来源:HIT专家网 编辑:小虫
目前,医疗设备数字化程度越来越高,其信息安全问题已成为急需关注的问题,它除了关系到医疗设备能否正常工作、能否工作在最佳状态、能否发挥最大效益的大问题,还影响医院信息系统的整体安全防护。医疗设备信息安全是安全等保的一项重要内容,医疗卫生行业应从技术和管理方面,加强医疗设备信息安全的安全防护,进而实现医院信息系统的整体安全防护能力的提升。作为HIT专家网系列丛书的第一部著作,由王晖主编的《医疗卫生行业信息安全等级保护实施指南》(第二版)从等保政策,到等保实施做了系统的阐述,欢迎大家登录HIT专家网微店订购。
目前,临床学科的发展在很大程度上取决于仪器设备的发展,甚至起决定性作用。因此,医疗设备已成为现代医疗的一个重要领域。
目前医疗设备较提倡的分类法有三大类,即诊断设备类、治疗设备类及辅助设备类。这三大类所包含的设备大多数都已数字化,例如CT就是利用计算机处理原始采集数据,经过对原始数据进行处理建立图像的设备;生化检测仪类则是在原有医疗仪器基础上数字化;彩色多普勒是在PC机的基础上经过二次开发的产物。从信息化角度来讲,这些设备可以看做是一台计算机。因此,需要按照信息安全相关规定进行管理。
医疗设备信息安全不容忽视
心脏除颤器、胰岛素泵、心脏监控仪等都是与病人生命安全息息相关的医疗设备,通常人们只关心这些医疗设备的质量安全,而在美国召开的一个信息安全会议又把人们的关注焦点引向了医疗设备的信息安全。在大会现场,一名资深安全研究员演示了如何远程操控医疗设备,他轻而易举地就改变了设备的安全参数,控制注射泵给病人注射药物。如果这些操控行为是黑客和恐怖分子所为,那么被注射了药物的病人性命难保。
有些疾病需要依赖医疗设备检测和控制病情,例如糖尿病患者,依靠血糖仪来监测体内血糖水平,靠胰岛素泵全天候随时注射胰岛素。而对于心脏病患者来说,一个心脏起搏器或心脏除颤器则至关重要。医疗设备与病人的身体有密切联系,所以医疗设备的信息安全至关重要。
医院医疗设备信息安全现状
某三甲医院检验科、超声诊断科、核医学科、病理科的医疗设备分别有:消化胃镜、CT检查、X线检查等,医疗设备与整体网络的连接方式如下图所示:
通过观察网络拓扑发现,很多医疗设备的网络都是接在局域网内进行数据交换和通讯。近年来,通过软件控制的医疗设备在医院中变得越来越普遍,并且这些被连接到内部网的设备,往往也都会被间接地连接到互联网(目前大部分医院内外网物理隔离),从而导致其感染病毒的发生的风险大大增大。同时,大部分情况下,医疗设备生产商一般都不允许院方对其设备进行修改,即使是安装一些杀毒软件,而是由设备厂商人员使用自身携带的电脑通过医院内部网络连接医疗设备,或采用3G网卡方式远程接入内部网对医疗设备进行调试,这些行为使得恶意软件对医疗设备的侵袭和威胁数据安全提供了机会。这是严重的信息安全隐患。
目前,医院所采用的医疗设备信息系统信息安全防护措施主要有:
- 相关计算机的USB口全部封死,防止信息泄露,也避免病毒泛滥;
- 外网如若需要进入医院内网,必须通过医院信息中心的VPN;
- 院内所有内网主控机都安装内网杀毒软件;
- 对于医护人员实行严格的管理制度;
- 设备出现故障后的解决流程:第一时间报医工科工程师,由工程师解决,或由设备厂家通过VPN进行远程诊断和维护。
医疗设备信息安全防护建议
1.基于角色的医疗设备访问控制
建立医疗设备管理员细粒度的应用层控制机制,有的设备可在基于互联网的环境下实现远程访问。可根据安全策略对用户和终端设备进行访问管理和用户行为管理,以加强信息安全风险、信息安全和信息安全合规性的管理。
2、医疗设备在物联网应用中身份的真实有效识别
医疗环境中所有设备都能以数字化方式进行识别和管理,如何在通讯中确保各设备在运行中身份信息的真实有效,是信息安全等级保护及实际安全防护中的重点建设内容。
