引言:易發(fā)表網(wǎng)憑借豐富的文秘實(shí)踐,為您精心挑選了九篇醫(yī)院信息安全范例。如需獲取更多原創(chuàng)內(nèi)容���,可隨時聯(lián)系我們的客服老師�����。
第1篇
【關(guān)鍵詞】信息安全�;數(shù)據(jù)庫�����;網(wǎng)絡(luò)應(yīng)用�;安全體系
1信息安全現(xiàn)狀
1.1目前醫(yī)院信息安全存在的問題根據(jù)衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》的通知�����,三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)不得低于國家安全信息保護(hù)等級三級�。據(jù)此我們對信息系統(tǒng)的各個方面進(jìn)行了安全評估���,發(fā)現(xiàn)主要有如下的問題:
(1)物理安全:機(jī)房管理混亂問題����;機(jī)房場地效用不明確;機(jī)房人員訪問控制問題���;
(2)網(wǎng)絡(luò)設(shè)備安全:訪問控制問題;網(wǎng)絡(luò)設(shè)備安全漏洞����;設(shè)備配置安全����;
(3)系統(tǒng)安全:補(bǔ)丁問題���;運(yùn)行服務(wù)問題����;安全策略問題����;訪問控制問題;默認(rèn)共享問題�;防病毒情況���;
(4)數(shù)據(jù)安全:數(shù)據(jù)庫補(bǔ)丁問題���;SQL數(shù)據(jù)庫默認(rèn)賬號問題����;SQL數(shù)據(jù)庫弱口令問題��;SQL數(shù)據(jù)庫默認(rèn)配置問題���;(5)網(wǎng)絡(luò)區(qū)域安全:醫(yī)院內(nèi)網(wǎng)安全措施完善����;醫(yī)院內(nèi)網(wǎng)的訪問控制問題����;醫(yī)院內(nèi)外網(wǎng)互訪控制問題���;
(6)安全管理:沒有建立安全管理組織���;沒有制定總體的安全策略�;沒有落實(shí)各個部門信息安全的責(zé)任人�����;缺少安全管理文檔。
1.2當(dāng)前醫(yī)院信息安全存在的問題���,主要表現(xiàn)在如下的幾個方面
(1)機(jī)房所處環(huán)境不合格,場地效用不明確��,人員訪問控制不足�����,管理混亂��。
(2)在辦公外網(wǎng)中,醫(yī)院建立了基本的安全體系,但是還需要進(jìn)一步的完善,例如辦公外網(wǎng)總出口有單點(diǎn)故障的隱患���、門戶網(wǎng)站有被撰改的隱患。
(3)在醫(yī)院內(nèi)網(wǎng)中,內(nèi)網(wǎng)與辦公外網(wǎng)之間沒有做訪問控制����,存在蠕蟲病毒相互擴(kuò)散的可能�����。
(4)沒有成立安全應(yīng)急小組,雖然有相應(yīng)的應(yīng)急事件預(yù)案,但缺少安全預(yù)案的應(yīng)急演練����;缺少安全事件應(yīng)急處理流程與規(guī)范�,也沒有對安全事件的處理過程做記錄歸檔����。
(5)沒有建立數(shù)據(jù)備份與恢復(fù)制度;缺少對備份的數(shù)據(jù)做恢復(fù)演練,保證備份數(shù)據(jù)的有效性和可用性,在出現(xiàn)數(shù)據(jù)故障的時候能夠及時的進(jìn)行恢復(fù)操作。
2醫(yī)院信息安全總體規(guī)劃
2.1設(shè)計(jì)目標(biāo)、依據(jù)及原則
2.1.1設(shè)計(jì)目標(biāo)
信息系統(tǒng)是醫(yī)院日常工作的重要應(yīng)用�����,存儲著重要的數(shù)據(jù)資源�,是醫(yī)院正常運(yùn)行必不可少的組成部分�,所以必須從硬件設(shè)施、軟件系統(tǒng)�����、安全管理等方面�,加強(qiáng)安全保障體系的建設(shè),為醫(yī)院工作應(yīng)用提供安全可靠的運(yùn)行環(huán)境��。
2.1.2設(shè)計(jì)依據(jù)
(1)《信息安全等級保護(hù)管理辦法》�;
(2)《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》;
(3)《衛(wèi)生部衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》���;
(4)《電子計(jì)算機(jī)場地通用規(guī)范》。
2.1.3設(shè)計(jì)原則
醫(yī)院信息安全系統(tǒng)在整體設(shè)計(jì)過程中應(yīng)遵循如下的原則:分級保護(hù)原則:以應(yīng)用為主導(dǎo)���,科學(xué)劃分網(wǎng)絡(luò)安全防護(hù)與業(yè)務(wù)安全保護(hù)的安全等級,并依據(jù)安全等級進(jìn)行安全建設(shè)和管理��,保證服務(wù)的有效性和快捷性�。最小特權(quán)原則:整個系統(tǒng)中的任何主體和客體不應(yīng)具有超出執(zhí)行任務(wù)所需權(quán)力以外的權(quán)力。標(biāo)準(zhǔn)化與一致性原則:醫(yī)院信息系統(tǒng)是一個龐大的系統(tǒng)工程����,其安全保障體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn)�,這樣才能確保各個分系統(tǒng)的一致性��,使整個醫(yī)院信息系統(tǒng)安全地互聯(lián)互通����、信息共享���。多重保護(hù)原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層被攻破時�����,其他層仍可保護(hù)系統(tǒng)的安全����。易操作性原則:安全措施需要人去完成�,如果措施過于復(fù)雜,對人的要求過高�,本身就降低了安全性�;其次�����,措施的采用不能影響系統(tǒng)的正常運(yùn)行�。適應(yīng)性及靈活性原則:安全措施必須能隨著系統(tǒng)性能及安全需求的變化而變化�����,要容易適應(yīng)��、容易修改和升級。
2.2總體信息安全規(guī)劃方案
2.2.1基礎(chǔ)保障體系
建設(shè)信息安全基礎(chǔ)保障體系�����,是一項(xiàng)復(fù)雜的��、綜合的系統(tǒng)工程��,是堅(jiān)持積極防御、綜合防范方針的具體體現(xiàn)�����。目前醫(yī)院基礎(chǔ)保障體系已經(jīng)初具規(guī)模���,但是還存在個別問題��,需要進(jìn)一步的完善。
2.2.2監(jiān)控審計(jì)體系
監(jiān)控審計(jì)體系設(shè)計(jì)的實(shí)現(xiàn)�����,能完成對醫(yī)院內(nèi)網(wǎng)所有網(wǎng)上行為的監(jiān)控�����。通過此體系監(jiān)控到的數(shù)據(jù)能對醫(yī)院內(nèi)部網(wǎng)絡(luò)的使用率�、數(shù)據(jù)流量���、應(yīng)用提供比例�����、安全事件記錄���、網(wǎng)絡(luò)設(shè)備的動作情況���、網(wǎng)絡(luò)內(nèi)人員的網(wǎng)上行為記錄����、網(wǎng)絡(luò)整體風(fēng)險情況等有較全面的了解�����。
2.2.3應(yīng)急響應(yīng)體系
應(yīng)急響應(yīng)體系的主要功能是采取足夠的主動措施解決各類安全事件��。安全事件可以被許多不同的事件觸發(fā)并破壞單個系統(tǒng)或整個網(wǎng)絡(luò)的可用性,完整性�、數(shù)據(jù)的保密性。引發(fā)或可能引發(fā)本地小范圍破壞的安全問題應(yīng)該就地解決,以避免加重整個醫(yī)院信息網(wǎng)絡(luò)的安全風(fēng)險�。
2.2.4災(zāi)難備份與恢復(fù)體系
為了保證醫(yī)院信息系統(tǒng)的正常運(yùn)行���,抵抗包括地震���、火災(zāi)��、水災(zāi)等自然災(zāi)難����,以及戰(zhàn)爭�����、網(wǎng)絡(luò)攻擊��、設(shè)備系統(tǒng)故障和人為破壞等無法預(yù)料的突發(fā)事件造成的損害,應(yīng)該建立一個災(zāi)難備份與恢復(fù)體系。在這個體系里主要包括下面三個部分:政務(wù)內(nèi)網(wǎng)線路的冗余備份����、主機(jī)服務(wù)器的系統(tǒng)備份與恢復(fù)�����、數(shù)據(jù)庫系統(tǒng)的備份與恢復(fù)。
3結(jié)論
通過對醫(yī)院的信息安全風(fēng)險評估,我們發(fā)現(xiàn)了大量關(guān)于物理安全、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備���、應(yīng)用系統(tǒng)等等方面的漏洞。為了達(dá)到對安全風(fēng)險的長期有效的管理,我們進(jìn)行了具有體系性和原則性并能夠符合醫(yī)院實(shí)際需求的規(guī)劃��。
參考文獻(xiàn)
[1]王立���,史明磊.醫(yī)院信息系統(tǒng)的建設(shè)與維護(hù)[J].醫(yī)學(xué)信息��,2007����,20(3).
[2]王洪萍����,程濤.醫(yī)院信息系統(tǒng)安全技術(shù)分析[J].醫(yī)院管理雜志�����,2011�,18(11).
[3]尚邦治.醫(yī)院信息系統(tǒng)安全問題[J].醫(yī)療設(shè)備信息���,2004�,19(9).
