导语:如何才能写好一篇医保网络安全管理制度,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
【关键词】医疗保险管理信息系统安全建设
1医疗保险管理信息系统非安全因素分析
医疗保险管理信息系统属于网络信息技术的一部分,这一系统毋庸置疑为医保管理提供了技术支持,带来了巨大便利,然而其中的非安全因素所带来的威胁也是不可忽视的。医疗保险信息系统属于联机系统,
1.1网络信息系统自身的缺点
信息系统作为一个数字系统本身就存在一定的不足,例如:在进行信息录入、传送、存储等工作时,很有可能出现被剽窃、盗取、破坏性等问题,这些都形成了影响信息安全的不良因素;信息网络没能达到稳定、安全的程度,特别是操作系统、通信协议以及信息存储设备中出现了不稳定特征;网络浏览设备本身的安全等级较低;或者磁盘内部信息储存空间做到非安全因素的威胁,导致很多信息外漏,或者存储中介的一些余留信息也受到了威胁,计算机各个系统在运行过程中由于电磁辐射导致了信息外漏现象。
1.3不法分子的非法运作
医疗保险服务属于一项福利事业,带有一定的公益性质,是对参保人员的公益,然而,却又一些不法分子巧取豪夺,为了自身享受到更多、更加广泛的医疗保险服务,不惜利用各种手段破坏信息系统,窃取信息资源,以达到非法占有的目的,这些人为的信息系统破坏无疑构成了巨大的安全威胁,也是一大因素。
2医疗保险管理信息系统安全运行的途径
由于信息系统本身就存在着非安全因素的威胁,这无疑影响了医疗保险工作的全面、长期、安全、有效开展,为了解除这些问题和非安全因素的不良影响,就要积极思考科学的解决方法,采取一些维护系统安全运行的措施,创建一个健全、完善的安全保护系统,可以从组织机构、管理以及技术等方面入手:
2.1创建安全组织机构
系统的安全运行不是单纯依靠某个人的力量就能实现的,而是要通过成立专门的组织机构,内部配置专业的工作者,负责整个信息系统的安全监督与管理,形成一套规范化的安全监管系统,建立责任制,将具体的责任和任务都要落实到人,进而保证系统能够在一个安全、可靠的环境中运行。这一专业机构的大体任务包括:创建具体的工作规范、安全管理模式以及详细的规章制度,再经过各个专业人士的审核通过后严格执行;开展网络信息建设工作,通过安全检测的方法来监督系统安全,通过浏览安全保护方面的信息文件,来探讨科学的安全措施,以达到对安全系统的维护;做好平时的管理、监督工作,全面维护信息系统的安全运行,并做好日常的安全总结,并将这些总结形成文件资料,为以后的工作提供参考、借鉴,同时要积极配合国家安全监管部门的监督,对于安检部门的提出的建议和意见要积极采纳。
安全组织机构安全管理功能与作用的发挥需要一套健全、科学的制度予以保障,只有在制度的规范约束下,才能确保各项工作都顺利有效、有条不紊地开展起来,才能确保系统的安全运行,才能实现信息系统内部的稳定性。因此,医疗保险信息系统安全组织机构内部要创建一套健全、科学的管理制度,用制度来约束机构内部的各项工作,具体的制度规定至少要包含下面一些内容:
第一,计算机工作中心的安全管理制度。也就是机器所在地环境要保持整洁、稳定和安全,要确保计算机系统配置在一个安全稳定、无闲杂人员流动,制定具体的计算机工作中心安全维护制度,使整个机房内的一切工作都在安全制度规定范围内完成。
第二,安全管理责任制度。安全管理工作的开展要分清部门,并具体配置每一个部门的责任人,全面负责这一部门的安全工作,形成安全责任机制,使安全问题同责任人的薪酬待遇以及职权的任免形成联系,这样才能实现整个安全管理系统的有效运转,实现其功能和作用的有效发挥。
第三,网络系统安全威胁监管制度。要制定具体、详细的安全应对制度,当系统出现问题时,根据这些制度规定来得出解决方案,达到系统安全维护与安全管理的制度化、规范化。
