保障医院网络信息系统安全
“网络安全方案不要过于复杂,我个人认为简单就是可靠。”中国医院协会信息管理专业委员会副主任委员、解放军总医院(301医院)信息中心主任薛万国先生表示:“首先,安全对于医院信息化非常重要,该买的产品一定要买;其次,安全方案不要太复杂;再次,还应重视应用的安全。安全方案复杂了以后不稳定的因素是客观存在的,会导致网络出现问题。比如,如果加太多的防火墙、防病毒网关、行为管理软件等等以后,将会导致网络的实际带宽可能只剩有20%、30%。”
北京宣武医院信息中心的专家尚邦志认为:“解决网络安全问题不能只靠拿网络产品去堆砌,解决网络安全问题首先应该有一个系统的网络安全方案。网络安全问题是永远存在,安全问题实际上是管理加技术的问题,而且是管理在前,技术在后。一定要考虑在管理的前提下应用技术,这样才能保证安全。”
论坛中,尚邦志从安全方案的设计,风险评估,设备选型到施工等等方面展开的一一阐述。他认为,医院在进行网络安全设计时,不同的医院在需求上会有所不同,安全方案必须结合各自医院的具体需求情况,而对于厂商提供的方案一定要进行二次设计。在网络施工阶段,施工质量不好,施工的工艺不行,同样会造成网络安全遗患。同样,有很多的细节需要重视,比如交换机的配置,交换机买来了之后不是上来就用,一定要做好初始化配置。
此外,医院应该做好风险评估工作,风险是随着时间的推移而不断变化的。
在设备选型方面,尚邦志强调,所有最佳的产品设备简单组合在一起未必能组成一个最佳的系统,反倒不是最佳的产品设备组合在一起,可能会产生一个比较理想的系统,这需要具体问题具体分析,而不是盲目追求。
关于采用万兆网的选择问题,中国医院协会信息管理专业委员会常务委员兼秘书长,北医三院信息管理中心主任沈韬研究员表示:“目前北医三院的骨干网采用的是千兆,即便是高峰期能用到20%就不错了。所以,就目前医院的实际需要情况看,即便是在有很多应用的情况下,网络带宽并不是一个迫不急待需要解决的问题。”同样,薛万国主任也认为:“网络并不是最大的就好,一定要有容度才是最好。”
信息系统安全有法可依
俗话说:没有规矩,不成方圆。面对由新医改而引发的新一轮医疗信息化的热潮,保持清醒的认识,同时尽快在制度与规范方面保障医疗信息化的健康发展,这是医院领域众多有识之士共同关注的话题。
“新医改方案在将医疗信息化提高到空气高度的同时,也让我们感到责任的重大。” 北京市公共卫生信息中心刘伟书记表示:“最近两年以来,北京市公共卫生信息中心一直在积极推进医院信息化工作。2008年中,北京市公共卫生信息中心医院信息化推进部在专家委员会的大力支持下,编写了有关医院信息化的规范与指南,同时,还做了有关医院信息化的建设项目。无论是项目审核工作,还是编写医院信息化规范与指南,最终都应该落实在如何为医院信息化建设服务这个点上。北京市公共卫生信息中心是医院信息化建设的服务保障部门,2010年我们将继续地在原有的基础上不断地加强医院信息化建设的服务工作。”
中国医院协会信息管理专业委员会常务委员兼秘书长,北医三院信息管理中心主任沈韬研究员认为:“从当前医疗信息化的热潮看,可能医疗信息化的春天真的来了,尽管可能还是早春。我觉得这是中国的一次机遇,未来如何发展我们还需要拭目以待。”
中国医院协会信息管理专业委员会副主任委员何雨生表示:“从医院的管理机制方面看,江浙一带和广东一带的院长,尤其是地区级的院长相对的执行力非常强。在这一点上北京存在差距,应该学习和借鉴。”
