【IT168 资讯】近年来,党和政府高度重视医院信息化事业发展,伴随着医院信息网络规模不断地扩大,医院的信息化系统正在逐步完善,如:医院行业的纸质记录信息正逐步由数字化向信息化记录转变、各种先进的医疗系统的采购应用等,随着医院信息化建设的开展,医院行业信息系统的建设也趋于复杂,网络安全管理日益成为医院信息建设的重点。良好的网络安全是病案管理系统的基本保证,只有计算机网络畅通并确保网络安全,才能保障病案信息管理系统的数据转变为信息,并将这些信息转化为医院医、教、研决策的工具,从而提高了医院的医疗、管理水平及竞争力。 随着计算机网络在医院的广泛应用,医院信息系统的安全问题就显得尤为重要。
医院信息系统是以医院局域网为依托,以医院的财务管理为中心,以病人数据采集为线索,覆盖患者在医院就诊的各个环节的计算机网络系统,由此看来医院信息系统既包括与患者有关的信息,又涉及医院经济方面的数据,所以必须确保网络信息的保密性、完整性和可用性。但是对于系统内众多的网络系统运维人员、第三方系统运维人员以及设备厂商维护人员缺乏有效的管理与监控,一旦出现恶意操作或误操作,将会对业务系统带来巨大影响,造成不可估量的严重后果。特别是对HIS(医院信息系统)核心业务系统的影响更为巨大,直接导致企业经济损失,更有甚者会造成极为负面的社会影响。
具体来说,当前医院信息系统面临如下致命威胁:
1)DBA维护人员、分支机构人员、第三方维护人员操作管理账号不明确,交叉运维易发生问题;
2)账号共享,数据中心人员账号同时可以访问网络设备和服务器,存在僵死账号、共享账号的风险;
3)系统中存在账户密码策略的执行效果欠佳,密码长度、复杂度及定期更换等策略设置不当,增加账户失窃、盗用等威胁;
4)操作系统只能记录系统中简单的日志,并且受限于存储容量,无法记录账户登录的时间、远程地址和操作等情况;
5)内部权限人员操作不透明,用户操作权限无法详细设置,存在违规操作导致敏感信息泄露的风险,以及误操作导致服务异常甚至宕机的风险;
6)外部人员操作风险不可控,存在被黑客盗用账号实施恶意攻击以及无法有效监管操作的风险;
7)缺少必要取证举证手段,无法第一时间发现并阻止不合法的操作,无法追溯到操作源头;
8)企业或组织的信息系统中设备多、应用系统多,之账户和口令也很多,并需要定期修改口令。众多密码以电子档或纸质形式记录风险又较高,系统、网络管理人员管理账户与口令工作繁琐。
国内知名的运维安全厂商北京金万维科技有限公司针对医药行业“防统方”需求自主研发了安全审计系统-SSA,SSA安全审计系统应用了目前先进的技术作为支持,针对企业的使用人员、服务器资源以及设备等进行保护,针对医疗行业的现状分析和需求了解,SSA安全审计系统事前通过对用户的统一管理策略的配置,事中通过单点登录功能和权限划分等,实现对用户的行为进行控制、追踪、判定,满足企业内部网络对安全性的要求。
金万维“SSA”的核心价值在于:
1)实现了对用户的统一管理,对账号进行生命周期式管理,结合单点登录功能保障了用户信息的合法有效安全;
2)实现了权限的集中管理和细粒度划分;
3)实现了实名运维,为取证做保障;
4)能够有效记录使用人员的详细信息和使用情况,事后可以通过日志查看和录像回放。
总而言之,企业内部网络安全存在诸多的问题,每种问题都不可小视,对于这些问题,企业内部应该规范管理,应该使用更为先进的IT技术手段、技术工具来帮助管理员进行规范化管理,这样才能够保证企业内部网络的安全性。金万维安全审计系统使得企业内部网络的管理合理化、安全化、专业化和规范化,充分保障企业网络资源和信息资源的安全。