基于三级等保的医院信息系统安全建设实践.pdfVIP

130网络安全2021年3月

基于三级等保的医院信息系统安全建设实践

刘运良

(安徽省泗县人民医院，安徽宿州234300)

【摘要】医院信息系统安全是保障医疗工作稳定运行的重要基石，本文通过分析医院信息系统和网络的防护现状，提出基于

三级等保标准的网络、主机、应用、数据、环境五维建设规划，并从技术、管理、运维三方面确保安全体系有效运转，从而抵御各

类安全威胁与潜在风险,彻底提高医院整体信息安全水平。

【关键词】等级保护;信息安全;信息策略

【中图分类号］R197.3【文献标识码】A【文章编号］1006-4222(2021)03-0130-02

0引言用异地备份，无法保障中心机房发生故障时的数据安全;②业

随着医疗信息化逐步覆盖医疗业务全流程，与医院业务务数据缺乏日志、行为和数据库的标准化审计机制。当前内外

的融合程度前所未有，以“云、大、物、智、移”为手段的“互联网均无针对性的审计机制，无法对各项操作行为进行监管和

网+医疗”在医疗行业全面落地。医院信息化程度越来越高，医审计;③核心服务器区的虚拟化服务器区无负载均衡。当前内

院业务对信息系统依赖性越来越强，面临的信息安全风险越网虚拟化服务器区和物理服务器区承载核心医疗信息系统，

来越大。因此，规划建立一套标准化的信息安全体系,符合并所有网络端口直连核心交换机，存在单点故障和无任何防护

适度超前医院当前和未来发展成为必然要求。措施;④机房运维、人员配备、管理制度等和等保标准存在较

为贯彻落实信息系统安全等级保护，有效避免医院信息大差距；⑤内外网没有实现物理隔离，数据交互的风险度不

系统安全事件的发生，探索和实践符合新标准的安全解决方可控。

案，为医院打造一套安全、稳定、高质量的信息安全环境和体1.3制定方案

系，保障信息系统正常运行，依据《信息安全等级保护管理办以信息系统的实际情况和现状为基础，遵照国家标准规

法(公通字2007〔43〕号)》规定，所有三甲医院核心业务信息范，依据等保2.0规范要求和安全目标，规划融管理和技术为

系统的安全保护等级不低于第3级叫2019年5月公安部发一体的整体安全体系。

布“等保2.0”相关标准更是提出将提升医院信息系统整体安(1)建设一套立体、纵深的安全保障体系。以HIS、EMR、

全水平，并建设一个稳定安全的应用环境。LIS、PACS、OA、HRP、HIP、服务器、路由、交换机等基础设施为

1基于三级等保标准的建设项目实施对象,从网络、区域边界、计算环境、管理中心四方面着手制定

措施,保证信息系统一体化，亦能满足政策规范要求。

1.1概况

(2)建立健全三级应急响应预案。解决突发信息系统不同

医院现把网络分为内部网络和外部网络，内部数据以单

层次、不同区域、不同程度的快速反应预案，遵循不同情形以

向方向直连外网。

启动相应的应急处置预案。

医院内网现规划为服务器、数据存储、核心交换机、专线

(3)建立健全信息系统安全培训体系。以制度化手段持续

接入、终端管控、网安运维等六个区域。重点区域包括虚拟化

为医院所有操作员和信息化管控人员提供安全技术知识培

服务器、核心交换、汇聚区、数据存储等，采用双机、冗余等措