第2篇
關(guān)鍵詞:醫(yī)院信息系統(tǒng);信息安全����;信息管理����;等級保護(hù)
一�����、引言
隨著醫(yī)院對信息化建設(shè)不斷深入滲透醫(yī)院的醫(yī)療����、科研�、教學(xué)、后勤保障����,醫(yī)院信息系統(tǒng)不僅是保證醫(yī)院的正常運(yùn)轉(zhuǎn),還是醫(yī)院財務(wù)管理等方面的巨大支撐��,并且安全的醫(yī)療信息數(shù)據(jù)才能有效地保護(hù)病人的權(quán)益�、提高治療效果。因此加強(qiáng)醫(yī)院信息系統(tǒng)安全建設(shè)是醫(yī)院良好有序發(fā)展的前提及客觀要求[1]��。
二�、醫(yī)院現(xiàn)狀及信息安全狀況
2.1基本情況。我院現(xiàn)為國家三級甲等醫(yī)院���,是華南地區(qū)醫(yī)療、教學(xué)、科研��、保健和康復(fù)的重要基地,設(shè)有31個大科����,100個?��??����,其中5個國家重點(diǎn)學(xué)科、28個國家臨床重點(diǎn)?����??��。醫(yī)院信息系統(tǒng)自開始建設(shè)����,經(jīng)歷三代HIS系統(tǒng)的更迭,至今在線服務(wù)器和存儲近百臺����,網(wǎng)絡(luò)設(shè)備300余臺;業(yè)務(wù)模塊近100個;終端數(shù)量近2000臺���。核心系統(tǒng)包括HIS,CPOE、EMR�、PACS�、LIS��。
2.2安全等保建設(shè)前信息系統(tǒng)安全狀況�����。網(wǎng)絡(luò)采用物理網(wǎng)絡(luò)隔離的方式,即業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)物理隔離,但隨著醫(yī)院業(yè)務(wù)的不斷開展,與醫(yī)保網(wǎng)互聯(lián)�����、開通微信平臺����、通過支付寶微信支付、移動終端接入��,業(yè)務(wù)網(wǎng)不可避免地要跟外網(wǎng)互聯(lián)�����,且人為加入無線網(wǎng)卡等連接外部網(wǎng)絡(luò)等�����,面臨安全風(fēng)險。安全防范意識上面,未形成有效的安全等級保護(hù)的規(guī)章制度和領(lǐng)導(dǎo)小組或安全管理手冊��。
三�����、醫(yī)院安全建設(shè)規(guī)劃和實(shí)施
3.1規(guī)劃和原則。國家立法“對信息服務(wù)���、公共服務(wù)、等重要行業(yè)和領(lǐng)域��,以及其他一旦遭到破壞����、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,實(shí)行重點(diǎn)保護(hù)”[2]�。衛(wèi)計(jì)委要求各醫(yī)院完成安全等級保護(hù)建設(shè)�。具體提出定級備案��、安全整改建設(shè)����、等級測評、監(jiān)督檢查等工作要求[3]。根據(jù)以上指定及實(shí)際情況,我院制定出“規(guī)劃先行、指導(dǎo)為重、分期實(shí)施”的總體指導(dǎo)方針。整體上�,安全等級保護(hù)建設(shè)工作分為四個階段1)自我認(rèn)知階段���,了解面臨的風(fēng)險��,可能的威脅。2)基礎(chǔ)改進(jìn)的階段,包括根據(jù)資產(chǎn)價值治理控制環(huán)境�。3)規(guī)劃管理階段���,定義業(yè)務(wù)內(nèi)控流程���,加強(qiáng)合規(guī)管理��。4)安全運(yùn)營階段,IT風(fēng)險集中管理與監(jiān)控。最后達(dá)到自行驅(qū)動完善信息系統(tǒng)安全。
3.2醫(yī)院信息系統(tǒng)安全定級���。我院對HIS、LIS、PACS����、電子病歷、OA以及門戶網(wǎng)站進(jìn)行安全等保定級���、備案、差距測評以及整改��。HIS系統(tǒng)定為3級��,PACS�����、LIS、電子病歷���、OA以及門戶網(wǎng)站定位了2級。
3.3安全建設(shè)實(shí)施�����。我院信息安全建設(shè)采用安全域劃分的方式�����,采用國內(nèi)一流的安全產(chǎn)品�����,與原有的信息系統(tǒng)和網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)無縫銜接,統(tǒng)一管理�,快速響應(yīng)��,運(yùn)行穩(wěn)定。核心安全產(chǎn)品包括核心UTM��、安全域的FW����、日志審計(jì)�����、IDS以及終端安全���。
四�、信息安全建設(shè)收益
4.1提高了系統(tǒng)的安全防范能力��。如下圖所示���,體現(xiàn)為四方面1)服務(wù)器以及存儲只對外提供指定端口����,非業(yè)務(wù)端口流量嚴(yán)禁進(jìn)入����。2)重要業(yè)務(wù)數(shù)據(jù)庫做操作審計(jì)。3)服務(wù)器操作系統(tǒng)進(jìn)行漏洞掃描并及時修補(bǔ)。4)業(yè)務(wù)軟件系統(tǒng)漏洞掃描以及安全檢查并修正。
4.2數(shù)據(jù)中心實(shí)現(xiàn)安全域管理劃分��。新增業(yè)務(wù)系統(tǒng)按照其等相應(yīng)的等級加入相應(yīng)的安全域,快速部署�����,統(tǒng)一管理���,并節(jié)省安全建設(shè)成本��。
4.3信息安全技能提升�����。通過信息安全建設(shè)�����,技術(shù)人員的專業(yè)水平顯著提高�����,安全意識增強(qiáng)。完成數(shù)次滲透測試與安全加固。應(yīng)對供電故障,建立了機(jī)房雙路供電加UPS;應(yīng)對設(shè)備故障���,核心設(shè)備雙活負(fù)載均衡,次重要設(shè)備硬件冷備份,可在預(yù)見時間內(nèi)恢復(fù)網(wǎng)絡(luò)���;應(yīng)對線路故障,建立備用線路;應(yīng)對網(wǎng)絡(luò)攻擊,常規(guī)化網(wǎng)絡(luò)監(jiān)控以及人工網(wǎng)絡(luò)巡查�����,攻擊出現(xiàn)時可迅速定位攻擊來源����。
五、安全一體化運(yùn)維平臺建設(shè)的新要求
移動互聯(lián)和物聯(lián)網(wǎng),對醫(yī)院的信息安全提出新的要求�,具體做到:認(rèn)證��、加密以及定位,即為:進(jìn)不來,拿不走,留痕跡(審計(jì))。這三點(diǎn)中最難的是認(rèn)證��,認(rèn)證必然造成醫(yī)院臨床使用的不便����,而部分設(shè)備較難實(shí)施認(rèn)證,如一些手持終端、攝像頭等���。對此,應(yīng)對的管理方式可以是安裝終端管控系統(tǒng)�����,無感知認(rèn)證����,移動終端只允許在指定區(qū)域進(jìn)行無線接入等���?��?傮w上看��,持續(xù)的安全建設(shè)應(yīng)該是向安全一體化運(yùn)維平臺的方向發(fā)展�����。而這個方向需要管理人員安全管理組織、決策���、執(zhí)行,需要流程化運(yùn)維�,需要一套監(jiān)控中心��、預(yù)警中心����、事件處理平臺���、考核中心�、知識管理中心、流程驅(qū)動的引擎。最終到達(dá)的目標(biāo)是自驅(qū)動的管理與技術(shù)相融合����。即安全管理制度流程化��,安全可視化�、動態(tài)化,形成PDCA風(fēng)險優(yōu)化處理閉環(huán)��。
六��、結(jié)語
信息安全是動態(tài)的�����,隨著技術(shù)的發(fā)展而變化。信息安全防護(hù)沒有完全單一而又絕對保險的措施��。安全也是適度安全��,沒有絕對的安全�����。信息安全應(yīng)該是管理與技術(shù)并重,安全管理制度落地運(yùn)作����,通過信息化手段來實(shí)現(xiàn)信息安全管理工作��,并隨著外界風(fēng)險的變化進(jìn)行調(diào)整,信息安全應(yīng)該是持續(xù)改進(jìn)的過程����。
參考文獻(xiàn)
[1]黃娓娓,劉濤.大家健康,2014,5,8(10):4-5.
[2]《中華人民共和國網(wǎng)絡(luò)安全法》第三十一條
第3篇
關(guān)鍵詞:信息安全�����;審核機(jī)制;防統(tǒng)方
中圖分類號:R197.324 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-9599 (2012) 15-0000-02
信息安全分為信息設(shè)備安全����、數(shù)據(jù)安全、內(nèi)容安全和行為安全幾個方面[1]���。信息安全是以信息為保護(hù)對象,分析信息的存在形式�,有助于了解信息保護(hù)可能存在的問題�����,提出信息保護(hù)的合理措施。對醫(yī)院來說,信息存在的一般形式,有如下幾種:
數(shù)據(jù)庫中的數(shù)據(jù)��,集中存放了單位重要的醫(yī)療業(yè)務(wù)數(shù)據(jù)���,如用藥信息���,財務(wù)數(shù)據(jù)��,物資數(shù)據(jù)以及其他的一些敏感數(shù)據(jù)����。
各類文檔文件���,如有關(guān)病人病情的圖片和視頻資料文件���,以及excel���,word文件�,文本文件等。
在網(wǎng)絡(luò)中流動的數(shù)據(jù)�,這些數(shù)據(jù)如果被非法入侵者截獲��,破解或者篡改,都會造成對單位信息的損失。
以上是對單位中已有的合法信息所存在形式的概括,從中可以看出���,保護(hù)這些形式的信息,就保護(hù)了單位的信息安全。另一方面���,也必須防范病毒,木馬以及黑客等各種非法入侵者在單位內(nèi)傳播垃圾信息,非法信息����,或者非法占用網(wǎng)絡(luò)��,服務(wù)器等資源,影響單位醫(yī)療業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。
所以,保護(hù)醫(yī)院信息的安全��,一是保護(hù)合法信息不被竊取���,修改���,刪除����,以及拒絕非法信息的進(jìn)入;二是防止各種非法入侵者占用服務(wù)器����,網(wǎng)絡(luò)等資源��。這些重要資源,包括服務(wù)器,網(wǎng)絡(luò)設(shè)備���,客戶端PC機(jī)或移動PC機(jī),嵌入式設(shè)備或定制系統(tǒng)等,下面分別敘述�����。
1 服務(wù)器的信息安全
醫(yī)院重要的服務(wù)器有:域服務(wù)器���,門診住院服務(wù)器�,醫(yī)保服務(wù)器,PACS服務(wù)器,檢驗(yàn)服務(wù)器�����,財務(wù)服務(wù)器以及電子病歷服務(wù)器等���。這些服務(wù)器中����,保護(hù)操作系統(tǒng)的安全��,域安全���,數(shù)據(jù)庫安全�����,無疑是重中之重。
1.1 服務(wù)器操作系統(tǒng)安全
