保護(hù)醫(yī)療信息不泄露 關(guān)注醫(yī)院信息安全

　知識(shí)、法規(guī)、標(biāo)準(zhǔn)的宣傳、培訓(xùn)、考核，沒(méi)有規(guī)定和實(shí)行醫(yī)院信息系統(tǒng)安全的相關(guān)制度；第二，網(wǎng)絡(luò)安全觀念較為老舊，網(wǎng)絡(luò)設(shè)計(jì)存在缺陷，比如過(guò)于單方面依賴防火墻；第三，對(duì)HIS 系統(tǒng)，沒(méi)有一定的安全監(jiān)督、審查、驗(yàn)收機(jī)制。

　“目前很多醫(yī)院的一把手開(kāi)始重視信息安全的問(wèn)題，只有從根本管理制度上解決醫(yī)院工作人員對(duì)醫(yī)療信息的權(quán)限混亂，無(wú)人監(jiān)管問(wèn)題，才能解困醫(yī)院的信息安全謎題。”

　基于醫(yī)療系統(tǒng)的信息安全隱患，錢朝陽(yáng)提出，目前醫(yī)療系統(tǒng)的信息安全建設(shè)也要針對(duì)性的分三步來(lái)走：第一步，加強(qiáng)內(nèi)部管理，在提高醫(yī)務(wù)人員保護(hù)患者個(gè)人信息及醫(yī)療信息意識(shí)的同時(shí)，制定符合本單位實(shí)際情況的管理制度；第二步，重點(diǎn)保護(hù)核心業(yè)務(wù)系統(tǒng)；第三步，進(jìn)行統(tǒng)一的安全管理，全面、高效保障網(wǎng)絡(luò)及信息安全。

　錢朝陽(yáng)認(rèn)為防護(hù)核心業(yè)務(wù)系統(tǒng)是三步中最重要的一步。而如何才能保護(hù)核心的業(yè)務(wù)系統(tǒng)呢？

　“我們需要有一個(gè)專業(yè)的審計(jì)系統(tǒng)，這個(gè)審計(jì)系統(tǒng)不僅要具備基本對(duì)話的行為分析和本身的隱蔽性、宜用性兩個(gè)基本特征，而且為了更好的保護(hù)醫(yī)療信息系統(tǒng)的安全。” 網(wǎng)御神州安全管理高級(jí)產(chǎn)品經(jīng)理葉蓬認(rèn)為，保護(hù)核心的業(yè)務(wù)系統(tǒng)的關(guān)鍵是要建立專業(yè)的審計(jì)系統(tǒng)。

　而審計(jì)系統(tǒng)必須具備三大功能：一、可自定義及識(shí)別風(fēng)險(xiǎn)較高的行為操作，并可對(duì)此類操作進(jìn)行告警，采用電子郵件、SNMP Trap 等方式通知網(wǎng)絡(luò)安全管理人員；二、對(duì)已定義的不合規(guī)操作，可通過(guò)與網(wǎng)絡(luò)設(shè)備或安全設(shè)備共同協(xié)作來(lái)關(guān)閉通信，以阻止正在進(jìn)行的操作；三、系統(tǒng)需具備報(bào)表系統(tǒng)，可以按組管理，可以對(duì)報(bào)表生成進(jìn)行日程規(guī)劃，提供打印、導(dǎo)出以及郵件送達(dá)等服務(wù)，并根據(jù)計(jì)劃歸檔報(bào)告，歸檔之后發(fā)送郵件通知。

　了解了問(wèn)題所在，醫(yī)院的信息主管應(yīng)該怎么辦呢？

　內(nèi)控審計(jì)解困

　一段時(shí)間以來(lái)，我國(guó)政府相關(guān)部門對(duì)包括醫(yī)院信息泄密在內(nèi)的信息安全事故加大了處罰力度。今年 2 月 28 日，全國(guó)人大常委會(huì)通過(guò)了刑法修正案(七)的表決，并且從頒布之日起實(shí)施。規(guī)定單位如果泄露或非法獲取公民個(gè)人信息，將被判處罰金，并追究直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員的刑事責(zé)任。這使得愈來(lái)愈多的醫(yī)院意識(shí)到，信息安全建設(shè)的重要性。

　另一方面，醫(yī)院網(wǎng)絡(luò)及信息作為改革醫(yī)院管理體制、提高服務(wù)質(zhì)量的重要保障，必然對(duì)醫(yī)院的信息安全管理也提出了很高的要求。4 月 6 日， 歷時(shí)兩年多時(shí)間的，倍受關(guān)注的新一輪醫(yī)改方案終于出臺(tái)。而根據(jù)《關(guān)于深化醫(yī)藥衛(wèi)生體制改革的意見(jiàn)》和《2009-2011 年深化醫(yī)藥衛(wèi)生體制改革實(shí)施方案》規(guī)定，我國(guó)計(jì)劃到 2011 年國(guó)家投入 8500 萬(wàn)逐步改革公立醫(yī)院管理體制和運(yùn)行、監(jiān)管機(jī)制，提高公立醫(yī)療機(jī)構(gòu)服務(wù)水平，推進(jìn)公立醫(yī)院補(bǔ)償機(jī)制改革，加快形成多元化辦醫(yī)格局。

