医院信息系统安全需求分析报告xxxx双科技有限公司l概述在互联网+的大背录下,大多数医院已构建了以医院业务内网和医院办公外网为核心的两套网络。医院业务内网和医院办公外网属于物理隔离不能互通,医院业务内网承载医疗业务系统涉及:HIS系统、LIS系统、PACS系统、EMR等,医院业务内网不与互联网相通,医院办公外网承载办公业务系统涉及:OA系统、网站等系统,医院办公外网可与互联网相通。通过分析医院数字化医疗的业务安全诉求,同时考虑内外网数据交换的需要,充足结合等级保护有关三级系统规定的控制项进行全方面建设。2医院业务内网安全分析通过对医院业务内网信息系统的差距分析并结合信息系统的现状,汇总现在医院业务内网信息系统的安全需求以下:(1)网络、主机设备存在配备使用上的不规范、不合理,损坏的设备没有及时的维修及技术上的解决留有安全隐患风险;(2)未划分安全域,服务器区与办公区混在一起,没有做到有效的控制,一旦办公电脑中病击,直接会影响到服务器的安全;(3)医院业务内网中缺少必要的入侵防御系统,无法对危险进行监测和控制,存在极大的安全风险;(4)网络、主机设备及应用系统都有各自的访问控制及认证方式,缺少统一认证机制,有些网络、主机设备未对的配备身份鉴别及访问控制;(5)医院业务内网中的信息系统缺少有效的内控和安全审计,对出现的问题无法实现事前监测,事后无法对问题进行追溯;(6)应用系统认证方式重要基于顾客名/口令方式,访问控制方法单薄,缺少统一的认证、管理和授权保护;(7)设备、应用、人员三者缺少全局、统一的管理,缺少基于应用的单点登录访问机制;(8)手段;(9)信息系统没有按照等保规定的等级进行必要的安全测在信息安全传输、安全存储和抗抵赖缺少有效的防护评、整治加固。3医院办公外网安全分析通过对某些医院办公外网信息系统的差距分析并结合信息系统的现状,汇总现在医院办公外网信息系统的安全需求以下:(1)医院办公外网是能够直接连接互联网的对外接入区,通过系统调研医院办公外网基础设施缺少必要的入侵防御系统,无法对来自互联网的病毒及恶意代码攻击进行监测和控制,存在极大的安全风险;(2)网络、主机设备及应用系统都有各自的访问控制及认证方式,缺少统一认证机制,有些网络、主机设备也未对的配备身份鉴别及访问控制;(3)医院办公外网有对外公布的应用系统或者说网站应用,但从调研来看缺少对WEB应用威胁的安全防护方法;(4)信息系统没有按照等级保护规定的等级进行必要的安全测评、整治加固。医院业务内网和外网数据交换分析普通医院业务内网与医院办公外网之间存在以下的信息交换需求:(1)医院业务内网业务系统定时会有某些信息数据公布到医院门户网站系统中,如:出诊医生排班表、检查检查报告查询、移动医疗、医院公布的最新医疗资源信息等,需要从医院业务内网中提取数据到医院外网公布;(2)医院业务内网与医院外网的融合,亟需含有特殊权限的顾客能够进行业务应用访问;(3)专家医生有在家或外地出差办公的迫切需要,但现在安全方法无法提供保障。例如专家会诊或远程医疗,需要访问医疗业务系统;(4)医院业务系统要与医保系统、物价部门及其它管理机构对按互通;(5)随着移动医疗的在国内的发展,医院能够面对全部病人提供诊疗成果查询、在线医生等增值服务。4医院网络建设中的安全需求注意事项当今医院信息化不停进展,医院使用的软件系统也越来越多,重要服务于医院的医疗、管理、患者和员工,医院信息化的建设是提离医院服务水平、提高工作效率、减少运行成本的重要手段。这些系统由于其应用特点和传统的使用方式分别布署在医院的外网、医院业务内网。但随着医院信息化水平不停提高支撑业务的能力越来越强,应用和数据的更有效地服务千医疗、管理、患者和员工的需求不停涌现,医院业务内网和医院办公外网之间需要进行越来越多的数据和信息交换,彼此之间的应用交叉和访问也将更加频繁。例如,已有内部人员要访问的医疗信息和办公两种资源、向上级有关部门传输多个数据,与有关的医疗保健单位和其它医院联系等。为了有效的集成、整合信息系统,解决因内外部频繁进行信息交换而面临的数据和网...