值得关注的是,目前国内有关部门已经在医院的信息化,尤其是在信息安全方面,已经积极行动起来。2009年,上海市卫生局发布了《医疗机构信息系统安全等级保护基本要求》,这个文件遵循国家信息安全等级划分原则,把医院信息系统定义为二级和二级增强型两类,所谓二级增加型就是根据医院信息化的特点在二级基础上增加了部分三级等保标准的内容,并按照国际标准《信息系统安全等级保护基本要求》(GB/T22239-2008)对医院信息安全工作提出了具体要求。
不久前,卫生部统计信息中心副主任王才有对记者表示,鉴于医院业务应用的特殊性,其信息安全必然与国家标准中的一般信息安全内容有所不同。医院信息系统更关注防止信息非法篡改及数据安全性等方面。医院信息系统中的一些子系统可能会更关注业务连续性方面
的要求。医院信息安全建设的主要内容就是按照国家《信息系统安全等级保护基本要求》标准,针对医院信息化建设特点和要求,加强信息安全的保护能力。
据悉,国家还有一个相关的技术标准叫《信息系统等级保护安全设计技术要求》,该标准目前还处于审批阶段。这个标准从安全计算环境,安全区域边界,安全通信网络和安全管理中心等方面提出了整体设计要求。安全计算环境就是以访问控制为核心的信息处理环境,安全区域边界就是进入和流出的信息必须得到控制,安全通信网络就是保证信息交换过程中的安全性,防止被掉包,篡改,窃听等。此外,还需要设计一个安全管理中心制定安全策略,提供一个信息处理的三权分立体制,从而实现对信息的安全管理,不能想干什么就干什么,谁都没有绝对的权力。安全管理中心将安全管理制度与安全技术手段结合在一起,实现对信息安全的管理和控制,强调的是从整体上实现信息安全的要求。
信息安全不仅中国在关注,美国在制定其国家卫生信息化战略规划中,也同样把“信息安全与患者隐私保护”定位为卫生信息化发展的首要任务目标。
保障医院网络信息系统安全
“网络安全方案不要过于复杂,我个人认为简单就是可靠。”中国医院协会信息管理专业委员会副主任委员、解放军总医院(301医院)信息中心主任薛万国先生表示:“首先,安全对于医院信息化非常重要,该买的产品一定要买;其次,安全方案不要太复杂;再次,还应重视应用的安全。安全方案复杂了以后不稳定的因素是客观存在的,会导致网络出现问题。比如,如果加太多的防火墙、防病毒网关、行为管理软件等等以后,将会导致网络的实际带宽可能只剩有20%、30%。”
北京宣武医院信息中心的专家尚邦志认为:“解决网络安全问题不能只靠拿网络产品去堆砌,解决网络安全问题首先应该有一个系统的网络安全方案。网络安全问题是永远存在,安全问题实际上是管理加技术的问题,而且是管理在前,技术在后。一定要考虑在管理的前提下应用技术,这样才能保证安全。”
论坛中,尚邦志从安全方案的设计,风险评估,设备选型到施工等等方面展开的一一阐述。他认为,医院在进行网络安全设计时,不同的医院在需求上会有所不同,安全方案必须结合各自医院的具体需求情况,而对于厂商提供的方案一定要进行二次设计。在网络施工阶段,施工质量不好,施工的工艺不行,同样会造成网络安全遗患。同样,有很多的细节需要重视,比如交换机的配置,交换机买来了之后不是上来就用,一定要做好初始化配置。
此外,医院应该做好风险评估工作,风险是随着时间的推移而不断变化的。
在设备选型方面,尚邦志强调,所有最佳的产品设备简单组合在一起未必能组成一个最佳的系统,反倒不是最佳的产品设备组合在一起,可能会产生一个比较理想的系统,这需要具体问题具体分析,而不是盲目追求。