同时也要积极完善其他方面的管理制度,例如:人员操作权限管理、用户等级制度等等。
关键词:网络结构;数据备份;网络管理
1、宣钢计算机局域网简介
宣钢计算机局域网始建于2002年,网络实现了东、西区通讯中心、公司大楼三个主节点与各子单位二级节点之间千兆互连和百兆到桌面,实现了宣钢公司网络与Internet互连,为收集、了解国内外市场、高新生产技术、先进经营管理方法等信息提供快速、及时的手段。网络上主要运行有:办公自动化(OA)、档案、医保、计量、运销、财物、视频监控、ERP等应用系统。近几年随着宣钢信息化建设的不断发展,网络用户、应用系统不断增加,计算机局域网安全在企业中显得越来越重要了。
2、宣钢计算机局域网安全现状
2.1物理安全
保证企业局域网内各种设备的物理安全是整个网络安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
2.2网络结构安全
网络结构的安全是整个网络安全的基础。在整个网络结构的安全方面,主要考虑网络结构、系统和路由的优化。网络结构的建立要考虑环境、设备配置与应用情况、网络维护管理、网络应用与业务定位等因素。
2.3病毒的入侵
目前开放的网络病毒具有感染速度快、扩散面广、难于彻底清除、破坏性大特点,它通过共享文件夹、系统漏洞、管理员弱口令、移动设备、垃圾邮件,MSN等方式进行传播。它们的快速传播导致局域网计算机相互感染,直接影响网络的工作,不但降低网络速度,影响工作效率,而且破坏文件系统和网络资源,甚至造成计算机和网络系统的瘫痪。
2.4数据备份系统安全
随着办公自动化(OA)、医保、档案、ERP等系统的深入应用,系统内的服务器担负着宣钢企业的关键应用,存储着重要的信息和数据。因此,建立可靠的网络数据备份系统,保护关键应用的数据安全是网络建设的重要任务,在发生人为、设备或自然灾难的情况下,保证数据不丢失。
2.5网络管理安全
网络管理是网络安全中最重要的部分,责权不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险,因些加强网络管理、建立健全安全管理是不可缺少的一项。
3、宣钢计算机局域网安全防范策略
3.1物理安全策略
宣钢东、西区通讯中心、公司大楼三个网络核心机房环境、电源及防雷接均满足《建筑与建筑群综合布线系统工程设计规范》的要求。在地板均采用防静电活动地板,保证所有网络设备的导线电缆的连接、管道的连接及检修更换都很方便。空调系统采用爱默生机房专业空调,保证了机房设备能够连续、稳定、可靠的运行。机房供电设备采用艾默生网络UPS不间断电源供电,维护人员可以利用WEB浏览器,通过SNMP卡内置WEB服务器,可实时监测到UPS状态、运行参数和历史告警,保证了机房的供电系统的稳定。
3.2网络结构安全策略
在网络结构上,主干网络采用冗余的环形拓扑结构,使主干链路实现更高的安全性和可用性。Cisco6509作为核心交换机,同时加装了冗余引擎板,当发生故障时,可迅速切换,保证了整个网络的连续运行。接入层交换机与核心交换机采用光纤冗余捆绑连接的方式,线路得到冗余。
在出口防火墙pix525和计费网关之间增加流量管理设备ALLOTAC-802,在东区cisco6509上部署网络分析仪FLUKE,监控东区到总公司,东区到西区的主干链路流量。同时在网络中部署了流量管理系统、防火墙系统、以及IP地址反查追踪技术等系统和技术手段,对外网的攻击和内网的不良行为,进行过滤和实时统计,从技术上严格把关,保证网络安全。
3.3病毒防范策略
3.4数据备份系统安全策略
