风信子医院数据库安全与防统方解决方案

第二部分 医院信息安全等保解决方案

一、医疗系统存在的IT管理风险:

医疗信息系统是医院的运营支撑系统,用户多而复杂,涉及各个部门,有内部人员使用、也有外部人员使用。

1、运维人员复杂,帐号、密码难管控

参与医院IT机房里的设备运维操作的人员除了内部人员外,有时候还包括设备厂商人员,而且还存在分支机构的运维人员,他们大部分通过自己的电脑终端通过远程桌面或telnet等方式对设备进行访问,没有统一的登录入口,密码和登录行为无法管控。

2、运维人员高权限操作不透明

对信息系统进行IT运维的人员属于高权限人员,可以对其负责的设备进行任何操作,但信息部门对内外部的运维作业没有技术上的监管手段。

3 、危险操作无法实时阻断

因为缺乏针对运维操作的安全防护手段,当利用系统超级权限进行违规操作、外部人员恶意攻击、窃密行为,无法实时阻断。

4 、系统运维环节存在的安全隐患

运维工作量繁重,在维护作业时不可避免地会产生误操作,误操作有可能引起关键设备和应用服务异、常甚至宕机,严重影响生产经营活动;

利用运维权限进行违规操作、恶意操作导致敏感信息泄露或被篡改、破坏;

在出现操作事故和安全事故时,无法快速定位责任人与事故原因;

二、行业法规要求:

为保护医疗单位的信息系统安全,2011年卫生部颁发的85号文《卫生行业信息安全等级保护工作指导意见》

----要求三甲医院信息系统要达到信息安全等级保护三级水平。三级保护明确要求安全审计

a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户

b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;

c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;

e) 应保护审计进程,避免受到未预期的中断录,避免受到未预期的删除、修改或覆盖等。

三、等级保护定级的标准: