医共体安全守护养成记(一)丨医共体安全策略
2020-05-06
2019年5月,国家卫健委基层卫生健康司发布《关于推进紧密型县域医疗卫生共同体建设的通知》,通过建设紧密型医共体,提高县域医疗卫生资源配置和使用效率。到2020年底,初步建成目标明确、权责清晰、分工协作的新型县域医疗卫生服务体系,逐步形成服务、责任、利益、管理的共同体。
2020年县域医共体进入建设高峰,什么是“医共体”?“医共体”全称医疗共同体,是指以县级医院为龙头,整合县乡两级医疗卫生资源,形成一个医疗体系,最大化发挥资源优势和技术优势,逐步提升县域医疗卫生服务质量,构建分级诊疗、合理诊治及有序就医新秩序,着力增强群众健康获得感、幸福感和安全感。
五大因素制约县域医共体安全防护能力提升
当前,我国县域医共体已开展包括基层医疗卫生系统、村卫生室信息系统在内的县域医疗卫生信息化建设等,但仍面临以下方面的挑战:
1.内外部安全威胁的持续存在
一方面,互联网侧的蠕虫、网络病毒、间谍软件和黑客攻击等时有发生,医共体业务系统主要以Web形式提供对外服务,面临着例如SQL注入,跨站脚本攻击,网页篡改等潜在安全威胁,如何提高医共体网络的整体抗攻击能力。同时,阻止蠕虫、网络病毒爆发对医院内部服务器和网络的破坏,保障业务系统的正常运行是医共体管理单位需要重视的问题;
2.整体安全状态不清楚
医共体平台涉及较为广泛地域的业务链接和用户访问,如何监测网络中重要节点的安全状态变化,实现全面感知及时应对是不可忽视的安全保障手段;
3.业务系统自身抗攻击能力的变化
应用、系统自身的安全漏洞是绕不开的话题,互联网上不时爆出新漏洞,需要能够及时检测业务集群的操作系统、应用系统、网络设备存在的漏洞的常态化手段,以便第一时间修补系统与应用中的漏洞,减少自身的风险点,提高系统整体安全防御能力;
4.业务行为记录及分析的必要性
审计针对数据中心的各种网络操作与访问行为,满足合规审计的要求与取证的要求,基于业务体量和业务交互频率,需要构建足够强大的数据收集、存储、分析与报告的支撑系统;
5.精细化安全治理水平需要不断提高
在解决基础安全的问题上,如何进一步提升业务管理水平,由粗放型管理到精细化管理,信息化管理,专业化管理,打造医共体平台的专业信息化管理队伍,更快更好地为社会大众提供安全的医疗服务。
四大安全策略,增强医共体安全防护能力
针对医共体业务信息化现状,一方面需要完成医疗资源整合、医疗信息化协同。另一方面,需要统一增强安全防护能力,促进基层医疗事业的协同、平稳、有序发展。
为应对单位面临的安全威胁和风险,实现医院网络安全等级保护安全建设目标,安全建设应遵循以下总体安全策略:
1、合理划分安全区域,对通信网络进行有效监控
单位通信网络需要设备性能、链路带宽满足三级业务的要求,在安全策略上需要合理划分安全区域或通过技术隔离实现安全防护,在安全配置中合理规划网络路由的设置,并对网络流量进行有效控制,同时对通信线路和设备的状态进行有效监控,监控信息上传到安全管理中心进行关联分析和集中展示。
2、明确安全区域边界,建立有效区域边界防控措施
确定各安全区域的物理边界和逻辑边界,明确不同安全域之间的信任关系。在安全域的网络边界建立有效的访问控制措施。安全区域边界主要是通过边界防护、访问控制、入侵防范、恶意代码防范和反垃圾邮件、安全审计方面实现和通信网络、计算环境的安全策略设置,保证单位网络系统的持续、稳定、可靠运行。
3、打造纵深防御结构,保证核心计算环境安全
计算环境安全是实现纵深防御的重要组成部分,是保障单位业务安全的核心区域。计算环境涉及的设备类型众多,安全策略复杂,包括对操作系统、数据库及服务进行漏洞修补和安全加固,对关键业务的访问建立严格的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范措施,最大限度解决计算环境涉及的操作系统、数据库系统、应用服务、网络协议的安全问题,解决黑客入侵、非法访问、系统缺陷、病毒等安全隐患。同时需要对重要数据的存储和传输采取加密方式,并建立灾备中心,确保数据的完整性与可用性。
计算环境安全策略应该和通信网络安全策略、区域边界安全策略在防护结构上实现纵深防御,安全策略的管控粒度突出计算环境的重要性并形成协同防御。
4、完善安全管理机制,形成完备保障体系
针对医共体安全管理需求,在安全管理上完善组织管理、人员管理、资产管理、系统建设管理、系统运维管理、应急响应等方面机制,安全管理应与日常安全运维紧密结合,并且需要加强网络安全监测预警和应急处置工作,定期演练应急预案,形成一套比较完备的适应单位现状和要求的安全管理保障体系。
下期预告
县域医共体如何构建纵深防御安全架构?实际建设中,安全技术工作又应如何开展?且听下回分解!
