近几年,随着医疗信息化技术的不断发展,众多的医疗信息化系统上线运行,医院利用信息技术提高服务和管理水平已成趋势。与此同时,因运维人员的操作失误而引发的安全风险日益凸显,特别是在运维管理中一般是采用特权账户进行操作,涉及维护的操作风险非常大。
医院系统承载着大量的个人信息以及健康状况数据,其运维环节疏漏造成的信息泄露也是当下重要隐患之一。因此,加强医疗行业信息系统的运维安全管理工作刻不容缓。
目前,医疗行业信息化建设已经初见成效,对于系统的完整性、可用性、保密性都有了相应的保障措施,但是对于系统内众多的网络系统运维人员、第三方运维人以及设备厂商维护人员却缺乏有效的管理与监控措施,一旦出现恶意操作或失误操作,将会对业务系统带来巨大的影响,甚至造成不可估量的严重后果。其中,HIS 这些核心业务系统的操作失误,不仅会为医院带来经济损失,一旦发生数据泄露还会造成极为负面的社会影响。
对此,国家在致力于禁止医疗行业的受贿行贿的工作中,为有效地防止数据成为医疗贪污的工具,这就需要建立相应的的“防统方”机制。
随着国家大力推行信息安全相关工作,医疗机构也在逐步推行等级保护评审工作,借助“等级保护”可以快速提升医院的全面信息安全建设,让医疗行业信息化安全建设有一个整体的提升。医院到底如何保障系统的信息安全呢?
◆建立运维安全体系,推行医疗卫生信息安全等级保护制度
面对庞大的医疗系统,能够对整个 IT 资源架构进行全面防护,改变由于设备和服务器众多,系统管理员压力太大等局面,提高系统的运维效率。该解决方案具备完善运维人员账户、授权与认证管理,使用应用托管中心保证系统帐户与应用账户分离,杜绝越权访问、误操作、滥用、恶意破坏等情况发生。
◆避免人为因素破坏,确保内部信息系统稳定运行
对于医院来说,整个网络的稳定性直接关系到为病人服务的能力,运维安全管理系统能够提供在集中访问授权里强调的“集中”是逻辑上的集中,而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能,管理员也由各自的归口管理部门委派,但是这些管理员在运维安全管理系统上,可以对各自的管理对象进行授权,而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够对用户进行粗粒度授权,对某些应用还可以限制用户的操作,以及在什么时间进行操作等细粒度授权,从根源上避免了由于人为误操作或蓄意操作等对整个网络的安全威胁。
◆规范运维安全管理,确保医疗信息数据安全
信息数据是医疗卫生机构的核心机密,在经济利益驱使下,一些不法分子为了获取“统方”等重要信息进行有目标的窃取,信息数据安全性必须予以足够的重视。在方便、有效的存取患者的电子信息,包括化验结果、处方信息、医嘱和健康状态等同时,也存有一定的安全隐患,如果缺少有效的安全保护措施和审计机制,就会存在账号滥用、业务数据被非法读取的风险。我们应该加强对于医疗数据的保护,通过数据库审计、数据库权限划分、规范可访问权限等手段,将数据库保护起来。
随着 IT 极速的发展,医院运维安全的水平也在逐步提升,对于新发现的隐患要及早的解决,用安全的运维环境促进医疗行业健康发展。
