网御神州助力医院信息安全审计业务HIS解决方案

网御神州力医院信息全审计业务HIS决方案经历20多年的发展医疗信息化建设已初具规模息系）为医院的正常运营和科学化管理提供保障而院信息管理系统在信息安全保密方面依然是医疗信息化建设的短板，严重影响或制约了信息化进程。谁为医信息补漏随着信息技术的不断发展医院这种社会公共服务领域集和储存了大量的公民个人信息在当前对医疗行业提供的网络安全技术解决方案中以防火墙（FW防病毒（AV）主流选择，但是这些传统的安全技术手段只能阻挡部分从外部到内部的攻击且对来自内部的信息窃取完全无能为力就导致了“泄密门”事件一次次发生，引发重要数据的丢失、破坏，不仅严重影响到医院网络的正常运行，还直接威胁到患者的隐私和生命安全。安全隐暴露最近圳就发生了一次全市的孕妇信息库泄露事件法分子将孕妇的资料制成了“泄密光盘条包括孕妇姓名、出生日期（婴儿性质（流动、暂住、常住住址、联系电话、以及就诊医院及预产期的信息以每条0.3元的价格进行销售，更令人咂舌的是这些信息每月还“滚动更新计达到了10万条。

而据记者调查发现乳品厂商也通过固定的渠道从医院套取孕妇的个人信息来达到赚钱的目的至些医院的个别工作人员已经和一些个人医疗信息的“收购贩子”形成了秘密而固定的“销售渠道人很难插手。调查中品企业的一名销售经理向记者出示了一打儿厚厚的录了产妇及其丈夫个人信息的表格后者按照这位销售经理提供的号码拨打了某医院产科护士长的电话，表示要购买个人信息，对方很严肃地说行我们这里的个人信息是严格保密的，绝对不可以出售那位销售经理亲自给那家医院的产科护士长打电话时，对方却让他过去取资料。事实上院出现信息系统安全的问题已经相当普遍访中国内某医院的一位心工作人员向记者抱怨道安全的重要性，恐怕只有门知道，而当今大多数医院的IT部门，在医院充其量还只是扮演‘保姆’的角色这位工作人员指出，国内医院信息化普遍起步晚、投入少，基本的软硬件环境尚且捉襟见肘无法顾及信息安全系统建设他所在这的这家有着数十年建院史的大型医院，在投上也可谓“保守年信息化过程中信息装备投入十分有限仅仅在近几年才投入几百万元对全院的网络进行升级。“而更严重的是，目前医院的部门普遍处于很低的地位，信息安全在医院领导观念中就更为淡漠，这造成了医院IT资优先考虑的是业务的需求，而

非保障信息安全。这给医院的信息系统埋下了巨大的安全隐患位作人员表示。滥用权限严重如何才能解决当前的医院信息安全问题呢？首先我们需要了解下目前医院信息安全的问题所在。据有着多年医疗行业系统集成经验的蓝天科技的总经理钱朝阳博士介绍于医院内部的滥用过高权限用合法权法接入等行为导致目前我国的医疗信息安全主要存在三方面的问题一有重视和执行对医务人员的信息安全知识、法规、标准的宣传、培训、考核，没有规定和实行医院信息系统安全的相关制度；第二，网络安全观念较为老旧，网络设计存在缺陷，比如过于单方面依赖防火墙；第三，对HIS系统，没有一定的安全监督、审查、验收机制。“目前很多医院的一把手开始重视信息安全的问题有从根本管理制度上解决医院工作人员对医疗信息的权限混乱人监管问题能解困医院的信息安全谜题基于医疗系统的信息安全隐患朝阳提出前医疗系统的信息安全建设也要针对性的分三步来走第一步加强内部管理在提高医务人员保护患者个人信息及医疗信息意识的同时，制定符合本单位实际情况的管理制度；第二步，

重点保护核心业务系统；第三步，进行统一的安全管理，全面、高效保障网络及信息安全。钱朝阳认为防护核心业务系统是三步中最重要的一步何才能保护核心的业务系统呢？“我们需要有一个专业的审计系统个审计系统不仅要具备基本对话的行为分析和本身的隐蔽性用性两个基本特征且为了更好的保护医疗信息系统的安全御神州安全管理高级产品经理叶蓬认为护核心的业务系统的关键是要建立专业的审计系统。而审计系统必须具备三大功能：一、可自定义及识别风险较高的行为操作，并可对此类操作进行告警，采用电子邮件、等方式通知网络安全管理人员二对已定义的不合规操作可通过与网络设备或安全设备共同协作来关闭通信，以阻止正在进行的操作；三、系统需具备报表系统，可以按组管理，可以对报表生成进行日程规划提供打印导出以及邮件送达等服务并根据计划归档报告，归档之后发送邮件通知。了解了问题所在，医院的信息主管应该怎么办呢？内控审计解困

一段时间以来政府相关部门对包括医院信息泄密在内的信息安全事故加大了处罚力度。今年28日，全国人大常委会通过了刑法修正案（七）的表决并且从颁布之日起实施规定单位如果泄露或非法获取公民个人信息将被判处罚金追究直接负责的主管人员和其他直接责任人员的刑事责任使得愈来愈多的医院意识到，信息安全建设的重要性。另一方面院网络及信息作为改革医院管理体制高服务质量的重要保障，必然对医院的信息安全管理也提出了很高的要求。月日历时两年多时间的倍受关注的新一轮医改方案终于出台而根《关于深化医药卫生体制改革的意见》和2009-2011深化医药卫生体制改革实施方案》规定，我国计划到2011年国家投入8500万逐步改革公立医院管理体制和运行管机制高公立医疗机构服务水平进公立医院补偿机制改革快形成多元化办医格局。“近些年来我们已经完成了局域网和主服务器、数据存储中心的升级改造，但仍然存在着许多系统安全的隐患。我们希望供应商们应该考虑到中国医院的IT装备和应用水平的实际状况供更为适合医院实际的安全性方案访中某医院的IT主管呼吁道。“正是为了满足我国医疗行业对信息安全的要求，我们自主研发了网神SecFox安全管理系统（医院版出了面向医疗行业的统一安全审计解决方案包含业务审计型（网审计型

日志审计、终端安全审计等多个功能模块，完全可以满足用户的相关需求网御神州安全管理高级产品经理叶蓬表示，其中SecFox-NBA业务审计型块够针对客户业务网络中的各种数据库和Unix主机、WEB应用系统进行全方位的安全审计保障客户业务网络中数据的安全和操作合规。据介绍，网神不仅包括：数据访问审计、数据变更审计、用户操作审计、违规访问行为审计、恶意攻击审计大功能。同时，相对于传统的审计系统神SecFox-NBA还有四个明显的特点是SecFox-NBA采用旁路侦听的方式进行工作业务网络中的数据包进行应用层协议分析和审计像真实世界的摄像机；二是SecFox-NBA对业务操作实时监控、过程回放；三是快速响应和跨设备协同；最后一个是报表报告。“严出严入，全面防护。在解决了核心业务系统的保护后，我们首先要解决通过网络外发信息的信息泄露次要解决人员的非法接入员工滥用移动存储导致的信息泄漏问题；最后，我们进行统一的安全管理，全面、高效保障网络及信息安全叶蓬称，当医院应用网御神州独有的基于会话