第35卷 第6期 福 建 电 脑 Vol. 35 No.6
2019年6月
Journal of Fujian Computer
Jun. 2019
———————————————
医院网络信息安全分析与应对
陈理兵
(宁德市医院网络中心 福建 宁德 352100)
摘 要 本文首先介绍了医院信息化现状,接着分析了未来两年医院信息化发展趋势,提出了条码化、精细化、互联网+、区域化的发展方向,以及由此带来内部、外部的安全风险挑战,进一步分析了各类攻击的
动机,最后提出了从宏观策略层面:人才、制度、指导思想、发展规划、安全意识和微观技术层面:机房、物理层、数据链路层、网络层、传输层、应用层等方面进行医院网络与信息安全建设的思路,从而更好地保障医院网络信息安全。 关键词 安全;医院;信息;网络
中图法分类号 TP393.08 DOI:10.16707/jki.fjpc.2019.06.025
Analysis and Response of Hospital Network Information Security
CHEN Libing
(Network Center of Ningde Municipal Hospital, Ningde, China, 352100)
1 引言
随着医院信息化建设的深入,无论是预约挂
号、医生接诊,还是检查、检验、取药,甚至于手术、重症监护,医疗的每一个环节都与信息系统息息相关。信息化水平已经成为提升医院品牌、医院竞争力、医院管理水平的重要抓手[1]。可以说医院工作已经离不开信息系统。可是,近几年医院信息系统面临的风险也越来越多,关于医院信息系统遭受攻击的案例时有发生。医院信息安全已经引起社会各界的广泛关注。这正是本文分析医院信息安全的重要目的,也为了更好地保障医院系统安全、平稳、高效运行。
2 医院信息化现状
根据中国医院协会信息管理专业委员会《2017-2018中国医院信息化状况调查报告》,从参与调查的484家医院来看:
(1) 绝大部分医院都有专门的信息化部门,占比达92%。
(2) 从应用信息技术角度看,采用条码技术占63.43%,无线网络应用占49.79%。
(3) 从系统软件使用方面看,Windows 仍是主
流操作系统,Linux 位列第二,Oracle 数据库的采用率排在第一[2]。
(4) 网络安全措施采用率排在前三的是防火墙、VPN/VLAN 划分和上网行为管理。用户权限控制采用率排在第一位,应用系统用户行为审计日志使用率占30.79%、电子签名(公钥密匙框架)占15.08%、单点登陆占15.08%,采用率最低的是生物信息识别技术(指纹、声音、虹膜)占3.1%。
(5) 超过 92.36%的医院建立了网站,其中46.90%的医院提供网上预约挂号。
(6) 机房面积小于100平米的三级医院占比达到33.46%。
(7) 75.82%医院拥有独立并物理隔离的网络。 (8) 22.05%三级医院采用10G 主干网络。 (9) 门急诊医生工作站、住院医生工作站、护士工作站、电子病历、全院PACS 、全院LIS 、病理质控系统、心电管理系统、手术与麻醉管理系统、医院感染管理系统、重症监护管理系统、临床路径系统、移动医疗系统、输血管理系统等建设程度较为完整[3]。
(10) 缺乏充分的信息化资金支持,部门人力资源不足,供应商缺乏提供满足需求产品与服务能力仍然是影响信息化建设的最主要的三大障碍。估算
76 陈理兵:医院网络信息安全分析与应对第6期
得到医院上年度信息化投入预算占年度预算的平均比例约为1.09%[2]。
实施了区域卫生信息系统的医院比例为30.79%。33.26%的医院设有分院,已完成信息系统一体化的医院占比为20.66%。
