安全等级保护在医院信息系统中的实践初探资料下载.pdf
- 文档编号:16086812
- 上传时间:2022-11-19
- 格式:PDF
- 页数:5
- 大小:588.99KB
安全等级保护在医院信息系统中的实践初探资料下载.pdf
《安全等级保护在医院信息系统中的实践初探资料下载.pdf》由会员分享,可在线阅读,更多相关《安全等级保护在医院信息系统中的实践初探资料下载.pdf(5页珍藏版)》请在冰豆网上搜索。
我院于2008年向北京市公安局海淀分北京大学第三医院信息管理中心,北京市,100191申罾弛信蓦姜翥45IIj第6卷第4期0,III医院信息化局提交了定级备案材料,并于7月获得审批,信息系统定级为二级。
因此我们按照信息系统等级保护二级要求,认真学习,组织落实相关规范。
通过建立合理可靠的技术平台,细致的日常管理与及时的故障处理应急预案,将信息系统等级保护落实到实处,确保信息系统7X24不间断运行。
我们认为技术要求与管理要求是确保信息系统安全不可分割的两个部分,两者之间既相互独立,又相互关联,只有在技术和管理互相提供支撑的前提下才能确保系统的稳定运行。
2安全技术等级保护在安全技术类上分为五个层面:
物理安全、网络安全、主机系统安全、应用安全和数据安全】。
我们根据等级保护要求对我院信息系统进行了梳理,完善了相应平台的防护策略,分别介绍如下:
21物理安全物理层面我们认为机房建设是重中之重,中心机房是医院信息系统设备的存放地,包括服务器、磁盘阵列、网络主交换等设备,对环境的要求很高,我们严格做到:
(1)服务器机房与网络设备机房分离,且有单独的UPS设备间;
(2)机房双路供电并配备智能报警IJF3s(可延14d,时的电池组);
(3)机房入El安装门禁系统,记录出入人员活动,非授权人员不得进入机房;
(4)机房内除安装火灾发生自动报警装置外,配备二氧化碳灭火器:
(5)机房安装漏水报警装置;
(6)机房铺设抗静电地板,安装防雷设施,主设备柜接地线;
(7)机房配备专用空调,保证机房内正常恒定的温湿度;
(8)分机房内安装监控系统。
便于随时了解掌握分机房内情况。
22网络安全网络安全包括路由器、交换机、通信线路等在内的信息系统网络环境的安全,为信息系统能够在安全的网络环境中运行提供支持,确保网络系统安全运行,提供有效的网络服务【3。
我院网络为主干千兆的以太网,作如下部署:
2_2_1结构安全(见图1)(1】核心交换机及部分汇聚交换机均配备了双机,其中主交换机插有网络分析模块,对日常的网络进行流量的监控和记录,各个配线问内网业务交换机都为千兆双链路,分别连接主备核心交换机;
(2)目前根据楼宇的分布情况和业务流量方向的状况,划分了27个VLAN,包括MIS、CIS、PACS、OA等应用均使用不同的地址段,确保业务网应用与Internet应用是隔离的;
(3)外网采用双链路,分别为方正宽带和教育网两个出口,保证外网的畅通。
22_2访问控制
(1)入网的访问控制:
所有Internet用户均通过城市热点(DRCOM),上网审计网关进行身份认证,并借助MAC地址绑定禁止未注册的计算机上网;
(2)客户端安全访问控制:
关闭不用的操作系统服务,关闭不用的端口及不必要的共享。
2_2_3安全审计(1】实时监控网络设备的运行状态,包括端口状态、CPU的利用率及内存的使用情况等:
(2)通过城市热点记录上网行为和流量记录。
224防病毒策略
(1)防火墙采用防火墙,通过访问控制列表,增加内容过滤加强安全性;
(2)安装趋势防病毒程序网络版,在网关处部署趋势网络防毒墙;
(3)安装专用的补丁下发服务器,对所有上网用户进行强制安装防病毒软件并自动升级病毒库,同时强制阻断ARP广播。
23主机安全主机系统安全包括服务器、终端工作站及安全设备系统在内的计算机设备在操作系统及数据库系统层面的安全。
主机层面安全要求在物理、网络层面安全的情况下,提供安全的操作系统和安全的数据库管理系统,以实现操作系统和数据库管理系统的安全运行。
我院现有服务器91台,内网服务器76台,外网服务器15台,终端机近2000台。
从服务器到客户端我们作如下Il46塞息菅理杂志图1网络架构示意图管理:
231服务器安全管理(1】HlS服务器采用集群实现双机热备方案,数据存储在磁盘阵列中,磁盘阵列采用RAIDl的冗余方案;
(2)关键业务系统采用了双机热备,包括MIS和PACS等;
部分业务系统采用了双机冷备,包括LIS和手术麻醉信息系统等;
(3)住院刀片服务器群,采用负载均衡模式面向前台HIS应用;
(4)对关键业务主机的操作系统登录密码和数据库密码实施了严格管控。
232客户端安全管理
(1)网内终端全部安装客户端杀毒软件即采用趋势杀毒网络版,服务器定时更新,新的更新版本通过服务器下发到内外网计算机;
【2)外网客户端通过网络防毒墙强制代理程序,防ARP攻击和辅助检测系统安全更新补丁安装情况_(3)终端机借助MAC地址绑定禁止未注册的计算机上网;
(4)采用Ghost软件为系统盘做镜像文件,系统被破坏时能尽快恢复。
