首页 >
论文范文 >
医药卫生论文 >
医院管理论文 >
医疗保险论文 >
基于三级等保的医院网络安全主动防御体系设计与实现
摘要:目的:医院通过实施合理有效的网络信息安全保障体系,尽可能地防止网络信息安全问题的发生,确保医疗业务安全稳定运行。方法:根据“等保2.0”要求,结合医院实际的网络架构,设计了一套以预防为主、防控结合的网络信息安全保障体系,具体包括物理环境、通信网络、区域边界、计算环境、管理中心、管理机制等六方面的防护措施。结果:设计一套以预防为主防控结合的网络信息安全保障体系,实现了网络信息安全的预测,保障了医疗业务的安全稳定运行。结论:网络信息安全保障体系为快速发展的医院信息化建设提供了安全保障。
加入收藏
1、引言
随着医院便民利民措施的不断提出,医院互联网应用快速发展,信息网络为医疗工作带来巨大便利的同时也对医院网络信息安全提出更高的要求。2019年5月13日国家市场监督管理总局正式发布《GB_T22239-2018信息安全技术网络安全等级保护基本要求》即“等保2.0”。为保障医院网络信息安全,根据“等保2.0”要求,结合医院实际的网络架构,建立一套安全可靠的网络安全保障体系。现以西部地区某三级甲等专科医院为例,介绍网络信息安全保障体系。
2、医院信息化安全需求
2.1医院信息化建设情况
医院信息化建设包括两个双活数据中心、两套网络架构、两套运维平台和一套基于电子病历6级的医疗信息系统。
医院为新建医院,医疗信息系统也完全新建,完全按照电子病历6级水平建设,内容包括智能化信息平台、四大数据中心、五大主索引和六大应用系统。其中六大信息系统为临床服务系统、医疗管理系统、运营管理系统、妇幼保健系统、医疗物联系统、医联体信息系统,共分为24个系统分类、176个功能模块。信息系统的全面投入使用使得网络安全的要求更加重要。
2.2网络安全需求
医院为省级专科医院,根据信息安全等级保护划分,第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。我院核心业务系统按照三级等保要求建设,其他系统应达到二级等保的要求。
3、医院网络安全保障体系
3.1医院网络安全保障方案
本体系以网络信息安全的预防为主、防控结合的思想,结合各种网络安全设备从主动预测到过程拦截最后到客户端防控,本着早发现早处理的原则。根据等保2.0要求包括物理环境、通信网络、区域边界、计算环境、管理中心、管理机制六方面具体措施。医院网络信息安全保障方案拓扑图如下:
图1医院网络信息安全保障方案拓扑图
3.2物理环境
医院两个双活数据中心采用模块化机房,完全按照三级等保建设。各数据中心机房和网络机房都配有电子门禁和视频监控系统。
3.3通信网络
我院内外网采用网闸进行物理隔离,内网采用OSPF协议的环形结构,为实现双活数据中心打下基础。外网采用星型结构,拓扑图如下:
图2网络结构拓扑图
3.4区域边界
3.4.1边界防护
(1)外网出口防护
为了保证对外提供服务和内部用户访问互联网互不干扰,在外网出口处部署两条链路,分别用于对外提供服务和内部用户访问互联网,对外提供服务链路部署防火墙、防毒墙和入侵防御用来防止对内部网络的攻击;内部访问互联网链路部署防火墙和防毒墙用来防止病毒侵入,部署上网行为管理用来管控内部用户访问互联网;入侵检测系统旁挂在外网核心交换机上实时检测网络运行。最终通过负载均衡统一访问互联网。
(2)内外网间防护
内外网间部署两台网闸(双机热备)进行物理隔离,同时部署安全网关(双机热备)管控内外网间的业务互联。
(3)内网数据专线出口防护
