蒋昆:五步搞定数字化医院信息安全

      蒋昆:五步搞定数字化医院信息安全无评论

互联网时代下,数字化医院的建设面临更加严峻的安全挑战。那么,信息安全管理对象有哪些?管理权限如何分配?如何制定管理制度?来自西京医院数字化中心蒋昆主任在“乐享互联 医路同行”医院信息化沙龙全国巡展沙龙西安站活动中,分享了“信息安全建设实施”主题演讲,摘录如下:

信息安全管理对象

信息安全管理的对象可以分为两类:

一类是数据安全。即人为未经加工的裸数据和密码管理。

另一类是信息安全。即经过加工的,从数据里面提取形成的报表和各种各样的电子文档,比如病历。针对这些对象,信息安全如何来管理呢?简单的来说:将对的人在对的地方,用对的方式做对的事。

如何达成信息安全目标?分为五个步骤。

一:信息做分级管理

信息分级关系怎么做?蒋主表示,依据现有业务模型构建信息访问的模型。从数据库设计阶段开始,各个环节都要设定权限和触发机制。针对不同的应用,完成不同的功能,数据库的对象都需要细分。在权限设计阶段,将应用系统跟数据库对象关联,接下来就是在应用系统设置相应的帐户,该帐户跟应用系统相对应。

二:应用权限分级管理

应用权限分级管理分为三个层次:第一层是制定严格的权限审批制度,第二层是专人负责权限分配档案并为往期审批制度留档,第三层是对相应上述制度的执行情况划分档案,并做不定期检查。

三:网络介入制度管理

网络介入控制首先是机房管理。机房一定要管好,包括钥匙,门禁,登记、监控等等都要有严格的管理机制。其次是区域建设,规划好安全区。再次,传统意义上经常做的VLAN、MAC+port端口绑定,很高级别的人真正想突破它的话还是很容易的;最后,除了工程师在专业设备上做这些配置之外,还可以借助第三方硬件设备和网络设备去做NAC。

四:终端桌面管理

医学上有句话叫病从口入,所有网络安全措施,除了管好配置安全之外,最主要的是管住“进”“出”两个口。蒋主任表示终端管理方面主要做了四个方面的工作:端口控制、远程桌面、应用许可、定制桌面。

五:岗位职责管理

谈到岗位指责的问题是,蒋主任提出岗位职责总的原则是分权、牵制、备份。重要人员备份,岗位跟岗位之间要有牵制,数据库管理人员要负责数据库直接的连接,服务器管理人员要负责服务器密码,还有机房管理人员专门管理机房,审计人员负责对所有上述人员的审计。

后记:管理铸就信息安全堡垒

在最后,蒋主任表示信息安全管理是一件非常重要的事情,在这件事情上应该是“七分管理、三分技术”。所有的管理在岗位的设置上,在人员的选择上如果不到位的话,你技术做的再好,堡垒一定会被从内部攻破。同时,在所有中间参数设置、权限分配上,永远不要过度授权,一定要从管理上限制他,永远不要过度授权。只有这样才能建设一个坚固而又安全的信息系统。

转载请注明出处:HC3i中国数字医疗
【责任编辑:聪颖 TEL:(010)68476606】

发表评论