信息技术领域的身份鉴别是通过将一个证据与实体身份绑定来实现的,物联网的广泛应用让各医疗设备具备“智慧”的沟通能力,通过条码、二维码、无线射频识别、无线网络等技术应结合身份鉴别来实现。
3.加强用户权限控制,防止维护人员误操作
目前,很多医疗设备都是由第三方厂商进行维护,维护人员以远程维护为主,很多运维操作是使用PC机通过网络直接连接到医疗设备上进行。在这种情况下,不能有效地利用防火墙按照过滤规则和端口进行限制,会带来一些安全隐患,要清楚的认识潜在的风险。以纳比·杰克模拟了黑客入侵医疗设备操控设备按照他的意志行凶事件为例,要规避这类事件的发生,就要从我们自身的工作做起。比如限制用户只能使用VPN进行远程连接,建立VPN组规则维护人员只开放维护端口,通过技术上的一些要求,来降低风险的发生。
4.完善管理
信息安全保障依靠“三分技术,七分管理”。针对医疗设备信息安全管理的内容,我们需要从以下几个方面进行探讨:
(1)设备说明书
对于医疗设备不能正常运转的现象,其中有50%以上的故障是因为对仪器的了解不够,操作不当造成的。在很多医疗设备的说明书中又关于安全的描述,在操作设备之前只要对设备说明书认真阅读,并对照机器进行操练一遍,这样才可能规避信息安全风险。
(2)设备信息安全防护措施
一般要求医疗设备安全防护设施必须具有稳定性、安全系数及寿命要求,以保证人身和设备的安全,医疗设备的使用安全问题已成为一个急需特别重视的问题。为了达到安全防护,除了严格按照设备的操作流程使用外,指定医疗设备使用安全管理制度十分重要。例如:不能随意在医疗设备上使用移动存储设备。
(3)设备维护管理制度或规定
根据国家有关对医疗设备管理方面政策法规条例的规定,结合医院的实际情况,制定一套规范化、制度化的医疗设备管理制度,才能体现医疗设备的管理水平,充分发挥医疗设备的效能,提高设备的使用率、完好率,减少或杜绝人为损坏,保证医疗设备处于最佳状态。
(4)维护与安全人员责任划分
医疗设备管理者不仅要参与从设备的购置到设备报废的全过程管理,建立各项设备的管理度,也是设备管理工作的重要的组成部分。在设备的日常管理中,由于个别工作人员操作失误或责任心不强造成设备损坏、丢失,导致医院设备损失严重,因此对事故责任人的处理是必要的。根据设备事故的责任、责任人及事故的处理原则进行划分和阐述。
(5)设备日常维护记录
医疗设备的日常检查是一项经常性的运维工作,是设备保养的基础,可以预防故障和事故的发生。为了保证医疗设备的信息安全,需要使用人员或医工人员在日常工作中按规定进行通信或使用外接输入输出设备,填写使用记录;除做好必要的记录外,在出现信息故障时要及时通知维修人员,不得私自处理信息问题。
医疗设备的信息安全问题已成为急需关注的问题,它除了关系到医疗设备能否正常工作、能否工作在最佳状态、能否发挥最大效益的大问题外,还影响医院信息系统的整体安全防护。医疗卫生行业可以借鉴此方案从加强技术防护和管理等有效措施,加强医疗设备信息安全的安全防护,进而实现医院信息系统的整体安全防护能力的提升。
【内容预告】:【HIT180等保专栏(八)】信息安全之信息岗位人员管理篇
如果您对医疗行业的安全等保有自己的见解,欢迎给我们投稿,E-mail:public@hit180.com
HIT专家网系列丛书的第一部著作、由王晖主编的《医疗卫生行业信息安全等级保护实施指南》(第二版)已于2014年9月正式出版,同时HIT专家网推出【HIT180等保专栏】,摘编书中精彩内容以及业界投稿内容与读者分享,欢迎大家订阅!
版次:2014年9月第1版
印次:2014年9月第1次印刷
开本:889mm * 1194mm
印张:21
原价:48.00元 现在网上微店直接下单即可享受大幅折扣优惠。
咨询热线:010-82373062
评论前必须登录!
注册