由于医院业务特点,还有类似于银行、上级医疗组织等,直接从内网出口的数据专线,部署两台安全网关(双机热备)进行实时防护,防火墙配置采用指定IP、指定端口策略,使用IP和端口开放其他全部禁止。
(4)内网无线区防护
根据等保2.0要求,内网无线区配置2台防火墙(双机热备),将有线网络和无线网络区分开,设置区域边界防护。
3.4.2远程防护措施
(1)外网远程防护
为了保障网络安全,外网部署1台VPN设备,采用SSL VPN方式,当需要工程师远程协助处理问题的时候,工程师通过VPN接入到网络。VPN将需要远程的设备授权访问,未经授权的设备不能访问。
(2)内网远程防护
对于医疗业务系统工程师远程协助,内网部署1台堡垒机,所有远程的工程师需要先通过VPN接入院内外网,再通过网闸访问堡垒机,连接到需要远程的设备或者服务器。针对不同的用户分配不同的使用权限,保障网络的安全。
3.5计算环境
3.5.1内网服务器区防护
内网核心与服务器汇聚之间部署2台防火墙(双机热备),内网核心旁挂入侵检测系统,实时防护服务器区的安全,防火墙配置仍然采用指定IP、指定端口策略,使用IP和端口开放其他全部禁止。同时服务器区还部署日志审计、数据库审计、漏洞扫描和网页防篡改系统,实时保护服务器的安全,保障服务的稳定运行。
3.5.2外网服务器区防护
外网核心与服务器汇聚间部署1台防火墙,配置采用指定IP、指定端口策略,使用IP和端口开放其他全部禁止;外网服务器区还部署web应用防护、数据库审计、漏洞扫描和网页防篡改系统,实时保护外网服务的安全。
3.5.3虚拟化资源防护
双活数据中心采用的是虚拟化解决方案,在虚拟化底层部署虚拟化杀毒软件,同时开启VMWare NSX的防火墙功能保障虚拟机安全稳定运行。
3.6管理中心
3.6.1内网终端防护
内网终端部署北信源桌管软件和瑞星杀毒软件。北信源桌管软件将客户端的U口全部禁用,防止U盘等移动设备将病毒带入网络;定期对客户端的系统漏洞进行分发更新,防止病毒利用系统漏洞进攻网络;实施审计客户端行为,保障网络安全;同时北信源软件还可以远程协助客户端,当医生和护士有任何计算机及软件上使用的问题,都可请求信息科人员远程协助,大大地方便医生和护士,节省了维护时间。利用瑞星杀毒软件实施防护终端,发现病毒立即处理。
内网部署安全准入系统,未经允许的设备不能接入网络,保障内网的安全运行。外网部署安全认证系统,未经许可的终端设备不能接入网络,保障医院网络安全稳定运行。
3.6.2外网终端防护
外网终端也部署北信源桌管软件和瑞星杀毒软件。但配置上与内网不同,北信源桌管软件定期对客户端的系统漏洞进行分发更新,防止病毒利用系统漏洞进攻网络;实施审计客户端行为,保障网络安全;远程协助客户端,为客户端用户提供便捷。瑞星杀毒软件实施防护终端,发现病毒立即处理。
外网也部署安全准入设备,未经允许的设备不能接入网络,保障外网络的安全。
3.6.3移动终端安全
移动终端接入网络时,必须保证是合法的用户和合法的终端,防止非授权的用户访问医院的数据;数据在传输过程中需要采用加密算法进行加密处理,防止黑客对数据进行加密或者篡改。移动终端需统一安装移动终端管理软件和杀毒软件,定期进行系统漏洞扫描与修补防止黑客或病毒利用木马漏洞进行破坏,造成不可挽回的损失。
3.6.4集中的运维管理
在运维管理区部署运维管理系统(RIIL系统),对所有的网络设备、服务器、安全设备以及应用系统进行实时监控统一管理,实现整个信息系统安全状态的在线分析、在线监控、在线管理,提高安全管理效率。
3.6.5网络威胁预测
