn)證機(jī)構(gòu);安全防護(hù)實(shí)施

中圖分類號(hào)：TP311? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）26-0036-02

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

醫(yī)院信息系統(tǒng)的安全狀況及缺陷，我單位專家張杰宏同志已經(jīng)在《電腦知識(shí)與技術(shù)》雜志中論述過(guò)，詳細(xì)內(nèi)容請(qǐng)參考2019年9月版發(fā)表的論文《醫(yī)院信息系統(tǒng)安全現(xiàn)狀及缺陷》，在此不再贅述。本文主要針對(duì)醫(yī)院信息系統(tǒng)的安全缺陷，提出相應(yīng)的安全防護(hù)方案。

1 醫(yī)院信息系統(tǒng)安全建設(shè)原則

在《醫(yī)院信息系統(tǒng)安全現(xiàn)狀及缺陷》論文當(dāng)中，張杰宏同志將醫(yī)院信息系統(tǒng)分為三類，傳統(tǒng)信息系統(tǒng)、智能醫(yī)療設(shè)備、傳統(tǒng)醫(yī)療設(shè)備。其中傳統(tǒng)醫(yī)療設(shè)備是安全防護(hù)的重點(diǎn)環(huán)節(jié)，理由是傳統(tǒng)醫(yī)療設(shè)備未被信息安全等級(jí)保護(hù)測(cè)評(píng)覆蓋，且構(gòu)造精密，技術(shù)高端，市場(chǎng)被國(guó)外品牌壟斷，我國(guó)家未掌握主動(dòng)權(quán)，所以是安全防護(hù)的重點(diǎn)。根據(jù)醫(yī)院信息系統(tǒng)分類和安全防護(hù)重點(diǎn)，依據(jù)“機(jī)構(gòu)踐行方針，技術(shù)支撐管理，系統(tǒng)劃分門類”的建設(shè)原則，理所當(dāng)然地將防護(hù)工作分為傳統(tǒng)信息系統(tǒng)條線、智能醫(yī)療設(shè)備條線、傳統(tǒng)醫(yī)療設(shè)備條線共三個(gè)條線。同時(shí)從安全方針、安全機(jī)構(gòu)和人員、信息安全管理、信息安全技術(shù)四個(gè)角度，對(duì)醫(yī)院信息安全進(jìn)行建設(shè)。如圖1所示。

2 醫(yī)院信息系統(tǒng)安全防護(hù)架構(gòu)

醫(yī)院信息系統(tǒng)安全防護(hù)架構(gòu)采用“外部感知試探，內(nèi)部強(qiáng)化加固”的防護(hù)模式。安全防護(hù)邊界外部，采用勢(shì)態(tài)感知、風(fēng)險(xiǎn)評(píng)估、漏洞掃描、滲透測(cè)試、等保測(cè)評(píng)、上級(jí)檢查、公安檢查等等多種檢測(cè)方式，探測(cè)系統(tǒng)的安全能力。根據(jù)探測(cè)到的真實(shí)安全防護(hù)能力，對(duì)內(nèi)部進(jìn)行安全加固。安全的核心內(nèi)容是網(wǎng)絡(luò)安全和數(shù)據(jù)安全。加固從兩個(gè)角度共八個(gè)方面進(jìn)行。從技術(shù)角度加固安全規(guī)劃、安全建設(shè)、安全升級(jí)、安全運(yùn)維。從管理角度，豐富安全方針、安全制度、安全機(jī)構(gòu)和安全人員。如圖2所示。

3 倡導(dǎo)成立行業(yè)級(jí)監(jiān)管機(jī)構(gòu)和認(rèn)證機(jī)構(gòu)

醫(yī)院信息系統(tǒng)安全防護(hù)體系比較復(fù)雜，尤其是新興的智能醫(yī)療設(shè)備和種類繁多、技術(shù)含量高的傳統(tǒng)醫(yī)療設(shè)備。單獨(dú)一個(gè)醫(yī)院不具備足夠強(qiáng)大的人力、財(cái)力和技術(shù)力用以支持信息安全建設(shè)。須要建立專業(yè)的行業(yè)級(jí)監(jiān)管和認(rèn)證機(jī)構(gòu)，對(duì)主流的傳統(tǒng)信息系統(tǒng)、智能醫(yī)療設(shè)備、傳統(tǒng)醫(yī)療設(shè)備進(jìn)行全方位的安全認(rèn)證，只有通過(guò)安全認(rèn)證的產(chǎn)品和設(shè)備才允許被各大醫(yī)院購(gòu)買。目的是保證信息安全工作貫徹執(zhí)行，同時(shí)減輕醫(yī)院的工作負(fù)擔(dān)。行業(yè)級(jí)監(jiān)管機(jī)構(gòu)和認(rèn)證機(jī)構(gòu)職能如表1所示。

4 醫(yī)院信息系統(tǒng)安全技術(shù)指標(biāo)

依據(jù)前文分析，傳統(tǒng)信息系統(tǒng)、智能醫(yī)療設(shè)備和傳統(tǒng)醫(yī)療設(shè)備的安全需求差別較大，在制定安全指標(biāo)時(shí)候，要分別為每個(gè)門類制定不同的安全指標(biāo)。如圖3所示。

5 醫(yī)院信息系統(tǒng)安全防護(hù)實(shí)施

安全防護(hù)實(shí)施分為四個(gè)建設(shè)角度和五方面支持，如圖4所示。

建設(shè)方案：應(yīng)授權(quán)專門的部門或者外聘專業(yè)團(tuán)隊(duì)對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃。統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并形成配套文件。組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過(guò)批準(zhǔn)后，才能正式實(shí)施。

安全設(shè)施：預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定，確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門的要求。

團(tuán)隊(duì)配備：從內(nèi)部人員中選拔從事信息安全崗位的人員，簽署崗位安全協(xié)議。成立信息安全管理工作的職能部門，設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)。對(duì)信息安全崗位的人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)。對(duì)安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員，對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒。

工程實(shí)施：授權(quán)專門的部門負(fù)責(zé)工程實(shí)施，制定詳細(xì)的工程實(shí)施方案控制實(shí)施過(guò)程，并要求工程實(shí)施單位能正式地執(zhí)行安全工程過(guò)程。制定工程實(shí)施方面的管理制度，明確說(shuō)明實(shí)施過(guò)程的控制方法和人員行為準(zhǔn)則。授權(quán)專門的部門負(fù)責(zé)測(cè)試驗(yàn)收的管理，并按照管理規(guī)定的要求完成測(cè)試驗(yàn)收工作。測(cè)試驗(yàn)收結(jié)束后，安全建設(shè)工程宣告結(jié)束并投入使用。

各方支持：系統(tǒng)安全防護(hù)建設(shè)過(guò)程中，須要政策、財(cái)力、人力、后勤和技術(shù)五大層面的支持。

6 總結(jié)

“態(tài)度決定一切”，醫(yī)院信息系統(tǒng)安全防護(hù)工作的核心是嚴(yán)肅認(rèn)真的工作態(tài)度，呼吁大家一定要注意信息安全，不可疏忽大意。

參考文獻(xiàn)：

[1] 張杰宏.醫(yī)院信息系統(tǒng)安全現(xiàn)狀及缺陷[J].電腦知識(shí)與技術(shù)，2019（9）.

[2] GBT_22239—2015信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].

【通聯(lián)編輯：唐一東】