淺析醫(yī)療衛(wèi)生行業(yè)運(yùn)維安全解決之道

2013-10-22 10:43:25 eNet硅谷動(dòng)力　點(diǎn)擊量：評(píng)論 (0)

醫(yī)療衛(wèi)生行業(yè)本身是一個(gè)飛速增長(zhǎng)的行業(yè)，醫(yī)療衛(wèi)生行業(yè)信息化增長(zhǎng)很快。從2010年下半年開始，國(guó)家制定了很多技術(shù)標(biāo)準(zhǔn)、建設(shè)方案、指南等，特別是衛(wèi)生信息化“十二五規(guī)劃”還提出了“35212工程”，醫(yī)療衛(wèi)生信息化已經(jīng)成為“十二五”期間醫(yī)療衛(wèi)生事業(yè)發(fā)展的重點(diǎn)任務(wù)。

　　在信息化飛速發(fā)展的進(jìn)程中，利用信息技術(shù)提高醫(yī)療救治水平、醫(yī)院服務(wù)能力及管理水平已成趨勢(shì)，對(duì)網(wǎng)絡(luò)的性能、可靠性、安全性、運(yùn)維能力等提出了更高的要求。一方面在進(jìn)行網(wǎng)絡(luò)性能升級(jí)的同時(shí)也面臨著應(yīng)用的提升對(duì)網(wǎng)絡(luò)運(yùn)維的壓力，另一方面各大醫(yī)院都希望通過(guò)更好的IT解決方案提高內(nèi)部IT管理效率，以確保信息系統(tǒng)穩(wěn)定和加強(qiáng)信息數(shù)據(jù)保護(hù)為重點(diǎn)的醫(yī)療衛(wèi)生信息安全體系建設(shè)成為醫(yī)療衛(wèi)生改革成敗的關(guān)鍵要素之一。由此可見，加強(qiáng)醫(yī)療衛(wèi)生行業(yè)信息系統(tǒng)的運(yùn)維安全審計(jì)工作已經(jīng)刻不容緩。

　　智恒聯(lián)盟在醫(yī)療衛(wèi)生行業(yè)的安全實(shí)踐

　　醫(yī)療行業(yè)的網(wǎng)絡(luò)環(huán)境都比較復(fù)雜，網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器和各類應(yīng)用眾多，同時(shí)，管理維護(hù)這些設(shè)備和應(yīng)用的人員也很多，并且關(guān)系復(fù)雜，有單位內(nèi)部人員，外部人員，第三方運(yùn)維人員，臨時(shí)介入的應(yīng)用管理員等。要方便有效的統(tǒng)一管理這些設(shè)備和用戶，就需要有一個(gè)強(qiáng)大的運(yùn)維審計(jì)平臺(tái)，智恒聯(lián)盟SAS運(yùn)維安全審計(jì)系統(tǒng)就能有效解決運(yùn)維安全管理問(wèn)題。

　　SAS運(yùn)維安全審計(jì)系統(tǒng)設(shè)計(jì)理念

　　智恒SAS運(yùn)維安全審計(jì)系統(tǒng)(以下簡(jiǎn)稱“SAS”)是新一代運(yùn)維審計(jì)系統(tǒng)，它采用軟硬件一體化設(shè)計(jì)，通過(guò)B/S方式(https)進(jìn)行管理，其主要功能為：能夠?qū)⒕W(wǎng)絡(luò)中設(shè)備和數(shù)據(jù)庫(kù)等實(shí)施統(tǒng)一認(rèn)證；具有與身份認(rèn)證系統(tǒng)無(wú)縫結(jié)合的接口；實(shí)現(xiàn)對(duì)操作網(wǎng)絡(luò)中設(shè)備和數(shù)據(jù)庫(kù)等過(guò)程的全程監(jiān)控與審計(jì)，支持賬戶開通申請(qǐng)與審批的流程管理，以及對(duì)違規(guī)操作行為的實(shí)時(shí)阻斷。

　　