在外网核心网络处部署态势感知平台,在内网核心、内网服务器汇聚、外网服务器汇聚交换机上部署3台探针,实时监测网络安全。通过主动发现的方式来识别和梳理网络中要被防护的资产及业务对象;通过机器学习技术,快速定义威胁的种类,识别隐藏在威胁之后的本质行为,同时,可提供行为的分析建模,构造网络环境;提供基于汇总全网相关的攻击行为相关信息的攻击感知,通过统计分析、关联融合等手段对攻击信息进行闭环处理,提供全景式的攻击态势监视,具备从遭受攻击、攻击的类型、分布、攻击关系、趋势、攻击结果等维度进行攻击态势呈现的能力。
3.7管理机制
3.7.1制度管理
虽然部署了相应的网络安全设备,但管理仍然是重中之重。成立网络信息安全领导小组,监督指导医院网络信息安全;制定相关网络信息安全管理制度共20余项;每周进行一次数据中心和网络机房的巡查并做好记录,随时发现问题并及时解决;每季度深入临床对客户端进行一些全面巡查,主动发现临床使用问题,发现潜在问题提前解决。
3.7.2容灾与备份
双活数据中心实现业务和数据的容灾。备份方案采用在数据中心B部署备份一体机将所有应用系统的虚拟机和数据库进行备份,保证数据的不丢失,同时也保障虚拟机故障后能快速恢复业务。
制定《网络安全应急预案》保障医疗业务连续;
3.7.3人员管理
除常规的人员管理外,信息科还设置专门的网络安全管理员和虚拟化资源管理员,各临床科室设置专门的信息安全管理员,并定期进行网络信息安全培训,保障医院网络安全。
4、方案实施效果
网络信息安全保障方案在医院实施后,预测网络安全风险两次(均已得到安全解决,未影响业务),所有设备、应用系统、数据库等得到实时监控,有问题第一时间发现,保障了医院信息网络安全。
5、结束语
建立符合标准的网络信息安全保障体系,实施有效的网络安全防护措施,不仅关系到医院的正常运行,还涉及患者的隐私和安全。本方案以预防为主防止了网络安全事件的发生,保障医院业务安全稳定运行。
参考文献:
[1]杨合庆.中华人民共和国网络安全法解读[M].北京:中国法制出版社,2017:59-61.
[2]张云,王胤涛,谢峰.基于动态安全模型的医院网络安全建设[J].中国数字医学,2018.
[3]韦力,卞松.医院网络安全应急处置方案的设计和应用[J].中国数字医学,2018,13(4):94-96.
[4]陈拥军,肖新文,陈泓伶,等.医院网络安全体系构建与实现[J].中国数字医学,2016,1(7):105-107.
[5]杨俊,刘敏超.军队医院网络安全风险与控制[J].中国卫生信息管理杂志,2015(2):170-172,182.
[6]张玲,王海伶.医院网络安全体系构建与实现初探[J].数字通信世界,2019(06).
[7]刘剑,苏璞睿,杨珉,等.软件与网络安全研究综述[J].软件学报,2018,29(1):42-68.
[8]连子兴,彭小斌,张文峰.基于“军卫一号”的主机安全系统设计与实现[J].中国医疗设备,2017,32(4):129-131.
[9]胡新龙,李怀成.互联网+医疗健康模式下的医院网络安全防护[J].中国卫生信息管理,2019,16(4):462-466.
[10]华永良.医院信息安全体系架构[J].中国数字医学,2016(6):89-91.
[11]龙智勇.浅谈医院网络安全防御体系的建设[J].中国管理信息化,2018(7):137-138.
[12]何海燕,陈亚文.医院私有云双活数据中心的研究与设计[J].中国医学装备,2017,14(12):104-107.
文章来源:何海燕,陈亚文,赵晓龙.基于三级等保的医院网络安全主动防御体系设计与实现[J].网络安全技术与应用,2024,(11):105-108.
