淺析醫療衛生行業運維安全解決之道

2013-10-22 10:43:25 eNet硅谷動力　點擊量：評論 (0)

醫療衛生行業本身是一個飛速增長的行業，醫療衛生行業信息化增長很快。從2010年下半年開始，國家制定了很多技術標準、建設方案、指南等，特別是衛生信息化十二五規劃還提出了35212工程，醫療衛生信息化已經

醫療衛生行業本身是一個飛速增長的行業，醫療衛生行業信息化增長很快。從2010年下半年開始，國家制定了很多技術標準、建設方案、指南等，特別是衛生信息化“十二五規劃”還提出了“35212工程”，醫療衛生信息化已經成為“十二五”期間醫療衛生事業發展的重點任務。

　　在信息化飛速發展的進程中，利用信息技術提高醫療救治水平、醫院服務能力及管理水平已成趨勢，對網絡的性能、可靠性、安全性、運維能力等提出了更高的要求。一方面在進行網絡性能升級的同時也面臨著應用的提升對網絡運維的壓力，另一方面各大醫院都希望通過更好的IT解決方案提高內部IT管理效率，以確保信息系統穩定和加強信息數據保護為重點的醫療衛生信息安全體系建設成為醫療衛生改革成敗的關鍵要素之一。由此可見，加強醫療衛生行業信息系統的運維安全審計工作已經刻不容緩。

　　智恒聯盟在醫療衛生行業的安全實踐

　　醫療行業的網絡環境都比較復雜，網絡設備、安全設備、服務器和各類應用眾多，同時，管理維護這些設備和應用的人員也很多，并且關系復雜，有單位內部人員，外部人員，第三方運維人員，臨時介入的應用管理員等。要方便有效的統一管理這些設備和用戶，就需要有一個強大的運維審計平臺，智恒聯盟SAS運維安全審計系統就能有效解決運維安全管理問題。

　　SAS運維安全審計系統設計理念

　　智恒SAS運維安全審計系統(以下簡稱“SAS”)是新一代運維審計系統，它采用軟硬件一體化設計，通過B/S方式(https)進行管理，其主要功能為：能夠將網絡中設備和數據庫等實施統一認證；具有與身份認證系統無縫結合的接口；實現對操作網絡中設備和數據庫等過程的全程監控與審計，支持賬戶開通申請與審批的流程管理，以及對違規操作行為的實時阻斷。

　　

　　SAS運維安全審計系統的客戶價值

　　建立運維安全體系，推行醫療衛生信息安全等級保護制度

　　能夠對整個IT資源架構進行全面防護，面對龐大的醫療系統，提高系統的運維效率，改變由于設備和服務器眾多，系統管理員壓力太大等的局面。該解決方案具備完善運維人員賬戶、授權與認證管理，使用應用托管中心以保證系統帳戶與應用賬戶分離。杜絕越權訪問、誤操作、濫用、惡意破壞等情況時有發生，

　　規范運維安全管理，確保醫療信息數據保護

　　信息數據是醫療衛生機構的核心機密，在經濟利益驅使下，一些不法分子為了獲取“統方”等重要信息進行有目標的竊取，信息數據安全性必須予以足夠的重視。在方便、有效的存取患者的電子信息，包括化驗結果、處方信息、醫囑和健康狀態等的同時，也存有一定的安全隱患，如果缺少有效的安全保護措施和審計機制，就會存在賬號濫用、業務數據被非法讀取的風險。SAS能夠提供細粒度的訪問控制，最大限度保護用戶資源的安全。

　　避免人為因素破壞，確保內部信息系統穩定運行

　　對于醫院來說，整個網絡的穩定性直接關系到為病人服務能力。SAS能夠提供在集中訪問授權里強調的“集中”是邏輯上的集中，而不是物理上的集中。即在各網絡設備、服務器主機系統中可能擁有各自的權限管理功能，管理員也由各自的歸口管理部門委派，但是這些管理員在SAS上，可以對各自的管理對象進行授權，而不需要進入每一個被管理對象才能授權。授權的對象包括用戶、用戶角色、資源和用戶行為。系統不但能夠授權用戶可以通過什么角色訪問資源這樣基于應用邊界的粗粒度授權，對某些應用還可以限制用戶的操作，以及在什么時間進行操作等的細粒度授權，從根源上避免了由于人為誤操作或蓄意操作等對整個網絡的安全威脅。

　　加強醫療衛生機構職員的安全意識，明確安全責任

　　SAS可以對整個IT環境提供全天候監控自動化審計，前瞻性的發現潛在威脅，發現違規操作實時告警與阻斷，發生問題能夠更快追溯并解決問題，對系統運維操作過程中的問題和責任，準確的進行定位、取證和舉證，對不合規的系統運維操作從技術上建立運維安全的重要防線。