李玨

摘要：綜合中國嚴肅的信息安全形勢，全方位剖析醫(yī)院在網絡、資料完整性以及保密性這些因素中存有的信息安全問題，并對這些問題設立安全系統(tǒng)。建立“一個中心下的多重保護體系”在技能方面設立信息系統(tǒng)的安全構架。依據這個構架設立的安全系統(tǒng)保證醫(yī)院信息系統(tǒng)當中首要信息的安全性。根據衛(wèi)生部的要求，三級甲等醫(yī)院的中心交易信息系統(tǒng)安全級別不應低于三級。

關鍵詞：醫(yī)院信息系統(tǒng) ?三級等保 ?信息安全

1 引言

隨著信息技術的日益成長，特別是網絡的大面積普及以及運用，說明了網絡正在深深的關乎并且轉換著人們的生活以及工作形式。愈來愈多的醫(yī)院設立了依附于網絡的信息體系，譬如HIS、OA、財務體系等，它們供予了平常辦公需要的業(yè)務，為工作提供了便捷。網絡對整個社會都在產生著作用，在這個時候，人們對于信息安全的重視力度在持續(xù)的提高。為了完成醫(yī)院工作的信息化、網絡化、電子化，醫(yī)院信息系統(tǒng)承擔著非常重要的作用，作為完成這些工作的首要平臺，它也能作為平常工作生活的首要平臺。但是，近幾年網絡安全問題也在不斷出現(xiàn)，比如不懷好意的黑客進行攻擊、病毒、木馬等問題，就會為醫(yī)院的信息系統(tǒng)帶來不好的后果。簡而言之，設立一個周密、安全的信息系統(tǒng)是非常重要的。

2 系統(tǒng)現(xiàn)狀安全分析

第一，網絡出口界限缺乏對應的侵犯防護體系，不能防范來自于外部的木馬、病毒以及僵尸網絡等。

第二，互聯(lián)網界限缺少對應的防病毒體系，不能監(jiān)測以及阻擋住自網絡的惡意攻擊和病毒等。

第三，內部網絡之中缺少適應的安全審查體系，不能更好的對內部網絡的操作、服務器瀏覽等行為做審查以及日志記載。

第四，Web類服務器前端缺乏適應的Web安全保護器備，不能為針對于 Web 服務器的SQL注入、跨站腳本、跨站虛構攻擊等提供安全保護，并且缺少適應的網頁防修改體系。內部網絡缺少漏洞檢測器備，不能對內部網絡體系做檢測以及管理。

第五，網絡內部缺少適應的運行維持審查體系，不能將內部服務器、數據庫、設備安全等進行綜合安全保護。內部關鍵服務器缺少防木馬系統(tǒng)，不能對服務器實行安全保護，輕易受到病毒的襲擊。

3 建設思路

3.1建設方法

信息安全系統(tǒng)建構是實行安全建造的中心，它供予了建立以及管理信息體系安全的理論指導、過程、用具和目標。界定了全面風險管控以及安全舉措布控的設計形式及策略。讓信息系統(tǒng)安全建造在規(guī)準化以及完善的設計依照中進行，讓建造流程詳盡并且可控。來保護數據價值從輸入端到輸出端的可靠性以及可控性;產生一個完善的事前監(jiān)測預報、事中防控抑制、事后審計追查的防護體系。展現(xiàn)不斷完善的安全運行管理閉環(huán)。醫(yī)院信息系統(tǒng)的信息安全建立要同期根據國家政策規(guī)范的引導，要綜合真實的工作特征和管理狀況，構造各種類、各方面信息系統(tǒng)的差別化、當地化防護水平，并經過制定實行管理戰(zhàn)略，形成面對目前安全舉措和主要系統(tǒng)的運行配備、未知狀況的預防和管控情況。適量的安全建設思維可以把以上的方法論貫通到信息系統(tǒng)的運行時期當中，讓每個階段、每個方面的安全體制互補來完成體系，規(guī)避了安全構建的重復實行以及過量投資。

3.2方案效果

在級別防護規(guī)定中，醫(yī)院資料體系安全提出網絡訪問布控、網絡侵入保護、惡意病毒防護、安全審查、漏洞監(jiān)管、運維審查、安全集合管控等需要。信息系統(tǒng)建造要達成這些目的：

3.2.1邊界安全防范

在醫(yī)院內網界限處布控防火墻，對內部服務器能有一個基本安全保護，達成界限的網絡安全進入管控，確保服務器的安全性。

3.2.2惡意代碼防范

在醫(yī)院專網界限處布控防病毒體系，阻擋從外網進來的病毒軟件等，確保服務器的安全性，達成對惡意代碼的防范。

3.2.3網絡入侵防范

在服務器前端布控入侵保護體系，阻擋從外網、內網和用戶進來的木馬、病毒以及各種惡意攻擊，確保服務器的安全性。

3.2.4Web安全防范

假如在服務器布控像Web類的服務器體系，這就須要在服務器前段布控Web應用防控體系，防范從互聯(lián)網進來的針對于Web應用的進攻，譬如對SQL進入、跨站腳本、惡意進入等進攻行為進行切斷保護，與此同時，在服務器上布控防止改寫應用體系，對資料進行防護。