不管是活動目錄AD��,DNS還是數(shù)據(jù)庫����,都是在操作系統(tǒng)之上的應(yīng)用,因此操作系統(tǒng)是第一道安全防線�,要注意最小特權(quán)原則[2]���,沒必要給的權(quán)限不要給���。在這道安全防線上���,要特別注意默認(rèn)共享�,重要目錄權(quán)限�,包括系統(tǒng)目錄和共享目錄權(quán)限��,系統(tǒng)服務(wù)�,防火墻���,系統(tǒng)補(bǔ)丁,運(yùn)行狀態(tài)�,系統(tǒng)運(yùn)行日志等方面���。一般情況下�����,應(yīng)禁止默認(rèn)共享,沒有必要開的系統(tǒng)服務(wù)必須關(guān)閉�����,比如計(jì)劃任務(wù)服務(wù)�,一般就可以關(guān)閉,開啟服務(wù)器防火墻����,安裝防毒防木馬軟件���,安裝重要的補(bǔ)丁��,利用各種軟件監(jiān)控服務(wù)器的運(yùn)行狀態(tài),以及監(jiān)控重要的日志事件��。
1.2 域安全
在整個域中設(shè)置主域服務(wù)器和備域服務(wù)器�,這樣其中一臺宕機(jī),另一臺仍然可以管理域�����,保證域的可靠性��,也間接增強(qiáng)域安全。另外,域策略里面有許多功能,如執(zhí)行登入腳本,禁止自動運(yùn)行,禁止U盤而不禁止其他USB設(shè)備等�����。這些策略有助于提高整個域環(huán)境的安全性����,也方便管理人員管理。
1.3 數(shù)據(jù)庫安全
由于歷史原因��,許多醫(yī)院的部分系統(tǒng)��,甚至是主業(yè)務(wù)系統(tǒng)���,如門診�,住院系統(tǒng)���,采用的是兩層架構(gòu)模式�����,使得客戶端可以直接連接數(shù)據(jù)庫�,迫使數(shù)據(jù)庫服務(wù)器將SQL Server默認(rèn)端口1433或ORACLE默認(rèn)端口1521向內(nèi)網(wǎng)所有IP地址開放�����,造成安全隱患����,如拒絕服務(wù)Dos攻擊�。對于三層架構(gòu)系統(tǒng),客戶端通過中間應(yīng)用層連接數(shù)據(jù)庫,這樣就可以在服務(wù)器開啟防火墻或者在核心交換機(jī)上添加策略,阻止任何指定IP地址外的1433或1521端口訪問����,客戶端也就無法直接訪問重要的業(yè)務(wù)數(shù)據(jù)庫,降低了業(yè)務(wù)數(shù)據(jù)被修改�����,損壞��,泄露的潛在風(fēng)險���。
對于醫(yī)院����,防統(tǒng)方更是頭痛的事情。所謂統(tǒng)方就是對醫(yī)生所開處方的用藥信息進(jìn)行統(tǒng)計(jì),它是非法醫(yī)藥回扣中的重要一環(huán)����。醫(yī)院數(shù)據(jù)庫存儲著所有的醫(yī)療業(yè)務(wù)信息�,一直是醫(yī)藥代表想盡一切辦法進(jìn)行統(tǒng)方的目標(biāo)�����,當(dāng)前出現(xiàn)的許多醫(yī)院案件都和非法統(tǒng)方有關(guān)��,嚴(yán)重影響了醫(yī)院的聲譽(yù)與形象,也不利于醫(yī)患關(guān)系的緩解。因此,如何防統(tǒng)方�,是醫(yī)院信息安全的重要內(nèi)容��。建立審核機(jī)制,對數(shù)據(jù)庫的可疑查詢進(jìn)行事前預(yù)警,事后的審核記錄�����,是防統(tǒng)方的重要手段�����。
審核機(jī)制的建立,是醫(yī)院信息安全建設(shè)的重要部分����。任何一個信息系統(tǒng)都不是完美無缺的����,醫(yī)院必須在系統(tǒng)的預(yù)算�,效率,穩(wěn)定性���,安全性等各方面做出平衡。況且���,任何組織的信息系統(tǒng)都不是一次建成的,而是隨著組織的發(fā)展以及信息系統(tǒng)的發(fā)展逐步建立起來的���。因此,必然存在信息安全問題��。這些安全問題�,常常隱藏在信息系統(tǒng)中,平時不易察覺�����,一旦被非法人員利用�����,特別是業(yè)務(wù)數(shù)據(jù)的泄露���,將對醫(yī)院造成不可估量的損失�����。系統(tǒng)往往無法準(zhǔn)確地判斷某些信息訪問是否為非法訪問�,因此事后的訪問審核記錄就變得重要。
對數(shù)據(jù)庫的審核�,比較完善的方式是對所有訪問數(shù)據(jù)庫的SQL語句進(jìn)行記錄�����,以便需要的時候?qū)@些數(shù)據(jù)庫訪問進(jìn)行排查。但是����,這樣的審核記錄成本太高��,必須找到成本與效率和記錄量的合適點(diǎn)。根據(jù)統(tǒng)方的SQL語句特點(diǎn)��,要特別注意對含有GROUP BY匯總的SELECT語句進(jìn)行記錄���,并對那些針對醫(yī)生,藥品��,金額進(jìn)行匯總的查詢進(jìn)行特別的警告記錄�����,以便事后追查�����。
1.4 WEB服務(wù)安全
對于IIS,關(guān)閉不需要的WEB服務(wù)擴(kuò)展��,利用NTFS文件系統(tǒng)的權(quán)限來和IIS目錄權(quán)限來提高安全性�。如果是其他WEB服務(wù),也要注意相應(yīng)的安全設(shè)置����。
2 網(wǎng)絡(luò)設(shè)備的安全
現(xiàn)在的交換機(jī)一般都具有VLAN��,鏈路匯聚���,簡單網(wǎng)管SNMP協(xié)議����,802.1x協(xié)議以及訪問控制列表ACL等功能,可利用這些協(xié)議和功能提高網(wǎng)絡(luò)安全。
SNMP協(xié)議能夠支持網(wǎng)絡(luò)管理系統(tǒng)�����,用以監(jiān)測連接到網(wǎng)絡(luò)上的設(shè)備是否有任何引起管理上關(guān)注的情況[3]���,可以方便地管理接入層交換機(jī)�����;802.1x協(xié)議再加上相關(guān)的軟件和硬件可用于網(wǎng)絡(luò)接入控制�,防止不合格PC機(jī)接入內(nèi)網(wǎng)�����;ACL功能可以進(jìn)行包過濾��,對進(jìn)入重要服務(wù)器網(wǎng)段的數(shù)據(jù)包進(jìn)行過濾,排除不安全數(shù)據(jù)包。這些協(xié)議都對提高網(wǎng)絡(luò)安全大有幫助。
有些醫(yī)院會使用到網(wǎng)閘,在傳輸數(shù)據(jù)的時間內(nèi)�,連通物理隔絕的內(nèi)外網(wǎng)����。如果安全措施考慮不周全��,可能讓外網(wǎng)的病毒傳輸?shù)絻?nèi)網(wǎng)�����,造成潛在的威脅���。
3 客戶端PC機(jī)的安全
客戶端PC機(jī)的情況���,在硬件上�,系統(tǒng)平臺上,軟件應(yīng)用上一般都比服務(wù)器復(fù)雜��,但也面臨著相同的安全問題:
3.1 U盤安全性
現(xiàn)在的電腦有許多USB接口�����,用戶很容易接入U盤��,運(yùn)行里面的程序,感染病毒����?;蛘呓尤險SB無線網(wǎng)卡��,將電腦非法接入到外部網(wǎng)絡(luò)�。這些都是安全威脅?��?蛇\(yùn)用域策略或者安裝相應(yīng)程序來杜絕這種情況。
3.2 防火墻關(guān)閉
防火墻對一個系統(tǒng)來說非常重要,它雖然不能防止系統(tǒng)內(nèi)的病毒感染和木馬攻擊,但卻能防止系統(tǒng)外的木馬攻擊�����,也就是所謂的防外不防內(nèi)��。防火墻能在很大程度上保護(hù)系統(tǒng)的安全�,防止外來攻擊�,但是管理人員為了管理方便,可能將客戶端的防火墻關(guān)閉,這在一定程度上造成了客戶端的不安全���。防火墻的規(guī)則必須精心設(shè)計(jì)�����,既方便管理�,又能對系統(tǒng)起到保護(hù)作用����。
3.3 關(guān)閉不需要的服務(wù)
把一些不需要的服務(wù)關(guān)閉,提高PC機(jī)的安全�����。比如計(jì)劃任務(wù)服務(wù)�,Telnet服務(wù),F(xiàn)TP服務(wù)����。某些服務(wù)的漏洞常常被木馬所利用來進(jìn)行攻擊�,除了對系統(tǒng)打補(bǔ)丁外���,對不必要的服務(wù)務(wù)必關(guān)閉�����。
3.4 移動PC機(jī)
隨著移動查房系統(tǒng)的運(yùn)用�����,無線移動PC機(jī)接入內(nèi)網(wǎng)的安全的也要重點(diǎn)考慮,因?yàn)楹芸赡苡袩o意或者惡意的使用者試圖將自己的筆記本通過無線交換機(jī)接入內(nèi)網(wǎng)�����,威脅內(nèi)網(wǎng)的安全���。這樣就對無線交換機(jī)的安全接入認(rèn)證機(jī)制提高了要求�。
4 某些定制系統(tǒng)的安全
放射科���,CT室跟設(shè)備連接的PC系統(tǒng)和自助掛號用的是定制系統(tǒng)���,應(yīng)該仔細(xì)考慮這些特殊設(shè)備的系統(tǒng)安全性���,防止由于病毒����,木馬或者網(wǎng)絡(luò)攻擊造成連接設(shè)備的主機(jī)無法使用,進(jìn)而使得設(shè)備無法使用影響醫(yī)院的業(yè)務(wù)。
5 總結(jié)
醫(yī)院信息安全的建設(shè)是醫(yī)院信息化建設(shè)的重要一環(huán)���。對患者隱私,醫(yī)生用藥信息��,財務(wù)信息等重要數(shù)據(jù)的保護(hù)��,都是醫(yī)院安全運(yùn)營的保障�。通過各種管理制度���,技術(shù)手段對醫(yī)院的信息進(jìn)行保護(hù)��,特別是防統(tǒng)方以及利用審核機(jī)制事后對統(tǒng)方記錄進(jìn)行追查�,是醫(yī)院信息安全建設(shè)的重要內(nèi)容�。
參考文獻(xiàn):
[1]王麗娜.信息安全導(dǎo)論[M].武漢大學(xué)出版社��,2008,08:2
[2]石磊.網(wǎng)絡(luò)安全與管理[M].清華大學(xué)出版社��,2009�����,09:95-96
第4篇
(一)隨著社會的不斷發(fā)展和進(jìn)步,同時也改變了我們的網(wǎng)絡(luò)時代,相比十幾年前醫(yī)院信息環(huán)境的滯后,如今醫(yī)院的網(wǎng)絡(luò)信息也跟隨著時代的發(fā)展在不斷的前進(jìn)。但是由于網(wǎng)絡(luò)信息的發(fā)展并不是那么健全和發(fā)達(dá)����,網(wǎng)絡(luò)信息對于醫(yī)院也會存在一些信息安全的隱患����,因此加強(qiáng)對醫(yī)院信息化的安全管理還是很有必要的��,它可以更有效的促進(jìn)醫(yī)院的發(fā)展和經(jīng)營�。
(二)同過去相比網(wǎng)絡(luò)規(guī)模相對來說比較小���,用戶群的計(jì)算機(jī)水平普遍來說不高��,所以比較容易管理���,隨著網(wǎng)絡(luò)信息的發(fā)展��,醫(yī)院網(wǎng)絡(luò)架構(gòu)也在不斷變化。I醫(yī)院網(wǎng)絡(luò)信息化從不成熟到不斷的加強(qiáng)改進(jìn),許多大型的辦公自動化系統(tǒng)也得到了成功應(yīng)用�����,包括病區(qū)里也建立了無限網(wǎng)絡(luò)的應(yīng)用�。高速網(wǎng)絡(luò)和高度的信息化網(wǎng)絡(luò)使醫(yī)院像一個巨大的工廠在不斷的全天運(yùn)行著。
(三)要從各個方面著手醫(yī)院的網(wǎng)絡(luò)信息安全問題,盡可能周全的了解信息安全網(wǎng)絡(luò)系統(tǒng)�����,要能夠杜絕安全隱患問題的發(fā)生�。在醫(yī)院建立常規(guī)化,系統(tǒng)化,有效化的系統(tǒng)����,防止醫(yī)院信息的泄露,因?yàn)榫W(wǎng)絡(luò)系統(tǒng)的建設(shè)安全直接關(guān)系到患者利益和醫(yī)院的效率��,所以不可小覷�����。伴隨著社會信息化的發(fā)展和進(jìn)步�,為了更好的加強(qiáng)對醫(yī)院的管理�����,醫(yī)院的信息化建設(shè)對于醫(yī)院與現(xiàn)代化的進(jìn)程有著不可忽略的重要作用�。