在局域网中,数据备份应用系统的关键服务器从硬件上采用双机热备份技术,由两台服务器系统和与外接共享磁盘阵列柜及相应的双机热备份软件组成。数据存放在外接共享磁盘阵列中,在一台服务器出现故障时,备机主动替代主机工作,保证网络中服务的不间断。普通服务器数据备份在硬件上采用网络存储、磁盘阵列或磁带库等设备,通过SQLServer、SymatecbackExec等专业备份软件,根据不同需求设定备份控制策略,自动地将服务器中数据通过网络备份到网络存储、磁盘阵列或磁带库中,从而保证了网络中数据的可靠性、完整性和安全性。
3.5网络管理安全策略
3.5.1加强领导和职工的安全能力和意识的培训
在网络安全中,人是网络安全中最薄弱的环节,为提高领导和职工网络安全能力和意识,宣钢网络管理部门注重对领导和职工的网络安全知识的培训工作,定期组织对领导和职工进行网络安全知识的培训,通过培训,提高领导和职工的网络安全意识和安全防范能力,减少人为因素对网络安全的影响。
制订了《宣钢网络管理办法》、《宣钢网络用户管理办法》、《宣钢计算机网络与信息系统安全和保密管理办法》等制度对网络系统进行规范管理,并且有针对性的采取措施,按照谁主管、谁负责和预防为主、综合治理、人员防范与技术防范相结合的原则,保证网络系统的安全、可靠、有效运行。
1完善医保管理体系建设
1.1建立健全医保管理组织
为有效提高医保管理质量,中心成立了医保管理领导小组、工作小组,建立了由医疗、护理、医技、药剂、财务、收费、信息、全科服务团队等多个部门协作的组织机构,形成了“中心、科、员”三位一体的管理模式,多个部门相互配合与支持,形成医保管理工作的合力;明确岗位分工和强化岗位职责,有效结合医保质量管理与医疗质量管理,强化医保管理与环节控制,确保医保管理制度及政策的贯彻执行和落实,坚决杜绝医保基金的不合理使用。
1.2领导重视支持医保管理
2注重医保政策学习宣传
2.1有效开展医保政策培训
2.2加强社区医保政策宣传
中心有效开展各种形式的医保政策、“反医保欺诈”等医保知识宣传活动。充分利用区医保办下发的“医保欺诈案例汇编”宣传手册和光盘,在中心候诊大厅和中医楼候诊区滚动播放案例集锦,进一步强化参保人员的法律意识。结合医保年度转换日,积极开展“反医保欺诈”主题宣传活动,不断增强参保人员共同维护医保基金安全的责任意识。同时,开辟社区联动宣传平台,与辖区内街道办事处、各居委会加强联动,利用宣传栏、电子滚动屏、社区健康报等渠道宣传医保政策,促进医保宣传走进社区、走进家庭,增强广大参保人员的防范意识和诚信意识,提升了基层打击防范能力,切实维护医保基金的安全运行和保障参保人员的合法权益。
3贯彻落实药品管理制度
中心药品采购规范,形成由药剂科专人负责、药事管理委员会监督的管理机制。积极配合推进上海市医药采购服务与监管信息系统的启用,中心所有药品全部由市药采信息系统全量、直通采购,采购信息及时、准确、全面上传,确保药品采购平台正常运行。严格贯彻落实沪人社医监(2015)34号《关于进一步加强定点医疗机构门诊用药管理》的通知要求,对中心用量前20位的药品外包装加盖印章并在药房窗口张贴温馨提示;做好药品外包装加盖印章的信息汇总统计、监测工作,有效防范骗保贩药、维护医保基金安全。
4规范内部监督管理制度
4.1完善医保监管体系建设
充分发挥领导小组的作用,定期督查临床科室和各社区卫生服务站医保政策的落实情况;抽查审核门诊电子病历,审核内容主要是合理检查、合理治疗、合理用药和准确收费情况;缺陷问题及时反馈、限期整改、动态跟踪,形成完善的监督和约束机制。
4.2加强门诊委托配药管理
