系统安全需求分析报告
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
医院信息系统
安全需求分析报告
xxxx双科技有限公司
l概述
在互联网+的大背录下,大多数医院已构建了以医院业务内网和医院办公外网为核心的两套网络。医院业务内网和医院办公外网属于物理隔离不能互通,医院业务内网承载医疗业务系统包括:HIS系统、LIS系统、PACS系统、EMR等,医院业务内网不与互联网相通,医院办公外网承载办公业务系统包括:OA系统、网站等系统,医院办公外网可与互联网相通。通过分析医院数字化医疗的业务安全诉求,同时考虑内外网数据交换的需要,充分结合等级保护关于三级系统要求的控制项进行全面建设。
2医院业务内网安全分析
通过对医院业务内网信息系统的差距分析并结合信息系统的现状,汇总当前医院业务内网信息系统的安全需求如下:(1)网络、主机设备存在配置使用上的不规范、不合理,损坏的设备没有及时的维修及技术上的处理留有安全隐患风险;(2)未划分安全域,服务器区与办公区混在一起,没有做到有效的控制,一旦办公电脑中病击,直接会影响到服务器的安全;(3)医院业务内网中缺乏必要的入侵防御系统,无法对危险进行监测和控制,存在极大的安全风险;
(4)网络、主机设备及应用系统都有各自的访问控制及认证方式,缺乏统一认证机制,有些网络、主机设备未正确配置身份鉴别及访问控制;
(5)医院业务内网中的信息系统缺乏有效的内控和安全审计,对出现的问题无法实现事前监测,事后无法对问题进行追溯;(6)应用系统认证方式主要基于用户名/口令方式,访问控制措施薄弱,缺乏统一的认证、管理和授权保护;
(7)设备、应用、人员三者缺乏全局、统一的管理,缺乏基于应用的单点登录访问机制;
(8)
手段;
(9)信息系统没有按照等保要求的等级进行必要的安全测在信息安全传输、安全存储和抗抵赖缺乏有效的防护评、整改加固。
3医院办公外网安全分析
通过对一些医院办公外网信息系统的差距分析并结合信息系统的现状,汇总当前医院办公外网信息系统的安全需求如下:(1)医院办公外网是可以直接连接互联网的对外接入区,通过系统调研医院办公外网基础设施缺乏必要的入侵防御系统,无法对来自互联网的病毒及恶意代码攻击进行监测和控制,存在极大的安全风险;
(2)网络、主机设备及应用系统都有各自的访问控制及认证方式,缺乏统一认证机制,有些网络、主机设备也未正确配置身份鉴别及访问控制;
(3)医院办公外网有对外发布的应用系统或者说网站应用,但从调研来看缺乏对WEB应用威胁的安全防护措施;
(4)信息系统没有按照等级保护要求的等级进行必要的安全测评、整改加固。
医院业务内网和外网数据交换分析
一般医院业务内网与医院办公外网之间存在如下的信
息交换需求:
(1)医院业务内网业务系统定期会有一些信息数据发布到医院门户网站系统中,如:出诊医生排班表、检验检查报告查询、移动医疗、医院发布的最新医疗资源信息等,需要从医院业务内网中提取数据到医院外网发布;
(2)医院业务内网与医院外网的融合,亟需具有特殊权限的用户可以进行业务应用访问;
(3)专家医生有在家或外地出差办公的迫切需要,但目前安全措施无法提供保障。比如专家会诊或远程医疗,需要访问医疗业务系统;
(4)医院业务系统要与医保系统、物价部门及其他管理机构对按互通;
(5)伴随移动医疗的在国内的发展,医院可以面向所有病人提供诊断结果查询、在线医生等增值服务。
4医院网络建设中的安全需求注意事项当今医院信息化不断进展,医院使用的软件系统也越来越多,主要服务于医院的医疗、管理、患者和员工,医院信息化的建设是提离医院服务水平、提高工作效率、降低运营成本的重要手段。这些系统由于其应用特点和传统的使用方式分别部署在医院的外网、医院业务内网。但随着医院信息化水平不断提高支撑业务的能力越来越强,应用和数据的更有效地服务千医疗、管理、患者和员工的需求不断涌现,医院业务内网和医院办公外网之间需要进行越来越多的数据和信息交换,彼此之间的应用交叉和访问也将愈加频繁。
例如,已有内部人员要访问的医疗信息和办公两种资源、向上级有关部门传输各种数据,与相关的医疗保健单位和其他医院联系等。
为了有效的集成、整合信息系统,解决因内外部频繁进行信息交换而面临的数据和网络问题,为医疗业务提供更加方便、高效的支撑服务能力,在进行应用和数据有效共享的同时,亟需保证应用和数据的安全性。这就要求建立一个具有安全纵身防御体系、整合能力强、扩展性良好的医院办公外网与医院业务内网数据连接通道,实现医疗信息的快捷流通和有效共享。由于医疗信息的敏感性和隐私特征,医院信息化快速建设的过程中,不仅考虑某个业务功能实现,同时应根据国家和行业的相关政策和规范,保护信息、数据的安全性。这就需要在医院的信息化建设过程中,逐步建立起适应业务发展要求的信息安全整体保障体系,面向今后的业务发展,进行全局的信息安全保障体系设计与规划,将已建的安全设施逐步纳入到保障体系中,减少重复安全投资,提离安全保障能力和效果。