產(chǎn)品分類(lèi)導(dǎo)航
CPHI制藥在線 資訊 醫(yī)療器械網(wǎng)絡(luò)的安全隱患越發(fā)嚴(yán)峻,這堵防火墻將如何筑造?

醫(yī)療器械網(wǎng)絡(luò)的安全隱患越發(fā)嚴(yán)峻,這堵防火墻將如何筑造?

來(lái)源:動(dòng)脈網(wǎng)
  2019-03-18
威脅和漏洞無(wú)法消除,如何降低風(fēng)險(xiǎn)顯得尤為重要。國(guó)內(nèi)外的醫(yī)療設(shè)備網(wǎng)絡(luò)安全問(wèn)題處于什么樣的環(huán)境中?這個(gè)賽道又哪些創(chuàng)業(yè)公司以全新的方法論和技術(shù)可以構(gòu)筑防火墻?

       隨著網(wǎng)絡(luò)時(shí)代的到來(lái),醫(yī)療設(shè)備越來(lái)越多地連接到互聯(lián)網(wǎng)。醫(yī)院通過(guò)網(wǎng)絡(luò)可以改善醫(yī)療服務(wù),但是相應(yīng)地也會(huì)面對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。和其他的計(jì)算機(jī)系統(tǒng)一樣,醫(yī)療設(shè)備也很容易受到安全漏洞的影響,醫(yī)療器械網(wǎng)絡(luò)安全出現(xiàn)問(wèn)題不僅可能會(huì)侵犯患者隱私,而且可能會(huì)產(chǎn)生醫(yī)療器械非預(yù)期運(yùn)行的風(fēng)險(xiǎn),導(dǎo)致患者或使用者受到傷害或死亡。因此,醫(yī)療器械網(wǎng)絡(luò)安全是醫(yī)療器械安全性和有效性的重要組成部分之一。

       威脅和漏洞無(wú)法消除,如何降低風(fēng)險(xiǎn)顯得尤為重要。國(guó)內(nèi)外的醫(yī)療設(shè)備網(wǎng)絡(luò)安全問(wèn)題處于什么樣的環(huán)境中?這個(gè)賽道又哪些創(chuàng)業(yè)公司以全新的方法論和技術(shù)可以構(gòu)筑防火墻?

       醫(yī)療器械將成為網(wǎng)絡(luò)攻擊下一個(gè)目標(biāo)

       動(dòng)脈網(wǎng)曾持續(xù)關(guān)注過(guò)醫(yī)療網(wǎng)絡(luò)安全問(wèn)題,據(jù)2017年的數(shù)據(jù)顯示,美國(guó)2010-2015年醫(yī)療信息泄露事件次數(shù)每年發(fā)生200多起。而今,形勢(shì)甚至變得更為嚴(yán)峻,2018就發(fā)生503起醫(yī)療保健數(shù)據(jù)泄露事件。(數(shù)據(jù)來(lái)源:美國(guó)衛(wèi)生與公民服務(wù)部)

       FortiGuard的實(shí)驗(yàn)室報(bào)告稱(chēng),2017年醫(yī)療保健平均每個(gè)組織平均每天有近32,000次入侵攻擊,而在其他行業(yè)這個(gè)數(shù)字是超過(guò)14,300次。顯然,醫(yī)療行業(yè)受到了更多的攻擊。

       在國(guó)內(nèi),情況也不容樂(lè)觀,2017年,《法制日?qǐng)?bào)》發(fā)布了一篇名為《7億條個(gè)人信息遭泄露 浙江判決特大侵犯公民信息案》的報(bào)道,曝出黑客入侵了某部委的醫(yī)療服務(wù)信息系統(tǒng),大量孕檢信息遭到泄露和買(mǎi)賣(mài)。

       然而有一個(gè)值得關(guān)注的趨勢(shì),黑客們不再滿(mǎn)足于提取醫(yī)療記錄和患者數(shù)據(jù)。他們把手伸向了醫(yī)療設(shè)備,威脅患者的安全。