3.2.5安全審計系統(tǒng)

在醫(yī)院中心交換機支路布控安全審查體系，經過網絡信息的收集、研究、辨別，及時監(jiān)管信息內容、網絡舉動以及網絡流量，覺察和捕捉各類敏感數據、違法網絡行動，及時警報響動，全數紀錄網絡體系當中的各類對話以及事項，完成對網絡數據的自動關聯(lián)解析、評判以及安全事項的精確全程跟蹤定位，達到有情況出現(xiàn)時能有據可依。

3.2.6運維安全管理

在運維管理布控安全運維主機時，對平常所有網絡器備和服務器等的運維做詳盡的紀錄，確保運維的安全。

3.2.7系統(tǒng)安全管理

在醫(yī)院運維區(qū)域布控漏洞檢測體系，能運用漏洞檢測體系對網絡當中的體系、網絡器備等做檢測，及時主動的對網絡當中的資本實行詳盡深刻的漏洞檢驗、解析，并且提出專業(yè)、高效的漏洞防范意見，讓進攻的人沒有機會得逞。在內部服務器和主機當中布控防木馬應用，能高效地對內部以及服務器等實行木馬防范，確保體系不受木馬的影響，而形成體系宕機、信息破壞等嚴肅情況。

3.2.8集中安全管理

在管理區(qū)域布控安全管理平臺，對全部的安全器備實行集中管理，完成信息體系安全狀況的實時解析、實時監(jiān)管、實時管理，提升安全管理效益。

3.3項目效益

安全手段設備足夠確保體系的中心區(qū)域，主要信息安全監(jiān)管體制剛剛形成，并且憑借一定外力提升一定的安全支柱水平，確保整體信息體系的安全以及穩(wěn)固。經過完備安全管理支柱系統(tǒng)，確保運維的安全以及穩(wěn)固，讓醫(yī)院的信息系統(tǒng)本身具備較好的安全運維水平。信息系統(tǒng)合三級等保標準要求的規(guī)定，保證信息系統(tǒng)經過等級測評，涵蓋等級防護基礎80%以上因素，信息系統(tǒng)大都相符于等級保護要求。

4 開展等級測評

信息系統(tǒng)建立完善后，就能開始實施等級保護評判工作，檢測需要公安局的認定，具備“DICP”認定的測評單位，單位名字在“中國信息安全等級保護網”上能搜尋到，測評單位測評時期大多是一個月。在進行測評之后，測評單位會對全部的測評成果進行歸納，并對這些成果做判斷，對醫(yī)院的整體成果做解析，最終遞給測評匯報，告訴醫(yī)院現(xiàn)有的風險、改變意見以及測評成果。測評成果是醫(yī) 院能否經過測評的關鍵根據，依據等級保護相應準則，測評成果分成不符合、一些符合、全部符合，這之中不符合即不通過評判，一些符合和全部符合即通過評判。依據醫(yī)院的每項測評信息，除去290個必須符合的控制項目之外，符合80%往上的就是經過評判。

5 結論

信息系統(tǒng)等級建立能從符合性以及系統(tǒng)內需兩層面分析，而且要定時檢測設立的規(guī)則性、合理性。要在政策規(guī)定的指引下構造醫(yī)院完善的信息系統(tǒng)。要貫徹落實國家級別保護準則，回應衛(wèi)生部推動的等級保護建立工作的指引精神，經過國家級別保護評判，給醫(yī)療領域信息安全系統(tǒng)的建立和等級保護的建立等方面產生試點示范作用。體系內需驅動就是說綜合工作進展，完善系統(tǒng)化建立，確實提升本身信息安全防范能力。完成自主抵御外部攻擊行動，防備內部不規(guī)正行為所帶來的負向影響，減低平常數字化管理的工作困難度，提升對繁雜、異化數據系統(tǒng)的管制效益，達到“有據可依，有技可施”，對已有的、剛有的以及在準備當中的信息系統(tǒng)做相應的規(guī)劃，做規(guī)范化建立，這是建立信息系統(tǒng)的重要意義之處。

參考文獻

[1]迪普科技助力新疆醫(yī)療系統(tǒng)[J].數字通信世界，2014（4）.

[2]李維冬，殷偉東，陳平.南京市衛(wèi)生12320網站等級保護建設要點和思考[J].中國醫(yī)療設備，2016（1）.

[3]周丁華，呂曉娟，張麟，等.數字化醫(yī)院信息安全建設與管理策略[J].中華醫(yī)學圖書情報雜志，2015（6）.