`
说明: 业务场景随着医院信息化建设的不断深入,越来越多的日常医疗活动依赖于医院信息系统的正常运行。医院信息系统一方面承载大量核心业务应用,还涉及与上级主管部门、银行、社保等多个单位的联系与互通,而在系统的建设、使用和管理等方面都存在大量的安全隐患。目前,在全国范围内,由于医院信息泄露、管理不当等问题引起的安全事件也是层出不穷,使医院在经济效益和社会效益方面都蒙受了巨大的损失。2007年由公安部下发的43号令拉开了各行业信息安全等保建设的序幕,2008年颁布的国标《GB/T 22239-2008 信息安全技术-信息系统安全等级保护基本要求》是信息系统安全等保的建设标准。2011年底,原卫生部先后下达85号通知和1126号通知,要求全国卫生行业各单位全面开展信息安全等级保护工作,于2015年12月30日前完成等保建设整改并通过等级测评。安全需求对于三甲医院的信息系统而言,安全建设应该主要考虑以下几个方面:符合国家等级保护三级的要求结合三级甲等医院网络的实际情况,充分考虑等级保护体系和标准要求,是方案设计的出发点和重要基础。在方案编制过程中,围绕着《信息安全等级保护管理办法》,对《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》、《信息系统等级保护安全设计技术要求》等多个等级保护标准进行深入分析,在技术体系中,将等级保护标准的要求转化为好理解的、具体的、方便实施的项目,使等级保护工作在三级甲等医院进行推进和落地成为现实。整个方案设计既体现了指标覆盖的全面性,又考虑了新成果的体现。实现三甲医院安全融合医院信息化安全防护需求多样化,主要关注数据库审计、终端安全管理、边界安全防护、网站系统防护、互联网上网行为管理等。交大捷普专注于网络安全与终端安全领域,针对多样化的需求可提供全方位的产品与解决方案,全面提升医院信息化系统的安全性、可用性、可靠性。保障三甲医院业务系统稳定运行医院...
说明: 业务场景医院信息系统一般可分成两部分:一是满足管理要求的管理信息系统;二是满足临床医疗要求的临床信息系统。管理信息系统包括门诊挂号、门诊收费、住院登记、住院收费、设备管理、医务统计、辅助决策支持系统。临床信息系统包括门诊医生工作站、病区医生工作站、病区护士工作站、合理用药系统、临床检验系统、医学影像系统、手术麻醉系统、重症监护系统等。医院内网安全面临的主要问题有:1、医院对各类信息系统的依赖程度越来越高。以HIS系统为例,涉及到医院所属各部门,对人流、物流、财流全方位管理,患者从挂号、看诊、缴费、手术、住院、出院等等各个环节,都需与其直接挂钩,一旦HIS信息系统出现问题,影响面巨大。2、医疗信息系统采集、处理、存储大量患者隐私电子化数据。如电子病历、健康档案、电子处方等都涉及到病人的各类基本信息、身体健康信息。一旦泄漏,对患者的隐私造成危害。3、信息系统面对安全威胁的众多、入门门槛越来越低下。各类大规模的黑客攻击、蠕虫、木马越来越普遍、手段越来越复杂、成组织化、专业化趋势。4、医院信息系统安全现状堪忧,与发达国家相比,我国卫生行业的信息安全领域的工作推进还处于刚刚起步阶段,信息安全意识相对落后,没有成立专门的信息安全管理组织、没有成套规范的管理体系。已经严重滞后信息化的发展速度。医院内网是保障医院业务开展的平台,为了有效保障其安全,大多数医院均投入巨资从物理层面进行了严格的内、外网隔离,这两套网络互不通讯。这样的内网相对安全,对保证医院业务系统的安全稳定的运行起到积极作用。安全需求鉴于医院内网业务特点,结合当前网络安全威胁状况,分析医院内网信息安全需求如下:1、访问控制需求将内外网整合之后,需要对内网进行细粒度的访问控制策略配置。对于内网的访问要根据会话状态信息把数据流粒度精确到端口级,根据用户和系统之间的访问控制规则粒度精确到单个用户。对策略进行细粒度控制,保证服务。这样...