       多年來(lái),醫(yī)療機(jī)構(gòu)一直在保護(hù)患者的個(gè)人健康信息(PHI)。隨著物聯(lián)網(wǎng)時(shí)代的到來(lái),醫(yī)療行業(yè)將面臨新的挑戰(zhàn)。醫(yī)療物聯(lián)網(wǎng)涵蓋輸液泵、核磁共振成像儀、x光機(jī)、心臟監(jiān)護(hù)儀等醫(yī)療設(shè)備,它們都可能成為被攻擊勒索的對(duì)象。

       盡管醫(yī)療物聯(lián)網(wǎng)可以提高醫(yī)療保健的效率,但是如果沒(méi)有安全保護(hù)的醫(yī)療物聯(lián)網(wǎng)設(shè)備,它也會(huì)導(dǎo)致更大風(fēng)險(xiǎn)暴露。隨著5G技術(shù)的飛速發(fā)展,物聯(lián)網(wǎng)的到來(lái)正在加速,而還沒(méi)有設(shè)置網(wǎng)絡(luò)安全保護(hù)的醫(yī)療設(shè)備宛如在網(wǎng)絡(luò)攻擊面前“裸奔”。

       一個(gè)例子就是2017年5月WannaCry勒索病毒攻擊英國(guó)國(guó)家醫(yī)療服務(wù)體系(NHS)。

       在2018年2月,《The Naked Security 》報(bào)道了WannaCry是如何影響英國(guó)國(guó)家醫(yī)療服務(wù)體系(NHS)的。報(bào)道中闡述勒索軟件針對(duì)的是運(yùn)行在Windows XP工作站的MRI和CT掃描儀。雖然這次攻擊的影響僅僅是勒索錢(qián)財(cái)以釋放設(shè)備,但更大的擔(dān)憂(yōu)是,惡意軟件可能會(huì)影響設(shè)備的操作,干擾設(shè)備的移動(dòng)方式,干擾掃描信號(hào),甚至改變結(jié)果。

       2017年,《福布斯》也報(bào)道了美國(guó)一家醫(yī)院的拜耳Medrad設(shè)備被感染。拜耳的一位發(fā)言人證實(shí),該公司已收到兩份來(lái)自美國(guó)客戶(hù)的報(bào)告,報(bào)告顯示設(shè)備受到了勒索軟件的攻擊,但沒(méi)有透露具體是哪些產(chǎn)品受到了影響。兩個(gè)站點(diǎn)也在24小時(shí)候恢復(fù)了運(yùn)作。

       黑客可以直接攻擊醫(yī)療設(shè)備,進(jìn)行勒索,除此之外,醫(yī)療設(shè)備還可能成為他們的幫兇,成為竊聽(tīng)的工具。

       在2017年8月,F(xiàn)DA召回了近50萬(wàn)個(gè)心臟起搏器,原因是擔(dān)心無(wú)線竊聽(tīng)。就連美國(guó)前副總統(tǒng)迪克切尼(Dick Cheney)也對(duì)他的心臟起搏器進(jìn)行了修改,以確保它不受攻擊。

       史密斯醫(yī)療公司的Medfusion 4000無(wú)線注射器輸液泵也是一個(gè)例子。這種輸液泵在全球范圍內(nèi)使用,用于在疾病護(hù)理環(huán)境中從注射器中輸送小劑量藥物。據(jù)ICS-CERT在2017年9月報(bào)道,這些設(shè)備包含8個(gè)可以遠(yuǎn)程利用的漏洞。

       據(jù)Gartner Research稱(chēng),到2020年,25%的醫(yī)療保健攻擊將來(lái)自物聯(lián)網(wǎng)設(shè)備。SANS報(bào)告稱(chēng),醫(yī)院中大約17%的網(wǎng)絡(luò)攻擊來(lái)自醫(yī)療終端,報(bào)告中77%的醫(yī)院表示醫(yī)療設(shè)備的安全風(fēng)險(xiǎn)是他們最關(guān)心的問(wèn)題。

