叢亮

摘 要 二級等保建設(shè)是二級醫(yī)院根據(jù)信息化系統(tǒng)運行的實際情況，制定和采取必要的安全防護措施，保證數(shù)據(jù)中心、終端、網(wǎng)絡(luò)等方面的安全的實踐性工作。雖然近年來醫(yī)院不斷加大二級等保建設(shè)方面的資源投入，防范和管控各種安全風(fēng)險，但信息化發(fā)展中存在的黑客惡意攻擊、蠕蟲病毒、木馬等安全性隱患仍然是威脅醫(yī)院網(wǎng)絡(luò)安全的突出問題。文章在介紹醫(yī)院信息系統(tǒng)的安全現(xiàn)狀的基礎(chǔ)上，就醫(yī)院二級等保建設(shè)的實踐性策略進行探討研究，以豐富醫(yī)院二級等保建設(shè)的思路和方法。

關(guān)鍵詞 醫(yī)院信息系統(tǒng);二級等保;信息安全

前言

2018年4月，衛(wèi)健委發(fā)布的《全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范》從軟硬件建設(shè)、安全保障、新興技術(shù)應(yīng)用等幾個方面規(guī)范了醫(yī)院信息化建設(shè)的主要內(nèi)容和要求[1]，為二級醫(yī)院信息化建設(shè)提供了明確的方向指引。該標(biāo)準(zhǔn)中將醫(yī)院信息化建設(shè)中的安全防護劃分為數(shù)據(jù)中心安全、終端安全、網(wǎng)絡(luò)安全、容災(zāi)備份等4個類別，這使得二級等保建設(shè)覆蓋了醫(yī)院臨床業(yè)務(wù)和管理工作開展的各方面，使醫(yī)院二級等保建設(shè)的目標(biāo)和內(nèi)容更加全面、科學(xué)。然而，對于二級醫(yī)院來說，如何將標(biāo)準(zhǔn)中明確的安全防護的具體內(nèi)容落實到實踐性活動中，切實實現(xiàn)安全防護的目標(biāo)，是需要根據(jù)醫(yī)院信息化建設(shè)的實際情況進行思考和探索的[2]。

1醫(yī)院信息系統(tǒng)的安全現(xiàn)狀

圖1是目前二級醫(yī)院所使用的信息系統(tǒng)的拓?fù)鋱D。通過該圖可以看出，現(xiàn)階段的醫(yī)院信息系統(tǒng)主要有專網(wǎng)互聯(lián)區(qū)和外網(wǎng)互聯(lián)區(qū)兩個網(wǎng)絡(luò)專區(qū)，對應(yīng)的端口有連接醫(yī)保專網(wǎng)的端口和連接互聯(lián)網(wǎng)的端口。從安全防護的角度來審視醫(yī)院信息系統(tǒng)可以發(fā)現(xiàn)，目前除了醫(yī)保專網(wǎng)有出口防護墻進行安全防護以外，其他端口和區(qū)域均沒有部署相應(yīng)的安全防護措施，這就使得醫(yī)院信息系統(tǒng)的局部及整體都存在較大的安全隱患。總體來看，目前的醫(yī)院信息系統(tǒng)運行中的安全性問題主要有以下幾方面。

1.1 網(wǎng)絡(luò)邊界區(qū)域缺乏必要的防護措施

網(wǎng)絡(luò)邊界區(qū)域是指不同網(wǎng)絡(luò)功能區(qū)的過渡性、交叉性區(qū)域，這里往往是網(wǎng)絡(luò)安全防護的薄弱之處。通過圖1可以看出，目前系統(tǒng)中的網(wǎng)絡(luò)出口邊界區(qū)域和互聯(lián)網(wǎng)邊界區(qū)域是防護比較脆弱的地方。其中網(wǎng)絡(luò)出口的邊界區(qū)域缺少相應(yīng)的入侵防護系統(tǒng)，這容易使系統(tǒng)對可能來自外部的惡意軟件，及蠕蟲、木馬、病毒等入侵性強的風(fēng)險缺少有效的防護;互聯(lián)網(wǎng)邊界區(qū)域則缺乏相應(yīng)的防病毒系統(tǒng)，容易導(dǎo)致信息系統(tǒng)對來自外部網(wǎng)絡(luò)的惡意代碼供給和病毒等不安全性因素的檢測和攔截失效，威脅信息系統(tǒng)整體的安全[3]。