说明: 业务场景为深入开展治理医药购销领域商业贿赂专项工作,要杜绝医药购销领域中非法统方等不正当行为的发生。然而随着医院信息化的迅猛发展,信息的高度集中使得核心数据泄密的隐患也越来越突出,在利益的驱使下,屡禁不止的违规统方行为一直困扰着各级医疗机构,成为医院在行风建设中面临的首要问题。医院为了防止违规统方行为的发生,往往还引入新的风险:防统方产品部署后影响数据库访问性能;数据库自身审计日志分析工作繁琐、投入人力大、信息易被篡改戒泄漏; 数据库维护人员权限没有控制起来;对数据库的所有操作没有全面审计系统进行监管;第三方工具直接访问数据库;HIS应用系统没有做相应的权限控制,敏感信息没有屏蔽,发生高危操作时没有日志记录。安全需求医药购销领域商业贿赂给临床医生带来很大负面影响,违规统方是医药代表事实定量贿赂的主要依据,医院信息科、药剂科、开发商是提供“统方”的重要来源。而“统方”数据的来源就来自于医院信息系统中的核心数据库,通过分析医院中的信息系统使用流程和统方信息的获取途径,发现存在着如下的安全需求:管理层面主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效等等,致使安全事件发生时,无法追溯并定位真实的操作者。技术层面为保护数据库信息的安全性,制定了相应的管理制度,但没有相应的技术手段进行控制。数据库安装部署及HIS系统开发时,使用数据库默认配置、缺省口令、默认权限等现象普遍存在。现有的数据库内部操作不明,除了部署防火墙、IDS、IPS等安全设备外,需要专业数据库审计产品发现内部用户的恶意操作、滥用资源和泄露医院机密信息等行为。审计层面现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如防统方功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险,难于体现审计信息的真实性,同时数据文件较多,很难从中及时找出非法统方...
说明: 业务场景医院信息网络是所有网络中安全性要求较高的网络之一,因此目前国内医院网络系统一般由两部分构成:一是用于日常医疗信息交换的业务网,俗称内网;二是可以及时获取Internet信息资源的办公网,俗称外网。医院内网是保障医院业务开展的平台,为了有效保障其安全,大多数医院均投入巨资从物理层面进行了严格的内、外网隔离,这两套网络互不通讯。这样的内网相对安全,对保证医院业务系统的安全稳定的运行起到积极作用。但是,随着信息产业的发展和信息化意识的逐渐深入,公众对于医院医疗信息知情的需求不断增加,与此同时许多新的医疗信息化应用也在不断的推出,譬如网上预约、网上挂号、微信挂号平台、网上诊疗服务、检验检查结果网上查询等,这些新的需求和应用,在医院原有物理隔绝的网络环境下是无法实现的。因此在如何保障网络和数据安全的情况下,通过Internet实现相应需求成为医院面临的新问题和新挑战。安全需求为了满足一些新型医疗信息化应用,医院采用内外网融合的网络结构已经成为趋势。在为工作人员及患者提供更便利更开放的网络环境同时,面临的安全问题也日益严峻。当内外网融合以后,内网相对单一的环境被打破了,医院管理信息网将同时存在来自外部(互联网)、内部安全风险、以及内外网融合后所带来的新的安全风险。对医院网络系统目前所面临的风险进行分析后,我们发现医院内外网融合信息安全建设的需求主要包含以下方面:1、外部入侵威胁阻止蠕虫、网络病毒、间谍软件和黑客攻击对网络造成的安全损失,防止针对Web服务的例如SQL注入,跨站脚本攻击,网页篡改等攻击,提高医院网络的整体抗攻击能力。2、攻击检测和分析为弥补现有安全防护产品对网络攻击防护能力的不足,需要一种新型工具提供更细粒度的攻击检测和分析机制,保证医院网络在不影响正常业务流量的前提下对攻击流量进行实时阻断。3、系统与应用中的漏洞与配置缺陷处理机制检测DMZ区的操作系统、应用系统...
说明: 业务场景随着医疗改革的推进,医院正朝着以终末质量管理向环节质量管理转变,从而提高医疗服务质量,缓和医患关系,提高医院的服务效率。与以病人为中心的服务理念相适应,医院信息化也从传统的内部管理为主的HIS系统,向以病人为核心的临床信息化系统转变。伴随着临床信息化,医院正逐步地实现无纸化、无胶片化和无线化。随着无线局域网技术的不断成熟和普及,无线局域网在全球范围内医疗行业中的应用已经成为了一种趋势。从医院无线网络的建议模式来看,通常分为运营商代建和医院自建两种。无论哪种建设模式,无线技术本身安全性的问题都无法回避。不像有线网络,只要不提供接入点,就无法侵入;无线是开放的,任何外来人员都可以和内部人员一样接收到无线信号,所以必须进行接入认证安全保护。但如果像家庭一样只提供密码接入保护,那么无线网络的安全形同虚设,因为整网单一的密码很容易外泄。除了内网及外网业务,运营商代建的无线网络还提供公共无线网接入(如电信的ChinaNet、移动的CMCC等)。公网和私网的混用还会引入更多的安全问题。安全需求由于无线局域网采用公共的电磁波作为载体,电磁波能够穿过天花板、玻璃、楼层、砖、墙等物体,因此在一个无线局域网接入点(Access Point)所服务的区域中,任何一个无线客户端都可以接受到此接入点的电磁波信号,这样就可能包括一些恶意用户也能接收到其它无线数据信号。这样恶意用户在无线局域网中相对于在有线局域网中,去窃听或干扰信息就变得容易得多。WLAN所面临的安全威胁主要有以下几下几类:1、网络窃听一般说来,大多数网络通信都是以明文(非加密)格式出现,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。这类攻击是医院网络管理员面临的较严重的安全问题。如果没有基于加密的强有力的安全服务,就医患者数据就很容易在空气中传输时被他人读取并利用。2、AP中间人欺骗在没有足够的安全防范...