       動(dòng)脈網(wǎng)也就醫(yī)療器械的網(wǎng)絡(luò)安全問(wèn)題采訪了廣州市婦女兒童醫(yī)療中心數(shù)據(jù)中心副主任曹曉均,廣州市婦女兒童醫(yī)療中心在2017年就通過(guò)HIMSS住院和門(mén)診EMRAM 雙7級(jí)評(píng)審。

       曹曉均也表示:“醫(yī)療器械與終端設(shè)備不同,可能是定制化的系統(tǒng)與軟件,并部署在專(zhuān)有的網(wǎng)絡(luò)環(huán)境中。不能按照普通終端的防護(hù)方式去執(zhí)行自我保護(hù),但是又因?yàn)橄到y(tǒng)版本老舊,部署不規(guī)范等環(huán)境的限制極易遭受攻擊。”

       曹曉均也指出目前在網(wǎng)絡(luò)安全和終端安全方面薄弱的問(wèn)題,他認(rèn)為在終端安全上容易忽視的問(wèn)題如下:

       1、內(nèi)網(wǎng)終端主機(jī)自從分發(fā)后就沒(méi)有打過(guò)系統(tǒng)補(bǔ)丁,漏洞百出,惡意代碼入侵長(zhǎng)驅(qū)直入;

       2、為了便于操作,終端往往使用弱口令,病毒使用暴力破解得到密碼后,直接使用管理員身份登陸系統(tǒng),繞開(kāi)一切防護(hù)手段,在系統(tǒng)中為所欲為;

       3、為了便于作業(yè)與辦公,濫用移動(dòng)存儲(chǔ)設(shè)備,導(dǎo)致惡意代碼有很好的傳播途徑;

       4、因?yàn)榘踩庾R(shí)宣貫不到位,人員安全意識(shí)缺乏,為了圖方便使用熱點(diǎn)非法外聯(lián),導(dǎo)致內(nèi)外網(wǎng)互通,引入了未知風(fēng)險(xiǎn)。

       而網(wǎng)絡(luò)安全上也存在一些容易忽視的問(wèn)題,包括:

       1、 基礎(chǔ)網(wǎng)建設(shè)雜亂,沒(méi)有分區(qū)分域。當(dāng)安全事件爆發(fā)后,在網(wǎng)絡(luò)中傳播速度較快,沒(méi)法辦做到及時(shí)封堵;

       2、 網(wǎng)絡(luò)安全設(shè)備的策略規(guī)范化,很多網(wǎng)絡(luò)設(shè)備上線后從未更改過(guò)策略,或者都是默認(rèn)放通,起不到理想的防御作用,形同虛設(shè);

       3、 沒(méi)有人去定期分析總結(jié)網(wǎng)絡(luò)中的安全日志,常常錯(cuò)失處理安全事件的處理時(shí)間,導(dǎo)致事態(tài)發(fā)展到不受控制,工作一直處于被動(dòng)防御狀態(tài)。

       關(guān)于如何防護(hù),他給出了兩點(diǎn)建議:

       1、主機(jī)上通過(guò)限制軟件最小權(quán)限的方式執(zhí)行保護(hù),只允許特定的程序與接口工作,其他操作一概阻止,這樣做相當(dāng)于給可信的軟件做了一個(gè)保護(hù)罩,直接杜絕了惡意代碼的生存與傳播途徑;

       2、網(wǎng)絡(luò)環(huán)境允許的情況下,把儀器設(shè)備歸類(lèi)到同一網(wǎng)段下,在該網(wǎng)段前部署安全網(wǎng)關(guān),從網(wǎng)絡(luò)傳播途徑上進(jìn)行清理惡意代碼,做到區(qū)域的保護(hù)。

       醫(yī)療器械網(wǎng)絡(luò)安全需要合作搭起安全網(wǎng)

