马端骏

摘要：按照国家信息安全有关政策的标准以及结合医院信息管理系统的特征和数字化的发展趋势，从医院安全体系建设的需求、要点和优势以及实施重点等多个方面展开了论述，为基于三级等保标准的医院信息安全体系的建设提供一定的借鉴意义。

关键词：三级等保;信息安全;体系建设

1 现阶段医院信息安全体系建设需求分析

依据《信息安全技术信息系统等级保护安全设计技术要求》（GB/T25070-2010）等规范性政策，且将其与医院的具体情况进行结合来统筹信息安全体系的建设实施，具体分析了医院信息安全体系建设需求大致分为六个层面：

第一，信息安全体系建设物理方面安全需求。这一方面主要体现在其实际方位的选择，需要注重防水、防火与防止静电等方面，并且还需要保障整个系统运行的电力支持。

第二，信息安全体系建设的安全需求，这个方面主要体现在用户访问限制，网络安全审计与病毒侵入的防御等几部分的问题，保障网络层的安全与私密性。

第三，信息安全体系系统层的安全需求，这-需求重点在于加强身份鉴别，保护剩余信息同时要加强信息平台的资源控制。

第四，信息安全体系应用安全需求，应用方面的安全保护一般体现在代码安全、信息流通过程的保密性和软件的容错性等。

第五，信息平台数据方面安全需求，这个层面主要体现在保障信息数据的安全性和完整性，避免数据信息外漏亦或是损失。

第六，信息平台管理方面安全需求，这一方面主要体现在有关安全管理机制和规则的制订、有关安全管理部门的建立与落实实施等。

2 医院信息安全体系建设的要点

2.1设备与系统的部署

依据整体部署的规划完成所有设备与终端的装置和调试，完善设备的装配和系统的部署。其中包含系统入侵检测、网络防火墙、漏洞核查等方面。首先是服务器执行的升级完善，将安全固化系统与人工固化合理搭配，停用无效服务，开展漏洞核查、身份验证、信息备份等业务。其次是数据库的升级完善。采用人工加固的手段把控制机制与数据账号信息进行分离，通过最小授权原则、使用密令等方式对各种隐私和敏感的环节强化管理。再次是对应用软件和系统进行定期的漏洞检查，保障系统的安全使用，强化用户身份验证以及使用、访问权限。第四是定期开展数据备份，以及启用杀毒软件完成主机方面的病毒抵御，终端安全管理机制完成安全检监测，安全管理措施实现整体全面的监测。

2.2规章制度与细聊的梳理

信息安全体系的建立需要遵守“技术与管理并重，三分技术加七分管理”的原则。 三级等保标准需要设立信息安全管理机制，提出明确的安全管理措施、管理机制与工作流程。还需要建立制度的审查和修订机制，与重要岗位、合作方的有关工作人员签署保密书，确定有关的责任与需要保护的内容;安全系统的控制与使用权限进行分开管理，应用身份识别技术对使用者访问权限实施控制;经过在各层人员的会议上提出和在内网上实行全院工作人员考核等多种形式在本院范围内完成员工的信息安全教育与培训。

2.3内网等级保护改造建设

包括运维管理区、办公接入处、核心交换区、网络接入区以及数据中心区和开发测试区。需要在各种区域与核心数据交换区互联，对用户操作控制进行身份辨识和行为限制，设置远程安全测试评估机制，对系统安全漏洞进行扫描以及安全配置的审查，保证对各配置定期的检查，对全网数据开展内容审计。

2.4外网的安全建设

一般和医院门户系统、预约挂号系统、医保以及外联单位展开网络互联，和信息中心核心系统互联，需要在外网接入处设置防火墙、硬件杀毒、IPS，也能够设置新一代安全装置，增加各种功能板块，完成安全隔离的同时也实现物理安全保障。

2.5安全管理体系建设

安全管理体系方面坚持安全体系建设原则，建立专项安全领导与实施部门，制定并公开相关管理制度，并及时由专项小组审核与完善，相关的安全意识教育与培训也是必不可少的，并且对工作人员开展安全知识与能力考核。

