医疗行业网络安全解决方案--背景
医院信息系统一般可分为两部分。首先,管理信息系统满足管理要求。二是满足临床医疗需求的临床信息系统。管理信息系统包括门诊挂号、门诊费用、住院挂号、住院费用、设备管理、医疗统计和决策支持系统。临床信息系统包括门诊医生工作站、住院医生工作站和住院护士工作站、合理用药系统、临床检查系统、医学影像系统、手术麻醉系统、重症监护系统等。
医院内部网安全的主要问题是:
1、医院越来越依赖其他信息系统。以他的系统为例。它涉及医院所有部门和总体管理人员的流动性、后勤和财务资源。患者应直接连接到HIS系统,包括登记、咨询、支付、手术、住院、出院等。一旦HIS信息系统出现问题,影响将非常大。
2、医疗信息系统收集、处理和存储大量个人电子患者数据。因此,电子健康记录、病历和电子处方包括患者的各种基本信息和身体健康信息。一旦被披露,患者的隐私将受到威胁。
3、信息系统面临许多安全威胁,进入壁垒逐渐减少。各种主要黑客攻击、蠕虫和特洛伊木马越来越普遍,手段越来越复杂、组织化和专业化。
4、医院信息系统的安全状况令人担忧。与发达国家相比,我国医疗行业的信息安全还处于起步阶段。信息安全意识相对落后,没有专门的信息安全管理机构,也没有完整的标准化管理体系。它严重落后于计算机化的发展速度。
医院内部网是保证医院业务发展的平台。为了有效确保安全,大多数医院花费巨资将内部和外部网络与物理层严格隔离,这两个网络不相互通信。这种内网相对安全,对确保医院操作系统安全稳定运行起到了积极作用。
医疗行业网络安全解决方案--安全要求
考虑到医院内部网络业务的特殊性和当前网络安全面临的威胁,医院内部网络信息安全需求分析如下:
1、访问控制要求
内部和外部网络集成后,内部网络访问控制策略需要细化。对于intranet访问,数据流的粒度必须根据端口级会话状态信息准确,单个用户的粒度必须按照用户与系统之间的访问控制规则准确。政策是细分和确保服务。这可以最大程度地防止非法人员访问内联网系统,导致潜在的不确定性。
2、病毒防护要求
当前的威胁不是简单的病毒,而是更多形式的威胁。为了实现全面控制,除了病毒防御,还必须安全控制蠕虫和特洛伊木马等恶意软件的传播。更有效的控制方法是从网络边界开始,切断传播路径,并在网关阶段执行过滤控制。这将被动防御转变为主动防御,以抵御保护网络之外的混合威胁。为了更严格地过滤病毒和蠕虫,需要在内部和外部网络的边界上添加病毒屏蔽网络,并从两个方向对其进行清理,以防止病毒从外部网络传播到内部网络,以及从内部网络传播到外部网络。
3、防盗要求
由于内网区域的重要性,有必要在边界使用入侵防护设备,并设置比网络区域更严格的过滤规则,以严格防范入侵。此外,为了防止内部网络的有害行为进入办公区域,启动了双向保护策略。
4、内网安全验证要求
当医院的统一信息访问HIS系统时,为了防止数据的异常访问和操作,严格检查HIS系统的故障和未授权操作非常敏感。
5、漏洞管理要求
随着技术的发展,任何信息系统都不可避免地存在错误,医院内部网络信息系统漏洞的不断发现对业务系统的运行和维护构成了重大威胁。使用非密码设置和数据库系统漏洞,未经授权访问、复制和修改HIS系统的数据内容,或使用SQL攻击数据库系统,或破坏整个网络的正常运行。
医疗行业网络安全解决方案--详解
在整个网络系统的安全规划和建设过程中,在分级保护的指导下,参考P2DR安全模型,按照事前保护、过程检测和事后审计的策略构建安全系统。
网络安全保障体系的建设也是一个渐进的过程。在总体安全战略的控制和指导下,全面部署安全防护、检测、响应等辅助措施,形成完整、动态的安全循环。在安全政策的指导下,确保信息系统的安全。
该方案以预防为主,积极提前预防,尽早发现风险隐患,及时实施有效修复。技术手段包括提供NAV智能网络漏洞,扫描网络和系统设备漏洞,恢复漏洞,威胁管理,访问控制,在边界设置新一代防火墙NGFW和入侵防御系统IPS,加强访问控制,防止黑客攻击和特洛伊木马传播,以及保护内联网的安全。为了防止医院内的非法行为,使用了网络安全审计系统BCA、堡垒计算机、数据库审计系统JDBA和主机监控和审计系统JSCIMP。根据用户需求进行审计报告,及时发现安全状况,分析并消除风险。完善医院应急系统,事件发生时启动,根据事件和级别进行响应。我们依靠审计系统和内联网安全管理系统收集电子证据,追踪案件来源,解决维护管理漏洞。
沃思信安医院的内网安全解决方案集技术和管理于一体,为医院信息安全建设提供建议,并伴随医院信息流程。安全解决方案为用户提供:
1、实现对非法员工和操作的可见性、可审计性和调查,加强医院内部控制。
2、通过信息安全建设,加快数字化医院信息化建设,确保医院业务安全可靠运行。实时准确掌握医院信息的安全趋势和数据,为医院管理者提供有效的决策支持。
3、通过构建信息安全,信息系统可以使国家和卫生行业从信息安全保护的角度满足基本要求,并显著提高合规水平。