       為什么醫(yī)療組織會(huì)受到攻擊。因?yàn)獒t(yī)療數(shù)據(jù)價(jià)值高而保護(hù)薄弱,其次受夠攻擊最多的行業(yè)就是金融行業(yè)。對(duì)于醫(yī)院來(lái)說(shuō),因?yàn)镠IPAA法案,有關(guān)患者信息的泄露或者設(shè)備遭到攻擊,醫(yī)院將遭到更嚴(yán)重的懲罰。

       在國(guó)內(nèi)也不例外,2018年發(fā)布的《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見(jiàn)稿)》中把信息系統(tǒng)的安全等級(jí)分為了5級(jí),其中提出將“會(huì)造成特別嚴(yán)重?fù)p害”的情況下,信息系統(tǒng)應(yīng)采取的保護(hù)等級(jí)提高到第三級(jí)。

       如果醫(yī)院發(fā)生網(wǎng)絡(luò)安全事故將有誰(shuí)負(fù)責(zé)呢?依據(jù)2011年衛(wèi)生部發(fā)布的《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》,其中明確了網(wǎng)絡(luò)安全負(fù)責(zé)的責(zé)任主體是“誰(shuí)主管、誰(shuí)負(fù)責(zé),誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”。

       醫(yī)療器械生產(chǎn)廠商同樣有負(fù)有保證醫(yī)療器械網(wǎng)絡(luò)安全的責(zé)任。在2017 《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則》就明確寫(xiě)道:

       “醫(yī)療器械產(chǎn)品在使用過(guò)程中常與非注冊(cè)申請(qǐng)人預(yù)期的設(shè)備或系統(tǒng)相連接,這就使得注冊(cè)申請(qǐng)人自身難以控制和保證醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全。因此,醫(yī)療器械的網(wǎng)絡(luò)安全需要注冊(cè)申請(qǐng)人、用戶(hù)和信息技術(shù)服務(wù)商的共同努力和通力合作才能得以保障。但是這并不意味著注冊(cè)申請(qǐng)人可以免除醫(yī)療器械網(wǎng)絡(luò)安全的相關(guān)責(zé)任,注冊(cè)申請(qǐng)人應(yīng)當(dāng)保證醫(yī)療器械產(chǎn)品自身的網(wǎng)絡(luò)安全,并明確與其預(yù)期相連設(shè)備或系統(tǒng)的接口要求,從而保證醫(yī)療器械產(chǎn)品的安全性和有效性。”

       而關(guān)于國(guó)內(nèi)醫(yī)院應(yīng)對(duì)網(wǎng)絡(luò)安全攻擊的模式,曹曉均副主任告訴動(dòng)脈網(wǎng):“在應(yīng)對(duì)網(wǎng)絡(luò)安全的時(shí)候,有經(jīng)驗(yàn)的第三方公司依照醫(yī)院的具體環(huán)境和情況制定安全方案,院內(nèi)審批后協(xié)同執(zhí)行安全建設(shè)。”

       大部分醫(yī)院并未達(dá)到現(xiàn)行標(biāo)準(zhǔn)

       動(dòng)脈網(wǎng)記者查閱了相關(guān)資料,發(fā)現(xiàn)對(duì)于醫(yī)療安全保護(hù)的標(biāo)準(zhǔn),2018年衛(wèi)健委發(fā)布的《全國(guó)醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)》中有著規(guī)范和全面要求。

       衛(wèi)健委對(duì)于不同等級(jí)的醫(yī)院提出了不同的標(biāo)準(zhǔn)要求。從數(shù)據(jù)中心安全(防火墻、安全審計(jì)設(shè)備、系統(tǒng)加固設(shè)備、數(shù)據(jù)加固設(shè)備、入侵防范設(shè)備、身份認(rèn)證系統(tǒng)、訪問(wèn)控制系統(tǒng)、安全管理系統(tǒng)、);終端安全(身份認(rèn)證設(shè)備、介質(zhì)安全設(shè)備、客戶(hù)端管理系統(tǒng)、終端安全管理系統(tǒng));網(wǎng)絡(luò)安全(結(jié)構(gòu)安全設(shè)備、通信加密設(shè)備、網(wǎng)絡(luò)優(yōu)化設(shè)備、網(wǎng)絡(luò)安全管理);容災(zāi)備份(基礎(chǔ)設(shè)備災(zāi)備、備用網(wǎng)絡(luò)災(zāi)備、數(shù)據(jù)備份與恢復(fù)、應(yīng)用容災(zāi))四個(gè)方面提供了標(biāo)準(zhǔn)和要求。