　　SAS運(yùn)維安全審計(jì)系統(tǒng)的客戶價(jià)值

　　建立運(yùn)維安全體系，推行醫(yī)療衛(wèi)生信息安全等級(jí)保護(hù)制度

　　能夠?qū)φ麄€(gè)IT資源架構(gòu)進(jìn)行全面防護(hù)，面對(duì)龐大的醫(yī)療系統(tǒng)，提高系統(tǒng)的運(yùn)維效率，改變由于設(shè)備和服務(wù)器眾多，系統(tǒng)管理員壓力太大等的局面。該解決方案具備完善運(yùn)維人員賬戶、授權(quán)與認(rèn)證管理，使用應(yīng)用托管中心以保證系統(tǒng)帳戶與應(yīng)用賬戶分離。杜絕越權(quán)訪問(wèn)、誤操作、濫用、惡意破壞等情況時(shí)有發(fā)生，

　　規(guī)范運(yùn)維安全管理，確保醫(yī)療信息數(shù)據(jù)保護(hù)

　　信息數(shù)據(jù)是醫(yī)療衛(wèi)生機(jī)構(gòu)的核心機(jī)密，在經(jīng)濟(jì)利益驅(qū)使下，一些不法分子為了獲取“統(tǒng)方”等重要信息進(jìn)行有目標(biāo)的竊取，信息數(shù)據(jù)安全性必須予以足夠的重視。在方便、有效的存取患者的電子信息，包括化驗(yàn)結(jié)果、處方信息、醫(yī)囑和健康狀態(tài)等的同時(shí)，也存有一定的安全隱患，如果缺少有效的安全保護(hù)措施和審計(jì)機(jī)制，就會(huì)存在賬號(hào)濫用、業(yè)務(wù)數(shù)據(jù)被非法讀取的風(fēng)險(xiǎn)。SAS能夠提供細(xì)粒度的訪問(wèn)控制，最大限度保護(hù)用戶資源的安全。

　　避免人為因素破壞，確保內(nèi)部信息系統(tǒng)穩(wěn)定運(yùn)行

　　對(duì)于醫(yī)院來(lái)說(shuō)，整個(gè)網(wǎng)絡(luò)的穩(wěn)定性直接關(guān)系到為病人服務(wù)能力。SAS能夠提供在集中訪問(wèn)授權(quán)里強(qiáng)調(diào)的“集中”是邏輯上的集中，而不是物理上的集中。即在各網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)系統(tǒng)中可能擁有各自的權(quán)限管理功能，管理員也由各自的歸口管理部門委派，但是這些管理員在SAS上，可以對(duì)各自的管理對(duì)象進(jìn)行授權(quán)，而不需要進(jìn)入每一個(gè)被管理對(duì)象才能授權(quán)。授權(quán)的對(duì)象包括用戶、用戶角色、資源和用戶行為。系統(tǒng)不但能夠授權(quán)用戶可以通過(guò)什么角色訪問(wèn)資源這樣基于應(yīng)用邊界的粗粒度授權(quán)，對(duì)某些應(yīng)用還可以限制用戶的操作，以及在什么時(shí)間進(jìn)行操作等的細(xì)粒度授權(quán)，從根源上避免了由于人為誤操作或蓄意操作等對(duì)整個(gè)網(wǎng)絡(luò)的安全威脅。

　　加強(qiáng)醫(yī)療衛(wèi)生機(jī)構(gòu)職員的安全意識(shí)，明確安全責(zé)任

　　SAS可以對(duì)整個(gè)IT環(huán)境提供全天候監(jiān)控自動(dòng)化審計(jì)，前瞻性的發(fā)現(xiàn)潛在威脅，發(fā)現(xiàn)違規(guī)操作實(shí)時(shí)告警與阻斷，發(fā)生問(wèn)題能夠更快追溯并解決問(wèn)題，對(duì)系統(tǒng)運(yùn)維操作過(guò)程中的問(wèn)題和責(zé)任，準(zhǔn)確的進(jìn)行定位、取證和舉證，對(duì)不合規(guī)的系統(tǒng)運(yùn)維操作從技術(shù)上建立運(yùn)維安全的重要防線。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