● 摘要
HIS(Health Information System, HIS)是现代医院建设中重要的基础设施与支撑环境,具有高复杂性、高保密性、高稳定性、数据量大、高可用性等特点。HIS系统是覆盖医院所有业务和业务全过程的信息管理系统,通过信息化手段为医院的工作带来了极大的便利性。但系统及工作中产生的信息是否安全成为日常工作的一大隐患,一旦发生安全事件,有可能会引发敏感信息的泄密,造成不良影响。
为了从技术与管理层次上推进医院信息系统安全防护水平、确保信息系统安全稳定运行、确保业务数据安全、满足国家信息系统等级保护的各项安全要求,本文主要针对以下问题进行研究:
(1)用户及设备安全管理与控制。由于用户随意接入医院内网,造成了个别人通过非法的手段获取网络资源及重要信息,以及在造成患者信息泄露等重大问题时无法定位到相关责任人;医院内各种输入输出设备的滥用对终端信息安全造成了很大的威胁。
(2)终端安全管理与控制。1)恶意代码带来的安全隐患。2)终端安全配置随意更改。3)终端主机资产任意变更。4)终端主机非法外联。
(3)HIS系统安全边界监测与防护。HIS系统服务器以及网络内其他计算机开放了共享服务,给工作带来了便利,但开放共享服务的计算机就会存在很大的安全风险。
(4)安全审计与风险控制。缺少对各种违规操作及信息系统的全方位的监测审计,不能及时发现信息系统的安全风险,在信息系统遭受有意或无意的破坏时,无法审计及举证,同时不能保证信息系统的安全、稳定的运行等。
通过对以上问题的研究,将建立一套科学的衡量大连医科大学附属第一医院封闭式信息系统,基于安全基线的核心要素,实现可防护(控制)、安全威胁可发现、宏观态势可感知、主动防御可交互的技术评价和管理控制体系,用以指导大连医科大学附属第一医院信息系统的安全管理与实践。