二�、醫(yī)院信息網(wǎng)絡(luò)安全存在的問題
(一)自然環(huán)境的因素
因?yàn)榭紤]到醫(yī)院環(huán)境的濕度及溫度等原因的問題,供電電源的不穩(wěn)定及雷擊����,靜電�,都會影響系統(tǒng)的正常運(yùn)作��,以及醫(yī)院環(huán)境的過低或者太高時都會對網(wǎng)絡(luò)信息安全產(chǎn)生影響�,甚至影響電路下降或者絕緣的現(xiàn)象發(fā)生��。機(jī)器原件的損傷和信息數(shù)據(jù)的丟失�,都會給我們的醫(yī)院和患者帶來傷害���。
(二)人為因素
人為因素主要分為兩個方面而言來說:一個是人為的無意攻擊����,一個是人為的惡意攻擊,計(jì)算機(jī)的安全系統(tǒng)需要加強(qiáng)對人為因素的一個重視���,因?yàn)橐粋€數(shù)據(jù)的丟失和泄露,嚴(yán)重的話會使整個醫(yī)院系統(tǒng)癱瘓���,使醫(yī)院的系統(tǒng)崩塌。導(dǎo)致無意攻擊網(wǎng)絡(luò)信息系統(tǒng)的一般是醫(yī)院內(nèi)部的人員�����,例如程序設(shè)計(jì)問題����,操作失誤的問題等等,安全配置問題的漏洞導(dǎo)致口令的泄露��,就會給整個醫(yī)院網(wǎng)絡(luò)信息安全問題帶來風(fēng)險����。相比人為的無意攻擊來講,人為的惡意攻擊帶來的危害和影響更為嚴(yán)重和深遠(yuǎn)����。網(wǎng)絡(luò)上的黑客出于好玩或者挑戰(zhàn)的目的�����,往往通過計(jì)算機(jī)的病毒或者是計(jì)算機(jī)的犯罪等行為,對網(wǎng)絡(luò)信息安全發(fā)起人為的挑戰(zhàn)�,這種方式給醫(yī)院帶來了網(wǎng)絡(luò)信息安全風(fēng)險�,以及機(jī)密數(shù)據(jù)的篡改和泄露都會帶來一定的風(fēng)險����,其后果將會是不堪設(shè)想。
(三)網(wǎng)絡(luò)信息軟件的漏洞
在計(jì)算機(jī)軟件以及計(jì)算機(jī)硬件安全系統(tǒng)上都會或多或少存在一些安全上的漏洞和有機(jī)可乘���,這些漏洞和有機(jī)可乘導(dǎo)致黑客在還沒有被授權(quán)的情況下侵入系統(tǒng)進(jìn)行惡意破壞和攻擊。盡管我們不能保證任何軟件沒有百分之一百的漏洞����,但是恰恰是我們存在的這些漏洞成了黑客侵入的首選目標(biāo)�,給整個醫(yī)院帶來信息安全上的問題�。
三��、建立健全的信息管理安全系統(tǒng)
醫(yī)院這個行業(yè)相比其它行業(yè)來說它其實(shí)還是相對來說是一個比較特殊的一個領(lǐng)域��,一旦醫(yī)院網(wǎng)絡(luò)信息的安全存在一些隱患,對醫(yī)院的醫(yī)療數(shù)據(jù)來說會是一個不小的沖擊。因?yàn)槟壳搬t(yī)院對醫(yī)院的網(wǎng)絡(luò)信息的安全的意識還不是很高,所以相對來說采取的措施也不是相對完善,安全隱患也是隨處可見,甚至有些非常嚴(yán)重���。所以制定嚴(yán)格的規(guī)章制度,從醫(yī)院的管理層方面把關(guān)����,讓管理人員意識到網(wǎng)絡(luò)信息的威脅也可能來源于網(wǎng)絡(luò)內(nèi)部��。切切實(shí)實(shí)實(shí)行規(guī)章制度,不要把規(guī)章制度成為一紙空文���。
四、加大投資完善安全系統(tǒng)
如今的醫(yī)院的運(yùn)行離不了完善的安全信息管理系統(tǒng),醫(yī)院的主要負(fù)責(zé)人員也要意識到醫(yī)院網(wǎng)絡(luò)信息安全的重要性���,加大投入,不斷更新醫(yī)院系統(tǒng)的軟件,從而強(qiáng)化其系統(tǒng)的功能。對于硬件設(shè)施的配置一定有保障有質(zhì)量的設(shè)備���,特別是對于比較重要的硬件設(shè)施要有儲存?zhèn)浞莸墓δ埽哂幸欢共《竞妥晕倚迯?fù)功能,在一些信息系統(tǒng)發(fā)生異常時也能夠找回�,以免數(shù)據(jù)的丟失對醫(yī)院造成一些不可挽回的損失�,盡可能從最大的程度上減少信息化管理系統(tǒng)帶來的一些客觀原因��。
時代的發(fā)展同時帶來的也必定是科技的發(fā)展和進(jìn)步�����,不論是面對一些網(wǎng)絡(luò)信息安全內(nèi)部因素的挑戰(zhàn)還是一些外力因素的挑戰(zhàn),對于我們來說網(wǎng)絡(luò)信息安全問題是一個值得我們?nèi)ゲ粩嗨伎己头此嫉恼n題,醫(yī)院的受眾群體是我們的老百姓,所以不僅是為了醫(yī)院的利益還有更是為了我們?nèi)嗣袢罕姷膫€人利益�����,這不僅是我個人的心聲我想也是我們所有患者的心聲�����。也希望時展和進(jìn)步的時候,我們的網(wǎng)絡(luò)信息安全問題能夠更高更好質(zhì)量的服務(wù)大家。面對未來更加復(fù)雜的網(wǎng)絡(luò)環(huán)境和更加海量的信息化,擺在網(wǎng)絡(luò)安全信息管理員面前的考驗(yàn)將是更加嚴(yán)峻。
作者:白峰 潘永紅 單位:安康市人民醫(yī)院
參考文獻(xiàn)
[1]王萍.醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全問題分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016,(01):32-33.
[2]丁飛.當(dāng)前醫(yī)院網(wǎng)絡(luò)信息化建設(shè)中的安全問題及保障之策探討[J].硅谷,2014,(22):165+159.
第5篇
隨著醫(yī)療行業(yè)的信息化發(fā)展水平的逐步發(fā)展��,信息系統(tǒng)的安全風(fēng)險越明顯�,本文就天津市醫(yī)院核心業(yè)務(wù)信息系統(tǒng)等級保護(hù)建設(shè)工作的管理體系建設(shè)提供一些基本的思路、方法和步驟��。
關(guān)鍵詞:
醫(yī)院;安全等級;管理體系建設(shè)
一、引言
根據(jù)上級部門三級甲等要求�,為了促進(jìn)和規(guī)范天津市醫(yī)院信息化建設(shè)我院于2014年啟動了圍繞醫(yī)院核心業(yè)務(wù)系統(tǒng):門診信息系統(tǒng)���、住院信息系統(tǒng)�����、HIS信息系統(tǒng),深入開展信息安全等級和統(tǒng)計(jì)管理系統(tǒng),為后續(xù)各兄弟醫(yī)院等級保護(hù)建設(shè)工作提供一些基本建設(shè)和方法�����。
二���、醫(yī)院信息化建設(shè)存在的安全現(xiàn)狀分析
大型綜合性醫(yī)院信息系統(tǒng)的安全保障體系建設(shè)是一個極為復(fù)雜的工程�����,醫(yī)院的信息系統(tǒng)應(yīng)用眾多����,結(jié)構(gòu)復(fù)雜���,覆蓋廣泛����,涉及的部門和人員眾多���,醫(yī)院信息系統(tǒng)的角色越來越重要��。信息系統(tǒng)任何風(fēng)險都有可能帶來巨大的損失�。醫(yī)院信息系統(tǒng)故障��,會造成門診大量排隊(duì)��,業(yè)務(wù)科室投訴,臨床業(yè)務(wù)停頓����,每次引發(fā)的問題都給醫(yī)院管理人員造成巨大壓力���,社會輿論和聲音受到嚴(yán)重影響����,不同程度也給醫(yī)院造成了較大經(jīng)濟(jì)損失��。醫(yī)院信息系統(tǒng)面臨極大的安全風(fēng)險��。具體有以下幾點(diǎn):
(一)物理環(huán)境安全風(fēng)險
醫(yī)院的物理安全具備環(huán)境安全、設(shè)備安全及介質(zhì)安全等物理支撐環(huán)境�����,保護(hù)網(wǎng)絡(luò)設(shè)備��、設(shè)施�����、介質(zhì)和信息免受大自然,環(huán)境事故以及誤操作導(dǎo)致的破壞和丟失���。
(二)網(wǎng)絡(luò)安全風(fēng)險
醫(yī)院的臨床���、財務(wù)系統(tǒng)和物流已經(jīng)全部納入IT系統(tǒng)��,業(yè)務(wù)網(wǎng)中各業(yè)務(wù)應(yīng)用是其信息系統(tǒng)的核心����,同時也需要與外部發(fā)生業(yè)務(wù)聯(lián)系�����。因此業(yè)務(wù)應(yīng)用面臨的任何風(fēng)險�,都會產(chǎn)生嚴(yán)重后果。
(三)管理層安全風(fēng)險
對醫(yī)院信息系統(tǒng)的管理尤為重要��,責(zé)任不明���,管理混亂�����,安全管理制度不健全等都有可能引起管理安全風(fēng)險��。
三、信息安全管理體系建立的作用
信息安全管理體系必須滿足等級保護(hù)標(biāo)準(zhǔn)����,同時也要滿足政策的要求�����,還要貫徹執(zhí)行,不斷進(jìn)步�。一個健全的、正常運(yùn)行的醫(yī)療信息安全管理體系的主要作用體現(xiàn)在以下方面���;(1)能夠有效增強(qiáng)行政和技術(shù)上的安全管理,將解決網(wǎng)絡(luò)設(shè)計(jì)缺陷,威脅網(wǎng)絡(luò)安全的問題�,制定出信息系統(tǒng)規(guī)范和安全標(biāo)準(zhǔn)�。(2)信息安全管理體系的建設(shè)�����,更加重視和執(zhí)行對安全知識���、法規(guī)����、標(biāo)準(zhǔn)的宣傳和培訓(xùn)��,考核實(shí)現(xiàn)了信息安全的動態(tài)管理過程����。(3)全方位的保護(hù)醫(yī)院的核心業(yè)務(wù)系統(tǒng)�����,在核心數(shù)據(jù)和信息受到襲擊時����,要確保各項(xiàng)工作正常開展�,并盡量把損失降到最低。(4)滿足醫(yī)療行業(yè)和監(jiān)督機(jī)構(gòu)要求,保護(hù)國家或區(qū)域醫(yī)療信息安全��,維護(hù)社會醫(yī)療秩序穩(wěn)定���。
四����、安全保管體系建設(shè)的主要思路
我院從安全管理機(jī)構(gòu)����、安全管理制度、系統(tǒng)建設(shè)管理�����、系統(tǒng)運(yùn)維管理及人員安全管理等五個方面著手開展安全等級保護(hù)建設(shè)�。
(一)安全管理機(jī)構(gòu)的設(shè)立
組建安全管理領(lǐng)導(dǎo)團(tuán)隊(duì),由院領(lǐng)導(dǎo)和各科室骨干出任第一責(zé)任人�,把具體的辦公地點(diǎn)設(shè)定在信息所����。
(二)安全管理制度
根據(jù)《公安信息安全等級保護(hù)基本要求》��,制定《網(wǎng)絡(luò)安全息安全管理制度》�,等9個信息安全管理制度���,定期進(jìn)行內(nèi)部檢查和管理評定,不斷優(yōu)化和持續(xù)改進(jìn)。我院在實(shí)施安全等管理體系建設(shè)工作中,采取分級、分類���、分階段的策略,根據(jù)我院各系統(tǒng)的不同特點(diǎn),采取不同的安全等級�。
(三)系統(tǒng)運(yùn)維管理
