浅析互联网医院系统的安全防护措施

摘要：以互联网医院信息系统建设作为切入点，从等级保护的设计和安全措施相关要求中，结合近期国家卫建委信息安全要求，落实互联网医院安全等级保障体系的构建，通过安全防护技术和管理规范做到有效保证互联网医院系统的安全性。实施安全防护，是一个不断的迭代过程，只有在不断的实施互联网医院安全防护过程中，才能确保互联网医院系统长期的有效的处于安全保护状态。基于此目的，互联网医院信息系统的安全防护建设在安全等级保护标准的前提下，从管理规范、技术安全防护和数据安全等多个层面实现全方位的安全防护覆盖。

关键词：互联网医院；信息安全 1.

互联网医院信息系统安全防护的背景及意义

随着网络这信息进入3.0时代，互联网的广泛普及和应用正在深刻的改变人们的生活习惯，越来越多的人习惯通过使用网络应用来完成自己的需求，医院信息系统在这种情况下也正在大幅的迈入互联网+的信息化时代中，然而在这种情况下，信息安全风险也在急剧的增加，每年因各类信息安全疏忽导致的安全风险案例层出不穷，常见的如永恒之蓝、Wannacry勒索病毒、分布式攻击、蠕虫病毒、木马等等，可能会对医院核心系统的正常运行和医疗数据造成严重的破坏。因此，出于互联网医院信息系统的正常和安全的运行目的考虑，对互联网医院信息系统实施安全防护是十分关键且必要的。

1.

互联网医院信息系统安全保护管理规范

在信息安全防护领域，系统维护操作是否符合安全规范是十分严肃和重要的问题，大量的发生的安全事件告诉我们，不符合安全规范的行为带来的风险明显远远超出信息系统安全技术风控。

以数据泄漏为例，医疗行业内部威胁造成的事件概率远高于其他行业，其中，以弱密码或多人共享账号造成的安全事件占比高达48%，而工作管理上的疏忽造成的问题，则高达31%，只有10%的原因为系统安全防护能力不足造成的。

因此，在完善技术安全防护前，首先形成完善的安全管理制度。 1.

1.

安全组织架构和团队

由专人组成安全管理团队，主持信息安全工作总体规划，组织信息安全工作检查，分析信息安全总体状况和相应报告，负责接受各类安全紧急信息安全事件并作出对应措施，对各类信息安全行为加以规范和检查。

1.

1. 系统研发技术规范

对系统研发过程中的风险点实施标准化的安全加固方法和代码编写规范，在研发过程中加强系统研发人员的安全意识和提升对系统安全的重视程度。

1.

1. 应急事件处理流程

针对各类信息安全事件提前作出针对性的应急预案，在信息安全事件来临时能够根据信息安全事件的应急演练预案，及时对接、汇报、处置和修复。

1.

1.

安全意识培训和检查

定期对全体组织人员进行安全意识培训和指导，避免出现弱密码、账号密码泄露等易发生且影响巨大的失误，并形成定期检查审计的制度，确保信息系统接触人员的安全意识处于较高水准。

1.

1.

制度和文档的更新维护

时代和技术持续在进步，制度和规范也是如此，信息安全人员应定期根据组织实际发展需求，对现有信息安全制度和规范进行适当的更新和维护，以保证信息安全制度和规范是合适的且安全的。

1.

互联网医院信息系统安全防护技术建设

互联网医院信息系统的信息安全建设会同时依据国家公安部和国家卫建委的安全标准，结合现实的业务特点与管理情况，构建多层次的防护措施，并通过制订运行维护安全管理策略，形成面向患者用户、医生和医院的安全防护体系。

在实际的互联网医院安全防护建设过程中，一般参照《信息系统安全等级保护基本要求 2.0》标准来完善现存的安全防护体系。

因此，我们的信息系统安全的技术建设主要从网络、主机、应用和数据安全等方面来实现安全防护。

1.

网络安全防护

通过划分独立VPC区域，隔离各个功能区之间的干扰和横向的渗透感染，同时在内外网关和VPC网关之间架设边界防火墙来完成南北向和东西向的流量监控和精准访问控制，同时对实时入侵行为和威胁做出防护。

1.

主机安全防护

通过安装杀毒软件和监测程序客户端，完成对整个主机层面的定时安全扫描、实时的异常进程监控和系统基线安全配置的检查，对木马、蠕虫、异常行为、系统安全漏洞和应用文件漏洞等问题会及时进行隔离操作，防止感染进一步扩大。

在杀毒软件和监测程序服务端，会定期更新病毒库和系统软件漏洞库，并提供相应的修复措施。

1.

应用安全防护

通过架构分离方式，进行应用层的前后端隔离，在整体系统设计上，前端静态资源通过内容分发网络提供快速安全的响应，后端则假设于应用防火墙之后，应用防火墙会实时通过定期更新的应用组件漏洞安全防护规则和针对系统定制的自定义规则进行过滤，同时应用防火墙会通过云安全中心大数据能力，对各类OWASP常见Web攻击和恶意CC攻击进行拦截，避免应用资产数据泄露，保障业务应用安全性与可用性。

1.

数据安全防护

在数据防护层面，通过网络白名单模式，禁止非必要的访问，定制热备和冷备、异地和离线备份计划，使用加密模式进行数据的网络传输，对敏感信息进行多重加密算法进行混合加密存储，对外提供的敏感信息使用脱敏模式进行支持，并制定符合信息安全规范的数据库审计方案，定期对数据操作行为进行审计。

1. 结束语

互联网医院信息系统安全防护的管理是一个不断迭代的过程，随着时间的推移，管理理念、信息技术以及医院信息化程度的不断变化，互联网医院信息系统安全管理的思路也应该要与时俱进的不断变化，要根据阶段性的信息安全目标不断的对安全管理体系加以校验和调整，以保证互联网医院信息安全管理体系始终适应和满足实际情况的发展需要，只有做到这样的安全防护管理模式，才能够建设更健康的、合理的、有效的互联网医院信息系统，才能满足互联网医院不断扩展的业务和管理，这才是信息安全防护建设的重要意义所在。