智慧医院信息安全建设实践

智慧医院信息安全建设实践推进互联网+智慧医疗医院信息安全面临的形势医院信息系统的稳定运行人口健康数据的安全保障数字医疗设备的正常运转0102030405信息安全制度与应急机制1866武汉医学院第一附属医院华中科技大学同济医学院附属协和医院汉 口仁济医院同济医科大学附属协和医院武汉大学医学院附属医院仁济医院普爱医院合并

协和医院中部地区历史最悠久的委属公立医院（152年）见证西医文明在中部的起源、发展19501953198520001928主要医疗指标稳居国内前列本部＋肿瘤医院/西院/金银湖江南/江北/东西湖洪湖/京山/深圳南山新疆博州（卫生援疆）················协和医院西院2009年/沌口协和肿瘤医院2000年协和金银湖医院一期已动工协和江北医院蔡甸区/托管协和江南医院江夏区/托管协和东西湖医院东西湖区/托管协和洪湖医院洪湖市/托管协和京山医院京山县/托管协和深圳南山医院深圳/托管黑客巴纳拜-杰克（McAfee)：2013年准备表演远程遥控杀人时，神秘死亡2010年7月28日拉斯维加斯世界黑客大会表演提款器疯狂吐钞斯诺登事件电信诈骗：山东徐玉玉案产妇信息又遭泄露

这次推销满月照还记得3月南都独家曝光的两起产妇信息泄露事件吗？产妇信息再遭泄露，为何屡禁不止？来源：南方都市报 2016年05月23日

作者：徐全盛

陈文才继3月份深圳市上万条医院产妇信息被曝流入市场后，又有产妇电话住址被曝遭泄露。近期，罗湖一家儿童摄影店被指获取多家医院产妇电话及生产日期等信息，推销给婴儿拍“满月照”等业务。罗湖警方接报后突查影楼，现场查获数百条产妇电话住址等信息。自今年3月份起，深圳已曝光多起产妇信息遭泄露事件，如何避免公民信息遭泄露，是相关部门当下需要关注的问题。患者信息泄露患者：我们的信息是谁泄露的？2013-08-15

来源:

现代金报(宁波)“统方员”贪腐2008年至2013年，福州市某医院信息科工作人员林某就通过卖“统方”，收受多名医药代表贿款共计13.9万余元。近日，林某被福州中院终审判处有期徒刑5年。向其行贿的医药代表沈某某，也被法院一审判处有期徒刑9个月，缓刑1年。2012年5月14日，泗水县检察院在济宁市检察院查处医疗机构商业贿赂专项活动中，接到指定查办某医院原院长涉嫌受贿案件后，立即展开调查，从原院长受贿案揭开医疗机构神秘面纱，又从小小药品采购员的受贿案揭露医疗机构商业贿赂大秘密——利用“统方”贪贿利益链。昨日，有网友在微博上爆料称，福建某大型医院系统瘫痪，大批病人在苦苦等待。随后，东南快报记者了解到，附一医院在第一时间就启动了应急预案应对。经过连夜抢修，预计今日该院信息系统恢复正常。（东南快报

2015-05-05

）5月9日晨间，微信朋友圈里传出四川某医院信息系统出现故障的消息。有患者表示，当时医院不能挂号，医生也无法开出处方。截至健康界发稿，该院已确定故障为全院范围内，且依然没有解决。

（健康界：2015-05-09）信息系统瘫痪继上周宁波四家医院信息系统发生故障后，今天(24日)，又有两家医院又发生了信息系统故障事件，引发了患者挂不了号、付不了费、拿不到药，医生开不了药等一系列连锁反应，导致挂号收费处排长队，门诊大厅人满为患。（中国新闻网：

2013-07-24 ）习近平：没有网络安全，就没有国家安全，没有信息化就没有现代化！总体国家安全观医院信息安全面临的形势医院信息系统的稳定运行人口健康数据的安全保障数字医疗设备的正常运转0102030405信息安全制度与应急机制软件数据库温度电力网络硬件影响系统稳定的主要因素系统停机系统恢复的原则复原时间目标RTO(RecoveryTimeObjective)是企业可容许服务中断的时间长度。比如说灾难发生后半天内便需要恢复，RTO值就是十二小时复原点目标RPO(RecoveryPoint