3 信息化现状分析
(1) 仍然有部分医院尚未建立专门的信息化管理部门。
(2) 条码技术、无线网络、虚拟化技术在医院已经得到较大程度的使用。
(3) Windows平台仍是主流操作系统,Linux系统使用偏低。
(4) 电子签名、单点登录、生物信息识别技术使用率较低。
(5) 网站已普遍应用,医院APP、、网络预约、远程医疗、区域信息化、集团医院信息化等系统、平台不同程度建设。
(6) 仍有一大部分医院机房面积偏小,且主干链路带宽偏低,24.18%的医院尚未内外网物理隔离。
(7) 制约医院信息化发展的三大主要因素:资金、人才以及供应商能力与技术。
从现状分析看,未来两年医院信息化建设有以下几个趋势:
(1) 条码技术、无线技术将进一步扩大使用范围。医院将朝着条码化、精细化方向发展,结合无线技术实现对人、财、物跟踪、核对或引导,减少差错,提高效率。
(2) 互联网+医疗将进一步发展,医院APP、、网络预约、医疗资源互联网化,为患者提供更多便利化服务[4] 。
区域化、集团化业务需求将进一步拓展。医院之间互联、医院总院与分院之间互联、总医院与乡镇卫生院、社区医院互联业务越来越多。
4 网络与信息安全挑战
从未来两年的信息化建设发展方向看,医院网络与信息安全面临的挑战也越来越多。主要表现为:
(1) 信息化深度越来越深,涉及医院就诊流程、环节、检验检查、手术、用血、物资配送、资产管理、医院管理、医院决策等方方面面。医院对核心业务的可靠性要求越来越高,希望全年不宕机。医院系统间的关系越来越紧密,结构也越来越复杂,对信息系统的管理越来越高。
(2) 信息化广度越来越宽,互联网+、无线业务、区域平台、集团业务等技术、业务的应用与普及,使得传统基于局域网的网络规模不断扩大,网络边界越来越多,甚至达到城域网的规模。网络攻击的来源更加多样,包括医院内部和医院网络边界。2018年福建省内某市级医院遭黑客攻击造成业务内部业务系统大面积瘫痪。同年4月某市某大型网站遭黑客攻击,被挂非法标语。2017年全国多地遭受病毒攻击,文件加密,造成业务系统瘫痪。医院也已成为黑客攻击的新目标。
(3) 资金、人才、供应商能力与技术水平依然制约着医院的信息化建设,更加突出了医院信息化建设需求与保障能力的矛盾。
从医院网络与信息安全风险来源看,主要有两类风险:内部风险、外部风险。
内部风险:①终端安全,PC、公共信息点;②线路安全,弱电间、链路敷设、材料;③网络架构,内网
、外网、政务内网、政务外网、监控网、电话网;④无线网络,内网WIFI;⑤数据安全,数据库敏感权限;⑥应用系统,网站;⑦机房。
外部风险:①黑客攻击;②病毒入侵;③网络边界,互联网前置区、医保网、政务网、卫计专网。
从网络与信息安全攻击动机看,目前攻击医院的主要动机有以下几点:①非法获取各类数据;②恶意捣乱;③好奇;④医疗纠纷;⑤某种方便;⑥无意破坏。
这些风险点,时刻威胁着医院网络与信息安全。
5 网络与信息安全应对措施
从医院信息化建设现状及趋势,以及医院面临的各类挑战看,做好医院网络与信息安全建设需要从以下几个方面着手。
5.1 宏观策略层面
建议做到以下几点:
(1) 成立专门从事医院信息化建设部门,配齐人员以及职称职数,负责医院信息化规划、建设与维护。
同时要设立信息安全员的岗位,加强信息安全管理[5]。加强资金、政策支持力度,争取信息化投入达到全国平均水平。
(2) 以信息系统安全等级保护基本要求为指
2019年福建电脑77
导,全面推进医院信息系统参与等级保护备案与测评工作,按要求每年完成信息系统安全测评。
(3) 建立各类规章制度,使得信息化建设有章可循。
(4) 全面规划医院信息化发展思路,做到信息化建设与安全建设同步规划,同步实施。