根據(jù)最高等級的保護(hù)要求��,制定多種信息安全方法:一是機(jī)房定時巡查,二是增加視頻監(jiān)控,減少視頻盲區(qū)���,三是建立智能監(jiān)控系統(tǒng),對全院網(wǎng)絡(luò)運(yùn)維情況監(jiān)控,減低網(wǎng)絡(luò)故障����。
(四)人員安全管理
我院堅(jiān)持在風(fēng)險評估的基礎(chǔ)上�����,采取適當(dāng)和管用���、足夠的措施來加強(qiáng)信息安全���,大大降低系統(tǒng)故障����。
五、安全等保的實(shí)施過程
實(shí)現(xiàn)等級保護(hù)�,應(yīng)該采取分級��,分類,分階段的策略堅(jiān)持分級實(shí)施保護(hù)�����,加強(qiáng)安全�����,突出關(guān)注重點(diǎn)�,要害部位���,根據(jù)信息化發(fā)展階段的不平衡����,須根據(jù)信息資產(chǎn)的規(guī)模大小,依賴程度的深淺��,按階段分步驟逐步實(shí)現(xiàn)等級保護(hù)的各項(xiàng)要求����。(1)信息安全管理體系第一階段主要是做好建立信息安全管理系統(tǒng)的前期工作及安全管理人力資源配置��。(2)信息安全工作團(tuán)隊(duì)結(jié)合等級保護(hù)的基本要求��,對HIS,LIS,RACS等核心業(yè)務(wù)信息系統(tǒng)進(jìn)行處理,對在傳輸和存儲的過程中����,信息的機(jī)密性���,完整性等重要特性進(jìn)行調(diào)研和評價�����,結(jié)合等級保護(hù)基本要求差距項(xiàng)匯總,分析差距項(xiàng)目涉及的安全事件一旦發(fā)生對醫(yī)院信息系統(tǒng)造成的影響����。(3)制定安全管理策略�����、安全管理制度和信息安全管理體系等各方位保護(hù)措施,計(jì)劃和建成符合三級等保系統(tǒng)基本要求的信息安全管理框架����。(4)落實(shí)安全管理制度����,根據(jù)安全管理體系的具體要求,進(jìn)行全面的信息安全牢固與整改工作��,充分發(fā)揮安全體系的各項(xiàng)功能�����。(5)自查和調(diào)整。深入分析問題,找出問題根源�,查出不完善的過程記錄文件并進(jìn)行完善�����,調(diào)整不合理管理流程,進(jìn)一步完善信息安全管理體系。
六��、結(jié)束語
至2014年初�,在我院領(lǐng)導(dǎo)的直接關(guān)心和指導(dǎo)下,通過各部門通力合作使信息安全通過了等級保護(hù)測評的三甲醫(yī)院,為地區(qū)三甲醫(yī)院信息安全等級保護(hù)建設(shè)工作開啟良好的開端,展現(xiàn)了我院信息化建設(shè)的先進(jìn)成果����。
作者:楊靜 單位:天津市中心婦產(chǎn)科醫(yī)院行政樓
參考文獻(xiàn):
[1]王升寶.信息安全等級保護(hù)體系研究及應(yīng)用[J].通信技術(shù)��,2009
第6篇
一、醫(yī)院電子檔案信息管理原則
當(dāng)前,院信息管理系統(tǒng)(HIS)是國內(nèi)綜合性醫(yī)院電子檔案信息傳送的主要方式,它涵蓋醫(yī)院各類業(yè)務(wù)與業(yè)務(wù)全過程如影像存檔和通訊系統(tǒng)(PACS)��、放射科信息系統(tǒng)(RIS)����、實(shí)驗(yàn)室信息系統(tǒng)(LIS)等醫(yī)院信息管理系統(tǒng)。它是通過醫(yī)院建立的大數(shù)據(jù)庫,利用電子計(jì)算機(jī)與現(xiàn)代信息通設(shè)技術(shù)裝備,對醫(yī)院各類電子醫(yī)療數(shù)據(jù)信息進(jìn)行收集�、存儲����、處理��、提取和數(shù)據(jù)交換���,滿足用戶預(yù)約掛號�����、診療信息查詢、費(fèi)用結(jié)算等功能需求平臺。當(dāng)前電子檔案信息管理有以下原則�。
(一)真實(shí)完整性原則
完整性指的是電子檔案信息文件件數(shù)�、數(shù)量����,以及相關(guān)的背景信息�����、數(shù)據(jù)不存在受損�、篡改和丟失���,使檔案信息真實(shí)��、完整����。然而����,醫(yī)院檔案管理,一般都是集中在院辦中的綜合檔案室�����,電子檔案實(shí)行的是全程管理�����,基本上各科室部門辦理完畢需要?dú)w檔的檔案資料就需要向檔案部門移交����,但一般的科室部門都設(shè)有自己的檔案資料室,為了工作方便���,并沒有完全移交本部門的病歷醫(yī)療檔案�,這些會影響電子檔案信息的完整性,導(dǎo)致電子檔案的價值受到影響��。
(二)全程管理原則
當(dāng)前�,我國對電子檔案實(shí)行的是全過程管理,即對電子文件從形成到銷毀或是作為檔案永久保存下來的的整個生命同期中�,在每一個階段與每一個時期�����,都確保電子文件或是電子檔案信息內(nèi)容的一致性,不可以更改����。確保電子檔案信息從一開始到結(jié)束生命周期中內(nèi)容的一致性��。全程管理通過對電子檔案在每個階段如流轉(zhuǎn)、利用���、保管全程的控制與監(jiān)控,從而確保電子檔案信息的完整性�����。然而����,由于醫(yī)院檔案信息資料文件來源廣泛,種類多樣���,而從事檔案管理的工作人員人手不足,或是素質(zhì)高低不一��,很難現(xiàn)實(shí)對電子檔案全程管理����,這必將影響到電子檔案信息的真實(shí)性與完整性。
(三)前段控制原則
前段控制是基于文件生命周期的反映����,將檔案的形成、保存�、銷毀等階段視為完整過程�����,具體通過對電子檔案管理過程的目標(biāo)、要求和規(guī)則進(jìn)行系統(tǒng)分析和科學(xué)整合���,把文件形成階段的所需要的管理功能盡可能在前端實(shí)現(xiàn),它主要作用在于減少滯后與重復(fù)作業(yè),提高工作效率從而確保電子檔案的真實(shí)可靠性��、完整安全性以及長期可讀性��。
二�、影響醫(yī)院電子檔案信息管理的安全因素
當(dāng)前�,影響到電子檔案信息真實(shí)完整性的安全因素主要表現(xiàn)如下。
(一)環(huán)境安全因素
我們都知道,對紙質(zhì)檔案來說��,確保紙質(zhì)檔案信息的安全主要是防火���、防光���、防濕��、防塵���、防蟲咬等���。而電子檔案信息是以電信號和磁介質(zhì)為媒價的數(shù)據(jù)信息存儲載體����,要確保磁介質(zhì)中的數(shù)據(jù)信息安全����,就要遠(yuǎn)離磁場的干擾��,磁場的干擾會使電信號與磁介質(zhì)數(shù)據(jù)發(fā)生破壞��,使數(shù)據(jù)失真�,從而使電子檔案信息丟去真實(shí)性��。同時��,電源供給系統(tǒng)故障,也會造成電子檔案信息損壞,如發(fā)突發(fā)性的斷電��,可能會損壞在硬盤或存儲設(shè)備上的數(shù)據(jù)����。
(二)來自網(wǎng)絡(luò)安全因素
當(dāng)前,互聯(lián)網(wǎng)信息安全是一個全球性的問題,對電子檔案信息安全影響的主要是來是互聯(lián)網(wǎng)威脅����。醫(yī)院電子檔案信息并非是封閉的�、不開放的信息孤島���,它也是信息資源的重要組成部份�,對于非機(jī)密的電子檔案信息,對社會公眾開放提供利用服務(wù)。另外,醫(yī)院電子檔案系統(tǒng)始終是處于聯(lián)機(jī)的狀態(tài),這使醫(yī)院電子檔案信息有被計(jì)算機(jī)病毒�����、特洛伊木馬�����、惡意代碼和電腦黑客攻擊的風(fēng)險�,從而造成醫(yī)院電子檔案信息數(shù)據(jù)文件破壞���、信息被篡改�����,使電子文件失去了歷史真實(shí)性與完整性,失去了檔案的原始價值��,而敏感數(shù)據(jù)信息被盜竊��,將使醫(yī)院機(jī)密與病人私隱被泄漏�����,造成不可挽回的損失與影響。因此���,來自網(wǎng)絡(luò)的威脅是醫(yī)院電子檔案信息最大的安全因素,這需要特別注意與認(rèn)真對待���。
(三)人為因素
醫(yī)院電子檔案信息建設(shè)是最近這幾年才發(fā)展起來了,是一個較為嶄新的管理課題��,很多醫(yī)院的規(guī)章制度還不夠健全����,操作還不夠規(guī)范。管理者綜合素質(zhì)的高低直接影響醫(yī)院電子檔案信息管理水平����。醫(yī)院電子檔案信息檔案管理者非檔案學(xué)專業(yè)的�����,不懂得電子檔案全程管理原則、前段控制原則�����,就會對電子檔案信息管理中隨意處理���,將對電子檔案信息產(chǎn)生安全隱患�;不懂得醫(yī)學(xué)知識���,就不知道該案卷的檔案的數(shù)量�����、數(shù)據(jù)的份數(shù)是否準(zhǔn)確�;不懂得計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)�、數(shù)據(jù)庫知識��,就不能規(guī)范操作,也就不會對電子檔案信息備份���、對計(jì)算機(jī)硬軟件殺毒,修補(bǔ)漏洞�����,醫(yī)院電子檔案信息的真實(shí)性�、完整性與網(wǎng)絡(luò)的安全將得不到保障。
三��、醫(yī)院電子檔案信息安全管理對策
面對層出不窮的信息安全問題�,那么怎么樣才能確保電子檔案信息安全呢?這需要我們從環(huán)境因素��、網(wǎng)絡(luò)安全因素�、人為因素上加以解決。
(一)維護(hù)安全穩(wěn)定的數(shù)據(jù)庫環(huán)境
解決影響電子檔案信息安全的環(huán)境����,首先建設(shè)獨(dú)立儲存電子檔案信息數(shù)據(jù)庫室��,把數(shù)據(jù)庫室設(shè)置為暗室���,避光����,防塵,室內(nèi)除了獨(dú)立的18T的光纖通道存儲設(shè)備、數(shù)據(jù)核心交換機(jī)、高性能刀片服務(wù)器�,并配除濕機(jī)�、恒溫機(jī)��,以確保室內(nèi)濕度與溫度保持在適度的范圍�,并遠(yuǎn)離磁場��,防止磁干擾�。同時����,在電源保護(hù)方面,數(shù)據(jù)庫配置獨(dú)立的電源室,配有交流電源,即便突然斷電,交流電源可維持一段時間�,使管理者能夠手動關(guān)閉數(shù)據(jù)庫�,避免突然斷電造成的數(shù)據(jù)損壞���。
(二)做好網(wǎng)絡(luò)上信息技術(shù)安全保障
確保醫(yī)院電子檔案信息網(wǎng)絡(luò)上的安全�����,首先是備份��,備份是確保即便電子檔案信息受到攻擊導(dǎo)致數(shù)據(jù)毀失還可以對數(shù)據(jù)進(jìn)行恢復(fù),是電子檔案信息安全的基本保障方法。備份按地理不同可分為本地備份與異地備份,按備分的方式可分為在線備份和離線備份���,按備份的略策又可分為增量備份與差分備分。在備份的儲存方面上,當(dāng)前�,由于備份電子檔案信息數(shù)據(jù)量巨大��,一般都是在磁盤陣列式儲存。其次是對檔案信息進(jìn)行加密,防止黑客與病毒入侵�����,對電子檔案信息實(shí)行加密技術(shù)����,從而防止電子檔案信息的被篡改與泄密���,一般加密的方法有軟件加密�、硬件加密與混合加密,具體來說軟件加密就是利用計(jì)算機(jī)程序?qū)﹄娮訖n案生成不可讀的格式��,需要用專門軟件才能讀取��,硬件加密是通過TPM加密硬件對硬件進(jìn)行加密以保護(hù)電子檔案數(shù)據(jù)����;混合加密是通過用戶認(rèn)證、身份密碼��、權(quán)限分配等進(jìn)對電子檔案數(shù)據(jù)保護(hù)�。再次是設(shè)置高級別的防火墻,對檔案用戶采取限制訪問級別的限制,對于非機(jī)密檔案信息��,可以對社會開放�����,對于限制用戶數(shù)量密級的檔案���,按全程管理原則與前段控制原則�,在電子信息形成時涉及到哪一個用戶��,為用戶授權(quán)的訪問級別���,未經(jīng)授權(quán)的無權(quán)訪問��,確保電子檔案信息在合法用戶范圍內(nèi)利用�,從而防止人為對電子檔案信息篡改,維護(hù)電子檔案信息的真實(shí)完整�。