Objective)是指当服务恢复后，恢复得来的数据所对应时的间点。如果现时企业每天凌晨零时进行备份一次，当服务恢复后，系统内储存的只会是最近灾难发生前那个凌晨零时的资料RTO=0，RPO=0终极目标基础硬件CPU内存硬盘网卡电源……..服务软件应用程

序WEB服

务数据库服务…………..系统软件操作系统中间

件虚拟

化……

..……服务器故障WEB服务器、数据库服务器、平台服务器C/S架构、B/S架构机械硬盘RAID控制器软件系统SAN交换机存储设备故障数据库故障系统性故障数据库在运行过程中，由于数据库软件及操作系统的漏洞、数据库溢出、日志文件溢出，导致所有正在运行的事务以非正常方式终止。介质性故障也即硬故障，主要指数据库在运行过程中，因磁头碰撞、磁盘损坏、强磁干扰等情况，使得数据库中的数据部分或全部丢失的一类故障。外部性故障外部环境引起的故障，如硬件故障或掉电导致异常停机、误操作删除表数据或库文件、日志文件等

。病毒性故障是一种恶意的计算机程序，在对计算机系统造成破坏的同时也可能对数据库系统造成破坏(破坏方式以数据库文件为主)。事务性故障是不能由事务程序处理的，如运算溢出、违反了某些完整性限制、并发事务死锁等。网络故障交换机链

路病

毒电源、电路板、端口、背板、业务板、光模块、光缆、光跳线、环路蠕虫爆发、ARP地址欺骗、网络滥用电 力重点关注：机房停电停机UPS故障停电停机解决方法：双回路供电UPS冗余经常监测温湿度静电防护防雷接地重点关注：温湿度过高或过低，设备自我保护停机机房漏水造成电力故障，异常停机解决方法：精密空调且冗余机房上走线空调冗余强力风扇应急重点关注：设备停机设备工作异常解决方法：等电位防静电地板重点关注：设备雷击损坏设备电力损坏设备不能正常启动解决方法：专业地线防雷设施零地电压避免线缆裸露环境卫生重点关注：尘粒导电损坏设备污垢影响设备降温解决方法：控制灰尘和污垢定期清洁机箱环境温度最好保持在10-25℃最佳湿度环境是：30%-80%计算机病毒工作站、U盘、局域网络、互联网络设备死机、系统运行缓慢、数据库故障、网络效率下降工作站、服务器、虚拟机、网络危害表现作用对象传播途径双活数据中心汇聚交换机………………LS-12508设备虚拟化核心交换区客户端接入区PC服务器核心存储PC服务器心跳线SAN交换机核心存储数据中心交换机核心交换机核心交换机西区肿瘤SAN交换机持续保护云存储系统云存储系统业务监控服务器物理位置数据中心交换机业务运维系统：核心交换机，服务器，数据库，应用系统整体监控短信报警远程维护虚拟服务器群物理机物理机物理机一般服务器虚拟化冗余保障超融合服务器一般数据库整体保障同步复制数据库镜像数据库快照备份还原（完备与增量）日志传送故障转移数据库故障类型及措施事务性故障：将事务回滚，撤销对数据库的修改（甚至利用日志文件）。系统性故障：待系统重启后，未完成的事务可能回滚写入数据库；对于已完成的事务可能通过缓冲区的结果，需要重做所有已提交的事务(即撤销所有未提交的事务，重做所有已提交的事务)；对于数据库损坏，只能通过备份来恢复。介质性故障：使用数据库备份及事务日志，通过恢复技术，恢复到备份结束时的状态。外部性故障：维加强机房环境建设，提高操作员的素养和责任心。病毒性故障：加强数据库服务器的病毒防护措施。数据库的备份与恢复完全备份：应提供本地数据备份恢复功能，完全数据备份每天一次，备份介质同时场外存放一份；增量备份：应提供本地增量数据备份恢复功能，每天上午（10点）下午（3点）各一次；异地备份：应提供本异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；专用设备：采用备份一体机存储；云备份：采用相应技术，将数据库备份到租用的第三方空间监控对象Windows系列：Windows