(5) 加强各层级人员的安全意识培训[6]。
5.2 微观技术层面
建议做到以下几点:
(1) 机房必须按规范化要求建设,面积达到100-200平米,具有双空调、双UPS,核心设备、链路双冗余,具有场地监控、视频监控、消防系统等。
(2) 配齐时间服务器,保证所有业务系统时钟同步。
(3) 核心设备和主干链路建议达到10G,确保业务高速运行,为后期业务拓展创造条件。
(4) 物理层上,做到:①终端安全,确保接入终端安全合规;②弱电间防尘,供电有保证,上锁避免未经授权人员无法进入;③网络线路按规范敷设,路径规划合理;④网线类型选择恰当;⑤多种网络物理隔离,视频网、业务内网、办公外网、政务内网物理隔离。
(5) 数据链路层上,①限制网段内终端数量,防止广播风暴;②划分子网,VLAN,减小网段规模。
(6) 网络层上,①建设“接入-汇聚-核心”三层网络架构,提升网络稳定性;②对整个网络进行分区管理,不同的区域功能定位不同,安全性要求也不一样,需建立不同的访问规则;③不同的网络之间逻辑隔离。
(7) 传输层上,①采用HTTPS、VPN等技术对通信的通道进行加密,特别是互联网区的访问业务;②内网敏感信息一定要加密传输。
(8) 应用层上,做到:①只对外开放必要的端口,关闭危险端口,如共享,远程;②软件系统上线要同时考虑安全因素,包括数据库、密码、软件代码、软件功能模块的安全,不能用默认密码;③特别注意密码校验、密码传输、系统登录等机制安全;④系统管理员在权限设置时要严谨,坚持权限最小化原则;
⑤要认真检查软件开发者或设备供应商、厂家是否为了工作方便留有后门。
(9) 关键操作需要留下日志,包括系统日志、数据库日志、应用程序日志、程序操作日志,启用数据库审计、日志审计、上网行为管理等,相关日志至少保留180天以上。
(10) 充分了解各类安全设备功能,用好防火墙、网闸、堡垒机、数据库审计、日志审计、入侵检测、入侵防御、防病毒、终端准入、抗DDOS、网页防篡改等安全设备。
(11) 网站是安全事件多发点,易发点,一定要按等保要求做好网站防护工作。
(12) 针对目前受攻击最多的是Windows用户,建议将核心业务系统从Windows平台迁移到Linux 平台,提升系统安全性。
(13) 考虑目前医院使用的大部分是Oracle数据,建议建立Oracle内部审计机制,增加关键标的审计。
(14) 建设单点登录平台,更好保障登录安全。采用多种方式进行用户身份认证,包括用户名密码、CA认证以及生物信息识别技术,保障信息安全。
6 结束语中国人才卫生网
通过对医院信息化现状和发展趋势的分析,出了医院所面临的内外部风险挑战,提出了从宏观策略层面(如:人才、制度、指导思想、发展规划、安全意识)和微观技术层面(如:机房、物理层、数据链路层、网络层、传输层、应用层)两大方面的安全建设思路,相信通过上述多维度、系统化地建设后,医院网络信息安全水平将较大程度的提高,从而更好地保障医院发展。
参考文献
[1] 陈金雄.论智能时代的医院信息化建设.医疗卫生装备,2017,
3(38):104-108
[2] 中国医院协会信息管理专业委员会.2017-2018中国医院信息化状况
调查,2018,7
[3] 王川.医院信息化发展现状及问题研究.实用医技杂志,2016,23(12):
1316-1317
[4] 任毅.医院信息管理存在问题及优化策略.医学信息学杂志,2017,
38(10):67-70
[5] 中华人民共和国.GB /T 22239-2008.信息系统安全等级保护基本要
求. 北京,中国标准出版社,2008
[6] 崔曜.医院网络和信息安全的问题和对策.通信设计与应用,2017,
2(4):48-49
发布评论