(三)制定完善規(guī)章管理制度����,提高管理者素質(zhì)
第7篇
醫(yī)院網(wǎng)絡(luò)信息安全與醫(yī)療衛(wèi)生服務(wù)質(zhì)量���、效率息息相關(guān)����,因此做好網(wǎng)絡(luò)信息安全防護(hù)體系建設(shè)有助于確保醫(yī)療信息安全與信息服務(wù)平臺應(yīng)用,對于進(jìn)一步提升醫(yī)療服務(wù)質(zhì)量至關(guān)重要�。文章分析了我國醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)體系現(xiàn)狀���,并對醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)體系的設(shè)計(jì)與應(yīng)用進(jìn)行了探討���,希望能為醫(yī)療信息服務(wù)改革與創(chuàng)新提供參考����。
關(guān)鍵詞:
醫(yī)院�����;信息安全����;防護(hù)體系�����;設(shè)計(jì)
0引言
醫(yī)院作為提供醫(yī)療衛(wèi)生服務(wù)的主體�����,本身的發(fā)展關(guān)鍵在于做好綜合管理��,信息平臺作為進(jìn)行醫(yī)療服務(wù)����、醫(yī)學(xué)研究�����、教學(xué)�、對外交流宣傳等工作的主要陣地��,建設(shè)與服務(wù)情況直接關(guān)系到醫(yī)院工作質(zhì)量與效率�����,因此建立完善的信息安全防護(hù)體系不僅可有效保障信息平臺運(yùn)作的有效性,同時也可及時消除信息服務(wù)過程中出現(xiàn)的各類故障與問題,確保醫(yī)院工作順利進(jìn)行。
1我國醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)體系現(xiàn)狀分析
(1)安全需求���。
醫(yī)院信息網(wǎng)絡(luò)安全防護(hù)涉及計(jì)算機(jī)�����、通信安全、信息安全���、密碼、信息論���、數(shù)論等多種專業(yè)知識與技術(shù),計(jì)算機(jī)信息系統(tǒng)平臺的防護(hù)要做好到不因偶然或者故意的外界因素影響系統(tǒng)運(yùn)行�,保障信息的安全��,減少信息丟失���、受損�、更改、泄露等,確保信息提供服務(wù)醫(yī)療工作的延續(xù)性��、長期性����、可用性與高效性,提升系統(tǒng)運(yùn)行安全性與可靠性。結(jié)合我國信息安全防護(hù)規(guī)范與醫(yī)院醫(yī)療信息工作防護(hù)需求來看,技術(shù)層面上醫(yī)院網(wǎng)絡(luò)信息安全主要分為三個層次,一是硬件設(shè)施安全,包括計(jì)算機(jī)����、網(wǎng)絡(luò)交換機(jī)��、機(jī)房、線路、電源等物理設(shè)備在內(nèi)的設(shè)備安全,二是數(shù)據(jù)或應(yīng)用安全��,即軟件安全�,保證信息系統(tǒng)相關(guān)軟件、程序、數(shù)據(jù)庫等操作的訪問安全�,三是網(wǎng)絡(luò)與系統(tǒng)安全����,即包括網(wǎng)絡(luò)通信��、信息交換�、信息應(yīng)用���、信息備份�����、計(jì)算機(jī)系統(tǒng)等在內(nèi)的系統(tǒng)平臺免受系統(tǒng)入侵����、攻擊等影響��。
(2)安全防護(hù)現(xiàn)狀。
目前國內(nèi)經(jīng)濟(jì)發(fā)達(dá)地區(qū)的二級醫(yī)院與三級醫(yī)院基本上已經(jīng)建立起了HIS系統(tǒng)與局域網(wǎng)�,通過與因特網(wǎng)連接構(gòu)建服務(wù)院內(nèi)醫(yī)療工作的信息平臺����,信息網(wǎng)絡(luò)運(yùn)行遵照內(nèi)外網(wǎng)物理隔離形式����,因此相對而言運(yùn)行風(fēng)險減小,在安全防護(hù)方面投入比例相對較低�,不過面對越來越進(jìn)步的醫(yī)療需求����,實(shí)現(xiàn)內(nèi)外網(wǎng)合一成為必然�,有助于構(gòu)建更為高效的醫(yī)療信息共享模式、預(yù)防傳染疾病�����、建立大范圍醫(yī)療服務(wù)體系等��,但是內(nèi)外網(wǎng)合一將會面臨更多的安全風(fēng)險與漏洞�,因此加強(qiáng)安全防護(hù)體系建設(shè)迫在眉睫����,是保證醫(yī)療信息安全與高效管理的必然舉措。醫(yī)院信息安全防護(hù)體系的建設(shè)面臨著來自安全管理����、硬件軟件等多方面的風(fēng)險�����,目前防護(hù)體系建設(shè)主要是通過升級硬件、軟件防護(hù)確保信息安全�����,通過加強(qiáng)人員管理與安全管理降低安全風(fēng)險威脅����,對于醫(yī)院醫(yī)療系統(tǒng)而言,隨著越來越多的信息化醫(yī)療設(shè)備����、儀器�����、就醫(yī)人員等介入信息平臺,安全防護(hù)體系建設(shè)所面臨的風(fēng)險與需求也將會越來越大�,因此針對醫(yī)療信息安全需求做好防護(hù)體系的建設(shè)與推廣應(yīng)用是目前進(jìn)步發(fā)展的關(guān)鍵�����。
(3)信息安全建設(shè)問題。
當(dāng)前醫(yī)院網(wǎng)絡(luò)信息安全問題已經(jīng)成為困擾信息系統(tǒng)平臺運(yùn)行����、應(yīng)用的瓶頸�,為了應(yīng)對信息網(wǎng)絡(luò)時代頻繁的網(wǎng)絡(luò)攻擊與信息安全威脅�,殺毒軟件、防火墻����、入侵檢測技術(shù)��、信息備份技術(shù)、數(shù)據(jù)庫安全技術(shù)等廣泛應(yīng)用于醫(yī)院網(wǎng)絡(luò)信息安全建設(shè)�。上述技術(shù)雖然在確保網(wǎng)絡(luò)信息安全方面發(fā)揮了一定作用���,但是同時也存在不足之處,就目前來看�,我國醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)體系還存在不少問題��。醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)使用的硬件、軟件產(chǎn)品因不屬于同一企業(yè)���,在整合、規(guī)劃、管理中容易存在漏洞導(dǎo)致重復(fù)建設(shè)或者潛在安全風(fēng)險等問題����,影響信息系統(tǒng)安全�����。信息平臺的構(gòu)造與使用專業(yè)性要求較高,并且設(shè)備、軟件需進(jìn)行專業(yè)整合�����,院內(nèi)桌面終端的分散與多邊���、醫(yī)護(hù)人員水平高低����、使用情況等都直接增加了信息安全防護(hù)的難度。目前醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)的建設(shè)與應(yīng)用缺乏統(tǒng)一的技術(shù)標(biāo)準(zhǔn)與規(guī)范,不利于信息技術(shù)的整合和信息平臺潛力的挖掘,一定程度上增加安全防護(hù)系統(tǒng)構(gòu)建與應(yīng)用的難度��。網(wǎng)絡(luò)信息技術(shù)的發(fā)展與安全防護(hù)本身處于此消彼長的態(tài)勢�����,在制定安全防護(hù)策略��、構(gòu)建防護(hù)體系時必須做好與時俱進(jìn),最大限度的在降低經(jīng)濟(jì)成本的同時提升技術(shù)應(yīng)用效率與效益。
2醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)體系的設(shè)計(jì)與應(yīng)用
(1)硬件設(shè)施建設(shè)���。
醫(yī)院安全防護(hù)系統(tǒng)硬件設(shè)施建設(shè)關(guān)鍵要做好核心服務(wù)器、交換機(jī)、應(yīng)用計(jì)算機(jī)���、網(wǎng)絡(luò)設(shè)備等建設(shè),硬件建設(shè)優(yōu)劣直接決定信息服務(wù)效果與質(zhì)量,是確保醫(yī)院信息平臺順利運(yùn)行的關(guān)鍵物質(zhì)基礎(chǔ)���,因此為提升防護(hù)穩(wěn)定性與可靠性,加強(qiáng)硬件設(shè)施建設(shè)勢在必行。硬件設(shè)施建設(shè)要從設(shè)備型號�、性能等入手�����,配合網(wǎng)絡(luò)布局規(guī)劃、服務(wù)需求制定最佳建設(shè)方案。以機(jī)房設(shè)計(jì)為例���,作為安全防護(hù)信息系統(tǒng)的神經(jīng)中樞,醫(yī)院至少要建立兩個A級標(biāo)準(zhǔn)機(jī)房作為主機(jī)房與備用機(jī)房,并對監(jiān)控間、設(shè)備間��、空調(diào)電源間做好設(shè)計(jì)���,比如空調(diào)電源間要做好精密控溫���、恒溫恒濕�����、備用UPS電源等建設(shè)�����,并留有充足的后續(xù)設(shè)備空間,另外要著重做好消防安全工作。監(jiān)控間要應(yīng)用專業(yè)的設(shè)備環(huán)境監(jiān)控系統(tǒng)及時掌握主機(jī)房環(huán)境變化�,以便在意外發(fā)生時做到準(zhǔn)確應(yīng)對���。硬件配備方面為滿足醫(yī)院工作網(wǎng)絡(luò)信息安全防護(hù)需求�����,要配備優(yōu)質(zhì)的設(shè)備以保證數(shù)據(jù)訪問效率����,利用HIS服務(wù)器、PACS服務(wù)器等為實(shí)現(xiàn)辦公自動化��、電子病歷�、信息安全管理提供強(qiáng)勁動力;應(yīng)用混合光纖磁盤陣列����、近線存儲等完成海量數(shù)據(jù)的存儲���、交換與備份����,并采用核心交換機(jī)�����、光纖寬帶等構(gòu)件高性能網(wǎng)絡(luò)平臺����,并在醫(yī)院內(nèi)部配備優(yōu)質(zhì)計(jì)算機(jī)服務(wù)終端���。網(wǎng)絡(luò)布局方面��,根據(jù)醫(yī)院性質(zhì)做好軍網(wǎng)�、醫(yī)保專網(wǎng)��、內(nèi)網(wǎng)����、外網(wǎng)的聯(lián)合建設(shè)��,內(nèi)網(wǎng)建設(shè)是關(guān)鍵部分,要著重加強(qiáng)安全防護(hù)建設(shè),并留有網(wǎng)站備份與未來拓展空間���,為醫(yī)院信息安全管理提供支持與保障��。
(2)網(wǎng)絡(luò)系統(tǒng)安全建設(shè)。
醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全威脅主要來自于外部攻擊入侵或者網(wǎng)絡(luò)本身缺陷所導(dǎo)致的運(yùn)行失誤���、效率下降、系統(tǒng)崩潰等問題���,攻擊入侵包括木馬病毒攻擊、系統(tǒng)漏洞等�����,因此要著重做好網(wǎng)絡(luò)安全防護(hù)與系統(tǒng)安全防護(hù)���。網(wǎng)絡(luò)安全防護(hù)要根據(jù)醫(yī)院網(wǎng)絡(luò)性質(zhì)做好內(nèi)外網(wǎng)融合與統(tǒng)一�����,保證專網(wǎng)�����、軍網(wǎng)等介入內(nèi)網(wǎng)時受到物理防火墻、網(wǎng)閘的有效保護(hù)�����,屏蔽內(nèi)網(wǎng)信息��、運(yùn)行情況及結(jié)構(gòu),有效預(yù)防、制止非法入侵及破壞行為,并且為了提升防護(hù)效果,要盡量配合網(wǎng)絡(luò)運(yùn)行監(jiān)控系統(tǒng)以達(dá)到理想防護(hù)效果。系統(tǒng)安全防護(hù)需要建立完善的病毒防護(hù)體系�����,處理好系統(tǒng)終端計(jì)算機(jī)內(nèi)的病毒���、木馬等�����,建立有效權(quán)限制度以達(dá)到保護(hù)信息��、防護(hù)內(nèi)外入侵等行為,可通過采購企業(yè)版病毒防護(hù)軟件定期更新病毒庫達(dá)到自動殺毒維護(hù)安全效果;系統(tǒng)內(nèi)部防護(hù)安全與計(jì)算機(jī)個人網(wǎng)絡(luò)終端關(guān)系密切�����,因此要在院內(nèi)移動終端上增加桌面控制軟件以實(shí)施全面安全管理�����,通過系統(tǒng)補(bǔ)丁分發(fā)�����、端口訪問、安全準(zhǔn)入等機(jī)制實(shí)現(xiàn)防護(hù)。
(3)數(shù)據(jù)應(yīng)用安全����。
數(shù)據(jù)應(yīng)用安全關(guān)鍵要做好數(shù)據(jù)存儲����、訪問�、應(yīng)用安全及信息系統(tǒng)軟件運(yùn)行安全����。數(shù)據(jù)存儲安全與系統(tǒng)環(huán)境、硬件設(shè)備��、數(shù)據(jù)庫安全密切相關(guān)�����,因系統(tǒng)漏洞����、硬件損毀、數(shù)據(jù)庫錯誤等造成數(shù)據(jù)毀壞要通過采取備份、恢復(fù)����、數(shù)據(jù)容錯等舉措解決�����。為保證數(shù)據(jù)安全性與完整性,要建立數(shù)據(jù)庫本機(jī)與多機(jī)備份機(jī)制,尤其是核心數(shù)據(jù)庫要分別建立主、備用服務(wù)器�����,一旦其中之一發(fā)生意外立即采取補(bǔ)救措施實(shí)現(xiàn)自動切換�����,尤其是電子病歷要進(jìn)行專業(yè)備份及歸檔�,確保數(shù)據(jù)完整性與可用性�����。數(shù)據(jù)訪問安全問題主要以非法用戶訪問、非法篡改數(shù)據(jù)為主要表現(xiàn)�,要完善醫(yī)院內(nèi)部訪問權(quán)限與身份準(zhǔn)入系統(tǒng)��,實(shí)現(xiàn)統(tǒng)一授權(quán)管理,以減少信息丟失���、錯誤等情況。要對數(shù)據(jù)庫安全環(huán)境建設(shè)��、應(yīng)用軟件環(huán)境建設(shè)倍加關(guān)注����,如lP±IE址的設(shè)置、數(shù)據(jù)庫配置��、環(huán)境變量設(shè)置等��,實(shí)現(xiàn)統(tǒng)一運(yùn)行環(huán)境與地址綁定���,降低安全運(yùn)行風(fēng)險�����。
(4)安全管理制度。
醫(yī)院內(nèi)部要做好信息安全管理制度的完善與執(zhí)行��,根據(jù)國家政策��、行業(yè)法規(guī)���、院內(nèi)需求積極完善系統(tǒng)及數(shù)據(jù)應(yīng)用����,確保網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)始終維持良性運(yùn)行狀態(tài)�����,為醫(yī)院安全建設(shè)奠定基石。要加強(qiáng)網(wǎng)絡(luò)安全值班制度建設(shè),配備專業(yè)人員監(jiān)督網(wǎng)絡(luò)系統(tǒng)運(yùn)行���,并配備專業(yè)監(jiān)控系統(tǒng)及時處理各類問題與意外,對于問題嚴(yán)重者要及時通報技術(shù)科室進(jìn)行維修養(yǎng)護(hù),確保醫(yī)院信息系統(tǒng)始終處于24小時監(jiān)控維護(hù)下��。值班管理中���,要做好系統(tǒng)運(yùn)行情況記錄���,并進(jìn)行數(shù)據(jù)備份��,確保值班日記連貫�、完整�,為安全管理提供幫助。院內(nèi)用戶管理是安全管理另一重點(diǎn),權(quán)限管理中要嚴(yán)格管理員權(quán)限準(zhǔn)入機(jī)制,做好院內(nèi)計(jì)算機(jī)終端設(shè)備的改造���,做好院內(nèi)工作人員專業(yè)培訓(xùn)��,以便實(shí)現(xiàn)用戶合法、合規(guī)訪問系統(tǒng)����,減少系統(tǒng)運(yùn)行與訪問風(fēng)險�����,保證信息數(shù)據(jù)的安全性。
(5)應(yīng)用實(shí)踐�。
為了確保醫(yī)院網(wǎng)絡(luò)安全信息防護(hù)系統(tǒng)得到有效運(yùn)行��,在實(shí)際運(yùn)營中要增加相應(yīng)的運(yùn)維管理系統(tǒng)與安全防護(hù)系統(tǒng)達(dá)到理想防護(hù)效果。比如在主機(jī)房設(shè)置機(jī)房動力與環(huán)境監(jiān)控系統(tǒng)��,對機(jī)房準(zhǔn)入權(quán)限���、電源供應(yīng)���、通風(fēng)��、控溫、消防等情況進(jìn)行監(jiān)控,確保機(jī)房始終維持在理想的恒溫、恒濕現(xiàn)狀�����,電壓��、電流��、頻率滿足需求,并將變化做好數(shù)據(jù)記錄監(jiān)控,為機(jī)房高效管理提供保障�;在醫(yī)院內(nèi)網(wǎng)設(shè)置專門的安全防護(hù)系統(tǒng)�,以規(guī)范約束院內(nèi)終端用戶操作與應(yīng)用����,避免非法訪問與數(shù)據(jù)篡改,該系統(tǒng)與院內(nèi)身份認(rèn)證系統(tǒng)合作,通過靈活的安全策略實(shí)現(xiàn)對內(nèi)網(wǎng)用戶���、終端計(jì)算機(jī)的安全管理,充分踐行事前預(yù)防、事中控制、事后審計(jì)的原則���,實(shí)現(xiàn)安全行為管理;針對電子病歷管理,要建立專門的VERITAS存儲管理系統(tǒng)對病例數(shù)據(jù)進(jìn)行存儲����、備份與恢復(fù)���,并根據(jù)備份策略做好病程文件的保護(hù)與恢復(fù)�����,以確保醫(yī)療工作的順利進(jìn)行�����。
3結(jié)語
綜上所述�,醫(yī)院網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)與應(yīng)用有助于降低醫(yī)院信息安全風(fēng)險���,提升信息系統(tǒng)可靠性��、可用性與安全性����,對于提升醫(yī)院醫(yī)療服務(wù)質(zhì)量與效果有積極意義���,可有效減少院內(nèi)信息系統(tǒng)安全故障�����、降低安全運(yùn)行風(fēng)險�,提升系統(tǒng)運(yùn)行服務(wù)質(zhì)量���,對于國內(nèi)醫(yī)療改革進(jìn)步、創(chuàng)新有重要實(shí)用價值�。
作者:朱凌峰 單位:湖南省衡陽市南華大學(xué)附屬第二醫(yī)院
參考文獻(xiàn):
[1]胡祎.醫(yī)院信息網(wǎng)絡(luò)建設(shè)中的安全技術(shù)體系[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2013(10):59
第8篇
關(guān)鍵詞:醫(yī)院信息化 �; 數(shù)據(jù)庫安全 ��;安全與防御
一���、醫(yī)院信息安全
醫(yī)院信息安全從其本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全.指網(wǎng)絡(luò)系統(tǒng)硬件����、軟件及其系統(tǒng)中數(shù)據(jù)的安全����。目前醫(yī)院信息安全可以分為動態(tài)安全和靜態(tài)安全��,動態(tài)安全是指信息在沒有傳輸和處理的狀態(tài)下信息內(nèi)容的秘密性��、完整性和真實(shí)性遭到破壞;靜態(tài)安全是指信息在傳輸過程中不被篡改��、竊取���、遺失和破壞�。隨著我們對信息安全的認(rèn)識不斷深入,醫(yī)院信息安全建設(shè)同時也會存在諸多問題��。這些問題的出現(xiàn)�,嚴(yán)重的影響了醫(yī)院正常工作。
二���、醫(yī)院信息安全防御體系的構(gòu)建
醫(yī)院信息安全的任務(wù)是多方面的,根據(jù)當(dāng)前信息安全存在的問題進(jìn)行分析�����,筆者認(rèn)為醫(yī)院信息安全應(yīng)該是安全策略���、安全技術(shù)和安全管理的完美結(jié)合�。具體應(yīng)該從以下幾個方面著手。
1���、 加強(qiáng)硬件設(shè)備的管理和維護(hù),保證醫(yī)院計(jì)算機(jī)信息系統(tǒng)的物理安全
醫(yī)院的信息安全物理安全威脅主要是指系統(tǒng)設(shè)備的運(yùn)行損耗���、存儲介質(zhì)失效、運(yùn)行環(huán)境 (溫度����、濕度�、灰塵等 )對計(jì)算機(jī)設(shè)備的影響�����、電源供給系統(tǒng)故障、人為的破壞等。醫(yī)院計(jì)算機(jī)信息系統(tǒng)的物理安全是整個醫(yī)院計(jì)算機(jī)信息系統(tǒng)安全的前提����。主它是為了保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備���、設(shè)施以及其他媒體免遭地震����、水災(zāi)等環(huán)境事故�����,以及人為操作失誤或錯誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程�。簡而言之它可以分為兩個方面�����,一是環(huán)境安全���,即對計(jì)算機(jī)信息系統(tǒng)所在環(huán)境進(jìn)行安全保護(hù)��;二是設(shè)備安全,即防止計(jì)算機(jī)設(shè)備被盜、被毀�����、被雷擊等。
2�、強(qiáng)化對計(jì)算機(jī)軟件的維護(hù)����,防止外來入侵和保證數(shù)據(jù)庫的完整
首先醫(yī)院計(jì)算機(jī)系統(tǒng)要使用防火墻和防毒墻�,眾所周知�����,防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全區(qū)域之間的一系列的部件組合成的唯一出入口���,從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入���。而防毒墻是為了解決防火墻在防毒方面的缺陷兒采取的一種安全措施��。防毒墻設(shè)計(jì)在網(wǎng)絡(luò)入口處,對網(wǎng)絡(luò)傳輸中的病毒進(jìn)行過濾。