2000/Windows

NT/Windows

2003/Windows

XP

/Windows

7/Windows

2008Linux系列Unix系列：Sun

Solaris、HP

Unix、IBM

AIX、IBM

AS400/iSeries、Tru64

Unix、Mac

OS

、FreeBSD指标项CPU、内存、磁盘利用率进程监控网络接口状态磁盘I/O状态

、文件系统利用率服务器服务监控服务器运行监控应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；数据库运行监控监控对象Oracle：版本10g、11g和12cSybase：ASE

12.5.3及以上版本SQLSERVER:

2008

R2、2012、2014指标项数据库连接信息数据库明细、表空间,

数据库大小缓存性能、内存读、写、I/O状态SQL

统计、锁等等智能告警标准的通知方式

(邮件,

短信,执行程序等)向第三方控制台转发网络系统双机双链路冗余

S12508-IRF电信长宽00MDMZ服务器区域DMZ5800专线2住院楼1门诊楼门诊楼汇聚

IRF集群﹣1楼机房12楼机房专线1肿瘤院区万兆链路千兆以太网医院外网区域隔离FW外网FW住院楼2外科楼汇聚

IRF集群内科楼1汇聚

IRF集群内科楼2汇聚

IRF集群综合楼汇聚

IRF集群汇聚层

医技楼7510-IRF5500-IRF外网核心医院无线无线核心分院分院接入层机房温湿度供配电系统精密空调监测 UPS监测普通空调TCP/IP监控主机GNC-MIII监控主机局域网告警中心显示屏打印机管理客户端管理客户端

数据库服务器

电话报警手机短信报警TCP/IPTCP/IP机房环境监控管理中心管理工作站485总线485测控模块漏水 红外蓄电池监测门禁系统视频系统机房环境监控系统终端病毒防护桌面用户病毒服务器局域网络实体服务器虚拟服务器交换机1、全方位的防毒功能，能够考虑所有可能的入侵通道；2、具有多层架构的防毒机制；3、易于集中管理及维护，具有自动更新升级的能力；4、中央控管的防毒规则，完全不需使用者设定，提高信息人员效率；5、具有病毒防护统计报告能力，易于掌握整个防护计划。服务器端病毒防护VMVMVMVMVMVMVMVMVM物理机防毒软件虚拟机防毒软件•补丁修复操作系统选择（Linux）医院信息安全面临的形势医院信息系统的稳定运行人口健康数据的安全保障数字医疗设备的正常运转0102030405信息安全制度与应急机制患者、管理人员患者基本信息；诊断、价表、人员、科室等代码字典基础信息医生、医技、护士、患者疾病诊断、检查、检验、用药、手术、治疗医疗信息管理人员、患者患者费用、门诊排班、结算、导诊、预约、提醒、地理位置服务信息管理人员收入、药品、材料、物资、国有资产、人事、财务、后勤运营信息有限使用，接受监管展 现传 输加 工存 储采 集信息的种类和内容数据安全的主要问题完 整授权使用明确责任数据准确精准维护数据损坏泄 密查询功能统计功能信息展现被动泄露窃 取技术攫取外部入侵内部人员公司人员数据安全的总体框架事前预防事中控制事后审计数据安全的总体框架身份管理终端标准化生产区分离关键系统保护防止信息泄密策略管理事件管理安全咨询评估流程管理事前预防事中控制事后审查数字认证(CA)的总体架构普通用户权限每个软件系统都可以设置操作用户的操作权限，可具体到每个系统具体功能的权限设置管理员权限管理员权限分级管理，最高级由两名核心人员掌握，定期更换密码用户角色管理根据用户角色不同，提供不同角色的分组管理，每个组级别权限管理员可根据实际情况变更医生权限为了保护病人的个人隐私，系统医生权限采取分级管理分级授权机制外部安全风险（非授权）利用空口令和弱口令设置、未打补丁的数据库系统自身漏洞，越权进入HIS系统读取、拷贝和修改数据内容，采用SQL注入，攻击数据库系统内部安全风险（授权）以合法授权身份登录HIS系统，对数据记录的访问和操作是否符合规定，对HIS系统数据的误操作等。数据库的安全防范数据库：核心业务的基础、战略性的资产数据库的安全风险数据库面临的安全问题内部人员的职责不明确；日常操作流程尚不完善；对第三方维护人员的操作监控不到位。管理层面系统停止服务，导致患者情绪不满；数据库操作不明，无法通过外部的安全设备(如：防火墙、IPS等)来阻止内部人员的恶意操作、蓄意网络攻击、滥用资源和泄露医疗信息等行为。自然灾害导致医疗数据丢失。技术层面依赖于数据库日志文件的审计方法会影响数据库本身的性能；数据库日志文件本身存在被篡改的风险，难以保证审计信息的真实性。审计层面数据库的账户管理应对登录数据库系统的用户进行身份标识和鉴别；数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；应启用登录失效处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；当对服务器进行进程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。数据库的访问控制应启用访问控制功能，依据安全策略控制用户对资源的访问；应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；应实现数据库系统特权用户的权限分离；应严格限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令；应及时删除多余的、过期的败户，避免共享败户的存在；应对重要信息资源设置敏感标记，并依据安全策略严格控制用户对有敏感标记重要信息资源的操作；数据库系统应遵循最小安装的原则，仅安装需要的组件，并通过定期升级等方式保持数据库系统的补丁及时得到更新。防统方软件数据库审计系统全面监测数据库的所有登陆用户按策略的敏感数据监控与报警对应用对象的持续操作监控数据库运行性能监测按策略的数据库异常操作预警数据库审计记录分类统计查询数据库运维操作SSH、TELNET、FTP等审计桌面管理系统接入认证与准入终端行为管理移动存储设备管理接口与外设管理补丁分发与文件管理资产管理报表与查询远程维护与监控终端审计总体功能云桌面面向业务终端，针对所使用

