人民网>>人民网健康卫生频道

董亮:信息安全“三分技术、七分管理”

2015年04月21日16:54    来源:人民网-健康卫生频道    手机看新闻

信息安全的效应是一个木桶效应,信息安全建设不好就是医院信息化建设的一个短板。其中,管理是信息安全的重中之重,是信息技术有效实施的关键。

信息安全是“短板”

信息安全是指信息系统受到保护,不会偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。

信息安全主要包括信息的保密性、完整性、可用性、可控性和可审查性五要素。这五要素也是我们信息安全的目的,主要归结为5点:进不来,使用访问控制机制,阻止非授权用户进入网络,保证网络可用性;拿不走,使用授权机制,实现用户权限控制,同时结合内容审计机制,实现网络资源与信息的可控性;看不懂,使用加密机制,确保信息不暴露给未授权的实体,实现信息的保密性;改不了,使用数据完整性鉴别机制,保证只有得到允许的人才能修改数据,确保信息完整性;走不脱,使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者留有痕迹,实现信息的可审查性。

信息安全的效应其实就是一个木桶效应,信息安全建设不好就是医院信息化建设的一个短板。信息系统安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,对信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

构建安全可信的信息消费环境基础是大力推进身份认证、网站认证和电子签名等网络信任服务,推进国家基础数据库、金融信用信息基础数据库等数据库的协同,支持社会信用体系建设。

提升信息安全保障能力,需要依法加强信息产品和服务的检测和认证,支持建立第三方安全评估与监测机制。加强政府和涉密信息系统安全管理,保障重要信息系统互联互通和部门间信息资源共享安全。落实信息安全等级保护制度,加强网络与信息安全监管,提升网络与信息安全监管能力和系统安全防护水平。

医院信息安全存多重挑战

如今,在县医院信息安全现状方面,已全面建成全国传染病和突发公共卫生事件报告网络。同时,以电子病历为核心的医院信息化建设在提高医疗服务效率和质量方面发挥了越来越重要的作用。远程医疗系统也初具规模,促进了优质医疗资源向基层延伸。而居民健康卡应用稳步推进,覆盖13亿人口的人口信息资源库。

全国已有3700多家医疗机构开展以电子病历为核心的医院信息化建设,实现医疗机构内部信息共享。江苏、浙江、河南、重庆等6省份建立全省电子病历数据库。天津、上海、江苏、浙江、安徽、福建、山东、河南、湖南、重庆等10省份已建成省级信息平台,实现部分人口健康信息实时采集与共享交换,支持跨区域业务协同,服务综合管理与科学决策。上海、天津等17个省份采取依托政务外网,租用电信、联通等虚拟专用网及独立建设等多种方式,建立了省级人口健康信息专用网络。

全国已有22家第三方电子认证机构通过国家卫生计生委电子认证监管平台的符合性测试,遵循统一的证书格式标准、接口标准,实现全行业跨地域、跨信息系统的一证通用、互认互信。

医院面对的安全挑战,主要来自以下几方面。行业应用的要求,医院信息系统承载着越来越多的管理和医疗业务,要求7×24小时不间断运行。医院正常运行对信息系统的高度依赖,要求医院信息系统必须具有高度的稳定性和安全性;区域医疗和系统整合的压力,随着信息化的发展,信息技术在各个领域的广泛应用,医院信息系统面临着要与区域医疗信息平台、远程医疗系统、医保系统、新农合系统等众多外部系统的信息共享和数据交换,完全无力隔离的医院信息系统已经不适应当前形势下医疗信息化的发展。与外部系统的对接,将不可避免的带来病毒、外部攻击和信息泄露等安全挑战;信息泄露的压力,医院信息系统涉及大量的医院经营、缓则医疗等私密信息,信息泄露和传播将会给医院、社会和患者带来安全风险;网络安全漏洞,网络设备、操作系统以及应用软件都或多或少存在一些系统漏洞,与外界的医保系统衔接也会出现漏洞;病毒、木马的威胁。

据了解,目前,采用数据安全技术的医院比例已经达到40%,未来规划中数据安全技术名列第二,说明各医院已经开始重视信息安全的保护,特别是病人数据也就是个人隐私信息的保护。数据库镜像备份和数据冷备份采用较多,电子签名采用还较少。拥有1?2个独立网络,是当前大多数医院网络建设的主体行为,是其面对信息安全的重要举措。

信息安全关键在管理

医院信息化应用特点是,信息集中访问,门诊业务在上午10点之后业务量最大,网络流量也随之增加;响应要及时,调阅PACS、lis、药房信息要能及时;多业务融合,临床信息系统、管理信息系统、服务信息系统等多业务融合,对外互联、区域融合、网上预约挂号等等。这些均需要在信息安全防护措施下完成,一旦信息安全出现问题,所有应用都将会瞬间破溃,医院业务无法正常开展。

2008年6月,我国某市保健医院一名内部人员利用职务之便将该院信息系统所有孕妇和婴儿信息,以每条0.3元销售4W万多条数据;2011年福州某上哪家医院每隔一个月某医院信息系统的数据库就会留下统方痕迹,被医院外部人员获取。

信息安全保护工作是一个循序渐进的,不是一蹴而就的工作,需要不断发现问题、解决问题,不断改进。业务信息安全等级方面,电子病历数据一旦遭到破坏,会影响到公民利益、社会秩序、公共利益。系统服务安全等级方面,医院系统一旦服务不可用,又会造成极大程度的影响。系统安全等级方面,安全等级从信息和服务的等级较高者确定。

开展建设整改,在这之前,对已经建设的系统,可以采用自评和邀请第三方测评机构对系统信息安全等级保护工作进行评测,查找问题,然后对发现的问题和漏洞进行整改。《信息系统安全等级保护基本要求》是我们开展信息安全保护的一个基本“标尺”、达标线,只是我们的出发点,而不是终点。

保障医院信息系统安全稳定运行,必须在遵守国家信息安全基本要求的前提下,突出医院自身特点,实现集中安全管理,特别是医院电子病历的广泛应用,CA认证体系的应用将会更大促进医院信息的安全。信息安全风险评估将会进一步促进医院信息安全体系的建设。

信息安全“三分技术、七分管理”。足以见得管理是我们信息安全的重中之重,是信息技术有效实施的关键。

信息安全保护工作是一个循序渐进的,不是一蹴而就的工作,需要不断发现问题、解决问题,不断改进。 

 
分享到:
(责编:王亚微、刘婧婷)


注册/登录
发言请遵守新闻跟帖服务协议   

使用其他账号登录: 新浪微博帐号登录 QQ帐号登录 人人帐号登录 百度帐号登录 豆瓣帐号登录 天涯帐号登录 淘宝帐号登录 MSN帐号登录 同步:分享到人民微博  

社区登录
用户名: 立即注册
密  码: 找回密码
  
  • 最新评论
  • 热门评论
查看全部留言

24小时排行 | 新闻频道留言热帖