分享:
医保支付方式改革是深化医改的牛鼻子,事关重塑医疗、医保、医药多元治理格局。中医药作为我国独特的一项卫生资源在健康中国建设中发挥着重要作用。目前现行的DRG医保支付方式无法客观衡量中医医疗服务价值,降低了医疗机构提供中医医疗服务的积极性[2]。为建立符合中医药特色的医保支付方式,支持其传承创新发展,我国中央政府及相关部门相继发布了多项惠民利好政策。
2025-09-02
国家医保局最新数据显示,2023年全国有1156万人享受大病保险报销,人均减负约8000元。然而调研发现,2023年江苏省13个地市中有11个地市的大病保险基金已经出险,对制度稳定运行带来极大挑战。对此,许多学者指出,大病保险缺乏独立的筹资渠道与稳定的资金来源,筹资水平较低,可持续能力较弱[1,2]。
2025-08-07
本研究的数据来源于知网(CNKI),高级检索以医疗保障为主题词进行检索,语言类型设置为中文,时间范围为2013年至2023年,来源类别为北大核心,以“医疗保障”“医疗保险”“基本医疗保险”“医疗保障制度””医疗保障体系”为主要主题进行检索,共检索文献395篇。
2025-07-05
改革开放以来,伴随医疗卫生条件显著改善和人民生活水平持续提高,人均预期寿命不断延长,加之计划生育基本国策长期实施,老年人口规模急剧扩大,儿童人口规模不断缩小,老龄化形势日益严峻。与此同时,家庭结构却持续呈现小型化和离散化趋势,单亲家庭和少子化、独子化家庭日渐增多,家庭代际分化程度不断加深,老年人空巢现象成为常态。
2025-06-25
随着出生率的下降和预期寿命的延长,全球老龄化正在严重加剧。国家统计局的统计数据显示,我国65岁及以上老年人口总量为1.90亿人,占13.5%。随着老龄化的加剧,失能及半失能老人人口数量也在持续增加,预估到2050年失能、半失能的老年人将超过1亿。在此背景下,失能老人的照护问题变得突出,给医疗保健和社会经济带来重大挑战。
2025-05-17
保险作为一种风险管理工具,在维护社会稳定、人民安定生活中扮演着重要角色。随着经济的快速发展和人民生活水平的显著提升,我国保险行业稳步发展。在医疗保障系统中,社会基本医疗保险无疑是最核心的项目之一。社会基本医疗保险制度有着悠久的历史,在社会疾病风险分散中发挥着基础性作用,具有维护居民健康和捍卫居民生命安全的重要使命。
2025-04-22
大病保险以直接报销医疗费用的方式发挥作用,在研究其补偿效果时,学者通常采用灾难性医疗支出(Catastrophic Health Expenditure,CHE)作为衡量指标,通过 计算灾难性医疗支出发生率 (The Probability of CHE, P_CHE)来估计大病保险降低居民医疗费用负担的程度。
2025-03-07
医保基金作为我国重要的民生基金,其安全稳定运行对于整个医疗保障制度的可持续性和公平性起着关键作用。近年来,医疗保障领域欺诈违法违规犯罪行为频发[1],不仅严重损害了参保者利益,更对医保基金的可持续发展造成了巨大冲击。据全国医疗保障事业发展统计公报数据[2],2019-2023年累计追回医保资金947.8亿元,欺诈骗保涉案金额巨大。
2025-02-25
近年来,随着医改的不断深入,居民医保参保人数和医保基金总支出均呈不断增长态势。国家医疗保障局的统计数据显示,截至2022年底,我国居民医保参保人数达13.46亿人,参保覆盖面超过95%;2018—2022年,医保基金总支出年均增长率超过9.69%。可见,我国医改在取得显著成效的同时,面临着医疗费用增长过快的现实难题。
2025-01-10
按病种分值付费(diagnosis-intervention packet,DIP)方式作为一种新型医疗服务支付模式,对优化医疗资源配置、提高医疗服务质量、控制医疗成本等方面具有重要意义 。DIP 支付的主要依据是医保结算清单,准确且完整的医保结算清单关系到医院的经济利益,也直接影响医保基金的合理使用和患者权益 。
2024-12-24我要评论
期刊名称:网络安全技术与应用
期刊人气:2248
主管单位:中华人民共和国教育部
主办单位:北京大学出版社
出版地方:北京
专业分类:科技
国际刊号:1009-6833
国内刊号:11-4522/TP
邮发代号:2-741
创刊时间:2001年
发行周期:月刊
期刊开本:大16开
见刊时间:1-3个月
影响因子:1.646
影响因子:0.693
影响因子:0.706
影响因子:1.052
影响因子:0.194
科普杂志阅读、期刊信息查询、论文下载、文献查询、原创文章检测等多项服务。
服务热线
您的论文已提交,我们会尽快联系您,请耐心等待!
你的密码已发送到您的邮箱,请查看!
2024-11-06
107
上传者:管理员
