医院是信息和技术密集型单位,作为一个现代化的医疗机构,医院网络除了要满足高效的内部自动化办公需求,还应保证同外界的通讯畅通。随着医疗信息化的深度推进,电子病历、检验报告、影像资料、诊疗记录等患者数据已成为医疗服务的核心资产。不法分子为了得到这些患者数据,不断针对医疗行业进行网络攻击,而且攻击手段层出不穷。患者隐私泄露、数据篡改等风险不仅威胁医患权益,更冲击医疗体系公信力。构建覆盖全流程的网络安全防护体系,是保障患者信息安全的关键。
根据医院的网络特性,主要从物理安全、系统安全、通信网络安全、区域边界安全和安全管理等几个方面来进行构建网络安全体系。
物理安全主要是指医院的机房、弱电间、设备的安全。机房是承载着所有物理网络设备的地方,机房安全是所有安全的基础,对于机房安全的管理首先是电力的稳定和不间断供电,通过UPS和蓄电池来保证电力的稳定性;其次是环境温度和湿度的适宜性,机房的各种服务器和网络安全设备、网络交换设备都需要工作在一个适宜的温湿度范围内才能长期稳定的运行,所以需要通过精密空调来进行环境调节;同时需要保障机房、弱电间、设备的清洁度;巡检网络线缆的完整度,保障通信的连续性。
系统安全是指医院提供的各种服务的系统安全,如医院的his系统、pacs系统、lis系统、emr系统等,这些系统是日常医院运转的基础,保障这些系统安全高效的运转是所有工作的重中之重。系统是运行在服务器之上,系统数据是存储在数据库之中,因此需要对服务器和存储的安全进行管理。首先是对不同的操作人员进行权限分级管理,以最小权限进行权限管理,防止误操作而导致数据的失常或丢失;其次是操作的日志记录,保证异常操作的溯源;然后安装杀毒软件,进行日常的病毒防护和系统漏洞补丁加固,关闭服务器不必要的高危端口,阻断漏洞扫描风险。
通信网络安全是系统数据在网络中传输的安全,这类安全中,我们需要从加密传输、网络架构方面进行安全考虑。首先数据在传输时采用适当的密码算法进行加密传输,防止不法分子窃听、篡改数据,在网络架构上采用适当的网络分层架构,划分网段的方式来区分并隔离相应人员;同时尽量采用光传输来防止信息泄露。
区域边界安全是通信边界的防护,通过网络探针、防火墙、入侵防护、上网行为管理、堡垒机等产品在各个网络边界进行防护,同时联合态势感知产品形成全网探知,统一管理,统一调度,针对勒索病毒、APT攻击、零日攻击等风险形成有效的防护,保障了数据的安全,阻止了各种入侵行为。
安全管理是对各不同权限人员的行为权限的管理和日常操作管理。如医护人员定期修改工号密码,防止工号泄露风险,所有职工使用终端安装专业版杀毒软件,禁止U盘使用,病人信息调用安全管理程序建立,信息中心制定网络管理制度,定期进行病毒查杀,系统漏洞修复,服务器密码修改,数据备份检查等,用制度管理行为,达到安全使用行为。
网络安全建立在国家相关法律之下,做到知法遵法守法,才能共筑网络安全防线,保障医疗数据与患者信息安全。
(信息中心平庆星/文 张志明/审核)