三级等保下医院信息系统安全优化方案实践

引言

为进一步提高信息的保障能力，根据《信息安全等级保护管理办法》（公通字2007[43]号）的精神，中南大学湘雅医院在2016年对HIS系统、LIS系统、PACS系统、电子病历系统进行信息安全等级保护三级测评工作，通过此次测评，中南大学湘雅医院发现了目前信息系统的安全现状与等级保护三级的基本要求存在一定的差距，信息系统存在较大的安全隐患[1]。中南大学湘雅医院决定对信息系统进行整体信息安全加固建设。

本文力图通过对等保三级保护要求的解析，结合中南大学湘雅医院的网络现状，提出一个满足等保要求的信息系统安全加固优化方案。1 设计背景

1.1 需求分析

对于医院网络架构来说，高质量的网络传输在整个医院的网络化办公中起着至关重要的作用，结合医院内部复杂的HIS、LIS、PACS等应用系统，大批的文件，图像和业务数据流都会通过网络进行传输，这就要求网络有足够的主干带宽和医院内部网络的扩展能力和冗余能力。除上述考虑外，还要注意将医保业务网络和内部办公网络分开，建成后网络应能提供多个网段的划分和隔离，并能做到灵活配置，以适应日后环境的调整和变化。除此之外，医院的网络系统连接着外部Internet和高校等，访问人员众多且复杂，因此如何保证医院网络系统中的数据安全问题显得尤为重要。

湘雅医院作为卫生计生委直属管辖的三级甲等医疗机构，内部运行的HIS、LIS和PACS等系统的正常运行至关重要。依据卫生部于2011年11月发布《卫生部办公厅

三级等保下医院信息系统安全优化方案实践

汤斌，黄玉成

中南大学湘雅医院（中南大学医院管理研究所）网络信息中心，湖南长沙 410008

[摘 要] 随着医疗卫生行业信息化建设水平不断推进，医疗卫生业务管理逻辑与价值体系对于信息系统依赖程度不断提升，信息安全隐患不断显露，信息安全保障盲点也日渐凸现，保障信息安全已经从一个宏观论调转化为新医改工程建设工作中不可规避的基础内容。本文通过对医院的重要信息系统的技术层面及管理层面进行全面评估，整理出高风险的安全需求，并结合实际业务要求，对医院整体信息系统的安全工作进行规划和设计，并逐步完成安全建设，以满足医院的信息安全目标及国家相关政策和标准的要求，同时为医疗行业内其他兄弟医院的信息安全建设提供参考依据。

[关键词] 三级等保；网络优化；信息安全；防火墙；安全管理体系

Practice of Optimization Scheme of Hospital Information System

Security Under Tertiary Level Protection

TANG Bin, HUANG Yucheng

Network Information Center, Xiangya Hospital Central South University (Hospital Management Institute

of Central South University), Changsha Hunan 410008, China

Abstract: Along with the continuous improvement of the information construction level of the medical and health industry, the management logic and value system of medical and health services have become increasingly dependent on information system. At the same time, with the constant exposure of the hidden danger of information security, the blind spots of information security guarantee are also increasingly prominent. Ensuring information security has changed from a macroscopic view to an unavoidable basis in the construction of the new medical reform project. The security construction of the hospital information system was used to meet the information security goals of hospitals and the requirements of relevant national policies and standards in the present study. Firstly, comprehensively evaluation was performed on the technical level and management level of the important information system in the hospital. Then, the high-risk security requirements was sorted out, and the security work of the overall information system of the hospital was planned and designed according to the actual business requirements. It might provide references for the information security construction of other brotherhood hospitals in the medical industry.

Key words: tertiary level protection; network optimization; information security; firewall; security management system

[中图分类号] TP399；R197.3 [文献标识码] C

doi：10.3969/j.issn.1674-1633.2018.09.036 [文章编号] 1674-1633(2018)09-0136-05

收稿日期：2018-03-06 修回日期：2018-04-08

通讯作者：黄玉成，高级工程师，主要研究方向为医院信息化。

通讯作者邮箱：of7376@