PC

终端的操作系统、应用软件、

打印机、外设，进行集中管理、便捷维护、病毒处理、批量分发、安全管控；实现业务终端由被动管理向标准化管理转变；实现批量快速部署应用软件、程序补丁；便捷维护打印机，减少因随意修改配置造成的业务停滞；降低用户端软件故障维修时间，减轻终端运维人员的压力；网管软件IMC802.1x认证路由器/交换机VPN接入iMC智能管理中心防火墙VPN网关/路由器全面的基础资源管理灵活的拓扑功能智能的告警管理易用的性能管理强大的配置管理丰富的VLAN管理实用的IP/MAC管理专业的网络分级分权管理多种网管平台的集成能力无线网络安全多类型终端用户登录页面终端用户接入认证成组策略下发资源访问控制白名单和黑名单管理加密认证与传输内置防火墙移动终端管理SOTI远程维护远程控制安卓设备远程控制Windows资产管理…工作专用机定制界面应用推送禁用设备硬件删除应用清除数据管理对象安卓IOSWindows移动设备管理移动应用管理移动内容管理网站的安全策略安配置全

•

关闭不必要的服务、只提供所需的服务、只提供所需的安装操作。防 火墙安装必要的防火墙，阻止各种扫描工具的试探和信息收集。漏 洞扫描使用商用或免费的漏洞扫描和风险评估工具定期对服务入 侵检测利用入侵检测系统的实时监控能力，发现正在进行的攻击代 码优化优化网站代码，避免sql注入等攻击手段内部维护人员的监管管理层面信息系统维护制度信息系统维护操作规范从业人员保密协议道德层面加强从业人员道德修养教育提升从业人员职业素养技术层面从业人员需具有相关专业中级及以上职称不定期参加相关技术的学习培训经常与同行进行技术及经验交流驻场开发人员的监管远程维护管理（公司与内部）维护人员防火墙业务系统VPN堡垒机外联安全平台互联网患者医务人员社区医联体农行民生建行工行互联网业务预约支付查询轻问诊社区银行业务区域协同医疗服务专线专线患者服务终端服务医保、新农合。。。。。。院内业务应用HIS|LIS|PACS|EMR|体检|远程|。。。LAN LAN SAN

A SANB冗余防火墙存储外联平台外联平台分层架构互联网医疗银医协作远程医疗区域协同消息DB服务DB数据转换插件外联平台的堡垒作用边界检查区 外部服务区 隔离交换区下一代防火墙负载均衡HA运维堡垒机协和医疗云WEB应用防火墙电信、移动多链路出口网关隔离网闸存储池应用服务器群数据库服务器群医院信息系统边界检查区负责外部接入的安全性核查，