HIT专家网
想要遏制住这股歪风,需要多管齐下共同治理,包括技术手段、管理措施、法律法规约束等。
技术和管理手段中,要充分利用信息安全技术和产品,比如专门的防统方产品、内网终端管理产品、安全防护网关类产品等,通过安全加固,加强医疗信息系统自身抗攻击能力,同时配合更有针对性的管理措施,力求做到:
1、事前预防阻断
事前能够通过技术及管理措施,严格控制“统方”行为和对各类信息进行“汇总”的行为。在HIS、EMR等关键业务区域边界部署安全防护网关,制定数据访问策略。通过“事先防范”机制,使其无法进行数据的盗取,一旦发现不满足预定义策略的任何系统操作行为,数据窃取行为将被拒绝。
2、事中审批管理
在正常的医疗办公过程中,确实需要进行一定程度的合法统方和数据采集工作。因此,必须梳理相关流程和使用者权限,这里必须是管理制度与技术措施相结合,对内部系统管理人员、外部运维人员的操作权限进行严格管理,对于可识别的操作,引入严格授权和审批流程,通过验证后才可以访问操作。事中授权和审批是重要步骤,统一纳入统方及数据管理。
3、事后审计追查
由于合法和非法行为混杂,在加强权限和审批管理后,如果仍有人用合法手段做非法的事情,则必须进行事后审计,一旦出现安全事件,可以提供非常详尽的审计信息,对可疑统方和数据汇总行为分析进行回溯管理。一旦有人铤而走险,一定可以通过事后审计的手段将其查出。
网御星云针对日益严峻的信息泄露隐患,提供诸如防统方系统、内网安全管理系统、综合安全防护系统等系列安全产品以及系统加固等安全服务。以其中的关键措施防统方系统为例,通过部署该系统可实现:
- 全面监测数据库超级账户、一般账户、临时账户等各用户对数据库的所有访问,让管理者全面了解全院对数据库的访问情况。 提供对HIS系统详细的审计信息(何时 When 、何地 Where 、何人 Who、何种行为 What、何种方式How)。
- 通过预先设置的告警规则,实时监测对数据库的异常操作和行为,发现“统方”操作及时告警,防范统方事件的发生。
- 详细记录对数据库的所有操作信息,并分类整理、归档,在安全事件发生时,为事故的责任追查、故障定位提供有力的技术保障。具体包括:
- 通过网络监控技术及时发现非正常统方行为;
- 数据库敏感信息的实时防护,监控信息泄密与信息篡改的非法行为;
- 准确记录访问数据库的所有操作,包括数据库客户端访问、业务应用等各类信息;
- 实现HIS系统访问人员的定位与管理;
- 实现基于科室和用户名称的审计记录。
以上所述仅仅是围绕信息泄露的途径而展开的部分技术探讨,这里需要再次强调整体性——应该以信息防泄漏为核心,按照体系化的方法而进行,即按照国家等级保护的方法进行完整全面的信息安全规划建设,从物理、网络、主机、应用、数据各个层面充分设计,形成有纵深的安全体系,这样解决的就不只是“点”,而是“面”。
另外,盗取、贩卖医疗信息是违法行为,要承担法律责任。例如:《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》 、2009年开始实施的刑法修正案(七)253条明确了侵犯公民个人信息犯罪方面的条款。这都能对上述行为进行震慑和处罚。我们相信,不断进步的手段和措施能够净化医疗卫生信息环境,使得广大从业者和患者能够放心的享受医疗卫生信息化带来的便利和进步。
【内容预告】:【HIT180等保专栏(七)】信息安全之医疗设备防护篇
如果您对医疗行业的安全等保有自己的见解,欢迎给我们投稿,E-mail:public@hit180.com
HIT专家网系列丛书的第一部著作、由王晖主编的《医疗卫生行业信息安全等级保护实施指南》(第二版)已于2014年9月正式出版,同时HIT专家网推出【HIT180等保专栏】,摘编书中精彩内容以及业界投稿内容与读者分享,欢迎大家订阅!
书号:ISBN 978-7-5545-1352-1
版次:2014年9月第1版
印次:2014年9月第1次印刷
开本:889mm * 1194mm
印张:21
原价:48.00元 现在网上微店直接下单即可享受大幅折扣优惠。
咨询热线:010-82373062
评论前必须登录!
注册