医疗卫生信息安全等保管理与思考 ---上篇,另见下篇《如何做好卫生信息三级安全等保工作》。
作者:何 萍(上海申康医院发展中心 2015年6月),本文由安全导航整理自作者的PPT材料。
网络为什么不安全?
- 网络发展迅速, 较少考虑安全问题;
- 管理人员的缺乏及对安全知识和意识的不足;
- 全球超过26万个黑客站点提供系统漏洞和攻击手段及工具等方面的知识;
- 容易使用的攻击软件和黑客教程比比皆是,成为一名“黑客”变得越来越简单。
- 美国FBI调查,每年因网络安全造成的损失高达170亿美金;
- 平均每五个站点就有一个遭受不同程度地攻击;
- 中国公安部资料表明,网络犯罪每年以30%的惊人速度递增.
信息网络安全的定义
安全就是一个系统地保护信息和资源相应的机密性和完整性的能力
通常理解:“信息网络安全就是避免危险”
科学定义
•防止未授权的用户访问信息
•防止未授权而试图破坏与修改信息
抗风险角度
•在信息网络环境里的安全指的是一种能够识别和消除不安全因素的能力。
我们面临的威胁有哪些?
来自外部的威胁
•口令破解
•病毒攻击
•非法服务
•拒绝服务
•网络漏洞
•操作系统漏洞
来自内部的威胁
•物理安全
•误用和滥用
•不当的接入方式
•数据监听(Sniffer)
•劫持攻击
来自管理人员的威胁
•网络安全中人是薄弱的一环,许多安全因素是与人密切相关;
•提高安全管理人员对设备管理的责任感。
•网络管理员的安全意识对提高网络安全性能具有非同寻常的意义;
卫生信息化安全
医院作为社会公共服务领域的重要组成部分,收集和储存了海量患者信息。医院信息系统安全问题是关注焦点。
医生的问题
•帐号混用
•密码简单,长期不变
•权限划分不清晰
医院的问题
•内部需要数据共享
•对外上报接口多
•内外网划分不清晰
•重纸质(法律)、轻信息
•安全意识淡漠
•信息安全制度缺失
•医院门户网站缺少必要的安全保护措施
信息中心的问题
•隐私保护培训不足
•安全人员不够专业
•数据审计不足
•生产、测试不分
•数字证书问题
•权限过于集中
•明码通讯
•职责划分不明确
医院信息化建设的安全问题
区域卫生信息平台面临的信息安全挑战
- 一、信息化技术发展引起安全与投入、效率的矛盾
- 二、惠民项目的倡导与居民隐私保护的矛盾
- 三、外包服务的普及带来信息泄露的风险(如信息系统外包、药房托管等等)
居民健康档案在生成、传输、存储、再利用等过程的安全性如何保证?
卫生信息平台上各类系统服务的可用性、可靠性如何保证?
那么我们面临的挑战具体是:
•所有医疗机构包括患者基本信息、诊疗病史资料、医疗费用资料、检验检查报告、医学影像检查报告等信息在内的大量数据交换,如何预防与监控医疗敏感数据和各类统方行为的发生?
•区域卫生信息安全覆盖一二三级医院,并与市级、区县级卫生局互联。如此众多的节点,如何保证整个系统在高效运行情况下的网络安全,是一个至关重要的问题。
•对系统自身的网络安全工作是个考验,而且在各个医院的网络部署也提出了更高的要求:既要保证医院节点和区域数据中心的交互,又要确保各医院网络与区域卫生信息平台相对独立,互不干扰。