说明: 业务场景2009年4月中共中央、国务院授权新华网发布《关于深化医药卫生体制改革的意见》;要求“建立实用共享的医药卫生信息系统,以推进公共卫生、医疗、医保、药品、财务监管信息化建设为着力点,整合资源,加强信息标准化和公共服务信息平台建设,逐步实现统一高效、互联互通”;信息化成为新医改的重要支撑,卫生信息化蓬勃发展,卫生信息化建设步伐明显加快; 2012年6月,《卫生部 国家中医药管理局关于加强卫生信息化建设的指导意见》卫办发〔2012〕38号发布,明确重点任务之一“建立国家、省、区域(地市或县级)三级卫生信息平台” ,实现跨省或跨地区信息共享及业务协同,实时采集生成汇总数据,为决策者、管理者提供信息服务;区域卫生信息化管理平台在全国各地广泛开展建设。伴随着卫生信息化而来的不良信息、非法入侵、系统漏洞、蠕虫病毒等对卫生网络和应用系统产生巨大的威胁,卫生非法统方事件、患者信息泄密事件、卫生假证事件、医院信息系统病毒宕机事件等不时见诸报端,卫生网络系统的信息安全问题逐渐呈现。2011年11月“卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知”卫办发〔2011〕85号发布,明确贯彻落实国家信息安全等级保护制度;“做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义”。因此,如何设计一个稳定、可靠、安全和经济的区域卫生信息管理平台,应对日益增多的网络攻击、病毒破坏和黑客入侵等问题,已成为卫生行业信息化建设和运营关注的重点。安全需求区域卫生信息平台所面临的安全威胁主要有以下几类:1、黑客入侵造成的破坏和数据泄露随着医疗信息化的普及,个人信息逐渐以电子健康档案、电子病历和电子处方为载体,其中包括了个人在疾病控制、体检、诊断、治疗、医学研究过程中涉及到的肌体特征、健康状况、遗传基因、病史病历等个人信息...
说明: 业务场景医疗卫生是重大民生问题,从行业的整体发展来看,存在众多问题,较为突出的就是医疗的资源配置不均衡,一些大城市的医疗资源供应充分但利用不足,而一些中小城市、全科诊室或农村偏远地区的乡镇、村卫生室医疗资源供应严重缺乏。目前随着计算机多媒体技术和远程通信技术的不断发展,医疗行业的信息化水平不断提高,远程医疗为医院之间的资源共享互动沟通的搭建了很好的桥梁,从过去“封闭式”独立单元过渡到开放的信息枢纽。它已从基础设备的一体化向临床信息的一体化集成和内外通信发展,为医生、患者、专家提供了高效的医疗相关数字化信息,囊括了病人基本信息、生理体征及手术参数、医学影像和远程心电诊断、远程预约、急救服务、医患交流、场景视频、交互视频等。同时,随着各项业务的不断发展,还将广泛用于手术指导示教、远程监护、病理诊断等。相信通过远程会诊,大型综合医院的优秀的医疗资源能得到更好的利用,好的专家、医师的医疗经验可以得到共享,大大提高了医疗服务质量,也方便了患者就医。安全需求1.保护患者信息隐私要求远程医疗信息系统的信息包括电子病历、健康档案、会诊信息、影像数据等,其中电子病历和健康档案涉及到个人的基本信息,包含病史等隐私数据;会诊信息是会诊专家对患者的诊断信息。患者隐私数据的泄漏直接损害患者利益、影响医院的声誉;远程医疗信息在传输、存储过程中若被篡改、丢失将会直接影响会诊的结果,导致严重的医疗事故。因此数据安全是远程医疗信息系统建设的重要需求。要保障这些信息传输的完整性,实现检测与恢复;保证数据传输和存储的保密性,必须实现本地完全数据备份,重要数据异地备份。2.保护会诊机构内部信息需求参与远程医疗的专业机构需要在企业内网与远程医疗外网之间进行部分连接与限定的信息交互,其他大量内网信息则不能外泄。这使得医疗机构内网安全面临新的挑战,在部分连通外网情况下,保证医疗机构内网信息安全无泄漏和防入侵等,成为远程...
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1
犀牛云提供云计算服务