根据《关于保证参保人员医保用药等有关问题的通知》和《关于进一步加强本市医保门诊委托代配药管理的通知》的要求,为保证参保患者用药安全,管好用好医保基金,中心加强了医保门诊委托代配药管理,完善门诊委托配药管理制度。增强预检、挂号收费、门诊医生等岗位人员对就诊对象身份识别的责任意识,做到责任明确、各环节严格控制。预检人员严守第一关,发现身份信息不匹配时认真做好解释宣传工作;临床医生在接诊时,须认真核对患者医保卡信息,坚决杜绝冒用他人医保卡就诊的现象发生;收费处再次核对就诊患者身份信息,杜绝因医生疏忽而发生违规使用医保基金现象的发生。同时,借鉴兄弟单位经验,进一步加强代配药制度的管理,切实维护医保基金安全。
4.3执行违规医师约谈制度
根据《宝山区执业医师违反医保有关规定约谈制度》的要求,每月对医保执行情况进行自查,对违反医保有关规定的执业医师发出约谈通知,由医保管理工作小组组织约谈,做好约谈笔录并存档,对约谈中发现的问题及时落实整改,并加强跟踪、监督,对部分医务人员不合理检查、不合理用药等行为起到了警示作用。
4.4落实医保定期自查制度
4.5异常医保费用动态监控
4.6未纳入医保联网服务站监管
为切实维护医保基金的安全运行,制定、落实未纳入医保联网服务站的医保卡管理制度,定期督查执行情况,原则上做到卡不过夜。
5年度医保预算合理可行
6持续改进医保信息管理
6.1健全医保信息管理制度
建立并完善医保信息安全管理制度、机房访问人员管理制度。信息安全管理人员设置AB角,软件和硬件系统由专人管理、定期维护,并及时更新。严格按照规定,做到内外网物理隔断、机房环境温湿度的监控。严格落实机房每日二次的巡查登记制度。日对帐工作由专人负责,每日上传明细,并做好记录。每个工作站安装杀毒软件,定期更新病毒库,保证中心业务系统及医保网络正常运行。
6.2完善医保网络安全管理
落实第三方服务商的监控与管理、员工的保密工作、数据导入导出的书面记录的督查工作,对涉及信息工作的所有医务人员均签订《信息安全工作协议》,提高了医务人员的信息安全意识,有效保障了网络信息安全。
6.3医保费用实时更新公开
中心所有的药品、开展的检查、诊疗项目的费用信息实行电子屏滚动播放、实时更新,方便患者查询和监督。
7小结
【关键词】医院信息网络;计算机病毒;网络安全;防火墙
随着医院信息系统(HIS)在医院的管理运行中,我院现有网络已覆盖了各业务科室,网络中运行了HIS、PACS、LIS、医保等系统,计算机应用遍布全院各个科室,并且在各系统之间实现了无缝链接,已经成为医院必不可少的基础设施。如果医院的网络系统一旦崩溃,将会造成无法估计的损失,不仅会给医院带来巨大的经济损失,还将造成不良的社会影响。因此,为保障医院各项工作的顺利进行,我们必须重视和加强医院信息系统网络安全管理,管理和保护好系统数据是医院信息管理中必须解决的重要问题。
1.影响医院信息网络安全的因素
对医疗行业提供的网络安全技术解决方案中,仍以防火墙防病毒为主流选择,忽视其他网络管理系统的网络管理功能。随着医院网络整体应用规模的不断扩大,网络安全环境的日益恶化,大规模DOS侵入、蠕虫病毒、垃圾邮件等的大量泛滥,这些安全技术手段逐渐暴漏出某些“先天不足”的问题,引发重要数据的丢失、破坏,造成难以弥补的损失,不仅严重影响到医院网络的正常运行,还直接威胁到患者的隐私和生命安全[1]。目前,影响威胁国内医院信息网络安全问题的主要因素有3个方面:
1.1没有设立专门的网络管理机构,没有行政和技术上的有效安全管理,网络设计缺陷威胁网络安全,比如过于单方面依赖防火墙;没有实行强制性的安全监督、审查、验收机制,特别是没有第三方介入的监督、审查、验收机制;
1.2杀毒软件、系统补丁更新不及时,大部分医院都为业务主机安装了杀毒软件,但由于主机数量较多,维护量大,网管人员无法确保所有主机的病毒库为最新版本。操作系统补丁的更新也存在同样的问题。这样必然无法防御新的病毒或系统漏洞所带来的安全威胁。