1.2 系統(tǒng)缺乏必要的安全運維

安全運維是借助系統(tǒng)的安全審計和維護功能來進行系統(tǒng)的自我安全運營、維護，以保證系統(tǒng)運行的安全性。目前，醫(yī)院信息系統(tǒng)中存在的安全運維問題主要表現(xiàn)在兩方面：其一，內(nèi)部網(wǎng)絡(luò)種缺乏相應(yīng)的安全審計系統(tǒng)，導(dǎo)致系統(tǒng)對內(nèi)部網(wǎng)絡(luò)行為、服務(wù)器訪問操作等進行基礎(chǔ)性的審計，導(dǎo)致內(nèi)部網(wǎng)絡(luò)安全缺乏常態(tài)化的維護;其二，內(nèi)部網(wǎng)絡(luò)審計系統(tǒng)的缺乏使得內(nèi)部服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備及安全設(shè)備的統(tǒng)一性安全運維變得困難重重，內(nèi)部服務(wù)器中的重要數(shù)據(jù)信息缺乏基本的安全防護，容易遭受各種病毒的攻擊。（圖見文末）

2 醫(yī)院開展二級等保建設(shè)的具體策略

通過對醫(yī)院當(dāng)前使用的信息系統(tǒng)的安全防護問題分析可以看出，目前醫(yī)院二級等保建設(shè)的關(guān)注點應(yīng)當(dāng)放在網(wǎng)絡(luò)邊界區(qū)域的安全防護和常態(tài)化的網(wǎng)絡(luò)運維。因此，醫(yī)院可以將這兩方面作為二級等保建設(shè)的側(cè)重點，以此為參考來尋求具體的策略。

2.1 加強網(wǎng)絡(luò)邊界區(qū)域的安全防護

鑒于網(wǎng)絡(luò)邊界區(qū)域在安全方面的脆弱性，在等保建設(shè)過程中，要通過諸如醫(yī)保專網(wǎng)運行所設(shè)立的出口防火墻一樣的防護措施，通過在醫(yī)院專網(wǎng)互聯(lián)區(qū)的邊界處設(shè)置相應(yīng)的防火墻，來增強內(nèi)部服務(wù)器的基礎(chǔ)性安全防護，防止蠕蟲、木馬等不安全性因素對網(wǎng)絡(luò)的侵襲[4]。同時，要通過加強網(wǎng)絡(luò)邊界區(qū)域的安全訪問權(quán)限控制來減少不必要人員對網(wǎng)絡(luò)信息的訪問，保證服務(wù)器的安全性。

2.2 強化系統(tǒng)的安全審計和運維

審計是及時發(fā)現(xiàn)問題和進行安全預(yù)警的重要措施。根據(jù)當(dāng)前醫(yī)院信息系統(tǒng)建設(shè)的實際情況，要通過在核心交換機處設(shè)置安全審計系統(tǒng)的方式來增強系統(tǒng)的安全審計功能，借助數(shù)據(jù)的實施動態(tài)監(jiān)測和審計來及時發(fā)現(xiàn)各種敏感信息和違規(guī)網(wǎng)絡(luò)行為，并及時進行網(wǎng)絡(luò)報警，確保網(wǎng)絡(luò)防護工作做到位[5]。同時，要在系統(tǒng)的運維管理區(qū)部署相應(yīng)的安全運維堡壘主機，來對網(wǎng)絡(luò)設(shè)備進行常態(tài)化的運營維護和監(jiān)測，保證系統(tǒng)運行的安全性。

3結(jié)束語

隨著醫(yī)院規(guī)模的持續(xù)擴大、信息化進程的持續(xù)推進，醫(yī)院二級等保建設(shè)工作的重要性和必要性日益凸顯。針對當(dāng)前醫(yī)院信息系統(tǒng)安全防護方面存在的問題，要通過相應(yīng)的技術(shù)手段加以發(fā)現(xiàn)和消除，切實保證系統(tǒng)運行的安全性和穩(wěn)定性。

參考文獻

[1] 毛丹，孔玉玲.全國二級和三級醫(yī)院信息化建設(shè)及運行現(xiàn)狀[J].現(xiàn)代醫(yī)院管理，2019，17（3）：57-60.

[2] 魏勤，劉艷亭，郭敬鵬，等.基于三級等保標(biāo)準(zhǔn)的醫(yī)院信息安全體系建設(shè)實踐[J].醫(yī)學(xué)信息學(xué)雜志，2019，40（2）：35-39.

[3] 董春梅.某市二級及以上醫(yī)院信息化建設(shè)與管理現(xiàn)狀研究[J].臨床醫(yī)藥文獻電子雜志，2017，4（90）：17797-17798.

[4] 王麗娜，張東軍.河南省37所醫(yī)院信息化建設(shè)的現(xiàn)狀調(diào)查[J].中國衛(wèi)生統(tǒng)計，2017，34（3）：492-493，496.

[5] 顏海威.醫(yī)院信息系統(tǒng)三級等保建設(shè)思路[J].電腦知識與技術(shù)，2016，12（30）：40-41.