其次醫(yī)院計(jì)算機(jī)系統(tǒng)在數(shù)據(jù)傳輸時采用數(shù)據(jù)加密技術(shù)?��!?shù)據(jù)加密技術(shù)要求只有在指定的用戶或網(wǎng)絡(luò)下,才能解除密碼而獲得原來的數(shù)據(jù),這就需要給數(shù)據(jù)發(fā)送方和接受方以一些特殊的信息用于加解密�,這就是所謂的密鑰���。在計(jì)算機(jī)通訊中�����,采用數(shù)據(jù)加密技術(shù)隱蔽信息,再將隱蔽后的信息傳輸出去,使信息在傳輸過程中即使被分解或獲取,竊取者也不能了解信息內(nèi)容�����,保證信息的安全性����。
3、強(qiáng)化安全管理制度,增強(qiáng)人員的信息安全意識
醫(yī)院信息系統(tǒng)的運(yùn)行需要有一套完善的規(guī)章制度作保障�,同時加強(qiáng)系統(tǒng)人員的信息安全意識�����。(1)完善醫(yī)院網(wǎng)絡(luò)安全管理制度�,主要是健全醫(yī)院機(jī)房安全管理制度,健全設(shè)備加密管理制度和密鑰管理制度�;(2)完善的管理機(jī)制的建立�,不僅是制度的健全�,更關(guān)鍵的是人的因素。因此需要對全院職工尤其是管理人員進(jìn)行相關(guān)教育���,讓他們樹立正確的安全意識.清楚自己的職責(zé)分工,設(shè)立專職的系統(tǒng)管理員.進(jìn)行定時強(qiáng)化培訓(xùn).對網(wǎng)絡(luò)運(yùn)行情況進(jìn)行定時檢測等���。
結(jié)語;隨著網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)日新月益的飛速發(fā)展����,醫(yī)院信息安全會出現(xiàn)新的問題�,因此要做好醫(yī)院的信息安全工作就必須加快醫(yī)院網(wǎng)絡(luò)信息安全技術(shù)手段的研究和創(chuàng)新.通過技術(shù)防治和管理防范相結(jié)合��,建立有效����、健全的安全防御體系��,最終達(dá)到保護(hù)醫(yī)院信息安全的目的����。
參考文獻(xiàn):
[1醫(yī)院信息系統(tǒng)中的數(shù)據(jù)安全 作者:趙春曉, 醫(yī)療裝備2010年 第02期
[2醫(yī)院計(jì)算機(jī)數(shù)據(jù)存儲與安全 作者:董海明,劉希颯, 時珍國醫(yī)國藥2006年 第09期
[3淺談醫(yī)院信息建設(shè)的數(shù)據(jù)安全 作者:王亮, 江西教育學(xué)院學(xué)報2008年 第06期
[4中小型醫(yī)院信息網(wǎng)絡(luò)安全策略 作者:馬洋, 中國醫(yī)院建筑與裝備2007年 第04期
第9篇
1 醫(yī)院檔案信息安全現(xiàn)狀
1.1 復(fù)雜性檔案種類
醫(yī)院工作過程當(dāng)中會收集多方面和多元化的信息及資料��,因此也就促成了醫(yī)院的檔案信息的復(fù)雜性問題���。針對醫(yī)院的檔案信息進(jìn)行管理和儲存���,才能夠保證了解內(nèi)容豐富和復(fù)雜的檔案信息,通過科學(xué)的管理方式將醫(yī)院方面的檔案進(jìn)行種類的劃分,可以建立病歷���、影像診斷����、科研教學(xué)��、人事管理����、財務(wù)信息等等檔案文本內(nèi)容����。將以上科學(xué)劃分的檔案類型進(jìn)行不同形式的劃分,掌握紙質(zhì)�����、電子和影像等諸多類型的檔案�����,更加有助于降低未來醫(yī)院工作方面的負(fù)擔(dān)[1]�����。
1.2 多元化檔案媒介
多元化的檔案信息管理媒介能夠滿足當(dāng)下的醫(yī)療衛(wèi)生行業(yè)服務(wù)和管理工作的需求,但是同時也存在一定的問題����,容易導(dǎo)致醫(yī)院檔案信息管理工作出現(xiàn)安全風(fēng)險����。從前醫(yī)院的檔案信息基本以紙質(zhì)為主�����,在保存和查找方面都存在很大的難度,伴隨科學(xué)技術(shù)的不斷發(fā)展,信息技術(shù)支持的檔案信息管理模式更加適合繁忙的醫(yī)療工作體系,但同時也存在一定的安全風(fēng)險性。電子信息模式下的檔案管理方式具備攜帶便捷和成本低廉等眾多優(yōu)點(diǎn)��,但同時也存在風(fēng)險問題需要不斷的優(yōu)化處理[2]�����。
1.3 網(wǎng)絡(luò)式檔案信息
網(wǎng)絡(luò)模式的檔案信息管理是非常有效的工作模式之一����,也是未來社會發(fā)展的主要趨勢�����。針對醫(yī)院檔案信息管理工作進(jìn)行研究和分析能夠發(fā)現(xiàn)�,電子信息化的檔案信息管理模式非常適合應(yīng)用于醫(yī)院的工作��,主要是源于電子信息系統(tǒng)具有龐大的信息收集和歸納����、整理作用����,能夠?yàn)獒t(yī)療工作者提供更加高效的工作方式和方法,是一種優(yōu)化的工作途徑,保證了醫(yī)院檔案信息管理工作的質(zhì)量和效率,也是未來行業(yè)發(fā)展的趨勢[3]��。
2 影響醫(yī)院檔案信息安全的因素
2.1 安全的檔案信息媒介
影響醫(yī)院檔案信息管理的安全性因素涉及到很多方面�,針對這些問題進(jìn)行客觀的分析,并針對存在的影響因素和問題找到一個科學(xué)、合理的解決途徑��,能夠保證未來醫(yī)院服務(wù)和管理工作的質(zhì)量�。影響醫(yī)院檔案信息管理質(zhì)量的基本原因是受到檔案信息媒介安全性的影響,檔案信息的媒介安全性主要是指環(huán)境因素的影響,例如火災(zāi)����、蟲鼠災(zāi)害、水災(zāi)等等���,都會影響檔案信息的保存和管理。一旦發(fā)生環(huán)境因素災(zāi)害���,就會導(dǎo)致檔案信息出現(xiàn)部分和全部損失的情況����,進(jìn)而造成醫(yī)院管理方面的阻礙問題等等[4]�����。
2.2 計(jì)算機(jī)病毒
影響醫(yī)院出現(xiàn)檔案信息管理安全威脅的問題還涉及到計(jì)算機(jī)的病毒問題��,因?yàn)橛?jì)算機(jī)的工作模式會受到病毒的影響,而且計(jì)算機(jī)的病毒影響非常嚴(yán)重。計(jì)算機(jī)的病毒存在傳播速度特別快的問題,還存在智能化程度高的問題�,因此��,出現(xiàn)計(jì)算機(jī)病毒的問題很難控制,也會造成醫(yī)院的檔案信息安全出現(xiàn)風(fēng)險。最為影響醫(yī)院檔案信息安全管理工作的因素還源于計(jì)算機(jī)的病毒侵害殺傷力非常大���,而且在不斷的技術(shù)升級過程中還會出現(xiàn)病毒侵害力逐漸增加的情況和問題。很多計(jì)算機(jī)的小型病毒可能會在工作的過程中不斷的出現(xiàn)作用力增強(qiáng)的情況,進(jìn)而導(dǎo)致醫(yī)院的檔案信息安全管理工作出現(xiàn)危機(jī)[5]�����。
2.3 網(wǎng)絡(luò)入侵
影響醫(yī)院檔案信息管理的安全威脅因素還包含網(wǎng)絡(luò)入侵的問題�,關(guān)注網(wǎng)絡(luò)入侵才能夠認(rèn)識到醫(yī)院檔案管理工作過程中會出現(xiàn)的問題。醫(yī)院建立的網(wǎng)絡(luò)檔案管理模式體系當(dāng)中,發(fā)現(xiàn)需要通過授權(quán)才能夠登錄,但是網(wǎng)絡(luò)的模式自然也存在容易侵犯的問題。黑客可能通過口令的模式達(dá)成網(wǎng)絡(luò)的入侵�,實(shí)用軟件竊取相關(guān)文件檔案等���。另外還有特洛伊木馬的黑客形式通過軟件的植入造成計(jì)算機(jī)的遠(yuǎn)程干擾���,最終丟失醫(yī)院的檔案信息。除此之外�����,還有監(jiān)聽方法和社會工程學(xué)的諸多入侵方式��,更高的科學(xué)技術(shù)達(dá)成了多層面入侵的黑客模式��,導(dǎo)致醫(yī)院的檔案信息管理出現(xiàn)風(fēng)險問題。
2.4 缺失科學(xué)組織管理和先進(jìn)理念
可能影響醫(yī)院出現(xiàn)檔案信息管理的安全因素有很多��,缺失科學(xué)的組織管理和先進(jìn)理念就是影響醫(yī)院檔案和信息管理的安全性���。由于當(dāng)下科學(xué)技術(shù)的不斷發(fā)展��,網(wǎng)絡(luò)信息技術(shù)已經(jīng)全面的覆蓋了人們的生活���。醫(yī)院檔案管理的過程當(dāng)中也需要應(yīng)用到網(wǎng)絡(luò)信息的技術(shù)和平臺���,由于網(wǎng)絡(luò)體系的安全權(quán)限設(shè)置存在不足�,就會出現(xiàn)安全管理方面的問題�。還有部分的醫(yī)院檔案管理從業(yè)人員對于檔案信息的保存存在認(rèn)知和理念層面的不足,很容易在保存檔案信息方面出現(xiàn)缺失專業(yè)的隨意性����,導(dǎo)致醫(yī)院的檔案信息在網(wǎng)絡(luò)平臺上隨意被竊取���,嚴(yán)重妨礙了?t院的檔案信息管理[6]�����。
3 醫(yī)院檔案信息安全管理對策
3.1 實(shí)體安全檔案防護(hù)
重視醫(yī)院的檔案信息管理工作,需要從安全性角度進(jìn)行科學(xué)的考量����,保證實(shí)施切實(shí)有效的檔案管理信息,進(jìn)而構(gòu)建安全防護(hù)體系,降低可能出現(xiàn)的信息管理問題����。關(guān)注醫(yī)院的檔案信息安全管理工作�,不僅僅要重視日常的信息管理和維護(hù)工作���,還需要從檔案的存放位置及地點(diǎn)方面進(jìn)行管理�。醫(yī)院不僅僅保留電子信息文檔,還應(yīng)當(dāng)保存文件的紙質(zhì)本��,以此為后續(xù)管理工作提供完整的信息和資料����。通常為保證紙質(zhì)文版檔案的安全保存��,需要避免儲存在潮濕的地下室位置,還應(yīng)當(dāng)避免存在火災(zāi)安全隱患的位置����。在日常的管理和儲存過程當(dāng)中����,需要保證通風(fēng)和除濕的管理�,定時進(jìn)行驅(qū)蟲和滅鼠操作[7]。
3.2 計(jì)算機(jī)信息安全措施
關(guān)注到醫(yī)院檔案信息安全管理工作的重要性�,應(yīng)當(dāng)采取積極的措施和對策��,才能夠滿足實(shí)際的工作質(zhì)量優(yōu)化需求,進(jìn)而提升醫(yī)療衛(wèi)生行業(yè)的工作品質(zhì)�。針對醫(yī)院的檔案信息進(jìn)行安全管理���,需要掌握良好的計(jì)算機(jī)信息安全措施���,實(shí)施高科技的有效保護(hù)�����,進(jìn)而提升醫(yī)院內(nèi)部的管理工作質(zhì)量��。建立計(jì)算機(jī)模式的信息安全體系���,需要從防病毒和防入侵方面入手�����,確保醫(yī)院計(jì)算機(jī)體系不受病毒侵害,同時為網(wǎng)絡(luò)系統(tǒng)建立防入侵體系。在日常管理工作過程當(dāng)中還需要進(jìn)行數(shù)據(jù)備份并且要求管理工作人員具備數(shù)據(jù)的恢復(fù)技術(shù)和能力,在適當(dāng)?shù)那闆r下設(shè)計(jì)符合醫(yī)院工作需要的權(quán)限保護(hù)和管制,進(jìn)而確保電子信息的安全性�����。
