行業(yè)現狀
隨著技術的發(fā)展,醫(yī)療信息化程度越來越高,醫(yī)院從辦公設備、查房設備,再到手術設備都和網絡相連,這些設備的安全不僅關系著醫(yī)院的正常運轉,甚至影響到患者的生命,因此醫(yī)院在信息化的同時也必須加強信息安全建設,保障醫(yī)院的正常運轉,確?;颊叩纳踩碗[私安全。
面臨問題
1、信息化安全體系不健全,大量身份特殊的患者擠到了信息安全程度高的醫(yī)院,造成了一些醫(yī)院超負荷運行,另一些醫(yī)院則門可羅雀的局面,醫(yī)療資源大大浪費。
2、衛(wèi)生廳對醫(yī)院的信息化要求以及一些資質審核要求,醫(yī)院心有余而力不足:任務重、時間緊,而施行時間長,難度大。最后難以保質完成或半路夭折。
3、運維人員的日常工作重復性高,運維效率低,對軟硬件故障排查能力弱。 同時,醫(yī)院領導 "重應用、輕安全"的傳統(tǒng)意識,信息安全部門在醫(yī)院的地位尷尬。
4、外來設備輕易就可接入內部網絡,網絡安全系數極低,常造成網絡局部癱瘓。內部員工隨意使用U盤、移動硬盤等存儲設備,造成病毒滿天飛,嚴重影響正常工作。
5、敏感信息隨意存儲,患者數據頻被非法盜取、販賣,造成了患者對醫(yī)院的信任危機。
6、沒有統(tǒng)一的安全管理體系,醫(yī)院的中長期安全規(guī)劃都是外部機構在做,醫(yī)院本身沒理解、沒施行,幾成擺設。
解決方案
解決方案主要從技術和非技術層面來解決。
1. 非技術層面: 改變傳統(tǒng)意識,加深安全教育以及各單位溝通交流。 信息安全制度由科級制度變成醫(yī)院制度,增加信息安全部門管理人員的話語權, 擴大信息安全投入占比,不省安全的錢,不丟患者的隱私。
2.技術層面: 分為三個階段:
第一,基礎階段(合規(guī)進入): 內部網絡中接入的終端都是合規(guī)的,包括網絡層準入控制和業(yè)務層準入控制,從而確保:接入網絡的終端都是可信的、健康的、可控的。
第二 、提高階段(集中運維、授權使用、記錄流程): 提高階段主要從集中運維、授權使用、記錄流程三個層面去實施。
集中運維:主要包括補丁管理(通過系統(tǒng),可自動或手動,設置時間為終端系統(tǒng)打補丁,確保操作系統(tǒng)更穩(wěn)定、更安全)、軟件分發(fā)(可以實現差異化多種形式的軟件分發(fā)和安裝模式,提高軟件管理的效率,節(jié)省管理時間和人力成本)、遠程控制(讓管理員突破地域和空間的限制,實時有效為終端用戶排查故障、解決問題)、安全檢查和修復(自動檢測不健康的終端并自動實現修復,確保終端的安全的時效性和全面性)。
授權使用:授權使用主要包括軟件的授權使用和外設的授權使用。
軟件的授權使用主要通過黑、白名單管理來實現軟件和進程的禁止運行和運行放行。外設的授權使用一般包括移動存儲設備管理以及其他外設的管理(如打印機、投影儀等),可以確保外設的使用更加有序、安全、可控,避免非法人員通過。
記錄流程:在終端接入網絡到離開網絡的過程都有一個全面、完整的記錄:可以對接入網絡的行為進行記錄、對終端的屏幕操作進行記錄、對軟件安裝、外設使用、打印內容、聊天內容等等行為都會進行記錄。不僅有詳細的內容記錄,還有時間記錄,讓違規(guī)操作可觀、可控,違規(guī)者更是無所遁形。
第三、增強階段(安全存儲、加密傳輸、審核輸出): 這個階段主要實現安全存儲、加密傳輸和審核輸出的問題,以確保數據在存放、傳輸、使用上都是安全的:存放的位置安全,傳輸過程是安全的(全程加密),使用是安全的(審批通過才可以輸出)。