       但是根據(jù)現(xiàn)實(shí)情況來(lái)說(shuō),依據(jù)騰訊智慧安全、中國(guó)醫(yī)院協(xié)會(huì)信息管理專(zhuān)業(yè)委員會(huì)(CHIMA)聯(lián)合研究發(fā)布《醫(yī)療行業(yè)安全指數(shù)報(bào)告》中指出,在衛(wèi)健委指導(dǎo)下,全國(guó)醫(yī)院信息安全建設(shè)水平不斷提升?!秷?bào)告》顯示,國(guó)內(nèi)38%的醫(yī)院指數(shù)值處于良好水平,22%的醫(yī)院處于優(yōu)秀水平,顯示出在衛(wèi)健委指導(dǎo)下,全國(guó)醫(yī)院信息安全建設(shè)水平正在不斷提升 。

       但是也有一些問(wèn)題暴露,醫(yī)療行業(yè)信息安全建設(shè)意識(shí)薄弱,核心數(shù)據(jù)缺乏有效的安全防護(hù)。問(wèn)題主要表現(xiàn)為:網(wǎng)絡(luò)空間資產(chǎn)端口開(kāi)放較多,隱患大,如開(kāi)放遠(yuǎn)程登錄服務(wù)的比例高達(dá)50%;外網(wǎng)電腦的安全風(fēng)險(xiǎn)較多,可能會(huì)給不法訪問(wèn)者以可乘之機(jī);線上服務(wù)平臺(tái)及第三方醫(yī)療服務(wù)平臺(tái)脆弱性會(huì)提升醫(yī)療數(shù)據(jù)泄露的風(fēng)險(xiǎn);醫(yī)療行業(yè)已經(jīng)成為勒索病毒攻擊的主要目標(biāo),醫(yī)療業(yè)務(wù)連續(xù)性受到挑戰(zhàn)。

       廣州市婦女兒童醫(yī)療中心作為全國(guó)第四家通過(guò)HIMSS 7級(jí)認(rèn)證的醫(yī)院,曹曉均也分享了廣州市婦女兒童醫(yī)療中心的在網(wǎng)絡(luò)安全方面的建設(shè)經(jīng)驗(yàn)。

       他表示:“衛(wèi)健委發(fā)布的《全國(guó)醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)》中,對(duì)數(shù)據(jù)中心的安全防護(hù)從防火墻、安全審計(jì)、系統(tǒng)加固、數(shù)據(jù)加固等八個(gè)大方面進(jìn)行提出詳細(xì)的要求,在國(guó)內(nèi)并不是所有的三甲醫(yī)院都能完全滿(mǎn)足所有的推薦要求,特別是在入侵防護(hù)和身份認(rèn)證方面,很多醫(yī)院并未做到非常完善。我院在建立云上醫(yī)院的起初,就非常重視數(shù)據(jù)中心的安全防護(hù),因?yàn)樵粕系臄?shù)據(jù)中心更容易出現(xiàn)安全漏洞,導(dǎo)致安全事故。因此,我院按照衛(wèi)健委對(duì)三甲醫(yī)院的要求,對(duì)云上數(shù)據(jù)中心提出安全建設(shè)的要求,并通過(guò)多期建設(shè)逐步完善,已經(jīng)初步達(dá)到《全國(guó)醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)》八個(gè)方面安全標(biāo)準(zhǔn)。”