24应用安全应用安全是指支持业务处理的业务应用系统的安全;
依据应用层面安全要求在物理、网络、系统等层面安全的支持下,实现用户安全需求所确定的安全目标。
我们分为以下六方面进行管理:
241终端机安装桌面管理系统监控终端行为:
242工作站一律屏蔽光驱、软驱、USB口,有效杜绝病毒的入侵;
243用户申请帐户经过审批并备案:
计算机入网需填写申请表,科室主任签字,经信息管理中心批准并由信息管理中心负责实施,申请表备案,严禁任何用户擅自联入信息网;
2,44用户访问按照不同部门不同业务,设定访问权限,不同系统用户权限分离;
245所有应用者应使用各自的用户名和口令进入系统,禁止借用他人的用户名和口令登录系统;
246对部分非业务范围内的应用进行管控,在工作时间限制使用。
25数据安全数据安全包括信息系统遭到破坏时能够恢复数据以及业务系统运行。
数据及备份恢复安全要求,全面关注信息系统中存储、传输、处理等过程的数据的安全性。
我们进行如下管理:
251HISN务器采用集群实现双机热备方案,有力保障了系统的安全;
252数据存储在磁盘阵列中,磁盘阵列采用RAIDl的冗余方案;
253数据全量备份每日两份,分别保存在不同的磁带中;
254异机磁盘备份每日一份,同时在异机恢复一份数据;
255磁带数据常年保存。
每年验证一次磁带的有效性和数据的完整性、可用性;
256医疗文书加密保存数据库中;
257储存于医院信息系统(包括各部门内部建立的各类信息帽卫生信翥器蓊47II第6卷第4期医院信息化系统)数据库中的所有数据,其所有权均归属医院,任何个人和部门不得将信息资源以任何形式提供给院外。
3管理安全医院信息化建设起步较晚,目前尚处于建设阶段。
俗话说,三分技术,七分管理。
安全因素不仅仅是技术问题,更多的是管理问题,人的因素。
完善的管理机制是整个信息系统安全的保障。
31机构建设311我院成立由主管副院长为组长的信息安全领导小组,信息管理中心则是落实信息安全的具体办事机构。
安全责任制层层落实;
312我院制订并发布了信息化五年发展纲要,包含信息基础建设及安全建设方面的内容;
313医院已进行了多轮信息系统的运行风险评估和信息安全检查,并针对发现的问题进行了整改。
对部分因条件所限暂时无法解决的安全风险,主要采取管理措施加以弥补:
譬如加强巡检和监控,以及落实突发事件应急预案等;
314设立多个与信息安全相关的工作岗位,包括系统管理员、网络管理员和安全管理员,并签订了信息安全责任书;
31,5对外信息发布实行分级管理制度,相关信息科室信息员网上提交、经科室负责人签发及医院专门授权机构网上审核通过,方能发布;
316定期举办网络安全培训II48奏艄鼢志班,组织工作人员学习相关信息安全的法律、法规,提高工作人员的信息安全水平,广泛开展计算机信息技术安全教育,定期或不定期进行计算机信息技术安全检查。
l32健全制度f3l21我院计算机网络实行统一管理、分层负责制。
围绕明确管l理职责,制定了相关管理规定,包括计算机网络安全管理暂行规定、信息资源管理规定、计算机软件使用管理规定、l网站管理办法及系统运行维护管理制度、信息安全审计制度、数i据安全及备份方案、信息中心管理制度、科室固定资产管理制度等;
322医院信息部门执行三级i值守制度,并有明确的值班安排和j计划。
遇到突发信息安全事件,均将按照应急处置预案的规定向相关l音B门通报;
323强化系统变更管理流程,防止人为差错影响系统可用性;
和稳定性。
33人员管理331人员录用:
录用时考虑的方面包括:
人员技术水平、身份背景、专业资格等方面,全院职能处事及人事科室联合审查,判断录用。
对录用人员技能进行考核,关键岗位人员以签署责任书的形式约束其职责。
对于从事重要区域或部位的安全管理人员的聘用要求更高,一般从内部人员中选用那些实践证明精干、忠实、可靠、认真负责、保守秘密的人员;
332人员离岗:
从硬件归还(设备、设施)到权限撤销,离岗经多个部门审核盖章后方可离院;
333人员考核:
对人员定期进行技能考核,重点关注关键岗位人员的审查和考核;
334安全意识教育和培训:
根据安全教育和培训计划对所有员工进行培训,使其认识到自身的责任,提高自身技能。
培训的内容包括单位的信息安全方针、信息安全方面的基础知识、安全技术、安全标准、岗位操作规程、最新的工作流程、相关的安全责任要求、和惩戒措施等;
335外部人员访问管理:
软硬件维护和支持人员专机专用,建立访问备案记录,信息系统的核心部分不允许外部人员的访问。
4应急预案提高医院抵抗信息系统安全突发事件所带来风险的能力,有效缓解信息安全突发事件对日常业务的冲击并降低不良影响。
医院高度重视信息系统突发事件的应急处置预案,不仅信息部门有针对网络和;
信息系统的应急处置预案,而且相f关业务部门(比如财务处、门诊部
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 等级 保护 医院 信息系统 中的 实践 初探