3 医院信息安全体系建设的优势与实施要点

3.1医院信息安全体系建设的优势

伴随我国医疗卫生事业的持续发展与改革的不断深化，数字化的模式对医疗卫生服务的影响越来越大，信息化也不断普及，因此信息安全体系的建设也就尤为重要。为响应国家相关政策与切实保护医疗系统信息安全，就需要将国家细心安全等级保护为根本指导原则，从技术实施和安全管理两个层面来充分考虑，保障医院信息系统的安全性与隐私性，进而推动我国医疗卫生事业的发展和优化。

3.2医院信息安全体系建设的实施要点

3.2.1检测网络综合威胁

当下安全建设的要点是传统信息化建设和安全不够系统化，注重硬件建设和网络建设，相应的忽略了软件与数据。信息系统的建立不够系统化和规范化，管理与安全运维相分离，缺乏全面与系统的平台，因此建立网络综合威胁检测系统与运维管理系统有利于信息安全的全面管理。

3.2.2提升医院对威胁预测能力

利用威胁情报与局级持续性威胁（Advanced Persistent Threat，APT）检测技术来完成安全建设与整体预防，将威胁信息和网络中具体数据比对研究，结合攻击定位、追溯根源和威胁截断等各种工作流程，从根源上避免安全问题的发生。从系统安全整体框架设计时就考虑到监测发现、数据上报、预测和应对的综合工作过程，建设以问题监测发现为起点，实现闭环的共同防御处理的信息安全系统。

3.2.3建设网络威胁感应平台

借助快速搜索手段强化数据查找技能，在大数据发掘比对的基础上采用危险代码智能监测技术手段提高感应危险代码的技能;源于轻量级沙箱的未知代码攻击监测手段强化感知未知漏洞的技能。并且为有效应对信息安全问题，提升运维能力， 把重要的核心设施展开联动处理优化，把设置在不同地方的重要设施日志信息及时传送至感知平台，开展全面安全监测。

3.2.4生物识别双环节验证

在平台登录身份验证环节采用生物识别技术。借助动态的验证与生物识别保障操作者、使用权限与系统的统一。操作者能够采用手机增加指纹识别与面容识别等形式得到登录授权，实现动态登录管理与单点登录，保障和提高信息安全系统的操作和控制的安全性。

3.2.5业务操作安全网关与监测方案

安全管控、内部操作规范也是信息安全管理系统的重要构成因素，要求对日常的 安全操作进行建模，对日常行为模型意外的风险操作展开分析处理。比如异常异地登录、 非常规时间操作、频繁操作、超出操作权限等行为。因此可以引入业务操做安令网关，经过制订策略制与安全建模整体对比研究医疗安全和内部操作风险。在这个层面上通过操作监测系统开展全面检测，把危险信号、行为管控、 网络综合感应系统、终端安全等有关数据实施关联、定位与判断。如此能够真正的把操作者、技术与安全管理融为一个整体，可以让综合方案表现出协同联动与系统应对的建设理念。

4 结语

医院信息安全体系的的建设，使系统中的信息能够在可靠的环境中传送与使用，最大限度的保护了患者的相关信息与个人隐私，使众多患者与医护人员的合法权益得到保障，也让医院信息系统能够为病人提供更为安全和稳定的服务。

参考文献

[1]王晖.医疗卫生行业信息安全等级保护实施指南[M].石家庄：河北出版传媒集团，2014.

[2]王才有，汤学军，董方杰，等.全国三级医院信息化情况调查研究[J].中国卫生信息管理杂志，2016.

[3]唐江波.基于醫院信息安全等级保护的整改实践[J].中国数字医学，2018.

[4]汤斌，黄玉成.三级等保下医院信息系统安全优化方案实践[J].中国医疗设备，2018.

[5]孟凡红，樊红雨，侯酉娟.基于数据挖掘技术的用户信息需求研究[J].医学信息学杂志，2011.

[6]张浩，苏晗，崔雷.利用共词聚类分析法探讨国际疾病分类相关研究文献的热点[J].医学信息学杂志，2008.