       在容災(zāi)備份上,廣州市婦女兒童醫(yī)療中心做到了高于衛(wèi)健委標(biāo)準(zhǔn):“我院在對(duì)容災(zāi)備份的建設(shè)中,特別重視高可用性對(duì)醫(yī)院業(yè)務(wù)連續(xù)性的保障,從網(wǎng)絡(luò)層、主機(jī)層、存儲(chǔ)層等多個(gè)層次設(shè)計(jì)雙活冗余架構(gòu),能實(shí)現(xiàn)整套信息系統(tǒng)平臺(tái)無(wú)單點(diǎn)故障。同時(shí),建立同城的異地容災(zāi)中心,異地容災(zāi)中心實(shí)現(xiàn)準(zhǔn)實(shí)時(shí)的數(shù)據(jù)同步,在極端情況下,能實(shí)現(xiàn)RTO≦15 分鐘, RPO≈0,也高于衛(wèi)健委的標(biāo)準(zhǔn)和要求。”曹曉均說(shuō)道。

 

       初創(chuàng)公司利用AI、區(qū)塊鏈等技術(shù)進(jìn)入賽道

       正如前文所言,醫(yī)療器械的網(wǎng)絡(luò)安全問(wèn)題不是能夠憑借一個(gè)主體就能保證,第三方公司的介入能夠幫助醫(yī)院更好地應(yīng)對(duì)網(wǎng)絡(luò)攻擊,目前也有一些創(chuàng)業(yè)公司進(jìn)入這個(gè)賽道。在國(guó)外,從事醫(yī)療健康行業(yè)網(wǎng)絡(luò)安全的創(chuàng)業(yè)公司超過(guò)120家,動(dòng)脈網(wǎng)此前進(jìn)行過(guò)盤(pán)點(diǎn),動(dòng)脈網(wǎng)發(fā)現(xiàn)其中致力于醫(yī)療設(shè)備的初創(chuàng)公司有9家,他們分別用AI、區(qū)塊鏈等不同的技術(shù)幫助醫(yī)院應(yīng)對(duì)網(wǎng)絡(luò)攻擊。

       在HIMSS19大會(huì)上,前美國(guó)首席信息安全官Greg Touhill,為醫(yī)療組織如何應(yīng)對(duì)網(wǎng)絡(luò)安全提供了一些建議,動(dòng)脈網(wǎng)摘編了其中部分為大家提供參考:

       1、采取零信任策略。“我認(rèn)為我們所做的很多事情都被認(rèn)為是信任,但這是非常錯(cuò)誤的。”

       2、戶(hù)名和密碼在1979年被認(rèn)為是最先進(jìn)的,但是現(xiàn)在應(yīng)該重新考慮訪問(wèn)控制;

       3、金融和政府等其他行業(yè)正在使用多因素身份驗(yàn)證來(lái)幫助個(gè)人更好地保護(hù)其信息,醫(yī)療保健行業(yè)應(yīng)該比他們更加強(qiáng)調(diào)這些功能;

       4、TCP / IP是一個(gè)薄弱的安全基礎(chǔ):傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議,用于管理計(jì)算機(jī)系統(tǒng)與互聯(lián)網(wǎng)的連接,在20世紀(jì)70年代后期也是最先進(jìn)的,Touhill說(shuō)。但它并不是一個(gè)強(qiáng)大的安全基礎(chǔ);

       5、利用自動(dòng)化來(lái)檢測(cè)和阻止欺詐:有許多工具可用于欺詐檢測(cè),但Touhill表示的工具來(lái)自金融部門(mén)。醫(yī)療保健從業(yè)者應(yīng)該找到金融部門(mén)的解決方案并將其帶到醫(yī)療保健領(lǐng)域;

       6、小心飛入云中:Touhill還說(shuō)道了涉及與云計(jì)算相關(guān)的安全性。在與云提供商合作時(shí),他建議組織訪問(wèn)日志,保留滲透測(cè)試權(quán)并保留引入獨(dú)立第三方審核員的權(quán)利;

       7、人工智能可能是一個(gè)黑客垂涎的入口:由于人工智能大熱,很多組織投資于此類(lèi)技術(shù)。但是請(qǐng)記住,使用人工智能會(huì)使您的組織成為網(wǎng)絡(luò)犯罪分子的目標(biāo);

