浅析医疗卫生行业运维安全解决之道

　　医疗卫生行业本身是一个飞速增长的行业，医疗卫生行业信息化增长很快。从2010年下半年开始，国家制定了很多技术标准、建设方案、指南等，特别是卫生信息化“十二五规划”还提出了“35212工程”， 医疗卫生信息化已经成为“十二五”期间医疗卫生事业发展的重点任务。

　　在信息化飞速发展的进程中，利用信息技术提高医疗救治水平、医院服务能力及管理水平已成趋势，对网络的性能、可靠性、安全性、运维能力等提出了更高的要求。一方面在进行网络性能升级的同时也面临着应用的提升对网络运维的压力，另一方面各大医院都希望通过更好的IT解决方案提高内部IT管理效率，以确保信息系统稳定和加强信息数据保护为重点的医疗卫生信息安全体系建设成为医疗卫生改革成败的关键要素之一。 由此可见，加强医疗卫生行业信息系统的运维安全审计工作已经刻不容缓。

　　智恒联盟在医疗卫生行业的安全实践

　　医疗行业的网络环境都比较复杂，网络设备、安全设备、服务器和各类应用众多，同时，管理维护这些设备和应用的人员也很多，并且关系复杂，有单位内部人员，外部人员，第三方运维人员，临时介入的应用管理员等。要方便有效的统一管理这些设备和用户，就需要有一个强大的运维审计平台，智恒联盟SAS运维安全审计系统就能有效解决运维安全管理问题。

　　SAS运维安全审计系统设计理念

　　智恒SAS运维安全审计系统(以下简称“SAS”)是新一代运维审计系统，它采用软硬件一体化设计，通过B/S方式(https)进行管理，其主要功能为：能够将网络中设备和数据库等实施统一认证;具有与身份认证系统无缝结合的接口;实现对操作网络中设备和数据库等过程的全程监控与审计，支持账户开通申请与审批的流程管理，以及对违规操作行为的实时阻断。

　　SAS运维安全审计系统的客户价值

　　建立运维安全体系，推行医疗卫生信息安全等级保护制度

　　能够对整个IT资源架构进行全面防护，面对庞大的医疗系统，提高系统的运维效率，改变由于设备和服务器众多，系统管理员压力太大等的局面。该解决方案具备完善运维人员账户、授权与认证管理，使用应用托管中心以保证系统帐户与应用账户分离。杜绝越权访问、误操作、滥用、恶意破坏等情况时有发生，

　　规范运维安全管理，确保医疗信息数据保护

　　信息数据是医疗卫生机构的核心机密，在经济利益驱使下，一些不法分子为了获取“统方”等重要信息进行有目标的窃取，信息数据安全性必须予以足够的重视。在方便、有效的存取患者的电子信息，包括化验结果、处方信息、医嘱和健康状态等的同时，也存有一定的安全隐患，如果缺少有效的安全保护措施和审计机制，就会存在账号滥用、业务数据被非法读取的风险。SAS能够提供细粒度的访问控制，最大限度保护用户资源的安全。

　　避免人为因素破坏，确保内部信息系统稳定运行

　　对于医院来说，整个网络的稳定性直接关系到为病人服务能力。SAS能够提供在集中访问授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能，管理员也由各自的归口管理部门委派，但是这些管理员在SAS上，可以对各自的管理对象进行授权，而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作等的细粒度授权，从根源上避免了由于人为误操作或蓄意操作等对整个网络的安全威胁。

　　加强医疗卫生机构职员的安全意识，明确安全责任

　　SAS可以对整个IT环境提供全天候监控自动化审计，前瞻性的发现潜在威胁，发现违规操作实时告警与阻断，发生问题能够更快追溯并解决问题，对系统运维操作过程中的问题和责任，准确的进行定位、取证和举证，对不合规的系统运维操作从技术上建立运维安全的重要防线。