广东省人民医院:医院信息集成平台安全体系构建与应用研究
一、面临的安全挑战
一是网络安全挑战,互联网中面临着大量的网络攻击,这些攻击导致该平台面临着业务中断、数据泄露或数据篡改等威胁。二是数据安全挑战,该平台交互的数据涉及患者隐私数据、医院运营信息、药品信息、医疗器械信息等敏感信息。三是系统安全挑战,与平台外联的公众服务系统中常常存在各种漏洞,黑客可以利用这些漏洞进行攻击和入侵。四是认证与授权挑战,交互接口直接暴露在医院内网中,只需要获取接口地址即可与平台接口进行交互。五是人为因素挑战,内部人员的安全行为、内部操作安全也是信息安全管理重要的组成部分。
二、安全体系设计
网络安全防护设计方面,针对现有的网络架构,采用防入侵、控流量、阻攻击、限访问、扩冗余的网络安全防护设计,构建多层次的网络防护机制,保障信息平台的网络安全以及数据交互业务的稳定性。数据安全防护设计方面,根据该平台的特点,在其数据传输、数据存储、日志审计3个方面进行数据安全防护方案设计。系统安全防护设计方面,每年至少1次对与平台数据交互的业务系统进行安全基线核查、主机漏洞扫描、应用漏洞扫描以及渗透测试等安全扫描,并出具对应的整改报告。认证与授权安全防护设计方面,包含接口身份认证机制、白名单访问机制、熔断机制以及双因素认证机制。安全管理制度建设方面,制定涉及信息设备、网络终端准入、机房管理规定、外来运行维护人员等8项院级信息安全管理制度,制定数据安全和个人信息保护管理制度、信息系统上线管理制度、升级前安全规范、数据备份管理制度等14项科室级管理制度。
(摘录:中国卫生信息管理杂志)
////////////////////////////////////专家点评////////////////////////////////////
何伟,宣城市人民医院(皖南医学院附属宣城医院)信息科科长,高级工程师,安徽省医院协会信息专委会常委、安徽省互联网诊疗质控中心委员。
随着越来越多的三甲医院完成医院信息集成平台的建设,集成平台已展现出其在提高医疗服务效率、优化资源分配、提升协作水平、降低长期成本、增强系统的可扩展性和互操作性等方面的优势,保障它稳定及可靠的运行就尤为重要,这不仅关系到患者信息的保护,还涉及到医院运营的稳定和医疗服务的质量,医院信息集成平台的安全对于保障患者信息、维护医院声誉、满足法规要求、支持智慧医疗建设和提升服务质量等方面都具有重要意义。医院应当采取有效措施,加强信息集成平台的安全性,以应对日益增长的信息安全挑战。广东省人民医院从网络安全、数据安全、系统安全、认证与授权安全设计、安全制度建设五个方面为我们介绍了他们的方法和成效,为我们在平台安全的建设方面提供了参考和借鉴。