       同樣,曹曉均也給國(guó)內(nèi)醫(yī)院一些網(wǎng)絡(luò)安全建設(shè)的建議:

       1、建立醫(yī)院信息安全管理組織機(jī)構(gòu),明確各安全管理員、機(jī)房管理員、網(wǎng)絡(luò)管理員、應(yīng)用管理員、主機(jī)管理員等安全管理相關(guān)崗位及職責(zé),建立健全信息安全管理責(zé)任制,使得信息安全各項(xiàng)職責(zé)落實(shí)到人;

       2、對(duì)醫(yī)院信息安全管理體系進(jìn)行定期地內(nèi)審和管理評(píng)審,對(duì)各項(xiàng)安全控制措施實(shí)施后的有效性進(jìn)行測(cè)量,并實(shí)施相應(yīng)的糾正和預(yù)防措施,以保證信息安全管理體系持續(xù)的充分性、適宜性、有效性。對(duì)醫(yī)院信息系統(tǒng)中所存在的安全風(fēng)險(xiǎn)進(jìn)行有計(jì)劃的評(píng)估和管理;

       3、醫(yī)院業(yè)務(wù)信息系統(tǒng)分等級(jí)保護(hù)。按照國(guó)家等級(jí)保護(hù)有關(guān)要求,對(duì)醫(yī)院信息系統(tǒng)及信息確定安全等級(jí),并根據(jù)不同的安全等級(jí)實(shí)施分等級(jí)保護(hù);

       4、規(guī)范醫(yī)院信息資產(chǎn)(包括硬件、軟件、服務(wù)等)管理流程,建立信息資產(chǎn)管理臺(tái)帳,明確資產(chǎn)所有者、使用者與維護(hù)者,對(duì)所有信息資產(chǎn)進(jìn)行標(biāo)記,實(shí)現(xiàn)對(duì)信息資產(chǎn)購(gòu)買(mǎi)、使用、變更、報(bào)廢整個(gè)周期的安全管理;

       5、保障機(jī)房物理與環(huán)境安全。實(shí)施包括門(mén)禁、視頻監(jiān)控、報(bào)警等安全防范措施,確保機(jī)房物理安全。部署機(jī)房專(zhuān)用空調(diào)、UPS等環(huán)境保障設(shè)施,對(duì)機(jī)房設(shè)施運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢和維護(hù)。嚴(yán)格對(duì)機(jī)房人員和設(shè)備的出入管理, 進(jìn)出需登記,外來(lái)人員需由相關(guān)管理人員陪同方能訪問(wèn)機(jī)房;

       6、加強(qiáng)對(duì)信息系統(tǒng)外包業(yè)務(wù)與外包方的管理,在與信息系統(tǒng)外包方簽署的服務(wù)協(xié)議中,對(duì)信息系統(tǒng)安全加以要求。通過(guò)審批、訪問(wèn)控制、監(jiān)控、簽署保密協(xié)議等措施,加強(qiáng)外部方訪問(wèn)業(yè)務(wù)信息系統(tǒng)的管理,防止外部方危害信息系統(tǒng)安全;

       7、在醫(yī)院網(wǎng)絡(luò)中統(tǒng)一部署網(wǎng)絡(luò)防惡意代碼軟件,并進(jìn)行惡意代碼庫(kù)的統(tǒng)一更新,防范惡意代碼、木馬等惡意代碼對(duì)業(yè)務(wù)信息系統(tǒng)的影響。通過(guò)強(qiáng)化惡意代碼防范的管理措施,如加強(qiáng)介質(zhì)管理,嚴(yán)禁擅自安裝軟件,加強(qiáng)人員安全意識(shí)教育,定期進(jìn)行惡意代碼檢測(cè)等,提高業(yè)務(wù)信息系統(tǒng)對(duì)惡意代碼的防范能力;