关于采用万兆网的选择问题,中国医院协会信息管理专业委员会常务委员兼秘书长,北医三院信息管理中心主任沈韬研究员表示:“目前北医三院的骨干网采用的是千兆,即便是高峰期能用到20%就不错了。所以,就目前医院的实际需要情况看,即便是在有很多应用的情况下,网络带宽并不是一个迫不急待需要解决的问题。”同样,薛万国主任也认为:“网络并不是最大的就好,一定要有容度才是最好。”
信息系统安全有法可依
俗话说:没有规矩,不成方圆。面对由新医改而引发的新一轮医疗信息化的热潮,保持清醒的认识,同时尽快在制度与规范方面保障医疗信息化的健康发展,这是医院领域众多有识之士共同关注的话题。
“新医改方案在将医疗信息化提高到空气高度的同时,也让我们感到责任的重大。” 北京市公共卫生信息中心刘伟书记表示:“最近两年以来,北京市公共卫生信息中心一直在积极推进医院信息化工作。2008年中,北京市公共卫生信息中心医院信息化推进部在专家委员会的大力支持下,编写了有关医院信息化的规范与指南,同时,还做了有关医院信息化的建设项目。无论是项目审核工作,还是编写医院信息化规范与指南,最终都应该落实在如何为医院信息化建设服务这个点上。北京市公共卫生信息中心是医院信息化建设的服务保障部门,2010年我们将继续地在原有的基础上不断地加强医院信息化建设的服务工作。”
中国医院协会信息管理专业委员会常务委员兼秘书长,北医三院信息管理中心主任沈韬研究员认为:“从当前医疗信息化的热潮看,可能医疗信息化的春天真的来了,尽管可能还是早春。我觉得这是中国的一次机遇,未来如何发展我们还需要拭目以待。”
中国医院协会信息管理专业委员会副主任委员何雨生表示:“从医院的管理机制方面看,江浙一带和广东一带的院长,尤其是地区级的院长相对的执行力非常强。在这一点上北京存在差距,应该学习和借鉴。”
值得关注的是,目前国内有关部门已经在医院的信息化,尤其是在信息安全方面,已经积极行动起来。2009年,上海市卫生局发布了《医疗机构信息系统安全等级保护基本要求》,这个文件遵循国家信息安全等级划分原则,把医院信息系统定义为二级和二级增强型两类,所谓二级增加型就是根据医院信息化的特点在二级基础上增加了部分三级等保标准的内容,并按照国际标准《信息系统安全等级保护基本要求》(GB/T22239-2008)对医院信息安全工作提出了具体要求。
不久前,卫生部统计信息中心副主任王才有对记者表示,鉴于医院业务应用的特殊性,其信息安全必然与国家标准中的一般信息安全内容有所不同。医院信息系统更关注防止信息非法篡改及数据安全性等方面。医院信息系统中的一些子系统可能会更关注业务连续性方面
的要求。医院信息安全建设的主要内容就是按照国家《信息系统安全等级保护基本要求》标准,针对医院信息化建设特点和要求,加强信息安全的保护能力。
据悉,国家还有一个相关的技术标准叫《信息系统等级保护安全设计技术要求》,该标准目前还处于审批阶段。这个标准从安全计算环境,安全区域边界,安全通信网络和安全管理中心等方面提出了整体设计要求。安全计算环境就是以访问控制为核心的信息处理环境,安全区域边界就是进入和流出的信息必须得到控制,安全通信网络就是保证信息交换过程中的安全性,防止被掉包,篡改,窃听等。此外,还需要设计一个安全管理中心制定安全策略,提供一个信息处理的三权分立体制,从而实现对信息的安全管理,不能想干什么就干什么,谁都没有绝对的权力。安全管理中心将安全管理制度与安全技术手段结合在一起,实现对信息安全的管理和控制,强调的是从整体上实现信息安全的要求。
信息安全不仅中国在关注,美国在制定其国家卫生信息化战略规划中,也同样把“信息安全与患者隐私保护”定位为卫生信息化发展的首要任务目标。