1.3操作人员网络安全意识淡薄,缺乏防范意识,没有重视和执行对用户的安全知识的宣传、培训、考核,没有规定和实行医院信息系统安全员配备和持证上岗制度。信息管理部门对网络安全的现状认识不足,缺乏完善的网络安全管理体系,网络安全管理人员和技术人员缺乏必要的专业安全知识。
2.医院网络安全建设
医院信息系统的网络建设是一项大型工程,其设计是否合理对医院网络的未来发展和产生的效益起着极为重要的作用。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。目前医院信息系统的建设,必须考虑计算机技术的发展及医院的实际情况,制定适合本单位的实施方案,遵循“总体规划、逐步投入、分步实施”的信息化建设总体思路进行项目设计,才能取得良好的效果[2]。
2.1总体设计原则
以注重实用和成效为原则,能满足各种应用需求,具有较强的可扩展性,同时应使整个网络高速可靠,能支持不同的网络协议,能提供不同类型的网络接口和互联手段。在医院软件管理系统网络内,各项业务在一个物理网络内,对各个系统和应用之间应充分隔离,有选择地互访控制。充分考虑备用线路和备用服务功能,保证连接的可靠性,同时充分考虑实际情况,在系统总体设计上注意系统的易维护性,降低维护难度和维护成本。为了适应网络技术的快速发展及应用水平的不断提高,整个网络系统要具备良好的开放性、可扩充性。
2.2综合布线物理措施
在网络的设计与建设中,要首先考虑医院建筑物地理位置特点,科学、合理、规范、有序地建设符合标准的布线系统,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害。接入交换机端采用超五类屏蔽双绞线,线路之间避免交叉缠绕,考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离,并与强电保持30cm以上距离,以减少相互干扰,新增网点距离交换机尽可能短,以减少信号衰减。
3.网络安全维护措施
网络安全是一项动态的系统工程,网络安全由安全的操作系统、防火墙、入侵检测、网络监控等多个安全组件组成,一个单独的组件无法确保信息网络的安全性。
3.1网管系统
成熟全面的网络离不开一个有效的网管系统,包括设备管理、端口管理、VLAN的灵活划分及管理。因此,需要利用先进的网络管理软件,实现对多级网络的管理,能提供图形化的操作界面、可浏览设备的配置信息,支持接口使用率实时流量显示。通过网管工作站监测整个网络的运行状况,合理分配网络资源,动态配置网络负载,迅速确定网络故障位置,不但要对单个交换机进行管理,同时还要对多个交换机设备组成的堆叠进行管理[3]。
3.2采用防火墙技术
网络防火墙技术是目前发展起来的一种相对成熟的保护计算机网络安全的技术措施。其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。安装防火墙的位置一般是在医院内部网络与外部因特网的接口处及医院与外单位网络连接的接口处,以阻挡来自外部网络的入侵。
3.3安装正版杀毒软件
安装正版杀毒软件并确保定期升级,在医院计算机网络中,若有一台计算机感染了病毒,就可能通过网络感染网上的任何一台计算机。一旦多台计算机感染了恶性病毒,将导致系统不能正常运行,数据和可执行程序被破坏,甚至网络瘫痪等后果,我院采用卡巴斯基网络版杀毒软件,在客户机和服务器上分别安装相应版本防病毒软件,及时更新病毒库和杀毒引擎,在服务器上编写网络登陆脚本,实现客户端病毒库和杀毒软件引擎的自动派送安装。
3.4网络访问控制的安全措施
医院网络用户的特点是分散处理、高度共享,用户涉及系统管理人员、医护人员、医务管理人员等诸多使用者。用户帐号的合法性主要是确认用户身份的合法,并且可以将用户帐号灵活地与IP、MAC、VLAN、交换机的物理接口、IP、MAC等信息绑定。进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,防止了非法用户侵入网络,确保网络运行安全。