       8、對(duì)重要的信息和信息系統(tǒng)進(jìn)行備份,并對(duì)備份介質(zhì)進(jìn)行安全地保存,以及對(duì)備份數(shù)據(jù)定期進(jìn)行備份測(cè)試驗(yàn)證,保證各種備份信息的保密性、完整性和可用性,確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在故障、災(zāi)難后及其它特定要求下進(jìn)行可靠的恢復(fù);

       9、采用技術(shù)和管理兩方面的控制措施,加強(qiáng)對(duì)網(wǎng)絡(luò)的安全控制,不斷提高網(wǎng)絡(luò)的安全性和穩(wěn)定性。醫(yī)院辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)進(jìn)行邏輯隔離。通過(guò)實(shí)施網(wǎng)絡(luò)訪問(wèn)控制等技術(shù)防范措施,對(duì)接入進(jìn)行嚴(yán)格審批,加強(qiáng)使用安全管理,加強(qiáng)對(duì)網(wǎng)絡(luò)使用的安全培訓(xùn)和教育,確保網(wǎng)絡(luò)信息的安全;

       10、按照“僅知”原則,通過(guò)功能和技術(shù)配置,對(duì)重要信息系統(tǒng)、數(shù)據(jù)等實(shí)施訪問(wèn)控制。進(jìn)一步推廣數(shù)字證書(shū)的使用,以及安全的授權(quán)管理制度,并落實(shí)授權(quán)責(zé)任人。對(duì)系統(tǒng)特殊權(quán)限和系統(tǒng)實(shí)用工具的使用進(jìn)行嚴(yán)格的審批和監(jiān)管;

       11、進(jìn)一步重視軟件開(kāi)發(fā)安全。在醫(yī)院各業(yè)務(wù)信息系統(tǒng)立項(xiàng)和審批過(guò)程中,同步考慮信息安全需求和目標(biāo)。應(yīng)保證系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)過(guò)程的安全,重點(diǎn)加強(qiáng)對(duì)軟件代碼安全性的管理。屬于外包軟件開(kāi)發(fā)的,應(yīng)與服務(wù)提供商簽署保密協(xié)議。系統(tǒng)開(kāi)發(fā)完成后,應(yīng)要求通過(guò)第三方安全機(jī)構(gòu)對(duì)軟件安全性的測(cè)評(píng);

       12、在符合國(guó)家密碼管理相關(guān)規(guī)定的條件下,合理使用密碼技術(shù)和密碼設(shè)備,嚴(yán)格密鑰生成、分發(fā)、保存等方面的安全管理,保障密碼技術(shù)使用的安全性;

       13、重視對(duì)IT服務(wù)連續(xù)性的管理,建立對(duì)各類(lèi)信息安全事件的預(yù)防、預(yù)警、響應(yīng)、處置、恢復(fù)機(jī)制,編寫(xiě)針對(duì)業(yè)務(wù)外網(wǎng)等重要系統(tǒng)的應(yīng)急預(yù)案,并定期進(jìn)行測(cè)試和演練,在信息系統(tǒng)發(fā)生故障或事故時(shí),能迅速、有序地進(jìn)行應(yīng)急處置,限度地降低因信息系統(tǒng)突發(fā)事件或意外災(zāi)害給醫(yī)院業(yè)務(wù)信息系統(tǒng)所帶來(lái)的影響;

       14、對(duì)所適用的國(guó)家信息安全相關(guān)法律法規(guī)進(jìn)行定期的識(shí)別、記錄和更新,并對(duì)醫(yī)院信息安全管理現(xiàn)狀與法律法規(guī)的符合性進(jìn)行檢查,確保各項(xiàng)信息安全工作符合國(guó)家信息安全相關(guān)法律法規(guī)要求。

點(diǎn)擊下圖,預(yù)登記觀展

b2bcnbjzixun

相關(guān)文章

合作咨詢(xún)

   肖女士    021-33392297    Kelly.Xiao@imsinoexpo.com

2006-2024 上海博華國(guó)際展覽有限公司版權(quán)所有(保留一切權(quán)利) 滬ICP備05034851號(hào)-57