　“近些年來(lái)我們已經(jīng)完成了局域網(wǎng)和主服務(wù)器、數(shù)據(jù)存儲(chǔ)中心的升級(jí)改造，但仍然存在著許多系統(tǒng)安全的隱患。我們希望，IT 供應(yīng)商們應(yīng)該考慮到中國(guó)醫(yī)院的 IT 裝備和應(yīng)用水平的實(shí)際狀況，提供更為適合醫(yī)院實(shí)際的安全性方案。”采訪中某醫(yī)院的 IT 主管呼吁道。

　“正是為了滿足我國(guó)醫(yī)療行業(yè)對(duì)信息安全的要求，我們自主研發(fā)了網(wǎng)神 SecFox 安全管理系統(tǒng)(醫(yī)院版)，并提出了面向醫(yī)療行業(yè)的統(tǒng)一安全審計(jì)解決方案。系統(tǒng)包含 SecFox-NBA(業(yè)務(wù)審計(jì)型)、SecFox-NBA(上網(wǎng)審計(jì)型)、SecFox-LAS 日志審計(jì)、SecFox-EPS 終端安全審計(jì)等多個(gè)功能模塊，完全可以滿足用戶的相關(guān)需求。” 網(wǎng)御神州安全管理高級(jí)產(chǎn)品經(jīng)理葉蓬表示，其中 SecFox-NBA(業(yè)務(wù)審計(jì)型)模塊，能夠針對(duì)客戶業(yè)務(wù)網(wǎng)絡(luò)中的各種數(shù)據(jù)庫(kù)、Windows 和Unix 主機(jī)、WEB 應(yīng)用系統(tǒng)進(jìn)行全方位的安全審計(jì)，保障客戶業(yè)務(wù)網(wǎng)絡(luò)中數(shù)據(jù)的安全和操作合規(guī)。

　據(jù)介紹，網(wǎng)神 SecFox-NBA 不僅包括：數(shù)據(jù)訪問(wèn)審計(jì)、數(shù)據(jù)變更審計(jì)、用戶操作審計(jì)、違規(guī)訪問(wèn)行為審計(jì)、惡意攻擊審計(jì)等 5 大功能。同時(shí)，相對(duì)于傳統(tǒng)的審計(jì)系統(tǒng)，網(wǎng)神 SecFox-NBA還有四個(gè)明顯的特點(diǎn)：一是 SecFox-NBA 采用旁路偵聽(tīng)的方式進(jìn)行工作，對(duì)業(yè)務(wù)網(wǎng)絡(luò)中的數(shù)

　據(jù)包進(jìn)行應(yīng)用層協(xié)議分析和審計(jì)，就像真實(shí)世界的攝像機(jī)；二是 SecFox-NBA 對(duì)業(yè)務(wù)操作實(shí)時(shí)監(jiān)控、過(guò)程回放；三是快速響應(yīng)和跨設(shè)備協(xié)同；最后一個(gè)是報(bào)表報(bào)告。

　“嚴(yán)出嚴(yán)入，全面防護(hù)。在解決了核心業(yè)務(wù)系統(tǒng)的保護(hù)后，我們首先要解決通過(guò)網(wǎng)絡(luò)外發(fā)信息的信息泄露；其次要解決人員的非法接入、因員工濫用移動(dòng)存儲(chǔ)導(dǎo)致的信息泄漏問(wèn)題；最后，我們進(jìn)行統(tǒng)一的安全管理，全面、高效保障網(wǎng)絡(luò)及信息安全。”葉蓬稱，當(dāng)醫(yī)院應(yīng)用網(wǎng)御神州獨(dú)有的基于會(huì)話的行為分析(Session-based Behavior Analysis)技術(shù)后，醫(yī)院的審計(jì)員不僅可以對(duì)當(dāng)前網(wǎng)絡(luò)中所有訪問(wèn)者進(jìn)行基于時(shí)間的審查，了解每個(gè)訪問(wèn)者任意一段時(shí)間內(nèi)先后進(jìn)行了什么操作，而且還能對(duì)過(guò)程回放。“SecFox-NBA(業(yè)務(wù)審計(jì)型)真正實(shí)現(xiàn)了對(duì)‘誰(shuí)、什么時(shí)間段內(nèi)、對(duì)什么(數(shù)據(jù))、進(jìn)行了哪些操作、結(jié)果如何’的全程審計(jì)。”

推薦訪問(wèn)： 泄露 信息安全 保護(hù)