3.5建立信息安全管理制度
要提高认识,加强责任意识、安全意识,强化网络信息安全管理工作的重要性,把网络与信息安全工作切实抓紧、抓实、抓好。经常强调网络安全关系到医院工作的正常运行,要使每个工作人员都意识到安全的重要性,要督促各操作人员严格执行规章和操作规范。要使每个工作人员都意识到安全的重要性,让全体职工自觉地参与到安全保护中来,要督促各操作人员严格执行规章和操作规范,认真执行安全策略,减少安全漏洞,信息化安全才有保障。
4.结束语
随着医院计算机网络的逐步发展,它渐渐成为一个医院关键的、不可缺少的资源。为保障医院网络信息的安全和医院信息管理系统的稳定运行,需要从各种方面看待医院网络的安全。我们必须积极主动的利用各种手段管理网络、诊断问题、防患于未然,只有充分利用先进技术,做好数据备份机制,加强安全意识,才能保证医院信息系统的稳定、高效及数据的安全和完整,把握住医院网络安全的大门,以确保医院信息系统的正常运行。
参考文献
[1]管丽莹等.医院计算机网络及信息安全管理[J].现代医院,2006,5.
[2]张会芹.医院网络的安全维护措施[J].中国医院统计,2006,10(2):191—192.
P键词:医院信息系统;三级等保;信息安全
1引言
随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正深刻影响并改变着人类的生活和工作方式。越来越多的医院建立了依赖于网络的业务信息系统,比如HIS、OA、财务系统等等,它们提供了日常办公所需的业务,便利了工作。互联网对社会各行各业产生了巨大深远的影响,与此同时,信息安全的重要性也在不断提升。
医院信息系统是医院实现办公电子化、网络化、无纸化的重要平台,同时也是开展日常工作的重要平台。然而,近年来,随着网络信息安全的快速发展,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客恶意攻击、蠕虫病毒、木马等,有可能会给医院的信息网络和核心系统造成严重的破坏。所以,建设一个全面、安全的信息系统已刻不容缓。
2系统现状安全分析
医院信息系统现状拓扑图如上图1所示,从整个网络拓扑图可以看出,现阶段医院主要有两个网络出口,包括连接医保专网及连接互联网,互联网区域主要提供给外端用户通过VPN连接接入到内部服务器。在安全防护方面,除了在医保专网的出口边界区域部署有防火墙外,其他地方都没有部署有相应的安全防护措施,主要表现在以下几点:
1)网络出口边界区域缺少相应的入侵防护系统,无法对来自外部的蠕虫、木马、病毒、恶意软件及僵尸网络进行安全防护;
2)在互联网边界区域缺乏相应的防病毒系统,无法对来自互联网的恶意代码攻击、病毒等进行检测和拦截;
3)在内部网络中缺乏相应的安全审计系统,无法对内部的网络行为、服务器访问操作行为等进行审计和日志记录;
4)在Web类服务器前端缺少相应的Web安全防护设备,无法对针对Web服务器的SQL注入、跨站脚本(XSS)、跨站伪造攻击等进行安全防护,同时缺乏相应的网页防篡改系统;
网络内部缺乏漏洞扫描设备,无法对内部服务器系统进行漏洞扫描及漏洞管理;
5)在内部网络缺乏相应的运维审计系统,无法针对内部服务器、数据库、网络设备及安全设备进行统一的安全运维;内部重要服务器上没有安装防病毒系统,无法对服务器进行安全防护,容易遭受病毒的攻击。
3建设思路
3.1建设方法
信息安全体系框架是实施安全建设的灵魂和核心,它提供了构建和管理信息系统安全性的理论指南、流程、工具和指标。定义了全面风险管理和安全措施部署的设计路线和方针。使信息系统安全建设在标准化和完备的设计依据中进行,使建设过程具体而可控。从而维护信息价值从输入端至输出端的可信性和可控性;形成完备的事前监控预警、事中防御控制、事后审查追溯的防护机制。呈现持续改进的安全运行管理闭环。
医院信息系统的信息安全建设会同时依据国家/行业政策标准的指导,因而需要结合现实的业务特点与管理情况,构建各类别各层面信息系统的差异化、本地化保护能力,并通过制订运行管理策略,形成面向当前安全措施及关键系统的运行配置、未知风险的预警与控制情况。
适度化的安全建设思想能够将上述的方法论贯穿于信息资产的运行周期中,使各阶段、各层面的安全机制相互补足而形成体系,避免了安全建设的重复实施和过度投资。
3.2方案效果
在等级保护要求中,医院信息系统安全提出网络访问控制、网络入侵防护、恶意代码防范(防病毒)、安全审计、漏洞管理、运维审计、安全集中管理等需求。本次信息系统安全建设需要完成以下目标:
1)边界安全防护
在医院专网互联区边界处部署防火墙,对内部服务器进行基础安全防护,实现边界的网络安全访问控制,保证服务器的安全。(利旧)
2)恶意代码防护
在医院互联网边界处部署绿盟NF防病毒系统(NF),对来自外网的病毒文件进行安全拦截,保证内部服务器的安全,实现内部网络的恶意代码防护。
3)网络入侵防护
在医院服务器前端部署绿盟入侵防护系统(NIPS),对来自外网、专网及内部用户的木马、病毒、蠕虫以及各类网络攻击行为等进行拦截,保证内部服务器的安全。
4)Web安全防护
在服务器区如果部署有Web类服务器系统(OA办公系统等),需要在服务器前段部署Web应用防护系统(WAF),对来自互联网的针对Web应用的攻击进行安全防护,如SQL注入、跨站脚本、恶意扫描等攻击进行阻断防护,同时,在服务器上部署防篡改软件系统,对文件进行安全保护。
5)安全审计系统
在医院核心交换机处旁路部署安全审计系统(SAS),通过网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规网络行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位,做到出现问题时有源可溯。
6)运维安全管理
在运维管理区部署安全运维堡垒主机(SAS-H),对日常所有网络设备以及服务器等的运维进行详细的记录,保障系统运维的安全性。
7)系统安全管理
在医院内部服务器及主机部署防病毒软件,可以有效地对内部终端和服务器等进行病毒防护,保证系统不会因为受病毒感染而造成系统宕机、数据受损等严重事件。
8)集中安全管理
在运维管理区部署安全管理平台(ESPC),对所有的安全设备进行统一管理,实现整个信息系统安全状态的在线分析、在线监控、在管理,提高安全管理效率。
3.3项目效益
安全技术设施足以保障系统的核心区域,关键信息安全管理制度初步形成,并借助外力形成一定的安全支撑能力,整体信息系统安全和稳定得到保证。
通过完善安全运维管理支撑体系,保证运维的安全、稳定,使得医院信息系统自身具有较高的安全运维能力。
信息系统符合三级等保标准关键要点的要求,确保信息系统通过等级保护测评(覆盖等级保护基本80%以上要素,整个信息系统基本符合等级保护要求)。
4总结
信息安全没有绝对性,从技术复杂度来说,单一防护模式很容易被突破,只有实施多层防护,才能消除单点隐患。通过建立“一个中心下的三重防护体系”才能增加突破难度,降低安全风险;做到全可达、全可控、全可查。层层防护旨在实现非法破坏“进不来”,即使进来也“拿不走”,即使拿走也“读不懂”,即使有恶意行为也“跑不了”。
参考文献:
[1]迪普科技助力新疆医疗系统[J].数字通信世界,2014(4).